RAPORT referitor la propunerea de Directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148
4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I
Comisia pentru industrie, cercetare și energie
Raportor: Bart Groothuis
Raportor pentru aviz (*):
Lukas Mandl, Comisia pentru libertăți civile, justiție și afaceri interne
(*) Procedura comisiilor asociate – articolul 57 din Regulamentul de procedură
- PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN
- EXPUNERE DE MOTIVE
- AVIZ AL COMISIEI PENTRU LIBERTĂȚI CIVILE, JUSTIȚIE ȘI AFACERI INTERNE
- AVIZ AL COMISIEI PENTRU AFACERI EXTERNE
- AVIZ AL COMISIEI PENTRU PIAȚA INTERNĂ ȘI PROTECȚIA CONSUMATORILOR
- AVIZ AL COMISIEI PENTRU TRANSPORT ȘI TURISM
- PROCEDURA COMISIEI COMPETENTE
- VOT FINAL PRIN APEL NOMINAL ÎN COMISIA COMPETENTĂ
PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN
referitoare la propunerea de Directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148
(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))
(Procedura legislativă ordinară: prima lectură)
Parlamentul European,
– având în vedere propunerea Comisiei prezentată Parlamentului European și Consiliului (COM(2020)0823),
– având în vedere articolul 294 alineatul (2) și articolul 114 din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie Parlamentului (C9-0422/2020),
– având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,
– având în vedere avizul Comitetului Economic și Social European din 27 aprilie 2021[1],
– după consultarea Comitetului Regiunilor,
– având în vedere articolul 59 din Regulamentul său de procedură,
– având în vedere avizul Comisiei pentru libertăți civile, justiție și afaceri interne, pe cel al Comisiei pentru afaceri externe, pe cel al Comisiei pentru piața internă și protecția consumatorilor și pe cel al Comisiei pentru transport și turism,
– având în vedere raportul Comisiei pentru industrie, cercetare și energie (A9-0313/2021),
1. adoptă poziția sa în primă lectură prezentată în continuare;
2. solicită Comisiei să îl sesizeze din nou în cazul în care își înlocuiește, își modifică în mod substanțial sau intenționează să-și modifice în mod substanțial propunerea;
3. îi încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.
Amendamentul 1
Propunere de directivă
Titlu
|
|
Textul propus de Comisie |
Amendamentul |
Propunere de |
Propunere de |
DIRECTIVĂ A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI |
DIRECTIVĂ A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI |
privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148 |
privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS), de abrogare a Directivei (UE) 2016/1148 |
Amendamentul 2
Propunere de directivă
Considerentul 1
|
|
Textul propus de Comisie |
Amendamentul |
(1) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului11 vizează consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente de securitate cibernetică, contribuind astfel la funcționarea eficace a economiei și a societății Uniunii. |
(1) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului11, cunoscută sub numele de Directiva NIS, vizează consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente de securitate cibernetică, contribuind astfel la securitatea Uniunii și la funcționarea eficace a economiei și a societății sale. |
__________________ |
__________________ |
11 Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194/1, 19.7.2016, p. 1). |
11 Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194/1, 19.7.2016, p. 1). |
Amendamentul 3
Propunere de directivă
Considerentul 3
|
|
Textul propus de Comisie |
Amendamentul |
(3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne. |
(3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne. În plus, securitatea cibernetică este un factor-cheie pentru ca multe sectoare critice să adopte cu succes transformarea digitală și să profite pe deplin de beneficiile economice, sociale și sustenabile ale digitalizării. |
Amendamentul 4
Propunere de directivă
Considerentul 3 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(3a) Incidentele și crizele de securitate cibernetică de mare amploare de la nivelul Uniunii necesită acțiuni coordonate pentru a asigura un răspuns rapid și eficace, din cauza gradului ridicat de interdependență dintre sectoare și țări. Disponibilitatea rețelelor și a sistemelor informatice reziliente din punct de vedere cibernetic, precum și disponibilitatea, confidențialitatea și integritatea datelor sunt vitale pentru securitatea Uniunii atât în interiorul, cât și în afara frontierelor sale, având în vedere că amenințările cibernetice și-ar putea avea originea în afara Uniunii. Ambiția Uniunii de a dobândi un rol geopolitic mai proeminent se bazează, de asemenea, pe apărarea și pe descurajarea cibernetice credibile, inclusiv pe capacitatea de a identifica acțiuni răuvoitoare în mod efectiv și în timp util și de a reacționa în mod adecvat. |
Amendamentul 5
Propunere de directivă
Considerentul 5
|
|
Textul propus de Comisie |
Amendamentul |
(5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă. |
(5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. În cele din urmă, aceste divergențe ar putea duce la o vulnerabilitate mai mare a unor state membre la amenințările la adresa securității cibernetice, cu potențiale efecte de propagare în întreaga Uniune. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă (Directiva NIS2). |
Amendamentul 6
Propunere de directivă
Considerentul 6
|
|
Textul propus de Comisie |
Amendamentul |
(6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14. |
(6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite prevenirea, investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14. |
__________________ |
__________________ |
14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC). |
14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC). |
Amendamentul 7
Propunere de directivă
Considerentul 7
|
|
Textul propus de Comisie |
Amendamentul |
(7) Odată cu abrogarea Directivei (UE) 2016/1148, domeniul de aplicare ar trebui extins la mai multe sectoare economice, având în vedere considerentele 4-6. Sectoarele reglementate de Directiva (UE) 2016/1148 ar trebui, prin urmare, să fie extinse pentru a oferi o acoperire cuprinzătoare a sectoarelor și a serviciilor de importanță vitală pentru activitățile societale și economice esențiale din cadrul pieței interne. Normele nu ar trebui să fie diferite în funcție de statutul entităților: operatori de servicii esențiale sau furnizori de servicii digitale. Această diferențiere s-a dovedit a fi caducă, deoarece nu reflectă importanța reală a sectoarelor sau a serviciilor pentru activitățile sociale și economice de pe piața internă. |
(7) Odată cu abrogarea Directivei (UE) 2016/1148, domeniul de aplicare ar trebui extins la mai multe sectoare economice, având în vedere considerentele 4-6. Sectoarele reglementate de Directiva (UE) 2016/1148 ar trebui, prin urmare, să fie extinse pentru a oferi o acoperire cuprinzătoare a sectoarelor și a serviciilor de importanță vitală pentru activitățile societale și economice esențiale din cadrul pieței interne. Cerințele de gestionare a riscurilor și obligațiile de informare nu ar trebui să fie diferite în funcție de statutul entităților: operatori de servicii esențiale sau furnizori de servicii digitale. Această diferențiere s-a dovedit a fi caducă, deoarece nu reflectă importanța reală a sectoarelor sau a serviciilor pentru activitățile sociale și economice de pe piața internă. |
Amendamentul 8
Propunere de directivă
Considerentul 8
|
|
Textul propus de Comisie |
Amendamentul |
(8) În conformitate cu Directiva (UE) 2016/1148, statele membre au fost responsabile de stabilirea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale („procesul de identificare”). Pentru a elimina divergențele mari dintre statele membre în această privință și pentru a asigura securitatea juridică în ceea ce privește cerințele de gestionare a riscurilor și obligațiile de raportare pentru toate entitățile relevante, ar trebui stabilit un criteriu uniform care să stabilească care sunt entitățile ce intră în domeniul de aplicare al prezentei directive. Acest criteriu ar trebui să constea în aplicarea regulii privind criteriul de dimensiune, conform căruia toate întreprinderile mijlocii și mari, astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei15, care își desfășoară activitatea în sectoarele reglementate de prezenta directivă sau furnizează tipul de servicii reglementate de aceasta intră în domeniul său de aplicare. Statele membre nu ar trebui să aibă obligația de a întocmi o listă a entităților care îndeplinesc acest criteriu general aplicabil în ceea ce privește dimensiunea. |
(8) În conformitate cu Directiva (UE) 2016/1148, statele membre au fost responsabile de stabilirea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale („procesul de identificare”). Pentru a elimina divergențele mari dintre statele membre în această privință și pentru a asigura securitatea juridică în ceea ce privește cerințele de gestionare a riscurilor și obligațiile de raportare pentru toate entitățile relevante, ar trebui stabilit un criteriu uniform care să stabilească care sunt entitățile ce intră în domeniul de aplicare al prezentei directive. Acest criteriu ar trebui să constea în aplicarea regulii privind criteriul de dimensiune, conform căruia toate întreprinderile mijlocii și mari, astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei15, care își desfășoară activitatea în sectoarele reglementate de prezenta directivă sau furnizează tipul de servicii reglementate de aceasta intră în domeniul său de aplicare. |
__________________ |
__________________ |
15 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
15 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
Amendamentul 9
Propunere de directivă
Considerentul 9
|
|
Textul propus de Comisie |
Amendamentul |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei. |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. |
Amendamentul 10
Propunere de directivă
Considerentul 9 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(9a) Statele membre ar trebui să întocmească o listă a tuturor entităților esențiale și importante. Lista respectivă ar trebui să cuprindă entitățile care îndeplinesc criteriile general aplicabile legate de dimensiune, precum și întreprinderile mici și microîntreprinderile care îndeplinesc anumite criterii care indică rolul lor esențial pentru economiile sau societățile statelor membre. Pentru ca echipele de intervenție în caz de incidente de securitate informatică (CSIRT) și autoritățile competente să ofere asistență și să avertizeze entitățile cu privire la incidentele cibernetice care le-ar putea afecta, este important ca aceste autorități să dispună de datele de contact corecte ale entităților. Prin urmare, entitățile esențiale și importante ar trebui să transmită autorităților competente cel puțin următoarele informații: denumirea entității, adresa și datele de contact actualizate, inclusiv adresele de e-mail, seriile de adrese IP, numerele de telefon, precum și sectorul(sectoarele) relevant(e) menționat(e) în anexele I și II. Entitățile ar trebui să comunice autorităților competente orice modificare a informațiilor respective. Statele membre ar trebui să se asigure, fără întârzieri nejustificate, că informațiile respective pot fi transmise cu ușurință prin intermediul unui singur punct de intrare. În acest scop, ENISA, în cooperare cu Grupul de cooperare, ar trebui să emită fără întârzieri nejustificate orientări și modele privind obligațiile de notificare. Statele membre ar trebui să comunice Comisiei și Grupului de cooperare numărul de entități esențiale și importante. De asemenea, statele membre ar trebui să comunice Comisiei, în scopul reexaminării menționate în prezenta directivă, denumirile întreprinderilor mici și ale microîntreprinderilor identificate ca fiind entități esențiale și importante, pentru a permite Comisiei să evalueze coerența abordărilor statelor membre. Informațiile respective ar trebui tratate ca fiind strict confidențiale. |
Amendamentul 11
Propunere de directivă
Considerentul 10
|
|
Textul propus de Comisie |
Amendamentul |
(10) Comisia, în cooperare cu Grupul de cooperare, poate emite orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. |
(10) Comisia, în cooperare cu Grupul de cooperare și cu părțile interesate relevante, ar trebui să emită orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. Comisia ar trebui, de asemenea, să asigure că se oferă orientări adecvate tuturor microîntreprinderilor și întreprinderilor mici care intră în domeniul de aplicare al prezentei directive. Comisia ar trebui să le ofere microîntreprinderilor și întreprinderilor mici informații în acest sens, cu sprijinul statelor membre. |
Amendamentul 12
Propunere de directivă
Considerentul 10 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(10a) Comisia ar mai trebui să formuleze orientări pentru a sprijini statele membre în punerea în aplicare corectă a dispozițiilor privind domeniul de aplicare și pentru a evalua proporționalitatea obligațiilor prevăzute de prezenta directivă, îndeosebi atunci când privește entități cu modele de afaceri sau medii de funcționare complexe, în baza cărora o entitate poate îndeplini simultan criteriile atribuite atât entităților esențiale, cât și celor importante, sau poate desfășura simultan unele activități care se încadrează în domeniul de aplicare al prezentei directive și altele care nu se încadrează. |
Amendamentul 13
Propunere de directivă
Considerentul 12
|
|
Textul propus de Comisie |
Amendamentul |
(12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente ori amenințări cibernetice semnificative cu un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia poate emite orientări cu privire la punerea în aplicare a lex specialis. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei. |
(12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. Actele legislative sectoriale ale Uniunii care impun ca entitățile esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să informeze cu privire la incidentele semnificative ar trebui să fie, pe cât posibil, în concordanță cu terminologia și să facă trimitere la definițiile prevăzute în prezenta directivă. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente, și în cazul în care aceste cerințe au un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă și se aplică pentru totalitatea aspectelor de securitate ale operațiunilor și serviciilor prestate de entitățile esențiale sau importante, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia ar trebui să emită orientări cuprinzătoare cu privire la punerea în aplicare a lex specialis, ținând seama de avizele relevante, de cunoștințele de specialitate și de bunele practici ale ENISA și ale Grupului de cooperare. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor și care iau în considerare în mod corespunzător necesitatea existenței unui cadru cuprinzător și coerent în materie de securitate cibernetică. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei. |
Amendamentul 14
Propunere de directivă
Considerentul 14
|
|
Textul propus de Comisie |
Amendamentul |
(14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritatea competentă în temeiul prezentei directive și cea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații în acest scop. |
(14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritățile competente ale statelor membre și între cele din statele membre, în temeiul prezentei directive și autoritatea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații fără întârzieri nejustificate, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații, pe cât posibil în timp real, în acest scop. |
__________________ |
__________________ |
17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 15
Propunere de directivă
Considerentul 15
|
|
Textul propus de Comisie |
Amendamentul |
(15) Respectarea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) este un factor-cheie pentru menținerea integrității internetului, esențial pentru funcționarea sa continuă și stabilă, de care depind economia digitală și societatea. Prin urmare, prezenta directivă ar trebui să se aplice tuturor furnizorilor de servicii DNS de-a lungul lanțului de rezoluție a DNS, inclusiv operatorilor de servere pentru numele primare, de servere cu nume de domeniu de prim nivel (TLD), de servere cu nume de utilizator autorizat pentru nume de domenii și de rezolvere recursive. |
(15) Respectarea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) este un factor-cheie pentru menținerea integrității internetului, esențial pentru funcționarea sa continuă și stabilă, de care depind economia digitală și societatea. Prin urmare, prezenta directivă ar trebui să se aplice serverelor cu nume de domeniu de prim nivel (TLD), serviciilor de rezoluție a numelor de domenii recursive disponibile publicului pentru utilizatorii finali de internet, precum și serviciilor cu autoritate de rezoluție a numelor de domenii. Prezenta directivă nu se aplică serverelor pentru numele primare. |
Amendamentul 16
Propunere de directivă
Considerentul 19
|
|
Textul propus de Comisie |
Amendamentul |
(19) Furnizorii de servicii poștale în sensul Directivei 97/67/CE a Parlamentului European și a Consiliului18, precum și furnizorii de servicii de curierat și curierat rapid ar trebui să facă obiectul prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special ridicarea, sortarea sau distribuția, inclusiv serviciile de preluare. Serviciile de transport care nu sunt efectuate împreună cu una dintre aceste etape nu ar trebui să intre în domeniul de aplicare al serviciilor poștale. |
(19) Furnizorii de servicii poștale în sensul Directivei 97/67/CE a Parlamentului European și a Consiliului18, precum și furnizorii de servicii de curierat și curierat rapid ar trebui să facă obiectul prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special ridicarea, sortarea sau distribuția, inclusiv serviciile de preluare, ținând seama totodată de gradul lor de dependență de rețele și de sistemele informatice. Serviciile de transport care nu sunt efectuate împreună cu una dintre aceste etape nu ar trebui să intre în domeniul de aplicare al serviciilor poștale. |
__________________ |
__________________ |
18 Directiva 97/67/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind normele comune pentru dezvoltarea pieței interne a serviciilor poștale ale Comunității și îmbunătățirea calității serviciului (JO L 15, 21.1.1998, p. 14). |
18 Directiva 97/67/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind normele comune pentru dezvoltarea pieței interne a serviciilor poștale ale Comunității și îmbunătățirea calității serviciului (JO L 15, 21.1.1998, p. 14). |
Amendamentul 17
Propunere de directivă
Considerentul 20
|
|
Textul propus de Comisie |
Amendamentul |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Intensificarea atacurilor împotriva sistemelor informatice în timpul pandemiei de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. |
Amendamentul 18
Propunere de directivă
Considerentul 24
|
|
Textul propus de Comisie |
Amendamentul |
(24) Statele membre ar trebui să fie echipate în mod adecvat, din punct de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse rețelele și sistemele informatice. Prin urmare, statele membre ar trebui să se asigure că dețin CSIRT care funcționează corespunzător, cunoscute și drept echipe de intervenție în caz de urgență informatică („CERT”), care respectă cerințele esențiale pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. În vederea consolidării relației de încredere dintre entități și CSIRT, în cazurile în care o echipă CSIRT face parte din autoritatea competentă, statele membre ar trebui să aibă în vedere separarea funcțională între sarcinile operaționale furnizate de CSIRT, în special în ceea ce privește schimbul de informații și sprijinul acordat entităților, și activitățile de supraveghere ale autorităților competente. |
(24) Statele membre ar trebui să fie echipate în mod adecvat, din punct de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse rețelele și sistemele informatice. Prin urmare, statele membre ar trebui să desemneze unul sau mai multe CSIRT conform prezentei directive și să se asigure că acestea funcționează corespunzător, respectând cerințele esențiale pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. Statele membre pot să desemneze în calitate de CSIRT echipe existente de intervenție în caz de urgență informatică („CERT”). În vederea consolidării relației de încredere dintre entități și CSIRT, în cazurile în care o echipă CSIRT face parte din autoritatea competentă, statele membre ar trebui să aibă în vedere separarea funcțională între sarcinile operaționale furnizate de CSIRT, în special în ceea ce privește schimbul de informații și sprijinul acordat entităților, și activitățile de supraveghere ale autorităților competente. |
Amendamentul 19
Propunere de directivă
Considerentul 25
|
|
Textul propus de Comisie |
Amendamentul |
(25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale. |
(25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive sau în cazul unei amenințări grave la adresa securității naționale, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale. |
__________________ |
__________________ |
19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
Amendamentul 20
Propunere de directivă
Considerentul 25 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(25a) CSIRT ar trebui să aibă capacitatea, la cererea unei entități, de a descoperi, a gestiona și a supraveghea fără întrerupere toate resursele conectate la internet, atât la locurile de muncă, cât și în exteriorul acestora, pentru a înțelege riscul organizațional general al acestora pentru compromisurile sau vulnerabilitățile critice nou-descoperite din lanțul de aprovizionare. Este important să se știe dacă o entitate exploatează o interfață de gestionare privilegiată, pentru că acest lucru influențează rapiditate măsurilor de atenuare. |
Amendamentul 21
Propunere de directivă
Considerentul 26
|
|
Textul propus de Comisie |
Amendamentul |
(26) Având în vedere importanța cooperării internaționale în privința securității cibernetice, CSIRT ar trebui să aibă posibilitatea să participe la rețele de cooperare internațională, în plus față de rețeaua CSIRT instituită prin prezenta directivă. |
(26) Având în vedere importanța cooperării internaționale în privința securității cibernetice, CSIRT ar trebui să aibă posibilitatea să participe la rețele de cooperare internațională, inclusiv cu CSIRT din țări terțe în care schimburile de informații sunt reciproce și benefice pentru securitatea cetățenilor și a entităților, în plus față de rețeaua CSIRT instituită prin prezenta directivă, pentru a contribui la elaborarea de standarde ale Uniunii care pot modela peisajul securității cibernetice la nivel internațional. Statele membre ar putea, de asemenea, să analizeze posibilitatea intensificării cooperării cu țările partenere care împărtășesc aceeași viziune și cu organizațiile internaționale, cu scopul de a ajunge la încheierea de acorduri multilaterale privind normele cibernetice, un comportament responsabil al statelor și al actorilor nestatali în spațiul cibernetic și o administrare digitală eficace la nivel mondial, precum și de a crea un spațiu cibernetic deschis, liber, stabil și securizat, bazat pe dreptul internațional. |
Amendamentul 22
Propunere de directivă
Considerentul 26 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26a) Politicile de igienă cibernetică asigură baza pentru protecția infrastructurilor de rețele și sisteme informatice, pentru securitatea hardware, software și a aplicațiilor online, precum și pentru protecția datelor întreprinderilor sau a utilizatorilor finali pe care se bazează entitățile. Politicile de igienă cibernetică care cuprind un set de practici de referință comun, inclusiv, dar fără a se limita la actualizări software și hardware, modificări ale parolelor, gestionarea noilor instalări, limitarea conturilor cu acces la nivel de administrator și copierea de rezervă a datelor, permit un cadru proactiv de pregătire și de siguranță și securitate generale în caz de incidente sau amenințări. ENISA ar trebui să monitorizeze și să evalueze politicile de igienă cibernetică ale statelor membre și să analizeze sisteme la nivelul UE pentru a permite verificările transfrontaliere, care să asigure echivalența independent de cerințele statelor membre. |
Amendamentul 23
Propunere de directivă
Considerentul 26 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26b) Utilizarea inteligenței artificiale (IA) în securitatea cibernetică poate îmbunătăți detectarea și stoparea atacurilor împotriva rețelelor și a sistemelor informatice, permițând reorientarea resurselor către combaterea atacurilor mai sofisticate. Prin urmare, statele membre ar trebui să încurajeze în strategiile lor naționale utilizarea instrumentelor automatizate în securitatea cibernetică și partajarea de date necesare pentru a antrena și a îmbunătăți instrumentele automatizate în securitatea cibernetică. Pentru a atenua riscurile de ingerință nejustificată în drepturile și libertățile persoanelor fizice pe care le-ar putea prezenta sistemele bazate pe IA, se aplică cerințele privind protecția datelor începând cu momentul conceperii și în mod implicit prevăzute la articolul 25 din Regulamentul (UE) 2016/679. Integrarea unor garanții adecvate, cum ar fi pseudonimizarea, criptarea, acuratețea datelor și reducerea la minimum a datelor, ar putea, de asemenea, atenua astfel de riscuri. |
Amendamentul 24
Propunere de directivă
Considerentul 26 c (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26c) Instrumentele și aplicațiile de securitate cibernetică cu sursă deschisă pot contribui la un grad mai ridicat de transparență și pot avea un impact pozitiv asupra eficienței inovării industriale. Standardele deschise înlesnesc interoperabilitatea dintre instrumentele de securitate, aducând beneficii securității părților interesate din industrie. Instrumentele și aplicațiile de securitate cibernetică cu sursă deschisă pot stimula comunitatea mai largă a dezvoltatorilor, permițând entităților să urmărească diversificarea furnizorilor și strategii de securitate deschise. Securitatea deschisă poate conduce la un proces mai transparent de verificare a instrumentelor legate de securitatea cibernetică și la un proces bazat pe comunitate de descoperire a vulnerabilităților. Prin urmare, statele membre ar trebui să promoveze adoptarea de software cu sursă deschisă și de standarde deschise prin aplicarea de politici privind utilizarea datelor deschise și a surselor deschise ca parte a securității prin transparență. Politicile care promovează adoptarea și utilizarea sustenabilă a instrumentelor de securitate cibernetică cu sursă deschisă sunt deosebit de importante pentru întreprinderile mici și mijlocii (IMM-uri) care se confruntă cu costuri semnificative pentru punerea în aplicare, care ar putea fi reduse prin reducerea nevoii de aplicații sau instrumente specifice. |
Amendamentul 25
Propunere de directivă
Considerentul 26 d (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26d) Parteneriatele public-privat (PPP) în domeniul securității cibernetice pot să asigure cadrul adecvat pentru schimbul de cunoștințe, de bune practici și pentru stabilirea unui nivel comun de înțelegere între toate părțile interesate. Statele membre ar trebui să adopte politici care stau la baza instituirii PPP specifice securității cibernetice, ca parte a strategiilor lor naționale de securitate cibernetică. Aceste politici ar trebui să clarifice, printre altele, domeniul de aplicare și părțile interesate implicate, modelul de administrare, opțiunile de finanțare disponibile, precum și interacțiunea dintre părțile interesate participante. PPP pot valorifica cunoștințele specializate ale entităților din sectorul privat pentru a sprijini autoritățile competente ale statelor membre la dezvoltarea unor servicii și procese de ultimă generație, inclusiv, dar fără a se limita la schimbul de informații, alertele timpurii, exercițiile de amenințări și incidente cibernetice, gestionarea crizelor și planificarea rezilienței. |
Amendamentul 26
Propunere de directivă
Considerentul 27
|
|
Textul propus de Comisie |
Amendamentul |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne sau să prezinte riscuri grave pentru securitatea și siguranța publică, pentru entități sau cetățeni, în mai multe state membre sau în Uniune în ansamblul său. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. |
__________________ |
__________________ |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
Amendamentul 27
Propunere de directivă
Considerentul 27 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(27a) În strategiile lor naționale în materie de securitate cibernetică, statele membre ar trebui să abordeze nevoile specifice în materie de securitate cibernetică ale IMM-urilor. La nivelul Uniunii, IMM-urile reprezintă un procentaj ridicat din piața industrială și de afaceri și adesea se zbat să se adapteze la noile practici comerciale într-o lume mai conectată, navigând în mediul digital, în care angajații lucrează de acasă, iar activitățile de afaceri se desfășoară tot mai mult online. Unele IMM-uri se confruntă cu încercări specifice în materie de securitate cibernetică, cum ar fi nivelul scăzut de sensibilizare în domeniul cibernetic, lipsa securității informatice la distanță, costul ridicat al soluțiilor de securitate cibernetică și un nivel crescut de amenințare, cum ar fi programele de tip ransomware, pentru care ele ar trebui să primească îndrumări și sprijin. Statele membre ar trebui să aibă un punct de contact unic în materie de securitate cibernetică pentru IMM-uri, care fie să ofere îndrumări și sprijin IMM-urilor, fie să le îndrume către organele corespunzătoare pertinente pentru îndrumări și sprijin cu privire la aspecte legate de securitatea cibernetică. Statele membre sunt încurajate să ofere, de asemenea, servicii precum configurarea de site-uri web și înlesnirea jurnalizării întreprinderilor mici și microîntreprinderilor care nu dispun de aceste capacități. |
Amendamentul 28
Propunere de directivă
Considerentul 27 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(27b) Statele membre ar trebui să adopte politici privind promovarea unei apărări cibernetice active ca parte a strategiilor lor naționale de securitate cibernetică. Apărarea cibernetică activă este prevenirea, detectarea, monitorizarea, analizarea și atenuarea proactive ale încălcărilor securității rețelei, combinată cu utilizarea capabilităților desfășurate în cadrul și în afara rețelei afectate. Capacitatea de a partaja și a înțelege rapid și automat informații și analize privind amenințările, alertele privind activitățile cibernetice și acțiunile de răspuns este esențială pentru a permite unitatea eforturilor în detectarea, prevenirea și contracararea cu succes a atacurilor împotriva rețelelor și sistemelor informatice. Apărarea cibernetică activă se bazează pe o strategie defensivă care exclude măsurile ofensive împotriva infrastructurii civile critice. |
Amendamentul 29
Propunere de directivă
Considerentul 28
|
|
Textul propus de Comisie |
Amendamentul |
(28) Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative, identificarea și remedierea rapidă a acestor vulnerabilități reprezintă un factor important în reducerea riscului de securitate cibernetică. Entitățile care dezvoltă astfel de sisteme ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și raportate (divulgate) de părți terțe (entități raportoare), producătorul ori furnizorul de produse sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29417 oferă orientări privind gestionarea vulnerabilităților și, respectiv, divulgarea vulnerabilităților. În ceea ce privește divulgarea vulnerabilităților, coordonarea dintre entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC este deosebit de importantă. Divulgarea coordonată a vulnerabilităților presupune un proces structurat prin care vulnerabilitățile sunt raportate organizațiilor într-un mod care să permită organizației să diagnosticheze și să remedieze vulnerabilitățile înainte ca informațiile detaliate privind vulnerabilitățile să fie divulgate terților sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre entitatea raportoare și organizație în ceea ce privește calendarul de remediere și publicare a vulnerabilităților. |
(28) Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative, identificarea și remedierea rapidă a acestor vulnerabilități reprezintă un factor important în reducerea riscului de securitate cibernetică. Entitățile care dezvoltă astfel de sisteme ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și raportate (divulgate) de părți terțe (entități raportoare), producătorul ori furnizorul de produse sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29417 oferă orientări privind gestionarea vulnerabilităților și, respectiv, divulgarea vulnerabilităților. Întărirea coordonării dintre entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC este deosebit de importantă. Divulgarea coordonată a vulnerabilităților presupune un proces structurat prin care vulnerabilitățile sunt raportate organizațiilor într-un mod care să permită organizației să diagnosticheze și să remedieze vulnerabilitățile înainte ca informațiile detaliate privind vulnerabilitățile să fie divulgate terților sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre entitatea raportoare și organizație în ceea ce privește calendarul de remediere și publicare a vulnerabilităților. |
Amendamentul 30
Propunere de directivă
Considerentul 28 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(28a) Comisia, ENISA și statele membre ar trebui să continue să încurajeze alinierea internațională la standardele și la bunele practici existente din sector în domeniul gestionării riscurilor, de exemplu în domeniul evaluărilor securității lanțului de aprovizionare, al schimbului de informații și al divulgării vulnerabilităților. |
Amendamentul 31
Propunere de directivă
Considerentul 29
|
|
Textul propus de Comisie |
Amendamentul |
(29) Prin urmare, statele membre ar trebui să ia măsuri pentru a facilita divulgarea coordonată a vulnerabilităților prin stabilirea unei politici naționale relevante. În acest sens, statele membre ar trebui să desemneze o echipă CSIRT care să preia rolul de „coordonator”, acționând ca intermediar între entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC, dacă este necesar. Sarcinile coordonatorului CSIRT ar trebui să includă, în special, identificarea și contactarea entităților vizate, sprijinirea entităților raportoare, negocierea calendarelor de divulgare și gestionarea vulnerabilităților care afectează mai multe organizații (divulgarea vulnerabilităților mai multor părți). Atunci când vulnerabilitățile afectează mai mulți producători ori furnizori de produse sau servicii TIC stabiliți în mai multe state membre, CSIRT desemnate din fiecare dintre statele membre afectate ar trebui să coopereze în cadrul rețelei CSIRT. |
(29) Prin urmare, statele membre, în cooperare cu ENISA, ar trebui să ia măsuri pentru a facilita divulgarea coordonată a vulnerabilităților prin stabilirea unei politici naționale relevante. În cadrul acestei politici naționale, statele membre ar trebui să abordeze problemele întâmpinate de cercetătorii vulnerabili. Entitățile și persoanele fizice care cercetează vulnerabilitățile pot fi expuse, în unele state membre, răspunderii penale și civile. Prin urmare, statele membre sunt încurajate să emită orientări în ceea ce privește neurmărirea penală a cercetării în domeniul securității informațiilor și exonerarea de răspundere civilă pentru aceste activități. |
Amendamentul 32
Propunere de directivă
Considerentul 29 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(29a) Statele membre ar trebui să desemneze o echipă CSIRT care să preia rolul de „coordonator”, acționând, dacă este necesar, ca intermediar între entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC, care ar putea fi afectați de vulnerabilitate. Sarcinile coordonatorului CSIRT ar trebui să includă, în special, identificarea și contactarea entităților vizate, sprijinirea entităților raportoare, negocierea calendarelor de divulgare și gestionarea vulnerabilităților care afectează mai multe organizații (divulgarea vulnerabilităților mai multor părți). Atunci când vulnerabilitățile afectează mai mulți producători ori furnizori de produse sau servicii TIC stabiliți în mai multe state membre, CSIRT desemnate din fiecare dintre statele membre afectate ar trebui să coopereze în cadrul rețelei CSIRT. |
Amendamentul 33
Propunere de directivă
Considerentul 30
|
|
Textul propus de Comisie |
Amendamentul |
(30) Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. În această privință, sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important atât pentru entități și utilizatorii acestora, cât și pentru autoritățile naționale competente și CSIRT. Din acest motiv, ENISA ar trebui să creeze un registru al vulnerabilităților în care entitățile esențiale și importante și furnizorii acestora, precum și entitățile care nu intră în domeniul de aplicare al prezentei directive pot, în mod voluntar, să divulge vulnerabilitățile și să furnizeze informații privind vulnerabilitățile, astfel încât utilizatorii să ia măsuri de atenuare adecvate. |
(30) Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. Sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important atât pentru entități și utilizatorii acestora, cât și pentru autoritățile naționale competente și CSIRT. Din acest motiv, ENISA ar trebui să creeze o bază de date a vulnerabilităților în care entitățile esențiale și importante și furnizorii acestora, precum și entitățile care nu intră în domeniul de aplicare al prezentei directive pot, în mod voluntar, să divulge vulnerabilitățile și să furnizeze informații privind vulnerabilitățile, astfel încât utilizatorii să ia măsuri de atenuare adecvate. Scopul acestei baze de date este de a face față încercărilor unice pe care le prezintă riscurile de securitate cibernetică pentru entitățile europene. În plus, ENISA ar trebui să stabilească o procedură responsabilă în ceea ce privește procesul de publicare, pentru a acorda entităților timpul necesar pentru a lua măsuri de atenuare a vulnerabilităților lor și pentru a utiliza măsuri de securitate cibernetică de ultimă generație, precum și seturi de date care pot fi citite automat și interfețele corespunzătoare (API). Pentru a încuraja o cultură a divulgării incidentelor, divulgarea nu ar trebui să afecteze entitatea raportoare. |
Amendamentul 34
Propunere de directivă
Considerentul 31
|
|
Textul propus de Comisie |
Amendamentul |
(31) Deși există registre ale vulnerabilităților sau baze de date similare, acestea sunt găzduite și întreținute de entități care nu sunt stabilite în Uniune. Un registru european al vulnerabilităților gestionat de ENISA ar oferi o mai mare transparență în ceea ce privește procesul de publicare înainte de dezvăluirea oficială a vulnerabilității, precum și reziliența în caz de perturbări sau întreruperi ale furnizării de servicii similare. Pentru a evita dublarea eforturilor și a căuta complementaritatea în măsura posibilului, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu registre similare în jurisdicții din țări terțe. |
(31) Baza de date europeană a vulnerabilităților gestionată de ENISA ar trebui să mobilizeze registrul comun al vulnerabilităților și expunerilor (CVE), prin utilizarea cadrului său de identificare, urmărire și notare a vulnerabilităților. În plus, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu alte registre sau baze de date similare din jurisdicții din țări terțe, pentru a evita duplicarea eforturilor și pentru a urmări complementaritatea. |
Amendamentul 35
Propunere de directivă
Considerentul 33
|
|
Textul propus de Comisie |
Amendamentul |
(33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent, să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice care să fie abordate printr-o mai bună punere în aplicare a normelor existente. |
(33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent: să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice, în special pentru a facilita alinierea transpunerii prezentei directive între statele membre, care să fie abordate printr-o mai bună punere în aplicare a normelor existente. Grupul de cooperare ar trebui, de asemenea, să inventarieze soluțiile naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din întreaga Europă. Acest lucru este deosebit de relevant pentru sectoarele care au un caracter internațional și transfrontalier. |
Amendamentul 36
Propunere de directivă
Considerentul 34
|
|
Textul propus de Comisie |
Amendamentul |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii implicate în politica de securitate cibernetică, cum ar fi Centrul european de combatere a criminalității informatice (EC3), Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA). |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii relevante implicate în politica de securitate cibernetică, cum ar fi Europol, Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA). |
Amendamentul 37
Propunere de directivă
Considerentul 35
|
|
Textul propus de Comisie |
Amendamentul |
(35) Autoritățile competente și CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb pentru funcționari din alte state membre în vederea îmbunătățirii cooperării. Autoritățile competente ar trebui să ia măsurile necesare ca funcționari din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă. |
(35) Autoritățile competente și CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb pentru funcționari din alte state membre, pe baza unor norme și mecanisme structurate care stau la baza domeniului de aplicare și, după caz, a autorizării de securitate necesare a funcționarilor care participă la aceste programe de schimburi, în vederea îmbunătățirii cooperării și întăririi încrederii dintre statele membre. Autoritățile competente ar trebui să ia măsurile necesare ca funcționari din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă sau ale CSIRT. |
Amendamentul 38
Propunere de directivă
Considerentul 36
|
|
Textul propus de Comisie |
Amendamentul |
(36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri ar trebui să asigure o protecție adecvată a datelor. |
(36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri ar trebui să asigure interesele Uniunii și o protecție adecvată a datelor. Acest lucru nu exclude dreptul statelor membre de a coopera cu țări terțe care împărtășesc aceeași viziune despre gestionarea vulnerabilităților și a riscurilor în materie de securitate cibernetică, înlesnind informarea și schimbul de informații în general în concordanță cu dreptul Uniunii. |
Amendamentul 39
Propunere de directivă
Considerentul 38
|
|
Textul propus de Comisie |
Amendamentul |
(38) În sensul prezentei directive, termenul „risc” ar trebui să se refere la potențialele pierderi sau perturbări cauzate de un incident de securitate cibernetică și ar trebui exprimat ca o combinație între amploarea unei astfel de pierderi sau perturbări și probabilitatea producerii incidentului respectiv. |
eliminat |
Amendamentul 40
Propunere de directivă
Considerentul 39
|
|
Textul propus de Comisie |
Amendamentul |
(39) În sensul prezentei directive, termenul „incident evitat la limită” ar trebui să se refere la un eveniment care ar fi putut cauza prejudicii, dar care a cărui desfășurare până la capăt a fost împiedicată cu succes. |
eliminat |
Amendamentul 41
Propunere de directivă
Considerentul 40
|
|
Textul propus de Comisie |
Amendamentul |
(40) Măsurile de gestionare a riscurilor ar trebui să includă măsurile de identificare a oricăror riscuri de incidente, de prevenire, detectare și administrare a incidentelor și de diminuare a impactului acestora. Securitatea rețelelor și a sistemelor informatice ar trebui să cuprindă securitatea datelor stocate, transmise și prelucrate. |
(40) Măsurile de gestionare a riscurilor ar trebui să includă măsurile de identificare a oricăror riscuri de incidente, de prevenire, detectare, de răspuns la incidente și de redresare în urma acestora, precum și de diminuare a impactului acestora. Securitatea rețelelor și a sistemelor informatice ar trebui să cuprindă securitatea datelor stocate, transmise și prelucrate. Aceste sisteme ar trebui să asigure o analiză sistemică, care să facă o defalcare a diverselor procese și a interacțiunilor dintre subsisteme, ținând seama de factorul uman, cu scopul de a obține o imagine completă a securității sistemului informatic. |
Amendamentul 42
Propunere de directivă
Considerentul 41
|
|
Textul propus de Comisie |
Amendamentul |
(41) Pentru a se evita impunerea unei sarcini financiare și administrative disproporționate asupra entităților esențiale și importante, cerințele de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie proporționale cu riscurile la care sunt expuse rețeaua și sistemul informatic în cauză, ținându-se seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri. |
(41) Pentru a se evita impunerea unei sarcini financiare și administrative disproporționate asupra entităților esențiale și importante, cerințele de gestionare a riscurilor în materie de securitate cibernetică ar trebui să fie proporționale cu riscurile la care sunt expuse rețeaua și sistemul informatic în cauză, ținându-se seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri și standarde europene sau internaționale, cum ar fi ISO31000 și ISA/IEC 27005. |
Amendamentul 43
Propunere de directivă
Considerentul 43
|
|
Textul propus de Comisie |
Amendamentul |
(43) Abordarea riscurilor în materie de securitate cibernetică care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au căzut victime atacurilor cibernetice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile părții terțe. Prin urmare, entitățile ar trebui să evalueze și să țină seama de calitatea generală a produselor și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure. |
(43) Abordarea riscurilor în materie de securitate cibernetică care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi, cum ar fi furnizorii de servicii de stocare și de prelucrare de date sau de servicii de securitate administrate este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au căzut victime atacurilor împotriva rețelelor și a sistemelor informatice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile părții terțe. Prin urmare, entitățile ar trebui să evalueze și să țină seama de calitatea generală și de reziliența produselor și a serviciilor, de măsurile în materie de securitate cibernetică integrate în acestea, precum și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure. Entitățile ar trebui, în special, să fie încurajate să includă măsuri de securitate cibernetică în acordurile contractuale cu furnizorii lor de prim nivel și cu prestatorii lor de servicii de prim nivel. Entitățile ar putea lua în considerare riscurile în materie de securitate cibernetică generate de alte niveluri de furnizori și prestatori de servicii. |
Amendamentul 44
Propunere de directivă
Considerentul 44
|
|
Textul propus de Comisie |
Amendamentul |
(44) În rândul furnizorilor de servicii, furnizorii de servicii de securitate administrați (managed security services providers – MSSP) în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a detecta și de a reacționa la incidente. Totuși, și aceste MSSP-uri au fost ținte ale atacurilor cibernetice și, prin integrarea lor strânsă în operațiunile operatorilor, prezintă un risc deosebit în materie de securitate cibernetică. Prin urmare, entitățile ar trebui să dea dovadă de o diligență sporită în selectarea unui MSSP. |
(44) În rândul furnizorilor de servicii, furnizorii de servicii de securitate administrați (managed security services providers – MSSP) în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a preveni, de a detecta, de a reacționa la incidente și de a se redresa după acestea. Totuși, și aceste MSSP-uri au fost ținte ale atacurilor cibernetice și, prin integrarea lor strânsă în operațiunile operatorilor, prezintă un risc deosebit în materie de securitate cibernetică. Prin urmare, entitățile ar trebui să dea dovadă de o diligență sporită în selectarea unui MSSP. |
Amendamentul 45
Propunere de directivă
Considerentul 45
|
|
Textul propus de Comisie |
Amendamentul |
(45) Entitățile ar trebui, de asemenea, să abordeze riscurile de securitate cibernetică care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg. În special, entitățile ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile ar trebui să ia toate măsurile care se impun în materie de securitate cibernetică. |
(45) Entitățile ar trebui, de asemenea, să abordeze riscurile de securitate cibernetică care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg, inclusiv pentru a combate spionajul industrial și a proteja secretele comerciale. În special, entitățile ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile ar trebui să ia toate măsurile care se impun în materie de securitate cibernetică. |
Amendamentul 46
Propunere de directivă
Considerentul 45 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(45a) Entitățile ar trebui să adopte o gamă largă de practici de igienă informatică de bază, cum ar fi arhitectura zero-trust, actualizări ale software-ului, configurarea dispozitivelor, segmentarea rețelelor, gestionarea identității și a accesului sau sensibilizarea utilizatorilor, și să organizeze cursuri pentru personalul lor cu privire la amenințările cibernetice transmise prin adrese de e-mail organizaționale, phishing sau tehnici de inginerie socială. În plus, entitățile ar trebui să își evalueze propriile capacități în materie de securitate cibernetică și, atunci când este cazul, să urmărească integrarea tehnologiilor de îmbunătățire a securității cibernetice bazate pe sisteme de inteligență artificială sau pe sisteme de învățare automată pentru a-și automatiza capacitățile și protecția arhitecturilor de rețea. |
Amendamentul 47
Propunere de directivă
Considerentul 46
|
|
Textul propus de Comisie |
Amendamentul |
(46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări sectoriale coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC critice, amenințările și vulnerabilitățile relevante. |
(46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC și SCI critice, amenințările și vulnerabilitățile relevante. Astfel de evaluări ale riscurilor ar trebui să identifice măsurile, planurile de atenuare și cele mai bune practici împotriva dependențelor critice, a potențialelor puncte unice de defecțiune, a amenințărilor, a vulnerabilităților și a altor riscuri asociate lanțului de aprovizionare și ar trebui să exploreze modalități de a încuraja adoptarea lor pe scară mai largă de către entități. Printre factorii de risc potențiali fără caracter tehnic, cum ar fi influența nejustificată a unei țări terțe asupra furnizorilor și prestatorilor de servicii, în special în cazul modelelor alternative de guvernare, se numără vulnerabilitățile ascunse sau „ușile secrete” și eventualele întreruperi sistemice ale aprovizionării, în special în cazul blocajelor tehnologice sau al dependenței furnizorilor. |
__________________ |
__________________ |
21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42). |
21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42). |
Amendamentul 48
Propunere de directivă
Considerentul 47
|
|
Textul propus de Comisie |
Amendamentul |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC, pe întreaga durată a ciclului lor de viață, împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. În plus, ar trebui să se pună un accent deosebit pe serviciile, sistemele sau produsele TIC care fac obiectul unor cerințe specifice impuse de țări terțe. |
Amendamentul 49
Propunere de directivă
Considerentul 47 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(47a) Grupul părților interesate pentru certificarea securității cibernetice, instituit în temeiul articolului 22 din Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului1a, ar trebui să emită un aviz privind evaluările riscurilor de securitate ale lanțurilor de aprovizionare cu servicii, sisteme sau produse TIC și SCI critice specifice. Grupul de cooperare și ENISA ar trebui să țină seama de avizul respectiv. |
|
__________________ |
|
1a Regulamentul (UE) nr. 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15). |
Amendamentul 50
Propunere de directivă
Considerentul 50
|
|
Textul propus de Comisie |
Amendamentul |
(50) Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, este necesar să se asigure că aceste servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Furnizorii unor astfel de servicii ar trebui, prin urmare, să asigure și un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului. |
(50) Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, este necesar să se asigure că aceste servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Furnizorii unor astfel de servicii ar trebui, prin urmare, să asigure și un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc pentru securitatea rețelelor aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului. Totuși, pe măsură ce suprafața de atac continuă să se extindă, serviciile de comunicații interpersonale care nu se bazează pe numere, inclusiv mesageriile platformelor de comunicare socială, dar nu numai, devin vectori de atac obișnuiți. Actorii răuvoitori utilizează platformele pentru a comunica și a atrage victimele să deschidă pagini web compromise, crescând așadar probabilitatea unor incidente care implică exploatarea datelor cu caracter personal și, prin extensie, securitatea sistemelor informatice. |
Amendamentul 51
Propunere de directivă
Considerentul 51
|
|
Textul propus de Comisie |
Amendamentul |
(51) Piața internă depinde mai mult decât oricând de funcționarea internetului. Aproape toate serviciile entităților esențiale și importante depind de serviciile furnizate pe internet. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și importante, este important ca rețelele publice de comunicații electronice, cum ar fi, de exemplu, magistralele de internet sau cablurile de comunicații submarine, să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele legate de aceasta. |
(51) Piața internă depinde mai mult decât oricând de funcționarea internetului. Aproape toate serviciile entităților esențiale și importante depind de serviciile furnizate pe internet. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și importante, este important ca toate rețelele publice de comunicații electronice, cum ar fi, de exemplu, magistralele de internet sau cablurile de comunicații submarine, să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele semnificative legate de aceasta. Statele membre ar trebui să se asigure că integritatea și disponibilitatea acestor rețele publice de comunicații electronice sunt menținute și ar trebui să considere că protecția lor împotriva sabotajului și spionajului este de interes vital pentru securitate. Informațiile despre incidente, de exemplu privind cablurile de comunicații submarine, ar trebui împărtășite în mod activ între statele membre. |
Amendamentul 52
Propunere de directivă
Considerentul 52
|
|
Textul propus de Comisie |
Amendamentul |
(52) După caz, entitățile ar trebui să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Cerința de a informa destinatarii cu privire la astfel de amenințări nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită. |
(52) După caz, entitățile ar trebui să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Aceasta nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită și informațiile ar trebui să fie redactate într-un limbaj ușor de înțeles. |
Amendamentul 53
Propunere de directivă
Considerentul 53
|
|
Textul propus de Comisie |
Amendamentul |
(53) În special, furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software sau de tehnologii de criptare. |
(53) Furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să pună în aplicare măsurile privind securitatea din momentul conceperii și securitatea implicită și să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea dispozitivelor și a comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software de criptare sau de tehnologii de securitate centrate pe date. |
Amendamentul 54
Propunere de directivă
Considerentul 54
|
|
Textul propus de Comisie |
Amendamentul |
(54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării, în special a criptării de la un capăt la altul și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Soluțiile pentru accesul legal la informații în comunicațiile criptate de la un capăt la altul ar trebui să mențină eficacitatea criptării în ceea ce privește protecția vieții private și securitatea comunicațiilor, oferind, în același timp, un răspuns eficace la criminalitate. |
(54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării și a altor tehnologii de securitate centrate pe date, cum ar fi tokenizarea, segmentarea, accesul limitat, marcarea, etichetarea, gestionarea riguroasă a identităților și a accesului, precum și deciziile de acces automatizate, și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Acest lucru nu ar trebui însă să conducă la niciun efort de slăbire a criptării de la un capăt la altul, aceasta fiind o tehnologie esențială pentru o protecție eficace a datelor și a vieții private. |
Amendamentul 55
Propunere de directivă
Considerentul 54 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(54a) Pentru a proteja securitatea și a preveni abuzul și manipularea rețelelor și serviciilor de comunicații electronice, ar trebui promovată utilizarea unor standarde de rutare sigure și interoperabile pentru a asigura integritatea și robustețea funcțiilor de rutare în întregul ecosistem al furnizorilor de internet. |
Amendamentul 56
Propunere de directivă
Considerentul 54 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(54b) Pentru a proteja funcționalitatea și integritatea internetului și a reduce problemele de securitate legate de DNS, părțile interesate pertinente, inclusiv întreprinderile din Uniune, furnizorii de servicii de internet și vânzătorii de browsere ar trebui încurajați să adopte o strategie de diversificare a rezoluției DNS. În plus, statele membre ar trebui să încurajeze dezvoltarea și utilizarea unui serviciu european public și sigur de rezoluție a DNS. |
Amendamentul 57
Propunere de directivă
Considerentul 55
|
|
Textul propus de Comisie |
Amendamentul |
(55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială în termen de 24 de ore, urmată de un raport final în termen de cel mult o lună de la incidentul respectiv. Notificarea inițială ar trebui să includă numai informațiile strict necesare pentru a informa autoritățile competente cu privire la incident și pentru a putea solicita asistență, dacă este necesar. O astfel de notificare, după caz, ar trebui să indice dacă incidentul pare să fie cauzat de acțiuni ilegale sau răuvoitoare. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul autorităților competente sau al CSIRT, entitatea în cauză se poate abate de la termenul de 24 de ore pentru notificarea inițială și de o lună pentru raportul final. |
(55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială, urmată de un raport cuprinzător în termen de cel mult o lună de la transmiterea notificării inițiale. Termenul pentru notificarea inițială a incidentului nu ar trebui să împiedice entitățile să raporteze incidentele mai devreme, permițând așadar entităților să solicite sprijin rapid de la CSIRT pentru a limita răspândirea incidentului raportat. CSIRT pot solicita un raport intermediar privind actualizările relevante ale situației, luând în considerare, în același timp, răspunsul la incidente și eforturile de remediere ale entității raportoare. |
Amendamentul 58
Propunere de directivă
Considerentul 55 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(55a) Un incident semnificativ poate avea un impact asupra confidențialității, integrității sau disponibilității serviciului. Entitățile esențiale și importante ar trebui să notifice CSIRT cu privire la incidentele semnificative care au un impact asupra disponibilității serviciului lor în termen de 24 de ore de la momentul în care au luat cunoștință de incident. Acestea ar trebui să notifice CSIRT cu privire la incidentele semnificative care încalcă confidențialitatea și integritatea serviciilor lor în termen de 72 de ore de la momentul în care au luat cunoștință de incident. Distincția între tipurile de incidente nu se bazează pe gravitatea incidentului, ci pe dificultatea entității raportoare de a evalua incidentul, importanța acestuia și capacitatea de a raporta informații care pot fi utile pentru CSIRT. Notificarea inițială ar trebui să includă informațiile necesare pentru a informa CSIRT cu privire la incident și pentru a putea solicita asistență, dacă este necesar. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor, care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul CSIRT, entitatea în cauză se poate abate de la termenul pentru notificarea inițială și pentru raportul cuprinzător. |
Amendamentul 59
Propunere de directivă
Considerentul 59
|
|
Textul propus de Comisie |
Amendamentul |
(59) Menținerea unor baze de date exacte și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) și furnizarea unui acces legal la astfel de date sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor. |
(59) Menținerea unor baze de date exacte, verificate și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune, și pentru a combate activitățile ilegale. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui, prin urmare, să aibă obligația de a colecta date privind înregistrarea numelor de domenii, care ar trebui să includă cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon. În practică, este posibil ca datele colectate să nu fie întotdeauna exacte, însă registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să adopte și să pună în aplicare proceduri proporționale pentru a verifica dacă persoanele fizice sau juridice care solicită sau dețin un nume de domeniu au furnizat date de contact la care pot fi contactate și se așteaptă să răspundă. Utilizând o abordare bazată pe „cele mai bune eforturi”, aceste procese de verificare ar trebui să reflecte cele mai bune practici utilizate în prezent în sector. Bunele practici din procesul de verificare ar trebui să reflecte progresele înregistrate în procesul de identificare electronică. Entitățile și registrele TLD care furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului politicile și procedurile pe care le utilizează pentru a asigura integritatea și disponibilitatea datelor de înregistrare a numelor de domeniu. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor. |
Amendamentul 60
Propunere de directivă
Considerentul 60
|
|
Textul propus de Comisie |
Amendamentul |
(60) Disponibilitatea și accesibilitatea în timp util a acestor date pentru autoritățile publice, inclusiv pentru autoritățile competente în temeiul dreptului Uniunii sau al dreptului intern pentru prevenirea, investigarea sau urmărirea penală a infracțiunilor, CERT, CSIRT și, în ceea ce privește datele clienților lor, pentru furnizorii de rețele și servicii de comunicații electronice și pentru furnizorii de tehnologii și servicii de securitate cibernetică care acționează în numele clienților respectivi, sunt aspecte esențiale pentru prevenirea și combaterea abuzurilor din sistemul de nume de domenii, în special pentru prevenirea, detectarea și combaterea incidentelor de securitate cibernetică. Acest tip de acces ar trebui să respecte legislația Uniunii în materie de protecție a datelor în măsura în care este legat de date cu caracter personal. |
(60) Disponibilitatea și accesibilitatea în timp util a datelor de înregistrare a numelor de domeniu pentru solicitanții legitimi de acces sunt esențiale pentru securitatea cibernetică și combaterea activităților ilegale din ecosistemul online. Entitățile și registrele TLD care furnizează servicii de înregistrare a numelor de domenii ar trebui, prin urmare, să aibă obligația de a le permite solicitanților legitimi de acces, în conformitate cu legislația Uniunii privind protecția datelor, accesul legal la date specifice de înregistrare a numelor de domenii, inclusiv la date cu caracter personal. Solicitanții legitimi de acces ar trebui să depună o cerere justificată în mod corespunzător pentru a avea acces la datele de înregistrare a numelor de domeniu în temeiul dreptului Uniunii sau al dreptului intern și aceștia ar putea include autoritățile competente în temeiul dreptului Uniunii sau al dreptului intern pentru prevenirea, investigarea sau urmărirea penală a infracțiunilor, precum și CERT sau CSIRT naționale. Statele membre ar trebui să se asigure că registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore solicitărilor de divulgare a datelor de înregistrare a numelor de domenii formulate de solicitanții legitimi de acces. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Procedura de acces poate include, de asemenea, utilizarea unei interfețe, a unui portal sau a altor instrumente tehnice, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate adopta orientări cu privire la aceste proceduri fără a aduce atingere competențelor Comitetului european pentru protecția datelor. |
Amendamentul 61
Propunere de directivă
Considerentul 61
|
|
Textul propus de Comisie |
Amendamentul |
(61) Pentru a asigura disponibilitatea unor date exacte și complete de înregistrare a numelor de domeniu, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD (operatorii de registru) ar trebui să colecteze și să garanteze integritatea și disponibilitatea datelor de înregistrare a numelor de domenii. În special, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui să stabilească politici și proceduri pentru colectarea și păstrarea unor date de înregistrare exacte și complete, precum și pentru prevenirea și corectarea datelor de înregistrare inexacte, în conformitate cu normele Uniunii privind protecția datelor. |
eliminat |
Amendamentul 62
Propunere de directivă
Considerentul 62
|
|
Textul propus de Comisie |
Amendamentul |
(62) Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului date de înregistrare a numelor de domenii care nu intră în domeniul de aplicare al normelor Uniunii privind protecția datelor, cum ar fi datele care se referă la persoanele juridice25. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui, de asemenea, să le permită solicitanților legitimi de acces, în conformitate cu legislația Uniunii privind protecția datelor, accesul legal la date specifice de înregistrare a numelor de domenii privind persoanele fizice. Statele membre ar trebui să se asigure că registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate solicitărilor de divulgare a datelor de înregistrare a numelor de domenii formulate de solicitanții legitimi de acces. Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Procedura de acces poate include, de asemenea, utilizarea unei interfețe, a unui portal sau a unui alt instrument tehnic, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate adopta orientări cu privire la aceste proceduri fără a aduce atingere competențelor Comitetului european pentru protecția datelor. |
(62) Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii ar trebui să aibă obligația de a pune la dispoziția publicului datele de înregistrare a numelor de domenii care nu conțin date cu caracter personal. Ar trebui să se facă o distincție între persoanele fizice și persoanele juridice25. În cazul persoanelor juridice, registrele TLD și entitățile ar trebui să pună la dispoziția publicului cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon. Persoana juridică ar trebui să aibă obligația fie de a furniza o adresă de e-mail generică care poate fi pusă la dispoziția publicului, fie de a-și da consimțământul pentru publicarea unei adrese de e-mail personale. Persoana juridică ar trebui să poată face dovada acestui consimțământ la cererea registrelor TLD și a entităților care furnizează servicii de înregistrare a numelor de domenii. |
__________________ |
__________________ |
25 Considerentul 14 din REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI prevede: „Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.” |
25 Considerentul 14 din REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI prevede: „Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.” |
Amendamentul 63
Propunere de directivă
Considerentul 63
|
|
Textul propus de Comisie |
Amendamentul |
(63) Toate entitățile esențiale și importante vizate de prezenta directivă sunt considerate ca fiind sub jurisdicția statului membru în care își prestează serviciile. În cazul în care entitatea furnizează servicii în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre aceste state membre. Autoritățile competente din aceste state membre ar trebui să coopereze, să își ofere asistență reciprocă și, după caz, să întreprindă acțiuni comune de supraveghere. |
(63) Toate entitățile esențiale și importante vizate de prezenta directivă sunt considerate ca fiind sub jurisdicția statului membru în care își prestează serviciile sau în care își desfășoară activitățile. În cazul în care entitatea furnizează servicii în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre aceste state membre. Autoritățile competente din aceste state membre ar trebui să coopereze, să își ofere asistență reciprocă și, după caz, să întreprindă acțiuni comune de supraveghere. |
Amendamentul 64
Propunere de directivă
Considerentul 64
|
|
Textul propus de Comisie |
Amendamentul |
(64) Pentru a ține seama de caracterul transfrontalier al serviciilor și al operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale furnizorilor de rețele de distribuție de conținut, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date și ale furnizorilor digitali, un singur stat membru ar trebui să aibă jurisdicție asupra acestor entități. Competența ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui să fie locul în care sunt luate deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Aceasta va corespunde, de regulă, locului în care se află administrația centrală a întreprinderilor din Uniune. În cazul în care astfel de decizii nu sunt luate în Uniune, se consideră că sediul principal se află în statul membru în care entitatea are sediul cu cel mai mare număr de angajați din Uniune. În cazul în care serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi. |
(64) Pentru a ține seama de caracterul transfrontalier al serviciilor și al operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale furnizorilor de rețele de distribuție de conținut, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date și ale furnizorilor digitali, un singur stat membru ar trebui să aibă jurisdicție asupra acestor entități. Competența ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui să fie locul în care sunt luate deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Aceasta va corespunde, de regulă, locului în care se află administrația centrală a întreprinderilor din Uniune. În cazul în care astfel de decizii nu sunt luate în Uniune, ar trebui să se considere că sediul principal este fie în statele membre în care entitatea are sediul cu cel mai mare număr de angajați din Uniune, fie în statele membre unde se află sediul în care se desfășoară operațiunile de securitate cibernetică. În cazul în care serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi. |
Amendamentul 65
Propunere de directivă
Considerentul 65 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(65a) ENISA ar trebui să creeze și să mențină un registru care să conțină informații despre entitățile esențiale și importante, care cuprind furnizori de servicii DNS, registre de nume TLD și furnizori de servicii de cloud computing, servicii de centre de date, rețele de furnizare de conținut, piețe online, motoare de căutare online și platforme de rețele de socializare. Aceste entități esențiale și importante ar trebui să transmită către ENISA numele, adresele și datele lor de contact actualizate. Ele notifică fără întârziere ENISA cu privire la orice modificare a acestor informații și, în orice caz, în termen de două săptămâni de la data la care a intrat în vigoare modificarea. ENISA ar trebui să transmită informațiile punctului unic de contact relevant. Prin urmare, entitățile esențiale și importante care transmit informațiile către ENISA nu au obligația de a informa separat autoritatea competentă din statul membru. ENISA ar trebui să elaboreze un program de aplicație simplu și disponibil publicului, pe care entitățile respective l-ar putea utiliza pentru a-și actualiza informațiile. În plus, ENISA ar trebui să instituie protocoale adecvate de clasificare și gestionare a informațiilor pentru a asigura securitatea și confidențialitatea informațiilor divulgate și ar trebui să restricționeze accesul la informațiile respective, stocarea și transmiterea acestora către utilizatorii vizați. |
Amendamentul 66
Propunere de directivă
Considerentul 66
|
|
Textul propus de Comisie |
Amendamentul |
(66) În cazul în care se face schimb de informații considerate clasificate în conformitate cu legislația națională sau a Uniunii ori astfel de informații sunt raportate sau partajate în alt mod în temeiul dispozițiilor prezentei directive, ar trebui să se aplice normele specifice corespunzătoare privind tratarea informațiilor clasificate. |
(66) În cazul în care se face schimb de informații considerate clasificate în conformitate cu legislația națională sau a Uniunii ori astfel de informații sunt raportate sau partajate în alt mod în temeiul dispozițiilor prezentei directive, ar trebui să se aplice normele specifice corespunzătoare privind tratarea informațiilor clasificate. În plus, ENISA ar trebui să dispună de infrastructura, procedurile și normele în vigoare pentru a trata informațiile sensibile și clasificate în conformitate cu normele de securitate aplicabile pentru protecția informațiilor clasificate ale UE. |
Amendamentul 67
Propunere de directivă
Considerentul 68
|
|
Textul propus de Comisie |
Amendamentul |
(68) Entitățile ar trebui încurajate să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor. |
(68) Entitățile ar trebui încurajate și sprijinite de statele membre să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive, cum ar fi entitățile axate pe serviciile și cercetarea în materie de securitate cibernetică, să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor. |
Amendamentul 68
Propunere de directivă
Considerentul 69
|
|
Textul propus de Comisie |
Amendamentul |
(69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entități, autorități publice, CERT, CSIRT și furnizorii de tehnologii și servicii de securitate ar trebui să constituie un interes legitim al operatorului de date în cauză, astfel cum se menționează în Regulamentul (UE) 2016/679. Aceasta ar trebui să includă măsuri legate de prevenirea, detectarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare. Astfel de măsuri pot necesita prelucrarea următoarelor tipuri de date cu caracter personal: adrese IP, localizatoare uniforme de resurse (URL), nume de domenii și adrese de e-mail. |
(69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entitățile esențiale și importante, CSIRT și furnizorii de tehnologii și servicii de securitate, este necesară pentru respectarea obligațiilor lor legale prevăzute în prezenta directivă. Această prelucrare a datelor cu caracter personal ar putea fi necesară și în scopul intereselor legitime urmărite de entitățile esențiale și importante. În cazul în care prezenta directivă impune prelucrarea datelor cu caracter personal în scopul securității cibernetice, a rețelelor și a informațiilor în conformitate cu dispozițiile prevăzute la articolele 18, 20 și 23 din directivă, prelucrarea respectivă este considerată necesară pentru respectarea unei obligații legale, astfel cum se menționează la articolul 6 alineatul (1) litera (c) din Regulamentul (UE) 2016/679. În sensul articolelor 26 și 27 din prezenta directivă, prelucrarea menționată la articolul 6 alineatul (1) litera (f) din Regulamentul (UE) 2016/679 este considerată necesară în scopul intereselor legitime urmărite de entitățile esențiale și importante. Măsuri legate de prevenirea, detectarea, identificarea, limitarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare necesită prelucrarea anumitor categorii de date cu caracter personal, cum ar fi adrese IP, localizatoare uniforme de resurse (URL), nume de domenii, adrese de e-mail, marcaje temporale, informații privind sistemul de operare sau browserul, cookie-uri sau alte informații referitoare la modul de funcționare. |
Amendamentul 69
Propunere de directivă
Considerentul 71
|
|
Textul propus de Comisie |
Amendamentul |
(71) Pentru ca asigurarea respectării să fie eficace, ar trebui stabilită o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor de securitate cibernetică și de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru astfel de sancțiuni în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de natura, gravitatea și durata încălcării, de daunele reale cauzate sau de pierderile suferite ori de daunele sau pierderile potențiale care ar fi putut fi declanșate, de caracterul intenționat sau din neglijență al încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul și/sau pierderile suferite, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv al unei protecții judiciare eficiente și al unui proces echitabil. |
(71) Pentru ca asigurarea respectării să fie eficace, ar trebui stabilită o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor de securitate cibernetică și de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru astfel de sancțiuni în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de natura, gravitatea și durata încălcării, de daunele cauzate sau de pierderile suferite, de caracterul intenționat sau din neglijență al încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul și/sau pierderile suferite, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Sancțiunile, inclusiv amenzile administrative, ar trebui să fie proporționale, iar aplicarea lor ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene („Carta”), inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
Amendamentul 70
Propunere de directivă
Considerentul 72
|
|
Textul propus de Comisie |
Amendamentul |
(72) Pentru a asigura respectarea efectivă a obligațiilor prevăzute în prezenta directivă, fiecare autoritate competentă ar trebui să aibă competența de a impune sau de a solicita impunerea de amenzi administrative. |
(72) Pentru a asigura respectarea efectivă a obligațiilor prevăzute în prezenta directivă, fiecare autoritate competentă ar trebui să aibă competența de a impune sau de a solicita impunerea de amenzi administrative, dacă încălcarea a fost intenționată sau din neglijență sau dacă nerespectarea de către entitatea în cauză a fost adusă la cunoștința acesteia. |
Amendamentul 71
Propunere de directivă
Considerentul 76
|
|
Textul propus de Comisie |
Amendamentul |
(76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice sancțiuni constând în suspendarea unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate aceste servicii și impunerea unei interdicții temporare de a exercita funcții de conducere de către o persoană fizică. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste sancțiuni ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de sancțiuni ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste sancțiuni. Impunerea unor astfel de sancțiuni face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
(76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice o suspendare temporară a unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate serviciile relevante și să solicite impunerea unei interdicții temporare de a exercita funcții de conducere de către o persoană fizică la nivel de director executiv sau de reprezentant legal. Statele membre ar trebui să elaboreze proceduri și norme specifice privind interdicția temporară de a exercita funcții de conducere de către o persoană fizică la nivel de director executiv sau de reprezentant legal în entități din administrația publică. În procesul de elaborare a unor astfel de proceduri și norme, statele membre ar trebui să țină seama de particularitățile nivelurilor și sistemelor lor de guvernanță din administrația lor publică. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste suspendări sau interdicții temporare ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de suspendări sau interdicții temporare ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste suspendări sau interdicții temporare. Impunerea unor astfel de suspendări temporare sau interdicții face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
Amendamentul 72
Propunere de directivă
Considerentul 79
|
|
Textul propus de Comisie |
Amendamentul |
(79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre. |
(79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții independenți desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre. Evaluările inter pares pot conduce la idei și recomandări valoroase, care să consolideze capacitățile globale în materie de securitate cibernetică. În special, acestea pot contribui la facilitarea transferului de tehnologii, instrumente, măsuri și procese între statele membre implicate în evaluarea inter pares, creând o modalitate funcțională de schimb de bune practici între statele membre cu niveluri diferite de maturitate în materie de securitate cibernetică și permițând stabilirea unui nivel comun ridicat de securitate cibernetică în întreaga Uniune. Evaluarea inter pares ar trebui să fie precedată de o autoevaluare de către statul membru care face obiectul evaluării, care să acopere aspectele evaluate și orice alte aspecte specifice suplimentare comunicate de experții desemnați statului membru care face obiectul evaluării inter pares înainte de începerea procesului. Comisia, în cooperare cu ENISA și cu grupul de cooperare, ar trebui să elaboreze modele pentru autoevaluarea aspectelor analizate, pentru a simplifica procesul și a evita neconcordanțele și întârzierile procedurale, modele pe care statele membre care fac obiectul evaluării inter pares ar trebui să le finalizeze și să le furnizeze experților desemnați care efectuează evaluarea inter pares înainte de începerea procesului de evaluare inter pares. |
Amendamentul 73
Propunere de directivă
Considerentul 80
|
|
Textul propus de Comisie |
Amendamentul |
(80) Pentru a ține seama de noile amenințări cibernetice, de evoluțiile tehnologice sau de specificitățile sectoriale, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește elementele legate de măsurile de gestionare a riscurilor impuse de prezenta directivă. Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate pentru a stabili ce categorii de entități esențiale au obligația de a obține un certificat și în temeiul căror sisteme europene specifice de certificare a securității cibernetice. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare26. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. |
(80) Pentru a ține seama de noile amenințări cibernetice, de evoluțiile tehnologice sau de specificitățile sectoriale, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește elementele legate de măsurile de gestionare a riscurilor de securitate cibernetică și obligațiile de raportare impuse de prezenta directivă. Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate pentru a stabili ce categorii de entități esențiale și importante au obligația de a obține un certificat și în temeiul căror sisteme europene specifice de certificare a securității cibernetice. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. |
__________________ |
|
26 JO L 123, 12.5.2016, p. 1. |
|
Amendamentul 74
Propunere de directivă
Considerentul 81
|
|
Textul propus de Comisie |
Amendamentul |
(81) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a dispozițiilor relevante ale prezentei directive în ceea ce privește dispozițiile procedurale necesare pentru funcționarea grupului de cooperare, elementele tehnice legate de măsurile de gestionare a riscurilor sau tipul de informații, formatul și procedura de notificare a incidentelor, Comisiei ar trebui să i se confere competențe de executare. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului27. |
(81) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a dispozițiilor relevante ale prezentei directive în ceea ce privește dispozițiile procedurale necesare pentru funcționarea grupului de cooperare și procedura de notificare a incidentelor, Comisiei ar trebui să i se confere competențe de executare. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului27. |
__________________ |
__________________ |
27 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13). |
27 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13). |
Amendamentul 75
Propunere de directivă
Considerentul 82
|
|
Textul propus de Comisie |
Amendamentul |
(82) Comisia ar trebui să revizuiască periodic prezenta directivă, consultându-se cu părțile interesate, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției condițiilor societale, politice, tehnologice sau de piață. |
(82) Comisia ar trebui să revizuiască periodic prezenta directivă, consultându-se cu părțile interesate, în special pentru a stabili dacă este necesar să propună modificări ca urmare a evoluției condițiilor societale, politice, tehnologice sau de piață. În cadrul acestor revizuiri, Comisia ar trebui să evalueze în special relevanța sectoarelor, a subsectoarelor și a tipurilor de entități menționate în anexe pentru funcționarea economiei și a societății în ceea ce privește securitatea cibernetică. Comisia ar trebui să evalueze, printre altele, dacă furnizorii digitali care sunt clasificați drept platforme online foarte mari în sensul articolului 25 din Regulamentul (UE) XXXX/XXXX [Piața unică pentru servicii digitale (actul legislativ privind serviciile digitale) sau ca controlori ai fluxului de informație, astfel cum sunt definiți la articolul 2 punctul 1 din Regulamentul (UE) XXXX/XXXX [Piețe contestabile și echitabile în sectorul digital (Actul legislativ privind piețele digitale)] ar trebui să fie desemnați ca entități esențiale în temeiul prezentei directive. În plus, Comisia ar trebui să evalueze dacă este necesar să se modifice anexa I la Directiva 2020/1828 a Parlamentului European și a Consiliului1a prin adăugarea unei trimiteri la prezenta directivă. |
|
__________________ |
|
1a Directiva (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO L 409, 4.12.2020, p. 1). |
Amendamentul 76
Propunere de directivă
Considerentul 82 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(82a) Prezenta directivă prevede cerințe în domeniul securității cibernetice pentru statele membre, precum și pentru entitățile esențiale și importante stabilite în Uniune. Aceste cerințe de securitate cibernetică ar trebui să fie aplicate și de instituțiile, organele, oficiile și agențiile Uniunii, pe baza unui act legislativ al Uniunii. |
Amendamentul 77
Propunere de directivă
Considerentul 82 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(82b) Prezenta directivă creează noi sarcini pentru ENISA, consolidând astfel rolul acesteia, și ar putea avea drept rezultat și o obligație a ENISA de a-și îndeplini sarcinile existente în temeiul Regulamentului (UE) 2019/881 la un standard mai ridicat decât înainte. Pentru a garanta că ENISA dispune de resursele financiare și umane necesare pentru a-și desfășura activitățile existente și cele noi în cadrul atribuțiilor sale, precum și pentru a îndeplini orice standarde mai ridicate care rezultă din rolul său consolidat, bugetul său ar trebui majorat în consecință. În plus, pentru a asigura utilizarea eficientă a resurselor, ENISA ar trebui să beneficieze de o mai mare flexibilitate în ceea ce privește modul în care i se permite să aloce resurse la nivel intern, pentru a-i permite să își îndeplinească sarcinile și să răspundă așteptărilor în mod eficace. |
Amendamentul 78
Propunere de directivă
Considerentul 84
|
|
Textul propus de Comisie |
Amendamentul |
(84) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate, |
(84) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Cartă, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Aceasta include dreptul la o cale de atac eficientă în fața unei instanțe pentru beneficiarii serviciilor furnizate de entități esențiale și importante. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate. |
Amendamentul 79
Propunere de directivă
Articolul 1 – alineatul 2 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) stabilește pentru statele membre obligații de supraveghere și de asigurare a respectării legislației. |
Amendamentul 80
Propunere de directivă
Articolul 2 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Prezenta directivă se aplică entităților publice și private de tipul celor menționate ca fiind entități esențiale în anexa I și entități importante în anexa II. Prezenta directivă nu se aplică entităților care se califică drept microîntreprinderi și întreprinderi mici în sensul Recomandării 2003/361/CE a Comisiei28. |
1. Prezenta directivă se aplică entităților esențiale și importante publice și private de tipul celor menționate ca fiind entități esențiale în anexa I și entități importante în anexa II, care își prestează serviciile sau își desfășoară activitățile în Uniune. Prezenta directivă nu se aplică întreprinderilor mici și microîntreprinderilor în sensul articolului 2 alineatele (2) și (3) din anexa la Recomandarea 2003/361/CE a Comisiei28. Articolul 3 alineatul (4) din anexa la recomandarea respectivă nu se aplică. |
__________________ |
__________________ |
28 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
28 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
Amendamentul 81
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
Cu toate acestea, indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților menționate în anexele I și II, în cazul în care: |
Indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților esențiale și importante, în cazul în care: |
Amendamentul 82
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 1 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) o eventuală perturbare a serviciului furnizat de entitate ar putea avea un impact asupra siguranței publice, a securității publice sau a sănătății publice; |
(d) o perturbare a serviciului furnizat de entitate ar putea avea un impact asupra siguranței publice, a securității publice sau a sănătății publice; |
Amendamentul 83
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 1 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) o eventuală perturbare a serviciului furnizat de entitate ar putea genera riscuri sistemice, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; |
(e) o perturbare a serviciului furnizat de entitate ar putea genera riscuri sistemice, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; |
Amendamentul 84
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
Statele membre întocmesc o listă a entităților identificate în temeiul literelor (b) - (f) și o transmit Comisiei până la [6 luni de la termenul de transpunere]. Statele membre revizuiesc lista în mod regulat și, ulterior, cel puțin o dată la doi ani și, dacă este cazul, o actualizează. |
eliminat |
Amendamentul 85
Propunere de directivă
Articolul 2 – alineatul 2 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2a. Până la... [6 luni de la termenul de transpunere], statele membre întocmesc o listă a entităților esențiale și importante, inclusiv a entităților menționate la alineatul (1) și a entităților identificate în temeiul alineatului (2) literele (b)-(f) și al articolului 24 alineatul (1). Statele membre revizuiesc lista în mod regulat, cel puțin o dată la doi ani, și o actualizează atunci când este cazul. |
Amendamentul 86
Propunere de directivă
Articolul 2 – alineatul 2 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2b. Statele membre se asigură că entitățile esențiale și importante transmit autorităților competente cel puțin următoarele informații: |
|
(a) denumirea entității; |
|
(b) adresa și datele de contact actualizate, inclusiv adresele de e-mail, gama de IP-uri, numerele de telefon; precum și |
|
(c) sectorul/sectoarele și subsectorul/subsectoarele relevante menționate în anexele I și II. |
|
Entitățile esențiale și importante notifică fără întârziere și, în orice caz, în termen de două săptămâni de la data la care intră în vigoare modificarea, orice modificare a datelor transmise în temeiul primului paragraf. În acest scop, Comisia, asistată de ENISA, emite fără întârzieri nejustificate orientări și modele privind obligațiile prevăzute în prezentul alineat. |
Amendamentul 87
Propunere de directivă
Articolul 2 – alineatul 2 c (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2c. Până la ...[6 luni de la termenul de transpunere] și, ulterior, o dată la doi ani, statele membre notifică: |
|
(a) Comisia și Grupul de cooperare cu privire la numărul tuturor entităților esențiale și importante identificate pentru fiecare sector și subsector menționat în anexele I și II, precum și |
|
(b) Comisia, cu privire la denumirile entităților identificate în temeiul alineatului (2) literele (b)-(f). |
Amendamentul 88
Propunere de directivă
Articolul 2 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Prezenta directivă se aplică fără a aduce atingere Directivei 2008/114/CE a Consiliului30 și Directivelor 2011/93/UE31 și 2013/40/UE32 ale Parlamentului European și ale Consiliului. |
4. Prezenta directivă se aplică fără a aduce atingere Directivei 2008/114/CE a Consiliului30 și Directivelor 2011/93/UE31, 2013/40/UE32 și 2002/58/CE32a ale Parlamentului European și ale Consiliului. |
__________________ |
__________________ |
30 Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (JO L 345, 23.12.2008, p. 75). |
30 Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (JO L 345, 23.12.2008, p. 75). |
31 Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1). |
31 Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1). |
32 Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, p. 8). |
32 Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, p. 8). |
|
32a Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37). |
Amendamentul 89
Propunere de directivă
Articolul 2 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. În cazul în care dispozițiile actelor specifice fiecărui sector din dreptul Uniunii impun entităților esențiale sau importante fie să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, fie să notifice incidentele sau amenințările cibernetice semnificative, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, nu se aplică dispozițiile relevante ale prezentei directive, așadar nici dispozițiile privind supravegherea și asigurarea respectării legislației, prevăzute în capitolul VI. |
6. În cazul în care dispozițiile actelor specifice fiecărui sector din dreptul Uniunii impun entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, sau să notifice incidentele, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, nu se aplică dispozițiile relevante ale prezentei directive, așadar nici dispozițiile privind supravegherea și asigurarea respectării legislației, prevăzute în capitolul VI. Comisia, fără întârzieri nejustificate, emite orientări cu privire la punerea în aplicare a actelor specifice fiecărui sector din dreptul Uniunii, cu scopul de a se asigura că actele respective îndeplinesc cerințele de securitate cibernetică stabilite prin prezenta directivă și că nu există suprapuneri sau incertitudine juridică. Când elaborează aceste orientări, Comisia ia în considerare bunele practici și expertiza ENISA și a Grupului de cooperare. |
Amendamentul 90
Propunere de directivă
Articolul 2 – alineatul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6a. Entitățile esențiale și importante, CSIRT și furnizorii de tehnologii și servicii de securitate prelucrează datele cu caracter personal în măsura în care acest lucru este strict necesar și proporțional în scopul securității cibernetice și securității rețelelor și informațiilor, pentru a îndeplini obligațiile prevăzute în prezenta directivă. Respectiva prelucrare a datelor cu caracter personal în temeiul prezentei directive se efectuează în conformitate cu Regulamentul (UE) 2016/679, în special articolul 6. |
Amendamentul 91
Propunere de directivă
Articolul 2 – alineatul 6 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6b. Prelucrarea datelor cu caracter personal în temeiul prezentei directive de către furnizorii de rețele publice de comunicații electronice sau furnizorii de comunicații electronice accesibile publicului menționați în anexa I punctul 8 se efectuează în conformitate cu Directiva 2002/58/CE. |
Amendamentul 92
Propunere de directivă
Articolul 4 – paragraful 1– punctul 4 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(4a) „incident evitat la limită” înseamnă un eveniment care ar fi putut compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor, sau care ar fi putut cauza prejudicii, dar care a fost împiedicat cu succes să producă un impact negativ; |
Amendamentul 93
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 6
|
|
Textul propus de Comisie |
Amendamentul |
(6) „administrarea incidentelor” înseamnă toate acțiunile și procedurile care vizează detectarea, analizarea și limitarea unui incident, precum și răspunsul la acesta; |
(6) „administrarea incidentelor” înseamnă toate acțiunile și procedurile care vizează prevenirea, detectarea, analizarea și limitarea unui incident, precum și răspunsul la acesta; |
Amendamentul 94
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 7 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(7a) „risc” înseamnă potențialele pierderi sau perturbări cauzate de un incident și trebuie exprimat ca o combinație între amploarea unei astfel de pierderi sau perturbări și probabilitatea producerii acelui incident; |
Amendamentul 95
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 11
|
|
Textul propus de Comisie |
Amendamentul |
(11) „specificație tehnică” înseamnă o specificație tehnică în sensul articolului 2 punctul 4 din Regulamentul (UE) nr. 1025/2012; |
(11) „specificație tehnică” înseamnă o specificație tehnică astfel cum este definită la articolul 2 punctul 20 din Regulamentul (UE) nr. 2019/881; |
Amendamentul 96
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 13
|
|
Textul propus de Comisie |
Amendamentul |
(13) „sistem de nume de domenii (DNS)” înseamnă un sistem ierarhic și distribuit de atribuire de nume care le permite utilizatorilor finali să acceseze servicii și resurse pe internet; |
(13) „sistem de nume de domenii (DNS)” înseamnă un sistem ierarhic și distribuit de atribuire de nume care face posibilă identificarea serviciilor și a resurselor pe internet, permițând dispozitivelor utilizatorilor finali să utilizeze serviciile de rutare și conectivitate pe internet pentru a accesa serviciile și resursele respective; |
Amendamentul 97
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 14
|
|
Textul propus de Comisie |
Amendamentul |
(14) „furnizor de servicii DNS” înseamnă o entitate care furnizează servicii de rezoluție a numelor de domenii recursive sau cu autoritate utilizatorilor finali de internet și altor furnizori de servicii DNS; |
(14) „furnizor de servicii DNS” înseamnă o entitate care furnizează: |
Amendamentul 98
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 14 – litera a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(a) servicii deschise și publice de rezoluție a numelor de domenii recursive utilizatorilor finali de internet; sau |
Amendamentul 99
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 14 – litera b (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(b) servicii de rezoluție a numelor de domenii cu autoritate ca servicii care pot fi achiziționate de entități terțe; |
Amendamentul 100
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 15
|
|
Textul propus de Comisie |
Amendamentul |
(15) „registru de nume de domenii de prim nivel” înseamnă o entitate căreia i s-a delegat un anumit domeniu de prim nivel (top–level domain –TLD) și care este responsabilă cu administrarea TLD-ului, inclusiv cu înregistrarea numelor de domenii în cadrul TLD-ului și cu exploatarea tehnică a TLD-ului, în special cu exploatarea serverelor sale de nume, cu întreținerea bazelor sale de date și cu distribuirea fișierelor zonale TLD între serverele de nume; |
(15) „registru de nume de domenii de prim nivel” înseamnă o entitate căreia i s-a delegat un anumit domeniu de prim nivel (top–level domain –TLD) și care este responsabilă cu administrarea TLD-ului, inclusiv cu înregistrarea numelor de domenii în cadrul TLD-ului și cu exploatarea tehnică a TLD-ului, în special cu exploatarea serverelor sale de nume, cu întreținerea bazelor sale de date și cu distribuirea fișierelor zonale TLD între serverele de nume, indiferent dacă oricare dintre aceste operațiuni este efectuată de o entitate sau este externalizată; |
Amendamentul 101
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 15 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(15a) „servicii de înregistrare a numelor de domenii” înseamnă servicii furnizate de registrele de nume de domenii și operatorii de registru, de furnizorii de servicii de protecție a vieții private și servicii de proxy, de brokerii sau revânzătorii de domenii și de orice alte servicii legate de înregistrarea numelor de domenii; |
Amendamentul 102
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 23 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(23a) „rețea publică de comunicații electronice” înseamnă o rețea publică de comunicații electronice astfel cum este definită la articolul 2 punctul (8) din Directiva (UE) 2018/1972; |
Amendamentul 103
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 23 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(23b) „serviciu de comunicații electronice” înseamnă serviciu de comunicații electronice astfel cum este definit la articolul 2 punctul (4) din Directiva (UE) 2018/1972; |
Amendamentul 104
Propunere de directivă
Articolul 5 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. Fiecare stat membru adoptă o strategie națională de securitate cibernetică care definește obiectivele strategice și măsurile de politică și de reglementare adecvate, în vederea atingerii și menținerii unui nivel ridicat de securitate cibernetică. Strategia națională de securitate cibernetică include, în special, următoarele elemente: |
1. Fiecare stat membru adoptă o strategie națională de securitate cibernetică care definește obiectivele strategice, resursele tehnice, organizatorice și financiare necesare pentru realizarea acestor obiective, precum și măsurile de politică și de reglementare adecvate, în vederea atingerii și menținerii unui nivel ridicat de securitate cibernetică. Strategia națională de securitate cibernetică include, în special, următoarele elemente: |
Amendamentul 105
Propunere de directivă
Articolul 5 – alineatul 1 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) o definire a obiectivelor și a priorităților strategiei statelor membre privind securitatea cibernetică; |
(a) o definire a obiectivelor și a priorităților strategiei statului membru privind securitatea cibernetică; |
Amendamentul 106
Propunere de directivă
Articolul 5 – alineatul 1 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) un cadru de guvernanță pentru realizarea acestor obiective și priorități, inclusiv politicile menționate la alineatul (2) și rolurile și responsabilitățile organismelor și ale entităților publice, precum și ale altor actori relevanți; |
(b) un cadru de guvernanță pentru realizarea acestor obiective și priorități, inclusiv politicile menționate la alineatul (2); |
Amendamentul 107
Propunere de directivă
Articolul 5 – alineatul 1 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) un cadru pentru alocarea rolurilor și a responsabilităților organismelor și entităților publice, precum și ale altor actori relevanți, care să sprijine cooperarea și coordonarea, la nivel național, între autoritățile competente desemnate la articolul 7 alineatul (1) și la articolul 8 alineatul (1), punctul unic de contact desemnat la articolul 8 alineatul (3) și CSIRT desemnate în temeiul articolului 9; |
Amendamentul 108
Propunere de directivă
Articolul 5 – alineatul 1 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) o listă a diferitelor autorități și a diferiților actori care participă la punerea în aplicare a strategiei naționale de securitate cibernetică; |
(e) o listă a diferitelor autorități și a diferiților actori care participă la punerea în aplicare a strategiei naționale de securitate cibernetică, inclusiv un punct unic de contact privind securitatea cibernetică a IMM-urilor, care să ofere sprijin pentru în punerea în aplicare a măsurilor specifice de securitate cibernetică; |
Amendamentul 109
Propunere de directivă
Articolul 5 – alineatul 1 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) un cadru de politică menit să asigure o mai bună coordonare între autoritățile competente în temeiul prezentei directive și al Directivei (UE) XXXX/XXXX a Parlamentului European și a Consiliului38 [Directiva privind reziliența entităților critice] în scopul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. |
(f) un cadru de politică menit să asigure o mai bună coordonare între autoritățile competente în temeiul prezentei directive și al Directivei (UE) XXXX/XXXX a Parlamentului European și a Consiliului38 [Directiva privind reziliența entităților critice], în și între statele membre, în scopul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. |
__________________ |
__________________ |
38 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
38 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 110
Propunere de directivă
Articolul 5 – alineatul 1 – litera fa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fa) o evaluare a nivelului general de conștientizare în rândul cetățenilor cu privire la securitatea cibernetică. |
Amendamentul 111
Propunere de directivă
Articolul 5 – alineatul 2 – litera -a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(-a) o politică privind securitatea cibernetică pentru fiecare sector reglementat de prezenta directivă; |
Amendamentul 112
Propunere de directivă
Articolul 5 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice; |
(b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice, inclusiv cerințele de criptare și utilizarea produselor de securitate cibernetică cu sursă deschisă; |
Amendamentul 113
Propunere de directivă
Articolul 5 – alineatul 2 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) o politică legată de menținerea disponibilității și a integrității generale a nucleului public al internetului deschis; |
(d) o politică legată de menținerea disponibilității și a integrității generale a nucleului public al internetului deschis, inclusiv securitatea cibernetică a cablurilor de comunicații submarine; |
Amendamentul 114
Propunere de directivă
Articolul 5 – alineatul 2 – litera da (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(da) o politică de promovare și sprijinire a dezvoltării și a integrării tehnologiilor emergente, cum ar fi inteligența artificială, în instrumentele și aplicațiile de îmbunătățire a securității cibernetice; |
Amendamentul 115
Propunere de directivă
Articolul 5 – alineatul 2 – litera db (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(db) o politică de promovare a integrării instrumentelor și a aplicațiilor cu sursă deschisă; |
Amendamentul 116
Propunere de directivă
Articolul 5 – alineatul 2 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) o politică de sprijinire a instituțiilor academice și de cercetare în vederea dezvoltării unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate; |
(f) o politică de sprijinire a instituțiilor academice și de cercetare în vederea dezvoltării, consolidării și implementării unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate; |
Amendamentul 117
Propunere de directivă
Articolul 5 – alineatul 2 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice. |
(h) o politică de promovare a securității cibernetice pentru IMM-uri, inclusiv pentru cele excluse din domeniul de aplicare al prezentei directive, care să răspundă nevoilor lor specifice și să ofere orientări și sprijin ușor accesibile, inclusiv orientări privind provocările legate de lanțul de aprovizionare cu care se confruntă; |
Amendamentul 118
Propunere de directivă
Articolul 5 – alineatul 2 – litera ha (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ha) o politică de promovare a igienei cibernetice care să cuprindă un set de bază de practici și controale și să sensibilizeze cetățenii cu privire la amenințările și bunele practici în materie de securitate cibernetică; |
Amendamentul 119
Propunere de directivă
Articolul 5 – alineatul 2 – litera hb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(hb) o politică de promovare a apărării cibernetice active; |
Amendamentul 120
Propunere de directivă
Articolul 5 – alineatul 2 – litera hc (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(hc) o politică pentru a ajuta autoritățile să dezvolte competențele și înțelegerea considerentelor de securitate necesare pentru a proiecta, a construi și a gestiona locurile conectate; |
Amendamentul 121
Propunere de directivă
Articolul 5 – alineatul 2 – litera hd (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(hd) o politică ce abordează în mod specific amenințarea ransomware și care întrerupe modelul de afaceri ransomware; |
Amendamentul 122
Propunere de directivă
Articolul 5 – alineatul 2 – litera he (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(he) o politică, inclusiv proceduri relevante și cadre de guvernanță, pentru sprijinirea și promovarea încheierii de parteneriate public-privat în domeniul securității cibernetice; |
Amendamentul 123
Propunere de directivă
Articolul 5 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre notifică Comisiei strategiile lor naționale de securitate cibernetică în termen de trei luni de la adoptarea acestora. Statele membre pot exclude din notificare anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru menținerea securității naționale. |
3. Statele membre notifică Comisiei strategiile lor naționale de securitate cibernetică în termen de trei luni de la adoptarea acestora. Statele membre pot exclude din notificare anumite informații în cazul și în măsura în care acest lucru este necesar pentru menținerea securității naționale. |
Amendamentul 124
Propunere de directivă
Articolul 5 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor-cheie de performanță și, dacă este necesar, le modifică. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină statele membre, la cerere, în elaborarea unei strategii naționale și a unor indicatori-cheie de performanță pentru evaluarea strategiei. |
4. Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor-cheie de performanță și, dacă este necesar, le modifică. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină statele membre, la cerere, în elaborarea unei strategii naționale și a unor indicatori-cheie de performanță pentru evaluarea strategiei. ENISA oferă statelor membre orientări pentru alinierea strategiilor lor naționale de securitate cibernetică formulate deja la cerințele și obligațiile stabilite în prezenta directivă. |
Amendamentul 125
Propunere de directivă
Articolul 6 – titlu
|
|
Textul propus de Comisie |
Amendamentul |
Divulgarea coordonată a vulnerabilităților și registrul european al vulnerabilităților |
Divulgarea coordonată a vulnerabilităților și baza de date europeană a vulnerabilităților |
Amendamentul 126
Propunere de directivă
Articolul 6 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Fiecare stat membru desemnează una dintre echipele sale CSIRT, astfel cum se menționează la articolul 9, drept coordonator în scopul divulgării coordonate a vulnerabilităților. CSIRT desemnată acționează ca intermediar de încredere, facilitând, dacă este necesar, interacțiunea dintre entitatea raportoare și producătorul sau furnizorul de produse TIC sau servicii TIC. În cazul în care vulnerabilitatea raportată vizează mai mulți producători sau furnizori de produse TIC sau de servicii TIC din Uniune, CSIRT desemnată din fiecare stat membru în cauză cooperează cu rețeaua CSIRT. |
1. Fiecare stat membru desemnează una dintre echipele sale CSIRT, astfel cum se menționează la articolul 9, drept coordonator în scopul divulgării coordonate a vulnerabilităților. CSIRT desemnată acționează ca intermediar de încredere, facilitând, la cererea entității raportoare, interacțiunea dintre entitatea raportoare și producătorul sau furnizorul de produse TIC sau servicii TIC. În cazul în care vulnerabilitatea raportată vizează mai mulți producători sau furnizori de produse TIC sau de servicii TIC din Uniune, CSIRT desemnată din fiecare stat membru în cauză cooperează cu rețeaua CSIRT. |
Amendamentul 127
Propunere de directivă
Articolul 6 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. ENISA creează și menține un registru european al vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în registru. Registrul include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. |
2. ENISA creează și menține o bază de date europeană a vulnerabilităților bazându-se pe registrul mondial comun de vulnerabilități și expuneri (CVE). În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate și adoptă măsurile tehnice și organizatorice necesare pentru a garanta securitatea și integritatea bazei de date, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice, precum și entităților care nu intră în domeniul de aplicare al prezentei directive și furnizorilor lor să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC. Se oferă acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în baza de date care dispun de corecții sau măsuri de atenuare disponibile. Baza de date include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe. Dacă astfel de corecții nu sunt disponibile, vor fi incluse în baza de date orientări adresate utilizatorilor de produse TIC și servicii TIC vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. |
Amendamentul 128
Propunere de directivă
Articolul 7 – alineatul 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
1a. Dacă un stat membru desemnează mai multe autorități competente menționate la alineatul (1), acesta indică în mod clar care dintre autoritățile competente respective servește drept coordonator pentru gestionarea incidentelor și a crizelor de mare amploare. |
Amendamentul 129
Propunere de directivă
Articolul 7 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Fiecare stat membru identifică capacitățile, mijloacele și procedurile care pot fi utilizate în caz de criză în sensul prezentei directive. |
(Nu privește versiunea în limba română.) |
Amendamentul 130
Propunere de directivă
Articolul 7 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre comunică Comisiei desemnarea autorităților lor competente menționate la alineatul (1) și își prezintă planurile naționale de răspuns la incidente și crize în materie de securitate cibernetică, astfel cum se menționează la alineatul (3), în termen de trei luni de la desemnarea autorităților și adoptarea planurilor respective. Statele membre pot exclude din plan anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru securitatea lor națională. |
4. Statele membre comunică Comisiei desemnarea autorităților lor competente menționate la alineatul (1) și prezintă UE-CyCLONe planurile naționale de răspuns la incidente și crize în materie de securitate cibernetică, astfel cum se menționează la alineatul (3), în termen de trei luni de la desemnarea autorităților și adoptarea planurilor respective. Statele membre pot exclude din plan anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru securitatea lor națională. |
Amendamentul 131
Propunere de directivă
Articolul 8 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Fiecare stat membru desemnează un punct unic de contact național în materie de securitate cibernetică („punct unic de contact”). În cazul în care un stat membru desemnează o singură autoritate competentă, aceasta servește, de asemenea, drept punct unic de contact pentru statul membru respectiv. |
3. Fiecare stat membru desemnează una dintre autoritățile competente menționate la alineatul (1) ca punct unic de contact național în materie de securitate cibernetică („punct unic de contact”). În cazul în care un stat membru desemnează o singură autoritate competentă, aceasta servește, de asemenea, drept punct unic de contact pentru statul membru respectiv. |
Amendamentul 132
Propunere de directivă
Articolul 8 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Fiecare punct unic de contact exercită o funcție de legătură menită să asigure cooperarea transfrontalieră a autorităților din statul său membru cu autoritățile relevante din alte state membre și să asigure cooperarea transsectorială cu alte autorități naționale competente din statul său membru. |
4. Fiecare punct unic de contact exercită o funcție de legătură menită să asigure cooperarea transfrontalieră a autorităților din statul său membru cu autoritățile relevante din alte state membre, cu Comisia și cu ENISA și să asigure cooperarea transsectorială cu alte autorități naționale competente din statul său membru. |
Amendamentul 133
Propunere de directivă
Articolul 9 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că fiecare echipă CSIRT dispune de resurse adecvate pentru a-și îndeplini efectiv sarcinile stabilite la articolul 10 alineatul (2). |
2. Statele membre se asigură că fiecare echipă CSIRT dispune de resurse adecvate și de capacitățile tehnice necesare pentru a-și îndeplini efectiv sarcinile stabilite la articolul 10 alineatul (2). |
Amendamentul 134
Propunere de directivă
Articolul 9 – alineatul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6a. Statele membre asigură posibilitatea unui schimb de informații eficace, eficient și sigur cu privire la toate nivelurile de clasificare între propriile echipe CSIRT și CSIRT din țări terțe la același nivel de clasificare. |
Amendamentul 135
Propunere de directivă
Articolul 9 – alineatul 6 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6b. Fără a aduce atingere legislației Uniunii, în special Regulamentului (UE) 2016/679, CSIRT cooperează cu CSIRT sau structurilor echivalente din țările candidate la aderarea la Uniune și din alte țări terțe din Balcanii de Vest și din Parteneriatul estic și, în măsura posibilului, le oferă asistență în materie de securitate cibernetică. |
Amendamentul 136
Propunere de directivă
Articolul 9 – alineatul 7
|
|
Textul propus de Comisie |
Amendamentul |
7. Statele membre comunică fără întârzieri nejustificate Comisiei echipele CSIRT desemnate în conformitate cu alineatul (1), coordonatorul CSIRT desemnat în conformitate cu articolul 6 alineatul (1) și sarcinile acestora prevăzute în legătură cu entitățile menționate în anexele I și II. |
7. Statele membre comunică fără întârzieri nejustificate Comisiei echipele CSIRT desemnate în conformitate cu alineatul (1) și coordonatorul CSIRT desemnat în conformitate cu articolul 6 alineatul (1), inclusiv sarcinile acestora prevăzute în legătură cu entitățile esențiale și importante. |
Amendamentul 137
Propunere de directivă
Articolul 10 – titlu
|
|
Textul propus de Comisie |
Amendamentul |
Cerințele pe care trebuie să le respecte și sarcinile care le revin echipelor CSIRT |
Cerințele pe care trebuie să le respecte, capacitățile tehnice și sarcinile care le revin echipelor CSIRT |
Amendamentul 138
Propunere de directivă
Articolul 10 – alineatul 1 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) echipele CSIRT dispun de un sistem adecvat de gestionare și rutare a cererilor, în special în vederea facilitării eficace și eficiente a transferurilor; |
(c) echipele CSIRT dispun de un sistem adecvat de clasificare, rutare și urmărire a cererilor, în special în vederea facilitării eficace și eficiente a transferurilor; |
Amendamentul 139
Propunere de directivă
Articolul 10 – alineatul 1 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) echipele CSIRT dispun de coduri de conduită adecvate pentru a asigura confidențialitatea și credibilitatea operațiunilor lor; |
Amendamentul 140
Propunere de directivă
Articolul 10 – alineatul 1 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) echipele CSIRT dispun de personal adecvat pentru a asigura o disponibilitate permanentă; |
(d) echipele CSIRT dispun de personal adecvat pentru a asigura o disponibilitate permanentă și pentru a asigura cadre de formare adecvate pentru personalul lor; |
Amendamentul 141
Propunere de directivă
Articolul 10 – alineatul 1 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) echipele CSIRT sunt echipate cu sisteme redundante și spațiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor; |
(e) echipele CSIRT sunt echipate cu sisteme redundante și spațiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor, inclusiv conectivitatea extinsă a rețelelor, a sistemelor informatice, a serviciilor, precum și a dispozitivelor; |
Amendamentul 142
Propunere de directivă
Articolul 10 – alineatul 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
1a. Echipele CSIRT dezvoltă cel puțin următoarele capacități tehnice: |
|
(a) capacitatea de a efectua monitorizarea în timp real sau în timp aproape real a rețelelor și a sistemelor informatice, precum și detectarea anomaliilor; |
|
(b) capacitatea de a sprijini prevenirea și detectarea intruziunilor; |
|
(c) capacitatea de a colecta și de a efectua o analiză complexă a datelor criminalistice și ingineria inversă a amenințărilor cibernetice; |
|
(d) capacitatea de a filtra traficul nociv; |
|
(e) capacitatea de a aplica privilegii și controale solide de autentificare și acces; precum și |
|
(f) capacitatea de a analiza amenințările cibernetice. |
Amendamentul 143
Propunere de directivă
Articolul 10 – alineatul 2 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) monitorizarea amenințărilor cibernetice, a vulnerabilităților și a incidentelor la nivel național; |
(a) monitorizarea amenințărilor cibernetice, a vulnerabilităților și a incidentelor la nivel național și obținerea de informații în timp real privind amenințările; |
Amendamentul 144
Propunere de directivă
Articolul 10 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) asigurarea unor mecanisme de avertizare timpurii, alerte, anunțuri și diseminare de informații către entitățile esențiale și importante, precum și către alte părți interesate relevante cu privire la amenințările cibernetice, vulnerabilități și incidente; |
(b) asigurarea unor mecanisme de avertizare timpurii, alerte, anunțuri și diseminare de informații către entitățile esențiale și importante, precum și către alte părți interesate relevante cu privire la amenințările cibernetice, vulnerabilități și incidente, în timp aproape real, dacă este posibil; |
Amendamentul 145
Propunere de directivă
Articolul 10 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) răspunsul la incidente; |
(c) răspunsul la incidente și acordarea de asistență entităților implicate; |
Amendamentul 146
Propunere de directivă
Articolul 10 – alineatul 2 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) furnizarea, la cererea unei entități, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor; |
(e) furnizarea, la cererea unei entități sau în cazul unor amenințări grave la adresa securității naționale, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor; |
Amendamentul 147
Propunere de directivă
Articolul 10 – alineatul 2 – litera fa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fa) furnizarea, la cererea unei entități, a permisiunii și configurării înregistrărilor în rețea pentru a proteja datele, inclusiv datele cu caracter personal, împotriva exfiltrării neautorizate; |
Amendamentul 148
Propunere de directivă
Articolul 10 – alineatul 2 – litera fb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fb) contribuirea la implementarea unor instrumente securizate de schimb de informații, în temeiul articolului 9 alineatul (3); |
Amendamentul 149
Propunere de directivă
Articolul 10 – alineatul 4 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
4. Pentru a facilita cooperarea, echipele CSIRT promovează adoptarea și utilizarea unor practici, sisteme de clasificare și taxonomii comune sau standardizate în legătură cu următoarele: |
4. Pentru a facilita cooperarea, echipele CSIRT promovează automatizarea schimbului de informații, adoptarea și utilizarea unor practici, sisteme de clasificare și taxonomii comune sau standardizate în legătură cu următoarele: |
Amendamentul 150
Propunere de directivă
Articolul 11 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că fie autoritățile lor competente, fie echipele lor CSIRT primesc notificări privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită comunicate în temeiul prezentei directive. În cazul în care un stat membru decide ca echipele sale CSIRT să nu primească notificări, acestora li se acordă, în măsura necesară pentru a-și îndeplini atribuțiile, acces la datele privind incidentele notificate de entitățile esențiale sau importante, în temeiul articolului 20. |
2. Statele membre se asigură că echipele lor CSIRT primesc notificări privind incidentele semnificative, în temeiul articolului 20, precum și amenințările cibernetice semnificative și incidentele semnificative evitate la limită în temeiul articolului 27 prin punctul de contact unic menționat la articolul 20 alineatul (4a). |
Amendamentul 151
Propunere de directivă
Articolul 11 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv. |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente, punctele unice de contact, CSIRT, autoritățile de aplicare a legii, autoritățile naționale de reglementare sau alte autorități competente responsabile pentru rețelele publice de comunicații electronice sau pentru serviciile de comunicații electronice accesibile publicului în temeiul Directivei (UE) 2018/1972, autoritățile pentru protecția datelor, autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv, conform competențelor lor respective. |
__________________ |
__________________ |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 152
Propunere de directivă
Articolul 11 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Statele membre se asigură că autoritățile lor competente furnizează periodic informații autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu privire la riscurile de securitate cibernetică, amenințările cibernetice și incidentele care afectează entitățile esențiale identificate ca fiind critice sau ca entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], precum și cu privire la măsurile luate de autoritățile competente ca răspuns la aceste riscuri și incidente. |
5. Statele membre se asigură că autoritățile lor competente furnizează periodic informații, în timp util, autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu privire la riscurile de securitate cibernetică, amenințările cibernetice și incidentele care afectează entitățile esențiale identificate ca fiind critice sau ca entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], precum și cu privire la măsurile luate de autoritățile competente ca răspuns la aceste riscuri și incidente. |
Amendamentul 153
Propunere de directivă
Articolul 12 – alineatul 3 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observator. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare. |
Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Parlamentul European și Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observatori. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare. |
Amendamentul 154
Propunere de directivă
Articolul 12 – alineatul 3 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
După caz, grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai părților interesate relevante. |
După caz, Grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai părților interesate relevante, cum ar fi Comitetul european pentru protecția datelor și reprezentanți ai industriei. |
Amendamentul 155
Propunere de directivă
Articolul 12 – alineatul 4 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) schimbul de bune practici și de informații în legătură cu punerea în aplicare a prezentei directive, inclusiv în ceea ce privește amenințările cibernetice, incidentele, vulnerabilitățile, incidentele evitate la limită, inițiativele de sensibilizare, cursurile de formare, exercițiile și competențele, consolidarea capacităților, precum și standardele și specificațiile tehnice; |
(b) schimbul de bune practici și de informații în legătură cu punerea în aplicare a prezentei directive, inclusiv în ceea ce privește amenințările cibernetice, incidentele, vulnerabilitățile, incidentele evitate la limită, inițiativele de sensibilizare, cursurile de formare, exercițiile și competențele, consolidarea capacităților, standardele și specificațiile tehnice, precum și identificarea entităților esențiale și importante.; |
Amendamentul 156
Propunere de directivă
Articolul 12 – alineatul 4 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) inventarierea soluțiilor naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din Uniune; |
Amendamentul 157
Propunere de directivă
Articolul 12 – alineatul 4 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) schimbul de opinii și cooperarea cu Comisia cu privire la inițiativele emergente de politică în materie de securitate cibernetică; |
(c) schimbul de opinii și cooperarea cu Comisia cu privire la inițiativele emergente de politică în materie de securitate cibernetică, precum și coerența generală a cerințelor de securitate cibernetică specifice sectorului; |
Amendamentul 158
Propunere de directivă
Articolul 12 – alineatul 4 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) discutarea rapoartelor privind evaluarea inter pares menționate la articolul 16 alineatul (7); |
(f) discutarea rapoartelor privind evaluarea inter pares menționate la articolul 16 alineatul (7) și extragerea de concluzii și recomandări; |
Amendamentul 159
Propunere de directivă
Articolul 12 – alineatul 4 – litera fa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fa) efectuarea de evaluări coordonate ale riscurilor de securitate care pot fi inițiate în temeiul articolului 19 alineatul (1), în cooperare cu Comisia și cu ENISA; |
Amendamentul 160
Propunere de directivă
Articolul 12 – alineatul 4 – litera ka (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ka) transmiterea către Comisie, în scopul revizuirii menționate la articolul 35, a rapoartelor privind experiența obținută la nivel strategic și operațional; |
Amendamentul 161
Propunere de directivă
Articolul 12 – alineatul 4 – litera kb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(kb) asigurarea unei evaluări anuale în cooperare cu ENISA, Europol și instituțiile naționale de aplicare a legii privind statele terțe care găzduiesc infractori ransomware; |
Amendamentul 162
Propunere de directivă
Articolul 12 – alineatul 8
|
|
Textul propus de Comisie |
Amendamentul |
8. Grupul de cooperare se reunește periodic și cel puțin o dată pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] pentru a promova cooperarea strategică și schimbul de informații. |
8. Grupul de cooperare se reunește periodic și cel puțin de două ori pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] pentru a facilita cooperarea strategică și schimbul de informații. |
Amendamentul 163
Propunere de directivă
Articolul 13 – alineatul 3 – litera aa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(aa) facilitarea schimbului și transferului de tehnologie și măsuri, politici, bune practici și cadre relevante între echipele CSIRT; |
Amendamentul 164
Propunere de directivă
Articolul 13 – alineatul 3 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) asigurarea interoperabilității în ceea ce privește standardele privind schimbul de informații; |
Amendamentul 165
Propunere de directivă
Articolul 14 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru a sprijini gestionarea coordonată, la nivel operațional, a incidentelor și a crizelor de securitate cibernetică de mare amploare și pentru a asigura schimbul periodic de informații între statele membre și instituțiile, organele și agențiile Uniunii, se înființează Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (UE - CyCLONe). |
1. Pentru a sprijini gestionarea coordonată, la nivel operațional, a incidentelor și a crizelor de securitate cibernetică de mare amploare și pentru a asigura schimbul periodic de informații relevante între statele membre și instituțiile, organele și agențiile Uniunii, se înființează Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (UE - CyCLONe). |
Amendamentul 166
Propunere de directivă
Articolul 14 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. UE - CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. ENISA asigură secretariatul rețelei și sprijină schimbul securizat de informații. |
2. UE - CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. ENISA asigură secretariatul UE - CyCLONe și sprijină schimbul securizat de informații. |
Amendamentul 167
Propunere de directivă
Articolul 14 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. UE-CyCLONe prezintă periodic rapoarte grupului de cooperare cu privire la amenințările, incidentele și tendințele cibernetice, concentrându-se în special pe impactul acestora asupra entităților esențiale și importante. |
5. UE-CyCLONe prezintă periodic rapoarte grupului de cooperare cu privire la incidentele și crizele de mare amploare, precum și la tendințe, concentrându-se în special pe impactul acestora asupra entităților esențiale și importante. |
Amendamentul 168
Propunere de directivă
Articolul 15 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune. Raportul include, în special, o evaluare a următoarelor elemente: |
1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune pe care îl înaintează și îl prezintă Parlamentului European. Raportul este furnizat într-un format citibil automat și include, în special, o evaluare a următoarelor elemente: |
Amendamentul 169
Propunere de directivă
Articolul 15 – alineatul 1 – litera aa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(aa) nivelul general de conștientizare și igienă în materie de securitate cibernetică în rândul cetățenilor și al entităților, inclusiv al IMM-urilor, precum și nivelul general de securitate al dispozitivelor conectate; |
Amendamentul 170
Propunere de directivă
Articolul 15 – alineatul 1 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) un indice de securitate cibernetică care să prevadă o evaluare globală a nivelului de maturitate al capacităților în materie de securitate cibernetică. |
(c) un indice de securitate cibernetică care să prevadă o evaluare globală a nivelului de maturitate al capacităților în materie de securitate cibernetică în întreaga Uniune, inclusiv alinierea strategiilor naționale ale statelor membre în materie de securitate cibernetică; |
Amendamentul 171
Propunere de directivă
Articolul 15 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Raportul include recomandări de politică specifice pentru îmbunătățirea nivelului de securitate cibernetică în întreaga Uniune și un rezumat al constatărilor pentru perioada respectivă incluse în rapoartele UE privind situația tehnică în materie de securitate cibernetică ale agenției, emise de ENISA în conformitate cu articolul 7 alineatul (6) din Regulamentul (UE) 2019/881. |
2. Raportul include recomandări de politică și de identificare a obstacolelor specifice pentru îmbunătățirea nivelului de securitate cibernetică în întreaga Uniune și un rezumat al constatărilor pentru perioada respectivă incluse în rapoartele UE privind situația tehnică în materie de securitate cibernetică ale agenției, emise de ENISA în conformitate cu articolul 7 alineatul (6) din Regulamentul (UE) 2019/881. |
Amendamentul 172
Propunere de directivă
Articolul 15 – alineatul 2 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2a. ENISA, în cooperare cu Comisia și pe baza orientărilor din partea Grupului de cooperare și a rețelei CSIRT, elaborează metodologia, inclusiv variabilele relevante ale indicelui de securitate cibernetică menționat la alineatul (1) litera (c). |
Amendamentul 173
Propunere de directivă
Articolul 16 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. După consultarea grupului de cooperare și a ENISA și în termen de cel mult 18 luni de la intrarea în vigoare a prezentei directive, Comisia stabilește metodologia și conținutul unui sistem de evaluare inter pares pentru evaluarea eficacității politicilor de securitate cibernetică ale statelor membre. Evaluările sunt efectuate de experți tehnici în materie de securitate cibernetică din alte state membre decât cel care face obiectul evaluării și acoperă cel puțin următoarele elemente: |
1. După consultarea grupului de cooperare și a ENISA și în termen de cel mult ...[18 luni de la intrarea în vigoare a prezentei directive], Comisia stabilește metodologia și conținutul unui sistem de evaluare inter pares pentru evaluarea eficacității politicilor de securitate cibernetică ale statelor membre. Evaluările inter pares sunt efectuate în consultare cu ENISA de experți tehnici în materie de securitate cibernetică din cel puțin două state membre decât cel care face obiectul evaluării și acoperă cel puțin următoarele elemente: |
Amendamentul 174
Propunere de directivă
Articolul 16 – alineatul 1 – punctul iii
|
|
Textul propus de Comisie |
Amendamentul |
(iii) capacitățile operaționale și eficacitatea echipelor CSIRT; |
(iii) capacitățile operaționale și eficacitatea echipelor CSIRT în executarea sarcinilor lor; |
Amendamentul 175
Propunere de directivă
Articolul 16 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Aspectele organizatorice ale evaluărilor inter pares sunt decise de Comisie, cu sprijinul ENISA, și, în urma consultării grupului de cooperare, se bazează pe criteriile definite în metodologia menționată la alineatul (1). Evaluările inter pares analizează aspectele menționate la alineatul (1) pentru toate statele membre și toate sectoarele, inclusiv anumite aspecte specifice unuia sau mai multor state membre sau unuia sau mai multor sectoare. |
3. Aspectele organizatorice ale evaluărilor inter pares sunt decise de Comisie, cu sprijinul ENISA, și, în urma consultării grupului de cooperare, se bazează pe criteriile definite în metodologia menționată la alineatul (1). Evaluările inter pares analizează aspectele menționate la alineatul (1) pentru toate statele membre și toate sectoarele, inclusiv anumite aspecte specifice unuia sau mai multor state membre sau unuia sau mai multor sectoare. Experții desemnați care efectuează evaluarea comunică aceste aspecte specifice statului membru care face obiectul evaluării inter pares, înainte de începerea acesteia. |
Amendamentul 176
Propunere de directivă
Articolul 16 – alineatul 3 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
3a. Înainte de începerea procesului de evaluare inter pares, statul membru care face obiectul evaluării inter pares efectuează o autoevaluare a aspectelor revizuite și furnizează autoevaluarea experților desemnați. |
Amendamentul 177
Propunere de directivă
Articolul 16 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Evaluările inter pares implică vizite la fața locului efective sau virtuale și schimburi ex situ. Având în vedere principiul bunei cooperări, statele membre care fac obiectul evaluării le furnizează experților desemnați informațiile solicitate necesare pentru analizarea aspectelor evaluate. Orice informație obținută prin intermediul procesului de evaluare inter pares este utilizată exclusiv în acest scop. Experții care participă la evaluarea inter pares nu divulgă terților nicio informație sensibilă sau confidențială obținută în cursul evaluării respective. |
4. Evaluările inter pares implică vizite la fața locului efective sau virtuale și schimburi ex situ. Având în vedere principiul bunei cooperări, statele membre care fac obiectul evaluării le furnizează experților desemnați informațiile solicitate necesare pentru analizarea aspectelor evaluate. Comisia, în cooperare cu ENISA, elaborează coduri de conduită adecvate care stau la baza metodelor de lucru ale experților desemnați. Orice informație obținută prin intermediul procesului de evaluare inter pares este utilizată exclusiv în acest scop. Experții care participă la evaluarea inter pares nu divulgă terților nicio informație sensibilă sau confidențială obținută în cursul evaluării respective. |
Amendamentul 178
Propunere de directivă
Articolul 16 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. Statele membre se asigură că orice risc de conflict de interese în ceea ce privește experții desemnați este dezvăluit celorlalte state membre, Comisiei și ENISA fără întârzieri nejustificate. |
6. Statele membre se asigură că orice risc de conflict de interese în ceea ce privește experții desemnați este dezvăluit celorlalte state membre, Comisiei și ENISA, înainte de începerea procesului de evaluare inter pares. |
Amendamentul 179
Propunere de directivă
Articolul 16 – alineatul 7
|
|
Textul propus de Comisie |
Amendamentul |
7. Experții care participă la evaluări inter pares elaborează rapoarte cu privire la constatările și concluziile evaluărilor. Rapoartele sunt prezentate Comisiei, grupului de cooperare, rețelei CSIRT și ENISA. Rapoartele se discută în cadrul grupului de cooperare și al rețelei CSIRT. Rapoartele se pot publica pe site-ul web dedicat al grupului de cooperare. |
7. Experții care participă la evaluări inter pares elaborează rapoarte cu privire la constatările și concluziile evaluărilor. Rapoartele includ recomandări care să faciliteze îmbunătățirea aspectelor reglementate de procesul de evaluare inter pares. Rapoartele sunt prezentate Comisiei, grupului de cooperare, rețelei CSIRT și ENISA. Rapoartele se discută în cadrul grupului de cooperare și al rețelei CSIRT. Rapoartele se pot publica pe site-ul web dedicat al grupului de cooperare, cu excepția informațiilor sensibile și confidențiale. |
Amendamentul 180
Propunere de directivă
Articolul 17 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că membrii organului de conducere urmează, în mod regulat, cursuri de formare specifice pentru a dobândi suficiente cunoștințe și competențe în vederea identificării și a evaluării riscurilor și a practicilor de gestionare în materie de securitate cibernetică, precum și a impactului acestora asupra operațiunilor pe care le desfășoară entitatea. |
2. Statele membre se asigură că membrii organului de conducere din cadrul entităților esențiale și importante urmează, în mod regulat, o formare specifică pentru a dobândi suficiente cunoștințe și competențe în vederea identificării și a evaluării riscurilor și a practicilor de gestionare în materie de securitate cibernetică, precum și a impactului acestora asupra serviciilor pe care le furnizează entitatea, și încurajează entitățile esențiale și importante să ofere o formare similară tuturor angajaților. |
Amendamentul 181
Propunere de directivă
Articolul 18 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru a furniza servicii. Ținând seama de cele mai avansate cunoștințe în domeniu, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. |
1. Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru operațiunile lor sau pentru a furniza servicii și pentru a preveni sau reduce la minimum impactul incidentelor asupra beneficiarilor serviciilor lor și asupra altor servicii. Ținând seama de cele mai avansate cunoștințe în domeniu și de standardele europene și internaționale, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. |
Amendamentul 182
Propunere de directivă
Articolul 18 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) administrarea incidentelor (prevenirea și detectarea incidentelor și răspunsul la acestea); |
(b) administrarea incidentelor; |
Amendamentul 183
Propunere de directivă
Articolul 18 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) continuitatea activității și gestionarea crizelor; |
(c) continuitatea activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor; |
Amendamentul 184
Propunere de directivă
Articolul 18 – alineatul 2 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate și prestatorii sau furnizorii săi de servicii, cum ar fi furnizorii de servicii de stocare și prelucrare a datelor sau de servicii de securitate gestionate; |
(d) securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate și prestatorii sau furnizorii săi de servicii; |
Amendamentul 185
Propunere de directivă
Articolul 18 – alineatul 2 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) politici și proceduri (testare și audit) pentru a evalua eficacitatea măsurilor de gestionare a riscurilor în materie de securitate cibernetică; |
(f) politici și proceduri (formare, testare și audit) pentru a evalua eficacitatea măsurilor de gestionare a riscurilor în materie de securitate cibernetică; |
Amendamentul 186
Propunere de directivă
Articolul 18 – alineatul 2 – litera fa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fa) practici de bază în materie de igienă informatică și formare în domeniul securității cibernetice; |
Amendamentul 187
Propunere de directivă
Articolul 18 – alineatul 2 – litera g
|
|
Textul propus de Comisie |
Amendamentul |
(g) utilizarea criptografiei și a criptării. |
(g) utilizarea criptografiei, cum ar fi criptarea, după caz. |
Amendamentul 188
Propunere de directivă
Articolul 18 – alineatul 2 – litera ga (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ga) utilizarea de soluții de autentificare multifactor sau de autentificare continuă, de comunicații securizate voce, video și text și de sisteme securizate de comunicații de urgență în cadrul entității, după caz. |
Amendamentul 189
Propunere de directivă
Articolul 18 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre se asigură că, în cazul în care o entitate constată că serviciile sau sarcinile sale nu sunt în conformitate cu cerințele prevăzute la alineatul (2), aceasta ia, fără întârzieri nejustificate, toate măsurile corective necesare pentru a asigura conformitatea serviciului respectiv. |
4. Statele membre se asigură că, în cazul în care o entitate constată că serviciile sau sarcinile sale nu sunt în conformitate cu cerințele prevăzute la alineatul (2), aceasta ia, fără întârzieri nejustificate, toate măsurile corective necesare, adecvate și proporționale pentru a asigura conformitatea serviciului respectiv. |
Amendamentul 190
Propunere de directivă
Articolul 18 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Comisia poate adopta acte de punere în aplicare pentru a stabili specificațiile tehnice și metodologice ale elementelor menționate la alineatul (2). Atunci când pregătește actele respective, Comisia procedează în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2) și urmează, în cea mai mare măsură posibilă, standardele internaționale și europene, precum și specificațiile tehnice relevante. |
eliminat |
Amendamentul 191
Propunere de directivă
Articolul 18 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 36 în vederea completării elementelor prevăzute la alineatul (2) pentru a ține seama de noi amenințări cibernetice, evoluții tehnologice sau specificități sectoriale. |
6. Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 36 în vederea completării elementelor prevăzute la alineatul (2) al acestui articol pentru a ține seama de noi amenințări cibernetice, evoluții tehnologice sau specificități sectoriale, precum și pentru a completa prezenta directivă prin stabilirea specificațiilor tehnice și metodologice ale măsurilor menționate la alineatul (2) al acestui articol. |
Amendamentul 192
Propunere de directivă
Articolul 19 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Grupul de cooperare, în cooperare cu Comisia și ENISA, poate efectua evaluări coordonate ale riscurilor în materie de securitate ale anumitor lanțuri de aprovizionare ale serviciilor, sistemelor sau produselor TIC critice, ținând seama de factorii de risc de natură tehnică și, după caz, care nu sunt de natură tehnică. |
1. Grupul de cooperare, în cooperare cu Comisia și ENISA, poate efectua evaluări coordonate ale riscurilor în materie de securitate ale anumitor lanțuri de aprovizionare ale serviciilor, sistemelor sau produselor TIC și sistemelor de informații și comunicare (SIC) critice, ținând seama de factorii de risc de natură tehnică și, după caz, care nu sunt de natură tehnică. |
Amendamentul 193
Propunere de directivă
Articolul 19 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Comisia, după consultarea grupului de cooperare și a ENISA, identifică serviciile, sistemele sau produsele TIC critice specifice care pot face obiectul evaluării coordonate a riscurilor menționate la alineatul (1). |
2. Comisia, după consultarea grupului de cooperare și a ENISA și, după caz, a părților interesate relevante, identifică serviciile, sistemele sau produsele TIC și SIC critice specifice care pot face obiectul evaluării coordonate a riscurilor menționate la alineatul (1). |
Amendamentul 194
Propunere de directivă
Articolul 20 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate, autorităților competente sau CSIRT, în conformitate cu alineatele (3) și (4), orice incident care are un impact semnificativ asupra prestării serviciilor lor. Dacă este cazul, entitățile respective notifică, fără întârzieri nejustificate, destinatarilor serviciilor lor incidentele care ar putea afecta în mod negativ prestarea serviciului respectiv. Statele membre se asigură că entitățile respective raportează, printre altele, orice informație care să le permită autorităților competente sau CSIRT să stabilească dacă incidentul are un impact transfrontalier. |
1. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate, CSIRT, în conformitate cu alineatele (3) și (4), orice incident semnificativ. Statele membre se asigură că entitățile respective raportează, printre altele, orice informație care să permită CSIRT să stabilească dacă incidentul are un impact transfrontalier. |
Amendamentul 195
Propunere de directivă
Articolul 20 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate, autorităților competente sau CSIRT orice amenințare cibernetică semnificativă pe care entitățile respective o identifică și care ar fi putut duce la un incident semnificativ. |
|
Dacă este cazul, entitățile respective notifică, fără întârzieri nejustificate, destinatarilor serviciilor lor care ar putea fi afectați de o amenințare cibernetică semnificativă măsurile sau măsurile corective pe care destinatarii respectivi le pot lua ca răspuns la amenințarea respectivă. Dacă este cazul, entitățile le notifică, de asemenea, destinatarilor în cauză amenințarea propriu-zisă. Notificarea nu expune entitatea notificatoare unei răspunderi sporite. |
După caz, statele membre se asigură că entitățile esențiale și importante informează destinatarii serviciilor lor, fără întârzieri nejustificate, cu privire la măsurile de protecție sau la căile de atac privind anumite incidente și riscuri cunoscute care pot fi folosite de către destinatari. Dacă este cazul, entitățile informează destinatarii serviciilor lor cu privire la incident sau la riscul cunoscut propriu-zis. Informarea destinatarilor are loc cu maxima diligență posibilă și nu supune entitatea notificatoare unei creșteri a răspunderii. |
Amendamentul 196
Propunere de directivă
Articolul 20 – alineatul 3 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
3. Un incident este considerat semnificativ dacă: |
3. Pentru a determina cât de semnificativ este un incident, se ține cont, atunci când este posibil, de următorii parametri: |
Amendamentul 197
Propunere de directivă
Articolul 20 – alineatul 3 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) incidentul a provocat sau are potențialul de a provoca perturbări operaționale sau pierderi financiare substanțiale pentru entitatea în cauză; |
(a) numărul beneficiarilor serviciilor afectate de incident; |
Amendamentul 198
Propunere de directivă
Articolul 20 – alineatul 3 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) incidentul a afectat sau are potențialul de a afecta alte persoane fizice sau juridice, cauzând pierderi materiale sau morale considerabile. |
(b) durata incidentului; |
Amendamentul 199
Propunere de directivă
Articolul 20 – alineatul 3 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) extinderea geografică a zonei afectate de incident; |
Amendamentul 200
Propunere de directivă
Articolul 20 – alineatul 3 – litera bb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(bb) măsura în care funcționarea și continuitatea serviciului sunt afectate de incident; |
Amendamentul 201
Propunere de directivă
Articolul 20 – alineatul 3 – litera bc (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(bc) amploarea impactului incidentului asupra activităților economice și societale. |
Amendamentul 202
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
Statele membre se asigură că, în scopul notificării prevăzute la alineatul (1), entitățile în cauză transmit autorităților competente sau CSIRT: |
Statele membre se asigură că, în scopul notificării prevăzute la alineatul (1), entitățile în cauză transmit CSIRT: |
Amendamentul 203
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care a luat cunoștință de incident, o notificare inițială care, după caz, indică dacă există suspiciuni că incidentul a fost cauzat de acțiuni ilegale sau răuvoitoare; |
(a) o notificare inițială a incidentului semnificativ, care conține informațiile aflate la dispoziția entității notificatoare cu maxima diligență posibilă, după cum urmează: |
Amendamentul 204
Propunere de directivă
Articolul 20 – alineatul 4 – punctul 1 – litera a – punctul i (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(i) în ceea ce privește incidentele care perturbă în mod semnificativ disponibilitatea serviciilor furnizate de entitate, CSIRT este notificat fără întârzieri nejustificate și în orice caz în termen de 24 de ore de la constatarea incidentului; |
Amendamentul 205
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – litera a – punctul ii (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ii) în ceea ce privește incidentele care au un impact semnificativ asupra entității, în afara disponibilității serviciilor furnizate de respectiva entitate, CSIRT este notificat fără întârzieri nejustificate și în orice caz în termen de 72 de ore de la constatarea incidentului; |
Amendamentul 206
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – litera a – punctul iii (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(iii) în ceea ce privește incidentele care au un impact semnificativ asupra serviciilor unui prestator de servicii de încredere, astfel cum este definit la articolul 3 alineatul (19) din Regulamentul (UE) nr. 910/2014, sau asupra datelor cu caracter personal întreținute de respectivul prestator de servicii de încredere, CSIRT este notificat fără întârzieri nejustificate și în orice caz în termen de 24 de ore de la constatarea incidentului; |
Amendamentul 207
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) la cererea unei autorități competente sau a unei CSIRT, un raport intermediar privind actualizarea relevantă a situației; |
(b) un raport intermediar privind actualizarea relevantă a situației, la cererea unui CSIRT; |
Amendamentul 208
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – litera c – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
(c) un raport final, în termen de cel mult o lună de la prezentarea raportului menționat la litera (a), care să includă cel puțin următoarele elemente: |
(c) un raport cuprinzător, în termen de cel mult o lună de la prezentarea notificării inițiale, care să includă cel puțin următoarele elemente: |
Amendamentul 209
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) în cazul unui incident în desfășurare la momentul depunerii raportului cuprinzător menționat la litera (c), se prezintă un raport final la o lună după rezolvarea incidentului. |
Amendamentul 210
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
Statele membre se asigură că, în cazuri justificate în mod corespunzător și în acord cu autoritățile competente sau cu CSIRT, entitatea în cauză se poate abate de la termenele prevăzute la literele (a) și (c). |
Statele membre se asigură că, în cazuri justificate în mod corespunzător și în acord cu CSIRT, entitatea în cauză se poate abate de la termenele prevăzute la litera (a) punctele (i) și (ii) și litera (c). Statele membre asigură confidențialitatea și protecția corespunzătoare a informațiilor sensibile privind incidentele partajate cu CSIRT și adoptă măsuri și proceduri pentru partajarea și reutilizarea informațiilor despre incidente. |
Amendamentul 211
Propunere de directivă
Articolul 20 – alineatul 4 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
4a. Statele membre stabilesc un punct unic de intrare pentru toate notificările solicitate în temeiul prezentei directive și al altor acte legislative relevante ale Uniunii. ENISA, în cooperare cu grupul de cooperare, elaborează și îmbunătățește constant modele comune de notificare prin intermediul unor orientări care să simplifice și să raționalizeze informațiile de raportare solicitate în temeiul legislației Uniunii și să reducă sarcinile impuse entităților. |
Amendamentul 212
Propunere de directivă
Articolul 20 – alineatul 4 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
4b. Entitățile esențiale și importante menționate la articolul 24 alineatul (1) pot îndeplini cerințele de la alineatul (1) al prezentului articol prin notificarea CSIRT din statul membru în care entitățile își au sediul principal pe teritoriul Uniunii și prin notificarea entităților esențiale și importante cărora le furnizează servicii despre orice incident semnificativ care se știe că are un impact asupra destinatarului serviciilor. |
Amendamentul 213
Propunere de directivă
Articolul 20 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Autoritățile naționale competente sau CSIRT furnizează, în termen de 24 de ore de la primirea notificării inițiale menționate la alineatul (4) litera (a), un răspuns entității notificatoare, inclusiv un feedback inițial cu privire la incident și, la cererea entității, orientări privind punerea în aplicare a unor eventuale măsuri de atenuare. În cazul în care CSIRT nu a primit notificarea menționată la alineatul (1), orientările sunt furnizate de autoritatea competentă în colaborare cu CSIRT. CSIRT furnizează sprijin tehnic suplimentar în cazul în care entitatea în cauză solicită acest lucru. În cazul în care se suspectează că incidentul este de natură penală, autoritățile naționale competente sau CSIRT furnizează, de asemenea, orientări privind raportarea incidentului către autoritățile de aplicare a legii. |
5. CSIRT furnizează, în termen de 24 de ore de la primirea notificării inițiale menționate la alineatul (4) litera (a), un răspuns entității notificatoare, inclusiv un feedback inițial cu privire la incident și, la cererea entității, orientări și consiliere aplicabilă privind punerea în aplicare a unor eventuale măsuri de atenuare. CSIRT furnizează sprijin tehnic suplimentar în cazul în care entitatea în cauză solicită acest lucru. Dacă se suspectează că incidentul este de natură penală, CSIRT furnizează, de asemenea, orientări privind raportarea incidentului către autoritățile de aplicare a legii. CSIRT poate împărtăși informații despre incident altor entități importante și esențiale, asigurând totodată confidențialitatea informațiilor furnizate de entitatea raportoare. |
Amendamentul 214
Propunere de directivă
Articolul 20 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. După caz, mai ales dacă incidentul menționat la alineatul (1) implică două sau mai multe state membre, autoritatea competentă sau CSIRT informează celelalte state membre afectate și ENISA cu privire la incident. Astfel, autoritățile competente, echipele CSIRT și punctele unice de contact, în conformitate cu dreptul Uniunii sau cu legislația națională conformă cu dreptul Uniunii, protejează interesele de securitate și comerciale ale entității, precum și confidențialitatea informațiilor furnizate. |
6. După caz, mai ales dacă incidentul menționat la alineatul (1) implică două sau mai multe state membre, CSIRT informează celelalte state membre afectate și ENISA cu privire la incident și oferă informații pertinente. Astfel, echipele CSIRT și punctele unice de contact, în conformitate cu dreptul Uniunii sau cu legislația națională conformă cu dreptul Uniunii, protejează interesele de securitate și comerciale ale entității, precum și confidențialitatea informațiilor furnizate. |
Amendamentul 215
Propunere de directivă
Articolul 20 – alineatul 7
|
|
Textul propus de Comisie |
Amendamentul |
7. În cazul în care sensibilizarea publicului este necesară pentru a preveni un incident sau pentru a face față unui incident în curs sau în cazul în care divulgarea incidentului este în alt mod în interesul public, autoritatea competentă sau CSIRT și, după caz, autoritățile sau echipele CSIRT din alte state membre vizate pot, după consultarea entității în cauză, să informeze publicul cu privire la incident sau să solicite entității să facă acest lucru. |
7. În cazul în care sensibilizarea publicului este necesară pentru a preveni un incident sau pentru a face față unui incident în curs sau în cazul în care divulgarea incidentului este în alt mod în interesul public, CSIRT și, după caz, echipele CSIRT din alte state membre vizate pot, după consultarea entității în cauză, să informeze publicul cu privire la incident sau să solicite entității să facă acest lucru. |
Amendamentul 216
Propunere de directivă
Articolul 20 – alineatul 7 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
7a. Echipele CSIRT furnizează, fără întârzieri nejustificate, punctului unic de contact și, după caz, autorităților competente informațiile despre incidentele semnificative notificate în conformitate cu alineatul (1). |
Amendamentul 217
Propunere de directivă
Articolul 20 – alineatul 8
|
|
Textul propus de Comisie |
Amendamentul |
8. La cererea autorității competente sau a echipei CSIRT, punctul unic de contact transmite notificările primite în temeiul alineatelor (1) și (2) punctelor unice de contact din celelalte state membre afectate. |
8. La cererea echipei CSIRT, punctul unic de contact transmite notificările primite în temeiul alineatului (1) punctelor unice de contact din celelalte state membre afectate, asigurând totodată confidențialitatea și protecția adecvată a informațiilor furnizate de entitatea raportoare. |
Amendamentul 218
Propunere de directivă
Articolul 20 – alineatul 9
|
|
Textul propus de Comisie |
Amendamentul |
9. Punctul unic de contact transmite lunar ENISA un raport de sinteză care include date anonimizate și agregate privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită notificate în conformitate cu alineatele (1) și (2) și în conformitate cu articolul 27. Pentru a contribui la furnizarea de informații comparabile, ENISA poate emite orientări tehnice cu privire la parametrii informațiilor incluse în raportul de sinteză. |
9. Punctul unic de contact transmite lunar ENISA un raport de sinteză care include date anonimizate și agregate privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită notificate în conformitate cu alineatul (1) din prezentul articol și cu articolul 27. Pentru a contribui la furnizarea de informații comparabile, ENISA poate emite orientări tehnice cu privire la parametrii informațiilor incluse în raportul de sinteză. |
Amendamentul 219
Propunere de directivă
Articolul 20 – alineatul 10
|
|
Textul propus de Comisie |
Amendamentul |
10. Autoritățile competente furnizează autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] informații cu privire la incidentele și amenințările cibernetice notificate în conformitate cu alineatele (1) și (2) de către entitățile esențiale identificate ca fiind entități critice sau entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice]. |
10. Autoritățile competente furnizează autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] informații cu privire la incidentele și amenințările cibernetice notificate în conformitate cu alineatul (1) din prezentul articol și cu articolul 27 de către entitățile esențiale identificate ca fiind entități critice sau entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice]. |
Amendamentul 220
Propunere de directivă
Articolul 20 – alineatul 11
|
|
Textul propus de Comisie |
Amendamentul |
11. Comisia poate adopta acte de punere în aplicare pentru a preciza mai în detaliu tipul de informații, formatul și procedura referitoare la o notificare transmisă în temeiul alineatelor (1) și (2). Comisia poate adopta, de asemenea, acte de punere în aplicare pentru a preciza mai în detaliu cazurile în care un incident este considerat semnificativ, astfel cum se menționează la alineatul (3). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2). |
11. Comisia poate adopta acte de punere în aplicare pentru a preciza mai în detaliu procedura referitoare la o notificare transmisă în temeiul alineatului (1) din prezentul articol și al articolului 27. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2). |
Amendamentul 221
Propunere de directivă
Articolul 20 – alineatul 11 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
11a. Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 36, pentru a completa prezenta directivă prin specificarea tipului de informații care trebuie transmise în temeiul alineatului (1) din prezentul articol și prin specificarea, de asemenea, a parametrilor de care trebuie să se țină seama la determinarea importanței unui incident, astfel cum se menționează la alineatul (3) din prezentul articol. |
Amendamentul 222
Propunere de directivă
Articolul 21 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru a demonstra conformitatea cu anumite cerințe de la articolul 18, statele membre le pot solicita entităților esențiale și importante să certifice anumite produse TIC, servicii TIC și procese TIC în cadrul sistemelor europene de certificare a securității cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881. Produsele, serviciile și procesele care fac obiectul certificării pot fi elaborate de o entitate esențială sau importantă sau achiziționate de la terți. |
1. Statele membre, urmând orientările emise de ENISA, Comisie și grupul de cooperare, încurajează entitățile esențiale și importante să certifice anumite produse TIC, servicii TIC și procese TIC, fie dezvoltate de entitățile esențiale și importante, fie achiziționate de la părți terțe, în cadrul sistemelor europene de certificare a securității cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881 sau, dacă acestea nu sunt încă disponibile, în cadrul unor sisteme de certificare similare recunoscute la nivel internațional. De asemenea, statele membre încurajează entitățile esențiale și importante să utilizeze servicii de încredere calificate în conformitate cu Regulamentul (UE) nr. 910/2014. |
Amendamentul 223
Propunere de directivă
Articolul 21 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Comisia este împuternicită să adopte acte delegate pentru a preciza ce categorii de entități esențiale au obligația de a obține un certificat și în cadrul căror sisteme europene specifice de certificare a securității cibernetice în temeiul alineatului (1). Actele delegate se adoptă în conformitate cu articolul 36. |
2. Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 36, pentru a completa prezenta directivă prin specificarea categoriilor de entități esențiale și importante care au obligația de a obține un certificat în cadrul sistemelor europene specifice de certificare a securității cibernetice în temeiul articolului 49 din Regulamentul (UE) 2019/881. Astfel de acte delegate sunt luate în considerare atunci când se identifică niveluri insuficiente de securitate cibernetică, ele vor fi precedate de o evaluare a impactului și prevăd o perioadă de punere în aplicare. |
Amendamentul 224
Propunere de directivă
Articolul 21 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Comisia poate solicita ENISA să pregătească o propunere de sistem în temeiul articolului 48 alineatul (2) din Regulamentul (UE) 2019/881 în cazurile în care nu este disponibil niciun sistem european adecvat de certificare a securității cibernetice în sensul alineatului (2). |
3. După consultarea grupului de cooperare și a Grupului european pentru certificarea securității cibernetice, Comisia poate solicita ENISA să pregătească o propunere de sistem în temeiul articolului 48 alineatul (2) din Regulamentul (UE) 2019/881 în cazurile în care nu este disponibil niciun sistem european adecvat de certificare a securității cibernetice în sensul alineatului (2). |
Amendamentul 225
Propunere de directivă
Articolul 22 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. ENISA, în colaborare cu statele membre, elaborează avize și orientări în ceea ce privește domeniile tehnice care ar trebui să fie examinate în legătură cu alineatul (1), precum și în ceea ce privește standardele deja existente, inclusiv standardele naționale ale statelor membre, care ar permite reglementarea acestor domenii. |
2. ENISA, în colaborare cu statele membre și, după caz, după consultarea părților interesate relevante, elaborează avize și orientări în ceea ce privește domeniile tehnice care ar trebui să fie examinate în legătură cu alineatul (1), precum și în ceea ce privește standardele deja existente, inclusiv standardele naționale ale statelor membre, care ar permite reglementarea acestor domenii. |
Amendamentul 226
Propunere de directivă
Articolul 22 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
|
3. Comisia, în colaborare cu ENISA, sprijină și promovează elaborarea și punerea în aplicare a standardelor stabilite de organismele de standardizare relevante ale Uniunii și internaționale pentru punerea în aplicare convergentă a articolului 18 alineatele (1) și (2). Comisia sprijină actualizarea standardelor în lumina evoluțiilor tehnologice. |
Amendamentul 227
Propunere de directivă
Articolul 23 – titlu
|
|
Textul propus de Comisie |
Amendamentul |
Bazele de date cu numele de domenii și datele de înregistrare |
Structura bazelor de date cu numele de domenii și datele de înregistrare |
Amendamentul 228
Propunere de directivă
Articolul 23 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru a contribui la securitatea, stabilitatea și reziliența DNS, statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD colectează și mențin date exacte și complete privind înregistrarea numelor de domenii într-o bază de date dedicată, cu diligența necesară, sub rezerva legislației Uniunii în materie de protecție a datelor î cu caracter personal. |
1. Pentru a contribui la securitatea, stabilitatea și reziliența DNS, statele membre impun registrelor TLD și entităților care prestează servicii de înregistrare a numelor de domenii să colecteze și să mențină date exacte, verificate și complete privind înregistrarea numelor de domenii într-o structură a bazelor de date exploatată în acest scop. |
Amendamentul 229
Propunere de directivă
Articolul 23 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că bazele de date cu datele de înregistrare a numelor de domenii menționate la alineatul (1) conțin informații relevante pentru identificarea și contactarea titularilor numelor de domenii și a punctelor de contact care administrează numele de domenii în cadrul TLD-urilor. |
2. Statele membre se asigură că structura bazelor de date cu datele de înregistrare a numelor de domenii menționate la alineatul (1) conține informații relevante, care includ cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon, pentru identificarea și contactarea titularilor numelor de domenii și a punctelor de contact care administrează numele de domenii în cadrul TLD-urilor. |
Amendamentul 230
Propunere de directivă
Articolul 23 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD dispun de politici și proceduri care să asigure că bazele de date conțin informații exacte și complete. Statele membre se asigură că aceste politici și proceduri sunt puse la dispoziția publicului. |
3. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD dispun de politici și proceduri care să asigure că structura bazelor de date conține informații exacte, verificate și complete. Statele membre se asigură că aceste politici și proceduri sunt puse la dispoziția publicului. |
Amendamentul 231
Propunere de directivă
Articolul 23 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD publică, fără întârzieri nejustificate după înregistrarea unui nume de domeniu, date de înregistrare a domeniului care nu sunt date cu caracter personal. |
4. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pun la dispoziția publicului, fără întârzieri nejustificate după înregistrarea unui nume de domeniu, date de înregistrare a domeniului care nu sunt date cu caracter personal. În cazul registranților persoane juridice, datele de înregistrare a domeniului disponibile public includ cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon. |
Amendamentul 232
Propunere de directivă
Articolul 23 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD oferă acces la datele de înregistrare a numelor de domenii specifice în baza unor cereri legale și justificate în mod corespunzător ale solicitanților de acces legitimi, în conformitate cu legislația Uniunii în materie de protecție a datelor. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD răspund fără întârzieri nejustificate la toate cererile de acces. Statele membre se asigură că politicile și procedurile de divulgare a unor astfel de date sunt puse la dispoziția publicului. |
5. Statele membre impun registrelor TLD și entităților care prestează servicii de înregistrare a numelor de domenii să ofere acces la datele de înregistrare a numelor de domenii specifice, inclusiv la datele cu caracter personal, în baza unor cereri justificate în mod corespunzător ale solicitanților de acces legitimi, în conformitate cu legislația Uniunii în materie de protecție a datelor. Statele membre solicită registrelor TLD și entităților care prestează servicii de înregistrare a numelor de domenii să răspundă fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore de la primirea cererilor de acces. Statele membre se asigură că politicile și procedurile de divulgare a unor astfel de date sunt puse la dispoziția publicului. |
Amendamentul 233
Propunere de directivă
Articolul 24 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. În sensul prezentei directive, se consideră că entitățile menționate la alineatul (1) își au sediul principal din Uniune în statul membru în care se iau deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică. În cazul în care astfel de decizii nu se iau în niciun sediu din Uniune, se consideră că sediul principal este în statul membru în care entitățile au sediul cu cel mai mare număr de angajați din Uniune. |
2. În sensul prezentei directive, se consideră că entitățile menționate la alineatul (1) își au sediul principal din Uniune în statul membru în care se iau deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică. În cazul în care astfel de decizii nu se iau în niciun sediu din Uniune, se consideră că sediul principal este în statul membru în care entitățile au sediul cu cel mai mare număr de angajați din Uniune sau sediul în care se desfășoară operațiunile de securitate cibernetică. |
Amendamentul 234
Propunere de directivă
Articolul 25 – titlu
|
|
Textul propus de Comisie |
Amendamentul |
Registrul entităților esențiale și importante |
Registrul ENISA |
Amendamentul 235
Propunere de directivă
Articolul 25 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. ENISA creează și ține un registru al entităților esențiale și importante menționate la articolul 24 alineatul (1). Entitățile transmit ENISA următoarele informații până la [cel târziu 12 luni de la intrarea în vigoare a directivei]: |
1. ENISA creează și ține un registru securizat al entităților esențiale și importante menționate la articolul 24 alineatul (1), care include următoarele informații: |
Amendamentul 236
Propunere de directivă
Articolul 25 – alineatul 1 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) datele de contact actualizate, inclusiv adresele de e-mail și numerele de telefon ale entităților. |
(c) datele de contact actualizate, inclusiv adresele de e-mail, gama de IP-uri, numerele de telefon și sectoarele și subsectoarele relevante ale entităților menționate în anexele I și II. |
Amendamentul 237
Propunere de directivă
Articolul 25 – alineatul 1 – paragraful 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
Până la ... [12 luni de la data intrării în vigoare a prezentei directive], entitățile esențiale și importante transmit ENISA informațiile menționate la primul paragraf. |
Amendamentul 238
Propunere de directivă
Articolul 26 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. Fără a aduce atingere Regulamentului (UE) 2016/679, statele membre se asigură că entitățile esențiale și importante pot face schimb reciproc de informații relevante în materie de securitate cibernetică, inclusiv de informații referitoare la amenințări cibernetice, vulnerabilități, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare, în cazul în care un astfel de schimb de informații: |
1. Statele membre se asigură că entitățile esențiale și importante și alte entități relevante care nu intră sub incidența prezentei directive pot face schimb reciproc de informații relevante în materie de securitate cibernetică, inclusiv de informații referitoare la amenințări cibernetice, incidente evitate la limită, vulnerabilități, tehnici și proceduri, metadate și date privind conținutul, indicatori de compromis, tactici adversariale, modul de operare, informații specifice actorului, alerte de securitate cibernetică, tactici de spionaj industrial și configurații recomandate ale instrumentelor de securitate, în cazul în care un astfel de schimb de informații: |
Amendamentul 239
Propunere de directivă
Articolul 26 – alineatul 1 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) sporește nivelul de securitate cibernetică, în special prin sensibilizarea cu privire la amenințările cibernetice, prin limitarea sau împiedicarea răspândirii amenințărilor cibernetice, sprijinirea gamei de capacități defensive, remedierea și divulgarea vulnerabilităților, tehnicile de detectare a amenințărilor, strategiile de atenuare sau etapele proceselor de răspuns și de recuperare. |
(b) sporește nivelul de securitate cibernetică, în special prin sensibilizarea cu privire la amenințările cibernetice, prin limitarea sau împiedicarea răspândirii amenințărilor cibernetice, sprijinirea gamei de capacități defensive, remedierea și divulgarea vulnerabilităților, tehnicile de detectare, limitare și prevenire a amenințărilor, strategiile de atenuare sau etapele proceselor de răspuns și de recuperare sau promovarea colaborării dintre entitățile publice și private în domeniul cercetării amenințărilor cibernetice. |
Amendamentul 240
Propunere de directivă
Articolul 26 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că schimbul de informații are loc în cadrul unor comunități de încredere ale entităților esențiale și importante. Un astfel de schimb este pus în aplicare prin acorduri privind schimbul de informații, ținând seama de caracterul potențial sensibil al informațiilor partajate și în conformitate cu normele din dreptul Uniunii menționate la alineatul (1). |
2. Statele membre facilitează schimbul de informații prin făcând posibilă instituirea unor comunități de încredere ale entităților esențiale și importante și prestatorii lor de servicii sau, după caz, alți furnizori. Un astfel de schimb este pus în aplicare prin acorduri privind schimbul de informații, ținând seama de caracterul potențial sensibil al informațiilor partajate. |
Amendamentul 241
Propunere de directivă
Articolul 26 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre stabilesc norme care să specifice procedura, elementele operaționale (inclusiv utilizarea platformelor TIC dedicate), conținutul și condițiile acordurilor privind schimbul de informații menționate la alineatul (2). Aceste norme stabilesc, de asemenea, detaliile implicării autorităților publice în astfel de acorduri, precum și elementele operaționale, inclusiv utilizarea platformelor informatice dedicate. Statele membre oferă sprijin pentru aplicarea unor astfel de acorduri în conformitate cu politicile lor menționate la articolul 5 alineatul (2) litera (g). |
3. Statele membre facilitează instituirea acordurilor privind schimbul de informații în materie de securitate cibernetică menționate la alineatul (2) punând la dispoziție elementele operaționale (inclusiv utilizarea platformelor TIC dedicate și a instrumentelor de automatizare) și conținut. Statele membre stabilesc detaliile implicării autorităților publice în astfel de acorduri și pot impune anumite condiții pentru informațiile puse la dispoziție de autoritățile competente sau echipele CSIRT. Statele membre oferă sprijin pentru aplicarea unor astfel de acorduri în conformitate cu politicile lor menționate la articolul 5 alineatul (2) litera (g). |
Amendamentul 242
Propunere de directivă
Articolul 27 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
Statele membre se asigură că, fără a aduce atingere articolului 3, entitățile care nu intră în domeniul de aplicare al prezentei directive pot transmite notificări, în mod voluntar, cu privire la incidente semnificative, amenințări cibernetice sau incidente evitate la limită. Atunci când tratează notificările, statele membre acționează în conformitate cu procedura prevăzută la articolul 20. Statele membre pot trata notificările obligatorii cu prioritate față de notificările voluntare. Notificarea voluntară nu impune entității raportoare nicio obligație suplimentară care nu i-ar fi revenit dacă nu ar fi transmis notificarea. |
Statele membre se asigură că se pot transmite notificări destinate CSIRT, în mod voluntar, de către: |
Amendamentul 243
Propunere de directivă
Articolul 27 – paragraful 1 – litera a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(a) entități esențiale și importante, în ceea ce privește amenințările cibernetice și incidentele evitate la limită; |
Amendamentul 244
Propunere de directivă
Articolul 27 – paragraful 1 – litera b (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(b) entități care nu intră în domeniul de aplicare al prezentei directive, în ceea ce privește incidentele semnificative, amenințările cibernetice sau incidentele evitate la limită. |
Amendamentul 245
Propunere de directivă
Articolul 27 – paragraful 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
Atunci când prelucrează astfel de notificări, statele membre acționează în conformitate cu procedura prevăzută la articolul 20. Statele membre pot acorda prioritate prelucrării notificărilor obligatorii față de cele voluntare. Dacă este necesar, echipele CSIRT furnizează punctului unic de contact și, după caz, autorităților competente informațiile despre notificările primite în temeiul prezentului articol, asigurând totodată confidențialitatea și protecția adecvată a informațiilor furnizate de entitatea raportoare. Notificarea voluntară nu impune entității raportoare nicio obligație suplimentară care nu i-ar fi revenit dacă nu ar fi transmis notificarea. |
Amendamentul 246
Propunere de directivă
Articolul 28 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Autoritățile competente lucrează în strânsă cooperare cu autoritățile de protecție a datelor în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal. |
2. Autoritățile competente lucrează în strânsă cooperare cu autoritățile de protecție a datelor în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal. Acest lucru se realizează în conformitate cu competențele și sarcinile care le revin în temeiul Regulamentului (UE) 2016/679. |
Amendamentul 247
Propunere de directivă
Articolul 29 – alineatul 2 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) unor inspecții la fața locului și unei supravegheri ex situ, inclusiv unor verificări aleatorii; |
(a) unor inspecții la fața locului și unei supravegheri ex situ, inclusiv unor verificări aleatorii, realizate de profesioniști cu formare corespunzătoare; |
Amendamentul 248
Propunere de directivă
Articolul 29 – alineatul 2 – litera aa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(aa) unei investigări a cazurilor de neconformitate și a efectelor acestora asupra securității serviciilor; |
Amendamentul 249
Propunere de directivă
Articolul 29 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) unor audituri periodice; |
(b) unor audituri de securitate anuale și specifice efectuate de un organism independent calificat sau de o autoritate competentă; |
Amendamentul 250
Propunere de directivă
Articolul 29 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri; |
(c) unor audituri ad hoc în cazurile care se justifică pe baza unui incident semnificativ sau a unei nerespectări a obligațiilor de către entitatea esențială; |
Amendamentul 251
Propunere de directivă
Articolul 29 – alineatul 2 – paragrafele 1 a și 1 b (noi)
|
|
Textul propus de Comisie |
Amendamentul |
|
Auditurile de securitate specifice, menționate la primul paragraf litera (b), se bazează pe evaluări ale riscurilor efectuate de autoritatea competentă sau de entitatea auditată sau pe alte informații disponibile legate de riscuri. |
|
Rezultatele oricărui audit de securitate specific se pun la dispoziția autorității competente. Costurile unui astfel de audit de securitate specific efectuat de un organism independent calificat sunt plătite de entitatea în cauză. |
Amendamentul 252
Propunere de directivă
Articolul 29 – alineatul 2 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2a. În cazul în care își exercită competențele în conformitate cu alineatul (2) literele (a)-(d), autoritățile competente reduc la minimum impactul asupra proceselor comerciale ale entității. |
Amendamentul 253
Propunere de directivă
Articolul 29 – alineatul 4 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) de a emite instrucțiuni obligatorii sau un ordin prin care le solicită acestor entități să remedieze deficiențele identificate sau încălcările obligațiilor prevăzute în prezenta directivă; |
(b) de a emite instrucțiuni obligatorii, inclusiv în ceea ce privește măsurile necesare pentru a preveni sau remedia un incident, precum și termene-limită pentru implementarea acestor măsuri și pentru a raporta cu privire la implementarea lor, sau un ordin prin care le solicită acestor entități să remedieze deficiențele identificate sau încălcările obligațiilor prevăzute în prezenta directivă; |
Amendamentul 254
Propunere de directivă
Articolul 29 – alineatul 4 – litera i
|
|
Textul propus de Comisie |
Amendamentul |
(i) de a face o declarație publică în care identifică persoana (persoanele) juridică (juridice) și fizică (fizice) responsabilă (responsabile) pentru încălcarea unei obligații prevăzute în prezenta directivă și natura încălcării respective; |
eliminat |
Amendamentul 255
Propunere de directivă
Articolul 29 – alineatul 4 – litera j
|
|
Textul propus de Comisie |
Amendamentul |
(j) de a impune sau a solicita impunerea de către organismele sau instanțele relevante, în conformitate cu legislația națională, a unei amenzi administrative în temeiul articolului 31, în plus față de măsurile menționate la literele (a)-(i) de la prezentul alineat sau în locul acestora, în funcție de circumstanțele fiecărui caz în parte. |
(j) de a impune sau a solicita impunerea de către organismele sau instanțele relevante, în conformitate cu legislația națională, a unei amenzi administrative în temeiul articolului 31, în plus față de măsurile menționate la literele (a)-(i) de la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte. |
Amendamentul 256
Propunere de directivă
Articolul 29 – alineatul 5 – paragraful 1 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) să suspende sau să solicite unui organism de certificare sau de autorizare suspendarea unei certificări sau a unei autorizații privind o parte sau toate serviciile sau activitățile furnizate de o entitate esențială; |
(a) să suspende temporar sau să solicite unui organism de certificare sau de autorizare suspendarea temporară a unei certificări sau a unei autorizații privind o parte sau toate serviciile sau activitățile relevante furnizate de o entitate esențială; |
Amendamentul 257
Propunere de directivă
Articolul 29 – alineatul 5 – paragraful 1 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) să impună sau să solicite impunerea de către organismele sau instanțele relevante, în conformitate cu legislația națională, a unei interdicții temporare de a exercita funcții de conducere în cadrul entității respective împotriva oricărei persoane care exercită responsabilități de conducere la nivel de director executiv sau de reprezentant legal în entitatea esențială respectivă, precum și împotriva oricărei alte persoane fizice declarate responsabilă de încălcare. |
(b) în ultimă instanță, să solicite impunerea de către organismele sau instanțele relevante, în conformitate cu legislația națională, a unei interdicții temporare de a exercita funcții de conducere în cadrul entității respective împotriva oricărei persoane care exercită responsabilități de conducere la nivel de director executiv sau de reprezentant legal în entitatea esențială respectivă. |
Amendamentul 258
Propunere de directivă
Articolul 29 – alineatul 5 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
Aceste sancțiuni se aplică numai până în momentul în care entitatea ia măsurile necesare în vederea remedierii deficiențelor sau a respectării cerințelor impuse de autoritatea competentă în temeiul cărora au fost aplicate aceste sancțiuni. |
Suspendările temporare sau interdicțiile aplicate în temeiul prezentului alineat se aplică numai până în momentul în care entitatea în cauză ia măsurile necesare în vederea remedierii deficiențelor sau a respectării cerințelor impuse de autoritatea competentă pentru care au fost aplicate aceste sancțiuni. Impunerea unor astfel de suspendări temporare sau interdicții face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
Amendamentul 259
Propunere de directivă
Articolul 29 – alineatul 7 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) daunele reale cauzate sau pierderile suferite ori daunele sau pierderile potențiale care ar fi putut fi cauzate, în măsura în care acestea pot fi determinate. La evaluarea acestui aspect, se ține seama, printre altele, de pierderile financiare sau economice reale sau potențiale, de efectele asupra altor servicii și de numărul de utilizatori afectați sau potențial afectați; |
(c) daunele cauzate sau pierderile suferite, inclusiv pierderile financiare sau economice, efectele asupra altor servicii și numărul de utilizatori afectați; |
Amendamentul 260
Propunere de directivă
Articolul 29 – alineatul 7 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) orice încălcare anterioară relevantă comisă de entitatea în cauză; |
Amendamentul 261
Propunere de directivă
Articolul 29 – alineatul 9
|
|
Textul propus de Comisie |
Amendamentul |
9. Statele membre se asigură că autoritățile lor competente informează autoritățile competente relevante din statul membru în cauză desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] atunci când își exercită competențele de supraveghere și de asigurare a respectării legislației menite să asigure conformitatea unei entități esențiale identificate ca fiind critică sau ca fiind o entitate echivalentă cu o entitate critică, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu obligațiile care decurg din prezenta directivă. La cererea autorităților competente în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], autoritățile competente își pot exercita competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică sau ca fiind o entitate echivalentă cu o entitate critică. |
9. Statele membre se asigură că autoritățile lor competente informează autoritățile competente relevante din toate statele membre relevante desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] atunci când își exercită competențele de supraveghere și de asigurare a respectării legislației menite să asigure conformitatea unei entități esențiale identificate ca fiind critică sau ca fiind o entitate echivalentă cu o entitate critică, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu obligațiile care decurg din prezenta directivă. La cererea autorităților competente în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], autoritățile competente își pot exercita competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică sau ca fiind o entitate echivalentă cu o entitate critică. |
Amendamentul 262
Propunere de directivă
Articolul 29 – alineatul 9 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
9a. Statele membre se asigură că autoritățile lor competente cooperează cu autoritățile competente relevante din statul membru în cauză desemnate în temeiul Regulamentului (UE) XXXX/XXXX [DORA]. |
Amendamentul 263
Propunere de directivă
Articolul 30 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Atunci când li se furnizează dovezi sau indicii că o entitate importantă nu respectă obligațiile prevăzute în prezenta directivă, în special la articolele 18 și 20, statele membre se asigură că autoritățile competente iau măsuri, dacă este necesar, prin intermediul unor măsuri de supraveghere ex post. |
1. Atunci când li se furnizează dovezi sau indicii că o entitate importantă nu respectă obligațiile prevăzute în prezenta directivă, în special la articolele 18 și 20, statele membre se asigură că autoritățile competente iau măsuri, dacă este necesar, prin intermediul unor măsuri de supraveghere ex post. Statele membre se asigură că aceste măsuri sunt eficace, proporționale și disuasive, ținând seama de circumstanțele fiecărui caz în parte. |
Amendamentul 264
Propunere de directivă
Articolul 30 – alineatul 2 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) unor inspecții la fața locului și unei supravegheri ex situ ex post; |
(a) unor inspecții la fața locului și unei supravegheri ex situ ex post realizate de profesioniști cu formare corespunzătoare; |
Amendamentul 265
Propunere de directivă
Articolul 30 – alineatul 2 – litera aa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(aa) unei investigări a cazurilor de neconformitate și a efectelor acestora asupra securității serviciilor; |
Amendamentul 266
Propunere de directivă
Articolul 30 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri; |
(b) unor audituri de securitate specifice efectuate de un organism independent calificat sau de o autoritate competentă; |
Amendamentul 267
Propunere de directivă
Articolul 30 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) unor scanări de securitate bazate pe criterii obiective, echitabile și transparente de evaluare a riscurilor; |
(c) unor scanări de securitate bazate pe criterii obiective, nediscriminatorii, echitabile și transparente de evaluare a riscurilor; |
Amendamentul 268
Propunere de directivă
Articolul 30 – alineatul 2 – paragrafele 1 a și 1 b (noi)
|
|
Textul propus de Comisie |
Amendamentul |
|
Auditurile de securitate specifice, menționate la primul paragraf litera (b), se bazează pe evaluări ale riscurilor efectuate de autoritatea competentă sau de entitatea auditată sau pe alte informații disponibile legate de riscuri. |
|
Rezultatele oricărui audit de securitate specific se pun la dispoziția autorității competente. Costurile unui astfel de audit de securitate specific efectuat de un organism independent calificat sunt plătite de entitatea în cauză. |
Amendamentul 269
Propunere de directivă
Articolul 30 – alineatul 4 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) de a face o declarație publică în care identifică persoana (persoanele) juridică (juridice) și fizică (fizice) responsabilă (responsabile) pentru încălcarea unei obligații prevăzute în prezenta directivă și natura încălcării respective; |
eliminat |
Amendamentul 270
Propunere de directivă
Articolul 30 – alineatul 4 – litera i
|
|
Textul propus de Comisie |
Amendamentul |
(i) de a impune sau a solicita impunerea de către organismele sau instanțele relevante, în conformitate cu legislația națională, a unei amenzi administrative în temeiul articolului 31, în plus față de măsurile menționate la literele (a)-(h) de la prezentul alineat sau în locul acestora, în funcție de circumstanțele fiecărui caz în parte. |
(i) de a impune sau a solicita impunerea de către organismele sau instanțele relevante, în conformitate cu legislația națională, a unei amenzi administrative în temeiul articolului 31, în plus față de măsurile menționate la literele (a)-(h) de la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte. |
Amendamentul 271
Propunere de directivă
Articolul 31 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 29 alineatul (4) literele (a)-(i), la articolul 29 alineatul (5) și la articolul 30 alineatul (4) literele (a)(h). |
2. În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea măsurilor menționate la articolul 29 alineatul (4) literele (a)-(i), la articolul 29 alineatul (5) și la articolul 30 alineatul (4) literele (a)-(h). |
Amendamentul 272
Propunere de directivă
Articolul 32 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. În cazul în care autoritățile competente au indicii că încălcarea de către o entitate esențială sau importantă a obligațiilor prevăzute la articolele 18 și 20 atrage după sine o încălcare a securității datelor cu caracter personal, astfel cum este definită la articolul 4 alineatul (12) din Regulamentul (UE) nr. 2016/679, care este notificată în temeiul articolului 33 din regulamentul respectiv, acestea informează într-un termen rezonabil autoritățile de supraveghere competente în temeiul articolelor 55 și 56 din regulamentul respectiv. |
1. În cazul în care autoritățile competente au indicii că încălcarea de către o entitate esențială sau importantă a obligațiilor prevăzute la articolele 18 și 20 atrage după sine o încălcare a securității datelor cu caracter personal, astfel cum este definită la articolul 4 punctul 12 din Regulamentul (UE) nr. 2016/679, care este notificată în temeiul articolului 33 din regulamentul respectiv, acestea informează autoritățile de supraveghere competente în temeiul articolelor 55 și 56 din regulamentul respectiv fără întârzieri nejustificate și în orice caz în termen de 72 de ore de la constatarea încălcării securității datelor. |
Amendamentul 273
Propunere de directivă
Articolul 32 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. În cazul în care autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 este stabilită într-un alt stat membru decât autoritatea competentă, aceasta din urmă poate informa autoritatea de supraveghere stabilită în același stat membru. |
3. În cazul în care autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 este stabilită într-un alt stat membru decât autoritatea competentă, aceasta din urmă informează autoritatea de supraveghere stabilită în același stat membru. |
Amendamentul 274
Propunere de directivă
Articolul 35 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
Comisia revizuiește periodic funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Raportul evaluează în special relevanța sectoarelor, a subsectoarelor, a dimensiunii și a tipului de entități menționate în anexele I și II pentru funcționarea economiei și a societății în ceea ce privește securitatea cibernetică. În acest scop și în vederea intensificării cooperării strategice și operaționale, Comisia ține cont de rapoartele grupului de cooperare și ale rețelei CSIRT privind experiența obținută la nivel strategic și operațional. Primul raport se transmite până la… 54 de luni de la data intrării în vigoare a prezentei directive. |
Până la … [42 de luni de la data intrării în vigoare a prezentei directive] și, ulterior, la fiecare 36 de luni, Comisia revizuiește funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Raportul evaluează în special relevanța sectoarelor, a subsectoarelor, a dimensiunii și a tipului de entități menționate în anexele I și II pentru funcționarea economiei și a societății în ceea ce privește securitatea cibernetică. În acest scop și în vederea intensificării cooperării strategice și operaționale, Comisia ține cont de rapoartele grupului de cooperare și ale rețelei CSIRT privind experiența obținută la nivel strategic și operațional. |
|
Raportul este însoțit, după caz, de o propunere legislativă. |
Amendamentul 275
Propunere de directivă
Articolul 36 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Competența de a adopta acte delegate menționată la articolul 18 alineatul (6) și la articolul 21 alineatul (2) se conferă Comisiei pentru o perioadă de cinci ani de la […] |
2. Competența de a adopta acte delegate menționată la articolul 18 alineatul (6), articolul 20 alineatul (11a) și la articolul 21 alineatul (2) se conferă Comisiei pentru o perioadă de cinci ani de la […] |
Amendamentul 276
Propunere de directivă
Articolul 36 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Delegarea de competențe menționată la articolul 18 alineatul (6) și la articolul 21 alineatul (2) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. Decizia de revocare pune capăt delegării competenței menționate în decizia respectivă. Aceasta produce efecte începând cu ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară specificată în decizie. Aceasta nu aduce atingere valabilității actelor delegate aflate deja în vigoare. |
3. Delegarea de competențe menționată la articolul 18 alineatul (6), articolul 20 alineatul (11a) și la articolul 21 alineatul (2) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. Decizia de revocare pune capăt delegării competenței menționate în decizia respectivă. Aceasta produce efecte începând cu ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară specificată în decizie. Aceasta nu aduce atingere valabilității actelor delegate aflate deja în vigoare. |
Amendamentul 277
Propunere de directivă
Articolul 36 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. Un act delegat adoptat în temeiul articolului 18 alineatul (6) și al articolului 21 alineatul (2) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului. |
6. Un act delegat adoptat în temeiul articolului 18 alineatul (6), al articolului 20 alineatul (11a) și al articolului 21 alineatul (2) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului. |
Amendamentul 278
Propunere de directivă
Articolul 42 – paragraful 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
Cu toate acestea, articolele 39 și 40 se aplică de la … [18 luni de la data intrării în vigoare a prezentei directive]. |
Amendamentul 279
Propunere de directivă
Anexa I – punctul 2 – litera d – liniuța 2 (nouă)
Textul propus de Comisie |
|
Amendamentul |
|
2. Transport |
(d) Transport rutier |
— Operatorii de servicii de încărcare inteligentă a vehiculelor electrice |
Amendamentul 280
Propunere de directivă
Anexa II – tabel – rândul 6 a (nou)
Textul propus de Comisie |
|
Amendamentul |
|
6a. Educație și cercetare |
|
— Instituții de învățământ superior și institute de cercetare |
EXPUNERE DE MOTIVE
Raportorul dorește ca Europa să devină cel mai bun loc pentru a trăi și a desfășura activități comerciale.
Prin urmare, salută Directiva privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (NIS2), care înlocuiește Directiva NIS inițială (NIS1). Propunerea reflectă evoluția amenințărilor la adresa securității cibernetice și introduce o armonizare minimă a măsurilor în întreaga UE.
În prezent, forțele de poliție europene se străduiesc din ce în ce mai mult să facă față creșterii puternice a numărului de infracțiuni informatice. Printre acestea se pot număra infracțiunile comise cu ajutorul tehnologiilor de vârf, infracțiunile facilitate prin mijloace informatice și frauda de tip CEO, dar raportorul dorește să sublinieze explicit creșterea agresivă a numărului de bande de ransomware care piratează și șantajează ținte europene, indiferent de dimensiunea sau cifra lor de afaceri. La rândul lor, actori statali adverși se concentrează asupra furtului de proprietate intelectuală la scară industrială, ceea ce necesită un răspuns corespunzător.
Totuși, potrivit ENISA, cheltuielile generale efectuate de organizațiile din UE pentru securitatea cibernetică sunt cu 41 % mai scăzute decât cele ale omologilor lor din SUA. În plus, schimbul de informații între țări și în interiorul acestora a fost grav afectat de temerile legate de asumarea răspunderii în temeiul RGPD. Acest lucru este evident atât în cazul entităților publice, cât și al celor private, care se tem să facă schimb de date. Așadar, NIS2 trebuie să menționeze clar că schimbul de informații este esențial pentru îndeplinirea cerințelor în materie de securitate cibernetică.
Un nivel comun de securitate cibernetică în UE este esențial pentru funcționarea pieței interne. Este necesară o legislație bine definită, astfel încât întreprinderile care își desfășoară activitatea în state membre diferite să intre sub incidența aceluiași set de norme. NIS2 dorește să elimine incertitudinea și actuala lipsă de claritate.
Într-o epocă în care criminalitatea informatică, spionajul sau operațiunile de sabotaj pot avea efecte în cascadă, NIS2 lărgește în mod just domeniul de aplicare. Propunerea include sectoare care anterior nu erau considerate esențiale sau importante, dar care sunt cu siguranță considerate ca atare de către bandele de ransomware sau de către anumite state naționale. Pe baza serviciilor pe care entitățile le furnizează societăților, ele sunt împărțite în următoarele două categorii juridice: entități „esențiale” și „importante”. Raportorul împărtășește ambiția propunerii Comisiei și consideră că instituțiile academice și de cercetare ar trebui incluse ca un nou sector. Aceste instituții sunt puternic vizate, iar proprietatea lor intelectuală merită să fie protejată în temeiul NIS2.
Sarcina administrativă și birocrația pentru întreprinderi trebuie să reprezinte o preocupare constantă a tuturor legiuitorilor. Raportorul sprijină excluderea microîntreprinderilor și a întreprinderilor mici. Mai mult, consideră că NIS2 nu ar trebui să se concentreze doar asupra conformității și a măsurilor penale, ci și asupra stimulentelor pozitive, cum ar fi furnizarea de orientări și asistență IMM-urilor, care au nevoi și interese specifice, sau asupra serviciilor oferite gratuit de verificare a configurației serverului de e-mail și site-urilor web. Astfel de propuneri sunt, de asemenea, menite să ilustreze, în acest sens, faptul că guvernele trebuie să se orienteze către servicii.
Raportarea incidentelor este esențială pentru securitatea cibernetică: poate împiedica alte persoane să devină victime ale unui atac cibernetic. Raportorul dorește să menționeze că, în fosta sa calitate în domeniul securității cibernetice, i-a fost adesea imposibil să raporteze un incident în termen de 24 de ore. De obicei, în acest stadiu incipient, un incident este încă neclar până la o dată ulterioară. Pentru raportor, termenul propus de 24 de ore pare nerezonabil și din cauza faptului că experții depun eforturi pentru a atenua problema; raportarea în această etapă prezintă un interes secundar. Incidentul cibernetic și implicațiile sale sunt rareori bine înțelese în termen de 24 de ore, iar notificările în termen de 24 de ore ar putea duce la raportări incorecte, la supraraportare și la confuzie suplimentară. În plus, aceste incidente au loc deseori în weekend. Prin urmare, raportorul propune alinierea prezentei directive la alte acte legislative ale Uniunii, cum ar fi RGPD, majorând astfel termenul la 72 de ore.
Raportorul consideră că nu este de dorit ca raportarea incidentelor potențiale să devină obligatorie. Ar trebui încurajat schimbul voluntar de informații despre incidentele potențiale sau incidentele evitate la limită, dar entitățile medii și mari pot înregistra zeci sau chiar sute de amenințări cibernetice semnificative într-o singură zi. Raportarea acestor incidente potențiale ar fi împovărătoare și ar inhiba eficacitatea răspunsului. De asemenea, ar putea afecta eficacitatea autorităților care trebuie să trateze aceste notificări, subminând încrederea în sistemul de raportare și capacitatea lor de a acționa în urma incidentelor reale.
Nici raportarea potențialelor amenințări cibernetice către CSIRT sau autoritățile competente nu ar trebui să fie obligatorie. Conformitatea și răspunderea vor descuraja activitățile celor care încearcă să identifice amenințările, o parte esențială a ecosistemului de securitate cibernetică. În plus, există situații (grave) în care ar fi mai bine să se raporteze o amenințare comunității serviciilor de informații, atunci când amenințarea respectivă se află în domeniul lor de competență, în loc să se raporteze autorităților NIS.
Măsurile de securitate cibernetică ar trebui să fie adecvate dimensiunii entității și riscurilor la adresa securității cibernetice cu care se confruntă. În consecință, supravegherea și punerea în aplicare ar trebui să fie proporționale. Amenzile și măsurile penale sunt esențiale pentru ca legislația NIS2 să fie efectivă, dar raportorul consideră că legiuitorii ar trebui să sublinieze că există o scară de escaladare și că numai după neglijarea demonstrabilă a unor avertismente repetate ar trebui să se aplice conducerii superioare rigorile legii. Prevenirea dublei supravegheri prin intermediul legislației sectoriale este, de asemenea, importantă pentru entitățile care intră atât în sfera NIS2, cât și în cea a unui sector specific, cum ar fi DORA.
Raportorul încurajează fiecare stat membru să formuleze o strategie națională de securitate cibernetică privind apărarea cibernetică activă. În Europa, reușim să ne coordonăm după producerea unui incident, dar creșterea cunoștințelor (publice și private) despre atacurile cibernetice înainte să se producă implică, totodată, o responsabilitate. Doar împărtășirea pasivă a cunoștințelor respective nu este suficientă; cetățenii și entitățile așteaptă o poziție activă din partea guvernelor lor în ceea ce privește protecția securității cibernetice. Statele membre trebuie să inițieze capacități de combatere a atacurilor și de prevenire activă a acestora.
Nucleul internetului necesită, de asemenea, atenție. Serviciile DNS trebuie să le ofere clienților servicii sigure și orientate către confidențialitate. Acest lucru nu este încă general acceptat. Raportorul este preocupat de faptul că cetățenii care au propriul serviciu DNS pe un laptop sau pe un server de mici dimensiuni la domiciliu intră în domeniul de aplicare al propunerii Comisiei. Raportorul dorește ca aceste persoane, care dețin adesea cunoștințe în domeniul tehnologiei moderne, să fie excluse din sfera prezentei directive. O altă problemă o reprezintă faptul că operatorii de servere pentru numele primare sunt incluși în domeniul de aplicare al NIS2. În urma extinderii internetului în anii ’70 și ’80 și ulterior, aceste servicii sunt operate de voluntari cu un înalt nivel de cunoștințe de specialitate. Întrucât acest serviciu nu este retribuit și deoarece se poate argumenta că guvernele nu ar trebui să îl reglementeze, raportorul consideră că serverele pentru numele primare ar trebui excluse din domeniul de aplicare.
Raportorul consideră că este extrem de important să se consolideze securitatea generală a rețelelor și serviciilor de comunicații electronice și să se îmbunătățească integritatea internetului. Aceasta înseamnă că, în întreaga Europă, ar trebui utilizate tehnici interoperabile bazate pe încredere. Sunt puternic încurajate rezolverele DNS europene, care acordă o atenție sporită vieții private și securității, precum și protecției fizice a magistralelor de internet sau a cablurilor de comunicații submarine. Prin urmare, prezenta directivă ar trebui privită din perspectiva întregului pachet al strategiei de securitate cibernetică, astfel cum a fost lansată de Comisie: avem nevoie de un nucleu mai sigur al internetului.
Mai mult, NIS2 oferă temeiul juridic pentru evaluările coordonate ale riscurilor de securitate efectuate de grupul de cooperare. Setul de instrumente 5G a servit drept exemplu excelent. Raportorul consideră că aceste evaluări ale riscurilor ar putea îmbunătăți în mare măsură securitatea și suveranitatea strategică a Uniunii și crede că evaluările riscurilor ar trebui efectuate pentru o gamă largă de servicii, sisteme sau produse TIC. Scanerele de încărcături din aeroporturi și porturi reprezintă un exemplu explicit pe care dorește să îl menționeze în acest sens.
În mod neintenționat, schimbul de informații esențiale a fost îngreunat considerabil și ar trebui îmbunătățit. De exemplu: în ultimii ani, forțele de poliție au descoperit și au decriptat servere ale bandelor de ransomware, care conțin uneori milioane de victime, în UE și în afara UE. Misiunea poliției este de a investiga noi cazuri, ceea ce permite CSIRT să ajungă la ținte și să reducă amenințările cibernetice cu ajutorul informațiilor descoperite pe serverele respective. Din păcate, din cauza unor obstacole juridice percepute ca nejustificate, aproape nicio victimă nu a fost notificată sau asistată. Astfel, este esențial ca NIS2 să creeze un temei juridic clar pentru a se atenua astfel de amenințări și a se partaja informații nu numai în interiorul UE, ci și cu parteneri din afara UE.
Prin extinderea domeniului de aplicare, CSIRT trebuie să se pregătească să ofere soluții scalabile și automatizate pentru distribuirea rapidă și sigură a detaliilor vulnerabilităților comunicate în mod coordonat, a rapoartelor despre incidente și a informațiilor privind amenințările. Automatizarea schimbului de informații nu este doar un aspect secundar al prezentei directive: se află chiar în centrul său. Furnizarea temeiului juridic pentru ca CSIRT și companiile să facă schimb de date cu clienții, omologii și autoritățile lor, atât din interiorul, cât și din afara UE, este o condiție prealabilă pentru toate bunele intenții ale NIS2.
Utilizarea standardelor și a sistemelor de certificare este o altă caracteristică pozitivă a propunerii Comisiei. Certificarea ar trebui să fie posibilă prin intermediul unor sisteme specifice recunoscute la nivel european și internațional, preferabile sistemelor naționale. Obiectivul ar trebui să fie armonizarea; normele dintr-un stat membru ar trebui să fie similare cu cele din alte state membre.
Propunerea NIS2 cere ENISA să creeze și să mențină un registru european al vulnerabilităților. Raportorul consideră că o bază de date europeană privind vulnerabilitățile ar trebui să fie preferată unui registru. Există puține motive pentru a dubla ceea ce este deja în vigoare și utilizat de comunitatea de securitate cibernetică ca standard comun în toate părțile lumii. Dublarea va spori dezacordul și confuzia în cadrul comunității de experți. O bază de date europeană, nu un registru, ar trebui să se bazeze pe registrul CVE: lista înregistrărilor privind vulnerabilitățile în materie de securitate cibernetică cunoscute public la nivel internațional, care este utilizată în întreaga lume. Raportorul consideră că ENISA ar trebui să aibă un nou rol proeminent în cadrul registrului CVE, care în prezent se află în principal în SUA. În plus, ar trebui evitată dublarea eforturilor; rezultatul dorit ar trebui să îl constituie o bază de date privind provocările unice pentru organizațiile europene. Nu în ultimul rând, raportorul subliniază că este extrem de important ca ENISA să dispună de infrastructura și procedurile necesare pentru a trata informațiile clasificate. Securitatea cibernetică ar trebui gestionată de la nivelul neclasificat până la nivelul (strict) secret.
Datele WHOIS, registrul oficial al numelor de domenii, reprezintă singurul mijloc viabil de a obține informațiile necesare pentru a identifica actorii criminali, a urmări factorii de amenințare, a preveni daunele și a proteja ecosistemul online. Comunitatea de securitate cibernetică se bazează pe aceste date, ce le permit celor care încearcă să identifice amenințările să îi urmărească pe adversari, astfel încât cetățenii și entitățile să se poată proteja împotriva amenințărilor viitoare. Este singurul mecanism fiabil de asumare a răspunderii în cadrul unui internet altminteri anonim. Cu toate acestea, în ultimii trei ani, după intrarea în vigoare a RGPD, datele WHOIS sunt considerate de unii ca fiind o chestiune ce ține de răspundere. Din nefericire, practica de durată a datelor WHOIS a fost oprită nejustificat. În consecință, raportorul reiterează în raportul său legalitatea prelucrării datelor din motive de securitate cibernetică în temeiul RGPD, cu dorința legislativă explicită ca datele WHOIS să fie din nou partajate.
În general, raportorul consideră că NIS2 reprezintă un pas necesar pentru armonizarea pieței noastre interne și îmbunătățirea securității cibernetice în întreaga UE.
AVIZ AL COMISIEI PENTRU LIBERTĂȚI CIVILE, JUSTIȚIE ȘI AFACERI INTERNE (15.10.2021)
destinat Comisiei pentru industrie, cercetare și energie
referitor la propunerea de Directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148
(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))
Raportor pentru aviz (*): Lukas Mandl(*)
Procedura comisiilor asociate – articolul 57 din Regulamentul de procedură
JUSTIFICARE SUCCINTĂ
Propunerea de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune, de abrogare a Directivei (UE) 2016/1148 (Directiva NIS2)[2], face parte dintr-o serie mai amplă de inițiative la nivelul Uniunii care vizează creșterea rezilienței entităților publice și private împotriva amenințărilor. Propunerea urmărește să remedieze deficiențele legislației existente și să permită entităților care intră în domeniul său de aplicare să răspundă mai bine noilor provocări identificate de Comisie în evaluarea impactului, care a inclus o consultare amplă a părților interesate. Printre aceste provocări se numără, în special, digitalizarea sporită a pieței interne și evoluția situației amenințărilor la adresa securității.
Temeiul juridic al propunerii este articolul 114 din TFUE (piața internă). Din perspectiva LIBE, este totuși important să se evidențieze faptul că măsurile impuse rețelelor și sistemelor informatice prin Directiva NIS2 nu servesc doar la asigurarea bunei funcționări a pieței interne. Directiva ar trebui, de asemenea, să contribuie la securitatea Uniunii în ansamblu, printre altele prin evitarea vulnerabilității divergente la riscurile de securitate cibernetică dintre statele membre.
În acest scop, este esențial să se elimine divergențele existente între statele membre care rezultă din interpretările diferite ale legislației de către statele membre. Din acest motiv, raportorul salută condiția uniformă stabilită de regulament pentru a stabili entitățile care intră în domeniul de aplicare al directivei. Se fac sugestii suplimentare pentru a preveni divergențele în ceea ce privește punerea în aplicare, în special pentru a obliga Comisia să emită orientări privind punerea în aplicare a lex specialis și criteriile aplicabile IMM-urilor (care ar trebui, de asemenea, să asigure claritatea juridică și să evite sarcinile inutile) și să solicite Grupului de cooperare să specifice factorii fără caracter tehnic care trebuie luați în considerare în evaluările riscurilor din cadrul lanțului de aprovizionare. În plus, se subliniază faptul că cooperarea dintre autoritățile competente trebuie să aibă loc atât în interiorul statelor membre, cât și între acestea, în timp real.
Proiectul de raport preia, de asemenea, o serie de recomandări formulate de AEPD în avizul său privind Strategia de securitate cibernetică și Directiva NIS 2.0[3]. Cel mai important, se clarifică atât în considerente, cât și în partea dispozitivă a textului că nicio prelucrare a datelor cu caracter personal în temeiul Directivei NIS2 nu aduce atingere Regulamentului (UE) 2016/679 (RGPD)[4] și Directivei 2002/58/CE[5] (Directiva asupra confidențialității și comunicațiilor electronice). Având în vedere domeniul de aplicare mai restrâns al termenului „securitatea rețelelor și a sistemelor informatice” (cuprinde numai protecția tehnologiei) în comparație cu „securitatea cibernetică” (cuprinde și activitățile de protejare a utilizatorilor), primul termen este utilizat numai atunci când contextul este pur tehnic. În ceea ce privește numele de domenii și datele de înregistrare, se propun clarificări cu privire la 1) temeiul juridic al publicării „informațiilor relevante” în scopul identificării și contactării, 2) categoriile de date de înregistrare a domeniului de date care fac obiectul publicării (pe baza unei recomandări a ICANN) și 3) entitățile care ar putea constitui „solicitanți legitimi de acces”. De asemenea, în textul juridic se specifică faptul că propunerea nu afectează atribuirea jurisdicției și a competențelor autorităților de supraveghere a protecției datelor în temeiul RGPD. În cele din urmă, este prevăzut un temei juridic mai cuprinzător pentru cooperarea și schimbul de informații relevante dintre autoritățile competente în temeiul propunerii și alte autorități de supraveghere relevante, în special autoritățile de supraveghere în temeiul RGPD.
Alte modificări aduse propunerii Comisiei de către raportorul LIBE se referă la următoarele:
• Pentru a asigura coerența dintre Directiva NIS2 și propunerea de directivă privind reziliența entităților critice (ICE)[6], formularea anumitor dispoziții a fost aliniată la cea a propunerii ICE. În conformitate cu o modificare similară preconizată pentru Directiva privind ICE, care ar trebui să cuprindă aceleași sectoare ca Directiva NIS2, se propune adăugarea sintagmei „producția, prelucrarea și distribuția de alimente” în domeniul de aplicare.
• În ceea ce privește datele cu caracter personal, se clarifică faptul că scanarea rețelelor și a sistemelor informatice de către CSIRT ar trebui să se facă în conformitate nu numai cu Regulamentul (UE) 2016/679 (RGPD)[7], dar și cu Directiva 2002/58/CE[8] (Directiva asupra confidențialității și comunicațiilor electronice). Transferurile internaționale de date cu caracter personal în temeiul prezentei directive ar trebui să fie în conformitate cu capitolul V din RGPD.
• Grupul de cooperare ar trebui să se reunească de două ori, și nu o dată pe an, pentru a evalua cele mai recente evoluții în materie de securitate cibernetică. EDPB ar trebui să participe la activitățile Grupului de cooperare în calitate de observator.
• ENISA ar trebui să publice un raport anual, și nu unul bienal, privind situația în materie de securitate cibernetică în Uniune. Raportul ar trebui să țină seama, de asemenea, de impactul incidentelor de securitate cibernetică asupra protecției datelor cu caracter personal în Uniune.
• Termenul-limită de declarare a incidentelor este aliniat la termenul-limită pentru declararea încălcărilor în temeiul RGPD, și anume 72 de ore.
• Deși declararea incidentelor de securitate cibernetică reale de către entitățile esențiale și importante ar trebui, într-adevăr, să fie obligatorie, declararea amenințărilor cibernetice ar trebui să fie voluntară pentru a limita sarcina administrativă și a evita informarea excesivă. Pentru a fi considerat semnificativ, un incident trebuie să fi cauzat daune reale și să fi afectat alte persoane fizice și juridice, în loc ca aceste daune sau efecte să fie „posibile”.
• Circumstanțele care trebuie luate în considerare atunci când se decide cu privire la o sancțiune ca urmare a unei încălcări a normelor de securitate cibernetică sunt aliniate la RGPD. Întrucât acest lucru ar contraveni practicii actuale în materie de răspundere din dreptul Uniunii, nu ar trebui să fie posibil să se impună o interdicție temporară de a exercita funcții de conducere persoanelor fizice.
• Pentru a evita prejudicierea reputației, entitățile nu ar trebui să fie obligate să facă publice aspectele legate de nerespectarea cerințelor prevăzute în prezenta directivă sau identitatea persoanelor fizice sau juridice răspunzătoare de încălcare.
AMENDAMENTE
Comisia pentru libertăți civile, justiție și afaceri interne recomandă Comisiei pentru libertăți civile, justiție și afaceri interne, care este comisie competentă, să ia în considerare următoarele amendamente:
Amendamentul 1
Propunere de directivă
Considerentul 1
|
|
Textul propus de Comisie |
Amendamentul |
(1) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului11 vizează consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente de securitate cibernetică, contribuind astfel la funcționarea eficace a economiei și a societății Uniunii. |
(1) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului11 vizează consolidarea capacităților în materie de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și a sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii atunci când se confruntă cu incidente de securitate cibernetică, contribuind astfel la securitatea și funcționarea eficace a economiei și a societății Uniunii. |
__________________ |
__________________ |
11 Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194/1, 19.7.2016, p. 1). 1). |
11 Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194/1, 19.7.2016, p. 1). 1). |
Amendamentul 2
Propunere de directivă
Considerentul 2
|
|
Textul propus de Comisie |
Amendamentul |
(2) De la intrarea în vigoare a Directivei (UE) 2016/1148, s-au înregistrat progrese semnificative în ceea ce privește creșterea nivelului de reziliență a securității cibernetice în Uniune. Revizuirea directivei respective a arătat că aceasta a servit drept catalizator pentru abordarea instituțională și de reglementare a securității cibernetice în Uniune, deschizând calea pentru o schimbare semnificativă de mentalitate. Această directivă a asigurat finalizarea cadrelor naționale prin definirea strategiilor naționale de securitate cibernetică, prin stabilirea de capacități naționale și prin punerea în aplicare a măsurilor de reglementare care vizează infrastructurile esențiale și actorii identificați de fiecare stat membru. De asemenea, a contribuit la cooperarea la nivelul Uniunii prin instituirea Grupului de cooperare12 și a unei rețele de echipe naționale de intervenție în caz de incidente de securitate informatică („rețeaua CSIRT”)13. În pofida acestor realizări, revizuirea Directivei (UE) 2016/1148 a evidențiat deficiențe inerente care o împiedică să abordeze în mod eficace provocările contemporane și emergente în materie de securitate cibernetică. |
(2) De la intrarea în vigoare a Directivei (UE) 2016/1148, s-au înregistrat progrese semnificative în ceea ce privește creșterea nivelului de reziliență a securității cibernetice în Uniune. Revizuirea directivei respective a arătat că aceasta a servit drept catalizator pentru abordarea instituțională și de reglementare a securității cibernetice în Uniune, deschizând calea pentru o schimbare semnificativă de mentalitate. Această directivă a asigurat finalizarea cadrelor naționale prin definirea strategiilor naționale de securitate cibernetică, prin stabilirea de capacități naționale și prin punerea în aplicare a măsurilor de reglementare care vizează infrastructurile esențiale și actorii identificați de fiecare stat membru. De asemenea, a contribuit la cooperarea la nivelul Uniunii prin instituirea Grupului de cooperare și a unei rețele de echipe naționale de intervenție în caz de incidente de securitate informatică („rețeaua CSIRT”). În pofida acestor realizări, revizuirea Directivei (UE) 2016/1148 a evidențiat deficiențe inerente care o împiedică să abordeze în mod eficace provocările contemporane și emergente în materie de securitate cibernetică. În plus, extinderea activităților online în contextul pandemiei de COVID-19 a evidențiat importanța securității cibernetice, care este esențială pentru ca cetățenii UE să poată avea încredere în inovare și conectivitate, precum și în instruirea și formarea la scară largă în acest domeniu. Prin urmare, Comisia ar trebui să sprijine statele membre în elaborarea programelor de instruire privind securitatea cibernetică, pentru a permite entităților importante și esențiale să recruteze experți în securitate cibernetică care să le permită să respecte obligațiile ce decurg din prezenta directivă. |
__________________ |
__________________ |
12 Articolul 11 din Directiva (UE) 2016/1148. |
12 Articolul 11 din Directiva (UE) 2016/1148. |
13 Articolul 12 din Directiva (UE) 2016/1148. |
13 Articolul 12 din Directiva (UE) 2016/1148. |
Amendamentul 3
Propunere de directivă
Considerentul 3
|
|
Textul propus de Comisie |
Amendamentul |
(3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne. |
(3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor, să provoace pagube majore economiei Uniunii, funcționării democrației noastre și valorilor și libertății pe care este bazată societatea noastră. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru securitatea Uniunii și pentru buna funcționare a pieței interne, având în vedere transformarea digitală a activităților de zi cu zi din întreaga Uniune. Acest lucru necesită o cooperare mai strânsă între autoritățile din cadrul statelor membre și între acestea, precum și între autoritățile naționale și organismele responsabile ale Uniunii. |
Amendamentul 4
Propunere de directivă
Considerentul 5
|
|
Textul propus de Comisie |
Amendamentul |
(5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă. |
(5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. În cele din urmă, aceste divergențe pot duce la o vulnerabilitate mai mare a unor state membre la amenințările la adresa securității cibernetice, cu potențiale efecte de propagare în întreaga Uniune, atât în ce privește piața sa internă, cât și securitatea sa generală. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace și în timp real între autoritățile responsabile din fiecare stat membru, între autoritățile competente ale statelor membre, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă. |
Amendamentul 5
Propunere de directivă
Considerentul 6
|
|
Textul propus de Comisie |
Amendamentul |
(6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14. |
(6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate națională, a apăra ordinea și siguranța publică și a permite prevenirea, investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14. |
__________________ |
__________________ |
14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC). |
14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC). |
Amendamentul 6
Propunere de directivă
Considerentul 8
|
|
Textul propus de Comisie |
Amendamentul |
(8) În conformitate cu Directiva (UE) 2016/1148, statele membre au fost responsabile de stabilirea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale („procesul de identificare”). Pentru a elimina divergențele mari dintre statele membre în această privință și pentru a asigura securitatea juridică în ceea ce privește cerințele de gestionare a riscurilor și obligațiile de raportare pentru toate entitățile relevante, ar trebui stabilit un criteriu uniform care să stabilească care sunt entitățile ce intră în domeniul de aplicare al prezentei directive. Acest criteriu ar trebui să constea în aplicarea regulii privind criteriul de dimensiune, conform căruia toate întreprinderile mijlocii și mari, astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei15, care își desfășoară activitatea în sectoarele reglementate de prezenta directivă sau furnizează tipul de servicii reglementate de aceasta intră în domeniul său de aplicare. Statele membre nu ar trebui să aibă obligația de a întocmi o listă a entităților care îndeplinesc acest criteriu general aplicabil în ceea ce privește dimensiunea. |
(8) Responsabilitatea statelor membre în conformitate cu Directiva (UE) 2016/1148, potrivit căreia statele membre au fost responsabile de stabilirea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale („procesul de identificare”) a dus la divergențe mari între statele membre în această privință. Fără a aduce atingere excepțiilor specifice prevăzute în prezenta directivă, ar trebui stabilit un criteriu uniform care să stabilească care sunt entitățile ce intră în domeniul de aplicare al prezentei directive pentru a elimina aceste divergențe și a asigura securitatea juridică în ceea ce privește cerințele de gestionare a riscurilor și obligațiile de informare pentru toate entitățile relevante. Acest criteriu ar trebui să constea în aplicarea regulii privind criteriul de dimensiune, conform căruia toate întreprinderile mijlocii și mari, astfel cum sunt definite în Recomandarea 2003/361/CE a Comisiei15, care își desfășoară activitatea în sectoarele reglementate de prezenta directivă sau furnizează tipul de servicii reglementate de aceasta intră în domeniul său de aplicare. Statele membre nu ar trebui să aibă obligația de a întocmi o listă a entităților care îndeplinesc acest criteriu general aplicabil în ceea ce privește dimensiunea. |
__________________ |
__________________ |
15 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
15 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntrerinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
Amendamentul 7
Propunere de directivă
Considerentul 8 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(8a) Ținând seama de diferențele dintre cadrele administrațiilor publice naționale, statele membre își păstrează capacitatea de decizie în ceea ce privește desemnarea entităților care intră în domeniul de aplicare al prezentei directive. |
Amendamentul 8
Propunere de directivă
Considerentul 9
|
|
Textul propus de Comisie |
Amendamentul |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei. |
(9) Entitățile mici sau microentitățile care îndeplinesc anumite criterii care indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii bazate pe o evaluare a riscurilor, inclusiv entitățile definite drept entități critice sau entități echivalente cu entitățile critice în temeiul Directivei (UE) XXX/XXX a Parlamentului European și a Consiliului1a, ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei. |
|
__________________ |
|
1aDirectiva (UE)[XXX/XXX] a Parlamentului European și a Consiliului din XXX privind reziliența entităților critice (JO ...). |
Amendamentul 9
Propunere de directivă
Considerentul 10
|
|
Textul propus de Comisie |
Amendamentul |
(10) Comisia, în cooperare cu Grupul de cooperare, poate emite orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. |
(10) Comisia, în cooperare cu Grupul de cooperare, ar trebui să emită orientări privind punerea în aplicare a criteriilor aplicabile microentităților și entităților mici. |
Amendamentul 10
Propunere de directivă
Considerentul 12
|
|
Textul propus de Comisie |
Amendamentul |
(12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente ori amenințări cibernetice semnificative cu un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia poate emite orientări cu privire la punerea în aplicare a lex specialis. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei. |
(12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente ori amenințări cibernetice semnificative cu un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia ar trebui să emită orientări cu privire la punerea în aplicare a lex specialis. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei. |
Amendamentul 11
Propunere de directivă
Considerentul 14
|
|
Textul propus de Comisie |
Amendamentul |
(14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritatea competentă în temeiul prezentei directive și cea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații în acest scop. |
(14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă, oricând este posibil și adecvat. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritățile competente ale statelor membre și între cele din statele membre, în temeiul prezentei directive și cea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile statelor membre și cele din statele membre competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de autoritățile competente în temeiul prezentei directive relevante pentru entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să evalueze securitatea cibernetică a unei entități esențiale identificate ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații în timp real în acest scop. |
__________________ |
__________________ |
17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 12
Propunere de directivă
Considerentul 18
|
|
Textul propus de Comisie |
Amendamentul |
(18) Este posibil ca serviciile oferite de furnizorii de servicii de centre de date să nu fie întotdeauna furnizate sub formă de servicii de cloud computing. În consecință, este posibil ca centrele de date să nu constituie întotdeauna o parte a infrastructurii de cloud computing. Pentru a gestiona toate riscurile la adresa securității rețelelor și a sistemelor informatice, prezenta directivă ar trebui să vizeze și furnizorii de astfel de servicii de centre de date care nu sunt servicii de cloud computing. În sensul prezentei directive, termenul „serviciu de centru de date” ar trebui să includă furnizarea unui serviciu care cuprinde structuri sau grupuri de structuri dedicate instalării centralizate, interconectării și funcționării tehnologiei informației și a echipamentelor de rețea care furnizează servicii de stocare, prelucrare și transport de date, împreună cu toate instalațiile și infrastructurile de distribuție a energiei electrice și de control al mediului. Termenul „serviciu de centre de date” nu se aplică centrelor de date interne, corporative deținute și operate în scopuri proprii entității în cauză. |
(18) Este posibil ca serviciile oferite de furnizorii de servicii de centre de date să nu fie întotdeauna furnizate sub formă de servicii de cloud computing. În consecință, este posibil ca centrele de date să nu constituie întotdeauna o parte a infrastructurii de cloud computing. Pentru a gestiona toate riscurile la adresa securității cibernetice, prezenta directivă ar trebui să vizeze și furnizorii de astfel de servicii de centre de date care nu sunt servicii de cloud computing. În sensul prezentei directive, termenul „serviciu de centru de date” ar trebui să includă furnizarea unui serviciu care cuprinde structuri sau grupuri de structuri dedicate instalării centralizate, interconectării și funcționării tehnologiei informației și a echipamentelor de rețea care furnizează servicii de stocare, prelucrare și transport de date, împreună cu toate instalațiile și infrastructurile de distribuție a energiei electrice și de control al mediului. Termenul „serviciu de centre de date” nu se aplică centrelor de date interne, corporative deținute și operate în scopuri proprii entității în cauză. |
Amendamentul 13
Propunere de directivă
Considerentul 20
|
|
Textul propus de Comisie |
Amendamentul |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, producția, prelucrarea și distribuția de alimente, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Intensificarea atacurilor împotriva sistemelor informatice în timpul pandemiei de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. Prin urmare, sunt necesare investiții suplimentare în securitatea cibernetică. |
Amendamentul 14
Propunere de directivă
Considerentul 20 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(20a) Este esențial să se sensibilizeze opinia publică în domeniul cibernetic și să se amplifice reziliența cibernetică în toate entitățile critice și importante, inclusiv în entitățile administrației publice. |
Amendamentul 15
Propunere de directivă
Considerentul 21
|
|
Textul propus de Comisie |
Amendamentul |
(21) Având în vedere diferențele dintre structurile naționale de guvernanță și pentru a salvgarda acordurile sectoriale sau organismele de supraveghere și de reglementare ale Uniunii deja existente, statele membre ar trebui să fie capabile să desemneze mai multe autorități naționale competente responsabile cu îndeplinirea atribuțiilor legate de securitatea rețelelor și a sistemelor informatice ale operatorilor de servicii esențiale și ale entităților importante în temeiul prezentei directive. Statele membre ar trebui să fie capabile să atribuie acest rol unei autorități existente. |
(21) Având în vedere diferențele dintre structurile naționale de guvernanță și pentru a salvgarda acordurile sectoriale sau organismele de supraveghere și de reglementare ale Uniunii deja existente, statele membre ar trebui să fie capabile să desemneze mai multe autorități naționale competente responsabile cu îndeplinirea atribuțiilor legate de securitatea rețelelor și a sistemelor informatice ale operatorilor de servicii esențiale și ale entităților importante în temeiul prezentei directive. Statele membre ar trebui să fie în măsură să atribuie acest rol unei autorități existente și să se asigure că aceasta dispune de resurse adecvate pentru a-și îndeplini sarcinile în mod eficace și eficient. |
Amendamentul 16
Propunere de directivă
Considerentul 22
|
|
Textul propus de Comisie |
Amendamentul |
(22) Pentru a facilita cooperarea și comunicarea transfrontalieră între autorități și pentru a permite aplicarea efectivă a prezentei directive, este necesar ca fiecare stat membru să desemneze un punct unic de contact la nivel național responsabil cu coordonarea aspectelor legate de securitatea rețelelor și a sistemelor informatice și cu cooperarea transfrontalieră la nivelul Uniunii. |
(22) Pentru a facilita cooperarea și comunicarea transfrontalieră între autorități și pentru a permite aplicarea efectivă a prezentei directive, este necesar ca fiecare stat membru să desemneze un punct unic de contact la nivel național responsabil cu coordonarea aspectelor legate de securitatea cibernetică și cu cooperarea transfrontalieră la nivelul Uniunii. |
Amendamentul 17
Propunere de directivă
Considerentul 23
|
|
Textul propus de Comisie |
Amendamentul |
(23) Autoritățile competente sau CSIRT-urile ar trebui să primească de la entități notificări ale incidentelor într-un mod eficace și eficient. Punctele unice de contact ar trebui să aibă sarcina de a transmite notificările incidentelor către punctele unice de contact ale altor state membre afectate. La nivelul autorităților statelor membre, pentru a asigura un punct de intrare unic în fiecare stat membru, punctele unice de contact ar trebui să fie, de asemenea, destinatarii informațiilor relevante privind incidentele referitoare la entități din sectorul financiar, furnizate de autoritățile competente în temeiul Regulamentului XXXX/XXXX, pe care ar trebui să le poată transmite, după caz, autorităților naționale competente relevante sau CSIRT în temeiul prezentei directive. |
(23) Autoritățile competente sau CSIRT-urile ar trebui să primească de la entități notificări ale incidentelor într-un mod eficace și eficient. Punctele unice de contact ar trebui să aibă sarcina de a transmite notificările incidentelor în timp real către punctele unice de contact ale tuturor celorlalte state membre. La nivelul autorităților statelor membre, pentru a asigura un punct de intrare unic în fiecare stat membru, punctele unice de contact ar trebui să fie, de asemenea, destinatarii informațiilor relevante privind incidentele referitoare la entități din sectorul financiar, furnizate de autoritățile competente în temeiul Regulamentului XXXX/XXXX, pe care ar trebui să le poată transmite, după caz, autorităților naționale competente relevante sau CSIRT în temeiul prezentei directive. |
Amendamentul 18
Propunere de directivă
Considerentul 25
|
|
Textul propus de Comisie |
Amendamentul |
(25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale. |
(25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19 și cu Directiva 2002/58/CE, în numele și la cererea unei entități în temeiul prezentei directive, o scanare de securitate a sistemelor informatice și a plajei de rețea utilizate pentru furnizarea serviciilor lor pentru a identifica, a atenua sau a preveni amenințări specifice. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale. În plus, riscurile în materie de securitate cibernetică nu ar trebui utilizate niciodată ca pretext pentru încălcarea drepturilor fundamentale. |
__________________ |
__________________ |
19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
Amendamentul 19
Propunere de directivă
Considerentul 27
|
|
Textul propus de Comisie |
Amendamentul |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne sau să prezinte riscuri grave pentru securitatea publică în mai multe state membre sau în Uniune în ansamblul său. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. Statele membre ar trebui să monitorizeze modul în care sunt puse în aplicare normele UE, să se sprijine reciproc în cazul oricăror probleme transfrontaliere, să stabilească un dialog mai structurat cu sectorul privat și să coopereze în ceea ce privește riscurile de securitate și amenințările asociate noilor tehnologii, cum a fost cazul tehnologiei 5G. |
__________________ |
__________________ |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
Amendamentul 20
Propunere de directivă
Considerentul 33
|
|
Textul propus de Comisie |
Amendamentul |
(33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent, să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice care să fie abordate printr-o mai bună punere în aplicare a normelor existente. |
(33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent, să identifice soluțiile și experiențele naționale și sectoriale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale și sectoriale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice care să fie abordate printr-o mai bună punere în aplicare a normelor existente. |
Amendamentul 21
Propunere de directivă
Considerentul 34
|
|
Textul propus de Comisie |
Amendamentul |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii implicate în politica de securitate cibernetică, cum ar fi Centrul european de combatere a criminalității informatice (EC3), Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA). |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii relevante implicate în politica de securitate cibernetică, îndeosebi Europol, Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA). |
Amendamentul 22
Propunere de directivă
Considerentul 36
|
|
Textul propus de Comisie |
Amendamentul |
(36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri ar trebui să asigure o protecție adecvată a datelor. |
(36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. În măsura în care datele cu caracter personal sunt transferate unei țări terțe sau unei organizații internaționale, ar trebui să se aplice capitolul V din Regulamentul (UE) 2016/679. |
Amendamentul 23
Propunere de directivă
Considerentul 37
|
|
Textul propus de Comisie |
Amendamentul |
(37) Statele membre ar trebui să contribuie la instituirea cadrului UE de răspuns la crizele de securitate cibernetică prevăzut în Recomandarea (UE) 2017/1584 prin intermediul rețelelor de cooperare existente, în special prin rețeaua Organizației de legătură în caz de criză cibernetică (EU-CyCLONe), rețeaua CSIRT și Grupul de cooperare. EUCyCLONe și rețeaua CSIRT ar trebui să coopereze pe baza modalităților procedurale care definesc modalitățile acestei cooperări. Regulamentul de procedură al EU-CyCLONe ar trebui să precizeze în detaliu modalitățile prin care ar trebui să funcționeze rețeaua, inclusiv, dar fără a se limita la acestea, rolurile, modurile de cooperare, interacțiunile cu alți actori relevanți și modelele pentru schimbul de informații, precum și mijloacele de comunicare. Pentru gestionarea crizelor la nivelul Uniunii, părțile relevante ar trebui să se bazeze pe mecanismul integrat pentru un răspuns politic la crize (IPCR). În acest scop, Comisia ar trebui să utilizeze procesul ARGUS de coordonare transsectorială la nivel înalt în situații de criză. În cazul în care criza are o importantă dimensiune externă sau de politică de securitate și apărare comună (PSAC), ar trebui activat mecanismul de răspuns în caz de criză al Serviciului European de Acțiune Externă (SEAE). |
(37) Statele membre ar trebui să contribuie la instituirea cadrului UE de răspuns la crizele de securitate cibernetică prevăzut în Recomandarea (UE) 2017/1584 prin intermediul rețelelor de cooperare existente, în special prin rețeaua Organizației de legătură în caz de criză cibernetică (EU-CyCLONe), rețeaua CSIRT și Grupul de cooperare. EUCyCLONe și rețeaua CSIRT ar trebui să coopereze pe baza modalităților procedurale care definesc modalitățile acestei cooperări. Regulamentul de procedură al EU-CyCLONe ar trebui să precizeze în detaliu modalitățile prin care ar trebui să funcționeze rețeaua, inclusiv, dar fără a se limita la acestea, rolurile, modurile de cooperare, interacțiunile cu alți actori relevanți și modelele pentru schimbul de informații, precum și mijloacele de comunicare. Pentru gestionarea crizelor la nivelul Uniunii, părțile relevante ar trebui să se bazeze pe mecanismul integrat pentru un răspuns politic la crize (IPCR). În acest scop, Comisia ar trebui să utilizeze procesul ARGUS de coordonare transsectorială la nivel înalt în situații de criză. În cazul în care criza afectează două sau mai multe state membre și este de natură infracțională sau poate fi suspectată a fi astfel, ar trebui luată în considerare activarea Protocolului UE privind răspunsul în caz de urgență al autorităților de aplicare a legii. În cazul în care criza are o importantă dimensiune externă sau de politică de securitate și apărare comună (PSAC), ar trebui activat mecanismul de răspuns în caz de criză al Serviciului European de Acțiune Externă (SEAE). |
Amendamentul 24
Propunere de directivă
Considerentul 45
|
|
Textul propus de Comisie |
Amendamentul |
(45) Entitățile ar trebui, de asemenea, să abordeze riscurile de securitate cibernetică care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg. În special, entitățile ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile ar trebui să ia toate măsurile care se impun în materie de securitate cibernetică. |
(45) Entitățile ar trebui, de asemenea, să abordeze riscurile de securitate cibernetică care decurg din interacțiunile și din relațiile lor cu alte părți interesate în cadrul unui ecosistem mai larg. În special, entitățile ar trebui să ia măsurile adecvate pentru a se asigura că activitatea lor de cooperare cu instituțiile academice și de cercetare se desfășoară în conformitate cu politicile lor în materie de securitate cibernetică și respectă bunele practici în ceea ce privește accesul și diseminarea în condiții de siguranță a informațiilor, în general, și protecția proprietății intelectuale, în special. În mod similar, având în vedere importanța și valoarea datelor pentru activitățile pe care le desfășoară entitățile, atunci când se bazează pe servicii de transformare și de analiză a datelor furnizate de terți, entitățile ar trebui să ia toate măsurile care se impun în materie de securitate cibernetică și să informeze cu privire la orice potențial atac cibernetic pe care îl identifică. |
Amendamentul 25
Propunere de directivă
Considerentul 46 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(46a) O atenție specială ar trebui acordată faptului că serviciile, sistemele sau produsele TIC care fac obiectul unor cerințe specifice în țara de origine ar putea reprezenta un obstacol în calea respectării legislației UE privind confidențialitatea și protecția datelor. După caz, CEPD ar trebui consultat în cadrul unor astfel de evaluări de risc. Software-ul liber și cu sursă deschisă, precum și hardware-ul cu sursă deschisă ar putea aduce beneficii imense în ceea ce privește securitatea cibernetică, în special în materie de transparență și posibilitate de verificare a caracteristicilor. Deoarece acest lucru ar putea contribui la abordarea și atenuarea riscurilor specifice din lanțul de aprovizionare, utilizarea lor ar trebui preferată acolo unde este posibil, în concordanță cu Avizul 5/2021 al AEPD1a. |
|
__________________ |
|
1a Avizul 5/2021 al Autorității Europene pentru Protecția Datelor privind Strategia de securitate cibernetică și Directiva NIS 2.0, 11 martie 2021. |
Amendamentul 26
Propunere de directivă
Considerentul 47
|
|
Textul propus de Comisie |
Amendamentul |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, care ar trebui să fie precizați în detaliu de către Grupul de coordonare, și care îi includ pe cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. |
Amendamentul 27
Propunere de directivă
Considerentul 48 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(48a) Întreprinderilor mici și mijlocii (IMM-urilor) le lipsesc deseori amploarea și resursele necesare pentru satisfacerea unei game largi și tot mai mari de nevoi în materie de securitate cibernetică într-o lume interconectată, caracterizată printr-o creștere a muncii de la distanță. Prin urmare, în strategiile lor naționale de securitate cibernetică statele membre ar trebui să ofere orientări și sprijin pentru IMM-uri. |
Amendamentul 28
Propunere de directivă
Considerentul 50
|
|
Textul propus de Comisie |
Amendamentul |
(50) Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, este necesar să se asigure că aceste servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Furnizorii unor astfel de servicii ar trebui, prin urmare, să asigure și un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului. |
(50) Având în vedere importanța crescândă a serviciilor de comunicații interpersonale care nu se bazează pe numere, este necesar să se asigure că aceste servicii fac, de asemenea, obiectul unor cerințe corespunzătoare în materie de securitate, în conformitate cu natura lor specifică și cu importanța lor economică. Furnizorii unor astfel de servicii ar trebui, prin urmare, să asigure și un nivel de securitate cibernetică adecvat riscului prezentat. Având în vedere faptul că furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc aferent unor astfel de servicii poate fi considerat, în unele privințe, mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Același lucru este valabil și pentru serviciile de comunicații interpersonale care utilizează numere și care nu exercită un control efectiv asupra transmiterii semnalului. |
Amendamentul 29
Propunere de directivă
Considerentul 52
|
|
Textul propus de Comisie |
Amendamentul |
(52) După caz, entitățile ar trebui să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Cerința de a informa destinatarii cu privire la astfel de amenințări nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită. |
(52) După caz, entitățile ar trebui să aibă posibilitatea să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Cerința de a informa destinatarii cu privire la astfel de amenințări nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită. |
Amendamentul 30
Propunere de directivă
Considerentul 53
|
|
Textul propus de Comisie |
Amendamentul |
(53) În special, furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software sau de tehnologii de criptare. |
(53) În special, furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să pună în aplicare securitatea de la stadiul conceperii și securitatea implicită și ar trebui să aibă posibilitatea să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea dispozitivelor și a comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software sau de tehnologii de criptare. Pentru a mări securitatea hardware-ului și software-ului, furnizorii ar trebui încurajați să utilizeze hardware cu sursă deschisă și liber. |
Amendamentul 31
Propunere de directivă
Considerentul 54
|
|
Textul propus de Comisie |
Amendamentul |
(54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării, în special a criptării de la un capăt la altul și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Soluțiile pentru accesul legal la informații în comunicațiile criptate de la un capăt la altul ar trebui să mențină eficacitatea criptării în ceea ce privește protecția vieții private și securitatea comunicațiilor, oferind, în același timp, un răspuns eficace la criminalitate. |
(54) Pentru a garanta securitatea rețelelor și a serviciilor de comunicații electronice, precum și dreptul fundamental la protecția datelor și la viața privată, ar trebui promovată utilizarea criptării, în special a criptării de la un capăt la altul și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu responsabilitatea statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite prevenirea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii și cu dreptul intern. Soluțiile pentru accesul legal la informații în comunicațiile criptate de la un capăt la altul ar trebui să mențină eficacitatea criptării în ceea ce privește protecția vieții private și securitatea comunicațiilor. Nicio dispoziție din prezenta directivă nu ar trebui considerată drept efort de slăbire a criptării de la un capăt la altul, fie prin „crearea de uși secrete”, fie prin soluții similare, având în vedere că deficiențele legate de criptare pot fi exploatate în scopuri răuvoitoare. Orice măsură care vizează slăbirea criptării sau eludarea arhitecturii tehnologiei poate prezenta riscuri semnificative pentru capacitățile eficace de protecție pe care le implică. Orice decriptare neautorizată sau orice monitorizare a comunicațiilor electronice care nu este efectuată de autorități legale ar trebui interzisă pentru a asigura eficacitatea tehnologiei și utilizarea ei mai amplă. Este important ca statele membre să trateze problemele cu care se confruntă autoritățile legale și cercetătorii din domeniul vulnerabilităților. În unele state membre, entitățile și persoanele fizice care cercetează vulnerabilitățile sunt expuse răspunderii penale și civile. Prin urmare, statele membre sunt încurajate să emită orientări privind neurmărirea penală și neimpunerea răspunderii în ceea ce privește cercetarea în domeniul securității informațiilor. |
Amendamentul 32
Propunere de directivă
Considerentul 56
|
|
Textul propus de Comisie |
Amendamentul |
(56) Entitățile esențiale și importante se află adesea într-o situație în care, din cauza caracteristicilor sale, un anumit incident trebuie raportat mai multor autorități ca urmare a obligațiilor de notificare incluse în diferite instrumente juridice. Astfel de cazuri creează sarcini suplimentare și pot conduce, de asemenea, la incertitudini în ceea ce privește formatul unor asemenea notificări și procedurile aferente acestora. Având în vedere cele de mai sus și în scopul simplificării raportării incidentelor de securitate, statele membre ar trebui să instituie un punct de intrare unic pentru toate notificările efectuate în temeiul prezentei directive și, de asemenea, în temeiul altor acte legislative ale Uniunii, cum ar fi Regulamentul (UE) 2016/679 și Directiva 2002/58/CE. ENISA, în cooperare cu Grupul de cooperare, ar trebui să instituie modele comune de notificare prin intermediul unor orientări care să simplifice și să raționalizeze informațiile de raportare solicitate de dreptul Uniunii și să reducă sarcinile impuse întreprinderilor. |
(56) Entitățile esențiale și importante se află adesea într-o situație în care, din cauza caracteristicilor sale, un anumit incident trebuie raportat mai multor autorități ca urmare a obligațiilor de notificare incluse în diferite instrumente juridice. Astfel de cazuri creează sarcini suplimentare și pot conduce, de asemenea, la incertitudini în ceea ce privește formatul unor asemenea notificări și procedurile aferente acestora. Având în vedere cele de mai sus și în scopul simplificării raportării incidentelor de securitate, statele membre ar trebui să instituie un punct de intrare unic în temeiul prezentei directive și, de asemenea, în temeiul altor acte legislative ale Uniunii, cum ar fi Regulamentul (UE) 2016/679 și Directiva 2002/58/CE. ENISA, în cooperare cu Grupul de cooperare și cu Comitetul european pentru protecția datelor, ar trebui să instituie modele comune de notificare prin intermediul unor orientări care să simplifice și să raționalizeze informațiile de raportare solicitate de dreptul Uniunii și să reducă sarcinile impuse întreprinderilor. |
Amendamentul 33
Propunere de directivă
Considerentul 57
|
|
Textul propus de Comisie |
Amendamentul |
(57) Atunci când există suspiciuni că un incident ar fi legat de activități infracționale grave în temeiul dreptului Uniunii sau al dreptului intern, statele membre ar trebui să încurajeze entitățile esențiale și importante, pe baza normelor aplicabile în materie de proceduri penale în conformitate cu dreptul Uniunii, să raporteze autorităților de aplicare a legii incidentele despre care există suspiciuni că ar avea un caracter infracțional grav. După caz și fără a aduce atingere normelor de protecție a datelor cu caracter personal aplicabile Europol, este de dorit ca procesul de coordonare dintre autoritățile competente și autoritățile de aplicare a legii din diferite state membre să fie facilitată de EC3 și de ENISA. |
(57) Atunci când există suspiciuni că un incident ar fi legat de activități infracționale grave în temeiul dreptului Uniunii sau al dreptului intern, statele membre ar trebui să încurajeze entitățile esențiale și importante, pe baza normelor aplicabile în materie de proceduri penale în conformitate cu dreptul Uniunii, ar trebui să raporteze autorităților de aplicare a legii incidentele despre care există suspiciuni că ar avea un caracter infracțional grav. După caz și fără a aduce atingere normelor de protecție a datelor cu caracter personal aplicabile Europol, este de dorit ca procesul de coordonare dintre autoritățile competente și autoritățile de aplicare a legii din diferite state membre să fie facilitată de Centrul european de combatere a criminalității informatice (EC3) al Europol și de ENISA. |
Amendamentul 34
Propunere de directivă
Considerentul 58
|
|
Textul propus de Comisie |
Amendamentul |
(58) În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente. În acest context, autoritățile competente ar trebui să coopereze și să facă schimb de informații cu privire la toate aspectele relevante cu autoritățile de protecție a datelor și cu autoritățile de supraveghere, în temeiul Directivei 2002/58/CE. |
(58) În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente. În acest context, autoritățile competente ar trebui să coopereze și să facă schimb de informații cu privire la toate aspectele relevante cu autoritățile de protecție a datelor și cu autoritățile de supraveghere, în temeiul Regulamentului (UE) 2016/679 și al Directivei 2002/58/CE. |
Amendamentul 35
Propunere de directivă
Considerentul 59
|
|
Textul propus de Comisie |
Amendamentul |
(59) Menținerea unor baze de date exacte și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) și furnizarea unui acces legal la astfel de date sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor. |
(59) Menținerea unor baze de date exacte și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) și furnizarea unui acces legal la astfel de date sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația aplicabilă a Uniunii în materie de protecție a datelor. |
Amendamentul 36
Propunere de directivă
Considerentul 62
|
|
Textul propus de Comisie |
Amendamentul |
(62) Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului date de înregistrare a numelor de domenii care nu intră în domeniul de aplicare al normelor Uniunii privind protecția datelor, cum ar fi datele care se referă la persoanele juridice25. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui, de asemenea, să le permită solicitanților legitimi de acces, în conformitate cu legislația Uniunii privind protecția datelor, accesul legal la date specifice de înregistrare a numelor de domenii privind persoanele fizice. Statele membre ar trebui să se asigure că registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate solicitărilor de divulgare a datelor de înregistrare a numelor de domenii formulate de solicitanții legitimi de acces. Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Procedura de acces poate include, de asemenea, utilizarea unei interfețe, a unui portal sau a unui alt instrument tehnic, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate adopta orientări cu privire la aceste proceduri fără a aduce atingere competențelor Comitetului european pentru protecția datelor. |
(62) Pentru a se conforma unei obligații legale în temeiul articolului 6 alineatul (1) litera (c) și al articolului 6 alineatul (3) din Regulamentul (UE) 2016/679, registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să pună la dispoziția publicului anumite date de înregistrare a numelor de domenii specificate în legislația statului membru care li se aplică, cum ar fi numele de domeniu și numele persoanei juridice. Registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui, de asemenea, să le permită solicitanților legitimi de acces, îndeosebi autorităților competente în temeiul prezentei directive sau autorităților de supraveghere în temeiul regulamentului (UE) 2016/679, în conformitate cu competențele lor, accesul legal la date specifice de înregistrare a numelor de domenii privind persoanele fizice. Statele membre ar trebui să se asigure că registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate solicitărilor legale și justificate în mod corespunzător formulate de autoritățile publice, inclusiv de autoritățile competente în temeiul prezentei directive, de autoritățile competente în temeiul dreptului Uniunii sau al dreptului intern pentru prevenirea, investigarea sau urmărirea penală a infracțiunilor sau de autoritățile de supraveghere în temeiul regulamentului (UE) 2016/679, de divulgare a datelor de înregistrare a numelor de domenii. Registrele TLD și entitățile care le furnizează servicii de înregistrare a numelor de domenii ar trebui să stabilească politici și proceduri pentru publicarea și divulgarea datelor de înregistrare, inclusiv acorduri privind nivelul serviciilor pentru a trata cererile de acces din partea solicitanților legitimi de acces. Procedura de acces poate include, de asemenea, utilizarea unei interfețe, a unui portal sau a unui alt instrument tehnic, scopul fiind furnizarea unui sistem eficient de solicitare și accesare a datelor de înregistrare. În vederea promovării unor practici armonizate pe piața internă, Comisia poate adopta orientări cu privire la aceste proceduri fără a aduce atingere competențelor Comitetului european pentru protecția datelor. |
__________________ |
__________________ |
25 Considerentul 14 din REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI prevede: „Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.” |
|
Amendamentul 37
Propunere de directivă
Considerentul 63
|
|
Textul propus de Comisie |
Amendamentul |
(63) Toate entitățile esențiale și importante vizate de prezenta directivă sunt considerate ca fiind sub jurisdicția statului membru în care își prestează serviciile. În cazul în care entitatea furnizează servicii în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre aceste state membre. Autoritățile competente din aceste state membre ar trebui să coopereze, să își ofere asistență reciprocă și, după caz, să întreprindă acțiuni comune de supraveghere. |
(63) În sensul prezentei directive, toate entitățile esențiale și importante vizate de prezenta directivă sunt considerate ca fiind sub jurisdicția statului membru în care își prestează serviciile. În cazul în care entitatea furnizează servicii în mai multe state membre, aceasta ar trebui să intre sub jurisdicția separată și concurentă a fiecăruia dintre aceste state membre. Autoritățile competente din aceste state membre ar trebui să convină asupra clasificărilor constitutive, să coopereze atunci când este posibil, să își ofere asistență reciprocă în timp real și, după caz, să întreprindă acțiuni comune de supraveghere. |
Amendamentul 38
Propunere de directivă
Considerentul 64
|
|
Textul propus de Comisie |
Amendamentul |
(64) Pentru a ține seama de caracterul transfrontalier al serviciilor și al operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale furnizorilor de rețele de distribuție de conținut, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date și ale furnizorilor digitali, un singur stat membru ar trebui să aibă jurisdicție asupra acestor entități. Competența ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui să fie locul în care sunt luate deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Aceasta va corespunde, de regulă, locului în care se află administrația centrală a întreprinderilor din Uniune. În cazul în care astfel de decizii nu sunt luate în Uniune, se consideră că sediul principal se află în statul membru în care entitatea are sediul cu cel mai mare număr de angajați din Uniune. În cazul în care serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi. |
(64) Pentru a ține seama de caracterul transfrontalier al serviciilor și al operațiunilor furnizorilor de servicii DNS, ale registrelor de nume TLD, ale furnizorilor de rețele de distribuție de conținut, ale furnizorilor de servicii de cloud computing, ale furnizorilor de servicii de centre de date și ale furnizorilor digitali, un singur stat membru ar trebui să aibă jurisdicție asupra acestor entități. În sensul prezentei directive, competența ar trebui să fie atribuită statului membru în care entitatea respectivă își are sediul principal în Uniune. Criteriul stabilirii în sensul prezentei directive implică exercitarea efectivă a activității prin intermediul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință. Respectarea acestui criteriu nu ar trebui să depindă de localizarea fizică a rețelei și a sistemelor informatice într-un anumit loc; prezența și utilizarea unor astfel de sisteme nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criterii decisive pentru stabilirea sediului principal. Sediul principal ar trebui să fie locul în care sunt luate deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în Uniune. Aceasta va corespunde, de regulă, locului în care se află administrația centrală a întreprinderilor din Uniune. În cazul în care astfel de decizii nu sunt luate în Uniune, se consideră că sediul principal se află în statul membru în care entitatea are sediul cu cel mai mare număr de angajați din Uniune. În cazul în care serviciile sunt prestate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi. |
Amendamentul 39
Propunere de directivă
Considerentul 69
|
|
Textul propus de Comisie |
Amendamentul |
(69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entități, autorități publice, CERT, CSIRT și furnizorii de tehnologii și servicii de securitate ar trebui să constituie un interes legitim al operatorului de date în cauză, astfel cum se menționează în Regulamentul (UE) 2016/679. Aceasta ar trebui să includă măsuri legate de prevenirea, detectarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare. Astfel de măsuri pot necesita prelucrarea următoarelor tipuri de date cu caracter personal: adrese IP, localizatoare uniforme de resurse (URL), nume de domenii și adrese de e-mail. |
(69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entități, autorități publice, CERT, CSIRT și furnizorii de tehnologii și servicii de securitate este necesară pentru a fi în conformitate cu obligațiile lor legale în temeiul legislației naționale de transpunere a prezentei directive și, prin urmare, este cuprinsă în articolul 6 alineatul (1) litera (c) și în articolul (6) alineatul (3) din Regulamentul (UE) 2016/679. În plus, o astfel de prelucrare ar trebui să constituie un interes legitim al operatorului de date în cauză, astfel cum se menționează la articolul 6 alineatul (1) litera (f) din Regulamentul (UE) 2016/679. Aceasta ar trebui să includă măsuri legate de prevenirea, detectarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare. În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente cibernetice și, prin urmare, autoritățile competente și autoritățile de protecție a datelor din statele membre ale UE ar trebui să coopereze și să facă schimb de informații cu privire la toate aspectele relevante pentru a combate orice încălcare a securității datelor cu caracter personal. Astfel de măsuri pot necesita prelucrarea anumitor categorii de date cu caracter personal, inclusiv adrese IP, localizatoare uniforme de resurse (URL), nume de domenii și adrese de e-mail. |
Amendamentul 40
Propunere de directivă
Considerentul 71
|
|
Textul propus de Comisie |
Amendamentul |
(71) Pentru ca asigurarea respectării să fie eficace, ar trebui stabilită o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor de securitate cibernetică și de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru astfel de sancțiuni în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de natura, gravitatea și durata încălcării, de daunele reale cauzate sau de pierderile suferite ori de daunele sau pierderile potențiale care ar fi putut fi declanșate, de caracterul intenționat sau din neglijență al încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul și/sau pierderile suferite, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv al unei protecții judiciare eficiente și al unui proces echitabil. |
(71) Pentru ca asigurarea respectării să fie eficace, ar trebui stabilită o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor de securitate cibernetică și de raportare prevăzute în prezenta directivă, stabilind un cadru clar și coerent pentru astfel de sancțiuni în întreaga Uniune. Ar trebui să se țină seama în mod corespunzător de gravitatea și durata încălcării, de daunele reale cauzate sau de pierderile suferite ori de daunele sau pierderile potențiale care ar fi putut fi declanșate, de încălcările anterioare relevante, de modul în care încălcarea a fost adusă la cunoștința autorității competente, de caracterul intenționat sau din neglijență al încălcării, de acțiunile întreprinse pentru a preveni sau a atenua prejudiciul și/sau pierderile suferite, de gradul de responsabilitate sau de orice încălcare anterioară relevantă, de gradul de cooperare cu autoritatea competentă și de orice alt factor agravant sau atenuant. Sancțiunile impuse, inclusiv amenzile administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv al unei protecții judiciare eficiente și al unui proces echitabil. |
Amendamentul 41
Propunere de directivă
Considerentul 74
|
|
Textul propus de Comisie |
Amendamentul |
(74) Statele membre ar trebui să poată stabili norme privind sancțiunile penale pentru încălcarea normelor naționale de transpunere a prezentei directive. Cu toate acestea, impunerea de sancțiuni penale pentru încălcări ale acestor norme de drept intern și de sancțiuni administrative conexe nu ar trebui să ducă la încălcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justiție. |
(74) Statele membre ar trebui să poată stabili norme privind sancțiunile penale pentru încălcarea normelor naționale de transpunere a prezentei directive. Respectivele sancțiuni penale pot, de asemenea, permite privarea de profiturile obținute prin încălcarea prezentului regulament. Cu toate acestea, impunerea de sancțiuni penale pentru încălcări ale acestor norme de drept intern și de sancțiuni administrative conexe nu ar trebui să ducă la încălcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justiție. |
Amendamentul 42
Propunere de directivă
Considerentul 76
|
|
Textul propus de Comisie |
Amendamentul |
(76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice sancțiuni constând în suspendarea unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate aceste servicii și impunerea unei interdicții temporare de a exercita funcții de conducere de către o persoană fizică. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste sancțiuni ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de sancțiuni ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste sancțiuni. Impunerea unor astfel de sancțiuni face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
(76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice sancțiuni constând în suspendarea unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate aceste servicii. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste sancțiuni ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de sancțiuni ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste sancțiuni. Impunerea unor astfel de sancțiuni face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv căi de atac efective, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
Amendamentul 43
Propunere de directivă
Considerentul 77
|
|
Textul propus de Comisie |
Amendamentul |
(77) Prezenta directivă ar trebui să stabilească norme de cooperare între autoritățile competente și autoritățile de supraveghere în conformitate cu Regulamentul (UE) 2016/679 pentru tratarea cazurilor de încălcare a normelor în materie de date cu caracter personal. |
(77) Prezenta directivă ar trebui să stabilească norme de cooperare între autoritățile competente în temeiul prezentei directive și autoritățile de supraveghere în temeiul Regulamentului (UE) 2016/679 pentru tratarea cazurilor de încălcare a normelor în materie de date cu caracter personal. |
Amendamentul 44
Propunere de directivă
Considerentul 79
|
|
Textul propus de Comisie |
Amendamentul |
(79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre. |
(79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre. UE ar trebui să faciliteze un răspuns coordonat la incidentele și crizele cibernetice de mare amploare și să ofere asistență pentru a sprijini redresarea în urma unor astfel de atacuri cibernetice. |
Amendamentul 45
Propunere de directivă
Considerentul 82 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(82a) Prezenta directivă nu se aplică instituțiilor, oficiilor, organelor și agențiilor Uniunii. Totuși, organele Uniunii ar putea fi considerate entități esențiale sau importante în temeiul prezentei directive. Pentru a atinge un nivel uniform de protecție, prin norme coerente și omogene, Comisia ar trebui să publice o propunere legislativă cu scopul de a include instituțiile, oficiile, organele și agențiile Uniunii în cadrul de securitate cibernetică la nivelul întregii UE, până la 31 decembrie 2022. |
Amendamentul 46
Propunere de directivă
Considerentul 84
|
|
Textul propus de Comisie |
Amendamentul |
(84) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate, |
(84) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, în special dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de a desfășura o activitate comercială, dreptul de proprietate, dreptul la o cale de atac eficientă în fața unei instanțe judecătorești și dreptul de a fi ascultat. Prezenta directivă ar trebui să fie pusă în aplicare în conformitate cu drepturile și principiile menționate și în deplină conformitate cu legislația existentă a Uniunii care reglementează aceste aspecte. Orice prelucrare a datelor cu caracter personal în temeiul prezentei directive face obiectul Regulamentului (UE) 2016/679 și al Directivei 2002/58/CE, în domeniul lor de aplicare respectiv, inclusiv sarcinile și prerogativele autorităților de supraveghere care au atribuția de a monitoriza respectarea acestor instrumente juridice. |
Amendamentul 47
Propunere de directivă
Articolul 2 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Prezenta directivă se aplică entităților publice și private de tipul celor menționate ca fiind entități esențiale în anexa I și entități importante în anexa II. Prezenta directivă nu se aplică entităților care se califică drept microîntreprinderi și întreprinderi mici în sensul Recomandării 2003/361/CE a Comisiei28. |
1. Prezenta directivă se aplică entităților publice și private de tipul celor menționate ca fiind entități esențiale în anexa I și entități importante în anexa II. Prezenta directivă nu se aplică entităților care se califică drept microîntreprinderi și întreprinderi mici în sensul Recomandării 2003/361/CE a Comisiei28. Articolul 3 alineatul (4) din anexa la Recomandarea 2003/361/CE a Comisiei nu se aplică. |
__________________ |
__________________ |
28 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
28 Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). |
Amendamentul 48
Propunere de directivă
Articolul 2 – alineatul 2 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
2. Cu toate acestea, indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților menționate în anexele I și II, în cazul în care: |
2. Cu toate acestea, indiferent de dimensiunea lor și pe baza unei evaluări a riscurilor în conformitate cu articolul 18, prezenta directivă se aplică, de asemenea, entităților menționate în anexele I și II, în cazul în care: |
Amendamentul 49
Propunere de directivă
Articolul 2 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) entitatea este singurul furnizor al unui serviciu într-un stat membru; |
(c) entitatea este singurul furnizor al unui serviciu într-un stat membru la nivel național sau regional; |
Amendamentul 50
Propunere de directivă
Articolul 2 – alineatul 2 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) o eventuală perturbare a serviciului furnizat de entitate ar putea avea un impact asupra siguranței publice, a securității publice sau a sănătății publice; |
(d) o perturbare a serviciului furnizat de entitate ar putea avea un impact asupra siguranței publice, a securității publice sau a sănătății publice; |
Amendamentul 51
Propunere de directivă
Articolul 2 – alineatul 2 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) o eventuală perturbare a serviciului furnizat de entitate ar putea genera riscuri sistemice, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; |
(e) o perturbare a serviciului furnizat de entitate ar putea genera riscuri sistemice, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; |
Amendamentul 52
Propunere de directivă
Articolul 2 – alineatul 4 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
4a. Orice prelucrare a datelor cu caracter personal în temeiul prezentei directive respectă Regulamentul (UE) 2016/679 și Directiva 2002/58/CE și se limitează la ceea ce este strict necesar și proporțional în sensul prezentei directive. |
Amendamentul 53
Propunere de directivă
Articolul 2 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Fără a aduce atingere articolului 346 din TFUE, informațiile confidențiale în conformitate cu normele Uniunii și cu cele naționale, precum cele privind secretul comercial, fac obiectul schimbului de informații cu Comisia și cu alte autorități relevante numai dacă acest lucru este necesar pentru aplicarea prezentei directive. Informațiile care fac obiectul schimbului se limitează la informații relevante și proporționale cu scopul urmărit. Schimbul de informații păstrează confidențialitatea informațiilor respective și protejează securitatea și interesele comerciale ale entităților esențiale sau importante. |
5. Fără a aduce atingere articolului 346 din TFUE, informațiile confidențiale în conformitate cu normele Uniunii și cu cele naționale, precum cele privind secretul comercial, fac obiectul schimbului de informații cu Comisia și cu alte autorități relevante numai dacă acest lucru este necesar pentru aplicarea prezentei directive. Informațiile care fac obiectul schimbului se limitează la informații necesare pentru scopul urmărit. Schimbul de informații păstrează confidențialitatea informațiilor respective și protejează securitatea și interesele comerciale ale entităților esențiale sau importante. |
Amendamentul 54
Propunere de directivă
Articolul 2 – alineatul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6a. Până la 31 decembrie 2021, Comisia publică o propunere legislativă care să includă instituțiile, organele, oficiile și agențiile Uniunii în cadrul general de securitate cibernetică la nivelul întregii UE, în vederea realizării unui nivel uniform de protecție, prin norme coerente și omogene. |
Amendamentul 55
Propunere de directivă
Articolul 4 – alineatul 1 – punctul 1 –litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată de date digitale; |
(b) orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată de date digitale, și care sunt integrate în sistemul informatic și utilizate pentru a furniza serviciile prevăzute; |
Amendamentul 56
Propunere de directivă
Articolul 4 – alineatul 1 – punctul 4
|
|
Textul propus de Comisie |
Amendamentul |
(4) „strategie națională de securitate cibernetică” înseamnă un cadru coerent al unui stat membru care prevede obiective și priorități strategice privind securitatea rețelelor și a sistemelor informatice în statul membru respectiv; |
(4) „strategie națională de securitate cibernetică” înseamnă un cadru coerent al unui stat membru care prevede obiective și priorități strategice privind securitatea cibernetică în statul membru respectiv; |
Amendamentul 57
Propunere de directivă
Articolul 4 – alineatul 1 – punctul 12
|
|
Textul propus de Comisie |
Amendamentul |
(12) „internet exchange point (IXP)” înseamnă o structură de rețea care permite interconectarea a mai mult de două rețele independente (sisteme autonome), în special în scopul facilitării schimbului de trafic de internet; un IXP furnizează interconectare doar pentru sisteme autonome; un IXP nu necesită trecerea printr-un al treilea sistem autonom a traficului de internet dintre o pereche oarecare de sisteme autonome participante și nici nu modifică sau afectează într-un alt mod acest trafic; |
eliminat |
Amendamentul 58
Propunere de directivă
Articolul 4 – alineatul 1 – punctul 22
|
|
Textul propus de Comisie |
Amendamentul |
(22) „platformă de servicii de socializare în rețea” înseamnă o platformă care le permite utilizatorilor finali să se conecteze, să partajeze, să descopere și să comunice între ei prin intermediul mai multor dispozitive, în special prin chat, postări, materiale video și recomandări; |
eliminat |
Amendamentul 59
Propunere de directivă
Articolul 4 – alineatul 1 – punctul 24
|
|
Textul propus de Comisie |
Amendamentul |
(24) „entitate” înseamnă orice persoană fizică sau juridică constituită și recunoscută ca atare în temeiul dreptului intern al locului său de stabilire care poate, acționând în nume propriu, să exercite drepturi și să fie supusă unor obligații; |
(24) „entitate” înseamnă orice persoană fizică sau orice persoană juridică constituită și recunoscută ca atare în temeiul dreptului intern al locului său de stabilire care poate, acționând în nume propriu, să exercite drepturi și să fie supusă unor obligații; |
Amendamentul 60
Propunere de directivă
Articolul 5 – alineatul 1 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) o definire a obiectivelor și a priorităților strategiei statelor membre privind securitatea cibernetică; |
(a) o definire a obiectivelor și a priorităților strategiei statelor membre privind securitatea cibernetică, luând în considerare nivelul general de conștientizare a securității cibernetice în rândul cetățenilor, precum și nivelul general de securitate al dispozitivelor conectate ale consumatorilor; |
Amendamentul 61
Propunere de directivă
Articolul 5 – alineatul 1 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) un cadru de politică menit să asigure o mai bună coordonare între autoritățile competente în temeiul prezentei directive și al Directivei (UE) XXXX/XXXX a Parlamentului European și a Consiliului38 [Directiva privind reziliența entităților critice] în scopul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. |
(f) un cadru de politică menit să asigure o mai bună coordonare între autoritățile competente în temeiul prezentei directive și al Directivei (UE) XXXX/XXXX a Parlamentului European și a Consiliului38 [Directiva privind reziliența entităților critice], în și între statele membre, în scopul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. |
__________________ |
__________________ |
38 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
38 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 62
Propunere de directivă
Articolul 5 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice; |
(b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice, inclusiv cerințele de criptare și promovarea utilizării produselor de securitate cibernetică cu sursă deschisă, dar fără a se limita la acestea; |
Amendamentul 63
Propunere de directivă
Articolul 5 – alineatul 2 – litera da (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(da) o politică legată de susținerea utilizării datelor deschise și a sursei deschise în cadrul securității prin transparență; |
Amendamentul 64
Propunere de directivă
Articolul 5 – alineatul 2 – litera db (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(db) o politică de promovare a confidențialității și a securității datelor cu caracter personal ale utilizatorilor de servicii online; |
Amendamentul 65
Propunere de directivă
Articolul 5 – alineatul 2 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) o politică de promovare și dezvoltare a inițiativelor privind competențele, sensibilizarea și cercetarea și dezvoltarea în materie de securitate cibernetică; |
(e) o politică de promovare și dezvoltare a inițiativelor privind competențele, sensibilizarea și cercetarea și dezvoltarea în materie de securitate cibernetică, inclusiv dezvoltarea unor programe de formare privind securitatea cibernetică care să furnizeze specialiști și tehnicieni entităților; |
Amendamentul 66
Propunere de directivă
Articolul 5 – alineatul 2 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) o politică de sprijinire a instituțiilor academice și de cercetare în vederea dezvoltării unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate; |
(f) o politică de sprijinire a instituțiilor academice și de cercetare, care să contribuie la strategia națională în materie de securitate cibernetică, prin dezvoltarea și implementarea unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate care să contribuie la strategia națională în materie de securitate cibernetică, inclusiv politici specifice privind aspectele legate de reprezentarea și echilibrul de gen în acest sector; |
Amendamentul 67
Propunere de directivă
Articolul 5 – alineatul 2 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice. |
(h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice și a capacității lor de a interveni în cazul unui incident de securitate cibernetică. |
Amendamentul 68
Propunere de directivă
Articolul 6 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. ENISA creează și menține un registru european al vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în registru. Registrul include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. |
2. ENISA creează și menține un registru european al vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în registru. Registrul include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. Pentru a asigura securitatea și accesibilitatea informațiilor incluse în registru, ENISA aplică măsuri de securitate de ultimă generație și pune informațiile la dispoziție, în formate prelucrabile automat, prin intermediul interfețelor corespunzătoare. |
Amendamentul 69
Propunere de directivă
Articolul 7 – alineatul 3 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) obiectivele măsurilor și ale activităților naționale de pregătire; |
(a) obiectivele măsurilor și ale activităților naționale de pregătire, și, dacă este relevant și aplicabil, regionale și transfrontaliere; |
Amendamentul 70
Propunere de directivă
Articolul 10 – alineatul 2 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) furnizarea, la cererea unei entități, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor; |
(e) furnizarea, la cererea unei entități, a unei scanări de securitate a sistemelor informatice și a întinderii rețelei utilizate pentru furnizarea serviciilor lor, cu scopul de a identifica, atenua sau preveni amenințări specifice; prelucrarea datelor cu caracter personal în contextul unei astfel de scanări se limitează la ceea ce este strict necesar și, în orice caz, la adresele IP și URL-uri; |
Amendamentul 71
Propunere de directivă
Articolul 11 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv. |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv, în conformitate cu competențele lor respective. |
__________________ |
__________________ |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 72
Propunere de directivă
Articolul 11 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Statele membre se asigură că autoritățile lor competente furnizează periodic informații autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu privire la riscurile de securitate cibernetică, amenințările cibernetice și incidentele care afectează entitățile esențiale identificate ca fiind critice sau ca entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], precum și cu privire la măsurile luate de autoritățile competente ca răspuns la aceste riscuri și incidente. |
5. Statele membre se asigură că autoritățile lor competente furnizează periodic informații, în timp util, autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu privire la riscurile de securitate cibernetică, amenințările cibernetice și incidentele care afectează entitățile esențiale identificate ca fiind critice sau ca entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], precum și cu privire la măsurile luate de autoritățile competente ca răspuns la aceste riscuri și incidente. |
Amendamentul 73
Propunere de directivă
Articolul 12 – alineatul 3 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
3. Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observator. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare. |
3. Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Serviciul European de Acțiune Externă, Centrul european de combatere a criminalității informatice din cadrul Europol și Comitetul european pentru protecția datelor participă la activitățile grupului de cooperare în calitate de observator. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare. |
Amendamentul 74
Propunere de directivă
Articolul 12 – alineatul 3 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
După caz, grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai părților interesate relevante. |
În cazul în care acest lucru este relevant pentru îndeplinirea sarcinilor sale, grupul de cooperare invită reprezentanți ai părților interesate relevante să participe la lucrările sale, iar Parlamentul European este invitat să participe în calitate de observator. |
Amendamentul 75
Propunere de directivă
Articolul 12 – alineatul 8
|
|
Textul propus de Comisie |
Amendamentul |
8. Grupul de cooperare se reunește periodic și cel puțin o dată pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] pentru a promova cooperarea strategică și schimbul de informații. |
8. Grupul de cooperare se reunește periodic și cel puțin de două ori pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] pentru a facilita cooperarea strategică și schimbul de informații în timp real. |
Amendamentul 76
Propunere de directivă
Articolul 13 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Rețeaua CSIRT este formată din reprezentanți ai echipelor CSIRT ale statelor membre și ai CERT-UE. Comisia participă la rețeaua CSIRT în calitate de observator. ENISA asigură secretariatul și sprijină activ cooperarea între echipele CSIRT. |
2. Rețeaua CSIRT este formată din reprezentanți ai echipelor CSIRT ale statelor membre și ai CERT-UE. Comisia și Centrul european de combatere a criminalității informatice din cadrul Europol participă la rețeaua CSIRT în calitate de observator. ENISA asigură secretariatul și sprijină activ cooperarea între echipele CSIRT. |
Amendamentul 77
Propunere de directivă
Articolul 14 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. UE - CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. ENISA asigură secretariatul rețelei și sprijină schimbul securizat de informații. |
2. UE - CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. Centrul european de combatere a criminalității informatice din cadrul Europol participă la activitățile UE-CyCLONe în calitate de observator. ENISA asigură secretariatul rețelei și sprijină schimbul securizat de informații. |
Amendamentul 78
Propunere de directivă
Articolul 14 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. UE-CyCLONe cooperează cu rețeaua CSIRT pe baza modalităților procedurale convenite. |
6. UE-CyCLONe cooperează cu rețeaua CSIRT pe baza modalităților procedurale convenite și cu asigurarea respectării legii în cadrul Protocolului UE privind răspunsul în caz de urgență al autorităților de aplicare a legii. |
Amendamentul 79
Propunere de directivă
Articolul 15 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune. Raportul include, în special, o evaluare a următoarelor elemente: |
1. ENISA elaborează, în cooperare cu Comisia, un raport anual privind situația în materie de securitate cibernetică în Uniune. Raportul este furnizat într-un format citibil automat și include, în special, o evaluare a următoarelor elemente: |
Amendamentul 80
Propunere de directivă
Articolul 15 – alineatul 1 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) impactul incidentelor de securitate cibernetică asupra protecției datelor cu caracter personal în Uniune. |
Amendamentul 81
Propunere de directivă
Articolul 15 – alineatul 1 – litera cb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(cb) o prezentare de ansamblu a nivelului general de conștientizare în domeniul cibernetic și de utilizare a securității cibernetice în rândul cetățenilor, precum și a nivelului general de securitate a dispozitivelor conectate orientate către consumatori, introduse pe piața Uniunii. |
Amendamentul 82
Propunere de directivă
Articolul 17 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că membrii organului de conducere urmează, în mod regulat, cursuri de formare specifice pentru a dobândi suficiente cunoștințe și competențe în vederea identificării și a evaluării riscurilor și a practicilor de gestionare în materie de securitate cibernetică, precum și a impactului acestora asupra operațiunilor pe care le desfășoară entitatea. |
2. Statele membre se asigură că membrii organului de conducere și specialiștii cu atribuții în materie de securitate cibernetică urmează, în mod regulat, cursuri de formare specifice pentru a dobândi suficiente cunoștințe și competențe în vederea identificării și a evaluării riscurilor în continuă evoluție și a practicilor de gestionare în materie de securitate cibernetică, precum și a impactului acestora asupra operațiunilor pe care le desfășoară entitatea. |
Amendamentul 83
Propunere de directivă
Articolul 18 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru a furniza servicii. Ținând seama de cele mai avansate cunoștințe în domeniu, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. |
1. Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității cibernetice a rețelelor și a sistemelor informatice utilizate pentru furnizarea serviciilor lor și în vederea garantării continuității acestor servicii și a reducerii riscurilor la adresa drepturilor persoanelor, în contextul prelucrării datelor cu caracter personal ale acestora. Ținând seama de cele mai avansate cunoștințe în domeniu, măsurile respective asigură un nivel de securitate cibernetică a rețelelor și a sistemelor informatice adecvat riscului prezentat. |
Amendamentul 84
Propunere de directivă
Articolul 18 – alineatul 2 – litera g
|
|
Textul propus de Comisie |
Amendamentul |
(g) utilizarea criptografiei și a criptării. |
(g) utilizarea criptografiei și a criptării solide. |
Amendamentul 85
Propunere de directivă
Articolul 18 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre se asigură că, atunci când au în vedere luarea măsurilor adecvate menționate la alineatul (2) litera (d), entitățile iau în considerare vulnerabilitățile specifice fiecărui prestator și furnizor de servicii, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale prestatorilor și furnizorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare. |
3. Statele membre se asigură că, atunci când au în vedere luarea măsurilor adecvate și proporționale menționate la alineatul (2) litera (d), entitățile iau în considerare vulnerabilitățile specifice fiecărui prestator și furnizor de servicii, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale prestatorilor și furnizorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare. Autoritățile competente oferă entităților orientări cu privire la aplicarea practică și proporțională. |
Amendamentul 86
Propunere de directivă
Articolul 18 – alineatul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6a. Statele membre acordă utilizatorului unei rețele și al unui sistem informatic furnizat de o entitate esențială sau importantă dreptul de a obține de la entitatea respectivă informații despre măsurile tehnice și organizatorice existente pentru a gestiona riscurile la adresa securității rețelei și a sistemelor informatice. Statele membre definesc limitările acestui drept. |
Amendamentul 87
Propunere de directivă
Articolul 19 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Grupul de cooperare, în cooperare cu Comisia și ENISA, poate efectua evaluări coordonate ale riscurilor în materie de securitate ale anumitor lanțuri de aprovizionare ale serviciilor, sistemelor sau produselor TIC critice, ținând seama de factorii de risc de natură tehnică și, după caz, care nu sunt de natură tehnică. |
1. Grupul de cooperare, în cooperare cu Comisia și ENISA, efectuează evaluări coordonate ale riscurilor în materie de securitate ale anumitor lanțuri de aprovizionare ale serviciilor, sistemelor sau produselor TIC critice, ținând seama de factorii de risc de natură tehnică și, după caz, care nu sunt de natură tehnică. |
Amendamentul 88
Propunere de directivă
Articolul 20 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate, autorităților competente sau CSIRT, în conformitate cu alineatele (3) și (4), orice incident care are un impact semnificativ asupra prestării serviciilor lor. Dacă este cazul, entitățile respective notifică, fără întârzieri nejustificate, destinatarilor serviciilor lor incidentele care ar putea afecta în mod negativ prestarea serviciului respectiv. Statele membre se asigură că entitățile respective raportează, printre altele, orice informație care să le permită autorităților competente sau CSIRT să stabilească dacă incidentul are un impact transfrontalier. |
1. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate și, în orice caz, în 24 de ore, autorităților competente sau CSIRT, în conformitate cu alineatele (3) și (4), orice incident care are un impact semnificativ asupra prestării serviciilor lor, precum și autorităților competente de aplicare a legii dacă se suspectează sau se știe că natura incidentului este rău-intenționată. Entitățile respective notifică, fără întârzieri nejustificate, și, în orice caz, în 24 de ore, destinatarilor serviciilor lor incidentele care ar putea afecta în mod negativ prestarea serviciului respectiv și furnizează informații care să le permită să atenueze efectele negative ale atacurilor cibernetice. În mod excepțional, în cazul în care divulgarea publică ar putea declanșa alte atacuri cibernetice, entitățile respective pot întârzia notificarea. Statele membre se asigură că entitățile respective raportează, printre altele, orice informație care să le permită autorităților competente sau CSIRT să stabilească dacă incidentul are un impact transfrontalier. |
Amendamentul 89
Propunere de directivă
Articolul 20 – alineatul 2 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate, autorităților competente sau CSIRT orice amenințare cibernetică semnificativă pe care entitățile respective o identifică și care ar fi putut duce la un incident semnificativ. |
2. Statele membre se asigură că entitățile esențiale și importante sunt în măsură să notifice autorităților competente sau CSIRT orice amenințare cibernetică semnificativă pe care entitățile respective o identifică și care ar fi putut duce la un incident semnificativ. |
Amendamentul 90
Propunere de directivă
Articolul 20 – alineatul 2 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
Dacă este cazul, entitățile respective notifică, fără întârzieri nejustificate, destinatarilor serviciilor lor care ar putea fi afectați de o amenințare cibernetică semnificativă măsurile sau măsurile corective pe care destinatarii respectivi le pot lua ca răspuns la amenințarea respectivă. Dacă este cazul, entitățile le notifică, de asemenea, destinatarilor în cauză amenințarea propriu-zisă. Notificarea nu expune entitatea notificatoare unei răspunderi sporite. |
Dacă este cazul, entitățile respective au dreptul să notifice destinatarilor serviciilor lor care ar putea fi afectați de o amenințare cibernetică semnificativă măsurile sau măsurile corective pe care destinatarii respectivi le pot lua ca răspuns la amenințarea respectivă. Dacă transmit o astfel de notificare, entitățile le notifică, de asemenea, destinatarilor în cauză amenințarea propriu-zisă. Notificarea nu expune entitatea notificatoare unei răspunderi sporite. |
Amendamentul 91
Propunere de directivă
Articolul 20 – alineatul 4 – litera c – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
(c) un raport final, în termen de cel mult o lună de la prezentarea raportului menționat la litera (a), care să includă cel puțin următoarele elemente: |
(c) un raport cuprinzător, în termen de cel mult o lună de la prezentarea raportului menționat la litera (a), care să includă cel puțin următoarele elemente: |
Amendamentul 92
Propunere de directivă
Articolul 20 – alineatul 4 – litera c – punctul ii
|
|
Textul propus de Comisie |
Amendamentul |
(ii) tipul de amenințare sau de cauză principală care probabil că a declanșat incidentul; |
(ii) tipul de amenințare cibernetică sau de cauză principală care probabil că a declanșat incidentul; |
Amendamentul 93
Propunere de directivă
Articolul 20 – alineatul 4 – litera c – punctul iii
|
|
Textul propus de Comisie |
Amendamentul |
(iii) măsurile de atenuare aplicate și în curs. |
(iii) măsurile de atenuare sau corective aplicate și în curs. |
Amendamentul 94
Propunere de directivă
Articolul 20 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. După caz, mai ales dacă incidentul menționat la alineatul (1) implică două sau mai multe state membre, autoritatea competentă sau CSIRT informează celelalte state membre afectate și ENISA cu privire la incident. Astfel, autoritățile competente, echipele CSIRT și punctele unice de contact, în conformitate cu dreptul Uniunii sau cu legislația națională conformă cu dreptul Uniunii, protejează interesele de securitate și comerciale ale entității, precum și confidențialitatea informațiilor furnizate. |
6. După caz, mai ales dacă incidentul menționat la alineatul (1) implică două sau mai multe state membre, autoritatea competentă sau CSIRT informează celelalte state membre afectate și ENISA cu privire la incident. În cazul în care incidentul afectează două sau mai multe state membre și este presupus a fi de natură infracțională, autoritatea competentă sau CSIRT informează EUROPOL. Astfel, autoritățile competente, echipele CSIRT și punctele unice de contact, în conformitate cu dreptul Uniunii sau cu legislația națională conformă cu dreptul Uniunii, protejează interesele de securitate și comerciale ale entității, precum și confidențialitatea informațiilor furnizate. |
Amendamentul 95
Propunere de directivă
Articolul 22 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. ENISA, în colaborare cu statele membre, elaborează avize și orientări în ceea ce privește domeniile tehnice care ar trebui să fie examinate în legătură cu alineatul (1), precum și în ceea ce privește standardele deja existente, inclusiv standardele naționale ale statelor membre, care ar permite reglementarea acestor domenii. |
2. ENISA, după consultarea CEPD și în colaborare cu statele membre, elaborează avize și orientări în ceea ce privește domeniile tehnice care ar trebui să fie examinate în legătură cu alineatul (1), precum și în ceea ce privește standardele deja existente, inclusiv standardele naționale ale statelor membre, care ar permite reglementarea acestor domenii. |
Amendamentul 96
Propunere de directivă
Articolul 23 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru a contribui la securitatea, stabilitatea și reziliența DNS, statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD colectează și mențin date exacte și complete privind înregistrarea numelor de domenii într-o bază de date dedicată, cu diligența necesară, sub rezerva legislației Uniunii în materie de protecție a datelor î cu caracter personal. |
1. Pentru a contribui la securitatea, stabilitatea și reziliența DNS, statele membre se asigură că TLD dispun de politici și proceduri pentru a garanta că se colectează și se mențin date exacte și complete privind înregistrarea numelor de domenii într-o bază de date dedicată, în conformitate cu legislația Uniunii în materie de protecție a datelor cu caracter personal. Statele membre se asigură că aceste politici și proceduri sunt puse la dispoziția publicului. |
Amendamentul 97
Propunere de directivă
Articolul 23 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că bazele de date cu datele de înregistrare a numelor de domenii menționate la alineatul (1) conțin informații relevante pentru identificarea și contactarea titularilor numelor de domenii și a punctelor de contact care administrează numele de domenii în cadrul TLD-urilor. |
2. Statele membre se asigură că bazele de date cu datele de înregistrare a numelor de domenii menționate la alineatul (1) conțin informațiile necesare pentru identificarea și contactarea titularilor numelor de domenii, adică numele lor, adresa lor fizică și adresa de e-mail, precum și numărul lor de telefon, și a punctelor de contact care administrează numele de domenii în cadrul TLD-urilor. |
Amendamentul 98
Propunere de directivă
Articolul 23 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD dispun de politici și proceduri care să asigure că bazele de date conțin informații exacte și complete. Statele membre se asigură că aceste politici și proceduri sunt puse la dispoziția publicului. |
eliminat |
Justificare
Acest alineat a fost integrat în articolul 23 alineatul (1).
Amendamentul 99
Propunere de directivă
Articolul 23 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD publică, fără întârzieri nejustificate după înregistrarea unui nume de domeniu, date de înregistrare a domeniului care nu sunt date cu caracter personal. |
4. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD publică, în conformitate cu articolul 6 alineatul (1) litera (c) și cu articolul 6 alineatul (3) din Regulamentul (UE) 2016/679 și fără întârzieri nejustificate după înregistrarea unui nume de domeniu, anumite date de înregistrare a numelor de domeniu, cum ar fi numele domeniului și numele persoanei juridice. |
Amendamentul 100
Propunere de directivă
Articolul 23 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD oferă acces la datele de înregistrare a numelor de domenii specifice în baza unor cereri legale și justificate în mod corespunzător ale solicitanților de acces legitimi, în conformitate cu legislația Uniunii în materie de protecție a datelor. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD răspund fără întârzieri nejustificate la toate cererile de acces. Statele membre se asigură că politicile și procedurile de divulgare a unor astfel de date sunt puse la dispoziția publicului. |
5. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD oferă acces la datele de înregistrare a numelor de domenii specifice în baza unor cereri legale și justificate în mod corespunzător ale autorităților publice, inclusiv ale autorităților competente, în temeiul prezentei directive sau al dreptului național, pentru prevenirea, anchetarea sau urmărirea infracțiunilor, sau ale autorităților de supraveghere în temeiul Regulamentului (UE) 2016/679, în conformitate cu legislația Uniunii în materie de protecție a datelor. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD răspund fără întârzieri nejustificate la toate cererile de acces legale și notificate în mod corespunzător. Statele membre se asigură că politicile și procedurile de divulgare a unor astfel de date sunt puse la dispoziția publicului. |
Amendamentul 101
Propunere de directivă
Articolul 24 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. În cazul în care o entitate menționată la alineatul (1) nu este stabilită în Uniune, dar oferă servicii în Uniune, aceasta desemnează un reprezentant în Uniune. Reprezentantul se stabilește în unul dintre statele membre în care se oferă serviciile. O astfel de entitate se consideră sub jurisdicția statului membru în care este stabilit reprezentantul. În absența unui reprezentant desemnat în Uniune în temeiul prezentului articol, orice stat membru în care entitatea prestează servicii poate introduce acțiuni în justiție împotriva entității pentru nerespectarea obligațiilor care îi revin în temeiul prezentei directive. |
3. În cazul în care o entitate menționată la alineatul (1) nu este stabilită în Uniune, dar oferă servicii în Uniune, aceasta desemnează un reprezentant în Uniune. Reprezentantul se stabilește în unul dintre statele membre în care se oferă serviciile. Fără a aduce atingere competențelor autorităților de supraveghere în temeiul Regulamentului (UE) 2016/679, o astfel de entitate se consideră sub jurisdicția statului membru în care este stabilit reprezentantul. În absența unui reprezentant desemnat în Uniune în temeiul prezentului articol, orice stat membru în care entitatea prestează servicii poate introduce acțiuni în justiție împotriva entității pentru nerespectarea obligațiilor care îi revin în temeiul prezentei directive. |
Amendamentul 102
Propunere de directivă
Articolul 25 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. ENISA creează și ține un registru al entităților esențiale și importante menționate la articolul 24 alineatul (1). Entitățile transmit ENISA următoarele informații până la [cel târziu 12 luni de la intrarea în vigoare a directivei]: |
1. ENISA creează și ține un registru securizat al entităților esențiale și importante menționate la articolul 24 alineatul (1). Entitățile transmit ENISA următoarele informații până la [cel târziu 12 luni de la intrarea în vigoare a directivei]: |
Amendamentul 103
Propunere de directivă
Articolul 26 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. Fără a aduce atingere Regulamentului (UE) 2016/679, statele membre se asigură că entitățile esențiale și importante pot face schimb reciproc de informații relevante în materie de securitate cibernetică, inclusiv de informații referitoare la amenințări cibernetice, vulnerabilități, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare, în cazul în care un astfel de schimb de informații: |
1. Fără a aduce atingere Regulamentului (UE) 2016/679 sau Directivei 2002/58/CE, statele membre se asigură că entitățile esențiale și importante pot face schimb reciproc de informații relevante în materie de securitate cibernetică, inclusiv de informații referitoare la amenințări cibernetice, vulnerabilități, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare, precum și locul în care se află atacatorul sau identitatea sa în cazul în care un astfel de schimb de informații: |
Amendamentul 104
Propunere de directivă
Articolul 28 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Autoritățile competente lucrează în strânsă cooperare cu autoritățile de protecție a datelor în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal. |
2. Autoritățile competente lucrează în strânsă cooperare cu autoritățile de supraveghere în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal, fără a aduce atingere competențelor, sarcinilor și atribuțiilor autorităților de supraveghere în temeiul Regulamentului (UE) 2016/679. În acest scop, autoritățile competente și autoritățile de supraveghere fac schimb de informații relevante pentru domeniul lor de competență. În plus, la cererea autorităților de supraveghere competente, autoritățile competente le furnizează acestora toate informațiile obținute în contextul oricăror audituri și investigații care se referă la prelucrarea datelor cu caracter personal. |
Amendamentul 105
Propunere de directivă
Articolul 29 – alineatul 4 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) de a dispune ca entitățile respective să facă publice într-un mod specific aspectele legate de nerespectarea obligațiilor prevăzute în prezenta directivă; |
eliminat |
Amendamentul 106
Propunere de directivă
Articolul 29 – alineatul 5 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) să impună sau să solicite impunerea de către organismele sau instanțele relevante, în conformitate cu legislația națională, a unei interdicții temporare de a exercita funcții de conducere în cadrul entității respective împotriva oricărei persoane care exercită responsabilități de conducere la nivel de director executiv sau de reprezentant legal în entitatea esențială respectivă, precum și împotriva oricărei alte persoane fizice declarate responsabilă de încălcare. |
eliminat |
Amendamentul 107
Propunere de directivă
Articolul 29 – alineatul 5 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
Aceste sancțiuni se aplică numai până în momentul în care entitatea ia măsurile necesare în vederea remedierii deficiențelor sau a respectării cerințelor impuse de autoritatea competentă în temeiul cărora au fost aplicate aceste sancțiuni. |
Această sancțiune se aplică numai până în momentul în care entitatea ia măsurile necesare în vederea remedierii deficiențelor sau a respectării cerințelor impuse de autoritatea competentă în temeiul cărora au fost aplicate aceste sancțiuni. |
Amendamentul 108
Propunere de directivă
Articolul 29 – alineatul 7 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) daunele reale cauzate sau pierderile suferite ori daunele sau pierderile potențiale care ar fi putut fi cauzate, în măsura în care acestea pot fi determinate. La evaluarea acestui aspect, se ține seama, printre altele, de pierderile financiare sau economice reale sau potențiale, de efectele asupra altor servicii și de numărul de utilizatori afectați sau potențial afectați; |
(c) daunele materiale sau morale reale cauzate sau pierderile suferite, în măsura în care acestea pot fi determinate. La evaluarea acestui aspect, se ține seama, printre altele, de pierderile financiare sau economice reale sau potențiale, de efectele asupra altor servicii și de numărul de utilizatori afectați sau potențial afectați; |
Amendamentul 109
Propunere de directivă
Articolul 29 – alineatul 7 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) orice încălcare anterioară relevantă comisă de entitatea în cauză; |
Amendamentul 110
Propunere de directivă
Articolul 29 – alineatul 7 – litera cb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(cb) modul în care încălcarea a fost adusă la cunoștința autorității competente, în special dacă și în ce măsură entitatea a notificat încălcarea; |
Amendamentul 111
Propunere de directivă
Articolul 29 – alineatul 7 – litera g
|
|
Textul propus de Comisie |
Amendamentul |
(g) nivelul de cooperare al persoanei (persoanelor) fizice sau juridice considerate responsabile cu autoritățile competente. |
(g) nivelul de cooperare cu autoritățile competente pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcărilor; |
Amendamentul 112
Propunere de directivă
Articolul 29 – alineatul 7 – litera ga (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ga) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării. |
Amendamentul 113
Propunere de directivă
Articolul 29 – alineatul 9
|
|
Textul propus de Comisie |
Amendamentul |
9. Statele membre se asigură că autoritățile lor competente informează autoritățile competente relevante din statul membru în cauză desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] atunci când își exercită competențele de supraveghere și de asigurare a respectării legislației menite să asigure conformitatea unei entități esențiale identificate ca fiind critică sau ca fiind o entitate echivalentă cu o entitate critică, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu obligațiile care decurg din prezenta directivă. La cererea autorităților competente în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], autoritățile competente își pot exercita competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică sau ca fiind o entitate echivalentă cu o entitate critică. |
9. Statele membre se asigură că autoritățile lor competente informează în timp real autoritățile competente relevante din toate statele membre desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] atunci când își exercită competențele de supraveghere și de asigurare a respectării legislației menite să asigure conformitatea unei entități esențiale identificate ca fiind critică sau ca fiind o entitate echivalentă cu o entitate critică, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] cu obligațiile care decurg din prezenta directivă. La cererea autorităților competente în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice], autoritățile competente își pot exercita competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică sau ca fiind o entitate echivalentă cu o entitate critică. |
Amendamentul 114
Propunere de directivă
Articolul 30 – alineatul 4 – litera g
|
|
Textul propus de Comisie |
Amendamentul |
(g) de a dispune ca entitățile respective să facă publice într-un mod specificat aspectele legate de nerespectarea obligațiilor lor prevăzute în prezenta directivă; |
eliminat |
Amendamentul 115
Propunere de directivă
Articolul 30 – alineatul 4 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) de a face o declarație publică în care identifică persoana (persoanele) juridică (juridice) și fizică (fizice) responsabilă (responsabile) pentru încălcarea unei obligații prevăzute în prezenta directivă și natura încălcării respective; |
h) de a face o declarație publică în care identifică persoana (persoanele) juridică (juridice) responsabilă (responsabile) pentru încălcarea unei obligații prevăzute în prezenta directivă și natura încălcării respective; |
Amendamentul 116
Propunere de directivă
Articolul 31 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 29 alineatul (4) literele (a)-(i), la articolul 29 alineatul (5) și la articolul 30 alineatul (4) literele (a)(h). |
2. Amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 29 alineatul (4) literele (a)-(i), la articolul 29 alineatul (5) și la articolul 30 alineatul (4) literele (a)-(h), în funcție de circumstanțele fiecărui caz în parte. |
Amendamentul 117
Propunere de directivă
Articolul 31 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Atunci când se ia decizia de a impune o amendă administrativă și se decide cuantumul acesteia în fiecare caz în parte, se acordă atenția cuvenită, cel puțin, elementelor prevăzute la articolul 29 alineatul (7). |
3. Decizia de a impune o amendă administrativă depinde de circumstanțele fiecărui caz în parte și atunci când se decide cuantumul acesteia în fiecare caz în parte, se acordă atenția cuvenită, cel puțin, elementelor prevăzute la articolul 29 alineatul (7). |
Amendamentul 118
Propunere de directivă
Articolul 32 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. În cazul în care autoritățile competente au indicii că încălcarea de către o entitate esențială sau importantă a obligațiilor prevăzute la articolele 18 și 20 atrage după sine o încălcare a securității datelor cu caracter personal, astfel cum este definită la articolul 4 alineatul (12) din Regulamentul (UE) nr. 2016/679, care este notificată în temeiul articolului 33 din regulamentul respectiv, acestea informează într-un termen rezonabil autoritățile de supraveghere competente în temeiul articolelor 55 și 56 din regulamentul respectiv. |
1. În cazul în care autoritățile competente au indicii că încălcarea de către o entitate esențială sau importantă a obligațiilor prevăzute la articolele 18 și 20 atrage după sine o încălcare a securității datelor cu caracter personal, astfel cum este definită la articolul 4 alineatul (12) din Regulamentul (UE) nr. 2016/679, care este notificată în temeiul articolului 33 din regulamentul respectiv, acestea informează fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore autoritățile de supraveghere competente în temeiul articolelor 55 și 56 din regulamentul respectiv. |
Amendamentul 119
Propunere de directivă
Articolul 32 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. În cazul în care autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 este stabilită într-un alt stat membru decât autoritatea competentă, aceasta din urmă poate informa autoritatea de supraveghere stabilită în același stat membru. |
3. În cazul în care autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 este stabilită într-un alt stat membru decât autoritatea competentă, aceasta din urmă informează autoritatea de supraveghere stabilită în același stat membru. |
Amendamentul 120
Propunere de directivă
Articolul 34 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
Articolul 34a |
|
Răspundere pentru nerespectarea obligațiilor |
|
Fără a aduce atingere oricărei căi de atac administrative sau fără caracter judiciar disponibile, beneficiarii serviciilor furnizate de entități esențiale și importante care au suferit daune ca urmare a nerespectării de către furnizori a prezentei directive au dreptul la o cale de atac judiciară efectivă. |
Amendamentul 121
Propunere de directivă
Articolul 35 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
Comisia revizuiește periodic funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Raportul evaluează în special relevanța sectoarelor, a subsectoarelor, a dimensiunii și a tipului de entități menționate în anexele I și II pentru funcționarea economiei și a societății în ceea ce privește securitatea cibernetică. În acest scop și în vederea intensificării cooperării strategice și operaționale, Comisia ține cont de rapoartele grupului de cooperare și ale rețelei CSIRT privind experiența obținută la nivel strategic și operațional. Primul raport se transmite până la… [54 de luni de la data intrării în vigoare a prezentei directive]. |
Comisia revizuiește funcționarea prezentei directive o dată la trei ani și prezintă un raport Parlamentului European și Consiliului. Raportul evaluează în special măsura în care directiva a contribuit la atingerea celui mai înalt nivel de securitate și integritate a rețelelor și informațiilor, oferind în același timp o protecție optimă a vieții private și a datelor cu caracter personal, precum și relevanța sectoarelor, a subsectoarelor, a dimensiunii și a tipului de entități menționate în anexele I și II pentru funcționarea economiei și a societății în ceea ce privește securitatea cibernetică. În acest scop și în vederea intensificării cooperării strategice și operaționale, Comisia ține cont de rapoartele grupului de cooperare și ale rețelei CSIRT privind experiența obținută la nivel strategic și operațional. Primul raport se transmite până la… [36 de luni de la data intrării în vigoare a prezentei directive]. |
Amendamentul 122
Propunere de directivă
Anexa I – Punctul 5 (Sectorul sănătății) – liniuța 6 (nouă)
|
|||||||||||||||||||||||||
Textul propus de Comisie |
|||||||||||||||||||||||||
Sectorul |
Subsectorul |
Tipul de entitate |
|||||||||||||||||||||||
5. Sectorul sănătății |
|
– Furnizorii de servicii medicale menționați la articolul 3 litera (g) din Directiva 2011/24/UE (90) |
|||||||||||||||||||||||
– Laboratoarele de referință ale UE menționate la articolul 15 din Regulamentul XXXX/XXXX privind amenințările transfrontaliere grave pentru sănătate91 |
|||||||||||||||||||||||||
– Entitățile care desfășoară activități de cercetare și dezvoltare a medicamentelor menționate la articolul 1 punctul 2 din Directiva 2001/83/CE (92) |
|||||||||||||||||||||||||
– Entitățile care fabrică produse farmaceutice de bază și preparate farmaceutice menționate în secțiunea C diviziunea 21 din NACE Rev. 2 |
|||||||||||||||||||||||||
– Entitățile care fabrică dispozitive medicale considerate esențiale în contextul unei urgențe de sănătate publică („lista dispozitivelor esențiale pentru urgența de sănătate publică”) menționate la articolul 20 din Regulamentul XXXX93 |
|||||||||||||||||||||||||
91 [Regulamentul Parlamentului European și al Consiliului privind amenințările transfrontaliere grave pentru sănătate și de abrogare a Deciziei nr. 1082/2013/UE, trimiterea urmând să fie actualizată după adoptarea propunerii COM(2020)727 final]. |
|||||||||||||||||||||||||
92 Directiva 2001/83/CE a Parlamentului European și a Consiliului din 6 noiembrie 2001 de instituire a unui cod comunitar cu privire la medicamentele de uz uman (JO L 311, 28.11.2001, p. 67). |
|||||||||||||||||||||||||
93 [Regulamentul Parlamentului European și al Consiliului privind consolidarea rolului Agenției Europene pentru Medicamente în ceea ce privește pregătirea pentru situații de criză în domeniul medicamentelor și al dispozitivelor medicale și gestionarea acestora, trimiterea urmând să fie actualizată după adoptarea propunerii COM(2020)725 final]. |
|||||||||||||||||||||||||
|
|||||||||||||||||||||||||
Amendamentul |
|||||||||||||||||||||||||
|
|||||||||||||||||||||||||
PROCEDURA COMISIEI SESIZATE PENTRU AVIZ
Titlu |
Măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, abrogarea Directivei (UE) 2016/1148 |
|||
Referințe |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Comisie competentă Data anunțului în plen |
ITRE 21.1.2021 |
|
|
|
Aviz emis de către Data anunțului în plen |
LIBE 21.1.2021 |
|||
Comisii asociate - data anunțului în plen |
20.5.2021 |
|||
Raportor/Raportoare pentru aviz Data numirii |
Lukas Mandl 12.4.2021 |
|||
Examinare în comisie |
16.6.2021 |
3.9.2021 |
11.10.2021 |
|
Data adoptării |
12.10.2021 |
|
|
|
Rezultatul votului final |
+: –: 0: |
44 14 4 |
||
Membri titulari prezenți la votul final |
Magdalena Adamowicz, Katarina Barley, Pernando Barrena Arza, Pietro Bartolo, Nicolas Bay, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Patrick Breyer, Saskia Bricmont, Jorge Buxadé Villalba, Damien Carême, Caterina Chinnici, Clare Daly, Marcel de Graaff, Anna Júlia Donáth, Lena Düpont, Cornelia Ernst, Laura Ferrara, Nicolaus Fest, Maria Grapini, Sophia in ‘t Veld, Patryk Jaki, Marina Kaljurand, Assita Kanko, Fabienne Keller, Peter Kofod, Moritz Körner, Jeroen Lenaers, Juan Fernando López Aguilar, Lukas Mandl, Roberta Metsola, Nadine Morano, Javier Moreno Sánchez, Maite Pagazaurtundúa, Nicola Procaccini, Emil Radev, Paulo Rangel, Terry Reintke, Diana Riba i Giner, Ralf Seekatz, Michal Šimečka, Birgit Sippel, Sara Skyttedal, Martin Sonneborn, Tineke Strik, Ramona Strugariu, Annalisa Tardino, Milan Uhrík, Tom Vandendriessche, Bettina Vollath, Elissavet Vozemberg-Vrionidi, Jadwiga Wiśniewska, Javier Zarzalejos |
|||
Membri supleanți prezenți la votul final |
Olivier Chastel, Tanja Fajon, Jan-Christoph Oetjen, Philippe Olivier, Anne-Sophie Pelletier, Thijs Reuten, Rob Rooken, Maria Walsh |
|||
VOT FINAL PRIN APEL NOMINAL
ÎN COMISIA SESIZATĂ PENTRU AVIZ
44 |
+ |
ID |
Nicolas Bay, Nicolaus Fest, Peter Kofod, Philippe Olivier, Annalisa Tardino, Tom Vandendriessche |
NI |
Laura Ferrara |
PPE |
Magdalena Adamowicz, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Lena Düpont, Jeroen Lenaers, Lukas Mandl, Roberta Metsola, Nadine Morano, Emil Radev, Paulo Rangel, Ralf Seekatz, Sara Skyttedal, Elissavet Vozemberg-Vrionidi, Maria Walsh, Javier Zarzalejos |
Renew |
Olivier Chastel, Anna Júlia Donáth, Sophia in 't Veld, Fabienne Keller, Moritz Körner, Jan-Christoph Oetjen, Maite Pagazaurtundúa, Michal Šimečka, Ramona Strugariu |
S&D |
Katarina Barley, Pietro Bartolo, Caterina Chinnici, Tanja Fajon, Maria Grapini, Marina Kaljurand, Juan Fernando López Aguilar, Javier Moreno Sánchez, Thijs Reuten, Birgit Sippel, Bettina Vollath |
Verts/ALE |
Damien Carême |
14 |
- |
ECR |
Jorge Buxadé Villalba, Patryk Jaki, Assita Kanko, Nicola Procaccini, Rob Rooken, Jadwiga Wiśniewska |
ID |
Marcel de Graaff |
NI |
Martin Sonneborn, Milan Uhrík |
Verts/ALE |
Patrick Breyer, Saskia Bricmont, Terry Reintke, Diana Riba i Giner, Tineke Strik |
4 |
0 |
The Left |
Pernando Barrena Arza, Clare Daly, Cornelia Ernst, Anne-Sophie Pelletier |
Legenda simbolurilor utilizate:
+ : pentru
- : împotrivă
0 : abțineri
AVIZ AL COMISIEI PENTRU AFACERI EXTERNE (15.7.2021)
destinat Comisiei pentru industrie, cercetare și energie
referitor la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148
Raportoare pentru aviz: Markéta Gregorová
AMENDAMENTE
Comisia pentru afaceri externe recomandă Comisiei pentru industrie, cercetare și energie, care este comisie competentă, să ia în considerare următoarele amendamente:
Amendamentul 1
Propunere de directivă
Considerentul 2
|
|
Textul propus de Comisie |
Amendamentul |
(2) De la intrarea în vigoare a Directivei (UE) 2016/1148, s-au înregistrat progrese semnificative în ceea ce privește creșterea nivelului de reziliență a securității cibernetice în Uniune. Revizuirea directivei respective a arătat că aceasta a servit drept catalizator pentru abordarea instituțională și de reglementare a securității cibernetice în Uniune, deschizând calea pentru o schimbare semnificativă de mentalitate. Această directivă a asigurat finalizarea cadrelor naționale prin definirea strategiilor naționale de securitate cibernetică, prin stabilirea de capacități naționale și prin punerea în aplicare a măsurilor de reglementare care vizează infrastructurile esențiale și actorii identificați de fiecare stat membru. De asemenea, a contribuit la cooperarea la nivelul Uniunii prin instituirea Grupului de cooperare12 și a unei rețele de echipe naționale de intervenție în caz de incidente de securitate informatică („rețeaua CSIRT”)13. În pofida acestor realizări, revizuirea Directivei (UE) 2016/1148 a evidențiat deficiențe inerente care o împiedică să abordeze în mod eficace provocările contemporane și emergente în materie de securitate cibernetică. |
(2) De la intrarea în vigoare a Directivei (UE) 2016/1148, s-au înregistrat progrese semnificative în ceea ce privește creșterea nivelului de reziliență a securității cibernetice în Uniune. Revizuirea directivei respective a arătat că aceasta a servit drept catalizator pentru abordarea instituțională și de reglementare a securității cibernetice în Uniune, deschizând calea pentru o schimbare semnificativă de mentalitate. Această directivă a asigurat finalizarea cadrelor naționale prin definirea strategiilor naționale de securitate cibernetică, prin stabilirea de capacități naționale și prin punerea în aplicare a măsurilor de reglementare care vizează infrastructurile esențiale și actorii identificați de fiecare stat membru. De asemenea, a contribuit la cooperarea la nivelul Uniunii prin instituirea Grupului de cooperare12 și a unei rețele de echipe naționale de intervenție în caz de incidente de securitate informatică („rețeaua CSIRT”)13. Directiva (UE) 2016/1148 a fost primul act legislativ la nivelul Uniunii privind securitatea cibernetică, care prevede măsuri juridice de stimulare a nivelului general de reziliență cibernetică și în domeniul securității și apărării în Uniune, prin asigurarea cooperării dintre statele membre și a unei culturi a securității în toate sectoarele. În pofida acestor realizări, revizuirea Directivei (UE) 2016/1148 a evidențiat deficiențe inerente care o împiedică să abordeze în mod eficace provocările contemporane și emergente în materie de securitate cibernetică, care provin foarte adesea din afara Uniunii, reprezentând o amenințare gravă la adresa securității interne și externe la nivelul Uniunii. |
_________________ |
_________________ |
12 Articolul 11 din Directiva (UE) 2016/1148. |
12 Articolul 11 din Directiva (UE) 2016/1148. |
13 Articolul 12 din Directiva (UE) 2016/1148. |
13 Articolul 12 din Directiva (UE) 2016/1148. |
Amendamentul 2
Propunere de directivă
Considerentul 3 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(3a) Uniunea înțelege că campaniile hibride sunt „multidimensionale, combinând măsuri coercitive și subversive, utilizând atât instrumente și tactici convenționale, cât și neconvenționale (diplomatice, militare, economice și tehnologice) pentru a destabiliza adversarul. Acestea sunt concepute astfel încât să fie dificil de detectat sau de atribuit și pot fi utilizate de actori statali și nestatali”1a. Internetul și rețelele online permit actorilor statali și nestatali să desfășoare acțiuni agresive în noi moduri. Acestea pot fi utilizate pentru a pirata infrastructura critică și procesele democratice, pentru a lansa campanii de dezinformare și de propagandă convingătoare, pentru a fura informații și a divulga date sensibile în domeniul public. În cele mai grave cazuri, atacurile cibernetice permit unui adversar să preia controlul asupra unor active precum sistemele militare și structurile de comandă1b. În același timp, cooperarea aprofundată cu sectorul privat și cu părțile interesate civile, inclusiv cu sectoarele și entitățile implicate în gestionarea infrastructurilor critice, este esențială și ar trebui întărită datorită caracteristicilor intrinseci ale domeniului cibernetic, în care inovarea tehnologică este determinată în principal de societăți private care adesea nu își desfășoară activitatea în domeniul militar. Ar trebui să existe o pregătire și o protecție adecvate împotriva unor astfel de incidente și crize de securitate cibernetică de mare amploare la nivelul Uniunii prin exerciții de formare comune, deoarece ele au potențialul de a se invoca articolul 222 din TFUE („clauza de solidaritate”). |
|
_________________ |
|
1a Comisia Europeană/Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate, „Comunicare comună privind creșterea rezilienței și consolidarea capacităților pentru a aborda amenințările hibride”, JOIN (2018) 16 final, Bruxelles, 13 iunie 2018, p. 1. |
|
1b https://www.iss.europa.eu/sites/default/files/EUISSFiles/CP_151.pdf |
Amendamentul 3
Propunere de directivă
Considerentul 3 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(3b) În timpul incidentelor și crizelor de securitate cibernetică de mare amploare de la nivelul Uniunii, gradul ridicat de interdependență dintre sectoare și țări necesită o acțiune coordonată pentru a asigura un răspuns rapid și eficace, precum și o mai bună prevenire și pregătire pentru situații similare în viitor. Disponibilitatea rețelelor și a sistemelor informatice reziliente din punct de vedere cibernetic, precum și disponibilitatea, confidențialitatea și integritatea datelor sunt vitale pentru securitatea Uniunii atât în interiorul, cât și în afara frontierelor sale. Ambiția Uniunii de a dobândi un rol geopolitic mai proeminent se bazează, de asemenea, pe apărarea și pe descurajarea cibernetice credibile, inclusiv pe capacitatea de a identifica acțiuni răuvoitoare în mod efectiv și în timp util și de a reacționa în mod adecvat. Având în vedere estomparea liniilor de demarcație dintre domeniul civil și cel militar și caracterul dual al instrumentelor și tehnologiilor cibernetice, este nevoie de o abordare cuprinzătoare și holistică a domeniului digital. Acest lucru este valabil, de asemenea, pentru operațiunile și misiunile din cadrul politicii de securitate și apărare comune (PSAC) desfășurate de Uniune pentru a asigura pacea și stabilitatea în vecinătatea sa și dincolo de aceasta. În acest sens, busola strategică a UE ar trebui să consolideze și să orienteze implementarea nivelului de ambiție al Uniunii în domeniul securității și apărării și să transforme această ambiție în nevoi legate de capabilități în domeniul apărării cibernetice, crescând astfel capacitatea Uniunii și a statelor membre de a împiedica, a descuraja, a disuada, a reacționa și a se recupera după activități cibernetice răuvoitoare prin întărirea poziției sale, a conștientizării situației, a instrumentelor, procedurilor și parteneriatelor. Cooperarea Uniunii cu organizații internaționale, cum ar fi NATO, contribuie la discuțiile privind modalitățile de prevenire, descurajare și reacție la atacurile hibride și cibernetice și la examinarea modalităților de a formula o analiză comună a amenințărilor cibernetice. |
Amendamentul 4
Propunere de directivă
Considerentul 6
|
|
Textul propus de Comisie |
Amendamentul |
(6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14 . |
(6) Prezenta directivă nu aduce atingere posibilității de care dispun statele membre de a lua măsurile necesare pentru a asigura protecția intereselor sale esențiale de securitate, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor, în conformitate cu legislația Uniunii și drepturile fundamentale. Independent de contextul tehnologic al momentului, este esențial să se respecte pe deplin garanțiile procedurale și alte garanții, îndeosebi drepturile fundamentale, cum ar fi dreptul la respectarea vieții private și a comunicațiilor și dreptul la protecția datelor cu caracter personal. De asemenea, pentru a asigura o reziliență globală, este necesar nu numai să se întărească infrastructurile tehnologice și să se dețină capabilități de răspuns, ci și ca populația să fie sensibilizată cu privire la riscurile și securitatea cibernetice. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale publice. În acest context, sunt relevante normele naționale și cele ale Uniunii privind protecția informațiilor clasificate și acordurile de nedivulgare sau acordurile de nedivulgare informale, precum „Traffic Light Protocol”14 . |
_________________ |
_________________ |
14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC). |
14 Traffic Light Protocol (TLP) este un mijloc prin care cineva care face schimb de informații își informează publicul cu privire la eventualele limitări în răspândirea în continuare a acestor informații. Acest instrument este utilizat în aproape toate comunitățile CSIRT și în unele centre de schimb de informații și de analiză (ISAC). |
Amendamentul 5
Propunere de directivă
Considerentul 14 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(14a) În vederea dezvoltării unui sistem de conectivitate securizat, pe baza infrastructurii europene de comunicații cuantice (EuroQCI) și a programului de comunicații guvernamentale prin satelit al Uniunii Europene (GOVSATCOM), în special punerea în aplicare a GNSS GALILEO pentru utilizatorii din domeniul apărării, în care orice posibilă dezvoltare viitoare ar trebui să țină seama, printre altele, de impactul îmbinării vitezei și a sofisticării informaticii cuantice cu sisteme militare extrem de autonome, statele membre ar trebui să asigure protecția întregii infrastructuri de comunicații electronice, cum ar fi sistemele de rețele spațiale, terestre și submarine. În același timp, ar trebui elaborată o viziune comună privind strategia de adoptare a cloud-ului pentru sectoarele sensibile, cu scopul de a defini o abordare europeană bazată pe standarde comune între statele partenere care împărtășesc aceeași viziune. |
Amendamentul 6
Propunere de directivă
Considerentul 20
|
|
Textul propus de Comisie |
Amendamentul |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Infrastructura deținută, gestionată sau exploatată de Uniune sau în numele acesteia în cadrul programelor sale spațiale este deosebit de importantă pentru securitatea Uniunii și a statelor sale membre și pentru buna funcționare a misiunilor din cadrul PSAC. Prin urmare, această infrastructură trebuie protejată în mod adecvat, astfel cum se prevede în Regulamentul (UE) 2021/696 al Parlamentului European și al Consiliului18a. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă și ar putea periclita securitatea și siguranța cetățenilor Uniunii. Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. |
|
_________________ |
|
18a Regulamentul (UE) 2021/696 al Parlamentului European și al Consiliului din 28 aprilie 2021 de instituire a Programului spațial al Uniunii și a Agenției Uniunii Europene pentru Programul spațial și de abrogare a Regulamentelor (UE) nr. 912/2010, (UE) nr. 1285/2013 și (UE) nr. 377/2014 și a Deciziei nr. 541/2014/UE (JO L 170, 12.5.2021, p. 69). |
Amendamentul 7
Propunere de directivă
Considerentul 26
|
|
Textul propus de Comisie |
Amendamentul |
(26) Având în vedere importanța cooperării internaționale în privința securității cibernetice, CSIRT ar trebui să aibă posibilitatea să participe la rețele de cooperare internațională, în plus față de rețeaua CSIRT instituită prin prezenta directivă. |
(26) Având în vedere importanța cooperării internaționale în privința securității cibernetice, CSIRT ar trebui să aibă posibilitatea să participe la rețele de cooperare internațională, în plus față de rețeaua CSIRT instituită prin prezenta directivă, pentru a contribui la elaborarea de standarde ale Uniunii care pot modela peisajul securității cibernetice la nivel internațional. Statele membre ar putea, de asemenea, să analizeze posibilitatea intensificării cooperării cu țările partenere care împărtășesc aceeași viziune și cu organizațiile internaționale, cum ar fi Consiliul Europei, Organizația Tratatului Atlanticului de Nord, Organizația pentru Cooperare și Dezvoltare Economică, Organizația pentru Securitate și Cooperare în Europa și Organizația Națiunilor Unite, cu scopul de a asigura încheierea de acorduri multilaterale privind normele cibernetice, un comportament responsabil al statelor și al actorilor nestatali în spațiul cibernetic și o guvernare digitală globală eficace, precum și de a crea un spațiu cibernetic deschis, liber, stabil și securizat, bazat pe dreptul internațional. |
Amendamentul 8
Propunere de directivă
Considerentul 27
|
|
Textul propus de Comisie |
Amendamentul |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne sau pot pune în pericol securitatea și siguranța cetățenilor și interesele economice și financiare ale Uniunii. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. Uniunea și statele membre ar trebui, de asemenea, să promoveze în continuare exercițiile și discuțiile referitoare la politici bazate pe scenarii privind cadrul de gestionare a crizelor, pentru a asigura coerența politicilor interne și externe și a edifica o înțelegere comună a procedurilor de punere în aplicare a clauzei de solidaritate. |
_________________ |
_________________ |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
Amendamentul 9
Propunere de directivă
Considerentul 36
|
|
Textul propus de Comisie |
Amendamentul |
(36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri ar trebui să asigure o protecție adecvată a datelor. |
(36) Dacă este posibil, Uniunea ar trebui să încheie, în conformitate cu articolul 218 din TFUE, acorduri internaționale cu țări terțe sau organizații internaționale, care să permită și să organizeze participarea acestora la anumite activități ale Grupului de cooperare și ale rețelei CSIRT. Astfel de acorduri sunt menite să asigure o protecție adecvată a datelor și ar trebui să promoveze accesul la piață, precum și să abordeze riscurile în materie de securitate, amplificând în același timp reziliența globală, și să sensibilizeze publicul cu privire la amenințările cibernetice și la activitățile cibernetice răuvoitoare. Uniunea ar trebui, de asemenea, să sprijine în continuare întărirea capacităților în țările terțe. Statele membre ar trebui, după caz, să încurajeze participarea țărilor partenere care împărtășesc aceeași viziune și care împărtășesc valorile noastre ale Uniunii la proiectele PESCO pertinente. Prin urmare, Uniunea ar trebui să analizeze posibilitatea de a relansa procese care să vizeze încheierea unor cadre formale și structurate de cooperare în acest domeniu în viitor. |
Amendamentul 10
Propunere de directivă
Considerentul 37
|
|
Textul propus de Comisie |
Amendamentul |
(37) Statele membre ar trebui să contribuie la instituirea cadrului UE de răspuns la crizele de securitate cibernetică prevăzut în Recomandarea (UE) 2017/1584 prin intermediul rețelelor de cooperare existente, în special prin rețeaua Organizației de legătură în caz de criză cibernetică (EU-CyCLONe), rețeaua CSIRT și grupul de cooperare. EU-CyCLONe și rețeaua CSIRT ar trebui să coopereze pe baza modalităților procedurale care definesc modalitățile acestei cooperări. Regulamentul de procedură al EU-CyCLONe ar trebui să precizeze în detaliu modalitățile prin care ar trebui să funcționeze rețeaua, inclusiv, dar fără a se limita la acestea, rolurile, modurile de cooperare, interacțiunile cu alți actori relevanți și modelele pentru schimbul de informații, precum și mijloacele de comunicare. Pentru gestionarea crizelor la nivelul Uniunii, părțile relevante ar trebui să se bazeze pe mecanismul integrat pentru un răspuns politic la crize (IPCR). În acest scop, Comisia ar trebui să utilizeze procesul ARGUS de coordonare transsectorială la nivel înalt în situații de criză. În cazul în care criza are o importantă dimensiune externă sau de politică de securitate și apărare comună (PSAC), ar trebui activat mecanismul de răspuns în caz de criză al Serviciului European de Acțiune Externă (SEAE). |
(37) Statele membre ar trebui să contribuie la instituirea cadrului UE de răspuns la crizele de securitate cibernetică prevăzut în Recomandarea (UE) 2017/1584 prin intermediul rețelelor de cooperare existente, în special prin rețeaua Organizației de legătură în caz de criză cibernetică (EU-CyCLONe), rețeaua CSIRT și grupul de cooperare, Centrul european de combatere a criminalității informatice și Centrul de situații și de informații al Uniunii (INTCEN UE), pentru a promova cooperarea strategică în materie de informații privind amenințările și activitățile cibernetice, pentru a sprijini în continuare conștientizarea situației și procesul decizional la nivelul Uniunii privind un răspuns diplomatic comun. EU-CyCLONe și rețeaua CSIRT ar trebui să coopereze pe baza modalităților procedurale care definesc modalitățile acestei cooperări. Regulamentul de procedură al EU-CyCLONe ar trebui să precizeze în detaliu modalitățile prin care ar trebui să funcționeze rețeaua, inclusiv, dar fără a se limita la acestea, rolurile, modurile de cooperare, interacțiunile cu alți actori relevanți și modelele pentru schimbul de informații, precum și mijloacele de comunicare. Pentru gestionarea crizelor la nivelul Uniunii, părțile relevante ar trebui să se bazeze pe mecanismul integrat pentru un răspuns politic la crize (IPCR), care sprijină, de asemenea, coordonarea la nivel politic a răspunsului la invocarea clauzei de solidaritate. În acest scop, Comisia ar trebui să utilizeze procesul ARGUS de coordonare transsectorială la nivel înalt în situații de criză. În cazul în care criza are o importantă dimensiune externă sau de politică de securitate și apărare comună (PSAC), ar trebui activat mecanismul de răspuns în caz de criză al Serviciului European de Acțiune Externă (SEAE), precum și orice măsură menită să protejeze misiunile și operațiunile din cadrul PSAC și delegațiile Uniunii. În plus, Uniunea ar trebui să utilizeze pe deplin setul său de instrumente pentru diplomația cibernetică. |
Amendamentul 11
Propunere de directivă
Considerentul 40 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(40a) Statele membre ar trebui să considere că un program activ de apărare cibernetică face parte din strategia lor națională în materie de securitate cibernetică, care include exerciții de formare comune periodice între statele membre și între organizațiile internaționale. Un astfel de program ar trebui să ofere o capacitate sincronizată, în timp real, de a descoperi, detecta, analiza și atenua amenințările. Apărarea cibernetică activă funcționează la viteză de rețea, utilizând senzori, software și informații pentru a detecta și a stopa activitatea răuvoitoare, în mod ideal, înainte ca aceasta să poată afecta rețelele și sistemele. În plus, statele membre ar trebui să îmbunătățească în mod semnificativ metoda schimbului de informații, pentru a defini un standard comun de comunicare care să poată fi utilizat pentru informații clasificate și neclasificate, cu scopul de a consolida acțiunile rapide. Uniunea și statele membre ar trebui, de asemenea, să își întărească capacitățile de stabilire a autorilor atacurilor cibernetice pentru a descuraja și a răspunde în mod efectiv la atacurile cibernetice într-un mod proporțional, în concordanță cu dreptul internațional. |
Amendamentul 12
Propunere de directivă
Considerentul 40 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(40b) Statele membre ar trebui să propună un program activ de apărare cibernetică în strategiile lor naționale de securitate cibernetică. Apărarea cibernetică activă este detectarea, analizarea și atenuarea proactive ale încălcărilor securității rețelei în timp real, combinată cu utilizarea capabilităților desfășurate în afara rețelei afectate. Aceasta se bazează pe o strategie defensivă care exclude măsuri ofensive împotriva infrastructurilor civile esențiale ale adversarilor, fapt care ar constitui o încălcare a dreptului internațional (cum ar fi Protocolul adițional din 1977 la Convențiile de la Geneva). Capacitatea de a partaja și de a înțelege rapid și automat informații și analize privind amenințările, alerte privind activitățile cibernetice și acțiuni de răspuns este esențială pentru a permite unitatea eforturilor în detectarea și împiedicarea cu succes a atacurilor cibernetice. Activitățile active de apărare cibernetică ar putea include configurații ale serverelor de e-mail, configurații ale site-urilor web, activarea înregistrării în registru („logging”) și filtrarea DNS. În același timp, statele membre ar trebui să adopte politici capabile să asigure cel mai larg acces posibil la cele mai performante instrumente de securitate cibernetică, sprijinind companiile, întreprinderile mici și mijlocii și întreprinderile cu capacități financiare scăzute prin beneficii, subvenții, împrumuturi sau avantaje fiscale destinate achiziționării de produse și servicii de securitate cibernetică de cel mai înalt nivel, evitând ca costurile lor să reprezinte un element de discriminare; Statele membre ar trebui, de asemenea, să promoveze parteneriate cu instituțiile universitare și alte centre de cercetare care urmăresc promovarea unui program de cercetare și dezvoltare în materie de securitate cibernetică pentru a dezvolta noi tehnologii, instrumente și competențe comune aplicabile atât în sectorul civil, cât și în cel al apărării, printr-o abordare multidisciplinară; Parteneriatele ar trebui să fie finanțate prin instrumentele de finanțare existente și noi, sub auspiciile Comisiei Europene. |
Amendamentul 13
Propunere de directivă
Considerentul 43
|
|
Textul propus de Comisie |
Amendamentul |
(43) Abordarea riscurilor în materie de securitate cibernetică care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au căzut victime atacurilor cibernetice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile părții terțe. Prin urmare, entitățile ar trebui să evalueze și să țină seama de calitatea generală a produselor și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de procedurile lor de dezvoltare sigure. |
(43) Abordarea riscurilor în materie de securitate cibernetică care decurg din lanțul de aprovizionare al unei entități și din relația acesteia cu furnizorii săi este deosebit de importantă, având în vedere prevalența incidentelor în care entitățile au căzut victime atacurilor cibernetice și în care actori răuvoitori au fost în măsură să compromită securitatea rețelelor și a sistemelor informatice ale unei entități prin exploatarea vulnerabilităților care afectează produsele și serviciile părții terțe. Prin urmare, entitățile ar trebui să evalueze și să țină seama de calitatea generală a produselor și de practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor lor de servicii, inclusiv de sistemele lor de gestiune a riscurilor și de procedurile lor de dezvoltare sigure, în concordanță cu standardele de securitate cibernetică ale Uniunii. |
Amendamentul 14
Propunere de directivă
Considerentul 43 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(43a) Printre factorii de risc potențiali fără caracter tehnic, cum ar fi influența nejustificată a unei țări terțe asupra furnizorilor și prestatorilor de servicii, în special în cazul modelelor alternative de guvernare, se numără vulnerabilitățile ascunse sau „ușile secrete” și eventualele întreruperi sistemice ale aprovizionării, în special în cazul blocajelor tehnologice sau al dependenței furnizorilor. Întrucât exploatarea vulnerabilităților din sectorul apărării poate cauza perturbări și daune semnificative, securitatea cibernetică a sectorului apărării necesită măsuri speciale pentru a asigura securitatea lanțurilor de aprovizionare, îndeosebi a entităților aflate în poziții inferioare în lanțurile de aprovizionare, care nu necesită acces la informații clasificate, dar care ar putea prezenta riscuri grave pentru întregul sector. Ar trebui să se acorde o atenție deosebită impactului pe care orice încălcare l-ar putea avea și amenințării cu orice eventuală manipulare a datelor de rețea care ar putea face ca activele esențiale de apărare să devină inutile sau chiar să le neutralizeze sistemele de operare, făcându-le vulnerabile la acte de piraterie. |
Amendamentul 15
Propunere de directivă
Considerentul 46
|
|
Textul propus de Comisie |
Amendamentul |
(46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări sectoriale coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC critice, amenințările și vulnerabilitățile relevante. |
(46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia, cu ENISA și cu Serviciul European de Acțiune Externă, evaluări sectoriale coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC critice, amenințările și vulnerabilitățile relevante și a propune măsuri de remediere adecvate. |
_________________ |
_________________ |
21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42). |
21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42). |
Amendamentul 16
Propunere de directivă
Considerentul 68
|
|
Textul propus de Comisie |
Amendamentul |
(68) Entitățile ar trebui încurajate să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor. |
(68) Entitățile ar trebui încurajate să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive să participe la astfel de mecanisme de schimb de informații. În plus, statele membre ar putea, de asemenea, să analizeze posibilitatea de a iniția un dialog cu țări partenere care împărtășesc aceeași viziune. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor. În același scop, statele membre ar trebui să sprijine autoritățile competente și CSIRT să instituie programe gratuite sau accesibile de asistență, instruire și audit în materie de securitate cibernetică pentru entitățile care nu intră în domeniul de aplicare al prezentei directive, în special pentru întreprinderile nou-înființate, pentru IMM-uri și pentru organizațiile neguvernamentale. |
Amendamentul 17
Propunere de directivă
Considerentul 68 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(68a) Având în vedere că securitatea cibernetică are atât o dimensiune civilă, cât și una militară, ar trebui, de asemenea, încurajat schimbul de informații între sectoare (de apărare, civil, de aplicare a legii și acțiune externă). Unitatea informatică comună ar putea juca un rol important în protejarea UE de atacurile cibernetice, ajutând actorii să dobândească o înțelegere comună a peisajului amenințărilor și să își coordoneze răspunsul. |
Amendamentul 18
Propunere de directivă
Considerentul 73
|
|
Textul propus de Comisie |
Amendamentul |
(73) În cazul în care amenzile administrative sunt impuse unei întreprinderi, acest termen ar trebui înțeles ca fiind o întreprindere în conformitate cu articolele 101 și 102 din TFUE în aceste scopuri. În cazul în care se impun amenzi administrative unor persoane care nu sunt întreprinderi, autoritatea de supraveghere ar trebui să țină seama de nivelul general al veniturilor din statul membru respectiv, precum și de situația economică a persoanei atunci când estimează cuantumul adecvat al amenzii. Competența de a stabili dacă și în ce măsură autoritățile publice ar trebui să facă obiectul unor amenzi administrative ar trebui să revină statelor membre. Impunerea unei amenzi administrative nu afectează exercitarea altor competențe de către autoritățile competente sau aplicarea altor sancțiuni prevăzute în normele naționale de transpunere a prezentei directive. |
(73) În cazul în care amenzile administrative sunt impuse unei întreprinderi, acest termen ar trebui înțeles ca fiind o întreprindere în conformitate cu articolele 101 și 102 din TFUE în aceste scopuri. În cazul în care se impun amenzi administrative unor persoane care nu sunt întreprinderi, autoritatea de supraveghere ar trebui să țină seama de nivelul general al veniturilor din statul membru respectiv, precum și de situația economică a persoanei atunci când estimează cuantumul adecvat al amenzii, fără a aduce atingere obiectivelor prezentei directive. Competența de a stabili dacă și în ce măsură autoritățile publice ar trebui să facă obiectul unor amenzi administrative ar trebui să revină statelor membre. Impunerea unei amenzi administrative nu afectează exercitarea altor competențe de către autoritățile competente sau aplicarea altor sancțiuni prevăzute în normele naționale de transpunere a prezentei directive. |
Amendamentul 19
Propunere de directivă
Articolul 5 – alineatul 2 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) o politică ce abordează securitatea cibernetică în lanțul de aprovizionare pentru produsele și serviciile TIC utilizate de entitățile esențiale și importante pentru furnizarea serviciilor lor; |
(a) o politică ce abordează securitatea cibernetică în lanțul de aprovizionare pentru produsele și serviciile TIC utilizate de entitățile esențiale și importante pentru furnizarea serviciilor lor, pe baza unei evaluări cuprinzătoare a potențialelor amenințări la adresa lanțurilor de aprovizionare; |
Amendamentul 20
Propunere de directivă
Articolul 5 – alineatul 2 – litera b a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) o politică de promovare a interoperabilității și a aderării la standardele comune ale Uniunii Europene în materie de securitate cibernetică; |
Amendamentul 21
Propunere de directivă
Articolul 5 – alineatul 2 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) o politică legată de menținerea disponibilității și a integrității generale a nucleului public al internetului deschis; |
(d) o politică legată de menținerea disponibilității și a integrității generale a nucleului public al internetului deschis, inclusiv securitatea cibernetică, după caz, a cablurilor de comunicații submarine; |
Amendamentul 22
Propunere de directivă
Articolul 5 – alineatul 2 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) o politică de sprijinire a instituțiilor academice și de cercetare în vederea dezvoltării unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate; |
(f) o politică de sprijinire a instituțiilor academice și de cercetare în cercetarea în domeniul securității cibernetice și în dezvoltarea unor instrumente de securitate cibernetică și a unei infrastructuri de rețea securizate; |
Amendamentul 23
Propunere de directivă
Articolul 5 – alineatul 2 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice. |
(h) o politică care răspunde nevoilor specifice ale întreprinderilor nou-înființate, ale IMM-urilor și ale ONG-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice, pentru a răspunde la incidentele de securitate cibernetică și a solicita asistență în materie de securitate cibernetică; |
Amendamentul 24
Propunere de directivă
Articolul 5 – alineatul 2 – litera h a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ha) o politică de promovare a utilizării și dezvoltării de software cu sursă deschisă. |
Amendamentul 25
Propunere de directivă
Articolul 6 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Fiecare stat membru desemnează una dintre echipele sale CSIRT, astfel cum se menționează la articolul 9, drept coordonator în scopul divulgării coordonate a vulnerabilităților. CSIRT desemnată acționează ca intermediar de încredere, facilitând, dacă este necesar, interacțiunea dintre entitatea raportoare și producătorul sau furnizorul de produse TIC sau servicii TIC. În cazul în care vulnerabilitatea raportată vizează mai mulți producători sau furnizori de produse TIC sau de servicii TIC din Uniune, CSIRT desemnată din fiecare stat membru în cauză cooperează cu rețeaua CSIRT. |
1. Fiecare stat membru desemnează una dintre echipele sale CSIRT, astfel cum se menționează la articolul 9, drept coordonator în scopul divulgării responsabile obligatorii a vulnerabilităților. CSIRT desemnată acționează ca intermediar de încredere, facilitând, dacă este necesar, interacțiunea dintre entitatea raportoare și producătorul sau furnizorul de produse TIC sau servicii TIC. În cazul în care vulnerabilitatea raportată vizează mai mulți producători sau furnizori de produse TIC sau de servicii TIC din Uniune, CSIRT desemnată din fiecare stat membru în cauză cooperează cu rețeaua CSIRT. |
Amendamentul 26
Propunere de directivă
Articolul 6 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. ENISA creează și menține un registru european al vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în registru. Registrul include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. |
2. ENISA creează și menține un registru european al vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în registru. În conformitate cu articolul 10 alineatul (2), CSIRT înlesnesc accesul la informații privind vulnerabilitățile înregistrate în registrul european al vulnerabilităților, pe lângă asistența pentru reducerea riscurilor, pentru entitățile care nu intră în domeniul de aplicare al prezentei directive, în special pentru întreprinderile nou-înființate, pentru IMM-uri și pentru ONG-uri. Registrul include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. |
Amendamentul 27
Propunere de directivă
Articolul 7 – alineatul 3 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) procedurile și mecanismele naționale dintre autoritățile și organismele naționale relevante menite să asigure participarea efectivă a statului membru la gestionarea coordonată a incidentelor și a crizelor de securitate cibernetică de mare amploare la nivelul Uniunii și sprijinul acordat de acesta. |
(f) procedurile și mecanismele naționale dintre autoritățile și organismele naționale relevante menite să asigure participarea efectivă a statului membru la gestionarea coordonată a incidentelor și a crizelor de securitate cibernetică de mare amploare la nivelul Uniunii și sprijinul acordat de acesta, inclusiv răspunsurile la solicitările pertinente în temeiul clauzei de solidaritate. |
Amendamentul 28
Propunere de directivă
Articolul 7 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre comunică Comisiei desemnarea autorităților lor competente menționate la alineatul (1) și își prezintă planurile naționale de răspuns la incidente și crize în materie de securitate cibernetică, astfel cum se menționează la alineatul (3), în termen de trei luni de la desemnarea autorităților și adoptarea planurilor respective. Statele membre pot exclude din plan anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru securitatea lor națională. |
4. Statele membre comunică Comisiei desemnarea autorităților lor competente menționate la alineatul (1) și își prezintă planurile naționale de răspuns la incidente și crize în materie de securitate cibernetică, astfel cum se menționează la alineatul (3), în termen de trei luni de la desemnarea autorităților și adoptarea planurilor respective. Statele membre pot exclude din plan anumite informații în cazul și în măsura în care acest lucru este strict necesar pentru securitatea lor națională. În cazul unui incident și al unei crize de securitate cibernetică de mare amploare în care este implicat mai mult de un stat membru și prezintă relevanță la nivelul întregii Uniuni, se instituie o gestionare și o guvernare de criză adecvate. Aceste structuri organizează schimbul de informații, coordonarea și cooperarea cu structurile de securitate externă și militare de gestionare a crizelor ale Uniunii, precum și cu organele statelor membre responsabile cu securitatea și apărarea. |
Amendamentul 29
Propunere de directivă
Articolul 9 – alineatul 4 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
4a. CSIRT cooperează și fac schimb de informații pertinente cu instituțiile naționale responsabile cu menținerea securității publice, a apărării și a securității naționale. |
Amendamentul 30
Propunere de directivă
Articolul 9 – alineatul 4 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
4b. CSIRT cooperează și, fără a aduce atingere legislației Uniunii, îndeosebi Regulamentului (UE) 2016/679, fac schimb de informații pertinente cu țări terțe de încredere și cu organizații internaționale cu privire la amenințările cibernetice, vulnerabilități, cele mai bune practici și standarde. |
Amendamentul 31
Propunere de directivă
Articolul 9 – alineatul 4 c (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
4c. Fără a aduce atingere legislației Uniunii, în special Regulamentului (UE) 2016/679, CSIRT acordă asistență în materie de securitate cibernetică CSIRT sau structurilor echivalente din țările candidate la aderarea la Uniune și din alte țări terțe din Balcanii de Vest și din Parteneriatul estic. |
Amendamentul 32
Propunere de directivă
Articolul 10 – alineatul 2 – litera e a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ea) instituind programe gratuite sau accesibile de asistență, instruire și audit în materie de securitate cibernetică pentru entitățile care nu intră în domeniul de aplicare al prezentei directive, în special pentru întreprinderile nou-înființate, pentru IMM-uri și pentru ONG-uri; |
Amendamentul 33
Propunere de directivă
Articolul 11 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului 39 [Regulamentul DORA] din statul membru respectiv. |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor, autoritățile naționale de supraveghere pentru inteligența artificială, autoritățile naționale competente pentru administrarea datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv. |
_________________ |
_________________ |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 34
Propunere de directivă
Articolul 11 – alineatul 3 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
3. Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observator. Autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] pot participa la activitățile grupului de cooperare. |
3. Grupul de cooperare este format din reprezentanți ai statelor membre, ai Comisiei, ai EU–CyCLONe, ai ENISA și ai Agenției Europene de Apărare. Serviciul European de Acțiune Externă participă la activitățile grupului de cooperare în calitate de observator. Autoritățile naționale de supraveghere pentru inteligența artificială, autoritățile naționale competente pentru administrarea datelor și autoritățile europene de supraveghere (AES) în conformitate cu articolul 17 alineatul (5) litera (c) din Regulamentul (UE) XXXX/XXXX [Regulamentul DORA] participă la activitățile grupului de cooperare. |
Amendamentul 35
Propunere de directivă
Articolul 12 – alineatul 4 – litera e a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ea) fără a aduce atingere dreptului Uniunii, participând la cooperare, la asistență reciprocă și făcând schimb de bune practici și de informații cu țări terțe de încredere și cu organizații internaționale; |
Amendamentul 36
Propunere de directivă
Articolul 13 – alineatul 3 – litera k
|
|
Textul propus de Comisie |
Amendamentul |
(k) cooperarea și schimbul de informații cu centrele de operațiuni de securitate la nivel regional și la nivelul Uniunii pentru a îmbunătăți conștientizarea comună a situației cu privire la incidentele și amenințările din întreaga Uniune; |
(k) cooperarea și schimbul de informații cu centrele de operațiuni de securitate la nivel regional și la nivelul Uniunii și, după caz, cu CERT militare pentru a îmbunătăți conștientizarea comună a situației cu privire la incidentele și amenințările din întreaga Uniune; |
Amendamentul 37
Propunere de directivă
Articolul 14 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. UE-CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei și ai ENISA. ENISA asigură secretariatul rețelei și sprijină schimbul securizat de informații. |
2. UE-CyCLONe este formată din reprezentanți ai autorităților de gestionare a crizelor din statele membre desemnați în conformitate cu articolul 7, reprezentanți ai Comisiei, ai SEAE și ai ENISA. ENISA asigură secretariatul rețelei și sprijină schimbul securizat de informații. Aceste autorități naționale de gestionare a crizelor sunt consiliate de un grup consultativ provenit din societatea civilă. Pentru incidentele și crizele de securitate cibernetică de mare amploare de la nivelul Uniunii care implică mai mult de un stat membru se instituie o structură de gestionare a crizelor la nivelul Uniunii din care fac parte toți actorii pertinenți. Această structură include Unitatea informatică comună, CSIRT, rețeaua CSIRT, grupul de coordonare, Comisia, SEAE și ENISA. De asemenea, aceasta pregătește și pune în aplicare invocarea și utilizarea clauzei de solidaritate. |
Amendamentul 38
Propunere de directivă
Articolul 14 – alineatul 3 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) consolidarea nivelului de pregătire pentru gestionarea incidentelor și a crizelor de mare amploare; |
(a) consolidarea nivelului de pregătire pentru gestionarea incidentelor și a crizelor de mare amploare și asigurarea legăturii cu agențiile statelor membre responsabile cu securitatea statului și apărarea teritorială; |
Amendamentul 39
Propunere de directivă
Articolul 17 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că membrii organului de conducere urmează, în mod regulat, cursuri de formare specifice pentru a dobândi suficiente cunoștințe și competențe în vederea identificării și a evaluării riscurilor și a practicilor de gestionare în materie de securitate cibernetică, precum și a impactului acestora asupra operațiunilor pe care le desfășoară entitatea. |
2. Statele membre se asigură că membrii organului de conducere urmează, în mod regulat, cursuri de formare specifice pentru a dobândi suficiente cunoștințe și competențe în vederea identificării și a evaluării riscurilor și a practicilor de gestionare în materie de securitate cibernetică, precum și a impactului acestora asupra operațiunilor pe care le desfășoară entitatea. Statele membre încurajează entitățile esențiale și importante să evalueze periodic membrii organelor de conducere menționate la alineatul (1) al acestui articol cu privire la caracterul adecvat al competențelor lor pentru a asigura conformitatea cu articolul 18. |
Amendamentul 40
Propunere de directivă
Articolul 18 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre se asigură că, atunci când au în vedere luarea măsurilor adecvate menționate la alineatul (2) litera (d), entitățile iau în considerare vulnerabilitățile specifice fiecărui prestator și furnizor de servicii, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale prestatorilor și furnizorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare. |
3. Statele membre se asigură că, atunci când au în vedere luarea măsurilor adecvate menționate la alineatul (2) litera (d), entitățile iau în considerare vulnerabilitățile specifice fiecărui prestator și furnizor de servicii, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale prestatorilor și furnizorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare în conformitate cu standardele și legislația Uniunii în materie de securitate cibernetică și potențialii factori de risc fără caracter tehnic, cum ar fi vulnerabilitățile ascunse sau ușile secrete și potențialele întreruperi sistemice ale aprovizionării. |
Amendamentul 41
Propunere de directivă
Articolul 19 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Grupul de cooperare, în cooperare cu Comisia și ENISA, poate efectua evaluări coordonate ale riscurilor în materie de securitate ale anumitor lanțuri de aprovizionare ale serviciilor, sistemelor sau produselor TIC critice, ținând seama de factorii de risc de natură tehnică și, după caz, care nu sunt de natură tehnică. |
1. Grupul de cooperare, în cooperare cu Comisia, cu ENISA și cu Serviciul European de Acțiune Externă, poate efectua evaluări coordonate ale riscurilor în materie de securitate ale anumitor lanțuri de aprovizionare ale serviciilor, sistemelor sau produselor TIC critice, ținând seama de factorii de risc de natură tehnică și, după caz, de cei care nu sunt de natură tehnică. |
Amendamentul 42
Propunere de directivă
Articolul 19 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Comisia, după consultarea grupului de cooperare și a ENISA, identifică serviciile, sistemele sau produsele TIC critice specifice care pot face obiectul evaluării coordonate a riscurilor menționate la alineatul (1). |
2. Comisia, după consultarea grupului de cooperare, a ENISA și a Serviciului European de Acțiune Externă, identifică serviciile, sistemele sau produsele TIC critice specifice care pot face obiectul evaluării coordonate a riscurilor menționate la alineatul (1). |
Amendamentul 43
Propunere de directivă
Articolul 19 – alineatul 2 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
2a. La identificarea riscurilor pentru anumite servicii, sisteme sau lanțuri de producție TIC esențiale, după consultarea grupului de cooperare, a ENISA și a Serviciului European de Acțiune Externă, Comisia emite recomandări adresate statelor membre și autorităților naționale competente definite în prezentul regulament pentru remedierea și creșterea rezilienței la riscurile identificate. |
Amendamentul 44
Propunere de directivă
Articolul 25 – alineatul 1 – litera c a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) informații privind organul de conducere responsabil de măsurile de gestionare a riscurilor de securitate cibernetică prevăzute la articolul 18, în concordanță cu articolul 17; |
Amendamentul 45
Propunere de directivă
Articolul 29 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri; |
(c) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri, inclusiv cu privire la riscurile legate de lanțurile de aprovizionare, astfel cum sunt definite la articolul 18 alineatul (3); |
Amendamentul 46
Propunere de directivă
Articolul 30 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri; |
(b) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri, inclusiv cu privire la riscurile legate de lanțurile de aprovizionare, astfel cum sunt definite la articolul 18 alineatul (3); |
Amendamentul 47
Propunere de directivă
Anexa i – entități esențiale: Sectoare, subsectoare și tipuri de entități – Sectorul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6a. Educație și cercetare – Instituții de învățământ superior și instituții de cercetare |
Amendamentul 48
Propunere de directivă
ANEXA I – ENTITĂȚI ESENȚIALE:
SECTOARE, SUBSECTOARE ȘI TIPURI DE ENTITĂȚI – Sectorul 9 Administrație publică – Tipul entităților
|
|
Textul propus de Comisie |
Amendamentul |
– Entități de administrație publică din administrația centrală |
– Entități de administrație publică din administrația centrală |
– Entitățile de administrație publică din regiunile de nivel 1 NUTS enumerate în anexa I la Regulamentul (CE) nr. 1059/2003 (27) |
– Entitățile de administrație publică din regiunile de nivel 1 NUTS enumerate în anexa I la Regulamentul (CE) nr. 1059/2003 (27, 27a (nou)) |
– Entitățile de administrație publică din regiunile de nivel 2 NUTS enumerate în anexa I la Regulamentul (CE) nr. 1059/2003 |
– Entitățile de administrație publică din regiunile de nivel 2 NUTS enumerate în anexa I la Regulamentul (CE) nr. 1059/2003 (27b (nou)) |
__________________ |
__________________ |
27 Regulamentul (CE) nr. 1059/2003 al Parlamentului European și al Consiliului din 26 mai 2003 privind instituirea unui nomenclator comun al unităților teritoriale de statistică (NUTS) (JO L 154, 21.6.2003, p. 1). |
27 Regulamentul (CE) nr. 1059/2003 al Parlamentului European și al Consiliului din 26 mai 2003 privind instituirea unui nomenclator comun al unităților teritoriale de statistică (NUTS) (JO L 154, 21.6.2003, p. 1). |
|
27a (nou) Sau unitățile administrative echivalente, în statele membre în care clasificarea NUTS nu se reflectă încă în structura instituțională administrativă. |
|
27b (nou) Sau unitățile administrative echivalente, în statele membre în care clasificarea NUTS nu se reflectă încă în structura instituțională administrativă. |
PROCEDURA COMISIEI SESIZATE PENTRU AVIZ
Titlu |
Măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, abrogarea Directivei (UE) 2016/1148 |
|||
Referințe |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Comisie competentă Data anunțului în plen |
ITRE 21.1.2021 |
|
|
|
Aviz emis de către Data anunțului în plen |
AFET 21.1.2021 |
|||
Raportor/Raportoare pentru aviz Data numirii |
Markéta Gregorová 22.2.2021 |
|||
Examinare în comisie |
25.5.2021 |
16.6.2021 |
17.6.2021 |
|
Data adoptării |
14.7.2021 |
|
|
|
Rezultatul votului final |
+: –: 0: |
59 5 6 |
||
Membri titulari prezenți la votul final |
Alviina Alametsä, Alexander Alexandrov Yordanov, Maria Arena, Petras Auštrevičius, Traian Băsescu, Anna Bonfrisco, Reinhard Bütikofer, Fabio Massimo Castaldo, Susanna Ceccardi, Włodzimierz Cimoszewicz, Katalin Cseh, Tanja Fajon, Anna Fotyga, Michael Gahler, Giorgos Georgiou, Sunčana Glavak, Raphaël Glucksmann, Klemen Grošelj, Bernard Guetta, Márton Gyöngyösi, Andrzej Halicki, Sandra Kalniete, Dietmar Köster, Maximilian Krah, Andrius Kubilius, Ilhan Kyuchyuk, David Lega, Miriam Lexmann, Nathalie Loiseau, Antonio López-Istúriz White, Jaak Madison, Claudiu Manda, Thierry Mariani, Vangelis Meimarakis, Sven Mikser, Francisco José Millán Mon, Javier Nart, Urmas Paet, Demetris Papadakis, Kostas Papadakis, Tonino Picula, Manu Pineda, Giuliano Pisapia, Thijs Reuten, Jérôme Rivière, María Soraya Rodríguez Ramos, Nacho Sánchez Amor, Isabel Santos, Jacek Saryusz-Wolski, Andreas Schieder, Radosław Sikorski, Jordi Solé, Sergei Stanishev, Tineke Strik, Hermann Tertsch, Hilde Vautmans, Harald Vilimsky, Idoia Villanueva Ruiz, Viola Von Cramon-Taubadel, Thomas Waitz, Witold Jan Waszczykowski, Charlie Weimers, Isabel Wiseler-Lima, Salima Yenbou, Željana Zovko |
|||
Membri supleanți prezenți la votul final |
Ioan-Rareş Bogdan, Andrey Kovatchev, Marisa Matias, Gabriel Mato, Milan Zver |
|||
VOT FINAL PRIN APEL NOMINAL
ÎN COMISIA SESIZATĂ PENTRU AVIZ
59 |
+ |
ECR |
Anna Fotyga, Jacek Saryusz-Wolski, Hermann Tertsch, Witold Jan Waszczykowski |
ID |
Anna Bonfrisco, Susanna Ceccardi |
NI |
Fabio Massimo Castaldo, Márton Gyöngyösi |
PPE |
Alexander Alexandrov Yordanov, Traian Băsescu, Ioan-Rareş Bogdan, Michael Gahler, Sunčana Glavak, Andrzej Halicki, Sandra Kalniete, Andrey Kovatchev, Andrius Kubilius, David Lega, Miriam Lexmann, Antonio López-Istúriz White, Gabriel Mato, Vangelis Meimarakis, Francisco José Millán Mon, Radosław Sikorski, Isabel Wiseler-Lima, Željana Zovko, Milan Zver |
Renew |
Petras Auštrevičius, Katalin Cseh, Klemen Grošelj, Bernard Guetta, Ilhan Kyuchyuk, Nathalie Loiseau, Javier Nart, Urmas Paet, María Soraya Rodríguez Ramos, Hilde Vautmans |
S&D |
Maria Arena, Włodzimierz Cimoszewicz, Tanja Fajon, Raphaël Glucksmann, Dietmar Köster, Claudiu Manda, Sven Mikser, Demetris Papadakis, Tonino Picula, Giuliano Pisapia, Thijs Reuten, Nacho Sánchez Amor, Isabel Santos, Andreas Schieder, Sergei Stanishev |
Verts/ALE |
Alviina Alametsä, Reinhard Bütikofer, Jordi Solé, Tineke Strik, Viola Von Cramon-Taubadel, Thomas Waitz, Salima Yenbou |
5 |
- |
NI |
Kostas Papadakis |
The Left |
Giorgos Georgiou, Marisa Matias, Manu Pineda, Idoia Villanueva Ruiz |
6 |
0 |
ECR |
Charlie Weimers |
ID |
Maximilian Krah, Jaak Madison, Thierry Mariani, Jérôme Rivière, Harald Vilimsky |
Legenda simbolurilor utilizate:
+ : pentru
- : împotrivă
0 : abțineri
AVIZ AL COMISIEI PENTRU PIAȚA INTERNĂ ȘI PROTECȚIA CONSUMATORILOR (14.7.2021)
destinat Comisiei pentru industrie, cercetare și energie
referitor la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148
(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))
Raportor pentru aviz: Morten Løkkegaard
JUSTIFICARE SUCCINTĂ
Raportorul salută, în general, propunerea legislativă de directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (NIS 2). Raportorul consideră că, într-o lume din ce în ce mai digitalizată, securitatea online este esențială pentru a garanta un mediu digital sigur, precum și funcționarea pieței unice, pe care consumatorii și operatorii economici să poată acționa liber.
Propunerea NIS 2 reprezintă o îmbunătățire semnificativă în comparație cu Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (NIS 1). În propunerea NIS 2 se enumeră principalele deficiențe ale NIS 1, cum ar fi nivelul scăzut de reziliență cibernetică al întreprinderilor și al sectoarelor, precum și reziliența inconsecventă și nivelurile scăzute de conștientizare comună a situației și de răspuns în situații de criză în statele membre și între acestea. Raportorul salută demersurile ambițioase de a corecta aceste deficiențe prin intermediul NIS 2.
Domeniul de aplicare
Raportorul apreciază domeniul extins de aplicare al propunerii NIS 2, în special includerea unor noi sectoare, cum ar fi administrația publică. Lista explicită a sectoarelor și serviciilor incluse va reduce cu siguranță marja de apreciere a statelor membre în definirea entităților concrete care fac obiectul directivei și, prin urmare, va reduce fragmentarea de pe piața unică.
În cadrul sectoarelor și serviciilor vizate, Comisia a propus regula privind criteriul de dimensiune, ca un criteriu uniform de determinare a entităților care intră în domeniul de aplicare al directivei. Fără îndoială, acest criteriu prezintă avantajul de a asigura securitatea juridică, reducând în același timp divergențele dintre statele membre.
Cu toate acestea, deși salută extinderea domeniului de aplicare sectorial, raportorul este de părere că acest criteriu general ar trebui combinat cu o evaluare a nivelului critic al entităților din fiecare sector. Acest lucru ar permite entităților mijlocii și mari care, în urma unei evaluări a riscurilor, sunt considerate a avea un nivel critic scăzut și dependență redusă de alte entități critice, să rămână în afara domeniului de aplicare al directivei.
Raportorul subliniază că acest lucru nu ar trebui considerat o ușă deschisă pentru o interpretare discrepantă între statele membre. Pentru a garanta că aceasta nu crește gradul de fragmentare a punerii în aplicare între statele membre, Comisia este încurajată să emită orientări clare în acest sens.
În cele din urmă, deși salută excluderea microîntreprinderilor și a întreprinderilor mici din domeniul de aplicare, raportorul este de părere că ele trebuie încurajate să se includă voluntar, întrucât microîntreprinderile și entitățile mici sunt, de asemenea, supuse atacurilor cibernetice și afectate de acestea.
Cadre de reglementare coordonate în domeniul securității cibernetice
Raportorul salută capitolul care definește diferitele elemente ale strategiilor naționale de securitate cibernetică și instrumentele de gestionare a crizelor. Ca parte a strategiei lor naționale de securitate cibernetică, se propune ca statele membre să adopte o politică de promovare a utilizării criptografiei și criptării, în special de către IMM-uri.
Raportorul salută dezvoltarea de către ENISA a unui registru european al vulnerabilităților, însă consideră că este important ca înregistrarea să respecte confidențialitatea de afaceri și secretele comerciale și să nu împovăreze în mod inutil entitățile.
Cooperarea dintre statele membre
Dispozițiile din NIS 2 privind cooperarea mai structurată între statele membre în cadrul grupului de cooperare, al rețelelor CSIRT și al grupului nou creat pentru incidentele de mare amploare sunt deosebit de binevenite. Cu toate acestea, este necesar să se asigure creșterea nivelului de încredere și a disponibilității de a face schimb de informații între statele membre, întrucât eficacitatea acestei cooperări joacă un rol esențial în asigurarea unui nivel ridicat de securitate cibernetică în UE.
Având în vedere această poziție, au fost elaborate o serie de amendamente pentru a consolida rolul rețelelor. În special, raportorul consideră că evaluarea inter pares este o modalitate fructuoasă de a crește încrederea comună a statelor membre și ea ar trebui să joace un rol esențial în evaluarea eficacității politicilor de securitate cibernetică ale fiecărui stat membru.
Gestionarea riscurilor în materie de securitate cibernetică
Raportorul apreciază extinderea evaluării riscurilor la întregul lanț de aprovizionare (articolele 18 și 19), însă subliniază că este nevoie de clarificări pentru a oferi orientări clare entităților care fac obiectul acestei cerințe și statelor membre atunci când efectuează o evaluare coordonată a riscurilor în materie de securitate pentru sectoarele sau lanțurile de aprovizionare deosebit de critice.
Obligații de raportare
Raportorul consideră că ar trebui să se existe mai multă claritate în ceea ce privește anumite aspecte ale directivei revizuite, în special unele dintre obligațiile impuse întreprinderilor în domeniul de aplicare al NIS 2. Raportorul a încercat să reducă birocrația și să faciliteze respectarea noilor norme de către întreprinderi, având în vedere că obiectivul final este punerea în aplicare eficientă a directivei.
Raportorul propune ca termenul de 24 de ore propus pentru obligațiile de raportare ale primelor notificări să fie prelungit la 72 de ore, astfel încât întreprinderile să poată aborda în mod eficace atacul de securitate cibernetică în curs înainte de a efectua notificarea. În plus, se propune eliminarea oricărei trimiteri la notificarea obligatorie a așa-numitelor „incidente potențiale”.
AMENDAMENTE
Comisia pentru piața internă și protecția consumatorilor recomandă Comisiei pentru industrie, cercetare și energie, care este comisie competentă, să ia în considerare următoarele amendamente:
Amendamentul 1
Propunere de directivă
Considerentul 5
|
|
Textul propus de Comisie |
Amendamentul |
(5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă. |
(5) Toate aceste divergențe implică o fragmentare a pieței interne și pot avea un efect negativ asupra funcționării acesteia, afectând în special furnizarea transfrontalieră de servicii și nivelul de reziliență în materie de securitate cibernetică din cauza aplicării unor standarde diferite. Prezenta directivă urmărește să elimine divergențele importante dintre statele membre și să consolideze piața internă, în special prin stabilirea unor norme minime privind funcționarea unui cadru de reglementare coordonat, prin stabilirea unor mecanisme pentru cooperarea eficace între autoritățile responsabile din fiecare stat membru, prin actualizarea listei sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prin instituirea unor căi de atac și sancțiuni eficace care sunt esențiale pentru asigurarea eficace a respectării acestor obligații. Directiva (UE) 2016/1148 trebuie, prin urmare, abrogată și înlocuită cu prezenta directivă. |
Amendamentul 2
Propunere de directivă
Considerentul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(6a) Directiva nu aduce atingere normelor prevăzute de dreptul Uniunii privind protecția datelor cu caracter personal. |
Amendamentul 3
Propunere de directivă
Considerentul 9
|
|
Textul propus de Comisie |
Amendamentul |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei. |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei. Comisia ar trebui să ofere îndrumări clare cu privire la criteriile care stabilesc ce entități mici sau microentități ar fi esențiale sau importante, în special atunci când furnizează servicii în mai multe state membre. |
Amendamentul 4
Propunere de directivă
Considerentul 10
|
|
Textul propus de Comisie |
Amendamentul |
(10) Comisia, în cooperare cu Grupul de cooperare, poate emite orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. |
(10) Comisia, în cooperare cu Grupul de cooperare, ar trebui să emită orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. |
Amendamentul 5
Propunere de directivă
Considerentul 12 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(12a) Extinderea domeniului de aplicare al prezentei directive implică includerea entităților supuse unei reglementări sectoriale. Pentru a evita orice suprapunere sau sarcină de reglementare, Comisia ar trebui să se asigure că actele sectoriale specifice care impun entităților esențiale sau importante fie să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, fie să notifice incidentele sau amenințările cibernetice semnificative sunt conforme cu prezenta directivă. |
Amendamentul 6
Propunere de directivă
Considerentul 12 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(12b) Comisia ar trebui să publice orientări clare care să însoțească prezenta directivă pentru a garanta punerea în aplicare armonizată în toate statele membre și pentru a evita fragmentarea. |
Amendamentul 7
Propunere de directivă
Considerentul 12 c (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(12c) Comisia ar mai trebui să formuleze orientări pentru a sprijini statele membre în punerea în aplicare corectă a dispozițiilor privind domeniul de aplicare și pentru a evalua proporționalitatea obligațiilor prevăzute de prezenta directivă având în vedere importanța critică a entităților care intră în domeniul de aplicare, în special atunci când se aplică unor entități cu modele de afaceri sau medii de operare complexe, în baza cărora o entitate poate îndeplini simultan criteriile atribuite atât entităților esențiale, cât și celor importante, sau poate desfășura simultan unele activități care se încadrează în domeniul de aplicare al prezentei directive și altele care nu se încadrează. În cazurile în care activitatea principală a entităților se află în afara domeniului de aplicare al prezentei directive, dar o altă activitate secundară se încadrează în domeniul de aplicare, dispozițiile ar trebui să se aplice numai funcțiilor sau unităților unei entități care intră în domeniul de aplicare al prezentei directive. |
Amendamentul 8
Propunere de directivă
Considerentul 14
|
|
Textul propus de Comisie |
Amendamentul |
(14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritatea competentă în temeiul prezentei directive și cea competentă în temeiul Directivei (UE) XXX/XXX în contextul schimbului de informații privind incidentele și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații în acest scop. |
(14) Având în vedere interconexiunile dintre securitatea cibernetică și securitatea fizică a entităților, ar trebui să se asigure o abordare coerentă între Directiva (UE) XXX/XXX a Parlamentului European și a Consiliului17 și prezenta directivă. În acest scop, statele membre ar trebui să se asigure că, în temeiul Directivei (UE) XXX/XXX, entitățile critice și entitățile echivalente sunt considerate entități esențiale în temeiul prezentei directive. Statele membre ar trebui, de asemenea, să se asigure că strategiile lor naționale în materie de securitate cibernetică oferă un cadru de politică pentru o coordonare consolidată între autoritatea competentă în temeiul prezentei directive și cea competentă în temeiul Directivei (UE) XXX/XXX în contextul raportării incidentelor, al schimbului de informații privind incidentele, incidentele evitate la limită și amenințările cibernetice și al exercitării sarcinilor de supraveghere. Autoritățile competente în temeiul acestor două directive ar trebui să coopereze și să facă schimb de informații, în special în ceea ce privește identificarea entităților critice, amenințările cibernetice, riscurile de securitate cibernetică, incidentele care afectează entitățile critice, precum și cu privire la măsurile de securitate cibernetică adoptate de entitățile critice. La cererea autorităților competente în temeiul Directivei (UE) XXX/XXX, autorităților competente în temeiul prezentei directive ar trebui să li se permită să își exercite competențele de supraveghere și de asigurare a respectării legislației cu privire la o entitate esențială identificată ca fiind critică. Cele două tipuri de autorități ar trebui să coopereze și să facă schimb de informații în acest scop. |
__________________ |
__________________ |
17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
17 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 9
Propunere de directivă
Considerentul 15
|
|
Textul propus de Comisie |
Amendamentul |
(15) Respectarea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) este un factor-cheie pentru menținerea integrității internetului, esențial pentru funcționarea sa continuă și stabilă, de care depind economia digitală și societatea. Prin urmare, prezenta directivă ar trebui să se aplice tuturor furnizorilor de servicii DNS de-a lungul lanțului de rezoluție a DNS, inclusiv operatorilor de servere pentru numele primare, de servere cu nume de domeniu de prim nivel (TLD), de servere cu nume de utilizator autorizat pentru nume de domenii și de rezolvere recursive. |
(15) Respectarea și menținerea unui sistem fiabil, rezilient și sigur de nume de domenii (DNS) este un factor-cheie pentru menținerea integrității internetului, esențial pentru funcționarea sa continuă și stabilă, de care depind economia digitală, piața internă și societatea. Prin urmare, prezenta directivă ar trebui să se aplice tuturor furnizorilor de servicii DNS de-a lungul lanțului de rezoluție a DNS, inclusiv operatorilor de servere pentru numele primare, de servere cu nume de domeniu de prim nivel (TLD), de servere cu nume de utilizator autorizat pentru nume de domenii și de rezolvere recursive, precum și furnizorilor de servicii de protecție a vieții private și servicii de proxy, brokerilor sau revânzătorilor de domenii și oricăror alte servicii legate de înregistrarea numelor de domenii. |
Amendamentul 10
Propunere de directivă
Considerentul 20
|
|
Textul propus de Comisie |
Amendamentul |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere. |
(20) Aceste interdependențe din ce în ce mai mari sunt rezultatul unei rețele din ce în ce mai transfrontaliere și interdependente de furnizare de servicii care utilizează infrastructuri-cheie din întreaga Uniune în sectoare precum energia, transporturile, infrastructura digitală, apa potabilă și apele uzate, sănătatea, anumite aspecte ale administrației publice, precum și spațiul, în măsura în care furnizarea anumitor servicii în funcție de infrastructurile terestre care sunt deținute, gestionate și exploatate fie de statele membre, fie de părți private, nu acoperă, prin urmare, infrastructurile deținute, gestionate sau exploatate de Uniune sau în numele acesteia, ca parte a programelor sale spațiale. Aceste interdependențe înseamnă că orice perturbare, chiar dacă inițial este limitată la o singură entitate sau la un singur sector, poate avea efecte în cascadă în sens mai larg, ceea ce ar putea avea efecte negative de amploare și de lungă durată asupra furnizării de servicii pe piața internă. Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere, și necesitatea de a proteja piața internă prin strategii și acțiuni comune la nivelul Uniunii. |
Amendamentul 11
Propunere de directivă
Considerentul 23
|
|
Textul propus de Comisie |
Amendamentul |
(23) Autoritățile competente sau CSIRT-urile ar trebui să primească de la entități notificări ale incidentelor într-un mod eficace și eficient. Punctele unice de contact ar trebui să aibă sarcina de a transmite notificările incidentelor către punctele unice de contact ale altor state membre afectate. La nivelul autorităților statelor membre, pentru a asigura un punct de intrare unic în fiecare stat membru, punctele unice de contact ar trebui să fie, de asemenea, destinatarii informațiilor relevante privind incidentele referitoare la entități din sectorul financiar, furnizate de autoritățile competente în temeiul Regulamentului XXXX/XXXX, pe care ar trebui să le poată transmite, după caz, autorităților naționale competente relevante sau CSIRT în temeiul prezentei directive. |
(23) Autoritățile competente sau CSIRT-urile ar trebui să primească de la entități notificări ale incidentelor într-un mod standardizat, eficace și eficient. Punctele unice de contact ar trebui să aibă sarcina de a transmite notificările incidentelor către punctele unice de contact ale altor state membre afectate. Pentru a asigura un punct de intrare unic în fiecare stat membru, punctele unice de contact ar trebui să fie, de asemenea, destinatarii informațiilor relevante privind incidentele referitoare la entități din sectorul financiar, furnizate de autoritățile competente în temeiul Regulamentului XXXX/XXXX, pe care ar trebui să le poată transmite, după caz, autorităților naționale competente relevante sau CSIRT în temeiul prezentei directive. |
Amendamentul 12
Propunere de directivă
Considerentul 25
|
|
Textul propus de Comisie |
Amendamentul |
(25) În ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale. |
(25) Pentru a identifica, atenua sau preveni amenințări specifice în ceea ce privește datele cu caracter personal, CSIRT ar trebui să poată furniza, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului19, în ceea ce privește datele cu caracter personal, în numele și la cererea unei entități în temeiul prezentei directive, o scanare proactivă a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor. Statele membre ar trebui să vizeze asigurarea unui nivel egal al capacităților tehnice pentru toate CSIRT-urile sectoriale. Statele membre pot solicita asistența Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) la dezvoltarea echipelor CSIRT naționale. |
__________________ |
__________________ |
19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
19 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
Amendamentul 13
Propunere de directivă
Considerentul 26 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(26a) Ca parte a strategiilor lor naționale în materie de securitate cibernetică, statele membre ar trebui să adopte politici privind promovarea și integrarea sistemelor inteligente în prevenirea și detectarea incidentelor și a amenințărilor la adresa securității cibernetice. Statele membre, în conformitate cu strategiile lor naționale în materie de securitate cibernetică, ar trebui să instituie politici orientate către sensibilizarea și alfabetizarea în materie de securitate cibernetică, în vederea protejării consumatorilor. Atunci când adoptă strategii naționale în materie de securitate cibernetică, statele membre ar trebui să asigure cadre de politică pentru a soluționa problema accesului legal la informații. |
Amendamentul 14
Propunere de directivă
Considerentul 27
|
|
Textul propus de Comisie |
Amendamentul |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. |
(27) În conformitate cu anexa la Recomandarea (UE) 2017/1584 a Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint”)20, un incident de mare anvergură ar trebui să însemne un incident cu un impact semnificativ asupra a cel puțin două state membre sau care provoacă o perturbare ce depășește capacitatea unui stat membru de a reacționa la acesta, punându-se astfel în pericol piața internă. În funcție de cauza și de impactul lor, incidentele de mare amploare pot escalada și se pot transforma în crize de sine stătătoare, care să împiedice buna funcționare a pieței interne. Având în vedere domeniul larg de aplicare și, în cele mai multe cazuri, natura transfrontalieră a unor astfel de incidente, statele membre și instituțiile, organele și agențiile relevante ale Uniunii ar trebui să coopereze la nivel tehnic, operațional și politic pentru a coordona în mod corespunzător răspunsul în întreaga Uniune. |
__________________ |
__________________ |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
20 Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36). |
Amendamentul 15
Propunere de directivă
Considerentul 28
|
|
Textul propus de Comisie |
Amendamentul |
(28) Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative, identificarea și remedierea rapidă a acestor vulnerabilități reprezintă un factor important în reducerea riscului de securitate cibernetică. Entitățile care dezvoltă astfel de sisteme ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și raportate (divulgate) de părți terțe (entități raportoare), producătorul ori furnizorul de produse sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29417 oferă orientări privind gestionarea vulnerabilităților și, respectiv, divulgarea vulnerabilităților. În ceea ce privește divulgarea vulnerabilităților, coordonarea dintre entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC este deosebit de importantă. Divulgarea coordonată a vulnerabilităților presupune un proces structurat prin care vulnerabilitățile sunt raportate organizațiilor într-un mod care să permită organizației să diagnosticheze și să remedieze vulnerabilitățile înainte ca informațiile detaliate privind vulnerabilitățile să fie divulgate terților sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre entitatea raportoare și organizație în ceea ce privește calendarul de remediere și publicare a vulnerabilităților. |
(28) Întrucât exploatarea vulnerabilităților din cadrul rețelelor și al sistemelor informatice poate provoca perturbări și prejudicii semnificative pentru întreprinderi și consumatori, identificarea și remedierea rapidă a acestor vulnerabilități reprezintă un factor important în reducerea riscului de securitate cibernetică. Entitățile care dezvoltă astfel de sisteme ar trebui, prin urmare, să stabilească proceduri adecvate de gestionare a vulnerabilităților atunci când acestea sunt descoperite. Întrucât vulnerabilitățile sunt adesea descoperite și raportate (divulgate) de părți terțe (entități raportoare), producătorul ori furnizorul de produse sau servicii TIC ar trebui, de asemenea, să instituie procedurile necesare pentru a primi de la terți informații privind vulnerabilitatea. În acest sens, standardele internaționale ISO/IEC 30111 și ISO/IEC 29417 oferă orientări privind gestionarea vulnerabilităților și, respectiv, divulgarea vulnerabilităților. În ceea ce privește divulgarea vulnerabilităților, coordonarea dintre entitățile raportoare și producătorii ori furnizorii de produse sau servicii TIC este deosebit de importantă. Divulgarea coordonată a vulnerabilităților presupune un proces structurat prin care vulnerabilitățile sunt raportate organizațiilor într-un mod care să permită organizației să diagnosticheze și să remedieze vulnerabilitățile înainte ca informațiile detaliate privind vulnerabilitățile să fie divulgate terților sau publicului. Divulgarea coordonată a vulnerabilităților ar trebui să includă, de asemenea, coordonarea dintre entitatea raportoare și organizație în ceea ce privește calendarul de remediere și publicare a vulnerabilităților. |
Amendamentul 16
Propunere de directivă
Considerentul 28 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(28a) Comisia, ENISA și statele membre ar trebui să continue să încurajeze alinierea internațională la standardele și la bunele practici existente din industrie în domeniul gestionării riscurilor, de exemplu în domeniul evaluărilor securității lanțului de aprovizionare, al schimbului de informații și al divulgării vulnerabilităților. |
Amendamentul 17
Propunere de directivă
Considerentul 30
|
|
Textul propus de Comisie |
Amendamentul |
(30) Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. În această privință, sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important atât pentru entități și utilizatorii acestora, cât și pentru autoritățile naționale competente și CSIRT. Din acest motiv, ENISA ar trebui să creeze un registru al vulnerabilităților în care entitățile esențiale și importante și furnizorii acestora, precum și entitățile care nu intră în domeniul de aplicare al prezentei directive pot, în mod voluntar, să divulge vulnerabilitățile și să furnizeze informații privind vulnerabilitățile, astfel încât utilizatorii să ia măsuri de atenuare adecvate. |
(30) Accesul la informații corecte și în timp util cu privire la vulnerabilitățile care afectează produsele și serviciile TIC contribuie la o mai bună gestionare a riscurilor în materie de securitate cibernetică. În această privință, sursele de informații accesibile publicului cu privire la vulnerabilități reprezintă un instrument important atât pentru entități și utilizatorii acestora, cât și pentru autoritățile naționale competente și CSIRT. Din acest motiv, ENISA ar trebui să creeze o bază de date a vulnerabilităților în care entitățile esențiale și importante și furnizorii acestora, precum și entitățile care nu intră în domeniul de aplicare al prezentei directive pot, în mod voluntar, să divulge vulnerabilitățile și să furnizeze informații privind vulnerabilitățile, astfel încât utilizatorii să ia măsuri de atenuare adecvate. |
Amendamentul 18
Propunere de directivă
Considerentul 31
|
|
Textul propus de Comisie |
Amendamentul |
(31) Deși există registre ale vulnerabilităților sau baze de date similare, acestea sunt găzduite și întreținute de entități care nu sunt stabilite în Uniune. Un registru european al vulnerabilităților gestionat de ENISA ar oferi o mai mare transparență în ceea ce privește procesul de publicare înainte de dezvăluirea oficială a vulnerabilității, precum și reziliența în caz de perturbări sau întreruperi ale furnizării de servicii similare. Pentru a evita dublarea eforturilor și pentru a căuta complementaritatea în măsura posibilului, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu registre similare în jurisdicții din țări terțe. |
(31) Deși există registre ale vulnerabilităților sau baze de date similare, acestea sunt găzduite și întreținute de entități care nu sunt stabilite în Uniune. O bază de date europeană a vulnerabilităților gestionată de ENISA ar oferi o mai mare transparență în ceea ce privește procesul de publicare înainte de dezvăluirea oficială a vulnerabilității, precum și reziliența în caz de perturbări sau întreruperi ale furnizării de servicii similare. Pentru a evita dublarea eforturilor și pentru a căuta complementaritatea în măsura posibilului, ENISA ar trebui să analizeze posibilitatea de a încheia acorduri de cooperare structurată cu baze de date sau registre ale vulnerabilităților în jurisdicții din țări terțe și de a transmite rapoarte către registrele adecvate, cu condiția ca aceste acțiuni să nu submineze protecția confidențialității și a secretelor comerciale. |
Amendamentul 19
Propunere de directivă
Considerentul 32
|
|
Textul propus de Comisie |
Amendamentul |
(32) Grupul de cooperare ar trebui să stabilească, o dată la doi ani, un program de lucru care să includă acțiunile ce urmează să fie întreprinse de grup în vederea punerii în aplicare a obiectivelor și sarcinilor sale. Calendarul primului program adoptat în temeiul prezentei directive ar trebui să fie aliniat la calendarul ultimului program adoptat în temeiul Directivei (UE) 2016/1148, pentru a se evita eventualele perturbări ale activității grupului. |
(32) Grupul de cooperare ar trebui să discute priorități politice și schimbări-cheie în materie de securitate cibernetică și să stabilească, o dată la doi ani, un program de lucru care să includă acțiunile ce urmează să fie întreprinse de grup în vederea punerii în aplicare a obiectivelor și sarcinilor sale. Calendarul primului program adoptat în temeiul prezentei directive ar trebui să fie aliniat la calendarul ultimului program adoptat în temeiul Directivei (UE) 2016/1148, pentru a se evita eventualele perturbări ale activității grupului. |
Amendamentul 20
Propunere de directivă
Considerentul 32 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(32a) Grupul de cooperare ar trebui să fie format din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. |
Amendamentul 21
Propunere de directivă
Considerentul 34
|
|
Textul propus de Comisie |
Amendamentul |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii implicate în politica de securitate cibernetică, cum ar fi Centrul european de combatere a criminalității informatice (EC3), Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA). |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii implicate în politica de securitate cibernetică, cum ar fi Centrul european de combatere a criminalității informatice (EC3), Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA), precum și alte organisme și agenții relevante ale Uniunii. |
Amendamentul 22
Propunere de directivă
Considerentul 35
|
|
Textul propus de Comisie |
Amendamentul |
(35) Autoritățile competente și CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb pentru funcționari din alte state membre în vederea îmbunătățirii cooperării. Autoritățile competente ar trebui să ia măsurile necesare ca funcționari din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă. |
(35) Autoritățile competente și CSIRT ar trebui să aibă posibilitatea să participe la programe de schimb și de formare comune pentru funcționari din alte state membre în vederea îmbunătățirii cooperării și a întăririi încrederii între statele membre. Autoritățile competente ar trebui să ia măsurile necesare ca funcționari din alte state membre să poată juca un rol efectiv în activitățile autorității competente gazdă sau ale CSIRT. |
Amendamentul 23
Propunere de directivă
Considerentul 39
|
|
Textul propus de Comisie |
Amendamentul |
(39) În sensul prezentei directive, termenul „incident evitat la limită” ar trebui să se refere la un eveniment care ar fi putut cauza prejudicii, dar care a cărui desfășurare până la capăt a fost împiedicată cu succes. |
eliminat |
Amendamentul 24
Propunere de directivă
Considerentul 45 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(45a) În plus, entitățile ar trebui să asigure totodată o educație adecvată în domeniul securității cibernetice și instruirea personalului lor la toate nivelurile organizației. |
Amendamentul 25
Propunere de directivă
Considerentul 46
|
|
Textul propus de Comisie |
Amendamentul |
(46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări sectoriale coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, pentru fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC critice, amenințările și vulnerabilitățile relevante. |
(46) Pentru a aborda în continuare principalele riscuri din cadrul lanțului de aprovizionare și pentru a oferi asistență entităților care își desfășoară activitatea în sectoarele reglementate de prezenta directivă în gestionarea adecvată a riscurilor în materie de securitate cibernetică legate de lanțul de aprovizionare și de furnizori, Grupul de cooperare, la care participă autoritățile naționale relevante, ar trebui să efectueze, în cooperare cu Comisia și ENISA, evaluări sectoriale coordonate ale riscurilor la nivelul lanțului de aprovizionare, astfel cum s-a procedat deja în cazul rețelelor 5G ca urmare a Recomandării (UE) 2019/534 privind securitatea cibernetică a rețelelor 5G21, cu scopul de a identifica, în fiecare sector în parte, care sunt serviciile, sistemele sau produsele TIC critice, amenințările și vulnerabilitățile relevante. |
__________________ |
__________________ |
21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42). |
21 Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, p. 42). |
Amendamentul 26
Propunere de directivă
Considerentul 47
|
|
Textul propus de Comisie |
Amendamentul |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză și nivelul său critic, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. |
Amendamentul 27
Propunere de directivă
Considerentul 51
|
|
Textul propus de Comisie |
Amendamentul |
(51) Piața internă depinde mai mult decât oricând de funcționarea internetului. Aproape toate serviciile entităților esențiale și importante depind de serviciile furnizate pe internet. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și importante, este important ca rețelele publice de comunicații electronice, cum ar fi, de exemplu, magistralele de internet sau cablurile de comunicații submarine, să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele legate de aceasta. |
(51) Piața internă depinde mai mult decât oricând de funcționarea internetului. Aproape toate serviciile entităților esențiale și importante depind de serviciile furnizate pe internet, iar consumatorii se bazează pe acesta în aspecte esențiale ale vieții lor de zi cu zi. Pentru a asigura furnizarea fără probleme a serviciilor asigurate de entități esențiale și importante, este important ca rețelele publice de comunicații electronice, cum ar fi, de exemplu, magistralele de internet sau cablurile de comunicații submarine, să dispună de măsuri adecvate în materie de securitate cibernetică și să raporteze incidentele legate de aceasta. |
Amendamentul 28
Propunere de directivă
Considerentul 52
|
|
Textul propus de Comisie |
Amendamentul |
(52) După caz, entitățile ar trebui să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși. Cerința de a informa destinatarii cu privire la astfel de amenințări nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită. |
(52) Entitățile ar trebui să urmărească să își informeze destinatarii serviciilor cu privire la amenințări specifice și semnificative, precum și cu privire la măsurile pe care le pot lua pentru a atenua riscurile pentru ei înșiși, în special atunci când astfel de măsuri pot spori protecția consumatorilor. Aceasta nu ar trebui să scutească entitățile de obligația de a lua, pe cheltuiala proprie, măsuri adecvate și imediate pentru a preveni sau remedia orice amenințare cibernetică și pentru a restabili nivelul normal de securitate al serviciului. Furnizarea unor astfel de informații privind amenințările la adresa securității destinatarilor ar trebui să fie gratuită și informațiile ar trebui să fie redactate într-un limbaj ușor de înțeles. |
Amendamentul 29
Propunere de directivă
Considerentul 53
|
|
Textul propus de Comisie |
Amendamentul |
(53) În special, furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile pe care le pot lua pentru a-și proteja securitatea comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software sau de tehnologii de criptare. |
(53) În special, furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului ar trebui să îi informeze pe destinatarii serviciilor cu privire la amenințările cibernetice specifice și semnificative și cu privire la măsurile suplimentare pe care le pot lua pentru a-și proteja securitatea dispozitivelor și a comunicațiilor, de exemplu prin folosirea unor anumite tipuri de software sau de tehnologii de criptare. |
Amendamentul 30
Propunere de directivă
Considerentul 54
|
|
Textul propus de Comisie |
Amendamentul |
(54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării, în special a criptării de la un capăt la altul și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în sensul articolului 18. Utilizarea criptării de la un capăt la altul ar trebui să fie reconciliată cu competențele statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Soluțiile pentru accesul legal la informații în comunicațiile criptate de la un capăt la altul ar trebui să mențină eficacitatea criptării în ceea ce privește protecția vieții private și securitatea comunicațiilor, oferind, în același timp, un răspuns eficace la criminalitate. |
(54) Pentru a se garanta securitatea rețelelor și a serviciilor de comunicații electronice, ar trebui promovată utilizarea criptării, în special a criptării de la un capăt la altul și, dacă este necesar, acest tip de criptare ar trebui să fie obligatoriu pentru furnizorii de astfel de servicii și rețele, în conformitate cu principiile securității și protecției vieții private în mod implicit și începând cu momentul conceperii, în scopul măsurilor de management al riscurilor în materie de securitate cibernetică. Utilizarea criptării de la un capăt la altul nu aduce atingere competențelor, politicilor și procedurilor statelor membre de a asigura protecția intereselor lor esențiale în materie de securitate și de siguranță publică și de a permite investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu dreptul Uniunii. Soluțiile pentru accesul legal la informații în comunicațiile criptate de la un capăt la altul ar trebui să mențină eficacitatea criptării în ceea ce privește protecția vieții private și securitatea comunicațiilor, oferind, în același timp, un răspuns eficace la criminalitate. Orice măsură luată trebuie să respecte cu strictețe principiile proporționalității și subsidiarității. |
Amendamentul 31
Propunere de directivă
Considerentul 55
|
|
Textul propus de Comisie |
Amendamentul |
(55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială în termen de 24 de ore, urmată de un raport final în termen de cel mult o lună de la incidentul respectiv. Notificarea inițială ar trebui să includă numai informațiile strict necesare pentru a informa autoritățile competente cu privire la incident și pentru a putea solicita asistență, dacă este necesar. O astfel de notificare, după caz, ar trebui să indice dacă incidentul pare să fie cauzat de acțiuni ilegale sau răuvoitoare. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul autorităților competente sau al CSIRT, entitatea în cauză se poate abate de la termenul de 24 de ore pentru notificarea inițială și de o lună pentru raportul final. |
(55) Prezenta directivă stabilește o abordare consecutivă a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a avut loc un incident sau un incident evitat la limită, acestea ar trebui să aibă obligația de a transmite o notificare inițială în termen de 72 de ore, urmată de un raport cuprinzător în termen de cel mult trei luni de la transmiterea notificării inițiale și de un raport final în termen de cel mult o lună de la atenuarea incidentului. Notificarea inițială ar trebui să includă numai informațiile strict necesare pentru a informa autoritățile competente cu privire la incident și pentru a putea solicita asistență, dacă este necesar. O astfel de notificare, după caz, ar trebui să indice dacă incidentul pare să fie cauzat de acțiuni ilegale sau răuvoitoare. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor care ar trebui să aibă prioritate. Notificarea inițială ar trebui să fie precedată de o alertă timpurie în primele 24 de ore, fără obligația de a comunica informații suplimentare. Această alertă timpurie ar trebui transmisă cât mai curând posibil, permițând entităților să solicite rapid asistență din partea autorităților competente sau a echipelor CSIRT și facilitând eforturile autorităților competente sau a echipelor CSIRT de a atenua răspândirea potențială a incidentului raportat și servind totodată drept instrument de conștientizare a situației pentru echipele CSIRT. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul autorităților competente sau al CSIRT, entitatea în cauză se poate abate de la termenul de prevăzut. |
Amendamentul 32
Propunere de directivă
Considerentul 56
|
|
Textul propus de Comisie |
Amendamentul |
(56) Entitățile esențiale și importante se află adesea într-o situație în care, din cauza caracteristicilor sale, un anumit incident trebuie raportat mai multor autorități ca urmare a obligațiilor de notificare incluse în diferite instrumente juridice. Astfel de cazuri creează sarcini suplimentare și pot conduce, de asemenea, la incertitudini în ceea ce privește formatul unor asemenea notificări și procedurile aferente acestora. Având în vedere cele de mai sus și în scopul simplificării raportării incidentelor de securitate, statele membre ar trebui să instituie un punct de intrare unic pentru toate notificările efectuate în temeiul prezentei directive și, de asemenea, în temeiul altor acte legislative ale Uniunii, cum ar fi Regulamentul (UE) 2016/679 și Directiva 2002/58/CE. ENISA, în cooperare cu Grupul de cooperare, ar trebui să instituie modele comune de notificare prin intermediul unor orientări care să simplifice și să raționalizeze informațiile de raportare solicitate de dreptul Uniunii și să reducă sarcinile impuse întreprinderilor. |
(56) Entitățile esențiale și importante se află adesea într-o situație în care, din cauza caracteristicilor sale, un anumit incident trebuie raportat mai multor autorități ca urmare a obligațiilor de notificare incluse în diferite instrumente juridice. Astfel de cazuri creează sarcini suplimentare și pot conduce, de asemenea, la incertitudini în ceea ce privește formatul unor asemenea notificări și procedurile aferente acestora. Având în vedere cele de mai sus și în scopul simplificării raportării incidentelor de securitate și al promovării principiului înregistrării unice, statele membre ar trebui să instituie un punct de intrare unic pentru toate notificările efectuate în temeiul prezentei directive și, de asemenea, în temeiul altor acte legislative ale Uniunii, cum ar fi Regulamentul (UE) 2016/679 și Directiva 2002/58/CE. ENISA, în cooperare cu grupul de cooperare, ar trebui să instituie modele comune de notificare prin intermediul unor orientări care să simplifice și să raționalizeze informațiile de raportare solicitate de dreptul Uniunii și să reducă sarcinile impuse întreprinderilor. |
Amendamentul 33
Propunere de directivă
Considerentul 59
|
|
Textul propus de Comisie |
Amendamentul |
(59) Menținerea unor baze de date exacte și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) și furnizarea unui acces legal la astfel de date sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor. |
(59) Menținerea unor baze de date exacte, verificate și complete conținând numele de domenii și datele de înregistrare (așa-numitele „date WHOIS”) și furnizarea unui acces legal la astfel de date sunt aspecte esențiale pentru a asigura securitatea, stabilitatea și reziliența DNS, sistem care, la rândul său, contribuie la un nivel comun ridicat de securitate cibernetică în Uniune. Atunci când prelucrarea include date cu caracter personal, această prelucrare respectă legislația Uniunii în materie de protecție a datelor. |
Amendamentul 34
Propunere de directivă
Considerentul 61
|
|
Textul propus de Comisie |
Amendamentul |
(61) Pentru a asigura disponibilitatea unor date exacte și complete de înregistrare a numelor de domeniu, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD (operatorii de registru) ar trebui să colecteze și să garanteze integritatea și disponibilitatea datelor de înregistrare a numelor de domenii. În special, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui să stabilească politici și proceduri pentru colectarea și păstrarea unor date de înregistrare exacte și complete, precum și pentru prevenirea și corectarea datelor de înregistrare inexacte, în conformitate cu normele Uniunii privind protecția datelor. |
(61) Pentru a asigura disponibilitatea unor date exacte și complete de înregistrare a numelor de domeniu, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii (inclusiv servicii furnizate de registrele de nume de domenii și de operatorii de registru, de furnizorii de servicii de protecție a vieții private și servicii de proxy, de brokerii sau revânzătorii de domenii și orice alte servicii legate de înregistrarea numelor de domenii) ar trebui să colecteze și să garanteze integritatea și disponibilitatea datelor de înregistrare a numelor de domenii. În special, registrele TLD și entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui să stabilească politici și proceduri pentru colectarea și păstrarea unor date de înregistrare exacte și complete, precum și pentru prevenirea și corectarea datelor de înregistrare inexacte, în conformitate cu normele Uniunii privind protecția datelor. |
Amendamentul 35
Propunere de directivă
Considerentul 68
|
|
Textul propus de Comisie |
Amendamentul |
(68) Entitățile ar trebui încurajate să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor. |
(68) Entitățile ar trebui încurajate și sprijinite de statele membre să își valorifice în mod colectiv cunoștințele individuale și experiența practică la nivel strategic, tactic și operațional, pentru a-și consolida capacitățile de evaluare și de monitorizare a amenințărilor cibernetice, de apărare împotriva acestora și de răspuns în mod adecvat la asemenea amenințări. Prin urmare, este necesar să se permită apariția, la nivelul Uniunii, a unor mecanisme de schimb voluntar de informații. În acest scop, statele membre ar trebui să sprijine și să încurajeze în mod activ și entitățile relevante care nu intră în domeniul de aplicare al prezentei directive să participe la astfel de mecanisme de schimb de informații. Mecanismele respective ar trebui să se desfășoare în deplină conformitate cu normele Uniunii în materie de concurență, precum și cu normele Uniunii în materie de protecție a datelor. |
Amendamentul 36
Propunere de directivă
Considerentul 69
|
|
Textul propus de Comisie |
Amendamentul |
(69) Prelucrarea datelor cu caracter personal, în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor de către entități, autorități publice, CERT, CSIRT și furnizorii de tehnologii și servicii de securitate ar trebui să constituie un interes legitim al operatorului de date în cauză, astfel cum se menționează în Regulamentul (UE) 2016/679. Aceasta ar trebui să includă măsuri legate de prevenirea, detectarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare. Astfel de măsuri pot necesita prelucrarea următoarelor tipuri de date cu caracter personal: adrese IP, localizatoare uniforme de resurse (URL), nume de domenii și adrese de e-mail. |
(69) Prelucrarea datelor cu caracter personal, care ar trebui limitată la ceea ce este strict necesar și proporțional în scopul asigurării securității rețelelor și a informațiilor și al asigurării protecției consumatorilor de către entități, autorități publice, CERT, CSIRT și furnizorii de tehnologii și servicii de securitate ar trebui să constituie un interes legitim al operatorului de date în cauză, astfel cum se menționează în Regulamentul (UE) 2016/679. Aceasta ar trebui să includă măsuri legate de prevenirea, detectarea, analizarea și combaterea incidentelor, măsuri de sensibilizare cu privire la amenințările cibernetice specifice, schimbul de informații în contextul remedierii vulnerabilității și al divulgării coordonate, precum și schimbul voluntar de informații cu privire la incidentele respective, precum și la amenințările și vulnerabilitățile cibernetice, indicatori de compromis, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare. Astfel de măsuri pot necesita prelucrarea următoarelor tipuri de date cu caracter personal: adrese IP, localizatoare uniforme de resurse (URL), nume de domenii și adrese de e-mail. |
Amendamentul 37
Propunere de directivă
Considerentul 70
|
|
Textul propus de Comisie |
Amendamentul |
(70) Pentru a consolida competențele și acțiunile de supraveghere care contribuie la asigurarea respectării efective, prezenta directivă ar trebui să prevadă o listă minimă de acțiuni și mijloace de supraveghere prin care autoritățile competente să poată supraveghea entitățile esențiale și importante. În plus, prezenta directivă ar trebui să stabilească o diferențiere între regimul de supraveghere al entităților esențiale și cel al entităților importante, în vederea asigurării unui echilibru echitabil al obligațiilor atât pentru entități, cât și pentru autoritățile competente. Astfel, entitățile esențiale ar trebui să facă obiectul unui regim de supraveghere complet (ex ante și ex post), în timp ce entitățile importante ar trebui să facă obiectul unui regim de supraveghere moderat, doar ex post. Pentru cele din urmă, acest lucru înseamnă că entitățile importante nu ar trebui să documenteze în mod sistematic respectarea cerințelor de gestionare a riscurilor în materie de securitate cibernetică, în timp ce autoritățile competente ar trebui să pună în aplicare o abordare reactivă ex post a supravegherii și, prin urmare, să nu aibă o obligație generală de a supraveghea entitățile respective. |
(70) Pentru a consolida competențele și acțiunile de supraveghere care contribuie la asigurarea respectării efective și pentru a atinge un nivel comun ridicat de securitate în sectorul digital, inclusiv prin prevenirea riscurilor pentru utilizatori sau pentru alte rețele, sisteme și servicii informatice, prezenta directivă ar trebui să prevadă o listă minimă de acțiuni și mijloace de supraveghere prin care autoritățile competente să poată supraveghea entitățile esențiale și importante. În plus, prezenta directivă ar trebui să stabilească o diferențiere între regimul de supraveghere al entităților esențiale și cel al entităților importante, în vederea asigurării unui echilibru echitabil al obligațiilor atât pentru entități, cât și pentru autoritățile competente. Astfel, entitățile esențiale ar trebui să facă obiectul unui regim de supraveghere complet (ex ante și ex post), în timp ce entitățile importante ar trebui să facă obiectul unui regim de supraveghere moderat, doar ex post, în funcție de riscuri. Pentru cele din urmă, acest lucru înseamnă că entitățile importante nu ar trebui să documenteze în mod sistematic respectarea cerințelor de gestionare a riscurilor în materie de securitate cibernetică, în timp ce autoritățile competente ar trebui să pună în aplicare o abordare reactivă ex post a supravegherii și, prin urmare, să nu aibă o obligație generală de a supraveghea entitățile respective, cu excepția cazului în care există o încălcare demonstrabilă a obligațiilor. |
Amendamentul 38
Propunere de directivă
Considerentul 76
|
|
Textul propus de Comisie |
Amendamentul |
(76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice sancțiuni constând în suspendarea unei certificări sau a unei autorizații privind o parte din serviciile furnizate de o entitate esențială sau toate aceste servicii și impunerea unei interdicții temporare de a exercita funcții de conducere de către o persoană fizică. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste sancțiuni ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de sancțiuni ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste sancțiuni. Impunerea unor astfel de sancțiuni face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
(76) Pentru a consolida și mai mult eficacitatea și caracterul disuasiv al sancțiunilor aplicabile în cazul încălcării obligațiilor prevăzute în temeiul prezentei directive, autoritățile competente ar trebui să fie împuternicite să aplice sancțiuni constând în suspendarea unei certificări sau a unei autorizații privind serviciile relevante furnizate de o entitate esențială. Având în vedere gravitatea și impactul lor asupra activităților entităților și, în cele din urmă, asupra consumatorilor acestora, aceste sancțiuni ar trebui aplicate numai proporțional cu gravitatea încălcării și ținând seama de circumstanțele specifice fiecărui caz, inclusiv de caracterul intenționat sau din neglijență al încălcării, de măsurile luate pentru a preveni sau a atenua prejudiciul și/sau de pierderile suferite. Astfel de sancțiuni ar trebui aplicate doar în ultimă instanță, adică numai după ce celelalte măsuri relevante de asigurare a respectării legislației prevăzute de prezenta directivă au fost epuizate și numai până în momentul în care entitățile cărora li se aplică iau măsurile necesare pentru a remedia deficiențele sau pentru a se conforma cerințelor autorității competente pentru care au fost aplicate aceste sancțiuni. Impunerea unor astfel de sancțiuni face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv protecția jurisdicțională efectivă, respectarea garanțiilor procedurale, prezumția de nevinovăție și dreptul la apărare. |
Amendamentul 39
Propunere de directivă
Considerentul 79
|
|
Textul propus de Comisie |
Amendamentul |
(79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții desemnați de statele membre a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre. |
(79) Ar trebui introdus un mecanism de evaluare inter pares, care să permită evaluarea de către experții desemnați de statele membre și ENISA a punerii în aplicare a politicilor în materie de securitate cibernetică, inclusiv a nivelului capacităților și al resurselor de care dispun statele membre, precum și schimbul de bune practici. |
Amendamentul 40
Propunere de directivă
Considerentul 80
|
|
Textul propus de Comisie |
Amendamentul |
(80) Pentru a ține seama de noile amenințări cibernetice, de evoluțiile tehnologice sau de specificitățile sectoriale, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește elementele legate de măsurile de gestionare a riscurilor impuse de prezenta directivă. Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate pentru a stabili ce categorii de entități esențiale au obligația de a obține un certificat și în temeiul căror sisteme europene specifice de certificare a securității cibernetice. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare26. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. |
(80) Pentru a ține seama de noile amenințări cibernetice, de evoluțiile tehnologice sau de specificitățile sectoriale, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește elementele legate de măsurile de gestionare a riscurilor impuse de prezenta directivă. Comisia ar trebui să fie împuternicită să adopte acte delegate pentru a stabili elementele tehnice legate de măsurile de gestionare a riscurilor. Comisia ar trebui, de asemenea, să fie împuternicită să adopte acte delegate specificând tipul de informații transmise de entitățile esențiale și importante despre orice incident care are un impact semnificativ asupra prestării serviciilor lor sau despre orice incident evitat la limită, și specificând cazurile în care un incident ar trebui considerat ca fiind semnificativ. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare26. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. |
__________________ |
__________________ |
26 JO L 123, 12.5.2016, p. 1. |
26 JO L 123, 12.5.2016, p. 1. |
Amendamentul 41
Propunere de directivă
Considerentul 81
|
|
Textul propus de Comisie |
Amendamentul |
(81) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a dispozițiilor relevante ale prezentei directive în ceea ce privește dispozițiile procedurale necesare pentru funcționarea grupului de cooperare, elementele tehnice legate de măsurile de gestionare a riscurilor sau tipul de informații, formatul și procedura de notificare a incidentelor, Comisiei ar trebui să i se confere competențe de executare. Aceste competențe trebuie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului27. |
(81) În vederea asigurării unor condiții uniforme pentru punerea în aplicare a dispozițiilor relevante ale prezentei directive în ceea ce privește dispozițiile procedurale necesare pentru funcționarea grupului de cooperare, formatul și procedura de notificare a incidentelor, Comisiei ar trebui să i se confere competențe de executare. Aceste competențe trebuie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului27. |
__________________ |
__________________ |
27 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13). |
27 Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13). |
Amendamentul 42
Propunere de directivă
Articolul 1 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Prezenta directivă stabilește măsuri în vederea asigurării unui nivel comun ridicat de securitate cibernetică în Uniune. |
1. Prezenta directivă stabilește măsuri în vederea asigurării unui nivel comun ridicat de securitate cibernetică în Uniune, pentru a crea un mediu digital de încredere pentru consumatori și operatorii economici, pentru a îmbunătăți funcționarea pieței interne și a elimina barierele din calea funcționării ei. |
Amendamentul 43
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
2. Cu toate acestea, indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților menționate în anexele I și II, în cazul în care: |
2. Cu toate acestea, indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților dintr-o categorie menționată în anexele I și II, în cazul în care: |
Amendamentul 44
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 2 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
Comisia formulează orientări pentru a sprijini statele membre în punerea în aplicare corectă a dispozițiilor privind domeniul de aplicare, precum și pentru a acorda posibile derogări de la domeniul de aplicare al directivei sau de la unele dintre dispozițiile acesteia pentru anumite entități importante, având în vedere nivelul critic scăzut al acestora în sectorul lor specific și/sau nivelul scăzut de dependență față de alte sectoare sau tipuri de servicii. Statele membre, ținând seama pe deplin de orientările Comisiei, notifică Comisiei deciziile lor motivate în acest sens. |
Amendamentul 45
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 4
|
|
Textul propus de Comisie |
Amendamentul |
(4) „strategie națională de securitate cibernetică” înseamnă un cadru coerent al unui stat membru care prevede obiective și priorități strategice privind securitatea rețelelor și a sistemelor informatice în statul membru respectiv; |
(4) „strategie națională de securitate cibernetică” înseamnă un cadru coerent al unui stat membru care prevede obiective și priorități strategice privind securitatea rețelelor și a sistemelor informatice în statul membru respectiv, precum și politicile necesare realizării acestora; |
Amendamentul 46
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 5 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(5a) „incident transfrontalier” înseamnă orice incident care afectează operatorii aflați sub supravegherea autorităților naționale competente din cel puțin două state membre diferite; |
Amendamentul 47
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(6a) „incident evitat la limită” înseamnă un eveniment care ar fi putut cauza prejudicii potențiale, dar a cărui desfășurare până la capăt a fost împiedicată cu succes; |
Amendamentul 48
Propunere de directivă
Articolul 4 – paragraful 1 – punctul 15 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(15a) „servicii de înregistrare a numelor de domenii” înseamnă servicii furnizate de registrele de nume de domenii și operatorii de registru, de furnizorii de servicii de protecție a vieții private și servicii de proxy, de brokerii sau revânzătorii de domenii și de orice alte servicii legate de înregistrarea numelor de domenii; |
Amendamentul 49
Propunere de directivă
Articolul 5 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. Fiecare stat membru adoptă o strategie națională de securitate cibernetică care definește obiectivele strategice și măsurile de politică și de reglementare adecvate, în vederea atingerii și menținerii unui nivel ridicat de securitate cibernetică. Strategia națională de securitate cibernetică include, în special, următoarele elemente: |
1. Fiecare stat membru adoptă o strategie națională de securitate cibernetică care definește obiectivele strategice și măsurile de politică și de reglementare adecvate, inclusiv resurse umane și financiare adecvate, în vederea atingerii și menținerii unui nivel ridicat de securitate cibernetică. Strategia națională de securitate cibernetică include, în special, următoarele elemente: |
Amendamentul 50
Propunere de directivă
Articolul 5 – alineatul 1 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) un cadru de guvernanță pentru realizarea acestor obiective și priorități, inclusiv politicile menționate la alineatul (2) și rolurile și responsabilitățile organismelor și ale entităților publice, precum și ale altor actori relevanți; |
(b) un cadru de guvernanță pentru realizarea acestor obiective și priorități, inclusiv politicile menționate la alineatul (2) și rolurile și responsabilitățile organismelor și ale entităților publice, precum și ale altor actori relevanți, inclusiv ale celor responsabili de serviciile de informații cibernetice și de apărarea cibernetică; |
Amendamentul 51
Propunere de directivă
Articolul 5 – alineatul 1 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) o evaluare menită să identifice activele și riscurile în materie de securitate cibernetică relevante din statul membru respectiv; |
(c) o evaluare menită să identifice activele și riscurile în materie de securitate cibernetică relevante din statul membru respectiv, inclusiv potențialele lipsuri care pot afecta negativ piața unică; |
Amendamentul 52
Propunere de directivă
Articolul 5 – alineatul 1 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) o listă a diferitelor autorități și a diferiților actori care participă la punerea în aplicare a strategiei naționale de securitate cibernetică; |
(e) o listă a diferitelor autorități și a diferiților actori care participă la punerea în aplicare a strategiei naționale de securitate cibernetică, inclusiv un ghișeu unic pentru IMM-uri; |
Amendamentul 53
Propunere de directivă
Articolul 5 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice; |
(b) orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în cadrul achizițiilor publice, inclusiv utilizarea produselor de securitate cibernetică cu sursă deschisă; |
Amendamentul 54
Propunere de directivă
Articolul 5 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) o politică de promovare și facilitare a divulgării coordonate a vulnerabilităților în sensul articolului 6; |
(c) o politică de promovare și facilitare a divulgării coordonate a vulnerabilităților în sensul articolului 6, inclusiv prin stabilirea de orientări și bune practici bazate pe standarde deja consacrate și recunoscute la nivel internațional privind gestionarea și divulgarea vulnerabilităților; |
Amendamentul 55
Propunere de directivă
Articolul 5 – alineatul 2 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) o politică de promovare și dezvoltare a inițiativelor privind competențele, sensibilizarea și cercetarea și dezvoltarea în materie de securitate cibernetică; |
(e) o politică de promovare a securității cibernetice pentru consumatori, de sensibilizare a acestora cu privire la amenințările cibernetice, de creștere a alfabetizării cibernetice, de sporire a încrederii utilizatorilor, de competențe și de educație în materie de securitate cibernetică neutre din punct de vedere tehnologic, precum și de promovare a inițiativelor de cercetare și dezvoltare și a securității cibernetice a produselor conectate; |
Amendamentul 56
Propunere de directivă
Articolul 5 – alineatul 2 – litera ea (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ea) o politică de promovare a utilizării criptografiei și a criptării, în special de către IMM-uri; |
Amendamentul 57
Propunere de directivă
Articolul 5 – alineatul 2 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice. |
(h) o politică de promovarea a securității cibernetice și care răspunde nevoilor specifice ale IMM-urilor în ceea ce privește respectarea obligațiilor prevăzute de prezenta directivă, precum și nevoilor specifice ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice inclusiv, de exemplu, finanțare și educație în sprijinul adoptării măsurilor de securitate cibernetică; |
Amendamentul 58
Propunere de directivă
Articolul 5 – alineatul 2 – litera ha (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ha) această politică include înființarea unui punct unic național de contact pentru IMM-uri și instituirea unui cadru pentru cea mai eficientă utilizare a centrelor de inovare digitală și a fondurilor disponibile în realizarea obiectivelor politicii; |
Amendamentul 59
Propunere de directivă
Articolul 5 – alineatul 2 – litera hb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(hb) o politică de promovare a utilizării coerente și sinergice a fondurilor disponibile; |
Amendamentul 60
Propunere de directivă
Articolul 5 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor-cheie de performanță și, dacă este necesar, le modifică. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină statele membre, la cerere, în elaborarea unei strategii naționale și a unor indicatori-cheie de performanță pentru evaluarea strategiei. |
4. Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor-cheie de performanță și, dacă este necesar, le modifică. Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sprijină statele membre, la cerere, în elaborarea unei strategii naționale și a unor indicatori-cheie de performanță pentru evaluarea strategiei. ENISA adresează, de asemenea, recomandări statelor membre privind elaborarea unor indicatori-cheie de performanță pentru evaluarea strategiei naționale, comparabili la nivelul Uniunii. |
Amendamentul 61
Propunere de directivă
Articolul 6 – titlu
|
|
Textul propus de Comisie |
Amendamentul |
Divulgarea coordonată a vulnerabilităților și registrul european al vulnerabilităților |
Divulgarea coordonată a vulnerabilităților și baza de date europeană a vulnerabilităților |
Amendamentul 62
Propunere de directivă
Articolul 6 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. ENISA creează și menține un registru european al vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile privind vulnerabilitățile conținute în registru. Registrul include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. |
2. ENISA creează și menține o bază de date europeană a vulnerabilităților. În acest scop, ENISA instituie și menține sisteme, politici și proceduri de informare adecvate, precum și politici adecvate de divulgare, în special pentru a permite entităților importante și esențiale și furnizorilor acestora de rețele și sisteme informatice să divulge și să înregistreze cu ușurință vulnerabilitățile prezente în produsele TIC sau serviciile TIC, precum și să ofere acces tuturor părților interesate la informațiile relevante privind vulnerabilitățile conținute în registru, cu condiția ca astfel de acțiuni să nu submineze protecția confidențialității și a secretelor comerciale. Baza de date a vulnerabilităților include, în special, informații care descriu vulnerabilitatea, produsul TIC sau serviciile TIC afectate și gravitatea vulnerabilității în ceea ce privește circumstanțele în care aceasta poate fi exploatată, disponibilitatea unor corecții conexe și, dacă astfel de corecții nu sunt disponibile, orientări adresate utilizatorilor de produse și servicii vulnerabile cu privire la modul în care pot fi atenuate riscurile care rezultă din vulnerabilitățile divulgate. Pentru a evita suprapunerea eforturilor, ENISA încheie un acord privind schimbul de informații și un acord de cooperare structurată cu registrul mondial comun de vulnerabilități și expuneri (CVE) și, după caz, cu alte baze de date dezvoltate și întreținute la nivel mondial de parteneri de încredere. |
Amendamentul 63
Propunere de directivă
Articolul 6 – alineatul 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
1a. În cazul în care un stat membru desemnează mai multe autorități competente, astfel cum se menționează la alineatul (1), acesta va indica în mod clar care dintre aceste autorități competente vor servi drept punct de contact principal în cursul unui incident sau al unei crize de mare amploare. |
Amendamentul 64
Propunere de directivă
Articolul 7 – alineatul 3 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) procedurile și mecanismele naționale dintre autoritățile și organismele naționale relevante menite să asigure participarea efectivă a statului membru la gestionarea coordonată a incidentelor și a crizelor de securitate cibernetică de mare amploare la nivelul Uniunii și sprijinul acordat de acesta. |
(f) procedurile și coordonarea naționale dintre autoritățile și organismele naționale relevante, inclusiv cele responsabile de serviciile de informații cibernetice și de apărarea cibernetică, menite să asigure participarea efectivă a statului membru la gestionarea coordonată a incidentelor și crizelor de securitate cibernetică de mare amploare la nivelul Uniunii și sprijinul acordat de acesta. |
Amendamentul 65
Propunere de directivă
Articolul 10 – alineatul 2 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) furnizarea de analize dinamice de risc și de incident și conștientizarea situației în materie de securitate cibernetică; |
(d) furnizarea de analize dinamice de risc și de incident și conștientizarea situației în materie de securitate cibernetică, inclusiv analiza alertelor timpurii și a notificărilor menționate la articolul 20; |
Amendamentul 66
Propunere de directivă
Articolul 10 – alineatul 2 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) furnizarea, la cererea unei entități, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor; |
(e) furnizarea, la cererea unei entități, a unei scanări proactive a rețelei și a sistemelor informatice utilizate pentru furnizarea serviciilor lor cu scopul de a identifica, atenua sau preveni amenințări specifice; |
Amendamentul 67
Propunere de directivă
Articolul 10 – alineatul 2 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) participarea la rețeaua CSIRT și furnizarea de asistență reciprocă altor membri ai rețelei, la cererea acestora. |
(f) participarea activă la rețeaua CSIRT și furnizarea de asistență reciprocă altor membri ai rețelei, la cererea acestora; |
Amendamentul 68
Propunere de directivă
Articolul 10 – alineatul 2 – litera fa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fa) furnizarea de asistență operațională și de orientări entităților menționate în anexele I și II, în special IMM-urilor; |
Amendamentul 69
Propunere de directivă
Articolul 10 – alineatul 2 – litera fb (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(fb) participarea la exerciții comune de securitate cibernetică la nivelul Uniunii. |
Amendamentul 70
Propunere de directivă
Articolul 11 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că fie autoritățile lor competente, fie echipele lor CSIRT primesc notificări privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită comunicate în temeiul prezentei directive. În cazul în care un stat membru decide ca echipele sale CSIRT să nu primească notificări, acestora li se acordă, în măsura necesară pentru a-și îndeplini atribuțiile, acces la datele privind incidentele notificate de entitățile esențiale sau importante, în temeiul articolului 20. |
2. Statele membre se asigură că fie autoritățile lor competente, fie echipele lor CSIRT primesc notificări privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită comunicate în temeiul prezentei directive. În cazul în care un stat membru decide ca echipele sale CSIRT să nu primească notificări, acestora li se acordă, în măsura necesară pentru a-și îndeplini atribuțiile în mod eficace, acces adecvat la datele privind incidentele notificate de entitățile esențiale sau importante, în temeiul articolului 20. |
Amendamentul 71
Propunere de directivă
Articolul 11 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv. |
4. În măsura în care este necesar pentru a îndeplini în mod eficace sarcinile și obligațiile prevăzute în prezenta directivă, statele membre asigură o cooperare adecvată între autoritățile competente și punctele unice de contact și autoritățile de aplicare a legii, autoritățile pentru protecția datelor și autoritățile responsabile cu infrastructura critică în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] și autoritățile financiare naționale desemnate în conformitate cu Regulamentul (UE) XXXX/XXXX al Parlamentului European și al Consiliului39 [Regulamentul DORA] din statul membru respectiv, precum și cu autoritățile responsabile cu apărarea cibernetică și cu serviciile de informații cibernetice. |
__________________ |
__________________ |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
39 [a se introduce titlul complet și referința de publicare în JO, atunci când acestea vor fi cunoscute] |
Amendamentul 72
Propunere de directivă
Articolul 12 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Grupul de cooperare își îndeplinește sarcinile pe baza programelor bienale de lucru menționate la alineatul (6). |
2. Grupul de cooperare se întâlnește regulat și își îndeplinește sarcinile pe baza programelor bienale de lucru menționate la alineatul (6). |
Amendamentul 73
Propunere de directivă
Articolul 12 – alineatul 3 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
După caz, grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai părților interesate relevante. |
După caz, grupul de cooperare poate invita să participe la lucrările sale reprezentanți ai organismelor și agențiilor Uniunii, precum și părți interesate relevante. |
Amendamentul 74
Propunere de directivă
Articolul 12 – alineatul 3 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) furnizarea de orientări autorităților competente în legătură cu transpunerea și punerea în aplicare a prezentei directive; |
(a) furnizarea de orientări autorităților competente în legătură cu transpunerea și punerea în aplicare a prezentei directive și promovarea punerii sale în aplicare uniforme în statele membre; |
Amendamentul 75
Propunere de directivă
Articolul 12 – alineatul 4 – litera aa (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(aa) schimbul de informații privind prioritățile politice și principalele provocări în materie de securitate cibernetică și definirea principalelor obiective de securitate cibernetică; |
Amendamentul 76
Propunere de directivă
Articolul 12 – alineatul 4 – litera ab (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ab) analizarea strategiilor naționale ale statelor membre și a nivelului lor de pregătire; |
Amendamentul 77
Propunere de directivă
Articolul 12 – alineatul 4 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) schimbul de opinii și cooperarea cu Comisia cu privire la inițiativele emergente de politică în materie de securitate cibernetică; |
(c) schimbul de opinii și cooperarea cu Comisia cu privire la inițiativele emergente de politică în materie de securitate cibernetică și cu Serviciul European de Acțiune Externă cu privire la aspectele geopolitice ale securității cibernetice în Uniune; |
Amendamentul 78
Propunere de directivă
Articolul 12 – alineatul 4 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) discutarea rapoartelor privind evaluarea inter pares menționate la articolul 16 alineatul (7); |
(f) discutarea rapoartelor privind evaluarea inter pares menționate la articolul 16 alineatul (7), evaluându-i funcționarea și formulând concluzii și recomandări; |
Amendamentul 79
Propunere de directivă
Articolul 12 – alineatul 4 – litera ka (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ka) sprijinirea ENISA în organizarea de sesiuni comune de instruire a autorităților naționale competente la nivelul Uniunii. |
Amendamentul 80
Propunere de directivă
Articolul 12 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. Până la ... 24 de luni de la data intrării în vigoare a prezentei directive și, ulterior, o dată la doi ani, grupul de cooperare stabilește un program de lucru cu privire la acțiunile care urmează să fie întreprinse pentru punerea în aplicare a obiectivelor și a sarcinilor sale. Calendarul primului program adoptat în temeiul prezentei directive este aliniat la calendarul ultimului program adoptat în temeiul Directivei (UE) 2016/1148. |
6. Până la ... 12 luni de la data intrării în vigoare a prezentei directive și, ulterior, o dată la doi ani, grupul de cooperare stabilește un program de lucru cu privire la acțiunile care urmează să fie întreprinse pentru punerea în aplicare a obiectivelor și a sarcinilor sale. Calendarul primului program adoptat în temeiul prezentei directive este aliniat la calendarul ultimului program adoptat în temeiul Directivei (UE) 2016/1148. |
Amendamentul 81
Propunere de directivă
Articolul 12 – alineatul 8 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
8a. Grupul de cooperare publică periodic un raport de sinteză a activităților sale, fără a aduce atingere confidențialității informațiilor schimbate în cursul reuniunilor sale. |
Amendamentul 82
Propunere de directivă
Articolul 13 – alineatul 3 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) schimbul de informații privind capacitățile CSIRT; |
(a) schimbul de informații privind capacitățile CSIRT și nivelul lor de pregătire; |
Amendamentul 83
Propunere de directivă
Articolul 13 – alineatul 3 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) schimbul de informații relevante privind incidentele, incidentele evitate la limită, amenințările cibernetice, riscurile și vulnerabilitățile; |
(b) schimbul de informații relevante privind incidentele, incidentele evitate la limită, amenințările cibernetice, riscurile și vulnerabilitățile și sprijinirea capacităților operaționale ale statelor membre; |
Amendamentul 84
Propunere de directivă
Articolul 13 – alineatul 3 – litera da (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(da) schimbul și discutarea de informații în legătură cu incidentele transfrontaliere; |
Amendamentul 85
Propunere de directivă
Articolul 13 – alineatul 3 – litera g – punctul ia (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ia) schimbul de informații; |
Amendamentul 86
Propunere de directivă
Articolul 13 – alineatul 3 – litera j
|
|
Textul propus de Comisie |
Amendamentul |
(j) la cererea unei anumite echipe CSIRT, analizarea capacităților și a nivelului de pregătire al echipei CSIRT respective; |
(j) analizarea capacităților și a nivelului de pregătire al echipelor CSIRT; |
Amendamentul 87
Propunere de directivă
Articolul 13 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. În scopul revizuirii menționate la articolul 35 și în termen de 24 de luni de la data intrării în vigoare a prezentei directive și, ulterior, la fiecare doi ani, rețeaua CSIRT evaluează progresele înregistrate în ceea ce privește cooperarea operațională și întocmește un raport. Raportul formulează, în special, concluzii cu privire la rezultatele evaluărilor inter pares menționate la articolul 16, efectuate în legătură cu echipele CSIRT naționale, inclusiv concluzii și recomandări, în temeiul articolului respectiv. Raportul se transmite, de asemenea, grupului de cooperare. |
4. În scopul revizuirii menționate la articolul 35 și în termen de 24 de luni de la data intrării în vigoare a prezentei directive și ulterior în fiecare an, rețeaua CSIRT evaluează progresele înregistrate în ceea ce privește cooperarea operațională și întocmește un raport. Raportul formulează, în special, concluzii cu privire la rezultatele evaluărilor inter pares menționate la articolul 16, efectuate în legătură cu echipele CSIRT naționale, inclusiv concluzii și recomandări, în temeiul articolului respectiv. Raportul se transmite, de asemenea, grupului de cooperare. |
Amendamentul 88
Propunere de directivă
Articolul 14 – alineatul 3 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) consolidarea nivelului de pregătire pentru gestionarea incidentelor și a crizelor de mare amploare; |
(a) consolidarea nivelului de pregătire pentru gestionarea incidentelor și a crizelor de mare amploare, inclusiv a amenințărilor cibernetice transfrontaliere; |
Amendamentul 89
Propunere de directivă
Articolul 14 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. UE-CyCLONe prezintă periodic rapoarte grupului de cooperare cu privire la amenințările, incidentele și tendințele cibernetice, concentrându-se în special pe impactul acestora asupra entităților esențiale și importante. |
5. UE-CyCLONe prezintă periodic rapoarte grupului de cooperare cu privire la amenințările, incidentele și tendințele cibernetice, concentrându-se în special pe impactul acestora asupra entităților esențiale și importante și asupra rezilienței lor. |
Amendamentul 90
Propunere de directivă
Articolul 14 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. UE-CyCLONe cooperează cu rețeaua CSIRT pe baza modalităților procedurale convenite. |
6. UE-CyCLONe cooperează strâns cu rețeaua CSIRT pe baza modalităților procedurale convenite. |
Amendamentul 91
Propunere de directivă
Articolul 15 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune. Raportul include, în special, o evaluare a următoarelor elemente: |
1. ENISA elaborează, în cooperare cu Comisia, un raport bienal privind situația în materie de securitate cibernetică în Uniune, pe care îl prezintă Parlamentului European. Raportul include, în special, o evaluare a următoarelor elemente: |
Amendamentul 92
Propunere de directivă
Articolul 15 – alineatul 1 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) dezvoltarea capacităților în materie de securitate cibernetică în întreaga Uniune, |
(a) dezvoltarea capacităților în materie de securitate cibernetică în întreaga Uniune, inclusiv nivelul general de aptitudini și competențe în domeniul securității cibernetice, gradul general de reziliență al pieței interne în fața amenințărilor cibernetice și nivelul de punere în aplicare a directivei în toate statele membre; |
Amendamentul 93
Propunere de directivă
Articolul 15 – alineatul 1 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) un indice de securitate cibernetică care să prevadă o evaluare globală a nivelului de maturitate al capacităților în materie de securitate cibernetică. |
(c) un indice de securitate cibernetică care să prevadă o evaluare globală a nivelului de maturitate al capacităților în materie de securitate cibernetică, inclusiv o evaluare generală a securității cibernetice pentru consumatori; |
Amendamentul 94
Propunere de directivă
Articolul 15 – alineatul 1 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) aspectele geopolitice care au impact direct sau indirect asupra securității cibernetice în Uniune. |
Amendamentul 95
Propunere de directivă
Articolul 16 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. După consultarea grupului de cooperare și a ENISA și în termen de cel mult 18 luni de la intrarea în vigoare a prezentei directive, Comisia stabilește metodologia și conținutul unui sistem de evaluare inter pares pentru evaluarea eficacității politicilor de securitate cibernetică ale statelor membre. Evaluările sunt efectuate de experți tehnici în materie de securitate cibernetică din alte state membre decât cel care face obiectul evaluării și acoperă cel puțin următoarele elemente: |
1. După consultarea grupului de cooperare și a ENISA și în termen de cel mult 12 luni de la intrarea în vigoare a prezentei directive, Comisia stabilește metodologia și conținutul unui sistem de evaluare inter pares pentru evaluarea eficacității politicilor de securitate cibernetică ale statelor membre. Evaluările sunt efectuate de experți tehnici în materie de securitate cibernetică din cel puțin două state membre altele decât cel care face obiectul evaluării și din ENISA, și acoperă cel puțin următoarele elemente: |
Amendamentul 96
Propunere de directivă
Articolul 16 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Metodologia include criterii obiective, nediscriminatorii, echitabile și transparente pe baza cărora statele membre desemnează experți eligibili pentru efectuarea evaluărilor inter pares. ENISA și Comisia desemnează experți care să participe în calitate de observatori la evaluările inter pares. Comisia, sprijinită de ENISA, stabilește, în cadrul metodologiei menționate la alineatul (1), un sistem obiectiv, nediscriminatoriu, echitabil și transparent de selecție și alocare aleatorie a experților pentru fiecare evaluare inter pares. |
2. Metodologia include criterii obiective, nediscriminatorii, neutre din punct de vedere tehnologic, echitabile și transparente pe baza cărora statele membre desemnează experți eligibili pentru efectuarea evaluărilor inter pares. ENISA și Comisia desemnează experți care să participe în calitate de observatori la evaluările inter pares. Comisia, sprijinită de ENISA, stabilește, în cadrul metodologiei menționate la alineatul (1), un sistem obiectiv, nediscriminatoriu, echitabil și transparent de selecție și alocare aleatorie a experților pentru fiecare evaluare inter pares. |
Amendamentul 97
Propunere de directivă
Articolul 18 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru a furniza servicii. Ținând seama de cele mai avansate cunoștințe în domeniu, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. |
1. Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice și organizatorice pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru a furniza servicii. Măsurile respective sunt adecvate și proporționale cu nivelul critic al sectorului sau al tipului de serviciu, precum și cu nivelul de dependență al entității de alte sectoare sau tipuri de servicii, și se adoptă în urma unei evaluări bazate pe riscuri. Ținând seama de cele mai avansate cunoștințe în domeniu, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. În special, sunt luate măsuri pentru prevenirea și reducerea la minimum a impactului incidentelor de securitate asupra beneficiarilor serviciilor lor. |
Amendamentul 98
Propunere de directivă
Articolul 18 – alineatul 2 – litera d
|
|
Textul propus de Comisie |
Amendamentul |
(d) securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate și prestatorii sau furnizorii săi de servicii, cum ar fi furnizorii de servicii de stocare și prelucrare a datelor sau de servicii de securitate gestionate; |
(d) măsuri pentru evaluarea riscurilor pentru securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate și prestatorii sau furnizorii săi de servicii, cum ar fi furnizorii de servicii de stocare și prelucrare a datelor sau de servicii de securitate gestionate; |
Amendamentul 99
Propunere de directivă
Articolul 18 – alineatul 2 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) politici și proceduri (testare și audit) pentru a evalua eficacitatea măsurilor de gestionare a riscurilor în materie de securitate cibernetică; |
(f) politici și proceduri (testare și audit) și exerciții periodice în domeniul securității cibernetice pentru a evalua eficacitatea măsurilor de gestionare a riscurilor în materie de securitate cibernetică; |
Amendamentul 100
Propunere de directivă
Articolul 18 – alineatul 2 – litera g
|
|
Textul propus de Comisie |
Amendamentul |
(g) utilizarea criptografiei și a criptării. |
(g) utilizarea criptografiei, a criptării și, în special, a criptării de la un capăt la altul; |
Amendamentul 101
Propunere de directivă
Articolul 18 – alineatul 2 – litera ga (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ga) politici de asigurare a unei formări și a unei sensibilizări adecvate în domeniul securității cibernetice. |
Amendamentul 102
Propunere de directivă
Articolul 18 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre se asigură că, atunci când au în vedere luarea măsurilor adecvate menționate la alineatul (2) litera (d), entitățile iau în considerare vulnerabilitățile specifice fiecărui prestator și furnizor de servicii, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale prestatorilor și furnizorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare. |
3. Statele membre se asigură că, atunci când au în vedere luarea măsurilor adecvate menționate la alineatul (2) litera (d), entitățile iau în considerare, dacă au acces la informații relevante, vulnerabilitățile specifice fiecărui prestator și furnizor de servicii, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale prestatorilor și furnizorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare. |
Amendamentul 103
Propunere de directivă
Articolul 18 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Comisia poate adopta acte de punere în aplicare pentru a stabili specificațiile tehnice și metodologice ale elementelor menționate la alineatul (2). Atunci când pregătește actele respective, Comisia procedează în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2) și urmează, în cea mai mare măsură posibilă, standardele internaționale și europene, precum și specificațiile tehnice relevante. |
5. Comisia este împuternicită să adopte acte delegate pentru a stabili specificațiile tehnice și metodologice ale elementelor menționate la alineatul (2) și urmează, în cea mai mare măsură posibilă, standardele internaționale și europene, precum și specificațiile tehnice relevante. La elaborarea actelor delegate, Comisia consultă, de asemenea, toate părțile interesate relevante. |
Amendamentul 104
Propunere de directivă
Articolul 18 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 36 în vederea completării elementelor prevăzute la alineatul (2) pentru a ține seama de noi amenințări cibernetice, evoluții tehnologice sau specificități sectoriale. |
6. Comisia, în cooperare cu grupul de cooperare și cu ENISA, furnizează orientări și bune practici cu privire la respectarea de către entități, în mod proporțional, conform cerințelor prevăzute la alineatul (2) și, în special, cerinței de la litera (d) a alineatului respectiv. |
Amendamentul 105
Propunere de directivă
Articolul 19 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Grupul de cooperare, în cooperare cu Comisia și ENISA, poate efectua evaluări coordonate ale riscurilor în materie de securitate ale anumitor lanțuri de aprovizionare ale serviciilor, sistemelor sau produselor TIC critice, ținând seama de factorii de risc de natură tehnică și, după caz, care nu sunt de natură tehnică. |
1. Pentru a crește gradul general de securitate cibernetică, grupul de cooperare, în cooperare cu Comisia și ENISA, poate efectua evaluări coordonate ale riscurilor în materie de securitate ale anumitor lanțuri de aprovizionare ale serviciilor, sistemelor sau produselor TIC critice, ținând seama de factorii de risc de natură tehnică și, după caz, care nu sunt de natură tehnică, cum ar fi riscurile geopolitice. |
Amendamentul 106
Propunere de directivă
Articolul 20 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate, autorităților competente sau CSIRT, în conformitate cu alineatele (3) și (4), orice incident care are un impact semnificativ asupra prestării serviciilor lor. Dacă este cazul, entitățile respective notifică, fără întârzieri nejustificate, destinatarilor serviciilor lor incidentele care ar putea afecta în mod negativ prestarea serviciului respectiv. Statele membre se asigură că entitățile respective raportează, printre altele, orice informație care să le permită autorităților competente sau CSIRT să stabilească dacă incidentul are un impact transfrontalier. |
1. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate, autorităților competente sau CSIRT, în conformitate cu alineatele (3) și (4), orice incident care are un impact semnificativ asupra prestării serviciilor lor sau orice incident evitat la limită. Dacă este cazul, entitățile respective notifică, fără întârzieri nejustificate, destinatarilor serviciilor lor incidentele care ar putea afecta în mod negativ prestarea serviciului respectiv. Statele membre se asigură că entitățile respective raportează, printre altele, orice informație care să le permită autorităților competente sau CSIRT să stabilească dacă incidentul sau incidentul evitat la limită are un impact transfrontalier. |
Amendamentul 107
Propunere de directivă
Articolul 20 – alineatul 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
1a. În scopul simplificării obligațiilor de raportare, statele membre instituie un ghișeu unic pentru toate notificările efectuate în temeiul prezentei directive și, de asemenea, în temeiul altor acte legislative ale Uniunii, cum ar fi Regulamentul (UE) 2016/679 și Directiva 2002/58/CE. |
Amendamentul 108
Propunere de directivă
Articolul 20 – alineatul 1 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
1b. ENISA, în cooperare cu grupul de cooperare, instituie modele comune de notificare prin intermediul unor orientări care să simplifice și să raționalizeze informațiile de raportare solicitate de dreptul Uniunii și să reducă sarcinile de reglementare impuse întreprinderilor. |
Amendamentul 109
Propunere de directivă
Articolul 20 – alineatul 2 – paragraful 1
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că entitățile esențiale și importante notifică, fără întârzieri nejustificate, autorităților competente sau CSIRT orice amenințare cibernetică semnificativă pe care entitățile respective o identifică și care ar fi putut duce la un incident semnificativ. |
eliminat |
Amendamentul 110
Propunere de directivă
Articolul 20 – alineatul 2 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
Dacă este cazul, entitățile respective notifică, fără întârzieri nejustificate, destinatarilor serviciilor lor care ar putea fi afectați de o amenințare cibernetică semnificativă măsurile sau măsurile corective pe care destinatarii respectivi le pot lua ca răspuns la amenințarea respectivă. Dacă este cazul, entitățile le notifică, de asemenea, destinatarilor în cauză amenințarea propriu-zisă. Notificarea nu expune entitatea notificatoare unei răspunderi sporite. |
eliminat |
Amendamentul 111
Propunere de directivă
Articolul 20 – alineatul 3 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) incidentul a provocat sau are potențialul de a provoca perturbări operaționale sau pierderi financiare substanțiale pentru entitatea în cauză; |
(a) incidentul a provocat perturbări operaționale sau pierderi financiare substanțiale pentru entitatea în cauză; |
Amendamentul 112
Propunere de directivă
Articolul 20 – alineatul 3 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) incidentul a afectat sau are potențialul de a afecta alte persoane fizice sau juridice, cauzând pierderi materiale sau morale considerabile. |
(b) incidentul a afectat alte persoane fizice sau juridice, cauzând pierderi materiale sau morale considerabile. |
Amendamentul 113
Propunere de directivă
Articolul 20 – alineatul 3 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
3a. Comisia este împuternicită să adopte acte delegate, în conformitate cu articolul 36, pentru a completa prezenta directivă prin specificarea tipului de informații transmise în temeiul alineatului (1) din prezentul articol și prin specificarea, de asemenea, a cazurilor în care un incident este considerat semnificativ, astfel cum se menționează la alineatul (3) din prezentul articol. |
Amendamentul 114
Propunere de directivă
Articolul 20 – alineatul 4 – litera -a (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(-a) o alertă timpurie în termen de 24 de ore după ce entitatea a luat cunoștință de un incident, fără nicio obligație din partea entității în cauză de a divulga informații suplimentare cu privire la incident; |
Amendamentul 115
Propunere de directivă
Articolul 20 – alineatul 4 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care a luat cunoștință de incident, o notificare inițială care, după caz, indică dacă există suspiciuni că incidentul a fost cauzat de acțiuni ilegale sau răuvoitoare; |
(a) fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore de la data la care a luat cunoștință de incident, o notificare inițială care, după caz, indică dacă există suspiciuni că incidentul a fost cauzat de acțiuni ilegale sau răuvoitoare; |
Amendamentul 116
Propunere de directivă
Articolul 20 – alineatul 4 – litera c – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
(c) un raport final, în termen de cel mult o lună de la prezentarea raportului menționat la litera (a), care să includă cel puțin următoarele elemente: |
(c) un raport cuprinzător, în termen de cel mult trei luni de la prezentarea raportului menționat la litera (a), care să includă cel puțin următoarele elemente: |
Amendamentul 117
Propunere de directivă
Articolul 20 – alineatul 4 – litera c – punctul i
|
|
Textul propus de Comisie |
Amendamentul |
(i) o descriere detaliată a incidentului, a gravității și a impactului acestuia; |
(i) o descriere mai detaliată a incidentului, a gravității și a impactului acestuia; |
Amendamentul 118
Propunere de directivă
Articolul 20 – alineatul 4 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) în cazul unui incident încă în desfășurare la momentul depunerii raportului cuprinzător menționat la litera (c), se prezintă un raport final la o lună după atenuarea incidentului; |
Amendamentul 119
Propunere de directivă
Articolul 20 – alineatul 7
|
|
Textul propus de Comisie |
Amendamentul |
7. În cazul în care sensibilizarea publicului este necesară pentru a preveni un incident sau pentru a face față unui incident în curs sau în cazul în care divulgarea incidentului este în alt mod în interesul public, autoritatea competentă sau CSIRT și, după caz, autoritățile sau echipele CSIRT din alte state membre vizate pot, după consultarea entității în cauză, să informeze publicul cu privire la incident sau să solicite entității să facă acest lucru. |
7. În cazul în care sensibilizarea publicului este necesară pentru a preveni un incident sau pentru a face față unui incident în curs sau în cazul în care divulgarea incidentului este în alt mod în interesul public, autoritatea competentă sau CSIRT și, după caz, autoritățile sau echipele CSIRT din alte state membre vizate, după consultarea entității în cauză, informează publicul cu privire la incident sau solicită entității să facă acest lucru. |
Amendamentul 120
Propunere de directivă
Articolul 20 – alineatul 8
|
|
Textul propus de Comisie |
Amendamentul |
8. La cererea autorității competente sau a echipei CSIRT, punctul unic de contact transmite notificările primite în temeiul alineatelor (1) și (2) punctelor unice de contact din celelalte state membre afectate. |
8. La cererea autorității competente sau a echipei CSIRT, punctul unic de contact transmite notificările primite în temeiul alineatului (1) punctelor unice de contact din celelalte state membre afectate. |
Amendamentul 121
Propunere de directivă
Articolul 20 – alineatul 9
|
|
Textul propus de Comisie |
Amendamentul |
9. Punctul unic de contact transmite lunar ENISA un raport de sinteză care include date anonimizate și agregate privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită notificate în conformitate cu alineatele (1) și (2) și în conformitate cu articolul 27. Pentru a contribui la furnizarea de informații comparabile, ENISA poate emite orientări tehnice cu privire la parametrii informațiilor incluse în raportul de sinteză. |
9. Punctul unic de contact transmite lunar ENISA un raport de sinteză care include date anonimizate și agregate privind incidentele, amenințările cibernetice semnificative și incidentele evitate la limită notificate în conformitate cu alineatul (1) și cu articolul 27. Pentru a contribui la furnizarea de informații comparabile, ENISA poate emite orientări tehnice cu privire la parametrii informațiilor incluse în raportul de sinteză. |
Amendamentul 122
Propunere de directivă
Articolul 20 – alineatul 10
|
|
Textul propus de Comisie |
Amendamentul |
10. Autoritățile competente furnizează autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] informații cu privire la incidentele și amenințările cibernetice notificate în conformitate cu alineatele (1) și (2) de către entitățile esențiale identificate ca fiind entități critice sau entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice]. |
10. Autoritățile competente furnizează autorităților competente desemnate în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice] informații cu privire la incidentele și amenințările cibernetice notificate în conformitate cu alineatul (1) de către entitățile esențiale identificate ca fiind entități critice sau entități echivalente cu entitățile critice, în temeiul Directivei (UE) XXXX/XXXX [Directiva privind reziliența entităților critice]. |
Amendamentul 123
Propunere de directivă
Articolul 20 – alineatul 11
|
|
Textul propus de Comisie |
Amendamentul |
11. Comisia poate adopta acte de punere în aplicare pentru a preciza mai în detaliu tipul de informații, formatul și procedura referitoare la o notificare transmisă în temeiul alineatelor (1) și (2). Comisia poate adopta, de asemenea, acte de punere în aplicare pentru a preciza mai în detaliu cazurile în care un incident este considerat semnificativ, astfel cum se menționează la alineatul (3). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2). |
11. Comisia poate adopta acte de punere în aplicare pentru a preciza mai în detaliu tipul de informații, formatul și procedura referitoare la o notificare transmisă în temeiul alineatului (1). Comisia poate adopta, de asemenea, acte de punere în aplicare pentru a preciza mai în detaliu cazurile în care un incident este considerat semnificativ, astfel cum se menționează la alineatul (3). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2). |
Amendamentul 124
Propunere de directivă
Articolul 21 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru a demonstra conformitatea cu anumite cerințe de la articolul 18, statele membre le pot solicita entităților esențiale și importante să certifice anumite produse TIC, servicii TIC și procese TIC în cadrul sistemelor europene de certificare a securității cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881. Produsele, serviciile și procesele care fac obiectul certificării pot fi elaborate de o entitate esențială sau importantă sau achiziționate de la terți. |
1. Pentru a demonstra conformitatea cu anumite cerințe de la articolul 18 și pentru a crește nivelul de securitate cibernetică, statele membre, după ce au consultat grupul de cooperare și ENISA, încurajează entitățile esențiale și importante să certifice anumite produse TIC, servicii TIC și procese TIC, fie dezvoltate de entitățile esențiale și importante, fie achiziționate de la părți terțe, în cadrul sistemelor europene de certificare a securității cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881 sau în cadrul unor sisteme de certificare similare recunoscute la nivel internațional. Ori de câte ori este posibil, statele membre încurajează utilizarea armonizată a sistemelor de certificare adoptate. |
Amendamentul 125
Propunere de directivă
Articolul 21 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Comisia este împuternicită să adopte acte delegate pentru a preciza ce categorii de entități esențiale au obligația de a obține un certificat și în cadrul căror sisteme europene specifice de certificare a securității cibernetice în temeiul alineatului (1). Actele delegate se adoptă în conformitate cu articolul 36. |
2. Comisia evaluează periodic eficiența și utilizarea sistemelor europene de certificare a securității cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881 și identifică ce categorii de entități esențiale sunt încurajate să obțină un certificat și în cadrul căror sisteme europene specifice de certificare a securității cibernetice în temeiul alineatului (1). |
Amendamentul 126
Propunere de directivă
Articolul 22 – alineatul -1 (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
-1. Comisia, în colaborare cu ENISA, sprijină și promovează elaborarea și punerea în aplicare a standardelor stabilite de organismele de standardizare relevante ale Uniunii și internaționale pentru punerea în aplicare convergentă a articolului 18 alineatele (1) și (2). Comisia sprijină actualizarea standardelor în lumina evoluțiilor tehnologice. |
Amendamentul 127
Propunere de directivă
Articolul 22 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru promovarea punerii în aplicare convergente a articolului 18 alineatele (1) și (2), statele membre, fără a impune sau a crea discriminare în favoarea utilizării unui anumit tip de tehnologie, încurajează utilizarea standardelor și a specificațiilor europene sau a celor acceptate la nivel internațional relevante pentru securitatea rețelelor și a sistemelor informatice. |
1. Pentru promovarea punerii în aplicare convergente a articolului 18 alineatele (1) și (2), statele membre, fără a impune sau a crea discriminare în favoarea utilizării unui anumit tip de tehnologie și în conformitate cu orientările formulate de ENISA și de grupul de cooperare, încurajează utilizarea standardelor și a specificațiilor europene sau a celor acceptate la nivel internațional relevante pentru securitatea rețelelor și a sistemelor informatice. |
Amendamentul 128
Propunere de directivă
Articolul 23 – titlu
|
|
Textul propus de Comisie |
Amendamentul |
Bazele de date cu numele de domenii și datele de înregistrare |
Infrastructura bazelor de date cu numele de domenii și datele de înregistrare |
Amendamentul 129
Propunere de directivă
Articolul 23 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru a contribui la securitatea, stabilitatea și reziliența DNS, statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD colectează și mențin date exacte și complete privind înregistrarea numelor de domenii într-o bază de date dedicată, cu diligența necesară, sub rezerva legislației Uniunii în materie de protecție a datelor î cu caracter personal. |
1. Pentru a contribui la securitatea, stabilitatea și reziliența DNS, statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD colectează, verifică și mențin date exacte și complete privind înregistrarea numelor de domenii necesare furnizării serviciilor lor într-o bază de date dedicată, cu diligența necesară, sub rezerva legislației Uniunii în materie de protecție a datelor î cu caracter personal. |
Amendamentul 130
Propunere de directivă
Articolul 23 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Statele membre se asigură că bazele de date cu datele de înregistrare a numelor de domenii menționate la alineatul (1) conțin informații relevante pentru identificarea și contactarea titularilor numelor de domenii și a punctelor de contact care administrează numele de domenii în cadrul TLD-urilor. |
2. Statele membre se asigură că infrastructura bazelor de date cu datele de înregistrare a numelor de domenii menționate la alineatul (1) conține informații relevante, care includ cel puțin numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon, pentru identificarea și contactarea titularilor numelor de domenii și a punctelor de contact care administrează numele de domenii în cadrul TLD-urilor, inclusiv, cel puțin, numele registranților, adresa lor fizică și de e-mail, precum și numărul lor de telefon. |
Amendamentul 131
Propunere de directivă
Articolul 23 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD dispun de politici și proceduri care să asigure că bazele de date conțin informații exacte și complete. Statele membre se asigură că aceste politici și proceduri sunt puse la dispoziția publicului. |
3. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD dispun de politici și proceduri care să asigure că infrastructura bazelor de date conține informații exacte, verificate și complete, și că datele inexacte sau incomplete sunt corectate sau eliminate fără întârziere de către registrant. Statele membre se asigură că aceste politici și proceduri sunt puse la dispoziția publicului. |
Amendamentul 132
Propunere de directivă
Articolul 23 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD publică, fără întârzieri nejustificate după înregistrarea unui nume de domeniu, date de înregistrare a domeniului care nu sunt date cu caracter personal. |
4. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pun la dispoziția publicului, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore după înregistrarea unui nume de domeniu, toate datele de înregistrare a domeniului ale persoanelor juridice în calitate de registranți. |
Amendamentul 133
Propunere de directivă
Articolul 23 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD oferă acces la datele de înregistrare a numelor de domenii specifice în baza unor cereri legale și justificate în mod corespunzător ale solicitanților de acces legitimi, în conformitate cu legislația Uniunii în materie de protecție a datelor. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD răspund fără întârzieri nejustificate la toate cererile de acces. Statele membre se asigură că politicile și procedurile de divulgare a unor astfel de date sunt puse la dispoziția publicului. |
5. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii pentru TLD sunt obligate să ofere acces la datele de înregistrare a numelor de domenii specifice în baza unor cereri justificate în mod corespunzător ale solicitanților de acces legitimi, în conformitate cu legislația Uniunii în materie de protecție a datelor. Statele membre se asigură că registrele TLD și entitățile care prestează servicii de înregistrare a numelor de domenii răspund fără întârzieri nejustificate și, în orice caz, în 72 de ore la toate cererile de acces legale și justificate în mod corespunzător. Statele membre se asigură că politicile și procedurile de divulgare a unor astfel de date sunt puse la dispoziția publicului. |
Amendamentul 134
Propunere de directivă
Articolul 24 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. În sensul prezentei directive, se consideră că entitățile menționate la alineatul (1) își au sediul principal din Uniune în statul membru în care se iau deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică. În cazul în care astfel de decizii nu se iau în niciun sediu din Uniune, se consideră că sediul principal este în statul membru în care entitățile au sediul cu cel mai mare număr de angajați din Uniune. |
2. În sensul prezentei directive, se consideră că entitățile menționate la alineatul (1) își au sediul principal din Uniune în statul membru în care se iau deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică. În cazul în care astfel de decizii nu se iau în niciun sediu din Uniune, se consideră că sediul principal este în statul membru în care entitățile au sediul cu cel mai mare număr de angajați din Uniune. Acest lucru se va face astfel încât să se asigure că nicio sarcină disproporționată nu revine organismelor de reglementare naționale. |
Amendamentul 135
Propunere de directivă
Articolul 25 – alineatul 1 – partea introductivă
|
|
Textul propus de Comisie |
Amendamentul |
1. ENISA creează și ține un registru al entităților esențiale și importante menționate la articolul 24 alineatul (1). Entitățile transmit ENISA următoarele informații până la [cel târziu 12 luni de la intrarea în vigoare a directivei]: |
1. ENISA creează și ține un registru al entităților esențiale și importante menționate la articolul 24 alineatul (1). În acest scop, entitățile transmit ENISA următoarele informații până la [cel târziu 12 luni de la intrarea în vigoare a directivei]: |
Amendamentul 136
Propunere de directivă
Articolul 26 – alineatul 1 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) sporește nivelul de securitate cibernetică, în special prin sensibilizarea cu privire la amenințările cibernetice, prin limitarea sau împiedicarea răspândirii amenințărilor cibernetice, sprijinirea gamei de capacități defensive, remedierea și divulgarea vulnerabilităților, tehnicile de detectare a amenințărilor, strategiile de atenuare sau etapele proceselor de răspuns și de recuperare. |
(b) sporește nivelul de securitate cibernetică, în special prin sensibilizarea cu privire la amenințările cibernetice, prin limitarea sau împiedicarea răspândirii amenințărilor cibernetice, sprijinirea gamei de capacități defensive, remedierea și divulgarea vulnerabilităților, tehnicile de detectare și prevenire a amenințărilor, strategiile de atenuare sau etapele proceselor de răspuns și de recuperare. |
Amendamentul 137
Propunere de directivă
Articolul 26 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Statele membre stabilesc norme care să specifice procedura, elementele operaționale (inclusiv utilizarea platformelor TIC dedicate), conținutul și condițiile acordurilor privind schimbul de informații menționate la alineatul (2). Aceste norme stabilesc, de asemenea, detaliile implicării autorităților publice în astfel de acorduri, precum și elementele operaționale, inclusiv utilizarea platformelor informatice dedicate. Statele membre oferă sprijin pentru aplicarea unor astfel de acorduri în conformitate cu politicile lor menționate la articolul 5 alineatul (2) litera (g). |
3. Statele membre stabilesc orientări care să specifice procedura, elementele operaționale (inclusiv utilizarea platformelor TIC dedicate), conținutul și condițiile acordurilor privind schimbul de informații menționate la alineatul (2). Aceste orientări includ, de asemenea, detaliile implicării, după caz, a autorităților publice și a experților independenți în astfel de acorduri, precum și elementele operaționale, inclusiv utilizarea platformelor informatice dedicate. Statele membre oferă sprijin pentru aplicarea unor astfel de acorduri în conformitate cu politicile lor menționate la articolul 5 alineatul (2) litera (g). |
Amendamentul 138
Propunere de directivă
Articolul 26 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. În conformitate cu dreptul Uniunii, ENISA sprijină instituirea acordurilor privind schimbul de informații în materie de securitate cibernetică menționate la alineatul (2) oferind bune practici și orientări. |
5. În conformitate cu dreptul Uniunii, ENISA sprijină instituirea acordurilor privind schimbul de informații în materie de securitate cibernetică menționate la alineatul (2) oferind bune practici și orientări, precum și facilitând schimbul de informații la nivelul Uniunii, protejând totodată informațiile sensibile din punct de vedere comercial. La cererea entităților esențiale și importante, grupul de cooperare este invitat să prezinte cele mai bune practici și orientări. |
Amendamentul 139
Propunere de directivă
Articolul 27 – alineatul -1 (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
-1. Statele membre se asigură că entitățile esențiale și importante pot transmite notificări, în mod voluntar, cu privire la amenințările cibernetice pe care le identifică și care ar fi putut cauza un incident semnificativ. Statele membre se asigură că entitățile acționează în conformitate cu procedura prevăzută la articolul 20 atunci când transmit aceste notificări. Notificările voluntare nu conduc la impunerea niciunei obligații suplimentare entității care face raportarea. |
Amendamentul 140
Propunere de directivă
Articolul 27 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
Statele membre se asigură că, fără a aduce atingere articolului 3, entitățile care nu intră în domeniul de aplicare al prezentei directive pot transmite notificări, în mod voluntar, cu privire la incidente semnificative, amenințări cibernetice sau incidente evitate la limită. Atunci când tratează notificările, statele membre acționează în conformitate cu procedura prevăzută la articolul 20. Statele membre pot trata notificările obligatorii cu prioritate față de notificările voluntare. Notificarea voluntară nu impune entității raportoare nicio obligație suplimentară care nu i-ar fi revenit dacă nu ar fi transmis notificarea. |
1. Statele membre se asigură că, fără a aduce atingere articolului 3, entitățile care nu intră în domeniul de aplicare al prezentei directive pot transmite notificări, în mod voluntar, cu privire la incidente semnificative, amenințări cibernetice sau incidente evitate la limită. Atunci când tratează notificările, statele membre acționează în conformitate cu procedura prevăzută la articolul 20. Statele membre tratează notificările obligatorii cu prioritate față de notificările voluntare. Notificarea voluntară nu impune entității raportoare nicio obligație suplimentară care nu i-ar fi revenit dacă nu ar fi transmis notificarea, dar statul membru îi poate acorda asistență din partea unităților CSIRT. |
Amendamentul 141
Propunere de directivă
Articolul 28 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Statele membre se asigură că autoritățile competente monitorizează în mod eficace și iau măsurile necesare pentru a asigura respectarea prezentei directive, în special a obligațiilor prevăzute la articolele 18 și 20. |
1. Statele membre se asigură că autoritățile competente monitorizează în mod eficace și iau măsurile necesare pentru a asigura respectarea prezentei directive, în special a obligațiilor prevăzute la articolele 18 și 20, și sunt dotate cu mijloacele adecvate pentru a-și îndeplini rolurile. |
Amendamentul 142
Propunere de directivă
Articolul 28 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Autoritățile competente lucrează în strânsă cooperare cu autoritățile de protecție a datelor în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal. |
2. Autoritățile competente lucrează în strânsă cooperare cu autoritățile de protecție a datelor în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal, inclusiv cu autoritățile de protecție a datelor din alte state membre, atunci când este cazul. |
Amendamentul 143
Propunere de directivă
Articolul 29 – alineatul 2 – litera c
|
|
Textul propus de Comisie |
Amendamentul |
(c) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri; |
(c) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri, efectuate de un organism independent calificat sau de o autoritate competentă; |
Amendamentul 144
Propunere de directivă
Articolul 29 – alineatul 2 – litera f
|
|
Textul propus de Comisie |
Amendamentul |
(f) unor cereri de acces la date, la documente sau la toate informațiile necesare pentru îndeplinirea sarcinilor lor de supraveghere; |
(f) unor cereri de acces la date relevante, la documente sau la toate informațiile necesare pentru îndeplinirea sarcinilor lor de supraveghere; |
Amendamentul 145
Propunere de directivă
Articolul 29 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Atunci când își exercită competențele în temeiul alineatului (2) literele (e) - (g), autoritățile competente precizează scopul solicitării și informațiile solicitate. |
3. Atunci când își exercită competențele în temeiul alineatului (2) literele (e) - (g), autoritățile competente precizează scopul solicitării și informațiile solicitate și își limitează cererile la amploarea incidentului sau la motivul de îngrijorare în cauză. |
Amendamentul 146
Propunere de directivă
Articolul 29 – alineatul 5 – paragraful 1 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) să suspende sau să solicite unui organism de certificare sau de autorizare suspendarea unei certificări sau a unei autorizații privind o parte sau toate serviciile sau activitățile furnizate de o entitate esențială; |
(a) să suspende sau să solicite unui organism de certificare sau de autorizare suspendarea unei certificări sau a unei autorizații privind serviciile sau activitățile relevante furnizate de o entitate esențială; |
Amendamentul 147
Propunere de directivă
Articolul 29 – alineatul 5 – paragraful 1 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) să impună sau să solicite impunerea de către organismele sau instanțele relevante, în conformitate cu legislația națională, a unei interdicții temporare de a exercita funcții de conducere în cadrul entității respective împotriva oricărei persoane care exercită responsabilități de conducere la nivel de director executiv sau de reprezentant legal în entitatea esențială respectivă, precum și împotriva oricărei alte persoane fizice declarate responsabilă de încălcare. |
eliminat |
Amendamentul 148
Propunere de directivă
Articolul 30 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Atunci când li se furnizează dovezi sau indicii că o entitate importantă nu respectă obligațiile prevăzute în prezenta directivă, în special la articolele 18 și 20, statele membre se asigură că autoritățile competente iau măsuri, dacă este necesar, prin intermediul unor măsuri de supraveghere ex post. |
1. Atunci când li se furnizează dovezi sau indicii că o entitate importantă nu respectă obligațiile prevăzute în prezenta directivă, în special la articolele 18 și 20, statele membre se asigură că autoritățile competente iau măsuri, dacă este necesar și ținând cont de o abordare bazată pe riscuri, prin intermediul unor măsuri de supraveghere ex post. |
Amendamentul 149
Propunere de directivă
Articolul 30 – alineatul 2 – litera b
|
|
Textul propus de Comisie |
Amendamentul |
(b) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri; |
(b) unor audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri, efectuate de un organism independent calificat sau de o autoritate competentă; |
Amendamentul 150
Propunere de directivă
Articolul 30 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Atunci când își exercită competențele în temeiul alineatului (2) literele (d) sau (e), autoritățile competente precizează scopul solicitării și informațiile solicitate. |
3. Atunci când își exercită competențele în temeiul alineatului (2) literele (d) sau (e), autoritățile competente precizează scopul solicitării și informațiile solicitate și își limitează cererile la amploarea incidentului sau la motivul de îngrijorare în cauză. |
Amendamentul 151
Propunere de directivă
Articolul 31 – alineatul 4
|
|
Textul propus de Comisie |
Amendamentul |
4. Statele membre se asigură că încălcările obligațiilor prevăzute la articolul 18 sau la articolul 20 fac obiectul, în conformitate cu alineatele (2) și (3) din prezentul articol, unor amenzi administrative maxime de cel puțin 10 000 000 EUR sau de 2 % din cifra de afaceri mondială totală anuală a întreprinderii căreia îi aparține entitatea esențială sau importantă în exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare. |
4. Statele membre se asigură că încălcările obligațiilor prevăzute la articolul 18 sau la articolul 20 fac obiectul, în conformitate cu alineatele (2) și (3) din prezentul articol, unor amenzi administrative maxime de 10 000 000 EUR sau de 2 % din cifra de afaceri mondială totală anuală a întreprinderii căreia îi aparține entitatea esențială sau importantă în exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare. |
Amendamentul 152
Propunere de directivă
Articolul 32 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. În cazul în care autoritățile competente au indicii că încălcarea de către o entitate esențială sau importantă a obligațiilor prevăzute la articolele 18 și 20 atrage după sine o încălcare a securității datelor cu caracter personal, astfel cum este definită la articolul 4 alineatul (12) din Regulamentul (UE) nr. 2016/679, care este notificată în temeiul articolului 33 din regulamentul respectiv, acestea informează într-un termen rezonabil autoritățile de supraveghere competente în temeiul articolelor 55 și 56 din regulamentul respectiv. |
1. În cazul în care autoritățile competente au indicii că încălcarea de către o entitate esențială sau importantă a obligațiilor prevăzute la articolele 18 și 20 atrage după sine o încălcare a securității datelor cu caracter personal, astfel cum este definită la articolul 4 alineatul (12) din Regulamentul (UE) nr. 2016/679, care este notificată în temeiul articolului 33 din regulamentul respectiv, acestea informează fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore autoritățile de supraveghere competente în temeiul articolelor 55 și 56 din regulamentul respectiv. |
Amendamentul 153
Propunere de directivă
Articolul 31 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. În cazul în care autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 este stabilită într-un alt stat membru decât autoritatea competentă, aceasta din urmă poate informa autoritatea de supraveghere stabilită în același stat membru. |
3. În cazul în care autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 este stabilită într-un alt stat membru decât autoritatea competentă, aceasta din urmă informează, de asemenea, autoritatea de supraveghere stabilită în același stat membru. |
Amendamentul 154
Propunere de directivă
Articolul 36 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Competența de a adopta acte delegate menționată la articolul 18 alineatul (6) și la articolul 21 alineatul (2) se conferă Comisiei pentru o perioadă de cinci ani de la […] |
2. Competența de a adopta acte delegate menționată la articolul 18 alineatul (5) și la articolul 20 alineatul (3) se conferă Comisiei pentru o perioadă de cinci ani de la […] |
Amendamentul 155
Propunere de directivă
Articolul 36 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Delegarea de competențe menționată la articolul 18 alineatul (6) și la articolul 21 alineatul (2) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. Decizia de revocare pune capăt delegării competenței menționate în decizia respectivă. Aceasta produce efecte începând cu ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară specificată în decizie. Aceasta nu aduce atingere valabilității actelor delegate aflate deja în vigoare. |
3. Un act delegat adoptat în temeiul articolului 18 alineatul (5) și al articolului 20 alineatul (3) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de trei luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu trei luni la inițiativa Parlamentului European sau a Consiliului. |
Amendamentul 156
Propunere de directivă
Articolul 36 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. Un act delegat adoptat în temeiul articolului 18 alineatul (6) și al articolului 21 alineatul (2) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului. |
6. Un act delegat adoptat în temeiul articolului 18 alineatul (5) și al articolului 20 alineatul (3) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului. |
ANEXĂ: LISTA ENTITĂȚILOR SAU PERSOANELOR DE LA CARE RAPORTORUL A PRIMIT CONTRIBUȚII
Următoarea listă este întocmită în mod absolut voluntar, exclusiv pe răspunderea raportorului. Raportorul a primit contribuții de la următoarele entități sau persoane în pregătirea avizului, până la adoptarea acestuia în comisie:
Persoană |
Entitate |
|
BSA (The Software Alliance) |
|
BusinessEurope |
|
Confederația industriei daneze |
|
Reprezentanța Permanentă a Danemarcei |
|
Deutsche Telekom |
|
Europa digitală |
|
DOT Europe |
|
ETNO (Asociația Europeană a Operatorilor de Rețele de Telecomunicații) |
|
Reprezentanța Permanentă a Franței |
|
Reprezentanța Permanentă a Germaniei |
|
HUAWEI |
|
IFPI |
|
INTEL |
|
ITI (Consiliul Industriei Tehnologiei Informației) |
|
Kaspersky |
|
MÆRSK |
|
Microsoft |
|
ICANN |
|
MOTION PICTURE ASSOCIATION |
|
Orgalim |
|
Palo Alto Networks |
|
Rettighedsalliancen |
PROCEDURA COMISIEI SESIZATE PENTRU AVIZ
Titlu |
Măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, abrogarea Directivei (UE) 2016/1148 |
|||
Referințe |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Comisie competentă Data anunțului în plen |
ITRE 21.1.2021 |
|
|
|
Aviz emis de către Data anunțului în plen |
IMCO 21.1.2021 |
|||
Raportor/Raportoare pentru aviz Data numirii |
Morten Løkkegaard 9.2.2021 |
|||
Examinare în comisie |
26.5.2021 |
21.6.2021 |
|
|
Data adoptării |
12.7.2021 |
|
|
|
Rezultatul votului final |
+: –: 0: |
42 1 2 |
||
Membri titulari prezenți la votul final |
Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Brando Benifei, Adam Bielan, Hynek Blaško, Biljana Borzan, Vlad-Marius Botoș, Markus Buchheit, Andrea Caroppo, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Carlo Fidanza, Evelyne Gebhardt, Alexandra Geese, Sandro Gozi, Maria Grapini, Svenja Hahn, Virginie Joron, Eugen Jurzyca, Marcel Kolaja, Kateřina Konečná, Andrey Kovatchev, Jean-Lin Lacapelle, Maria-Manuel Leitão-Marques, Morten Løkkegaard, Antonius Manders, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein, Marco Zullo |
|||
Membri supleanți prezenți la votul final |
Clara Aguilera, Maria da Graça Carvalho, Christian Doleschal, Claude Gruffat, Jiří Pospíšil, Kosma Złotowski |
|||
VOT FINAL PRIN APEL NOMINAL ÎN COMISIA SESIZATĂ PENTRU AVIZ
42 |
+ |
ECR |
Adam Bielan, Carlo Fidanza, Kosma Złotowski |
ID |
Alessandra Basso, Hynek Blaško, Markus Buchheit, Virginie Joron, Jean-Lin Lacapelle |
PPE |
Pablo Arias Echeverría, Andrea Caroppo, Maria da Graça Carvalho, Deirdre Clune, Christian Doleschal, Andrey Kovatchev, Antonius Manders, Jiří Pospíšil, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein |
Renew |
Andrus Ansip, Vlad-Marius Botoș, Dita Charanzová, Sandro Gozi, Morten Løkkegaard, Marco Zullo |
S&D |
Alex Agius Saliba, Clara Aguilera, Brando Benifei, Biljana Borzan, Evelyne Gebhardt, Maria Grapini, Maria-Manuel Leitão-Marques, Leszek Miller, Christel Schaldemose |
The Left |
Kateřina Konečná, Anne-Sophie Pelletier |
Verts/ALE |
Anna Cavazzini, David Cormand, Alexandra Geese, Claude Gruffat, Marcel Kolaja |
1 |
- |
NI |
Miroslav Radačovský |
2 |
0 |
ECR |
Eugen Jurzyca |
Renew |
Svenja Hahn |
Legenda simbolurilor utilizate:
+ : pentru
- : împotrivă
0 : abțineri
AVIZ AL COMISIEI PENTRU TRANSPORT ȘI TURISM (14.7.2021)
destinat Comisiei pentru industrie, cercetare și energie
referitor la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148
(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))
Raportor pentru aviz: Jakop G. Dalunde
JUSTIFICARE SUCCINTĂ
Sectorul transporturilor este din ce în ce mai vulnerabil și mai afectat de amenințările la adresa securității cibernetice. Din cauza caracteristicilor sale specifice, sectorul este expus, de asemenea, mai multor vulnerabilități distincte. Amendamentele din acest proiect de aviz, deși au un caracter general, sunt, prin urmare, propuse ținând seama de aceste particularități. Propunerile mele sunt pertinente pentru transport din următoarele motive:
Transportul este adesea o activitate internațională în care multe entități intră sub jurisdicția mai multor state membre. Prin urmare, sectorul este puternic afectat de disparitățile excesive dintre statele membre în ceea ce privește gestionarea riscurilor în materie de securitate cibernetică și obligațiile de raportare;
Sectorul transporturilor se bazează pe schimbul securizat de date între diferiți actori. Având în vedere caracterul interconectat al logisticii, securitatea cibernetică insuficientă dintr-o entitate ar putea pune în pericol întregul sistem și ar putea duce la consecințe grave pentru activitățile altor entități;
Transportul este un sector cu utilizare intensivă a forței de muncă și, prin urmare, deosebit de sensibil la amenințările la adresa securității cibernetice care vizează angajații;
Din aceste motive, amendamentele se concentrează pe următoarele subiecte: evaluarea gradului de divergență dintre statele membre în ce privește obligațiile în materie de securitate cibernetică, încurajarea alinierii acestor obligații prin mijloace fără caracter legislativ, promovarea instruirii personalului și a cunoștințelor cu privire la riscurile în materie de securitate cibernetică.
Pe lângă aceste aspecte generale, trebuie remarcat faptul că sectorul transporturilor utilizează din ce în ce mai mult senzori de la distanță capabili să se conecteze la internet în furnizarea de servicii și că vehiculele însele sunt din ce în ce mai digitalizate. Deși nu fac parte în mod necesar din sistemele de informații mai ample, aceste dispozitive pot necesita evaluări specifice ale securității.
AMENDAMENTE
Comisia pentru transport și turism recomandă Comisiei pentru industrie, cercetare și energie, care este comisie competentă, să ia în considerare următoarele amendamente:
Amendamentul 1
Propunere de directivă
Considerentul 3
|
|
Textul propus de Comisie |
Amendamentul |
(3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, inclusiv în cadrul schimburilor transfrontaliere. Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să împiedice desfășurarea activităților economice pe piața internă, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei și societății Uniunii. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru buna funcționare a pieței interne. |
(3) Rețelele și sistemele informatice reprezintă acum o componentă centrală a vieții de zi cu zi, odată cu transformarea digitală rapidă și interconectarea societății, contribuind la creșterea unor noi modele și servicii de afaceri, cum ar fi cele legate de economia activităților mărunte, economia la cerere și economia platformelor, inclusiv în cadrul schimburilor transfrontaliere și abordarea „mobilitatea ca serviciu” (MaaS). Această transformare a condus la o extindere a situației amenințărilor la adresa securității cibernetice, generând noi provocări, care necesită răspunsuri adaptate, coordonate și inovatoare în toate statele membre. Incidentele de securitate sunt tot mai numeroase, mai ample, mai sofisticate și cu un impact tot mai mare, acestea reprezentând o amenințare gravă la adresa funcționării rețelelor și a sistemelor informatice. Prin urmare, incidentele cibernetice pot să dăuneze bunăstării societății, să împiedice desfășurarea activităților economice pe piața internă, precum și a activităților sociale, să genereze pierderi financiare, să submineze încrederea utilizatorilor și a lucrătorilor, provocând pagube majore economiei și societății Uniunii, sau chiar să constituie o amenințare teroristă. Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai importante ca niciodată pentru protejarea drepturilor și libertăților fundamentale ale Uniunii și pentru buna funcționare a pieței interne. În plus, securitatea cibernetică este un factor-cheie pentru ca multe sectoare critice, cum ar fi transporturile, să adopte cu succes transformarea digitală și să profite pe deplin de beneficiile economice, sociale și sustenabile ale digitalizării. |
Amendamentul 2
Propunere de directivă
Considerentul 9
|
|
Textul propus de Comisie |
Amendamentul |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei. |
(9) Cu toate acestea, entitățile mici sau microentitățile care îndeplinesc anumite criterii ce indică un rol-cheie pentru economiile sau societățile statelor membre sau pentru anumite sectoare sau tipuri de servicii ar trebui să intre, de asemenea, sub incidența prezentei directive. Statele membre ar trebui să fie responsabile de stabilirea unei liste a acestor entități și să o transmită Comisiei. Acest exercițiu ar trebui să se desfășoare cu înțelegerea deplină a specificității întreprinderilor mici și mijlocii (IMM-uri) și nu ar trebui să le impună o sarcină administrativă excesivă. |
Amendamentul 3
Propunere de directivă
Considerentul 10
|
|
Textul propus de Comisie |
Amendamentul |
(10) Comisia, în cooperare cu Grupul de cooperare, poate emite orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. |
(10) Comisia, în cooperare cu Grupul de cooperare și cu părțile interesate relevante, poate emite orientări privind punerea în aplicare a criteriilor aplicabile microîntreprinderilor și întreprinderilor mici. Comisia ar trebui, de asemenea, să asigure că se oferă orientări adecvate tuturor microîntreprinderilor și întreprinderilor mici care intră în domeniul de aplicare al prezentei directive. Comisia ar trebui să le ofere microîntreprinderilor și întreprinderilor mici informații în acest sens, cu sprijinul statelor membre. |
Amendamentul 4
Propunere de directivă
Considerentul 12
|
|
Textul propus de Comisie |
Amendamentul |
(12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente ori amenințări cibernetice semnificative cu un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Comisia poate emite orientări cu privire la punerea în aplicare a lex specialis. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei. |
(12) Legislația și instrumentele sectoriale pot contribui la asigurarea unor niveluri ridicate de securitate cibernetică, ținând seama pe deplin de particularitățile și de complexitatea acestor sectoare. În cazul în care un act juridic sectorial al Uniunii impune entităților esențiale sau importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să notifice incidente ori amenințări cibernetice semnificative cu un efect cel puțin echivalent cu obligațiile prevăzute în prezenta directivă, ar trebui să se aplice dispozițiile sectoriale respective, inclusiv cele privind supravegherea și asigurarea respectării normelor. Pentru a evita incertitudinea juridică în interpretarea și aplicarea prezentei directive, Comisia ar trebui să asigure coerența dintre prezenta directivă și legislația sectorială aplicabilă. În acest scop, Comisia ar trebui să identifice duplicările și redundanțele în legislația, cerințele sau procedurile de reglementare relevante, în vederea eliminării acestora. Comisia poate emite orientări cu privire la punerea în aplicare a lex specialis. Prezenta directivă nu împiedică adoptarea unor acte sectoriale suplimentare ale Uniunii care să abordeze măsurile de gestionare a riscurilor în materie de securitate cibernetică și notificările incidentelor. Aceasta nu aduce atingere competențelor de executare existente care i-au fost conferite Comisiei într-o serie de sectoare, inclusiv în domeniul transporturilor și în cel al energiei. |
Amendamentul 5
Propunere de directivă
Considerentul 15 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(15a) Digitalizarea crescândă a sectoarelor economice esențiale, cum ar fi transporturile, ar trebui să se realizeze în condiții de siguranță, cu o reziliență integrată, pentru a se asigura că întregul lanț de aprovizionare reacționează în mod adecvat la riscuri și amenințări. Prin urmare, este nevoie de o abordare coordonată care să asigure un nivel minim de securitate pentru dispozitivele conectate, îndeosebi în sectoare precum transporturile și atunci când este inclusă în vehicule și folosește implicit criptarea de la un capăt la altul. |
Amendamentul 6
Propunere de directivă
Considerentul 17
|
|
Textul propus de Comisie |
Amendamentul |
(17) Având în vedere apariția unor tehnologii inovatoare și a unor noi modele de afaceri, se preconizează că pe piață vor apărea noi modele de implementare și de servicii de cloud computing ca răspuns la evoluția nevoilor clienților. În acest context, serviciile de cloud computing pot fi furnizate într-o formă foarte distribuită, chiar mai aproape de locul în care datele sunt generate sau colectate, trecând astfel de la modelul tradițional la unul foarte distribuit („tehnica de calcul la margine”). |
(17) Având în vedere apariția unor tehnologii inovatoare, cum ar fi inteligența artificială, a unor noi modele de afaceri și a unor noi modele de muncă flexibilă și de la distanță, se preconizează că pe piață vor apărea noi modele de implementare și de servicii de cloud computing ca răspuns la evoluția nevoilor clienților și ale firmelor. În acest context, serviciile de cloud computing pot fi furnizate într-o formă foarte distribuită, chiar mai aproape de locul în care datele sunt generate sau colectate, trecând astfel de la modelul tradițional la unul foarte distribuit („tehnica de calcul la margine”). |
Amendamentul 7
Propunere de directivă
Considerentul 18 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(18a) Având în vedere că introducerea mobilității autonome va aduce beneficii considerabile, dar va implica și o varietate de noi riscuri, și anume în ceea ce privește siguranța traficului rutier, securitatea cibernetică, drepturile de proprietate intelectuală, aspecte legate de protecția datelor și accesul la date, infrastructura tehnică, standardizarea și ocuparea forței de muncă, este esențial să se garanteze că cadrul juridic al Uniunii răspunde în mod adecvat acestor provocări și gestionează în mod eficace toate riscurile la adresa securității rețelelor și a sistemelor informatice. |
Amendamentul 8
Propunere de directivă
Considerentul 18 b (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(18b) Pandemia cauzată de coronavirus a demonstrat importanța pregătirii Uniunii pentru deceniul digital și necesitatea de a îmbunătăți reziliența cibernetică în permanență. Prin urmare, prezenta directivă urmărește să stabilească norme minime privind funcționarea cadrului de reglementare coordonat pentru a permite transformarea digitală, inovarea în domeniul transportului autonom, al logisticii și al gestionării traficului în toate modurile de transport și pentru a îmbunătăți în rândul utilizatorilor, în special al microîntreprinderilor, al IMM-urilor și al startup-urilor, reziliența împotriva atacurilor cibernetice și capacitatea de abordare a vulnerabilităților. |
Amendamentul 9
Propunere de directivă
Considerentul 19
|
|
Textul propus de Comisie |
Amendamentul |
(19) Furnizorii de servicii poștale în sensul Directivei 97/67/CE a Parlamentului European și a Consiliului18, precum și furnizorii de servicii de curierat și curierat rapid ar trebui să facă obiectul prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special ridicarea, sortarea sau distribuția, inclusiv serviciile de preluare. Serviciile de transport care nu sunt efectuate împreună cu una dintre aceste etape nu ar trebui să intre în domeniul de aplicare al serviciilor poștale. |
(19) Furnizorii de servicii poștale în sensul Directivei 97/67/CE a Parlamentului European și a Consiliului18, precum și furnizorii de servicii de curierat și curierat rapid ar trebui să facă obiectul prezentei directive în cazul în care asigură cel puțin una dintre etapele lanțului de distribuție poștală, în special ridicarea, sortarea sau distribuția, inclusiv serviciile de preluare. Serviciile de transport sau livrare care nu sunt efectuate împreună cu una dintre aceste etape nu ar trebui să intre în domeniul de aplicare al serviciilor poștale. |
__________________ |
__________________ |
18 Directiva 97/67/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind normele comune pentru dezvoltarea pieței interne a serviciilor poștale ale Comunității și îmbunătățirea calității serviciului (JO L 15, 21.1.1998, p. 14). |
18 Directiva 97/67/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind normele comune pentru dezvoltarea pieței interne a serviciilor poștale ale Comunității și îmbunătățirea calității serviciului (JO L 15, 21.1.1998, p. 14). |
Amendamentul 10
Propunere de directivă
Considerentul 27 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(27a) În strategiile lor naționale în materie de securitate cibernetică, statele membre ar trebui să abordeze nevoile specifice în materie de securitate cibernetică ale IMM-urilor, și anume nivelul scăzut de conștientizare în domeniul cibernetic, lipsa securității informatice la distanță, costul ridicat al soluțiilor de securitate cibernetică și un nivel crescut de amenințare. Statele membre ar trebui să aibă un punct de contact în materie de securitate cibernetică prin care IMM-urile să aibă acces la informații, servicii și orientări relevante. |
Amendamentul 11
Propunere de directivă
Considerentul 33
|
|
Textul propus de Comisie |
Amendamentul |
(33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent: să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice care să fie abordate printr-o mai bună punere în aplicare a normelor existente. |
(33) Atunci când elaborează documente de orientare, Grupul de cooperare ar trebui ca, în mod consecvent: să identifice soluțiile și experiențele naționale, să evalueze impactul rezultatelor Grupului de cooperare asupra abordărilor naționale, să discute provocările legate de punerea în aplicare și să formuleze recomandări specifice, în special pentru a facilita alinierea adecvată a transpunerii prezentei directive în rândul statelor membre, care să fie abordate printr-o mai bună punere în aplicare a normelor existente. Grupul de cooperare ar trebui, de asemenea, să inventarieze soluțiile naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din Europa. Acest lucru este deosebit de relevant pentru sectoarele care au un caracter internațional și transfrontalier, cum ar fi transportul. |
Amendamentul 12
Propunere de directivă
Considerentul 34
|
|
Textul propus de Comisie |
Amendamentul |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite să participe la lucrările sale organismele și agențiile Uniunii implicate în politica de securitate cibernetică, cum ar fi Centrul european de combatere a criminalității informatice (EC3), Agenția Uniunii Europene pentru Siguranța Aviației (AESA) și Agenția Uniunii Europene pentru Programul spațial (EUSPA). |
(34) Grupul de cooperare ar trebui să rămână un forum flexibil, care să poată reacționa la prioritățile și provocările noi și în schimbare în materie de politici, ținând seama, în același timp, de disponibilitatea resurselor. Acesta ar trebui să organizeze reuniuni comune periodice cu părțile interesate relevante din sectorul privat din întreaga Uniune pentru a discuta activitățile pe care le desfășoară grupul și pentru a colecta informații cu privire la provocările emergente în materie de politici. Pentru a consolida cooperarea la nivelul Uniunii, grupul ar trebui să invite, după caz, să participe la lucrările sale organismele și agențiile Uniunii implicate în politica de securitate cibernetică, cum ar fi Centrul european de combatere a criminalității informatice (EC3), Centrul european industrial, tehnologic și de cercetare în materie de securitate cibernetică, agențiile Uniunii Europene responsabile pentru siguranța transporturilor - Agenția Uniunii Europene pentru Siguranța Aviației (AESA), Agenția Europeană pentru Siguranță Maritimă (EMSA), Agenția Uniunii Europene pentru Căile Ferate (ERA) -, Agenția Uniunii Europene pentru Programul spațial (EUSPA) și orice alt organism sau agenție cu o expertiză relevantă pentru discuțiile care au loc în cadrul grupului. |
Amendamentul 13
Propunere de directivă
Considerentul 37 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(37a) Disparitățile excesive în ceea ce privește gestionarea riscurilor în materie de securitate cibernetică și obligațiile de raportare în transpunerea prezentei directive de către statele membre ar putea pune în pericol nivelul comun de securitate cibernetică din Uniune. Prin urmare, ENISA ar trebui, în cooperare cu Comisia, să evalueze gradul de divergență între statele membre în ceea ce privește gestionarea riscurilor și obligațiile de raportare în materie de securitate cibernetică în raportul său bienal privind starea securității cibernetice în Uniune. |
Amendamentul 14
Propunere de directivă
Considerentul 46 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(46a) Pentru a menține și proteja lanțurile de aprovizionare critice, accentul ar trebui pus, de asemenea, pe protecția întregului lanț logistic și de transport. Lanțul logistic și de transport este alcătuit dintr-un număr mare de actori și sisteme interconectate, în care mărfurile sunt transportate într-un mod intermodal utilizând transportul aerian, rutier, feroviar, pe căi navigabile interioare și transportul maritim. Acest proces necesită un schimb de date rapid și fiabil între diferitele verigi ale lanțului logistic și de transport prin diferite interfețe. Din cauza caracterului interconectat al diferitelor verigi ale lanțului, securitatea cibernetică insuficientă riscă să pună în pericol funcționarea întregului lanț prin efecte de domino generate de un incident cibernetic în una sau mai multe părți ale lanțului logistic și de transport. |
Amendamentul 15
Propunere de directivă
Considerentul 47
|
|
Textul propus de Comisie |
Amendamentul |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. |
(47) Evaluările riscurilor din cadrul lanțului de aprovizionare, având în vedere caracteristicile sectorului în cauză, ar trebui să țină seama atât de factori tehnici, cât și, după caz, de factori fără caracter tehnic, inclusiv de cei definiți în Recomandarea (UE) 2019/534, în evaluarea coordonată la nivelul UE a riscurilor legate de securitatea rețelelor 5G și în setul de instrumente al UE privind securitatea cibernetică 5G convenit de Grupul de cooperare. Pentru a identifica lanțurile de aprovizionare care ar trebui să facă obiectul unei evaluări coordonate a riscurilor, ar trebui să se țină seama de următoarele criterii: (i) în ce măsură entitățile esențiale și importante utilizează și se bazează pe servicii, sisteme sau produse TIC critice specifice; (ii) relevanța serviciilor, a sistemelor sau a produselor TIC critice specifice pentru îndeplinirea funcțiilor critice sau sensibile, printre care se numără și prelucrarea datelor cu caracter personal; (iii) disponibilitatea unor servicii, sisteme sau produse TIC alternative; (iv) reziliența întregului lanț de aprovizionare cu servicii, sisteme sau produse TIC împotriva evenimentelor perturbatoare; (iva) măsura în care anumite servicii, sisteme sau produse TIC critice utilizate direct de consumatori sunt reziliente și respectă o abordare favorabilă clienților și (v) pentru serviciile, sistemele sau produsele TIC emergente, potențiala lor importanță pentru activitățile pe care le vor desfășura entitățile în viitor. |
Amendamentul 16
Propunere de directivă
Considerentul 55
|
|
Textul propus de Comisie |
Amendamentul |
(55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială în termen de 24 de ore, urmată de un raport final în termen de cel mult o lună de la incidentul respectiv. Notificarea inițială ar trebui să includă numai informațiile strict necesare pentru a informa autoritățile competente cu privire la incident și pentru a putea solicita asistență, dacă este necesar. O astfel de notificare, după caz, ar trebui să indice dacă incidentul pare să fie cauzat de acțiuni ilegale sau răuvoitoare. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul autorităților competente sau al CSIRT, entitatea în cauză se poate abate de la termenul de 24 de ore pentru notificarea inițială și de o lună pentru raportul final. |
(55) Prezenta directivă stabilește o abordare în două etape a raportării incidentelor pentru a se ajunge la un echilibru adecvat între, pe de o parte, raportarea rapidă care contribuie la atenuarea unei eventuale răspândiri a incidentelor și le permite entităților să solicite sprijin și, pe de altă parte, raportarea aprofundată, care permite extragerea unor învățăminte valoroase din incidentele individuale și îmbunătățește în timp reziliența întreprinderilor individuale și a unor sectoare întregi la amenințările cibernetice. Atunci când entitățile descoperă că a aut loc un incident, acestea ar trebui să aibă obligația de a transmite o notificare inițială în termen de 36 de ore, urmată de un raport final în termen de cel mult o lună de la incidentul respectiv. Notificarea inițială ar trebui să includă numai informațiile strict necesare pentru a informa autoritățile competente cu privire la incident și pentru a putea solicita asistență, dacă este necesar. O astfel de notificare, după caz, ar trebui să indice dacă incidentul pare să fie cauzat de acțiuni ilegale sau răuvoitoare. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității raportoare de la activitățile legate de administrarea incidentelor care ar trebui să aibă prioritate. Pentru a preveni și mai mult situațiile în care obligațiile de raportare a incidentelor fie deviază resursele de la gestionarea răspunsului la incidente, fie compromit eforturile depuse de entități în acest sens, statele membre ar trebui să prevadă, de asemenea, că, în cazuri justificate în mod corespunzător și cu acordul autorităților competente sau al CSIRT, entitatea în cauză se poate abate de la termenul de 36 de ore pentru notificarea inițială și de o lună pentru raportul final. |
Amendamentul 17
Propunere de directivă
Articolul 2 – alineatul 2 – paragraful 2
|
|
Textul propus de Comisie |
Amendamentul |
Statele membre întocmesc o listă a entităților identificate în temeiul literelor (b) - (f) și o transmit Comisiei până la [6 luni de la termenul de transpunere]. Statele membre revizuiesc lista în mod regulat și, ulterior, cel puțin o dată la doi ani și, dacă este cazul, o actualizează. |
Statele membre, în strânsă cooperare cu actorii relevanți din industrie, întocmesc o listă a entităților identificate în temeiul literelor (b) - (f) și o transmit Comisiei până la [6 luni de la termenul de transpunere]. Statele membre revizuiesc lista în mod regulat și, ulterior, cel puțin o dată la doi ani și, dacă este cazul, o actualizează. |
Amendamentul 18
Propunere de directivă
Articolul 2 – alineatul 6
|
|
Textul propus de Comisie |
Amendamentul |
6. În cazul în care dispozițiile actelor specifice fiecărui sector din dreptul Uniunii impun entităților esențiale sau importante fie să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, fie să notifice incidentele sau amenințările cibernetice semnificative, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, nu se aplică dispozițiile relevante ale prezentei directive, așadar nici dispozițiile privind supravegherea și asigurarea respectării legislației, prevăzute în capitolul VI. |
6. În cazul în care dispozițiile actelor specifice fiecărui sector din dreptul Uniunii impun entităților esențiale sau importante fie să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică, fie să notifice incidentele sau amenințările cibernetice semnificative, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta directivă, inclusiv în ceea ce privește competențele, mandatul și funcțiile respectivelor autorități de supraveghere, nu se aplică dispozițiile relevante ale prezentei directive, așadar nici dispozițiile privind supravegherea și asigurarea respectării legislației, prevăzute în capitolul VI. |
Amendamentul 19
Propunere de directivă
Articolul 5 – alineatul 2 – litera h
|
|
Textul propus de Comisie |
Amendamentul |
(h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice. |
(h) o politică care răspunde nevoilor specifice ale IMM-urilor, în special ale celor excluse din domeniul de aplicare al prezentei directive, în ceea ce privește orientările, furnizarea de informații necesare și cuprinzătoare și sprijinul pentru îmbunătățirea rezilienței acestora la amenințările la adresa securității cibernetice. |
Amendamentul 20
Propunere de directivă
Articolul 12 – alineatul 4 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) furnizarea de orientări autorităților competente în legătură cu transpunerea și punerea în aplicare a prezentei directive; |
(a) furnizarea de orientări autorităților competente în legătură cu transpunerea și punerea în aplicare a prezentei directive, astfel încât să se reducă la minimum disparitățile între standardele de gestionare a riscurilor în materie de securitate cibernetică și obligațiile de raportare dintre statele membre; |
Amendamentul 21
Propunere de directivă
Articolul 12 – alineatul 4 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) inventarierea soluțiilor naționale pentru a promova compatibilitatea soluțiilor de securitate cibernetică aplicate în fiecare sector specific din Uniune; |
Amendamentul 22
Propunere de directivă
Articolul 15 – alineatul 1 – litera ca (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ca) gradul de disparitate dintre statele membre în ceea ce privește gestionarea riscurilor în materie de securitate cibernetică și obligațiile de raportare și măsura în care această disparitate afectează nivelul comun de securitate cibernetică în Uniune. |
Amendamentul 23
Propunere de directivă
Articolul 16 – alineatul 1 – punctul iiia (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
(iiia) recomandări privind modalitățile de îmbunătățire a coerenței și a securității juridice în interpretarea și aplicarea prezentei directive și a legislației sectoriale aplicabile, cu accent pe identificarea și eliminarea duplicărilor și redundanțelor din legislația, cerințele sau procedurile de reglementare relevante; |
Amendamentul 24
Propunere de directivă
Articolul 18 – alineatul 2 – litera ba (nouă)
|
|
Textul propus de Comisie |
Amendamentul |
|
(ba) politici, programe și proceduri menite să asigure faptul că angajații au cunoștințe rezonabile pentru a înțelege riscurile în materie de securitate cibernetică și experiență practică în a se conforma unor standarde ridicate de securitate cibernetică. |
Amendamentul 25
Propunere de directivă
Articolul 18 – alineatul 2 – litera e
|
|
Textul propus de Comisie |
Amendamentul |
(e) securitatea în achiziționarea, dezvoltarea și întreținerea rețelelor și a sistemelor informatice, inclusiv gestionarea vulnerabilităților și divulgarea acestora; |
(e) securitatea rețelelor și a sistemelor informatice, inclusiv a elementelor mobile, cum ar fi vehiculele și senzorii de la distanță, achiziționarea, dezvoltarea și întreținerea acestora, inclusiv gestionarea și divulgarea vulnerabilităților; |
Amendamentul 26
Propunere de directivă
Articolul 18 – alineatul 5
|
|
Textul propus de Comisie |
Amendamentul |
5. Comisia poate adopta acte de punere în aplicare pentru a stabili specificațiile tehnice și metodologice ale elementelor menționate la alineatul (2). Atunci când pregătește actele respective, Comisia procedează în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2) și urmează, în cea mai mare măsură posibilă, standardele internaționale și europene, precum și specificațiile tehnice relevante. |
5. Comisia poate adopta acte delegate pentru a stabili specificațiile tehnice și metodologice ale elementelor menționate la alineatul (2). Actele delegate se adoptă în conformitate cu articolul 36 și urmează, în cea mai mare măsură posibilă, standardele internaționale și europene, precum și specificațiile tehnice relevante. |
Amendamentul 27
Propunere de directivă
Articolul 18 – alineatul 6 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
6a. Pentru a asigura o politică eficientă și a facilita punerea în aplicare a acesteia, Comisia se consultă cu entitățile esențiale și importante, în special înainte de a adopta actele delegate menționate la alineatele (5) și (6). |
Amendamentul 28
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – litera a
|
|
Textul propus de Comisie |
Amendamentul |
(a) fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care a luat cunoștință de incident, o notificare inițială care, după caz, indică dacă există suspiciuni că incidentul a fost cauzat de acțiuni ilegale sau răuvoitoare; |
(a) fără întârzieri nejustificate și, în orice caz, în termen de 36 de ore de la data la care a luat cunoștință de incident, o notificare inițială care, după caz, indică dacă există suspiciuni că incidentul a fost cauzat de acțiuni ilegale sau răuvoitoare; |
Amendamentul 29
Propunere de directivă
Articolul 20 – alineatul 4 – paragraful 1 – litera c – punctul iii
|
|
Textul propus de Comisie |
Amendamentul |
(iii) măsurile de atenuare aplicate și în curs. |
(iii) măsurile de atenuare aplicate și în curs și rezultatele acestora. |
Amendamentul 30
Propunere de directivă
Articolul 20 – alineatul 11
|
|
Textul propus de Comisie |
Amendamentul |
11. Comisia poate adopta acte de punere în aplicare pentru a preciza mai în detaliu tipul de informații, formatul și procedura referitoare la o notificare transmisă în temeiul alineatelor (1) și (2). Comisia poate adopta, de asemenea, acte de punere în aplicare pentru a preciza mai în detaliu cazurile în care un incident este considerat semnificativ, astfel cum se menționează la alineatul (3). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2). |
11. Comisia poate adopta acte delegate în conformitate cu articolul 36 pentru a preciza mai în detaliu tipul de informații, formatul și procedura referitoare la o notificare transmisă în temeiul alineatelor (1) și (2) de la prezentul articol. Comisia poate adopta, de asemenea, acte de punere în aplicare pentru a preciza mai în detaliu cazurile în care un incident este considerat semnificativ, astfel cum se menționează la alineatul (3). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2). |
Amendamentul 31
Propunere de directivă
Articolul 21 – alineatul 1
|
|
Textul propus de Comisie |
Amendamentul |
1. Pentru a demonstra conformitatea cu anumite cerințe de la articolul 18, statele membre le pot solicita entităților esențiale și importante să certifice anumite produse TIC, servicii TIC și procese TIC în cadrul sistemelor europene de certificare a securității cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881. Produsele, serviciile și procesele care fac obiectul certificării pot fi elaborate de o entitate esențială sau importantă sau achiziționate de la terți. |
1. Pentru a demonstra conformitatea cu anumite cerințe de la articolul 18, statele membre încurajează entitățile esențiale și importante să certifice anumite produse TIC, servicii TIC și procese TIC, fie dezvoltate de entități esențiale sau importante, fie achiziționate de la părți terțe, în cadrul unor sisteme specifice europene de certificare a securității cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881 sau în cadrul unor sisteme de certificare similare recunoscute la nivel internațional. |
Amendamentul 32
Propunere de directivă
Articolul 21 – alineatul 1 a (nou)
|
|
Textul propus de Comisie |
Amendamentul |
|
1a. Cerințele prezentei directive privind certificarea de securitate cibernetică nu aduc atingere articolului 56 alineatele (2) și (3) din Regulamentul (UE) 2019/881. |
Amendamentul 33
Propunere de directivă
Articolul 21 – alineatul 2
|
|
Textul propus de Comisie |
Amendamentul |
2. Comisia este împuternicită să adopte acte delegate pentru a preciza ce categorii de entități esențiale au obligația de a obține un certificat și în cadrul căror sisteme europene specifice de certificare a securității cibernetice în temeiul alineatului (1). Actele delegate se adoptă în conformitate cu articolul 36. |
eliminat |
Amendamentul 34
Propunere de directivă
Articolul 21 – alineatul 3
|
|
Textul propus de Comisie |
Amendamentul |
3. Comisia poate solicita ENISA să pregătească o propunere de sistem în temeiul articolului 48 alineatul (2) din Regulamentul (UE) 2019/881 în cazurile în care nu este disponibil niciun sistem european adecvat de certificare a securității cibernetice în sensul alineatului (2). |
3. Pentru a ridica nivelul general de reziliență în materie de securitate cibernetică, Comisia poate solicita ENISA să pregătească o propunere de sistem în temeiul articolelor 47 și 48 din Regulamentul (UE) 2019/881 în cazurile în care nu este disponibil niciun sistem european adecvat de certificare a securității cibernetice. Aceste propuneri de sisteme respectă cerințele prevăzute la articolul 56 alineatul (2) și la articolul 56 alineatul (3) din Regulamentul (UE) 2019/881. |
PROCEDURA COMISIEI SESIZATE PENTRU AVIZ
Titlu |
Măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, abrogarea Directivei (UE) 2016/1148 |
|||
Referințe |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Comisie competentă Data anunțului în plen |
ITRE 21.1.2021 |
|
|
|
Aviz emis de către Data anunțului în plen |
TRAN 21.1.2021 |
|||
Raportor/Raportoare pentru aviz Data numirii |
Jakop G. Dalunde 3.2.2021 |
|||
Data adoptării |
12.7.2021 |
|
|
|
Rezultatul votului final |
+: –: 0: |
48 0 1 |
||
Membri titulari prezenți la votul final |
Magdalena Adamowicz, Andris Ameriks, Izaskun Bilbao Barandica, Paolo Borchia, Marco Campomenosi, Massimo Casanova, Ciarán Cuffe, Jakop G. Dalunde, Johan Danielsson, Karima Delli, Anna Deparnay-Grunenberg, Gheorghe Falcă, Giuseppe Ferrandino, Mario Furore, Søren Gade, Isabel García Muñoz, Elsi Katainen, Kateřina Konečná, Julie Lechanteux, Peter Lundgren, Benoît Lutgen, Elżbieta Katarzyna Łukacijewska, Marian-Jean Marinescu, Tilly Metz, Cláudia Monteiro de Aguiar, Caroline Nagtegaal, Jan-Christoph Oetjen, Philippe Olivier, João Pimenta Lopes, Rovana Plumb, Dominique Riquet, Dorien Rookmaker, Massimiliano Salini, Sven Schulze, Vera Tax, Barbara Thaler, Henna Virkkunen, Petar Vitanov, Elissavet Vozemberg-Vrionidi, Roberts Zīle, Kosma Złotowski |
|||
Membri supleanți prezenți la votul final |
Clare Daly, Nicola Danti, Angel Dzhambazki, Tomasz Frankowski, Michael Gahler, Maria Grapini, Alessandra Moretti, Marianne Vind |
|||
VOT FINAL PRIN APEL NOMINAL
ÎN COMISIA SESIZATĂ PENTRU AVIZ
48 |
+ |
ECR |
Angel Dzhambazki, Peter Lundgren, Roberts Zīle, Kosma Złotowski |
ID |
Paolo Borchia, Marco Campomenosi, Massimo Casanova, Julie Lechanteux, Philippe Olivier |
NI |
Mario Furore, Dorien Rookmaker |
PPE |
Magdalena Adamowicz, Gheorghe Falcă, Tomasz Frankowski, Michael Gahler, Elżbieta Katarzyna Łukacijewska, Benoît Lutgen, Marian-Jean Marinescu, Cláudia Monteiro de Aguiar, Massimiliano Salini, Sven Schulze, Barbara Thaler, Henna Virkkunen, Elissavet Vozemberg-Vrionidi |
Renew |
Izaskun Bilbao Barandica, Nicola Danti, Søren Gade, Elsi Katainen, Caroline Nagtegaal, Jan-Christoph Oetjen, Dominique Riquet |
S&D |
Andris Ameriks, Johan Danielsson, Giuseppe Ferrandino, Isabel García Muñoz, Maria Grapini, Alessandra Moretti, Rovana Plumb, Vera Tax, Marianne Vind, Petar Vitanov |
The Left |
Clare Daly, Kateřina Konečná |
Verts/ALE |
Ciarán Cuffe, Jakop G. Dalunde, Karima Delli, Anna Deparnay-Grunenberg, Tilly Metz |
0 |
- |
|
|
1 |
0 |
The Left |
João Pimenta Lopes |
Legenda simbolurilor utilizate:
+ : pentru
- : împotrivă
0 : abțineri
PROCEDURA COMISIEI COMPETENTE
Titlu |
Măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, abrogarea Directivei (UE) 2016/1148 |
|||
Referințe |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Data prezentării în PE |
16.12.2020 |
|
|
|
Comisie competentă Data anunțului în plen |
ITRE 21.1.2021 |
|
|
|
Comisii sesizate pentru aviz Data anunțului în plen |
AFET 21.1.2021 |
ECON 21.1.2021 |
IMCO 21.1.2021 |
TRAN 21.1.2021 |
|
CULT 21.1.2021 |
LIBE 21.1.2021 |
|
|
Avize care nu au fost emise Data deciziei |
ECON 26.1.2021 |
CULT 11.1.2021 |
|
|
Comisii asociate Data anunțului în plen |
LIBE 20.5.2021 |
|
|
|
Raportor Data numirii |
Bart Groothuis 14.1.2021 |
|
|
|
Examinare în comisie |
13.4.2021 |
26.5.2021 |
|
|
Data adoptării |
28.10.2021 |
|
|
|
Rezultatul votului final |
+: –: 0: |
70 3 1 |
||
Membri titulari prezenți la votul final |
Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Manuel Bompard, Paolo Borchia, Marc Botenga, Markus Buchheit, Cristian-Silviu Buşoi, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Claudia Gamon, Bart Groothuis, Christophe Grudler, András Gyürk, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Zdzisław Krasnodębski, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Georg Mayer, Joëlle Mélin, Dan Nica, Angelika Niebler, Ville Niinistö, Aldo Patriciello, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spyraki, Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho |
|||
Membri supleanți prezenți la votul final |
Rasmus Andresen, Marek Paweł Balt, Klemen Grošelj, Adam Jarubas, Elena Lizzi, Adriana Maldonado López, Bronis Ropė, Jordi Solé, Nils Torvalds |
|||
Data depunerii |
4.11.2021 |
|||
VOT FINAL PRIN APEL NOMINAL ÎN COMISIA COMPETENTĂ
70 |
+ |
ECR |
Izabela-Helena Kloc, Zdzisław Krasnodębski, Robert Roos, Beata Szydło, Grzegorz Tobiszowski |
ID |
Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Georg Mayer, Joëlle Mélin, Isabella Tovaglieri |
NI |
András Gyürk, Clara Ponsatí Obiols, Viktor Uspaskich |
PPE |
François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Adam Jarubas, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Aldo Patriciello, Markus Pieper, Sara Skyttedal, Maria Spyraki, Riho Terras, Henna Virkkunen, Pernille Weiss |
Renew |
Nicola Beer, Nicola Danti, Valter Flego, Claudia Gamon, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Nils Torvalds |
S&D |
Marek Paweł Balt, Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Adriana Maldonado López, Dan Nica, Tsvetelina Penkova, Carlos Zorrinho |
Verts/ALE |
Rasmus Andresen, Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Manuela Ripa, Bronis Ropė, Jordi Solé |
3 |
- |
The Left |
Manuel Bompard, Marc Botenga, Marisa Matias |
1 |
0 |
ECR |
Jessica Stegrud |
Legenda simbolurilor utilizate:
+ : pentru
- : împotrivă
0 : abțineri
- [1] JO C 286, 16.7.2021, p. 170.
- [2] 2020/0359(COD).
- [3] Avizul nr. 5/2021: https://edps.europa.eu/system/files/2021-03/21-03-11_edps_nis2-opinion_en.pdf.
- [4] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE), JO L 119, 4.5.2016, pp. 1-88.
- [5] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).
- [6] 2020/0365(COD).
- [7] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE), JO L 119, 4.5.2016, pp. 1-88.
- [8] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).