SPRAWOZDANIE w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148

    4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

    Komisja Przemysłu, Badań Naukowych i Energii
    Sprawozdawca: Bart Groothuis
    Sprawozdawca komisji opiniodawczej (*):
    Lukas Mandl, Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
    (*) Zaangażowane komisje – art. 57 Regulaminu

    PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO

    w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148

    (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

    (Zwykła procedura ustawodawcza: pierwsze czytanie)

    Parlament Europejski,

     uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2020)0823),

     uwzględniając art. 294 ust. 2 i art. 114 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C9-0422/2020),

     uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

     uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego z dnia 27 kwietnia 2021 r.[1],

     po konsultacji z Komitetem Regionów,

     uwzględniając art. 59 Regulaminu,

     uwzględniając opinie przedstawione przez Komisję Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, Komisję Spraw Zagranicznych, Komisję Rynku Wewnętrznego i Ochrony Konsumentów oraz Komisję Transportu i Turystyki,

     uwzględniając sprawozdanie Komisji Przemysłu, Badań Naukowych i Energii (A9-0313/2021),

    1. przyjmuje poniższe stanowisko w pierwszym czytaniu;

    2. zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli zastąpi ona pierwotny wniosek, wprowadzi w nim istotne zmiany lub planuje ich wprowadzenie;

    3. zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji oraz parlamentom narodowym.

     


    Poprawka 1

     

    Wniosek dotyczący dyrektywy

    Tytuł

     

    Tekst proponowany przez Komisję

    Poprawka

    Wniosek

    Wniosek

    DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY

    DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY

    w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148

    w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2), uchylająca dyrektywę (UE) 2016/1148

    Poprawka  2

     

    Wniosek dotyczący dyrektywy

    Motyw 1

     

    Tekst proponowany przez Komisję

    Poprawka

    (1) Celem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/114811 było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w sytuacji zaistnienia cyberincydentów, a tym samym przyczynienie się do sprawnego funkcjonowania gospodarki i społeczeństwa Unii.

    (1) Celem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/114811, znanej powszechnie jako „dyrektywa NIS”, było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w sytuacji zaistnienia cyberincydentów, a tym samym przyczynienie się do bezpieczeństwa Unii i sprawnego funkcjonowania jej gospodarki i społeczeństwa.

    __________________

    __________________

    11 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194/1 z 19.7.2016, s. 1).

    11 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194/1 z 19.7.2016, s. 1).

    Poprawka  3

     

    Wniosek dotyczący dyrektywy

    Motyw 3

     

    Tekst proponowany przez Komisję

    Poprawka

    (3) Wraz z szybko postępującą transformacją cyfrową i siecią wzajemnych połączeń, jakie charakteryzują społeczeństwo, w tym w kontekście wymiany transgranicznej, sieci i systemy informatyczne stały się zasadniczym elementem codziennego życia. Zmiana ta doprowadziła do ewolucji krajobrazu zagrożeń dla cyberbezpieczeństwa, przynosząc nowe wyzwania, które wymagają dostosowanych, skoordynowanych i innowacyjnych reakcji we wszystkich państwach członkowskich. Liczba, skala, zaawansowanie, częstotliwość oraz wpływ cyberincydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. W rezultacie cyberincydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz powodować poważne straty dla gospodarki Unii i jej społeczeństwa. W związku z powyższym gotowość i skuteczność w obszarze cyberbezpieczeństwa są teraz bardziej istotne dla prawidłowego funkcjonowania rynku wewnętrznego niż kiedykolwiek wcześniej.

    (3) Wraz z szybko postępującą transformacją cyfrową i siecią wzajemnych połączeń, jakie charakteryzują społeczeństwo, w tym w kontekście wymiany transgranicznej, sieci i systemy informatyczne stały się zasadniczym elementem codziennego życia. Zmiana ta doprowadziła do ewolucji krajobrazu zagrożeń dla cyberbezpieczeństwa, przynosząc nowe wyzwania, które wymagają dostosowanych, skoordynowanych i innowacyjnych reakcji we wszystkich państwach członkowskich. Liczba, skala, zaawansowanie, częstotliwość oraz wpływ cyberincydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. W rezultacie cyberincydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz powodować poważne straty dla gospodarki Unii i jej społeczeństwa. W związku z powyższym gotowość i skuteczność w obszarze cyberbezpieczeństwa są teraz bardziej istotne dla prawidłowego funkcjonowania rynku wewnętrznego niż kiedykolwiek wcześniej. Ponadto w wielu sektorach krytycznych cyberbezpieczeństwo stanowi kluczowy czynnik wspomagający udane wdrożenie transformacji cyfrowej i spożytkowanie w pełni wszystkich płynących z cyfryzacji korzyści ekonomicznych, społecznych i związanych ze zrównoważonością.

    Poprawka  4

     

    Wniosek dotyczący dyrektywy

    Motyw 3 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (3a) Cyberincydenty i kryzysy cyberbezpieczeństwa na dużą skalę na szczeblu Unii wymagają skoordynowanych działań w celu zapewnienia szybkiej i skutecznej reakcji ze względu na wysoki stopień współzależności między sektorami i państwami. Dostępność sieci i systemów informatycznych odpornych na cyberzagrożenia oraz dostępność, poufność i integralność danych mają zasadnicze znaczenie dla bezpieczeństwa Unii zarówno w obrębie jej granic, jak i poza nimi, ponieważ cyberzagrożenia mogą pochodzić spoza Unii. Ambicja Unii, aby odgrywać ważniejszą rolę geopolityczną, opiera się również na wiarygodnej cyberobronie i działaniach odstraszających, w tym na zdolności do skutecznej identyfikacji na czas szkodliwych działań i do odpowiedniego reagowania.

    Poprawka  5

     

    Wniosek dotyczący dyrektywy

    Motyw 5

     

    Tekst proponowany przez Komisję

    Poprawka

    (5) Wszystkie te rozbieżności pociągają za sobą fragmentację rynku wewnętrznego i mogą mieć szkodliwy wpływ na jego funkcjonowanie, oddziałując w szczególności na transgraniczne świadczenie usług i poziom odporności pod względem cyberbezpieczeństwa ze względu na stosowanie różnych norm. Celem niniejszej dyrektywy jest zatem wyeliminowanie takich rozbieżności między państwami członkowskimi, w szczególności przez określenie minimalnych przepisów dotyczących funkcjonowania skoordynowanych ram regulacyjnych, ustanowienie mechanizmów skutecznej współpracy między odpowiedzialnymi organami w każdym państwie członkowskim, dokonanie aktualizacji wykazu sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz ustanowienie skutecznych środków naprawczych i sankcji, które są kluczowe dla skutecznego egzekwowania tych obowiązków. Dyrektywę (UE) 2016/1148 należy zatem uchylić i zastąpić niniejszą dyrektywą.

    (5) Wszystkie te rozbieżności pociągają za sobą fragmentację rynku wewnętrznego i mogą mieć szkodliwy wpływ na jego funkcjonowanie, oddziałując w szczególności na transgraniczne świadczenie usług i poziom odporności pod względem cyberbezpieczeństwa ze względu na stosowanie różnych norm. Ostatecznie rozbieżności te mogłyby prowadzić do większej podatności niektórych państw członkowskich na zagrożenia dla cyberbezpieczeństwa, co może wywołać reperkusje dla całej Unii. Celem niniejszej dyrektywy jest zatem wyeliminowanie takich rozbieżności między państwami członkowskimi, w szczególności przez określenie minimalnych przepisów dotyczących funkcjonowania skoordynowanych ram regulacyjnych, ustanowienie mechanizmów skutecznej współpracy między odpowiedzialnymi organami w każdym państwie członkowskim, dokonanie aktualizacji wykazu sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz ustanowienie skutecznych środków naprawczych i sankcji, które są kluczowe dla skutecznego egzekwowania tych obowiązków. Dyrektywę (UE) 2016/1148 należy zatem uchylić i zastąpić niniejszą dyrektywą (dyrektywą NIS 2).

    Poprawka  6

     

    Wniosek dotyczący dyrektywy

    Motyw 6

     

    Tekst proponowany przez Komisję

    Poprawka

    (6) Niniejsza dyrektywa nie wpływa na możliwość zastosowania przez państwa członkowskie środków niezbędnych do zapewnienia ochrony podstawowych interesów ich bezpieczeństwa, do ochrony porządku publicznego i bezpieczeństwa publicznego oraz do umożliwienia prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw zgodnie z prawem Unii. Zgodnie z art. 346 TFUE żadne państwo członkowskie nie ma obowiązku udzielania informacji, których ujawnienie jest sprzeczne z podstawowymi interesami jego bezpieczeństwa publicznego. W tym kontekście zastosowanie mają krajowe i unijne przepisy dotyczące ochrony informacji niejawnych, umowy o zachowaniu poufności oraz nieformalne porozumienia o zachowaniu poufności, takie jak kod poufności TLP14.

    (6) Niniejsza dyrektywa nie wpływa na możliwość zastosowania przez państwa członkowskie środków niezbędnych do zapewnienia ochrony podstawowych interesów ich bezpieczeństwa, do ochrony porządku publicznego i bezpieczeństwa publicznego oraz do umożliwienia prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw oraz zapobiegania im zgodnie z prawem Unii. Zgodnie z art. 346 TFUE żadne państwo członkowskie nie ma obowiązku udzielania informacji, których ujawnienie jest sprzeczne z podstawowymi interesami jego bezpieczeństwa publicznego. W tym kontekście zastosowanie mają krajowe i unijne przepisy dotyczące ochrony informacji niejawnych, umowy o zachowaniu poufności oraz nieformalne porozumienia o zachowaniu poufności, takie jak kod poufności TLP14.

    __________________

    __________________

    14 Kod poufności TLP (Traffic Light Protocol) to oznaczenie, za pomocą którego osoba udostępniająca informacje może poinformować odbiorców tych informacji o wszelkich ograniczeniach w zakresie dalszego ich rozpowszechniania. Z kodu tego korzystają niemal wszystkie społeczności CSIRT oraz niektóre ośrodki wymiany i analizy informacji.

    14 Kod poufności TLP (Traffic Light Protocol) to oznaczenie, za pomocą którego osoba udostępniająca informacje może poinformować odbiorców tych informacji o wszelkich ograniczeniach w zakresie dalszego ich rozpowszechniania. Z kodu tego korzystają niemal wszystkie społeczności CSIRT oraz niektóre ośrodki wymiany i analizy informacji.

    Poprawka  7

     

    Wniosek dotyczący dyrektywy

    Motyw 7

     

    Tekst proponowany przez Komisję

    Poprawka

    (7) Wraz z uchyleniem dyrektywy (UE) 2016/1148 należy rozszerzyć zakres stosowania przepisów przez poszczególne sektory na większą część gospodarki ze względów przedstawionych w motywach 4–6. Wykaz sektorów objętych dyrektywą (UE) 2016/1148 należy zatem rozszerzyć, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej w ramach rynku wewnętrznego. Przepisy nie powinny się różnić w zależności od tego, czy podmioty są operatorami usług kluczowych czy dostawcami usług cyfrowych. Rozróżnienie to okazało się nieaktualne, ponieważ nie odzwierciedla faktycznego znaczenia sektorów lub usług dla działalności społecznej i gospodarczej na rynku wewnętrznym.

    (7) Wraz z uchyleniem dyrektywy (UE) 2016/1148 należy rozszerzyć zakres stosowania przepisów przez poszczególne sektory na większą część gospodarki ze względów przedstawionych w motywach 4–6. Wykaz sektorów objętych dyrektywą (UE) 2016/1148 należy zatem rozszerzyć, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej w ramach rynku wewnętrznego. Wymogi dotyczące zarządzania ryzykiem oraz obowiązki w zakresie zgłaszania incydentów nie powinny się różnić w zależności od tego, czy podmioty są operatorami usług kluczowych czy dostawcami usług cyfrowych. Rozróżnienie to okazało się nieaktualne, ponieważ nie odzwierciedla faktycznego znaczenia sektorów lub usług dla działalności społecznej i gospodarczej na rynku wewnętrznym.

    Poprawka  8

     

    Wniosek dotyczący dyrektywy

    Motyw 8

     

    Tekst proponowany przez Komisję

    Poprawka

    (8) Zgodnie z dyrektywą (UE) 2016/1148 państwa członkowskie były odpowiedzialne za określanie, które podmioty spełniają kryteria decydujące o uznaniu ich za operatorów usług kluczowych („proces identyfikacji”). Aby wyeliminować znaczne rozbieżności w tym zakresie między państwami członkowskimi oraz zapewnić wszystkim właściwym podmiotom pewność prawa w odniesieniu do wymogów dotyczących zarządzania ryzykiem i obowiązków w zakresie zgłaszania incydentów, należy ustanowić jednolite kryterium decydujące o tym, które podmioty są objęte zakresem stosowania niniejszej dyrektywy. Kryterium to powinno przewidywać stosowanie zasady maksymalnej wielkości, zgodnie z którą w zakres dyrektywy wchodzą wszystkie średnie i duże przedsiębiorstwa zdefiniowane w zaleceniu Komisji 2003/361/WE15, które działają w sektorach objętych zakresem niniejszej dyrektywy lub świadczą rodzaj usług objęty zakresem niniejszej dyrektywy. Państwa członkowskie nie powinny być zobowiązane do ustanowienia wykazu podmiotów, które spełniają to mające ogólne zastosowanie kryterium związane z wielkością.

    (8) Zgodnie z dyrektywą (UE) 2016/1148 państwa członkowskie były odpowiedzialne za określanie, które podmioty spełniają kryteria decydujące o uznaniu ich za operatorów usług kluczowych („proces identyfikacji”). Aby wyeliminować znaczne rozbieżności w tym zakresie między państwami członkowskimi oraz zapewnić wszystkim właściwym podmiotom pewność prawa w odniesieniu do wymogów dotyczących zarządzania ryzykiem i obowiązków w zakresie zgłaszania incydentów, należy ustanowić jednolite kryterium decydujące o tym, które podmioty są objęte zakresem stosowania niniejszej dyrektywy. Kryterium to powinno przewidywać stosowanie zasady maksymalnej wielkości, zgodnie z którą w zakres dyrektywy wchodzą wszystkie średnie i duże przedsiębiorstwa zdefiniowane w zaleceniu Komisji 2003/361/WE15, które działają w sektorach objętych zakresem niniejszej dyrektywy lub świadczą rodzaj usług objęty zakresem niniejszej dyrektywy.

    __________________

    __________________

    15 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).

    15 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).

    Poprawka  9

     

    Wniosek dotyczący dyrektywy

    Motyw 9

     

    Tekst proponowany przez Komisję

    Poprawka

    (9) Zakres niniejszej dyrektywy powinien jednak obejmować także małe podmioty lub mikropodmioty spełniające określone kryteria, które wskazują na zasadnicze znaczenie tych podmiotów dla gospodarek lub społeczeństw państw członkowskich lub dla konkretnych sektorów lub rodzajów usług. Państwa członkowskie powinny być odpowiedzialne za ustanowienie wykazu takich podmiotów i powinny przedłożyć go Komisji.

    (9) Zakres niniejszej dyrektywy powinien jednak obejmować także małe podmioty lub mikropodmioty spełniające określone kryteria, które wskazują na zasadnicze znaczenie tych podmiotów dla gospodarek lub społeczeństw państw członkowskich lub dla konkretnych sektorów lub rodzajów usług.

    Poprawka  10

     

    Wniosek dotyczący dyrektywy

    Motyw 9 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (9a) Państwa członkowskie powinny sporządzić wykaz wszystkich niezbędnych i istotnych podmiotów. Wykaz ten powinien obejmować podmioty, które spełniają mające ogólne zastosowanie kryteria dotyczące wielkości, a także małe przedsiębiorstwa i mikroprzedsiębiorstwa spełniające określone kryteria, które wskazują na ich kluczową rolę w gospodarkach lub społeczeństwach państw członkowskich. Aby zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) i właściwe organy mogły udzielać pomocy i ostrzegać podmioty przed cyberincydentami, które mogą mieć na nie wpływ, ważne jest, aby organy te dysponowały prawidłowymi danymi kontaktowymi tych podmiotów. Niezbędne i istotne podmioty powinny zatem przekazywać właściwym organom co najmniej następujące informacje: nazwę podmiotu, adres i aktualne dane kontaktowe, w tym adresy poczty elektronicznej, adresy zakresów IP, numery telefonów oraz odpowiedni(-e) sektor(-y) i podsektor(-y), o których mowa w załącznikach I i II. Podmioty powinny powiadamiać właściwe organy o wszelkich zmianach tych informacji. Państwa członkowskie powinny bez zbędnej zwłoki zapewnić łatwy dostęp do tych informacji za pośrednictwem pojedynczego punktu kontaktowego. W tym celu ENISA, we współpracy z Grupą Współpracy, powinna bez zbędnej zwłoki wydać wytyczne i szablony dotyczące obowiązków w zakresie powiadamiania. Państwa członkowskie powinny powiadomić Komisję i Grupę Współpracy o liczbie niezbędnych i istotnych podmiotów. Państwa członkowskie powinny również podawać Komisji nazwy małych przedsiębiorstw i mikroprzedsiębiorstw uznanych za niezbędne i istotne podmioty do celów przeglądu, o którym mowa w niniejszej dyrektywie, aby umożliwić Komisji ocenę spójności podejść państw członkowskich. Informacje te należy traktować jako ściśle poufne.

    Poprawka  11

     

    Wniosek dotyczący dyrektywy

    Motyw 10

     

    Tekst proponowany przez Komisję

    Poprawka

    (10) Komisja, we współpracy z Grupą Współpracy, może sformułować wytyczne dotyczące wdrażania kryteriów mających zastosowanie do mikroprzedsiębiorstw i małych przedsiębiorstw.

    (10) Komisja, we współpracy z Grupą Współpracy i odpowiednimi zainteresowanymi stronami, powinna sformułować wytyczne dotyczące wdrażania kryteriów mających zastosowanie do mikroprzedsiębiorstw i małych przedsiębiorstw. Komisja powinna również zadbać o to, by wszystkie mikroprzedsiębiorstwa i małe przedsiębiorstwa objęte zakresem niniejszej dyrektywy otrzymały odpowiednie wytyczne. Komisja powinna – przy wsparciu państw członkowskich – przekazywać mikroprzedsiębiorstwom i małym przedsiębiorstwom informacje w tym zakresie.

    Poprawka  12

     

    Wniosek dotyczący dyrektywy

    Motyw 10 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (10a) Komisja powinna również sformułować wytyczne, aby wesprzeć państwa członkowskie w prawidłowym wdrażaniu przepisów dotyczących zakresu stosowania oraz aby ocenić proporcjonalność obowiązków określonych w niniejszej dyrektywie, w szczególności jeśli chodzi o podmioty o złożonych modelach biznesowych lub środowiskach operacyjnych, przy czym podmiot może jednocześnie spełniać kryteria niezbędnego, jak i istotnego podmiotu, lub może jednocześnie prowadzić działalność, która jest tylko częściowo objęta zakresem dyrektywy.

    Poprawka  13

     

    Wniosek dotyczący dyrektywy

    Motyw 12

     

    Tekst proponowany przez Komisję

    Poprawka

    (12) Przepisy i instrumenty sektorowe mogą przyczynić się do zapewnienia wysokiego poziomu cyberbezpieczeństwa przy jednoczesnym uwzględnieniu w pełni specyfiki i złożoności tych sektorów. W przypadku gdy na mocy unijnego sektorowego aktu prawnego podmioty niezbędne lub istotne zobowiązano do przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni lub zgłaszania incydentów lub znaczących cyberzagrożeń, które to wymogi mają skutki co najmniej równoważne skutkowi, jaki wywierają obowiązki przewidziane w niniejszej dyrektywie, powinny mieć zastosowanie takie przepisy sektorowe, w tym przepisy dotyczące nadzoru i egzekwowania przepisów. Komisja może wydać wytyczne w związku z wdrożeniem lex specialis. Niniejsza dyrektywa nie stanowi przeszkody dla przyjęcia dodatkowych sektorowych aktów Unii dotyczących środków zarządzania ryzykiem w cyberprzestrzeni i zgłaszania incydentów. Niniejsza dyrektywa pozostaje bez uszczerbku dla istniejących uprawnień wykonawczych, które powierzono Komisji w wielu sektorach, w tym w sektorach transportu i energetyki.

    (12) Przepisy i instrumenty sektorowe mogą przyczynić się do zapewnienia wysokiego poziomu cyberbezpieczeństwa przy jednoczesnym uwzględnieniu w pełni specyfiki i złożoności tych sektorów. Sektorowe akty prawne Unii, które wymagają od podmiotów niezbędnych lub istotnych przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni lub zgłaszania znaczących incydentów, powinny być, w miarę możliwości, spójne z terminologią i odnosić się do definicji określonych w niniejszej dyrektywie. W przypadku gdy na mocy unijnego sektorowego aktu prawnego podmioty niezbędne lub istotne zobowiązano do przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni lub zgłaszania incydentów i jeśli te wymogi mają skutki co najmniej równoważne skutkowi, jaki wywierają obowiązki przewidziane w niniejszej dyrektywie, oraz mają zastosowanie do całości aspektów bezpieczeństwa operacji i usług świadczonych przez podmioty niezbędne i istotne, powinny mieć zastosowanie takie przepisy sektorowe, w tym przepisy dotyczące nadzoru i egzekwowania przepisów. Komisja powinna wydać kompleksowe wytyczne w związku z wdrożeniem lex specialis, z uwzględnieniem właściwych opinii, wiedzy fachowej i najlepszych praktyk ENISA i Grupy Współpracy. Niniejsza dyrektywa nie stanowi przeszkody dla przyjęcia dodatkowych sektorowych aktów Unii dotyczących środków zarządzania ryzykiem w cyberprzestrzeni i zgłaszania incydentów, należycie uwzględniających potrzebę stworzenia kompleksowych i spójnych ram cyberbezpieczeństwa. Niniejsza dyrektywa pozostaje bez uszczerbku dla istniejących uprawnień wykonawczych, które powierzono Komisji w wielu sektorach, w tym w sektorach transportu i energetyki.

    Poprawka  14

     

    Wniosek dotyczący dyrektywy

    Motyw 14

     

    Tekst proponowany przez Komisję

    Poprawka

    (14) Biorąc pod uwagę powiązania między cyberbezpieczeństwem a bezpieczeństwem fizycznym podmiotów, należy zapewnić spójność pod względem podejścia między dyrektywą Parlamentu Europejskiego i Rady (UE) XXX/XXX17 a niniejszą dyrektywą. W tym celu państwa członkowskie powinny zapewnić, aby podmioty krytyczne, oraz równoważne podmioty, zgodnie z dyrektywą (UE) XXX/XXX uznawano za podmioty niezbędne w rozumieniu niniejszej dyrektywy. Państwa członkowskie powinny także zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa obejmowały ramy polityki na rzecz zwiększonej koordynacji między właściwym organem na mocy niniejszej dyrektywy a właściwym organem na mocy dyrektywy (UE) XXX/XXX w kontekście udostępniania informacji na temat incydentów i cyberzagrożeń oraz w kontekście wykonywania zadań nadzorczych. Organy na mocy obu dyrektyw powinny ze sobą współpracować i prowadzić wymianę informacji, w szczególności w odniesieniu do identyfikacji podmiotów krytycznych, cyberzagrożeń, ryzyka w cyberprzestrzeni, incydentów wpływających na podmioty krytyczne, a także w odniesieniu do środków w zakresie cyberbezpieczeństwa przyjmowanych przez podmioty krytyczne. Na wniosek właściwych organów na mocy dyrektywy (UE) XXX/XXX właściwym organom na mocy niniejszej dyrektywy należy zezwolić na wykonywanie swoich uprawnień w zakresie nadzoru i egzekwowania przepisów względem podmiotu niezbędnego zidentyfikowanego jako podmiot krytyczny. Właściwe organy na mocy obu dyrektyw powinny w tej kwestii współpracować i prowadzić wymianę informacji.

    (14) Biorąc pod uwagę powiązania między cyberbezpieczeństwem a bezpieczeństwem fizycznym podmiotów, należy zapewnić spójność pod względem podejścia między dyrektywą Parlamentu Europejskiego i Rady (UE) XXX/XXX17 a niniejszą dyrektywą. W tym celu państwa członkowskie powinny zapewnić, aby podmioty krytyczne, oraz równoważne podmioty, zgodnie z dyrektywą (UE) XXX/XXX uznawano za podmioty niezbędne w rozumieniu niniejszej dyrektywy. Państwa członkowskie powinny także zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa obejmowały ramy polityki na rzecz zwiększonej koordynacji między właściwymi organami w obrębie państw członkowskich i pomiędzy nimi na mocy niniejszej dyrektywy a właściwym organem na mocy dyrektywy (UE) XXX/XXX w kontekście udostępniania informacji na temat incydentów i cyberzagrożeń oraz w kontekście wykonywania zadań nadzorczych. Organy na mocy obu dyrektyw powinny ze sobą współpracować i prowadzić bez zbędnej zwłoki wymianę informacji, w szczególności w odniesieniu do identyfikacji podmiotów krytycznych, cyberzagrożeń, ryzyka w cyberprzestrzeni, incydentów wpływających na podmioty krytyczne, a także w odniesieniu do środków w zakresie cyberbezpieczeństwa przyjmowanych przez podmioty krytyczne. Na wniosek właściwych organów na mocy dyrektywy (UE) XXX/XXX właściwym organom na mocy niniejszej dyrektywy należy zezwolić na wykonywanie swoich uprawnień w zakresie nadzoru i egzekwowania przepisów względem podmiotu niezbędnego zidentyfikowanego jako podmiot krytyczny. Właściwe organy na mocy obu dyrektyw powinny w tej kwestii współpracować i prowadzić wymianę informacji w miarę możliwości w czasie rzeczywistym.

    __________________

    __________________

    17 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

    17 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

    Poprawka  15

     

    Wniosek dotyczący dyrektywy

    Motyw 15

     

    Tekst proponowany przez Komisję

    Poprawka

    (15) Utrzymywanie i zachowanie wiarygodnego, odpornego i bezpiecznego systemu nazw domen (DNS) odgrywa decydującą rolę w utrzymaniu integralności internetu oraz ma istotne znaczenie dla jego nieprzerwanego i stabilnego działania, od którego zależą gospodarka cyfrowa i społeczeństwo cyfrowe. W związku z tym niniejsza dyrektywa powinna mieć zastosowanie do wszystkich dostawców usług DNS w całym łańcuchu rozwiązywania nazw DNS, z uwzględnieniem operatorów głównych serwerów nazw, serwerów nazw domen najwyższego poziomu (TLD), autorytatywnych serwerów nazw dla nazw domen i rekurencyjnych resolwerów.

    (15) Utrzymywanie i zachowanie wiarygodnego, odpornego i bezpiecznego systemu nazw domen (DNS) odgrywa decydującą rolę w utrzymaniu integralności internetu oraz ma istotne znaczenie dla jego nieprzerwanego i stabilnego działania, od którego zależą gospodarka cyfrowa i społeczeństwo cyfrowe. W związku z tym niniejsza dyrektywa powinna mieć zastosowanie do serwerów nazw domen najwyższego poziomu (TLD), dostępnych publicznie rekurencyjnych usług rozwiązywania nazw domen dla użytkowników końcowych internetu oraz autorytatywnych usług rozwiązywania nazw domen. Niniejsza dyrektywa nie ma zastosowania do głównych serwerów nazw.

    Poprawka  16

     

    Wniosek dotyczący dyrektywy

    Motyw 19

     

    Tekst proponowany przez Komisję

    Poprawka

    (19) Przepisom niniejszej dyrektywy powinni podlegać operatorzy świadczący usługi pocztowe w rozumieniu dyrektywy 97/67/WE Parlamentu Europejskiego i Rady18, a także podmioty świadczące usługi doręczania przesyłek ekspresowych i kurierskich, jeżeli podmioty te świadczą usługi na co najmniej jednym z etapów łańcucha doręczania przesyłek pocztowych, a w szczególności przyjmowanie, sortowanie lub doręczanie, w tym odbiór przesyłek. Usługi transportowe, które nie są świadczone w związku z jednym z wymienionych etapów, nie powinny wchodzić w zakres usług pocztowych.

    (19) Przepisom niniejszej dyrektywy powinni podlegać operatorzy świadczący usługi pocztowe w rozumieniu dyrektywy 97/67/WE Parlamentu Europejskiego i Rady18, a także podmioty świadczące usługi doręczania przesyłek ekspresowych i kurierskich, jeżeli podmioty te świadczą usługi na co najmniej jednym z etapów łańcucha doręczania przesyłek pocztowych, a w szczególności przyjmowanie, sortowanie lub doręczanie, w tym odbiór przesyłek, przy uwzględnieniu stopnia ich zależności od sieci i systemów informatycznych. Usługi transportowe, które nie są świadczone w związku z jednym z wymienionych etapów, nie powinny wchodzić w zakres usług pocztowych.

    __________________

    __________________

    18 Dyrektywa 97/67/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 1997 r. w sprawie wspólnych zasad rozwoju rynku wewnętrznego usług pocztowych Wspólnoty oraz poprawy jakości usług (Dz.U. L 15 z 21.1.1998, s. 14).

    18 Dyrektywa 97/67/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 1997 r. w sprawie wspólnych zasad rozwoju rynku wewnętrznego usług pocztowych Wspólnoty oraz poprawy jakości usług (Dz.U. L 15 z 21.1.1998, s. 14).

    Poprawka  17

     

    Wniosek dotyczący dyrektywy

    Motyw 20

     

    Tekst proponowany przez Komisję

    Poprawka

    (20) Te coraz większe współzależności wynikają z coraz bardziej transgranicznej i współzależnej sieci świadczenia usług, wykorzystującej kluczową infrastrukturę w całej Unii w sektorach energetyki, transportu, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także przestrzeni kosmicznej, jeżeli chodzi o świadczenie niektórych usług zależnych od naziemnej infrastruktury będącej własnością państw członkowskich albo podmiotów prywatnych oraz która jest zarządzana i obsługiwana przez państwa członkowskie albo podmioty prywatne, a zatem nieobejmującej infrastruktury będącej własnością Unii bądź zarządzanej lub obsługiwanej przez Unię lub w jej imieniu w ramach jej programów kosmicznych. Wspomniane współzależności oznaczają, że każde zakłócenie, nawet początkowo ograniczające się do jednego podmiotu lub jednego sektora, może wywołać szerzej zakrojony efekt kaskadowy, którego potencjalne negatywne skutki dla świadczenia usług na całym rynku wewnętrznym mogą być dalekosiężne i długotrwałe. Pandemia COVID-19 uwydatniła podatność naszych coraz bardziej współzależnych społeczeństw w obliczu ryzyka o niskim prawdopodobieństwie wystąpienia.

    (20) Te coraz większe współzależności wynikają z coraz bardziej transgranicznej i współzależnej sieci świadczenia usług, wykorzystującej kluczową infrastrukturę w całej Unii w sektorach energetyki, transportu, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także przestrzeni kosmicznej, jeżeli chodzi o świadczenie niektórych usług zależnych od naziemnej infrastruktury będącej własnością państw członkowskich albo podmiotów prywatnych oraz która jest zarządzana i obsługiwana przez państwa członkowskie albo podmioty prywatne, a zatem nieobejmującej infrastruktury będącej własnością Unii bądź zarządzanej lub obsługiwanej przez Unię lub w jej imieniu w ramach jej programów kosmicznych. Wspomniane współzależności oznaczają, że każde zakłócenie, nawet początkowo ograniczające się do jednego podmiotu lub jednego sektora, może wywołać szerzej zakrojony efekt kaskadowy, którego potencjalne negatywne skutki dla świadczenia usług na całym rynku wewnętrznym mogą być dalekosiężne i długotrwałe. Nasilone ataki na sieci i systemy informatyczne podczas pandemii COVID-19 uwydatniły podatność naszych coraz bardziej współzależnych społeczeństw w obliczu ryzyka o niskim prawdopodobieństwie wystąpienia.

    Poprawka  18

     

    Wniosek dotyczący dyrektywy

    Motyw 24

     

    Tekst proponowany przez Komisję

    Poprawka

    (24) Państwa członkowskie powinny zostać odpowiednio wyposażone, zarówno pod względem zdolności technicznych, jak i możliwości organizacyjnych, w celu zapobiegania incydentom i ryzykom dotyczącym sieci i systemów informatycznych, wykrywania ich, reagowania na nie i łagodzenia ich skutków. Państwa członkowskie powinny zatem zapewnić dobrze funkcjonujące CSIRT, zwane również zespołami reagowania na incydenty komputerowe (zwane dalej „CERT”), które spełniają zasadnicze wymogi w celu zagwarantowania efektywnych i kompatybilnych zdolności w zakresie postępowania z incydentami i ryzykami oraz zapewnienia skutecznej współpracy na poziomie Unii. Aby zwiększyć zaufanie między podmiotami a CSIRT, w przypadku gdy dany CSIRT funkcjonuje w ramach właściwego organu, państwa członkowskie powinny rozważyć funkcjonalne rozdzielenie zadań operacyjnych wykonywanych przez CSIRT, szczególnie w odniesieniu do przekazywania informacji i wspierania podmiotów, od działań nadzorczych właściwego organu.

    (24) Państwa członkowskie powinny zostać odpowiednio wyposażone, zarówno pod względem zdolności technicznych, jak i możliwości organizacyjnych, w celu zapobiegania incydentom i ryzykom dotyczącym sieci i systemów informatycznych, wykrywania ich, reagowania na nie i łagodzenia ich skutków. Państwa członkowskie powinny zatem na mocy niniejszej dyrektywy wyznaczyć jedno lub kilka CSIRT oraz zapewnić, aby dobrze funkcjonowały i spełniały zasadnicze wymogi w celu zagwarantowania efektywnych i kompatybilnych zdolności w zakresie postępowania z incydentami i ryzykami oraz zapewnienia skutecznej współpracy na poziomie Unii. Państwa członkowskie mogą wyznaczyć jako CSIRT również istniejące zespoły reagowania na incydenty komputerowe (CERT). Aby zwiększyć zaufanie między podmiotami a CSIRT, w przypadku gdy dany CSIRT funkcjonuje w ramach właściwego organu, państwa członkowskie powinny rozważyć funkcjonalne rozdzielenie zadań operacyjnych wykonywanych przez CSIRT, szczególnie w odniesieniu do przekazywania informacji i wspierania podmiotów, od działań nadzorczych właściwego organu.

    Poprawka  19

     

    Wniosek dotyczący dyrektywy

    Motyw 25

     

    Tekst proponowany przez Komisję

    Poprawka

    (25) Jeżeli chodzi o dane osobowe, CSIRT powinny być w stanie zapewnić – zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/67919 – w imieniu i na wniosek podmiotu w rozumieniu niniejszej dyrektywy – proaktywne skanowanie sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług. Państwa członkowskie powinny dążyć do zapewnienia równego poziomu zdolności technicznych wszystkich sektorowych CSIRT. Państwa członkowskie mogą zwrócić się do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o pomoc przy tworzeniu krajowych CSIRT.

    (25) Jeżeli chodzi o dane osobowe, CSIRT powinny być w stanie zapewnić – zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/67919 – w imieniu i na wniosek podmiotu w rozumieniu niniejszej dyrektywy lub w przypadku poważnego zagrożenia bezpieczeństwa narodowego – proaktywne skanowanie sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług. Państwa członkowskie powinny dążyć do zapewnienia równego poziomu zdolności technicznych wszystkich sektorowych CSIRT. Państwa członkowskie mogą zwrócić się do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o pomoc przy tworzeniu krajowych CSIRT.

    __________________

    __________________

    19 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

    19 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

    Poprawka  20

     

    Wniosek dotyczący dyrektywy

    Motyw 25 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (25a) CSIRT powinny posiadać – na wniosek podmiotu – zdolność do ciągłego wykrywania i monitorowania wszystkich aktywów skierowanych do internetu oraz zarządzania nimi, zarówno w obiektach, jak i poza nimi, aby zrozumieć ogólne ryzyko organizacyjne w odniesieniu do nowo wykrytych transakcji w łańcuchu dostaw lub podatności krytycznych. Wiedza o tym, czy dany podmiot korzysta z uprzywilejowanego interfejsu zarządzania, wpływa na szybkość podejmowania działań łagodzących.

    Poprawka  21

     

    Wniosek dotyczący dyrektywy

    Motyw 26

     

    Tekst proponowany przez Komisję

    Poprawka

    (26) Z uwagi na znaczenie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa CSIRT powinny mieć możliwość uczestniczenia w międzynarodowych sieciach współpracy, niezależnie od współpracy w ramach sieci CSIRT ustanowionej na mocy niniejszej dyrektywy.

    (26) Z uwagi na znaczenie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa CSIRT powinny mieć możliwość uczestniczenia w międzynarodowych sieciach współpracy, w tym współpracy z CSIRT z państw trzecich, z którymi wymiana informacji jest wzajemna i korzystna dla bezpieczeństwa obywateli i podmiotów, niezależnie od współpracy w ramach sieci CSIRT ustanowionej na mocy niniejszej dyrektywy, aby przyczyniać się do rozwoju unijnych standardów, które mogą kształtować otoczenie cyberbezpieczeństwa na szczeblu międzynarodowym. Państwa członkowskie mogłyby również zbadać możliwość zacieśnienia współpracy z krajami partnerskimi o podobnych poglądach i organizacjami międzynarodowymi w celu wypracowania wielostronnych porozumień w sprawie cybernorm, odpowiedzialnego zachowania podmiotów państwowych i niepaństwowych w cyberprzestrzeni i skutecznego globalnego zarządzania cyfrowego, a także w celu stworzenia otwartej, wolnej, stabilnej i bezpiecznej cyberprzestrzeni opartej na prawie międzynarodowym.

    Poprawka  22

     

    Wniosek dotyczący dyrektywy

    Motyw 26 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (26a) Zasady higieny cyberbezpieczeństwa stanowią podstawę ochrony infrastruktury sieci i systemów informatycznych, sprzętu, oprogramowania i bezpieczeństwa aplikacji internetowych oraz danych przedsiębiorstw lub użytkowników końcowych, na których polegają podmioty. Zasady higieny cyberbezpieczeństwa obejmujące wspólny podstawowy zestaw praktyk, w tym m.in. aktualizacje oprogramowania i sprzętu, zmiany haseł, zarządzanie nowymi instalacjami, ograniczanie kont dostępu na poziomie administratora oraz tworzenie kopii zapasowych danych, umożliwiają utworzenie proaktywnych ram gotowości oraz zapewnienie ogólnego bezpieczeństwa i ochrony w przypadku incydentów lub zagrożeń. ENISA powinna monitorować i oceniać zasady polityki państw członkowskich w zakresie higieny cyberbezpieczeństwa oraz zbadać ogólnounijne systemy umożliwiające kontrole transgraniczne zapewniające równoważność niezależnie od wymogów państw członkowskich.

    Poprawka  23

     

    Wniosek dotyczący dyrektywy

    Motyw 26 b (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (26b) Wykorzystanie sztucznej inteligencji (AI) w dziedzinie cyberbezpieczeństwa może przyczynić się do poprawy wykrywania i powstrzymywania ataków na sieci i systemy informacyjne i umożliwić przekierowanie zasobów na ataki bardziej wyrafinowane. Państwa członkowskie powinny zatem zachęcać w krajowych strategiach do stosowania (pół)automatycznych narzędzi w dziedzinie cyberbezpieczeństwa oraz do wymiany danych potrzebnych do szkolenia i udoskonalania zautomatyzowanych narzędzi w dziedzinie cyberbezpieczeństwa. Aby ograniczyć ryzyko nadmiernej ingerencji w prawa i wolności osób fizycznych, jakie mogą stwarzać systemy oparte na AI, zastosowanie mają wymogi ochrony danych już w fazie projektowania i domyślnej ochrony danych określone w art. 25 rozporządzenia (UE) 2016/679. Wprowadzenie odpowiednich zabezpieczeń, takich jak pseudonimizacja, szyfrowanie, dokładność danych i minimalizacja danych, mogłoby dodatkowo ograniczyć takie ryzyko.

    Poprawka  24

     

    Wniosek dotyczący dyrektywy

    Motyw 26 c (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (26c) Narzędzia i aplikacje z zakresu cyberbezpieczeństwa oparte na oprogramowaniu otwartym przyczyniają się do zwiększenia przejrzystości i mogą mieć pozytywny wpływ na skuteczność innowacji przemysłowych. Standardy otwarte ułatwiają interoperacyjność między narzędziami bezpieczeństwa, z korzyścią dla bezpieczeństwa zainteresowanych podmiotów z branży. Narzędzia i aplikacje z zakresu cyberbezpieczeństwa oparte na oprogramowaniu otwartym mogą umożliwić pozyskanie szerszej społeczności deweloperów, pomagając podmiotom w dążeniu do dywersyfikacji dostawców i realizacji otwartych strategii bezpieczeństwa. Otwarte bezpieczeństwo może prowadzić do bardziej przejrzystego procesu weryfikacji narzędzi związanych z cyberbezpieczeństwem oraz do kierowanego przez społeczność procesu wykrywania podatności. Państwa członkowskie powinny zatem sprzyjać przyjęciu otwartego oprogramowania i otwartych standardów poprzez prowadzenie polityki związanej z wykorzystywaniem otwartych danych i otwartego oprogramowania jako elementu bezpieczeństwa dzięki przejrzystości. Polityka propagująca przyjęcie i zrównoważone wykorzystanie narzędzi z zakresu cyberbezpieczeństwa opartych na oprogramowaniu otwartym ma szczególne znaczenie dla małych i średnich przedsiębiorstw (MŚP) ponoszących znaczne koszty wdrożenia, które można by zminimalizować poprzez ograniczenie zapotrzebowania na konkretne aplikacje lub narzędzia.

    Poprawka  25

     

    Wniosek dotyczący dyrektywy

    Motyw 26 d (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (26d) Partnerstwa publiczno-prywatne (PPP) w dziedzinie cyberbezpieczeństwa mogą stanowić właściwe ramy dla wymiany wiedzy, dzielenia się najlepszymi praktykami oraz ustanowienia wspólnego poziomu porozumienia wśród wszystkich zainteresowanych stron. Państwa członkowskie powinny przyjąć polityki wspierające tworzenie PPP ukierunkowanych na działania w zakresie cyberbezpieczeństwa w ramach swoich krajowych strategii cyberbezpieczeństwa. W takich politykach należy sprecyzować m.in. zakres i zainteresowane strony, model zarządzania, dostępne warianty finansowania oraz interakcje między uczestniczącymi zainteresowanymi stronami. PPP mogą wykorzystywać wiedzę specjalistyczną podmiotów z sektora prywatnego, aby wspierać właściwe organy państw członkowskich w opracowywaniu najnowocześniejszych usług i procesów, w tym między innymi w zakresie wymiany informacji, wczesnego ostrzegania, ćwiczeń dotyczących cyberzagrożeń i cyberincydentów, zarządzania kryzysowego i planowania odporności.

    Poprawka  26

     

    Wniosek dotyczący dyrektywy

    Motyw 27

     

    Tekst proponowany przez Komisję

    Poprawka

    (27) Zgodnie z załącznikiem do zalecenia Komisji (UE) 2017/1548 w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę („plan”)20 incydent na dużą skalę powinien oznaczać incydent mający znaczący wpływ na co najmniej dwa państwa członkowskie lub taki, który powoduje na tyle duże zakłócenia, że dotknięte nimi państwo członkowskie nie jest samo w stanie na nie skutecznie zareagować. W zależności od przyczyny i wpływu incydenty na dużą skalę mogą przerodzić się w prawdziwy kryzys uniemożliwiający prawidłowe funkcjonowanie rynku wewnętrznego. Biorąc pod uwagę szeroki zakres oraz, w większości przypadków, transgraniczny charakter takich incydentów, państwa członkowskie i odpowiednie instytucje, organy i agencje Unii powinny współpracować na poziomie technicznym, operacyjnym i politycznym w celu odpowiedniej koordynacji reakcji w całej Unii.

    (27) Zgodnie z załącznikiem do zalecenia Komisji (UE) 2017/1548 w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę („plan”)20 incydent na dużą skalę powinien oznaczać incydent mający znaczący wpływ na co najmniej dwa państwa członkowskie lub taki, który powoduje na tyle duże zakłócenia, że dotknięte nimi państwo członkowskie nie jest samo w stanie na nie skutecznie zareagować. W zależności od przyczyny i wpływu incydenty na dużą skalę mogą przerodzić się w prawdziwy kryzys uniemożliwiający prawidłowe funkcjonowanie rynku wewnętrznego lub stanowiący poważne zagrożenie dla bezpieczeństwa publicznego i ryzyko dla bezpieczeństwa podmiotów lub obywateli w kilku państwach członkowskich lub w całej Unii. Biorąc pod uwagę szeroki zakres oraz, w większości przypadków, transgraniczny charakter takich incydentów, państwa członkowskie i odpowiednie instytucje, organy i agencje Unii powinny współpracować na poziomie technicznym, operacyjnym i politycznym w celu odpowiedniej koordynacji reakcji w całej Unii.

    __________________

    __________________

    20 Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36).

    20 Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36).

    Poprawka  27

     

    Wniosek dotyczący dyrektywy

    Motyw 27 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (27a) Państwa członkowskie powinny w krajowych strategiach cyberbezpieczeństwa uwzględnić szczególne potrzeby MŚP w zakresie cyberbezpieczeństwa. MŚP, które w kontekście Unii stanowią znaczny odsetek rynku przemysłu i biznesu, często mają trudności z dostosowaniem się do nowych praktyk biznesowych w coraz bardziej połączonym świecie i poruszaniem się w środowisku cyfrowym, w którym pracownicy pracują w domu, a działalność gospodarcza coraz częściej jest prowadzona online. Niektóre MŚP borykają się ze szczególnymi wyzwaniami w zakresie cyberbezpieczeństwa, takimi jak niska świadomość cyberbezpieczeństwa, brak zdalnych zabezpieczeń informatycznych, wysokie koszty rozwiązań w zakresie cyberbezpieczeństwa oraz zwiększony poziom zagrożeń, np. oprogramowanie typu ransomware, w związku z czym powinny otrzymać wskazówki i wsparcie. Państwa członkowskie powinny mieć pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa dla MŚP, który zapewniałby doradztwo i wsparcie dla MŚP lub kierowałby je do właściwych organów w celu uzyskania doradztwa i wsparcia w kwestiach związanych z cyberbezpieczeństwem. Państwa członkowskie zachęca się również, aby oferowały usługi takie jak konfiguracja strony internetowej i funkcje logowania małym przedsiębiorstwom i mikroprzedsiębiorstwom, które nie posiadają tych zdolności.

    Poprawka  28

     

    Wniosek dotyczący dyrektywy

    Motyw 27 b (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (27b) Państwa członkowskie powinny przyjąć strategie dotyczące promowania aktywnej cyberobrony w ramach swoich krajowych strategii cyberbezpieczeństwa. Aktywna cyberobrona polega na proaktywnym zapobieganiu naruszeniom bezpieczeństwa sieci, ich wykrywaniu, monitorowaniu, analizowaniu i ograniczaniu, w połączeniu z wykorzystaniem zdolności rozmieszczonych w sieci ofiary i poza tą siecią. Zdolność do szybkiego i automatycznego dzielenia się informacjami o zagrożeniach i analizami zagrożeń oraz rozumienia ich, a także zdolność do ostrzegania o aktywności w cyberprzestrzeni i reagowania na nią ma kluczowe znaczenie dla spójności wysiłków na rzecz skutecznego wykrywania ataków na sieci i systemy informacyjne, zapobiegania im i reagowania na nie. Aktywna cyberobrona opiera się na strategii obronnej, która wyklucza środki ofensywne przeciwko krytycznej infrastrukturze cywilnej.

    Poprawka  29

     

    Wniosek dotyczący dyrektywy

    Motyw 28

     

    Tekst proponowany przez Komisję

    Poprawka

    (28) Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia i szkody, ważnym czynnikiem w ograniczaniu ryzyka w cyberprzestrzeni jest szybkie identyfikowanie takich podatności i ich eliminowanie. Podmioty, które opracowują takie systemy, powinny zatem ustanowić odpowiednie procedury postępowania w przypadku wykrycia takich podatności. Ponieważ podatności często są wykrywane i zgłaszane (ujawniane) przez osoby trzecie (podmioty zgłaszające), producent lub dostawca produktów lub usług ICT również powinien wprowadzić niezbędne procedury regulujące odbieranie od osób trzecich informacji na temat podatności. W tym względzie normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29417 zawierają wytyczne dotyczące, odpowiednio, postępowania w przypadku wykrycia podatności i ujawniania podatności. Jeśli chodzi o ujawnianie podatności, szczególnie ważna jest koordynacja między podmiotami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT. Skoordynowane ujawnianie podatności to ustrukturyzowany proces, w ramach którego podatności są zgłaszane organizacjom w sposób umożliwiający organizacji zdiagnozowanie i wyeliminowanie danej podatności, zanim szczegółowe informacje dotyczące podatności zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Skoordynowane ujawnianie podatności powinno także obejmować koordynację między podmiotem zgłaszającym a organizacją w odniesieniu do terminarza eliminowania podatności i podania ich do wiadomości publicznej.

    (28) Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia i szkody, ważnym czynnikiem w ograniczaniu ryzyka w cyberprzestrzeni jest szybkie identyfikowanie takich podatności i ich eliminowanie. Podmioty, które opracowują takie systemy, powinny zatem ustanowić odpowiednie procedury postępowania w przypadku wykrycia takich podatności. Ponieważ podatności często są wykrywane i zgłaszane (ujawniane) przez osoby trzecie (podmioty zgłaszające), producent lub dostawca produktów lub usług ICT również powinien wprowadzić niezbędne procedury regulujące odbieranie od osób trzecich informacji na temat podatności. W tym względzie normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29417 zawierają wytyczne dotyczące, odpowiednio, postępowania w przypadku wykrycia podatności i ujawniania podatności. Wzmocnienie koordynacji między podmiotami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT ma szczególne znaczenie dla usprawnienia ram dobrowolnego ujawniania podatności. Skoordynowane ujawnianie podatności to ustrukturyzowany proces, w ramach którego podatności są zgłaszane organizacjom w sposób umożliwiający organizacji zdiagnozowanie i wyeliminowanie danej podatności, zanim szczegółowe informacje dotyczące podatności zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Skoordynowane ujawnianie podatności powinno także obejmować koordynację między podmiotem zgłaszającym a organizacją w odniesieniu do terminarza eliminowania podatności i podania ich do wiadomości publicznej.

    Poprawka  30

     

    Wniosek dotyczący dyrektywy

    Motyw 28 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (28a) Komisja, ENISA i państwa członkowskie powinny nadal wspierać międzynarodowe dostosowanie do norm i istniejących najlepszych praktyk branżowych w dziedzinie zarządzania ryzykiem, na przykład w obszarach oceny bezpieczeństwa łańcucha dostaw, wymiany informacji i ujawniania podatności.

    Poprawka  31

     

    Wniosek dotyczący dyrektywy

    Motyw 29

     

    Tekst proponowany przez Komisję

    Poprawka

    (29) W związku z tym państwa członkowskie powinny podjąć działania w celu ułatwienia skoordynowanego ujawniania podatności poprzez ustanowienie odpowiedniej polityki krajowej. W tym zakresie państwa członkowskie powinny wyznaczyć CSIRT do pełnienia roli „koordynatora”, występującego w razie potrzeby w charakterze pośrednika między podmiotami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT. Zadania CSIRT w charakterze koordynatora powinny w szczególności obejmować identyfikację zainteresowanych podmiotów i kontaktowanie się z nimi, wspieranie podmiotów zgłaszających, negocjowanie terminarza ujawniania oraz zarządzanie podatnościami, których skutki dotykają wielu organizacji (wielostronne ujawnianie podatności). W przypadku gdy podatności dotykają wielu producentów lub dostawców produktów lub usług ICT posiadających jednostkę organizacyjną w co najmniej dwóch państwach członkowskich, wyznaczone CSIRT z każdego państwa członkowskiego, w którym wykryto podatności, powinny współpracować ze sobą w ramach sieci CSIRT.

    (29) W związku z tym państwa członkowskie we współpracy z ENISA powinny podjąć działania w celu ułatwienia skoordynowanego ujawniania podatności poprzez ustanowienie odpowiedniej polityki krajowej. W tej polityce krajowej państwa członkowskie powinny zająć się problemami napotykanymi przez badaczy podatności. W niektórych państwach członkowskich podmiotom i osobom fizycznym badającym podatności grozi poniesienie odpowiedzialności karnej lub cywilnej. Zachęca się zatem państwa członkowskie do wydania wytycznych zalecających, aby badanie bezpieczeństwa informacji nie podlegało ściganiu i aby za takie działania nie pociągano do odpowiedzialności cywilnej.

    Poprawka  32

     

    Wniosek dotyczący dyrektywy

    Motyw 29 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (29a) Państwa członkowskie powinny wyznaczyć CSIRT do pełnienia roli „koordynatora”, występującego w razie potrzeby w charakterze pośrednika między podmiotami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT, na których podatność ta może mieć wpływ. Zadania CSIRT w charakterze koordynatora powinny w szczególności obejmować identyfikację zainteresowanych podmiotów i kontaktowanie się z nimi, wspieranie podmiotów zgłaszających, negocjowanie terminarza ujawniania oraz zarządzanie podatnościami, których skutki dotykają wielu organizacji (wielostronne ujawnianie podatności). W przypadku gdy podatności dotykają wielu producentów lub dostawców produktów lub usług ICT posiadających jednostkę organizacyjną w co najmniej dwóch państwach członkowskich, wyznaczone CSIRT z każdego państwa członkowskiego, w którym wykryto podatności, powinny współpracować ze sobą w ramach sieci CSIRT.

    Poprawka  33

     

    Wniosek dotyczący dyrektywy

    Motyw 30

     

    Tekst proponowany przez Komisję

    Poprawka

    (30) Dostęp do prawidłowych i terminowych informacji na temat podatności dotyczących produktów i usług ICT pozwala usprawnić zarządzanie ryzykiem w cyberprzestrzeni. W tym względzie ważnym narzędziem dla podmiotów i ich użytkowników, ale również dla właściwych organów krajowych i CSIRT są źródła publicznie dostępnych informacji na temat podatności. Z tego powodu ENISA powinna ustanowić rejestr podatności, w którym podmioty niezbędne i istotne oraz ich dostawcy, a także podmioty, które nie są objęte zakresem stosowania niniejszej dyrektywy, mogą na zasadzie dobrowolności ujawniać podatności i przekazywać informacje na temat podatności, dzięki którym użytkownicy mogą wprowadzać odpowiednie środki ograniczające ryzyko.

    (30) Dostęp do prawidłowych i terminowych informacji na temat podatności dotyczących produktów i usług ICT pozwala usprawnić zarządzanie ryzykiem w cyberprzestrzeni. Ważnym narzędziem dla podmiotów i ich użytkowników, ale również dla właściwych organów krajowych i CSIRT są źródła publicznie dostępnych informacji na temat podatności. Z tego powodu ENISA powinna ustanowić bazę danych dotyczących podatności, w której podmioty niezbędne i istotne oraz ich dostawcy, a także podmioty, które nie są objęte zakresem stosowania niniejszej dyrektywy, mogą na zasadzie dobrowolności ujawniać podatności i przekazywać informacje na temat podatności, dzięki którym użytkownicy mogą wprowadzać odpowiednie środki ograniczające ryzyko. Celem takiej bazy danych jest uwzględnienie wyjątkowych wyzwań, jakie ryzyko w cyberprzestrzeni stwarza dla podmiotów europejskich. Ponadto ENISA powinna ustanowić odpowiedzialną procedurę dotyczącą procesu publikacji, aby dać podmiotom czas na podjęcie środków łagodzących w odniesieniu do ich podatności, oraz stosować najnowocześniejsze środki w zakresie cyberbezpieczeństwa, a także zbiory danych nadających się do odczytu maszynowego i odpowiadające im interfejsy (API). Aby wspierać kulturę ujawniania podatności, ujawnianie powinno odbywać się bez szkody dla podmiotu zgłaszającego.

    Poprawka  34

     

    Wniosek dotyczący dyrektywy

    Motyw 31

     

    Tekst proponowany przez Komisję

    Poprawka

    (31) Choć istnieją podobne rejestry podatności lub bazy danych dotyczących podatności, są one prowadzone i utrzymywane przez podmioty, które nie mają siedziby w Unii. Europejski rejestr podatności utrzymywany przez ENISA zapewniłby lepszą przejrzystość w odniesieniu do procesu publikacji poprzedzającego oficjalne ujawnienie podatności, a także odporność w przypadku zakłóceń lub przerw w świadczeniu podobnych usług. Aby uniknąć powielania podejmowanych działań i dążyć do jak największej komplementarności, ENISA powinna zbadać możliwość zawarcia umów o współpracy strukturalnej z podobnymi rejestrami w jurysdykcjach państw trzecich.

    (31) Europejska baza danych dotyczących podatności prowadzona przez ENISA powinna wykorzystywać rejestr Wspólnych Podatności i Ekspozycji na Ryzyko (CVE), stosując jego ramy identyfikacji, śledzenia i punktowania podatności. Ponadto ENISA powinna zbadać możliwość zawarcia umów o współpracy strukturalnej z innymi podobnymi rejestrami lub bazami danych w jurysdykcjach państw trzecich, aby uniknąć powielania działań i dążyć do komplementarności.

    Poprawka  35

     

    Wniosek dotyczący dyrektywy

    Motyw 33

     

    Tekst proponowany przez Komisję

    Poprawka

    (33) Opracowując wytyczne, Grupa Współpracy powinna stale: ewidencjonować rozwiązania i doświadczenia krajowe, oceniać wpływ wyników prac Grupy Współpracy na podejścia krajowe, omawiać wyzwania w zakresie wdrażania i formułować konkretne zalecenia, które należy uwzględnić w ramach lepszego wdrażania istniejących przepisów.

    (33) Opracowując wytyczne, Grupa Współpracy powinna stale: ewidencjonować rozwiązania i doświadczenia krajowe, oceniać wpływ wyników prac Grupy Współpracy na podejścia krajowe, omawiać wyzwania w zakresie wdrażania i formułować konkretne zalecenia – w szczególności dotyczące łatwiejszego dostosowania transpozycji niniejszej dyrektywy w państwach członkowskich – które należy uwzględnić w ramach lepszego wdrażania istniejących przepisów. Grupa Współpracy powinna też prowadzić ewidencję rozwiązań krajowych, by promować kompatybilność rozwiązań w dziedzinie cyberbezpieczeństwa mających zastosowanie do każdego z poszczególnych sektorów w całej Unii. Jest to szczególnie istotne w sektorach o charakterze międzynarodowym i transgranicznym.

    Poprawka  36

     

    Wniosek dotyczący dyrektywy

    Motyw 34

     

    Tekst proponowany przez Komisję

    Poprawka

    (34) Grupa Współpracy powinna pozostać elastycznym forum i być w stanie reagować na zmieniające się i nowe priorytety i wyzwania polityczne, przy jednoczesnym uwzględnieniu dostępności zasobów. Powinna ona organizować regularne wspólne spotkania z odpowiednimi zainteresowanymi stronami z sektora prywatnego z całej Unii w celu omawiania działań realizowanych przez Grupę i gromadzenia informacji na temat pojawiających się wyzwań w zakresie polityki. Aby zacieśnić współpracę na szczeblu unijnym, Grupa powinna rozważyć zaproszenie organów i agencji unijnych zaangażowanych w kształtowanie polityki cyberbezpieczeństwa, takich jak Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3), Agencja Unii Europejskiej ds. Bezpieczeństwa Lotniczego (EASA) oraz Agencja Unii Europejskiej ds. Programu Kosmicznego, do uczestnictwa w pracach Grupy.

    (34) Grupa Współpracy powinna pozostać elastycznym forum i być w stanie reagować na zmieniające się i nowe priorytety i wyzwania polityczne, przy jednoczesnym uwzględnieniu dostępności zasobów. Powinna ona organizować regularne wspólne spotkania z odpowiednimi zainteresowanymi stronami z sektora prywatnego z całej Unii w celu omawiania działań realizowanych przez Grupę i gromadzenia informacji na temat pojawiających się wyzwań w zakresie polityki. Aby zacieśnić współpracę na szczeblu unijnym, Grupa powinna rozważyć zaproszenie właściwych organów i agencji unijnych zaangażowanych w kształtowanie polityki cyberbezpieczeństwa, takich jak Europol, Agencja Unii Europejskiej ds. Bezpieczeństwa Lotniczego (EASA) oraz Agencja Unii Europejskiej ds. Programu Kosmicznego (EUSPA), do uczestnictwa w pracach Grupy.

    Poprawka  37

     

    Wniosek dotyczący dyrektywy

    Motyw 35

     

    Tekst proponowany przez Komisję

    Poprawka

    (35) Właściwe organy i CSIRT powinny być upoważnione do uczestniczenia w programach wymiany dla urzędników z innych państw członkowskich w celu usprawnienia współpracy. Właściwe organy powinny podejmować działania niezbędne do zapewnienia urzędnikom z innych państw członkowskich możliwości efektywnego angażowania się w działalność przyjmującego właściwego organu.

    (35) Właściwe organy i CSIRT powinny być upoważnione do uczestniczenia w programach wymiany dla urzędników z innych państw członkowskich, w ramach ustrukturyzowanych zasad i mechanizmów określających zakres i, w stosownych przypadkach, wymagane poświadczenie bezpieczeństwa urzędników uczestniczących w takich programach wymiany, w celu usprawnienia współpracy i zwiększenia zaufania wśród państw członkowskich. Właściwe organy powinny podejmować działania niezbędne do zapewnienia urzędnikom z innych państw członkowskich możliwości efektywnego angażowania się w działalność przyjmującego właściwego organu lub CSIRT.

    Poprawka  38

     

    Wniosek dotyczący dyrektywy

    Motyw 36

     

    Tekst proponowany przez Komisję

    Poprawka

    (36) Unia powinna, w stosownych przypadkach, zawierać umowy międzynarodowe, zgodnie z art. 218 TFUE, z państwami trzecimi lub organizacjami międzynarodowymi, umożliwiając i organizując ich udział w niektórych działaniach Grupy Współpracy i sieci CSIRT. Umowy takie powinny zapewniać odpowiednią ochronę danych.

    (36) Unia powinna, w stosownych przypadkach, zawierać umowy międzynarodowe, zgodnie z art. 218 TFUE, z państwami trzecimi lub organizacjami międzynarodowymi, umożliwiając i organizując ich udział w niektórych działaniach Grupy Współpracy i sieci CSIRT. Umowy takie powinny zapewniać interesy Unii i odpowiednią ochronę danych. Nie wyklucza to prawa państw członkowskich do współpracy z podobnie myślącymi państwami trzecimi w zakresie zarządzania podatnościami i zarządzania ryzykiem w cyberprzestrzeni, ułatwiania sprawozdawczości i ogólnej wymiany informacji zgodnie z prawem Unii.

    Poprawka  39

     

    Wniosek dotyczący dyrektywy

    Motyw 38

     

    Tekst proponowany przez Komisję

    Poprawka

    (38) Na potrzeby niniejszej dyrektywy „ryzyko” powinno odnosić się do możliwych strat lub zakłóceń spowodowanych cyberincydentem i powinno być wyrażone jako wypadkowa skali takiej straty lub takich zakłóceń oraz prawdopodobieństwa wystąpienia takiego incydentu.

    skreśla się

    Poprawka  40

     

    Wniosek dotyczący dyrektywy

    Motyw 39

     

    Tekst proponowany przez Komisję

    Poprawka

    (39) Na potrzeby niniejszej dyrektywy termin „zdarzenie potencjalnie wypadkowe” powinien odnosić się do zdarzenia, które może spowodować szkodę, ale którego pełnemu wystąpieniu udało się skutecznie zapobiec.

    skreśla się

    Poprawka  41

     

    Wniosek dotyczący dyrektywy

    Motyw 40

     

    Tekst proponowany przez Komisję

    Poprawka

    (40) Środki w zakresie zarządzania ryzykiem powinny obejmować środki mające na celu identyfikację wszelkiego ryzyka wystąpienia incydentów, zapobieganie incydentom, wykrywanie ich i postępowanie z nimi, a także łagodzenie ich wpływu. Bezpieczeństwo sieci i systemów informatycznych powinno obejmować bezpieczeństwo danych przechowywanych, przekazywanych i przetwarzanych.

    (40) Środki w zakresie zarządzania ryzykiem powinny obejmować środki mające na celu identyfikację wszelkiego ryzyka wystąpienia incydentów, zapobieganie incydentom, wykrywanie ich, reagowanie na nie i przywracanie gotowości po nich, a także łagodzenie ich wpływu. Bezpieczeństwo sieci i systemów informatycznych powinno obejmować bezpieczeństwo danych przechowywanych, przekazywanych i przetwarzanych. W celu uzyskania pełnego obrazu bezpieczeństwa systemu informatycznego systemy te powinny zapewniać analizę systemową, z rozbiciem na poszczególne procesy i interakcje pomiędzy podsystemami i z uwzględnieniem czynnika ludzkiego.

    Poprawka  42

     

    Wniosek dotyczący dyrektywy

    Motyw 41

     

    Tekst proponowany przez Komisję

    Poprawka

    (41) Aby uniknąć nakładania nieproporcjonalnie dużych obciążeń finansowych i administracyjnych na podmioty niezbędne i istotne, wymogi w zakresie zarządzania ryzykiem w cyberprzestrzeni powinny być proporcjonalne do ryzyka, jakie stwarza dana sieć oraz dany system informatyczny, oraz powinny uwzględniać najnowszy stan wiedzy na temat takich środków.

    (41) Aby uniknąć nakładania nieproporcjonalnie dużych obciążeń finansowych i administracyjnych na podmioty niezbędne i istotne, wymogi w zakresie zarządzania ryzykiem w cyberprzestrzeni powinny być proporcjonalne do ryzyka, jakie stwarza dana sieć oraz dany system informatyczny, oraz powinny uwzględniać najnowszy stan wiedzy na temat takich środków, a także normy europejskie lub międzynarodowe, takie jak ISO31000 i ISA/IEC 27005.

    Poprawka  43

     

    Wniosek dotyczący dyrektywy

    Motyw 43

     

    Tekst proponowany przez Komisję

    Poprawka

    (43) Biorąc pod uwagę, jak często dochodzi do incydentów, w których podmioty padają ofiarami cyberataków i w których agresorzy byli w stanie złamać zabezpieczenia sieci i systemów informatycznych podmiotu dzięki wykorzystaniu podatności występujących w produktach i usługach osób trzecich, szczególnie istotne jest zaradzenie ryzykom w cyberprzestrzeni wynikającym z łańcucha dostaw podmiotu oraz jego powiązań z dostawcami. W związku z tym podmioty powinny oceniać i uwzględniać ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa swoich dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania.

    (43) Biorąc pod uwagę, jak często dochodzi do incydentów, w których podmioty padają ofiarami ataków na sieci i systemy informatyczne i w których agresorzy byli w stanie złamać zabezpieczenia sieci i systemów informatycznych podmiotu dzięki wykorzystaniu podatności występujących w produktach i usługach osób trzecich, szczególnie istotne jest zaradzenie ryzykom w cyberprzestrzeni wynikającym z łańcucha dostaw podmiotu oraz jego powiązań z dostawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych lub zarządzanych usług w zakresie bezpieczeństwa. W związku z tym podmioty powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług, wbudowanych w nie środków bezpieczeństwa i praktyk w zakresie cyberbezpieczeństwa swoich dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania. Podmioty należy w szczególności zachęcać do włączania środków w zakresie cyberbezpieczeństwa do ustaleń umownych z ich dostawcami i usługodawcami pierwszego poziomu. Podmioty mogłyby rozważyć ryzyka w cyberprzestrzeni wynikające z innych poziomów dostawców i usługodawców.

    Poprawka  44

     

    Wniosek dotyczący dyrektywy

    Motyw 44

     

    Tekst proponowany przez Komisję

    Poprawka

    (44) Wśród dostawców usług szczególnie ważną rolę we wspieraniu podmiotów w ich działaniach mających na celu wykrywanie incydentów i reagowanie na nie odgrywają dostawcy zarządzanych usług w zakresie bezpieczeństwa w obszarach takich jak reagowanie na incydenty, testy penetracyjne, audyty bezpieczeństwa i doradztwo. Tacy dostawcy zarządzanych usług z zakresu bezpieczeństwa również sami padali jednak ofiarami cyberataków, a ponieważ ich działalność jest ściśle zintegrowana z operacjami operatorów, stwarzają szczególne ryzyko w cyberprzestrzeni. W związku z tym przy wyborze dostawcy zarządzanych usług z zakresu bezpieczeństwa podmioty powinny dochować szczególnej staranności.

    (44) Wśród dostawców usług szczególnie ważną rolę we wspieraniu podmiotów w ich działaniach mających na celu zapobieganie incydentom, wykrywanie ich, reagowanie na nie i przywracanie gotowości po nich odgrywają dostawcy zarządzanych usług w zakresie bezpieczeństwa w obszarach takich jak reagowanie na incydenty, testy penetracyjne, audyty bezpieczeństwa i doradztwo. Tacy dostawcy zarządzanych usług z zakresu bezpieczeństwa również sami padali jednak ofiarami cyberataków, a ponieważ ich działalność jest ściśle zintegrowana z operacjami operatorów, stwarzają szczególne ryzyko w cyberprzestrzeni. W związku z tym przy wyborze dostawcy zarządzanych usług z zakresu bezpieczeństwa podmioty powinny dochować szczególnej staranności.

    Poprawka  45

     

    Wniosek dotyczący dyrektywy

    Motyw 45

     

    Tekst proponowany przez Komisję

    Poprawka

    (45) Podmioty powinny również ograniczać ryzyko w cyberprzestrzeni wynikające z ich interakcji i powiązań z innymi zainteresowanymi stronami w ramach szerszego ekosystemu. W szczególności podmioty powinny wprowadzać odpowiednie środki zapewniające, aby ich współpraca z instytucjami akademickimi i badawczymi przebiegała zgodnie z ich polityką cyberbezpieczeństwa i z uwzględnieniem dobrych praktyk dotyczących bezpiecznego dostępu do informacji i ich rozpowszechniania ogółem, a w szczególności ochrony własności intelektualnej. Podobnie biorąc pod uwagę znaczenie i wartość danych w kontekście działalności podmiotów, w przypadku korzystania z usług przekształcania danych i analizy danych oferowanych przez osoby trzecie podmioty powinny stosować wszelkie odpowiednie środki w zakresie cyberbezpieczeństwa.

    (45) Podmioty powinny również ograniczać ryzyko w cyberprzestrzeni wynikające z ich interakcji i powiązań z innymi zainteresowanymi stronami w ramach szerszego ekosystemu, w tym w celu przeciwdziałania szpiegostwu przemysłowemu i ochrony tajemnic handlowych. W szczególności podmioty powinny wprowadzać odpowiednie środki zapewniające, aby ich współpraca z instytucjami akademickimi i badawczymi przebiegała zgodnie z ich polityką cyberbezpieczeństwa i z uwzględnieniem dobrych praktyk dotyczących bezpiecznego dostępu do informacji i ich rozpowszechniania ogółem, a w szczególności ochrony własności intelektualnej. Podobnie biorąc pod uwagę znaczenie i wartość danych w kontekście działalności podmiotów, w przypadku korzystania z usług przekształcania danych i analizy danych oferowanych przez osoby trzecie podmioty powinny stosować wszelkie odpowiednie środki w zakresie cyberbezpieczeństwa.

    Poprawka  46

     

    Wniosek dotyczący dyrektywy

    Motyw 45 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (45a) Podmioty powinny przyjąć szeroki wachlarz podstawowych praktyk w zakresie higieny cyberbezpieczeństwa, takich jak architektura zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem lub świadomość użytkowników, oraz organizować szkolenia dla pracowników na temat cyberzagrożeń dla firmowych systemów poczty elektronicznej, wyłudzania informacji lub technik inżynierii społecznej. Ponadto podmioty powinny ocenić własne możliwości w zakresie cyberbezpieczeństwa i w stosownych przypadkach dążyć do integracji technologii zwiększających cyberbezpieczeństwo opartych na sztucznej inteligencji lub systemach uczenia się maszynowego w celu zautomatyzowania ich możliwości i ochrony architektury sieci.

    Poprawka  47

     

    Wniosek dotyczący dyrektywy

    Motyw 46

     

    Tekst proponowany przez Komisję

    Poprawka

    (46) Aby w większym stopniu ograniczyć kluczowe ryzyka w łańcuchu dostaw i wesprzeć podmioty działające w sektorach objętych niniejszą dyrektywą w odpowiednim zarządzaniu ryzykiem w cyberprzestrzeni związanym z łańcuchem dostaw i dostawcami, Grupa Współpracy przy udziale odpowiednich organów krajowych, we współpracy z Komisją i ENISA, powinna przeprowadzić skoordynowane sektorowe oceny ryzyka w łańcuchach dostaw, tak jak to miało już miejsce w przypadku sieci 5G w następstwie zalecenia (UE) 2019/534 w sprawie cyberbezpieczeństwa sieci 5G21, aby zidentyfikować w każdym sektorze krytyczne usługi, systemy lub produkty ICT, istotne zagrożenia i podatności.

    (46) Aby w większym stopniu ograniczyć kluczowe ryzyka w łańcuchu dostaw i wesprzeć podmioty działające w sektorach objętych niniejszą dyrektywą w odpowiednim zarządzaniu ryzykiem w cyberprzestrzeni związanym z łańcuchem dostaw i dostawcami, Grupa Współpracy przy udziale odpowiednich organów krajowych, we współpracy z Komisją i ENISA, powinna przeprowadzić skoordynowane oceny ryzyka w łańcuchach dostaw, tak jak to miało już miejsce w przypadku sieci 5G w następstwie zalecenia (UE) 2019/534 w sprawie cyberbezpieczeństwa sieci 5G21, aby zidentyfikować w każdym sektorze krytyczne usługi, systemy lub produkty ICT i ICS, istotne zagrożenia i podatności. W takich ocenach ryzyka należy określić środki, plany ograniczania ryzyka i najlepsze praktyki w odniesieniu do krytycznych zależności, potencjalnych pojedynczych punktów awarii, zagrożeń, podatności i innych rodzajów ryzyka związanych z łańcuchem dostaw, a także zbadać sposoby dalszego zachęcania podmiotów do ich szerszego stosowania. Potencjalne pozatechniczne czynniki ryzyka, takie jak nadmierny wpływ państwa trzeciego na dostawców i usługodawców, w szczególności w przypadku alternatywnych modeli zarządzania, obejmują ukryte podatności lub backdoory oraz potencjalne systemowe zakłócenia dostaw, w szczególności w przypadku blokady technologicznej lub zależności od dostawcy.

    __________________

    __________________

    21 Zalecenie Komisji (UE) 2019/534 z dnia 26 marca 2019 r. Cyberbezpieczeństwo sieci 5G (Dz.U. L 88 z 29.3.2019, s. 42).

    21 Zalecenie Komisji (UE) 2019/534 z dnia 26 marca 2019 r. Cyberbezpieczeństwo sieci 5G (Dz.U. L 88 z 29.3.2019, s. 42).

    Poprawka  48

     

    Wniosek dotyczący dyrektywy

    Motyw 47

     

    Tekst proponowany przez Komisję

    Poprawka

    (47) W świetle specyfiki danego sektora w ocenach ryzyka w łańcuchu dostaw należy uwzględnić zarówno czynniki techniczne, jak i – w stosownych przypadkach – pozatechniczne, w tym te określone w zaleceniu (UE) 2019/534, w unijnej skoordynowanej ocenie ryzyka w zakresie bezpieczeństwa sieci 5G oraz w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G uzgodnionym przez Grupę Współpracy. Aby zidentyfikować łańcuchy dostaw, które należy poddać skoordynowanej ocenie ryzyka, należy wziąć pod uwagę następujące kryteria: (i) zakres, w jakim podmioty niezbędne i istotne wykorzystują konkretne krytyczne usługi, systemy lub produkty ICT i na nich polegają; (ii) znaczenie konkretnych krytycznych usług, systemów lub produktów ICT dla wykonywania krytycznych lub wrażliwych funkcji, w tym przetwarzania danych osobowych; (iii) dostępność alternatywnych usług, systemów lub produktów ICT; (iv) odporność całego łańcucha dostaw usług, systemów lub produktów ICT na zdarzenia powodujące zakłócenia oraz (v) w przypadku pojawiających się usług, systemów lub produktów ICT – ich potencjalne przyszłe znaczenie dla działalności podmiotów.

    (47) W świetle specyfiki danego sektora w ocenach ryzyka w łańcuchu dostaw należy uwzględnić zarówno czynniki techniczne, jak i – w stosownych przypadkach – pozatechniczne, w tym te określone w zaleceniu (UE) 2019/534, w unijnej skoordynowanej ocenie ryzyka w zakresie bezpieczeństwa sieci 5G oraz w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G uzgodnionym przez Grupę Współpracy. Aby zidentyfikować łańcuchy dostaw, które należy poddać skoordynowanej ocenie ryzyka, należy wziąć pod uwagę następujące kryteria: (i) zakres, w jakim podmioty niezbędne i istotne wykorzystują konkretne krytyczne usługi, systemy lub produkty ICT i na nich polegają; (ii) znaczenie konkretnych krytycznych usług, systemów lub produktów ICT dla wykonywania krytycznych lub wrażliwych funkcji, w tym przetwarzania danych osobowych; (iii) dostępność alternatywnych usług, systemów lub produktów ICT; (iv) odporność w ciągu całego cyklu życia całego łańcucha dostaw usług, systemów lub produktów ICT na zdarzenia powodujące zakłócenia oraz (v) w przypadku pojawiających się usług, systemów lub produktów ICT – ich potencjalne przyszłe znaczenie dla działalności podmiotów. Ponadto szczególny nacisk należy położyć na usługi, systemy lub produkty ICT, podlegające szczególnym wymogom, pochodzące z państw trzecich.

    Poprawka  49

     

    Wniosek dotyczący dyrektywy

    Motyw 47 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (47a) Grupa Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa ustanowiona na podstawie art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/8811a powinna wydawać opinię na temat ocen ryzyka dla bezpieczeństwa określonych krytycznych usług, systemów lub łańcuchów dostaw produktów ICT i ICS. Grupa Współpracy i ENISA powinny uwzględniać tę opinię.

     

    __________________

     

    1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).

    Poprawka  50

     

    Wniosek dotyczący dyrektywy

    Motyw 50

     

    Tekst proponowany przez Komisję

    Poprawka

    (50) Ze względu na rosnące znaczenie usług interpersonalnej łączności niewykorzystujących numerów należy zapewnić, aby usługi te podlegały również odpowiednim wymogom w zakresie bezpieczeństwa z uwagi na ich szczególny charakter i istotną rolę w gospodarce. Dostawcy takich usług powinni zatem również zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do stwarzanego ryzyka. Ze względu na to, że dostawcy usług interpersonalnej łączności niewykorzystujących numerów zazwyczaj nie sprawują rzeczywistej kontroli nad transmisją sygnałów w sieciach, stopień ryzyka w przypadku takich usług można uznać za niższy pod pewnymi względami niż w przypadku tradycyjnych usług łączności elektronicznej. To samo ma zastosowanie do dostawców usług interpersonalnej łączności wykorzystujących numery, którzy nie sprawują rzeczywistej kontroli nad transmisją sygnałów.

    (50) Ze względu na rosnące znaczenie usług interpersonalnej łączności niewykorzystujących numerów należy zapewnić, aby usługi te podlegały również odpowiednim wymogom w zakresie bezpieczeństwa z uwagi na ich szczególny charakter i istotną rolę w gospodarce. Dostawcy takich usług powinni zatem również zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do stwarzanego ryzyka. Ze względu na to, że dostawcy usług interpersonalnej łączności niewykorzystujących numerów zazwyczaj nie sprawują rzeczywistej kontroli nad transmisją sygnałów w sieciach, stopień ryzyka dla bezpieczeństwa sieci w przypadku takich usług można uznać za niższy pod pewnymi względami niż w przypadku tradycyjnych usług łączności elektronicznej. To samo ma zastosowanie do dostawców usług interpersonalnej łączności wykorzystujących numery, którzy nie sprawują rzeczywistej kontroli nad transmisją sygnałów. Ponieważ jednak powierzchnia ataku stale się rozszerza, usługi interpersonalnej łączności niewykorzystujące numerów, w tym między innymi komunikatory mediów społecznościowych, stają się popularnymi wektorami ataku. Złośliwe podmioty wykorzystują platformy do komunikacji i nakłaniania ofiar do otwierania stron internetowych stanowiących zagrożenie, co zwiększa prawdopodobieństwo incydentów związanych z wykorzystaniem danych osobowych, a tym samym naruszających bezpieczeństwo systemów informatycznych.

    Poprawka  51

     

    Wniosek dotyczący dyrektywy

    Motyw 51

     

    Tekst proponowany przez Komisję

    Poprawka

    (51) Rynek wewnętrzny jest bardziej niż kiedykolwiek uzależniony od funkcjonowania internetu. Usługi niemal wszystkich podmiotów niezbędnych i istotnych zależą od usług świadczonych przez internet. Aby zapewnić sprawne świadczenie usług przez podmioty niezbędne i istotne, publiczne sieci łączności elektronicznej, jak na przykład internetowe sieci szkieletowe czy podmorskie kable telekomunikacyjne, powinny wprowadzić odpowiednie środki w zakresie cyberbezpieczeństwa i zgłaszać incydenty w tym zakresie.

    (51) Rynek wewnętrzny jest bardziej niż kiedykolwiek uzależniony od funkcjonowania internetu. Usługi niemal wszystkich podmiotów niezbędnych i istotnych zależą od usług świadczonych przez internet. Aby zapewnić sprawne świadczenie usług przez podmioty niezbędne i istotne, publiczne sieci łączności elektronicznej, jak na przykład wszystkie internetowe sieci szkieletowe czy podmorskie kable telekomunikacyjne, powinny wprowadzić odpowiednie środki w zakresie cyberbezpieczeństwa i zgłaszać znaczące incydenty w tym zakresie. Państwa członkowskie powinny dbać o utrzymanie integralności i dostępności tych publicznych sieci łączności elektronicznej oraz powinny rozważyć ich ochronę przed sabotażem i szpiegostwem o istotnym znaczeniu dla bezpieczeństwa. Państwa członkowskie powinny aktywnie dzielić się między sobą informacjami na temat incydentów, na przykład dotyczących podmorskich kabli komunikacyjnych.

    Poprawka  52

     

    Wniosek dotyczący dyrektywy

    Motyw 52

     

    Tekst proponowany przez Komisję

    Poprawka

    (52) W stosownych przypadkach podmioty powinny informować odbiorców swoich usług o szczególnych i istotnych zagrożeniach oraz o środkach, które odbiorcy ci mogą zastosować w celu ograniczenia wynikłego ryzyka, na jakie są sami narażeni. Wymóg informowania tych odbiorców o takich zagrożeniach nie powinien zwalniać podmiotu z obowiązku zastosowania na własny koszt odpowiednich i natychmiastowych środków w celu zapobieżenia lub zaradzenia wszelkim cyberzagrożeniom oraz przywrócenia normalnego poziomu bezpieczeństwa danej usługi. Udzielanie odbiorcom takich informacji na temat zagrożeń bezpieczeństwa powinno odbywać się bezpłatnie.

    (52) W stosownych przypadkach podmioty powinny informować odbiorców swoich usług o szczególnych i istotnych zagrożeniach oraz o środkach, które odbiorcy ci mogą zastosować w celu ograniczenia wynikłego ryzyka, na jakie są sami narażeni. Nie powinno to zwalniać podmiotu z obowiązku zastosowania na własny koszt odpowiednich i natychmiastowych środków w celu zapobieżenia lub zaradzenia wszelkim cyberzagrożeniom oraz przywrócenia normalnego poziomu bezpieczeństwa danej usługi. Udzielanie odbiorcom takich informacji na temat zagrożeń bezpieczeństwa powinno odbywać się bezpłatnie, a informacje powinny być sporządzone w przystępnym języku.

    Poprawka  53

     

    Wniosek dotyczący dyrektywy

    Motyw 53

     

    Tekst proponowany przez Komisję

    Poprawka

    (53) W szczególności dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej powinni informować odbiorców usługi o szczególnych i istotnych cyberzagrożeniach oraz o środkach, które mogą zastosować w celu ochrony bezpieczeństwa swoich środków łączności, na przykład przez zastosowanie szczególnych rodzajów oprogramowania lub technologii szyfrowania.

    (53) Dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej powinni wprowadzić ochronę w fazie projektowania i domyślną ochronę danych oraz informować odbiorców usługi o szczególnych i istotnych cyberzagrożeniach oraz o środkach, które mogą zastosować w celu ochrony bezpieczeństwa swoich urządzeń i środków łączności, na przykład przez zastosowanie szczególnych rodzajów oprogramowania do szyfrowania lub innych technologii bezpieczeństwa skoncentrowanych na danych.

    Poprawka  54

     

    Wniosek dotyczący dyrektywy

    Motyw 54

     

    Tekst proponowany przez Komisję

    Poprawka

    (54) Aby zagwarantować bezpieczeństwo sieci i usług łączności elektronicznej, należy promować korzystanie z szyfrowania, w szczególności szyfrowania end-to-end, a w razie konieczności uczynić je obowiązkowym dla dostawców takich usług i sieci zgodnie z zasadą uwzględniania bezpieczeństwa i prywatności w sposób domyślny i na etapie projektowania do celów art. 18. Korzystanie z szyfrowania end-to-end należy pogodzić z uprawnieniami państw członkowskich w zakresie zapewnienia ochrony ich podstawowych interesów bezpieczeństwa i bezpieczeństwa publicznego, a także w zakresie umożliwiania wykrywania i ścigania przestępstw oraz prowadzenia dochodzeń w ich sprawie zgodnie z prawem Unii. Rozwiązania zapewniające zgodny z prawem dostęp do informacji przesyłanych z wykorzystaniem transmisji szyfrowanej end-to-end powinny gwarantować zachowanie skuteczności szyfrowania pod względem ochrony prywatności i bezpieczeństwa łączności, zapewniając jednocześnie możliwość skutecznego reagowania na przestępstwa.

    (54) Aby zagwarantować bezpieczeństwo sieci i usług łączności elektronicznej, należy promować korzystanie z szyfrowania i innych technologii bezpieczeństwa skoncentrowanych na danych, takich jak tokenizacja, segmentacja, ograniczanie przepustowości, znakowanie, tagowanie, silne zarządzanie tożsamością i dostępem oraz automatyczne decyzje o dostępie, a w razie konieczności uczynić je obowiązkowymi dla dostawców takich usług i sieci zgodnie z zasadą uwzględniania bezpieczeństwa i prywatności w sposób domyślny i na etapie projektowania do celów art. 18. Korzystanie z szyfrowania end-to-end należy pogodzić z uprawnieniami państw członkowskich w zakresie zapewnienia ochrony ich podstawowych interesów bezpieczeństwa i bezpieczeństwa publicznego, a także w zakresie umożliwiania wykrywania i ścigania przestępstw oraz prowadzenia dochodzeń w ich sprawie zgodnie z prawem Unii. Nie powinno to jednak prowadzić do jakichkolwiek działań zmierzających do osłabienia szyfrowania end-to-end, które jest kluczową technologią dla skutecznej ochrony danych i prywatności.

    Poprawka  55

     

    Wniosek dotyczący dyrektywy

    Motyw 54 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (54a) W celu zagwarantowania bezpieczeństwa oraz przeciwdziałania nadużyciom i manipulacjom w sieciach i usługach łączności elektronicznej należy promować stosowanie interoperacyjnych bezpiecznych standardów routingu, aby zapewnić integralność i odporność funkcji routingu w całym ekosystemie dostawców internetu.

    Poprawka  56

     

    Wniosek dotyczący dyrektywy

    Motyw 54 b (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (54b) W celu zapewnienia funkcjonalności i integralności internetu oraz ograniczenia problemów związanych z bezpieczeństwem, jeśli chodzi o DNS, należy zachęcać odpowiednie zainteresowane strony, w tym przedsiębiorstwa unijne, dostawców usług internetowych i przeglądarek, do przyjęcia strategii dywersyfikacji rozwiązywania nazw DNS. Państwa członkowskie powinny również sprzyjać rozwijaniu i korzystaniu z publicznej i bezpiecznej europejskiej usługi resolwera DNS.

    Poprawka  57

     

    Wniosek dotyczący dyrektywy

    Motyw 55

     

    Tekst proponowany przez Komisję

    Poprawka

    (55) W niniejszej dyrektywie określono dwuetapowe podejście do zgłaszania incydentów w celu zapewnienia odpowiedniej równowagi między szybkim zgłaszaniem, co pomoże zahamować potencjalne rozprzestrzenianie się incydentów i pozwoli podmiotom zwrócić się o wsparcie, a szczegółowym zgłaszaniem, co umożliwi wyciągnięcie cennych wniosków z poszczególnych incydentów i z czasem przyczyni się do zwiększenia odporności poszczególnych przedsiębiorstw i całych sektorów na cyberzagrożenia. W przypadku gdy podmioty powezmą wiedzę o incydencie, powinny mieć obowiązek dokonania wstępnego zgłoszenia w ciągu 24 godzin, a następnie przedłożenia – w terminie nie dłuższym niż miesiąc – sprawozdania końcowego. Wstępne zgłoszenie powinno zawierać jedynie informacje absolutnie niezbędne do tego, by poinformować właściwe organy o wystąpieniu incydentu i umożliwić podmiotowi zwrócenie się o wsparcie, jeśli zachodzi taka potrzeba. W stosownych przypadkach w takim zgłoszeniu należy wskazać, czy, jak przypuszcza się, incydent został wywołany działaniem bezprawnym lub działaniem w złym zamiarze. Państwa członkowskie powinny zapewnić, aby wymóg dokonania wstępnego zgłoszenia nie powodował przekierowania zasobów podmiotu zgłaszającego z działań podejmowanych w reakcji na incydent, które to działania powinny mieć charakter priorytetowy. Aby dodatkowo zapobiec sytuacji, w której obowiązki w zakresie zgłaszania incydentów ograniczą zdolność podmiotu do podjęcia reakcji na incydent albo w inny sposób osłabią działania podmiotu w tym zakresie, państwa członkowskie powinny również przewidzieć – w należycie uzasadnionych przypadkach i w porozumieniu z właściwymi organami lub CSIRT – możliwość odstąpienia w przypadku danego podmiotu od terminu 24 godzin na dokonanie wstępnego zgłoszenia i terminu jednego miesiąca na przedłożenie sprawozdania końcowego.

    (55) W niniejszej dyrektywie określono dwuetapowe podejście do zgłaszania incydentów w celu zapewnienia odpowiedniej równowagi między szybkim zgłaszaniem, co pomoże zahamować potencjalne rozprzestrzenianie się incydentów i pozwoli podmiotom zwrócić się o wsparcie, a szczegółowym zgłaszaniem, co umożliwi wyciągnięcie cennych wniosków z poszczególnych incydentów i z czasem przyczyni się do zwiększenia odporności poszczególnych przedsiębiorstw i całych sektorów na cyberzagrożenia. W przypadku gdy podmioty powezmą wiedzę o incydencie, powinny mieć obowiązek dokonania wstępnego zgłoszenia, a następnie przedłożenia – w terminie nie dłuższym niż miesiąc od złożenia wstępnego zgłoszenia wyczerpującego sprawozdania. Termin wstępnego zgłoszenia incydentu nie powinien uniemożliwiać podmiotom wcześniejszego zgłaszania incydentów, umożliwiając im w ten sposób szybkie zwrócenie się o wsparcie do CSIRT oraz umożliwiając ograniczenie potencjalnego rozprzestrzeniania się zgłoszonego incydentu. CSIRT mogą zwrócić się o sprawozdanie okresowe dotyczące istotnych aktualizacji statusu, uwzględniając przy tym wysiłki podmiotu zgłaszającego w zakresie reagowania na incydenty i usuwania skutków.

    Poprawka  58

     

    Wniosek dotyczący dyrektywy

    Motyw 55 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (55a) Znaczący incydent może mieć wpływ na poufność, integralność lub dostępność usługi. Podmioty niezbędne i istotne powinny powiadamiać CSIRT o znaczących incydentach, które mają wpływ na dostępność ich usługi w ciągu 24 godzin od powzięcia wiedzy o incydencie. Powinny one powiadamiać CIRT o znaczących incydentach, które naruszają poufność i integralność ich usług, w ciągu 72 godzin od powzięcia wiedzy o incydencie. Rozróżnienie między rodzajami incydentów nie opiera się na powadze incydentu, ale na trudności podmiotu zgłaszającego w ocenie incydentu, jego znaczenia i możliwości zgłoszenia informacji, które mogą być przydatne dla CSIRT. Wstępne zgłoszenie powinno zawierać informacje niezbędne do tego, by poinformować CSIRT o wystąpieniu incydentu i umożliwić podmiotowi zwrócenie się o wsparcie, jeśli zachodzi taka potrzeba. Państwa członkowskie powinny zapewnić, aby wymóg dokonania wstępnego zgłoszenia nie powodował przekierowania zasobów podmiotu zgłaszającego z działań podejmowanych w reakcji na incydent, które to działania powinny mieć charakter priorytetowy. Aby dodatkowo zapobiec sytuacji, w której obowiązki w zakresie zgłaszania incydentów ograniczą zdolność podmiotu do podjęcia reakcji na incydent albo w inny sposób osłabią działania podmiotu w tym zakresie, państwa członkowskie powinny również przewidzieć – w należycie uzasadnionych przypadkach i w porozumieniu z CSIRT – możliwość odstąpienia w przypadku danego podmiotu od terminów na dokonanie wstępnego zgłoszenia i na przedłożenie kompleksowego sprawozdania.

    Poprawka  59

     

    Wniosek dotyczący dyrektywy

    Motyw 59

     

    Tekst proponowany przez Komisję

    Poprawka

    (59) Prowadzenie prawidłowych i kompletnych baz danych zawierających nazwy domen i dane rejestracyjne („dane WHOIS”) oraz zapewnienie zgodnego z prawem dostępu do takich danych jest niezbędne do zapewnienia bezpieczeństwa, stabilności i odporności systemu nazw domen (DNS), co z kolei przyczynia się do wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. Gdy przetwarzanie dotyczy danych osobowych, powinno być ono zgodne z unijnymi przepisami o ochronie danych.

    (59) Prowadzenie prawidłowych, zweryfikowanych i kompletnych baz danych zawierających dane rejestracyjne nazw domen („dane WHOIS”) jest niezbędne do zapewnienia bezpieczeństwa, stabilności i odporności systemu nazw domen (DNS), co z kolei przyczynia się do wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii i do zwalczania nielegalnej działalności. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny zatem być zobowiązane do gromadzenia danych dotyczących rejestracji nazw domen, które powinny obejmować co najmniej nazwę rejestrujących, ich adres fizyczny i elektroniczny oraz ich numer telefonu. W praktyce zgromadzone dane mogą nie zawsze być w pełni dokładne, jednakże rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny przyjąć i wdrożyć proporcjonalne procesy w celu sprawdzenia, czy osoby fizyczne lub prawne wnoszące o nazwę domeny lub będące jej właścicielami podały szczegóły kontaktowe, pod którymi można się z nimi skontaktować i oczekuje się od nich odpowiedzi. Przy zastosowaniu podejścia opartego na „najlepszych staraniach” te procesy weryfikacji powinny odzwierciedlać obecne najlepsze praktyki stosowane w branży. Te najlepsze praktyki w procesie weryfikacji powinny odzwierciedlać postęp, jaki dokonuje się w procesie identyfikacji elektronicznej. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny udostępnić publicznie swoją politykę i procedury w celu zapewnienia integralności i dostępności danych dotyczących rejestracji nazw domen. Gdy przetwarzanie dotyczy danych osobowych, powinno być ono zgodne z unijnymi przepisami o ochronie danych.

    Poprawka  60

     

    Wniosek dotyczący dyrektywy

    Motyw 60

     

    Tekst proponowany przez Komisję

    Poprawka

    (60) Dostępność tych danych dla organów publicznych, w tym dla organów właściwych na mocy prawa Unii i prawa krajowego do spraw prewencji i ścigania przestępstw oraz prowadzenia dochodzeń w ich sprawie, zespołów CERT, sieci CSIRT oraz –zakresie,jakim dotyczy to danych ich klientów – dostawców sieciusług łączności elektronicznej oraz dostawców technologiiusług z zakresu cyberbezpieczeństwa działających w imieniu tych klientów, a także możliwość uzyskania szybkiego dostępu do tych danych przez wymienione podmioty jest niezbędna do przeciwdziałania nadużyciom systemu nazw domen oraz zwalczania takich nadużyć, w szczególności do przeciwdziałania cyberincydentom, wykrywania ich oraz reagowania na nie. Taki dostęp powinien być zgodny z unijnymi przepisami o ochronie danych w zakresie, w jakim dotyczy on danych osobowych.

    (60) Dostępność danych rejestracyjnych nazw domen i możliwość uzyskania szybkiego dostępu do tych danych przez prawowite podmioty ubiegające się o dostęp ma zasadnicze znaczenie dla celów cyberbezpieczeństwa i zwalczania nielegalnej działalności w ekosystemie internetowym. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny być zatem zobowiązane do umożliwienia wnioskodawcom ubiegającym się o prawnie uzasadniony dostęp uzyskanie takiego dostępu do konkretnych danych dotyczących rejestracji nazw domen, włącznie z danymi osobowymi, zgodnie z unijnymi przepisami o ochronie danych. Uprawnione podmioty ubiegające się o dostęp powinny złożyć należycie uzasadniony wniosek o dostęp do danych rejestracyjnych nazw domen na podstawie prawa unijnego lub krajowego i mogłyby obejmować organy właściwe na mocy prawa Unii i prawa krajowego do spraw prewencji i ścigania przestępstw oraz prowadzenia dochodzeń w ich sprawie, a także krajowych zespołów CERT lub sieci CSIRT. Państwa członkowskie powinny zapewniać, aby rejestry TLD i podmioty świadczące usługi rejestracji nazw domen odpowiadały bez zbędnej zwłoki, a w każdym przypadku w ciągu 72 godzin, na wnioski wnioskodawców ubiegających się o prawnie uzasadniony dostęp o ujawnienie danych dotyczących rejestracji nazw domen. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny ustanowić polityki i procedury na potrzeby publikacji i ujawniania danych rejestracyjnych, w tym umowy o gwarantowanym poziomie usług regulujące rozpatrywanie wniosków o dostęp składanych przez wnioskodawców ubiegających się o prawnie uzasadniony dostęp. Procedura uzyskiwania dostępu może również obejmować wykorzystanie interfejsu, portalu lub innych narzędzi technicznych w celu zapewnienia skutecznego systemu umożliwiającego składanie wniosków o dostęp do danych rejestracyjnych i uzyskiwanie do nich dostępu. W celu promowania zharmonizowanych praktyk na całym rynku wewnętrznym Komisja może przyjąć wytyczne dotyczące takich procedur bez uszczerbku dla kompetencji Europejskiej Rady Ochrony Danych.

    Poprawka  61

    Wniosek dotyczący dyrektywy

    Motyw 61

     

    Tekst proponowany przez Komisję

    Poprawka

    (61) W celu zapewnienia dostępności prawidłowych i kompletnych danych dotyczących rejestracji nazw domen rejestry TLD i podmioty świadczące usługi rejestracji nazw domen dla TLD (tzw. rejestratorzy) powinny gromadzić dane dotyczące rejestracji nazw domen oraz zapewniać ich integralność i dostępność. W szczególności rejestry TLD i podmioty świadczące usługi rejestracji nazw domen dla TLD powinny ustanowić polityki i procedury na potrzeby gromadzenia i utrzymywania prawidłowych i kompletnych danych rejestracyjnych, a także przeciwdziałać powstawaniu nieprawidłowych danych rejestracyjnych i poprawiać je zgodnie z unijnymi przepisami o ochronie danych.

    skreśla się

    Poprawka  62

     

    Wniosek dotyczący dyrektywy

    Motyw 62

     

    Tekst proponowany przez Komisję

    Poprawka

    (62) Rejestry TLD i podmioty świadczące dla nich usługi rejestracji nazw domen powinny podawać do wiadomości publicznej dane dotyczące rejestracji nazw domen nieobjęte zakresem stosowania unijnych przepisów o ochronie danych, takie jak dane dotyczące osób prawnych25. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen dla TLD powinny ponadto umożliwiać wnioskodawcom ubiegającym się o prawnie uzasadniony dostęp uzyskanie takiego dostępu do konkretnych danych dotyczących rejestracji nazw domen, odnoszących się do osób fizycznych, zgodnie z unijnymi przepisami o ochronie danych. Państwa członkowskie powinny zapewniać, aby rejestry TLD i podmioty świadczące dla nich usługi rejestracji nazw domen odpowiadały bez zbędnej zwłoki na wnioski wnioskodawców ubiegających się o prawnie uzasadniony dostęp o ujawnienie danych dotyczących rejestracji nazw domen. Rejestry TLD i podmioty świadczące dla nich usługi rejestracji nazw domen powinny ustanowić polityki i procedury na potrzeby publikacji i ujawniania danych rejestracyjnych, w tym umowy o gwarantowanym poziomie usług regulujące rozpatrywanie wniosków o dostęp składanych przez wnioskodawców ubiegających się o prawnie uzasadniony dostęp. Procedura uzyskiwania dostępu może również obejmować wykorzystanie interfejsu, portalu lub innego narzędzia technicznego w celu zapewnienia skutecznego systemu umożliwiającego składanie wniosków o dostęp do danych rejestracyjnych i uzyskiwanie do nich dostępu. W celu promowania zharmonizowanych praktyk na całym rynku wewnętrznym Komisja może przyjąć wytyczne dotyczące takich procedur bez uszczerbku dla kompetencji Europejskiej Rady Ochrony Danych.

    (62) Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny być zobowiązane do podawania do wiadomości publicznej danych dotyczących rejestracji nazw domen, które nie zawierają danych osobowych. Należy dokonywać rozróżnienia między osobami fizycznymi i prawnymi25. W przypadku osób prawnych rejestry TLD i podmioty powinny podawać do wiadomości publicznej co najmniej imię i nazwisko rejestrujących, ich adres fizyczny i elektroniczny, a także ich numer telefonu. Osoba prawna powinna być zobowiązana do podania ogólnego adresu elektronicznego, który można podać do wiadomości publicznej, albo do wyrażenia zgody na publikację osobistego adresu elektronicznego. Osoba prawna powinna być w stanie wykazać taką zgodę na wniosek rejestrów TLD i podmiotów świadczących usługi rejestracji nazw domen.

    __________________

    __________________

    25 Motyw 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, zgodnie z którym „[n]iniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”.

    25 Motyw 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, zgodnie z którym „[n]iniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”.

    Poprawka  63

     

    Wniosek dotyczący dyrektywy

    Motyw 63

     

    Tekst proponowany przez Komisję

    Poprawka

    (63) Wszystkie podmioty niezbędne i istotne, o których mowa w niniejszej dyrektywie, powinny podlegać jurysdykcji państwa członkowskiego, w którym świadczą usługi. Jeżeli podmiot świadczy usługi w więcej niż jednym państwie członkowskim, powinien podlegać odrębnej i równoczesnej jurysdykcji każdego z tych państw członkowskich. Właściwe organy tych państw członkowskich powinny ze sobą współpracować, zapewniać sobie wzajemną pomoc oraz, w stosownych przypadkach, prowadzić wspólne działania nadzorcze.

    (63) Wszystkie podmioty niezbędne i istotne, o których mowa w niniejszej dyrektywie, powinny podlegać jurysdykcji państwa członkowskiego, w którym świadczą usługi lub prowadzą działalność. Jeżeli podmiot świadczy usługi w więcej niż jednym państwie członkowskim, powinien podlegać odrębnej i równoczesnej jurysdykcji każdego z tych państw członkowskich. Właściwe organy tych państw członkowskich powinny ze sobą współpracować, zapewniać sobie wzajemną pomoc oraz, w stosownych przypadkach, prowadzić wspólne działania nadzorcze.

    Poprawka  64

     

    Wniosek dotyczący dyrektywy

    Motyw 64

     

    Tekst proponowany przez Komisję

    Poprawka

    (64) Aby uwzględnić transgraniczny charakter usług i działalności dostawców usług DNS, rejestrów nazw TLD, dostawców sieci dostarczania treści, dostawców usług w chmurze, dostawców usług ośrodka przetwarzania danych oraz dostawców usług cyfrowych, takie podmioty powinny podlegać jurysdykcji wyłącznie jednego państwa członkowskiego. Jurysdykcja powinna przynależeć państwu członkowskiemu, w którym dany podmiot ma główną jednostkę organizacyjną w Unii. Kryterium jednostki organizacyjnej do celów niniejszej dyrektywy oznacza faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy podmiot zależny posiadający osobowość prawną, nie jest w tym względzie czynnikiem decydującym. Spełnienie tego kryterium nie powinno zależeć od tego, czy sieci i systemy informatyczne są fizycznie zlokalizowane w danym miejscu; fizyczne położenie i wykorzystanie takich systemów nie stanowią same w sobie takiej głównej jednostki organizacyjnej i nie są zatem przesądzającymi kryteriami pozwalającymi ustalić główną jednostkę organizacyjną. Za główną jednostkę organizacyjną należy uznać miejsce, w którym podejmuje się w Unii decyzje związane ze środkami zarządzania ryzykiem w cyberprzestrzeni. Będzie ono zazwyczaj odpowiadać miejscu centralnej administracji przedsiębiorstw w Unii. Jeżeli takich decyzji nie podejmuje się w Unii, należy uznać, że główna jednostka organizacyjna znajduje się w państwach członkowskich, w których dany podmiot ma jednostkę organizacyjną o największej liczbie pracowników w Unii. Jeżeli usługi świadczy grupa przedsiębiorstw, za główną jednostkę organizacyjną grupy przedsiębiorstw należy uznać główną jednostkę organizacyjną przedsiębiorstwa sprawującego kontrolę.

    (64) Aby uwzględnić transgraniczny charakter usług i działalności dostawców usług DNS, rejestrów nazw TLD, dostawców sieci dostarczania treści, dostawców usług w chmurze, dostawców usług ośrodka przetwarzania danych oraz dostawców usług cyfrowych, takie podmioty powinny podlegać jurysdykcji wyłącznie jednego państwa członkowskiego. Jurysdykcja powinna przynależeć państwu członkowskiemu, w którym dany podmiot ma główną jednostkę organizacyjną w Unii. Kryterium jednostki organizacyjnej do celów niniejszej dyrektywy oznacza faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy podmiot zależny posiadający osobowość prawną, nie jest w tym względzie czynnikiem decydującym. Spełnienie tego kryterium nie powinno zależeć od tego, czy sieci i systemy informatyczne są fizycznie zlokalizowane w danym miejscu; fizyczne położenie i wykorzystanie takich systemów nie stanowią same w sobie takiej głównej jednostki organizacyjnej i nie są zatem przesądzającymi kryteriami pozwalającymi ustalić główną jednostkę organizacyjną. Za główną jednostkę organizacyjną należy uznać miejsce, w którym podejmuje się w Unii decyzje związane ze środkami zarządzania ryzykiem w cyberprzestrzeni. Będzie ono zazwyczaj odpowiadać miejscu centralnej administracji przedsiębiorstw w Unii. Jeżeli takich decyzji nie podejmuje się w Unii, należy uznać, że główna jednostka organizacyjna znajduje się w państwach członkowskich, w których dany podmiot ma jednostkę organizacyjną o największej liczbie pracowników w Unii albo jednostkę organizacyjną, w której prowadzone są operacje dotyczące cyberbezpieczeństwa. Jeżeli usługi świadczy grupa przedsiębiorstw, za główną jednostkę organizacyjną grupy przedsiębiorstw należy uznać główną jednostkę organizacyjną przedsiębiorstwa sprawującego kontrolę.

    Poprawka  65

     

    Wniosek dotyczący dyrektywy

    Motyw 65 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (65a) ENISA powinna utworzyć i prowadzić rejestr zawierający informacje na temat niezbędnych i istotnych podmiotów, do których należą dostawcy usług DNS, rejestry nazw TLD oraz dostawcy usług przetwarzania w chmurze, usług centrów danych, sieci dostarczania treści, rynków internetowych, wyszukiwarek internetowych i platform sieci społecznościowych. Te niezbędne i istotne podmioty powinny przekazać ENISA swoje nazwy, adresy i aktualne dane kontaktowe. Powinny one niezwłocznie powiadamiać ENISA o wszelkich zmianach tych danych, a w każdym razie w terminie dwóch miesięcy od dnia wprowadzenia zmiany. ENISA powinna przekazywać informacje odpowiedniemu pojedynczemu punktowi kontaktowemu. Niezbędne i istotne podmioty przekazujące informacje ENISA nie są zatem zobowiązane do odrębnego informowania właściwego organu w państwie członkowskim. ENISA powinna opracować prosty, powszechnie dostępny program do zastosowań użytkowych, z którego podmioty te mogłyby korzystać w celu aktualizacji informacji na swój temat. Ponadto ENISA powinna ustanowić odpowiednie protokoły klasyfikacji informacji i zarządzania informacjami, aby zapewnić bezpieczeństwo i poufność ujawnianych informacji oraz ograniczyć dostęp do takich informacji, ich przechowywanie i przekazywanie do docelowych użytkowników.

    Poprawka  66

     

    Wniosek dotyczący dyrektywy

    Motyw 66

     

    Tekst proponowany przez Komisję

    Poprawka

    (66) Gdy dochodzi do wymiany, zgłoszenia lub innego rodzaju udostępnienia na podstawie niniejszej dyrektywy informacji uznawanych za niejawne zgodnie z prawem krajowym lub prawem Unii, należy stosować odpowiednie przepisy szczegółowe dotyczące postępowania z informacjami niejawnymi.

    (66) Gdy dochodzi do wymiany, zgłoszenia lub innego rodzaju udostępnienia zgodnie z niniejszą dyrektywą informacji uznawanych za niejawne zgodnie z prawem krajowym lub prawem Unii, należy stosować odpowiednie przepisy szczegółowe dotyczące postępowania z informacjami niejawnymi. ENISA powinna również dysponować infrastrukturą, procedurami i zasadami umożliwiającymi przetwarzanie informacji szczególnie chronionych i niejawnych zgodnie z obowiązującymi przepisami bezpieczeństwa w zakresie ochrony informacji niejawnych UE.

    Poprawka  67

     

    Wniosek dotyczący dyrektywy

    Motyw 68

     

    Tekst proponowany przez Komisję

    Poprawka

    (68) Należy zachęcać podmioty do wspólnego wykorzystywania ich indywidualnej wiedzy i praktycznego doświadczenia na szczeblu strategicznym, taktycznym i operacyjnym w celu wzmocnienia ich zdolności w zakresie odpowiedniego oceniania i monitorowania cyberzagrożeń, obrony przed nimi i reagowania na nie. Należy zatem umożliwić powstawanie na poziomie Unii mechanizmów dobrowolnej wymiany informacji. W tym celu państwa członkowskie powinny aktywnie wspierać również odpowiednie podmioty nieobjęte zakresem niniejszej dyrektywy i zachęcać je do uczestnictwa w takich mechanizmach wymiany informacji. Mechanizmy te powinny funkcjonować w pełnej zgodności z unijnymi regułami konkurencji oraz z unijnymi przepisami dotyczącymi ochrony danych osobowych.

    (68) Należy zachęcać podmioty do wspólnego wykorzystywania ich indywidualnej wiedzy i praktycznego doświadczenia na szczeblu strategicznym, taktycznym i operacyjnym w celu wzmocnienia ich zdolności w zakresie odpowiedniego oceniania i monitorowania cyberzagrożeń, obrony przed nimi i reagowania na nie, a państwa członkowskie powinny je w tym wspierać. Należy zatem umożliwić powstawanie na poziomie Unii mechanizmów dobrowolnej wymiany informacji. W tym celu państwa członkowskie powinny aktywnie wspierać również odpowiednie podmioty nieobjęte zakresem niniejszej dyrektywy, takie jak podmioty skupiające się na usługach i badaniach w zakresie cyberbezpieczeństwa, i zachęcać je do uczestnictwa w takich mechanizmach wymiany informacji. Mechanizmy te powinny funkcjonować w pełnej zgodności z unijnymi regułami konkurencji oraz z unijnymi przepisami dotyczącymi ochrony danych osobowych.

    Poprawka  68

     

    Wniosek dotyczący dyrektywy

    Motyw 69

     

    Tekst proponowany przez Komisję

    Poprawka

    (69) Należy uznać, że przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji przez podmioty, organy publiczne, CERT, CSIRT oraz dostawców technologii i usług z zakresu bezpieczeństwa stanowi prawnie uzasadniony interes zainteresowanego administratora danychrozumieniu rozporządzenia (UE) 2016/679. Powinno to obejmować środki związane z zapobieganiem incydentom, wykrywaniem i analizowaniem ich oraz reagowaniem na nie, środki zwiększające świadomość konkretnych cyberzagrożeń, wymianę informacji w kontekście usuwania oraz skoordynowanego ujawniania podatności, a także dobrowolną wymianę informacji na temat tych incydentów, a także na temat cyberzagrożeń i podatności, oznak naruszenia integralności systemu, taktyk, technik i procedur, ostrzeżeń dotyczących cyberbezpieczeństwa i narzędzi konfiguracji. Takie środki mogą wiązać się z koniecznością przetwarzania następujących rodzajów danych osobowych: adresów IP, ujednoliconych formatów adresowania zasobów (URL), nazw domen i adresów e-mail.

    (69) Należy uznać, że przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji przez niezbędne i istotne podmioty, CSIRT oraz dostawców technologii i usług z zakresu bezpieczeństwa, jest niezbędne do wypełnienia ich zobowiązań prawnych przewidzianychniniejszej dyrektywie. Takie przetwarzanie danych osobowych może być również konieczne do celów związanych z uzasadnionymi interesami niezbędnych i istotnych podmiotów. Jeżeli niniejsza dyrektywa wymaga przetwarzania danych osobowych do celów cyberbezpieczeństwa oraz bezpieczeństwa sieci i informacji zgodnie z przepisami określonymi w art. 18, 20 i 23 dyrektywy, przetwarzanie to uznaje się za niezbędne do wypełnienia obowiązku prawnego, o którym mowa w art. 6 ust. 1 lit. c) rozporządzenia (UE) 2016/679. Do celów art. 26 i 27 niniejszej dyrektywy przetwarzanie, o którym mowa w art. 6 ust. 1 lit. f) rozporządzenia (UE) 2016/679, uznaje się za niezbędne ze względu na uzasadnione interesy realizowane przez niezbędne i istotne podmioty. Środki związane z zapobieganiem incydentom, wykrywaniem, identyfikacją, ograniczaniem ich skutków i analizowaniem ich oraz reagowaniem na nie, środki zwiększające świadomość konkretnych cyberzagrożeń, wymianę informacji w kontekście usuwania oraz skoordynowanego ujawniania podatności, a także dobrowolną wymianę informacji na temat tych incydentów, a także na temat cyberzagrożeń i podatności, oznak naruszenia integralności systemu, taktyk, technik i procedur, ostrzeżeń dotyczących cyberbezpieczeństwa i narzędzi konfiguracji mogą wiązać się z koniecznością przetwarzania pewnych kategorii danych osobowych, takich jak adresy IP, ujednolicone formaty adresowania zasobów (URL), nazwy domen, adresy e-mail, znaczniki czasu, informacje dotyczące systemu operacyjnego, pliki cookie lub przeglądarki lub inne informacje wskazujące na modus operandi.

    Poprawka  69

     

    Wniosek dotyczący dyrektywy

    Motyw 71

     

    Tekst proponowany przez Komisję

    Poprawka

    (71) W celu zapewnienia skutecznego egzekwowania przepisów należy ustanowić minimalny wykaz sankcji administracyjnych za naruszenie przewidzianych w niniejszej dyrektywie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni oraz zgłaszania incydentów, określając jasne i spójne ramy dotyczące takich sankcji w całej Unii. Należy odpowiednio uwzględniać charakter, wagę oraz czas trwania naruszenia, faktycznie wyrządzone szkody lub poniesione straty lub potencjalne szkody lub straty, które mogły powstać, to, czy naruszenie było umyślne lub wynikało z niedbalstwa, działania podjęte, aby zapobiec szkodom lub stratom lub je ograniczyć, stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, stopień współpracy z właściwym organem oraz wszelkie inne okoliczności obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych Unii Europejskiej, w tym skutecznej ochrony prawnej i prawa do rzetelnego procesu sądowego.

    (71) W celu zapewnienia skutecznego egzekwowania przepisów należy ustanowić minimalny wykaz sankcji administracyjnych za naruszenie przewidzianych w niniejszej dyrektywie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni oraz zgłaszania incydentów, określając jasne i spójne ramy dotyczące takich sankcji w całej Unii. Należy odpowiednio uwzględniać charakter, wagę oraz czas trwania naruszenia, wyrządzone szkody lub poniesione straty, to, czy naruszenie było umyślne lub wynikało z niedbalstwa, działania podjęte, aby zapobiec szkodom lub stratom lub je ograniczyć, stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, stopień współpracy z właściwym organem oraz wszelkie inne okoliczności obciążające lub łagodzące. Sankcje, w tym administracyjne kary pieniężne, powinno być proporcjonalne, a ich nakładanie przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych Unii Europejskiej („Karta”), w tym skutecznej ochrony prawnej, prawa do rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony.

    Poprawka  70

     

    Wniosek dotyczący dyrektywy

    Motyw 72

     

    Tekst proponowany przez Komisję

    Poprawka

    (72) Aby zapewnić skuteczne egzekwowanie obowiązków przewidzianych w niniejszej dyrektywie, każdy właściwy organ powinien być uprawniony do nakładania lub żądania nałożenia administracyjnych kar pieniężnych.

    (72) Aby zapewnić skuteczne egzekwowanie obowiązków przewidzianych w niniejszej dyrektywie, każdy właściwy organ powinien być uprawniony do nakładania lub żądania nałożenia administracyjnych kar pieniężnych, jeżeli naruszenie było zamierzone, wynikało z zaniedbania lub jeżeli dany podmiot został powiadomiony o niewykonywaniu swoich obowiązków.

    Poprawka  71

     

    Wniosek dotyczący dyrektywy

    Motyw 76

     

    Tekst proponowany przez Komisję

    Poprawka

    (76) Aby jeszcze bardziej wzmocnić skuteczność i odstraszający charakter sankcji mających zastosowanie do naruszeń obowiązków przewidzianych w niniejszej dyrektywie, właściwe organy powinny być uprawnione do stosowania sankcji polegających na zawieszeniu certyfikacji lub zezwolenia dotyczących części lub całości usług świadczonych przez podmiot niezbędny oraz na nałożeniu tymczasowego zakazu sprawowania funkcji zarządczych przez osobę fizyczną. Zważywszy na dotkliwość takich sankcji i ich wpływ na działalność podmiotów, a ostatecznie na ich konsumentów, należy je stosować proporcjonalnie do powagi naruszenia i z uwzględnieniem konkretnych okoliczności danej sprawy, w tym faktu, czy naruszenie ma charakter umyślny czy też wynika z niedbalstwa, oraz działań podjętych, aby zapobiec szkodom lub stratom lub je ograniczyć. Takie sankcje należy stosować wyłącznie w ostateczności, po wyczerpaniu przewidzianych w niniejszej dyrektywie pozostałych stosownych działań z zakresu egzekwowania przepisów i wyłącznie dopóki podmioty, na które nałożono sankcje, nie podejmą niezbędnych działań w celu usunięcia nieprawidłowości lub nie spełnią wymogów właściwego organu, z których tytułu zastosowano takie sankcje. Nakładanie takich sankcji powinno przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych Unii Europejskiej, w tym skutecznej ochrony prawnej, prawa do rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony.

    (76) Aby jeszcze bardziej wzmocnić skuteczność i odstraszający charakter sankcji mających zastosowanie do naruszeń obowiązków przewidzianych w niniejszej dyrektywie, właściwe organy powinny być uprawnione do tymczasowego zawieszenia certyfikacji lub zezwolenia dotyczących części lub całości odnośnych usług świadczonych przez podmiot niezbędny oraz do wnoszenia o nałożenie tymczasowego zakazu sprawowania funkcji zarządczych przez osobę fizyczną na poziomie dyrektora generalnego lub przedstawiciela prawnego. Państwa członkowskie powinny opracować szczegółowe procedury i zasady dotyczące czasowego zakazu sprawowania funkcji zarządczych przez osobę fizyczną na poziomie dyrektora generalnego lub przedstawiciela prawnego w podmiotach administracji publicznej. W procesie opracowywania takich procedur i zasad państwa członkowskie powinny uwzględniać specyfikę swoich poziomów i systemów zarządzania w ramach administracji publicznej. Zważywszy na dotkliwość takich sankcji i ich wpływ na działalność podmiotów, a ostatecznie na ich konsumentów, takie tymczasowe zawieszenia lub zakazy należy wyłącznie stosować proporcjonalnie do powagi naruszenia i z uwzględnieniem konkretnych okoliczności danej sprawy, w tym faktu, czy naruszenie ma charakter umyślny czy też wynika z niedbalstwa, oraz działań podjętych, aby zapobiec szkodom lub stratom lub je ograniczyć. Takie tymczasowe zawieszenia lub zakazy należy stosować wyłącznie w ostateczności, po wyczerpaniu przewidzianych w niniejszej dyrektywie pozostałych stosownych działań z zakresu egzekwowania przepisów i wyłącznie dopóki podmioty, na które nałożono sankcje, nie podejmą niezbędnych działań w celu usunięcia nieprawidłowości lub nie spełnią wymogów właściwego organu, z których tytułu zastosowano takie tymczasowe zawieszenia lub zakazy. Nakładanie takich tymczasowych zawieszeń lub zakazów powinno przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą, w tym skutecznej ochrony prawnej, prawa do rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony.

    Poprawka  72

     

    Wniosek dotyczący dyrektywy

    Motyw 79

     

    Tekst proponowany przez Komisję

    Poprawka

    (79) Należy wprowadzić mechanizm wzajemnej oceny umożliwiający przeprowadzanie przez ekspertów wyznaczonych przez państwa członkowskie oceny wdrożenia polityk cyberbezpieczeństwa, w tym poziomu zdolności państw członkowskich oraz dostępnych w nich zasobów.

    (79) Należy wprowadzić mechanizm wzajemnej oceny umożliwiający przeprowadzanie przez niezależnych ekspertów wyznaczonych przez państwa członkowskie, oceny wdrożenia polityk cyberbezpieczeństwa, w tym poziomu zdolności państw członkowskich oraz dostępnych w nich zasobów. Wzajemne oceny mogą prowadzić do uzyskania cennych spostrzeżeń i zaleceń wzmacniających ogólne zdolności w zakresie cyberbezpieczeństwa. W szczególności mogą one przyczynić się do ułatwienia transferu technologii, narzędzi, środków i procesów między państwami członkowskimi biorącymi udział we wzajemnej ocenie, stworzenia funkcjonalnej ścieżki wymiany najlepszych praktyk między państwami członkowskimi o różnych poziomach dojrzałości w zakresie cyberbezpieczeństwa oraz umożliwienia ustanowienia wysokiego, wspólnego poziomu cyberbezpieczeństwa w całej Unii. Wzajemną ocenę powinna poprzedzać ocena własna ocenianego państwa członkowskiego, obejmująca aspekty będące przedmiotem oceny oraz wszelkie dodatkowe kwestie, o których wyznaczeni eksperci poinformowali państwo członkowskie poddane wzajemnej ocenie przed rozpoczęciem procesu. Komisja, we współpracy z ENISA i Grupą Współpracy, powinna opracować wzory oceny własnej aspektów będących przedmiotem oceny w celu usprawnienia procesu oraz uniknięcia niespójności i opóźnień proceduralnych, które państwa członkowskie poddawane wzajemnej ocenie powinny wypełnić i przekazać wyznaczonym ekspertom przeprowadzającym wzajemną ocenę przed rozpoczęciem procesu wzajemnej oceny.

    Poprawka  73

     

    Wniosek dotyczący dyrektywy

    Motyw 80

     

    Tekst proponowany przez Komisję

    Poprawka

    (80) W celu uwzględnienia nowych cyberzagrożeń, postępu technologicznego lub specyfiki sektora należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 TFUE w odniesieniu do elementów związanych ze środkami zarządzania ryzykiem przewidzianymi w niniejszej dyrektywie. Komisja powinna być również uprawniona do przyjęcia aktów delegowanych określających, które kategorie podmiotów niezbędnych mają obowiązek uzyskać certyfikację i na podstawie których konkretnych europejskich programów certyfikacji cyberbezpieczeństwa mają ją uzyskać. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa26. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

    (80) W celu uwzględnienia nowych cyberzagrożeń, postępu technologicznego lub specyfiki sektora należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 TFUE w odniesieniu do elementów związanych ze środkami zarządzania ryzykiem w zakresie cyberbezpieczeństwa i obowiązkami sprawozdawczymi przewidzianymi w niniejszej dyrektywie. Komisja powinna być również uprawniona do przyjęcia aktów delegowanych określających, które kategorie podmiotów niezbędnych i istotnych mają obowiązek uzyskać certyfikację i na podstawie których konkretnych europejskich programów certyfikacji cyberbezpieczeństwa mają ją uzyskać. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

    __________________

     

    26 Dz.U. L 123 z 12.5.2016, s. 1.

     

    Poprawka  74

     

    Wniosek dotyczący dyrektywy

    Motyw 81

     

    Tekst proponowany przez Komisję

    Poprawka

    (81) Aby zapewnić jednolite warunki wdrażania odpowiednich przepisów niniejszej dyrektywy dotyczących procedur niezbędnych do funkcjonowania Grupy Współpracy, elementów technicznych związanych ze środkami zarządzania ryzykiem lub rodzaju zgłaszanych informacji, formatu i procedury dokonywania zgłoszeń incydentów, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/201127.

    (81) Aby zapewnić jednolite warunki wdrażania odpowiednich przepisów niniejszej dyrektywy dotyczących procedur niezbędnych do funkcjonowania Grupy Współpracy i procedury dokonywania zgłoszeń incydentów, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/201127.

    __________________

    __________________

    27 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

    27 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

    Poprawka  75

     

    Wniosek dotyczący dyrektywy

    Motyw 82

     

    Tekst proponowany przez Komisję

    Poprawka

    (82) Komisja powinna okresowo dokonywać przeglądu niniejszej dyrektywy, w drodze konsultacji z zainteresowanymi stronami, w szczególności w celu sprawdzenia, czy konieczne jest wprowadzenie zmian w świetle zmieniających się warunków społecznych, politycznych, technologicznych lub rynkowych.

    (82) Komisja powinna okresowo dokonywać przeglądu niniejszej dyrektywy, w drodze konsultacji z zainteresowanymi stronami, w szczególności w celu sprawdzenia, czy właściwe jest zaproponowanie zmian w świetle zmieniających się warunków społecznych, politycznych, technologicznych lub rynkowych. W ramach tych przeglądów Komisja powinna ocenić znaczenie sektorów, podsektorów i rodzajów podmiotów, o których mowa w załącznikach, dla funkcjonowania gospodarki i społeczeństwa w kontekście cyberbezpieczeństwa. Komisja powinna ocenić między innymi, czy dostawcy usług cyfrowych, którzy są sklasyfikowani jako bardzo duże platformy internetowe w rozumieniu art. 25 rozporządzenia (UE) XXXX/XXXX [w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych)] lub jako strażnicy dostępu zgodnie z definicją zawartą w art. 2 pkt 1 rozporządzenia (UE) XXXX/XXXX [w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych)], powinni być wyznaczani jako podmioty niezbędne na mocy niniejszej dyrektywy. Ponadto Komisja powinna ocenić, czy właściwa jest zmiana załącznika I do dyrektywy 2020/1828 Parlamentu Europejskiego i Rady1a poprzez dodanie odniesienia do niniejszej dyrektywy.

     

    __________________

     

    1a Dyrektywa Parlamentu Europejskiego i Rady (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylająca dyrektywę 2009/22/WE (Dz.U. L 409 z 4.12.2020, s. 1).

    Poprawka  76 

    Wniosek dotyczący dyrektywy

    Motyw 82 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (82a) W niniejszej dyrektywie ustanawia się wymogi w zakresie cyberbezpieczeństwa dla państw członkowskich oraz niezbędnych i istotnych podmiotów mających siedzibę w Unii. Wymogi te powinny być również stosowane przez unijne instytucje, organy, urzędy i agencje na podstawie aktu ustawodawczego Unii.

    Poprawka  77

     

    Wniosek dotyczący dyrektywy

    Motyw 82 b (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    (82b) Niniejsza dyrektywa tworzy nowe zadania dla ENISA, zwiększając tym samym jej rolę, i może również spowodować, że ENISA będzie zobowiązana do wykonywania swoich obecnych zadań na mocy rozporządzenia (UE) 2019/881 z zachowaniem wyższych niż dotychczas standardów. Aby zapewnić ENISA niezbędne zasoby finansowe i ludzkie do realizacji istniejących i nowych działań w ramach jej zadań, jak również do spełnienia wszelkich wyższych standardów wynikających z jej zwiększonej roli, należy odpowiednio zwiększyć jej budżet. Ponadto, aby zapewnić efektywne wykorzystanie zasobów, ENISA powinna mieć większą elastyczność w sposobie wewnętrznego przydziału zasobów, tak aby mogła skutecznie realizować swoje zadania i spełniać oczekiwania.

    Poprawka  78

     

    Wniosek dotyczący dyrektywy

    Motyw 84

     

    Tekst proponowany przez Komisję

    Poprawka

    (84) Niniejsza dyrektywa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w Karcie praw podstawowych Unii Europejskiej, w szczególności z zasadami dotyczącymi prawa do poszanowania życia prywatnego i komunikowania się, prawa do ochrony danych osobowych i wolności prowadzenia działalności gospodarczej, prawa własności, prawa do skutecznego środka prawnego i prawa do bycia wysłuchanym. Niniejszą dyrektywę należy wprowadzać w życie zgodnie z tymi prawami i zasadami,

    (84) Niniejsza dyrektywa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w Karcie, w szczególności z zasadami dotyczącymi prawa do poszanowania życia prywatnego i komunikowania się, prawa do ochrony danych osobowych i wolności prowadzenia działalności gospodarczej, prawa własności, prawa do skutecznego środka prawnego i prawa do bycia wysłuchanym. Obejmuje to prawo do skutecznego środka odwoławczego przed sądem dla odbiorców usług świadczonych przez niezbędne i istotne podmioty. Niniejszą dyrektywę należy wykonywać zgodnie z tymi prawami i zasadami.

    Poprawka  79

     

    Wniosek dotyczący dyrektywy

    Artykuł 1 – ustęp 2 – litera c a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    ca) nakłada na państwa członkowskie obowiązki w zakresie nadzoru i egzekwowania przepisów.

    Poprawka  80

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 1

     

    Tekst proponowany przez Komisję

    Poprawka

    1. Niniejsza dyrektywa ma zastosowanie do podmiotów publicznych i prywatnych w rodzaju tych, które określono jako podmioty niezbędne w załączniku I oraz jako podmioty istotne w załączniku II. Niniejsza dyrektywa nie ma zastosowania do podmiotów kwalifikujących się jako mikroprzedsiębiorstwamałe przedsiębiorstwa w rozumieniu zalecenia Komisji 2003/361/WE28.

    1. Niniejsza dyrektywa ma zastosowanie do publicznych i prywatnych podmiotów niezbędnych i istotnych w rodzaju tych, które określono jako podmioty niezbędne w załączniku I oraz jako podmioty istotne w załączniku II, które świadczą swoje usługi lub prowadzą działalność na terytorium Unii. Niniejsza dyrektywa nie ma zastosowania do małych przedsiębiorstw i mikroprzedsiębiorstw w rozumieniu art. 2 ust. 23 załącznika do zalecenia Komisji 2003/361/WE28. Artykuł 3 ust. 4 załącznika do tego zalecenia nie ma zastosowania.

    __________________

    __________________

    28 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).

    28 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).

    Poprawka  81

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 2 – akapit 1 – wprowadzenie

     

    Tekst proponowany przez Komisję

    Poprawka

    Niniejsza dyrektywa ma jednak zastosowanie do podmiotów, o których mowa w załącznikach I i II, niezależnie od ich wielkości, w przypadku gdy:

    Niniejsza dyrektywa ma również zastosowanie do podmiotów niezbędnych i istotnych, niezależnie od ich wielkości, w przypadku gdy:

    Poprawka  82

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 2 – akapit 1 – litera d

     

    Tekst proponowany przez Komisję

    Poprawka

    d) ewentualne zakłócenie usługi świadczonej przez podmiot mogłoby mieć wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne;

    d) zakłócenie usługi świadczonej przez podmiot mogłoby mieć wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne;

    Poprawka  83

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 2 - akapit 1 – litera e

     

    Tekst proponowany przez Komisję

    Poprawka

    e) ewentualne zakłócenie usługi świadczonej przez podmiot mogłoby prowadzić do powstania ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny;

    e) zakłócenie usługi świadczonej przez podmiot mogłoby prowadzić do powstania ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny;

    Poprawka  84

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 2 – akapit 2

     

    Tekst proponowany przez Komisję

    Poprawka

    Państwa członkowskie sporządzają wykaz podmiotów wskazywanych zgodnie z lit. b)–f) oraz przedkładają go Komisji do dnia [6 miesięcy po terminie transpozycji] r. Państwa członkowskie regularnie, nie rzadziej niż co dwa lata po wyżej wymienionej dacie, dokonują przeglądu tego wykazu oraz, w stosownych przypadkach, aktualizują go.

    skreśla się

    Poprawka  85

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 2 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    2a. Do dnia ... [6 miesięcy po terminie transpozycji] państwa członkowskie ustanawiają wykaz podmiotów niezbędnych i istotnych, obejmujący podmioty, o których mowa w ust. 1, oraz podmioty określone zgodnie z ust. 2 lit. b)–f) i art. 24 ust. 1. Państwa członkowskie regularnie, nie rzadziej niż co dwa lata po wyżej wymienionej dacie, dokonują przeglądu i – w stosownych przypadkach – aktualizacji tego wykazu.

    Poprawka  86

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 2 b (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    2b. Państwa członkowskie zapewniają, aby podmioty niezbędne i istotne przedkładały właściwym organom co najmniej następujące informacje:

     

    a) nazwę podmiotu;

     

    b) adres i aktualne dane kontaktowe, w tym adresy elektroniczne, zakresy adresów IP, numery telefonów; oraz

     

    c) odpowiedni(e) sektor(y) i podsektor(y), o których mowa w załącznikach I i II.

     

    Podmioty niezbędne i istotne powiadamiają o wszelkich zmianach w danych przedłożonych zgodnie z akapitem pierwszym bezzwłocznie, a w każdym razie w terminie dwóch tygodni od dnia, w którym zmiana wchodzi w życie. W tym celu Komisja, z pomocą ENISA, bez zbędnej zwłoki wydaje wytyczne i wzory dotyczące obowiązków określonych w niniejszym ustępie.

    Poprawka  87

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 2 c (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    2c. Do dnia ... [6 miesięcy po terminie transpozycji], a następnie co dwa lata, państwa członkowskie powiadamiają:

     

    a) Komisję i Grupę Współpracy o liczbie wszystkich podmiotów niezbędnych i istotnych zidentyfikowanych dla każdego sektora i podsektora, o których mowa w załącznikach I i II, oraz

     

    b) Komisję o nazwach podmiotów zidentyfikowanych zgodnie z ust. 2 lit. b)–f).

    Poprawka  88

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 4

     

    Tekst proponowany przez Komisję

    Poprawka

    4. Niniejszą dyrektywę stosuje się bez uszczerbku dla dyrektywy Rady 2008/114/WE30 oraz dyrektyw Parlamentu Europejskiego i Rady 2011/93/UE31 i 2013/40/UE32.

    4. Niniejszą dyrektywę stosuje się bez uszczerbku dla dyrektywy Rady 2008/114/WE30 oraz dyrektyw Parlamentu Europejskiego i Rady 2011/93/UE31, 2013/40/UE32 i 2002/58/WE32a.

    __________________

    __________________

    30 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).

    30 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).

    31 Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1).

    31 Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1).

    32 Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW (Dz.U. L 218 z 14.8.2013, s. 8).

    32 Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW (Dz.U. L 218 z 14.8.2013, s. 8).

     

    32a Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).

    Poprawka  89

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 6

     

    Tekst proponowany przez Komisję

    Poprawka

    6. W przypadku gdy na podstawie przepisów unijnych sektorowych aktów prawnych wymaga się od podmiotów niezbędnych lub istotnych przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni albo zgłaszania incydentów lub znaczących cyberzagrożeń oraz w przypadku gdy skutki tych wymogów są co najmniej równoważne skutkowi obowiązków przewidzianych w niniejszej dyrektywie, nie stosuje się odpowiednich przepisów niniejszej dyrektywy, w tym przepisów dotyczących nadzoru i egzekwowania określonych w rozdziale VI.

    6. W przypadku gdy na podstawie przepisów unijnych sektorowych aktów prawnych wymaga się od podmiotów niezbędnych lub istotnych przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni lub zgłaszania incydentów oraz w przypadku gdy skutki tych wymogów są co najmniej równoważne skutkowi obowiązków przewidzianych w niniejszej dyrektywie, nie stosuje się odpowiednich przepisów niniejszej dyrektywy, w tym przepisów dotyczących nadzoru i egzekwowania określonych w rozdziale VI. Komisja wydaje bez zbędnej zwłoki wytyczne dotyczące wdrażania sektorowych aktów prawa unijnego, aby zapewnić spełnienie przez te akty wymogów cyberbezpieczeństwa ustanowionych w niniejszej dyrektywie oraz aby nie dochodziło do nakładania się przepisów lub braku pewności prawa. Przygotowując te wytyczne, Komisja uwzględnia najlepsze praktyki i wiedzę specjalistyczną ENISA i Grupy Współpracy.

    Poprawka  90

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 6 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    6a. Niezbędne i istotne podmioty, CSIRT oraz dostawcy technologii i usług związanych z bezpieczeństwem przetwarzają dane osobowe w zakresie, w jakim jest to bezwzględnie konieczne i adekwatne do celów cyberbezpieczeństwa oraz bezpieczeństwa sieci i informacji, aby wypełnić obowiązki określone w niniejszej dyrektywie. To przetwarzanie danych osobowych na podstawie niniejszej dyrektywy odbywa się zgodnie z rozporządzeniem (UE) 2016/679, w szczególności z jego art. 6.

    Poprawka  91

     

    Wniosek dotyczący dyrektywy

    Artykuł 2 – ustęp 6 b (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    6b. Przetwarzanie danych osobowych na mocy niniejszej dyrektywy przez dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej, o których mowa w załączniku I pkt 8, odbywa się zgodnie z dyrektywą 2002/58/WE.

    Poprawka  92

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 4 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    4a) „zdarzenie potencjalnie wypadkowe” oznacza zdarzenie, które mogło naruszyć dostępność, autentyczność, integralność lub poufność danych, lub mogło spowodować szkodę, ale udało się zapobiec jego negatywnym skutkom;

    Poprawka  93

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 6

     

    Tekst proponowany przez Komisję

    Poprawka

    6) „postępowanie w przypadku incydentu” oznacza wszystkie działania i procedury mające na celu wykrywanie i analizowanie incydentu, ograniczenie jego skutków oraz reagowanie na niego;

    6) „postępowanie w przypadku incydentu” oznacza wszystkie działania i procedury mające na celu zapobieganie incydentowi, wykrywanie i analizowanie go, ograniczenie jego skutków oraz reagowanie na niego;

    Poprawka  94

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 7a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    7a) „ryzyko” oznacza możliwe straty lub zakłócenia spowodowane incydentem i należy je wyrazić jako wypadkowa skali takiej straty lub takich zakłóceń oraz prawdopodobieństwa wystąpienia takiego incydentu;

    Poprawka  95

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 11

     

    Tekst proponowany przez Komisję

    Poprawka

    11) „specyfikacja techniczna” oznacza specyfikację techniczną w rozumieniu art. 2 pkt 4 rozporządzenia (UE) nr 1025/2012;

    11) „specyfikacja techniczna” oznacza specyfikację techniczną zdefiniowaną w art. 2 pkt 20 rozporządzenia (UE) nr 2019/881;

    Poprawka  96

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 13

     

    Tekst proponowany przez Komisję

    Poprawka

    13) „system nazw domen (DNS)” oznacza hierarchiczny rozproszony system nazw umożliwiający użytkownikom końcowym uzyskanie dostępu do usług i zasobów w internecie;

    13) „system nazw domen (DNS)” oznacza hierarchiczny rozproszony system nazw umożliwiający identyfikację usług i zasobów internetowych, pozwalając urządzeniom użytkowników końcowych na korzystanie z usług routingu internetowego i usług łączności w celu dotarcia do tych usług i zasobów;

    Poprawka  97

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 14

     

    Tekst proponowany przez Komisję

    Poprawka

    14) „dostawca usług DNS” oznacza podmiot świadczący rekurencyjne lub autorytatywne usługi rozwiązywania nazw domen na rzecz użytkowników końcowych internetu oraz innych dostawców usług DNS;

    14) „dostawca usług DNS” oznacza podmiot świadczący:

    Poprawka  98

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 14 – litera a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    a) otwarte i publiczne rekurencyjne usługi rozwiązywania nazw domen na rzecz użytkowników końcowych internetu; lub

    Poprawka  99

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 14 – litera b (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    b) autorytatywne usługi rozwiązywania nazw domen jako usługę, którą mogą nabyć podmioty zewnętrzne;

    Poprawka  100

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 15

     

    Tekst proponowany przez Komisję

    Poprawka

    15) „rejestr nazw domen najwyższego poziomu” oznacza podmiot, któremu powierzono konkretną domenę najwyższego poziomu (TLD) i który odpowiada za zarządzanie nią, w tym za rejestrację nazw domen w ramach TLD oraz za jej techniczne funkcjonowanie, w tym za obsługę jej serwerów nazw, utrzymanie jej baz danych oraz dystrybucję plików strefowych TLD we wszystkich serwerach nazw;

    15) „rejestr nazw domen najwyższego poziomu” oznacza podmiot, któremu powierzono konkretną domenę najwyższego poziomu (TLD) i który odpowiada za zarządzanie nią, w tym za rejestrację nazw domen w ramach TLD oraz za jej techniczne funkcjonowanie, w tym za obsługę jej serwerów nazw, utrzymanie jej baz danych oraz dystrybucję plików strefowych TLD we wszystkich serwerach nazw, bez względu na to, czy którekolwiek z tych działań jest wykonywane przez podmiot czy zlecane na zewnątrz;

    Poprawka  101

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 15 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    15a) „usługi rejestracji nazw domen” oznaczają usługi świadczone przez rejestry nazw domen i rejestratorów, dostawców usług w zakresie rejestracji prywatności lub serwerów proxy, brokerów lub odsprzedawców domen oraz wszelkie inne usługi związane z rejestracją nazw domen;

    Poprawka  102

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 23 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    23a) „publiczna sieć łączności elektronicznej” oznacza publiczną sieć łączności elektronicznej zdefiniowaną w art. 2 pkt 8 dyrektywy (UE) 2018/1972;

    Poprawka  103

     

    Wniosek dotyczący dyrektywy

    Artykuł 4 – akapit 1 – punkt 23 b (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    23b) „usługa łączności elektronicznej” oznacza usługę łączności elektronicznej zdefiniowaną w art. 2 pkt 4 dyrektywy (UE) 2018/1972;

    Poprawka  104

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 1 – wprowadzenie

     

    Tekst proponowany przez Komisję

    Poprawka

    1. Każde państwo członkowskie przyjmuje krajową strategię cyberbezpieczeństwa określającą cele strategiczne i odpowiednie środki polityczne i regulacyjne mające na celu osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa. Krajowa strategia cyberbezpieczeństwa obejmuje w szczególności:

    1. Każde państwo członkowskie przyjmuje krajową strategię cyberbezpieczeństwa określającą cele strategiczne, wymagane zasoby techniczne, organizacyjne i finansowe służące osiągnięciu tych celów, a także odpowiednie środki polityczne i regulacyjne mające na celu osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa. Krajowa strategia cyberbezpieczeństwa obejmuje w szczególności:

    Poprawka  105

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 1 – litera a

     

    Tekst proponowany przez Komisję

    Poprawka

    a) określenie celów i priorytetów strategii cyberbezpieczeństwa państw członkowskich;

    a) określenie celów i priorytetów strategii cyberbezpieczeństwa państwa członkowskiego;

    Poprawka  106

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 1 – litera b

     

    Tekst proponowany przez Komisję

    Poprawka

    b) ramy zarządzania służące realizacji tych celów i priorytetów, w tym polityki, o których mowa w ust. 2, a także role i obowiązki instytucji i podmiotów publicznych, jak również innych odpowiednich podmiotów;

    b) ramy zarządzania służące realizacji tych celów i priorytetów, w tym polityki, o których mowa w ust. 2;

    Poprawka  107

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 1 – litera b a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    ba) ramy określające role i obowiązki instytucji i podmiotów publicznych, jak również innych odpowiednich podmiotów, stanowiące podstawę współpracy i koordynacji na szczeblu krajowym między właściwymi organami wyznaczonymi zgodnie z art. 7 ust. 1 i art. 8 ust. 1, pojedynczym punktem kontaktowym wyznaczonym zgodnie z art. 8 ust. 3 oraz CSIRT wyznaczonymi zgodnie z art. 9;

    Poprawka  108

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 1 – litera e

     

    Tekst proponowany przez Komisję

    Poprawka

    e) wykaz poszczególnych organów i podmiotów zaangażowanych we wdrażanie krajowej strategii cyberbezpieczeństwa;

    e) wykaz poszczególnych organów i podmiotów zaangażowanych we wdrażanie krajowej strategii cyberbezpieczeństwa, w tym pojedynczego punktu kontaktowego ds. cyberbezpieczeństwa dla MŚP, który zapewnia wsparcie w zakresie wdrażania konkretnych środków cyberbezpieczeństwa;

    Poprawka  109

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 1 – litera f

     

    Tekst proponowany przez Komisję

    Poprawka

    f) ramy polityki na rzecz ściślejszej koordynacji między właściwymi organami na mocy niniejszej dyrektywy i dyrektywy Parlamentu Europejskiego i Rady (UE) XXXX/XXXX38 [dyrektywa w sprawie odporności podmiotów krytycznych] do celów wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych.

    f) ramy polityki na rzecz ściślejszej koordynacji między właściwymi organami na mocy niniejszej dyrektywy i dyrektywy Parlamentu Europejskiego i Rady (UE) XXXX/XXXX38 [dyrektywa w sprawie odporności podmiotów krytycznych] zarówno w obrębie państw członkowskich, jaki i między nimi, do celów wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych.

    __________________

    __________________

    38 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

    38 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

    Poprawka  110

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 1 – litera f a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    fa) ocenę ogólnego poziomu świadomości obywateli w zakresie cyberbezpieczeństwa.

    Poprawka  111

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera -a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    -a) politykę dotyczącą cyberbezpieczeństwa dla każdego sektora objętego niniejszą dyrektywą;

    Poprawka  112

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera b

     

    Tekst proponowany przez Komisję

    Poprawka

    b) wytyczne dotyczące uwzględniania w zamówieniach publicznych wymogów związanych z cyberbezpieczeństwem w odniesieniu do produktów i usług ICT oraz specyfikacji tych wymogów na potrzeby takich zamówień;

    b) wytyczne dotyczące uwzględniania w zamówieniach publicznych wymogów związanych z cyberbezpieczeństwem w odniesieniu do produktów i usług ICT oraz specyfikacji tych wymogów na potrzeby takich zamówień, w tym wymogów dotyczących szyfrowania i wykorzystywania produktów z zakresu cyberbezpieczeństwa opartych na otwartym oprogramowaniu;

    Poprawka  113

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera d

     

    Tekst proponowany przez Komisję

    Poprawka

    d) politykę związaną z utrzymywaniem ogólnej dostępności i integralności publicznego rdzenia otwartego internetu;

    d) politykę związaną z utrzymywaniem ogólnej dostępności i integralności publicznego rdzenia otwartego internetu, w tym z cyberbezpieczeństwem podmorskich kabli telekomunikacyjnych;

    Poprawka  114

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera d a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    da) politykę promowania i wspierania rozwoju i włączania nowych technologii, na przykład sztucznej inteligencji, do narzędzi i aplikacji zwiększających cyberbezpieczeństwo;

    Poprawka  115

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera d b (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    db) politykę promowania włączania narzędzi i aplikacji bazujących na otwartym oprogramowaniu;

    Poprawka  116

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera f

     

    Tekst proponowany przez Komisję

    Poprawka

    f) politykę dotyczącą wspierania instytucji akademickich i naukowych w celu opracowania narzędzi z zakresu cyberbezpieczeństwa oraz zabezpieczenia infrastruktury sieciowej;

    f) politykę dotyczącą wspierania instytucji akademickich i naukowych w celu opracowania, usprawniania i wprowadzania narzędzi z zakresu cyberbezpieczeństwa oraz zabezpieczenia infrastruktury sieciowej;

    Poprawka  117

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera h

     

    Tekst proponowany przez Komisję

    Poprawka

    h) politykę uwzględniającą konkretne potrzeby małych i średnich przedsiębiorstw, w szczególności tych wyłączonych z zakresu stosowania niniejszej dyrektywy, związane z wytycznymi i wsparciem na rzecz poprawy ich odporności na zagrożenia dla cyberbezpieczeństwa.

    h) politykę promującą cyberbezpieczeństwo małych i średnich przedsiębiorstw, również tych wyłączonych z zakresu stosowania niniejszej dyrektywy, uwzględniającą ich szczególne potrzeby i oferującą łatwo dostępne wytyczne i wsparcie, w tym wytyczne dotyczące wyzwań w łańcuchu dostaw;

    Poprawka  118

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera h a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    ha) politykę promowania higieny cyberbezpieczeństwa obejmującą podstawowy zestaw praktyk i kontroli oraz podnoszącą ogólną wiedzę obywateli o zagrożeniach dla cyberbezpieczeństwa i o najlepszych praktykach;

    Poprawka  119

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera h b (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    hb) politykę promowania aktywnej cyberobrony;

    Poprawka  120

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera h c (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    hc) politykę mającą pomóc władzom rozwijać kompetencje i zrozumienie zagadnień bezpieczeństwa niezbędnych do projektowania i budowania miejsc połączonych oraz zarządzania nimi;

    Poprawka  121

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera h d (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    hd) politykę ukierunkowaną w szczególności na zagrożenie oprogramowaniem szantażującym i uniemożliwiającą funkcjonowanie modelu biznesowego bazującego na takim oprogramowaniu;

    Poprawka  122

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 2 – litera h e (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    he) politykę, obejmującą odpowiednie procedury i ramy zarządzania, mającą wspierać i promować tworzenie partnerstw publiczno-prywatnych w dziedzinie cyberbezpieczeństwa.

    Poprawka  123

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 3

     

    Tekst proponowany przez Komisję

    Poprawka

    3. Państwa członkowskie przekazują Komisji swoje krajowe strategie cyberbezpieczeństwa w terminie trzech miesięcy od ich przyjęcia. Państwa członkowskie mogą wyłączyć niektóre konkretne informacje ze zgłoszenia, jeżeli – i w zakresie w jakim – jest to absolutnie niezbędne do zachowania bezpieczeństwa narodowego.

    3. Państwa członkowskie przekazują Komisji swoje krajowe strategie cyberbezpieczeństwa w terminie trzech miesięcy od ich przyjęcia. Państwa członkowskie mogą wyłączyć niektóre konkretne informacje ze zgłoszenia, jeżeli – i w zakresie w jakim – jest to niezbędne do zachowania bezpieczeństwa narodowego.

    Poprawka  124

     

    Wniosek dotyczący dyrektywy

    Artykuł 5 – ustęp 4

     

    Tekst proponowany przez Komisję

    Poprawka

    4. Państwa członkowskie przeprowadzają ocenę swoich krajowych strategii cyberbezpieczeństwa co najmniej co cztery lata na podstawie kluczowych wskaźników skuteczności i w razie potrzeby wprowadzają do nich zmiany. Na wniosek państw członkowskich Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) udziela im wsparcia w opracowaniu strategii krajowej oraz kluczowych wskaźników skuteczności wykorzystywanych na potrzeby oceny strategii.

    4. Państwa członkowskie przeprowadzają ocenę swoich krajowych strategii cyberbezpieczeństwa co najmniej co cztery lata na podstawie kluczowych wskaźników skuteczności i w razie potrzeby wprowadzają do nich zmiany. Na wniosek państw członkowskich Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) udziela im wsparcia w opracowaniu strategii krajowej oraz kluczowych wskaźników skuteczności wykorzystywanych na potrzeby oceny strategii. ENISA opracowuje dla państw członkowskich wytyczne dotyczące dostosowania ich już sformułowanych krajowych strategii cyberbezpieczeństwa do wymogów i obowiązków określonych w niniejszej dyrektywie.

    Poprawka  125

     

    Wniosek dotyczący dyrektywy

    Artykuł 6 – nagłówek

     

    Tekst proponowany przez Komisję

    Poprawka

    Skoordynowane ujawnianie podatności i europejski rejestr podatności

    Skoordynowane ujawnianie podatności i europejska baza danych dotyczących podatności

    Poprawka  126

     

    Wniosek dotyczący dyrektywy

    Artykuł 6 – ustęp 1

     

    Tekst proponowany przez Komisję

    Poprawka

    1. Każde państwo członkowskie wyznacza jeden spośród swoich CSIRT, o których mowa w art. 9, na koordynatora na potrzeby skoordynowanego ujawniania podatności. Wyznaczony CSIRT działa w charakterze zaufanego pośrednika, w stosownych przypadkach ułatwiając interakcję między podmiotem zgłaszającym a producentem lub dostawcą produktów lub usług ICT. Jeżeli zgłoszona podatność dotyczy wielu producentów lub dostawców produktów lub usług ICT w Unii, wyznaczony CSIRT z każdego państwa członkowskiego, w którym ujawniono podatność, współpracuje z siecią CSIRT.

    1. Każde państwo członkowskie wyznacza jeden spośród swoich CSIRT, o których mowa w art. 9, na koordynatora na potrzeby skoordynowanego ujawniania podatności. Wyznaczony CSIRT działa w charakterze zaufanego pośrednika, ułatwiając na wniosek podmiotu zgłaszającego interakcję między podmiotem zgłaszającym a producentem lub dostawcą produktów lub usług ICT. Jeżeli zgłoszona podatność dotyczy wielu producentów lub dostawców produktów lub usług ICT w Unii, wyznaczony CSIRT z każdego państwa członkowskiego, w którym ujawniono podatność, współpracuje z siecią CSIRT.

    Poprawka  127

     

    Wniosek dotyczący dyrektywy

    Artykuł 6 – ustęp 2

     

    Tekst proponowany przez Komisję

    Poprawka

    2. ENISA opracowuje i prowadzi europejski rejestr podatności. W tym celu ENISA ustanawia i utrzymuje odpowiednie systemy informatyczne, polityki i procedury, w szczególności aby umożliwić podmiotom istotnym i niezbędnym oraz ich dostawcom sieci i systemów informatycznych ujawnianie i rejestrowanie podatności występujących w produktach lub usługach ICT, a także aby zapewnić wszystkim zainteresowanym stronom dostęp do informacji na temat podatności wykazanych w rejestrze. Rejestr zawiera w szczególności informacje na temat podatności, produktu lub usług ICT, których ta podatność dotyczy, oraz dotkliwości podatności pod względem okoliczności, w jakich może ona zostać wykorzystana, dostępności powiązanych łat oraz, w przypadku braku dostępnych łat, wytyczne skierowane do użytkowników produktów i usług, których dotyczy podatność, na temat sposobów ograniczania ryzyka wynikającego z ujawnionych podatności.

    2. ENISA opracowuje i prowadzi europejską bazę danych o podatnościach, wykorzystującą globalny rejestr Wspólnych Podatności i Ekspozycji na Ryzyko (CVE). W tym celu ENISA ustanawia i utrzymuje odpowiednie systemy informatyczne, polityki i procedury, a także przyjmuje środki techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa i integralności bazy danych, w szczególności aby umożliwić podmiotom istotnym i niezbędnym oraz ich dostawcom sieci i systemów informatycznych, a także podmiotom nieobjętym zakresem niniejszej dyrektywy oraz ich dostawcom ujawnianie i rejestrowanie podatności występujących w produktach lub usługach ICT. Wszystkie zainteresowane strony otrzymują dostęp do informacji na temat podatności wykazanych w bazie danych, do których istnieją łaty lub środki łagodzące. Baza danych zawiera w szczególności informacje na temat podatności, produktu lub usług ICT, których ta podatność dotyczy, oraz dotkliwości podatności pod względem okoliczności, w jakich może ona zostać wykorzystana, oraz dostępności powiązanych łat. W przypadku braku dostępnych łat w bazie danych podaje się wytyczne skierowane do użytkowników produktów i usług, których dotyczy podatność, na temat sposobów ograniczania ryzyka wynikającego z ujawnionych podatności.

    Poprawka  128

     

    Wniosek dotyczący dyrektywy

    Artykuł 7 – ustęp 1 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    1a. Jeżeli państwo członkowskie wyznaczy więcej niż jeden właściwy organ, o którym mowa w ust. 1, jasno wskazuje, który z nich ma być koordynatorem zarządzania incydentami i kryzysami na dużą skalę.

    Poprawka  129

     

    Wniosek dotyczący dyrektywy

    Artykuł 7 – ustęp 2

     

    Tekst proponowany przez Komisję

    Poprawka

    2. Każde państwo członkowskie określa zdolności, zasoby i procedury, które można wykorzystać w razie kryzysu do celów niniejszej dyrektywy.

    (Nie dotyczy polskiej wersji językowej)

    Poprawka  130

     

    Wniosek dotyczący dyrektywy

    Artykuł 7 – ustęp 4

     

    Tekst proponowany przez Komisję

    Poprawka

    4. Państwa członkowskie informują Komisję o wyznaczeniu właściwych organów, o których mowa w ust. 1, i przedkładają krajowe plany reagowania na cyberincydenty i kryzysy cyberbezpieczeństwa, o których mowa w ust. 3, w terminie trzech miesięcy od daty wyznaczenia tych organów oraz od daty przyjęcia tych planów. Państwa członkowskie mogą wyłączyć niektóre konkretne informacje z planu, jeżeli – i w zakresie w jakim – jest to absolutnie niezbędne dla zachowania bezpieczeństwa narodowego.

    4. Państwa członkowskie informują Komisję o wyznaczeniu właściwych organów, o których mowa w ust. 1, i przedkładają w EU-CyCLONe krajowe plany reagowania na cyberincydenty i kryzysy cyberbezpieczeństwa, o których mowa w ust. 3, w terminie trzech miesięcy od daty wyznaczenia tych organów oraz od daty przyjęcia tych planów. Państwa członkowskie mogą wyłączyć niektóre konkretne informacje z planu, jeżeli – i w zakresie w jakim – jest to absolutnie niezbędne dla zachowania bezpieczeństwa narodowego.

    Poprawka  131

     

    Wniosek dotyczący dyrektywy

    Artykuł 8 – ustęp 3

     

    Tekst proponowany przez Komisję

    Poprawka

    3. Każde państwo członkowskie wyznacza jeden krajowy pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa („pojedynczy punkt kontaktowy”). W przypadku gdy państwo członkowskie wyznacza tylko jeden właściwy organ, ten właściwy organ jest również pojedynczym punktem kontaktowym dla tego państwa członkowskiego.

    3. Każde państwo członkowskie wyznacza jeden z właściwych organów, o których mowa w ust. 1, jako krajowy pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa („pojedynczy punkt kontaktowy”). W przypadku gdy państwo członkowskie wyznacza tylko jeden właściwy organ, ten właściwy organ jest również pojedynczym punktem kontaktowym dla tego państwa członkowskiego.

    Poprawka  132

     

    Wniosek dotyczący dyrektywy

    Artykuł 8 – ustęp 4

     

    Tekst proponowany przez Komisję

    Poprawka

    4. Każdy pojedynczy punkt kontaktowy pełni funkcję łącznikową w celu zapewnienia transgranicznej współpracy organów swojego państwa członkowskiego z odpowiednimi organami w innych państwach członkowskich, a także w celu zapewnienia międzysektorowej współpracy z innymi właściwymi organami krajowymi w swoim państwie członkowskim.

    4. Każdy pojedynczy punkt kontaktowy pełni funkcję łącznikową w celu zapewnienia transgranicznej współpracy organów swojego państwa członkowskiego z odpowiednimi organami w innych państwach członkowskich, Komisją i ENISA, a także w celu zapewnienia międzysektorowej współpracy z innymi właściwymi organami krajowymi w swoim państwie członkowskim.

    Poprawka  133

     

    Wniosek dotyczący dyrektywy

    Artykuł 9 – ustęp 2

     

    Tekst proponowany przez Komisję

    Poprawka

    2. Państwa członkowskie zapewniają, aby każdy CSIRT dysponował odpowiednimi zasobami, tak aby mógł skutecznie realizować swoje zadania określone w art. 10 ust. 2.

    2. Państwa członkowskie zapewniają, aby każdy CSIRT dysponował odpowiednimi zasobami i niezbędnymi umiejętnościami technicznymi, tak aby mógł skutecznie realizować swoje zadania określone w art. 10 ust. 2.

    Poprawka  134

     

    Wniosek dotyczący dyrektywy

    Artykuł 9 – ustęp 6 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    6a. Państwa członkowskie zapewniają możliwość skutecznej, wydajnej i bezpiecznej wymiany informacji na wszystkich poziomach klasyfikacji między własnymi CSIRT a CSIRT tego samego poziomu klasyfikacji z państw trzecich.

    Poprawka  135

     

    Wniosek dotyczący dyrektywy

    Artykuł 9 – ustęp 6 b (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    6b. CSIRT, bez uszczerbku dla prawa Unii, w szczególności rozporządzenia (UE) 2016/679, współpracują z CSIRT lub równoważnymi organami w państwach kandydujących do Unii oraz innych państwach trzecich na Bałkanach Zachodnich i w Partnerstwie Wschodnim, a w razie potrzeby udzielają im pomocy w dziedzinie cyberbezpieczeństwa.

    Poprawka  136

     

    Wniosek dotyczący dyrektywy

    Artykuł 9 – ustęp 7

     

    Tekst proponowany przez Komisję

    Poprawka

    7. Państwa członkowskie bez zbędnej zwłoki przekazują Komisji informacje na temat CSIRT wyznaczonych zgodnie z ust. 1, koordynatora CSIRT wyznaczonego zgodnie z art. 6 ust. 1 oraz ich odpowiednich zadań realizowanych w odniesieniu do podmiotów, o których mowa w załącznikach I i II.

    7. Państwa członkowskie bez zbędnej zwłoki przekazują Komisji informacje na temat CSIRT wyznaczonych zgodnie z ust. 1 i koordynatora CSIRT wyznaczonego zgodnie z art. 6 ust. 1, w tym na temat ich odpowiednich zadań realizowanych w odniesieniu do podmiotów niezbędnych i istotnych.

    Poprawka  137

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – nagłówek

     

    Tekst proponowany przez Komisję

    Poprawka

    Wymogi dotyczące CSIRT i ich zadania

    Wymogi dotyczące CSIRT, ich zadania i zdolności techniczne

    Poprawka  138

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 1 – litera c

     

    Tekst proponowany przez Komisję

    Poprawka

    c) CSIRT dysponują systemem zarządzania kierowanymi do nich wnioskami i ich przekierowywania, w szczególności w celu ułatwienia skutecznego i efektywnego późniejszego przekazywania danej sprawy;

    c) CSIRT dysponują systemem klasyfikowania kierowanych do nich wniosków, ich przekierowywania i śledzenia, w szczególności w celu ułatwienia skutecznego i efektywnego późniejszego przekazywania danej sprawy;

    Poprawka  139

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 1 – litera c a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    ca) CSIRT mają odpowiednie kodeksy postępowania, by zapewnić poufność i wiarygodność swoich działań;

    Poprawka  140

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 1 – litera d

     

    Tekst proponowany przez Komisję

    Poprawka

    d) CSIRT dysponują odpowiednio licznym personelem, aby zapewnić nieprzerwaną dostępność;

    d) CSIRT dysponują odpowiednio licznym personelem, aby zapewnić nieprzerwaną dostępność oraz zapewniają odpowiednie ramy przeszkolenia tego personelu;

    Poprawka  141

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 1 – litera e

     

    Tekst proponowany przez Komisję

    Poprawka

    e) CSIRT dysponują systemami redundantnymi i rezerwowym miejscem pracy w celu zapewnienia ciągłości usług;

    e) CSIRT dysponują systemami redundantnymi i rezerwowym miejscem pracy w celu zapewnienia ciągłości usług, w tym szerokopasmową łączność we wszystkich sieciach, systemach informacyjnych, usługach i urządzeniach;

    Poprawka  142

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 1 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    1a. CSIRT rozwijają przynajmniej następujące zdolności techniczne:

     

    a) zdolność monitorowania sieci i systemów informacyjnych w czasie rzeczywistym lub niemal rzeczywistym oraz wykrywania anomalii;

     

    b) zdolność wspierania zapobiegania wtargnięciom oraz ich wykrywania;

     

    c) zdolność gromadzenia złożonych danych kryminalistycznych i ich analizy oraz inżynierii wstecznej cyberzagrożeń;

     

    d) zdolność filtrowania złośliwego ruchu;

     

    e) zdolność egzekwowania silnego uwierzytelniania, a także przywilejów i kontroli dostępu oraz

     

    f) zdolność analizowania cyberzagrożeń.

    Poprawka  143

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 2 – litera a

     

    Tekst proponowany przez Komisję

    Poprawka

    a) monitorowanie cyberzagrożeń, podatności i incydentów na poziomie krajowym;

    a) monitorowanie cyberzagrożeń, podatności i incydentów na poziomie krajowym oraz pozyskiwanie informacji o zagrożeniach w czasie rzeczywistym;

    Poprawka  144

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 2 – litera b

     

    Tekst proponowany przez Komisję

    Poprawka

    b) wczesne ostrzeganie i alarmowanie podmiotów niezbędnych i istotnych oraz innych zainteresowanych stron o cyberzagrożeniach, podatnościach i incydentach, a także kierowanie do nich ogłoszeń oraz przekazywanie im informacji dotyczących cyberzagrożeń, podatności i incydentów;

    b) wczesne ostrzeganie i alarmowanie podmiotów niezbędnych i istotnych oraz innych zainteresowanych stron o cyberzagrożeniach, podatnościach i incydentach, a także kierowanie do nich ogłoszeń oraz przekazywanie im informacji dotyczących cyberzagrożeń, podatności i incydentów, w miarę możliwości w czasie niemal rzeczywistym;

    Poprawka  145

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 2 – litera c

     

    Tekst proponowany przez Komisję

    Poprawka

    c) reagowanie na incydenty;

    c) reagowanie na incydenty i udzielanie pomocy objętym nimi podmiotom;

    Poprawka  146

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 2 – litera e

     

    Tekst proponowany przez Komisję

    Poprawka

    e) przeprowadzanie, na wniosek podmiotu, aktywnego skanowania sieci i systemów informatycznych wykorzystywanych przez dany podmiot do świadczenia usług;

    e) przeprowadzanie, na wniosek podmiotu lub w przypadku poważnego zagrożenia dla bezpieczeństwa narodowego, aktywnego skanowania sieci i systemów informatycznych wykorzystywanych przez dany podmiot do świadczenia usług;

    Poprawka  147

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 2 – litera f a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    fa) oferowanie, na wniosek danego podmiotu, umożliwienia i konfiguracji logowania sieciowego w celu ochrony danych, w tym danych osobowych, przed nieuprawnionym wyprowadzeniem;

    Poprawka  148

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 2 – litera f b (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    fb) udział we wdrażaniu bezpiecznych narzędzi wymiany informacji zgodnie z art. 9 ust. 3.

    Poprawka  149

     

    Wniosek dotyczący dyrektywy

    Artykuł 10 – ustęp 4 – wprowadzenie

     

    Tekst proponowany przez Komisję

    Poprawka

    4. Aby ułatwić współpracę, CSIRT promują przyjmowanie i stosowanie wspólnych lub znormalizowanych praktyk, systemów klasyfikacji oraz taksonomii związanych z:

    4. Aby ułatwić współpracę, CSIRT promują automatyzację wymiany informacji, przyjmowanie i stosowanie wspólnych lub znormalizowanych praktyk, systemów klasyfikacji oraz taksonomii związanych z:

    Poprawka  150

     

    Wniosek dotyczący dyrektywy

    Artykuł 11 – ustęp 2

     

    Tekst proponowany przez Komisję

    Poprawka

    2. Państwa członkowskie zapewniają, aby ich właściwe organy albo ich CSIRT odbierały zgłoszenia incydentów, istotnych cyberzagrożeń i zdarzeń potencjalnie wypadkowych dokonywane na podstawie niniejszej dyrektywy. W przypadku gdy państwo członkowskie postanowi, że jego CSIRT nie będą odbierać takich zgłoszeń, CSIRT otrzymają, w stopniu koniecznym do wykonywania swoich zadań, dostęp do danych dotyczących incydentów zgłaszanych przez podmioty niezbędne lub istotne na podstawie art. 20.

    2. Państwa członkowskie zapewniają, aby ich CSIRT odbierały zgłoszenia istotnych incydentów zgodnie z art. 20 oraz cyberzagrożeń i zdarzeń potencjalnie wypadkowych na podstawie art. 27 za pośrednictwem pojedynczego punktu kontaktowego, o którym mowa w art. 20 ust. 4a.

    Poprawka  151

     

    Wniosek dotyczący dyrektywy

    Artykuł 11 – ustęp 4

     

    Tekst proponowany przez Komisję

    Poprawka

    4. W zakresie niezbędnym do skutecznej realizacji zadań i obowiązków przewidzianych w niniejszej dyrektywie państwa członkowskie zapewniają odpowiednią współpracę między właściwymi organami pojedynczymi punktami kontaktowymi a organami ścigania, organami ochrony danych i organami odpowiedzialnymi za infrastrukturę krytyczną na mocy dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] oraz krajowymi organami finansowymi wyznaczonymi na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) XXXX/XXXX [rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego]39 w danym państwie członkowskim.

    4. W zakresie niezbędnym do skutecznej realizacji zadań i obowiązków przewidzianych w niniejszej dyrektywie państwa członkowskie zapewniają odpowiednią współpracę między właściwymi organami, pojedynczymi punktami kontaktowymi, CSIRT, organami ścigania, krajowymi organami regulacyjnymi lub innymi właściwymi organami odpowiedzialnymi za publiczne sieci łączności elektronicznej lub za publicznie dostępne usługi łączności elektronicznej zgodnie z dyrektywą (UE) 2018/1972, organami ochrony danych, organami odpowiedzialnymi za infrastrukturę krytyczną na mocy dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] oraz krajowymi organami finansowymi wyznaczonymi na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) XXXX/XXXX [rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego]39 w danym państwie członkowskim, stosownie do ich odpowiednich kompetencji.

    __________________

    __________________

    39 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

    39 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

    Poprawka  152

     

    Wniosek dotyczący dyrektywy

    Artykuł 11 – ustęp 5

     

    Tekst proponowany przez Komisję

    Poprawka

    5. Państwa członkowskie zapewniają, aby ich właściwe organy regularnie przekazywały właściwym organom wyznaczonym na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] informacje na temat ryzyka w cyberprzestrzeni, cyberzagrożeń i incydentów mających wpływ na podmioty niezbędne uznane za podmioty krytyczne lub za podmioty równoważne z podmiotami krytycznymi na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych], a także na temat środków wprowadzonych przez właściwe organy w odpowiedzi na takie ryzyko i incydenty.

    5. Państwa członkowskie zapewniają, aby ich właściwe organy regularnie przekazywały właściwym organom wyznaczonym na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] aktualne informacje na temat ryzyka w cyberprzestrzeni, cyberzagrożeń i incydentów mających wpływ na podmioty niezbędne uznane za podmioty krytyczne lub za podmioty równoważne z podmiotami krytycznymi na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych], a także na temat środków wprowadzonych przez właściwe organy w odpowiedzi na takie ryzyko i incydenty.

    Poprawka  153

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 3 – akapit 1

     

    Tekst proponowany przez Komisję

    Poprawka

    Grupa Współpracy składa się z przedstawicieli państw członkowskich, Komisji i ENISA. Europejska Służba Działań Zewnętrznych uczestniczy w działaniach Grupy Współpracy w charakterze obserwatora. Zgodnie z art. 17 ust. 5 lit. c) rozporządzenia (UE) XXXX/XXXX [rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego] Europejskie Urzędy Nadzoru mogą uczestniczyć w działaniach Grupy Współpracy.

    Grupa Współpracy składa się z przedstawicieli państw członkowskich, Komisji i ENISA. Parlament Europejski i Europejska Służba Działań Zewnętrznych uczestniczą w działaniach Grupy Współpracy w charakterze obserwatorów. Zgodnie z art. 17 ust. 5 lit. c) rozporządzenia (UE) XXXX/XXXX [rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego] Europejskie Urzędy Nadzoru mogą uczestniczyć w działaniach Grupy Współpracy.

    Poprawka  154

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 3 – akapit 2

     

    Tekst proponowany przez Komisję

    Poprawka

    W stosownych przypadkach Grupa Współpracy może zapraszać przedstawicieli odpowiednich zainteresowanych stron do udziału w swoich pracach.

    W stosownych przypadkach Grupa Współpracy może zapraszać przedstawicieli odpowiednich zainteresowanych stron, na przykład Europejską Radę Ochrony Danych i przedstawicieli branży, do udziału w swoich pracach.

    Poprawka  155

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 4 – litera b

     

    Tekst proponowany przez Komisję

    Poprawka

    b) wymiana najlepszych praktyk i informacji w związku z wdrażaniem niniejszej dyrektywy, w tym w odniesieniu do cyberzagrożeń, incydentów, podatności, zdarzeń potencjalnie wypadkowych, inicjatyw na rzecz podnoszenia świadomości, szkoleń, ćwiczeń i umiejętności, budowania zdolności, a także norm i specyfikacji technicznych;

    b) wymiana najlepszych praktyk i informacji w związku z wdrażaniem niniejszej dyrektywy, w tym w odniesieniu do cyberzagrożeń, incydentów, podatności, zdarzeń potencjalnie wypadkowych, inicjatyw na rzecz podnoszenia świadomości, szkoleń, ćwiczeń i umiejętności, budowania zdolności, norm i specyfikacji technicznych, a także identyfikowania podmiotów niezbędnych i istotnych;

    Poprawka  156

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 4 – litera b a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    ba) prowadzenie ewidencji rozwiązań krajowych w celu promowania kompatybilności rozwiązań w zakresie cyberbezpieczeństwa stosowanych w poszczególnych sektorach w całej Unii;

    Poprawka  157

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 4 – litera c

     

    Tekst proponowany przez Komisję

    Poprawka

    c) wymiana porad i współpraca z Komisją w zakresie nowych inicjatyw dotyczących polityki cyberbezpieczeństwa;

    c) wymiana porad i współpraca z Komisją w zakresie nowych inicjatyw dotyczących polityki cyberbezpieczeństwa oraz całościowej spójności sektorowych wymogów dotyczących cyberbezpieczeństwa;

    Poprawka  158

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 4 – litera f

     

    Tekst proponowany przez Komisję

    Poprawka

    f) omawianie sprawozdań z wzajemnej oceny, o których mowa w art. 16 ust. 7;

    f) omawianie sprawozdań z wzajemnej oceny, o których mowa w art. 16 ust. 7, oraz formułowanie wniosków i zaleceń;

    Poprawka  159

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 4 – litera f a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    fa) prowadzenie skoordynowanych ocen ryzyka dotyczących bezpieczeństwa zainicjowanych zgodnie z art. 19 ust. 1, we współpracy z Komisją i ENISA;

    Poprawka  160

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 4 – litera k a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    ka) przedkładanie Komisji na potrzeby przeglądu, o którym mowa w art. 35, sprawozdań dotyczących doświadczeń zdobytych na poziomie strategicznym i operacyjnym;

    Poprawka  161

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 4 – litera k b (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    kb) dostarczanie we współpracy z ENISA, Europolem i krajowymi organami ścigania corocznej oceny tego, które państwa trzecie dają schronienie przestępcom wykorzystującym oprogramowanie szantażujące.

    Poprawka  162

     

    Wniosek dotyczący dyrektywy

    Artykuł 12 – ustęp 8

     

    Tekst proponowany przez Komisję

    Poprawka

    8. Grupa Współpracy spotyka się regularnie, przy czym co najmniej raz w roku, z Grupą ds. Odporności Podmiotów Krytycznych ustanowioną na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] w celu propagowania współpracy strategicznej i wymiany informacji.

    8. Grupa Współpracy spotyka się regularnie, przy czym co najmniej dwa razy w roku, z Grupą ds. Odporności Podmiotów Krytycznych ustanowioną na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] w celu ułatwiania współpracy strategicznej i wymiany informacji.

    Poprawka  163

     

    Wniosek dotyczący dyrektywy

    Artykuł 13 – ustęp 3 – litera a a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    aa) ułatwianie wzajemnego udostępniania i przekazywania technologii i odpowiednich środków, polityki, najlepszych praktyk i ram między CSIRT;

    Poprawka  164

     

    Wniosek dotyczący dyrektywy

    Artykuł 13 – ustęp 3 – litera b a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    ba) zapewnianie interoperacyjności w zakresie standardów wymiany informacji;

    Poprawka  165

     

    Wniosek dotyczący dyrektywy

    Artykuł 14 – ustęp 1

     

    Tekst proponowany przez Komisję

    Poprawka

    1. Niniejszym ustanawia się europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe), aby wspierać skoordynowane zarządzanie cyberincydentami i kryzysami cyberbezpieczeństwa na dużą skalę oraz zapewniać regularną wymianę informacji między państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii.

    1. Niniejszym ustanawia się europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe), aby wspierać skoordynowane zarządzanie cyberincydentami i kryzysami cyberbezpieczeństwa na dużą skalę oraz zapewniać regularną wymianę odpowiednich informacji między państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii.

    Poprawka  166

     

    Wniosek dotyczący dyrektywy

    Artykuł 14 – ustęp 2

     

    Tekst proponowany przez Komisję

    Poprawka

    2. EU-CyCLONe składa się z przedstawicieli organów zarządzania kryzysowego państw członkowskich, wyznaczonych zgodnie z art. 7, Komisji i ENISA. ENISA zapewnia obsługę sekretariatu sieci i wspiera bezpieczną wymianę informacji.

    2. EU-CyCLONe składa się z przedstawicieli organów zarządzania kryzysowego państw członkowskich, wyznaczonych zgodnie z art. 7, Komisji i ENISA. ENISA zapewnia obsługę sekretariatu EU-CyCLONe i wspiera bezpieczną wymianę informacji.

    Poprawka  167

     

    Wniosek dotyczący dyrektywy

    Artykuł 14 – ustęp 5

     

    Tekst proponowany przez Komisję

    Poprawka

    5. EU-CyCLONe regularnie składa Grupie Współpracy sprawozdania na temat cyberzagrożeń, incydentów i tendencji w dziedzinie cyberbezpieczeństwa, koncentrując się w szczególności na ich wpływie na podmioty niezbędne i istotne.

    5. EU-CyCLONe regularnie składa Grupie Współpracy sprawozdania na temat incydentów i kryzysów na dużą skalę, a także na temat tendencji, koncentrując się w szczególności na ich wpływie na podmioty niezbędne i istotne.

    Poprawka  168

     

    Wniosek dotyczący dyrektywy

    Artykuł 15 – ustęp 1 – wprowadzenie

     

    Tekst proponowany przez Komisję

    Poprawka

    1. ENISA wydaje co dwa lata, we współpracy z Komisją, sprawozdanie o stanie cyberbezpieczeństwa w Unii. Sprawozdanie zawiera w szczególności ocenę następujących elementów:

    1. ENISA wydaje co dwa lata, we współpracy z Komisją, sprawozdanie o stanie cyberbezpieczeństwa w Unii oraz przedkłada je i prezentuje Parlamentowi Europejskiemu. Sprawozdanie jest dostarczane w formacie nadającym się do odczytu maszynowego i zawiera w szczególności ocenę następujących elementów:

    Poprawka  169

     

    Wniosek dotyczący dyrektywy

    Artykuł 15 – ustęp 1 – litera a a (nowa)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    aa) ogólnego poziomu świadomości i higieny w zakresie cyberbezpieczeństwa wśród obywateli i podmiotów, w tym MŚP, a także ogólnego poziomu bezpieczeństwa urządzeń podłączonych do internetu;

    Poprawka  170

     

    Wniosek dotyczący dyrektywy

    Artykuł 15 – ustęp 1 – litera c

     

    Tekst proponowany przez Komisję

    Poprawka

    c) wskaźnika cyberbezpieczeństwa zapewniającego zbiorczą ocenę poziomu dojrzałości zdolności w zakresie cyberbezpieczeństwa.

    c) wskaźnika cyberbezpieczeństwa zapewniającego zbiorczą ocenę poziomu dojrzałości zdolności w zakresie cyberbezpieczeństwa w Unii, w tym dostosowania krajowych strategii cyberbezpieczeństwa państw członkowskich;

    Poprawka  171

     

    Wniosek dotyczący dyrektywy

    Artykuł 15 – ustęp 2

     

    Tekst proponowany przez Komisję

    Poprawka

    2. Sprawozdanie zawiera konkretne zalecenia polityczne dotyczące zwiększenia poziomu cyberbezpieczeństwa w całej Unii oraz streszczenie ustaleń za dany okres zawartych w raportach technicznych Agencji o stanie cyberbezpieczeństwa w UE wydanych przez ENISA zgodnie z art. 7 ust. 6 rozporządzenia (UE) 2019/881.

    2. Sprawozdanie wskazuje na konkretne przeszkody i zawiera konkretne zalecenia polityczne dotyczące zwiększenia poziomu cyberbezpieczeństwa w całej Unii oraz streszczenie ustaleń za dany okres zawartych w raportach technicznych Agencji o stanie cyberbezpieczeństwa w UE wydanych przez ENISA zgodnie z art. 7 ust. 6 rozporządzenia (UE) 2019/881.

    Poprawka  172

     

    Wniosek dotyczący dyrektywy

    Artykuł 15 – ustęp 2 a (nowy)

     

    Tekst proponowany przez Komisję

    Poprawka

     

    2a. ENISA, we współpracy z Komisją oraz zgodnie z wytycznymi Grupy Współpracy i sieci CSIRT, opracowuje metodykę, w tym odpowiednie zmienne wskaźnika cyberbezpieczeństwa, o którym mowa w ust. 1 lit. c).

    Poprawka  173

     

    Wniosek dotyczący dyrektywy

    Artykuł 16 – ustęp 1 – wprowadzenie

     

    Tekst proponowany przez Komisję

    Poprawka

    1. Komisja ustanawia, po konsultacji z Grupą Współpracy i ENISA i najpóźniej 18 miesięcy po wejściu w życie niniejszej dyrektywy, metodykę i zawartość systemu wzajemnej oceny służącego do oceny skuteczności polityki cyberbezpieczeństwa państw członkowskich. Oceny są przeprowadzane przez ekspertów technicznych ds. cyberbezpieczeństwa pochodzących z innych państw członkowskich niż państwo poddawane ocenie i obejmują co najmniej następujące kwestie:

    1. Komisja ustanawia, po konsultacji z Grupą Współpracy i ENISA i najpóźniej do ... [18 miesięcy po wejściu w życie niniejszej dyrektywy], metodykę i zawartość systemu wzajemnej oceny służącego do oceny skuteczności polityki cyberbezpieczeństwa państw członkowskich. Wzajemne oceny są przeprowadzane w konsultacji z ENISA przez ekspertów technicznych ds. cyberbezpieczeństwa pochodzących z co najmniej dwóch innych państw członkowskich niż państwo poddawane ocenie i obejmują co najmniej następujące kwestie:

    Poprawka  174