RAPORT referitor la propunerea de Directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148

    4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

    Comisia pentru industrie, cercetare și energie
    Raportor: Bart Groothuis
    Raportor pentru aviz (*):
    Lukas Mandl, Comisia pentru libertăți civile, justiție și afaceri interne
    (*) Procedura comisiilor asociate – articolul 57 din Regulamentul de procedură

    PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN

    referitoare la propunerea de Directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148

    (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

    (Procedura legislativă ordinară: prima lectură)

    Parlamentul European,

     având în vedere propunerea Comisiei prezentată Parlamentului European și Consiliului (COM(2020)0823),

     având în vedere articolul 294 alineatul (2) și articolul 114 din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie Parlamentului (C9-0422/2020),

     având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,

     având în vedere avizul Comitetului Economic și Social European din 27 aprilie 2021[1],

     după consultarea Comitetului Regiunilor,

     având în vedere articolul 59 din Regulamentul său de procedură,

     având în vedere avizul Comisiei pentru libertăți civile, justiție și afaceri interne, pe cel al Comisiei pentru afaceri externe, pe cel al Comisiei pentru piața internă și protecția consumatorilor și pe cel al Comisiei pentru transport și turism,

     având în vedere raportul Comisiei pentru industrie, cercetare și energie (A9-0313/2021),

    1. adoptă poziția sa în primă lectură prezentată în continuare;

    2. solicită Comisiei să îl sesizeze din nou în cazul în care își înlocuiește, își modifică în mod substanțial sau intenționează să-și modifice în mod substanțial propunerea;

    3. îi încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.


    Amendamentul  1

     

    Propunere de directivă

    Titlu

     

    Textul propus de Comisie

    Amendamentul

    Propunere de

    Propunere de

    DIRECTIVĂ A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI

    DIRECTIVĂ A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI

    privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148

    privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS), de abrogare a Directivei (UE) 2016/1148

    Amendamentul  2

     

    Propunere de directivă

    Considerentul 1

     

    Textul propus de Comisie

    Amendamentul

    (1) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului11 vizează consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente de securitate cibernetică, contribuind astfel la funcționarea eficace a economiei și a societății Uniunii.

    (1) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului11, cunoscută sub numele de Directiva NIS, vizează consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente de securitate cibernetică, contribuind astfel la securitatea Uniunii și la funcționarea eficace a economiei și a societății sale.

    __________________

    __________________

    11 Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194/1, 19.7.2016, p. 1).

    11 Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194/1, 19.7.2016, p. 1).

    Amendamentul  3

     

    Propunere de directivă

    Considerentul 3

     

    Textul propus de Comisie

    Amendamentul

    (3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne.

    (3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne. În plus, securitatea cibernetică este un factor-cheie pentru ca multe sectoare critice să adopte cu succes transformarea digitală și să profite pe deplin de beneficiile economice, sociale și sustenabile ale digitalizării.

    Amendamentul  4

     

    Propunere de directivă

    Considerentul 3 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (3a) Incidentele și crizele de securitate cibernetică de mare amploare de la nivelul Uniunii necesită acțiuni coordonate pentru a asigura un răspuns rapid și eficace, din cauza gradului ridicat de interdependență dintre sectoare și țări. Disponibilitatea rețelelor și a sistemelor informatice reziliente din punct de vedere cibernetic, precum și disponibilitatea, confidențialitatea și integritatea datelor sunt vitale pentru securitatea Uniunii atât în interiorul, cât și în afara frontierelor sale, având în vedere că amenințările cibernetice și-ar putea avea originea în afara Uniunii. Ambiția Uniunii de a dobândi un rol geopolitic mai proeminent se bazează, de asemenea, pe apărarea și pe descurajarea cibernetice credibile, inclusiv pe capacitatea de a identifica acțiuni răuvoitoare în mod efectiv și în timp util și de a reacționa în mod adecvat.

    Amendamentul  5

     

    Propunere de directivă

    Considerentul 5

     

    Textul propus de Comisie

    Amendamentul

    (5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă.

    (5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. În cele din urmă, aceste divergențe ar putea duce la o vulnerabilitate mai mare a unor state membre la amenințările la adresa securității cibernetice, cu potențiale efecte de propagare în întreaga Uniune. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă (Directiva NIS2).

    Amendamentul  6

     

    Propunere de directivă

    Considerentul 6

     

    Textul propus de Comisie

    Amendamentul

    (6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14.

    (6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite prevenirea, investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14.

    __________________

    __________________

    14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC).

    14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC).

    Amendamentul  7

     

    Propunere de directivă

    Considerentul 7

     

    Textul propus de Comisie

    Amendamentul

    (7) Odată cu abrogarea Directivei (UE) 2016/1148, domeniul de aplicare ar trebui extins la mai multe sectoare economice, având în vedere considerentele 4-6. Sectoarele reglementate de Directiva (UE) 2016/1148 ar trebui, prin urmare, să fie extinse pentru a oferi o acoperire cuprinzătoare a sectoarelor și a serviciilor de importanță vitală pentru activitățile societale și economice esențiale din cadrul pieței interne. Normele nu ar trebui să fie diferite în funcție de statutul entităților: operatori de servicii esențiale sau furnizori de servicii digitale. Această diferențiere s-a dovedit a fi caducă, deoarece nu reflectă importanța reală a sectoarelor sau a serviciilor pentru activitățile sociale și economice de pe piața internă.

    (7) Odată cu abrogarea Directivei (UE) 2016/1148, domeniul de aplicare ar trebui extins la mai multe sectoare economice, având în vedere considerentele 4-6. Sectoarele reglementate de Directiva (UE) 2016/1148 ar trebui, prin urmare, să fie extinse pentru a oferi o acoperire cuprinzătoare a sectoarelor și a serviciilor de importanță vitală pentru activitățile societale și economice esențiale din cadrul pieței interne. Cerințele de gestionare a riscurilor și obligațiile de informare nu ar trebui să fie diferite în funcție de statutul entităților: operatori de servicii esențiale sau furnizori de servicii digitale. Această diferențiere s-a dovedit a fi caducă, deoarece nu reflectă importanța reală a sectoarelor sau a serviciilor pentru activitățile sociale și economice de pe piața internă.

    Amendamentul  8

     

    Propunere de directivă

    Considerentul 8

     

    Textul propus de Comisie

    Amendamentul

    (8) În conformitate cu Directiva (UE) 2016/1148, statele membre au fost responsabile de stabilirea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale („procesul de identificare”). Pentru a elimina divergențele mari dintre statele membre în această privință și pentru a asigura securitatea juridică în ceea ce privește cerințele de gestionare a riscurilor și obligațiile de raportare pentru toate entitățile relevante, ar trebui stabilit un criteriu uniform care să stabilească care sunt entitățile ce intră în domeniul de aplicare al prezentei directive. Acest criteriu ar trebui să constea în aplicarea regulii privind criteriul de dimensiune, conform căruia toate întreprinderile mijlocii și mari, astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei15, care își desfășoară activitatea în sectoarele reglementate de prezenta directivă sau furnizează tipul de servicii reglementate de aceasta intră în domeniul său de aplicare. Statele membre nu ar trebui să aibă obligația de a întocmi o listă a entităților care îndeplinesc acest criteriu general aplicabil în ceea ce privește dimensiunea.

    (8) În conformitate cu Directiva (UE) 2016/1148, statele membre au fost responsabile de stabilirea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale („procesul de identificare”). Pentru a elimina divergențele mari dintre statele membre în această privință și pentru a asigura securitatea juridică în ceea ce privește cerințele de gestionare a riscurilor și obligațiile de raportare pentru toate entitățile relevante, ar trebui stabilit un criteriu uniform care să stabilească care sunt entitățile ce intră în domeniul de aplicare al prezentei directive. Acest criteriu ar trebui să constea în aplicarea regulii privind criteriul de dimensiune, conform căruia toate întreprinderile mijlocii și mari, astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei15, care își desfășoară activitatea în sectoarele reglementate de prezenta directivă sau furnizează tipul de servicii reglementate de aceasta intră în domeniul său de aplicare.

    __________________

    __________________

    15 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).

    15 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).

    Amendamentul  9

     

    Propunere de directivă

    Considerentul 9

     

    Textul propus de Comisie

    Amendamentul

    (9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei.

    (9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive.

    Amendamentul  10

     

    Propunere de directivă

    Considerentul 9 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (9a) Statele membre ar trebui să întocmească o listă a tuturor entităților esențiale și importante. Lista respectivă ar trebui să cuprindă entitățile care îndeplinesc criteriile general aplicabile legate de dimensiune, precum și întreprinderile mici și microîntreprinderile care îndeplinesc anumite criterii care indică rolul lor esențial pentru economiile sau societățile statelor membre. Pentru ca echipele de intervenție în caz de incidente de securitate informatică (CSIRT) și autoritățile competente să ofere asistență și să avertizeze entitățile cu privire la incidentele cibernetice care le-ar putea afecta, este important ca aceste autorități să dispună de datele de contact corecte ale entităților. Prin urmare, entitățile esențiale și importante ar trebui să transmită autorităților competente cel puțin următoarele informații: denumirea entității, adresa și datele de contact actualizate, inclusiv adresele de e-mail, seriile de adrese IP, numerele de telefon, precum și sectorul(sectoarele) relevant(e) menționat(e) în anexele I și II. Entitățile ar trebui să comunice autorităților competente orice modificare a informațiilor respective. Statele membre ar trebui să se asigure, fără întârzieri nejustificate, că informațiile respective pot fi transmise cu ușurință prin intermediul unui singur punct de intrare. În acest scop, ENISA, în cooperare cu Grupul de cooperare, ar trebui să emită fără întârzieri nejustificate orientări și modele privind obligațiile de notificare. Statele membre ar trebui să comunice Comisiei și Grupului de cooperare numărul de entități esențiale și importante. De asemenea, statele membre ar trebui să comunice Comisiei, în scopul reexaminării menționate în prezenta directivă, denumirile întreprinderilor mici și ale microîntreprinderilor identificate ca fiind entități esențiale și importante, pentru a permite Comisiei să evalueze coerența abordărilor statelor membre. Informațiile respective ar trebui tratate ca fiind strict confidențiale.

    Amendamentul  11

     

    Propunere de directivă

    Considerentul 10

     

    Textul propus de Comisie

    Amendamentul

    (10) Comisia, în cooperare cu Grupul de cooperare, poate emite orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici.

    (10) Comisia, în cooperare cu Grupul de cooperare și cu părțile interesate relevante, ar trebui să emită orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. Comisia ar trebui, de asemenea, să asigure că se oferă orientări adecvate tuturor microîntreprinderilor și întreprinderilor mici care intră în domeniul de aplicare al prezentei directive. Comisia ar trebui să le ofere microîntreprinderilor și întreprinderilor mici informații în acest sens, cu sprijinul statelor membre.

    Amendamentul  12

     

    Propunere de directivă

    Considerentul 10 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (10a) Comisia ar mai trebui să formuleze orientări pentru a sprijini statele membre în punerea în aplicare corectă a dispozițiilor privind domeniul de aplicare și pentru a evalua proporționalitatea obligațiilor prevăzute de prezenta directivă, îndeosebi atunci când privește entități cu modele de afaceri sau medii de funcționare complexe, în baza cărora o entitate poate îndeplini simultan criteriile atribuite atât entităților esențiale, cât și celor importante, sau poate desfășura simultan unele activități care se încadrează în domeniul de aplicare al prezentei directive și altele care nu se încadrează.

    Amendamentul  13

     

    Propunere de directivă

    Considerentul 12

     

    Textul propus de Comisie

    Amendamentul

    (12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente ori amenințări cibernetice semnificative cu un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia poate emite orientări cu privire la punerea în aplicare a lex specialis. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei.

    (12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. Actele legislative sectoriale ale Uniunii care impun ca entitățile esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să informeze cu privire la incidentele semnificative ar trebui să fie, pe cât posibil, în concordanță cu terminologia și să facă trimitere la definițiile prevăzute în prezenta directivă. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente, și în cazul în care aceste cerințe au un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă și se aplică pentru totalitatea aspectelor de securitate ale operațiunilor și serviciilor prestate de entitățile esențiale sau importante, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia ar trebui să emită orientări cuprinzătoare cu privire la punerea în aplicare a lex specialis, ținând seama de avizele relevante, de cunoștințele de specialitate și de bunele practici ale ENISA și ale Grupului de cooperare. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor și care iau în considerare în mod corespunzător necesitatea existenței unui cadru cuprinzător și coerent în materie de securitate cibernetică. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei.

    Amendamentul  14

     

    Propunere de directivă

    Considerentul 14

     

    Textul propus de Comisie

    Amendamentul

    (14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritatea competentă în temeiul prezentei directive și cea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații în acest scop.

    (14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritățile competente ale statelor membre și între cele din statele membre, în temeiul prezentei directive și autoritatea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații fără întârzieri nejustificate, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații, pe cât posibil în timp real, în acest scop.

    __________________

    __________________

    17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute]

    17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute]

    Amendamentul  15

     

    Propunere de directivă

    Considerentul 15

     

    Textul propus de Comisie

    Amendamentul

    (15) Respectarea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) este un factor-cheie pentru menținerea integrității internetului, esențial pentru funcționarea sa continuă și stabilă, de care depind economia digitală și societatea. Prin urmare, prezenta directivă ar trebui să se aplice tuturor furnizorilor de servicii DNS de-a lungul lanțului de rezoluție a DNS, inclusiv operatorilor de servere pentru numele primare, de servere cu nume de domeniu de prim nivel (TLD), de servere cu nume de utilizator autorizat pentru nume de domenii și de rezolvere recursive.

    (15) Respectarea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) este un factor-cheie pentru menținerea integrității internetului, esențial pentru funcționarea sa continuă și stabilă, de care depind economia digitală și societatea. Prin urmare, prezenta directivă ar trebui să se aplice serverelor cu nume de domeniu de prim nivel (TLD), serviciilor de rezoluție a numelor de domenii recursive disponibile publicului pentru utilizatorii finali de internet, precum și serviciilor cu autoritate de rezoluție a numelor de domenii. Prezenta directivă nu se aplică serverelor pentru numele primare.

    Amendamentul  16

     

    Propunere de directivă

    Considerentul 19

     

    Textul propus de Comisie

    Amendamentul

    (19) Furnizorii de servicii poștale în sensul Directivei 97/67/CE a Parlamentului European și a Consiliului18, precum și furnizorii de servicii de curierat și curierat rapid ar trebui să facă obiectul prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special ridicarea, sortarea sau distribuția, inclusiv serviciile de preluare. Serviciile de transport care nu sunt efectuate împreună cu una dintre aceste etape nu ar trebui să intre în domeniul de aplicare al serviciilor poștale.

    (19) Furnizorii de servicii poștale în sensul Directivei 97/67/CE a Parlamentului European și a Consiliului18, precum și furnizorii de servicii de curierat și curierat rapid ar trebui să facă obiectul prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special ridicarea, sortarea sau distribuția, inclusiv serviciile de preluare, ținând seama totodată de gradul lor de dependență de rețele și de sistemele informatice. Serviciile de transport care nu sunt efectuate împreună cu una dintre aceste etape nu ar trebui să intre în domeniul de aplicare al serviciilor poștale.

    __________________

    __________________

    18 Directiva 97/67/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind normele comune pentru dezvoltarea pieței interne a serviciilor poștale ale Comunității și îmbunătățirea calității serviciului (JO L 15, 21.1.1998, p. 14).

    18 Directiva 97/67/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind normele comune pentru dezvoltarea pieței interne a serviciilor poștale ale Comunității și îmbunătățirea calității serviciului (JO L 15, 21.1.1998, p. 14).

    Amendamentul  17

     

    Propunere de directivă

    Considerentul 20

     

    Textul propus de Comisie

    Amendamentul

    (20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere.

    (20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Intensificarea atacurilor împotriva sistemelor informatice în timpul pandemiei de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere.

    Amendamentul  18

     

    Propunere de directivă

    Considerentul 24

     

    Textul propus de Comisie

    Amendamentul

    (24) Statele membre ar trebui să fie echipate în mod adecvat, din punct de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse rețelele și sistemele informatice. Prin urmare, statele membre ar trebui să se asigure că dețin CSIRT care funcționează corespunzător, cunoscute și drept echipe de intervenție în caz de urgență informatică („CERT”), care respectă cerințele esențiale pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. În vederea consolidării relației de încredere dintre entități și CSIRT, în cazurile în care o echipă CSIRT face parte din autoritatea competentă, statele membre ar trebui să aibă în vedere separarea funcțională între sarcinile operaționale furnizate de CSIRT, în special în ceea ce privește schimbul de informații și sprijinul acordat entităților, și activitățile de supraveghere ale autorităților competente.

    (24) Statele membre ar trebui să fie echipate în mod adecvat, din punct de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse rețelele și sistemele informatice. Prin urmare, statele membre ar trebui să desemneze unul sau mai multe CSIRT conform prezentei directive și să se asigure că acestea funcționează corespunzător, respectând cerințele esențiale pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. Statele membre pot să desemneze în calitate de CSIRT echipe existente de intervenție în caz de urgență informatică („CERT”). În vederea consolidării relației de încredere dintre entități și CSIRT, în cazurile în care o echipă CSIRT face parte din autoritatea competentă, statele membre ar trebui să aibă în vedere separarea funcțională între sarcinile operaționale furnizate de CSIRT, în special în ceea ce privește schimbul de informații și sprijinul acordat entităților, și activitățile de supraveghere ale autorităților competente.

    Amendamentul  19

     

    Propunere de directivă

    Considerentul 25

     

    Textul propus de Comisie

    Amendamentul

    (25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale.

    (25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive sau în cazul unei amenințări grave la adresa securității naționale, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale.

    __________________

    __________________

    19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

    19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

    Amendamentul  20

     

    Propunere de directivă

    Considerentul 25 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (25a) CSIRT ar trebui să aibă capacitatea, la cererea unei entități, de a descoperi, a gestiona și a supraveghea fără întrerupere toate resursele conectate la internet, atât la locurile de muncă, cât și în exteriorul acestora, pentru a înțelege riscul organizațional general al acestora pentru compromisurile sau vulnerabilitățile critice nou-descoperite din lanțul de aprovizionare. Este important să se știe dacă o entitate exploatează o interfață de gestionare privilegiată, pentru că acest lucru influențează rapiditate măsurilor de atenuare.

    Amendamentul  21

     

    Propunere de directivă

    Considerentul 26

     

    Textul propus de Comisie

    Amendamentul

    (26) Având în vedere importanța cooperării internaționale în privința securității cibernetice, CSIRT ar trebui să aibă posibilitatea să participe la rețele de cooperare internațională, în plus față de rețeaua CSIRT instituită prin prezenta directivă.

    (26) Având în vedere importanța cooperării internaționale în privința securității cibernetice, CSIRT ar trebui să aibă posibilitatea să participe la rețele de cooperare internațională, inclusiv cu CSIRT din țări terțe în care schimburile de informații sunt reciproce și benefice pentru securitatea cetățenilor și a entităților, în plus față de rețeaua CSIRT instituită prin prezenta directivă, pentru a contribui la elaborarea de standarde ale Uniunii care pot modela peisajul securității cibernetice la nivel internațional. Statele membre ar putea, de asemenea, să analizeze posibilitatea intensificării cooperării cu țările partenere care împărtășesc aceeași viziune și cu organizațiile internaționale, cu scopul de a ajunge la încheierea de acorduri multilaterale privind normele cibernetice, un comportament responsabil al statelor și al actorilor nestatali în spațiul cibernetic și o administrare digitală eficace la nivel mondial, precum și de a crea un spațiu cibernetic deschis, liber, stabil și securizat, bazat pe dreptul internațional.

    Amendamentul  22

     

    Propunere de directivă

    Considerentul 26 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (26a) Politicile de igienă cibernetică asigură baza pentru protecția infrastructurilor de rețele și sisteme informatice, pentru securitatea hardware, software și a aplicațiilor online, precum și pentru protecția datelor întreprinderilor sau a utilizatorilor finali pe care se bazează entitățile. Politicile de igienă cibernetică care cuprind un set de practici de referință comun, inclusiv, dar fără a se limita la actualizări software și hardware, modificări ale parolelor, gestionarea noilor instalări, limitarea conturilor cu acces la nivel de administrator și copierea de rezervă a datelor, permit un cadru proactiv de pregătire și de siguranță și securitate generale în caz de incidente sau amenințări. ENISA ar trebui să monitorizeze și să evalueze politicile de igienă cibernetică ale statelor membre și să analizeze sisteme la nivelul UE pentru a permite verificările transfrontaliere, care să asigure echivalența independent de cerințele statelor membre.

    Amendamentul  23

     

    Propunere de directivă

    Considerentul 26 b (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (26b) Utilizarea inteligenței artificiale (IA) în securitatea cibernetică poate îmbunătăți detectarea și stoparea atacurilor împotriva rețelelor și a sistemelor informatice, permițând reorientarea resurselor către combaterea atacurilor mai sofisticate. Prin urmare, statele membre ar trebui să încurajeze în strategiile lor naționale utilizarea instrumentelor automatizate în securitatea cibernetică și partajarea de date necesare pentru a antrena și a îmbunătăți instrumentele automatizate în securitatea cibernetică. Pentru a atenua riscurile de ingerință nejustificată în drepturile și libertățile persoanelor fizice pe care le-ar putea prezenta sistemele bazate pe IA, se aplică cerințele privind protecția datelor începând cu momentul conceperii și în mod implicit prevăzute la articolul 25 din Regulamentul (UE) 2016/679. Integrarea unor garanții adecvate, cum ar fi pseudonimizarea, criptarea, acuratețea datelor și reducerea la minimum a datelor, ar putea, de asemenea, atenua astfel de riscuri.

    Amendamentul  24

     

    Propunere de directivă

    Considerentul 26 c (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (26c) Instrumentele și aplicațiile de securitate cibernetică cu sursă deschisă pot contribui la un grad mai ridicat de transparență și pot avea un impact pozitiv asupra eficienței inovării industriale. Standardele deschise înlesnesc interoperabilitatea dintre instrumentele de securitate, aducând beneficii securității părților interesate din industrie. Instrumentele și aplicațiile de securitate cibernetică cu sursă deschisă pot stimula comunitatea mai largă a dezvoltatorilor, permițând entităților să urmărească diversificarea furnizorilor și strategii de securitate deschise. Securitatea deschisă poate conduce la un proces mai transparent de verificare a instrumentelor legate de securitatea cibernetică și la un proces bazat pe comunitate de descoperire a vulnerabilităților. Prin urmare, statele membre ar trebui să promoveze adoptarea de software cu sursă deschisă și de standarde deschise prin aplicarea de politici privind utilizarea datelor deschise și a surselor deschise ca parte a securității prin transparență. Politicile care promovează adoptarea și utilizarea sustenabilă a instrumentelor de securitate cibernetică cu sursă deschisă sunt deosebit de importante pentru întreprinderile mici și mijlocii (IMM-uri) care se confruntă cu costuri semnificative pentru punerea în aplicare, care ar putea fi reduse prin reducerea nevoii de aplicații sau instrumente specifice.

    Amendamentul  25

     

    Propunere de directivă

    Considerentul 26 d (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (26d) Parteneriatele public-privat (PPP) în domeniul securității cibernetice pot să asigure cadrul adecvat pentru schimbul de cunoștințe, de bune practici și pentru stabilirea unui nivel comun de înțelegere între toate părțile interesate. Statele membre ar trebui să adopte politici care stau la baza instituirii PPP specifice securității cibernetice, ca parte a strategiilor lor naționale de securitate cibernetică. Aceste politici ar trebui să clarifice, printre altele, domeniul de aplicare și părțile interesate implicate, modelul de administrare, opțiunile de finanțare disponibile, precum și interacțiunea dintre părțile interesate participante. PPP pot valorifica cunoștințele specializate ale entităților din sectorul privat pentru a sprijini autoritățile competente ale statelor membre la dezvoltarea unor servicii și procese de ultimă generație, inclusiv, dar fără a se limita la schimbul de informații, alertele timpurii, exercițiile de amenințări și incidente cibernetice, gestionarea crizelor și planificarea rezilienței.

    Amendamentul  26

     

    Propunere de directivă

    Considerentul 27

     

    Textul propus de Comisie

    Amendamentul

    (27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune.

    (27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne sau să prezinte riscuri grave pentru securitatea și siguranța publică, pentru entități sau cetățeni, în mai multe state membre sau în Uniune în ansamblul său. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune.

    __________________

    __________________

    20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36).

    20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36).

    Amendamentul  27

     

    Propunere de directivă

    Considerentul 27 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (27a) În strategiile lor naționale în materie de securitate cibernetică, statele membre ar trebui să abordeze nevoile specifice în materie de securitate cibernetică ale IMM-urilor. La nivelul Uniunii, IMM-urile reprezintă un procentaj ridicat din piața industrială și de afaceri și adesea se zbat să se adapteze la noile practici comerciale într-o lume mai conectată, navigând în mediul digital, în care angajații lucrează de acasă, iar activitățile de afaceri se desfășoară tot mai mult online. Unele IMM-uri se confruntă cu încercări specifice în materie de securitate cibernetică, cum ar fi nivelul scăzut de sensibilizare în domeniul cibernetic, lipsa securității informatice la distanță, costul ridicat al soluțiilor de securitate cibernetică și un nivel crescut de amenințare, cum ar fi programele de tip ransomware, pentru care ele ar trebui să primească îndrumări și sprijin. Statele membre ar trebui să aibă un punct de contact unic în materie de securitate cibernetică pentru IMM-uri, care fie să ofere îndrumări și sprijin IMM-urilor, fie să le îndrume către organele corespunzătoare pertinente pentru îndrumări și sprijin cu privire la aspecte legate de securitatea cibernetică. Statele membre sunt încurajate să ofere, de asemenea, servicii precum configurarea de site-uri web și înlesnirea jurnalizării întreprinderilor mici și microîntreprinderilor care nu dispun de aceste capacități.

    Amendamentul  28

     

    Propunere de directivă

    Considerentul 27 b (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (27b) Statele membre ar trebui să adopte politici privind promovarea unei apărări cibernetice active ca parte a strategiilor lor naționale de securitate cibernetică. Apărarea cibernetică activă este prevenirea, detectarea, monitorizarea, analizarea și atenuarea proactive ale încălcărilor securității rețelei, combinată cu utilizarea capabilităților desfășurate în cadrul și în afara rețelei afectate. Capacitatea de a partaja și a înțelege rapid și automat informații și analize privind amenințările, alertele privind activitățile cibernetice și acțiunile de răspuns este esențială pentru a permite unitatea eforturilor în detectarea, prevenirea și contracararea cu succes a atacurilor împotriva rețelelor și sistemelor informatice. Apărarea cibernetică activă se bazează pe o strategie defensivă care exclude măsurile ofensive împotriva infrastructurii civile critice.

    Amendamentul  29

     

    Propunere de directivă

    Considerentul 28

     

    Textul propus de Comisie

    Amendamentul

    (28) Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative, identificarea și remedierea rapidă a acestor vulnerabilități reprezintă un factor important în reducerea riscului de securitate cibernetică. Entitățile care dezvoltă astfel de sisteme ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și raportate (divulgate) de părți terțe (entități raportoare), producătorul ori furnizorul de produse sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29417 oferă orientări privind gestionarea vulnerabilităților și, respectiv, divulgarea vulnerabilităților. În ceea ce privește divulgarea vulnerabilităților, coordonarea dintre entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC este deosebit de importantă. Divulgarea coordonată a vulnerabilităților presupune un proces structurat prin care vulnerabilitățile sunt raportate organizațiilor într-un mod care să permită organizației să diagnosticheze și să remedieze vulnerabilitățile înainte ca informațiile detaliate privind vulnerabilitățile să fie divulgate terților sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre entitatea raportoare și organizație în ceea ce privește calendarul de remediere și publicare a vulnerabilităților.

    (28) Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative, identificarea și remedierea rapidă a acestor vulnerabilități reprezintă un factor important în reducerea riscului de securitate cibernetică. Entitățile care dezvoltă astfel de sisteme ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și raportate (divulgate) de părți terțe (entități raportoare), producătorul ori furnizorul de produse sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29417 oferă orientări privind gestionarea vulnerabilităților și, respectiv, divulgarea vulnerabilităților. Întărirea coordonării dintre entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC este deosebit de importantă. Divulgarea coordonată a vulnerabilităților presupune un proces structurat prin care vulnerabilitățile sunt raportate organizațiilor într-un mod care să permită organizației să diagnosticheze și să remedieze vulnerabilitățile înainte ca informațiile detaliate privind vulnerabilitățile să fie divulgate terților sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre entitatea raportoare și organizație în ceea ce privește calendarul de remediere și publicare a vulnerabilităților.

    Amendamentul  30

     

    Propunere de directivă

    Considerentul 28 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (28a) Comisia, ENISA și statele membre ar trebui să continue să încurajeze alinierea internațională la standardele și la bunele practici existente din sector în domeniul gestionării riscurilor, de exemplu în domeniul evaluărilor securității lanțului de aprovizionare, al schimbului de informații și al divulgării vulnerabilităților.

    Amendamentul  31

     

    Propunere de directivă

    Considerentul 29

     

    Textul propus de Comisie

    Amendamentul

    (29) Prin urmare, statele membre ar trebui să ia măsuri pentru a facilita divulgarea coordonată a vulnerabilităților prin stabilirea unei politici naționale relevante. În acest sens, statele membre ar trebui să desemneze o echipă CSIRT care să preia rolul de „coordonator”, acționând ca intermediar între entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC, dacă este necesar. Sarcinile coordonatorului CSIRT ar trebui să includă, în special, identificarea și contactarea entităților vizate, sprijinirea entităților raportoare, negocierea calendarelor de divulgare și gestionarea vulnerabilităților care afectează mai multe organizații (divulgarea vulnerabilităților mai multor părți). Atunci când vulnerabilitățile afectează mai mulți producători ori furnizori de produse sau servicii TIC stabiliți în mai multe state membre, CSIRT desemnate din fiecare dintre statele membre afectate ar trebui să coopereze în cadrul rețelei CSIRT.

    (29) Prin urmare, statele membre, în cooperare cu ENISA, ar trebui să ia măsuri pentru a facilita divulgarea coordonată a vulnerabilităților prin stabilirea unei politici naționale relevante. În cadrul acestei politici naționale, statele membre ar trebui să abordeze problemele întâmpinate de cercetătorii vulnerabili. Entitățile și persoanele fizice care cercetează vulnerabilitățile pot fi expuse, în unele state membre, răspunderii penale și civile. Prin urmare, statele membre sunt încurajate să emită orientări în ceea ce privește neurmărirea penală a cercetării în domeniul securității informațiilor și exonerarea de răspundere civilă pentru aceste activități.

    Amendamentul  32

     

    Propunere de directivă

    Considerentul 29 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (29a) Statele membre ar trebui să desemneze o echipă CSIRT care să preia rolul de „coordonator”, acționând, dacă este necesar, ca intermediar între entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC, care ar putea fi afectați de vulnerabilitate. Sarcinile coordonatorului CSIRT ar trebui să includă, în special, identificarea și contactarea entităților vizate, sprijinirea entităților raportoare, negocierea calendarelor de divulgare și gestionarea vulnerabilităților care afectează mai multe organizații (divulgarea vulnerabilităților mai multor părți). Atunci când vulnerabilitățile afectează mai mulți producători ori furnizori de produse sau servicii TIC stabiliți în mai multe state membre, CSIRT desemnate din fiecare dintre statele membre afectate ar trebui să coopereze în cadrul rețelei CSIRT.

    Amendamentul  33

     

    Propunere de directivă

    Considerentul 30

     

    Textul propus de Comisie

    Amendamentul

    (30) Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. În această privință, sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important atât pentru entități și utilizatorii acestora, cât și pentru autoritățile naționale competente și CSIRT. Din acest motiv, ENISA ar trebui să creeze un registru al vulnerabilităților în care entitățile esențiale și importante și furnizorii acestora, precum și entitățile care nu intră în domeniul de aplicare al prezentei directive pot, în mod voluntar, să divulge vulnerabilitățile și să furnizeze informații privind vulnerabilitățile, astfel încât utilizatorii să ia măsuri de atenuare adecvate.

    (30) Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. Sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important atât pentru entități și utilizatorii acestora, cât și pentru autoritățile naționale competente și CSIRT. Din acest motiv, ENISA ar trebui să creeze o bază de date a vulnerabilităților în care entitățile esențiale și importante și furnizorii acestora, precum și entitățile care nu intră în domeniul de aplicare al prezentei directive pot, în mod voluntar, să divulge vulnerabilitățile și să furnizeze informații privind vulnerabilitățile, astfel încât utilizatorii să ia măsuri de atenuare adecvate. Scopul acestei baze de date este de a face față încercărilor unice pe care le prezintă riscurile de securitate cibernetică pentru entitățile europene. În plus, ENISA ar trebui să stabilească o procedură responsabilă în ceea ce privește procesul de publicare, pentru a acorda entităților timpul necesar pentru a lua măsuri de atenuare a vulnerabilităților lor și pentru a utiliza măsuri de securitate cibernetică de ultimă generație, precum și seturi de date care pot fi citite automat și interfețele corespunzătoare (API). Pentru a încuraja o cultură a divulgării incidentelor, divulgarea nu ar trebui să afecteze entitatea raportoare.

    Amendamentul  34

     

    Propunere de directivă

    Considerentul 31

     

    Textul propus de Comisie

    Amendamentul

    (31) Deși există registre ale vulnerabilităților sau baze de date similare, acestea sunt găzduite și întreținute de entități care nu sunt stabilite în Uniune. Un registru european al vulnerabilităților gestionat de ENISA ar oferi o mai mare transparență în ceea ce privește procesul de publicare înainte de dezvăluirea oficială a vulnerabilității, precum și reziliența în caz de perturbări sau întreruperi ale furnizării de servicii similare. Pentru a evita dublarea eforturilor și a căuta complementaritatea în măsura posibilului, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu registre similare în jurisdicții din țări terțe.

    (31) Baza de date europeană a vulnerabilităților gestionată de ENISA ar trebui să mobilizeze registrul comun al vulnerabilităților și expunerilor (CVE), prin utilizarea cadrului său de identificare, urmărire și notare a vulnerabilităților. În plus, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu alte registre sau baze de date similare din jurisdicții din țări terțe, pentru a evita duplicarea eforturilor și pentru a urmări complementaritatea.

    Amendamentul  35

     

    Propunere de directivă

    Considerentul 33

     

    Textul propus de Comisie

    Amendamentul

    (33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent, să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice care să fie abordate printr-o mai bună punere în aplicare a normelor existente.

    (33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent: să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice, în special pentru a facilita alinierea transpunerii prezentei directive între statele membre, care să fie abordate printr-o mai bună punere în aplicare a normelor existente. Grupul de cooperare ar trebui, de asemenea, să inventarieze soluțiile naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din întreaga Europă. Acest lucru este deosebit de relevant pentru sectoarele care au un caracter internațional și transfrontalier.

    Amendamentul  36

     

    Propunere de directivă

    Considerentul 34

     

    Textul propus de Comisie

    Amendamentul

    (34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii implicate în politica de securitate cibernetică, cum ar fi Centrul european de combatere a criminalității informatice (EC3), Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA).

    (34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii relevante implicate în politica de securitate cibernetică, cum ar fi Europol, Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA).

    Amendamentul  37

     

    Propunere de directivă

    Considerentul 35

     

    Textul propus de Comisie

    Amendamentul

    (35) Autoritățile competente și CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb pentru funcționari din alte state membre în vederea îmbunătățirii cooperării. Autoritățile competente ar trebui să ia măsurile necesare ca funcționari din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă.

    (35) Autoritățile competente și CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb pentru funcționari din alte state membre, pe baza unor norme și mecanisme structurate care stau la baza domeniului de aplicare și, după caz, a autorizării de securitate necesare a funcționarilor care participă la aceste programe de schimburi, în vederea îmbunătățirii cooperării și întăririi încrederii dintre statele membre. Autoritățile competente ar trebui să ia măsurile necesare ca funcționari din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă sau ale CSIRT.

    Amendamentul  38

     

    Propunere de directivă

    Considerentul 36

     

    Textul propus de Comisie

    Amendamentul

    (36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri ar trebui să asigure o protecție adecvată a datelor.

    (36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri ar trebui să asigure interesele Uniunii și o protecție adecvată a datelor. Acest lucru nu exclude dreptul statelor membre de a coopera cu țări terțe care împărtășesc aceeași viziune despre gestionarea vulnerabilităților și a riscurilor în materie de securitate cibernetică, înlesnind informarea și schimbul de informații în general în concordanță cu dreptul Uniunii.

    Amendamentul  39

     

    Propunere de directivă

    Considerentul 38

     

    Textul propus de Comisie

    Amendamentul

    (38) În sensul prezentei directive, termenul „risc” ar trebui să se refere la potențialele pierderi sau perturbări cauzate de un incident de securitate cibernetică și ar trebui exprimat ca o combinație între amploarea unei astfel de pierderi sau perturbări și probabilitatea producerii incidentului respectiv.

    eliminat

    Amendamentul  40

     

    Propunere de directivă

    Considerentul 39

     

    Textul propus de Comisie

    Amendamentul

    (39) În sensul prezentei directive, termenul „incident evitat la limită” ar trebui să se refere la un eveniment care ar fi putut cauza prejudicii, dar care a cărui desfășurare până la capăt a fost împiedicată cu succes.

    eliminat

    Amendamentul  41

     

    Propunere de directivă

    Considerentul 40

     

    Textul propus de Comisie

    Amendamentul

    (40) Măsurile de gestionare a riscurilor ar trebui să includă măsurile de identificare a oricăror riscuri de incidente, de prevenire, detectare și administrare a incidentelor și de diminuare a impactului acestora. Securitatea rețelelor și a sistemelor informatice ar trebui să cuprindă securitatea datelor stocate, transmise și prelucrate.

    (40) Măsurile de gestionare a riscurilor ar trebui să includă măsurile de identificare a oricăror riscuri de incidente, de prevenire, detectare, de răspuns la incidente și de redresare în urma acestora, precum și de diminuare a impactului acestora. Securitatea rețelelor și a sistemelor informatice ar trebui să cuprindă securitatea datelor stocate, transmise și prelucrate. Aceste sisteme ar trebui să asigure o analiză sistemică, care să facă o defalcare a diverselor procese și a interacțiunilor dintre subsisteme, ținând seama de factorul uman, cu scopul de a obține o imagine completă a securității sistemului informatic.

    Amendamentul  42

     

    Propunere de directivă

    Considerentul 41

     

    Textul propus de Comisie

    Amendamentul

    (41) Pentru a se evita impunerea unei sarcini financiare și administrative disproporționate asupra entităților esențiale și importante, cerințele de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie proporționale cu riscurile la care sunt expuse rețeaua și sistemul informatic în cauză, ținându-se seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri.

    (41) Pentru a se evita impunerea unei sarcini financiare și administrative disproporționate asupra entităților esențiale și importante, cerințele de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie proporționale cu riscurile la care sunt expuse rețeaua și sistemul informatic în cauză, ținându-se seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri și standarde europene sau internaționale, cum ar fi ISO31000 și ISA/IEC 27005.

    Amendamentul  43

     

    Propunere de directivă

    Considerentul 43

     

    Textul propus de Comisie

    Amendamentul

    (43) Abordarea riscurilor în materie de securitate cibernetică care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au căzut victime atacurilor cibernetice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile părții terțe. Prin urmare, entitățile ar trebui să evalueze și să țină seama de calitatea generală a produselor și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure.

    (43) Abordarea riscurilor în materie de securitate cibernetică care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi, cum ar fi furnizorii de servicii de stocare și de prelucrare de date sau de servicii de securitate administrate este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au căzut victime atacurilor împotriva rețelelor și a sistemelor informatice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile părții terțe. Prin urmare, entitățile ar trebui să evalueze și să țină seama de calitatea generală și de reziliența produselor și a serviciilor, de măsurile în materie de securitate cibernetică integrate în acestea, precum și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure. Entitățile ar trebui, în special, să fie încurajate să includă măsuri de securitate cibernetică în acordurile contractuale cu furnizorii lor de prim nivel și cu prestatorii lor de servicii de prim nivel. Entitățile ar putea lua în considerare riscurile în materie de securitate cibernetică generate de alte niveluri de furnizori și prestatori de servicii.

    Amendamentul  44

     

    Propunere de directivă

    Considerentul 44

     

    Textul propus de Comisie

    Amendamentul

    (44) În rândul furnizorilor de servicii, furnizorii de servicii de securitate administrați (managed security services providers – MSSP) în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a detecta și de a reacționa la incidente. Totuși, și aceste MSSP-uri au fost ținte ale atacurilor cibernetice și, prin integrarea lor strânsă în operațiunile operatorilor, prezintă un risc deosebit în materie de securitate cibernetică. Prin urmare, entitățile ar trebui să dea dovadă de o diligență sporită în selectarea unui MSSP.

    (44) În rândul furnizorilor de servicii, furnizorii de servicii de securitate administrați (managed security services providers – MSSP) în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a preveni, de a detecta, de a reacționa la incidente și de a se redresa după acestea. Totuși, și aceste MSSP-uri au fost ținte ale atacurilor cibernetice și, prin integrarea lor strânsă în operațiunile operatorilor, prezintă un risc deosebit în materie de securitate cibernetică. Prin urmare, entitățile ar trebui să dea dovadă de o diligență sporită în selectarea unui MSSP.

    Amendamentul  45

     

    Propunere de directivă

    Considerentul 45

     

    Textul propus de Comisie

    Amendamentul

    (45) Entitățile ar trebui, de asemenea, să abordeze riscurile de securitate cibernetică care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg. În special, entitățile ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile ar trebui să ia toate măsurile care se impun în materie de securitate cibernetică.

    (45) Entitățile ar trebui, de asemenea, să abordeze riscurile de securitate cibernetică care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg, inclusiv pentru a combate spionajul industrial și a proteja secretele comerciale. În special, entitățile ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile ar trebui să ia toate măsurile care se impun în materie de securitate cibernetică.

    Amendamentul  46

     

    Propunere de directivă

    Considerentul 45 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (45a) Entitățile ar trebui să adopte o gamă largă de practici de igienă informatică de bază, cum ar fi arhitectura zero-trust, actualizări ale software-ului, configurarea dispozitivelor, segmentarea rețelelor, gestionarea identității și a accesului sau sensibilizarea utilizatorilor, și să organizeze cursuri pentru personalul lor cu privire la amenințările cibernetice transmise prin adrese de e-mail organizaționale, phishing sau tehnici de inginerie socială. În plus, entitățile ar trebui să își evalueze propriile capacități în materie de securitate cibernetică și, atunci când este cazul, să urmărească integrarea tehnologiilor de îmbunătățire a securității cibernetice bazate pe sisteme de inteligență artificială sau pe sisteme de învățare automată pentru a-și automatiza capacitățile și protecția arhitecturilor de rețea.

    Amendamentul  47

     

    Propunere de directivă

    Considerentul 46

     

    Textul propus de Comisie

    Amendamentul

    (46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări sectoriale coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC critice, amenințările și vulnerabilitățile relevante.

    (46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC și SCI critice, amenințările și vulnerabilitățile relevante. Astfel de evaluări ale riscurilor ar trebui să identifice măsurile, planurile de atenuare și cele mai bune practici împotriva dependențelor critice, a potențialelor puncte unice de defecțiune, a amenințărilor, a vulnerabilităților și a altor riscuri asociate lanțului de aprovizionare și ar trebui să exploreze modalități de a încuraja adoptarea lor pe scară mai largă de către entități. Printre factorii de risc potențiali fără caracter tehnic, cum ar fi influența nejustificată a unei țări terțe asupra furnizorilor și prestatorilor de servicii, în special în cazul modelelor alternative de guvernare, se numără vulnerabilitățile ascunse sau „ușile secrete” și eventualele întreruperi sistemice ale aprovizionării, în special în cazul blocajelor tehnologice sau al dependenței furnizorilor.

    __________________

    __________________

    21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42).

    21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42).

    Amendamentul  48

     

    Propunere de directivă

    Considerentul 47

     

    Textul propus de Comisie

    Amendamentul

    (47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor.

    (47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC, pe întreaga durată a ciclului lor de viață, împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. În plus, ar trebui să se pună un accent deosebit pe serviciile, sistemele sau produsele TIC care fac obiectul unor cerințe specifice impuse de țări terțe.

    Amendamentul  49

     

    Propunere de directivă

    Considerentul 47 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (47a) Grupul părților interesate pentru certificarea securității cibernetice, instituit în temeiul articolului 22 din Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului1a, ar trebui să emită un aviz privind evaluările riscurilor de securitate ale lanțurilor de aprovizionare cu servicii, sisteme sau produse TIC și SCI critice specifice. Grupul de cooperare și ENISA ar trebui să țină seama de avizul respectiv.

     

    __________________

     

    1a Regulamentul (UE) nr. 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15).

    Amendamentul  50

     

    Propunere de directivă

    Considerentul 50

     

    Textul propus de Comisie

    Amendamentul

    (50) Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, este necesar să se asigure că aceste servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Furnizorii unor astfel de servicii ar trebui, prin urmare, să asigure și un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului.

    (50) Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, este necesar să se asigure că aceste servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Furnizorii unor astfel de servicii ar trebui, prin urmare, să asigure și un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc pentru securitatea rețelelor aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului. Totuși, pe măsură ce suprafața de atac continuă să se extindă, serviciile de comunicații interpersonale care nu se bazează pe numere, inclusiv mesageriile platformelor de comunicare socială, dar nu numai, devin vectori de atac obișnuiți. Actorii răuvoitori utilizează platformele pentru a comunica și a atrage victimele să deschidă pagini web compromise, crescând așadar probabilitatea unor incidente care implică exploatarea datelor cu caracter personal și, prin extensie, securitatea sistemelor informatice.

    Amendamentul  51

     

    Propunere de directivă

    Considerentul 51

     

    Textul propus de Comisie

    Amendamentul

    (51) Piața internă depinde mai mult decât oricând de funcționarea internetului. Aproape toate serviciile entităților esențiale și importante depind de serviciile furnizate pe internet. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și importante, este important ca rețelele publice de comunicații electronice, cum ar fi, de exemplu, magistralele de internet sau cablurile de comunicații submarine, să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele legate de aceasta.

    (51) Piața internă depinde mai mult decât oricând de funcționarea internetului. Aproape toate serviciile entităților esențiale și importante depind de serviciile furnizate pe internet. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și importante, este important ca toate rețelele publice de comunicații electronice, cum ar fi, de exemplu, magistralele de internet sau cablurile de comunicații submarine, să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele semnificative legate de aceasta. Statele membre ar trebui să se asigure că integritatea și disponibilitatea acestor rețele publice de comunicații electronice sunt menținute și ar trebui să considere că protecția lor împotriva sabotajului și spionajului este de interes vital pentru securitate. Informațiile despre incidente, de exemplu privind cablurile de comunicații submarine, ar trebui împărtășite în mod activ între statele membre.

    Amendamentul  52

     

    Propunere de directivă

    Considerentul 52

     

    Textul propus de Comisie

    Amendamentul

    (52) După caz, entitățile ar trebui să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Cerința de a informa destinatarii cu privire la astfel de amenințări nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită.

    (52) După caz, entitățile ar trebui să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Aceasta nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită și informațiile ar trebui să fie redactate într-un limbaj ușor de înțeles.

    Amendamentul  53

     

    Propunere de directivă

    Considerentul 53

     

    Textul propus de Comisie

    Amendamentul

    (53) În special, furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software sau de tehnologii de criptare.

    (53) Furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să pună în aplicare măsurile privind securitatea din momentul conceperii și securitatea implicită și să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea dispozitivelor și a comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software de criptare sau de tehnologii de securitate centrate pe date.

    Amendamentul  54

     

    Propunere de directivă

    Considerentul 54

     

    Textul propus de Comisie

    Amendamentul

    (54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării, în special a criptării de la un capăt la altul și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Soluțiile pentru accesul legal la informații în comunicațiile criptate de la un capăt la altul ar trebui să mențină eficacitatea criptării în ceea ce privește protecția vieții private și securitatea comunicațiilor, oferind, în același timp, un răspuns eficace la criminalitate.

    (54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării și a altor tehnologii de securitate centrate pe date, cum ar fi tokenizarea, segmentarea, accesul limitat, marcarea, etichetarea, gestionarea riguroasă a identităților și a accesului, precum și deciziile de acces automatizate, și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Acest lucru nu ar trebui însă să conducă la niciun efort de slăbire a criptării de la un capăt la altul, aceasta fiind o tehnologie esențială pentru o protecție eficace a datelor și a vieții private.

    Amendamentul  55

     

    Propunere de directivă

    Considerentul 54 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (54a) Pentru a proteja securitatea și a preveni abuzul și manipularea rețelelor și serviciilor de comunicații electronice, ar trebui promovată utilizarea unor standarde de rutare sigure și interoperabile pentru a asigura integritatea și robustețea funcțiilor de rutare în întregul ecosistem al furnizorilor de internet.

    Amendamentul  56

     

    Propunere de directivă

    Considerentul 54 b (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (54b) Pentru a proteja funcționalitatea și integritatea internetului și a reduce problemele de securitate legate de DNS, părțile interesate pertinente, inclusiv întreprinderile din Uniune, furnizorii de servicii de internet și vânzătorii de browsere ar trebui încurajați să adopte o strategie de diversificare a rezoluției DNS. În plus, statele membre ar trebui să încurajeze dezvoltarea și utilizarea unui serviciu european public și sigur de rezoluție a DNS.

    Amendamentul  57

     

    Propunere de directivă

    Considerentul 55

     

    Textul propus de Comisie

    Amendamentul

    (55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială în termen de 24 de ore, urmată de un raport final în termen de cel mult o lună de la incidentul respectiv. Notificarea inițială ar trebui să includă numai informațiile strict necesare pentru a informa autoritățile competente cu privire la incident și pentru a putea solicita asistență, dacă este necesar. O astfel de notificare, după caz, ar trebui să indice dacă incidentul pare să fie cauzat de acțiuni ilegale sau răuvoitoare. Statele membre ar trebuise asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul autorităților competente sau al CSIRT, entitatea în cauză se poate abate de la termenul de 24 de ore pentru notificarea inițială și de o lună pentru raportul final.

    (55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială, urmată de un raport cuprinzător în termen de cel mult o lună de la transmiterea notificării inițiale. Termenul pentru notificarea inițială a incidentului nu ar trebui să împiedice entitățileraporteze incidentele mai devreme, permițând așadar entitățilorsolicite sprijin rapid de la CSIRT pentru a limita răspândirea incidentului raportat. CSIRT pot solicita un raport intermediar privind actualizările relevante ale situației, luând în considerare, în același timp, răspunsul la incidente și eforturile de remediere ale entității raportoare.

    Amendamentul  58

     

    Propunere de directivă

    Considerentul 55 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (55a) Un incident semnificativ poate avea un impact asupra confidențialității, integrității sau disponibilității serviciului. Entitățile esențiale și importante ar trebui să notifice CSIRT cu privire la incidentele semnificative care au un impact asupra disponibilității serviciului lor în termen de 24 de ore de la momentul în care au luat cunoștință de incident. Acestea ar trebui să notifice CSIRT cu privire la incidentele semnificative care încalcă confidențialitatea și integritatea serviciilor lor în termen de 72 de ore de la momentul în care au luat cunoștință de incident. Distincția între tipurile de incidente nu se bazează pe gravitatea incidentului, ci pe dificultatea entității raportoare de a evalua incidentul, importanța acestuia și capacitatea de a raporta informații care pot fi utile pentru CSIRT. Notificarea inițială ar trebui să includă informațiile necesare pentru a informa CSIRT cu privire la incident și pentru a putea solicita asistență, dacă este necesar. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor, care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul CSIRT, entitatea în cauză se poate abate de la termenul pentru notificarea inițială și pentru raportul cuprinzător.

    Amendamentul  59

     

    Propunere de directivă

    Considerentul 59

     

    Textul propus de Comisie

    Amendamentul

    (59) Menținerea unor baze de date exacte și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) și furnizarea unui acces legal la astfel de date sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor.

    (59) Menținerea unor baze de date exacte, verificate și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune, și pentru a combate activitățile ilegale. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui, prin urmare, să aibă obligația de a colecta date privind înregistrarea numelor de domenii, care ar trebui să includă cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon. În practică, este posibil ca datele colectate să nu fie întotdeauna exacte, însă registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să adopte și să pună în aplicare proceduri proporționale pentru a verifica dacă persoanele fizice sau juridice care solicită sau dețin un nume de domeniu au furnizat date de contact la care pot fi contactate și se așteaptă să răspundă. Utilizând o abordare bazată pe „cele mai bune eforturi”, aceste procese de verificare ar trebui să reflecte cele mai bune practici utilizate în prezent în sector. Bunele practici din procesul de verificare ar trebui să reflecte progresele înregistrate în procesul de identificare electronică. Entitățile și registrele TLD care furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului politicile și procedurile pe care le utilizează pentru a asigura integritatea și disponibilitatea datelor de înregistrare a numelor de domeniu. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor.

    Amendamentul  60

     

    Propunere de directivă

    Considerentul 60

     

    Textul propus de Comisie

    Amendamentul

    (60) Disponibilitatea și accesibilitatea în timp util a acestor date pentru autoritățile publice, inclusiv pentru autoritățile competente în temeiul dreptului Uniunii sau al dreptului intern pentru prevenirea, investigarea sau urmărirea penală a infracțiunilor, CERT, CSIRT și, în ceea ce privește datele clienților lor, pentru furnizorii de rețele și servicii de comunicații electronice și pentru furnizorii de tehnologii și servicii de securitate cibernetică care acționează în numele clienților respectivi, sunt aspecte esențiale pentru prevenirea și combaterea abuzurilor din sistemul de nume de domenii, în special pentru prevenirea, detectarea și combaterea incidentelor de securitate cibernetică. Acest tip de acces ar trebui să respecte legislația Uniunii în materie de protecție a datelor în măsura în care este legat de date cu caracter personal.

    (60) Disponibilitatea și accesibilitatea în timp util a datelor de înregistrare a numelor de domeniu pentru solicitanții legitimi de acces sunt esențiale pentru securitatea cibernetică și combaterea activităților ilegale din ecosistemul online. Entitățile și registrele TLD care furnizează servicii de înregistrare a numelor de domenii ar trebui, prin urmare, să aibă obligația de a le permite solicitanților legitimi de acces, în conformitate cu legislația Uniunii privind protecția datelor, accesul legal la date specifice de înregistrare a numelor de domenii, inclusiv la date cu caracter personal. Solicitanții legitimi de acces ar trebui să depună o cerere justificată în mod corespunzător pentru a avea acces la datele de înregistrare a numelor de domeniu în temeiul dreptului Uniunii sau al dreptului intern și aceștia ar putea include autoritățile competente în temeiul dreptului Uniunii sau al dreptului intern pentru prevenirea, investigarea sau urmărirea penală a infracțiunilor, precum și CERT sau CSIRT naționale. Statele membre ar trebui să se asigure că registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore solicitărilor de divulgare a datelor de înregistrare a numelor de domenii formulate de solicitanții legitimi de acces. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Procedura de acces poate include, de asemenea, utilizarea unei interfețe, a unui portal sau a altor instrumente tehnice, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate adopta orientări cu privire la aceste proceduri fără a aduce atingere competențelor Comitetului european pentru protecția datelor.

    Amendamentul  61

    Propunere de directivă

    Considerentul 61

     

    Textul propus de Comisie

    Amendamentul

    (61) Pentru a asigura disponibilitatea unor date exacte și complete de înregistrare a numelor de domeniu, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD (operatorii de registru) ar trebui să colecteze și să garanteze integritatea și disponibilitatea datelor de înregistrare a numelor de domenii. În special, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui să stabilească politici și proceduri pentru colectarea și păstrarea unor date de înregistrare exacte și complete, precum și pentru prevenirea și corectarea datelor de înregistrare inexacte, în conformitate cu normele Uniunii privind protecția datelor.

    eliminat

    Amendamentul  62

     

    Propunere de directivă

    Considerentul 62

     

    Textul propus de Comisie

    Amendamentul

    (62) Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului date de înregistrare a numelor de domenii care nu intră în domeniul de aplicare al normelor Uniunii privind protecția datelor, cum ar fi datele care se referă la persoanele juridice25. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui, de asemenea,le permită solicitanților legitimi de acces, în conformitate cu legislația Uniunii privind protecția datelor, accesul legal la date specifice de înregistrare a numelor de domenii privind persoanele fizice. Statele membre ar trebui să se asigure că registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate solicitărilor de divulgare a datelor de înregistrare a numelor de domenii formulate de solicitanții legitimi de acces. Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Procedura de acces poate include, de asemenea, utilizarea unei interfețe, a unui portal sau a unui alt instrument tehnic, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate adopta orientări cu privire la aceste proceduri fără a aduce atingere competențelor Comitetului european pentru protecția datelor.

    (62) Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să aibă obligația de a pune la dispoziția publicului datele de înregistrare a numelor de domenii care nu conțin date cu caracter personal. Ar trebui să se facă o distincție între persoanele fizice și persoanele juridice25. În cazul persoanelor juridice, registrele TLD și entitățile ar trebui să pună la dispoziția publicului cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon. Persoana juridică ar trebui să aibă obligația fie de a furniza o adresă de e-mail generică care poate fi pusă la dispoziția publicului, fie de a-și da consimțământul pentru publicarea unei adrese de e-mail personale. Persoana juridică ar trebui să poată face dovada acestui consimțământ la cererea registrelor TLD și a entităților care furnizează servicii de înregistrare a numelor de domenii.

    __________________

    __________________

    25 Considerentul 14 din REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI prevede: „Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.”

    25 Considerentul 14 din REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI prevede: „Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.”

    Amendamentul  63

     

    Propunere de directivă

    Considerentul 63

     

    Textul propus de Comisie

    Amendamentul

    (63) Toate entitățile esențiale și importante vizate de prezenta directivă sunt considerate ca fiind sub jurisdicția statului membru în care își prestează serviciile. În cazul în care entitatea furnizează servicii în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre aceste state membre. Autoritățile competente din aceste state membre ar trebui să coopereze, să își ofere asistență reciprocă și, după caz, să întreprindă acțiuni comune de supraveghere.

    (63) Toate entitățile esențiale și importante vizate de prezenta directivă sunt considerate ca fiind sub jurisdicția statului membru în care își prestează serviciile sau în care își desfășoară activitățile. În cazul în care entitatea furnizează servicii în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre aceste state membre. Autoritățile competente din aceste state membre ar trebui să coopereze, să își ofere asistență reciprocă și, după caz, să întreprindă acțiuni comune de supraveghere.

    Amendamentul  64

     

    Propunere de directivă

    Considerentul 64

     

    Textul propus de Comisie

    Amendamentul

    (64) Pentru a ține seama de caracterul transfrontalier al serviciilor și al operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale furnizorilor de rețele de distribuție de conținut, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date și ale furnizorilor digitali, un singur stat membru ar trebui să aibă jurisdicție asupra acestor entități. Competența ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui să fie locul în care sunt luate deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Aceasta va corespunde, de regulă, locului în care se află administrația centrală a întreprinderilor din Uniune. În cazul în care astfel de decizii nu sunt luate în Uniune, se consideră că sediul principal se află în statul membru în care entitatea are sediul cu cel mai mare număr de angajați din Uniune. În cazul în care serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi.

    (64) Pentru a ține seama de caracterul transfrontalier al serviciilor și al operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale furnizorilor de rețele de distribuție de conținut, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date și ale furnizorilor digitali, un singur stat membru ar trebui să aibă jurisdicție asupra acestor entități. Competența ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui să fie locul în care sunt luate deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Aceasta va corespunde, de regulă, locului în care se află administrația centrală a întreprinderilor din Uniune. În cazul în care astfel de decizii nu sunt luate în Uniune, ar trebui să se considere că sediul principal este fie în statele membre în care entitatea are sediul cu cel mai mare număr de angajați din Uniune, fie în statele membre unde se află sediul în care se desfășoară operațiunile de securitate cibernetică. În cazul în care serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi.

    Amendamentul  65

     

    Propunere de directivă

    Considerentul 65 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (65a) ENISA ar trebui să creeze și să mențină un registru care să conțină informații despre entitățile esențiale și importante, care cuprind furnizori de servicii DNS, registre de nume TLD și furnizori de servicii de cloud computing, servicii de centre de date, rețele de furnizare de conținut, piețe online, motoare de căutare online și platforme de rețele de socializare. Aceste entități esențiale și importante ar trebui să transmită către ENISA numele, adresele și datele lor de contact actualizate. Ele notifică fără întârziere ENISA cu privire la orice modificare a acestor informații și, în orice caz, în termen de două săptămâni de la data la care a intrat în vigoare modificarea. ENISA ar trebui să transmită informațiile punctului unic de contact relevant. Prin urmare, entitățile esențiale și importante care transmit informațiile către ENISA nu au obligația de a informa separat autoritatea competentă din statul membru. ENISA ar trebui să elaboreze un program de aplicație simplu și disponibil publicului, pe care entitățile respective l-ar putea utiliza pentru a-și actualiza informațiile. În plus, ENISA ar trebui să instituie protocoale adecvate de clasificare și gestionare a informațiilor pentru a asigura securitatea și confidențialitatea informațiilor divulgate și ar trebui să restricționeze accesul la informațiile respective, stocarea și transmiterea acestora către utilizatorii vizați.

    Amendamentul  66

     

    Propunere de directivă

    Considerentul 66

     

    Textul propus de Comisie

    Amendamentul

    (66) În cazul în care se face schimb de informații considerate clasificate în conformitate cu legislația națională sau a Uniunii ori astfel de informații sunt raportate sau partajate în alt mod în temeiul dispozițiilor prezentei directive, ar trebui să se aplice normele specifice corespunzătoare privind tratarea informațiilor clasificate.

    (66) În cazul în care se face schimb de informații considerate clasificate în conformitate cu legislația națională sau a Uniunii ori astfel de informații sunt raportate sau partajate în alt mod în temeiul dispozițiilor prezentei directive, ar trebui să se aplice normele specifice corespunzătoare privind tratarea informațiilor clasificate. În plus, ENISA ar trebui să dispună de infrastructura, procedurile și normele în vigoare pentru a trata informațiile sensibile și clasificate în conformitate cu normele de securitate aplicabile pentru protecția informațiilor clasificate ale UE.

    Amendamentul  67

     

    Propunere de directivă

    Considerentul 68

     

    Textul propus de Comisie

    Amendamentul

    (68) Entitățile ar trebui încurajate să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor.

    (68) Entitățile ar trebui încurajate și sprijinite de statele membre să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive, cum ar fi entitățile axate pe serviciile și cercetarea în materie de securitate cibernetică, să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor.

    Amendamentul  68

     

    Propunere de directivă

    Considerentul 69

     

    Textul propus de Comisie

    Amendamentul

    (69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entități, autorități publice, CERT, CSIRT și furnizorii de tehnologii și servicii de securitate ar trebui să constituie un interes legitim al operatorului de date în cauză, astfel cum se menționează în Regulamentul (UE) 2016/679. Aceasta ar trebui să includă măsuri legate de prevenirea, detectarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare. Astfel de măsuri pot necesita prelucrarea următoarelor tipuri de date cu caracter personal: adrese IP, localizatoare uniforme de resurse (URL), nume de domenii și adrese de e-mail.

    (69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entitățile esențiale și importante, CSIRT și furnizorii de tehnologii și servicii de securitate, este necesară pentru respectarea obligațiilor lor legale prevăzute în prezenta directivă. Această prelucrare a datelor cu caracter personal ar putea fi necesară și în scopul intereselor legitime urmărite de entitățile esențiale și importante. În cazul în care prezenta directivă impune prelucrarea datelor cu caracter personal în scopul securității cibernetice, a rețelelor și a informațiilor în conformitate cu dispozițiile prevăzute la articolele 18, 20 și 23 din directivă, prelucrarea respectivă este considerată necesară pentru respectarea unei obligații legale, astfel cum se menționează la articolul 6 alineatul (1) litera (c) din Regulamentul (UE) 2016/679. În sensul articolelor 26 și 27 din prezenta directivă, prelucrarea menționată la articolul 6 alineatul (1) litera (f) din Regulamentul (UE) 2016/679 este considerată necesară în scopul intereselor legitime urmărite de entitățile esențiale și importante. Măsuri legate de prevenirea, detectarea, identificarea, limitarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare necesită prelucrarea anumitor categorii de date cu caracter personal, cum ar fi adrese IP, localizatoare uniforme de resurse (URL), nume de domenii, adrese de e-mail, marcaje temporale, informații privind sistemul de operare sau browserul, cookie-uri sau alte informații referitoare la modul de funcționare.

    Amendamentul  69

     

    Propunere de directivă

    Considerentul 71

     

    Textul propus de Comisie

    Amendamentul

    (71) Pentru ca asigurarea respectării să fie eficace, ar trebui stabilită o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor de securitate cibernetică și de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru astfel de sancțiuni în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de natura, gravitatea și durata încălcării, de daunele reale cauzate sau de pierderile suferite ori de daunele sau pierderile potențiale care ar fi putut fi declanșate, de caracterul intenționat sau din neglijență al încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul și/sau pierderile suferite, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv al unei protecții judiciare eficiente și al unui proces echitabil.

    (71) Pentru ca asigurarea respectării să fie eficace, ar trebui stabilită o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor de securitate cibernetică și de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru astfel de sancțiuni în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de natura, gravitatea și durata încălcării, de daunele cauzate sau de pierderile suferite, de caracterul intenționat sau din neglijență al încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul și/sau pierderile suferite, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Sancțiunile, inclusiv amenzile administrative, ar trebui să fie proporționale, iar aplicarea lor ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene („Carta”), inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare.

    Amendamentul  70

     

    Propunere de directivă

    Considerentul 72

     

    Textul propus de Comisie

    Amendamentul

    (72) Pentru a asigura respectarea efectivă a obligațiilor prevăzute în prezenta directivă, fiecare autoritate competentă ar trebui să aibă competența de a impune sau de a solicita impunerea de amenzi administrative.

    (72) Pentru a asigura respectarea efectivă a obligațiilor prevăzute în prezenta directivă, fiecare autoritate competentă ar trebui să aibă competența de a impune sau de a solicita impunerea de amenzi administrative, dacă încălcarea a fost intenționată sau din neglijență sau dacă nerespectarea de către entitatea în cauză a fost adusă la cunoștința acesteia.

    Amendamentul  71

     

    Propunere de directivă

    Considerentul 76

     

    Textul propus de Comisie

    Amendamentul

    (76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice sancțiuni constând în suspendarea unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate aceste servicii și impunerea unei interdicții temporare de a exercita funcții de conducere de către o persoană fizică. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste sancțiuni ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de sancțiuni ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste sancțiuni. Impunerea unor astfel de sancțiuni face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare.

    (76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice o suspendare temporară a unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate serviciile relevante și să solicite impunerea unei interdicții temporare de a exercita funcții de conducere de către o persoană fizică la nivel de director executiv sau de reprezentant legal. Statele membre ar trebui să elaboreze proceduri și norme specifice privind interdicția temporară de a exercita funcții de conducere de către o persoană fizică la nivel de director executiv sau de reprezentant legal în entități din administrația publică. În procesul de elaborare a unor astfel de proceduri și norme, statele membre ar trebui să țină seama de particularitățile nivelurilor și sistemelor lor de guvernanță din administrația lor publică. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste suspendări sau interdicții temporare ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de suspendări sau interdicții temporare ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste suspendări sau interdicții temporare. Impunerea unor astfel de suspendări temporare sau interdicții face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare.

    Amendamentul  72

     

    Propunere de directivă

    Considerentul 79

     

    Textul propus de Comisie

    Amendamentul

    (79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre.

    (79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții independenți desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre. Evaluările inter pares pot conduce la idei și recomandări valoroase, care să consolideze capacitățile globale în materie de securitate cibernetică. În special, acestea pot contribui la facilitarea transferului de tehnologii, instrumente, măsuri și procese între statele membre implicate în evaluarea inter pares, creând o modalitate funcțională de schimb de bune practici între statele membre cu niveluri diferite de maturitate în materie de securitate cibernetică și permițând stabilirea unui nivel comun ridicat de securitate cibernetică în întreaga Uniune. Evaluarea inter pares ar trebui să fie precedată de o autoevaluare de către statul membru care face obiectul evaluării, care să acopere aspectele evaluate și orice alte aspecte specifice suplimentare comunicate de experții desemnați statului membru care face obiectul evaluării inter pares înainte de începerea procesului. Comisia, în cooperare cu ENISA și cu grupul de cooperare, ar trebui să elaboreze modele pentru autoevaluarea aspectelor analizate, pentru a simplifica procesul și a evita neconcordanțele și întârzierile procedurale, modele pe care statele membre care fac obiectul evaluării inter pares ar trebui să le finalizeze și să le furnizeze experților desemnați care efectuează evaluarea inter pares înainte de începerea procesului de evaluare inter pares.

    Amendamentul  73

     

    Propunere de directivă

    Considerentul 80

     

    Textul propus de Comisie

    Amendamentul

    (80) Pentru a ține seama de noile amenințări cibernetice, de evoluțiile tehnologice sau de specificitățile sectoriale, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește elementele legate de măsurile de gestionare a riscurilor impuse de prezenta directivă. Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate pentru a stabili ce categorii de entități esențiale au obligația de a obține un certificat și în temeiul căror sisteme europene specifice de certificare a securității cibernetice. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare26. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

    (80) Pentru a ține seama de noile amenințări cibernetice, de evoluțiile tehnologice sau de specificitățile sectoriale, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește elementele legate de măsurile de gestionare a riscurilor de securitate cibernetică și obligațiile de raportare impuse de prezenta directivă. Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate pentru a stabili ce categorii de entități esențiale și importante au obligația de a obține un certificat și în temeiul căror sisteme europene specifice de certificare a securității cibernetice. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

    __________________

     

    26 JO L 123, 12.5.2016, p. 1.

     

    Amendamentul  74

     

    Propunere de directivă

    Considerentul 81

     

    Textul propus de Comisie

    Amendamentul

    (81) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a dispozițiilor relevante ale prezentei directive în ceea ce privește dispozițiile procedurale necesare pentru funcționarea grupului de cooperare, elementele tehnice legate de măsurile de gestionare a riscurilor sau tipul de informații, formatul și procedura de notificare a incidentelor, Comisiei ar trebui să i se confere competențe de executare. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului27.

    (81) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a dispozițiilor relevante ale prezentei directive în ceea ce privește dispozițiile procedurale necesare pentru funcționarea grupului de cooperare și procedura de notificare a incidentelor, Comisiei ar trebui să i se confere competențe de executare. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului27.

    __________________

    __________________

    27 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

    27 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

    Amendamentul  75

     

    Propunere de directivă

    Considerentul 82

     

    Textul propus de Comisie

    Amendamentul

    (82) Comisia ar trebui să revizuiască periodic prezenta directivă, consultându-se cu părțile interesate, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției condițiilor societale, politice, tehnologice sau de piață.

    (82) Comisia ar trebui să revizuiască periodic prezenta directivă, consultându-se cu părțile interesate, în special pentru a stabili dacă este necesar să propună modificări ca urmare a evoluției condițiilor societale, politice, tehnologice sau de piață. În cadrul acestor revizuiri, Comisia ar trebui să evalueze în special relevanța sectoarelor, a subsectoarelor și a tipurilor de entități menționate în anexe pentru funcționarea economiei și a societății în ceea ce privește securitatea cibernetică. Comisia ar trebui să evalueze, printre altele, dacă furnizorii digitali care sunt clasificați drept platforme online foarte mari în sensul articolului 25 din Regulamentul (UE) XXXX/XXXX [Piața unică pentru servicii digitale (actul legislativ privind serviciile digitale) sau ca controlori ai fluxului de informație, astfel cum sunt definiți la articolul 2 punctul 1 din Regulamentul (UE) XXXX/XXXX [Piețe contestabile și echitabile în sectorul digital (Actul legislativ privind piețele digitale)] ar trebui să fie desemnați ca entități esențiale în temeiul prezentei directive. În plus, Comisia ar trebui să evalueze dacă este necesar să se modifice anexa I la Directiva 2020/1828 a Parlamentului European și a Consiliului1a prin adăugarea unei trimiteri la prezenta directivă.

     

    __________________

     

    1a Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1).

    Amendamentul  76 

    Propunere de directivă

    Considerentul 82 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (82a) Prezenta directivă prevede cerințe în domeniul securității cibernetice pentru statele membre, precum și pentru entitățile esențiale și importante stabilite în Uniune. Aceste cerințe de securitate cibernetică ar trebui să fie aplicate și de instituțiile, organele, oficiile și agențiile Uniunii, pe baza unui act legislativ al Uniunii.

    Amendamentul  77

     

    Propunere de directivă

    Considerentul 82 b (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (82b) Prezenta directivă creează noi sarcini pentru ENISA, consolidând astfel rolul acesteia, și ar putea avea drept rezultat și o obligație a ENISA de a-și îndeplini sarcinile existente în temeiul Regulamentului (UE) 2019/881 la un standard mai ridicat decât înainte. Pentru a garanta că ENISA dispune de resursele financiare și umane necesare pentru a-și desfășura activitățile existente și cele noi în cadrul atribuțiilor sale, precum și pentru a îndeplini orice standarde mai ridicate care rezultă din rolul său consolidat, bugetul său ar trebui majorat în consecință. În plus, pentru a asigura utilizarea eficientă a resurselor, ENISA ar trebui să beneficieze de o mai mare flexibilitate în ceea ce privește modul în care i se permite să aloce resurse la nivel intern, pentru a-i permite să își îndeplinească sarcinile și să răspundă așteptărilor în mod eficace.

    Amendamentul  78

     

    Propunere de directivă

    Considerentul 84

     

    Textul propus de Comisie

    Amendamentul

    (84) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate,

    (84) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Cartă, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Aceasta include dreptul la o cale de atac eficientă în fața unei instanțe pentru beneficiarii serviciilor furnizate de entități esențiale și importante. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate.

    Amendamentul  79

     

    Propunere de directivă

    Articolul 1 – alineatul 2 – litera ca (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (ca) stabilește pentru statele membre obligații de supraveghere și de asigurare a respectării legislației.

    Amendamentul  80

     

    Propunere de directivă

    Articolul 2 – alineatul 1

     

    Textul propus de Comisie

    Amendamentul

    1. Prezenta directivă se aplică entităților publice și private de tipul celor menționate ca fiind entități esențiale în anexa I și entități importante în anexa II. Prezenta directivă nu se aplică entităților care se califică drept microîntreprinderi și întreprinderi mici în sensul Recomandării 2003/361/CE a Comisiei28.

    1. Prezenta directivă se aplică entităților esențiale și importante publice și private de tipul celor menționate ca fiind entități esențiale în anexa I și entități importante în anexa II, care își prestează serviciile sau își desfășoară activitățile în Uniune. Prezenta directivă nu se aplică întreprinderilor mici și microîntreprinderilor în sensul articolului 2 alineatele (2) și (3) din anexa la Recomandarea 2003/361/CE a Comisiei28. Articolul 3 alineatul (4) din anexa la recomandarea respectivă nu se aplică.

    __________________

    __________________

    28 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).

    28 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).

    Amendamentul  81

     

    Propunere de directivă

    Articolul 2 – alineatul 2 – paragraful 1 – partea introductivă

     

    Textul propus de Comisie

    Amendamentul

    Cu toate acestea, indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților menționate în anexele I și II, în cazul în care:

    Indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților esențiale și importante, în cazul în care:

    Amendamentul  82

     

    Propunere de directivă

    Articolul 2 – alineatul 2 – paragraful 1 – litera d

     

    Textul propus de Comisie

    Amendamentul

    (d) o eventuală perturbare a serviciului furnizat de entitate ar putea avea un impact asupra siguranței publice, a securității publice sau a sănătății publice;

    (d) o perturbare a serviciului furnizat de entitate ar putea avea un impact asupra siguranței publice, a securității publice sau a sănătății publice;

    Amendamentul  83

     

    Propunere de directivă

    Articolul 2 – alineatul 2 – paragraful 1 – litera e

     

    Textul propus de Comisie

    Amendamentul

    (e) o eventuală perturbare a serviciului furnizat de entitate ar putea genera riscuri sistemice, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier;

    (e) o perturbare a serviciului furnizat de entitate ar putea genera riscuri sistemice, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier;

    Amendamentul  84

     

    Propunere de directivă

    Articolul 2 – alineatul 2 – paragraful 2

     

    Textul propus de Comisie

    Amendamentul

    Statele membre întocmesc o listă a entităților identificate în temeiul literelor (b) - (f) și o transmit Comisiei până la [6 luni de la termenul de transpunere]. Statele membre revizuiesc lista în mod regulat și, ulterior, cel puțin o dată la doi ani și, dacă este cazul, o actualizează.

    eliminat

    Amendamentul  85

     

    Propunere de directivă

    Articolul 2 – alineatul 2 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    2a. Până la... [6 luni de la termenul de transpunere], statele membre întocmesc o listă a entităților esențiale și importante, inclusiv a entităților menționate la alineatul (1) și a entităților identificate în temeiul alineatului (2) literele (b)-(f) și al articolului 24 alineatul (1). Statele membre revizuiesc lista în mod regulat, cel puțin o dată la doi ani, și o actualizează atunci când este cazul.

     

    Amendamentul  86

     

    Propunere de directivă

    Articolul 2 – alineatul 2 b (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    2b. Statele membre se asigură că entitățile esențiale și importante transmit autorităților competente cel puțin următoarele informații:

     

    (a) denumirea entității;

     

    (b) adresa și datele de contact actualizate, inclusiv adresele de e-mail, gama de IP-uri, numerele de telefon; precum și

     

    (c) sectorul/sectoarele și subsectorul/subsectoarele relevante menționate în anexele I și II.

     

    Entitățile esențiale și importante notifică fără întârziere și, în orice caz, în termen de două săptămâni de la data la care intră în vigoare modificarea, orice modificare a datelor transmise în temeiul primului paragraf. În acest scop, Comisia, asistată de ENISA, emite fără întârzieri nejustificate orientări și modele privind obligațiile prevăzute în prezentul alineat.

    Amendamentul  87

     

    Propunere de directivă

    Articolul 2 – alineatul 2 c (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    2c. Până la ...[6 luni de la termenul de transpunere] și, ulterior, o dată la doi ani, statele membre notifică:

     

    (a) Comisia și Grupul de cooperare cu privire la numărul tuturor entităților esențiale și importante identificate pentru fiecare sector și subsector menționat în anexele I și II, precum și

     

    (b) Comisia, cu privire la denumirile entităților identificate în temeiul alineatului (2) literele (b)-(f).

    Amendamentul  88

     

    Propunere de directivă

    Articolul 2 – alineatul 4

     

    Textul propus de Comisie

    Amendamentul

    4. Prezenta directivă se aplică fără a aduce atingere Directivei 2008/114/CE a Consiliului30 și Directivelor 2011/93/UE31 și 2013/40/UE32 ale Parlamentului European și ale Consiliului.

    4. Prezenta directivă se aplică fără a aduce atingere Directivei 2008/114/CE a Consiliului30 și Directivelor 2011/93/UE31, 2013/40/UE32 și 2002/58/CE32a ale Parlamentului European și ale Consiliului.

    __________________

    __________________

    30 Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (JO L 345, 23.12.2008, p. 75).

    30 Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (JO L 345, 23.12.2008, p. 75).

    31 Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1).

    31 Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1).

    32 Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, p. 8).

    32 Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, p. 8).

     

    32a Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).

    Amendamentul  89

     

    Propunere de directivă

    Articolul 2 – alineatul 6

     

    Textul propus de Comisie

    Amendamentul

    6. În cazul în care dispozițiile actelor specifice fiecărui sector din dreptul Uniunii impun entităților esențiale sau importante fie să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, fie să notifice incidentele sau amenințările cibernetice semnificative, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, nu se aplică dispozițiile relevante ale prezentei directive, așadar nici dispozițiile privind supravegherea și asigurarea respectării legislației, prevăzute în capitolul VI.

    6. În cazul în care dispozițiile actelor specifice fiecărui sector din dreptul Uniunii impun entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, sau să notifice incidentele, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, nu se aplică dispozițiile relevante ale prezentei directive, așadar nici dispozițiile privind supravegherea și asigurarea respectării legislației, prevăzute în capitolul VI. Comisia, fără întârzieri nejustificate, emite orientări cu privire la punerea în aplicare a actelor specifice fiecărui sector din dreptul Uniunii, cu scopul de a se asigura că actele respective îndeplinesc cerințele de securitate cibernetică stabilite prin prezenta directivă și că nu există suprapuneri sau incertitudine juridică. Când elaborează aceste orientări, Comisia ia în considerare bunele practici și expertiza ENISA și a Grupului de cooperare.

    Amendamentul  90

     

    Propunere de directivă

    Articolul 2 – alineatul 6 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    6a. Entitățile esențiale și importante, CSIRT și furnizorii de tehnologii și servicii de securitate prelucrează datele cu caracter personal în măsura în care acest lucru este strict necesar și proporțional în scopul securității cibernetice și securității rețelelor și informațiilor, pentru a îndeplini obligațiile prevăzute în prezenta directivă. Respectiva prelucrare a datelor cu caracter personal în temeiul prezentei directive se efectuează în conformitate cu Regulamentul (UE) 2016/679, în special articolul 6.

    Amendamentul  91

     

    Propunere de directivă

    Articolul 2 – alineatul 6 b (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    6b. Prelucrarea datelor cu caracter personal în temeiul prezentei directive de către furnizorii de rețele publice de comunicații electronice sau furnizorii de comunicații electronice accesibile publicului menționați în anexa I punctul 8 se efectuează în conformitate cu Directiva 2002/58/CE.

    Amendamentul  92

     

    Propunere de directivă

    Articolul 4 – paragraful 1– punctul 4 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (4a) „incident evitat la limită” înseamnă un eveniment care ar fi putut compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor, sau care ar fi putut cauza prejudicii, dar care a fost împiedicat cu succes să producă un impact negativ;

    Amendamentul  93

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 6

     

    Textul propus de Comisie

    Amendamentul

    (6) „administrarea incidentelor” înseamnă toate acțiunile și procedurile care vizează detectarea, analizarea și limitarea unui incident, precum și răspunsul la acesta;

    (6) „administrarea incidentelor” înseamnă toate acțiunile și procedurile care vizează prevenirea, detectarea, analizarea și limitarea unui incident, precum și răspunsul la acesta;

    Amendamentul  94

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 7 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (7a) „risc” înseamnă potențialele pierderi sau perturbări cauzate de un incident și trebuie exprimat ca o combinație între amploarea unei astfel de pierderi sau perturbări și probabilitatea producerii acelui incident;

    Amendamentul  95

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 11

     

    Textul propus de Comisie

    Amendamentul

    (11) „specificație tehnică” înseamnă o specificație tehnică în sensul articolului 2 punctul 4 din Regulamentul (UE) nr. 1025/2012;

    (11) „specificație tehnică” înseamnă o specificație tehnică astfel cum este definită la articolul 2 punctul 20 din Regulamentul (UE) nr. 2019/881;

     

    Amendamentul  96

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 13

     

    Textul propus de Comisie

    Amendamentul

    (13) „sistem de nume de domenii (DNS)” înseamnă un sistem ierarhic și distribuit de atribuire de nume care le permite utilizatorilor finali să acceseze servicii și resurse pe internet;

    (13) „sistem de nume de domenii (DNS)” înseamnă un sistem ierarhic și distribuit de atribuire de nume care face posibilă identificarea serviciilor și a resurselor pe internet, permițând dispozitivelor utilizatorilor finali să utilizeze serviciile de rutare și conectivitate pe internet pentru a accesa serviciile și resursele respective;

    Amendamentul  97

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 14

     

    Textul propus de Comisie

    Amendamentul

    (14) „furnizor de servicii DNS” înseamnă o entitate care furnizează servicii de rezoluție a numelor de domenii recursive sau cu autoritate utilizatorilor finali de internet și altor furnizori de servicii DNS;

    (14) „furnizor de servicii DNS” înseamnă o entitate care furnizează:

    Amendamentul  98

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 14 – litera a (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (a) servicii deschise și publice de rezoluție a numelor de domenii recursive utilizatorilor finali de internet; sau

    Amendamentul  99

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 14 – litera b (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (b) servicii de rezoluție a numelor de domenii cu autoritate ca servicii care pot fi achiziționate de entități terțe;

    Amendamentul  100

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 15

     

    Textul propus de Comisie

    Amendamentul

    (15) „registru de nume de domenii de prim nivel” înseamnă o entitate căreia i s-a delegat un anumit domeniu de prim nivel (top–level domain –TLD) și care este responsabilă cu administrarea TLD-ului, inclusiv cu înregistrarea numelor de domenii în cadrul TLD-ului și cu exploatarea tehnică a TLD-ului, în special cu exploatarea serverelor sale de nume, cu întreținerea bazelor sale de date și cu distribuirea fișierelor zonale TLD între serverele de nume;

    (15) „registru de nume de domenii de prim nivel” înseamnă o entitate căreia i s-a delegat un anumit domeniu de prim nivel (top–level domain –TLD) și care este responsabilă cu administrarea TLD-ului, inclusiv cu înregistrarea numelor de domenii în cadrul TLD-ului și cu exploatarea tehnică a TLD-ului, în special cu exploatarea serverelor sale de nume, cu întreținerea bazelor sale de date și cu distribuirea fișierelor zonale TLD între serverele de nume, indiferent dacă oricare dintre aceste operațiuni este efectuată de o entitate sau este externalizată;

    Amendamentul  101

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 15 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (15a) „servicii de înregistrare a numelor de domenii” înseamnă servicii furnizate de registrele de nume de domenii și operatorii de registru, de furnizorii de servicii de protecție a vieții private și servicii de proxy, de brokerii sau revânzătorii de domenii și de orice alte servicii legate de înregistrarea numelor de domenii;

    Amendamentul  102

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 23 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (23a) „rețea publică de comunicații electronice” înseamnă o rețea publică de comunicații electronice astfel cum este definită la articolul 2 punctul (8) din Directiva (UE) 2018/1972;

    Amendamentul  103

     

    Propunere de directivă

    Articolul 4 – paragraful 1 – punctul 23 b (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    (23b) „serviciu de comunicații electronice” înseamnă serviciu de comunicații electronice astfel cum este definit la articolul 2 punctul (4) din Directiva (UE) 2018/1972;

    Amendamentul  104

     

    Propunere de directivă

    Articolul 5 – alineatul 1 – partea introductivă

     

    Textul propus de Comisie

    Amendamentul

    1. Fiecare stat membru adoptă o strategie națională de securitate cibernetică care definește obiectivele strategice și măsurile de politică și de reglementare adecvate, în vederea atingerii și menținerii unui nivel ridicat de securitate cibernetică. Strategia națională de securitate cibernetică include, în special, următoarele elemente:

    1. Fiecare stat membru adoptă o strategie națională de securitate cibernetică care definește obiectivele strategice, resursele tehnice, organizatorice și financiare necesare pentru realizarea acestor obiective, precum și măsurile de politică și de reglementare adecvate, în vederea atingerii și menținerii unui nivel ridicat de securitate cibernetică. Strategia națională de securitate cibernetică include, în special, următoarele elemente:

    Amendamentul  105

     

    Propunere de directivă

    Articolul 5 – alineatul 1 – litera a

     

    Textul propus de Comisie

    Amendamentul

    (a) o definire a obiectivelor și a priorităților strategiei statelor membre privind securitatea cibernetică;

    (a) o definire a obiectivelor și a priorităților strategiei statului membru privind securitatea cibernetică;

    Amendamentul  106

     

    Propunere de directivă

    Articolul 5 – alineatul 1 – litera b

     

    Textul propus de Comisie

    Amendamentul

    (b) un cadru de guvernanță pentru realizarea acestor obiective și priorități, inclusiv politicile menționate la alineatul (2) și rolurile și responsabilitățile organismelor și ale entităților publice, precum și ale altor actori relevanți;

    (b) un cadru de guvernanță pentru realizarea acestor obiective și priorități, inclusiv politicile menționate la alineatul (2);

    Amendamentul  107

     

    Propunere de directivă

    Articolul 5 – alineatul 1 – litera ba (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (ba) un cadru pentru alocarea rolurilor și a responsabilităților organismelor și entităților publice, precum și ale altor actori relevanți, care să sprijine cooperarea și coordonarea, la nivel național, între autoritățile competente desemnate la articolul 7 alineatul (1) și la articolul 8 alineatul (1), punctul unic de contact desemnat la articolul 8 alineatul (3) și CSIRT desemnate în temeiul articolului 9;

    Amendamentul  108

     

    Propunere de directivă

    Articolul 5 – alineatul 1 – litera e

     

    Textul propus de Comisie

    Amendamentul

    (e) o listă a diferitelor autorități și a diferiților actori care participă la punerea în aplicare a strategiei naționale de securitate cibernetică;

    (e) o listă a diferitelor autorități și a diferiților actori care participă la punerea în aplicare a strategiei naționale de securitate cibernetică, inclusiv un punct unic de contact privind securitatea cibernetică a IMM-urilor, care să ofere sprijin pentru în punerea în aplicare a măsurilor specifice de securitate cibernetică;

    Amendamentul  109

     

    Propunere de directivă

    Articolul 5 – alineatul 1 – litera f

     

    Textul propus de Comisie

    Amendamentul

    (f) un cadru de politică menit să asigure o mai bună coordonare între autoritățile competente în temeiul prezentei directive și al Directivei (UE) XXXX/XXXX a Parlamentului European și a Consiliului38 [Directiva privind reziliența entităților critice] în scopul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere.

    (f) un cadru de politică menit să asigure o mai bună coordonare între autoritățile competente în temeiul prezentei directive și al Directivei (UE) XXXX/XXXX a Parlamentului European și a Consiliului38 [Directiva privind reziliența entităților critice], în și între statele membre, în scopul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere.

    __________________

    __________________

    38 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute]

    38 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute]

    Amendamentul  110

     

    Propunere de directivă

    Articolul 5 – alineatul 1 – litera fa (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (fa) o evaluare a nivelului general de conștientizare în rândul cetățenilor cu privire la securitatea cibernetică.

    Amendamentul  111

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera -a (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (-a) o politică privind securitatea cibernetică pentru fiecare sector reglementat de prezenta directivă;

    Amendamentul  112

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera b

     

    Textul propus de Comisie

    Amendamentul

    (b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice;

    (b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice, inclusiv cerințele de criptare și utilizarea produselor de securitate cibernetică cu sursă deschisă;

    Amendamentul  113

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera d

     

    Textul propus de Comisie

    Amendamentul

    (d) o politică legată de menținerea disponibilității și a integrității generale a nucleului public al internetului deschis;

    (d) o politică legată de menținerea disponibilității și a integrității generale a nucleului public al internetului deschis, inclusiv securitatea cibernetică a cablurilor de comunicații submarine;

    Amendamentul  114

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera da (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (da) o politică de promovare și sprijinire a dezvoltării și a integrării tehnologiilor emergente, cum ar fi inteligența artificială, în instrumentele și aplicațiile de îmbunătățire a securității cibernetice;

    Amendamentul  115

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera db (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (db) o politică de promovare a integrării instrumentelor și a aplicațiilor cu sursă deschisă;

    Amendamentul  116

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera f

     

    Textul propus de Comisie

    Amendamentul

    (f) o politică de sprijinire a instituțiilor academice și de cercetare în vederea dezvoltării unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate;

    (f) o politică de sprijinire a instituțiilor academice și de cercetare în vederea dezvoltării, consolidării și implementării unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate;

    Amendamentul  117

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera h

     

    Textul propus de Comisie

    Amendamentul

    (h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice.

    (h) o politică de promovare a securității cibernetice pentru IMM-uri, inclusiv pentru cele excluse din domeniul de aplicare al prezentei directive, care să răspundă nevoilor lor specifice și să ofere orientări și sprijin ușor accesibile, inclusiv orientări privind provocările legate de lanțul de aprovizionare cu care se confruntă;

    Amendamentul  118

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera ha (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (ha) o politică de promovare a igienei cibernetice care să cuprindă un set de bază de practici și controale și să sensibilizeze cetățenii cu privire la amenințările și bunele practici în materie de securitate cibernetică;

    Amendamentul  119

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera hb (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (hb) o politică de promovare a apărării cibernetice active;

    Amendamentul  120

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera hc (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (hc) o politică pentru a ajuta autoritățile să dezvolte competențele și înțelegerea considerentelor de securitate necesare pentru a proiecta, a construi și a gestiona locurile conectate;

    Amendamentul  121

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera hd (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (hd) o politică ce abordează în mod specific amenințarea ransomware și care întrerupe modelul de afaceri ransomware;

    Amendamentul  122

     

    Propunere de directivă

    Articolul 5 – alineatul 2 – litera he (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (he) o politică, inclusiv proceduri relevante și cadre de guvernanță, pentru sprijinirea și promovarea încheierii de parteneriate public-privat în domeniul securității cibernetice;

    Amendamentul  123

     

    Propunere de directivă

    Articolul 5 – alineatul 3

     

    Textul propus de Comisie

    Amendamentul

    3. Statele membre notifică Comisiei strategiile lor naționale de securitate cibernetică în termen de trei luni de la adoptarea acestora. Statele membre pot exclude din notificare anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru menținerea securității naționale.

    3. Statele membre notifică Comisiei strategiile lor naționale de securitate cibernetică în termen de trei luni de la adoptarea acestora. Statele membre pot exclude din notificare anumite informații în cazul și în măsura în care acest lucru este necesar pentru menținerea securității naționale.

    Amendamentul  124

     

    Propunere de directivă

    Articolul 5 – alineatul 4

     

    Textul propus de Comisie

    Amendamentul

    4. Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor-cheie de performanță și, dacă este necesar, le modifică. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină statele membre, la cerere, în elaborarea unei strategii naționale și a unor indicatori-cheie de performanță pentru evaluarea strategiei.

    4. Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor-cheie de performanță și, dacă este necesar, le modifică. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină statele membre, la cerere, în elaborarea unei strategii naționale și a unor indicatori-cheie de performanță pentru evaluarea strategiei. ENISA oferă statelor membre orientări pentru alinierea strategiilor lor naționale de securitate cibernetică formulate deja la cerințele și obligațiile stabilite în prezenta directivă.

    Amendamentul  125

     

    Propunere de directivă

    Articolul 6 – titlu

     

    Textul propus de Comisie

    Amendamentul

    Divulgarea coordonată a vulnerabilităților și registrul european al vulnerabilităților

    Divulgarea coordonată a vulnerabilităților și baza de date europeană a vulnerabilităților

    Amendamentul  126

     

    Propunere de directivă

    Articolul 6 – alineatul 1

     

    Textul propus de Comisie

    Amendamentul

    1. Fiecare stat membru desemnează una dintre echipele sale CSIRT, astfel cum se menționează la articolul 9, drept coordonator în scopul divulgării coordonate a vulnerabilităților. CSIRT desemnată acționează ca intermediar de încredere, facilitând, dacă este necesar, interacțiunea dintre entitatea raportoare și producătorul sau furnizorul de produse TIC sau servicii TIC. În cazul în care vulnerabilitatea raportată vizează mai mulți producători sau furnizori de produse TIC sau de servicii TIC din Uniune, CSIRT desemnată din fiecare stat membru în cauză cooperează cu rețeaua CSIRT.

    1. Fiecare stat membru desemnează una dintre echipele sale CSIRT, astfel cum se menționează la articolul 9, drept coordonator în scopul divulgării coordonate a vulnerabilităților. CSIRT desemnată acționează ca intermediar de încredere, facilitând, la cererea entității raportoare, interacțiunea dintre entitatea raportoare și producătorul sau furnizorul de produse TIC sau servicii TIC. În cazul în care vulnerabilitatea raportată vizează mai mulți producători sau furnizori de produse TIC sau de servicii TIC din Uniune, CSIRT desemnată din fiecare stat membru în cauză cooperează cu rețeaua CSIRT.

    Amendamentul  127

     

    Propunere de directivă

    Articolul 6 – alineatul 2

     

    Textul propus de Comisie

    Amendamentul

    2. ENISA creează și menține un registru european al vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în registru. Registrul include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate.

    2. ENISA creează și menține o bază de date europeană a vulnerabilităților bazându-se pe registrul mondial comun de vulnerabilități și expuneri (CVE). În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate și adoptă măsurile tehnice și organizatorice necesare pentru a garanta securitatea și integritatea bazei de date, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice, precum și entităților care nu intră în domeniul de aplicare al prezentei directive și furnizorilor lor să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC. Se oferă acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în baza de date care dispun de corecții sau măsuri de atenuare disponibile. Baza de date include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe. Dacă astfel de corecții nu sunt disponibile, vor fi incluse în baza de date orientări adresate utilizatorilor de produse TIC și servicii TIC vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate.

    Amendamentul  128

     

    Propunere de directivă

    Articolul 7 – alineatul 1 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    1a. Dacă un stat membru desemnează mai multe autorități competente menționate la alineatul (1), acesta indică în mod clar care dintre autoritățile competente respective servește drept coordonator pentru gestionarea incidentelor și a crizelor de mare amploare.

    Amendamentul  129

     

    Propunere de directivă

    Articolul 7 – alineatul 2

     

    Textul propus de Comisie

    Amendamentul

    2. Fiecare stat membru identifică capacitățile, mijloacele și procedurile care pot fi utilizate în caz de criză în sensul prezentei directive.

    (Nu privește versiunea în limba română.) 

    Amendamentul  130

     

    Propunere de directivă

    Articolul 7 – alineatul 4

     

    Textul propus de Comisie

    Amendamentul

    4. Statele membre comunică Comisiei desemnarea autorităților lor competente menționate la alineatul (1) și își prezintă planurile naționale de răspuns la incidente și crize în materie de securitate cibernetică, astfel cum se menționează la alineatul (3), în termen de trei luni de la desemnarea autorităților și adoptarea planurilor respective. Statele membre pot exclude din plan anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru securitatea lor națională.

    4. Statele membre comunică Comisiei desemnarea autorităților lor competente menționate la alineatul (1) și prezintă UE-CyCLONe planurile naționale de răspuns la incidente și crize în materie de securitate cibernetică, astfel cum se menționează la alineatul (3), în termen de trei luni de la desemnarea autorităților și adoptarea planurilor respective. Statele membre pot exclude din plan anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru securitatea lor națională.

    Amendamentul  131

     

    Propunere de directivă

    Articolul 8 – alineatul 3

     

    Textul propus de Comisie

    Amendamentul

    3. Fiecare stat membru desemnează un punct unic de contact național în materie de securitate cibernetică („punct unic de contact”). În cazul în care un stat membru desemnează o singură autoritate competentă, aceasta servește, de asemenea, drept punct unic de contact pentru statul membru respectiv.

    3. Fiecare stat membru desemnează una dintre autoritățile competente menționate la alineatul (1) ca punct unic de contact național în materie de securitate cibernetică („punct unic de contact”). În cazul în care un stat membru desemnează o singură autoritate competentă, aceasta servește, de asemenea, drept punct unic de contact pentru statul membru respectiv.

    Amendamentul  132

     

    Propunere de directivă

    Articolul 8 – alineatul 4

     

    Textul propus de Comisie

    Amendamentul

    4. Fiecare punct unic de contact exercită o funcție de legătură menită să asigure cooperarea transfrontalieră a autorităților din statul său membru cu autoritățile relevante din alte state membre și să asigure cooperarea transsectorială cu alte autorități naționale competente din statul său membru.

    4. Fiecare punct unic de contact exercită o funcție de legătură menită să asigure cooperarea transfrontalieră a autorităților din statul său membru cu autoritățile relevante din alte state membre, cu Comisia și cu ENISA și să asigure cooperarea transsectorială cu alte autorități naționale competente din statul său membru.

    Amendamentul  133

     

    Propunere de directivă

    Articolul 9 – alineatul 2

     

    Textul propus de Comisie

    Amendamentul

    2. Statele membre se asigură că fiecare echipă CSIRT dispune de resurse adecvate pentru a-și îndeplini efectiv sarcinile stabilite la articolul 10 alineatul (2).

    2. Statele membre se asigură că fiecare echipă CSIRT dispune de resurse adecvate și de capacitățile tehnice necesare pentru a-și îndeplini efectiv sarcinile stabilite la articolul 10 alineatul (2).

    Amendamentul  134

     

    Propunere de directivă

    Articolul 9 – alineatul 6 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    6a. Statele membre asigură posibilitatea unui schimb de informații eficace, eficient și sigur cu privire la toate nivelurile de clasificare între propriile echipe CSIRT și CSIRT din țări terțe la același nivel de clasificare.

    Amendamentul  135

     

    Propunere de directivă

    Articolul 9 – alineatul 6 b (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    6b. Fără a aduce atingere legislației Uniunii, în special Regulamentului (UE) 2016/679, CSIRT cooperează cu CSIRT sau structurilor echivalente din țările candidate la aderarea la Uniune și din alte țări terțe din Balcanii de Vest și din Parteneriatul estic și, în măsura posibilului, le oferă asistență în materie de securitate cibernetică.

    Amendamentul  136

     

    Propunere de directivă

    Articolul 9 – alineatul 7

     

    Textul propus de Comisie

    Amendamentul

    7. Statele membre comunică fără întârzieri nejustificate Comisiei echipele CSIRT desemnate în conformitate cu alineatul (1), coordonatorul CSIRT desemnat în conformitate cu articolul 6 alineatul (1) și sarcinile acestora prevăzute în legătură cu entitățile menționate în anexele I și II.

    7. Statele membre comunică fără întârzieri nejustificate Comisiei echipele CSIRT desemnate în conformitate cu alineatul (1) și coordonatorul CSIRT desemnat în conformitate cu articolul 6 alineatul (1), inclusiv sarcinile acestora prevăzute în legătură cu entitățile esențiale și importante.

    Amendamentul  137

     

    Propunere de directivă

    Articolul 10 – titlu

     

    Textul propus de Comisie

    Amendamentul

    Cerințele pe care trebuie să le respecte și sarcinile care le revin echipelor CSIRT

    Cerințele pe care trebuie să le respecte, capacitățile tehnice și sarcinile care le revin echipelor CSIRT

    Amendamentul  138

     

    Propunere de directivă

    Articolul 10 – alineatul 1 – litera c

     

    Textul propus de Comisie

    Amendamentul

    (c) echipele CSIRT dispun de un sistem adecvat de gestionare și rutare a cererilor, în special în vederea facilitării eficace și eficiente a transferurilor;

    (c) echipele CSIRT dispun de un sistem adecvat de clasificare, rutare și urmărire a cererilor, în special în vederea facilitării eficace și eficiente a transferurilor;

    Amendamentul  139

     

    Propunere de directivă

    Articolul 10 – alineatul 1 – litera ca (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (ca) echipele CSIRT dispun de coduri de conduită adecvate pentru a asigura confidențialitatea și credibilitatea operațiunilor lor;

    Amendamentul  140

     

    Propunere de directivă

    Articolul 10 – alineatul 1 – litera d

     

    Textul propus de Comisie

    Amendamentul

    (d) echipele CSIRT dispun de personal adecvat pentru a asigura o disponibilitate permanentă;

    (d) echipele CSIRT dispun de personal adecvat pentru a asigura o disponibilitate permanentă și pentru a asigura cadre de formare adecvate pentru personalul lor;

    Amendamentul  141

     

    Propunere de directivă

    Articolul 10 – alineatul 1 – litera e

     

    Textul propus de Comisie

    Amendamentul

    (e) echipele CSIRT sunt echipate cu sisteme redundante și spațiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor;

    (e) echipele CSIRT sunt echipate cu sisteme redundante și spațiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor, inclusiv conectivitatea extinsă a rețelelor, a sistemelor informatice, a serviciilor, precum și a dispozitivelor;

    Amendamentul  142

     

    Propunere de directivă

    Articolul 10 – alineatul 1 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    1a. Echipele CSIRT dezvoltă cel puțin următoarele capacități tehnice:

     

    (a) capacitatea de a efectua monitorizarea în timp real sau în timp aproape real a rețelelor și a sistemelor informatice, precum și detectarea anomaliilor;

     

    (b) capacitatea de a sprijini prevenirea și detectarea intruziunilor;

     

    (c) capacitatea de a colecta și de a efectua o analiză complexă a datelor criminalistice și ingineria inversă a amenințărilor cibernetice;

     

    (d) capacitatea de a filtra traficul nociv;

     

    (e) capacitatea de a aplica privilegii și controale solide de autentificare și acces; precum și

     

    (f) capacitatea de a analiza amenințările cibernetice.

    Amendamentul  143

     

    Propunere de directivă

    Articolul 10 – alineatul 2 – litera a

     

    Textul propus de Comisie

    Amendamentul

    (a) monitorizarea amenințărilor cibernetice, a vulnerabilităților și a incidentelor la nivel național;

    (a) monitorizarea amenințărilor cibernetice, a vulnerabilităților și a incidentelor la nivel național și obținerea de informații în timp real privind amenințările;

    Amendamentul  144

     

    Propunere de directivă

    Articolul 10 – alineatul 2 – litera b

     

    Textul propus de Comisie

    Amendamentul

    (b) asigurarea unor mecanisme de avertizare timpurii, alerte, anunțuri și diseminare de informații către entitățile esențiale și importante, precum și către alte părți interesate relevante cu privire la amenințările cibernetice, vulnerabilități și incidente;

    (b) asigurarea unor mecanisme de avertizare timpurii, alerte, anunțuri și diseminare de informații către entitățile esențiale și importante, precum și către alte părți interesate relevante cu privire la amenințările cibernetice, vulnerabilități și incidente, în timp aproape real, dacă este posibil;

    Amendamentul  145

     

    Propunere de directivă

    Articolul 10 – alineatul 2 – litera c

     

    Textul propus de Comisie

    Amendamentul

    (c) răspunsul la incidente;

    (c) răspunsul la incidente și acordarea de asistență entităților implicate;

    Amendamentul  146

     

    Propunere de directivă

    Articolul 10 – alineatul 2 – litera e

     

    Textul propus de Comisie

    Amendamentul

    (e) furnizarea, la cererea unei entități, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor;

    (e) furnizarea, la cererea unei entități sau în cazul unor amenințări grave la adresa securității naționale, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor;

    Amendamentul  147

     

    Propunere de directivă

    Articolul 10 – alineatul 2 – litera fa (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (fa) furnizarea, la cererea unei entități, a permisiunii și configurării înregistrărilor în rețea pentru a proteja datele, inclusiv datele cu caracter personal, împotriva exfiltrării neautorizate;

    Amendamentul  148

     

    Propunere de directivă

    Articolul 10 – alineatul 2 – litera fb (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (fb) contribuirea la implementarea unor instrumente securizate de schimb de informații, în temeiul articolului 9 alineatul (3);

    Amendamentul  149

     

    Propunere de directivă

    Articolul 10 – alineatul 4 – partea introductivă

     

    Textul propus de Comisie

    Amendamentul

    4. Pentru a facilita cooperarea, echipele CSIRT promovează adoptarea și utilizarea unor practici, sisteme de clasificare și taxonomii comune sau standardizate în legătură cu următoarele:

    4. Pentru a facilita cooperarea, echipele CSIRT promovează automatizarea schimbului de informații, adoptarea și utilizarea unor practici, sisteme de clasificare și taxonomii comune sau standardizate în legătură cu următoarele:

    Amendamentul  150

     

    Propunere de directivă

    Articolul 11 – alineatul 2

     

    Textul propus de Comisie

    Amendamentul

    2. Statele membre se asigură că fie autoritățile lor competente, fie echipele lor CSIRT primesc notificări privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită comunicate în temeiul prezentei directive. În cazul în care un stat membru decide ca echipele sale CSIRT să nu primească notificări, acestora li se acordă, în măsura necesară pentru a-și îndeplini atribuțiile, acces la datele privind incidentele notificate de entitățile esențiale sau importante, în temeiul articolului 20.

    2. Statele membre se asigură că echipele lor CSIRT primesc notificări privind incidentele semnificative, în temeiul articolului 20, precum și amenințările cibernetice semnificative și incidentele semnificative evitate la limită în temeiul articolului 27 prin punctul de contact unic menționat la articolul 20 alineatul (4a).

    Amendamentul  151

     

    Propunere de directivă

    Articolul 11 – alineatul 4

     

    Textul propus de Comisie

    Amendamentul

    4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv.

    4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente, punctele unice de contact, CSIRT, autoritățile de aplicare a legii, autoritățile naționale de reglementare sau alte autorități competente responsabile pentru rețelele publice de comunicații electronice sau pentru serviciile de comunicații electronice accesibile publicului în temeiul Directivei (UE) 2018/1972, autoritățile pentru protecția datelor, autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv, conform competențelor lor respective.

    __________________

    __________________

    39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute]

    39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute]

    Amendamentul  152

     

    Propunere de directivă

    Articolul 11 – alineatul 5

     

    Textul propus de Comisie

    Amendamentul

    5. Statele membre se asigură că autoritățile lor competente furnizează periodic informații autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu privire la riscurile de securitate cibernetică, amenințările cibernetice și incidentele care afectează entitățile esențiale identificate ca fiind critice sau ca entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], precum și cu privire la măsurile luate de autoritățile competente ca răspuns la aceste riscuri și incidente.

    5. Statele membre se asigură că autoritățile lor competente furnizează periodic informații, în timp util, autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu privire la riscurile de securitate cibernetică, amenințările cibernetice și incidentele care afectează entitățile esențiale identificate ca fiind critice sau ca entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], precum și cu privire la măsurile luate de autoritățile competente ca răspuns la aceste riscuri și incidente.

    Amendamentul  153

     

    Propunere de directivă

    Articolul 12 – alineatul 3 – paragraful 1

     

    Textul propus de Comisie

    Amendamentul

    Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observator. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare.

    Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Parlamentul European și Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observatori. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare.

    Amendamentul  154

     

    Propunere de directivă

    Articolul 12 – alineatul 3 – paragraful 2

     

    Textul propus de Comisie

    Amendamentul

    După caz, grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai părților interesate relevante.

    După caz, Grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai părților interesate relevante, cum ar fi Comitetul european pentru protecția datelor și reprezentanți ai industriei.

    Amendamentul  155

     

    Propunere de directivă

    Articolul 12 – alineatul 4 – litera b

     

    Textul propus de Comisie

    Amendamentul

    (b) schimbul de bune practici și de informații în legătură cu punerea în aplicare a prezentei directive, inclusiv în ceea ce privește amenințările cibernetice, incidentele, vulnerabilitățile, incidentele evitate la limită, inițiativele de sensibilizare, cursurile de formare, exercițiile și competențele, consolidarea capacităților, precum și standardele și specificațiile tehnice;

    (b) schimbul de bune practici și de informații în legătură cu punerea în aplicare a prezentei directive, inclusiv în ceea ce privește amenințările cibernetice, incidentele, vulnerabilitățile, incidentele evitate la limită, inițiativele de sensibilizare, cursurile de formare, exercițiile și competențele, consolidarea capacităților, standardele și specificațiile tehnice, precum și identificarea entităților esențiale și importante.;

    Amendamentul  156

     

    Propunere de directivă

    Articolul 12 – alineatul 4 – litera ba (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (ba) inventarierea soluțiilor naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din Uniune;

    Amendamentul  157

     

    Propunere de directivă

    Articolul 12 – alineatul 4 – litera c

     

    Textul propus de Comisie

    Amendamentul

    (c) schimbul de opinii și cooperarea cu Comisia cu privire la inițiativele emergente de politică în materie de securitate cibernetică;

    (c) schimbul de opinii și cooperarea cu Comisia cu privire la inițiativele emergente de politică în materie de securitate cibernetică, precum și coerența generală a cerințelor de securitate cibernetică specifice sectorului;

    Amendamentul  158

     

    Propunere de directivă

    Articolul 12 – alineatul 4 – litera f

     

    Textul propus de Comisie

    Amendamentul

    (f) discutarea rapoartelor privind evaluarea inter pares menționate la articolul 16 alineatul (7);

    (f) discutarea rapoartelor privind evaluarea inter pares menționate la articolul 16 alineatul (7) și extragerea de concluzii și recomandări;

    Amendamentul  159

     

    Propunere de directivă

    Articolul 12 – alineatul 4 – litera fa (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (fa) efectuarea de evaluări coordonate ale riscurilor de securitate care pot fi inițiate în temeiul articolului 19 alineatul (1), în cooperare cu Comisia și cu ENISA;

    Amendamentul  160

     

    Propunere de directivă

    Articolul 12 – alineatul 4 – litera ka (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (ka) transmiterea către Comisie, în scopul revizuirii menționate la articolul 35, a rapoartelor privind experiența obținută la nivel strategic și operațional;

    Amendamentul  161

     

    Propunere de directivă

    Articolul 12 – alineatul 4 – litera kb (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (kb) asigurarea unei evaluări anuale în cooperare cu ENISA, Europol și instituțiile naționale de aplicare a legii privind statele terțe care găzduiesc infractori ransomware;

    Amendamentul  162

     

    Propunere de directivă

    Articolul 12 – alineatul 8

     

    Textul propus de Comisie

    Amendamentul

    8. Grupul de cooperare se reunește periodic și cel puțin o dată pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] pentru a promova cooperarea strategică și schimbul de informații.

    8. Grupul de cooperare se reunește periodic și cel puțin de două ori pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] pentru a facilita cooperarea strategică și schimbul de informații.

    Amendamentul  163

     

    Propunere de directivă

    Articolul 13 – alineatul 3 – litera aa (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (aa) facilitarea schimbului și transferului de tehnologie și măsuri, politici, bune practici și cadre relevante între echipele CSIRT;

    Amendamentul  164

     

    Propunere de directivă

    Articolul 13 – alineatul 3 – litera ba (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (ba) asigurarea interoperabilității în ceea ce privește standardele privind schimbul de informații;

    Amendamentul  165

     

    Propunere de directivă

    Articolul 14 – alineatul 1

     

    Textul propus de Comisie

    Amendamentul

    1. Pentru a sprijini gestionarea coordonată, la nivel operațional, a incidentelor și a crizelor de securitate cibernetică de mare amploare și pentru a asigura schimbul periodic de informații între statele membre și instituțiile, organele și agențiile Uniunii, se înființează Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (UE - CyCLONe).

    1. Pentru a sprijini gestionarea coordonată, la nivel operațional, a incidentelor și a crizelor de securitate cibernetică de mare amploare și pentru a asigura schimbul periodic de informații relevante între statele membre și instituțiile, organele și agențiile Uniunii, se înființează Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (UE - CyCLONe).

    Amendamentul  166

     

    Propunere de directivă

    Articolul 14 – alineatul 2

     

    Textul propus de Comisie

    Amendamentul

    2. UE - CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. ENISA asigură secretariatul rețelei și sprijină schimbul securizat de informații.

    2. UE - CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. ENISA asigură secretariatul UE - CyCLONe și sprijină schimbul securizat de informații.

    Amendamentul  167

     

    Propunere de directivă

    Articolul 14 – alineatul 5

     

    Textul propus de Comisie

    Amendamentul

    5. UE-CyCLONe prezintă periodic rapoarte grupului de cooperare cu privire la amenințările, incidentele și tendințele cibernetice, concentrându-se în special pe impactul acestora asupra entităților esențiale și importante.

    5. UE-CyCLONe prezintă periodic rapoarte grupului de cooperare cu privire la incidentele și crizele de mare amploare, precum și la tendințe, concentrându-se în special pe impactul acestora asupra entităților esențiale și importante.

    Amendamentul  168

     

    Propunere de directivă

    Articolul 15 – alineatul 1 – partea introductivă

     

    Textul propus de Comisie

    Amendamentul

    1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune. Raportul include, în special, o evaluare a următoarelor elemente:

    1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune pe care îl înaintează și îl prezintă Parlamentului European. Raportul este furnizat într-un format citibil automat și include, în special, o evaluare a următoarelor elemente:

    Amendamentul  169

     

    Propunere de directivă

    Articolul 15 – alineatul 1 – litera aa (nouă)

     

    Textul propus de Comisie

    Amendamentul

     

    (aa) nivelul general de conștientizare și igienă în materie de securitate cibernetică în rândul cetățenilor și al entităților, inclusiv al IMM-urilor, precum și nivelul general de securitate al dispozitivelor conectate;

    Amendamentul  170

     

    Propunere de directivă

    Articolul 15 – alineatul 1 – litera c

     

    Textul propus de Comisie

    Amendamentul

    (c) un indice de securitate cibernetică care să prevadă o evaluare globală a nivelului de maturitate al capacităților în materie de securitate cibernetică.

    (c) un indice de securitate cibernetică care să prevadă o evaluare globală a nivelului de maturitate al capacităților în materie de securitate cibernetică în întreaga Uniune, inclusiv alinierea strategiilor naționale ale statelor membre în materie de securitate cibernetică;

    Amendamentul  171

     

    Propunere de directivă

    Articolul 15 – alineatul 2

     

    Textul propus de Comisie

    Amendamentul

    2. Raportul include recomandări de politică specifice pentru îmbunătățirea nivelului de securitate cibernetică în întreaga Uniune și un rezumat al constatărilor pentru perioada respectivă incluse în rapoartele UE privind situația tehnică în materie de securitate cibernetică ale agenției, emise de ENISA în conformitate cu articolul 7 alineatul (6) din Regulamentul (UE) 2019/881.

    2. Raportul include recomandări de politică și de identificare a obstacolelor specifice pentru îmbunătățirea nivelului de securitate cibernetică în întreaga Uniune și un rezumat al constatărilor pentru perioada respectivă incluse în rapoartele UE privind situația tehnică în materie de securitate cibernetică ale agenției, emise de ENISA în conformitate cu articolul 7 alineatul (6) din Regulamentul (UE) 2019/881.

    Amendamentul  172

     

    Propunere de directivă

    Articolul 15 – alineatul 2 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    2a. ENISA, în cooperare cu Comisia și pe baza orientărilor din partea Grupului de cooperare și a rețelei CSIRT, elaborează metodologia, inclusiv variabilele relevante ale indicelui de securitate cibernetică menționat la alineatul (1) litera (c).

    Amendamentul  173

     

    Propunere de directivă

    Articolul 16 – alineatul 1 – partea introductivă

     

    Textul propus de Comisie

    Amendamentul

    1. După consultarea grupului de cooperare și a ENISA și în termen de cel mult 18 luni de la intrarea în vigoare a prezentei directive, Comisia stabilește metodologia și conținutul unui sistem de evaluare inter pares pentru evaluarea eficacității politicilor de securitate cibernetică ale statelor membre. Evaluările sunt efectuate de experți tehnici în materie de securitate cibernetică din alte state membre decât cel care face obiectul evaluării și acoperă cel puțin următoarele elemente:

    1. După consultarea grupului de cooperare și a ENISA și în termen de cel mult ...[18 luni de la intrarea în vigoare a prezentei directive], Comisia stabilește metodologia și conținutul unui sistem de evaluare inter pares pentru evaluarea eficacității politicilor de securitate cibernetică ale statelor membre. Evaluările inter pares sunt efectuate în consultare cu ENISA de experți tehnici în materie de securitate cibernetică din cel puțin două state membre decât cel care face obiectul evaluării și acoperă cel puțin următoarele elemente:

    Amendamentul  174

     

    Propunere de directivă

    Articolul 16 – alineatul 1 – punctul iii

     

    Textul propus de Comisie

    Amendamentul

    (iii) capacitățile operaționale și eficacitatea echipelor CSIRT;

    (iii) capacitățile operaționale și eficacitatea echipelor CSIRT în executarea sarcinilor lor;

    Amendamentul  175

     

    Propunere de directivă

    Articolul 16 – alineatul 3

     

    Textul propus de Comisie

    Amendamentul

    3. Aspectele organizatorice ale evaluărilor inter pares sunt decise de Comisie, cu sprijinul ENISA, și, în urma consultării grupului de cooperare, se bazează pe criteriile definite în metodologia menționată la alineatul (1). Evaluările inter pares analizează aspectele menționate la alineatul (1) pentru toate statele membre și toate sectoarele, inclusiv anumite aspecte specifice unuia sau mai multor state membre sau unuia sau mai multor sectoare.

    3. Aspectele organizatorice ale evaluărilor inter pares sunt decise de Comisie, cu sprijinul ENISA, și, în urma consultării grupului de cooperare, se bazează pe criteriile definite în metodologia menționată la alineatul (1). Evaluările inter pares analizează aspectele menționate la alineatul (1) pentru toate statele membre și toate sectoarele, inclusiv anumite aspecte specifice unuia sau mai multor state membre sau unuia sau mai multor sectoare. Experții desemnați care efectuează evaluarea comunică aceste aspecte specifice statului membru care face obiectul evaluării inter pares, înainte de începerea acesteia.

    Amendamentul  176

     

    Propunere de directivă

    Articolul 16 – alineatul 3 a (nou)

     

    Textul propus de Comisie

    Amendamentul

     

    3a. Înainte de începerea procesului de evaluare inter pares, statul membru care face obiectul evaluării inter pares efectuează o autoevaluare a aspectelor revizuite și furnizează autoevaluarea experților desemnați.