RAPORT referitor la propunerea de Directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148
4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I
Comisia pentru industrie, cercetare și energie
Raportor: Bart Groothuis
Raportor pentru aviz (*):
Lukas Mandl, Comisia pentru libertăți civile, justiție și afaceri interne
(*) Procedura comisiilor asociate – articolul 57 din Regulamentul de procedură
- PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN
- EXPUNERE DE MOTIVE
- AVIZ AL COMISIEI PENTRU LIBERTĂȚI CIVILE, JUSTIȚIE ȘI AFACERI INTERNE
- AVIZ AL COMISIEI PENTRU AFACERI EXTERNE
- AVIZ AL COMISIEI PENTRU PIAȚA INTERNĂ ȘI PROTECȚIA CONSUMATORILOR
- AVIZ AL COMISIEI PENTRU TRANSPORT ȘI TURISM
- PROCEDURA COMISIEI COMPETENTE
- VOT FINAL PRIN APEL NOMINAL ÎN COMISIA COMPETENTĂ
PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN
referitoare la propunerea de Directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148
(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))
(Procedura legislativă ordinară: prima lectură)
Parlamentul European,
– având în vedere propunerea Comisiei prezentată Parlamentului European și Consiliului (COM(2020)0823),
– având în vedere articolul 294 alineatul (2) și articolul 114 din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie Parlamentului (C9-0422/2020),
– având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,
– având în vedere avizul Comitetului Economic și Social European din 27 aprilie 2021[1],
– după consultarea Comitetului Regiunilor,
– având în vedere articolul 59 din Regulamentul său de procedură,
– având în vedere avizul Comisiei pentru libertăți civile, justiție și afaceri interne, pe cel al Comisiei pentru afaceri externe, pe cel al Comisiei pentru piața internă și protecția consumatorilor și pe cel al Comisiei pentru transport și turism,
– având în vedere raportul Comisiei pentru industrie, cercetare și energie (A9-0313/2021),
1. adoptă poziția sa în primă lectură prezentată în continuare;
2. solicită Comisiei să îl sesizeze din nou în cazul în care își înlocuiește, își modifică în mod substanțial sau intenționează să-și modifice în mod substanțial propunerea;
3. îi încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.
Amendamentul 1
Propunere de directivă
Titlu
|
|
Textul propus de Comisie |
Amendamentul |
Propunere de |
Propunere de |
DIRECTIVĂ A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI |
DIRECTIVĂ A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI |
privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148 |
privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS), de abrogare a Directivei (UE) 2016/1148 |
Amendamentul 2
Propunere de directivă
Considerentul 1
|
|
Textul propus de Comisie |
Amendamentul |
(1) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului11 vizează consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente de securitate cibernetică, contribuind astfel la funcționarea eficace a economiei și a societății Uniunii. |
(1) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului11, cunoscută sub numele de Directiva NIS, vizează consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente de securitate cibernetică, contribuind astfel la securitatea Uniunii și la funcționarea eficace a economiei și a societății sale. |
__________________ |
__________________ |
11 Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194/1, 19.7.2016, p. 1). |
11 Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194/1, 19.7.2016, p. 1). |
Amendamentul 3
Propunere de directivă
Considerentul 3
|
|
Textul propus de Comisie |
Amendamentul |
(3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne. |
(3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne. În plus, securitatea cibernetică este un factor-cheie pentru ca multe sectoare critice să adopte cu succes transformarea digitală și să profite pe deplin de beneficiile economice, sociale și sustenabile ale digitalizării. |
Amendamentul 4
Propunere de directivă
Considerentul 3 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(3a) Incidentele și crizele de securitate cibernetică de mare amploare de la nivelul Uniunii necesită acțiuni coordonate pentru a asigura un răspuns rapid și eficace, din cauza gradului ridicat de interdependență dintre sectoare și țări. Disponibilitatea rețelelor și a sistemelor informatice reziliente din punct de vedere cibernetic, precum și disponibilitatea, confidențialitatea și integritatea datelor sunt vitale pentru securitatea Uniunii atât în interiorul, cât și în afara frontierelor sale, având în vedere că amenințările cibernetice și-ar putea avea originea în afara Uniunii. Ambiția Uniunii de a dobândi un rol geopolitic mai proeminent se bazează, de asemenea, pe apărarea și pe descurajarea cibernetice credibile, inclusiv pe capacitatea de a identifica acțiuni răuvoitoare în mod efectiv și în timp util și de a reacționa în mod adecvat. |
Amendamentul 5
Propunere de directivă
Considerentul 5
|
|
Textul propus de Comisie |
Amendamentul |
(5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă. |
(5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. În cele din urmă, aceste divergențe ar putea duce la o vulnerabilitate mai mare a unor state membre la amenințările la adresa securității cibernetice, cu potențiale efecte de propagare în întreaga Uniune. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă (Directiva NIS2). |
Amendamentul 6
Propunere de directivă
Considerentul 6
|
|
Textul propus de Comisie |
Amendamentul |
(6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14. |
(6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite prevenirea, investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14. |
__________________ |
__________________ |
14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC). |
14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC). |
Amendamentul 7
Propunere de directivă
Considerentul 7
|
|
Textul propus de Comisie |
Amendamentul |
(7) Odată cu abrogarea Directivei (UE) 2016/1148, domeniul de aplicare ar trebui extins la mai multe sectoare economice, având în vedere considerentele 4-6. Sectoarele reglementate de Directiva (UE) 2016/1148 ar trebui, prin urmare, să fie extinse pentru a oferi o acoperire cuprinzătoare a sectoarelor și a serviciilor de importanță vitală pentru activitățile societale și economice esențiale din cadrul pieței interne. Normele nu ar trebui să fie diferite în funcție de statutul entităților: operatori de servicii esențiale sau furnizori de servicii digitale. Această diferențiere s-a dovedit a fi caducă, deoarece nu reflectă importanța reală a sectoarelor sau a serviciilor pentru activitățile sociale și economice de pe piața internă. |
(7) Odată cu abrogarea Directivei (UE) 2016/1148, domeniul de aplicare ar trebui extins la mai multe sectoare economice, având în vedere considerentele 4-6. Sectoarele reglementate de Directiva (UE) 2016/1148 ar trebui, prin urmare, să fie extinse pentru a oferi o acoperire cuprinzătoare a sectoarelor și a serviciilor de importanță vitală pentru activitățile societale și economice esențiale din cadrul pieței interne. Cerințele de gestionare a riscurilor și obligațiile de informare nu ar trebui să fie diferite în funcție de statutul entităților: operatori de servicii esențiale sau furnizori de servicii digitale. Această diferențiere s-a dovedit a fi caducă, deoarece nu reflectă importanța reală a sectoarelor sau a serviciilor pentru activitățile sociale și economice de pe piața internă. |
Amendamentul 8
Propunere de directivă
Considerentul 8
|
|
Textul propus de Comisie |
Amendamentul |
(8) În conformitate cu Directiva (UE) 2016/1148, statele membre au fost responsabile de stabilirea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale („procesul de identificare”). Pentru a elimina divergențele mari dintre statele membre în această privință și pentru a asigura securitatea juridică în ceea ce privește cerințele de gestionare a riscurilor și obligațiile de raportare pentru toate entitățile relevante, ar trebui stabilit un criteriu uniform care să stabilească care sunt entitățile ce intră în domeniul de aplicare al prezentei directive. Acest criteriu ar trebui să constea în aplicarea regulii privind criteriul de dimensiune, conform căruia toate întreprinderile mijlocii și mari, astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei15, care își desfășoară activitatea în sectoarele reglementate de prezenta directivă sau furnizează tipul de servicii reglementate de aceasta intră în domeniul său de aplicare. Statele membre nu ar trebui să aibă obligația de a întocmi o listă a entităților care îndeplinesc acest criteriu general aplicabil în ceea ce privește dimensiunea. |
(8) În conformitate cu Directiva (UE) 2016/1148, statele membre au fost responsabile de stabilirea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale („procesul de identificare”). Pentru a elimina divergențele mari dintre statele membre în această privință și pentru a asigura securitatea juridică în ceea ce privește cerințele de gestionare a riscurilor și obligațiile de raportare pentru toate entitățile relevante, ar trebui stabilit un criteriu uniform care să stabilească care sunt entitățile ce intră în domeniul de aplicare al prezentei directive. Acest criteriu ar trebui să constea în aplicarea regulii privind criteriul de dimensiune, conform căruia toate întreprinderile mijlocii și mari, astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei15, care își desfășoară activitatea în sectoarele reglementate de prezenta directivă sau furnizează tipul de servicii reglementate de aceasta intră în domeniul său de aplicare. |
__________________ |
__________________ |
15 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
15 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
Amendamentul 9
Propunere de directivă
Considerentul 9
|
|
Textul propus de Comisie |
Amendamentul |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei. |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. |
Amendamentul 10
Propunere de directivă
Considerentul 9 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(9a) Statele membre ar trebui să întocmească o listă a tuturor entităților esențiale și importante. Lista respectivă ar trebui să cuprindă entitățile care îndeplinesc criteriile general aplicabile legate de dimensiune, precum și întreprinderile mici și microîntreprinderile care îndeplinesc anumite criterii care indică rolul lor esențial pentru economiile sau societățile statelor membre. Pentru ca echipele de intervenție în caz de incidente de securitate informatică (CSIRT) și autoritățile competente să ofere asistență și să avertizeze entitățile cu privire la incidentele cibernetice care le-ar putea afecta, este important ca aceste autorități să dispună de datele de contact corecte ale entităților. Prin urmare, entitățile esențiale și importante ar trebui să transmită autorităților competente cel puțin următoarele informații: denumirea entității, adresa și datele de contact actualizate, inclusiv adresele de e-mail, seriile de adrese IP, numerele de telefon, precum și sectorul(sectoarele) relevant(e) menționat(e) în anexele I și II. Entitățile ar trebui să comunice autorităților competente orice modificare a informațiilor respective. Statele membre ar trebui să se asigure, fără întârzieri nejustificate, că informațiile respective pot fi transmise cu ușurință prin intermediul unui singur punct de intrare. În acest scop, ENISA, în cooperare cu Grupul de cooperare, ar trebui să emită fără întârzieri nejustificate orientări și modele privind obligațiile de notificare. Statele membre ar trebui să comunice Comisiei și Grupului de cooperare numărul de entități esențiale și importante. De asemenea, statele membre ar trebui să comunice Comisiei, în scopul reexaminării menționate în prezenta directivă, denumirile întreprinderilor mici și ale microîntreprinderilor identificate ca fiind entități esențiale și importante, pentru a permite Comisiei să evalueze coerența abordărilor statelor membre. Informațiile respective ar trebui tratate ca fiind strict confidențiale. |
Amendamentul 11
Propunere de directivă
Considerentul 10
|
|
Textul propus de Comisie |
Amendamentul |
(10) Comisia, în cooperare cu Grupul de cooperare, poate emite orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. |
(10) Comisia, în cooperare cu Grupul de cooperare și cu părțile interesate relevante, ar trebui să emită orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. Comisia ar trebui, de asemenea, să asigure că se oferă orientări adecvate tuturor microîntreprinderilor și întreprinderilor mici care intră în domeniul de aplicare al prezentei directive. Comisia ar trebui să le ofere microîntreprinderilor și întreprinderilor mici informații în acest sens, cu sprijinul statelor membre. |
Amendamentul 12
Propunere de directivă
Considerentul 10 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(10a) Comisia ar mai trebui să formuleze orientări pentru a sprijini statele membre în punerea în aplicare corectă a dispozițiilor privind domeniul de aplicare și pentru a evalua proporționalitatea obligațiilor prevăzute de prezenta directivă, îndeosebi atunci când privește entități cu modele de afaceri sau medii de funcționare complexe, în baza cărora o entitate poate îndeplini simultan criteriile atribuite atât entităților esențiale, cât și celor importante, sau poate desfășura simultan unele activități care se încadrează în domeniul de aplicare al prezentei directive și altele care nu se încadrează. |
Amendamentul 13
Propunere de directivă
Considerentul 12
|
|
Textul propus de Comisie |
Amendamentul |
(12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente ori amenințări cibernetice semnificative cu un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia poate emite orientări cu privire la punerea în aplicare a lex specialis. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei. |
(12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. Actele legislative sectoriale ale Uniunii care impun ca entitățile esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să informeze cu privire la incidentele semnificative ar trebui să fie, pe cât posibil, în concordanță cu terminologia și să facă trimitere la definițiile prevăzute în prezenta directivă. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente, și în cazul în care aceste cerințe au un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă și se aplică pentru totalitatea aspectelor de securitate ale operațiunilor și serviciilor prestate de entitățile esențiale sau importante, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia ar trebui să emită orientări cuprinzătoare cu privire la punerea în aplicare a lex specialis, ținând seama de avizele relevante, de cunoștințele de specialitate și de bunele practici ale ENISA și ale Grupului de cooperare. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor și care iau în considerare în mod corespunzător necesitatea existenței unui cadru cuprinzător și coerent în materie de securitate cibernetică. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei. |
Amendamentul 14
Propunere de directivă
Considerentul 14
|
|
Textul propus de Comisie |
Amendamentul |
(14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritatea competentă în temeiul prezentei directive și cea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații în acest scop. |
(14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritățile competente ale statelor membre și între cele din statele membre, în temeiul prezentei directive și autoritatea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații fără întârzieri nejustificate, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații, pe cât posibil în timp real, în acest scop. |
__________________ |
__________________ |
17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 15
Propunere de directivă
Considerentul 15
|
|
Textul propus de Comisie |
Amendamentul |
(15) Respectarea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) este un factor-cheie pentru menținerea integrității internetului, esențial pentru funcționarea sa continuă și stabilă, de care depind economia digitală și societatea. Prin urmare, prezenta directivă ar trebui să se aplice tuturor furnizorilor de servicii DNS de-a lungul lanțului de rezoluție a DNS, inclusiv operatorilor de servere pentru numele primare, de servere cu nume de domeniu de prim nivel (TLD), de servere cu nume de utilizator autorizat pentru nume de domenii și de rezolvere recursive. |
(15) Respectarea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) este un factor-cheie pentru menținerea integrității internetului, esențial pentru funcționarea sa continuă și stabilă, de care depind economia digitală și societatea. Prin urmare, prezenta directivă ar trebui să se aplice serverelor cu nume de domeniu de prim nivel (TLD), serviciilor de rezoluție a numelor de domenii recursive disponibile publicului pentru utilizatorii finali de internet, precum și serviciilor cu autoritate de rezoluție a numelor de domenii. Prezenta directivă nu se aplică serverelor pentru numele primare. |
Amendamentul 16
Propunere de directivă
Considerentul 19
|
|
Textul propus de Comisie |
Amendamentul |
(19) Furnizorii de servicii poștale în sensul Directivei 97/67/CE a Parlamentului European și a Consiliului18, precum și furnizorii de servicii de curierat și curierat rapid ar trebui să facă obiectul prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special ridicarea, sortarea sau distribuția, inclusiv serviciile de preluare. Serviciile de transport care nu sunt efectuate împreună cu una dintre aceste etape nu ar trebui să intre în domeniul de aplicare al serviciilor poștale. |
(19) Furnizorii de servicii poștale în sensul Directivei 97/67/CE a Parlamentului European și a Consiliului18, precum și furnizorii de servicii de curierat și curierat rapid ar trebui să facă obiectul prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special ridicarea, sortarea sau distribuția, inclusiv serviciile de preluare, ținând seama totodată de gradul lor de dependență de rețele și de sistemele informatice. Serviciile de transport care nu sunt efectuate împreună cu una dintre aceste etape nu ar trebui să intre în domeniul de aplicare al serviciilor poștale. |
__________________ |
__________________ |
18 Directiva 97/67/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind normele comune pentru dezvoltarea pieței interne a serviciilor poștale ale Comunității și îmbunătățirea calității serviciului (JO L 15, 21.1.1998, p. 14). |
18 Directiva 97/67/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind normele comune pentru dezvoltarea pieței interne a serviciilor poștale ale Comunității și îmbunătățirea calității serviciului (JO L 15, 21.1.1998, p. 14). |
Amendamentul 17
Propunere de directivă
Considerentul 20
|
|
Textul propus de Comisie |
Amendamentul |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Intensificarea atacurilor împotriva sistemelor informatice în timpul pandemiei de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. |
Amendamentul 18
Propunere de directivă
Considerentul 24
|
|
Textul propus de Comisie |
Amendamentul |
(24) Statele membre ar trebui să fie echipate în mod adecvat, din punct de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse rețelele și sistemele informatice. Prin urmare, statele membre ar trebui să se asigure că dețin CSIRT care funcționează corespunzător, cunoscute și drept echipe de intervenție în caz de urgență informatică („CERT”), care respectă cerințele esențiale pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. În vederea consolidării relației de încredere dintre entități și CSIRT, în cazurile în care o echipă CSIRT face parte din autoritatea competentă, statele membre ar trebui să aibă în vedere separarea funcțională între sarcinile operaționale furnizate de CSIRT, în special în ceea ce privește schimbul de informații și sprijinul acordat entităților, și activitățile de supraveghere ale autorităților competente. |
(24) Statele membre ar trebui să fie echipate în mod adecvat, din punct de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse rețelele și sistemele informatice. Prin urmare, statele membre ar trebui să desemneze unul sau mai multe CSIRT conform prezentei directive și să se asigure că acestea funcționează corespunzător, respectând cerințele esențiale pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. Statele membre pot să desemneze în calitate de CSIRT echipe existente de intervenție în caz de urgență informatică („CERT”). În vederea consolidării relației de încredere dintre entități și CSIRT, în cazurile în care o echipă CSIRT face parte din autoritatea competentă, statele membre ar trebui să aibă în vedere separarea funcțională între sarcinile operaționale furnizate de CSIRT, în special în ceea ce privește schimbul de informații și sprijinul acordat entităților, și activitățile de supraveghere ale autorităților competente. |
Amendamentul 19
Propunere de directivă
Considerentul 25
|
|
Textul propus de Comisie |
Amendamentul |
(25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale. |
(25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive sau în cazul unei amenințări grave la adresa securității naționale, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale. |
__________________ |
__________________ |
19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
Amendamentul 20
Propunere de directivă
Considerentul 25 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(25a) CSIRT ar trebui să aibă capacitatea, la cererea unei entități, de a descoperi, a gestiona și a supraveghea fără întrerupere toate resursele conectate la internet, atât la locurile de muncă, cât și în exteriorul acestora, pentru a înțelege riscul organizațional general al acestora pentru compromisurile sau vulnerabilitățile critice nou-descoperite din lanțul de aprovizionare. Este important să se știe dacă o entitate exploatează o interfață de gestionare privilegiată, pentru că acest lucru influențează rapiditate măsurilor de atenuare. |
Amendamentul 21
Propunere de directivă
Considerentul 26
|
|
Textul propus de Comisie |
Amendamentul |
(26) Având în vedere importanța cooperării internaționale în privința securității cibernetice, CSIRT ar trebui să aibă posibilitatea să participe la rețele de cooperare internațională, în plus față de rețeaua CSIRT instituită prin prezenta directivă. |
(26) Având în vedere importanța cooperării internaționale în privința securității cibernetice, CSIRT ar trebui să aibă posibilitatea să participe la rețele de cooperare internațională, inclusiv cu CSIRT din țări terțe în care schimburile de informații sunt reciproce și benefice pentru securitatea cetățenilor și a entităților, în plus față de rețeaua CSIRT instituită prin prezenta directivă, pentru a contribui la elaborarea de standarde ale Uniunii care pot modela peisajul securității cibernetice la nivel internațional. Statele membre ar putea, de asemenea, să analizeze posibilitatea intensificării cooperării cu țările partenere care împărtășesc aceeași viziune și cu organizațiile internaționale, cu scopul de a ajunge la încheierea de acorduri multilaterale privind normele cibernetice, un comportament responsabil al statelor și al actorilor nestatali în spațiul cibernetic și o administrare digitală eficace la nivel mondial, precum și de a crea un spațiu cibernetic deschis, liber, stabil și securizat, bazat pe dreptul internațional. |
Amendamentul 22
Propunere de directivă
Considerentul 26 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26a) Politicile de igienă cibernetică asigură baza pentru protecția infrastructurilor de rețele și sisteme informatice, pentru securitatea hardware, software și a aplicațiilor online, precum și pentru protecția datelor întreprinderilor sau a utilizatorilor finali pe care se bazează entitățile. Politicile de igienă cibernetică care cuprind un set de practici de referință comun, inclusiv, dar fără a se limita la actualizări software și hardware, modificări ale parolelor, gestionarea noilor instalări, limitarea conturilor cu acces la nivel de administrator și copierea de rezervă a datelor, permit un cadru proactiv de pregătire și de siguranță și securitate generale în caz de incidente sau amenințări. ENISA ar trebui să monitorizeze și să evalueze politicile de igienă cibernetică ale statelor membre și să analizeze sisteme la nivelul UE pentru a permite verificările transfrontaliere, care să asigure echivalența independent de cerințele statelor membre. |
Amendamentul 23
Propunere de directivă
Considerentul 26 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26b) Utilizarea inteligenței artificiale (IA) în securitatea cibernetică poate îmbunătăți detectarea și stoparea atacurilor împotriva rețelelor și a sistemelor informatice, permițând reorientarea resurselor către combaterea atacurilor mai sofisticate. Prin urmare, statele membre ar trebui să încurajeze în strategiile lor naționale utilizarea instrumentelor automatizate în securitatea cibernetică și partajarea de date necesare pentru a antrena și a îmbunătăți instrumentele automatizate în securitatea cibernetică. Pentru a atenua riscurile de ingerință nejustificată în drepturile și libertățile persoanelor fizice pe care le-ar putea prezenta sistemele bazate pe IA, se aplică cerințele privind protecția datelor începând cu momentul conceperii și în mod implicit prevăzute la articolul 25 din Regulamentul (UE) 2016/679. Integrarea unor garanții adecvate, cum ar fi pseudonimizarea, criptarea, acuratețea datelor și reducerea la minimum a datelor, ar putea, de asemenea, atenua astfel de riscuri. |
Amendamentul 24
Propunere de directivă
Considerentul 26 c (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26c) Instrumentele și aplicațiile de securitate cibernetică cu sursă deschisă pot contribui la un grad mai ridicat de transparență și pot avea un impact pozitiv asupra eficienței inovării industriale. Standardele deschise înlesnesc interoperabilitatea dintre instrumentele de securitate, aducând beneficii securității părților interesate din industrie. Instrumentele și aplicațiile de securitate cibernetică cu sursă deschisă pot stimula comunitatea mai largă a dezvoltatorilor, permițând entităților să urmărească diversificarea furnizorilor și strategii de securitate deschise. Securitatea deschisă poate conduce la un proces mai transparent de verificare a instrumentelor legate de securitatea cibernetică și la un proces bazat pe comunitate de descoperire a vulnerabilităților. Prin urmare, statele membre ar trebui să promoveze adoptarea de software cu sursă deschisă și de standarde deschise prin aplicarea de politici privind utilizarea datelor deschise și a surselor deschise ca parte a securității prin transparență. Politicile care promovează adoptarea și utilizarea sustenabilă a instrumentelor de securitate cibernetică cu sursă deschisă sunt deosebit de importante pentru întreprinderile mici și mijlocii (IMM-uri) care se confruntă cu costuri semnificative pentru punerea în aplicare, care ar putea fi reduse prin reducerea nevoii de aplicații sau instrumente specifice. |
Amendamentul 25
Propunere de directivă
Considerentul 26 d (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26d) Parteneriatele public-privat (PPP) în domeniul securității cibernetice pot să asigure cadrul adecvat pentru schimbul de cunoștințe, de bune practici și pentru stabilirea unui nivel comun de înțelegere între toate părțile interesate. Statele membre ar trebui să adopte politici care stau la baza instituirii PPP specifice securității cibernetice, ca parte a strategiilor lor naționale de securitate cibernetică. Aceste politici ar trebui să clarifice, printre altele, domeniul de aplicare și părțile interesate implicate, modelul de administrare, opțiunile de finanțare disponibile, precum și interacțiunea dintre părțile interesate participante. PPP pot valorifica cunoștințele specializate ale entităților din sectorul privat pentru a sprijini autoritățile competente ale statelor membre la dezvoltarea unor servicii și procese de ultimă generație, inclusiv, dar fără a se limita la schimbul de informații, alertele timpurii, exercițiile de amenințări și incidente cibernetice, gestionarea crizelor și planificarea rezilienței. |
Amendamentul 26
Propunere de directivă
Considerentul 27
|
|
Textul propus de Comisie |
Amendamentul |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne sau să prezinte riscuri grave pentru securitatea și siguranța publică, pentru entități sau cetățeni, în mai multe state membre sau în Uniune în ansamblul său. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. |
__________________ |
__________________ |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
Amendamentul 27
Propunere de directivă
Considerentul 27 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(27a) În strategiile lor naționale în materie de securitate cibernetică, statele membre ar trebui să abordeze nevoile specifice în materie de securitate cibernetică ale IMM-urilor. La nivelul Uniunii, IMM-urile reprezintă un procentaj ridicat din piața industrială și de afaceri și adesea se zbat să se adapteze la noile practici comerciale într-o lume mai conectată, navigând în mediul digital, în care angajații lucrează de acasă, iar activitățile de afaceri se desfășoară tot mai mult online. Unele IMM-uri se confruntă cu încercări specifice în materie de securitate cibernetică, cum ar fi nivelul scăzut de sensibilizare în domeniul cibernetic, lipsa securității informatice la distanță, costul ridicat al soluțiilor de securitate cibernetică și un nivel crescut de amenințare, cum ar fi programele de tip ransomware, pentru care ele ar trebui să primească îndrumări și sprijin. Statele membre ar trebui să aibă un punct de contact unic în materie de securitate cibernetică pentru IMM-uri, care fie să ofere îndrumări și sprijin IMM-urilor, fie să le îndrume către organele corespunzătoare pertinente pentru îndrumări și sprijin cu privire la aspecte legate de securitatea cibernetică. Statele membre sunt încurajate să ofere, de asemenea, servicii precum configurarea de site-uri web și înlesnirea jurnalizării întreprinderilor mici și microîntreprinderilor care nu dispun de aceste capacități. |
Amendamentul 28
Propunere de directivă
Considerentul 27 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(27b) Statele membre ar trebui să adopte politici privind promovarea unei apărări cibernetice active ca parte a strategiilor lor naționale de securitate cibernetică. Apărarea cibernetică activă este prevenirea, detectarea, monitorizarea, analizarea și atenuarea proactive ale încălcărilor securității rețelei, combinată cu utilizarea capabilităților desfășurate în cadrul și în afara rețelei afectate. Capacitatea de a partaja și a înțelege rapid și automat informații și analize privind amenințările, alertele privind activitățile cibernetice și acțiunile de răspuns este esențială pentru a permite unitatea eforturilor în detectarea, prevenirea și contracararea cu succes a atacurilor împotriva rețelelor și sistemelor informatice. Apărarea cibernetică activă se bazează pe o strategie defensivă care exclude măsurile ofensive împotriva infrastructurii civile critice. |
Amendamentul 29
Propunere de directivă
Considerentul 28
|
|
Textul propus de Comisie |
Amendamentul |
(28) Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative, identificarea și remedierea rapidă a acestor vulnerabilități reprezintă un factor important în reducerea riscului de securitate cibernetică. Entitățile care dezvoltă astfel de sisteme ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și raportate (divulgate) de părți terțe (entități raportoare), producătorul ori furnizorul de produse sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29417 oferă orientări privind gestionarea vulnerabilităților și, respectiv, divulgarea vulnerabilităților. În ceea ce privește divulgarea vulnerabilităților, coordonarea dintre entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC este deosebit de importantă. Divulgarea coordonată a vulnerabilităților presupune un proces structurat prin care vulnerabilitățile sunt raportate organizațiilor într-un mod care să permită organizației să diagnosticheze și să remedieze vulnerabilitățile înainte ca informațiile detaliate privind vulnerabilitățile să fie divulgate terților sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre entitatea raportoare și organizație în ceea ce privește calendarul de remediere și publicare a vulnerabilităților. |
(28) Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative, identificarea și remedierea rapidă a acestor vulnerabilități reprezintă un factor important în reducerea riscului de securitate cibernetică. Entitățile care dezvoltă astfel de sisteme ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și raportate (divulgate) de părți terțe (entități raportoare), producătorul ori furnizorul de produse sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29417 oferă orientări privind gestionarea vulnerabilităților și, respectiv, divulgarea vulnerabilităților. Întărirea coordonării dintre entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC este deosebit de importantă. Divulgarea coordonată a vulnerabilităților presupune un proces structurat prin care vulnerabilitățile sunt raportate organizațiilor într-un mod care să permită organizației să diagnosticheze și să remedieze vulnerabilitățile înainte ca informațiile detaliate privind vulnerabilitățile să fie divulgate terților sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre entitatea raportoare și organizație în ceea ce privește calendarul de remediere și publicare a vulnerabilităților. |
Amendamentul 30
Propunere de directivă
Considerentul 28 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(28a) Comisia, ENISA și statele membre ar trebui să continue să încurajeze alinierea internațională la standardele și la bunele practici existente din sector în domeniul gestionării riscurilor, de exemplu în domeniul evaluărilor securității lanțului de aprovizionare, al schimbului de informații și al divulgării vulnerabilităților. |
Amendamentul 31
Propunere de directivă
Considerentul 29
|
|
Textul propus de Comisie |
Amendamentul |
(29) Prin urmare, statele membre ar trebui să ia măsuri pentru a facilita divulgarea coordonată a vulnerabilităților prin stabilirea unei politici naționale relevante. În acest sens, statele membre ar trebui să desemneze o echipă CSIRT care să preia rolul de „coordonator”, acționând ca intermediar între entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC, dacă este necesar. Sarcinile coordonatorului CSIRT ar trebui să includă, în special, identificarea și contactarea entităților vizate, sprijinirea entităților raportoare, negocierea calendarelor de divulgare și gestionarea vulnerabilităților care afectează mai multe organizații (divulgarea vulnerabilităților mai multor părți). Atunci când vulnerabilitățile afectează mai mulți producători ori furnizori de produse sau servicii TIC stabiliți în mai multe state membre, CSIRT desemnate din fiecare dintre statele membre afectate ar trebui să coopereze în cadrul rețelei CSIRT. |
(29) Prin urmare, statele membre, în cooperare cu ENISA, ar trebui să ia măsuri pentru a facilita divulgarea coordonată a vulnerabilităților prin stabilirea unei politici naționale relevante. În cadrul acestei politici naționale, statele membre ar trebui să abordeze problemele întâmpinate de cercetătorii vulnerabili. Entitățile și persoanele fizice care cercetează vulnerabilitățile pot fi expuse, în unele state membre, răspunderii penale și civile. Prin urmare, statele membre sunt încurajate să emită orientări în ceea ce privește neurmărirea penală a cercetării în domeniul securității informațiilor și exonerarea de răspundere civilă pentru aceste activități. |
Amendamentul 32
Propunere de directivă
Considerentul 29 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(29a) Statele membre ar trebui să desemneze o echipă CSIRT care să preia rolul de „coordonator”, acționând, dacă este necesar, ca intermediar între entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC, care ar putea fi afectați de vulnerabilitate. Sarcinile coordonatorului CSIRT ar trebui să includă, în special, identificarea și contactarea entităților vizate, sprijinirea entităților raportoare, negocierea calendarelor de divulgare și gestionarea vulnerabilităților care afectează mai multe organizații (divulgarea vulnerabilităților mai multor părți). Atunci când vulnerabilitățile afectează mai mulți producători ori furnizori de produse sau servicii TIC stabiliți în mai multe state membre, CSIRT desemnate din fiecare dintre statele membre afectate ar trebui să coopereze în cadrul rețelei CSIRT. |
Amendamentul 33
Propunere de directivă
Considerentul 30
|
|
Textul propus de Comisie |
Amendamentul |
(30) Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. În această privință, sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important atât pentru entități și utilizatorii acestora, cât și pentru autoritățile naționale competente și CSIRT. Din acest motiv, ENISA ar trebui să creeze un registru al vulnerabilităților în care entitățile esențiale și importante și furnizorii acestora, precum și entitățile care nu intră în domeniul de aplicare al prezentei directive pot, în mod voluntar, să divulge vulnerabilitățile și să furnizeze informații privind vulnerabilitățile, astfel încât utilizatorii să ia măsuri de atenuare adecvate. |
(30) Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. Sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important atât pentru entități și utilizatorii acestora, cât și pentru autoritățile naționale competente și CSIRT. Din acest motiv, ENISA ar trebui să creeze o bază de date a vulnerabilităților în care entitățile esențiale și importante și furnizorii acestora, precum și entitățile care nu intră în domeniul de aplicare al prezentei directive pot, în mod voluntar, să divulge vulnerabilitățile și să furnizeze informații privind vulnerabilitățile, astfel încât utilizatorii să ia măsuri de atenuare adecvate. Scopul acestei baze de date este de a face față încercărilor unice pe care le prezintă riscurile de securitate cibernetică pentru entitățile europene. În plus, ENISA ar trebui să stabilească o procedură responsabilă în ceea ce privește procesul de publicare, pentru a acorda entităților timpul necesar pentru a lua măsuri de atenuare a vulnerabilităților lor și pentru a utiliza măsuri de securitate cibernetică de ultimă generație, precum și seturi de date care pot fi citite automat și interfețele corespunzătoare (API). Pentru a încuraja o cultură a divulgării incidentelor, divulgarea nu ar trebui să afecteze entitatea raportoare. |
Amendamentul 34
Propunere de directivă
Considerentul 31
|
|
Textul propus de Comisie |
Amendamentul |
(31) Deși există registre ale vulnerabilităților sau baze de date similare, acestea sunt găzduite și întreținute de entități care nu sunt stabilite în Uniune. Un registru european al vulnerabilităților gestionat de ENISA ar oferi o mai mare transparență în ceea ce privește procesul de publicare înainte de dezvăluirea oficială a vulnerabilității, precum și reziliența în caz de perturbări sau întreruperi ale furnizării de servicii similare. Pentru a evita dublarea eforturilor și a căuta complementaritatea în măsura posibilului, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu registre similare în jurisdicții din țări terțe. |
(31) Baza de date europeană a vulnerabilităților gestionată de ENISA ar trebui să mobilizeze registrul comun al vulnerabilităților și expunerilor (CVE), prin utilizarea cadrului său de identificare, urmărire și notare a vulnerabilităților. În plus, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu alte registre sau baze de date similare din jurisdicții din țări terțe, pentru a evita duplicarea eforturilor și pentru a urmări complementaritatea. |
Amendamentul 35
Propunere de directivă
Considerentul 33
|
|
Textul propus de Comisie |
Amendamentul |
(33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent, să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice care să fie abordate printr-o mai bună punere în aplicare a normelor existente. |
(33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent: să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice, în special pentru a facilita alinierea transpunerii prezentei directive între statele membre, care să fie abordate printr-o mai bună punere în aplicare a normelor existente. Grupul de cooperare ar trebui, de asemenea, să inventarieze soluțiile naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din întreaga Europă. Acest lucru este deosebit de relevant pentru sectoarele care au un caracter internațional și transfrontalier. |
Amendamentul 36
Propunere de directivă
Considerentul 34
|
|
Textul propus de Comisie |
Amendamentul |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii implicate în politica de securitate cibernetică, cum ar fi Centrul european de combatere a criminalității informatice (EC3), Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA). |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii relevante implicate în politica de securitate cibernetică, cum ar fi Europol, Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA). |
Amendamentul 37
Propunere de directivă
Considerentul 35
|
|
Textul propus de Comisie |
Amendamentul |
(35) Autoritățile competente și CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb pentru funcționari din alte state membre în vederea îmbunătățirii cooperării. Autoritățile competente ar trebui să ia măsurile necesare ca funcționari din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă. |
(35) Autoritățile competente și CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb pentru funcționari din alte state membre, pe baza unor norme și mecanisme structurate care stau la baza domeniului de aplicare și, după caz, a autorizării de securitate necesare a funcționarilor care participă la aceste programe de schimburi, în vederea îmbunătățirii cooperării și întăririi încrederii dintre statele membre. Autoritățile competente ar trebui să ia măsurile necesare ca funcționari din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă sau ale CSIRT. |
Amendamentul 38
Propunere de directivă
Considerentul 36
|
|
Textul propus de Comisie |
Amendamentul |
(36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri ar trebui să asigure o protecție adecvată a datelor. |
(36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri ar trebui să asigure interesele Uniunii și o protecție adecvată a datelor. Acest lucru nu exclude dreptul statelor membre de a coopera cu țări terțe care împărtășesc aceeași viziune despre gestionarea vulnerabilităților și a riscurilor în materie de securitate cibernetică, înlesnind informarea și schimbul de informații în general în concordanță cu dreptul Uniunii. |
Amendamentul 39
Propunere de directivă
Considerentul 38
|
|
Textul propus de Comisie |
Amendamentul |
(38) În sensul prezentei directive, termenul „risc” ar trebui să se refere la potențialele pierderi sau perturbări cauzate de un incident de securitate cibernetică și ar trebui exprimat ca o combinație între amploarea unei astfel de pierderi sau perturbări și probabilitatea producerii incidentului respectiv. |
eliminat |
Amendamentul 40
Propunere de directivă
Considerentul 39
|
|
Textul propus de Comisie |
Amendamentul |
(39) În sensul prezentei directive, termenul „incident evitat la limită” ar trebui să se refere la un eveniment care ar fi putut cauza prejudicii, dar care a cărui desfășurare până la capăt a fost împiedicată cu succes. |
eliminat |
Amendamentul 41
Propunere de directivă
Considerentul 40
|
|
Textul propus de Comisie |
Amendamentul |
(40) Măsurile de gestionare a riscurilor ar trebui să includă măsurile de identificare a oricăror riscuri de incidente, de prevenire, detectare și administrare a incidentelor și de diminuare a impactului acestora. Securitatea rețelelor și a sistemelor informatice ar trebui să cuprindă securitatea datelor stocate, transmise și prelucrate. |
(40) Măsurile de gestionare a riscurilor ar trebui să includă măsurile de identificare a oricăror riscuri de incidente, de prevenire, detectare, de răspuns la incidente și de redresare în urma acestora, precum și de diminuare a impactului acestora. Securitatea rețelelor și a sistemelor informatice ar trebui să cuprindă securitatea datelor stocate, transmise și prelucrate. Aceste sisteme ar trebui să asigure o analiză sistemică, care să facă o defalcare a diverselor procese și a interacțiunilor dintre subsisteme, ținând seama de factorul uman, cu scopul de a obține o imagine completă a securității sistemului informatic. |
Amendamentul 42
Propunere de directivă
Considerentul 41
|
|
Textul propus de Comisie |
Amendamentul |
(41) Pentru a se evita impunerea unei sarcini financiare și administrative disproporționate asupra entităților esențiale și importante, cerințele de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie proporționale cu riscurile la care sunt expuse rețeaua și sistemul informatic în cauză, ținându-se seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri. |
(41) Pentru a se evita impunerea unei sarcini financiare și administrative disproporționate asupra entităților esențiale și importante, cerințele de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie proporționale cu riscurile la care sunt expuse rețeaua și sistemul informatic în cauză, ținându-se seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri și standarde europene sau internaționale, cum ar fi ISO31000 și ISA/IEC 27005. |
Amendamentul 43
Propunere de directivă
Considerentul 43
|
|
Textul propus de Comisie |
Amendamentul |
(43) Abordarea riscurilor în materie de securitate cibernetică care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au căzut victime atacurilor cibernetice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile părții terțe. Prin urmare, entitățile ar trebui să evalueze și să țină seama de calitatea generală a produselor și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure. |
(43) Abordarea riscurilor în materie de securitate cibernetică care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi, cum ar fi furnizorii de servicii de stocare și de prelucrare de date sau de servicii de securitate administrate este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au căzut victime atacurilor împotriva rețelelor și a sistemelor informatice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile părții terțe. Prin urmare, entitățile ar trebui să evalueze și să țină seama de calitatea generală și de reziliența produselor și a serviciilor, de măsurile în materie de securitate cibernetică integrate în acestea, precum și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure. Entitățile ar trebui, în special, să fie încurajate să includă măsuri de securitate cibernetică în acordurile contractuale cu furnizorii lor de prim nivel și cu prestatorii lor de servicii de prim nivel. Entitățile ar putea lua în considerare riscurile în materie de securitate cibernetică generate de alte niveluri de furnizori și prestatori de servicii. |
Amendamentul 44
Propunere de directivă
Considerentul 44
|
|
Textul propus de Comisie |
Amendamentul |
(44) În rândul furnizorilor de servicii, furnizorii de servicii de securitate administrați (managed security services providers – MSSP) în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a detecta și de a reacționa la incidente. Totuși, și aceste MSSP-uri au fost ținte ale atacurilor cibernetice și, prin integrarea lor strânsă în operațiunile operatorilor, prezintă un risc deosebit în materie de securitate cibernetică. Prin urmare, entitățile ar trebui să dea dovadă de o diligență sporită în selectarea unui MSSP. |
(44) În rândul furnizorilor de servicii, furnizorii de servicii de securitate administrați (managed security services providers – MSSP) în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a preveni, de a detecta, de a reacționa la incidente și de a se redresa după acestea. Totuși, și aceste MSSP-uri au fost ținte ale atacurilor cibernetice și, prin integrarea lor strânsă în operațiunile operatorilor, prezintă un risc deosebit în materie de securitate cibernetică. Prin urmare, entitățile ar trebui să dea dovadă de o diligență sporită în selectarea unui MSSP. |
Amendamentul 45
Propunere de directivă
Considerentul 45
|
|
Textul propus de Comisie |
Amendamentul |
(45) Entitățile ar trebui, de asemenea, să abordeze riscurile de securitate cibernetică care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg. În special, entitățile ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile ar trebui să ia toate măsurile care se impun în materie de securitate cibernetică. |
(45) Entitățile ar trebui, de asemenea, să abordeze riscurile de securitate cibernetică care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg, inclusiv pentru a combate spionajul industrial și a proteja secretele comerciale. În special, entitățile ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile ar trebui să ia toate măsurile care se impun în materie de securitate cibernetică. |
Amendamentul 46
Propunere de directivă
Considerentul 45 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(45a) Entitățile ar trebui să adopte o gamă largă de practici de igienă informatică de bază, cum ar fi arhitectura zero-trust, actualizări ale software-ului, configurarea dispozitivelor, segmentarea rețelelor, gestionarea identității și a accesului sau sensibilizarea utilizatorilor, și să organizeze cursuri pentru personalul lor cu privire la amenințările cibernetice transmise prin adrese de e-mail organizaționale, phishing sau tehnici de inginerie socială. În plus, entitățile ar trebui să își evalueze propriile capacități în materie de securitate cibernetică și, atunci când este cazul, să urmărească integrarea tehnologiilor de îmbunătățire a securității cibernetice bazate pe sisteme de inteligență artificială sau pe sisteme de învățare automată pentru a-și automatiza capacitățile și protecția arhitecturilor de rețea. |
Amendamentul 47
Propunere de directivă
Considerentul 46
|
|
Textul propus de Comisie |
Amendamentul |
(46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări sectoriale coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC critice, amenințările și vulnerabilitățile relevante. |
(46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC și SCI critice, amenințările și vulnerabilitățile relevante. Astfel de evaluări ale riscurilor ar trebui să identifice măsurile, planurile de atenuare și cele mai bune practici împotriva dependențelor critice, a potențialelor puncte unice de defecțiune, a amenințărilor, a vulnerabilităților și a altor riscuri asociate lanțului de aprovizionare și ar trebui să exploreze modalități de a încuraja adoptarea lor pe scară mai largă de către entități. Printre factorii de risc potențiali fără caracter tehnic, cum ar fi influența nejustificată a unei țări terțe asupra furnizorilor și prestatorilor de servicii, în special în cazul modelelor alternative de guvernare, se numără vulnerabilitățile ascunse sau „ușile secrete” și eventualele întreruperi sistemice ale aprovizionării, în special în cazul blocajelor tehnologice sau al dependenței furnizorilor. |
__________________ |
__________________ |
21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42). |
21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42). |
Amendamentul 48
Propunere de directivă
Considerentul 47
|
|
Textul propus de Comisie |
Amendamentul |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC, pe întreaga durată a ciclului lor de viață, împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. În plus, ar trebui să se pună un accent deosebit pe serviciile, sistemele sau produsele TIC care fac obiectul unor cerințe specifice impuse de țări terțe. |
Amendamentul 49
Propunere de directivă
Considerentul 47 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(47a) Grupul părților interesate pentru certificarea securității cibernetice, instituit în temeiul articolului 22 din Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului1a, ar trebui să emită un aviz privind evaluările riscurilor de securitate ale lanțurilor de aprovizionare cu servicii, sisteme sau produse TIC și SCI critice specifice. Grupul de cooperare și ENISA ar trebui să țină seama de avizul respectiv. |
|
__________________ |
|
1a Regulamentul (UE) nr. 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15). |
Amendamentul 50
Propunere de directivă
Considerentul 50
|
|
Textul propus de Comisie |
Amendamentul |
(50) Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, este necesar să se asigure că aceste servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Furnizorii unor astfel de servicii ar trebui, prin urmare, să asigure și un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului. |
(50) Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, este necesar să se asigure că aceste servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Furnizorii unor astfel de servicii ar trebui, prin urmare, să asigure și un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc pentru securitatea rețelelor aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului. Totuși, pe măsură ce suprafața de atac continuă să se extindă, serviciile de comunicații interpersonale care nu se bazează pe numere, inclusiv mesageriile platformelor de comunicare socială, dar nu numai, devin vectori de atac obișnuiți. Actorii răuvoitori utilizează platformele pentru a comunica și a atrage victimele să deschidă pagini web compromise, crescând așadar probabilitatea unor incidente care implică exploatarea datelor cu caracter personal și, prin extensie, securitatea sistemelor informatice. |
Amendamentul 51
Propunere de directivă
Considerentul 51
|
|
Textul propus de Comisie |
Amendamentul |
(51) Piața internă depinde mai mult decât oricând de funcționarea internetului. Aproape toate serviciile entităților esențiale și importante depind de serviciile furnizate pe internet. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și importante, este important ca rețelele publice de comunicații electronice, cum ar fi, de exemplu, magistralele de internet sau cablurile de comunicații submarine, să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele legate de aceasta. |
(51) Piața internă depinde mai mult decât oricând de funcționarea internetului. Aproape toate serviciile entităților esențiale și importante depind de serviciile furnizate pe internet. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și importante, este important ca toate rețelele publice de comunicații electronice, cum ar fi, de exemplu, magistralele de internet sau cablurile de comunicații submarine, să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele semnificative legate de aceasta. Statele membre ar trebui să se asigure că integritatea și disponibilitatea acestor rețele publice de comunicații electronice sunt menținute și ar trebui să considere că protecția lor împotriva sabotajului și spionajului este de interes vital pentru securitate. Informațiile despre incidente, de exemplu privind cablurile de comunicații submarine, ar trebui împărtășite în mod activ între statele membre. |
Amendamentul 52
Propunere de directivă
Considerentul 52
|
|
Textul propus de Comisie |
Amendamentul |
(52) După caz, entitățile ar trebui să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Cerința de a informa destinatarii cu privire la astfel de amenințări nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită. |
(52) După caz, entitățile ar trebui să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Aceasta nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită și informațiile ar trebui să fie redactate într-un limbaj ușor de înțeles. |
Amendamentul 53
Propunere de directivă
Considerentul 53
|
|
Textul propus de Comisie |
Amendamentul |
(53) În special, furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software sau de tehnologii de criptare. |
(53) Furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să pună în aplicare măsurile privind securitatea din momentul conceperii și securitatea implicită și să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea dispozitivelor și a comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software de criptare sau de tehnologii de securitate centrate pe date. |
Amendamentul 54
Propunere de directivă
Considerentul 54
|
|
Textul propus de Comisie |
Amendamentul |
(54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării, în special a criptării de la un capăt la altul și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Soluțiile pentru accesul legal la informații în comunicațiile criptate de la un capăt la altul ar trebui să mențină eficacitatea criptării în ceea ce privește protecția vieții private și securitatea comunicațiilor, oferind, în același timp, un răspuns eficace la criminalitate. |
(54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării și a altor tehnologii de securitate centrate pe date, cum ar fi tokenizarea, segmentarea, accesul limitat, marcarea, etichetarea, gestionarea riguroasă a identităților și a accesului, precum și deciziile de acces automatizate, și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Acest lucru nu ar trebui însă să conducă la niciun efort de slăbire a criptării de la un capăt la altul, aceasta fiind o tehnologie esențială pentru o protecție eficace a datelor și a vieții private. |
Amendamentul 55
Propunere de directivă
Considerentul 54 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(54a) Pentru a proteja securitatea și a preveni abuzul și manipularea rețelelor și serviciilor de comunicații electronice, ar trebui promovată utilizarea unor standarde de rutare sigure și interoperabile pentru a asigura integritatea și robustețea funcțiilor de rutare în întregul ecosistem al furnizorilor de internet. |
Amendamentul 56
Propunere de directivă
Considerentul 54 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(54b) Pentru a proteja funcționalitatea și integritatea internetului și a reduce problemele de securitate legate de DNS, părțile interesate pertinente, inclusiv întreprinderile din Uniune, furnizorii de servicii de internet și vânzătorii de browsere ar trebui încurajați să adopte o strategie de diversificare a rezoluției DNS. În plus, statele membre ar trebui să încurajeze dezvoltarea și utilizarea unui serviciu european public și sigur de rezoluție a DNS. |
Amendamentul 57
Propunere de directivă
Considerentul 55
|
|
Textul propus de Comisie |
Amendamentul |
(55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială în termen de 24 de ore, urmată de un raport final în termen de cel mult o lună de la incidentul respectiv. Notificarea inițială ar trebui să includă numai informațiile strict necesare pentru a informa autoritățile competente cu privire la incident și pentru a putea solicita asistență, dacă este necesar. O astfel de notificare, după caz, ar trebui să indice dacă incidentul pare să fie cauzat de acțiuni ilegale sau răuvoitoare. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul autorităților competente sau al CSIRT, entitatea în cauză se poate abate de la termenul de 24 de ore pentru notificarea inițială și de o lună pentru raportul final. |
(55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială, urmată de un raport cuprinzător în termen de cel mult o lună de la transmiterea notificării inițiale. Termenul pentru notificarea inițială a incidentului nu ar trebui să împiedice entitățile să raporteze incidentele mai devreme, permițând așadar entităților să solicite sprijin rapid de la CSIRT pentru a limita răspândirea incidentului raportat. CSIRT pot solicita un raport intermediar privind actualizările relevante ale situației, luând în considerare, în același timp, răspunsul la incidente și eforturile de remediere ale entității raportoare. |
Amendamentul 58
Propunere de directivă
Considerentul 55 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(55a) Un incident semnificativ poate avea un impact asupra confidențialității, integrității sau disponibilității serviciului. Entitățile esențiale și importante ar trebui să notifice CSIRT cu privire la incidentele semnificative care au un impact asupra disponibilității serviciului lor în termen de 24 de ore de la momentul în care au luat cunoștință de incident. Acestea ar trebui să notifice CSIRT cu privire la incidentele semnificative care încalcă confidențialitatea și integritatea serviciilor lor în termen de 72 de ore de la momentul în care au luat cunoștință de incident. Distincția între tipurile de incidente nu se bazează pe gravitatea incidentului, ci pe dificultatea entității raportoare de a evalua incidentul, importanța acestuia și capacitatea de a raporta informații care pot fi utile pentru CSIRT. Notificarea inițială ar trebui să includă informațiile necesare pentru a informa CSIRT cu privire la incident și pentru a putea solicita asistență, dacă este necesar. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor, care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul CSIRT, entitatea în cauză se poate abate de la termenul pentru notificarea inițială și pentru raportul cuprinzător. |
Amendamentul 59
Propunere de directivă
Considerentul 59
|
|
Textul propus de Comisie |
Amendamentul |
(59) Menținerea unor baze de date exacte și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) și furnizarea unui acces legal la astfel de date sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor. |
(59) Menținerea unor baze de date exacte, verificate și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune, și pentru a combate activitățile ilegale. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui, prin urmare, să aibă obligația de a colecta date privind înregistrarea numelor de domenii, care ar trebui să includă cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon. În practică, este posibil ca datele colectate să nu fie întotdeauna exacte, însă registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să adopte și să pună în aplicare proceduri proporționale pentru a verifica dacă persoanele fizice sau juridice care solicită sau dețin un nume de domeniu au furnizat date de contact la care pot fi contactate și se așteaptă să răspundă. Utilizând o abordare bazată pe „cele mai bune eforturi”, aceste procese de verificare ar trebui să reflecte cele mai bune practici utilizate în prezent în sector. Bunele practici din procesul de verificare ar trebui să reflecte progresele înregistrate în procesul de identificare electronică. Entitățile și registrele TLD care furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului politicile și procedurile pe care le utilizează pentru a asigura integritatea și disponibilitatea datelor de înregistrare a numelor de domeniu. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor. |
Amendamentul 60
Propunere de directivă
Considerentul 60
|
|
Textul propus de Comisie |
Amendamentul |
(60) Disponibilitatea și accesibilitatea în timp util a acestor date pentru autoritățile publice, inclusiv pentru autoritățile competente în temeiul dreptului Uniunii sau al dreptului intern pentru prevenirea, investigarea sau urmărirea penală a infracțiunilor, CERT, CSIRT și, în ceea ce privește datele clienților lor, pentru furnizorii de rețele și servicii de comunicații electronice și pentru furnizorii de tehnologii și servicii de securitate cibernetică care acționează în numele clienților respectivi, sunt aspecte esențiale pentru prevenirea și combaterea abuzurilor din sistemul de nume de domenii, în special pentru prevenirea, detectarea și combaterea incidentelor de securitate cibernetică. Acest tip de acces ar trebui să respecte legislația Uniunii în materie de protecție a datelor în măsura în care este legat de date cu caracter personal. |
(60) Disponibilitatea și accesibilitatea în timp util a datelor de înregistrare a numelor de domeniu pentru solicitanții legitimi de acces sunt esențiale pentru securitatea cibernetică și combaterea activităților ilegale din ecosistemul online. Entitățile și registrele TLD care furnizează servicii de înregistrare a numelor de domenii ar trebui, prin urmare, să aibă obligația de a le permite solicitanților legitimi de acces, în conformitate cu legislația Uniunii privind protecția datelor, accesul legal la date specifice de înregistrare a numelor de domenii, inclusiv la date cu caracter personal. Solicitanții legitimi de acces ar trebui să depună o cerere justificată în mod corespunzător pentru a avea acces la datele de înregistrare a numelor de domeniu în temeiul dreptului Uniunii sau al dreptului intern și aceștia ar putea include autoritățile competente în temeiul dreptului Uniunii sau al dreptului intern pentru prevenirea, investigarea sau urmărirea penală a infracțiunilor, precum și CERT sau CSIRT naționale. Statele membre ar trebui să se asigure că registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore solicitărilor de divulgare a datelor de înregistrare a numelor de domenii formulate de solicitanții legitimi de acces. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Procedura de acces poate include, de asemenea, utilizarea unei interfețe, a unui portal sau a altor instrumente tehnice, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate adopta orientări cu privire la aceste proceduri fără a aduce atingere competențelor Comitetului european pentru protecția datelor. |
Amendamentul 61
Propunere de directivă
Considerentul 61
|
|
Textul propus de Comisie |
Amendamentul |
(61) Pentru a asigura disponibilitatea unor date exacte și complete de înregistrare a numelor de domeniu, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD (operatorii de registru) ar trebui să colecteze și să garanteze integritatea și disponibilitatea datelor de înregistrare a numelor de domenii. În special, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui să stabilească politici și proceduri pentru colectarea și păstrarea unor date de înregistrare exacte și complete, precum și pentru prevenirea și corectarea datelor de înregistrare inexacte, în conformitate cu normele Uniunii privind protecția datelor. |
eliminat |
Amendamentul 62
Propunere de directivă
Considerentul 62
|
|
Textul propus de Comisie |
Amendamentul |
(62) Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului date de înregistrare a numelor de domenii care nu intră în domeniul de aplicare al normelor Uniunii privind protecția datelor, cum ar fi datele care se referă la persoanele juridice25. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui, de asemenea, să le permită solicitanților legitimi de acces, în conformitate cu legislația Uniunii privind protecția datelor, accesul legal la date specifice de înregistrare a numelor de domenii privind persoanele fizice. Statele membre ar trebui să se asigure că registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate solicitărilor de divulgare a datelor de înregistrare a numelor de domenii formulate de solicitanții legitimi de acces. Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Procedura de acces poate include, de asemenea, utilizarea unei interfețe, a unui portal sau a unui alt instrument tehnic, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate adopta orientări cu privire la aceste proceduri fără a aduce atingere competențelor Comitetului european pentru protecția datelor. |
(62) Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să aibă obligația de a pune la dispoziția publicului datele de înregistrare a numelor de domenii care nu conțin date cu caracter personal. Ar trebui să se facă o distincție între persoanele fizice și persoanele juridice25. În cazul persoanelor juridice, registrele TLD și entitățile ar trebui să pună la dispoziția publicului cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon. Persoana juridică ar trebui să aibă obligația fie de a furniza o adresă de e-mail generică care poate fi pusă la dispoziția publicului, fie de a-și da consimțământul pentru publicarea unei adrese de e-mail personale. Persoana juridică ar trebui să poată face dovada acestui consimțământ la cererea registrelor TLD și a entităților care furnizează servicii de înregistrare a numelor de domenii. |
__________________ |
__________________ |
25 Considerentul 14 din REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI prevede: „Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.” |
25 Considerentul 14 din REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI prevede: „Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.” |
Amendamentul 63
Propunere de directivă
Considerentul 63
|
|
Textul propus de Comisie |
Amendamentul |
(63) Toate entitățile esențiale și importante vizate de prezenta directivă sunt considerate ca fiind sub jurisdicția statului membru în care își prestează serviciile. În cazul în care entitatea furnizează servicii în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre aceste state membre. Autoritățile competente din aceste state membre ar trebui să coopereze, să își ofere asistență reciprocă și, după caz, să întreprindă acțiuni comune de supraveghere. |
(63) Toate entitățile esențiale și importante vizate de prezenta directivă sunt considerate ca fiind sub jurisdicția statului membru în care își prestează serviciile sau în care își desfășoară activitățile. În cazul în care entitatea furnizează servicii în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre aceste state membre. Autoritățile competente din aceste state membre ar trebui să coopereze, să își ofere asistență reciprocă și, după caz, să întreprindă acțiuni comune de supraveghere. |
Amendamentul 64
Propunere de directivă
Considerentul 64
|
|
Textul propus de Comisie |
Amendamentul |
(64) Pentru a ține seama de caracterul transfrontalier al serviciilor și al operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale furnizorilor de rețele de distribuție de conținut, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date și ale furnizorilor digitali, un singur stat membru ar trebui să aibă jurisdicție asupra acestor entități. Competența ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui să fie locul în care sunt luate deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Aceasta va corespunde, de regulă, locului în care se află administrația centrală a întreprinderilor din Uniune. În cazul în care astfel de decizii nu sunt luate în Uniune, se consideră că sediul principal se află în statul membru în care entitatea are sediul cu cel mai mare număr de angajați din Uniune. În cazul în care serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi. |
(64) Pentru a ține seama de caracterul transfrontalier al serviciilor și al operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale furnizorilor de rețele de distribuție de conținut, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date și ale furnizorilor digitali, un singur stat membru ar trebui să aibă jurisdicție asupra acestor entități. Competența ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui să fie locul în care sunt luate deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Aceasta va corespunde, de regulă, locului în care se află administrația centrală a întreprinderilor din Uniune. În cazul în care astfel de decizii nu sunt luate în Uniune, ar trebui să se considere că sediul principal este fie în statele membre în care entitatea are sediul cu cel mai mare număr de angajați din Uniune, fie în statele membre unde se află sediul în care se desfășoară operațiunile de securitate cibernetică. În cazul în care serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi. |
Amendamentul 65
Propunere de directivă
Considerentul 65 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(65a) ENISA ar trebui să creeze și să mențină un registru care să conțină informații despre entitățile esențiale și importante, care cuprind furnizori de servicii DNS, registre de nume TLD și furnizori de servicii de cloud computing, servicii de centre de date, rețele de furnizare de conținut, piețe online, motoare de căutare online și platforme de rețele de socializare. Aceste entități esențiale și importante ar trebui să transmită către ENISA numele, adresele și datele lor de contact actualizate. Ele notifică fără întârziere ENISA cu privire la orice modificare a acestor informații și, în orice caz, în termen de două săptămâni de la data la care a intrat în vigoare modificarea. ENISA ar trebui să transmită informațiile punctului unic de contact relevant. Prin urmare, entitățile esențiale și importante care transmit informațiile către ENISA nu au obligația de a informa separat autoritatea competentă din statul membru. ENISA ar trebui să elaboreze un program de aplicație simplu și disponibil publicului, pe care entitățile respective l-ar putea utiliza pentru a-și actualiza informațiile. În plus, ENISA ar trebui să instituie protocoale adecvate de clasificare și gestionare a informațiilor pentru a asigura securitatea și confidențialitatea informațiilor divulgate și ar trebui să restricționeze accesul la informațiile respective, stocarea și transmiterea acestora către utilizatorii vizați. |
Amendamentul 66
Propunere de directivă
Considerentul 66
|
|
Textul propus de Comisie |
Amendamentul |
(66) În cazul în care se face schimb de informații considerate clasificate în conformitate cu legislația națională sau a Uniunii ori astfel de informații sunt raportate sau partajate în alt mod în temeiul dispozițiilor prezentei directive, ar trebui să se aplice normele specifice corespunzătoare privind tratarea informațiilor clasificate. |
(66) În cazul în care se face schimb de informații considerate clasificate în conformitate cu legislația națională sau a Uniunii ori astfel de informații sunt raportate sau partajate în alt mod în temeiul dispozițiilor prezentei directive, ar trebui să se aplice normele specifice corespunzătoare privind tratarea informațiilor clasificate. În plus, ENISA ar trebui să dispună de infrastructura, procedurile și normele în vigoare pentru a trata informațiile sensibile și clasificate în conformitate cu normele de securitate aplicabile pentru protecția informațiilor clasificate ale UE. |
Amendamentul 67
Propunere de directivă
Considerentul 68
|
|
Textul propus de Comisie |
Amendamentul |
(68) Entitățile ar trebui încurajate să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor. |
(68) Entitățile ar trebui încurajate și sprijinite de statele membre să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive, cum ar fi entitățile axate pe serviciile și cercetarea în materie de securitate cibernetică, să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor. |
Amendamentul 68
Propunere de directivă
Considerentul 69
|
|
Textul propus de Comisie |
Amendamentul |
(69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entități, autorități publice, CERT, CSIRT și furnizorii de tehnologii și servicii de securitate ar trebui să constituie un interes legitim al operatorului de date în cauză, astfel cum se menționează în Regulamentul (UE) 2016/679. Aceasta ar trebui să includă măsuri legate de prevenirea, detectarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare. Astfel de măsuri pot necesita prelucrarea următoarelor tipuri de date cu caracter personal: adrese IP, localizatoare uniforme de resurse (URL), nume de domenii și adrese de e-mail. |
(69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entitățile esențiale și importante, CSIRT și furnizorii de tehnologii și servicii de securitate, este necesară pentru respectarea obligațiilor lor legale prevăzute în prezenta directivă. Această prelucrare a datelor cu caracter personal ar putea fi necesară și în scopul intereselor legitime urmărite de entitățile esențiale și importante. În cazul în care prezenta directivă impune prelucrarea datelor cu caracter personal în scopul securității cibernetice, a rețelelor și a informațiilor în conformitate cu dispozițiile prevăzute la articolele 18, 20 și 23 din directivă, prelucrarea respectivă este considerată necesară pentru respectarea unei obligații legale, astfel cum se menționează la articolul 6 alineatul (1) litera (c) din Regulamentul (UE) 2016/679. În sensul articolelor 26 și 27 din prezenta directivă, prelucrarea menționată la articolul 6 alineatul (1) litera (f) din Regulamentul (UE) 2016/679 este considerată necesară în scopul intereselor legitime urmărite de entitățile esențiale și importante. Măsuri legate de prevenirea, detectarea, identificarea, limitarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare necesită prelucrarea anumitor categorii de date cu caracter personal, cum ar fi adrese IP, localizatoare uniforme de resurse (URL), nume de domenii, adrese de e-mail, marcaje temporale, informații privind sistemul de operare sau browserul, cookie-uri sau alte informații referitoare la modul de funcționare. |
Amendamentul 69
Propunere de directivă
Considerentul 71
|
|
Textul propus de Comisie |
Amendamentul |
(71) Pentru ca asigurarea respectării să fie eficace, ar trebui stabilită o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor de securitate cibernetică și de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru astfel de sancțiuni în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de natura, gravitatea și durata încălcării, de daunele reale cauzate sau de pierderile suferite ori de daunele sau pierderile potențiale care ar fi putut fi declanșate, de caracterul intenționat sau din neglijență al încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul și/sau pierderile suferite, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv al unei protecții judiciare eficiente și al unui proces echitabil. |
(71) Pentru ca asigurarea respectării să fie eficace, ar trebui stabilită o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor de securitate cibernetică și de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru astfel de sancțiuni în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de natura, gravitatea și durata încălcării, de daunele cauzate sau de pierderile suferite, de caracterul intenționat sau din neglijență al încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul și/sau pierderile suferite, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Sancțiunile, inclusiv amenzile administrative, ar trebui să fie proporționale, iar aplicarea lor ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene („Carta”), inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
Amendamentul 70
Propunere de directivă
Considerentul 72
|
|
Textul propus de Comisie |
Amendamentul |
(72) Pentru a asigura respectarea efectivă a obligațiilor prevăzute în prezenta directivă, fiecare autoritate competentă ar trebui să aibă competența de a impune sau de a solicita impunerea de amenzi administrative. |
(72) Pentru a asigura respectarea efectivă a obligațiilor prevăzute în prezenta directivă, fiecare autoritate competentă ar trebui să aibă competența de a impune sau de a solicita impunerea de amenzi administrative, dacă încălcarea a fost intenționată sau din neglijență sau dacă nerespectarea de către entitatea în cauză a fost adusă la cunoștința acesteia. |
Amendamentul 71
Propunere de directivă
Considerentul 76
|
|
Textul propus de Comisie |
Amendamentul |
(76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice sancțiuni constând în suspendarea unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate aceste servicii și impunerea unei interdicții temporare de a exercita funcții de conducere de către o persoană fizică. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste sancțiuni ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de sancțiuni ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste sancțiuni. Impunerea unor astfel de sancțiuni face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
(76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice o suspendare temporară a unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate serviciile relevante și să solicite impunerea unei interdicții temporare de a exercita funcții de conducere de către o persoană fizică la nivel de director executiv sau de reprezentant legal. Statele membre ar trebui să elaboreze proceduri și norme specifice privind interdicția temporară de a exercita funcții de conducere de către o persoană fizică la nivel de director executiv sau de reprezentant legal în entități din administrația publică. În procesul de elaborare a unor astfel de proceduri și norme, statele membre ar trebui să țină seama de particularitățile nivelurilor și sistemelor lor de guvernanță din administrația lor publică. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste suspendări sau interdicții temporare ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de suspendări sau interdicții temporare ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste suspendări sau interdicții temporare. Impunerea unor astfel de suspendări temporare sau interdicții face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
Amendamentul 72
Propunere de directivă
Considerentul 79
|
|
Textul propus de Comisie |
Amendamentul |
(79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre. |
(79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții independenți desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre. Evaluările inter pares pot conduce la idei și recomandări valoroase, care să consolideze capacitățile globale în materie de securitate cibernetică. În special, acestea pot contribui la facilitarea transferului de tehnologii, instrumente, măsuri și procese între statele membre implicate în evaluarea inter pares, creând o modalitate funcțională de schimb de bune practici între statele membre cu niveluri diferite de maturitate în materie de securitate cibernetică și permițând stabilirea unui nivel comun ridicat de securitate cibernetică în întreaga Uniune. Evaluarea inter pares ar trebui să fie precedată de o autoevaluare de către statul membru care face obiectul evaluării, care să acopere aspectele evaluate și orice alte aspecte specifice suplimentare comunicate de experții desemnați statului membru care face obiectul evaluării inter pares înainte de începerea procesului. Comisia, în cooperare cu ENISA și cu grupul de cooperare, ar trebui să elaboreze modele pentru autoevaluarea aspectelor analizate, pentru a simplifica procesul și a evita neconcordanțele și întârzierile procedurale, modele pe care statele membre care fac obiectul evaluării inter pares ar trebui să le finalizeze și să le furnizeze experților desemnați care efectuează evaluarea inter pares înainte de începerea procesului de evaluare inter pares. |
Amendamentul 73
Propunere de directivă
Considerentul 80
|
|
Textul propus de Comisie |
Amendamentul |
(80) Pentru a ține seama de noile amenințări cibernetice, de evoluțiile tehnologice sau de specificitățile sectoriale, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește elementele legate de măsurile de gestionare a riscurilor impuse de prezenta directivă. Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate pentru a stabili ce categorii de entități esențiale au obligația de a obține un certificat și în temeiul căror sisteme europene specifice de certificare a securității cibernetice. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare26. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. |
(80) Pentru a ține seama de noile amenințări cibernetice, de evoluțiile tehnologice sau de specificitățile sectoriale, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește elementele legate de măsurile de gestionare a riscurilor de securitate cibernetică și obligațiile de raportare impuse de prezenta directivă. Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate pentru a stabili ce categorii de entități esențiale și importante au obligația de a obține un certificat și în temeiul căror sisteme europene specifice de certificare a securității cibernetice. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. |
__________________ |
|
26 JO L 123, 12.5.2016, p. 1. |
|
Amendamentul 74
Propunere de directivă
Considerentul 81
|
|
Textul propus de Comisie |
Amendamentul |
(81) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a dispozițiilor relevante ale prezentei directive în ceea ce privește dispozițiile procedurale necesare pentru funcționarea grupului de cooperare, elementele tehnice legate de măsurile de gestionare a riscurilor sau tipul de informații, formatul și procedura de notificare a incidentelor, Comisiei ar trebui să i se confere competențe de executare. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului27. |
(81) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a dispozițiilor relevante ale prezentei directive în ceea ce privește dispozițiile procedurale necesare pentru funcționarea grupului de cooperare și procedura de notificare a incidentelor, Comisiei ar trebui să i se confere competențe de executare. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului27. |
__________________ |
__________________ |
27 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13). |
27 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13). |
Amendamentul 75
Propunere de directivă
Considerentul 82
|
|
Textul propus de Comisie |
Amendamentul |
(82) Comisia ar trebui să revizuiască periodic prezenta directivă, consultându-se cu părțile interesate, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției condițiilor societale, politice, tehnologice sau de piață. |
(82) Comisia ar trebui să revizuiască periodic prezenta directivă, consultându-se cu părțile interesate, în special pentru a stabili dacă este necesar să propună modificări ca urmare a evoluției condițiilor societale, politice, tehnologice sau de piață. În cadrul acestor revizuiri, Comisia ar trebui să evalueze în special relevanța sectoarelor, a subsectoarelor și a tipurilor de entități menționate în anexe pentru funcționarea economiei și a societății în ceea ce privește securitatea cibernetică. Comisia ar trebui să evalueze, printre altele, dacă furnizorii digitali care sunt clasificați drept platforme online foarte mari în sensul articolului 25 din Regulamentul (UE) XXXX/XXXX [Piața unică pentru servicii digitale (actul legislativ privind serviciile digitale) sau ca controlori ai fluxului de informație, astfel cum sunt definiți la articolul 2 punctul 1 din Regulamentul (UE) XXXX/XXXX [Piețe contestabile și echitabile în sectorul digital (Actul legislativ privind piețele digitale)] ar trebui să fie desemnați ca entități esențiale în temeiul prezentei directive. În plus, Comisia ar trebui să evalueze dacă este necesar să se modifice anexa I la Directiva 2020/1828 a Parlamentului European și a Consiliului1a prin adăugarea unei trimiteri la prezenta directivă. |
|
__________________ |
|
1a Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1). |
Amendamentul 76
Propunere de directivă
Considerentul 82 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(82a) Prezenta directivă prevede cerințe în domeniul securității cibernetice pentru statele membre, precum și pentru entitățile esențiale și importante stabilite în Uniune. Aceste cerințe de securitate cibernetică ar trebui să fie aplicate și de instituțiile, organele, oficiile și agențiile Uniunii, pe baza unui act legislativ al Uniunii. |
Amendamentul 77
Propunere de directivă
Considerentul 82 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(82b) Prezenta directivă creează noi sarcini pentru ENISA, consolidând astfel rolul acesteia, și ar putea avea drept rezultat și o obligație a ENISA de a-și îndeplini sarcinile existente în temeiul Regulamentului (UE) 2019/881 la un standard mai ridicat decât înainte. Pentru a garanta că ENISA dispune de resursele financiare și umane necesare pentru a-și desfășura activitățile existente și cele noi în cadrul atribuțiilor sale, precum și pentru a îndeplini orice standarde mai ridicate care rezultă din rolul său consolidat, bugetul său ar trebui majorat în consecință. În plus, pentru a asigura utilizarea eficientă a resurselor, ENISA ar trebui să beneficieze de o mai mare flexibilitate în ceea ce privește modul în care i se permite să aloce resurse la nivel intern, pentru a-i permite să își îndeplinească sarcinile și să răspundă așteptărilor în mod eficace. |
Amendamentul 78
Propunere de directivă
Considerentul 84
|
|
Textul propus de Comisie |
Amendamentul |
(84) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate, |
(84) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Cartă, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Aceasta include dreptul la o cale de atac eficientă în fața unei instanțe pentru beneficiarii serviciilor furnizate de entități esențiale și importante. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate. |
Amendamentul 79
Propunere de directivă
Articolul 1 – alineatul 2 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) stabilește pentru statele membre obligații de supraveghere și de asigurare a respectării legislației. |
Amendamentul 80
Propunere de directivă
Articolul 2 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Prezenta directivă se aplică entităților publice și private de tipul celor menționate ca fiind entități esențiale în anexa I și entități importante în anexa II. Prezenta directivă nu se aplică entităților care se califică drept microîntreprinderi și întreprinderi mici în sensul Recomandării 2003/361/CE a Comisiei28. |
1. Prezenta directivă se aplică entităților esențiale și importante publice și private de tipul celor menționate ca fiind entități esențiale în anexa I și entități importante în anexa II, care își prestează serviciile sau își desfășoară activitățile în Uniune. Prezenta directivă nu se aplică întreprinderilor mici și microîntreprinderilor în sensul articolului 2 alineatele (2) și (3) din anexa la Recomandarea 2003/361/CE a Comisiei28. Articolul 3 alineatul (4) din anexa la recomandarea respectivă nu se aplică. |
__________________ |
__________________ |
28 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
28 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
Amendamentul 81
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
Cu toate acestea, indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților menționate în anexele I și II, în cazul în care: |
Indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților esențiale și importante, în cazul în care: |
Amendamentul 82
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 1 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) o eventuală perturbare a serviciului furnizat de entitate ar putea avea un impact asupra siguranței publice, a securității publice sau a sănătății publice; |
(d) o perturbare a serviciului furnizat de entitate ar putea avea un impact asupra siguranței publice, a securității publice sau a sănătății publice; |
Amendamentul 83
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 1 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) o eventuală perturbare a serviciului furnizat de entitate ar putea genera riscuri sistemice, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; |
(e) o perturbare a serviciului furnizat de entitate ar putea genera riscuri sistemice, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; |
Amendamentul 84
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
Statele membre întocmesc o listă a entităților identificate în temeiul literelor (b) - (f) și o transmit Comisiei până la [6 luni de la termenul de transpunere]. Statele membre revizuiesc lista în mod regulat și, ulterior, cel puțin o dată la doi ani și, dacă este cazul, o actualizează. |
eliminat |
Amendamentul 85
Propunere de directivă
Articolul 2 – alineatul 2 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2a. Până la... [6 luni de la termenul de transpunere], statele membre întocmesc o listă a entităților esențiale și importante, inclusiv a entităților menționate la alineatul (1) și a entităților identificate în temeiul alineatului (2) literele (b)-(f) și al articolului 24 alineatul (1). Statele membre revizuiesc lista în mod regulat, cel puțin o dată la doi ani, și o actualizează atunci când este cazul. |
Amendamentul 86
Propunere de directivă
Articolul 2 – alineatul 2 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2b. Statele membre se asigură că entitățile esențiale și importante transmit autorităților competente cel puțin următoarele informații: |
|
(a) denumirea entității; |
|
(b) adresa și datele de contact actualizate, inclusiv adresele de e-mail, gama de IP-uri, numerele de telefon; precum și |
|
(c) sectorul/sectoarele și subsectorul/subsectoarele relevante menționate în anexele I și II. |
|
Entitățile esențiale și importante notifică fără întârziere și, în orice caz, în termen de două săptămâni de la data la care intră în vigoare modificarea, orice modificare a datelor transmise în temeiul primului paragraf. În acest scop, Comisia, asistată de ENISA, emite fără întârzieri nejustificate orientări și modele privind obligațiile prevăzute în prezentul alineat. |
Amendamentul 87
Propunere de directivă
Articolul 2 – alineatul 2 c (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2c. Până la ...[6 luni de la termenul de transpunere] și, ulterior, o dată la doi ani, statele membre notifică: |
|
(a) Comisia și Grupul de cooperare cu privire la numărul tuturor entităților esențiale și importante identificate pentru fiecare sector și subsector menționat în anexele I și II, precum și |
|
(b) Comisia, cu privire la denumirile entităților identificate în temeiul alineatului (2) literele (b)-(f). |
Amendamentul 88
Propunere de directivă
Articolul 2 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Prezenta directivă se aplică fără a aduce atingere Directivei 2008/114/CE a Consiliului30 și Directivelor 2011/93/UE31 și 2013/40/UE32 ale Parlamentului European și ale Consiliului. |
4. Prezenta directivă se aplică fără a aduce atingere Directivei 2008/114/CE a Consiliului30 și Directivelor 2011/93/UE31, 2013/40/UE32 și 2002/58/CE32a ale Parlamentului European și ale Consiliului. |
__________________ |
__________________ |
30 Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (JO L 345, 23.12.2008, p. 75). |
30 Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (JO L 345, 23.12.2008, p. 75). |
31 Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1). |
31 Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1). |
32 Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, p. 8). |
32 Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, p. 8). |
|
32a Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37). |
Amendamentul 89
Propunere de directivă
Articolul 2 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. În cazul în care dispozițiile actelor specifice fiecărui sector din dreptul Uniunii impun entităților esențiale sau importante fie să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, fie să notifice incidentele sau amenințările cibernetice semnificative, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, nu se aplică dispozițiile relevante ale prezentei directive, așadar nici dispozițiile privind supravegherea și asigurarea respectării legislației, prevăzute în capitolul VI. |
6. În cazul în care dispozițiile actelor specifice fiecărui sector din dreptul Uniunii impun entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, sau să notifice incidentele, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, nu se aplică dispozițiile relevante ale prezentei directive, așadar nici dispozițiile privind supravegherea și asigurarea respectării legislației, prevăzute în capitolul VI. Comisia, fără întârzieri nejustificate, emite orientări cu privire la punerea în aplicare a actelor specifice fiecărui sector din dreptul Uniunii, cu scopul de a se asigura că actele respective îndeplinesc cerințele de securitate cibernetică stabilite prin prezenta directivă și că nu există suprapuneri sau incertitudine juridică. Când elaborează aceste orientări, Comisia ia în considerare bunele practici și expertiza ENISA și a Grupului de cooperare. |
Amendamentul 90
Propunere de directivă
Articolul 2 – alineatul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6a. Entitățile esențiale și importante, CSIRT și furnizorii de tehnologii și servicii de securitate prelucrează datele cu caracter personal în măsura în care acest lucru este strict necesar și proporțional în scopul securității cibernetice și securității rețelelor și informațiilor, pentru a îndeplini obligațiile prevăzute în prezenta directivă. Respectiva prelucrare a datelor cu caracter personal în temeiul prezentei directive se efectuează în conformitate cu Regulamentul (UE) 2016/679, în special articolul 6. |
Amendamentul 91
Propunere de directivă
Articolul 2 – alineatul 6 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6b. Prelucrarea datelor cu caracter personal în temeiul prezentei directive de către furnizorii de rețele publice de comunicații electronice sau furnizorii de comunicații electronice accesibile publicului menționați în anexa I punctul 8 se efectuează în conformitate cu Directiva 2002/58/CE. |
Amendamentul 92
Propunere de directivă
Articolul 4 – paragraful 1– punctul 4 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(4a) „incident evitat la limită” înseamnă un eveniment care ar fi putut compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor, sau care ar fi putut cauza prejudicii, dar care a fost împiedicat cu succes să producă un impact negativ; |
Amendamentul 93
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 6
|
|
Textul propus de Comisie |
Amendamentul |
(6) „administrarea incidentelor” înseamnă toate acțiunile și procedurile care vizează detectarea, analizarea și limitarea unui incident, precum și răspunsul la acesta; |
(6) „administrarea incidentelor” înseamnă toate acțiunile și procedurile care vizează prevenirea, detectarea, analizarea și limitarea unui incident, precum și răspunsul la acesta; |
Amendamentul 94
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 7 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(7a) „risc” înseamnă potențialele pierderi sau perturbări cauzate de un incident și trebuie exprimat ca o combinație între amploarea unei astfel de pierderi sau perturbări și probabilitatea producerii acelui incident; |
Amendamentul 95
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 11
|
|
Textul propus de Comisie |
Amendamentul |
(11) „specificație tehnică” înseamnă o specificație tehnică în sensul articolului 2 punctul 4 din Regulamentul (UE) nr. 1025/2012; |
(11) „specificație tehnică” înseamnă o specificație tehnică astfel cum este definită la articolul 2 punctul 20 din Regulamentul (UE) nr. 2019/881; |
Amendamentul 96
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 13
|
|
Textul propus de Comisie |
Amendamentul |
(13) „sistem de nume de domenii (DNS)” înseamnă un sistem ierarhic și distribuit de atribuire de nume care le permite utilizatorilor finali să acceseze servicii și resurse pe internet; |
(13) „sistem de nume de domenii (DNS)” înseamnă un sistem ierarhic și distribuit de atribuire de nume care face posibilă identificarea serviciilor și a resurselor pe internet, permițând dispozitivelor utilizatorilor finali să utilizeze serviciile de rutare și conectivitate pe internet pentru a accesa serviciile și resursele respective; |
Amendamentul 97
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 14
|
|
Textul propus de Comisie |
Amendamentul |
(14) „furnizor de servicii DNS” înseamnă o entitate care furnizează servicii de rezoluție a numelor de domenii recursive sau cu autoritate utilizatorilor finali de internet și altor furnizori de servicii DNS; |
(14) „furnizor de servicii DNS” înseamnă o entitate care furnizează: |
Amendamentul 98
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 14 – litera a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(a) servicii deschise și publice de rezoluție a numelor de domenii recursive utilizatorilor finali de internet; sau |
Amendamentul 99
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 14 – litera b (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(b) servicii de rezoluție a numelor de domenii cu autoritate ca servicii care pot fi achiziționate de entități terțe; |
Amendamentul 100
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 15
|
|
Textul propus de Comisie |
Amendamentul |
(15) „registru de nume de domenii de prim nivel” înseamnă o entitate căreia i s-a delegat un anumit domeniu de prim nivel (top–level domain –TLD) și care este responsabilă cu administrarea TLD-ului, inclusiv cu înregistrarea numelor de domenii în cadrul TLD-ului și cu exploatarea tehnică a TLD-ului, în special cu exploatarea serverelor sale de nume, cu întreținerea bazelor sale de date și cu distribuirea fișierelor zonale TLD între serverele de nume; |
(15) „registru de nume de domenii de prim nivel” înseamnă o entitate căreia i s-a delegat un anumit domeniu de prim nivel (top–level domain –TLD) și care este responsabilă cu administrarea TLD-ului, inclusiv cu înregistrarea numelor de domenii în cadrul TLD-ului și cu exploatarea tehnică a TLD-ului, în special cu exploatarea serverelor sale de nume, cu întreținerea bazelor sale de date și cu distribuirea fișierelor zonale TLD între serverele de nume, indiferent dacă oricare dintre aceste operațiuni este efectuată de o entitate sau este externalizată; |
Amendamentul 101
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 15 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(15a) „servicii de înregistrare a numelor de domenii” înseamnă servicii furnizate de registrele de nume de domenii și operatorii de registru, de furnizorii de servicii de protecție a vieții private și servicii de proxy, de brokerii sau revânzătorii de domenii și de orice alte servicii legate de înregistrarea numelor de domenii; |
Amendamentul 102
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 23 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(23a) „rețea publică de comunicații electronice” înseamnă o rețea publică de comunicații electronice astfel cum este definită la articolul 2 punctul (8) din Directiva (UE) 2018/1972; |
Amendamentul 103
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 23 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(23b) „serviciu de comunicații electronice” înseamnă serviciu de comunicații electronice astfel cum este definit la articolul 2 punctul (4) din Directiva (UE) 2018/1972; |
Amendamentul 104
Propunere de directivă
Articolul 5 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. Fiecare stat membru adoptă o strategie națională de securitate cibernetică care definește obiectivele strategice și măsurile de politică și de reglementare adecvate, în vederea atingerii și menținerii unui nivel ridicat de securitate cibernetică. Strategia națională de securitate cibernetică include, în special, următoarele elemente: |
1. Fiecare stat membru adoptă o strategie națională de securitate cibernetică care definește obiectivele strategice, resursele tehnice, organizatorice și financiare necesare pentru realizarea acestor obiective, precum și măsurile de politică și de reglementare adecvate, în vederea atingerii și menținerii unui nivel ridicat de securitate cibernetică. Strategia națională de securitate cibernetică include, în special, următoarele elemente: |
Amendamentul 105
Propunere de directivă
Articolul 5 – alineatul 1 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) o definire a obiectivelor și a priorităților strategiei statelor membre privind securitatea cibernetică; |
(a) o definire a obiectivelor și a priorităților strategiei statului membru privind securitatea cibernetică; |
Amendamentul 106
Propunere de directivă
Articolul 5 – alineatul 1 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) un cadru de guvernanță pentru realizarea acestor obiective și priorități, inclusiv politicile menționate la alineatul (2) și rolurile și responsabilitățile organismelor și ale entităților publice, precum și ale altor actori relevanți; |
(b) un cadru de guvernanță pentru realizarea acestor obiective și priorități, inclusiv politicile menționate la alineatul (2); |
Amendamentul 107
Propunere de directivă
Articolul 5 – alineatul 1 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) un cadru pentru alocarea rolurilor și a responsabilităților organismelor și entităților publice, precum și ale altor actori relevanți, care să sprijine cooperarea și coordonarea, la nivel național, între autoritățile competente desemnate la articolul 7 alineatul (1) și la articolul 8 alineatul (1), punctul unic de contact desemnat la articolul 8 alineatul (3) și CSIRT desemnate în temeiul articolului 9; |
Amendamentul 108
Propunere de directivă
Articolul 5 – alineatul 1 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) o listă a diferitelor autorități și a diferiților actori care participă la punerea în aplicare a strategiei naționale de securitate cibernetică; |
(e) o listă a diferitelor autorități și a diferiților actori care participă la punerea în aplicare a strategiei naționale de securitate cibernetică, inclusiv un punct unic de contact privind securitatea cibernetică a IMM-urilor, care să ofere sprijin pentru în punerea în aplicare a măsurilor specifice de securitate cibernetică; |
Amendamentul 109
Propunere de directivă
Articolul 5 – alineatul 1 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) un cadru de politică menit să asigure o mai bună coordonare între autoritățile competente în temeiul prezentei directive și al Directivei (UE) XXXX/XXXX a Parlamentului European și a Consiliului38 [Directiva privind reziliența entităților critice] în scopul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. |
(f) un cadru de politică menit să asigure o mai bună coordonare între autoritățile competente în temeiul prezentei directive și al Directivei (UE) XXXX/XXXX a Parlamentului European și a Consiliului38 [Directiva privind reziliența entităților critice], în și între statele membre, în scopul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. |
__________________ |
__________________ |
38 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
38 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 110
Propunere de directivă
Articolul 5 – alineatul 1 – litera fa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fa) o evaluare a nivelului general de conștientizare în rândul cetățenilor cu privire la securitatea cibernetică. |
Amendamentul 111
Propunere de directivă
Articolul 5 – alineatul 2 – litera -a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(-a) o politică privind securitatea cibernetică pentru fiecare sector reglementat de prezenta directivă; |
Amendamentul 112
Propunere de directivă
Articolul 5 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice; |
(b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice, inclusiv cerințele de criptare și utilizarea produselor de securitate cibernetică cu sursă deschisă; |
Amendamentul 113
Propunere de directivă
Articolul 5 – alineatul 2 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) o politică legată de menținerea disponibilității și a integrității generale a nucleului public al internetului deschis; |
(d) o politică legată de menținerea disponibilității și a integrității generale a nucleului public al internetului deschis, inclusiv securitatea cibernetică a cablurilor de comunicații submarine; |
Amendamentul 114
Propunere de directivă
Articolul 5 – alineatul 2 – litera da (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(da) o politică de promovare și sprijinire a dezvoltării și a integrării tehnologiilor emergente, cum ar fi inteligența artificială, în instrumentele și aplicațiile de îmbunătățire a securității cibernetice; |
Amendamentul 115
Propunere de directivă
Articolul 5 – alineatul 2 – litera db (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(db) o politică de promovare a integrării instrumentelor și a aplicațiilor cu sursă deschisă; |
Amendamentul 116
Propunere de directivă
Articolul 5 – alineatul 2 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) o politică de sprijinire a instituțiilor academice și de cercetare în vederea dezvoltării unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate; |
(f) o politică de sprijinire a instituțiilor academice și de cercetare în vederea dezvoltării, consolidării și implementării unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate; |
Amendamentul 117
Propunere de directivă
Articolul 5 – alineatul 2 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice. |
(h) o politică de promovare a securității cibernetice pentru IMM-uri, inclusiv pentru cele excluse din domeniul de aplicare al prezentei directive, care să răspundă nevoilor lor specifice și să ofere orientări și sprijin ușor accesibile, inclusiv orientări privind provocările legate de lanțul de aprovizionare cu care se confruntă; |
Amendamentul 118
Propunere de directivă
Articolul 5 – alineatul 2 – litera ha (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ha) o politică de promovare a igienei cibernetice care să cuprindă un set de bază de practici și controale și să sensibilizeze cetățenii cu privire la amenințările și bunele practici în materie de securitate cibernetică; |
Amendamentul 119
Propunere de directivă
Articolul 5 – alineatul 2 – litera hb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(hb) o politică de promovare a apărării cibernetice active; |
Amendamentul 120
Propunere de directivă
Articolul 5 – alineatul 2 – litera hc (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(hc) o politică pentru a ajuta autoritățile să dezvolte competențele și înțelegerea considerentelor de securitate necesare pentru a proiecta, a construi și a gestiona locurile conectate; |
Amendamentul 121
Propunere de directivă
Articolul 5 – alineatul 2 – litera hd (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(hd) o politică ce abordează în mod specific amenințarea ransomware și care întrerupe modelul de afaceri ransomware; |
Amendamentul 122
Propunere de directivă
Articolul 5 – alineatul 2 – litera he (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(he) o politică, inclusiv proceduri relevante și cadre de guvernanță, pentru sprijinirea și promovarea încheierii de parteneriate public-privat în domeniul securității cibernetice; |
Amendamentul 123
Propunere de directivă
Articolul 5 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre notifică Comisiei strategiile lor naționale de securitate cibernetică în termen de trei luni de la adoptarea acestora. Statele membre pot exclude din notificare anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru menținerea securității naționale. |
3. Statele membre notifică Comisiei strategiile lor naționale de securitate cibernetică în termen de trei luni de la adoptarea acestora. Statele membre pot exclude din notificare anumite informații în cazul și în măsura în care acest lucru este necesar pentru menținerea securității naționale. |
Amendamentul 124
Propunere de directivă
Articolul 5 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor-cheie de performanță și, dacă este necesar, le modifică. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină statele membre, la cerere, în elaborarea unei strategii naționale și a unor indicatori-cheie de performanță pentru evaluarea strategiei. |
4. Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor-cheie de performanță și, dacă este necesar, le modifică. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină statele membre, la cerere, în elaborarea unei strategii naționale și a unor indicatori-cheie de performanță pentru evaluarea strategiei. ENISA oferă statelor membre orientări pentru alinierea strategiilor lor naționale de securitate cibernetică formulate deja la cerințele și obligațiile stabilite în prezenta directivă. |
Amendamentul 125
Propunere de directivă
Articolul 6 – titlu
|
|
Textul propus de Comisie |
Amendamentul |
Divulgarea coordonată a vulnerabilităților și registrul european al vulnerabilităților |
Divulgarea coordonată a vulnerabilităților și baza de date europeană a vulnerabilităților |
Amendamentul 126
Propunere de directivă
Articolul 6 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Fiecare stat membru desemnează una dintre echipele sale CSIRT, astfel cum se menționează la articolul 9, drept coordonator în scopul divulgării coordonate a vulnerabilităților. CSIRT desemnată acționează ca intermediar de încredere, facilitând, dacă este necesar, interacțiunea dintre entitatea raportoare și producătorul sau furnizorul de produse TIC sau servicii TIC. În cazul în care vulnerabilitatea raportată vizează mai mulți producători sau furnizori de produse TIC sau de servicii TIC din Uniune, CSIRT desemnată din fiecare stat membru în cauză cooperează cu rețeaua CSIRT. |
1. Fiecare stat membru desemnează una dintre echipele sale CSIRT, astfel cum se menționează la articolul 9, drept coordonator în scopul divulgării coordonate a vulnerabilităților. CSIRT desemnată acționează ca intermediar de încredere, facilitând, la cererea entității raportoare, interacțiunea dintre entitatea raportoare și producătorul sau furnizorul de produse TIC sau servicii TIC. În cazul în care vulnerabilitatea raportată vizează mai mulți producători sau furnizori de produse TIC sau de servicii TIC din Uniune, CSIRT desemnată din fiecare stat membru în cauză cooperează cu rețeaua CSIRT. |
Amendamentul 127
Propunere de directivă
Articolul 6 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. ENISA creează și menține un registru european al vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în registru. Registrul include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. |
2. ENISA creează și menține o bază de date europeană a vulnerabilităților bazându-se pe registrul mondial comun de vulnerabilități și expuneri (CVE). În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate și adoptă măsurile tehnice și organizatorice necesare pentru a garanta securitatea și integritatea bazei de date, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice, precum și entităților care nu intră în domeniul de aplicare al prezentei directive și furnizorilor lor să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC. Se oferă acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în baza de date care dispun de corecții sau măsuri de atenuare disponibile. Baza de date include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe. Dacă astfel de corecții nu sunt disponibile, vor fi incluse în baza de date orientări adresate utilizatorilor de produse TIC și servicii TIC vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. |
Amendamentul 128
Propunere de directivă
Articolul 7 – alineatul 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
1a. Dacă un stat membru desemnează mai multe autorități competente menționate la alineatul (1), acesta indică în mod clar care dintre autoritățile competente respective servește drept coordonator pentru gestionarea incidentelor și a crizelor de mare amploare. |
Amendamentul 129
Propunere de directivă
Articolul 7 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Fiecare stat membru identifică capacitățile, mijloacele și procedurile care pot fi utilizate în caz de criză în sensul prezentei directive. |
(Nu privește versiunea în limba română.) |
Amendamentul 130
Propunere de directivă
Articolul 7 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre comunică Comisiei desemnarea autorităților lor competente menționate la alineatul (1) și își prezintă planurile naționale de răspuns la incidente și crize în materie de securitate cibernetică, astfel cum se menționează la alineatul (3), în termen de trei luni de la desemnarea autorităților și adoptarea planurilor respective. Statele membre pot exclude din plan anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru securitatea lor națională. |
4. Statele membre comunică Comisiei desemnarea autorităților lor competente menționate la alineatul (1) și prezintă UE-CyCLONe planurile naționale de răspuns la incidente și crize în materie de securitate cibernetică, astfel cum se menționează la alineatul (3), în termen de trei luni de la desemnarea autorităților și adoptarea planurilor respective. Statele membre pot exclude din plan anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru securitatea lor națională. |
Amendamentul 131
Propunere de directivă
Articolul 8 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Fiecare stat membru desemnează un punct unic de contact național în materie de securitate cibernetică („punct unic de contact”). În cazul în care un stat membru desemnează o singură autoritate competentă, aceasta servește, de asemenea, drept punct unic de contact pentru statul membru respectiv. |
3. Fiecare stat membru desemnează una dintre autoritățile competente menționate la alineatul (1) ca punct unic de contact național în materie de securitate cibernetică („punct unic de contact”). În cazul în care un stat membru desemnează o singură autoritate competentă, aceasta servește, de asemenea, drept punct unic de contact pentru statul membru respectiv. |
Amendamentul 132
Propunere de directivă
Articolul 8 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Fiecare punct unic de contact exercită o funcție de legătură menită să asigure cooperarea transfrontalieră a autorităților din statul său membru cu autoritățile relevante din alte state membre și să asigure cooperarea transsectorială cu alte autorități naționale competente din statul său membru. |
4. Fiecare punct unic de contact exercită o funcție de legătură menită să asigure cooperarea transfrontalieră a autorităților din statul său membru cu autoritățile relevante din alte state membre, cu Comisia și cu ENISA și să asigure cooperarea transsectorială cu alte autorități naționale competente din statul său membru. |
Amendamentul 133
Propunere de directivă
Articolul 9 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că fiecare echipă CSIRT dispune de resurse adecvate pentru a-și îndeplini efectiv sarcinile stabilite la articolul 10 alineatul (2). |
2. Statele membre se asigură că fiecare echipă CSIRT dispune de resurse adecvate și de capacitățile tehnice necesare pentru a-și îndeplini efectiv sarcinile stabilite la articolul 10 alineatul (2). |
Amendamentul 134
Propunere de directivă
Articolul 9 – alineatul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6a. Statele membre asigură posibilitatea unui schimb de informații eficace, eficient și sigur cu privire la toate nivelurile de clasificare între propriile echipe CSIRT și CSIRT din țări terțe la același nivel de clasificare. |
Amendamentul 135
Propunere de directivă
Articolul 9 – alineatul 6 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6b. Fără a aduce atingere legislației Uniunii, în special Regulamentului (UE) 2016/679, CSIRT cooperează cu CSIRT sau structurilor echivalente din țările candidate la aderarea la Uniune și din alte țări terțe din Balcanii de Vest și din Parteneriatul estic și, în măsura posibilului, le oferă asistență în materie de securitate cibernetică. |
Amendamentul 136
Propunere de directivă
Articolul 9 – alineatul 7
|
|
Textul propus de Comisie |
Amendamentul |
7. Statele membre comunică fără întârzieri nejustificate Comisiei echipele CSIRT desemnate în conformitate cu alineatul (1), coordonatorul CSIRT desemnat în conformitate cu articolul 6 alineatul (1) și sarcinile acestora prevăzute în legătură cu entitățile menționate în anexele I și II. |
7. Statele membre comunică fără întârzieri nejustificate Comisiei echipele CSIRT desemnate în conformitate cu alineatul (1) și coordonatorul CSIRT desemnat în conformitate cu articolul 6 alineatul (1), inclusiv sarcinile acestora prevăzute în legătură cu entitățile esențiale și importante. |
Amendamentul 137
Propunere de directivă
Articolul 10 – titlu
|
|
Textul propus de Comisie |
Amendamentul |
Cerințele pe care trebuie să le respecte și sarcinile care le revin echipelor CSIRT |
Cerințele pe care trebuie să le respecte, capacitățile tehnice și sarcinile care le revin echipelor CSIRT |
Amendamentul 138
Propunere de directivă
Articolul 10 – alineatul 1 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) echipele CSIRT dispun de un sistem adecvat de gestionare și rutare a cererilor, în special în vederea facilitării eficace și eficiente a transferurilor; |
(c) echipele CSIRT dispun de un sistem adecvat de clasificare, rutare și urmărire a cererilor, în special în vederea facilitării eficace și eficiente a transferurilor; |
Amendamentul 139
Propunere de directivă
Articolul 10 – alineatul 1 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) echipele CSIRT dispun de coduri de conduită adecvate pentru a asigura confidențialitatea și credibilitatea operațiunilor lor; |
Amendamentul 140
Propunere de directivă
Articolul 10 – alineatul 1 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) echipele CSIRT dispun de personal adecvat pentru a asigura o disponibilitate permanentă; |
(d) echipele CSIRT dispun de personal adecvat pentru a asigura o disponibilitate permanentă și pentru a asigura cadre de formare adecvate pentru personalul lor; |
Amendamentul 141
Propunere de directivă
Articolul 10 – alineatul 1 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) echipele CSIRT sunt echipate cu sisteme redundante și spațiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor; |
(e) echipele CSIRT sunt echipate cu sisteme redundante și spațiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor, inclusiv conectivitatea extinsă a rețelelor, a sistemelor informatice, a serviciilor, precum și a dispozitivelor; |
Amendamentul 142
Propunere de directivă
Articolul 10 – alineatul 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
1a. Echipele CSIRT dezvoltă cel puțin următoarele capacități tehnice: |
|
(a) capacitatea de a efectua monitorizarea în timp real sau în timp aproape real a rețelelor și a sistemelor informatice, precum și detectarea anomaliilor; |
|
(b) capacitatea de a sprijini prevenirea și detectarea intruziunilor; |
|
(c) capacitatea de a colecta și de a efectua o analiză complexă a datelor criminalistice și ingineria inversă a amenințărilor cibernetice; |
|
(d) capacitatea de a filtra traficul nociv; |
|
(e) capacitatea de a aplica privilegii și controale solide de autentificare și acces; precum și |
|
(f) capacitatea de a analiza amenințările cibernetice. |
Amendamentul 143
Propunere de directivă
Articolul 10 – alineatul 2 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) monitorizarea amenințărilor cibernetice, a vulnerabilităților și a incidentelor la nivel național; |
(a) monitorizarea amenințărilor cibernetice, a vulnerabilităților și a incidentelor la nivel național și obținerea de informații în timp real privind amenințările; |
Amendamentul 144
Propunere de directivă
Articolul 10 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) asigurarea unor mecanisme de avertizare timpurii, alerte, anunțuri și diseminare de informații către entitățile esențiale și importante, precum și către alte părți interesate relevante cu privire la amenințările cibernetice, vulnerabilități și incidente; |
(b) asigurarea unor mecanisme de avertizare timpurii, alerte, anunțuri și diseminare de informații către entitățile esențiale și importante, precum și către alte părți interesate relevante cu privire la amenințările cibernetice, vulnerabilități și incidente, în timp aproape real, dacă este posibil; |
Amendamentul 145
Propunere de directivă
Articolul 10 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) răspunsul la incidente; |
(c) răspunsul la incidente și acordarea de asistență entităților implicate; |
Amendamentul 146
Propunere de directivă
Articolul 10 – alineatul 2 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) furnizarea, la cererea unei entități, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor; |
(e) furnizarea, la cererea unei entități sau în cazul unor amenințări grave la adresa securității naționale, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor; |
Amendamentul 147
Propunere de directivă
Articolul 10 – alineatul 2 – litera fa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fa) furnizarea, la cererea unei entități, a permisiunii și configurării înregistrărilor în rețea pentru a proteja datele, inclusiv datele cu caracter personal, împotriva exfiltrării neautorizate; |
Amendamentul 148
Propunere de directivă
Articolul 10 – alineatul 2 – litera fb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fb) contribuirea la implementarea unor instrumente securizate de schimb de informații, în temeiul articolului 9 alineatul (3); |
Amendamentul 149
Propunere de directivă
Articolul 10 – alineatul 4 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
4. Pentru a facilita cooperarea, echipele CSIRT promovează adoptarea și utilizarea unor practici, sisteme de clasificare și taxonomii comune sau standardizate în legătură cu următoarele: |
4. Pentru a facilita cooperarea, echipele CSIRT promovează automatizarea schimbului de informații, adoptarea și utilizarea unor practici, sisteme de clasificare și taxonomii comune sau standardizate în legătură cu următoarele: |
Amendamentul 150
Propunere de directivă
Articolul 11 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că fie autoritățile lor competente, fie echipele lor CSIRT primesc notificări privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită comunicate în temeiul prezentei directive. În cazul în care un stat membru decide ca echipele sale CSIRT să nu primească notificări, acestora li se acordă, în măsura necesară pentru a-și îndeplini atribuțiile, acces la datele privind incidentele notificate de entitățile esențiale sau importante, în temeiul articolului 20. |
2. Statele membre se asigură că echipele lor CSIRT primesc notificări privind incidentele semnificative, în temeiul articolului 20, precum și amenințările cibernetice semnificative și incidentele semnificative evitate la limită în temeiul articolului 27 prin punctul de contact unic menționat la articolul 20 alineatul (4a). |
Amendamentul 151
Propunere de directivă
Articolul 11 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv. |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente, punctele unice de contact, CSIRT, autoritățile de aplicare a legii, autoritățile naționale de reglementare sau alte autorități competente responsabile pentru rețelele publice de comunicații electronice sau pentru serviciile de comunicații electronice accesibile publicului în temeiul Directivei (UE) 2018/1972, autoritățile pentru protecția datelor, autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv, conform competențelor lor respective. |
__________________ |
__________________ |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 152
Propunere de directivă
Articolul 11 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Statele membre se asigură că autoritățile lor competente furnizează periodic informații autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu privire la riscurile de securitate cibernetică, amenințările cibernetice și incidentele care afectează entitățile esențiale identificate ca fiind critice sau ca entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], precum și cu privire la măsurile luate de autoritățile competente ca răspuns la aceste riscuri și incidente. |
5. Statele membre se asigură că autoritățile lor competente furnizează periodic informații, în timp util, autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu privire la riscurile de securitate cibernetică, amenințările cibernetice și incidentele care afectează entitățile esențiale identificate ca fiind critice sau ca entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], precum și cu privire la măsurile luate de autoritățile competente ca răspuns la aceste riscuri și incidente. |
Amendamentul 153
Propunere de directivă
Articolul 12 – alineatul 3 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observator. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare. |
Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Parlamentul European și Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observatori. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare. |
Amendamentul 154
Propunere de directivă
Articolul 12 – alineatul 3 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
După caz, grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai părților interesate relevante. |
După caz, Grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai părților interesate relevante, cum ar fi Comitetul european pentru protecția datelor și reprezentanți ai industriei. |
Amendamentul 155
Propunere de directivă
Articolul 12 – alineatul 4 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) schimbul de bune practici și de informații în legătură cu punerea în aplicare a prezentei directive, inclusiv în ceea ce privește amenințările cibernetice, incidentele, vulnerabilitățile, incidentele evitate la limită, inițiativele de sensibilizare, cursurile de formare, exercițiile și competențele, consolidarea capacităților, precum și standardele și specificațiile tehnice; |
(b) schimbul de bune practici și de informații în legătură cu punerea în aplicare a prezentei directive, inclusiv în ceea ce privește amenințările cibernetice, incidentele, vulnerabilitățile, incidentele evitate la limită, inițiativele de sensibilizare, cursurile de formare, exercițiile și competențele, consolidarea capacităților, standardele și specificațiile tehnice, precum și identificarea entităților esențiale și importante.; |
Amendamentul 156
Propunere de directivă
Articolul 12 – alineatul 4 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) inventarierea soluțiilor naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din Uniune; |
Amendamentul 157
Propunere de directivă
Articolul 12 – alineatul 4 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) schimbul de opinii și cooperarea cu Comisia cu privire la inițiativele emergente de politică în materie de securitate cibernetică; |
(c) schimbul de opinii și cooperarea cu Comisia cu privire la inițiativele emergente de politică în materie de securitate cibernetică, precum și coerența generală a cerințelor de securitate cibernetică specifice sectorului; |
Amendamentul 158
Propunere de directivă
Articolul 12 – alineatul 4 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) discutarea rapoartelor privind evaluarea inter pares menționate la articolul 16 alineatul (7); |
(f) discutarea rapoartelor privind evaluarea inter pares menționate la articolul 16 alineatul (7) și extragerea de concluzii și recomandări; |
Amendamentul 159
Propunere de directivă
Articolul 12 – alineatul 4 – litera fa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fa) efectuarea de evaluări coordonate ale riscurilor de securitate care pot fi inițiate în temeiul articolului 19 alineatul (1), în cooperare cu Comisia și cu ENISA; |
Amendamentul 160
Propunere de directivă
Articolul 12 – alineatul 4 – litera ka (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ka) transmiterea către Comisie, în scopul revizuirii menționate la articolul 35, a rapoartelor privind experiența obținută la nivel strategic și operațional; |
Amendamentul 161
Propunere de directivă
Articolul 12 – alineatul 4 – litera kb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(kb) asigurarea unei evaluări anuale în cooperare cu ENISA, Europol și instituțiile naționale de aplicare a legii privind statele terțe care găzduiesc infractori ransomware; |
Amendamentul 162
Propunere de directivă
Articolul 12 – alineatul 8
|
|
Textul propus de Comisie |
Amendamentul |
8. Grupul de cooperare se reunește periodic și cel puțin o dată pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] pentru a promova cooperarea strategică și schimbul de informații. |
8. Grupul de cooperare se reunește periodic și cel puțin de două ori pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] pentru a facilita cooperarea strategică și schimbul de informații. |
Amendamentul 163
Propunere de directivă
Articolul 13 – alineatul 3 – litera aa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(aa) facilitarea schimbului și transferului de tehnologie și măsuri, politici, bune practici și cadre relevante între echipele CSIRT; |
Amendamentul 164
Propunere de directivă
Articolul 13 – alineatul 3 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) asigurarea interoperabilității în ceea ce privește standardele privind schimbul de informații; |
Amendamentul 165
Propunere de directivă
Articolul 14 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru a sprijini gestionarea coordonată, la nivel operațional, a incidentelor și a crizelor de securitate cibernetică de mare amploare și pentru a asigura schimbul periodic de informații între statele membre și instituțiile, organele și agențiile Uniunii, se înființează Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (UE - CyCLONe). |
1. Pentru a sprijini gestionarea coordonată, la nivel operațional, a incidentelor și a crizelor de securitate cibernetică de mare amploare și pentru a asigura schimbul periodic de informații relevante între statele membre și instituțiile, organele și agențiile Uniunii, se înființează Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (UE - CyCLONe). |
Amendamentul 166
Propunere de directivă
Articolul 14 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. UE - CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. ENISA asigură secretariatul rețelei și sprijină schimbul securizat de informații. |
2. UE - CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. ENISA asigură secretariatul UE - CyCLONe și sprijină schimbul securizat de informații. |
Amendamentul 167
Propunere de directivă
Articolul 14 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. UE-CyCLONe prezintă periodic rapoarte grupului de cooperare cu privire la amenințările, incidentele și tendințele cibernetice, concentrându-se în special pe impactul acestora asupra entităților esențiale și importante. |
5. UE-CyCLONe prezintă periodic rapoarte grupului de cooperare cu privire la incidentele și crizele de mare amploare, precum și la tendințe, concentrându-se în special pe impactul acestora asupra entităților esențiale și importante. |
Amendamentul 168
Propunere de directivă
Articolul 15 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune. Raportul include, în special, o evaluare a următoarelor elemente: |
1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune pe care îl înaintează și îl prezintă Parlamentului European. Raportul este furnizat într-un format citibil automat și include, în special, o evaluare a următoarelor elemente: |
Amendamentul 169
Propunere de directivă
Articolul 15 – alineatul 1 – litera aa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(aa) nivelul general de conștientizare și igienă în materie de securitate cibernetică în rândul cetățenilor și al entităților, inclusiv al IMM-urilor, precum și nivelul general de securitate al dispozitivelor conectate; |
Amendamentul 170
Propunere de directivă
Articolul 15 – alineatul 1 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) un indice de securitate cibernetică care să prevadă o evaluare globală a nivelului de maturitate al capacităților în materie de securitate cibernetică. |
(c) un indice de securitate cibernetică care să prevadă o evaluare globală a nivelului de maturitate al capacităților în materie de securitate cibernetică în întreaga Uniune, inclusiv alinierea strategiilor naționale ale statelor membre în materie de securitate cibernetică; |
Amendamentul 171
Propunere de directivă
Articolul 15 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Raportul include recomandări de politică specifice pentru îmbunătățirea nivelului de securitate cibernetică în întreaga Uniune și un rezumat al constatărilor pentru perioada respectivă incluse în rapoartele UE privind situația tehnică în materie de securitate cibernetică ale agenției, emise de ENISA în conformitate cu articolul 7 alineatul (6) din Regulamentul (UE) 2019/881. |
2. Raportul include recomandări de politică și de identificare a obstacolelor specifice pentru îmbunătățirea nivelului de securitate cibernetică în întreaga Uniune și un rezumat al constatărilor pentru perioada respectivă incluse în rapoartele UE privind situația tehnică în materie de securitate cibernetică ale agenției, emise de ENISA în conformitate cu articolul 7 alineatul (6) din Regulamentul (UE) 2019/881. |
Amendamentul 172
Propunere de directivă
Articolul 15 – alineatul 2 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2a. ENISA, în cooperare cu Comisia și pe baza orientărilor din partea Grupului de cooperare și a rețelei CSIRT, elaborează metodologia, inclusiv variabilele relevante ale indicelui de securitate cibernetică menționat la alineatul (1) litera (c). |
Amendamentul 173
Propunere de directivă
Articolul 16 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. După consultarea grupului de cooperare și a ENISA și în termen de cel mult 18 luni de la intrarea în vigoare a prezentei directive, Comisia stabilește metodologia și conținutul unui sistem de evaluare inter pares pentru evaluarea eficacității politicilor de securitate cibernetică ale statelor membre. Evaluările sunt efectuate de experți tehnici în materie de securitate cibernetică din alte state membre decât cel care face obiectul evaluării și acoperă cel puțin următoarele elemente: |
1. După consultarea grupului de cooperare și a ENISA și în termen de cel mult ...[18 luni de la intrarea în vigoare a prezentei directive], Comisia stabilește metodologia și conținutul unui sistem de evaluare inter pares pentru evaluarea eficacității politicilor de securitate cibernetică ale statelor membre. Evaluările inter pares sunt efectuate în consultare cu ENISA de experți tehnici în materie de securitate cibernetică din cel puțin două state membre decât cel care face obiectul evaluării și acoperă cel puțin următoarele elemente: |
Amendamentul 174
Propunere de directivă
Articolul 16 – alineatul 1 – punctul iii
|
|
Textul propus de Comisie |
Amendamentul |
(iii) capacitățile operaționale și eficacitatea echipelor CSIRT; |
(iii) capacitățile operaționale și eficacitatea echipelor CSIRT în executarea sarcinilor lor; |
Amendamentul 175
Propunere de directivă
Articolul 16 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Aspectele organizatorice ale evaluărilor inter pares sunt decise de Comisie, cu sprijinul ENISA, și, în urma consultării grupului de cooperare, se bazează pe criteriile definite în metodologia menționată la alineatul (1). Evaluările inter pares analizează aspectele menționate la alineatul (1) pentru toate statele membre și toate sectoarele, inclusiv anumite aspecte specifice unuia sau mai multor state membre sau unuia sau mai multor sectoare. |
3. Aspectele organizatorice ale evaluărilor inter pares sunt decise de Comisie, cu sprijinul ENISA, și, în urma consultării grupului de cooperare, se bazează pe criteriile definite în metodologia menționată la alineatul (1). Evaluările inter pares analizează aspectele menționate la alineatul (1) pentru toate statele membre și toate sectoarele, inclusiv anumite aspecte specifice unuia sau mai multor state membre sau unuia sau mai multor sectoare. Experții desemnați care efectuează evaluarea comunică aceste aspecte specifice statului membru care face obiectul evaluării inter pares, înainte de începerea acesteia. |
Amendamentul 176
Propunere de directivă
Articolul 16 – alineatul 3 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
3a. Înainte de începerea procesului de evaluare inter pares, statul membru care face obiectul evaluării inter pares efectuează o autoevaluare a aspectelor revizuite și furnizează autoevaluarea experților desemnați. |
Amendamentul 177
Propunere de directivă
Articolul 16 – alineatul 4