SPRÁVA o návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148
04.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I
Výbor pre priemysel, výskum a energetiku
Spravodajca: Bart Groothuis
Spravodajca výboru požiadaného o stanovisko (*):
Lukas Mandl, Výbor pre občianske slobody, spravodlivosť a vnútorné veci
(*) Postup pridružených výborov – článok 57 rokovacieho poriadku
- NÁVRH LEGISLATÍVNEHO UZNESENIA EURÓPSKEHO PARLAMENTU
- DÔVODOVÁ SPRÁVA
- STANOVISKO VÝBORU PRE OBČIANSKE SLOBODY, SPRAVODLIVOSŤ A VNÚTORNÉ VECI
- STANOVISKO VÝBORU PRE ZAHRANIČNÉ VECI
- STANOVISKO VÝBORU PRE VNÚTORNÝ TRH A OCHRANU SPOTREBITEĽA
- STANOVISKO VÝBORU PRE DOPRAVU A CESTOVNÝ RUCH
- POSTUP – GESTORSKÝ VÝBOR
- ZÁVEREČNÉ HLASOVANIE PODĽA MIEN V GESTORSKOM VÝBORE
NÁVRH LEGISLATÍVNEHO UZNESENIA EURÓPSKEHO PARLAMENTU
o návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148
(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))
(Riadny legislatívny postup: prvé čítanie)
Európsky parlament,
– so zreteľom na návrh Komisie pre Európsky parlament a Radu (COM(2020)0823),
– so zreteľom na článok 294 ods. 2 a článok 114 Zmluvy o fungovaní Európskej únie, v súlade s ktorými Komisia predložila návrh Európskemu parlamentu (C9-0422/2020),
– so zreteľom na článok 294 ods. 3 Zmluvy o fungovaní Európskej únie,
– so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru z 27. apríla 2021[1],
– po porade s Výborom regiónov,
– so zreteľom na článok 59 rokovacieho poriadku,
– so zreteľom na stanoviská Výboru pre občianske slobody, spravodlivosť a vnútorné veci, Výboru pre zahraničné veci, Výboru pre vnútorný trh a ochranu spotrebiteľa a Výboru pre dopravu a cestovný ruch,
– so zreteľom na správu Výboru pre priemysel, výskum a energetiku (A9-0313/2021),
1. prijíma nasledujúcu pozíciu v prvom čítaní;
2. žiada Komisiu, aby mu vec znovu predložila, ak nahrádza, podstatne mení alebo má v úmysle podstatne zmeniť svoj návrh;
3. poveruje svojho predsedu, aby postúpil túto pozíciu Rade, Komisii a národným parlamentom.
Pozmeňujúci návrh 1
Návrh smernice
Názov
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Návrh |
Návrh |
SMERNICA EURÓPSKEHO PARLAMENTU A RADY |
SMERNICA EURÓPSKEHO PARLAMENTU A RADY |
o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148 |
o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (smernica NIS 2), ktorou sa zrušuje smernica (EÚ) 2016/1148 |
Pozmeňujúci návrh 2
Návrh smernice
Odôvodnenie 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(1) Cieľom smernice Európskeho parlamentu a Rady (EÚ) 2016/114811 bolo budovať kybernetickobezpečnostné kapacity v celej Únii, zmierňovať hrozby pre siete a informačné systémy používané na poskytovanie základných služieb v kľúčových odvetviach a zabezpečiť kontinuitu takýchto služieb pri riešení kybernetickobezpečnostných incidentov, a tým prispievať k efektívnemu fungovaniu spoločnosti a hospodárstva Únie. |
(1) Cieľom smernice Európskeho parlamentu a Rady (EÚ) 2016/114811, bežne označovanej ako „smernica NIS“, bolo budovať kybernetickobezpečnostné kapacity v celej Únii, zmierňovať hrozby pre siete a informačné systémy používané na poskytovanie základných služieb v kľúčových odvetviach a zabezpečiť kontinuitu takýchto služieb pri riešení kybernetickobezpečnostných incidentov, a tým prispievať k bezpečnosti Únie a účinnému fungovaniu jej hospodárstva a spoločnosti. |
__________________ |
__________________ |
11 Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194/1, 19.7.2016, s. 1). |
11 Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194/1, 19.7.2016, s. 1). 1). |
Pozmeňujúci návrh 3
Návrh smernice
Odôvodnenie 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(3) Siete a informačné systémy sa spolu s rýchlou digitálnou transformáciou a prepojenosťou spoločnosti, a to aj pri cezhraničných výmenách, stali bežnou súčasťou každodenného života. Tento vývoj viedol k nárastu kybernetickobezpečnostných hrozieb a prináša nové výzvy, ktoré si vyžadujú prispôsobené, koordinované a inovatívne reakcie vo všetkých členských štátoch. Počet, rozsah, sofistikovanosť, frekvencia a vplyv kybernetickobezpečnostných incidentov sa zvyšujú a pre fungovanie sietí a informačných systémov predstavujú veľkú hrozbu. Vo výsledku môžu takéto incidenty zabraňovať realizácii ekonomických aktivít na vnútornom trhu, spôsobovať finančné straty, narúšať dôveru používateľov a spôsobovať značné škody spoločnosti a hospodárstvu Únie. Pripravenosť a účinnosť v oblasti kybernetickej bezpečnosti sú preto teraz pre riadne fungovanie vnútorného trhu dôležitejšie ako kedykoľvek predtým. |
(3) Siete a informačné systémy sa spolu s rýchlou digitálnou transformáciou a prepojenosťou spoločnosti, a to aj pri cezhraničných výmenách, stali bežnou súčasťou každodenného života. Tento vývoj viedol k nárastu kybernetickobezpečnostných hrozieb a prináša nové výzvy, ktoré si vyžadujú prispôsobené, koordinované a inovatívne reakcie vo všetkých členských štátoch. Počet, rozsah, sofistikovanosť, frekvencia a vplyv kybernetickobezpečnostných incidentov sa zvyšujú a pre fungovanie sietí a informačných systémov predstavujú veľkú hrozbu. Vo výsledku môžu takéto incidenty zabraňovať realizácii ekonomických aktivít na vnútornom trhu, spôsobovať finančné straty, narúšať dôveru používateľov a spôsobovať značné škody spoločnosti a hospodárstvu Únie. Pripravenosť a účinnosť v oblasti kybernetickej bezpečnosti sú preto teraz pre riadne fungovanie vnútorného trhu dôležitejšie ako kedykoľvek predtým. Kybernetická bezpečnosť je navyše kľúčovým faktorom, ktorý mnohým kritickým odvetviam umožňuje úspešne zvládnuť digitálnu transformáciu a plne využívať hospodárske, sociálne a udržateľné prínosy digitalizácie. |
Pozmeňujúci návrh 4
Návrh smernice
Odôvodnenie 3 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(3a) Kybernetickobezpečnostné incidenty a krízy veľkého rozsahu na úrovni Únie si z dôvodu vysokého stupňa previazanosti odvetví a krajín vyžadujú koordinované opatrenia na zabezpečenie rýchlej a účinnej reakcie. Dostupnosť kyberneticky odolných sietí a informačných systémov a dostupnosť, dôvernosť a integrita údajov sú nevyhnutné pre bezpečnosť Únie v rámci jej hraníc, ako aj za jej hranicami, keďže kybernetické hrozby by mohli pochádzať z územia mimo Únie. Ambícia Únie získať významnejšiu geopolitickú úlohu spočíva taktiež v dôveryhodnej kybernetickej obrane a odrádzaní od kybernetických útokov vrátane schopnosti včas a účinne identifikovať zlomyseľné konanie a primerane naň reagovať. |
Pozmeňujúci návrh 5
Návrh smernice
Odôvodnenie 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(5) Všetky tieto rozdiely spôsobujú fragmentáciu vnútorného trhu a môžu mať škodlivý vplyv na jeho fungovanie, a to najmä pokiaľ ide o cezhraničné poskytovanie služieb a úroveň kybernetickobezpečnostnej odolnosti v dôsledku uplatňovania rôznych noriem. Cieľom tejto smernice je odstrániť takéto veľké rozdiely medzi členskými štátmi, a to najmä stanovením minimálnych pravidiel týkajúcich sa fungovania koordinovaného regulačného rámca, stanovením mechanizmov účinnej spolupráce medzi zodpovednými orgánmi v každom členskom štáte, aktualizáciou zoznamu odvetví a činností podliehajúcich povinnostiam v oblasti kybernetickej bezpečnosti a poskytnutím účinných nápravných opatrení a sankcií, ktoré sú nevyhnutné na účinné presadzovanie týchto povinností. Smernica (EÚ) 2016/1148 by sa preto mala zrušiť a nahradiť touto smernicou. |
(5) Všetky tieto rozdiely spôsobujú fragmentáciu vnútorného trhu a môžu mať škodlivý vplyv na jeho fungovanie, a to najmä pokiaľ ide o cezhraničné poskytovanie služieb a úroveň kybernetickobezpečnostnej odolnosti v dôsledku uplatňovania rôznych noriem. Tieto rozdiely by v konečnom dôsledku mohli viesť k väčšej zraniteľnosti niektorých členských štátov voči kybernetickobezpečnostným hrozbám s možnými účinkami presahovania v celej Únii. Cieľom tejto smernice je odstrániť takéto veľké rozdiely medzi členskými štátmi, a to najmä stanovením minimálnych pravidiel týkajúcich sa fungovania koordinovaného regulačného rámca, stanovením mechanizmov účinnej spolupráce medzi zodpovednými orgánmi v každom členskom štáte, aktualizáciou zoznamu odvetví a činností podliehajúcich povinnostiam v oblasti kybernetickej bezpečnosti a poskytnutím účinných nápravných opatrení a sankcií, ktoré sú nevyhnutné na účinné presadzovanie týchto povinností. Smernica (EÚ) 2016/1148 by sa preto mala zrušiť a nahradiť touto smernicou (smernicou NIS 2). |
Pozmeňujúci návrh 6
Návrh smernice
Odôvodnenie 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(6) Táto smernica neovplyvňuje možnosť členských štátov prijať potrebné opatrenia na zaručenie ochrany základných záujmov vlastnej bezpečnosti, chrániť verejný poriadok a verejnú bezpečnosť a umožniť vyšetrovanie a odhaľovanie trestných činov, ako aj stíhanie ich páchateľov, a to v súlade s právom Únie. V súlade s článkom 346 ZFEÚ nemá byť žiaden členský štát povinný poskytovať informácie, ktorých sprístupnenie by odporovalo základným záujmom jeho verejnej bezpečnosti. V tejto súvislosti sú relevantné pravidlá Únie a členských štátov na ochranu utajovaných skutočností, dohody o zachovaní mlčanlivosti a neformálne dohody o zachovaní mlčanlivosti, ako napríklad semaforový protokol14. |
(6) Táto smernica neovplyvňuje možnosť členských štátov prijať potrebné opatrenia na zaručenie ochrany základných záujmov vlastnej bezpečnosti, chrániť verejný poriadok a verejnú bezpečnosť a umožniť prevenciu, vyšetrovanie a odhaľovanie trestných činov, ako aj stíhanie ich páchateľov, a to v súlade s právom Únie. V súlade s článkom 346 ZFEÚ nemá byť žiaden členský štát povinný poskytovať informácie, ktorých sprístupnenie by odporovalo základným záujmom jeho verejnej bezpečnosti. V tejto súvislosti sú relevantné pravidlá Únie a členských štátov na ochranu utajovaných skutočností, dohody o zachovaní mlčanlivosti a neformálne dohody o zachovaní mlčanlivosti, ako napríklad semaforový protokol14. |
__________________ |
__________________ |
14 Semaforový protokol (Traffic Light Protocol, TLP) slúži pri sprístupňovaní informácií na informovanie príjemcov o akýchkoľvek obmedzeniach pri ďalšom šírení týchto informácií. Používa sa takmer vo všetkých komunitách jednotiek CSIRT a v niektorých strediskách pre výmenu a analýzu informácií (ISAC). |
14 Semaforový protokol (Traffic Light Protocol, TLP) slúži pri sprístupňovaní informácií na informovanie príjemcov o akýchkoľvek obmedzeniach pri ďalšom šírení týchto informácií. Používa sa takmer vo všetkých komunitách jednotiek CSIRT a v niektorých strediskách pre výmenu a analýzu informácií (ISAC). |
Pozmeňujúci návrh 7
Návrh smernice
Odôvodnenie 7
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(7) Zrušením smernice (EÚ) 2016/1148 by sa rozsah uplatňovania podľa odvetví mal rozšíriť na väčšiu časť hospodárstva vzhľadom na úvahy uvedené v odôvodneniach 4 až 6. Odvetvia, na ktoré sa vzťahuje smernica (EÚ) 2016/1148, by sa preto mali rozšíriť tak, aby boli komplexne pokryté odvetvia a služby, ktoré majú zásadný význam pre kľúčové spoločenské a hospodárske činnosti v rámci vnútorného trhu. Pravidlá by sa nemali líšiť podľa toho, či sú subjekty prevádzkovateľmi základných služieb alebo poskytovateľmi digitálnych služieb. Takéto rozlišovanie sa ukázalo ako zastarané, pretože neodráža skutočný význam odvetví alebo služieb pre spoločenské a hospodárske činnosti na vnútornom trhu. |
(7) Zrušením smernice (EÚ) 2016/1148 by sa rozsah uplatňovania podľa odvetví mal rozšíriť na väčšiu časť hospodárstva vzhľadom na úvahy uvedené v odôvodneniach 4 až 6. Odvetvia, na ktoré sa vzťahuje smernica (EÚ) 2016/1148, by sa preto mali rozšíriť tak, aby boli komplexne pokryté odvetvia a služby, ktoré majú zásadný význam pre kľúčové spoločenské a hospodárske činnosti v rámci vnútorného trhu. Požiadavky na riadenie rizík a oznamovacie povinnosti by sa nemali líšiť podľa toho, či sú subjekty prevádzkovateľmi základných služieb alebo poskytovateľmi digitálnych služieb. Takéto rozlišovanie sa ukázalo ako zastarané, pretože neodráža skutočný význam odvetví alebo služieb pre spoločenské a hospodárske činnosti na vnútornom trhu. |
Pozmeňujúci návrh 8
Návrh smernice
Odôvodnenie 8
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(8) V súlade so smernicou (EÚ) 2016/1148 boli členské štáty zodpovedné za určenie tých subjektov, ktoré spĺňajú kritériá, aby mohli pôsobiť ako prevádzkovatelia základných služieb („proces identifikácie“). S cieľom odstrániť v tejto súvislosti veľké rozdiely medzi členskými štátmi a zabezpečiť právnu istotu, pokiaľ ide o požiadavky na riadenie rizík a oznamovacie povinnosti pre všetky príslušné subjekty, by sa malo stanoviť jednotné kritérium, ktorým sa určia subjekty, ktoré patria do rozsahu pôsobnosti tejto smernice. Toto kritérium by malo spočívať v uplatňovaní pravidla obmedzenia veľkosti, podľa ktorého všetky stredné a veľké podniky, ako sú vymedzené v odporúčaní Komisie 2003/361/ES15, ktoré pôsobia v rámci takých odvetví alebo poskytujú taký druh služieb, na ktoré sa vzťahuje táto smernica, patria do rozsahu jej pôsobnosti. Od členských štátov by sa nemalo vyžadovať, aby zostavili zoznam subjektov, ktoré spĺňajú toto všeobecne uplatniteľné kritérium týkajúce sa veľkosti. |
(8) V súlade so smernicou (EÚ) 2016/1148 boli členské štáty zodpovedné za určenie tých subjektov, ktoré spĺňajú kritériá, aby mohli pôsobiť ako prevádzkovatelia základných služieb („proces identifikácie“). S cieľom odstrániť v tejto súvislosti veľké rozdiely medzi členskými štátmi a zabezpečiť právnu istotu, pokiaľ ide o požiadavky na riadenie rizík a oznamovacie povinnosti pre všetky príslušné subjekty, by sa malo stanoviť jednotné kritérium, ktorým sa určia subjekty, ktoré patria do rozsahu pôsobnosti tejto smernice. Toto kritérium by malo spočívať v uplatňovaní pravidla obmedzenia veľkosti, podľa ktorého všetky stredné a veľké podniky, ako sú vymedzené v odporúčaní Komisie 2003/361/ES15, ktoré pôsobia v rámci takých odvetví alebo poskytujú taký druh služieb, na ktoré sa vzťahuje táto smernica, patria do rozsahu jej pôsobnosti. |
__________________ |
__________________ |
15 Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodnik, malý a stredný podnik (Ú. v. EÚ L 124, 20.5.2003, s. 36). |
15 Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodnik, malý a stredný podnik (Ú. v. EÚ L 124, 20.5.2003, s. 36). |
Pozmeňujúci návrh 9
Návrh smernice
Odôvodnenie 9
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(9) Táto smernica by sa však mala vzťahovať aj na malé subjekty alebo mikrosubjekty spĺňajúce určité kritériá, ktoré sú ukazovateľom kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov alebo pre určité odvetvia či druhy služieb. Členské štáty by mali byť zodpovedné za vypracovanie zoznamu takýchto subjektov a mali by ho predložiť Komisii. |
(9) Táto smernica by sa však mala vzťahovať aj na malé subjekty alebo mikrosubjekty spĺňajúce určité kritériá, ktoré sú ukazovateľom kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov alebo pre určité odvetvia či druhy služieb. |
Pozmeňujúci návrh 10
Návrh smernice
Odôvodnenie 9 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(9a) Členské štáty by mali vypracovať zoznam všetkých kľúčových a dôležitých subjektov. Tento zoznam by mal zahŕňať subjekty, ktoré spĺňajú všeobecne uplatniteľné kritériá týkajúce sa veľkosti, ako aj malé podniky a mikropodniky, ktoré spĺňajú určité kritériá, ktoré sú ukazovateľom ich kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov. Na to, aby jednotky pre riešenie počítačových bezpečnostných incidentov (CSIRT) a príslušné orgány poskytovali pomoc a varovali subjekty pred kybernetickými incidentmi, ktoré by ich mohli ovplyvniť, je dôležité, aby tieto orgány mali správne kontaktné údaje týchto subjektov. Kľúčové a dôležité subjekty by preto mali príslušným orgánom predkladať aspoň tieto informácie: názov subjektu, adresu a aktuálne kontaktné údaje vrátane e-mailových adries, rozsahov IP adries, telefónnych čísel, ako aj príslušné odvetvie(-ia) a pododvetvie(-ia) uvedené v prílohách I a II. Subjekty by mali príslušným orgánom oznamovať akékoľvek zmeny týchto informácií. Členské štáty by mali bez zbytočného odkladu zabezpečiť, aby sa tieto informácie mohli ľahko poskytovať prostredníctvom jednotného kontaktného miesta. Na tento účel by agentúra ENISA v spolupráci so skupinou pre spoluprácu mala bez zbytočného odkladu vydať usmernenia a vzory týkajúce sa oznamovacích povinností. Členské štáty by mali Komisii a skupine pre spoluprácu oznámiť počet kľúčových a dôležitých subjektov. Členské štáty by tiež mali na účely preskúmania uvedeného v tejto smernici oznámiť Komisii názvy malých podnikov a mikropodnikov, ktoré boli identifikované ako kľúčové a dôležité subjekty, aby Komisia mohla posúdiť súlad medzi prístupmi členských štátov. S týmito informáciami by sa malo zaobchádzať ako s prísne dôvernými. |
Pozmeňujúci návrh 11
Návrh smernice
Odôvodnenie 10
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(10) Komisia môže v spolupráci so skupinou pre spoluprácu vydať usmernenia o vykonávaní kritérií uplatniteľných na mikropodniky a malé podniky. |
(10) Komisia by mala v spolupráci so skupinou pre spoluprácu a príslušnými zainteresovanými stranami vydať usmernenia o vykonávaní kritérií uplatniteľných na mikropodniky a malé podniky. Komisia by takisto mala zabezpečiť, aby sa všetkým mikropodnikom a malým podnikom, ktoré patria do rozsahu pôsobnosti tejto smernice, poskytli primerané usmernenia. Komisia by v tejto súvislosti mala s podporou členských štátov poskytovať mikropodnikom a malým podnikom informácie. |
Pozmeňujúci návrh 12
Návrh smernice
Odôvodnenie 10 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(10a) Komisia by takisto mala vydať usmernenia na podporu členských štátov pri správnom vykonávaní ustanovení týkajúcich sa rozsahu pôsobnosti a na hodnotenie primeranosti povinností stanovených v tejto smernici, najmä pokiaľ ide o subjekty s komplexnými obchodnými modelmi alebo prevádzkovým prostredím, pričom subjekt môže súčasne spĺňať kritériá určené pre kľúčové aj dôležité subjekty, alebo môže súčasne vykonávať činnosti, z ktorých niektoré patria do rozsahu pôsobnosti tejto smernice a niektoré nie. |
Pozmeňujúci návrh 13
Návrh smernice
Odôvodnenie 12
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(12) Právne predpisy a nástroje špecifické pre jednotlivé odvetvia môžu prispieť k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti pri plnom zohľadnení špecifík a zložitosti týchto odvetví. Ak sa v právnom akte Únie špecifickom pre určité odvetvia vyžaduje, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetickobezpečnostných rizík, alebo aby oznamovali incidenty alebo závažné kybernetické hrozby a táto povinnosť má mať aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, mali by sa uplatňovať dané ustanovenia pre určité odvetvia vrátane ustanovení o dohľade a presadzovaní práva. Komisia môže vydať usmernenia týkajúce sa vykonávania lex specialis. Touto smernicou sa nebráni prijatiu ďalších odvetvových aktov Únie, ktoré sa zaoberajú opatreniami na riadenie kybernetickobezpečnostných rizík a oznamovaním incidentov. Touto smernicou nie sú dotknuté existujúce vykonávacie právomoci, ktoré boli Komisii udelené vo viacerých odvetviach vrátane dopravy a energetiky. |
(12) Právne predpisy a nástroje špecifické pre jednotlivé odvetvia môžu prispieť k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti pri plnom zohľadnení špecifík a zložitosti týchto odvetví. Právne akty Únie špecifické pre jednotlivé odvetvia, ktoré vyžadujú, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetickobezpečnostných rizík alebo aby oznamovali závažné incidenty, by mali byť, ak je to možné, v súlade s príslušnou terminológiou a odkazovať na vymedzenie pojmov stanovených v tejto smernici. Ak sa v právnom akte Únie špecifickom pre určité odvetvia vyžaduje, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetickobezpečnostných rizík alebo aby oznamovali incidenty, a ak majú tieto požiadavky aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici a vzťahujú sa na všetky bezpečnostné aspekty operácií a služieb poskytovaných kľúčovými a dôležitými subjektmi, mali by sa uplatňovať dané ustanovenia pre určité odvetvia vrátane ustanovení o dohľade a presadzovaní práva. Komisia by mala vydať komplexné usmernenia týkajúce sa vykonávania lex specialis s prihliadnutím na príslušné stanoviská, odborné znalosti a najlepšie postupy agentúry ENISA a skupiny pre spoluprácu. Touto smernicou sa nebráni prijatiu ďalších odvetvových aktov Únie, ktoré sa zaoberajú opatreniami na riadenie kybernetickobezpečnostných rizík a oznamovaním incidentov a ktoré riadne zohľadnia potrebu komplexného a súdržného rámca pre kybernetickú bezpečnosť. Touto smernicou nie sú dotknuté existujúce vykonávacie právomoci, ktoré boli Komisii udelené vo viacerých odvetviach vrátane dopravy a energetiky. |
Pozmeňujúci návrh 14
Návrh smernice
Odôvodnenie 14
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(14) Vzhľadom na prepojenia medzi kybernetickou bezpečnosťou a fyzickou bezpečnosťou subjektov by sa mal zabezpečiť jednotný prístup medzi smernicou Európskeho parlamentu a Rady (EÚ) XXX/XXX17 a touto smernicou. Na dosiahnutie tohto cieľa by členské štáty mali zabezpečiť, aby sa kritické subjekty (a rovnocenné subjekty) podľa smernice (EÚ) XXX/XXX považovali za kľúčové subjekty podľa tejto smernice. Členské štáty by tiež mali zabezpečiť, aby ich stratégie kybernetickej bezpečnosti poskytovali politický rámec pre posilnenú koordináciu medzi príslušným orgánom podľa tejto smernice a príslušným orgánom podľa smernice (EÚ) XXX/XXX v kontexte zdieľania informácií o incidentoch a kybernetických hrozbách, ako aj vykonávania úloh dohľadu. Orgány, na ktoré sa obe smernice vzťahujú, by mali spolupracovať a vymieňať si informácie, najmä pokiaľ ide o identifikáciu kritických subjektov, kybernetické hrozby, kybernetickobezpečnostné riziká, incidenty ovplyvňujúce kritické subjekty, ako aj o kybernetickobezpečnostných opatreniach prijatých kritickými subjektmi. Príslušné orgány podľa tejto smernice by na žiadosť príslušných orgánov podľa smernice (EÚ) XXX/XXX mali byť oprávnené vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický subjekt. Na tento účel by oba orgány mali spolupracovať a vymieňať si informácie. |
(14) Vzhľadom na prepojenia medzi kybernetickou bezpečnosťou a fyzickou bezpečnosťou subjektov by sa mal zabezpečiť jednotný prístup medzi smernicou Európskeho parlamentu a Rady (EÚ) XXX/XXX17 a touto smernicou. Na dosiahnutie tohto cieľa by členské štáty mali zabezpečiť, aby sa kritické subjekty (a rovnocenné subjekty) podľa smernice (EÚ) XXX/XXX považovali za kľúčové subjekty podľa tejto smernice. Členské štáty by tiež mali zabezpečiť, aby ich stratégie kybernetickej bezpečnosti poskytovali politický rámec pre posilnenú koordináciu medzi príslušnými orgánmi v rámci členských štátov a medzi členskými štátmi podľa tejto smernice a príslušným orgánom podľa smernice (EÚ) XXX/XXX v kontexte zdieľania informácií o incidentoch a kybernetických hrozbách, ako aj vykonávania úloh dohľadu. Orgány, na ktoré sa obe smernice vzťahujú, by mali spolupracovať a vymieňať si informácie bez zbytočného odkladu, najmä pokiaľ ide o identifikáciu kritických subjektov, kybernetické hrozby, kybernetickobezpečnostné riziká, incidenty ovplyvňujúce kritické subjekty, ako aj o kybernetickobezpečnostných opatreniach prijatých kritickými subjektmi. Príslušné orgány podľa tejto smernice by na žiadosť príslušných orgánov podľa smernice (EÚ) XXX/XXX mali byť oprávnené vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický subjekt. Na tento účel by oba orgány mali spolupracovať a vymieňať si informácie pokiaľ možno v reálnom čase. |
__________________ |
__________________ |
17 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
17 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 15
Návrh smernice
Odôvodnenie 15
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(15) Potvrdenie a udržanie spoľahlivého, odolného a bezpečného systému doménových mien (DNS) je kľúčovým faktorom zachovania integrity internetu a je nevyhnutné pre jeho nepretržité a stabilné fungovanie, od ktorého závisí digitálne hospodárstvo a spoločnosť. Táto smernica by sa preto mala vzťahovať na všetkých poskytovateľov služieb DNS v rozlišovacom reťazci DNS vrátane prevádzkovateľov koreňových menných serverov, menných serverov domén najvyššej úrovne (TLD), autoritatívnych menných serverov pre doménové mená a rekurzívne resolvery. |
(15) Potvrdenie a udržanie spoľahlivého, odolného a bezpečného systému doménových mien (DNS) je kľúčovým faktorom zachovania integrity internetu a je nevyhnutné pre jeho nepretržité a stabilné fungovanie, od ktorého závisí digitálne hospodárstvo a spoločnosť. Táto smernica by sa preto mala vzťahovať na menné servery domén najvyššej úrovne (TLD), verejne dostupné služby rekurzívneho rozlišovania doménových mien pre koncových používateľov internetu a služby autoritatívneho rozlišovania doménových mien. Táto smernica sa nevzťahuje na koreňové menné servery. |
Pozmeňujúci návrh 16
Návrh smernice
Odôvodnenie 19
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(19) Poskytovatelia poštových služieb v zmysle smernice Európskeho parlamentu a Rady 97/67/ES18, ako aj poskytovatelia expresných a kuriérskych doručovacích služieb by mali podliehať tejto smernici, ak zabezpečujú aspoň jeden z krokov v reťazci poštového doručovania, a to najmä vyberanie, triedenie alebo distribúciu vrátane služieb zberu. Dopravné služby, ktoré sa nevykonávajú v spojení s jedným z týchto krokov, by nemali patriť do rozsahu poštových služieb. |
(19) Poskytovatelia poštových služieb v zmysle smernice Európskeho parlamentu a Rady 97/67/ES18, ako aj poskytovatelia expresných a kuriérskych doručovacích služieb by mali podliehať tejto smernici, ak zabezpečujú aspoň jeden z krokov v reťazci poštového doručovania, a to najmä vyberanie, triedenie alebo distribúciu vrátane služieb zberu, pri zohľadnení stupňa ich závislosti od sietí a informačných systémov. Dopravné služby, ktoré sa nevykonávajú v spojení s jedným z týchto krokov, by nemali patriť do rozsahu poštových služieb. |
__________________ |
__________________ |
18 Smernica Európskeho parlamentu a Rady 97/67/ES z 15. decembra 1997 o spoločných pravidlách rozvoja vnútorného trhu poštových služieb Spoločenstva a zlepšovaní kvality služieb (Ú. v. ES L 15, 21.1.1998, s. 14). |
18 Smernica Európskeho parlamentu a Rady 97/67/ES z 15. decembra 1997 o spoločných pravidlách rozvoja vnútorného trhu poštových služieb Spoločenstva a zlepšovaní kvality služieb (Ú. v. ES L 15, 21.1.1998, s. 14). |
Pozmeňujúci návrh 17
Návrh smernice
Odôvodnenie 20
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(20) Táto rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach energetiky, dopravy, digitálnej infraštruktúry, pitnej a odpadovej vody, zdravia, určitých aspektov verejnej správy, ako aj kozmického priestoru, pokiaľ ide o poskytovanie určitých služieb v závislosti od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahujú na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírnych programov. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu. Pandémia ochorenia COVID-19 ukázala zraniteľnosť našich čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou. |
(20) Táto rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach energetiky, dopravy, digitálnej infraštruktúry, pitnej a odpadovej vody, zdravia, určitých aspektov verejnej správy, ako aj kozmického priestoru, pokiaľ ide o poskytovanie určitých služieb v závislosti od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahujú na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírnych programov. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu. Intenzívnejšie útoky na siete a informačné systémy počas pandémie COVID-19 ukázali zraniteľnosť našich čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou. |
Pozmeňujúci návrh 18
Návrh smernice
Odôvodnenie 24
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(24) Členské štáty by mali mať primerané vybavenie, pokiaľ ide o technické a organizačné kapacity, aby mohli predchádzať incidentom a rizikám v oblasti sietí a informačných systémov, odhaľovať ich, reagovať na ne a zmierňovať ich. Členské štáty by preto mali zabezpečiť, aby mali dobre fungujúce jednotky CSIRT, známe aj ako jednotky reakcie na núdzové počítačové situácie (ďalej len „jednotky CERT“), ktoré budú dodržiavať základné požiadavky s cieľom zaručiť účinné a zlučiteľné kapacity na riešenie incidentov a rizík a zabezpečiť účinnú spoluprácu na úrovni Únie. S cieľom posilniť dôverný vzťah medzi subjektmi a jednotkami CSIRT v prípadoch, keď je jednotka CSIRT súčasťou príslušného orgánu, by členské štáty mali zvážiť funkčné oddelenie operačných úloh poskytovaných jednotkami CSIRT, najmä pokiaľ ide o zdieľanie informácií a podporu subjektov, od činností dohľadu príslušných orgánov. |
(24) Členské štáty by mali mať primerané vybavenie, pokiaľ ide o technické a organizačné kapacity, aby mohli predchádzať incidentom a rizikám v oblasti sietí a informačných systémov, odhaľovať ich, reagovať na ne a zmierňovať ich. Členské štáty by preto mali určiť jednu alebo viac jednotiek CSIRT podľa tejto smernice a zabezpečiť, aby dobre fungovali a dodržiavali základné požiadavky s cieľom zaručiť účinné a zlučiteľné kapacity na riešenie incidentov a rizík a zabezpečiť účinnú spoluprácu na úrovni Únie. Členské štáty môžu ako jednotky CSIRT určiť existujúce jednotky reakcie na núdzové počítačové situácie (CERT). S cieľom posilniť dôverný vzťah medzi subjektmi a jednotkami CSIRT v prípadoch, keď je jednotka CSIRT súčasťou príslušného orgánu, by členské štáty mali zvážiť funkčné oddelenie operačných úloh poskytovaných jednotkami CSIRT, najmä pokiaľ ide o zdieľanie informácií a podporu subjektov, od činností dohľadu príslušných orgánov. |
Pozmeňujúci návrh 19
Návrh smernice
Odôvodnenie 25
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(25) Pokiaľ ide o osobné údaje, jednotky CSIRT by mali mať možnosť vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/67919 v mene subjektu a na jeho žiadosť podľa tejto smernice proaktívnu kontrolu sietí a informačných systémov používaných na poskytovanie jeho služieb. Členské štáty by sa mali zamerať na zabezpečenie rovnakej úrovne technických kapacít pre všetky odvetvové jednotky CSIRT. Členské štáty môžu pri tvorbe vnútroštátnych jednotiek CSIRT požiadať o pomoc Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA). |
(25) Pokiaľ ide o osobné údaje, jednotky CSIRT by mali mať možnosť vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/67919 v mene subjektu a na jeho žiadosť podľa tejto smernice alebo v prípade vážnej hrozby pre národnú bezpečnosť proaktívnu kontrolu sietí a informačných systémov používaných na poskytovanie jeho služieb. Členské štáty by sa mali zamerať na zabezpečenie rovnakej úrovne technických kapacít pre všetky odvetvové jednotky CSIRT. Členské štáty môžu pri tvorbe vnútroštátnych jednotiek CSIRT požiadať o pomoc Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA). |
__________________ |
__________________ |
19 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1). |
19 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1). |
Pozmeňujúci návrh 20
Návrh smernice
Odôvodnenie 25 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(25a) Jednotky CSIRT by mali byť na žiadosť subjektu schopné nepretržite objavovať, spravovať a monitorovať všetky aktíva orientované na internet, a to na pracoviskách, ako aj mimo nich, aby pochopili ich celkové organizačné riziko pre novoobjavené ohrozenie dodávateľského reťazca alebo kritické zraniteľnosti. Informácie o tom, či subjekt prevádzkuje privilegované rozhranie správy, ovplyvňujú rýchlosť vykonávania zmierňujúcich opatrení. |
Pozmeňujúci návrh 21
Návrh smernice
Odôvodnenie 26
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(26) Vzhľadom na význam medzinárodnej spolupráce v oblasti kybernetickej bezpečnosti by sa malo jednotkám CSIRT umožniť, aby sa okrem siete jednotiek CSIRT zriadenej podľa tejto smernice mohli stať súčasťou sietí medzinárodnej spolupráce. |
(26) Vzhľadom na význam medzinárodnej spolupráce v oblasti kybernetickej bezpečnosti by sa malo jednotkám CSIRT umožniť, aby sa okrem siete jednotiek CSIRT zriadenej podľa tejto smernice mohli stať súčasťou sietí medzinárodnej spolupráce, a to aj s jednotkami CSIRT z tretích krajín, ak je výmena informácií vzájomná a prispieva k bezpečnosti občanov a subjektov, s cieľom prispieť k rozvoju noriem Únie, ktoré môžu formovať prostredie kybernetickej bezpečnosti na medzinárodnej úrovni. Členské štáty by mohli preskúmať aj možnosť zintenzívnenia spolupráce s podobne zmýšľajúcimi partnerskými krajinami a medzinárodnými organizáciami, a to s cieľom zabezpečiť multilaterálne dohody o kybernetických normách, zodpovednom správaní štátnych a neštátnych subjektov v kybernetickom priestore a účinnej globálnej digitálnej správe a tiež vytvoriť otvorený, slobodný, stabilný a bezpečný kybernetický priestor na základe medzinárodného práva. |
Pozmeňujúci návrh 22
Návrh smernice
Odôvodnenie 26 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(26a) Politiky kybernetickej hygieny poskytujú základy pre ochranu infraštruktúry sietí a informačných systémov, hardvéru, softvéru a bezpečnosti online aplikácií a obchodných údajov alebo údajov koncových používateľov, na ktoré sa subjekty spoliehajú. Politiky kybernetickej hygieny zahŕňajúce spoločný základný súbor postupov, okrem iného aktualizácie softvéru a hardvéru, zmeny hesiel, riadenie nových inštalácií, obmedzenie prístupových účtov na úrovni správcu a zálohovanie údajov, umožňujú proaktívny rámec pripravenosti a celkovej bezpečnosti a ochrany v prípade incidentov alebo hrozieb. Agentúra ENISA by mala monitorovať a posudzovať politiky kybernetickej hygieny členských štátov a preskúmať celoúnijné systémy s cieľom umožniť cezhraničné kontroly, ktoré zabezpečujú rovnocennosť nezávisle od požiadaviek členských štátov. |
Pozmeňujúci návrh 23
Návrh smernice
Odôvodnenie 26 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(26b) Využívanie umelej inteligencie v kybernetickej bezpečnosti má potenciál zlepšiť odhaľovanie a zastaviť útoky na siete a informačné systémy, čo umožňuje presmerovanie zdrojov na sofistikovanejšie útoky. Členské štáty by preto mali vo svojich vnútroštátnych stratégiách podporovať využívanie (polo)automatizovaných nástrojov v oblasti kybernetickej bezpečnosti a zdieľanie údajov potrebných pre vyvíjanie a zlepšovanie automatizovaných nástrojov v oblasti kybernetickej bezpečnosti. S cieľom zmierniť riziká neoprávneného zasahovania do práv a slobôd jednotlivcov, ktoré môžu systémy založené na umelej inteligencii predstavovať, sa uplatňujú požiadavky na špecificky navrhnutú a štandardnú ochranu údajov stanovenú v článku 25 nariadenia (EÚ) 2016/679. Takéto riziká by mohli byť ďalej zmiernené začlenením vhodných záruk, ako je pseudonymizácia, šifrovanie, presnosť údajov a minimalizácia údajov. |
Pozmeňujúci návrh 24
Návrh smernice
Odôvodnenie 26 c (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(26c) Nástroje a aplikácie kybernetickej bezpečnosti s otvoreným zdrojovým kódom môžu prispieť k vyššej miere transparentnosti a môžu mať pozitívny vplyv na efektívnosť priemyselných inovácií. Otvorené normy uľahčujú interoperabilitu medzi bezpečnostnými nástrojmi, čo je v prospech bezpečnosti zainteresovaných strán z oblasti priemyslu. Nástroje a aplikácie kybernetickej bezpečnosti s otvoreným zdrojovým kódom môžu mobilizovať širšiu komunitu vývojárov a umožniť subjektom uplatňovať diverzifikáciu predajcov a otvorené bezpečnostné stratégie. Otvorená bezpečnosť môže viesť k transparentnejšiemu procesu overovania nástrojov súvisiacich s kybernetickou bezpečnosťou a ku komunitnému procesu objavovania zraniteľností. Členské štáty by preto mali podporovať používanie softvéru s otvoreným zdrojovým kódom a otvorených noriem uplatňovaním politík týkajúcich sa využívania otvorených údajov a otvoreného zdroja ako súčasť bezpečnosti prostredníctvom transparentnosti. Politiky podporujúce používanie a udržateľné využívanie nástrojov kybernetickej bezpečnosti s otvoreným zdrojovým kódom majú osobitný význam pre malé a stredné podniky (MSP), ktoré čelia značným nákladom na vykonávanie, ktoré by sa mohli minimalizovať znížením potreby špecifických aplikácií alebo nástrojov. |
Pozmeňujúci návrh 25
Návrh smernice
Odôvodnenie 26 d (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(26d) Verejno-súkromné partnerstvá v oblasti kybernetickej bezpečnosti môžu poskytnúť vhodný rámec pre výmenu znalostí, výmenu najlepších postupov a vytvorenie spoločnej úrovne porozumenia medzi všetkými zainteresovanými stranami. Členské štáty by mali v rámci svojich národných stratégií kybernetickej bezpečnosti prijať politiky na podporu vytvárania verejno-súkromných partnerstiev špecificky zameraných na kybernetickú bezpečnosť. Tieto politiky by mali okrem iného spresniť rozsah a zapojené zainteresované strany, model riadenia, dostupné možnosti financovania a interakciu medzi zúčastnenými zainteresovanými stranami. Verejno-súkromné partnerstvá môžu využívať odborné znalosti subjektov súkromného sektora na podporu príslušných orgánov členských štátov pri rozvoji špičkových služieb a procesov, okrem iného vrátane výmeny informácií, včasného varovania, cvičení zameraných na kybernetickú hrozbu a incidenty, krízového riadenia a plánovania odolnosti. |
Pozmeňujúci návrh 26
Návrh smernice
Odôvodnenie 27
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(27) V súlade s prílohou k odporúčaniu Komisie (EÚ) 2017/1548 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (ďalej len „koncepcia“)20 by incident veľkého rozsahu mal znamenať incident s významným dosahom na najmenej dva členské štáty alebo ktorý svojím narušením presahuje schopnosť členského štátu reagovať naň. Incidenty veľkého rozsahu sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii. |
(27) V súlade s prílohou k odporúčaniu Komisie (EÚ) 2017/1548 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (ďalej len „koncepcia“)20 by incident veľkého rozsahu mal znamenať incident s významným dosahom na najmenej dva členské štáty alebo ktorý svojím narušením presahuje schopnosť členského štátu reagovať naň. Incidenty veľkého rozsahu sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu alebo predstavuje vážne rizika pre verejnú bezpečnosť a ochranu subjektov alebo občanov v niekoľkých členských štátoch alebo v Únii ako celku. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii. |
__________________ |
__________________ |
20 Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36). |
20 Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36). |
Pozmeňujúci návrh 27
Návrh smernice
Odôvodnenie 27 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(27a) Členské štáty by sa mali v rámci svojich národných stratégií kybernetickej bezpečnosti zamerať na osobitné potreby MSP v oblasti kybernetickej bezpečnosti. MSP predstavujú v kontexte Únie veľký percentuálny podiel priemyselného a obchodného trhu a v prepojenejšom svete majú často problém prispôsobiť sa novým obchodným postupom a orientovať sa v digitálnom prostredí, v ktorom zamestnanci pracujú z domu a obchodné činnosti sa čoraz častejšie vykonávajú online. Niektoré MSP čelia osobitným výzvam v oblasti kybernetickej bezpečnosti, ako je nízke povedomie o kybernetickej bezpečnosti, nedostatočná bezpečnosť IT na diaľku, vysoké náklady na riešenia v oblasti kybernetickej bezpečnosti a zvýšená úroveň hrozieb, ako je napríklad ransomware, v súvislosti s ktorými by mali dostať usmernenia a podporu. Členské štáty by mali mať pre MSP zriadené jednotné kontaktné miesto pre kybernetickú bezpečnosť, ktoré poskytuje usmernenia a podporu pre MSP, alebo ich nasmeruje na príslušné subjekty poskytujúce usmernenia a podporu v otázkach súvisiacich s kybernetickou bezpečnosťou. Členské štáty sa nabádajú, aby malým podnikom a mikropodnikom, ktoré nemajú tieto kapacity, ponúkali aj služby, ako je konfigurácia webových stránok a protokolovanie. |
Pozmeňujúci návrh 28
Návrh smernice
Odôvodnenie 27 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(27b) Členské štáty by mali v rámci svojich národných stratégií kybernetickej bezpečnosti prijať politiky na podporu aktívnej kybernetickej obrany. Aktívna kybernetická obrana je proaktívna prevencia, odhaľovanie, monitorovanie, analýza a zmierňovanie narušení bezpečnosti siete v kombinácii s využitím kapacít nasadených v zasiahnutej sieti a mimo nej. Schopnosť rýchlo a automaticky zdieľať a pochopiť informácie a analýzy týkajúce sa hrozieb, varovaní pred kybernetickou činnosťou a opatrení reakcie je zásadne dôležitá pre umožnenie jednotného úsilia o úspešné odhaľovanie, prevenciu a riešenie útokov proti sieťam a informačným systémom. Aktívna kybernetická obrana je založená na obrannej stratégii, ktorá vylučuje ofenzívne opatrenia proti kritickej civilnej infraštruktúre. |
Pozmeňujúci návrh 29
Návrh smernice
Odôvodnenie 28
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(28) Keďže využívanie zraniteľností v sieťach a informačných systémoch môže spôsobiť značné narušenie a škody, rýchla identifikácia a náprava týchto zraniteľností je dôležitým faktorom pri znižovaní kybernetickobezpečnostného rizika. Subjekty, ktoré takéto systémy vyvíjajú, by preto mali zaviesť vhodné postupy na riešenie zistených zraniteľností. Keďže zraniteľnosti často odhaľujú a oznamujú (zverejňujú) tretie strany (oznamujúce subjekty), výrobca alebo poskytovateľ produktov alebo služieb IKT by mal zaviesť aj potrebné postupy na získavanie informácií o zraniteľnosti od tretích strán. V tejto súvislosti sa v medzinárodnej norme ISO/IEC 30111 poskytujú usmernenia na riešenie zraniteľností a v medzinárodnej norme ISO/IEC 29417 zasa usmernenia na zverejňovanie informácií o zraniteľnosti. Pokiaľ ide o zverejňovanie informácií o zraniteľnosti, obzvlášť dôležitá je koordinácia medzi oznamujúcimi subjektmi a výrobcami alebo poskytovateľmi produktov alebo služieb IKT. Koordinované zverejňovanie informácií o zraniteľnosti sa riadi štruktúrovaným procesom, v rámci ktorého sa zraniteľnosti hlásia organizáciám takým spôsobom, ktorým sa danej organizácii umožňuje diagnostikovať zraniteľnosť a zabezpečiť jej nápravu pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Koordinované zverejňovanie informácií o zraniteľnosti by malo zahŕňať aj koordináciu medzi oznamujúcim subjektom a organizáciou, pokiaľ ide o načasovanie nápravy a zverejnenie zraniteľností. |
(28) Keďže využívanie zraniteľností v sieťach a informačných systémoch môže spôsobiť značné narušenie a škody, rýchla identifikácia a náprava týchto zraniteľností je dôležitým faktorom pri znižovaní kybernetickobezpečnostného rizika. Subjekty, ktoré takéto systémy vyvíjajú, by preto mali zaviesť vhodné postupy na riešenie zistených zraniteľností. Keďže zraniteľnosti často odhaľujú a oznamujú (zverejňujú) tretie strany (oznamujúce subjekty), výrobca alebo poskytovateľ produktov alebo služieb IKT by mal zaviesť aj potrebné postupy na získavanie informácií o zraniteľnosti od tretích strán. V tejto súvislosti sa v medzinárodnej norme ISO/IEC 30111 poskytujú usmernenia na riešenie zraniteľností a v medzinárodnej norme ISO/IEC 29417 zasa usmernenia na zverejňovanie informácií o zraniteľnosti. Na uľahčenie dobrovoľného rámca pre zverejňovanie informácií o zraniteľnosti je obzvlášť dôležité posilnenie koordinácie medzi oznamujúcimi subjektmi a výrobcami alebo poskytovateľmi produktov alebo služieb IKT. Koordinované zverejňovanie informácií o zraniteľnosti sa riadi štruktúrovaným procesom, v rámci ktorého sa zraniteľnosti hlásia organizáciám takým spôsobom, ktorým sa danej organizácii umožňuje diagnostikovať zraniteľnosť a zabezpečiť jej nápravu pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Koordinované zverejňovanie informácií o zraniteľnosti by malo zahŕňať aj koordináciu medzi oznamujúcim subjektom a organizáciou, pokiaľ ide o načasovanie nápravy a zverejnenie zraniteľností. |
Pozmeňujúci návrh 30
Návrh smernice
Odôvodnenie 28 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(28a) Komisia, agentúra ENISA a členské štáty by mali naďalej podporovať medzinárodné zosúladenie s normami a existujúcimi najlepšími odvetvovými postupmi v oblasti riadenia rizík, napríklad v oblastiach posudzovania bezpečnosti dodávateľského reťazca, zdieľania informácií a zverejňovania informácií o zraniteľnosti. |
Pozmeňujúci návrh 31
Návrh smernice
Odôvodnenie 29
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(29) Členské štáty by preto mali prijať opatrenia na uľahčenie koordinovaného zverejňovania informácií o zraniteľnostiach zavedením príslušnej vnútroštátnej politiky. V tejto súvislosti by členské štáty mali určiť jednotku CSIRT, ktorá by prevzala úlohu „koordinátora“, ktorý by v prípade potreby pôsobil ako sprostredkovateľ medzi oznamujúcimi subjektmi a výrobcami alebo poskytovateľmi produktov alebo služieb IKT. Úlohy koordinátora jednotiek CSIRT by mali zahŕňať najmä identifikáciu a kontaktovanie dotknutých subjektov, podporu oznamujúcich subjektov, rokovania o harmonograme zverejňovania informácií a riadenie koordinovaného zverejňovania informácií o zraniteľnosti, ktoré majú vplyv na viaceré organizácie (zverejňovanie informácií o zraniteľnosti viacerých strán). Ak majú zraniteľnosti vplyv na viacerých výrobcov alebo poskytovateľov produktov alebo služieb IKT usadených vo viac ako jednom členskom štáte, určené jednotky CSIRT z každého dotknutého členského štátu by mali spolupracovať v rámci siete jednotiek CSIRT. |
(29) Členské štáty v spolupráci s agentúrou ENISA by preto mali prijať opatrenia na uľahčenie koordinovaného zverejňovania informácií o zraniteľnostiach zavedením príslušnej vnútroštátnej politiky. V rámci tejto vnútroštátnej politiky by členské štáty mali riešiť problémy, s ktorými sa stretávajú výskumní pracovníci zaoberajúci sa zraniteľnosťami. Subjekty a fyzické osoby, ktoré skúmajú zraniteľnosti, môžu byť v niektorých členských štátoch vystavení trestnej a občianskoprávnej zodpovednosti. Členské štáty sa preto nabádajú, aby vydali usmernenia, pokiaľ ide o nestíhanie výskumu v oblasti bezpečnosti informácií a vyňatie týchto činností z občianskoprávnej zodpovednosti. |
Pozmeňujúci návrh 32
Návrh smernice
Odôvodnenie 29 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(29a) Členské štáty by mali určiť jednotku CSIRT, ktorá by prevzala úlohu „koordinátora“, ktorý by v prípade potreby pôsobil ako sprostredkovateľ medzi oznamujúcimi subjektmi a výrobcami alebo poskytovateľmi produktov alebo služieb IKT, v prípade ktorých je pravdepodobné, že budú dotknuté zraniteľnosťami. Úlohy koordinátora jednotiek CSIRT by mali zahŕňať najmä identifikáciu a kontaktovanie dotknutých subjektov, podporu oznamujúcich subjektov, rokovania o harmonograme zverejňovania informácií a riadenie zraniteľností, ktoré majú vplyv na viaceré organizácie (zverejňovanie informácií o zraniteľnosti viacerých strán). Ak majú zraniteľnosti vplyv na viacerých výrobcov alebo poskytovateľov produktov alebo služieb IKT usadených vo viac ako jednom členskom štáte, určené jednotky CSIRT z každého dotknutého členského štátu by mali spolupracovať v rámci siete jednotiek CSIRT. |
Pozmeňujúci návrh 33
Návrh smernice
Odôvodnenie 30
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(30) Prístup k správnym a včasným informáciám o zraniteľnostiach ovplyvňujúcich produkty a služby IKT prispieva k lepšiemu riadeniu kybernetickobezpečnostných rizík. V tejto súvislosti sú zdroje verejne dostupných informácií o zraniteľnostiach dôležitým nástrojom pre subjekty a ich používateľov, ale aj pre príslušné vnútroštátne orgány a jednotky CSIRT. Agentúra ENISA by preto mala zriadiť register zraniteľností, v ktorom by kľúčové a dôležité subjekty a ich dodávatelia, ako aj subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, mohli dobrovoľne zverejňovať zraniteľnosti a poskytovať o nich informácie, ktoré používateľom umožnia prijať vhodné zmierňujúce opatrenia. |
(30) Prístup k správnym a včasným informáciám o zraniteľnostiach ovplyvňujúcich produkty a služby IKT prispieva k lepšiemu riadeniu kybernetickobezpečnostných rizík. Zdroje verejne dostupných informácií o zraniteľnostiach sú dôležitým nástrojom pre subjekty a ich používateľov, ale aj pre príslušné vnútroštátne orgány a jednotky CSIRT. Agentúra ENISA by preto mala zriadiť databázu zraniteľností, v ktorej by kľúčové a dôležité subjekty a ich dodávatelia, ako aj subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, mohli dobrovoľne zverejňovať zraniteľnosti a poskytovať o nich informácie, ktoré používateľom umožnia prijať vhodné zmierňujúce opatrenia. Cieľom tejto databázy je riešiť jedinečné výzvy, ktoré predstavujú kybernetickobezpečnostné riziká pre európske subjekty. Agentúra ENISA by okrem toho mala zaviesť zodpovedný postup, pokiaľ ide o proces uverejňovania, s cieľom poskytnúť subjektom čas na prijatie opatrení na zmiernenie ich zraniteľností, a zaviesť najmodernejšie kybernetickobezpečnostné opatrenia, ako aj strojovo čitateľné súbory údajov a zodpovedajúce rozhrania (API). S cieľom podporiť kultúru zverejňovania informácií o zraniteľnostiach by zverejnenie nemalo spôsobiť ujmu oznamujúcemu subjektu. |
Pozmeňujúci návrh 34
Návrh smernice
Odôvodnenie 31
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(31) Hoci podobné registre alebo databázy zraniteľností existujú, ich hostiteľmi a správcami sú subjekty, ktoré nie sú usadené v Únii. Európsky register zraniteľností, ktorý vedie agentúra ENISA, by zabezpečil lepšiu transparentnosť, pokiaľ ide o proces uverejňovania pred tým, ako je daná zraniteľnosť oficiálne oznámená, ako aj odolnosť v prípade narušenia alebo prerušenia poskytovania podobných služieb. Agentúra ENISA by mala preskúmať možnosť uzatvorenia dohôd o štruktúrovanej spolupráci s podobnými registrami v jurisdikciách tretích krajín s cieľom zabrániť duplicite úsilia a usilovať sa v čo najväčšej možnej miere o komplementaritu. |
(31) Európska databáza zraniteľností spravovaná agentúrou ENISA by mala využívať register spoločných zraniteľností a expozícií (Common Vulnerabilities and Exposures – CVE) prostredníctvom použitia svojho rámca pre identifikáciu, sledovanie a hodnotenie zraniteľností. S cieľom zabrániť duplicite úsilia a usilovať sa o komplementaritu by agentúra ENISA mala navyše preskúmať možnosť uzatvorenia dohôd o štruktúrovanej spolupráci s inými podobnými registrami alebo databázami v jurisdikciách tretích krajín. |
Pozmeňujúci návrh 35
Návrh smernice
Odôvodnenie 33
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(33) Pri vypracúvaní usmerňujúcich dokumentov by skupina pre spoluprácu mala dôsledne: zmapovať vnútroštátne riešenia a skúsenosti, posúdiť vplyv výstupov skupiny pre spoluprácu na vnútroštátne prístupy, diskutovať o výzvach pri vykonávaní a formulovať konkrétne odporúčania, ktorými sa má dosiahnuť lepšie vykonávanie existujúcich pravidiel. |
(33) Pri vypracúvaní usmerňujúcich dokumentov by skupina pre spoluprácu mala dôsledne: zmapovať vnútroštátne riešenia a skúsenosti, posúdiť vplyv výstupov skupiny pre spoluprácu na vnútroštátne prístupy, diskutovať o výzvach pri vykonávaní a formulovať konkrétne odporúčania, ktorými sa má dosiahnuť lepšie vykonávanie existujúcich pravidiel, najmä pokiaľ ide o uľahčenie zosúladenia pri transpozícii tejto smernice medzi členskými štátmi. Skupina pre spoluprácu by mala zmapovať aj vnútroštátne riešenia s cieľom podporiť kompatibilitu riešení v oblasti kybernetickej bezpečnosti uplatňovaných v každom konkrétnom odvetví v celej Únii. Týka sa to najmä odvetví, ktoré majú medzinárodný a cezhraničný charakter. |
Pozmeňujúci návrh 36
Návrh smernice
Odôvodnenie 34
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(34) Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mala by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny a zhromažďovať informácie o nových politických výzvach. S cieľom posilniť spoluprácu na úrovni Únie by skupina mala zvážiť prizývanie orgánov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako je Európske centrum boja proti počítačovej kriminalite (EC3), Agentúra Európskej únie pre bezpečnosť letectva (EASA) a Agentúra Európskej únie pre vesmírny program (EUSPA), k účasti na jej práci. |
(34) Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mala by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny a zhromažďovať informácie o nových politických výzvach. S cieľom posilniť spoluprácu na úrovni Únie by skupina mala zvážiť prizývanie príslušných orgánov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako je Europol, Agentúra Európskej únie pre bezpečnosť letectva (EASA) a Agentúra Európskej únie pre vesmírny program (EUSPA), k účasti na jej práci. |
Pozmeňujúci návrh 37
Návrh smernice
Odôvodnenie 35
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(35) Príslušné orgány a jednotky CSIRT by mali mať možnosť zúčastňovať sa na výmenných programoch pre úradníkov z iných členských štátov s cieľom zlepšovať spoluprácu. Príslušné orgány by mali prijať potrebné opatrenia, ktoré úradníkom z iných členských štátov umožnia zohrávať účinnú úlohu v činnostiach hostiteľského príslušného orgánu. |
(35) Príslušné orgány a jednotky CSIRT by mali mať možnosť zúčastňovať sa na výmenných programoch pre úradníkov z iných členských štátov v rámci štruktúrovaných pravidiel a mechanizmov podporujúcich rozsah pôsobnosti a prípadne požadovanú bezpečnostnú previerku úradníkov zúčastňujúcich sa na takýchto výmenných programoch s cieľom zlepšovať spoluprácu a posilniť dôveru medzi členskými štátmi. Príslušné orgány by mali prijať potrebné opatrenia, ktoré úradníkom z iných členských štátov umožnia zohrávať účinnú úlohu v činnostiach hostiteľského príslušného orgánu alebo jednotky CSIRT. |
Pozmeňujúci návrh 38
Návrh smernice
Odôvodnenie 36
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(36) Únia by v prípade potreby mala v súlade s článkom 218 ZFEÚ uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, ktorými môže povoľovať a organizovať ich účasť na niektorých činnostiach skupiny pre spoluprácu a siete jednotiek CSIRT. Takýmito dohodami by sa mala zabezpečiť primeraná ochrana údajov. |
(36) Únia by v prípade potreby mala v súlade s článkom 218 ZFEÚ uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, ktorými môže povoľovať a organizovať ich účasť na niektorých činnostiach skupiny pre spoluprácu a siete jednotiek CSIRT. Takýmito dohodami by sa mali zabezpečiť záujmy Únie a primeraná ochrana údajov. Tým sa nevylučuje právo členských štátov spolupracovať s podobne zmýšľajúcimi tretími krajinami v oblasti riadenia zraniteľností a riadenia rizík kybernetickej bezpečnosti s cieľom uľahčiť podávanie správ a všeobecné zdieľanie informácií v súlade s právom Únie. |
Pozmeňujúci návrh 39
Návrh smernice
Odôvodnenie 38
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(38) Na účely tejto smernice by sa pojem „riziko“ mal vzťahovať na potenciál straty alebo narušenia v dôsledku kybernetickobezpečnostného incidentu a mal by sa vyjadriť ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu daného incidentu. |
vypúšťa sa |
Pozmeňujúci návrh 40
Návrh smernice
Odôvodnenie 39
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(39) Na účely tejto smernice by sa pojem „udalosti odvrátené v poslednej chvíli“ mal vzťahovať na udalosť, ktorá by mohla spôsobiť škodu, ale úspešne sa zabránilo jej prejaveniu v plnej miere. |
vypúšťa sa |
Pozmeňujúci návrh 41
Návrh smernice
Odôvodnenie 40
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(40) Opatrenia na riadenie rizika by mali zahŕňať opatrenia na identifikáciu rizika incidentov, opatrenia na predchádzanie incidentom a ich odhaľovanie a zvládanie, ako aj opatrenia na zmiernenie ich vplyvu. Bezpečnosť sietí a informačných systémov by mala zahŕňať bezpečnosť uchovávaných, prenášaných a spracúvaných údajov. |
(40) Opatrenia na riadenie rizika by mali zahŕňať opatrenia na identifikáciu všetkých rizík incidentov, opatrenia na predchádzanie incidentom, ich odhaľovanie, reakciu na ne a zotavenie sa z nich, ako aj opatrenia na zmiernenie ich vplyvu. Bezpečnosť sietí a informačných systémov by mala zahŕňať bezpečnosť uchovávaných, prenášaných a spracúvaných údajov. Tieto systémy by mali zabezpečovať systémovú analýzu, pri ktorej sa rozčlenia rôzne procesy a interakcie medzi subsystémami a zohľadní sa ľudský faktor, s cieľom získať úplný obraz o bezpečnosti informačného systému. |
Pozmeňujúci návrh 42
Návrh smernice
Odôvodnenie 41
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(41) S cieľom vyhnúť sa neprimeranému finančnému a administratívnemu zaťaženiu kľúčových a dôležitých subjektov by požiadavky na riadenie kybernetickobezpečnostných rizík mali byť primerané riziku, ktorým čelí daná sieť a daný informačný systém, berúc pritom do úvahy najnovší technický vývoj v oblasti takýchto opatrení. |
(41) S cieľom vyhnúť sa neprimeranému finančnému a administratívnemu zaťaženiu kľúčových a dôležitých subjektov by požiadavky na riadenie kybernetickobezpečnostných rizík mali byť primerané riziku, ktorým čelí daná sieť a daný informačný systém, berúc pritom do úvahy najnovší technický vývoj v oblasti takýchto opatrení a európske alebo medzinárodné normy, ako sú ISO 31000 a ISA/IEC 27005. |
Pozmeňujúci návrh 43
Návrh smernice
Odôvodnenie 43
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(43) Riešenie kybernetickobezpečnostných rizík vyplývajúcich z dodávateľského reťazca subjektu a jeho vzťahu s dodávateľmi je obzvlášť dôležité vzhľadom na výskyt incidentov, keď sa subjekty stali obeťami kybernetických útokov a keď aktéri s nekalými úmyslami dokázali ohroziť bezpečnosť sietí a informačných systémov subjektu využívaním zraniteľností a zasiahnuť tak produkty a služby tretích strán. Subjekty by preto mali posúdiť a zohľadniť celkovú kvalitu produktov a postupy svojich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich bezpečných vývojových postupov. |
(43) Riešenie kybernetickobezpečnostných rizík vyplývajúcich z dodávateľského reťazca subjektu a jeho vzťahu s dodávateľmi, ako sú poskytovatelia služieb ukladania a spracúvania dát alebo riadených bezpečnostných služieb, je obzvlášť dôležité vzhľadom na výskyt incidentov, keď sa subjekty stali obeťami útokov na siete a informačné systémy a keď aktéri s nekalými úmyslami dokázali ohroziť bezpečnosť sietí a informačných systémov subjektu využívaním zraniteľností a zasiahnuť tak produkty a služby tretích strán. Subjekty by preto mali posúdiť a zohľadniť celkovú kvalitu a odolnosť produktov a služieb, kybernetickobezpečnostné opatrenia, ktoré zahŕňajú, a postupy svojich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich bezpečných vývojových postupov. Subjekty by sa mali nabádať najmä k tomu, aby začlenili kybernetickobezpečnostné opatrenia do zmluvných dohôd so svojimi dodávateľmi a poskytovateľmi služieb prvej úrovne. Subjekty by mohli zohľadniť kybernetickobezpečnostné riziká, ktoré vyplývajú zo strany dodávateľov a poskytovateľov služieb ďalších úrovní. |
Pozmeňujúci návrh 44
Návrh smernice
Odôvodnenie 44
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(44) Spomedzi poskytovateľov služieb zohrávajú poskytovatelia riadených bezpečnostných služieb (MSSP) osobitne dôležitú úlohu v pomoci subjektom v ich úsilí o odhaľovanie incidentov a reakciu na ne, a to v takých oblastiach, ako je reakcia na incidenty, penetračné testovanie, bezpečnostné audity a poradenstvo. Avšak aj samotní poskytovatelia MSSP boli cieľom kybernetických útokov a ich úzke zapojenie do činnosti prevádzkovateľov predstavuje osobitné kybernetickobezpečnostné riziko. Subjekty by preto mali výberu poskytovateľa MSSP venovať zvýšenú pozornosť. |
(44) Spomedzi poskytovateľov služieb zohrávajú poskytovatelia riadených bezpečnostných služieb (MSSP) osobitne dôležitú úlohu v pomoci subjektom v ich úsilí o prevenciu, odhaľovanie incidentov, reakciu na ne alebo zotavenie sa z nich, a to v takých oblastiach, ako je reakcia na incidenty, penetračné testovanie, bezpečnostné audity a poradenstvo. Avšak aj samotní poskytovatelia MSSP boli cieľom kybernetických útokov a ich úzke zapojenie do činnosti prevádzkovateľov predstavuje osobitné kybernetickobezpečnostné riziko. Subjekty by preto mali výberu poskytovateľa MSSP venovať zvýšenú pozornosť. |
Pozmeňujúci návrh 45
Návrh smernice
Odôvodnenie 45
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(45) Subjekty by mali riešiť aj kybernetickobezpečnostné riziká vyplývajúce z ich interakcií a vzťahov s inými zainteresovanými stranami v rámci širšieho ekosystému. Predovšetkým by mali prijať vhodné opatrenia, aby sa ich spolupráca s akademickými a výskumnými inštitúciami uskutočňovala v súlade s ich politikami v oblasti kybernetickej bezpečnosti a aby sa riadila osvedčenými postupmi, pokiaľ ide o bezpečný prístup k informáciám a ich šírenie vo všeobecnosti, a najmä o ochranu duševného vlastníctva. Podobne by subjekty, ktoré závisia od služieb v oblasti transformácie údajov a analýzy údajov od tretích strán, mali prijať všetky vhodné kybernetickobezpečnostné opatrenia, a to vzhľadom na význam a hodnotu údajov pre činnosti subjektov. |
(45) Subjekty by mali riešiť aj kybernetickobezpečnostné riziká vyplývajúce z ich interakcií a vzťahov s inými zainteresovanými stranami v rámci širšieho ekosystému, a to aj s cieľom bojovať proti priemyselnej špionáži a chrániť obchodné tajomstvo. Predovšetkým by mali prijať vhodné opatrenia, aby sa ich spolupráca s akademickými a výskumnými inštitúciami uskutočňovala v súlade s ich politikami v oblasti kybernetickej bezpečnosti a aby sa riadila osvedčenými postupmi, pokiaľ ide o bezpečný prístup k informáciám a ich šírenie vo všeobecnosti, a najmä o ochranu duševného vlastníctva. Podobne by subjekty, ktoré závisia od služieb v oblasti transformácie údajov a analýzy údajov od tretích strán, mali prijať všetky vhodné kybernetickobezpečnostné opatrenia, a to vzhľadom na význam a hodnotu údajov pre činnosti subjektov. |
Pozmeňujúci návrh 46
Návrh smernice
Odôvodnenie 45 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(45a) Subjekty by mali prijať širokú škálu základných postupov v oblasti kybernetickej hygieny, ako sú architektúra nulovej dôvery, aktualizácie softvéru, konfigurácia zariadení, segmentácia siete, správa identity a prístupu alebo informovanosť používateľov, a organizovať školenia pre svojich zamestnancov zamerané na kybernetické hrozby pre podnikové e-maily, phishing alebo techniky sociálneho inžinierstva. Okrem toho by subjekty mali vyhodnotiť vlastné spôsobilosti v oblasti kybernetickej bezpečnosti a prípadne sa usilovať o integráciu technológií posilňujúcich kybernetickú bezpečnosť a využívajúcich umelú inteligenciu alebo systémy strojového učenia s cieľom automatizovať svoje spôsobilosti a ochranu sieťovej architektúry. |
Pozmeňujúci návrh 47
Návrh smernice
Odôvodnenie 46
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(46) V záujme ďalšieho riešenia rizík kľúčového dodávateľského reťazca a pomoci subjektom pôsobiacim v odvetviach, na ktoré sa vzťahuje táto smernica, pri náležitom riadení kybernetickobezpečnostných rizík súvisiacich s dodávateľským reťazcom a dodávateľmi, by skupina pre spoluprácu, do ktorej sú zapojené príslušné vnútroštátne orgány, mala v spolupráci s Komisiou a agentúrou ENISA vykonať koordinované odvetvové posúdenia rizík dodávateľského reťazca, ktoré sa už vykonali v prípade sietí 5G v nadväznosti na odporúčanie (EÚ) 2019/534 o kybernetickej bezpečnosti sietí 5G21 s cieľom identifikovať za každé odvetvie kritické služby, systémy alebo produkty IKT, relevantné hrozby a zraniteľnosti. |
(46) V záujme ďalšieho riešenia rizík kľúčového dodávateľského reťazca a pomoci subjektom pôsobiacim v odvetviach, na ktoré sa vzťahuje táto smernica, pri náležitom riadení kybernetickobezpečnostných rizík súvisiacich s dodávateľským reťazcom a dodávateľmi, by skupina pre spoluprácu, do ktorej sú zapojené príslušné vnútroštátne orgány, mala v spolupráci s Komisiou a agentúrou ENISA vykonať koordinované posúdenia rizík dodávateľského reťazca, ktoré sa už vykonali v prípade sietí 5G v nadväznosti na odporúčanie (EÚ) 2019/534 o kybernetickej bezpečnosti sietí 5G21 s cieľom identifikovať za každé odvetvie kritické služby, systémy alebo produkty IKT a IKS, relevantné hrozby a zraniteľnosti. Takéto posúdenia rizík by mali určiť opatrenia, plány zmierňovania a najlepšie postupy vo vzťahu ku kritickým závislostiam, potenciálnym jediným bodom zlyhania, hrozbám, zraniteľnostiam a ďalším rizikám spojeným s dodávateľským reťazcom a mali by preskúmať spôsoby, ako ďalej podporovať ich širšie prijatie subjektmi. Potenciálne netechnické rizikové faktory, ako je neprimeraný vplyv tretej krajiny na dodávateľov a poskytovateľov služieb, najmä v prípade alternatívnych modelov riadenia, zahŕňajú skryté zraniteľnosti alebo zadné vrátka a potenciálne systémové narušenie dodávok, najmä v prípade odkázanosti na určitého dodávateľa technológie alebo závislosti od poskytovateľa. |
__________________ |
__________________ |
21 Odporúčanie Komisie (EÚ) 2019/534 z 26. marca 2019 Kybernetická bezpečnosť sietí 5G (Ú. v. EÚ L 88, 29.3.2019, s. 42). |
21 Odporúčanie Komisie (EÚ) 2019/534 z 26. marca 2019 Kybernetická bezpečnosť sietí 5G (Ú. v. EÚ L 88, 29.3.2019, s. 42). |
Pozmeňujúci návrh 48
Návrh smernice
Odôvodnenie 47
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(47) Pri posudzovaní rizík v dodávateľskom reťazci by sa vzhľadom na vlastnosti dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory vrátane tých, ktoré sú vymedzené v odporúčaní (EÚ) 2019/534, v celoeurópskom koordinovanom posúdení rizika bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu rizika, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby, systémy alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb, systémov alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb, systémov alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb, systémov alebo produktov IKT voči rušivým udalostiam a v) v prípade vznikajúcich služieb, systémov alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. |
(47) Pri posudzovaní rizík v dodávateľskom reťazci by sa vzhľadom na vlastnosti dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory vrátane tých, ktoré sú vymedzené v odporúčaní (EÚ) 2019/534, v celoeurópskom koordinovanom posúdení rizika bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu rizika, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby, systémy alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb, systémov alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb, systémov alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb, systémov alebo produktov IKT počas celého ich životného cyklu voči rušivým udalostiam a v) v prípade vznikajúcich služieb, systémov alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. Okrem toho by sa osobitný dôraz mal klásť na služby, systémy alebo produkty IKT, na ktoré sa vzťahujú osobitné požiadavky, ktoré pochádzajú z tretích krajín. |
Pozmeňujúci návrh 49
Návrh smernice
Odôvodnenie 47 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(47a) Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti zriadená podľa článku 22 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/8811a by mala vydať stanovisko k posúdeniam bezpečnostných rizík konkrétnych kritických služieb, systémov alebo produktov IKT a IKS v rámci dodávateľského reťazca. Skupina pre spoluprácu a agentúra ENISA by mali toto stanovisko zohľadniť. |
|
__________________ |
|
1a Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15). |
Pozmeňujúci návrh 50
Návrh smernice
Odôvodnenie 50
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(50) Vzhľadom na rastúci význam interpersonálnych komunikačných služieb nezávislých od číslovania je potrebné zabezpečiť, aby takéto služby tiež podliehali príslušným bezpečnostným požiadavkám vzhľadom na ich špecifický charakter a hospodársky význam. Poskytovatelia takýchto služieb by preto mali takisto zabezpečiť takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. Vzhľadom na to, že poskytovatelia interpersonálnych komunikačných služieb nezávislých od číslovania obyčajne nevykonávajú samotnú kontrolu nad prenosom signálov v sieťach, stupeň rizika sa v prípade takýchto služieb môže v niektorých aspektoch považovať za nižší ako v prípade tradičných elektronických komunikačných služieb. To isté platí pre interpersonálne komunikačné služby, ktoré využívajú čísla a ktoré nevykonávajú skutočnú kontrolu nad prenosom signálu. |
(50) Vzhľadom na rastúci význam interpersonálnych komunikačných služieb nezávislých od číslovania je potrebné zabezpečiť, aby takéto služby tiež podliehali príslušným bezpečnostným požiadavkám vzhľadom na ich špecifický charakter a hospodársky význam. Poskytovatelia takýchto služieb by preto mali takisto zabezpečiť takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. Vzhľadom na to, že poskytovatelia interpersonálnych komunikačných služieb nezávislých od číslovania obyčajne nevykonávajú samotnú kontrolu nad prenosom signálov v sieťach, stupeň rizika pre bezpečnosť siete sa v prípade takýchto služieb môže v niektorých aspektoch považovať za nižší ako v prípade tradičných elektronických komunikačných služieb. To isté platí pre interpersonálne komunikačné služby, ktoré využívajú čísla a ktoré nevykonávajú skutočnú kontrolu nad prenosom signálu. Keďže však priestor na útoky sa naďalej rozširuje, interpersonálne komunikačné služby nezávislé od číslovania, okrem iného vrátane sociálnych médií pre zasielanie správ, sa stávajú populárnymi vektormi útokov. Aktéri s nekalými úmyslami využívajú platformy na komunikáciu s obeťami a ich nalákanie na otvorenie napadnutých webových stránok, čím sa zvyšuje pravdepodobnosť incidentov zahŕňajúcich zneužívanie údajov, čo má následne vplyv na bezpečnosť informačných systémov. |
Pozmeňujúci návrh 51
Návrh smernice
Odôvodnenie 51
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(51) Vnútorný trh je viac než kedykoľvek predtým závislý od fungovania internetu. Služby prakticky všetkých kľúčových a dôležitých subjektov sú závislé od služieb poskytovaných cez internet. V záujme zabezpečenia bezproblémového poskytovania služieb kľúčovými a dôležitými subjektmi je dôležité, aby verejné elektronické komunikačné siete, ako sú napríklad internetové chrbticové siete alebo podmorské komunikačné káble, mali zavedené vhodné kybernetickobezpečnostné opatrenia a aby oznamovali incidenty, ktoré sa ich týkajú. |
(51) Vnútorný trh je viac než kedykoľvek predtým závislý od fungovania internetu. Služby prakticky všetkých kľúčových a dôležitých subjektov sú závislé od služieb poskytovaných cez internet. V záujme zabezpečenia bezproblémového poskytovania služieb kľúčovými a dôležitými subjektmi je dôležité, aby všetky verejné elektronické komunikačné siete, ako sú napríklad internetové chrbticové siete alebo podmorské komunikačné káble, mali zavedené vhodné kybernetickobezpečnostné opatrenia a aby oznamovali závažné incidenty, ktoré sa ich týkajú. Členské štáty by mali zabezpečiť zachovanie integrity a dostupnosti týchto verejných elektronických komunikačných sietí a mali by zvážiť ich ochranu pred sabotážou a špionážou zásadného bezpečnostného záujmu. Informácie o incidentoch, napríklad týkajúcich sa podmorských komunikačných káblov, by sa mali aktívne zdieľať medzi členskými štátmi. |
Pozmeňujúci návrh 52
Návrh smernice
Odôvodnenie 52
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(52) V prípade potreby by subjekty mali informovať príjemcov svojich služieb o konkrétnych a významných hrozbách a o opatreniach, ktoré môžu prijať na zmiernenie vyplývajúceho rizika. Požiadavka informovať týchto príjemcov o takýchto hrozbách by nemala subjekty zbaviť povinnosti na vlastné náklady prijať vhodné a okamžité opatrenia na prevenciu alebo odstránenie akýchkoľvek kybernetických hrozieb a obnovenie bežnej úrovne bezpečnosti služby. Takéto informácie o bezpečnostných hrozbách by sa mali príjemcom poskytovať bezplatne. |
(52) V prípade potreby by subjekty mali informovať príjemcov svojich služieb o konkrétnych a významných hrozbách a o opatreniach, ktoré môžu prijať na zmiernenie vyplývajúceho rizika. Subjekty by tým nemali byť zbavené povinnosti na vlastné náklady prijať vhodné a okamžité opatrenia na prevenciu alebo odstránenie akýchkoľvek kybernetických hrozieb a obnovenie bežnej úrovne bezpečnosti služby. Takéto informácie o bezpečnostných hrozbách by sa mali príjemcom poskytovať bezplatne a mali by byť formulované v ľahko zrozumiteľnom jazyku. |
Pozmeňujúci návrh 53
Návrh smernice
Odôvodnenie 53
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(53) Poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb by mali predovšetkým informovať príjemcov služieb o konkrétnych a významných kybernetických hrozbách a o opatreniach, ktoré môžu prijať na ochranu bezpečnosti svojej komunikácie, napríklad použitím určitých typov softvéru alebo šifrovacích technológií. |
(53) Poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb by mali zaviesť bezpečnosť už v štádiu návrhu a bezpečnosť ako štandard a informovať príjemcov služieb o konkrétnych a významných kybernetických hrozbách a o opatreniach, ktoré môžu prijať na ochranu bezpečnosti svojich zariadení a svojej komunikácie, napríklad použitím určitých typov šifrovacieho softvéru alebo iných bezpečnostných technológií zameraných na dáta. |
Pozmeňujúci návrh 54
Návrh smernice
Odôvodnenie 54
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(54) S cieľom zaistiť bezpečnosť elektronických komunikačných sietí a služieb by sa malo podporovať používanie šifrovania, a najmä šifrovania medzi koncovými bodmi, a v prípade potreby by malo byť povinné pre poskytovateľov takýchto služieb a sietí v súlade so zásadami štandardnej a špecificky navrhnutej bezpečnosti a ochrany súkromia na účely článku 18. Používanie šifrovania medzi koncovými bodmi by sa malo zosúladiť s právomocami členských štátov na zabezpečenie ochrany ich základných bezpečnostných záujmov a verejnej bezpečnosti a na umožnenie vyšetrovania, odhaľovania a stíhania trestných činov v súlade s právom Únie. Riešenia na účely zákonného prístupu k informáciám v koncovej šifrovanej komunikácii by mali zachovať účinnosť šifrovania pri ochrane súkromia a bezpečnosti komunikácií a zároveň poskytovať účinnú reakciu na trestnú činnosť. |
(54) S cieľom zaistiť bezpečnosť elektronických komunikačných sietí a služieb by sa malo podporovať používanie šifrovania a ďalšíchbezpečnostných technológií zameraných na dáta, ako je tokenizácia, segmentácia, regulácia prístupu, označovanie, anotovanie, silná správa identity a prístupu a automatizované rozhodnutia o prístupe, a v prípade potreby by malo byť povinné pre poskytovateľov takýchto služieb a sietí v súlade so zásadami štandardnej a špecificky navrhnutej bezpečnosti a ochrany súkromia na účely článku 18. Používanie šifrovania medzi koncovými bodmi by sa malo zosúladiť s právomocami členských štátov na zabezpečenie ochrany ich základných bezpečnostných záujmov a verejnej bezpečnosti a na umožnenie vyšetrovania, odhaľovania a stíhania trestných činov v súlade s právom Únie. Nemalo by to však viesť k úsiliu o oslabenie šifrovania medzi koncovými bodmi, ktoré je zásadnou technológiou pre účinnú ochranu údajov a súkromia. |
Pozmeňujúci návrh 55
Návrh smernice
Odôvodnenie 54 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(54a) S cieľom zaistiť bezpečnosť a zabrániť zneužívaniu elektronických komunikačných sietí a služieb a manipulácii s nimi by sa malo podporovať používanie interoperabilných noriem bezpečného smerovania, aby sa zabezpečila integrita a spoľahlivosť funkcií smerovania v rámci celého ekosystému poskytovateľov internetu. |
Pozmeňujúci návrh 56
Návrh smernice
Odôvodnenie 54 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(54b) V záujme zabezpečenia funkčnosti a integrity internetu a obmedzenia bezpečnostných problémov týkajúcich sa DNS by sa mali príslušné zainteresované strany vrátane podnikov, poskytovateľov internetových služieb a predajcov prehliadačov v Únii nabádať k tomu, aby prijali stratégiu diverzifikácie rozlišovania DNS. Členské štáty by navyše mali podporovať rozvoj a používanie verejnej a bezpečnej európskej služby resolverov DNS. |
Pozmeňujúci návrh 57
Návrh smernice
Odôvodnenie 55
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(55) V tejto smernici sa stanovuje dvojfázový prístup k oznamovaniu incidentov s cieľom nájsť správnu rovnováhu medzi rýchlym oznamovaním na jednej strane, ktoré pomáha zmierniť potenciálne šírenie incidentov a umožňuje subjektom hľadať podporu, a na druhej strane podávaním podrobných správ, v ktorých sa čerpajú cenné ponaučenia z jednotlivých incidentov a časom sa zlepšuje odolnosť jednotlivých podnikov a celých odvetví voči kybernetickým hrozbám. Ak sa subjekty dozvedia o incidente, malo by sa od nich vyžadovať, aby do 24 hodín predložili prvotné oznámenie, po ktorom bude najneskôr do jedného mesiaca nasledovať konečná správa. Prvotné oznámenie by malo obsahovať len informácie, ktoré sú nevyhnutne potrebné na to, aby sa príslušné orgány dozvedeli o incidente a v prípade potreby umožnili subjektu požiadať o pomoc. V takomto oznámení by sa prípadne malo uviesť, či je incident pravdepodobne spôsobený protiprávnym alebo zlomyseľným konaním. Členské štáty by mali zabezpečiť, aby požiadavka na predloženie tohto prvotného oznámenia neodklonila zdroje oznamujúceho subjektu od činností súvisiacich s riešením incidentov, ktoré by sa mali uprednostniť. S cieľom zabrániť tomu, aby sa z dôvodu povinností oznamovania incidentov odkláňali zdroje od riešenia reakcie na incidenty alebo aby sa inak ohrozilo úsilie subjektov v tejto súvislosti, by členské štáty mali takisto stanoviť, že v riadne odôvodnených prípadoch a po dohode s príslušnými orgánmi alebo jednotkami CSIRT sa dotknutý subjekt môže odchýliť od lehoty 24 hodín pre prvotné oznámenie a od lehoty jedného mesiaca pre záverečnú správu. |
(55) V tejto smernici sa stanovuje dvojfázový prístup k oznamovaniu incidentov s cieľom nájsť správnu rovnováhu medzi rýchlym oznamovaním na jednej strane, ktoré pomáha zmierniť potenciálne šírenie incidentov a umožňuje subjektom hľadať podporu, a na druhej strane podávaním podrobných správ, v ktorých sa čerpajú cenné ponaučenia z jednotlivých incidentov a časom sa zlepšuje odolnosť jednotlivých podnikov a celých odvetví voči kybernetickým hrozbám. Ak sa subjekty dozvedia o incidente, malo by sa od nich vyžadovať, aby predložili prvotné oznámenie, po ktorom bude najneskôr do jedného mesiaca od predloženia prvotného oznámenia nasledovať komplexná správa. Harmonogram prvotného oznámenia incidentov by nemal subjektom brániť v tom, aby incidenty oznamovali skôr, aby mali možnosť rýchlo požiadať o podporu jednotky CSIRT s cieľom umožniť zmiernenie oznámeného incidentu a prípadne obmedziť jeho šírenie. Jednotky CSIRT môžu požiadať o priebežnú správu o relevantných aktualizáciách stavu, pričom zohľadnia reakciu oznamujúceho subjektu na incident a jeho úsilie o nápravu. |
Pozmeňujúci návrh 58
Návrh smernice
Odôvodnenie 55 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(55a) Závažný incident môže mať vplyv na dôvernosť, integritu alebo dostupnosť služby. Kľúčové a dôležité subjekty by mali jednotkám CSIRT oznamovať závažné incidenty, ktoré majú vplyv na dostupnosť ich služby, do 24 hodín od zistenia incidentu. Jednotkám CSIRT by mali oznamovať závažné incidenty, ktoré narúšajú dôvernosť a integritu ich služieb, do 72 hodín od zistenia incidentu. Rozlišovanie medzi typmi incidentov nie je založené na závažnosti incidentu, ale na ťažkostiach oznamujúceho subjektu pri posudzovaní incidentu, jeho závažnosti a schopnosti oznamovať informácie, ktoré môžu byť pre jednotku CSIRT užitočné. Prvotné oznámenie by malo obsahovať informácie, ktoré sú potrebné na to, aby sa jednotka CSIRT dozvedela o incidente, a na základe ktorých môže subjekt v prípade potreby požiadať o pomoc. Členské štáty by mali zabezpečiť, aby požiadavka na predloženie tohto prvotného oznámenia neodklonila zdroje oznamujúceho subjektu od činností súvisiacich s riešením incidentov, ktoré by sa mali uprednostniť. S cieľom ďalej zabrániť tomu, aby sa z dôvodu povinností oznamovania incidentov odkláňali zdroje od riešenia reakcie na incidenty alebo aby sa inak ohrozilo úsilie subjektov v tejto súvislosti, by členské štáty mali takisto stanoviť, že v riadne odôvodnených prípadoch a po dohode s jednotkami CSIRT sa dotknutý subjekt môže odchýliť od lehoty pre prvotné oznámenie a od lehoty pre komplexnú správu. |
Pozmeňujúci návrh 59
Návrh smernice
Odôvodnenie 59
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(59) Udržiavanie presných a úplných databáz doménových mien a registračných údajov (tzv. údajov WHOIS) a poskytovanie zákonného prístupu k takýmto údajom je nevyhnutné na zaistenie bezpečnosti, stability a odolnosti DNS, čo zase prispieva k vysokej spoločnej úrovni kybernetickej bezpečnosti v Únii. Ak spracúvanie zahŕňa osobné údaje, takéto spracúvanie musí byť v súlade s právnymi predpismi Únie o ochrane údajov. |
(59) Udržiavanie presných, overených a úplných databáz údajov o registrácii doménových mien (tzv. údajov WHOIS) je nevyhnutné na zaistenie bezpečnosti, stability a odolnosti DNS, čo zase prispieva k vysokej spoločnej úrovni kybernetickej bezpečnosti v Únii a k boju proti nezákonným činnostiam. Od správcov TLD a subjektov poskytujúcich služby registrácie doménových mien by sa preto malo vyžadovať, aby zhromažďovali údaje o registrácii doménových mien, ktoré by mali zahŕňať aspoň meno držiteľov domény, ich fyzickú a e-mailovú adresu, ako aj ich telefónne číslo. V praxi nemusia byť zhromaždené údaje vždy úplne presné, správcovia TLD a subjekty poskytujúce služby registrácie doménových mien by však mali prijať a zaviesť primerané postupy na overenie toho, či fyzické alebo právnické osoby žiadajúce alebo vlastniace doménové meno poskytli kontaktné údaje, na ktorých ich možno zastihnúť a očakávať od nich odpoveď. Pri použití prístupu „najlepšieho úsilia“ by tieto overovacie procesy mali odrážať súčasné najlepšie postupy používané v tomto odvetví. Tieto najlepšie postupy pri overovacom procese by mali odrážať pokrok dosiahnutý v procese elektronickej identifikácie. Správcovia TLD a subjekty poskytujúce služby registrácie doménových mien by mali svoje politiky a postupy zverejňovať na zabezpečenie integrity a dostupnosti údajov o registrácii doménových mien. Ak spracúvanie zahŕňa osobné údaje, takéto spracúvanie musí byť v súlade s právnymi predpismi Únie o ochrane údajov. |
Pozmeňujúci návrh 60
Návrh smernice
Odôvodnenie 60
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(60) Dostupnosť a včasná prístupnosť týchto údajov pre orgány verejnej moci vrátane príslušných orgánov podľa práva Únie alebo vnútroštátneho práva na predchádzanie trestným činom, ich vyšetrovanie alebo stíhanie, pre jednotky CERT, jednotky CSIRT, a pokiaľ ide o údaje ich klientov pre poskytovateľov elektronických komunikačných sietí a služieb a poskytovateľov kybernetickobezpečnostných technológií a služieb konajúcich v mene týchto klientov, je nevyhnutná na predchádzanie zneužívaniu systému doménových mien a boj proti tomuto zneužívaniu, najmä na predchádzanie kybernetickobezpečnostným incidentom, ich odhaľovanie a reakciu na ne. Takýto prístup by mal byť v súlade s právnymi predpismi Únie o ochrane údajov, pokiaľ ide o osobné údaje. |
(60) Dostupnosť a včasná prístupnosť údajov o registrácii doménových mien pre oprávnených záujemcov o prístup je nevyhnutná na účely kybernetickej bezpečnosti a pre boj proti nezákonným činnostiam v online ekosystéme. Od správcov TLD a subjektov poskytujúcich služby registrácie doménových mien by sa preto malo vyžadovať, aby oprávneným záujemcom o prístup umožnili zákonný prístup k špecifickým registračným údajom o doménových menách vrátane osobných údajov v súlade s právnymi predpismi Únie o ochrane údajov. Oprávnení záujemcovia o prístup by mali predložiť riadne odôvodnenú žiadosť o prístup k registračným údajom o doménových menách na základe práva Únie alebo vnútroštátneho práva a môžu zahŕňať príslušné orgány podľa práva Únie alebo vnútroštátneho práva na predchádzanie trestným činom, ich vyšetrovanie alebo stíhanie a vnútroštátne jednotky CERT alebo jednotky CSIRT. Členské štáty by mali zabezpečiť, aby správcovia TLD a subjekty, ktoré poskytujú služby registrácie doménových mien, bez zbytočného odkladu a v každom prípade do 72 hodín reagovali na žiadosti oprávnených záujemcov o prístup týkajúcich sa zverejnenia registračných údajov o doménových menách. Správcovia TLD a subjekty, ktoré poskytujú služby registrácie doménových mien, by mali stanoviť politiky a postupy uverejňovania a sprístupňovania registračných údajov vrátane dohôd o úrovni poskytovaných služieb na vybavovanie žiadostí o prístup od oprávnených záujemcov o prístup. Postup týkajúci sa udelenia prístupu môže zahŕňať aj použitie rozhrania, portálu alebo iných technických nástrojov na zabezpečenie účinného systému na podávanie žiadostí o registračné údaje a prístup k nim. S cieľom podporovať harmonizované postupy na celom vnútornom trhu môže Komisia prijať usmernenia o takýchto postupoch bez toho, aby boli dotknuté právomoci Európskeho výboru pre ochranu údajov. |
Pozmeňujúci návrh 61
Návrh smernice
Odôvodnenie 61
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(61) S cieľom zabezpečiť dostupnosť presných a úplných údajov o registrácii doménových mien by mali správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD (tzv. registrátori) zhromažďovať registračné údaje o menách domén a zaručovať ich integritu a dostupnosť. Správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD by mali najmä stanoviť politiky a postupy na zhromažďovanie a uchovávanie presných a úplných registračných údajov, ako aj na predchádzanie nepresným registračným údajom a ich opravu v súlade s pravidlami Únie v oblasti ochrany údajov. |
vypúšťa sa |
Pozmeňujúci návrh 62
Návrh smernice
Odôvodnenie 62
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(62) Správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, by mali zverejňovať registračné údaje o doménových menách, ktoré nepatria do rozsahu pôsobnosti pravidiel Únie v oblasti ochrany údajov, ako sú údaje, ktoré sa týkajú právnických osôb25. Správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD by tiež mali oprávneným záujemcom o prístup umožniť zákonný prístup k špecifickým registračným údajom o doménových menách týkajúcim sa fyzických osôb v súlade s právnymi predpismi Únie o ochrane údajov. Členské štáty by mali zabezpečiť, aby správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, bezodkladne reagovali na žiadosti oprávnených záujemcov o prístup týkajúcich sa zverejnenia registračných údajov o doménových menách. Správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, by mali stanoviť politiky a postupy uverejňovania a sprístupňovania registračných údajov vrátane dohôd o úrovni poskytovaných služieb na vybavovanie žiadostí o prístup od oprávnených záujemcov o prístup. Postup týkajúci sa udelenia prístupu môže zahŕňať aj použitie rozhrania, portálu alebo iného technického nástroja na zabezpečenie účinného systému na podávanie žiadostí o registračné údaje a prístup k nim. S cieľom podporovať harmonizované postupy na celom vnútornom trhu môže Komisia prijať usmernenia o takýchto postupoch bez toho, aby boli dotknuté právomoci Európskeho výboru pre ochranu údajov. |
(62) Od správcov TLD a subjektov, ktoré poskytujú služby registrácie doménových mien, by sa malo vyžadovať, aby zverejnili registračné údaje o doménových menách, ktoré neobsahujú osobné údaje. Malo by sa rozlišovať medzi fyzickými a právnickými osobami25. V prípade právnických osôb by správcovia TLD a subjekty mali zverejňovať aspoň meno držiteľa domény, jeho fyzickú a e-mailovú adresu, ako aj jeho telefónne číslo. Od právnickej osoby by sa malo vyžadovať, aby buď poskytla všeobecnú e-mailovú adresu, ktorá sa môže zverejniť, alebo poskytla súhlas s uverejnením osobnej e-mailovej adresy. Právnická osoba by mala byť schopná preukázať takýto súhlas na žiadosť správcov TLD a subjektov poskytujúcich služby registrácie doménových mien. |
__________________ |
__________________ |
25 Odôvodnenie 14 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679: „Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov, ktoré sa týka právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby.“ |
25 Odôvodnenie 14 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679: „Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov, ktoré sa týka právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby.“ |
Pozmeňujúci návrh 63
Návrh smernice
Odôvodnenie 63
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(63) Všetky kľúčové a dôležité subjekty podľa tejto smernice by mali patriť do jurisdikcie členského štátu, v ktorom poskytujú svoje služby. Ak subjekt poskytuje služby vo viac ako jednom členskom štáte, mal by patriť do samostatnej a súbežnej jurisdikcie každého z týchto členských štátov. Príslušné orgány týchto členských štátov by mali spolupracovať, vzájomne si pomáhať a v prípade potreby vykonávať spoločné opatrenia dohľadu. |
(63) Všetky kľúčové a dôležité subjekty podľa tejto smernice by mali patriť do jurisdikcie členského štátu, v ktorom poskytujú svoje služby alebo vykonávajú svoje činnosti. Ak subjekt poskytuje služby vo viac ako jednom členskom štáte, mal by patriť do samostatnej a súbežnej jurisdikcie každého z týchto členských štátov. Príslušné orgány týchto členských štátov by mali spolupracovať, vzájomne si pomáhať a v prípade potreby vykonávať spoločné opatrenia dohľadu. |
Pozmeňujúci návrh 64
Návrh smernice
Odôvodnenie 64
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(64) S cieľom zohľadniť cezhraničný charakter služieb a operácií poskytovateľov služieb DNS, správcov mien TLD, poskytovateľov sietí na sprístupňovanie obsahu, poskytovateľov služieb cloud computingu, poskytovateľov služieb dátového centra a poskytovateľov digitálnych služieb by mal mať právomoc nad týmito subjektmi len jeden členský štát. Právomoc by sa mala udeliť členskému štátu, v ktorom má príslušný subjekt hlavné miesto podnikateľskej činnosti v Únii. Kritérium miesta podnikateľskej činnosti na účely tejto smernice zahŕňa účinné vykonávanie činnosti prostredníctvom stabilných dojednaní. Právna forma takýchto dojednaní, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom. Spĺňanie tohto kritéria by nemalo závisieť od toho, či sa sieť a informačné systémy fyzicky nachádzajú na danom mieste; samotná prítomnosť a používanie takýchto systémov nepredstavuje hlavné miesto podnikateľskej činnosti, a preto nejde o rozhodujúce kritériá na určenie hlavného miesta podnikateľskej činnosti. Hlavným miestom podnikateľskej činnosti by malo byť miesto v Únii, kde sa prijímajú rozhodnutia týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík. Zvyčajne zodpovedá miestu ústredia spoločností v Únii. Ak sa takéto rozhodnutia neprijímajú v Únii, predpokladá sa, že hlavné miesto podnikateľskej činnosti by malo byť v členských štátoch, v ktorých majú subjekty miesto podnikateľskej činnosti s najvyšším počtom zamestnancov v Únii. Ak služby vykonáva skupina podnikov, hlavné miesto podnikateľskej činnosti riadiaceho podniku by sa malo považovať za hlavné miesto podnikateľskej činnosti skupiny podnikov. |
(64) S cieľom zohľadniť cezhraničný charakter služieb a operácií poskytovateľov služieb DNS, správcov mien TLD, poskytovateľov sietí na sprístupňovanie obsahu, poskytovateľov služieb cloud computingu, poskytovateľov služieb dátového centra a poskytovateľov digitálnych služieb by mal mať právomoc nad týmito subjektmi len jeden členský štát. Právomoc by sa mala udeliť členskému štátu, v ktorom má príslušný subjekt hlavné miesto podnikateľskej činnosti v Únii. Kritérium miesta podnikateľskej činnosti na účely tejto smernice zahŕňa účinné vykonávanie činnosti prostredníctvom stabilných dojednaní. Právna forma takýchto dojednaní, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom. Spĺňanie tohto kritéria by nemalo závisieť od toho, či sa sieť a informačné systémy fyzicky nachádzajú na danom mieste; samotná prítomnosť a používanie takýchto systémov nepredstavuje hlavné miesto podnikateľskej činnosti, a preto nejde o rozhodujúce kritériá na určenie hlavného miesta podnikateľskej činnosti. Hlavným miestom podnikateľskej činnosti by malo byť miesto v Únii, kde sa prijímajú rozhodnutia týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík. Zvyčajne zodpovedá miestu ústredia spoločností v Únii. Ak sa takéto rozhodnutia neprijímajú v Únii, malo by sa predpokladať, že hlavné miesto podnikateľskej činnosti je v členských štátoch, v ktorých majú subjekty buď miesto podnikateľskej činnosti s najvyšším počtom zamestnancov v Únii, alebo miesto podnikateľskej činnosti, kde sa vykonávajú kybernetickobezpečnostné operácie. Ak služby vykonáva skupina podnikov, hlavné miesto podnikateľskej činnosti riadiaceho podniku by sa malo považovať za hlavné miesto podnikateľskej činnosti skupiny podnikov. |
Pozmeňujúci návrh 65
Návrh smernice
Odôvodnenie 65 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(65a) Agentúra ENISA by mala vytvoriť a viesť register obsahujúci informácie o kľúčových a dôležitých subjektoch, ktoré zahŕňajú poskytovateľov služieb DNS, správcov mien TLD a poskytovateľov služieb cloud computingu, služieb dátových centier, sietí na sprístupňovania obsahu, online trhov, online vyhľadávačov a platforiem sociálnych sietí. Tieto kľúčové a dôležité subjekty by mali agentúre ENISA poskytovať svoje názvy, adresy a aktuálne kontaktné údaje. Akékoľvek zmeny týchto údajov by mali agentúre ENISA oznámiť bezodkladne a v každom prípade do dvoch týždňov odo dňa nadobudnutia účinnosti zmeny. Agentúra ENISA by mala postúpiť tieto informácie príslušnému jednotnému kontaktnému miestu. Od kľúčových a dôležitých subjektov predkladajúcich svoje informácie agentúre ENISA sa preto nevyžaduje, aby osobitne informovali príslušný orgán v rámci členského štátu. Agentúra ENISA by mala vytvoriť jednoduchý, verejne dostupný program aplikácií, ktorý by tieto subjekty mohli používať na aktualizáciu svojich informácií. Okrem toho by agentúra ENISA mala zaviesť príslušné protokoly pre klasifikáciu a riadenie informácií s cieľom zaistiť bezpečnosť a dôvernosť zverejnených informácií a obmedziť prístup, uchovávanie a prenos takýchto informácií na predpokladaných používateľov. |
Pozmeňujúci návrh 66
Návrh smernice
Odôvodnenie 66
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(66) Ak sa informácie, ktoré sa považujú za utajované podľa vnútroštátneho práva alebo práva Únie, vymieňajú, oznamujú alebo inak zdieľajú podľa ustanovení tejto smernice, mali by sa uplatňovať zodpovedajúce osobitné pravidlá zaobchádzania s utajovanými skutočnosťami. |
(66) Ak sa informácie, ktoré sa považujú za utajované v súlade s vnútroštátnym právom alebo právom Únie, vymieňajú, oznamujú alebo inak zdieľajú podľa ustanovení tejto smernice, mali by sa uplatňovať zodpovedajúce osobitné pravidlá zaobchádzania s utajovanými skutočnosťami. Okrem toho by agentúra ENISA mala mať zavedenú infraštruktúru, postupy a pravidlá pre zaobchádzanie s citlivými a utajovanými skutočnosťami v súlade s platnými bezpečnostnými predpismi na ochranu utajovaných skutočností EÚ. |
Pozmeňujúci návrh 67
Návrh smernice
Odôvodnenie 68
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(68) Subjekty by sa mali nabádať, aby kolektívne využívali svoje individuálne znalosti a praktické skúsenosti na strategickej, taktickej a operačnej úrovni s cieľom zlepšiť svoje schopnosti primerane posudzovať kybernetické hrozby, monitorovať ich, brániť sa proti nim a reagovať na ne. Preto treba umožniť, aby sa na úrovni Únie vytvorili mechanizmy dohôd o dobrovoľnom zdieľaní informácií. Na tento účel by členské štáty mali aktívne podporovať a podnecovať aj príslušné subjekty, na ktoré sa nevzťahuje rozsah pôsobnosti tejto smernice, aby sa na takýchto mechanizmoch zdieľania informácií zúčastňovali. Tieto mechanizmy by sa mali vykonávať v plnom súlade s pravidlami Únie týkajúcimi sa hospodárskej súťaže, ako aj právnymi predpismi Únie v oblasti ochrany údajov. |
(68) Členské štáty by mali nabádať a podporovať subjekty, aby kolektívne využívali svoje individuálne znalosti a praktické skúsenosti na strategickej, taktickej a operačnej úrovni s cieľom zlepšiť svoje schopnosti primerane posudzovať kybernetické hrozby, monitorovať ich, brániť sa proti nim a reagovať na ne. Preto treba umožniť, aby sa na úrovni Únie vytvorili mechanizmy dohôd o dobrovoľnom zdieľaní informácií. Na tento účel by členské štáty mali aktívne podporovať a podnecovať aj príslušné subjekty, na ktoré sa nevzťahuje rozsah pôsobnosti tejto smernice, ako sú subjekty zamerané na služby a výskum v oblasti kybernetickej bezpečnosti, aby sa na takýchto mechanizmoch zdieľania informácií zúčastňovali. Tieto mechanizmy by sa mali vykonávať v plnom súlade s pravidlami Únie týkajúcimi sa hospodárskej súťaže, ako aj právnymi predpismi Únie v oblasti ochrany údajov. |
Pozmeňujúci návrh 68
Návrh smernice
Odôvodnenie 69
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(69) Spracúvanie osobných údajov v rozsahu, ktorý je nevyhnutne potrebný a primeraný na účely zaistenia bezpečnosti sietí a informácií subjektmi, orgánmi verejnej moci, jednotkami CERT, jednotkami CSIRT a poskytovateľmi bezpečnostných technológií a služieb, by malo predstavovať oprávnený záujem dotknutého prevádzkovateľa, ako sa uvádza v nariadení (EÚ) 2016/679. To by malo zahŕňať opatrenia týkajúce sa prevencie, odhaľovania a analýzy incidentov a reakcie na ne, opatrenia na zvýšenie informovanosti o konkrétnych kybernetických hrozbách, výmenu informácií v kontexte nápravy zraniteľnosti a koordinovaného zverejňovania, ako aj dobrovoľnú výmenu informácií o týchto incidentoch, ako aj o kybernetických hrozbách a zraniteľnostiach, ukazovatele kompromitácie, taktiky, techniky a postupy, kybernetickobezpečnostné varovania a konfiguračné nástroje. Takéto opatrenia si môžu vyžadovať spracovanie týchto druhov osobných údajov: IP adresy, jednotné vyhľadávače prostriedkov (URL), doménové mená a e-mailové adresy. |
(69) Spracúvanie osobných údajov v rozsahu, ktorý je nevyhnutne potrebný a primeraný na účely zaistenia bezpečnosti sietí a informácií kľúčovými a dôležitými subjektmi, jednotkami CSIRT a poskytovateľmi bezpečnostných technológií a služieb, je nevyhnutné na splnenie ich zákonných povinností stanovených v tejto smernici. Takéto spracúvanie osobných údajov môže byť potrebné aj na účely oprávnených záujmov, ktoré sledujú kľúčové a dôležité subjekty. Ak sa v tejto smernici vyžaduje spracúvanie osobných údajov na účely kybernetickej bezpečnosti sietí a informácií v súlade s ustanoveniami článkov 18, 20 a 23 smernice, toto spracúvanie sa považuje za nevyhnutné na splnenie zákonnej povinnosti, ako sa uvádza v článku 6 ods. 1 písm. c) nariadenia (EÚ) 2016/679. Na účely článkov 26 a 27 tejto smernice sa spracúvanie, ako sa uvádza v článku 6 ods. 1 písm. f) nariadenia (EÚ) 2016/679, považuje za nevyhnutné na účely oprávnených záujmov, ktoré sledujú kľúčové a dôležité subjekty. Opatrenia týkajúce sa prevencie, odhaľovania, identifikácie, obmedzovania následkov a analýzy incidentov a reakcie na ne, opatrenia na zvýšenie informovanosti o konkrétnych kybernetických hrozbách, výmenu informácií v kontexte nápravy zraniteľnosti a koordinovaného zverejňovania, ako aj dobrovoľnú výmenu informácií o týchto incidentoch, ako aj o kybernetických hrozbách a zraniteľnostiach, ukazovatele kompromitácie, taktiky, techniky a postupy, kybernetickobezpečnostné varovania a konfiguračné nástroje si vyžadujú spracovanie určitých kategórií osobných údajov, ako sú IP adresy, jednotné vyhľadávače prostriedkov (URL), doménové mená, e-mailové adresy, časové pečiatky, informácie súvisiace s operačným systémom alebo prehliadačom, súbory cookie alebo iné informácie označujúce modus operandi. |
Pozmeňujúci návrh 69
Návrh smernice
Odôvodnenie 71
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(71) Aby bolo presadzovanie povinností účinné, mal by sa stanoviť minimálny zoznam správnych sankcií za porušenie povinností v oblasti riadenia kybernetickobezpečnostných rizík a oznamovania stanovených v tejto smernici, ktorým sa stanoví jasný a konzistentný rámec pre takéto sankcie v celej Únii. Náležitá pozornosť by sa mala venovať povahe, závažnosti a trvaniu porušenia, skutočnej spôsobenej škode alebo vzniknutým stratám alebo potenciálnym škodám či stratám, ktoré mohli vzniknúť, úmyselnému alebo nedbanlivostnému charakteru porušenia, opatreniam prijatým na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát, miere zodpovednosti alebo akémukoľvek relevantnému predchádzajúcemu porušeniu, miere spolupráce s príslušným orgánom a akýmkoľvek ďalším priťažujúcim alebo poľahčujúcim faktorom. Ukladanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie vrátane účinnej súdnej ochrany a riadneho procesu. |
(71) Aby bolo presadzovanie povinností účinné, mal by sa stanoviť minimálny zoznam správnych sankcií za porušenie povinností v oblasti riadenia kybernetickobezpečnostných rizík a oznamovania stanovených v tejto smernici, ktorým sa stanoví jasný a konzistentný rámec pre takéto sankcie v celej Únii. Náležitá pozornosť by sa mala venovať povahe, závažnosti a trvaniu porušenia, skutočnej spôsobenej škode alebo vzniknutým stratám, úmyselnému alebo nedbanlivostnému charakteru porušenia, opatreniam prijatým na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát, miere zodpovednosti alebo akémukoľvek relevantnému predchádzajúcemu porušeniu, miere spolupráce s príslušným orgánom a akýmkoľvek ďalším priťažujúcim alebo poľahčujúcim faktorom. Sankcie vrátane správnych pokút by mali byť primerané a ich ukladanie by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie (ďalej len „charta“) vrátane účinnej súdnej ochrany, riadneho procesu, prezumpcie neviny a práva na obhajobu. |
Pozmeňujúci návrh 70
Návrh smernice
Odôvodnenie 72
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(72) S cieľom zabezpečiť účinné presadzovanie povinností stanovených v tejto smernici by mal mať každý príslušný orgán právomoc uložiť správne pokuty alebo požiadať o ich uloženie. |
(72) S cieľom zabezpečiť účinné presadzovanie povinností stanovených v tejto smernici by mal mať každý príslušný orgán právomoc uložiť správne pokuty alebo požiadať o ich uloženie, ak bolo porušenie úmyselné, z nedbanlivosti alebo ak dotknutý subjekt dostal oznámenie o nedodržaní povinností. |
Pozmeňujúci návrh 71
Návrh smernice
Odôvodnenie 76
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(76) S cieľom ďalej posilniť účinnosť a odrádzajúci účinok sankcií za porušenie povinností stanovených podľa tejto smernice by príslušné orgány mali byť oprávnené uplatňovať sankcie pozostávajúce z pozastavenia certifikácie alebo povolenia časti alebo všetkých služieb, ktoré poskytuje kľúčový subjekt, a uloženia dočasného zákazu fyzickej osobe vykonávať riadiace funkcie. Takéto sankcie by sa vzhľadom na svoju závažnosť a vplyv na činnosti subjektov a v konečnom dôsledku na ich spotrebiteľov mali uplatňovať len úmerne k závažnosti porušenia a s prihliadnutím na osobitné okolnosti každého prípadu vrátane úmyselného alebo nedbanlivostného charakteru porušenia, opatrení prijatých na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát. Takéto sankcie by sa mali uplatňovať len ako ultima ratio, čo znamená až po vyčerpaní ostatných príslušných opatrení na presadzovanie povinností stanovených v tejto smernici, a len na obdobie, kým subjekty, na ktoré sa vzťahujú, neprijmú potrebné opatrenia na nápravu nedostatkov alebo na splnenie požiadaviek príslušného orgánu, v prípade ktorých sa takéto sankcie uplatnili. Ukladanie takýchto sankcií by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie vrátane účinnej súdnej ochrany, riadneho procesu, prezumpcie neviny a práva na obhajobu. |
(76) S cieľom ďalej posilniť účinnosť a odrádzajúci účinok sankcií za porušenie povinností stanovených podľa tejto smernice by príslušné orgány mali byť oprávnené uplatňovať dočasné pozastavenie certifikácie alebo povolenia časti alebo všetkých relevantných služieb, ktoré poskytuje kľúčový subjekt, a požadovať uloženie dočasného zákazu fyzickej osobe vykonávať riadiace funkcie na úrovni výkonného riaditeľa alebo právneho zástupcu. Členské štáty by mali vypracovať osobitné postupy a pravidlá týkajúce sa dočasného zákazu vykonávania riadiacich funkcií fyzickou osobou na úrovni výkonného riaditeľa alebo právneho zástupcu v subjektoch verejnej správy. Pri vypracúvaní takýchto postupov a pravidiel by členské štáty mali zohľadniť osobitosti svojich príslušných úrovní a systémov riadenia v rámci svojich subjektov verejnej správy. Takéto dočasné pozastavenia alebo zákazy by sa vzhľadom na svoju závažnosť a vplyv na činnosti subjektov a v konečnom dôsledku na ich spotrebiteľov mali uplatňovať len úmerne k závažnosti porušenia a s prihliadnutím na osobitné okolnosti každého prípadu vrátane úmyselného alebo nedbanlivostného charakteru porušenia, opatrení prijatých na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát. Takéto dočasné pozastavenia alebo zákazy by sa mali uplatňovať len ako ultima ratio, čo znamená až po vyčerpaní ostatných príslušných opatrení na presadzovanie povinností stanovených v tejto smernici, a len na obdobie, kým subjekty, na ktoré sa vzťahujú, neprijmú potrebné opatrenia na nápravu nedostatkov alebo na splnenie požiadaviek príslušného orgánu, v prípade ktorých sa takéto dočasné pozastavenia alebo zákazy uplatnili. Ukladanie takýchto dočasných pozastavení alebo zákazov musí podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a charty vrátane účinnej súdnej ochrany, riadneho procesu, prezumpcie neviny a práva na obhajobu. |
Pozmeňujúci návrh 72
Návrh smernice
Odôvodnenie 79
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(79) Mal by sa zaviesť mechanizmus partnerského preskúmania, ktorý odborníkom určeným členskými štátmi umožní posúdiť vykonávanie politík v oblasti kybernetickej bezpečnosti vrátane úrovne schopností a dostupných zdrojov členských štátov. |
(79) Mal by sa zaviesť mechanizmus partnerského preskúmania, ktorý nezávislým odborníkom určeným členskými štátmi umožní posúdiť vykonávanie politík v oblasti kybernetickej bezpečnosti vrátane úrovne schopností a dostupných zdrojov členských štátov. Partnerské preskúmania môžu poskytnúť cenné poznatky a odporúčania, ktoré posilnia celkové kybernetickobezpečnostné schopnosti. Môžu najmä prispieť k uľahčeniu transferu technológií, nástrojov, opatrení a procesov medzi členskými štátmi zapojenými do partnerského preskúmania, vytvoriť funkčný spôsob výmeny najlepších postupov medzi členskými štátmi s rôznymi úrovňami vyspelosti v oblasti kybernetickej bezpečnosti a umožniť zavedenie vysokej spoločnej úrovne kybernetickej bezpečnosti v celej Únii. Partnerskému preskúmaniu by malo predchádzať sebahodnotenie členského štátu, ktorý je predmetom preskúmania, ktoré by sa vzťahovalo na skúmané aspekty a akékoľvek ďalšie cielené otázky, ktoré členskému štátu zapojenému do partnerského preskúmania oznámia určení experti pred začatím procesu. Komisia by v spolupráci s agentúrou ENISA a skupinou pre spoluprácu mala vypracovať vzory pre sebahodnotenie skúmaných aspektov s cieľom zjednodušiť proces a zabrániť procesným nezrovnalostiam a oneskoreniam, ktoré by členské štáty zapojené do partnerského preskúmania mali vyplniť a poskytnúť určeným expertom vykonávajúcim partnerské preskúmanie pred začatím procesu partnerského preskúmania. |
Pozmeňujúci návrh 73
Návrh smernice
Odôvodnenie 80
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(80) S cieľom zohľadniť nové kybernetické hrozby, technologický vývoj alebo odvetvové špecifiká by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ, pokiaľ ide o prvky týkajúce sa opatrení na riadenie rizík, ktoré sa vyžadujú v tejto smernici. Komisia by mala byť splnomocnená prijímať aj delegované akty, v ktorých stanoví, od ktorých kategórií kľúčových subjektov sa vyžaduje získanie certifikátu a v rámci ktorých konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva26. Predovšetkým, v záujme rovnakého zastúpenia pri príprave delegovaných aktov, sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematický prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov. |
(80) S cieľom zohľadniť nové kybernetické hrozby, technologický vývoj alebo odvetvové špecifiká by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ, pokiaľ ide o prvky týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík a oznamovacích povinností, ktoré sa vyžadujú v tejto smernici. Komisia by mala byť splnomocnená prijímať aj delegované akty, v ktorých stanoví, od ktorých kategórií kľúčových a dôležitých subjektov sa vyžaduje získanie certifikátu a v rámci ktorých konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva. Predovšetkým, v záujme rovnakého zastúpenia pri príprave delegovaných aktov, sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematický prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov. |
__________________ |
|
26 Ú. v. EÚ L 123, 12.5.2016, s. 1. |
|
Pozmeňujúci návrh 74
Návrh smernice
Odôvodnenie 81
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(81) S cieľom zabezpečiť jednotné podmienky vykonávania príslušných ustanovení tejto smernice týkajúcich sa procedurálnych opatrení potrebných na fungovanie skupiny pre spoluprácu, technických prvkov týkajúcich sa opatrení na riadenie rizík alebo druhu informácií, formátu a postupu oznamovania incidentov by sa mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/201127. |
(81) S cieľom zabezpečiť jednotné podmienky vykonávania príslušných ustanovení tejto smernice týkajúcich sa procedurálnych opatrení potrebných na fungovanie skupiny pre spoluprácu a postupu oznamovania incidentov by sa mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/201127. |
__________________ |
__________________ |
27 Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13). |
27 Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13). |
Pozmeňujúci návrh 75
Návrh smernice
Odôvodnenie 82
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(82) Komisia by mala túto smernicu pravidelne preskúmavať a radiť sa pritom so zainteresovanými subjektmi najmä s cieľom určiť, či ju treba zmeniť na základe zmien spoločenských, politických, technologických alebo trhových podmienok. |
(82) Komisia by mala túto smernicu pravidelne preskúmavať a radiť sa pritom so zainteresovanými subjektmi najmä s cieľom určiť, či je vhodné navrhnúť zmeny vzhľadom na zmeny spoločenských, politických, technologických alebo trhových podmienok. V rámci týchto preskúmaní by Komisia mala posúdiť relevantnosť odvetví, pododvetví a typov subjektov uvedených v prílohách pre fungovanie hospodárstva a spoločnosti v súvislosti s kybernetickou bezpečnosťou. Komisia by mala okrem iného posúdiť, či by sa za kľúčové subjekty podľa tejto smernice mali určiť poskytovatelia digitálnych služieb, ktorí sú klasifikovaní ako veľmi veľké online platformy v zmysle článku 25 nariadenia (EÚ) XXXX/XXXX [jednotný trh s digitálnymi službami (akt o digitálnych službách) alebo ako strážcovia v zmysle vymedzenia v článku 2 bode 1 nariadenia (EÚ) XXXX/XXXX [súťažeschopné a spravodlivé trhy digitálneho sektora (akt o digitálnych trhoch)]. Okrem toho by Komisia mala posúdiť, či je vhodné zmeniť prílohu I k smernici Európskeho parlamentu a Rady 2020/18281a doplnením odkazu na túto smernicu. |
|
__________________ |
|
1a Smernica Európskeho parlamentu a Rady (EÚ) 2020/1828 z 25. novembra 2020 o žalobách v zastúpení na ochranu kolektívnych záujmov spotrebiteľov a o zrušení smernice 2009/22/ES (Ú. v. EÚ L 409, 4.12.2020, s. 1). |
Pozmeňujúci návrh 76
Návrh smernice
Odôvodnenie 82 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(82a) V tejto smernici sa stanovujú požiadavky na kybernetickú bezpečnosť pre členské štáty, ako aj pre kľúčové a dôležité subjekty usadené v Únii. Tieto požiadavky na kybernetickú bezpečnosť by mali uplatňovať aj inštitúcie, orgány, úrady a agentúry Únie na základe legislatívneho aktu Únie. |
Pozmeňujúci návrh 77
Návrh smernice
Odôvodnenie 82 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(82b) Táto smernica vytvára nové úlohy pre agentúru ENISA, čím sa posilňuje jej úloha, a môže viesť tiež k tomu, že agentúra ENISA bude musieť vykonávať svoje existujúce úlohy podľa nariadenia (EÚ) 2019/881 s vyššími štandardmi ako predtým. S cieľom zabezpečiť, aby agentúra ENISA mala potrebné finančné a ľudské zdroje na vykonávanie existujúcich a nových činností v rámci svojich úloh, ako aj na splnenie akýchkoľvek vyšších štandardov vyplývajúcich z jej posilnenej úlohy, jej rozpočet by sa mal zodpovedajúcim spôsobom zvýšiť. Aby sa zabezpečilo efektívne využívanie zdrojov, agentúre ENISA by sa mala navyše poskytnúť väčšia flexibilita, pokiaľ ide o spôsob, akým môže interne prideľovať zdroje, aby mohla účinne vykonávať svoje úlohy a plniť očakávania. |
Pozmeňujúci návrh 78
Návrh smernice
Odôvodnenie 84
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(84) V tejto smernici sa dodržiavajú základné práva a zásady uznané Chartou základných práv Európskej únie, najmä právo na rešpektovanie súkromného života a komunikácie, ochrana osobných údajov, sloboda podnikania, právo vlastniť majetok, právo na účinný prostriedok nápravy pred súdom a právo na vypočutie. Táto smernica by sa mala vykonávať v súlade s uvedenými právami a zásadami, |
(84) V tejto smernici sa dodržiavajú základné práva a zásady uznané chartou, najmä právo na rešpektovanie súkromného života a komunikácie, ochrana osobných údajov, sloboda podnikania, právo vlastniť majetok, právo na účinný prostriedok nápravy pred súdom a právo na vypočutie. Patrí sem aj právo príjemcov služieb poskytovaných kľúčovými a dôležitými subjektmi na účinný prostriedok nápravy pred súdom. Táto smernica by sa mala vykonávať v súlade s uvedenými právami a zásadami, |
Pozmeňujúci návrh 79
Návrh smernice
Článok 1 – odsek 2 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) stanovujú povinnosti členských štátov týkajúce sa dohľadu a presadzovania práva. |
Pozmeňujúci návrh 80
Návrh smernice
Článok 2 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Táto smernica sa uplatňuje na verejné a súkromné subjekty, a to typu, ktorý sa v prílohe I označuje ako kľúčové subjekty a v prílohe II ako dôležité subjekty. Táto smernica sa neuplatňuje na subjekty, ktoré v zmysle odporúčania Komisie 2003/361/ES28 spĺňajú kritériá mikropodniku alebo malého podniku. |
1. Táto smernica sa uplatňuje na verejné a súkromné kľúčové a dôležité subjekty, a to typu, ktorý sa v prílohe I označuje ako kľúčové subjekty a v prílohe II ako dôležité subjekty, ktoré poskytujú svoje služby alebo vykonávajú svoju činnosť v rámci Únii. Táto smernica sa neuplatňuje na malé podniky ani mikropodniky v zmysle článku 2 bodov 2 a 3 prílohy k odporúčaniu Komisie 2003/361/ES28. Článok 3 bod 4 prílohy k uvedenému odporúčaniu sa neuplatňuje. |
__________________ |
__________________ |
28 Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodnik, malý a stredný podnik (Ú. v. EÚ L 124, 20.5.2003, s. 36). |
28 Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodnik, malý a stredný podnik (Ú. v. EÚ L 124, 20.5.2003, s. 36). |
Pozmeňujúci návrh 81
Návrh smernice
Článok 2 – odsek 2 – pododsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Táto smernica sa však bez ohľadu na ich veľkosť uplatňuje aj na subjekty uvedené v prílohe I a II, keď: |
Táto smernica sa bez ohľadu na ich veľkosť uplatňuje aj na kľúčové a dôležité subjekty, keď: |
Pozmeňujúci návrh 82
Návrh smernice
Článok 2 – odsek 2 – pododsek 1 – písmeno d
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
d) potenciálne narušenie služby poskytovanej subjektom by mohlo mať vplyv na ochranu verejnosti, verejnú bezpečnosť alebo verejné zdravie; |
d) narušenie služby poskytovanej subjektom by mohlo mať vplyv na ochranu verejnosti, verejnú bezpečnosť alebo verejné zdravie; |
Pozmeňujúci návrh 83
Návrh smernice
Článok 2 – odsek 2 – pododsek 1 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) potenciálne narušenie služby poskytovanej subjektom by mohlo vyvolať systémové riziká, najmä v odvetviach, v ktorých by takéto narušenie mohlo mať cezhraničný vplyv; |
e) narušenie služby poskytovanej subjektom by mohlo vyvolať systémové riziká, najmä v odvetviach, v ktorých by takéto narušenie mohlo mať cezhraničný vplyv; |
Pozmeňujúci návrh 84
Návrh smernice
Článok 2 – odsek 2 – pododsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Členské štáty vypracujú zoznam subjektov identifikovaných podľa písmen b) až f) a predložia ho Komisii do [6 mesiacov po uplynutí lehoty na transpozíciu]. Členské štáty zoznam pravidelne preskúmavajú, a to následne aspoň každé dva roky a v prípade potreby ho aktualizujú. |
vypúšťa sa |
Pozmeňujúci návrh 85
Návrh smernice
Článok 2 – odsek 2 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
2a. Do ... [6 mesiacov po uplynutí lehoty na transpozíciu] členské štáty vypracujú zoznam kľúčových a dôležitých subjektov vrátane subjektov uvedených v odseku 1 a subjektov identifikovaných podľa odseku 2 písm. b) až f) a článku 24 ods. 1. Členské štáty uvedený zoznam pravidelne preskúmavajú a v prípade potreby aktualizujú, a to následne aspoň každé dva roky. |
Pozmeňujúci návrh 86
Návrh smernice
Článok 2 – odsek 2 b (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
2b. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty predkladali príslušným orgánom aspoň tieto informácie: |
|
a) názov subjektu; |
|
b) adresu a aktuálne kontaktné údaje vrátane e-mailových adries, rozsahov IP adries, telefónnych čísel; a |
|
c) príslušné odvetvie(-ia) a pododvetvie(-ia) uvedené v prílohách I a II. |
|
Kľúčové a dôležité subjekty bezodkladne oznámia všetky zmeny údajov, ktoré predložili podľa prvého pododseku, a v každom prípade do dvoch týždňov odo dňa, keď zmena nadobudla účinnosť. Na tento účel Komisia s pomocou agentúry ENISA bez zbytočného odkladu vydá usmernenia a vzory týkajúce sa povinností uvedených v tomto odseku. |
Pozmeňujúci návrh 87
Návrh smernice
Článok 2 – odsek 2 c (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
2c. Členské štáty do ... [6 mesiacov po uplynutí lehoty na transpozíciu] a následne každé dva roky oznámia: |
|
a) Komisii a skupine pre spoluprácu počet všetkých kľúčových a dôležitých subjektov identifikovaných pre každé odvetvie a pododvetvie uvedené v prílohách I a II, a |
|
b) Komisii názvy subjektov identifikovaných podľa odseku 2 písm. b) až f). |
Pozmeňujúci návrh 88
Návrh smernice
Článok 2 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Táto smernica sa uplatňuje bez toho, aby boli dotknuté smernica Rady 2008/114/ES30 a smernice Európskeho parlamentu a Rady 2011/93/EÚ31 a 2013/40/EÚ32. |
4. Táto smernica sa uplatňuje bez toho, aby boli dotknuté smernica Rady 2008/114/ES30 a smernice Európskeho parlamentu a Rady 2011/93/EÚ31, 2013/40/EÚ32 a 2002/58/EC32a. |
__________________ |
__________________ |
30 Smernica Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (Ú. v. EÚ L 345, 23.12.2008, s. 75). |
30 Smernica Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (Ú. v. EÚ L 345, 23.12.2008, s. 75). |
31 Smernica Európskeho parlamentu a Rady 2011/93/EÚ z 13. decembra 2011 o boji proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a proti detskej pornografii, ktorou sa nahrádza rámcové rozhodnutie Rady 2004/68/SVV (Ú. v. EÚ L 335, 17.12.2011, s. 1). |
31 Smernica Európskeho parlamentu a Rady 2011/93/EÚ z 13. decembra 2011 o boji proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a proti detskej pornografii, ktorou sa nahrádza rámcové rozhodnutie Rady 2004/68/SVV (Ú. v. EÚ L 335, 17.12.2011, s. 1). |
32 Smernica Európskeho parlamentu a Rady 2013/40/EÚ z 12. augusta 2013 o útokoch na informačné systémy, ktorou sa nahrádza rámcové rozhodnutie Rady 2005/222/SVV (Ú. v. EÚ L 218, 14.8.2013, s. 8). |
32 Smernica Európskeho parlamentu a Rady 2013/40/EÚ z 12. augusta 2013 o útokoch na informačné systémy, ktorou sa nahrádza rámcové rozhodnutie Rady 2005/222/SVV (Ú. v. EÚ L 218, 14.8.2013, s. 8). |
|
32a Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37). |
Pozmeňujúci návrh 89
Návrh smernice
Článok 2 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Ak sa v ustanoveniach právnych aktov Únie špecifických pre určité odvetvie vyžaduje, aby kľúčové alebo dôležité subjekty buď prijali opatrenia na riadenie kybernetickobezpečnostných rizík, alebo aby oznamovali incidenty alebo závažné kybernetické hrozby, a ak majú tieto požiadavky aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, príslušné ustanovenia tejto smernice vrátane ustanovení o dohľade a presadzovaní práva v kapitole VI sa neuplatňujú. |
6. Ak sa v ustanoveniach právnych aktov Únie špecifických pre určité odvetvie vyžaduje, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetickobezpečnostných rizík alebo oznamovali incidenty, a ak majú tieto požiadavky aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, príslušné ustanovenia tejto smernice vrátane ustanovení o dohľade a presadzovaní práva v kapitole VI sa neuplatňujú. Komisia bez zbytočného odkladu vydá usmernenia týkajúce sa vykonávania právnych aktov Únie špecifických pre určité odvetvie s cieľom zabezpečiť, aby uvedené akty spĺňali požiadavky na kybernetickú bezpečnosť stanovené v tejto smernici a aby nedochádzalo k prekrývaniu alebo právnej neistote. Pri príprave týchto usmernení Komisia zohľadňuje najlepšie postupy a odborné znalosti agentúry ENISA a skupiny pre spoluprácu. |
Pozmeňujúci návrh 90
Návrh smernice
Článok 2 – odsek 6 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
6a. Kľúčové a dôležité subjekty, jednotky CSIRT a poskytovatelia bezpečnostných technológií a služieb spracúvajú osobné údaje v rozsahu, ktorý je nevyhnutne potrebný a primeraný na účely kybernetickej bezpečnosti a bezpečnosti sietí a informácií, s cieľom splniť povinnosti stanovené v tejto smernici. Uvedené spracúvanie osobných údajov podľa tejto smernice sa vykonáva v súlade s nariadením (EÚ) 2016/679, najmä s jeho článkom 6. |
Pozmeňujúci návrh 91
Návrh smernice
Článok 2 – odsek 6 b (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
6b. Spracúvanie osobných údajov podľa tejto smernice poskytovateľmi verejných elektronických komunikačných sietí alebo poskytovateľmi verejne dostupných elektronických komunikácií uvedenými v prílohe I bode 8 sa vykonáva v súlade so smernicou 2002/58/ES. |
Pozmeňujúci návrh 92
Návrh smernice
Článok 4 – odsek 1 – bod 4 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(4a) „udalosť odvrátená v poslednej chvíli“ je udalosť, ktorá mohla ohroziť dostupnosť, pravosť, integritu alebo dôvernosť údajov alebo ktorá mohla spôsobiť škodu, ale jej negatívnemu vplyvu sa úspešne zabránilo; |
Pozmeňujúci návrh 93
Návrh smernice
Článok 4 – odsek 1 – bod 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(6) „riešenie incidentov“ sú všetky kroky a postupy zamerané na odhaľovanie, analýzu a obmedzovanie následkov incidentu a reakcie naň; |
(6) „riešenie incidentov“ sú všetky kroky a postupy zamerané na prevenciu, odhaľovanie, analýzu a obmedzovanie následkov incidentu a reakcie naň; |
Pozmeňujúci návrh 94
Návrh smernice
Článok 4 – odsek 1 – bod 7 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
7a) „riziko“ je potenciál straty alebo narušenia v dôsledku incidentu a má sa vyjadriť ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu daného incidentu; |
Pozmeňujúci návrh 95
Návrh smernice
Článok 4 – odsek 1 – bod 11
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(11) „technická špecifikácia“ je technická špecifikácia v zmysle článku 2 bodu 4 nariadenia (EÚ) č. 1025/2012; |
(11) „technická špecifikácia“ je technická špecifikácia v zmysle vymedzenia v článku 2 bode 20 nariadenia (EÚ) 2019/881; |
Pozmeňujúci návrh 96
Návrh smernice
Článok 4 – odsek 1 – bod 13
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(13) „systém doménových mien (DNS)“ je hierarchický distribuovaný systém pomenovaní, ktorý umožňuje koncovým používateľom dostať sa k službám a zdrojom na internete; |
(13) „systém doménových mien (DNS)“ je hierarchický distribuovaný systém pomenovaní, ktorý umožňuje identifikáciu internetových služieb a zdrojov a ktorý umožňuje, aby zariadenia koncových používateľov využívali služby smerovania internetu a pripojenia na účely prístupu k týmto službám a zdrojom; |
Pozmeňujúci návrh 97
Návrh smernice
Článok 4 – odsek 1 – bod 14
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(14) „poskytovateľ služieb DNS“ je subjekt, ktorý koncovým používateľom internetu a iným poskytovateľom služieb DNS poskytuje služby rekurzívneho alebo autoritatívneho rozlišovania doménových mien; |
(14) „poskytovateľ služieb DNS“ je subjekt, ktorý poskytuje: |
Pozmeňujúci návrh 98
Návrh smernice
Článok 4 – odsek 1 – bod 14 – písmeno a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
a) koncovým používateľom internetu otvorené a verejné služby rekurzívneho rozlišovania doménových mien; alebo |
Pozmeňujúci návrh 99
Návrh smernice
Článok 4 – odsek 1 – bod 14 – písmeno b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
b) služby autoritatívneho rozlišovania doménových mien ako službu, ktorú môžu obstarať subjekty, ktoré sú tretími stranami; |
Pozmeňujúci návrh 100
Návrh smernice
Článok 4 – odsek 1 – bod 15
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(15) „správca mien domény najvyššej úrovne“ je subjekt, ktorému bola udelená osobitná doména najvyššej úrovne (TLD) a ktorý je zodpovedný za správu TLD vrátane registrácie doménových mien v rámci TLD a za technickú prevádzku TLD vrátane prevádzky menných serverov, údržby databáz a distribúcie zónových súborov TLD v rámci menných serverov; |
(15) „správca mien domény najvyššej úrovne“ je subjekt, ktorému bola udelená osobitná doména najvyššej úrovne (TLD) a ktorý je zodpovedný za správu TLD vrátane registrácie doménových mien v rámci TLD a za technickú prevádzku TLD vrátane prevádzky menných serverov, údržby databáz a distribúcie zónových súborov TLD v rámci menných serverov, bez ohľadu na to, či ktorúkoľvek z týchto operácií vykonáva subjekt alebo sa vykonáva externe; |
Pozmeňujúci návrh 101
Návrh smernice
Článok 4 – odsek 1 – bod 15 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(15a) „služby registrácie doménových mien“ sú služby poskytované správcami a registrátormi doménových mien, poskytovateľmi služieb registrácie v oblasti služieb ochrany súkromia alebo proxy, sprostredkovateľmi alebo ďalšími predajcami domén a akékoľvek ďalšie služby, ktoré súvisia s registráciou doménových mien; |
Pozmeňujúci návrh 102
Návrh smernice
Článok 4 – odsek 1 – bod 23 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(23a) „verejná elektronická komunikačná sieť“ je verejná elektronická komunikačná sieť v zmysle vymedzenia v článku 2 bode 8 smernice (EÚ) 2018/1972; |
Pozmeňujúci návrh 103
Návrh smernice
Článok 4 – odsek 1 – bod 23 b (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(23b) „elektronická komunikačná služba“ je elektronická komunikačná služba v zmysle vymedzenia v článku 2 bode 4 smernice (EÚ) 2018/1972; |
Pozmeňujúci návrh 104
Návrh smernice
Článok 5 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Každý členský štát prijme národnú stratégiu kybernetickej bezpečnosti, v ktorej sa vymedzia strategické ciele a vhodné politické a regulačné opatrenia na dosiahnutie a zachovanie vysokej úrovne kybernetickej bezpečnosti. Národná stratégia kybernetickej bezpečnosti sietí obsahuje najmä tieto prvky: |
1. Každý členský štát prijme národnú stratégiu kybernetickej bezpečnosti, v ktorej sa vymedzia strategické ciele, požadované technické, organizačné a finančné zdroje na dosiahnutie týchto cieľov, ako aj vhodné politické a regulačné opatrenia na dosiahnutie a zachovanie vysokej úrovne kybernetickej bezpečnosti. Národná stratégia kybernetickej bezpečnosti sietí obsahuje najmä tieto prvky: |
Pozmeňujúci návrh 105
Návrh smernice
Článok 5 – odsek 1 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) vymedzenie cieľov a priorít stratégie členského štátu v oblasti kybernetickej bezpečnosti; |
(Netýka sa slovenskej verzie.) |
Pozmeňujúci návrh 106
Návrh smernice
Článok 5 – odsek 1 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) riadiaci rámec na dosiahnutie týchto cieľov a priorít vrátane politík uvedených v odseku 2, ako aj úloh a zodpovedností vládnych orgánov, inštitúcií a ďalších relevantných aktérov; |
b) riadiaci rámec na dosiahnutie týchto cieľov a priorít vrátane politík uvedených v odseku 2; |
Pozmeňujúci návrh 107
Návrh smernice
Článok 5 – odsek 1 – písmeno b a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ba) rámec na prideľovanie úloh a povinností verejných orgánov a subjektov, ako aj iných relevantných aktérov, ktorým sa podporuje spolupráca a koordinácia na vnútroštátnej úrovni medzi príslušnými orgánmi určenými podľa článku 7 ods. 1 a článku 8 ods. 1, jednotným kontaktným miestom určeným podľa článku 8 ods. 3 a jednotkami CSIRT určenými podľa článku 9; |
Pozmeňujúci návrh 108
Návrh smernice
Článok 5 – odsek 1 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) zoznam rôznych orgánov a aktérov zapojených do vykonávania národnej stratégie kybernetickej bezpečnosti; |
e) zoznam rôznych orgánov a aktérov zapojených do vykonávania národnej stratégie kybernetickej bezpečnosti vrátane jednotného kontaktného miesta pre kybernetickú bezpečnosť pre MSP, ktoré poskytuje podporu pri vykonávaní osobitných opatrení v oblasti kybernetickej bezpečnosti; |
Pozmeňujúci návrh 109
Návrh smernice
Článok 5 – odsek 1 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) politický rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tejto smernice a smernice Európskeho parlamentu a Rady (EÚ) XXXX/XXXX38 [smernica o odolnosti kritických subjektov] na účely výmeny informácií o incidentoch a kybernetických hrozbách a vykonávania úloh dohľadu. |
f) politický rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tejto smernice a smernice Európskeho parlamentu a Rady (EÚ) XXXX/XXXX38 [smernica o odolnosti kritických subjektov] v rámci jednotlivých členských štátov aj medzi členskými štátmi na účely výmeny informácií o incidentoch a kybernetických hrozbách a vykonávania úloh dohľadu. |
__________________ |
__________________ |
38 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
38 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 110
Návrh smernice
Článok 5 – odsek 1 – písmeno f a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
fa) posúdenie všeobecnej úrovne informovanosti občanov o kybernetickej bezpečnosti. |
Pozmeňujúci návrh 111
Návrh smernice
Článok 5 – odsek 2 – písmeno -a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
-a) politiku zameranú na kybernetickú bezpečnosť pre každý sektor, na ktorý sa vzťahuje táto smernica; |
Pozmeňujúci návrh 112
Návrh smernice
Článok 5 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) usmernenia týkajúce sa zahrnutia a špecifikácie požiadaviek týkajúcich sa kybernetickej bezpečnosti produktov a služieb IKT vo verejnom obstarávaní; |
b) usmernenia týkajúce sa zahrnutia a špecifikácie požiadaviek týkajúcich sa kybernetickej bezpečnosti produktov a služieb IKT vo verejnom obstarávaní vrátane požiadaviek na šifrovanie a využívania produktov kybernetickej bezpečnosti s otvoreným zdrojovým kódom; |
Pozmeňujúci návrh 113
Návrh smernice
Článok 5 – odsek 2 – písmeno d
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
d) politiku súvisiacu s udržaním všeobecnej dostupnosti a integrity verejného jadra otvoreného internetu; |
d) politiku súvisiacu s udržaním všeobecnej dostupnosti a integrity verejného jadra otvoreného internetu vrátane kybernetickej bezpečnosti podmorských komunikačných káblov; |
Pozmeňujúci návrh 114
Návrh smernice
Článok 5 – odsek 2 – písmeno d a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
da) politiku na presadzovanie a podporu rozvoja vznikajúcich technológií, ako je umelá inteligencia, a ich integrácie do nástrojov a aplikácií na posilnenie kybernetickej bezpečnosti; |
Pozmeňujúci návrh 115
Návrh smernice
Článok 5 – odsek 2 – písmeno d b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
db) politiku na podporu integrácie nástrojov a aplikácií s otvoreným zdrojovým kódom; |
Pozmeňujúci návrh 116
Návrh smernice
Článok 5– odsek 2 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) politiku podporovania akademických a výskumných inštitúcií pri vývoji nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry; |
f) politiku podporovania akademických a výskumných inštitúcií pri vývoji, zlepšovaní a zavádzaní nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry; |
Pozmeňujúci návrh 117
Návrh smernice
Článok 5 – odsek 2 – písmeno h
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
h) politiku zameranú na špecifické potreby MSP, najmä tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám. |
h) politiku zameranú na podporu kybernetickej bezpečnosti pre MSP vrátane tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, na riešenie ich osobitných potrieb a na poskytovanie ľahko prístupných usmernení a podpory vrátane usmernení na riešenie výziev súvisiacich s dodávateľským reťazcom, ktorým MSP čelia; |
Pozmeňujúci návrh 118
Návrh smernice
Článok 5 – odsek 2 – písmeno h a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ha) politiku na podporu kybernetickej hygieny, ktorá zahŕňa základný súbor postupov a kontrol a zvyšuje všeobecnú informovanosť občanov o kybernetickobezpečnostných hrozbách a najlepších postupoch; |
Pozmeňujúci návrh 119
Návrh smernice
Článok 5 – odsek 2 – písmeno h b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
hb) politiku na podporu aktívnej kybernetickej obrany; |
Pozmeňujúci návrh 120
Návrh smernice
Článok 5 – odsek 2 – písmeno h c (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
hc) politiku, ktorá orgánom pomôže rozvíjať kompetencie a chápanie bezpečnostných aspektov potrebných na navrhovanie, budovanie a riadenie pripojených miest; |
Pozmeňujúci návrh 121
Návrh smernice
Článok 5 – odsek 2 – písmeno h d (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
hd) politiku osobitne zameranú na riešenie ransomvérovej hrozby a narušenie obchodného modelu založeného na ransomvéri; |
Pozmeňujúci návrh 122
Návrh smernice
Článok 5 – odsek 2 – písmeno h e (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
he) politiku vrátane príslušných postupov a rámcov riadenia na podporu a presadzovanie vytvárania verejno-súkromných partnerstiev v oblasti kybernetickej bezpečnosti. |
Pozmeňujúci návrh 123
Návrh smernice
Článok 5 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty oznámia Komisii svoje národné stratégie kybernetickej bezpečnosti do troch mesiacov od ich prijatia. Z oznámenia môžu vylúčiť špecifické informácie, a to v takom prípade a takom rozsahu, v akom je to nevyhnutne potrebné na zachovanie národnej bezpečnosti. |
3. Členské štáty oznámia Komisii svoje národné stratégie kybernetickej bezpečnosti do troch mesiacov od ich prijatia. Z oznámenia môžu vylúčiť špecifické informácie, a to v takom prípade a takom rozsahu, v akom je to potrebné na zachovanie národnej bezpečnosti. |
Pozmeňujúci návrh 124
Návrh smernice
Článok 5 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty posúdia svoje národné stratégie kybernetickej bezpečnosti aspoň každé štyri roky na základe kľúčových ukazovateľov výkonnosti a v prípade potreby ich zmenia. Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) členským štátom na ich žiadosť pomáha pri vypracúvaní národnej stratégie a kľúčových ukazovateľov výkonnosti na posúdenie stratégie. |
4. Členské štáty posúdia svoje národné stratégie kybernetickej bezpečnosti aspoň každé štyri roky na základe kľúčových ukazovateľov výkonnosti a v prípade potreby ich zmenia. Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) členským štátom na ich žiadosť pomáha pri vypracúvaní národnej stratégie a kľúčových ukazovateľov výkonnosti na posúdenie stratégie. Agentúra ENISA poskytne členským štátom usmernenia s cieľom zosúladiť už vypracované vnútroštátne stratégie v oblasti kybernetickej bezpečnosti s požiadavkami a povinnosťami stanovenými v tejto smernici. |
Pozmeňujúci návrh 125
Návrh smernice
Článok 6 – nadpis
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Koordinované zverejňovanie informácií o zraniteľnosti a európsky register zraniteľností |
Koordinované zverejňovanie informácií o zraniteľnosti a európska databáza zraniteľností |
Pozmeňujúci návrh 126
Návrh smernice
Článok 6 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Každý členský štát určí jednu zo svojich jednotiek CSIRT v zmysle článku 9 za koordinátora na účely koordinovaného zverejňovania informácií o zraniteľnosti. Určená jednotka CSIRT koná ako dôveryhodný sprostredkovateľ, ktorý v prípade potreby uľahčuje interakciu medzi oznamujúcim subjektom a výrobcom alebo poskytovateľom produktov IKT alebo služieb IKT. Ak sa oznámená zraniteľnosť týka viacerých výrobcov alebo poskytovateľov produktov IKT alebo služieb IKT v celej Únii, určená jednotka CSIRT každého dotknutého členského štátu spolupracuje so sieťou jednotiek CSIRT. |
1. Každý členský štát určí jednu zo svojich jednotiek CSIRT v zmysle článku 9 za koordinátora na účely koordinovaného zverejňovania informácií o zraniteľnosti. Určená jednotka CSIRT koná ako dôveryhodný sprostredkovateľ, ktorý na žiadosť oznamujúceho subjektu uľahčuje interakciu medzi oznamujúcim subjektom a výrobcom alebo poskytovateľom produktov IKT alebo služieb IKT. Ak sa oznámená zraniteľnosť týka viacerých výrobcov alebo poskytovateľov produktov IKT alebo služieb IKT v celej Únii, určená jednotka CSIRT každého dotknutého členského štátu spolupracuje so sieťou jednotiek CSIRT. |
Pozmeňujúci návrh 127
Návrh smernice
Článok 6 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Agentúra ENISA vytvorí a vedie európsky register zraniteľností. Na tento účel agentúra ENISA zriadi a udržiava vhodné informačné systémy, politiky a postupy, najmä s cieľom umožniť dôležitým a kľúčovým subjektom a ich dodávateľom sietí a informačných systémov zverejňovať a registrovať zraniteľnosti v produktoch IKT alebo službách IKT, ako aj poskytovať prístup k informáciám o zraniteľnosti nachádzajúcich sa v registri všetkým zainteresovaným stranám. Register obsahuje najmä informácie opisujúce zraniteľnosť, zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť, dostupnosť súvisiacich bezpečnostných záplat a v prípade, že žiadne nie sú k dispozícii, usmernenie pre používateľov zraniteľných produktov a služieb o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností. |
2. Agentúra ENISA vytvorí a vedie európsku databázu zraniteľností s využitím globálneho registra spoločných zraniteľností a expozícií (CVE). Na tento účel agentúra ENISA zriadi a udržiava vhodné informačné systémy, politiky a postupy a prijme potrebné technické a organizačné opatrenia na zaistenie bezpečnosti a integrity databázy, najmä s cieľom umožniť dôležitým a kľúčovým subjektom a ich dodávateľom sietí a informačných systémov, ako aj subjektom, ktoré nepatria do rozsahu pôsobnosti tejto smernice, a ich dodávateľom zverejňovať a registrovať zraniteľnosti v produktoch IKT alebo službách IKT. Všetkým zainteresovaným stranám sa poskytne prístup k informáciám o zraniteľnostiach nachádzajúcich sa v databáze, pri ktorých sú k dispozícii bezpečnostné záplaty alebo zmierňujúce opatrenia. Databáza obsahuje najmä informácie opisujúce zraniteľnosť, zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť, a dostupnosť súvisiacich bezpečnostných záplat. V prípade, že žiadne nie sú k dispozícii, sa do databázy zahrnie usmernenie pre používateľov zraniteľných produktov IKT a služieb IKT o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností. |
Pozmeňujúci návrh 128
Návrh smernice
Článok 7 – odsek 1 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
1a. Ak členský štát určí viac ako jeden príslušný orgán uvedený v odseku 1, jasne uvedie, ktorý z týchto príslušných orgánov má slúžiť ako koordinátor riadenia incidentov a kríz veľkého rozsahu. |
Pozmeňujúci návrh 129
Návrh smernice
Článok 7 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Každý členský štát určí kapacity, prostriedky a postupy, ktoré možno použiť v prípade krízy na účely tejto smernice. |
2. Každý členský štát určí kapacity, prostriedky a postupy, ktoré možno použiť v prípade krízy na účely tejto smernice. |
Pozmeňujúci návrh 130
Návrh smernice
Článok 7 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty oznámia Komisii určenie svojich príslušných orgánov uvedených v odseku 1 a predložia svoje vnútroštátne plány reakcie na kybernetickobezpečnostné incidenty a krízy uvedené v odseku 3 do troch mesiacov od tohto určenia a prijatia týchto plánov. Členské štáty môžu z plánu vylúčiť špecifické informácie, a to v takom prípade a takom rozsahu, v akom je to nevyhnutne potrebné pre ich národnú bezpečnosť. |
4. Členské štáty oznámia Komisii určenie svojich príslušných orgánov uvedených v odseku 1 a predložia sieti EU-CyCLONe svoje vnútroštátne plány reakcie na kybernetickobezpečnostné incidenty a krízy uvedené v odseku 3 do troch mesiacov od tohto určenia a prijatia týchto plánov. Členské štáty môžu z plánu vylúčiť špecifické informácie, a to v takom prípade a takom rozsahu, v akom je to nevyhnutne potrebné pre ich národnú bezpečnosť. |
Pozmeňujúci návrh 131
Návrh smernice
Článok 8 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Každý členský štát určí jedno vnútroštátne jednotné kontaktné miesto pre kybernetickú bezpečnosť (ďalej len „jednotné kontaktné miesto“). Ak členský štát určí iba jeden príslušný orgán, tento príslušný orgán je aj jednotným kontaktným miestom v danom členskom štáte. |
3. Každý členský štát určí jeden z príslušných orgánov uvedených v odseku 1 za vnútroštátne jednotné kontaktné miesto pre kybernetickú bezpečnosť (ďalej len „jednotné kontaktné miesto“). Ak členský štát určí iba jeden príslušný orgán, tento príslušný orgán je aj jednotným kontaktným miestom v danom členskom štáte. |
Pozmeňujúci návrh 132
Návrh smernice
Článok 8 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Každé jednotné kontaktné miesto vykonáva styčnú funkciu s cieľom zabezpečiť cezhraničnú spoluprácu orgánov daného členského štátu s príslušnými orgánmi v iných členských štátoch, ako aj zabezpečiť medziodvetvovú spoluprácu s inými príslušnými vnútroštátnymi orgánmi v rámci daného členského štátu. |
4. Každé jednotné kontaktné miesto vykonáva styčnú funkciu s cieľom zabezpečiť cezhraničnú spoluprácu orgánov daného členského štátu s príslušnými orgánmi v iných členských štátoch, Komisiou a agentúrou ENISA, ako aj zabezpečiť medziodvetvovú spoluprácu s inými príslušnými vnútroštátnymi orgánmi v rámci daného členského štátu. |
Pozmeňujúci návrh 133
Návrh smernice
Článok 9 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby každá jednotka CSIRT mala primerané zdroje na účinné plnenie svojich úloh stanovených v článku 10 ods. 2. |
2. Členské štáty zabezpečia, aby každá jednotka CSIRT mala primerané zdroje a potrebné technické spôsobilosti na účinné plnenie svojich úloh stanovených v článku 10 ods. 2. |
Pozmeňujúci návrh 134
Návrh smernice
Článok 9 – odsek 6 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
6a. Členské štáty zabezpečia možnosť účinnej, efektívnej a bezpečnej výmeny informácií na všetkých stupňoch utajenia medzi ich vlastnými jednotkami CSIRT a jednotkami CSIRT z tretích krajín na rovnakom stupni utajenia. |
Pozmeňujúci návrh 135
Návrh smernice
Článok 9 – odsek 6 b (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
6b. Bez toho, aby bolo dotknuté právo Únie, najmä nariadenie (EÚ) 2016/679, spolupracujú jednotky CSIRT s jednotkami CSIRT alebo rovnocennými orgánmi v kandidátskych krajinách a ďalších tretích krajinách na západnom Balkáne a krajinách Východného partnerstva a podľa možnosti im poskytujú pomoc v oblasti kybernetickej bezpečnosti. |
Pozmeňujúci návrh 136
Návrh smernice
Článok 9 – odsek 7
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
7. Členské štáty bez zbytočného odkladu oznámia Komisii jednotky CSIRT určené v súlade s odsekom 1, koordinátora jednotiek CSIRT určeného v súlade s článkom 6 ods. 1 a ich príslušné úlohy stanovené vo vzťahu k subjektom uvedeným v prílohách I a II. |
7. Členské štáty bez zbytočného odkladu oznámia Komisii jednotky CSIRT určené v súlade s odsekom 1 a koordinátora jednotiek CSIRT určeného v súlade s článkom 6 ods. 1 vrátane ich príslušných úloh stanovených vo vzťahu ku kľúčovým a dôležitým subjektom. |
Pozmeňujúci návrh 137
Návrh smernice
Článok 10 – nadpis
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Požiadavky na jednotky CSIRT a ich úlohy |
Požiadavky na jednotky CSIRT a ich technické spôsobilosti a úlohy |
Pozmeňujúci návrh 138
Návrh smernice
Článok 10 – odsek 1 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) jednotky CSIRT musia mať zavedený vhodný systém riadenia a zasielania žiadostí, a to najmä s cieľom uľahčiť ich účinné a efektívne odovzdávanie; |
c) jednotky CSIRT musia mať zavedený vhodný systém klasifikácie, zasielania a sledovania žiadostí, a to najmä s cieľom uľahčiť ich účinné a efektívne odovzdávanie; |
Pozmeňujúci návrh 139
Návrh smernice
Článok 10 – odsek 1 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) jednotky CSIRT musia mať zavedené príslušné kódexy správania, aby sa zabezpečila dôvernosť a dôveryhodnosť ich operácií; |
Pozmeňujúci návrh 140
Návrh smernice
Článok 10 – odsek 1 – písmeno d
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
d) jednotky CSIRT musia byť primerane personálne vybavené, aby sa zabezpečila stála dostupnosť ich služieb; |
d) jednotky CSIRT musia byť primerane personálne vybavené, aby sa zabezpečila stála dostupnosť ich služieb, a musia zabezpečiť vhodné rámce odbornej prípravy pre svojich zamestnancov; |
Pozmeňujúci návrh 141
Návrh smernice
Článok 10 – odsek 1 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) jednotky CSIRT musia byť vybavené redundantnými systémami a záložným pracovným priestorom na zabezpečenie kontinuity svojich služieb; |
e) jednotky CSIRT musia byť vybavené redundantnými systémami a záložným pracovným priestorom na zabezpečenie kontinuity svojich služieb vrátane širokej pripojiteľnosti v sieťach, informačných systémov, služieb a zariadení; |
Pozmeňujúci návrh 142
Návrh smernice
Článok 10 – odsek 1 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
1a. Jednotky CSIRT musia rozvíjať aspoň tieto technické spôsobilosti: |
|
a) schopnosť vykonávať monitorovanie sietí a informačných systémov v reálnom alebo takmer reálnom čase a odhaľovať anomálie; |
|
b) schopnosť podporovať prevenciu a detekciu prienikov; |
|
c) schopnosť zhromažďovať forenzné údaje a vykonávať komplexné analýzy týchto údajov a reverzné inžinierstvo kybernetických hrozieb; |
|
d) schopnosť filtrovať škodlivé dátové toky; |
|
e) schopnosť presadzovať silnú autentifikáciu a oprávnenia na prístup a kontroly prístupu; a |
|
f) schopnosť analyzovať kybernetické hrozby. |
Pozmeňujúci návrh 143
Návrh smernice
Článok 10 – odsek 2 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) monitorujú kybernetické hrozby, zraniteľnosti a incidenty na vnútroštátnej úrovni; |
a) monitorujú kybernetické hrozby, zraniteľnosti a incidenty na vnútroštátnej úrovni a získavajú spravodajské informácie o hrozbách v reálnom čase; |
Pozmeňujúci návrh 144
Návrh smernice
Článok 10 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) poskytujú kľúčovým a dôležitým subjektom, ako aj iným relevantným zainteresovaným stranám včasné varovanie, výstrahy, hlásenia a šíria informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch; |
b) poskytujú kľúčovým a dôležitým subjektom, ako aj iným relevantným zainteresovaným stranám včasné varovanie, výstrahy, hlásenia a šíria informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch podľa možnosti v takmer reálnom čase; |
Pozmeňujúci návrh 145
Návrh smernice
Článok 10 – odsek 2 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) reagujú na incidenty; |
c) reagujú na incidenty a poskytujú pomoc zapojeným subjektom; |
Pozmeňujúci návrh 146
Návrh smernice
Článok 10 – odsek 2 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) na žiadosť subjektu proaktívne kontrolujú siete a informačné systémy používané na poskytovanie jeho služieb; |
e) na žiadosť subjektu alebo v prípade vážneho ohrozenia národnej bezpečnosti proaktívne kontrolujú siete a informačné systémy používané na poskytovanie jeho služieb; |
Pozmeňujúci návrh 147
Návrh smernice
Článok 10 – odsek 2 – písmeno f a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
fa) na žiadosť subjektu zabezpečujú umožnenie a konfiguráciu sieťového protokolovania s cieľom chrániť údaje vrátane osobných údajov pred neoprávnenou exfiltráciou; |
Pozmeňujúci návrh 148
Návrh smernice
Článok 10 – odsek 2 – písmeno f b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
fb) prispievajú k zavádzaniu zabezpečených nástrojov na výmenu informácií podľa článku 9 ods. 3. |
Pozmeňujúci návrh 149
Návrh smernice
Článok 10 – odsek 4 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Jednotky CSIRT v záujme uľahčenia spolupráce podporujú prijímanie a využívanie spoločných alebo normalizovaných postupov, režimov utajenia a taxonómie v súvislosti s týmito prvkami: |
4. Jednotky CSIRT v záujme uľahčenia spolupráce podporujú automatizáciu výmeny informácií, prijímanie a využívanie spoločných alebo normalizovaných postupov, režimov utajenia a taxonómie v súvislosti s týmito prvkami: |
Pozmeňujúci návrh 150
Návrh smernice
Článok 11 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby ich príslušné orgány alebo jednotky CSIRT dostávali oznámenia o incidentoch, závažných kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli predkladané podľa tejto smernice. Ak členský štát rozhodne, že jeho jednotky CSIRT nemajú dostávať tieto oznámenia, jednotkám CSIRT sa v rozsahu potrebnom na plnenie ich úloh poskytne prístup k údajom o incidentoch, ktoré oznámili kľúčové alebo dôležité subjekty podľa článku 20. |
2. Členské štáty zabezpečia, aby ich jednotky CSIRT dostávali oznámenia o závažných incidentoch podľa článku 20 a kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli podľa článku 27 prostredníctvom jednotného kontaktného miesta uvedeného v článku 20 ods. 4a. |
Pozmeňujúci návrh 151
Návrh smernice
Článok 11 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty v rozsahu potrebnom na účinné plnenie úloh a povinností stanovených v tejto smernici zabezpečia primeranú spoluprácu medzi príslušnými orgánmi a jednotnými kontaktnými miestami, ako aj orgánmi presadzovania práva, orgánmi na ochranu údajov a orgánmi zodpovednými za kritickú infraštruktúru podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] a vnútroštátnymi finančnými orgánmi určenými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) XXXX/XXXX39 [nariadenie DORA] v rámci daného členského štátu. |
4. Členské štáty v rozsahu potrebnom na účinné plnenie úloh a povinností stanovených v tejto smernici zabezpečia primeranú spoluprácu medzi príslušnými orgánmi, jednotnými kontaktnými miestami, jednotkami CSIRT, ako aj orgánmi presadzovania práva, národnými regulačnými orgánmi alebo inými príslušnými orgánmi zodpovednými za verejné elektronické komunikačné siete alebo za verejne dostupné elektronické komunikačné služby podľa smernice (EÚ) 2018/1972, orgánmi na ochranu údajov, orgánmi zodpovednými za kritickú infraštruktúru podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] a vnútroštátnymi finančnými orgánmi určenými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) XXXX/XXXX39 [nariadenie DORA] v rámci daného členského štátu v súlade s ich príslušnými právomocami. |
__________________ |
__________________ |
39 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
39 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 152
Návrh smernice
Článok 11 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Členské štáty zabezpečia, aby ich príslušné orgány pravidelne poskytovali príslušným orgánom určeným podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] informácie o kybernetickobezpečnostných rizikách, kybernetických hrozbách a incidentoch, ktoré zasiahli kľúčové subjekty identifikované ako kritické alebo rovnocenné s kritickými subjektmi podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov], ako aj opatrenia prijaté príslušnými orgánmi v reakcii na tieto riziká a incidenty. |
5. Členské štáty zabezpečia, aby ich príslušné orgány pravidelne a včas poskytovali príslušným orgánom určeným podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] informácie o kybernetickobezpečnostných rizikách, kybernetických hrozbách a incidentoch, ktoré zasiahli kľúčové subjekty identifikované ako kritické alebo rovnocenné s kritickými subjektmi podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov], ako aj opatrenia prijaté príslušnými orgánmi v reakcii na tieto riziká a incidenty. |
Pozmeňujúci návrh 153
Návrh smernice
Článok 12 – odsek 3 – pododsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Skupina pre spoluprácu sa skladá zo zástupcov členských štátov, Komisie a agentúry ENISA. Na činnostiach skupiny pre spoluprácu sa ako pozorovateľ zúčastňuje Európska služba pre vonkajšiu činnosť. Na činnostiach skupiny pre spoluprácu sa môžu zúčastňovať európske orgány dohľadu (ESA) v súlade s článkom 17 ods. 5 písm. c) nariadenia (EÚ) XXXX/XXXX [nariadenie DORA]. |
Skupina pre spoluprácu sa skladá zo zástupcov členských štátov, Komisie a agentúry ENISA. Na činnostiach skupiny pre spoluprácu sa ako pozorovatelia zúčastňujú Európsky parlament a Európska služba pre vonkajšiu činnosť. Na činnostiach skupiny pre spoluprácu sa môžu zúčastňovať európske orgány dohľadu (ESA) v súlade s článkom 17 ods. 5 písm. c) nariadenia (EÚ) XXXX/XXXX [nariadenie DORA]. |
Pozmeňujúci návrh 154
Návrh smernice
Článok 12 – odsek 3 – pododsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Vo vhodných prípadoch môže skupina pre spoluprácu prizvať k svojej práci zástupcov príslušných zainteresovaných strán. |
Vo vhodných prípadoch môže skupina pre spoluprácu prizvať k svojej práci zástupcov príslušných zainteresovaných strán, ako sú Európsky výbor pre ochranu údajov a zástupcovia odvetvia. |
Pozmeňujúci návrh 155
Návrh smernice
Článok 12 – odsek 4 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) výmena najlepších postupov a informácií v súvislosti s vykonávaním tejto smernice, a to aj pokiaľ ide o kybernetické hrozby, incidenty, zraniteľnosti, udalosti odvrátené v poslednej chvíli, iniciatívy na zvyšovanie povedomia, odbornú prípravu, cvičenia a zručnosti, budovanie kapacít, ako aj normy a technické špecifikácie; |
b) výmena najlepších postupov a informácií v súvislosti s vykonávaním tejto smernice, a to aj pokiaľ ide o kybernetické hrozby, incidenty, zraniteľnosti, udalosti odvrátené v poslednej chvíli, iniciatívy na zvyšovanie povedomia, odbornú prípravu, cvičenia a zručnosti, budovanie kapacít, normy a technické špecifikácie, ako aj identifikáciu kľúčových a dôležitých subjektov; |
Pozmeňujúci návrh 156
Návrh smernice
Článok 12 – odsek 4 – písmeno b a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ba) zmapovanie vnútroštátnych riešení s cieľom podporiť kompatibilitu riešení v oblasti kybernetickej bezpečnosti uplatňovaných v každom konkrétnom odvetví v celej Únii; |
Pozmeňujúci návrh 157
Návrh smernice
Článok 12 – odsek 4 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) vzájomné poradenstvo a spolupráca s Komisiou v súvislosti s novými politickými iniciatívami v oblasti kybernetickej bezpečnosti; |
c) vzájomné poradenstvo a spolupráca s Komisiou v súvislosti s novými politickými iniciatívami v oblasti kybernetickej bezpečnosti a celkovou súdržnosťou požiadaviek na kybernetickú bezpečnosť špecifických pre jednotlivé odvetvia; |
Pozmeňujúci návrh 158
Návrh smernice
Článok 12– odsek 4 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) prediskutovanie správ o partnerskom preskúmaní uvedených v článku 16 ods. 7; |
f) prediskutovanie správ o partnerskom preskúmaní uvedených v článku 16 ods. 7 a vypracovanie záverov a odporúčaní; |
Pozmeňujúci návrh 159
Návrh smernice
Článok 12 – odsek 4 – písmeno f a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
fa) vykonávanie koordinovaných posúdení bezpečnostných rizík, ktoré sa môžu iniciovať na základe článku 19 ods. 1 v spolupráci s Komisiou a agentúrou ENISA; |
Pozmeňujúci návrh 160
Návrh smernice
Článok 12 – odsek 4 – písmeno k a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ka) predkladanie správ o skúsenostiach získaných na strategickej a operačnej úrovni Komisii na účely preskúmania uvedeného v článku 35; |
Pozmeňujúci návrh 161
Návrh smernice
Článok 12 – odsek 4 – písmeno k b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
kb) zabezpečenie každoročného posúdenia v spolupráci s agentúrou ENISA, Europolom a vnútroštátnymi orgánmi presadzovania práva, pokiaľ ide o to, ktoré tretie krajiny poskytujú útočisko páchateľom šíriacim ransomvér. |
Pozmeňujúci návrh 162
Návrh smernice
Článok 12 – odsek 8
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
8. Skupina pre spoluprácu sa pravidelne a aspoň raz ročne stretáva so skupinou pre odolnosť kritických subjektov zriadenou podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] s cieľom podporovať strategickú spoluprácu a výmenu informácií. |
8. Skupina pre spoluprácu sa pravidelne a aspoň dvakrát ročne stretáva so skupinou pre odolnosť kritických subjektov zriadenou podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] s cieľom uľahčovať strategickú spoluprácu a výmenu informácií. |
Pozmeňujúci návrh 163
Návrh smernice
Článok 13 – odsek 3 – písmeno a a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
aa) uľahčovanie výmeny a transferu technológií a príslušných opatrení, politík, najlepších postupov a rámcov medzi jednotkami CSIRT; |
Pozmeňujúci návrh 164
Návrh smernice
Článok 13 – odsek 3 – písmeno b a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ba) zabezpečovanie interoperability, pokiaľ ide o normy výmeny informácií; |
Pozmeňujúci návrh 165
Návrh smernice
Článok 14 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. S cieľom podporiť koordinované riadenie kybernetickobezpečnostných incidentov a kríz veľkého rozsahu na operačnej úrovni a zabezpečiť pravidelnú výmenu informácií medzi členskými štátmi a inštitúciami, orgánmi a agentúrami Únie sa týmto zriaďuje Európska sieť styčných organizácií pre kybernetické krízy (EU-CyCLONe). |
1. S cieľom podporiť koordinované riadenie kybernetickobezpečnostných incidentov a kríz veľkého rozsahu na operačnej úrovni a zabezpečiť pravidelnú výmenu relevantných informácií medzi členskými štátmi a inštitúciami, orgánmi a agentúrami Únie sa týmto zriaďuje Európska sieť styčných organizácií pre kybernetické krízy (EU-CyCLONe). |
Pozmeňujúci návrh 166
Návrh smernice
Článok 14 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Sieť EU-CyCLONe tvoria zástupcovia orgánov krízového riadenia členských štátov určených v súlade s článkom 7, Komisia a agentúra ENISA. Agentúra ENISA zabezpečuje sekretariát siete a podporuje bezpečnú výmenu informácií. |
2. Sieť EU-CyCLONe tvoria zástupcovia orgánov krízového riadenia členských štátov určených v súlade s článkom 7, Komisia a agentúra ENISA. Agentúra ENISA zabezpečuje sekretariát siete EU-CyCLONe a podporuje bezpečnú výmenu informácií. |
Pozmeňujúci návrh 167
Návrh smernice
Článok 14 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Sieť EU-CyCLONe pravidelne podáva skupine pre spoluprácu správy o kybernetických hrozbách, incidentoch a trendoch, pričom sa zameriava najmä na ich vplyv na kľúčové a dôležité subjekty. |
5. Sieť EU-CyCLONe pravidelne podáva skupine pre spoluprácu správy o incidentoch a krízach veľkého rozsahu, ako aj trendoch, pričom sa zameriava najmä na ich vplyv na kľúčové a dôležité subjekty. |
Pozmeňujúci návrh 168
Návrh smernice
Článok 15 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Agentúra ENISA v spolupráci s Komisiou vydáva každé dva roky správu o stave kybernetickej bezpečnosti v Únii. Správa obsahuje najmä posúdenie týchto aspektov: |
1. Agentúra ENISA v spolupráci s Komisiou vydáva každé dva roky správu o stave kybernetickej bezpečnosti v Únii a predkladá a prezentuje ju Európskemu parlamentu. Správa sa dodáva v strojovo čitateľnom formáte a obsahuje najmä posúdenie týchto aspektov: |
Pozmeňujúci návrh 169
Návrh smernice
Článok 15 – odsek 1 – písmeno a a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
aa) všeobecná úroveň informovanosti o kybernetickej bezpečnosti a hygiene medzi občanmi a subjektmi vrátane MSP, ako aj všeobecná úroveň bezpečnosti pripojených zariadení; |
Pozmeňujúci návrh 170
Návrh smernice
Článok 15 – odsek 1 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) index kybernetickej bezpečnosti poskytujúci súhrnné posúdenie úrovne vyspelosti kybernetickobezpečnostných schopností. |
c) index kybernetickej bezpečnosti poskytujúci súhrnné posúdenie úrovne vyspelosti kybernetickobezpečnostných schopností v celej Únii vrátane zosúladenia národných stratégií kybernetickej bezpečnosti členských štátov; |
Pozmeňujúci návrh 171
Návrh smernice
Článok 15 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Správa obsahuje konkrétne politické odporúčania na zvýšenie úrovne kybernetickej bezpečnosti v celej Únii a zhrnutie zistení za konkrétne obdobie z technických situačných správ EÚ o kybernetickej bezpečnosti, ktoré vydala agentúra ENISA v súlade s článkom 7 ods. 6 nariadenia (EÚ) 2019/881. |
2. Správa obsahuje identifikáciu prekážok a konkrétne politické odporúčania na zvýšenie úrovne kybernetickej bezpečnosti v celej Únii a zhrnutie zistení za konkrétne obdobie z technických situačných správ EÚ o kybernetickej bezpečnosti, ktoré vydala agentúra ENISA v súlade s článkom 7 ods. 6 nariadenia (EÚ) 2019/881. |
Pozmeňujúci návrh 172
Návrh smernice
Článok 15 – odsek 2 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
2a. Agentúra ENISA v spolupráci s Komisiou a s usmernením skupiny pre spoluprácu a siete jednotiek CSIRT pripraví metodiku vrátane príslušných premenných indexu kybernetickej bezpečnosti uvedeného v odseku 1 písm. c). |
Pozmeňujúci návrh 173
Návrh smernice
Článok 16 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Komisia po konzultácii so skupinou pre spoluprácu a agentúrou ENISA a najneskôr 18 mesiacov od nadobudnutia účinnosti tejto smernice stanoví metodiku a obsah systému partnerského preskúmania na posúdenie účinnosti politík členských štátov v oblasti kybernetickej bezpečnosti. Preskúmania vykonávajú technickí experti v oblasti kybernetickej bezpečnosti vybraní z iných členských štátov, než je skúmaný členský štát, a zameriavajú sa aspoň na: |
1. Komisia po konzultácii so skupinou pre spoluprácu a agentúrou ENISA a najneskôr … [18 mesiacov od nadobudnutia účinnosti tejto smernice] stanoví metodiku a obsah systému partnerského preskúmania na posúdenie účinnosti politík členských štátov v oblasti kybernetickej bezpečnosti. Partnerské preskúmania vykonávajú v konzultácii s agentúrou ENISA technickí experti v oblasti kybernetickej bezpečnosti vybraní z aspoň dvoch iných členských štátov, než je skúmaný členský štát, a zameriavajú sa aspoň na: |
Pozmeňujúci návrh 174
Návrh smernice
Článok 16 – odsek 1 – bod iii
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
iii) operačné schopnosti a účinnosť jednotiek CSIRT; |
iii) operačné schopnosti a účinnosť jednotiek CSIRT pri vykonávaní ich úloh; |
Pozmeňujúci návrh 175
Návrh smernice
Článok 16 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. O organizačných aspektoch partnerských preskúmaní rozhoduje Komisia s podporou agentúry ENISA a po konzultácii so skupinou pre spoluprácu tieto aspekty vychádzajú z kritérií vymedzených v metodike uvedenej v odseku 1. V partnerských preskúmaniach sa posudzujú aspekty uvedené v odseku 1 pre všetky členské štáty a odvetvia vrátane vybraných problémov špecifických pre jeden alebo viacero členských štátov alebo pre jedno alebo viacero odvetví. |
3. O organizačných aspektoch partnerských preskúmaní rozhoduje Komisia s podporou agentúry ENISA a po konzultácii so skupinou pre spoluprácu tieto aspekty vychádzajú z kritérií vymedzených v metodike uvedenej v odseku 1. V partnerských preskúmaniach sa posudzujú aspekty uvedené v odseku 1 pre všetky členské štáty a odvetvia vrátane vybraných problémov špecifických pre jeden alebo viacero členských štátov alebo pre jedno alebo viacero odvetví. Určení experti, ktorí vykonávajú preskúmanie, oznámia tieto vybrané problémy členskému štátu, ktorý je predmetom partnerského preskúmania, pred jeho začatím. |
Pozmeňujúci návrh 176
Návrh smernice
Článok 16 – odsek 3 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
3a. Pred začatím postupu partnerského preskúmania vykoná členský štát, ktorý je predmetom partnerského preskúmania, sebahodnotenie skúmaných aspektov a poskytne toto sebahodnotenie určeným expertom. |
Pozmeňujúci návrh 177
Návrh smernice
Článok 16 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Partnerské preskúmania zahŕňajú skutočné alebo virtuálne návštevy na mieste a výmenu informácií na diaľku. Vzhľadom na zásadu dobrej spolupráce členské štáty, ktoré sú predmetom preskúmania, poskytnú určeným expertom požadované informácie potrebné na posúdenie skúmaných aspektov. Všetky informácie získané v procese partnerského preskúmania sa použijú výlučne na uvedený účel. Experti, ktorí sa zúčastňujú na partnerskom preskúmaní, nesmú sprístupniť tretím stranám žiadne citlivé alebo dôverné informácie získané v priebehu tohto preskúmania. |
4. Partnerské preskúmania zahŕňajú skutočné alebo virtuálne návštevy na mieste a výmenu informácií na diaľku. Vzhľadom na zásadu dobrej spolupráce členské štáty, ktoré sú predmetom preskúmania, poskytnú určeným expertom požadované informácie potrebné na posúdenie skúmaných aspektov. Komisia v spolupráci s agentúrou ENISA vypracuje vhodné kódexy správania na podporu pracovných metód určených expertov. Všetky informácie získané v procese partnerského preskúmania sa použijú výlučne na uvedený účel. Experti, ktorí sa zúčastňujú na partnerskom preskúmaní, nesmú sprístupniť tretím stranám žiadne citlivé alebo dôverné informácie získané v priebehu tohto preskúmania. |
Pozmeňujúci návrh 178
Návrh smernice
Článok 16 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Členský štát zabezpečí, aby sa akékoľvek riziko konfliktu záujmov týkajúce sa určených expertov bez zbytočného odkladu oznámilo ostatným členským štátom, Komisii a agentúre ENISA. |
6. Členský štát zabezpečí, aby sa akékoľvek riziko konfliktu záujmov týkajúce sa určených expertov oznámilo ostatným členským štátom, Komisii a agentúre ENISA pred začatím postupu partnerského preskúmania. |
Pozmeňujúci návrh 179
Návrh smernice
Článok 16 – odsek 7
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
7. Experti zúčastňujúci sa na partnerských preskúmaniach vypracujú správy o zisteniach a záveroch preskúmaní. Správy sa predkladajú Komisii, skupine pre spoluprácu, sieti jednotiek CSIRT a agentúre ENISA. Prediskutujú sa v skupine pre spoluprácu a v sieti jednotiek CSIRT. Správy možno uverejniť na vyhradenom webovom sídle skupiny pre spoluprácu. |
7. Experti zúčastňujúci sa na partnerských preskúmaniach vypracujú správy o zisteniach a záveroch preskúmaní. Správy obsahujú odporúčania s cieľom umožniť zlepšenie, pokiaľ ide o aspekty, ktoré sú predmetom postupu partnerského preskúmania. Správy sa predkladajú Komisii, skupine pre spoluprácu, sieti jednotiek CSIRT a agentúre ENISA. Prediskutujú sa v skupine pre spoluprácu a v sieti jednotiek CSIRT. Správy možno uverejniť na vyhradenom webovom sídle skupiny pre spoluprácu s výnimkou citlivých a dôverných informácií. |
Pozmeňujúci návrh 180
Návrh smernice
Článok 17 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby členovia riadiaceho orgánu pravidelne absolvovali osobitnú odbornú prípravu s cieľom získať dostatočné znalosti a zručnosti s cieľom zachytiť a posúdiť riziká a postupy riadenia v oblasti kybernetickej bezpečnosti a ich vplyv na činnosť subjektu. |
2. Členské štáty zabezpečia, aby členovia riadiaceho orgánu kľúčových a dôležitých subjektov absolvovali osobitnú odbornú prípravu, a podnietia kľúčové a dôležité subjekty, aby pravidelne ponúkali podobnú odbornú prípravu všetkým zamestnancom s cieľom získať dostatočné znalosti a zručnosti s cieľom zachytiť a posúdiť riziká a postupy riadenia v oblasti kybernetickej bezpečnosti a ich vplyv na služby poskytované subjektom. |
Pozmeňujúci návrh 181
Návrh smernice
Článok 18 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty prijali vhodné a primerané technické a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, ktoré tieto subjekty využívajú pri poskytovaní svojich služieb. S ohľadom na najnovší technický vývoj tieto opatrenia zabezpečujú takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty prijali vhodné a primerané technické, operačné a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, ktoré tieto subjekty využívajú na svoju činnosť alebo na poskytovanie svojich služieb a na prevenciu alebo minimalizáciu vplyvu incidentov na príjemcov ich služieb a na ďalšie služby. S ohľadom na najnovší technický vývoj a na európske alebo medzinárodné normy tieto opatrenia zabezpečujú takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. |
Pozmeňujúci návrh 182
Návrh smernice
Článok 18 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) riešenie incidentov (predchádzanie incidentom, ich odhaľovanie a reakcia na ne); |
b) riešenie incidentov; |
Pozmeňujúci návrh 183
Návrh smernice
Článok 18 – odsek 2 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) kontinuita činností a krízové riadenie; |
c) kontinuita činností, ako je riadenie zálohovania a obnova systému po havárii, a krízové riadenie; |
Pozmeňujúci návrh 184
Návrh smernice
Článok 18 – odsek 2 – písmeno d
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
d) bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom a jeho dodávateľmi alebo poskytovateľmi služieb, ako sú napríklad poskytovatelia služieb ukladania a spracúvania dát alebo riadených bezpečnostných služieb; |
d) bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom a jeho dodávateľmi alebo poskytovateľmi služieb; |
Pozmeňujúci návrh 185
Návrh smernice
Článok 18– odsek 2 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) politiky a postupy (testovanie a audit) na posúdenie účinnosti opatrení na riadenie kybernetickobezpečnostných rizík; |
f) politiky a postupy (odborná príprava, testovanie a audit) na posúdenie účinnosti opatrení na riadenie kybernetickobezpečnostných rizík; |
Pozmeňujúci návrh 186
Návrh smernice
Článok 18 – odsek 2 – písmeno f a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
fa) základné postupy kybernetickej hygieny a odborná príprava v oblasti kybernetickej bezpečnosti; |
Pozmeňujúci návrh 187
Návrh smernice
Článok 18 – odsek 2 – písmeno g
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
g) používanie kryptografie a šifrovania. |
g) v prípade potreby používanie kryptografie, ako je šifrovanie; |
Pozmeňujúci návrh 188
Návrh smernice
Článok 18 – odsek 2 – písmeno g a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ga) v prípade potreby používanie riešení viacstupňovej alebo kontinuálnej autentifikácie, zabezpečenej hlasovej, obrazovej a textovej komunikácie a zabezpečených systémov komunikácie v núdzových situáciách v rámci subjektu. |
Pozmeňujúci návrh 189
Návrh smernice
Článok 18 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty zabezpečia, aby subjekt po zistení, že jeho služby alebo úlohy nie sú v súlade s požiadavkami stanovenými v odseku 2, prijal bez zbytočného odkladu všetky potrebné nápravné opatrenia a danú službu s týmito požiadavkami zosúladil. |
4. Členské štáty zabezpečia, aby subjekt po zistení, že jeho služby alebo úlohy nie sú v súlade s požiadavkami stanovenými v odseku 2, prijal bez zbytočného odkladu všetky potrebné, vhodné a primerané nápravné opatrenia a danú službu s týmito požiadavkami zosúladil. |
Pozmeňujúci návrh 190
Návrh smernice
Článok 18 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Komisia môže prijať vykonávacie akty s cieľom stanoviť technické a metodické špecifikácie prvkov uvedených v odseku 2. Pri vypracúvaní týchto aktov Komisia postupuje v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2, a v čo najväčšej možnej miere dodržiava medzinárodné a európske normy, ako aj príslušné technické špecifikácie. |
vypúšťa sa |
Pozmeňujúci návrh 191
Návrh smernice
Článok 18 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 36 s cieľom doplniť prvky stanovené v odseku 2 na zohľadnenie nových kybernetických hrozieb, technologického vývoja alebo odvetvových špecifík. |
6. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 36 s cieľom doplniť prvky stanovené v odseku 2 tohto článku na zohľadnenie nových kybernetických hrozieb, technologického vývoja alebo odvetvových špecifík a zároveň doplniť túto smernicu stanovením technických a metodických špecifikácií opatrení uvedených v odseku 2 tohto článku. |
Pozmeňujúci návrh 192
Návrh smernice
Článok 19 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Skupina pre spoluprácu môže v spolupráci s Komisiou a agentúrou ENISA vykonávať koordinované posúdenia bezpečnostného rizika dodávateľských reťazcov konkrétnych kritických služieb, systémov alebo produktov IKT, pričom zohľadní technické a prípadne aj netechnické faktory rizík. |
1. Skupina pre spoluprácu môže v spolupráci s Komisiou a agentúrou ENISA vykonávať koordinované posúdenia bezpečnostného rizika dodávateľských reťazcov konkrétnych kritických služieb, systémov alebo produktov IKT a informačného a komunikačného systému (IKS), pričom zohľadní technické a prípadne aj netechnické faktory rizík. |
Pozmeňujúci návrh 193
Návrh smernice
Článok 19 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Komisia po konzultácii so skupinou pre spoluprácu a agentúrou ENISA určí konkrétne kritické služby, systémy alebo produkty IKT, ktoré môžu podliehať koordinovanému posúdeniu rizika uvedenému v odseku 1. |
2. Komisia po konzultácii so skupinou pre spoluprácu a agentúrou ENISA a v prípade potreby príslušnými zainteresovanými stranami určí konkrétne kritické služby, systémy alebo produkty IKT a IKS, ktoré môžu podliehať koordinovanému posúdeniu rizika uvedenému v odseku 1. |
Pozmeňujúci návrh 194
Návrh smernice
Článok 20 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili príslušným orgánom alebo jednotke CSIRT v súlade s odsekmi 3 a 4 každý incident so závažným vplyvom na poskytovanie ich služieb. V prípade potreby tieto subjekty bez zbytočného odkladu oznámia príjemcom svojich služieb incidenty, ktoré by mohli nepriaznivo ovplyvniť ich poskytovanie. Členské štáty zabezpečia, aby tieto subjekty oznamovali okrem iného informácie umožňujúce príslušným orgánom alebo jednotke CSIRT určiť prípadný cezhraničný vplyv incidentu. |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili jednotke CSIRT v súlade s odsekmi 3 a 4 každý závažný incident. Členské štáty zabezpečia, aby tieto subjekty oznamovali okrem iného informácie umožňujúce jednotke CSIRT určiť prípadný cezhraničný vplyv incidentu. |
Pozmeňujúci návrh 195
Návrh smernice
Článok 20 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili príslušným orgánom alebo jednotke CSIRT každú závažnú kybernetickú hrozbu, ktorú tieto subjekty zistia a ktorá by mohla potenciálne viesť k závažnému incidentu. |
|
Uvedené subjekty v príslušných prípadoch bez zbytočného odkladu oznámia príjemcom svojich služieb, ktorých potenciálne zasiahla závažná kybernetická hrozba, všetky opatrenia alebo nápravné kroky, ktoré títo príjemcovia môžu v reakcii na danú hrozbu prijať. Subjekty v prípade potreby týmto príjemcom oznámia aj informáciu o samotnej hrozbe. Oznámenie nesmie mať pre oznamujúci subjekt za následok vyššiu zodpovednosť. |
Členské štáty v príslušných prípadoch zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu informovali príjemcov svojich služieb o ochranných opatreniach alebo nápravných krokoch proti konkrétnym incidentom a známym rizikám, ktoré môžu príjemcovia prijať. Subjekty v príslušných prípadoch informujú príjemcov svojich služieb o samotnom incidente alebo známom riziku. Informovanie príjemcov sa uskutočňuje s vynaložením maximálneho úsilia a nemá pre oznamujúci subjekt za následok vyššiu zodpovednosť. |
Pozmeňujúci návrh 196
Návrh smernice
Článok 20 – odsek 3 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Incident sa považuje za závažný, ak: |
3. S cieľom určiť závažnosť incidentu sa zohľadnia tieto parametre, ak sú k dispozícii: |
Pozmeňujúci návrh 197
Návrh smernice
Článok 20 – odsek 3 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) dotknutému subjektu spôsobil alebo môže spôsobiť podstatné narušenie prevádzky alebo finančné straty; |
a) počet príjemcov služieb zasiahnutých incidentom; |
Pozmeňujúci návrh 198
Návrh smernice
Článok 20 – odsek 3 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) zasiahol alebo môže zasiahnuť iné fyzické alebo právnické osoby spôsobením značných hmotných alebo nehmotných strát. |
b) dĺžka trvania incidentu; |
Pozmeňujúci návrh 199
Návrh smernice
Článok 20 – odsek 3 – písmeno b a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ba) geografické rozloženie oblasti zasiahnutej incidentom; |
Pozmeňujúci návrh 200
Návrh smernice
Článok 20 – odsek 3 – písmeno b b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
bb) rozsah, v akom incident zasiahol fungovanie a kontinuitu služby; |
Pozmeňujúci návrh 201
Návrh smernice
Článok 20 – odsek 3 – písmeno b c (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
bc) rozsah vplyvu incidentu na hospodárske a spoločenské činnosti. |
Pozmeňujúci návrh 202
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Členské štáty zabezpečia, aby dotknuté subjekty na účely oznámenia podľa odseku 1 predložili príslušným orgánom alebo jednotke CSIRT: |
Členské štáty zabezpečia, aby dotknuté subjekty na účely oznámenia podľa odseku 1 predložili jednotke CSIRT: |
Pozmeňujúci návrh 203
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia incidentu prvotné oznámenie, v ktorom sa prípadne uvedie, či incident pravdepodobne spôsobilo nezákonné alebo zlomyseľné konanie; |
a) prvotné oznámenie závažného incidentu, ktoré obsahuje informácie, ktoré má oznamujúci subjekt k dispozícii pri vynaložení maximálneho úsilia, takto: |
Pozmeňujúci návrh 204
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno a – bod i (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
i) pokiaľ ide o incidenty, ktoré významne narúšajú dostupnosť služieb poskytovaných subjektom, jednotka CSIRT je informovaná bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia incidentu; |
Pozmeňujúci návrh 205
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno a – bod ii (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ii) pokiaľ ide o incidenty, ktoré majú iný významný vplyv na subjekt okrem vplyvu na dostupnosť služieb poskytovaných týmto subjektom, jednotka CSIRT je informovaná bez zbytočného odkladu a v každom prípade do 72 hodín od zistenia incidentu; |
Pozmeňujúci návrh 206
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno a – bod iii (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
iii) pokiaľ ide o incidenty, ktoré majú významný vplyv na služby poskytovateľa dôveryhodných služieb v zmysle článku 3 bodu 19 nariadenia (EÚ) č. 910/2014 alebo na osobné údaje uchovávané týmto poskytovateľom dôveryhodných služieb, jednotka CSIRT je informovaná bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia incidentu; |
Pozmeňujúci návrh 207
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) na žiadosť príslušného orgánu alebo jednotky CSIRT priebežnú správu o relevantných aktualizáciách daného stavu; |
b) na žiadosť jednotky CSIRT priebežnú správu o relevantných aktualizáciách daného stavu; |
Pozmeňujúci návrh 208
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno c – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) najneskôr jeden mesiac po predložení oznámenia podľa písmena a) konečnú správu, ktorá obsahuje aspoň tieto informácie: |
c) najneskôr jeden mesiac po predložení prvotného oznámenia komplexnú správu, ktorá obsahuje aspoň tieto informácie: |
Pozmeňujúci návrh 209
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) v prípade, že v čase predloženia komplexnej správy uvedenej v písmene c) incident stále prebieha, predloží sa záverečná správa jeden mesiac po vyriešení incidentu. |
Pozmeňujúci návrh 210
Návrh smernice
Článok 20 – odsek 4 – pododsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Členské štáty zabezpečia, aby sa v riadne odôvodnených prípadoch a po dohode s príslušnými orgánmi alebo jednotkou CSIRT mohol príslušný subjekt odchýliť od lehôt stanovených v písmenách a) a c). |
Členské štáty zabezpečia, aby sa v riadne odôvodnených prípadoch a po dohode s jednotkou CSIRT mohol príslušný subjekt odchýliť od lehôt stanovených v písmene a) bode i) a ii) a v písmene c). Členské štáty zabezpečia dôvernosť a primeranú ochranu citlivých informácií o incidentoch, ktoré sa vymieňajú s jednotkami CSIRT, a prijmú opatrenia a postupy na výmenu a opakované použitie informácií o incidentoch. |
Pozmeňujúci návrh 211
Návrh smernice
Článok 20 – odsek 4 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
4a. Členské štáty zriadia jednotné kontaktné miesto pre všetky oznámenia požadované podľa tejto smernice a ďalších relevantných právnych predpisov Únie. Agentúra ENISA v spolupráci so skupinou pre spoluprácu vypracúva a neustále zlepšuje spoločné vzorové formuláre oznámení prostredníctvom usmernení na zjednodušenie a zefektívnenie oznamovania informácií požadovaných v právnych predpisoch Únie a na zníženie záťaže pre oznamujúce subjekty. |
Pozmeňujúci návrh 212
Návrh smernice
Článok 20 – odsek 4 b (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
4b. Kľúčové a dôležité subjekty uvedené v článku 24 ods. 1 môžu spĺňať požiadavky odseku 1 tohto článku tým, že informujú jednotku CSIRT členského štátu, v ktorom majú subjekty hlavné miesto podnikateľskej činnosti v Únii, a tým, že informujú kľúčové a dôležité subjekty, ktorým poskytujú služby, o každom závažnom incidente, o ktorom je známe, že má vplyv na príjemcu služieb. |
Pozmeňujúci návrh 213
Návrh smernice
Článok 20 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Príslušné vnútroštátne orgány alebo jednotka CSIRT poskytnú oznamujúcemu subjektu do 24 hodín od prijatia prvotného oznámenia uvedeného v odseku 4 písm. a) odpoveď vrátane počiatočnej spätnej väzby k incidentu a na žiadosť subjektu usmernenia k vykonávaniu možných zmierňujúcich opatrení. Ak jednotka CSIRT nedostala oznámenie uvedené v odseku 1, usmernenie poskytne príslušný orgán v spolupráci s jednotkou CSIRT. Jednotka CSIRT poskytne doplňujúcu technickú podporu, ak o to príslušný subjekt požiada. Ak existuje podozrenie, že incident má trestnoprávnu povahu, príslušné vnútroštátne orgány alebo jednotka CSIRT poskytnú aj usmernenia týkajúce sa oznamovania incidentu orgánom presadzovania práva. |
5. Jednotka CSIRT poskytne oznamujúcemu subjektu do 24 hodín od prijatia prvotného oznámenia uvedeného v odseku 4 písm. a) odpoveď vrátane počiatočnej spätnej väzby k incidentu a na žiadosť subjektu usmernenia a využiteľné poradenstvo k vykonávaniu možných zmierňujúcich opatrení. Jednotka CSIRT poskytne doplňujúcu technickú podporu, ak o to príslušný subjekt požiada. Ak existuje podozrenie, že incident má trestnoprávnu povahu, jednotka CSIRT poskytne aj usmernenia týkajúce sa oznamovania incidentu orgánom presadzovania práva. Jednotka CSIRT si môže informácie o incidente vymieňať s inými kľúčovými a dôležitými subjektmi, pričom zabezpečí dôvernosť informácií poskytnutých oznamujúcim subjektom. |
Pozmeňujúci návrh 214
Návrh smernice
Článok 20 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. V prípade potreby, a najmä ak sa incident uvedený v odseku 1 týka dvoch alebo viacerých členských štátov, príslušný orgán alebo jednotka CSIRT informuje o incidente ostatné zasiahnuté členské štáty a agentúru ENISA. Príslušné orgány, jednotky CSIRT a jednotné kontaktné miesta pri tom v súlade s právom Únie alebo vnútroštátnymi právnymi predpismi, ktoré sú v súlade s právom Únie, chránia bezpečnosť a obchodné záujmy subjektu, ako aj dôvernosť poskytnutých informácií. |
6. V prípade potreby, a najmä ak sa incident uvedený v odseku 1 týka dvoch alebo viacerých členských štátov, jednotka CSIRT informuje o incidente ostatné zasiahnuté členské štáty a agentúru ENISA a poskytne relevantné informácie. Jednotky CSIRT a jednotné kontaktné miesta pri tom v súlade s právom Únie alebo vnútroštátnymi právnymi predpismi, ktoré sú v súlade s právom Únie, chránia bezpečnosť a obchodné záujmy subjektu, ako aj dôvernosť poskytnutých informácií. |
Pozmeňujúci návrh 215
Návrh smernice
Článok 20 – odsek 7
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
7. Po porade s dotknutým subjektom môže príslušný orgán alebo jednotka CSIRT a prípadne orgány alebo jednotky CSIRT ďalších dotknutých členských štátov informovať o incidente verejnosť alebo požiadať o to daný subjekt, ak je informovanosť verejnosti potrebná na zabránenie incidentu alebo riešenie prebiehajúceho incidentu alebo ak je zverejnenie incidentu vo verejnom záujme z iného dôvodu. |
7. Po porade s dotknutým subjektom môže jednotka CSIRT a prípadne jednotky CSIRT ďalších dotknutých členských štátov informovať o incidente verejnosť alebo požiadať o to daný subjekt, ak je informovanosť verejnosti potrebná na zabránenie incidentu alebo riešenie prebiehajúceho incidentu alebo ak je zverejnenie incidentu vo verejnom záujme z iného dôvodu. |
Pozmeňujúci návrh 216
Návrh smernice
Článok 20 – odsek 7 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
7a. Jednotky CSIRT bez zbytočného odkladu poskytnú jednotnému kontaktnému miestu a v relevantných prípadoch príslušným orgánom informácie o závažných incidentoch oznámených v súlade s odsekom 1. |
Pozmeňujúci návrh 217
Návrh smernice
Článok 20 – odsek 8
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
8. Na žiadosť príslušného orgánu alebo jednotky CSIRT jednotné kontaktné miesto postúpi doručené oznámenia podľa odsekov 1 a 2 jednotným kontaktným miestam ostatných zasiahnutých členských štátov. |
8. Na žiadosť jednotky CSIRT jednotné kontaktné miesto postúpi doručené oznámenia podľa odseku 1 jednotným kontaktným miestam ostatných zasiahnutých členských štátov, pričom zabezpečí dôvernosť a primeranú ochranu informácií poskytnutých oznamujúcim subjektom. |
Pozmeňujúci návrh 218
Návrh smernice
Článok 20 – odsek 9
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
9. Jednotné kontaktné miesto predkladá agentúre ENISA každý mesiac súhrnnú správu s anonymizovanými a agregovanými údajmi o incidentoch, závažných kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli oznámených v súlade s odsekmi 1 a 2 a v súlade s článkom 27. S cieľom prispieť k poskytovaniu porovnateľných informácií môže agentúra ENISA vydať technické usmernenia týkajúce sa parametrov informácií uvedených v súhrnnej správe. |
9. Jednotné kontaktné miesto predkladá agentúre ENISA každý mesiac súhrnnú správu s anonymizovanými a agregovanými údajmi o incidentoch, závažných kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli oznámených v súlade s odsekom 1 tohto článku a článkom 27. S cieľom prispieť k poskytovaniu porovnateľných informácií môže agentúra ENISA vydať technické usmernenia týkajúce sa parametrov informácií uvedených v súhrnnej správe. |
Pozmeňujúci návrh 219
Návrh smernice
Článok 20 – odsek 10
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
10. Príslušné orgány poskytnú príslušným orgánom určeným podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] informácie o incidentoch a kybernetických hrozbách, ktoré v súlade s odsekmi 1 a 2 oznámili kľúčové subjekty identifikované ako kritické subjekty alebo ako subjekty rovnocenné s kritickými subjektmi podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov]. |
10. Príslušné orgány poskytnú príslušným orgánom určeným podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] informácie o incidentoch a kybernetických hrozbách, ktoré v súlade s odsekom 1 tohto článku a článkom 27 oznámili kľúčové subjekty identifikované ako kritické subjekty alebo ako subjekty rovnocenné s kritickými subjektmi podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov]. |
Pozmeňujúci návrh 220
Návrh smernice
Článok 20 – odsek 11
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
11. Komisia môže prijať vykonávacie akty, v ktorých bližšie určí druh informácií, formát a postup oznámenia predkladaného podľa odsekov 1 a 2. Komisia môže prijať aj vykonávacie akty s cieľom ďalej konkretizovať prípady, v ktorých sa incident považuje za závažný, ako sa uvádza v odseku 3. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2. |
11. Komisia môže prijať vykonávacie akty, v ktorých bližšie určí postup oznámenia predkladaného podľa odseku 1 tohto článku a článku 27. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2. |
Pozmeňujúci návrh 221
Návrh smernice
Článok 20 – odsek 11 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
11a. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 36 s cieľom doplniť túto smernicu určením druhu informácií, ktoré sa majú predkladať podľa odseku 1 tohto článku, a podrobnejším vymedzením parametrov, ktoré sa majú zohľadniť pri určovaní závažnosti incidentu, ako sa uvádza v odseku 3 tohto článku. |
Pozmeňujúci návrh 222
Návrh smernice
Článok 21 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. S cieľom preukázať súlad s určitými požiadavkami článku 18 môžu členské štáty vyžadovať, aby kľúčové a dôležité subjekty certifikovali určité produkty IKT, služby IKT a procesy IKT v rámci osobitných európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa článku 49 nariadenia (EÚ) 2019/881. Produkty, služby a procesy, ktoré podliehajú certifikácii, môže vytvoriť kľúčový alebo dôležitý subjekt alebo sa môžu obstarať od tretích strán. |
1. Členské štáty na základe usmernení agentúry ENISA, Komisie a skupiny pre spoluprácu nabádajú kľúčové a dôležité subjekty, aby certifikovali určité produkty IKT, služby IKT a procesy IKT vytvorené kľúčovým alebo dôležitým subjektom alebo obstarané od tretích strán v rámci európskych systémov kybernetickej bezpečnosti prijatých podľa článku 49 nariadenia (EÚ) 2019/881 alebo, ak ešte nie sú k dispozícii, v rámci podobných medzinárodne uznávaných systémov certifikácie. Členské štáty navyše nabádajú kľúčové a dôležité subjekty, aby využívali kvalifikované dôveryhodné služby podľa nariadenia (EÚ) č. 910/2014. |
Pozmeňujúci návrh 223
Návrh smernice
Článok 21 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Komisia je splnomocnená prijímať delegované akty, v ktorých bližšie určí, od ktorých kategórií kľúčových subjektov sa vyžaduje získanie certifikátu a v rámci ktorých konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti podľa odseku 1. Delegované akty sa prijímajú v súlade s článkom 36. |
2. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 36 s cieľom doplniť túto smernicu tým, že bližšie určí, od ktorých kategórií kľúčových a dôležitých subjektov sa vyžaduje získanie certifikátu v rámci konkrétnych európskych systémov kybernetickej bezpečnosti podľa článku 49 nariadenia (EÚ) 2019/881. Takéto delegované akty sa zvážia v prípade, že sa zistí nedostatočná úroveň kybernetickej bezpečnosti, pričom im bude predchádzať posúdenie vplyvu a stanoví sa v nich obdobie vykonávania. |
Pozmeňujúci návrh 224
Návrh smernice
Článok 21 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Komisia môže požiadať agentúru ENISA, aby vypracovala kandidátsky systém podľa článku 48 ods. 2 nariadenia (EÚ) 2019/881 v prípadoch, keď nie je k dispozícii žiadny európsky systém certifikácie kybernetickej bezpečnosti na účely odseku 2. |
3. Komisia môže po konzultácii so skupinou pre spoluprácu a európskou skupinou pre certifikáciu kybernetickej bezpečnosti požiadať agentúru ENISA, aby vypracovala kandidátsky systém podľa článku 48 ods. 2 nariadenia (EÚ) 2019/881 v prípadoch, keď nie je k dispozícii žiadny európsky systém certifikácie kybernetickej bezpečnosti na účely odseku 2. |
Pozmeňujúci návrh 225
Návrh smernice
Článok 22 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Agentúra ENISA v spolupráci s členskými štátmi vypracúva odporúčania a usmernenia týkajúce sa technických oblastí, ktoré sa majú zvážiť v súvislosti s odsekom 1, ako aj odporúčania a usmernenia týkajúce sa už existujúcich noriem vrátane vnútroštátnych noriem členských štátov, ktoré by sa mohli vzťahovať na uvedené oblasti. |
2. Agentúra ENISA v spolupráci s členskými štátmi a v prípade potreby po konzultácii s príslušnými zainteresovanými stranami vypracúva odporúčania a usmernenia týkajúce sa technických oblastí, ktoré sa majú zvážiť v súvislosti s odsekom 1, ako aj odporúčania a usmernenia týkajúce sa už existujúcich noriem vrátane vnútroštátnych noriem členských štátov, ktoré by sa mohli vzťahovať na uvedené oblasti. |
Pozmeňujúci návrh 226
Návrh smernice
Článok 22 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
3. Komisia v spolupráci s agentúrou ENISA podporuje a presadzuje vypracovanie a vykonávanie noriem, ktoré stanovia príslušné orgány Únie a medzinárodné normalizačné organizácie na harmonizované vykonávanie článku 18 ods. 1 a 2. Komisia podporuje aktualizáciu noriem s ohľadom na technologický vývoj. |
Pozmeňujúci návrh 227
Návrh smernice
Článok 23 – nadpis
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Databázy doménových mien a registračných údajov |
Databázová štruktúra doménových mien a registračných údajov |
Pozmeňujúci návrh 228
Návrh smernice
Článok 23 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. S cieľom prispieť k bezpečnosti, stabilite a odolnosti DNS členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD zbierali a uchovávali presné a úplné registračné údaje o doménových menách vo vyhradenom databázovom zariadení s náležitou starostlivosťou, na ktoré sa vzťahujú právne predpisy Únie o ochrane údajov, pokiaľ ide o údaje, ktoré sú osobnými údajmi. |
1. S cieľom prispieť k bezpečnosti, stabilite a odolnosti DNS členské štáty vyžadujú, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien zbierali a uchovávali presné, overené a úplné registračné údaje o doménových menách v databázovej štruktúre prevádzkovanej na tento účel. |
Pozmeňujúci návrh 229
Návrh smernice
Článok 23 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby databázy s registračnými údajmi o doménových menách uvedené v odseku 1 obsahovali relevantné informácie na identifikáciu a kontaktovanie držiteľov doménových mien a kontaktných miest spravujúcich doménové mená v rámci TLD. |
2. Členské štáty zabezpečia, aby databázová štruktúra s registračnými údajmi o doménových menách uvedená v odseku 1 obsahovala relevantné informácie, ktoré zahŕňajú aspoň mená držiteľov domén, ich fyzické a e-mailové adresy, ako aj telefónne čísla, na identifikáciu a kontaktovanie držiteľov doménových mien a kontaktných miest spravujúcich doménové mená v rámci TLD. |
Pozmeňujúci návrh 230
Návrh smernice
Článok 23 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD mali zavedené politiky a postupy s cieľom zabezpečiť, aby databázy obsahovali presné a úplné informácie. Členské štáty zabezpečia, aby takéto politiky a postupy boli verejne dostupné. |
3. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien mali zavedené politiky a postupy s cieľom zabezpečiť, aby databázová štruktúra obsahovala presné, overené a úplné informácie. Členské štáty zabezpečia, aby takéto politiky a postupy boli verejne dostupné. |
Pozmeňujúci návrh 231
Návrh smernice
Článok 23 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD bez zbytočného odkladu po registrácii mena domény uverejnili registračné údaje domény, ktoré nie sú osobnými údajmi. |
4. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien bez zbytočného odkladu po registrácii mena domény zverejnili registračné údaje domény, ktoré nie sú osobnými údajmi. V prípade právnických osôb ako držiteľov domén zahŕňajú verejne dostupné registračné údaje domény aspoň meno držiteľa domény, jeho fyzickú a e-mailovú adresu, ako aj telefónne číslo. |
Pozmeňujúci návrh 232
Návrh smernice
Článok 23 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Členské štáty zabezpečia, aby registre TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD poskytovali prístup k špecifickým registračným údajom o doménových menách na základe zákonných a riadne odôvodnených žiadostí oprávnených záujemcov o prístup v súlade s právnymi predpismi Únie o ochrane údajov. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD odpovedali bez zbytočného odkladu na všetky žiadosti o prístup. Členské štáty zabezpečia, aby politiky a postupy zverejňovania takýchto údajov boli verejne dostupné. Oddiel II Jurisdikcia a registrácia Článok 24 Jurisdikcia a teritorialita |
5. Členské štáty vyžadujú, aby registre TLD a subjekty poskytujúce služby registrácie doménových mien poskytovali prístup k špecifickým registračným údajom o doménových menách vrátane osobných údajov na základe riadne odôvodnených žiadostí oprávnených záujemcov o prístup v súlade s právnymi predpismi Únie o ochrane údajov. Členské štáty vyžadujú, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien odpovedali bez zbytočného odkladu a v každom prípade do 72 hodín od prijatia žiadostí o prístup. Členské štáty zabezpečia, aby politiky a postupy zverejňovania takýchto údajov boli verejne dostupné. Oddiel II Jurisdikcia a registrácia Článok 24 Jurisdikcia a teritorialita |
Pozmeňujúci návrh 233
Návrh smernice
Článok 24 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Na účely tejto smernice sa predpokladá, že subjekty uvedené v odseku 1 majú hlavné miesto podnikateľskej činnosti v Únii v členskom štáte, v ktorom sa prijímajú rozhodnutia týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík. Ak sa takéto rozhodnutia neprijímajú v žiadnom mieste podnikateľskej činnosti v Únii, predpokladá sa, že hlavné miesto podnikateľskej činnosti je v členskom štáte, v ktorom majú subjekty miesto podnikateľskej činnosti s najvyšším počtom zamestnancov v Únii. |
2. Na účely tejto smernice sa predpokladá, že subjekty uvedené v odseku 1 majú hlavné miesto podnikateľskej činnosti v Únii v členskom štáte, v ktorom sa prijímajú rozhodnutia týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík. Ak sa takéto rozhodnutia neprijímajú v žiadnom mieste podnikateľskej činnosti v Únii, predpokladá sa, že hlavné miesto podnikateľskej činnosti je v členskom štáte, v ktorom majú subjekty buď miesto podnikateľskej činnosti s najvyšším počtom zamestnancov v Únii, alebo miesto podnikateľskej činnosti, kde sa vykonávajú kybernetickobezpečnostné operácie. |
Pozmeňujúci návrh 234
Návrh smernice
Článok 25 – nadpis
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Register kľúčových a dôležitých subjektov |
Register agentúry ENISA |
Pozmeňujúci návrh 235
Návrh smernice
Článok 25 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Agentúra ENISA vytvorí a vedie register kľúčových a dôležitých subjektov uvedených v článku 24 ods. 1. Subjekty predložia agentúre ENISA najneskôr [12 mesiacov od nadobudnutia účinnosti tejto smernice] tieto informácie: |
1. Agentúra ENISA vytvorí a vedie zabezpečený register kľúčových a dôležitých subjektov uvedených v článku 24 ods. 1, ktorý obsahuje tieto informácie: |
Pozmeňujúci návrh 236
Návrh smernice
Článok 25 – odsek 1 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) aktuálne kontaktné údaje vrátane e-mailových adries a telefónnych čísel subjektov. |
c) aktuálne kontaktné údaje vrátane e-mailových adries, rozsahov IP adries, telefónnych čísel a príslušných odvetví a pododvetví subjektov uvedených v prílohách I a II. |
Pozmeňujúci návrh 237
Návrh smernice
Článok 25 – odsek 1 – pododsek 1 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
Do ... [12 mesiacov od dátumu nadobudnutia účinnosti tejto smernice] predložia kľúčové a dôležité subjekty agentúre ENISA informácie uvedené v prvom pododseku. |
Pozmeňujúci návrh 238
Návrh smernice
Článok 26 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Bez toho, aby bolo dotknuté nariadenie (EÚ) 2016/679, členské štáty zabezpečia, aby si kľúčové a dôležité subjekty mohli medzi sebou vymieňať relevantné informácie o kybernetickej bezpečnosti vrátane informácií o kybernetických hrozbách, zraniteľnostiach, ukazovateľoch kompromitácie, taktikách, technikách a postupoch, kybernetickobezpečnostných varovaniach a konfiguračných nástrojoch, ak takáto výmena informácií: |
1. Členské štáty zabezpečia, aby si kľúčové a dôležité subjekty a ďalšie príslušné subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, mohli medzi sebou vymieňať relevantné informácie o kybernetickej bezpečnosti vrátane informácií o kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli, zraniteľnostiach, technikách a postupoch, metaúdajoch a obsahových údajoch, ukazovateľoch kompromitácie, protichodných taktikách, modoch operandi, informáciách špecifických pre jednotlivých aktérov, kybernetickobezpečnostných varovaniach, taktikách priemyselnej špionáže a odporúčaných konfiguráciách bezpečnostných nástrojov, ak takáto výmena informácií: |
Pozmeňujúci návrh 239
Návrh smernice
Článok 26 – odsek 1 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) zvyšuje úroveň kybernetickej bezpečnosti, najmä zvyšovaním povedomia o kybernetických hrozbách, obmedzovaním alebo zabraňovaním možnosti šírenia takýchto hrozieb, podporou celej škály obranných kapacít, zverejňovaním informácií o zraniteľnosti a jej nápravou, technikami odhaľovania hrozieb, stratégiami zmierňovania, alebo fázami reakcie a obnovy. |
b) zvyšuje úroveň kybernetickej bezpečnosti, najmä zvyšovaním povedomia o kybernetických hrozbách, obmedzovaním alebo zabraňovaním možnosti šírenia takýchto hrozieb, podporou celej škály obranných kapacít, zverejňovaním informácií o zraniteľnosti a jej nápravou, technikami odhaľovania, zamedzovania šírenia a prevencie hrozieb, stratégiami zmierňovania, alebo fázami reakcie a obnovy, resp. podporou spoločného výskumu kybernetických hrozieb medzi verejnými a súkromnými subjektmi. |
Pozmeňujúci návrh 240
Návrh smernice
Článok 26 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby sa výmena informácií uskutočňovala v rámci dôveryhodných komunít kľúčových a dôležitých subjektov. Takáto výmena sa uskutočňuje prostredníctvom mechanizmov spoločného využívania informácií vzhľadom na potenciálne citlivú povahu vymieňaných informácií a v súlade s pravidlami práva Únie uvedenými v odseku 1. |
2. Členské štáty uľahčia výmenu informácií tým, že umožnia vytvorenie dôveryhodných komunít kľúčových a dôležitých subjektov a ich poskytovateľov služieb alebo v relevantných prípadoch iných dodávateľov. Takáto výmena sa uskutočňuje prostredníctvom mechanizmov spoločného využívania informácií vzhľadom na potenciálne citlivú povahu vymieňaných informácií. |
Pozmeňujúci návrh 241
Návrh smernice
Článok 26 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty stanovia pravidlá, v ktorých sa konkretizuje postup, operačné prvky (vrátane využívania špecializovaných platforiem IKT), obsah a podmienky dohôd o výmene informácií uvedených v odseku 2. V týchto pravidlách sa stanovia aj podrobnosti o zapojení orgánov verejnej moci do takýchto dohôd, ako aj operačné prvky vrátane využívania špecializovaných IT platforiem. Členské štáty poskytnú pri uplatňovaní takýchto opatrení podporu v súlade so svojimi politikami uvedenými v článku 5 ods. 2 písm. g). |
3. Členské štáty uľahčia vytvorenie mechanizmov spoločného využívania informácií o kybernetickej bezpečnosti uvedených v odseku 2 tým, že sprístupnia operačné prvky (vrátane využívania špecializovaných platforiem IKT a nástrojov na automatizáciu) a obsah. Členské štáty stanovia podrobnosti o zapojení orgánov verejnej moci do takýchto dohôd a môžu stanoviť určité podmienky, pokiaľ ide o informácie, ktoré sprístupnili príslušné orgány alebo jednotky CSIRT. Členské štáty poskytnú pri uplatňovaní takýchto opatrení podporu v súlade so svojimi politikami uvedenými v článku 5 ods. 2 písm. g). |
Pozmeňujúci návrh 242
Návrh smernice
Článok 27 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Členské štáty zabezpečia, aby subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, mohli dobrovoľne podávať oznámenia o závažných incidentoch, kybernetických hrozbách alebo udalostiach odvrátených v poslednej chvíli, a to bez toho, aby bol dotknutý článok 3. Členské štáty pri spracúvaní oznámení konajú v súlade s postupom stanoveným v článku 20. Členské štáty môžu uprednostniť spracúvanie povinných oznámení pred dobrovoľnými oznámeniami. V dôsledku dobrovoľného oznámenia nevznikajú oznamujúcemu subjektu žiadne ďalšie povinnosti, ktoré by sa naň neboli vzťahovali, ak by oznámenie nepodal. |
Členské štáty zabezpečia, aby jednotke CSIRT mohli oznámenia dobrovoľne podávať: |
Pozmeňujúci návrh 243
Návrh smernice
Článok 27 – odsek 1 – písmeno a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
a) kľúčové a dôležité subjekty v súvislosti s kybernetickými hrozbami a udalosťami odvrátenými v poslednej chvíli; |
Pozmeňujúci návrh 244
Návrh smernice
Článok 27 – odsek 1 – písmeno b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
b) subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, v súvislosti so závažnými incidentmi, kybernetickými hrozbami alebo udalosťami odvrátenými v poslednej chvíli; |
Pozmeňujúci návrh 245
Návrh smernice
Článok 27 – odsek 1 – pododsek 1 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
Členské štáty pri spracúvaní takýchto oznámení konajú v súlade s postupom stanoveným v článku 20. Členské štáty môžu uprednostniť spracúvanie povinných oznámení pred dobrovoľnými oznámeniami. Jednotky CSIRT v prípade potreby poskytnú jednotnému kontaktnému miestu a v relevantných prípadoch príslušným orgánom informácie o oznámeniach doručených podľa tohto článku, pričom zabezpečia dôvernosť a primeranú ochranu informácií poskytnutých oznamujúcim subjektom. V dôsledku dobrovoľného oznámenia nevznikajú oznamujúcemu subjektu žiadne ďalšie povinnosti, ktoré by sa naň neboli vzťahovali, ak by oznámenie nepodal. |
Pozmeňujúci návrh 246
Návrh smernice
Článok 28 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Príslušné orgány pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, úzko spolupracujú s orgánmi na ochranu údajov. |
2. Príslušné orgány pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, úzko spolupracujú s orgánmi na ochranu údajov. Uskutočňuje sa to v súlade s ich právomocami a úlohami podľa nariadenia (EÚ) 2016/679. |
Pozmeňujúci návrh 247
Návrh smernice
Článok 29 – odsek 2 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) kontrolám na mieste a dohľadu na diaľku vrátane náhodných kontrol; |
a) kontrolám na mieste a dohľadu na diaľku vrátane náhodných kontrol, ktoré vykonávajú vyškolení odborníci; |
Pozmeňujúci návrh 248
Návrh smernice
Článok 29 – odsek 2 – písmeno a a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
aa) vyšetreniu prípadov nedodržania povinností a súvisiacich účinkov na bezpečnosť služieb; |
Pozmeňujúci návrh 249
Návrh smernice
Článok 29 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) pravidelným auditom; |
b) ročným a cieleným bezpečnostným auditom vykonávaným kvalifikovaným nezávislým orgánom alebo príslušným orgánom; |
Pozmeňujúci návrh 250
Návrh smernice
Článok 29 – odsek 2 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom; |
c) auditom ad hoc v prípadoch odôvodnených závažným incidentom alebo nedodržaním povinností zo strany kľúčového subjektu; |
Pozmeňujúci návrh 251
Návrh smernice
Článok 29 – odsek 2 – pododseky 1 a a 1 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
Cielené bezpečnostné audity uvedené v prvom pododseku písm. b) sú založené na posúdeniach rizika, ktoré vykonal príslušný orgán alebo auditovaný subjekt, alebo na iných dostupných informáciách týkajúcich sa rizík. |
|
Výsledky každého cieleného bezpečnostného auditu sa sprístupnia príslušnému orgánu. Náklady na takýto cielený bezpečnostný audit, ktorý vykonáva kvalifikovaný nezávislý orgán, hradí dotknutý subjekt. |
Pozmeňujúci návrh 252
Návrh smernice
Článok 29 – odsek 2 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
2a. Pri výkone svojich právomocí podľa odseku 2 písm. a) až d) príslušné orgány minimalizujú vplyv na obchodné procesy subjektu. |
Pozmeňujúci návrh 253
Návrh smernice
Článok 29 – odsek 4 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) vydávať záväzné pokyny alebo príkazy, ktorými sa od týchto subjektov vyžaduje napraviť zistené nedostatky alebo porušenia povinností stanovených v tejto smernici; |
b) vydávať záväzné pokyny, a to aj v súvislosti s opatreniami potrebnými na prevenciu alebo nápravu incidentu, ako aj lehotami na vykonávanie takýchto opatrení a podávanie správ o ich vykonávaní, alebo príkazy, ktorými sa od týchto subjektov vyžaduje napraviť zistené nedostatky alebo porušenia povinností stanovených v tejto smernici; |
Pozmeňujúci návrh 254
Návrh smernice
Článok 29 – odsek 4 – bod i
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
i) vydať verejné vyhlásenie, v ktorom sa uvedie právnická a fyzická osoba alebo osoby zodpovedné za porušenie povinnosti stanovenej v tejto smernici a povaha tohto porušenia; |
vypúšťa sa |
Pozmeňujúci návrh 255
Návrh smernice
Článok 29 – odsek 4 – písmeno j
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
j) uložiť správnu sankciu alebo požiadať o jej uloženie podľa článku 31 príslušné orgány alebo súdy podľa vnútroštátnych zákonov, a to popri opatreniach uvedených v písmenách a) až i) tohto odseku alebo namiesto týchto opatrení, v závislosti od okolností každého jednotlivého prípadu. |
j) uložiť správnu sankciu alebo požiadať o jej uloženie podľa článku 31 príslušné orgány alebo súdy v súlade s vnútroštátnym právom, a to popri opatreniach uvedených v písmenách a) až i) tohto odseku v závislosti od okolností každého jednotlivého prípadu. |
Pozmeňujúci návrh 256
Návrh smernice
Článok 29 – odsek 5 – pododsek 1 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) pozastaviť certifikáciu alebo povoľovanie alebo požiadať certifikačný alebo povoľujúci subjekt, aby pozastavil certifikáciu alebo povoľovanie týkajúce sa časti alebo všetkých služieb alebo činností, ktoré poskytuje kľúčový subjekt; |
a) dočasne pozastaviť certifikáciu alebo povoľovanie alebo požiadať certifikačný alebo povoľujúci subjekt, aby dočasne pozastavil certifikáciu alebo povoľovanie týkajúce sa časti alebo všetkých relevantných služieb alebo činností, ktoré poskytuje kľúčový subjekt; |
Pozmeňujúci návrh 257
Návrh smernice
Článok 29 – odsek 5 – pododsek 1 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) uložiť dočasný zákaz alebo od príslušných orgánov alebo súdov podľa vnútroštátnych zákonov požadovať uloženie dočasného zákazu vykonávať riadiace funkcie v tomto kľúčovom subjekte, a to každej osobe vykonávajúcej riadiace úlohy na úrovni výkonného riaditeľa alebo právneho zástupcu v tomto kľúčovom subjekte a akejkoľvek inej fyzickej osobe zodpovednej za porušenie. |
b) ako ultima ratio od príslušných orgánov alebo súdov v súlade s vnútroštátnym právom požadovať uloženie dočasného zákazu vykonávať riadiace funkcie v tomto kľúčovom subjekte, a to každej osobe vykonávajúcej riadiace úlohy na úrovni výkonného riaditeľa alebo právneho zástupcu v tomto kľúčovom subjekte. |
Pozmeňujúci návrh 258
Návrh smernice
Článok 29 – odsek 5 – pododsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Tieto sankcie sa uplatňujú len dovtedy, kým subjekt neprijme potrebné opatrenia na nápravu nedostatkov alebo nesplní požiadavky príslušného orgánu, ktorý takéto sankcie uplatnil. |
Dočasné pozastavenia alebo zákazy podľa tohto odseku sa uplatňujú len dovtedy, kým dotknutý subjekt neprijme potrebné opatrenia na nápravu nedostatkov alebo nesplní požiadavky príslušného orgánu, ktorý takéto sankcie uplatnil. Ukladanie takýchto dočasných pozastavení alebo zákazov musí podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a charty vrátane účinnej súdnej ochrany, riadneho procesu, prezumpcie neviny a práva na obhajobu. |
Pozmeňujúci návrh 259
Návrh smernice
Článok 29 – odsek 7 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) skutočné spôsobené škody alebo vzniknuté straty alebo potenciálne škody alebo straty, ktoré mohli vzniknúť, pokiaľ ich možno určiť. Pri hodnotení tohto aspektu sa okrem iného zohľadnia skutočné alebo potenciálne finančné alebo hospodárske straty, účinky na iné služby, počet dotknutých alebo potenciálne dotknutých používateľov; |
c) spôsobené škody alebo vzniknuté straty vrátane finančných alebo hospodárskych strát, účinkov na iné služby a počtu dotknutých používateľov; |
Pozmeňujúci návrh 260
Návrh smernice
Článok 29 – odsek 7 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) akékoľvek relevantné predchádzajúce prípady porušenia zo strany dotknutého subjektu; |
Pozmeňujúci návrh 261
Návrh smernice
Článok 29 – odsek 9
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
9. Členské štáty zabezpečia, aby ich príslušné orgány informovali relevantné príslušné orgány dotknutého členského štátu určené podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov], keď vykonávajú svoje právomocí v oblasti dohľadu a presadzovania práva zamerané na zabezpečenie dodržiavania povinností podľa tejto smernice zo strany kľúčového subjektu identifikovaného ako kritický alebo ako rovnocenný s kritickým subjektom podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov]. Príslušné orgány môžu na žiadosť príslušných orgánov podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický alebo ako rovnocenný subjekt. |
9. Členské štáty zabezpečia, aby ich príslušné orgány informovali relevantné príslušné orgány všetkých príslušných členských štátov určené podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov], keď vykonávajú svoje právomocí v oblasti dohľadu a presadzovania práva zamerané na zabezpečenie dodržiavania povinností podľa tejto smernice zo strany kľúčového subjektu identifikovaného ako kritický alebo ako rovnocenný s kritickým subjektom podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov]. Príslušné orgány môžu na žiadosť príslušných orgánov podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický alebo ako rovnocenný subjekt. |
Pozmeňujúci návrh 262
Návrh smernice
Článok 29 – odsek 9 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
9a. Členské štáty zabezpečia, aby ich príslušné orgány spolupracovali s relevantnými príslušnými orgánmi dotknutého členského štátu určenými podľa nariadenia (EÚ) XXXX/XXXX [nariadenie DORA]. |
Pozmeňujúci návrh 263
Návrh smernice
Článok 30 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Ak členské štáty dostanú dôkaz alebo indíciu, že dôležitý subjekt nedodržiava povinnosti stanovené v tejto smernici, a najmä v článkoch 18 a 20, zabezpečia, aby príslušné orgány konali v prípade potreby prostredníctvom opatrení dohľadu ex post. |
1. Ak členské štáty dostanú dôkaz alebo indíciu, že dôležitý subjekt nedodržiava povinnosti stanovené v tejto smernici, a najmä v článkoch 18 a 20, zabezpečia, aby príslušné orgány konali v prípade potreby prostredníctvom opatrení dohľadu ex post. Členské štáty zabezpečia, aby boli tieto opatrenia účinné, primerané a odrádzajúce, pričom zohľadnia okolnosti každého konkrétneho prípadu. |
Pozmeňujúci návrh 264
Návrh smernice
Článok 30 – odsek 2 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) kontrolám na mieste a dohľadu ex post na diaľku; |
a) kontrolám na mieste a dohľadu ex post na diaľku, ktoré vykonávajú vyškolení odborníci; |
Pozmeňujúci návrh 265
Návrh smernice
Článok 30 – odsek 2 – písmeno a a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
aa) vyšetreniu prípadov nedodržania povinností a súvisiacich účinkov na bezpečnosť služieb; |
Pozmeňujúci návrh 266
Návrh smernice
Článok 30 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom; |
b) cieleným bezpečnostným auditom vykonávaným kvalifikovaným nezávislým orgánom alebo príslušným orgánom; |
Pozmeňujúci návrh 267
Návrh smernice
Článok 30 – odsek 2 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) bezpečnostným kontrolám založeným na objektívnych, spravodlivých a transparentných kritériách posúdenia rizika; |
c) bezpečnostným kontrolám založeným na objektívnych, nediskriminačných, spravodlivých a transparentných kritériách posúdenia rizika; |
Pozmeňujúci návrh 268
Návrh smernice
Článok 30 – odsek 2 – pododseky 1 a a 1 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
Cielené bezpečnostné audity uvedené v prvom pododseku písm. b) sú založené na posúdeniach rizika, ktoré vykonal príslušný orgán alebo auditovaný subjekt, alebo na iných dostupných informáciách týkajúcich sa rizík. |
|
Výsledky každého cieleného bezpečnostného auditu sa sprístupnia príslušnému orgánu. Náklady na takýto cielený bezpečnostný audit, ktorý vykonáva kvalifikovaný nezávislý orgán, hradí dotknutý subjekt. |
Pozmeňujúci návrh 269
Návrh smernice
Článok 30 – odsek 4 – písmeno h
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
h) vydať verejné vyhlásenie, v ktorom sa uvedie právnická a fyzická osoba alebo osoby zodpovedné za porušenie povinnosti stanovenej v tejto smernici a povaha tohto porušenia; |
vypúšťa sa |
Pozmeňujúci návrh 270
Návrh smernice
Článok 30 – odsek 4 – bod i
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
i) uložiť správnu sankciu alebo požiadať o jej uloženie podľa článku 31 príslušné orgány alebo súdy podľa vnútroštátnych zákonov, a to popri opatreniach uvedených v písmenách a) až h) tohto odseku alebo namiesto týchto opatrení, v závislosti od okolností každého jednotlivého prípadu. |
i) uložiť správnu sankciu alebo požiadať o jej uloženie podľa článku 31 príslušné orgány alebo súdy v súlade s vnútroštátnym právom, a to popri opatreniach uvedených v písmenách a) až h) tohto odseku v závislosti od okolností každého jednotlivého prípadu. |
Pozmeňujúci návrh 271
Návrh smernice
Článok 31 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Správne sankcie sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 29 ods. 4 písm. a) až i), článku 29 ods. 5 a článku 30 ods. 4 písm. a) až h) a j) alebo namiesto týchto opatrení. |
2. Správne sankcie sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 29 ods. 4 písm. a) až i), článku 29 ods. 5 a článku 30 ods. 4 písm. a) až h) a j). |
Pozmeňujúci návrh 272
Návrh smernice
Článok 32 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Ak majú príslušné orgány indície, že kľúčový alebo dôležitý subjekt pri porušení povinností stanovených v článkoch 18 a 20 porušil aj ochranu osobných údajov, ako sa vymedzuje v článku 4 bode 12 nariadenia (EÚ) 2016/679, pričom takéto porušenie sa oznamuje podľa článku 33 uvedeného nariadenia, v primeranej lehote o tom informujú príslušné dozorné orgány podľa článkov 55 a 56 uvedeného nariadenia. |
1. Ak majú príslušné orgány indície, že kľúčový alebo dôležitý subjekt pri porušení povinností stanovených v článkoch 18 a 20 porušil aj ochranu osobných údajov, ako sa vymedzuje v článku 4 bode 12 nariadenia (EÚ) 2016/679, pričom takéto porušenie sa oznamuje podľa článku 33 uvedeného nariadenia, bezodkladne a v každom prípade do 72 hodín od zistenia porušenia ochrany údajov o tom informujú príslušné dozorné orgány podľa článkov 55 a 56 uvedeného nariadenia. |
Pozmeňujúci návrh 273
Návrh smernice
Článok 32 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Ak je dozorný orgán, príslušný podľa nariadenia (EÚ) 2016/679, usadený v inom členskom štáte než príslušný orgán, príslušný orgán môže informovať dozorný orgán usadený v tom istom členskom štáte. |
3. Ak je dozorný orgán, príslušný podľa nariadenia (EÚ) 2016/679, usadený v inom členskom štáte než príslušný orgán, príslušný orgán informuje dozorný orgán usadený v tom istom členskom štáte. |
Pozmeňujúci návrh 274
Návrh smernice
Článok 35 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Komisia pravidelne preskúmava fungovanie tejto smernice a podáva o tom správu Európskemu parlamentu a Rade. V správe sa posúdi najmä relevantnosť odvetví, pododvetví, veľkosti a typu subjektov uvedených v prílohách I a II pre fungovanie hospodárstva a spoločnosti v súvislosti s kybernetickou bezpečnosťou. Na tento účel a s cieľom ďalej napredovať v strategickej a operačnej spolupráci Komisia zohľadní správy skupiny pre spoluprácu a siete jednotiek CSIRT o skúsenostiach získaných na strategickej a operačnej úrovni. Prvá správa sa predloží do … [54 mesiacov po dátume nadobudnutia účinnosti tejto smernice]. |
Komisia do... [42 mesiacov po dátume nadobudnutia účinnosti tejto smernice] a následne každých 36 mesiacov preskúma fungovanie tejto smernice a podá o tom správu Európskemu parlamentu a Rade. V správe sa posúdi najmä relevantnosť odvetví, pododvetví, veľkosti a typu subjektov uvedených v prílohách I a II pre fungovanie hospodárstva a spoločnosti v súvislosti s kybernetickou bezpečnosťou. Na tento účel a s cieľom ďalej napredovať v strategickej a operačnej spolupráci Komisia zohľadní správy skupiny pre spoluprácu a siete jednotiek CSIRT o skúsenostiach získaných na strategickej a operačnej úrovni. |
|
K správe sa podľa potreby pripojí legislatívny návrh. |
Pozmeňujúci návrh 275
Návrh smernice
Článok 36 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Právomoc prijímať delegované akty uvedené v článku 18 ods. 6 a článku 21 ods. 2 sa Komisii udeľuje na obdobie piatich rokov od [...]. |
2. Právomoc prijímať delegované akty uvedené v článku 18 ods. 6, článku 20 ods. 11a a článku 21 ods. 2 sa Komisii udeľuje na obdobie piatich rokov od [...]. |
Pozmeňujúci návrh 276
Návrh smernice
Článok 36 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Delegovanie právomoci uvedené v článku 18 ods. 6 a článku 21 ods. 2 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť. |
3. Delegovanie právomoci uvedené v článku 18 ods. 6, článku 20 ods. 11a a článku 21 ods. 2 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť. |
Pozmeňujúci návrh 277
Návrh smernice
Článok 36 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Delegovaný akt prijatý podľa článku 18 ods. 6 a článku 21 ods. 2 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace. |
6. Delegovaný akt prijatý podľa článku 18 ods. 6, článku 20 ods. 11a a článku 21 ods. 2 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace. |
Pozmeňujúci návrh 278
Návrh smernice
Článok 42 – odsek 1 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
Články 39 a 40 sa však uplatňujú od... [18 mesiacov po dátume nadobudnutia účinnosti tejto smernice]. |
Pozmeňujúci návrh 279
Návrh smernice
Príloha I – bod 2 – písmeno d – zarážka 2 (nová)
Text predložený Komisiou |
|
Pozmeňujúci návrh |
|
2. Doprava |
d) Cestná doprava |
— Prevádzkovatelia služieb inteligentného nabíjania pre elektrické vozidlá |
Pozmeňujúci návrh 280
Návrh smernice
Príloha II – tabuľka – riadok 6 a (nový)
Text predložený Komisiou |
|
Pozmeňujúci návrh |
|
6a. Vzdelávanie a výskum |
|
— Inštitúcie vysokoškolského vzdelávania a výskumné inštitúcie |
DÔVODOVÁ SPRÁVA
Spravodajca si želá, aby sa Európa stala najlepším miestom na život a podnikanie.
Spravodajca preto víta smernicu o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (ďalej len „smernica NIS 2“), ktorou sa nahrádza pôvodná smernica o sieťovej a informačnej bezpečnosti (ďalej len „smernica NIS“). Návrh odráža meniacu sa situáciu v oblasti kybernetických hrozieb a zavádza minimálnu harmonizáciu opatrení v celej EÚ.
Európske policajné zložky v súčasnosti v čoraz väčšej miere bojujú s prudkým nárastom incidentov v oblasti počítačovej kriminality. Patrí medzi ne trestná činnosť páchaná prostredníctvom moderných technológií, počítačová kriminalita a podvody prostredníctvom vydávania sa za generálneho riaditeľa, spravodajca však výslovne zdôrazňuje agresívny nárast ransomvérových gangov, ktoré napádajú a vydierajú európske ciele bez ohľadu na ich veľkosť alebo obrat. Na druhej strane sa nepriateľské subjekty národných štátov zameriavajú na krádež duševného vlastníctva na priemyselnej úrovni, čo si vyžaduje náležitú reakciu.
Podľa agentúry ENISA sú však všeobecné výdavky organizácií na kybernetickú bezpečnosť v EÚ o 41 % nižšie ako v USA. Okrem toho je výmena informácií medzi krajinami a v rámci krajín vážne narušená z dôvodu obáv zo zodpovednosti za súlad so všeobecným nariadením o ochrane údajov. Táto skutočnosť je zjavná pri verejných aj súkromných subjektoch, ktoré sa obávajú spoločného využívania údajov. V smernici NIS 2 sa preto musí jasne uviesť, že výmena informácií je nevyhnutná na splnenie požiadaviek kybernetickej bezpečnosti.
Spoločná úroveň kybernetickej bezpečnosti v EÚ má zásadný význam pre fungovanie vnútorného trhu. Presné vymedzenie právnych predpisov je potrebné na to, aby podniky pôsobiace v rôznych členských štátoch podliehali rovnakému súboru pravidiel. Cieľom smernice NIS 2 je odstrániť neistotu a súčasnú nedostatočnú zrozumiteľnosť.
V období, keď počítačová kriminalita, špionáž alebo sabotážne operácie môžu mať kaskádové účinky, smernica NIS 2 výrazne rozširuje rozsah pôsobnosti. Návrh zahŕňa odvetvia, ktoré sa predtým nepovažovali za kľúčové alebo dôležité, no ktoré za také určite považujú ransomvérové gangy alebo určité národné štáty. Na základe služieb, ktoré subjekty poskytujú spoločnostiam, sú rozdelené do dvoch právnych kategórií: „kľúčové“ a „dôležité“ subjekty. Spravodajca súhlasí s ambíciou návrhu Komisie a domnieva sa, že výskumné a akademické inštitúcie by sa mali zahrnúť ako nové odvetvie. Tieto inštitúcie sa často stávajú cieľom a ich duševné vlastníctvo si zaslúži ochranu v zmysle smernice NIS 2.
Administratívna záťaž a byrokracia ovplyvňujúca podniky predstavujú pretrvávajúce znepokojenie pre všetkých zákonodarcov. Spravodajca podporuje vylúčenie mikropodnikov a malých podnikov. Ďalej sa domnieva, že smernica NIS 2 by sa nemala zameriavať len na dodržiavanie predpisov a trestnoprávne opatrenia, ale aj na pozitívne stimuly, ako je poskytovanie usmernení a pomoci malým a stredným podnikom, ktoré majú osobitné potreby a záujmy, alebo na voľne ponúkanie služieb na kontrolu konfigurácie e-mailových serverov a webových sídel. V tejto súvislosti majú uvedené návrhy takisto zdôrazniť, že vlády sa musia orientovať na služby.
Oznamovanie incidentov je pre kybernetickú bezpečnosť kľúčové: môže zabrániť tomu, aby sa iní stali obeťami kybernetického útoku. Spravodajca by chcel pripomenúť, že v rámci svojej predchádzajúcej funkcie v oblasti kybernetickej bezpečnosti sa často stretával so skutočnosťou, že oznamovanie incidentov do 24 hodín je nemožné. Zvyčajne je v tejto počiatočnej fáze incident ešte stále nejasný. Spravodajcovi sa navrhovaný časový rámec 24 hodín javí ako neprimeraný, a to aj vzhľadom na skutočnosť, že sa do zmierňovania daného problému investuje úsilie odborníkov; oznamovanie je v tejto fáze druhoradé. Kybernetický incident a jeho dôsledky sú málokedy zjavné do 24 hodín a ich oznamovanie do 24 hodín by mohlo viesť k nesprávnym údajom, nadmernému oznamovaniu a ďalším nedorozumeniam. Okrem toho sa tieto incidenty často vyskytujú počas víkendu. Spravodajca preto navrhuje zosúladiť túto smernicu s inými právnymi predpismi Únie, ako je napríklad všeobecné nariadenie o ochrane údajov, a tým zvýšiť časový rámec na 72 hodín.
Spravodajca nepovažuje za žiaduce, aby sa oznamovanie potenciálnych incidentov stalo povinným. Mala by sa podporovať dobrovoľná výmena informácií o potenciálnych incidentoch alebo udalostiach odvrátených v poslednej chvíli. Stredne veľké a veľké subjekty však môžu čeliť desiatkam či dokonca stovkám závažných kybernetických hrozieb za jeden deň. Oznamovanie týchto potenciálnych incidentov by bolo zaťažujúce a bránilo by účinnej reakcii. Zároveň by to mohlo narušiť efektívnosť orgánov, ktoré sú poverené riešením týchto oznámení, čím by sa oslabila dôvera v systém oznamovania a ich schopnosť konať v prípade skutočných incidentov.
Oznamovanie potenciálnych kybernetických hrozieb jednotkám CSIRT alebo príslušným orgánom by takisto nemalo byť povinné. Dodržiavanie predpisov a zodpovednosti odradí lovcov hrozieb od akejkoľvek činnosti; ide o zásadnú súčasť ekosystému kybernetickej bezpečnosti. Okrem toho existujú (závažné) okolnosti, pri ktorých by bolo vhodné oznámiť hrozbu spravodajskej komunite, pokiaľ je to v oblasti ich pôsobnosti, a nie orgánom sieťovej a informačnej bezpečnosti.
Opatrenia v oblasti kybernetickej bezpečnosti by mali byť primerané veľkosti subjektu a kybernetickobezpečnostným rizikám, ktorým čelí. Dohľad a presadzovanie by preto mali byť primerané. Sankcie a trestnoprávne opatrenia sú nevyhnutné na to, aby boli právne predpisy v rámci smernice NIS 2 účinné. Spravodajca sa však domnieva, že zákonodarcovia by mali zdôrazniť uplatňovanie princípu stupňovania a že vrcholový manažment by mal byť preto postavený pred zákon až po preukázaní nedbanlivosti v súvislosti s opakovanými varovaniami. Predchádzanie dvojitému dohľadu prostredníctvom odvetvových právnych predpisov je dôležité aj pre subjekty, ktoré patria do rozsahu pôsobnosti smernice NIS 2 a odvetvovej smernice, ako je napríklad smernica DORA.
Spravodajca vyzýva všetky členské štáty, aby vypracovali národnú stratégiu kybernetickej bezpečnosti zameranú na aktívnu kybernetickú obranu. Európa dobre zvláda koordináciu situácie po vzniku incidentu, avšak zlepšenie znalostí (verejných a súkromných) o kybernetických útokoch pred ich vznikom so sebou takisto prináša zodpovednosť. Len pasívna výmena takýchto znalostí nie je dostatočná; občania a subjekty očakávajú od svojich vlád aktívny prístup k ochrane kybernetickej bezpečnosti. Členské štáty musia zabezpečiť schopnosti mariť útoky a aktívne brániť ich výskytu.
Pozornosť si vyžaduje aj jadro internetu. Služby DNS sú zákazníkom povinné ponúkať bezpečné služby založené na ochrane súkromia. Táto skutočnosť však ešte nie je všeobecne akceptovaná. Spravodajca vyjadruje znepokojenie nad tým, že občania, ktorí prevádzkujú vlastné služby DNS na svojom počítači alebo malom domácom serveri, patria do rozsahu pôsobnosti návrhu Komisie. Spravodajca si želá, aby tieto osoby, často technologicky zdatní jednotlivci, boli z tejto smernice vylúčené. Ďalším problémom je, že prevádzkovatelia koreňových menných serverov patria do rozsahu pôsobnosti smernice NIS 2. Od nárastu používania internetu v 70. rokoch 20. storočia a počas ďalších rokov tieto služby zabezpečovali experti dobrovoľníci. Spravodajca sa domnieva, že keďže táto služba nie je speňažená a keďže možno namietať, že vlády by ju nemali regulovať, koreňové servery by sa mali vyňať z rozsahu pôsobnosti.
Spravodajca považuje za veľmi dôležité posilniť celkovú bezpečnosť elektronických komunikačných sietí a služieb a zlepšiť integritu internetu. To znamená, že v celej Európe by sa mali využívať dôveryhodné interoperabilné technológie. Je potrebné intenzívne podporovať európske resolvery DNS s osobitným zameraním na súkromie a bezpečnosť, ako aj fyzickú ochranu internetovej chrbticovej siete a podmorských komunikačných káblov. Túto smernicu je preto potrebné vnímať ako celkový balík stratégie kybernetickej bezpečnosti, ktorý vypracovala Komisia: potrebujeme bezpečnejšie jadro internetu.
Smernica NIS 2 ďalej poskytuje právny základ pre koordinované posúdenia bezpečnostných rizík zo strany skupiny pre spoluprácu. Súbor nástrojov pre 5G sieť slúži ako výborný príklad. Spravodajca sa domnieva, že tieto posúdenia rizík by mohli výrazne zlepšiť bezpečnosť a strategickú suverenitu Únie, a domnieva sa, že by sa mali vykonávať pri širokej škále služieb IKT, systémov IKT alebo produktov IKT. Explicitným príkladom, ktorý chce spravodajca v tejto súvislosti vyzdvihnúť, sú skenery na skenovanie nákladného tovaru na letiskách a prístavoch.
Výmena kľúčových informácií bola neúmyselným spôsobom vážne narušená a mala by sa zlepšiť. Napríklad: policajné zložky za posledné roky odhalili a dešifrovali servery ransomvérových gangov, ktoré v EÚ aj mimo nej zasiahli milióny obetí. Úlohou polície je prešetrovať nové prípady, aby tak umožnili jednotkám CSIRT pomôcť obetiam a zmierniť kybernetické hrozby prostredníctvom odhalených informácií o týchto serveroch. Žiaľ, z dôvodu neodôvodnených právnych prekážok nebola takmer žiadna obeť informovaná ani jej nebola poskytnutá pomoc. Preto je nevyhnutné, aby smernica NIS 2 vytvorila jasný právny základ na zmiernenie takýchto hrozieb a zabezpečila výmenu informácií nielen v rámci EÚ, ale aj s partnermi mimo EÚ.
V súvislosti s rozšírením rozsahu musia byť jednotky CSIRT pripravené ponúknuť stupňovateľné a automatizované riešenia na rýchle a bezpečné koordinované zverejňovanie informácií o zraniteľnosti, oznamovanie incidentov a poskytovanie spravodajských informácií o hrozbách. Automatizácia výmeny informácií nie je len odvodeným prvkom tejto smernice: je zároveň aj jej ústredným bodom. Poskytnutie právneho základu pre jednotky CSIRT a spoločnosti na výmenu údajov s ich zákazníkmi, partnermi a orgánmi v EÚ aj mimo nej je predpokladom najlepšieho zámeru smernice NIS 2.
Ďalším pozitívnym aspektom návrhu Komisie je používanie noriem a certifikačných systémov. Certifikácia by sa mala umožniť prostredníctvom osobitných európskych a medzinárodných systémov, ktoré sa uprednostňujú pred vnútroštátnymi systémami. Cieľom by mala byť harmonizácia; pravidlá v jednom členskom štáte by mali byť podobné pravidlám v iných členských štátoch.
V návrhu smernice NIS 2 sa od agentúry ENISA vyžaduje, aby vytvorila a viedla európsky register zraniteľností. Spravodajca sa domnieva, že by sa mal namiesto registra uprednostniť výraz európska databáza zraniteľností. Nie je dôvod zdvojnásobovať to, čo je už zavedené a čo komunita kybernetickej bezpečnosti využíva ako spoločnú normu vo všetkých častiach sveta. Zdvojnásobovanie povedie k nezhodám a nedorozumeniam v rámci komunity expertov. Európska databáza, nie register, by mala využívať register spoločných zraniteľností a expozícií (CVE); zoznam záznamov o medzinárodných, verejne známych zraniteľnostiach z hľadiska kybernetickej bezpečnosti, ktorý sa využíva na celom svete. Spravodajca sa domnieva, že agentúra ENISA by mala zohrávať novú významnú úlohu v rámci registra CVE, ktorý sa v súčasnosti využíva najmä v USA. Okrem toho by sa malo zabrániť duplicite úsilia; požadovaným výsledkom by mala byť databáza s jedinečnými výzvami pre európske organizácie. Spravodajca napokon zdôrazňuje, že je nanajvýš dôležité, aby agentúra ENISA mala k dispozícii infraštruktúru a postupy na nakladanie s utajovanými skutočnosťami. Ku kybernetickej bezpečnosti by sa malo pristupovať od neutajenej úrovne až po (najvyššiu) úroveň utajenia.
Údaje WHOIS, oficiálne záznamy o vlastníctve domén, sú jediným životaschopným prostriedkom na získavanie informácií potrebných na identifikáciu páchateľov, sledovanie aktérov hrozby, predchádzanie škodám a ochranu online ekosystému. Komunita kybernetickej bezpečnosti vychádza práve z týchto údajov, ktoré výskumným pracovníkom v oblasti hrozieb umožňujú vyhľadávať protivníkov, aby sa tak občania a subjekty mohli chrániť pred budúcimi hrozbami. Ide o jediný spoľahlivý mechanizmus zodpovednosti v rámci inak anonymného internetu. Po troch rokoch od nadobudnutia účinnosti všeobecného nariadenia o ochrane údajov však niektorí tvrdia, že údaje WHOIS sú v rozpore s otázkou zodpovednosti. Súčasný postup týkajúci sa výmeny údajov WHOIS bol neodôvodnene pozastavený. Spravodajca preto vo svojej správe opätovne zdôrazňuje zákonnosť spracúvania údajov na účely kybernetickej bezpečnosti v súlade so všeobecným nariadením o ochrane údajov, a to vo forme výslovného legislatívneho želania, aby sa pokračovalo vo výmene údajov WHOIS.
Spravodajca sa vo všeobecnosti domnieva, že smernica NIS 2 je nevyhnutným krokom k harmonizácii nášho vnútorného trhu a zlepšeniu kybernetickej bezpečnosti v celej EÚ.
STANOVISKO VÝBORU PRE OBČIANSKE SLOBODY, SPRAVODLIVOSŤ A VNÚTORNÉ VECI (15.10.2021)
pre Výbor pre priemysel, výskum a energetiku
k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148
(COM(2020)0823 – C9‑0422/2020 – 2020/0359(COD))
Spravodajca výboru požiadaného o stanovisko (*): Lukas Mandl(*)
Postup pridružených výborov – článok 57 rokovacieho poriadku
STRUČNÉ ODÔVODNENIE
Návrh smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148 (smernica NIS2)[2] je súčasťou širšieho súboru iniciatív na úrovni Únie, ktoré sa zameriavajú na zvýšenie odolnosti verejných a súkromných subjektov voči hrozbám. Cieľom návrhu je vyriešiť nedostatky existujúcich právnych predpisov a umožniť subjektom, na ktoré sa vzťahuje jeho rozsah pôsobnosti, lepšie reagovať na nové výzvy, ktoré Komisia identifikovala vo svojom posúdení vplyvu, v rámci ktorého uskutočnila rozsiahle konzultácie s rôznymi zainteresovanými stranami. Medzi tieto výzvy patrí najmä rastúca digitalizácia vnútorného trhu a vyvíjajúce sa bezpečnostné hrozby.
Právnym základom návrhu je článok 114 ZFEÚ, t. j. vnútorný trh. Z hľadiska výboru LIBE je však dôležité zdôrazniť, že opatrenia smernice NIS2 vzťahujúce sa na siete a informačné systémy neslúžia len na zabezpečenie riadneho fungovania vnútorného trhu. Smernica by mala prispieť aj k bezpečnosti Únie ako celku, okrem iného zabránením rozdielom v zraniteľnosti jednotlivých členských štátov voči kybernetickobezpečnostným rizikám.
Na tento účel je nevyhnutné odstrániť existujúce rozdiely medzi členskými štátmi vyplývajúce z toho, že právo vykladajú rozdielnymi spôsobmi. Preto spravodajca víta, že v nariadení je stanovená jednotná podmienka určovania subjektov, ktoré patria do rozsahu pôsobnosti smernice. Predkladá aj ďalšie návrhy, ako zabrániť rozdielom vo vykonávaní, najmä uložiť Komisii povinnosť, aby vydávala usmernenia týkajúce sa vykonávania lex specialis a kritérií uplatniteľných na MSP (čo by tiež malo zabezpečiť právnu zrozumiteľnosť a vyhnúť sa zbytočnému zaťaženiu), a požadovať, aby skupina pre spoluprácu ďalej spresnila netechnické faktory, ktoré sa majú zohľadniť pri posudzovaní rizík dodávateľského reťazca. Okrem toho sa zdôrazňuje, že spolupráca medzi príslušnými orgánmi sa musí uskutočňovať tak v rámci členských štátov, ako aj medzi nimi, a to v reálnom čase.
Návrh správy zohľadňuje aj niekoľko odporúčaní, ktoré európsky dozorný úradník pre ochranu údajov uviedol vo svojom stanovisku k stratégii kybernetickej bezpečnosti a smernici NIS 2.0[3]. Najdôležitejším prvkom je, že tak v odôvodneniach, ako aj v normatívnej časti textu sa objasňuje, že spracovaním osobných údajov podľa smernice NIS2 nie je dotknuté nariadenie (EÚ) 2016/679 (všeobecné nariadenie o ochrane údajov)[4] ani smernica 2002/58/ES[5] (ePrivacy). Vzhľadom na užší rozsah pojmu „bezpečnosť sietí a informačných systémov“ (vzťahuje sa len na ochranu technológie) v porovnaní s pojmom „kybernetická bezpečnosť“ (vzťahuje sa tiež na činnosti na ochranu používateľov) sa prvý pojem používa len vtedy, ak je kontext čisto technický. Pokiaľ ide o mená domén a registračné údaje, navrhujú sa objasnenia týkajúce sa 1) právneho základu zverejňovania „relevantných informácií“ na účely identifikácie a kontaktovania, 2) kategórií údajov o registrácii doménových mien, ktoré sú predmetom zverejnenia (na základe odporúčania ICANN), a 3) subjektov, ktoré by mohli predstavovať „oprávnených záujemcov o prístup“. V právnom texte sa takisto uvádza, že návrh nemá vplyv na určenie príslušnosti a právomocí dozorných orgánov pre ochranu údajov podľa všeobecného nariadenia o ochrane údajov. Napokon sa poskytuje komplexnejší právny základ pre spoluprácu a výmenu relevantných informácií medzi príslušnými orgánmi podľa návrhu a inými relevantnými dozornými orgánmi, najmä dozornými orgánmi podľa všeobecného nariadenia o ochrane údajov.
Ďalšie zmeny návrhu Komisie, ktoré predkladá spravodajca výboru LIBE, sa týkajú týchto oblastí:
• S cieľom zabezpečiť súdržnosť medzi smernicou NIS2 a navrhovanou smernicou o odolnosti kritických subjektov (ECI)[6] sa znenie niektorých ustanovení zosúladilo s ustanoveniami návrhu smernice o odolnosti kritických subjektov. V súlade s podobnou zmenou predpokladanou v prípade smernice o odolnosti kritických subjektov, ktorá by sa mala vzťahovať na rovnaké odvetvia ako smernica NIS2, sa navrhuje doplniť do rozsahu pôsobnosti „výrobu, spracovanie a distribúciu potravín“.
• Pokiaľ ide o osobné údaje, objasňuje sa, že kontrola sietí a informačných systémov jednotkami CSIRT by mala byť v súlade nielen s nariadením (EÚ) 2016/679 (všeobecné nariadenie o ochrane údajov)[7], ale aj so smernicou 2002/58/ES[8] (ePrivacy). Medzinárodné prenosy osobných údajov podľa tejto smernice by mali byť v súlade s kapitolou V všeobecného nariadenia o ochrane údajov.
• Skupina pre spoluprácu by sa mala stretávať dvakrát za rok, a nie len raz ročne, aby tak mohla zhodnotiť najnovší vývoj v oblasti kybernetickej bezpečnosti. Na schôdzach skupiny pre spoluprácu sa ako pozorovateľ zúčastňuje Európsky výbor pre ochranu údajov.
• Agentúra ENISA by mala vydávať správu o stave kybernetickej bezpečnosti v Únii každý rok, a nie len raz za dva roky. Správa by takisto mala zohľadniť vplyv kybernetických incidentov na ochranu osobných údajov v Únii.
• Lehota na oznamovanie incidentov sa zosúlaďuje s lehotou na oznamovanie porušení podľa všeobecného nariadenia o ochrane údajov, konkrétne 72 hodín.
• Zatiaľ čo oznamovanie skutočných kybernetických incidentov zo strany kľúčových a dôležitých subjektov by malo byť rozhodne povinné, oznamovanie kybernetických hrozieb by malo byť dobrovoľné, aby sa obmedzilo administratívne zaťaženie a zabránilo sa nadmernému oznamovaniu. Na to, aby sa incident mohol považovať za závažný, mal by spôsobiť skutočnú škodu a mal by mať vplyv na iné fyzické a právnické osoby, namiesto toho, aby takáto škoda a vplyv boli len „možné“.
• Okolnosti, ktoré sa majú zohľadniť pri rozhodovaní o uložení sankcie v dôsledku porušenia pravidiel kybernetickej bezpečnosti, sa zosúlaďujú so všeobecným nariadením o ochrane údajov. Keďže by to bolo v rozpore so súčasnou praxou v oblasti zodpovednosti v rámci práva Únie, nemalo by byť možné uložiť fyzickým osobám dočasný zákaz vykonávania riadiacich funkcií.
• S cieľom zabrániť poškodeniu dobrého mena by subjekty nemali byť povinné zverejňovať aspekty nedodržiavania požiadaviek podľa tejto smernice ani totožnosť fyzických alebo právnických osôb zodpovedných za takéto porušenie.
POZMEŇUJÚCE NÁVRHY
Výbor pre občianske slobody, spravodlivosť a vnútorné veci vyzýva Výbor pre priemysel, výskum a energetiku, aby ako gestorský výbor vzal do úvahy tieto pozmeňujúce návrhy:
Pozmeňujúci návrh 1
Návrh smernice
Odôvodnenie 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(1) Cieľom smernice Európskeho parlamentu a Rady (EÚ) 2016/114811 bolo budovať kybernetickobezpečnostné kapacity v celej Únii, zmierňovať hrozby pre siete a informačné systémy používané na poskytovanie základných služieb v kľúčových odvetviach a zabezpečiť kontinuitu takýchto služieb pri riešení kybernetickobezpečnostných incidentov, a tým prispievať k efektívnemu fungovaniu spoločnosti a hospodárstva Únie. |
(1) Cieľom smernice Európskeho parlamentu a Rady (EÚ) 2016/114811 bolo budovať kybernetickobezpečnostné kapacity v celej Únii, zmierňovať hrozby pre siete a informačné systémy používané na poskytovanie základných služieb v kľúčových odvetviach a zabezpečiť kontinuitu takýchto služieb pri riešení kybernetickobezpečnostných incidentov, a tým prispievať k bezpečnosti Únie a účinnému fungovaniu jej hospodárstva a spoločnosti. |
__________________ |
__________________ |
11 Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194/1, 19.7.2016, s. 1). |
11 Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194/1, 19.7.2016, s. 1). |
Pozmeňujúci návrh 2
Návrh smernice
Odôvodnenie 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(2) Od nadobudnutia účinnosti smernice (EÚ) 2016/1148 sa pri zvyšovaní úrovne odolnosti Únie v oblasti kybernetickej bezpečnosti dosiahol významný pokrok. Preskúmanie uvedenej smernice ukázalo, že slúžila ako katalyzátor inštitucionálneho a regulačného prístupu ku kybernetickej bezpečnosti v Únii a pripravila pôdu pre dôležitú zmenu v zmýšľaní. Uvedenou smernicou sa zabezpečilo dokončenie vnútroštátnych rámcov vymedzením národných stratégií kybernetickej bezpečnosti, stanovením vnútroštátnych kapacít a vykonávaním regulačných opatrení vzťahujúcich sa na kľúčové infraštruktúry a aktérov identifikovaných v každom členskom štáte. Prispela aj k spolupráci na úrovni Únie zriadením skupiny pre spoluprácu12 a siete národných jednotiek pre riešenie počítačových bezpečnostných incidentov (ďalej len „sieť jednotiek CSIRT“)13. Bez ohľadu na tieto úspechy sa pri preskúmaní smernice (EÚ) 2016/1148 odhalili prirodzené nedostatky, ktoré jej bránia účinne riešiť súčasné a vznikajúce výzvy v oblasti kybernetickej bezpečnosti. |
(2) Od nadobudnutia účinnosti smernice (EÚ) 2016/1148 sa pri zvyšovaní úrovne odolnosti Únie v oblasti kybernetickej bezpečnosti dosiahol významný pokrok. Preskúmanie uvedenej smernice ukázalo, že slúžila ako katalyzátor inštitucionálneho a regulačného prístupu ku kybernetickej bezpečnosti v Únii a pripravila pôdu pre dôležitú zmenu v zmýšľaní. Uvedenou smernicou sa zabezpečilo dokončenie vnútroštátnych rámcov vymedzením národných stratégií kybernetickej bezpečnosti, stanovením vnútroštátnych kapacít a vykonávaním regulačných opatrení vzťahujúcich sa na kľúčové infraštruktúry a aktérov identifikovaných v každom členskom štáte. Prispela aj k spolupráci na úrovni Únie zriadením skupiny pre spoluprácu a siete národných jednotiek pre riešenie počítačových bezpečnostných incidentov (ďalej len „sieť jednotiek CSIRT“). Bez ohľadu na tieto úspechy sa pri preskúmaní smernice (EÚ) 2016/1148 odhalili prirodzené nedostatky, ktoré jej bránia účinne riešiť súčasné a vznikajúce výzvy v oblasti kybernetickej bezpečnosti. Okrem toho rozšírenie aktivít na internete v súvislosti s pandémiou COVID-19 zvýraznilo význam kybernetickej bezpečnosti, ktorá je nevyhnutná na to, aby občania EÚ mohli dôverovať inováciám a pripojiteľnosti, ako aj rozsiahlemu vzdelávaniu a odbornej príprave v tejto oblasti. Komisia by preto mala podporovať členské štáty pri navrhovaní vzdelávacích programov v oblasti kybernetickej bezpečnosti s cieľom umožniť dôležitým a kľúčovým subjektom prijímať odborníkov v oblasti kybernetickej bezpečnosti, ktorí im umožnia plniť úlohy vyplývajúce z tejto smernice. |
__________________ |
__________________ |
12 Článok 11 smernice (EÚ) 2016/1148. |
12 Článok 11 smernice (EÚ) 2016/1148. |
13 Článok 12 smernice (EÚ) 2016/1148. |
13 Článok 12 smernice (EÚ) 2016/1148. |
Pozmeňujúci návrh 3
Návrh smernice
Odôvodnenie 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(3) Siete a informačné systémy sa spolu s rýchlou digitálnou transformáciou a prepojenosťou spoločnosti, a to aj pri cezhraničných výmenách, stali bežnou súčasťou každodenného života. Tento vývoj viedol k nárastu kybernetickobezpečnostných hrozieb a prináša nové výzvy, ktoré si vyžadujú prispôsobené, koordinované a inovatívne reakcie vo všetkých členských štátoch. Počet, rozsah, sofistikovanosť, frekvencia a vplyv kybernetickobezpečnostných incidentov sa zvyšujú a pre fungovanie sietí a informačných systémov predstavujú veľkú hrozbu. Vo výsledku môžu takéto incidenty zabraňovať realizácii ekonomických aktivít na vnútornom trhu, spôsobovať finančné straty, narúšať dôveru používateľov a spôsobovať značné škody spoločnosti a hospodárstvu Únie. Pripravenosť a účinnosť v oblasti kybernetickej bezpečnosti sú preto teraz pre riadne fungovanie vnútorného trhu dôležitejšie ako kedykoľvek predtým. |
(3) Siete a informačné systémy sa spolu s rýchlou digitálnou transformáciou a prepojenosťou spoločnosti, a to aj pri cezhraničných výmenách, stali bežnou súčasťou každodenného života. Tento vývoj viedol k nárastu kybernetickobezpečnostných hrozieb a prináša nové výzvy, ktoré si vyžadujú prispôsobené, koordinované a inovatívne reakcie vo všetkých členských štátoch. Počet, rozsah, sofistikovanosť, frekvencia a vplyv kybernetickobezpečnostných incidentov sa zvyšujú a pre fungovanie sietí a informačných systémov predstavujú veľkú hrozbu. Vo výsledku môžu takéto incidenty zabraňovať realizácii ekonomických aktivít na vnútornom trhu, spôsobovať finančné straty, narúšať dôveru používateľov, spôsobovať značné škody hospodárstvu Únie, podkopávať fungovanie našej demokracie a hodnoty a slobody, na ktorých je naša spoločnosť založená. Pripravenosť a účinnosť kybernetickej bezpečnosti sú preto pre bezpečnosť Únie a riadne fungovanie vnútorného trhu vzhľadom na digitálnu transformáciu každodenných činností v celej Únii teraz dôležitejšie ako kedykoľvek v minulosti. To si vyžaduje užšiu spoluprácu orgánov v rámci členských štátov a medzi nimi, ako aj medzi vnútroštátnymi orgánmi a zodpovednými subjektmi Únie. |
Pozmeňujúci návrh 4
Návrh smernice
Odôvodnenie 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(5) Všetky tieto rozdiely spôsobujú fragmentáciu vnútorného trhu a môžu mať škodlivý vplyv na jeho fungovanie, a to najmä pokiaľ ide o cezhraničné poskytovanie služieb a úroveň kybernetickobezpečnostnej odolnosti v dôsledku uplatňovania rôznych noriem. Cieľom tejto smernice je odstrániť takéto veľké rozdiely medzi členskými štátmi, a to najmä stanovením minimálnych pravidiel týkajúcich sa fungovania koordinovaného regulačného rámca, stanovením mechanizmov účinnej spolupráce medzi zodpovednými orgánmi v každom členskom štáte, aktualizáciou zoznamu odvetví a činností podliehajúcich povinnostiam v oblasti kybernetickej bezpečnosti a poskytnutím účinných nápravných opatrení a sankcií, ktoré sú nevyhnutné na účinné presadzovanie týchto povinností. Smernica (EÚ) 2016/1148 by sa preto mala zrušiť a nahradiť touto smernicou. |
(5) Všetky tieto rozdiely spôsobujú fragmentáciu vnútorného trhu a môžu mať škodlivý vplyv na jeho fungovanie, a to najmä pokiaľ ide o cezhraničné poskytovanie služieb a úroveň kybernetickobezpečnostnej odolnosti v dôsledku uplatňovania rôznych noriem. Tieto rozdiely môžu v konečnom dôsledku viesť k väčšej zraniteľnosti niektorých členských štátov voči kybernetickobezpečnostným hrozbám s možnými účinkami presahovania v celej Únii, a to tak z hľadiska vnútorného trhu, ako aj celkovej bezpečnosti. Cieľom tejto smernice je odstrániť takéto veľké rozdiely medzi členskými štátmi, a to najmä stanovením minimálnych pravidiel týkajúcich sa fungovania koordinovaného regulačného rámca, stanovením mechanizmov účinnej spolupráce v reálnom čase medzi zodpovednými orgánmi v každom členskom štáte, medzi príslušnými orgánmi členských štátov, aktualizáciou zoznamu odvetví a činností podliehajúcich povinnostiam v oblasti kybernetickej bezpečnosti a poskytnutím účinných nápravných opatrení a sankcií, ktoré sú nevyhnutné na účinné presadzovanie týchto povinností. Smernica (EÚ) 2016/1148 by sa preto mala zrušiť a nahradiť touto smernicou. |
Pozmeňujúci návrh 5
Návrh smernice
Odôvodnenie 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(6) Táto smernica neovplyvňuje možnosť členských štátov prijať potrebné opatrenia na zaručenie ochrany základných záujmov vlastnej bezpečnosti, chrániť verejný poriadok a verejnú bezpečnosť a umožniť vyšetrovanie a odhaľovanie trestných činov, ako aj stíhanie ich páchateľov, a to v súlade s právom Únie. V súlade s článkom 346 ZFEÚ nemá byť žiaden členský štát povinný poskytovať informácie, ktorých sprístupnenie by odporovalo základným záujmom jeho verejnej bezpečnosti. V tejto súvislosti sú relevantné pravidlá Únie a členských štátov na ochranu utajovaných skutočností, dohody o zachovaní mlčanlivosti a neformálne dohody o zachovaní mlčanlivosti, ako napríklad semaforový protokol14. |
(6) Táto smernica neovplyvňuje možnosť členských štátov prijať potrebné opatrenia na zaručenie ochrany základných záujmov vlastnej národnej bezpečnosti, chrániť verejný poriadok a verejnú bezpečnosť a umožniť predchádzanie, vyšetrovanie a odhaľovanie trestných činov, ako aj stíhanie ich páchateľov, a to v súlade s právom Únie. V súlade s článkom 346 ZFEÚ nemá byť žiaden členský štát povinný poskytovať informácie, ktorých sprístupnenie by odporovalo základným záujmom jeho verejnej bezpečnosti. V tejto súvislosti sú relevantné pravidlá Únie a členských štátov na ochranu utajovaných skutočností, dohody o zachovaní mlčanlivosti a neformálne dohody o zachovaní mlčanlivosti, ako napríklad semaforový protokol14. |
__________________ |
__________________ |
14 Semaforový protokol (Traffic Light Protocol, TLP) slúži pri sprístupňovaní informácií na informovanie príjemcov o akýchkoľvek obmedzeniach pri ďalšom šírení týchto informácií. Používa sa takmer vo všetkých komunitách jednotiek CSIRT a v niektorých strediskách pre výmenu a analýzu informácií (ISAC). |
14 Semaforový protokol (Traffic Light Protocol, TLP) slúži pri sprístupňovaní informácií na informovanie príjemcov o akýchkoľvek obmedzeniach pri ďalšom šírení týchto informácií. Používa sa takmer vo všetkých komunitách jednotiek CSIRT a v niektorých strediskách pre výmenu a analýzu informácií (ISAC). |
Pozmeňujúci návrh 6
Návrh smernice
Odôvodnenie 8
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(8) V súlade so smernicou (EÚ) 2016/1148 boli členské štáty zodpovedné za určenie tých subjektov, ktoré spĺňajú kritériá, aby mohli pôsobiť ako prevádzkovatelia základných služieb („proces identifikácie“). S cieľom odstrániť v tejto súvislosti veľké rozdiely medzi členskými štátmi a zabezpečiť právnu istotu, pokiaľ ide o požiadavky na riadenie rizík a oznamovacie povinnosti pre všetky príslušné subjekty, by sa malo stanoviť jednotné kritérium, ktorým sa určia subjekty, ktoré patria do rozsahu pôsobnosti tejto smernice. Toto kritérium by malo spočívať v uplatňovaní pravidla obmedzenia veľkosti, podľa ktorého všetky stredné a veľké podniky, ako sú vymedzené v odporúčaní Komisie 2003/361/ES15, ktoré pôsobia v rámci takých odvetví alebo poskytujú taký druh služieb, na ktoré sa vzťahuje táto smernica, patria do rozsahu jej pôsobnosti. Od členských štátov by sa nemalo vyžadovať, aby zostavili zoznam subjektov, ktoré spĺňajú toto všeobecne uplatniteľné kritérium týkajúce sa veľkosti. |
(8) Pokiaľ ide o zodpovednosť členských štátov, v súlade so smernicou (EÚ) 2016/1148 boli členské štáty zodpovedné za určenie tých subjektov, ktoré spĺňajú kritériá, aby mohli pôsobiť ako prevádzkovatelia základných služieb („proces identifikácie“), čo viedlo ku vzniku veľkých rozdielov medzi členskými štátmi. Bez toho, aby boli dotknuté osobitné výnimky stanovené v tejto smernici, by sa malo stanoviť jednotné kritérium, ktorým sa určia subjekty, ktoré patria do rozsahu pôsobnosti tejto smernice, a to s cieľom odstrániť tieto rozdiely a zabezpečiť právnu istotu, pokiaľ ide o požiadavky na riadenie rizík a oznamovacie povinnosti pre všetky príslušné subjekty. Toto kritérium by malo spočívať v uplatňovaní pravidla obmedzenia veľkosti, podľa ktorého všetky stredné a veľké podniky, ako sú vymedzené v odporúčaní Komisie 2003/361/ES15, ktoré pôsobia v rámci takých odvetví alebo poskytujú taký druh služieb, na ktoré sa vzťahuje táto smernica, patria do rozsahu jej pôsobnosti. Od členských štátov by sa nemalo vyžadovať, aby zostavili zoznam subjektov, ktoré spĺňajú toto všeobecne uplatniteľné kritérium týkajúce sa veľkosti. |
__________________ |
__________________ |
15 Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodnik, malý a stredný podnik (Ú. v. EÚ L 124, 20.5.2003, s. 36). |
15 Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodnik, malý a stredný podnik (Ú. v. EÚ L 124, 20.5.2003, s. 36). |
Pozmeňujúci návrh 7
Návrh smernice
Odôvodnenie 8 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(8 a) Berúc do úvahy rozdiely vo vnútroštátnych rámcoch verejnej správy si členské štáty zachovávajú svoju rozhodovaciu právomoc, pokiaľ ide o určenie subjektov v rozsahu pôsobnosti tejto smernice. |
Pozmeňujúci návrh 8
Návrh smernice
Odôvodnenie 9
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(9) Táto smernica by sa však mala vzťahovať aj na malé subjekty alebo mikrosubjekty spĺňajúce určité kritériá, ktoré sú ukazovateľom kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov alebo pre určité odvetvia či druhy služieb. Členské štáty by mali byť zodpovedné za vypracovanie zoznamu takýchto subjektov a mali by ho predložiť Komisii. |
(9) Táto smernica by sa mala vzťahovať aj na malé subjekty alebo mikrosubjekty spĺňajúce určité kritériá, ktoré sú ukazovateľom kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov alebo pre určité odvetvia či druhy služieb na základe posúdenia rizika, a to vrátane subjektov vymedzených ako kritické alebo rovnocenné s kritickými subjektmi podľa smernice Európskeho parlamentu a Rady (EÚ) XXX/XXX1a. Členské štáty by mali byť zodpovedné za vypracovanie zoznamu takýchto subjektov a mali by ho predložiť Komisii. |
|
__________________ |
|
1a Smernica Európskeho parlamentu a Rady (EÚ) [XXX/XXX] z XXX o odolnosti kritických subjektov (Ú. v. EÚ...). |
Pozmeňujúci návrh 9
Návrh smernice
Odôvodnenie 10
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(10) Komisia môže v spolupráci so skupinou pre spoluprácu vydať usmernenia o vykonávaní kritérií uplatniteľných na mikropodniky a malé podniky. |
(10) Komisia by mala v spolupráci so skupinou pre spoluprácu vydať usmernenia o vykonávaní kritérií uplatniteľných na mikrosubjekty a malé subjekty. |
Pozmeňujúci návrh 10
Návrh smernice
Odôvodnenie 12
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(12) Právne predpisy a nástroje špecifické pre jednotlivé odvetvia môžu prispieť k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti pri plnom zohľadnení špecifík a zložitosti týchto odvetví. Ak sa v právnom akte Únie špecifickom pre určité odvetvia vyžaduje, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetickobezpečnostných rizík, alebo aby oznamovali incidenty alebo závažné kybernetické hrozby a táto povinnosť má mať aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, mali by sa uplatňovať dané ustanovenia pre určité odvetvia vrátane ustanovení o dohľade a presadzovaní práva. Komisia môže vydať usmernenia týkajúce sa vykonávania lex specialis. Touto smernicou sa nebráni prijatiu ďalších odvetvových aktov Únie, ktoré sa zaoberajú opatreniami na riadenie kybernetickobezpečnostných rizík a oznamovaním incidentov. Touto smernicou nie sú dotknuté existujúce vykonávacie právomoci, ktoré boli Komisii udelené vo viacerých odvetviach vrátane dopravy a energetiky. |
(12) Právne predpisy a nástroje špecifické pre jednotlivé odvetvia môžu prispieť k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti pri plnom zohľadnení špecifík a zložitosti týchto odvetví. Ak sa v právnom akte Únie špecifickom pre určité odvetvia vyžaduje, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetickobezpečnostných rizík, alebo aby oznamovali incidenty alebo závažné kybernetické hrozby a táto povinnosť má mať aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, mali by sa uplatňovať dané ustanovenia pre určité odvetvia vrátane ustanovení o dohľade a presadzovaní práva. Komisia by mala vydať usmernenia týkajúce sa vykonávania lex specialis. Touto smernicou sa nebráni prijatiu ďalších odvetvových aktov Únie, ktoré sa zaoberajú opatreniami na riadenie kybernetickobezpečnostných rizík a oznamovaním incidentov. Touto smernicou nie sú dotknuté existujúce vykonávacie právomoci, ktoré boli Komisii udelené vo viacerých odvetviach vrátane dopravy a energetiky. |
Pozmeňujúci návrh 11
Návrh smernice
Odôvodnenie 14
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(14) Vzhľadom na prepojenia medzi kybernetickou bezpečnosťou a fyzickou bezpečnosťou subjektov by sa mal zabezpečiť jednotný prístup medzi smernicou Európskeho parlamentu a Rady (EÚ) XXX/XXX17 a touto smernicou. Na dosiahnutie tohto cieľa by členské štáty mali zabezpečiť, aby sa kritické subjekty (a rovnocenné subjekty) podľa smernice (EÚ) XXX/XXX považovali za kľúčové subjekty podľa tejto smernice. Členské štáty by tiež mali zabezpečiť, aby ich stratégie kybernetickej bezpečnosti poskytovali politický rámec pre posilnenú koordináciu medzi príslušným orgánom podľa tejto smernice a príslušným orgánom podľa smernice (EÚ) XXX/XXX v kontexte zdieľania informácií o incidentoch a kybernetických hrozbách, ako aj vykonávania úloh dohľadu. Orgány, na ktoré sa obe smernice vzťahujú, by mali spolupracovať a vymieňať si informácie, najmä pokiaľ ide o identifikáciu kritických subjektov, kybernetické hrozby, kybernetickobezpečnostné riziká, incidenty ovplyvňujúce kritické subjekty, ako aj o kybernetickobezpečnostných opatreniach prijatých kritickými subjektmi. Príslušné orgány podľa tejto smernice by na žiadosť príslušných orgánov podľa smernice (EÚ) XXX/XXX mali byť oprávnené vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický subjekt. Na tento účel by oba orgány mali spolupracovať a vymieňať si informácie. |
(14) Vzhľadom na prepojenia medzi kybernetickou bezpečnosťou a fyzickou bezpečnosťou subjektov by sa mal zabezpečiť jednotný prístup medzi smernicou Európskeho parlamentu a Rady (EÚ) XXX/XXX17 a touto smernicou vždy, keď je to možné a vhodné. Na dosiahnutie tohto cieľa by členské štáty mali zabezpečiť, aby sa kritické subjekty (a rovnocenné subjekty) podľa smernice (EÚ) XXX/XXX považovali za kľúčové subjekty podľa tejto smernice. Členské štáty by tiež mali zabezpečiť, aby ich stratégie kybernetickej bezpečnosti poskytovali politický rámec pre posilnenú koordináciu medzi príslušnými orgánmi v rámci členských štátov a medzi členskými štátmi podľa tejto smernice a príslušným orgánom podľa smernice (EÚ) XXX/XXX v kontexte výmeny informácií o kybernetických incidentoch a kybernetických hrozbách, ako aj vykonávania úloh dohľadu. Orgány, na ktoré sa obe smernice vzťahujú, by mali v rámci jednotlivých členských štátov aj medzi jednotlivými členskými štátmi spolupracovať a vymieňať si informácie, najmä pokiaľ ide o identifikáciu kritických subjektov, kybernetické hrozby, kybernetickobezpečnostné riziká, incidenty ovplyvňujúce kritické subjekty, ako aj o kybernetickobezpečnostné opatrenia prijaté príslušnými orgánmi podľa tejto smernice z hľadiska kritických subjektov. Príslušné orgány podľa tejto smernice by na žiadosť príslušných orgánov podľa smernice (EÚ) XXX/XXX mali byť oprávnené posudzovať kybernetickú bezpečnosť kľúčového subjektu identifikovaného ako kritický subjekt. Na tento účel by oba orgány mali spolupracovať a vymieňať si informácie v reálnom čase. |
__________________ |
__________________ |
17 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
17 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 12
Návrh smernice
Odôvodnenie 18
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(18) Služby ponúkané poskytovateľmi služieb dátového centra sa nemusia vždy poskytovať vo forme služby cloud computingu. Dátové centrá preto nemusia vždy tvoriť súčasť infraštruktúry cloud computingu. S cieľom zvládnuť všetky riziká spojené s bezpečnosťou sietí a informačných systémov by sa táto smernica mala vzťahovať aj na poskytovateľov takých služieb dátového centra, ktoré nie sú službami cloud computingu. Na účely tejto smernice by sa pojem „služba dátového centra“ mal vzťahovať na poskytovanie služby, ktorá zahŕňa štruktúry alebo skupiny štruktúr určené na centralizované umiestnenie, vzájomné prepojenie a prevádzku informačných technológií a sieťového vybavenia poskytujúcich služby ukladania, spracovania a prepravy dát spolu so všetkými zariadeniami a infraštruktúrami na distribúciu elektrickej energie a environmentálnu kontrolu. Pojem „služba dátového centra“ sa nevzťahuje na interné, podnikové dátové centrá vlastnené a prevádzkované na vlastné účely príslušného subjektu. |
(18) Služby ponúkané poskytovateľmi služieb dátového centra sa nemusia vždy poskytovať vo forme služby cloud computingu. Dátové centrá preto nemusia vždy tvoriť súčasť infraštruktúry cloud computingu. S cieľom zvládnuť všetky riziká spojené s kybernetickou by sa táto smernica mala vzťahovať aj na poskytovateľov takých služieb dátového centra, ktoré nie sú službami cloud computingu. Na účely tejto smernice by sa pojem „služba dátového centra“ mal vzťahovať na poskytovanie služby, ktorá zahŕňa štruktúry alebo skupiny štruktúr určené na centralizované umiestnenie, vzájomné prepojenie a prevádzku informačných technológií a sieťového vybavenia poskytujúcich služby ukladania, spracovania a prepravy dát spolu so všetkými zariadeniami a infraštruktúrami na distribúciu elektrickej energie a environmentálnu kontrolu. Pojem „služba dátového centra“ sa nevzťahuje na interné, podnikové dátové centrá vlastnené a prevádzkované na vlastné účely príslušného subjektu. |
Pozmeňujúci návrh 13
Návrh smernice
Odôvodnenie 20
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(20) Táto rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach energetiky, dopravy, digitálnej infraštruktúry, pitnej a odpadovej vody, zdravia, určitých aspektov verejnej správy, ako aj kozmického priestoru, pokiaľ ide o poskytovanie určitých služieb v závislosti od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahujú na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírnych programov. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu. Pandémia ochorenia COVID-19 ukázala zraniteľnosť našich čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou. |
(20) Táto rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach energetiky, dopravy, digitálnej infraštruktúry, pitnej a odpadovej vody, výroby, spracovania a distribúcie potravín, zdravia, určitých aspektov verejnej správy, ako aj kozmického priestoru, pokiaľ ide o poskytovanie určitých služieb v závislosti od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahujú na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírnych programov. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu. Intenzívnejšie útoky na informačné systémy počas pandémie COVID-19 ukázali zraniteľnosť našich čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou. Preto sú potrebné ďalšie investície do kybernetickej bezpečnosti. |
Pozmeňujúci návrh 14
Návrh smernice
Odôvodnenie 20 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(20 a) Je nevyhnutné zvýšiť povedomie o kybernetickej bezpečnosti a kybernetickú odolnosť vo všetkých kritických a dôležitých subjektoch vrátane subjektov verejnej správy. |
Pozmeňujúci návrh 15
Návrh smernice
Odôvodnenie 21
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(21) Vzhľadom na rozdiely vo vnútroštátnych štruktúrach riadenia a s cieľom chrániť už existujúce odvetvové dohody alebo orgány dohľadu a regulačné orgány Únie by členské štáty mali mať možnosť určiť viac než jeden vnútroštátny príslušný orgán zodpovedný za vykonávanie úloh súvisiacich s bezpečnosťou sietí a informačných systémov kľúčových a dôležitých subjektov podľa tejto smernice. Členské štáty by mali mať možnosť poveriť touto úlohou existujúci orgán. |
(21) Vzhľadom na rozdiely vo vnútroštátnych štruktúrach riadenia a s cieľom chrániť už existujúce odvetvové dohody alebo orgány dohľadu a regulačné orgány Únie by členské štáty mali mať možnosť určiť viac než jeden vnútroštátny príslušný orgán zodpovedný za vykonávanie úloh súvisiacich s bezpečnosťou sietí a informačných systémov kľúčových a dôležitých subjektov podľa tejto smernice. Členské štáty by mali mať možnosť poveriť touto úlohou existujúci orgán a zabezpečiť, aby mal primerané zdroje na efektívne a účinné plnenie svojich úloh. |
Pozmeňujúci návrh 16
Návrh smernice
Odôvodnenie 22
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(22) V záujme uľahčenia cezhraničnej spolupráce a komunikácie orgánov a s cieľom umožniť účinné vykonávanie tejto smernice je potrebné, aby každý členský štát určil vnútroštátne jednotné kontaktné miesto zodpovedné za koordináciu záležitostí týkajúcich sa bezpečnosti sietí a informačných systémov a cezhraničnú spoluprácu na úrovni Únie. |
(22) V záujme uľahčenia cezhraničnej spolupráce a komunikácie orgánov a s cieľom umožniť účinné vykonávanie tejto smernice je potrebné, aby každý členský štát určil vnútroštátne jednotné kontaktné miesto zodpovedné za koordináciu záležitostí týkajúcich sa kybernetickej bezpečnosti a cezhraničnú spoluprácu na úrovni Únie. |
Pozmeňujúci návrh 17
Návrh smernice
Odôvodnenie 23
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(23) Príslušné orgány alebo jednotky CSIRT by mali dostávať oznámenia o incidentoch od subjektov účinným a efektívnym spôsobom. Malo by byť úlohou jednotných kontaktných miest postupovať oznámenia o incidentoch jednotným kontaktným miestam ostatných dotknutých členských štátov. Na úrovni orgánov členských štátov by na zabezpečenie jedného kontaktného bodu v každom členskom štáte mali byť jednotné kontaktné miesta aj adresátmi relevantných informácií o incidentoch týkajúcich sa subjektov finančného odvetvia od príslušných orgánov podľa nariadenia XXXX/XXXX, ktoré by mali byť podľa potreby schopné postúpiť príslušným vnútroštátnym orgánom alebo jednotkám CSIRT podľa tejto smernice. |
(23) Príslušné orgány alebo jednotky CSIRT by mali dostávať oznámenia o incidentoch od subjektov účinným a efektívnym spôsobom. Malo by byť úlohou jednotných kontaktných miest postupovať v reálnom čase oznámenia o incidentoch jednotným kontaktným miestam všetkých ostatných členských štátov. Na úrovni orgánov členských štátov by na zabezpečenie jedného kontaktného bodu v každom členskom štáte mali byť jednotné kontaktné miesta aj adresátmi relevantných informácií o incidentoch týkajúcich sa subjektov finančného odvetvia od príslušných orgánov podľa nariadenia XXXX/XXXX, ktoré by mali byť podľa potreby schopné postúpiť príslušným vnútroštátnym orgánom alebo jednotkám CSIRT podľa tejto smernice. |
Pozmeňujúci návrh 18
Návrh smernice
Odôvodnenie 25
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(25) Pokiaľ ide o osobné údaje, jednotky CSIRT by mali mať možnosť vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/67919 v mene subjektu a na jeho žiadosť podľa tejto smernice proaktívnu kontrolu sietí a informačných systémov používaných na poskytovanie jeho služieb. Členské štáty by sa mali zamerať na zabezpečenie rovnakej úrovne technických kapacít pre všetky odvetvové jednotky CSIRT. Členské štáty môžu pri tvorbe vnútroštátnych jednotiek CSIRT požiadať o pomoc Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA). |
(25) Pokiaľ ide o osobné údaje, jednotky CSIRT by mali mať možnosť vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/67919 a smernicou 2002/58/ES v mene subjektu a na jeho žiadosť podľa tejto smernice bezpečnostnú kontrolu informačných systémov a rozsahu siete používaných na poskytovanie jeho služieb na identifikáciu, zmierňovanie konkrétnych hrozieb alebo ich predchádzanie. Členské štáty by sa mali zamerať na zabezpečenie rovnakej úrovne technických kapacít pre všetky odvetvové jednotky CSIRT. Členské štáty môžu pri tvorbe vnútroštátnych jednotiek CSIRT požiadať o pomoc Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA). Kybernetickobezpečnostné riziká by sa tiež nemali nikdy používať ako zámienka na porušovanie ľudských práv. |
__________________ |
__________________ |
19 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1). |
19 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1). |
Pozmeňujúci návrh 19
Návrh smernice
Odôvodnenie 27
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(27) V súlade s prílohou k odporúčaniu Komisie (EÚ) 2017/1548 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (ďalej len „koncepcia“)20 by incident veľkého rozsahu mal znamenať incident s významným dosahom na najmenej dva členské štáty alebo ktorý svojím narušením presahuje schopnosť členského štátu reagovať naň. Incidenty veľkého rozsahu sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii. |
(27) V súlade s prílohou k odporúčaniu Komisie (EÚ) 2017/1548 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (ďalej len „koncepcia“)20 by incident veľkého rozsahu mal znamenať incident s významným dosahom na najmenej dva členské štáty alebo ktorý svojím narušením presahuje schopnosť členského štátu reagovať naň. Incidenty veľkého rozsahu sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu alebo vážnym spôsobom ohrozuje verejnú bezpečnosť v niekoľkých členských štátoch alebo v Únii ako celku. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii. Členské štáty by mali monitorovať spôsob vykonávania pravidiel EÚ, mali by si poskytovať vzájomnú podporu v prípade akýchkoľvek cezhraničných problémov, zaviesť štruktúrovanejší dialóg so súkromným sektorom a spolupracovať v oblasti bezpečnostných rizík a hrozieb spojených s novými technológiami, ako to bolo v prípade technológie 5G. |
__________________ |
__________________ |
20 Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36). |
20 Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36). |
Pozmeňujúci návrh 20
Návrh smernice
Odôvodnenie 33
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(33) Pri vypracúvaní usmerňujúcich dokumentov by skupina pre spoluprácu mala dôsledne: zmapovať vnútroštátne riešenia a skúsenosti, posúdiť vplyv výstupov skupiny pre spoluprácu na vnútroštátne prístupy, diskutovať o výzvach pri vykonávaní a formulovať konkrétne odporúčania, ktorými sa má dosiahnuť lepšie vykonávanie existujúcich pravidiel. |
(33) Pri vypracúvaní usmerňujúcich dokumentov by skupina pre spoluprácu mala dôsledne: zmapovať vnútroštátne a odvetvové riešenia a skúsenosti, posúdiť vplyv výstupov skupiny pre spoluprácu na vnútroštátne a odvetvové prístupy, diskutovať o výzvach pri vykonávaní a formulovať konkrétne odporúčania, ktorými sa má dosiahnuť lepšie vykonávanie existujúcich pravidiel. |
Pozmeňujúci návrh 21
Návrh smernice
Odôvodnenie 34
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(34) Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mala by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny a zhromažďovať informácie o nových politických výzvach. S cieľom posilniť spoluprácu na úrovni Únie by skupina mala zvážiť prizývanie orgánov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako je Európske centrum boja proti počítačovej kriminalite (EC3), Agentúra Európskej únie pre bezpečnosť letectva (EASA) a Agentúra Európskej únie pre vesmírny program (EUSPA), k účasti na jej práci. |
(34) Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mala by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny a zhromažďovať informácie o nových politických výzvach. S cieľom posilniť spoluprácu na úrovni Únie by skupina mala k účasti na svojej práci prizvať príslušné orgány a agentúry Únie zapojené do politiky v oblasti kybernetickej bezpečnosti, a to najmä Europol, Agentúru Európskej únie pre bezpečnosť letectva (EASA) a Agentúru Európskej únie pre vesmírny program (EUSPA). |
Pozmeňujúci návrh 22
Návrh smernice
Odôvodnenie 36
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(36) Únia by v prípade potreby mala v súlade s článkom 218 ZFEÚ uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, ktorými môže povoľovať a organizovať ich účasť na niektorých činnostiach skupiny pre spoluprácu a siete jednotiek CSIRT. Takýmito dohodami by sa mala zabezpečiť primeraná ochrana údajov. |
(36) Únia by v prípade potreby mala v súlade s článkom 218 ZFEÚ uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, ktorými môže povoľovať a organizovať ich účasť na niektorých činnostiach skupiny pre spoluprácu a siete jednotiek CSIRT. Pokiaľ sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácie, mala by sa uplatňovať kapitola V nariadenia (EÚ) 2016/679. |
Pozmeňujúci návrh 23
Návrh smernice
Odôvodnenie 37
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(37) Členské štáty by mali prispieť k vytvoreniu rámca EÚ pre reakciu na kybernetické krízy stanoveného v odporúčaní (EÚ) 2017/1584 prostredníctvom existujúcich sietí spolupráce, najmä siete styčných organizácií pre kybernetické krízy (EU-CyCLONe), siete jednotiek CSIRT a skupiny pre spoluprácu. Sieť EU-CyCLONe a sieť jednotiek CSIRT by mali spolupracovať na základe procedurálnych opatrení, v ktorých sa vymedzujú podmienky spolupráce. V rokovacom poriadku siete EU-CyCLONe by sa mali ďalej spresniť spôsoby fungovania siete, okrem iného vrátane úloh, spôsobov spolupráce, interakcií s inými relevantnými aktérmi a vzorových formulárov na zdieľanie informácií, ako aj komunikačných prostriedkov. Pokiaľ ide o krízové riadenie na úrovni Únie, príslušné strany by sa mali opierať o integrované dojednania o politickej reakcii na krízu (IPCR). Komisia by mala na tento účel využiť ARGUS – medziodvetvový krízový koordinačný proces na vysokej úrovni. Ak má kríza výrazný externý rozmer alebo sa týka spoločnej bezpečnostnej a obrannej politiky, mal by sa aktivovať mechanizmus reakcie Európskej služby pre vonkajšiu činnosť na krízy. |
(37) Členské štáty by mali prispieť k vytvoreniu rámca EÚ pre reakciu na kybernetické krízy stanoveného v odporúčaní (EÚ) 2017/1584 prostredníctvom existujúcich sietí spolupráce, najmä siete styčných organizácií pre kybernetické krízy (EU-CyCLONe), siete jednotiek CSIRT a skupiny pre spoluprácu. Sieť EU-CyCLONe a sieť jednotiek CSIRT by mali spolupracovať na základe procedurálnych opatrení, v ktorých sa vymedzujú podmienky spolupráce. V rokovacom poriadku siete EU-CyCLONe by sa mali ďalej spresniť spôsoby fungovania siete, okrem iného vrátane úloh, spôsobov spolupráce, interakcií s inými relevantnými aktérmi a vzorových formulárov na zdieľanie informácií, ako aj komunikačných prostriedkov. Pokiaľ ide o krízové riadenie na úrovni Únie, príslušné strany by sa mali opierať o integrované dojednania o politickej reakcii na krízu (IPCR). Komisia by mala na tento účel využiť ARGUS – medziodvetvový krízový koordinačný proces na vysokej úrovni. Ak sa kríza týka dvoch alebo viacerých členských štátov a existuje podozrenie, že má trestnoprávnu povahu, mala by sa zvážiť aktivácia protokolu reakcie na núdzové situácie v oblasti presadzovania práva v EÚ. Ak má kríza výrazný externý rozmer alebo sa týka spoločnej bezpečnostnej a obrannej politiky, mal by sa aktivovať mechanizmus reakcie Európskej služby pre vonkajšiu činnosť na krízy. |
Pozmeňujúci návrh 24
Návrh smernice
Odôvodnenie 45
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(45) Subjekty by mali riešiť aj kybernetickobezpečnostné riziká vyplývajúce z ich interakcií a vzťahov s inými zainteresovanými stranami v rámci širšieho ekosystému. Predovšetkým by mali prijať vhodné opatrenia, aby sa ich spolupráca s akademickými a výskumnými inštitúciami uskutočňovala v súlade s ich politikami v oblasti kybernetickej bezpečnosti a aby sa riadila osvedčenými postupmi, pokiaľ ide o bezpečný prístup k informáciám a ich šírenie vo všeobecnosti, a najmä o ochranu duševného vlastníctva. Podobne by subjekty, ktoré závisia od služieb v oblasti transformácie údajov a analýzy údajov od tretích strán, mali prijať všetky vhodné kybernetickobezpečnostné opatrenia, a to vzhľadom na význam a hodnotu údajov pre činnosti subjektov. |
(45) Subjekty by mali riešiť aj kybernetickobezpečnostné riziká vyplývajúce z ich interakcií a vzťahov s inými zainteresovanými stranami v rámci širšieho ekosystému. Predovšetkým by mali prijať vhodné opatrenia, aby sa ich spolupráca s akademickými a výskumnými inštitúciami uskutočňovala v súlade s ich politikami v oblasti kybernetickej bezpečnosti a aby sa riadila osvedčenými postupmi, pokiaľ ide o bezpečný prístup k informáciám a ich šírenie vo všeobecnosti, a najmä o ochranu duševného vlastníctva. Podobne by subjekty, ktoré závisia od služieb v oblasti transformácie údajov a analýzy údajov od tretích strán, mali prijať všetky vhodné kybernetickobezpečnostné opatrenia a oznamovať všetky potenciálne kybernetické útoky, ktoré identifikujú, a to vzhľadom na význam a hodnotu údajov pre činnosti subjektov. |
Pozmeňujúci návrh 25
Návrh smernice
Odôvodnenie 46 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(46 a) Predovšetkým by sa malo zohľadniť to, že služby, systémy alebo produkty IKT podliehajú v krajine pôvodu osobitným požiadavkám, ktoré by mohli predstavovať prekážku pre dodržiavanie právnych predpisov EÚ o ochrane súkromia a údajov. V rámci takýchto posúdení rizík by sa v prípade potreby mal konzultovať EDPB. Slobodný softvér a softvér s otvoreným zdrojovým kódom, ako aj hardvér s otvoreným zdrojovým kódom by mohli priniesť obrovské výhody z hľadiska kybernetickej bezpečnosti, najmä pokiaľ ide o transparentnosť a overiteľnosť prvkov. Keďže by to mohlo prispieť k riešeniu a zmierneniu určitých rizík v dodávateľskom reťazci, ich používanie by sa malo uprednostniť tam, kde je to uskutočniteľné v súlade so stanoviskom 5/2021 EDPS1a. |
|
__________________ |
|
1a Stanovisko 5/2021 európskeho dozorného úradníka pre ochranu údajov ku stratégii kybernetickej bezpečnosti a k smernici o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii z 11. marca 2021. |
Pozmeňujúci návrh 26
Návrh smernice
Odôvodnenie 47
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(47) Pri posudzovaní rizík v dodávateľskom reťazci by sa vzhľadom na vlastnosti dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory vrátane tých, ktoré sú vymedzené v odporúčaní (EÚ) 2019/534, v celoeurópskom koordinovanom posúdení rizika bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu rizika, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby, systémy alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb, systémov alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb, systémov alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb, systémov alebo produktov IKT voči rušivým udalostiam a v) v prípade vznikajúcich služieb, systémov alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. |
(47) Pri posudzovaní rizík v dodávateľskom reťazci by sa vzhľadom na vlastnosti dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory, ktoré by mala bližšie spresniť koordinačná skupina a ktoré zahŕňajú faktory vymedzené v odporúčaní (EÚ) 2019/534, v celoeurópskom koordinovanom posúdení rizika bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu rizika, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby, systémy alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb, systémov alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb, systémov alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb, systémov alebo produktov IKT voči rušivým udalostiam a v) v prípade vznikajúcich služieb, systémov alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. |
Pozmeňujúci návrh 27
Návrh smernice
Odôvodnenie 48 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(48 a) Malým a stredným podnikom (MSP) často chýba veľkosť a zdroje na uspokojenie rastúcich kybernetickobezpečnostných potrieb v zahraničí v prepojenom svete, kde sa čoraz viac využíva práca na diaľku. Členské štáty by preto mali do svojich vnútroštátnych stratégií kybernetickej bezpečnosti zahrnúť usmernenia a podporu pre MSP. |
Pozmeňujúci návrh 28
Návrh smernice
Odôvodnenie 50
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(50) Vzhľadom na rastúci význam interpersonálnych komunikačných služieb nezávislých od číslovania je potrebné zabezpečiť, aby takéto služby tiež podliehali príslušným bezpečnostným požiadavkám vzhľadom na ich špecifický charakter a hospodársky význam. Poskytovatelia takýchto služieb by preto mali takisto zabezpečiť takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. Vzhľadom na to, že poskytovatelia interpersonálnych komunikačných služieb nezávislých od číslovania obyčajne nevykonávajú samotnú kontrolu nad prenosom signálov v sieťach, stupeň rizika sa v prípade takýchto služieb môže v niektorých aspektoch považovať za nižší ako v prípade tradičných elektronických komunikačných služieb. To isté platí pre interpersonálne komunikačné služby, ktoré využívajú čísla a ktoré nevykonávajú skutočnú kontrolu nad prenosom signálu. |
(50) Vzhľadom na rastúci význam interpersonálnych komunikačných služieb nezávislých od číslovania je potrebné zabezpečiť, aby takéto služby tiež podliehali príslušným bezpečnostným požiadavkám vzhľadom na ich špecifický charakter a hospodársky význam. Poskytovatelia takýchto služieb by preto mali takisto zabezpečiť takú úroveň kybernetickej bezpečnosti, ktorá zodpovedá miere daného rizika. Vzhľadom na to, že poskytovatelia interpersonálnych komunikačných služieb nezávislých od číslovania obyčajne nevykonávajú samotnú kontrolu nad prenosom signálov v sieťach, stupeň rizika sa v prípade takýchto služieb môže v niektorých aspektoch považovať za nižší ako v prípade tradičných elektronických komunikačných služieb. To isté platí pre interpersonálne komunikačné služby, ktoré využívajú čísla a ktoré nevykonávajú skutočnú kontrolu nad prenosom signálu. |
Pozmeňujúci návrh 29
Návrh smernice
Odôvodnenie 52
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(52) V prípade potreby by subjekty mali informovať príjemcov svojich služieb o konkrétnych a významných hrozbách a o opatreniach, ktoré môžu prijať na zmiernenie vyplývajúceho rizika. Požiadavka informovať týchto príjemcov o takýchto hrozbách by nemala subjekty zbaviť povinnosti na vlastné náklady prijať vhodné a okamžité opatrenia na prevenciu alebo odstránenie akýchkoľvek kybernetických hrozieb a obnovenie bežnej úrovne bezpečnosti služby. Takéto informácie o bezpečnostných hrozbách by sa mali príjemcom poskytovať bezplatne. |
(52) V prípade potreby by subjekty mali mať možnosť informovať príjemcov svojich služieb o konkrétnych a významných hrozbách a o opatreniach, ktoré môžu prijať na zmiernenie vyplývajúceho rizika. Požiadavka informovať týchto príjemcov o takýchto hrozbách by nemala subjekty zbaviť povinnosti na vlastné náklady prijať vhodné a okamžité opatrenia na prevenciu alebo odstránenie akýchkoľvek kybernetických hrozieb a obnovenie bežnej úrovne bezpečnosti služby. Takéto informácie o bezpečnostných hrozbách by sa mali príjemcom poskytovať bezplatne. |
Pozmeňujúci návrh 30
Návrh smernice
Odôvodnenie 53
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(53) Poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb by mali predovšetkým informovať príjemcov služieb o konkrétnych a významných kybernetických hrozbách a o opatreniach, ktoré môžu prijať na ochranu bezpečnosti svojej komunikácie, napríklad použitím určitých typov softvéru alebo šifrovacích technológií. |
(53) Poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb by mali zaviesť bezpečnosť už v štádiu návrhu a bezpečnosť ako štandard a mali by mať možnosť informovať príjemcov služieb o konkrétnych a významných kybernetických hrozbách a o opatreniach, ktoré môžu prijať na ochranu bezpečnosti svojich zariadení a svojej komunikácie, napríklad použitím určitých typov softvéru alebo šifrovacích technológií. S cieľom zvýšiť bezpečnosť hardvéru a softvéru by sa poskytovatelia mali nabádať k tomu, aby používali otvorený zdroj a otvorený hardvér. |
Pozmeňujúci návrh 31
Návrh smernice
Odôvodnenie 54
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(54) S cieľom zaistiť bezpečnosť elektronických komunikačných sietí a služieb by sa malo podporovať používanie šifrovania, a najmä šifrovania medzi koncovými bodmi, a v prípade potreby by malo byť povinné pre poskytovateľov takýchto služieb a sietí v súlade so zásadami štandardnej a špecificky navrhnutej bezpečnosti a ochrany súkromia na účely článku 18. Používanie šifrovania medzi koncovými bodmi by sa malo zosúladiť s právomocami členských štátov na zabezpečenie ochrany ich základných bezpečnostných záujmov a verejnej bezpečnosti a na umožnenie vyšetrovania, odhaľovania a stíhania trestných činov v súlade s právom Únie. Riešenia na účely zákonného prístupu k informáciám v koncovej šifrovanej komunikácii by mali zachovať účinnosť šifrovania pri ochrane súkromia a bezpečnosti komunikácií a zároveň poskytovať účinnú reakciu na trestnú činnosť. |
(54) S cieľom zaistiť bezpečnosť elektronických komunikačných sietí a služieb, ako aj základné práva na ochranu údajov a súkromie by sa malo podporovať používanie šifrovania, a najmä šifrovania medzi koncovými bodmi, a v prípade potreby by malo byť povinné pre poskytovateľov takýchto služieb a sietí v súlade so zásadami štandardnej a špecificky navrhnutej bezpečnosti a ochrany súkromia na účely článku 18. Používanie šifrovania medzi koncovými bodmi by sa malo zosúladiť so zodpovednosťou členských štátov za zabezpečenie ochrany ich základných bezpečnostných záujmov a verejnej bezpečnosti a za umožnenie predchádzania, vyšetrovania, odhaľovania a stíhania trestných činov v súlade s právom Únie a vnútroštátnym právom. Riešenia na účely zákonného prístupu k informáciám v koncovej šifrovanej komunikácii by mali zachovať účinnosť šifrovania pri ochrane súkromia a bezpečnosti komunikácií. Žiadne ustanovenie tohto nariadenia by sa nemalo považovať za úsilie o oslabenie šifrovania medzi koncovými bodmi prostredníctvom „zadných vrátok“ alebo podobných riešení, keďže v prípade nedostatočného šifrovania môže dôjsť k zneužitiu na škodlivé účely. Akékoľvek opatrenie zamerané na oslabenie šifrovania alebo obchádzanie architektúry technológie môže predstavovať významné riziká pre jej schopnosť účinnej ochrany. V záujme zabezpečenia účinnosti technológie a jej širšieho využívania by sa malo zakázať akékoľvek neoprávnené dešifrovanie alebo monitorovanie elektronickej komunikácie okrem prípadov, keď ho vykonávajú právne orgány. Je dôležité, aby členské štáty riešili problémy, s ktorými sa stretávajú právne orgány a výskumníci skúmajúci zraniteľné miesta. V niektorých členských štátoch sú subjekty a fyzické osoby, ktoré skúmajú zraniteľné miesta, vystavené trestnej a občianskoprávnej zodpovednosti. Členské štáty sa preto vyzývajú, aby vydali usmernenia, podľa ktorých výskum v oblasti bezpečnosti informačných technológií nepodlieha stíhaniu a vyvodzovaniu trestnej zodpovednosti. |
Pozmeňujúci návrh 32
Návrh smernice
Odôvodnenie 56
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(56) Kľúčové a dôležité subjekty sa často nachádzajú v situácii, keď sa konkrétny incident z dôvodu jeho charakteristík musí oznámiť rôznym orgánom v dôsledku oznamovacej povinnosti zahrnutej v rôznych právnych nástrojoch. Takéto prípady vytvárajú dodatočnú záťaž a môžu viesť aj k nejasnostiam, pokiaľ ide o formát a postupy takéhoto oznamovania. Vzhľadom na to a na účely zjednodušenia oznamovania bezpečnostných incidentov by členské štáty mali zriadiť jednotné kontaktné miesto pre všetky oznámenia požadované podľa tejto smernice, ako aj podľa iných právnych predpisov Únie, ako napríklad nariadenie (EÚ) 2016/679 a smernica 2002/58/ES. Agentúra ENISA by spolu so skupinou pre spoluprácu mala vypracovať spoločné vzorové formuláre oznámení prostredníctvom usmernení, ktoré by zjednodušili a zefektívnili oznamovanie informácií požadovaných v právnych predpisoch Únie a znížili záťaž pre podniky. |
(56) Kľúčové a dôležité subjekty sa často nachádzajú v situácii, keď sa konkrétny incident z dôvodu jeho charakteristík musí oznámiť rôznym orgánom v dôsledku oznamovacej povinnosti zahrnutej v rôznych právnych nástrojoch. Takéto prípady vytvárajú dodatočnú záťaž a môžu viesť aj k nejasnostiam, pokiaľ ide o formát a postupy takéhoto oznamovania. Vzhľadom na to a na účely zjednodušenia oznamovania bezpečnostných incidentov by členské štáty mali zriadiť jednotné kontaktné miesto požadované podľa tejto smernice, ako aj podľa iných právnych predpisov Únie, ako napríklad nariadenie (EÚ) 2016/679 a smernica 2002/58/ES. Agentúra ENISA by spolu so skupinou pre spoluprácu a Európskym výborom pre ochranu údajov mala vypracovať spoločné vzorové formuláre oznámení prostredníctvom usmernení, ktoré by zjednodušili a zefektívnili oznamovanie informácií požadovaných v právnych predpisoch Únie a znížili záťaž pre podniky. |
Pozmeňujúci návrh 33
Návrh smernice
Odôvodnenie 57
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(57) Ak existuje podozrenie, že incident súvisí so závažnou trestnou činnosťou podľa práva Únie alebo vnútroštátneho práva, členské štáty by mali nabádať kľúčové a dôležité subjekty na základe platných pravidiel trestného konania v súlade s právom Únie, aby príslušným orgánom presadzovania práva oznamovali incidenty, pri ktorých existuje podozrenie o ich súvise so závažnou trestnou činnosťou. V prípade potreby a bez toho, aby boli dotknuté pravidlá ochrany osobných údajov, ktoré sa vzťahujú na Europol, je žiaduce, aby centrum EC3 a agentúra ENISA uľahčili koordináciu medzi príslušnými orgánmi a orgánmi presadzovania práva jednotlivých členských štátov. |
(57) Ak existuje podozrenie, že incident súvisí so závažnou trestnou činnosťou podľa práva Únie alebo vnútroštátneho práva, členské štáty by mali nabádať kľúčové a dôležité subjekty na základe platných pravidiel trestného konania v súlade s právom Únie, aby príslušným orgánom presadzovania práva oznamovali incidenty, pri ktorých existuje podozrenie o ich súvise so závažnou trestnou činnosťou. V prípade potreby a bez toho, aby boli dotknuté pravidlá ochrany osobných údajov, ktoré sa vzťahujú na Europol, je žiaduce, aby Európske centrum boja proti počítačovej kriminalite (EC3) v rámci Europolu a agentúra ENISA uľahčili koordináciu medzi príslušnými orgánmi a orgánmi presadzovania práva jednotlivých členských štátov. |
Pozmeňujúci návrh 34
Návrh smernice
Odôvodnenie 58
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(58) V dôsledku incidentov je v mnohých prípadoch ohrozená ochrana osobných údajov. V tejto súvislosti by príslušné orgány mali spolupracovať a vymieňať si informácie o všetkých relevantných záležitostiach s orgánmi pre ochranu osobných údajov a dozornými orgánmi podľa smernice 2002/58/ES. |
(58) V dôsledku incidentov je v mnohých prípadoch ohrozená ochrana osobných údajov. V tejto súvislosti by príslušné orgány mali spolupracovať a vymieňať si informácie o všetkých relevantných záležitostiach s orgánmi pre ochranu osobných údajov a dozornými orgánmi podľa nariadenia (EÚ) 2016/679 a smernice 2002/58/ES. |
Pozmeňujúci návrh 35
Návrh smernice
Odôvodnenie 59
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(59) Udržiavanie presných a úplných databáz doménových mien a registračných údajov (tzv. údajov WHOIS) a poskytovanie zákonného prístupu k takýmto údajom je nevyhnutné na zaistenie bezpečnosti, stability a odolnosti DNS, čo zase prispieva k vysokej spoločnej úrovni kybernetickej bezpečnosti v Únii. Ak spracúvanie zahŕňa osobné údaje, takéto spracúvanie musí byť v súlade s právnymi predpismi Únie o ochrane údajov. |
(59) Udržiavanie presných a úplných databáz doménových mien a registračných údajov (tzv. údajov WHOIS) a poskytovanie zákonného prístupu k takýmto údajom je nevyhnutné na zaistenie bezpečnosti, stability a odolnosti DNS, čo zase prispieva k vysokej spoločnej úrovni kybernetickej bezpečnosti v Únii. Ak spracúvanie zahŕňa osobné údaje, takéto spracúvanie musí byť v súlade s uplatniteľnými právnymi predpismi Únie o ochrane údajov. |
Pozmeňujúci návrh 36
Návrh smernice
Odôvodnenie 62
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(62) Správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, by mali zverejňovať registračné údaje o doménových menách, ktoré nepatria do rozsahu pôsobnosti pravidiel Únie v oblasti ochrany údajov, ako sú údaje, ktoré sa týkajú právnických osôb25. Správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD by tiež mali oprávneným záujemcom o prístup umožniť zákonný prístup k špecifickým registračným údajom o doménových menách týkajúcim sa fyzických osôb v súlade s právnymi predpismi Únie o ochrane údajov. Členské štáty by mali zabezpečiť, aby správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, bezodkladne reagovali na žiadosti oprávnených záujemcov o prístup týkajúcich sa zverejnenia registračných údajov o doménových menách. Správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, by mali stanoviť politiky a postupy uverejňovania a sprístupňovania registračných údajov vrátane dohôd o úrovni poskytovaných služieb na vybavovanie žiadostí o prístup od oprávnených záujemcov o prístup. Postup týkajúci sa udelenia prístupu môže zahŕňať aj použitie rozhrania, portálu alebo iného technického nástroja na zabezpečenie účinného systému na podávanie žiadostí o registračné údaje a prístup k nim. S cieľom podporovať harmonizované postupy na celom vnútornom trhu môže Komisia prijať usmernenia o takýchto postupoch bez toho, aby boli dotknuté právomoci Európskeho výboru pre ochranu údajov. |
(62) Na splnenie zákonnej povinnosti v zmysle článku 6 ods. 1 písm. c) a článku 6 ods. 3 nariadenia (EÚ) 2016/679 by správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, mali verejne sprístupniť určité údaje o registrácii doménových mien uvedené v právnych predpisoch členského štátu, ktorým podliehajú, ako napríklad názov domény a názov právnickej osoby. Správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD by tiež mali oprávneným záujemcom o prístup, najmä príslušným orgánom podľa tejto smernice alebo dozorným orgánom podľa nariadenia (EÚ) 2016/679, umožniť zákonný prístup k špecifickým registračným údajom o doménových menách týkajúcim sa fyzických osôb v súlade s ich právomocami. Členské štáty by mali zabezpečiť, aby správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, bezodkladne reagovali na zákonné a riadne odôvodnené žiadosti verejných orgánov vrátane príslušných orgánov podľa tejto smernice, príslušných orgánov podľa práva Únie alebo vnútroštátneho práva na predchádzanie trestným činom, ich vyšetrovania alebo stíhania alebo dozorných orgánov podľa nariadenia (EÚ) 2016/679 o zverejnenie údajov o registrácii doménových mien. Správcovia TLD a subjekty, ktoré pre nich poskytujú služby registrácie doménových mien, by mali stanoviť politiky a postupy uverejňovania a sprístupňovania registračných údajov vrátane dohôd o úrovni poskytovaných služieb na vybavovanie žiadostí o prístup od oprávnených záujemcov o prístup. Postup týkajúci sa udelenia prístupu môže zahŕňať aj použitie rozhrania, portálu alebo iného technického nástroja na zabezpečenie účinného systému na podávanie žiadostí o registračné údaje a prístup k nim. S cieľom podporovať harmonizované postupy na celom vnútornom trhu môže Komisia prijať usmernenia o takýchto postupoch bez toho, aby boli dotknuté právomoci Európskeho výboru pre ochranu údajov. |
__________________ |
__________________ |
25 Odôvodnenie (14) NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679: „Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov, ktoré sa týka právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby.“ |
|
Pozmeňujúci návrh 37
Návrh smernice
Odôvodnenie 63
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(63) Všetky kľúčové a dôležité subjekty podľa tejto smernice by mali patriť do jurisdikcie členského štátu, v ktorom poskytujú svoje služby. Ak subjekt poskytuje služby vo viac ako jednom členskom štáte, mal by patriť do samostatnej a súbežnej jurisdikcie každého z týchto členských štátov. Príslušné orgány týchto členských štátov by mali spolupracovať, vzájomne si pomáhať a v prípade potreby vykonávať spoločné opatrenia dohľadu. |
(63) Na účely tejto smernice by všetky kľúčové a dôležité subjekty podľa tejto smernice mali patriť do jurisdikcie členského štátu, v ktorom poskytujú svoje služby. Ak subjekt poskytuje služby vo viac ako jednom členskom štáte, mal by patriť do samostatnej a súbežnej jurisdikcie každého z týchto členských štátov. Príslušné orgány týchto členských štátov by sa mali dohodnúť na jednotlivých klasifikáciách, v čo najväčšej možnej miere spolupracovať, vzájomne si v reálnom čase pomáhať a v prípade potreby vykonávať spoločné opatrenia dohľadu. |
Pozmeňujúci návrh 38
Návrh smernice
Odôvodnenie 64
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(64) S cieľom zohľadniť cezhraničný charakter služieb a operácií poskytovateľov služieb DNS, správcov mien TLD, poskytovateľov sietí na sprístupňovanie obsahu, poskytovateľov služieb cloud computingu, poskytovateľov služieb dátového centra a poskytovateľov digitálnych služieb by mal mať právomoc nad týmito subjektmi len jeden členský štát. Právomoc by sa mala udeliť členskému štátu, v ktorom má príslušný subjekt hlavné miesto podnikateľskej činnosti v Únii. Kritérium miesta podnikateľskej činnosti na účely tejto smernice zahŕňa účinné vykonávanie činnosti prostredníctvom stabilných dojednaní. Právna forma takýchto dojednaní, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom. Spĺňanie tohto kritéria by nemalo závisieť od toho, či sa sieť a informačné systémy fyzicky nachádzajú na danom mieste; samotná prítomnosť a používanie takýchto systémov nepredstavuje hlavné miesto podnikateľskej činnosti, a preto nejde o rozhodujúce kritériá na určenie hlavného miesta podnikateľskej činnosti. Hlavným miestom podnikateľskej činnosti by malo byť miesto v Únii, kde sa prijímajú rozhodnutia týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík. Zvyčajne zodpovedá miestu ústredia spoločností v Únii. Ak sa takéto rozhodnutia neprijímajú v Únii, predpokladá sa, že hlavné miesto podnikateľskej činnosti by malo byť v členských štátoch, v ktorých majú subjekty miesto podnikateľskej činnosti s najvyšším počtom zamestnancov v Únii. Ak služby vykonáva skupina podnikov, hlavné miesto podnikateľskej činnosti riadiaceho podniku by sa malo považovať za hlavné miesto podnikateľskej činnosti skupiny podnikov. |
(64) S cieľom zohľadniť cezhraničný charakter služieb a operácií poskytovateľov služieb DNS, správcov mien TLD, poskytovateľov sietí na sprístupňovanie obsahu, poskytovateľov služieb cloud computingu, poskytovateľov služieb dátového centra a poskytovateľov digitálnych služieb by mal mať právomoc nad týmito subjektmi len jeden členský štát. Na účely tejto smernice by sa právomoc mala udeliť členskému štátu, v ktorom má príslušný subjekt hlavné miesto podnikateľskej činnosti v Únii. Kritérium miesta podnikateľskej činnosti na účely tejto smernice zahŕňa účinné vykonávanie činnosti prostredníctvom stabilných dojednaní. Právna forma takýchto dojednaní, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom. Spĺňanie tohto kritéria by nemalo závisieť od toho, či sa sieť a informačné systémy fyzicky nachádzajú na danom mieste; samotná prítomnosť a používanie takýchto systémov nepredstavuje hlavné miesto podnikateľskej činnosti, a preto nejde o rozhodujúce kritériá na určenie hlavného miesta podnikateľskej činnosti. Hlavným miestom podnikateľskej činnosti by malo byť miesto v Únii, kde sa prijímajú rozhodnutia týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík. Zvyčajne zodpovedá miestu ústredia spoločností v Únii. Ak sa takéto rozhodnutia neprijímajú v Únii, predpokladá sa, že hlavné miesto podnikateľskej činnosti by malo byť v členských štátoch, v ktorých majú subjekty miesto podnikateľskej činnosti s najvyšším počtom zamestnancov v Únii. Ak služby vykonáva skupina podnikov, hlavné miesto podnikateľskej činnosti riadiaceho podniku by sa malo považovať za hlavné miesto podnikateľskej činnosti skupiny podnikov. |
Pozmeňujúci návrh 39
Návrh smernice
Odôvodnenie 69
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(69) Spracúvanie osobných údajov v rozsahu, ktorý je nevyhnutne potrebný a primeraný na účely zaistenia bezpečnosti sietí a informácií subjektmi, orgánmi verejnej moci, jednotkami CERT, jednotkami CSIRT a poskytovateľmi bezpečnostných technológií a služieb, by malo predstavovať oprávnený záujem dotknutého prevádzkovateľa, ako sa uvádza v nariadení (EÚ) 2016/679. To by malo zahŕňať opatrenia týkajúce sa prevencie, odhaľovania a analýzy incidentov a reakcie na ne, opatrenia na zvýšenie informovanosti o konkrétnych kybernetických hrozbách, výmenu informácií v kontexte nápravy zraniteľnosti a koordinovaného zverejňovania, ako aj dobrovoľnú výmenu informácií o týchto incidentoch, ako aj o kybernetických hrozbách a zraniteľnostiach, ukazovatele kompromitácie, taktiky, techniky a postupy, kybernetickobezpečnostné varovania a konfiguračné nástroje. Takéto opatrenia si môžu vyžadovať spracovanie týchto druhov osobných údajov: IP adresy, jednotné vyhľadávače prostriedkov (URL), doménové mená a e-mailové adresy. |
(69) Spracúvanie osobných údajov v rozsahu, ktorý je nevyhnutne potrebný a primeraný na účely zaistenia bezpečnosti sietí a informácií subjektmi, orgánmi verejnej moci, jednotkami CERT, jednotkami CSIRT a poskytovateľmi bezpečnostných technológií a služieb je nevyhnutné to, aby mohli plniť svoje zákonné povinnosti podľa vnútroštátnych právnych predpisov, ktorými sa transponuje táto smernica, a preto sa na takéto spracúvanie údajov vzťahuje článok 6 ods. 1 písm. c) a článok 6 ods. 3 nariadenia (EÚ) 2016/679. Okrem toho by takéto spracúvanie malo predstavovať oprávnený záujem dotknutého prevádzkovateľa, ako sa uvádza v článku 6 ods. 1 písm. f) nariadenia (EÚ) 2016/679. To by malo zahŕňať opatrenia týkajúce sa prevencie, odhaľovania a analýzy incidentov a reakcie na ne, opatrenia na zvýšenie informovanosti o konkrétnych kybernetických hrozbách, výmenu informácií v kontexte nápravy zraniteľnosti a koordinovaného zverejňovania, ako aj dobrovoľnú výmenu informácií o týchto incidentoch, ako aj o kybernetických hrozbách a zraniteľnostiach, ukazovatele kompromitácie, taktiky, techniky a postupy, kybernetickobezpečnostné varovania a konfiguračné nástroje. V mnohých prípadoch sú osobné údaje v dôsledku kybernetických incidentov ohrozené, a preto by príslušné orgány a orgány pre ochranu údajov členských štátov EÚ mali spolupracovať a vymieňať si informácie o všetkých relevantných záležitostiach s cieľom riešiť akékoľvek porušenia ochrany osobných údajov. Takéto opatrenia si môžu vyžadovať spracovanie určitých kategórií osobných údajov vrátane IP adries, jednotných vyhľadávačov prostriedkov (URL), doménových mien a e-mailových adries. |
Pozmeňujúci návrh 40
Návrh smernice
Odôvodnenie 71
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(71) Aby bolo presadzovanie povinností účinné, mal by sa stanoviť minimálny zoznam správnych sankcií za porušenie povinností v oblasti riadenia kybernetickobezpečnostných rizík a oznamovania stanovených v tejto smernici, ktorým sa stanoví jasný a konzistentný rámec pre takéto sankcie v celej Únii. Náležitá pozornosť by sa mala venovať povahe, závažnosti a trvaniu porušenia, skutočnej spôsobenej škode alebo vzniknutým stratám alebo potenciálnym škodám či stratám, ktoré mohli vzniknúť, úmyselnému alebo nedbanlivostnému charakteru porušenia, opatreniam prijatým na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát, miere zodpovednosti alebo akémukoľvek relevantnému predchádzajúcemu porušeniu, miere spolupráce s príslušným orgánom a akýmkoľvek ďalším priťažujúcim alebo poľahčujúcim faktorom. Ukladanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie vrátane účinnej súdnej ochrany a riadneho procesu. |
(71) Aby bolo presadzovanie povinností účinné, mal by sa stanoviť minimálny zoznam správnych sankcií za porušenie povinností v oblasti riadenia kybernetickobezpečnostných rizík a oznamovania stanovených v tejto smernici, ktorým sa stanoví jasný a konzistentný rámec pre takéto sankcie v celej Únii. Náležitá pozornosť by sa mala venovať závažnosti a trvaniu porušenia, skutočnej spôsobenej škode alebo vzniknutým stratám alebo potenciálnym škodám či stratám, ktoré mohli vzniknúť, akémukoľvek relevantnému predošlému prípadu porušenia, spôsobu, akým sa príslušný orgán o porušení dozvedel, úmyselnému alebo nedbanlivostnému charakteru porušenia, opatreniam prijatým na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát, miere zodpovednosti alebo akémukoľvek relevantnému predchádzajúcemu porušeniu, miere spolupráce s príslušným orgánom a akýmkoľvek ďalším priťažujúcim alebo poľahčujúcim faktorom. Uložené sankcie vrátane správnych pokút by mali podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie vrátane účinnej súdnej ochrany a riadneho procesu. |
Pozmeňujúci návrh 41
Návrh smernice
Odôvodnenie 74
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(74) Členské štáty by mali mať možnosť stanoviť pravidlá o trestných sankciách za porušenie vnútroštátnych pravidiel, ktorými sa transponuje táto smernica. Uloženie trestných sankcií za porušenia takýchto vnútroštátnych predpisov a uloženie súvisiacich správnych sankcií by však nemalo viesť k porušeniu zásady ne bis in idem, ako ju vykladá Súdny dvor. |
(74) Členské štáty by mali mať možnosť stanoviť pravidlá o trestných sankciách za porušenie vnútroštátnych pravidiel, ktorými sa transponuje táto smernica. Tieto trestné sankcie môžu zahŕňať aj odňatie príjmov získaných porušením tohto nariadenia. Uloženie trestných sankcií za porušenia takýchto vnútroštátnych predpisov a uloženie súvisiacich správnych sankcií by však nemalo viesť k porušeniu zásady ne bis in idem, ako ju vykladá Súdny dvor. |
Pozmeňujúci návrh 42
Návrh smernice
Odôvodnenie 76
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(76) S cieľom ďalej posilniť účinnosť a odrádzajúci účinok sankcií za porušenie povinností stanovených podľa tejto smernice by príslušné orgány mali byť oprávnené uplatňovať sankcie pozostávajúce z pozastavenia certifikácie alebo povolenia časti alebo všetkých služieb, ktoré poskytuje kľúčový subjekt, a uloženia dočasného zákazu fyzickej osobe vykonávať riadiace funkcie. Takéto sankcie by sa vzhľadom na svoju závažnosť a vplyv na činnosti subjektov a v konečnom dôsledku na ich spotrebiteľov mali uplatňovať len úmerne k závažnosti porušenia a s prihliadnutím na osobitné okolnosti každého prípadu vrátane úmyselného alebo nedbanlivostného charakteru porušenia, opatrení prijatých na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát. Takéto sankcie by sa mali uplatňovať len ako ultima ratio, čo znamená až po vyčerpaní ostatných príslušných opatrení na presadzovanie povinností stanovených v tejto smernici, a len na obdobie, kým subjekty, na ktoré sa vzťahujú, neprijmú potrebné opatrenia na nápravu nedostatkov alebo na splnenie požiadaviek príslušného orgánu, v prípade ktorých sa takéto sankcie uplatnili. Ukladanie takýchto sankcií by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie vrátane účinnej súdnej ochrany, riadneho procesu, prezumpcie neviny a práva na obhajobu. |
(76) S cieľom ďalej posilniť účinnosť a odrádzajúci účinok sankcií za porušenie povinností stanovených podľa tejto smernice by príslušné orgány mali byť oprávnené uplatňovať sankcie pozostávajúce z pozastavenia certifikácie alebo povolenia časti alebo všetkých služieb, ktoré poskytuje kľúčový subjekt. Takéto sankcie by sa vzhľadom na svoju závažnosť a vplyv na činnosti subjektov a v konečnom dôsledku na ich spotrebiteľov mali uplatňovať len úmerne k závažnosti porušenia a s prihliadnutím na osobitné okolnosti každého prípadu vrátane úmyselného alebo nedbanlivostného charakteru porušenia, opatrení prijatých na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát. Takéto sankcie by sa mali uplatňovať len ako ultima ratio, čo znamená až po vyčerpaní ostatných príslušných opatrení na presadzovanie povinností stanovených v tejto smernici, a len na obdobie, kým subjekty, na ktoré sa vzťahujú, neprijmú potrebné opatrenia na nápravu nedostatkov alebo na splnenie požiadaviek príslušného orgánu, v prípade ktorých sa takéto sankcie uplatnili. Ukladanie takýchto sankcií by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie vrátane účinnej súdnej nápravy, riadneho procesu, prezumpcie neviny a práva na obhajobu. |
Pozmeňujúci návrh 43
Návrh smernice
Odôvodnenie 77
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(77) Touto smernicou by sa mali stanoviť pravidlá spolupráce medzi príslušnými orgánmi a dozornými orgánmi v súlade s nariadením (EÚ) 2016/679 s cieľom riešiť porušenia týkajúce sa osobných údajov. |
(77) Touto smernicou by sa mali stanoviť pravidlá spolupráce medzi príslušnými orgánmi podľa tejto smernice a dozornými orgánmi podľa nariadenia (EÚ) 2016/679 s cieľom riešiť porušenia týkajúce sa osobných údajov. |
Pozmeňujúci návrh 44
Návrh smernice
Odôvodnenie 79
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(79) Mal by sa zaviesť mechanizmus partnerského preskúmania, ktorý odborníkom určeným členskými štátmi umožní posúdiť vykonávanie politík v oblasti kybernetickej bezpečnosti vrátane úrovne schopností a dostupných zdrojov členských štátov. |
(79) Mal by sa zaviesť mechanizmus partnerského preskúmania, ktorý odborníkom určeným členskými štátmi umožní posúdiť vykonávanie politík v oblasti kybernetickej bezpečnosti vrátane úrovne schopností a dostupných zdrojov členských štátov. EÚ by mala zabezpečiť koordinovanú reakciu na rozsiahle kybernetické incidenty a krízy a ponúkať podporu s cieľom pomôcť pri obnove po takýchto kybernetických útokoch. |
Pozmeňujúci návrh 45
Návrh smernice
Odôvodnenie 82 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(82 a) Táto smernica sa nevzťahuje na inštitúcie, úrady, orgány a agentúry Únie. Orgány Únie by sa však mohli považovať za kľúčové alebo dôležité subjekty podľa tejto smernice. S cieľom dosiahnuť jednotnú úroveň ochrany prostredníctvom súdržných a jednotných pravidiel by Komisia mala do 31. decembra 2022 uverejniť legislatívny návrh na zahrnutie inštitúcií, úradov, orgánov a agentúr Únie do rámca kybernetickej bezpečnosti celej EÚ. |
Pozmeňujúci návrh 46
Návrh smernice
Odôvodnenie 84
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(84) V tejto smernici sa dodržiavajú základné práva a zásady uznané Chartou základných práv Európskej únie, najmä právo na rešpektovanie súkromného života a komunikácie, ochrana osobných údajov, sloboda podnikania, právo vlastniť majetok, právo na účinný prostriedok nápravy pred súdom a právo na vypočutie. Táto smernica by sa mala vykonávať v súlade s uvedenými právami a zásadami, |
(84) V tejto smernici sa dodržiavajú základné práva a zásady uznané Chartou základných práv Európskej únie, najmä právo na rešpektovanie súkromného života a komunikácie, ochrana osobných údajov, sloboda podnikania, právo vlastniť majetok, právo na účinný prostriedok nápravy pred súdom a právo na vypočutie. Táto smernica by sa mala vykonávať v súlade s uvedenými právami a zásadami a v plnom súlade s existujúcimi právnymi predpismi Únie upravujúcimi tieto otázky. Každé spracovanie osobných údajov podľa tejto smernice podlieha nariadeniu (EÚ) 2016/679 a smernici 2002/58/ES v rámci ich príslušného rozsahu pôsobnosti vrátane úloh a právomocí dozorných orgánov príslušných na monitorovanie dodržiavania uvedených právnych nástrojov. |
Pozmeňujúci návrh 47
Návrh smernice
Článok 2 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Táto smernica sa uplatňuje na verejné a súkromné subjekty, a to typu, ktorý sa v prílohe I označuje ako kľúčové subjekty a v prílohe II ako dôležité subjekty. Táto smernica sa neuplatňuje na subjekty, ktoré v zmysle odporúčania Komisie 2003/361/ES spĺňajú kritériá mikropodniku alebo malého podniku.28 |
1. Táto smernica sa uplatňuje na verejné a súkromné subjekty, a to typu, ktorý sa v prílohe I označuje ako kľúčové subjekty a v prílohe II ako dôležité subjekty. Táto smernica sa neuplatňuje na subjekty, ktoré v zmysle odporúčania Komisie 2003/361/ES spĺňajú kritériá mikropodniku alebo malého podniku.28Článok 3 ods. 4 prílohy k odporúčaniu Komisie 2003/361/ES sa neuplatňuje. |
__________________ |
__________________ |
28 Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodnik, malý a stredný podnik (Ú. v. EÚ L 124, 20.5.2003, s. 36). |
28 Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodnik, malý a stredný podnik (Ú. v. EÚ L 124, 20.5.2003, s. 36). |
Pozmeňujúci návrh 48
Návrh smernice
Článok 2 – odsek 2 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Táto smernica sa však bez ohľadu na ich veľkosť uplatňuje aj na subjekty uvedené v prílohe I a II, keď: |
2. Táto smernica sa však bez ohľadu na ich veľkosť a na základe posúdenia rizika podľa článku 18 uplatňuje aj na subjekty uvedené v prílohe I a II, keď: |
Pozmeňujúci návrh 49
Návrh smernice
Článok 2 – odsek 2 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) subjekt je jediným poskytovateľom služby v členskom štáte; |
c) subjekt je jediným poskytovateľom služby na vnútroštátnej alebo regionálnej úrovni; |
Pozmeňujúci návrh 50
Návrh smernice
Článok 2 – odsek 2 – písmeno d
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
d) potenciálne narušenie služby poskytovanej subjektom by mohlo mať vplyv na ochranu verejnosti, verejnú bezpečnosť alebo verejné zdravie; |
d) narušenie služby poskytovanej subjektom by mohlo mať vplyv na ochranu verejnosti, verejnú bezpečnosť alebo verejné zdravie; |
Pozmeňujúci návrh 51
Návrh smernice
Článok 2 – odsek 2 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) potenciálne narušenie služby poskytovanej subjektom by mohlo vyvolať systémové riziká, najmä v odvetviach, v ktorých by takéto narušenie mohlo mať cezhraničný vplyv; |
e) narušenie služby poskytovanej subjektom by mohlo vyvolať systémové riziká, najmä v odvetviach, v ktorých by takéto narušenie mohlo mať cezhraničný vplyv; |
Pozmeňujúci návrh 52
Návrh smernice
Článok 2 – odsek 4 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
4a. Každé spracúvanie osobných údajov podľa tejto smernice musí byť v súlade s nariadením (EÚ) 2016/679 a so smernicou 2002/58/ES a musí byť obmedzené na to, čo je na účely tejto smernice nevyhnutne potrebné a primerané. |
Pozmeňujúci návrh 53
Návrh smernice
Článok 2 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Bez toho, aby bol dotknutý článok 346 ZFEÚ, informácie, ktoré sú dôverné podľa predpisov Únie a vnútroštátnych predpisov, ako napríklad predpisov o obchodnom tajomstve, sa vymieňajú s Komisiou a inými príslušnými orgánmi len v prípade, ak je takáto výmena potrebná na účely uplatňovania tejto smernice. Vymieňané informácie sa obmedzujú na také informácie, ktoré sú relevantné a primerané účelu takejto výmeny. Pri výmene informácií sa zachováva dôvernosť týchto informácií a chránia sa bezpečnostné a obchodné záujmy kľúčových alebo dôležitých subjektov. |
5. Bez toho, aby bol dotknutý článok 346 ZFEÚ, informácie, ktoré sú dôverné podľa predpisov Únie a vnútroštátnych predpisov, ako napríklad predpisov o obchodnom tajomstve, sa vymieňajú s Komisiou a inými príslušnými orgánmi len v prípade, ak je takáto výmena potrebná na účely uplatňovania tejto smernice. Vymieňané informácie sa obmedzujú na také informácie, ktoré sú potrebné na účel takejto výmeny. Pri výmene informácií sa zachováva dôvernosť týchto informácií a chránia sa bezpečnostné a obchodné záujmy kľúčových alebo dôležitých subjektov. |
Pozmeňujúci návrh 54
Návrh smernice
Článok 2 – odsek 6 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
6 a. Komisia do 31. decembra 2021 uverejní legislatívny návrh na zahrnutie inštitúcií, orgánov, úradov a agentúr Únie do celkového únijného rámca pre kybernetickú bezpečnosť s cieľom dosiahnuť jednotnú úroveň ochrany prostredníctvom konzistentných a homogénnych pravidiel. |
Pozmeňujúci návrh 55
Návrh smernice
Článok 4 – odsek 1 – bod 1 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) každé zariadenie alebo skupina vzájomne prepojených alebo súvisiacich zariadení, z ktorých jedno alebo viaceré vykonávajú na základe programu automatické spracúvanie digitálnych údajov; |
b) každé zariadenie alebo skupina vzájomne prepojených alebo súvisiacich zariadení, z ktorých jedno alebo viaceré vykonávajú na základe programu automatické spracúvanie digitálnych údajov a ktoré sú integrované do informačného systému a používajú sa na poskytovanie služieb, na ktoré sú určené; |
Pozmeňujúci návrh 56
Návrh smernice
Článok 4 – odsek 1 – bod 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. „národná stratégia kybernetickej bezpečnosti“ je súdržný rámec členského štátu, v ktorom sa stanovujú strategické ciele a priority v oblasti bezpečnosti sietí a informačných systémov v danom členskom štáte; |
4. „národná stratégia kybernetickej bezpečnosti“ je súdržný rámec členského štátu, v ktorom sa stanovujú strategické ciele a priority v oblasti kybernetickej bezpečnosti v danom členskom štáte; |
Pozmeňujúci návrh 57
Návrh smernice
Článok 4 – odsek 1 – bod 12
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
12. „internetový prepojovací uzol (IXP)“ je sieťové zariadenie, ktoré umožňuje prepojenie viac než dvoch nezávislých sietí (autonómnych systémov), najmä na účely uľahčenia internetového dátového toku; IXP prepojuje len autonómne systémy; pri IXP nemusí internetový dátový tok medzi ktoroukoľvek dvojicou zúčastnených autonómnych systémov prechádzať cez žiadny tretí autonómny systém, pričom tento dátový tok sa nijako nemení ani sa doň nijako nezasahuje; |
vypúšťa sa |
Pozmeňujúci návrh 58
Návrh smernice
Článok 4 – odsek 1 – bod 22
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
22. „platforma služieb sociálnej siete“ je platforma, ktorá koncovým používateľom umožňuje vzájomné prepojenie, zdieľanie, objavovanie a komunikáciu prostredníctvom viacerých zariadení, a najmä prostredníctvom chatov, príspevkov, videí a odporúčaní; |
vypúšťa sa |
Pozmeňujúci návrh 59
Návrh smernice
Článok 4 – odsek 1 – bod 24
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
24. „subjekt“ je každá fyzická alebo právnická osoba zriadená a uznaná za takú podľa vnútroštátneho práva v mieste svojho usadenia, ktorá môže vo vlastnom mene vykonávať práva a podliehať povinnostiam; |
24. „subjekt“ je každá fyzická osoba alebo právnická osoba zriadená a uznaná za takú podľa vnútroštátneho práva v mieste svojho usadenia, ktorá môže vo vlastnom mene vykonávať práva a podliehať povinnostiam; |
Pozmeňujúci návrh 60
Návrh smernice
Článok 5 – odsek 1 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) vymedzenie cieľov a priorít stratégie členského štátu v oblasti kybernetickej bezpečnosti; |
a) vymedzenie cieľov a priorít stratégie členského štátu v oblasti kybernetickej bezpečnosti berúc do úvahy všeobecnú úroveň povedomia o kybernetickej bezpečnosti medzi občanmi, ako aj všeobecnú úroveň bezpečnosti pripojených zariadení spotrebiteľov; |
Pozmeňujúci návrh 61
Návrh smernice
Článok 5 – odsek 1 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) politický rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tejto smernice a smernice Európskeho parlamentu a Rady (EÚ) XXXX/XXXX38 [smernica o odolnosti kritických subjektov] na účely výmeny informácií o incidentoch a kybernetických hrozbách a vykonávania úloh dohľadu. |
f) politický rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tejto smernice a smernice Európskeho parlamentu a Rady (EÚ) XXXX/XXXX38 [smernica o odolnosti kritických subjektov] v rámci jednotlivých členských štátov aj medzi členskými štátmi na účely výmeny informácií o incidentoch a kybernetických hrozbách a vykonávania úloh dohľadu. |
__________________ |
__________________ |
38 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
38 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 62
Návrh smernice
Článok 5 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) usmernenia týkajúce sa zahrnutia a špecifikácie požiadaviek týkajúcich sa kybernetickej bezpečnosti produktov a služieb IKT vo verejnom obstarávaní; |
b) usmernenia týkajúce sa zahrnutia a špecifikácie požiadaviek týkajúcich sa kybernetickej bezpečnosti produktov a služieb IKT vo verejnom obstarávaní, okrem iného vrátane požiadaviek na šifrovanie a podpory používania produktov kybernetickej bezpečnosti s otvoreným zdrojovým kódom; |
Pozmeňujúci návrh 63
Návrh smernice
Článok 5 – odsek 2 – písmeno d a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
da) politiku týkajúcu sa zachovania využívania otvorených údajov a otvoreného zdroja ako súčasť bezpečnosti prostredníctvom transparentnosti; |
Pozmeňujúci návrh 64
Návrh smernice
Článok 5 – odsek 2 – písmeno d b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
db) politiku podporujúcu súkromie a bezpečnosť osobných údajov používateľov online služieb; |
Pozmeňujúci návrh 65
Návrh smernice
Článok 5 – odsek 2 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) politiku podporovania a rozvíjania zručností v oblasti kybernetickej bezpečnosti, iniciatívy na zvyšovanie povedomia, ako aj v oblasti výskumu a vývoja; |
e) politiku podporovania a rozvíjania zručností v oblasti kybernetickej bezpečnosti, iniciatívy na zvyšovanie povedomia, ako aj v oblasti výskumu a vývoja vrátane rozvoja programov odbornej prípravy v oblasti kybernetickej bezpečnosti s cieľom poskytnúť subjektom odborníkov a technikov; |
Pozmeňujúci návrh 66
Návrh smernice
Článok 5 – odsek 2 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) politiku podporovania akademických a výskumných inštitúcií pri vývoji nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry; |
f) politiku podporovania akademických a výskumných inštitúcií, ktoré prispievajú k vnútroštátnej stratégii kybernetickej bezpečnosti tým, že vyvíjajú a zavádzajú kyberneticko-bezpečnostné nástroje a bezpečnú sieťovú infraštruktúru, ktoré prispievajú k vnútroštátnej stratégii kybernetickej bezpečnosti vrátane osobitných politík, ktoré sa zaoberajú otázkami týkajúcimi sa rodového zastúpenia a rovnováhy v tomto odvetví; |
Pozmeňujúci návrh 67
Návrh smernice
Článok 5 – odsek 2 – písmeno h
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
h) politiku zameranú na špecifické potreby MSP, najmä tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám. |
h) politiku zameranú na špecifické potreby MSP, najmä tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám a ich schopnosti reagovať na kybernetické incidenty. |
Pozmeňujúci návrh 68
Návrh smernice
Článok 6 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Agentúra ENISA vytvorí a vedie európsky register zraniteľnosti. Na tento účel agentúra ENISA zriadi a udržiava vhodné informačné systémy, politiky a postupy, najmä s cieľom umožniť dôležitým a kľúčovým subjektom a ich dodávateľom sietí a informačných systémov zverejňovať a registrovať zraniteľnosti v produktoch IKT alebo službách IKT, ako aj poskytovať prístup k informáciám o zraniteľnosti nachádzajúcich sa v registri všetkým zainteresovaným stranám. Register obsahuje najmä informácie opisujúce zraniteľnosť, zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť, dostupnosť súvisiacich bezpečnostných záplat a v prípade, že žiadne nie sú k dispozícii, usmernenie pre používateľov zraniteľných produktov a služieb o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností. |
2. Agentúra ENISA vytvorí a vedie európsky register zraniteľnosti. Na tento účel agentúra ENISA zriadi a udržiava vhodné informačné systémy, politiky a postupy, najmä s cieľom umožniť dôležitým a kľúčovým subjektom a ich dodávateľom sietí a informačných systémov zverejňovať a registrovať zraniteľnosti v produktoch IKT alebo službách IKT, ako aj poskytovať prístup k informáciám o zraniteľnosti nachádzajúcich sa v registri všetkým zainteresovaným stranám. Register obsahuje najmä informácie opisujúce zraniteľnosť, zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť, dostupnosť súvisiacich bezpečnostných záplat a v prípade, že žiadne nie sú k dispozícii, usmernenie pre používateľov zraniteľných produktov a služieb o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností. Na zaistenie bezpečnosti a dostupnosti informácií obsiahnutých v registri agentúra ENISA uplatňuje najmodernejšie bezpečnostné opatrenia a sprístupňuje informácie v strojovo čitateľných formátoch prostredníctvom zodpovedajúcich rozhraní. |
Pozmeňujúci návrh 69
Návrh smernice
Článok 7 – odsek 3 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) ciele vnútroštátnych opatrení a činností v oblasti pripravenosti; |
a) ciele vnútroštátnych, a prípadne podľa potreby regionálnych a cezhraničných opatrení a činností v oblasti pripravenosti; |
Pozmeňujúci návrh 70
Návrh smernice
Článok 10 – odsek 2 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) na žiadosť subjektu proaktívne kontrolujú siete a informačné systémy používané na poskytovanie jeho služieb; |
e) na žiadosť subjektu kontrolujú informačné systémy a rozsah sietí, ktoré sa používajú na poskytovanie jeho služieb s cieľom identifikovať a zmierňovať konkrétne hrozby alebo im predchádzať; spracúvanie osobných údajov v kontexte takejto kontroly je obmedzené na to, čo je nevyhnutne potrebné, a v každom prípade na IP adresy a URL; |
Pozmeňujúci návrh 71
Návrh smernice
Článok 11 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty v rozsahu potrebnom na účinné plnenie úloh a povinností stanovených v tejto smernici zabezpečia primeranú spoluprácu medzi príslušnými orgánmi a jednotnými kontaktnými miestami, ako aj orgánmi presadzovania práva, orgánmi na ochranu údajov a orgánmi zodpovednými za kritickú infraštruktúru podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] a vnútroštátnymi finančnými orgánmi určenými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) XXXX/XXXX39 [nariadenie DORA] v rámci daného členského štátu. |
4. Členské štáty v rozsahu potrebnom na účinné plnenie úloh a povinností stanovených v tejto smernici zabezpečia primeranú spoluprácu medzi príslušnými orgánmi a jednotnými kontaktnými miestami, ako aj orgánmi presadzovania práva, orgánmi na ochranu údajov a orgánmi zodpovednými za kritickú infraštruktúru podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] a vnútroštátnymi finančnými orgánmi určenými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) XXXX/XXXX39 [nariadenie DORA] v rámci daného členského štátu v súlade s ich príslušnými právomocami. |
__________________ |
__________________ |
39 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
39 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 72
Návrh smernice
Článok 11 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Členské štáty zabezpečia, aby ich príslušné orgány pravidelne poskytovali príslušným orgánom určeným podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] informácie o kybernetickobezpečnostných rizikách, kybernetických hrozbách a incidentoch, ktoré zasiahli kľúčové subjekty identifikované ako kritické alebo rovnocenné s kritickými subjektmi podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov], ako aj opatrenia prijaté príslušnými orgánmi v reakcii na tieto riziká a incidenty. |
5. Členské štáty zabezpečia, aby ich príslušné orgány pravidelne a včas poskytovali príslušným orgánom určeným podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] informácie o kybernetickobezpečnostných rizikách, kybernetických hrozbách a incidentoch, ktoré zasiahli kľúčové subjekty identifikované ako kritické alebo rovnocenné s kritickými subjektmi podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov], ako aj opatrenia prijaté príslušnými orgánmi v reakcii na tieto riziká a incidenty. |
Pozmeňujúci návrh 73
Návrh smernice
Článok 12 – odsek 3 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Skupina pre spoluprácu sa skladá zo zástupcov členských štátov, Komisie a agentúry ENISA. Na činnostiach skupiny pre spoluprácu sa ako pozorovateľ zúčastňuje Európska služba pre vonkajšiu činnosť. Na činnostiach skupiny pre spoluprácu sa môžu zúčastňovať európske orgány dohľadu (ESA) v súlade s článkom 17 ods. 5 písm. c) nariadenia (EÚ) XXXX/XXXX [nariadenie DORA]. |
3. Skupina pre spoluprácu sa skladá zo zástupcov členských štátov, Komisie a agentúry ENISA. Na činnostiach skupiny pre spoluprácu sa ako pozorovateľ zúčastňuje Európska služba pre vonkajšiu činnosť, Európske centrum boja proti počítačovej kriminalite pri Europole a Európsky výbor pre ochranu údajov. Na činnostiach skupiny pre spoluprácu sa môžu zúčastňovať európske orgány dohľadu (ESA) v súlade s článkom 17 ods. 5 písm. c) nariadenia (EÚ) XXXX/XXXX [nariadenie DORA]. |
Pozmeňujúci návrh 74
Návrh smernice
Článok 12 – odsek 3 – pododsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Vo vhodných prípadoch môže skupina pre spoluprácu prizvať k svojej práci zástupcov príslušných zainteresovaných strán. |
Skupina pre spoluprácu, ak je to relevantné pre plnenie jej úloh, vyzve zástupcov príslušných zainteresovaných strán, aby sa zúčastnili na jej práci, a Európsky parlament, aby sa zúčastnil ako pozorovateľ. |
Pozmeňujúci návrh 75
Návrh smernice
Článok 12 – odsek 8
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
8. Skupina pre spoluprácu sa pravidelne a aspoň raz ročne stretáva so skupinou pre odolnosť kritických subjektov zriadenou podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] s cieľom podporovať strategickú spoluprácu a výmenu informácií. |
8. Skupina pre spoluprácu sa pravidelne a aspoň dvakrát ročne stretáva so skupinou pre odolnosť kritických subjektov zriadenou podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] s cieľom uľahčiť strategickú spoluprácu a výmenu informácií v reálnom čase. |
Pozmeňujúci návrh 76
Návrh smernice
Článok 13 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Sieť jednotiek CSIRT sa skladá zo zástupcov jednotiek CSIRT členských štátov a jednotky CERT-EU. Komisia sa zúčastňuje na práci siete jednotiek CSIRT ako pozorovateľ. Agentúra ENISA zabezpečuje sekretariát a aktívne podporuje spoluprácu medzi jednotkami CSIRT. |
2. Sieť jednotiek CSIRT sa skladá zo zástupcov jednotiek CSIRT členských štátov a jednotky CERT-EU. Komisia a Európske centrum boja proti počítačovej kriminalite pri Europole sa zúčastňujú na práci siete jednotiek CSIRT ako pozorovatelia. Agentúra ENISA zabezpečuje sekretariát a aktívne podporuje spoluprácu medzi jednotkami CSIRT. |
Pozmeňujúci návrh 77
Návrh smernice
Článok 14 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Sieť EU-CyCLONe tvoria zástupcovia orgánov krízového riadenia členských štátov určených v súlade s článkom 7, Komisia a agentúra ENISA. Agentúra ENISA zabezpečuje sekretariát siete a podporuje bezpečnú výmenu informácií. |
2. Sieť EU-CyCLONe tvoria zástupcovia orgánov krízového riadenia členských štátov určených v súlade s článkom 7, Komisia a agentúra ENISA. Na činnostiach siete EU-CyCLONe sa ako pozorovateľ zúčastňuje Európske centrum boja proti počítačovej kriminalite pri Europole. Agentúra ENISA zabezpečuje sekretariát siete a podporuje bezpečnú výmenu informácií. |
Pozmeňujúci návrh 78
Návrh smernice
Článok 14 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Sieť EU-CyCLONe spolupracuje so sieťou jednotiek CSIRT na základe dohodnutých procedurálnych opatrení. |
6. Sieť EU-CyCLONe spolupracuje so sieťou jednotiek CSIRT na základe dohodnutých procedurálnych opatrení a s orgánmi presadzovania práva v rámci protokolu reakcie na núdzové situácie v rámci presadzovania práva v EÚ. |
Pozmeňujúci návrh 79
Návrh smernice
Článok 15 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Agentúra ENISA v spolupráci s Komisiou vydáva každé dva roky správu o stave kybernetickej bezpečnosti v Únii. Správa obsahuje najmä posúdenie týchto aspektov: |
1. Agentúra ENISA v spolupráci s Komisiou každoročne vydáva správu o stave kybernetickej bezpečnosti v Únii. Správa sa vydáva v strojovo čitateľnom formáte a obsahuje najmä posúdenie týchto aspektov: |
Pozmeňujúci návrh 80
Návrh smernice
Článok 15 – odsek 1 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) vplyv kybernetických incidentov na ochranu osobných údajov v Únii. |
Pozmeňujúci návrh 81
Návrh smernice
Článok 15 – odsek 1 – písmeno c b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
cb) prehľad všeobecnej úrovne povedomia o kybernetickej bezpečnosti a jej používania medzi občanmi, ako aj všeobecnej úrovne bezpečnosti pripojených zariadení orientovaných na spotrebiteľov uvedených na trh v Únii. |
Pozmeňujúci návrh 82
Návrh smernice
Článok 17 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby členovia riadiaceho orgánu pravidelne absolvovali osobitnú odbornú prípravu s cieľom získať dostatočné znalosti a zručnosti s cieľom zachytiť a posúdiť riziká a postupy riadenia v oblasti kybernetickej bezpečnosti a ich vplyv na činnosť subjektu. |
2. Členské štáty zabezpečia, aby členovia riadiaceho orgánu a odborníci zodpovední za oblasť kybernetickej bezpečnosti pravidelne absolvovali osobitnú odbornú prípravu s cieľom získať dostatočné znalosti a zručnosti s cieľom zachytiť a posúdiť vyvíjajúce sa riziká a postupy riadenia v oblasti kybernetickej bezpečnosti a ich vplyv na činnosť subjektu. |
Pozmeňujúci návrh 83
Návrh smernice
Článok 18 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty prijali vhodné a primerané technické a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, ktoré tieto subjekty využívajú pri poskytovaní svojich služieb. S ohľadom na najnovší technický vývoj tieto opatrenia zabezpečujú takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty prijali vhodné a primerané technické a organizačné opatrenia na riadenie rizík súvisiacich s kybernetickou bezpečnosťou sietí a informačných systémov, ktoré používajú na poskytovanie svojich služieb, a v záujme zaistenia kontinuity týchto služieb a na zmiernenie rizík súvisiacich s právami jednotlivcov pri spracúvaní ich osobných údajov. S ohľadom na najnovší technický vývoj tieto opatrenia zabezpečujú takú úroveň kybernetickej bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. |
Pozmeňujúci návrh 84
Návrh smernice
Článok 18 – odsek 2 – písmeno g
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
g) používanie kryptografie a šifrovania. |
g) používanie kryptografie a silného šifrovania. |
Pozmeňujúci návrh 85
Návrh smernice
Článok 18 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty zabezpečia, aby subjekty pri zvažovaní vhodných opatrení uvedených v odseku 2 písm. d) zohľadňovali zraniteľnosti špecifické pre každého dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a prax ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja. |
3. Členské štáty zabezpečia, aby subjekty pri zvažovaní vhodných a primeraných opatrení uvedených v odseku 2 písm. d) zohľadňovali zraniteľnosti špecifické pre každého dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a prax ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja. Príslušné orgány poskytnú subjektom usmernenia týkajúce sa praktického a primeraného uplatňovania. |
Pozmeňujúci návrh 86
Návrh smernice
Článok 18 – odsek 6 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
6 a. Členské štáty priznajú používateľovi siete a informačných systémov, ktoré poskytuje kľúčový alebo dôležitý subjekt, právo získať od subjektu informácie o zavedených technických a organizačných opatreniach na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov. Členské štáty vymedzia obmedzenia tohto práva. |
Pozmeňujúci návrh 87
Návrh smernice
Článok 19 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Skupina pre spoluprácu môže v spolupráci s Komisiou a agentúrou ENISA vykonávať koordinované posúdenia bezpečnostného rizika dodávateľských reťazcov konkrétnych kritických služieb, systémov alebo produktov IKT, pričom zohľadní technické a prípadne aj netechnické faktory rizík. |
1. Skupina pre spoluprácu v spolupráci s Komisiou a agentúrou ENISA vykonáva koordinované posúdenia bezpečnostného rizika dodávateľských reťazcov konkrétnych kritických služieb, systémov alebo produktov IKT, pričom zohľadní technické a prípadne aj netechnické faktory rizík. |
Pozmeňujúci návrh 88
Návrh smernice
Článok 20 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili príslušným orgánom alebo jednotke CSIRT v súlade s odsekmi 3 a 4 každý incident so závažným vplyvom na poskytovanie ich služieb. V prípade potreby tieto subjekty bez zbytočného odkladu oznámia príjemcom svojich služieb incidenty, ktoré by mohli nepriaznivo ovplyvniť ich poskytovanie. Členské štáty zabezpečia, aby tieto subjekty oznamovali okrem iného informácie umožňujúce príslušným orgánom alebo jednotke CSIRT určiť prípadný cezhraničný vplyv incidentu. |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu a v každom prípade do 24 hodín oznámili príslušným orgánom alebo jednotke CSIRT v súlade s odsekmi 3 a 4 každý incident so závažným vplyvom na poskytovanie ich služieb, a príslušným orgánom presadzovania práva, či existuje podozrenie alebo je jasné, že incident je škodlivej povahy. Tieto subjekty bez zbytočného odkladu a v každom prípade do 24 hodín oznámia príjemcom svojich služieb incidenty, ktoré by mohli nepriaznivo ovplyvniť ich poskytovanie, a poskytnú informácie, ktoré by im umožnili zmierniť nepriaznivé účinky kybernetických útokov. Vo výnimočných prípadoch, keď by zverejnenie mohlo viesť k ďalším kybernetickým útokom, môžu tieto subjekty oznámenie odložiť. Členské štáty zabezpečia, aby tieto subjekty oznamovali okrem iného informácie umožňujúce príslušným orgánom alebo jednotke CSIRT určiť prípadný cezhraničný vplyv incidentu. |
Pozmeňujúci návrh 89
Návrh smernice
Článok 20 – odsek 2 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili príslušným orgánom alebo jednotke CSIRT každú závažnú kybernetickú hrozbu, ktorú tieto subjekty zistia a ktorá by mohla potenciálne viesť k závažnému incidentu. |
2. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty mali možnosť oznámiť príslušným orgánom alebo jednotke CSIRT každú závažnú kybernetickú hrozbu, ktorú tieto subjekty zistia a ktorá by mohla potenciálne viesť k závažnému incidentu. |
Pozmeňujúci návrh 90
Návrh smernice
Článok 20 – odsek 2 – pododsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Uvedené subjekty v príslušných prípadoch bez zbytočného odkladu oznámia príjemcom svojich služieb, ktorých potenciálne zasiahla závažná kybernetická hrozba, všetky opatrenia alebo nápravné kroky, ktoré títo príjemcovia môžu v reakcii na danú hrozbu prijať. Subjekty v prípade potreby týmto príjemcom oznámia aj informáciu o samotnej hrozbe. Oznámenie nesmie mať pre oznamujúci subjekt za následok vyššiu zodpovednosť. |
Uvedené subjekty by v príslušných prípadoch mali mať možnosť oznámiť príjemcom svojich služieb, ktorých potenciálne zasiahla závažná kybernetická hrozba, všetky opatrenia alebo nápravné kroky, ktoré títo príjemcovia môžu v reakcii na danú hrozbu prijať. Subjekty v prípade poskytnutia takéhoto oznámenia týmto príjemcom oznámia aj informáciu o samotnej hrozbe. Oznámenie nesmie mať pre oznamujúci subjekt za následok vyššiu zodpovednosť. |
Pozmeňujúci návrh 91
Návrh smernice
Článok 20 – odsek 4 – písmeno c – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) najneskôr jeden mesiac po predložení oznámenia podľa písmena a) konečnú správu, ktorá obsahuje aspoň tieto informácie: |
c) najneskôr jeden mesiac po predložení oznámenia podľa písmena a) komplexnú správu, ktorá obsahuje aspoň tieto informácie: |
Pozmeňujúci návrh 92
Návrh smernice
Článok 20 – odsek 4 – písmeno c – bod ii
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
ii) druh hrozby alebo základnú príčinu, ktorá pravdepodobne incident spôsobila; |
ii) druh kybernetickej hrozby alebo základnú príčinu, ktorá pravdepodobne incident spôsobila; |
Pozmeňujúci návrh 93
Návrh smernice
Článok 20 – odsek 4 – písmeno c – bod iii
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
iii) uplatnené a prebiehajúce zmierňujúce opatrenia. |
iii) uplatnené a prebiehajúce zmierňujúce alebo nápravné opatrenia. |
Pozmeňujúci návrh 94
Návrh smernice
Článok 20 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. V prípade potreby, a najmä ak sa incident uvedený v odseku 1 týka dvoch alebo viacerých členských štátov, príslušný orgán alebo jednotka CSIRT informuje o incidente ostatné zasiahnuté členské štáty a agentúru ENISA. Príslušné orgány, jednotky CSIRT a jednotné kontaktné miesta pri tom v súlade s právom Únie alebo vnútroštátnymi právnymi predpismi, ktoré sú v súlade s právom Únie, chránia bezpečnosť a obchodné záujmy subjektu, ako aj dôvernosť poskytnutých informácií. |
6. V prípade potreby, a najmä ak sa incident uvedený v odseku 1 týka dvoch alebo viacerých členských štátov, príslušný orgán alebo jednotka CSIRT informuje o incidente ostatné zasiahnuté členské štáty a agentúru ENISA. Ak sa incident týka dvoch alebo viacerých členských štátov a existuje podozrenie, že má trestnoprávnu povahu, príslušný orgán alebo jednotka CSIRT informujú Europol. Príslušné orgány, jednotky CSIRT a jednotné kontaktné miesta pri tom v súlade s právom Únie alebo vnútroštátnymi právnymi predpismi, ktoré sú v súlade s právom Únie, chránia bezpečnosť a obchodné záujmy subjektu, ako aj dôvernosť poskytnutých informácií. |
Pozmeňujúci návrh 95
Návrh smernice
Článok 22 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Agentúra ENISA v spolupráci s členskými štátmi vypracúva odporúčania a usmernenia týkajúce sa technických oblastí, ktoré sa majú zvážiť v súvislosti s odsekom 1, ako aj odporúčania a usmernenia týkajúce sa už existujúcich noriem vrátane vnútroštátnych noriem členských štátov, ktoré by sa mohli vzťahovať na uvedené oblasti. |
2. Agentúra ENISA, po konzultácii s EDPB a v spolupráci s členskými štátmi vypracúva odporúčania a usmernenia týkajúce sa technických oblastí, ktoré sa majú zvážiť v súvislosti s odsekom 1, ako aj odporúčania a usmernenia týkajúce sa už existujúcich noriem vrátane vnútroštátnych noriem členských štátov, ktoré by sa mohli vzťahovať na uvedené oblasti. |
Pozmeňujúci návrh 96
Návrh smernice
Článok 23 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. S cieľom prispieť k bezpečnosti, stabilite a odolnosti DNS členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD zbierali a uchovávali presné a úplné registračné údaje o doménových menách vo vyhradenom databázovom zariadení s náležitou starostlivosťou, na ktoré sa vzťahujú právne predpisy Únie o ochrane údajov, pokiaľ ide o údaje, ktoré sú osobnými údajmi. |
1. S cieľom prispieť k bezpečnosti, stabilite a odolnosti DNS členské štáty zabezpečia, aby TLD mali zavedené politiky a postupy s cieľom zaistiť zber a uchovávanie presných a úplných registračných údajov o doménových menách vo vyhradenom databázovom zariadení v súlade s právnymi predpismi Únie o ochrane údajov, pokiaľ ide o údaje, ktoré sú osobnými údajmi. Členské štáty zabezpečia, aby takéto politiky a postupy boli verejne dostupné. |
Pozmeňujúci návrh 97
Návrh smernice
Článok 23 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby databázy s registračnými údajmi o doménových menách uvedené v odseku 1 obsahovali relevantné informácie na identifikáciu a kontaktovanie držiteľov doménových mien a kontaktných miest spravujúcich doménové mená v rámci TLD. |
2. Členské štáty zabezpečia, aby databázy s registračnými údajmi o doménových menách uvedené v odseku 1 obsahovali informácie potrebné na identifikáciu a kontaktovanie držiteľov doménových mien, konkrétne ich meno, poštovú a e-mailovú adresu, ako aj ich telefónne číslo, a kontaktných miest spravujúcich doménové mená v rámci TLD. |
Pozmeňujúci návrh 98
Návrh smernice
Článok 23 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD mali zavedené politiky a postupy s cieľom zabezpečiť, aby databázy obsahovali presné a úplné informácie. Členské štáty zabezpečia, aby takéto politiky a postupy boli verejne dostupné. |
vypúšťa sa |
Odôvodnenie
Tento odsek je začlenený do článku 23 ods. 1.
Pozmeňujúci návrh 99
Návrh smernice
Článok 23 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD bez zbytočného odkladu po registrácii mena domény uverejnili registračné údaje domény, ktoré nie sú osobnými údajmi. |
4. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD v súlade s článkom 6 ods. 1 c) a článkom 6 ods. 3 nariadenia (EÚ) 2016/679 a bez zbytočného odkladu po registrácii mena domény uverejnili niektoré registračné údaje domény, ako je meno domény a meno právnickej osoby. |
Pozmeňujúci návrh 100
Návrh smernice
Článok 23 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Členské štáty zabezpečia, aby registre TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD poskytovali prístup k špecifickým registračným údajom o doménových menách na základe zákonných a riadne odôvodnených žiadostí oprávnených záujemcov o prístup v súlade s právnymi predpismi Únie o ochrane údajov. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD odpovedali bez zbytočného odkladu na všetky žiadosti o prístup. Členské štáty zabezpečia, aby politiky a postupy zverejňovania takýchto údajov boli verejne dostupné. |
5. Členské štáty zabezpečia, aby registre TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD poskytovali prístup k špecifickým registračným údajom o doménových menách na základe zákonných a riadne odôvodnených žiadostí orgánov verejnej moci vrátane príslušných orgánov podľa tejto smernice, príslušných orgánov podľa právnych predpisov Únie alebo členských štátov týkajúcich sa predchádzania trestným činom, ich vyšetrovania alebo stíhania alebo dozorných orgánov podľa nariadenia (EÚ) 2016/679, v súlade s právnymi predpismi Únie o ochrane údajov. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD odpovedali bez zbytočného odkladu na všetky zákonné a riadne odôvodnené žiadosti o prístup. Členské štáty zabezpečia, aby politiky a postupy zverejňovania takýchto údajov boli verejne dostupné. |
Pozmeňujúci návrh 101
Návrh smernice
Článok 24 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Ak subjekt uvedený v odseku 1 nie je usadený v Únii, ale ponúka služby v rámci Únie, určí zástupcu v Únii. Zástupca musí byť usadený v jednom z členských štátov, v ktorých ponúka služby. Predpokladá sa, že takýto subjekt podlieha jurisdikcii toho členského štátu, v ktorom je usadený jeho zástupca. Ak v zmysle tohto článku nie je v Únii určený zástupca, ktorýkoľvek členský štát, v ktorom subjekt poskytuje služby, môže proti tomuto subjektu podniknúť právne kroky pre nedodržanie povinností podľa tejto smernice. |
3. Ak subjekt uvedený v odseku 1 nie je usadený v Únii, ale ponúka služby v rámci Únie, určí zástupcu v Únii. Zástupca musí byť usadený v jednom z členských štátov, v ktorých ponúka služby. Bez toho, aby boli dotknuté právomoci dozorných orgánov podľa nariadenia (EÚ) 2016/679 sa predpokladá, že takýto subjekt podlieha jurisdikcii toho členského štátu, v ktorom je usadený jeho zástupca. Ak v zmysle tohto článku nie je v Únii určený zástupca, ktorýkoľvek členský štát, v ktorom subjekt poskytuje služby, môže proti tomuto subjektu podniknúť právne kroky pre nedodržanie povinností podľa tejto smernice. |
Pozmeňujúci návrh 102
Návrh smernice
Článok 25 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Agentúra ENISA vytvorí a vedie register kľúčových a dôležitých subjektov uvedených v článku 24 ods. 1. Subjekty predložia agentúre ENISA najneskôr [12 mesiacov od nadobudnutia účinnosti tejto smernice] tieto informácie: |
1. Agentúra ENISA vytvorí a vedie zabezpečený register kľúčových a dôležitých subjektov uvedených v článku 24 ods. 1. Subjekty predložia agentúre ENISA najneskôr [12 mesiacov od nadobudnutia účinnosti tejto smernice] tieto informácie: |
Pozmeňujúci návrh 103
Návrh smernice
Článok 26 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Bez toho, aby bolo dotknuté nariadenie (EÚ) 2016/679, členské štáty zabezpečia, aby si kľúčové a dôležité subjekty mohli medzi sebou vymieňať relevantné informácie o kybernetickej bezpečnosti vrátane informácií o kybernetických hrozbách, zraniteľnostiach, ukazovateľoch kompromitácie, taktikách, technikách a postupoch, kybernetickobezpečnostných varovaniach a konfiguračných nástrojoch, ak takáto výmena informácií: |
1. Bez toho, aby bolo dotknuté nariadenie (EÚ) 2016/679 alebo smernica 2002/58/ES, členské štáty zabezpečia, aby si kľúčové a dôležité subjekty mohli medzi sebou vymieňať relevantné informácie o kybernetickej bezpečnosti vrátane informácií o kybernetických hrozbách, zraniteľnostiach, ukazovateľoch kompromitácie, taktikách, technikách a postupoch, kybernetickobezpečnostných varovaniach a konfiguračných nástrojoch a miesta pobytu alebo identity útočníka, ak takáto výmena informácií: |
Pozmeňujúci návrh 104
Návrh smernice
Článok 28 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Príslušné orgány pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, úzko spolupracujú s orgánmi na ochranu údajov. |
2. Príslušné orgány pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, úzko spolupracujú s dozornými orgánmi bez toho, aby boli dotknuté kompetencie, úlohy a právomoci dozorných orgánov podľa nariadenia (EÚ) 2016/679. Na tento účel si príslušné orgány a dozorné orgány vymieňajú informácie relevantné pre ich príslušnú oblasť pôsobnosti. Okrem toho im príslušné orgány na žiadosť príslušných dozorných orgánov poskytnú všetky informácie získané v súvislosti so všetkými auditmi a vyšetrovaniami, ktoré súvisia so spracúvaním osobných údajov. |
Pozmeňujúci návrh 105
Návrh smernice
Článok 29 – odsek 4 – písmeno h
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
h) nariadiť týmto subjektom, aby určeným spôsobom zverejnili aspekty nedodržiavania povinností stanovených v tejto smernici; |
vypúšťa sa |
Pozmeňujúci návrh 106
Návrh smernice
Článok 29 – odsek 5 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) uložiť dočasný zákaz alebo od príslušných orgánov alebo súdov podľa vnútroštátnych zákonov požadovať uloženie dočasného zákazu vykonávať riadiace funkcie v tomto kľúčovom subjekte, a to každej osobe vykonávajúcej riadiace úlohy na úrovni výkonného riaditeľa alebo právneho zástupcu v tomto kľúčovom subjekte a akejkoľvek inej fyzickej osobe zodpovednej za porušenie. |
vypúšťa sa |
Pozmeňujúci návrh 107
Návrh smernice
Článok 29 – odsek 5 – pododsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Tieto sankcie sa uplatňujú len dovtedy, kým subjekt neprijme potrebné opatrenia na nápravu nedostatkov alebo nesplní požiadavky príslušného orgánu, ktorý takéto sankcie uplatnil. |
Táto sankcia sa uplatňuje len dovtedy, kým subjekt neprijme potrebné opatrenia na nápravu nedostatkov alebo nesplní požiadavky príslušného orgánu, ktorý takéto sankcie uplatnil. |
Pozmeňujúci návrh 108
Návrh smernice
Článok 29 – odsek 7 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) skutočné spôsobené škody alebo vzniknuté straty alebo potenciálne škody alebo straty, ktoré mohli vzniknúť, pokiaľ ich možno určiť. Pri hodnotení tohto aspektu sa okrem iného zohľadnia skutočné alebo potenciálne finančné alebo hospodárske straty, účinky na iné služby, počet dotknutých alebo potenciálne dotknutých používateľov; |
c) skutočnú spôsobenú majetkovú alebo nemajetkovú ujmu alebo vzniknuté straty, pokiaľ ich možno určiť. Pri hodnotení tohto aspektu sa okrem iného zohľadnia skutočné alebo potenciálne finančné alebo hospodárske straty, účinky na iné služby, počet dotknutých alebo potenciálne dotknutých používateľov; |
Pozmeňujúci návrh 109
Návrh smernice
Článok 29 – odsek 7 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) akékoľvek relevantné predchádzajúce prípady porušenia zo strany dotknutého subjektu; |
Pozmeňujúci návrh 110
Návrh smernice
Článok 29 – odsek 7 – písmeno c b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
cb) spôsob, akým sa príslušný orgán o porušení dozvedel, a najmä to, či subjekt porušenie oznámil, a ak áno, v akom rozsahu; |
Pozmeňujúci návrh 111
Návrh smernice
Článok 29 – odsek 7 – písmeno g
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
g) úroveň spolupráce zodpovednej fyzickej alebo právnickej osoby (osôb) s príslušnými orgánmi. |
g) úroveň spolupráce s príslušnými orgánmi v záujme nápravy porušenia a zmiernenia možných nepriaznivých dôsledkov porušenia; |
Pozmeňujúci návrh 112
Návrh smernice
Článok 29 – odsek 7 – písmeno g a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ga) akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením. |
Pozmeňujúci návrh 113
Návrh smernice
Článok 29 – odsek 9
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
9. Členské štáty zabezpečia, aby ich príslušné orgány informovali relevantné príslušné orgány dotknutého členského štátu určené podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov], keď vykonávajú svoje právomocí v oblasti dohľadu a presadzovania práva zamerané na zabezpečenie dodržiavania povinností podľa tejto smernice zo strany kľúčového subjektu identifikovaného ako kritický alebo ako rovnocenný s kritickým subjektom podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov]. Príslušné orgány môžu na žiadosť príslušných orgánov podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický alebo ako rovnocenný subjekt. |
9. Členské štáty zabezpečia, aby ich príslušné orgány v reálnom čase informovali relevantné príslušné orgány všetkých členských štátov určené podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov], keď vykonávajú svoje právomocí v oblasti dohľadu a presadzovania práva zamerané na zabezpečenie dodržiavania povinností podľa tejto smernice zo strany kľúčového subjektu identifikovaného ako kritický alebo ako rovnocenný s kritickým subjektom podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov]. Príslušné orgány môžu na žiadosť príslušných orgánov podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický alebo ako rovnocenný subjekt. |
Pozmeňujúci návrh 114
Návrh smernice
Článok 30 – odsek 4 – písmeno g
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
g) nariadiť týmto subjektom, aby určeným spôsobom zverejnili aspekty nedodržiavania svojich povinností stanovených v tejto smernici; |
vypúšťa sa |
Pozmeňujúci návrh 115
Návrh smernice
Článok 30 – odsek 4 – písmeno h
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
h) vydať verejné vyhlásenie, v ktorom sa uvedie právnická a fyzická osoba alebo osoby zodpovedné za porušenie povinnosti stanovenej v tejto smernici a povaha tohto porušenia; |
h) vydať verejné vyhlásenie, v ktorom sa uvedie právnická osoba alebo osoby zodpovedné za porušenie povinnosti stanovenej v tejto smernici a povaha tohto porušenia; |
Pozmeňujúci návrh 116
Návrh smernice
Článok 31 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Správne sankcie sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 29 ods. 4 písm. a) až i), článku 29 ods. 5 a článku 30 ods. 4 písm. a) až h) a j) alebo namiesto týchto opatrení. |
2. Správne sankcie sa ukladajú popri opatreniach uvedených v článku 29 ods. 4 písm. a) až i), článku 29 ods. 5 a článku 30 ods. 4 písm. a) až h) a j) alebo namiesto týchto opatrení v závislosti od okolností každého jednotlivého prípadu. |
Pozmeňujúci návrh 117
Návrh smernice
Článok 31 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Pri rozhodovaní o uložení správnej sankcie, ako aj pri rozhodovaní o jej výške v každom jednotlivom prípade sa náležite zohľadnia aspoň prvky stanovené v článku 29 ods. 7. |
3. Rozhodnutie o uložení správnej sankcie závisí od okolností každého individuálneho prípadu a pri rozhodovaní o jej výške sa v každom jednotlivom prípade náležite zohľadnia aspoň prvky stanovené v článku 29 ods. 7. |
Pozmeňujúci návrh 118
Návrh smernice
Článok 32 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Ak majú príslušné orgány indície, že kľúčový alebo dôležitý subjekt pri porušení povinností stanovených v článkoch 18 a 20 porušil aj ochranu osobných údajov, ako sa vymedzuje v článku 4 bode 12 nariadenia (EÚ) 2016/679, pričom takéto porušenie sa oznamuje podľa článku 33 uvedeného nariadenia, v primeranej lehote o tom informujú príslušné dozorné orgány podľa článkov 55 a 56 uvedeného nariadenia. |
1. Ak majú príslušné orgány indície, že kľúčový alebo dôležitý subjekt pri porušení povinností stanovených v článkoch 18 a 20 porušil aj ochranu osobných údajov, ako sa vymedzuje v článku 4 bode 12 nariadenia (EÚ) 2016/679, pričom takéto porušenie sa oznamuje podľa článku 33 uvedeného nariadenia, bezodkladne a v každom prípade do 24 hodín o tom informujú príslušné dozorné orgány podľa článkov 55 a 56 uvedeného nariadenia. |
Pozmeňujúci návrh 119
Návrh smernice
Článok 32 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Ak je dozorný orgán, príslušný podľa nariadenia (EÚ) 2016/679, usadený v inom členskom štáte než príslušný orgán, príslušný orgán môže informovať dozorný orgán usadený v tom istom členskom štáte. |
3. Ak je dozorný orgán, príslušný podľa nariadenia (EÚ) 2016/679, usadený v inom členskom štáte než príslušný orgán, príslušný orgán informuje dozorný orgán usadený v tom istom členskom štáte. |
Pozmeňujúci návrh 120
Návrh smernice
Článok 34 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
Článok 34 a |
|
Zodpovednosť za nedodržiavanie súladu |
|
Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy, príjemcovia služieb poskytovaných kľúčovými a dôležitými subjektmi, ktorí utrpeli škodu v dôsledku nedodržiavanie tejto smernice zo strany poskytovateľov, majú právo na účinný súdny prostriedok nápravy. |
Pozmeňujúci návrh 121
Návrh smernice
Článok 35 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Komisia pravidelne preskúmava fungovanie tejto smernice a podáva o tom správu Európskemu parlamentu a Rade. V správe sa posúdi najmä relevantnosť odvetví, pododvetví, veľkosti a typu subjektov uvedených v prílohách I a II pre fungovanie hospodárstva a spoločnosti v súvislosti s kybernetickou bezpečnosťou. Na tento účel a s cieľom ďalej napredovať v strategickej a operačnej spolupráci Komisia zohľadní správy skupiny pre spoluprácu a siete jednotiek CSIRT o skúsenostiach získaných na strategickej a operačnej úrovni. Prvá správa sa predloží do … [54 mesiacov po dátume nadobudnutia účinnosti tejto smernice]. |
Komisia preskúmava fungovanie tejto smernice každé tri roky a podáva o tom správu Európskemu parlamentu a Rade. V správe sa posúdi najmä to, v akom rozsahu smernica prispieva k zabezpečeniu vysokej všeobecnej úrovne bezpečnosti a integrity sietí a informačných systémov pri súčasnom poskytovaní optimálnej ochrany súkromného života a osobných údajov, a relevantnosť odvetví, pododvetví, veľkosti a typu subjektov uvedených v prílohách I a II pre fungovanie hospodárstva a spoločnosti v súvislosti s kybernetickou bezpečnosťou. Na tento účel a s cieľom ďalej napredovať v strategickej a operačnej spolupráci Komisia zohľadní správy skupiny pre spoluprácu a siete jednotiek CSIRT o skúsenostiach získaných na strategickej a operačnej úrovni. Prvá správa sa predloží do … [36 mesiacov po dátume nadobudnutia účinnosti tejto smernice]. |
Pozmeňujúci návrh 122
Návrh smernice
Príloha I – bod 5 (Zdravotníctvo) – zarážka 6 (nová)
|
|||||||||||||||||||||||||
Text predložený Komisiou |
|||||||||||||||||||||||||
Odvetvie |
Pododvetvie |
Typ subjektu |
|||||||||||||||||||||||
5. Zdravotníctvo |
|
– Poskytovatelia zdravotnej starostlivosti uvedení v článku 3 písm. g) smernice 2011/24/EÚ (90 ) |
|||||||||||||||||||||||
– referenčné laboratóriá EÚ uvedené v článku 15 nariadenia XXXX/XXXX o závažných cezhraničných ohrozeniach zdravia91 |
|||||||||||||||||||||||||
– Subjekty vykonávajúce činnosti výskumu a vývoja liekov uvedených v článku 1 bode 2 smernice 2001/83/ES (92) |
|||||||||||||||||||||||||
– Subjekty vyrábajúce základné farmaceutické výrobky a farmaceutické prípravky uvedené v sekcii C divízii 21 NACE Rev. 2 |
|||||||||||||||||||||||||
– Subjekty vyrábajúce zdravotnícke pomôcky považované za kritické počas mimoriadnej situácie v oblasti verejného zdravia (ďalej len „zoznam pomôcok kritických v mimoriadnej situácii v oblasti verejného zdravia“) uvedené v článku 20 nariadenia XXXX93 |
|||||||||||||||||||||||||
91 [Nariadenie Európskeho parlamentu a Rady o závažných cezhraničných ohrozeniach zdravia a o zrušení rozhodnutia č. 1082/2013/EÚ, odkaz na nariadenie sa aktualizuje po prijatí návrhu dokumentu COM(2020)727 final]. |
|||||||||||||||||||||||||
92 Smernica Európskeho parlamentu a Rady 2001/83/ES zo 6. novembra 2001, ktorou sa ustanovuje zákonník Spoločenstva o humánnych liekoch (Ú. v. ES L 311, 28.11.2001, s. 67). |
|||||||||||||||||||||||||
93 [Nariadenie Európskeho parlamentu a Rady o posilnenej úlohe Európskej agentúry pre lieky z hľadiska pripravenosti na krízy a krízového riadenia v oblasti liekov a zdravotníckych pomôcok, odkaz na nariadenie sa aktualizuje po prijatí návrhu dokumentu COM(2020) 725 final] |
|||||||||||||||||||||||||
|
|||||||||||||||||||||||||
Pozmeňujúci návrh |
|||||||||||||||||||||||||
|
|||||||||||||||||||||||||
POSTUP VÝBORU POŽIADANÉHO O STANOVISKO
Názov |
Opatrenia na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a zrušenie smernice (EÚ) 2016/1148 |
|||
Referenčné čísla |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Gestorský výbor dátum oznámenia na schôdzi |
ITRE 21.1.2021 |
|
|
|
Výbor požiadaný o stanovisko dátum oznámenia na schôdzi |
LIBE 21.1.2021 |
|||
Pridružené výbory - dátum oznámenia na schôdzi |
20.5.2021 |
|||
Spravodajca výboru požiadaného o stanovisko dátum vymenovania |
Lukas Mandl 12.4.2021 |
|||
Prerokovanie vo výbore |
16.6.2021 |
3.9.2021 |
11.10.2021 |
|
Dátum prijatia |
12.10.2021 |
|
|
|
Výsledok záverečného hlasovania |
+: –: 0: |
44 14 4 |
||
Poslanci prítomní na záverečnom hlasovaní |
Magdalena Adamowicz, Katarina Barley, Pernando Barrena Arza, Pietro Bartolo, Nicolas Bay, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Patrick Breyer, Saskia Bricmont, Jorge Buxadé Villalba, Damien Carême, Caterina Chinnici, Clare Daly, Marcel de Graaff, Anna Júlia Donáth, Lena Düpont, Cornelia Ernst, Laura Ferrara, Nicolaus Fest, Maria Grapini, Sophia in ‘t Veld, Patryk Jaki, Marina Kaljurand, Assita Kanko, Fabienne Keller, Peter Kofod, Moritz Körner, Jeroen Lenaers, Juan Fernando López Aguilar, Lukas Mandl, Roberta Metsola, Nadine Morano, Javier Moreno Sánchez, Maite Pagazaurtundúa, Nicola Procaccini, Emil Radev, Paulo Rangel, Terry Reintke, Diana Riba i Giner, Ralf Seekatz, Michal Šimečka, Birgit Sippel, Sara Skyttedal, Martin Sonneborn, Tineke Strik, Ramona Strugariu, Annalisa Tardino, Milan Uhrík, Tom Vandendriessche, Bettina Vollath, Elissavet Vozemberg-Vrionidi, Jadwiga Wiśniewska, Javier Zarzalejos |
|||
Náhradníci prítomní na záverečnom hlasovaní |
Olivier Chastel, Tanja Fajon, Jan-Christoph Oetjen, Philippe Olivier, Anne-Sophie Pelletier, Thijs Reuten, Rob Rooken, Maria Walsh |
|||
ZÁVEREČNÉ HLASOVANIE PODĽA MIEN VO VÝBORE POŽIADANOM O STANOVISKO
44 |
+ |
ID |
Nicolas Bay, Nicolaus Fest, Peter Kofod, Philippe Olivier, Annalisa Tardino, Tom Vandendriessche |
NI |
Laura Ferrara |
PPE |
Magdalena Adamowicz, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Lena Düpont, Jeroen Lenaers, Lukas Mandl, Roberta Metsola, Nadine Morano, Emil Radev, Paulo Rangel, Ralf Seekatz, Sara Skyttedal, Elissavet Vozemberg-Vrionidi, Maria Walsh, Javier Zarzalejos |
Renew |
Olivier Chastel, Anna Júlia Donáth, Sophia in 't Veld, Fabienne Keller, Moritz Körner, Jan-Christoph Oetjen, Maite Pagazaurtundúa, Michal Šimečka, Ramona Strugariu |
S&D |
Katarina Barley, Pietro Bartolo, Caterina Chinnici, Tanja Fajon, Maria Grapini, Marina Kaljurand, Juan Fernando López Aguilar, Javier Moreno Sánchez, Thijs Reuten, Birgit Sippel, Bettina Vollath |
Verts/ALE |
Damien Carême |
14 |
- |
ECR |
Jorge Buxadé Villalba, Patryk Jaki, Assita Kanko, Nicola Procaccini, Rob Rooken, Jadwiga Wiśniewska |
ID |
Marcel de Graaff |
NI |
Martin Sonneborn, Milan Uhrík |
Verts/ALE |
Patrick Breyer, Saskia Bricmont, Terry Reintke, Diana Riba i Giner, Tineke Strik |
4 |
0 |
The Left |
Pernando Barrena Arza, Clare Daly, Cornelia Ernst, Anne-Sophie Pelletier |
Vysvetlenie použitých znakov:
+ : za
- : proti
0 : zdržali sa hlasovania
STANOVISKO VÝBORU PRE ZAHRANIČNÉ VECI (15.7.2021)
pre Výbor pre priemysel, výskum a energetiku
k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148
Spravodajkyňa výboru požiadaného o stanovisko: Markéta Gregorová
POZMEŇUJÚCE NÁVRHY
Výbor pre zahraničné veci vyzýva Výbor pre priemysel, výskum a energetiku, aby ako gestorský výbor vzal do úvahy tieto pozmeňujúce návrhy:
Pozmeňujúci návrh 1
Návrh smernice
Odôvodnenie 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(2) Od nadobudnutia účinnosti smernice (EÚ) 2016/1148 sa pri zvyšovaní úrovne odolnosti Únie v oblasti kybernetickej bezpečnosti dosiahol významný pokrok. Preskúmanie uvedenej smernice ukázalo, že slúžila ako katalyzátor inštitucionálneho a regulačného prístupu ku kybernetickej bezpečnosti v Únii a pripravila pôdu pre dôležitú zmenu v zmýšľaní. Uvedenou smernicou sa zabezpečilo dokončenie vnútroštátnych rámcov vymedzením národných stratégií kybernetickej bezpečnosti, stanovením vnútroštátnych kapacít a vykonávaním regulačných opatrení vzťahujúcich sa na kľúčové infraštruktúry a aktérov identifikovaných v každom členskom štáte. Prispela aj k spolupráci na úrovni Únie zriadením skupiny pre spoluprácu12 a siete národných jednotiek pre riešenie počítačových bezpečnostných incidentov (ďalej len „sieť jednotiek CSIRT“)13. Bez ohľadu na tieto úspechy sa pri preskúmaní smernice (EÚ) 2016/1148 odhalili prirodzené nedostatky, ktoré jej bránia účinne riešiť súčasné a vznikajúce výzvy v oblasti kybernetickej bezpečnosti. |
(2) Od nadobudnutia účinnosti smernice (EÚ) 2016/1148 sa pri zvyšovaní úrovne odolnosti Únie v oblasti kybernetickej bezpečnosti dosiahol významný pokrok. Preskúmanie uvedenej smernice ukázalo, že slúžila ako katalyzátor inštitucionálneho a regulačného prístupu ku kybernetickej bezpečnosti v Únii a pripravila pôdu pre dôležitú zmenu v zmýšľaní. Uvedenou smernicou sa zabezpečilo dokončenie vnútroštátnych rámcov vymedzením národných stratégií kybernetickej bezpečnosti, stanovením vnútroštátnych kapacít a vykonávaním regulačných opatrení vzťahujúcich sa na kľúčové infraštruktúry a aktérov identifikovaných v každom členskom štáte. Prispela aj k spolupráci na úrovni Únie zriadením skupiny pre spoluprácu12 a siete národných jednotiek pre riešenie počítačových bezpečnostných incidentov (ďalej len „sieť jednotiek CSIRT“)13. Smernica (EÚ) 2016/1148 bola prvým celoúnijným legislatívnym aktom o kybernetickej bezpečnosti, v ktorom sa stanovujú právne opatrenia na zvýšenie celkovej úrovne kybernetickej odolnosti aj v oblasti bezpečnosti a obrany v Únii zabezpečením spolupráce členských štátov a kultúry bezpečnosti vo všetkých odvetviach. Bez ohľadu na tieto úspechy sa pri preskúmaní smernice (EÚ) 2016/1148 odhalili prirodzené nedostatky, ktoré jej bránia účinne riešiť súčasné a vznikajúce výzvy v oblasti kybernetickej bezpečnosti, ktoré veľmi často pochádzajú z krajín mimo Únie, čo predstavuje vážnu hrozbu pre vnútornú a vonkajšiu bezpečnosť na úrovni Únie. |
_________________ |
_________________ |
12 Článok 11 smernice (EÚ) 2016/1148. |
12 Článok 11 smernice (EÚ) 2016/1148. |
13 Článok 12 smernice (EÚ) 2016/1148. |
13 Článok 12 smernice (EÚ) 2016/1148. |
Pozmeňujúci návrh 2
Návrh smernice
Odôvodnenie 3 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(3a) Únia chápe hybridné kampane ako „kampane, ktoré majú viacrozmerný charakter, kombinujú v sebe donucovacie a podvratné opatrenia, pričom využívajú konvenčné aj nekonvenčné nástroje a taktiky (diplomatické, vojenské, ekonomické a technologické) s cieľom destabilizovať protivníka. Sú navrhnuté tak, aby ich bolo ťažké odhaliť alebo nájsť ich pôvodcu, a môžu ich použiť tak štátne, ako aj neštátne subjekty“1a. Internet a online siete umožňujú štátnym a neštátnym subjektom podnikať agresívne akcie novými spôsobmi. Môžu sa použiť na útok na kritickú infraštruktúru a demokratické procesy, na spustenie presvedčivých dezinformačných a propagandistických kampaní, na krádež informácií a zverejňovanie citlivých údajov. V najhorších prípadoch kybernetické útoky umožňujú protivníkovi prevziať kontrolu nad prostriedkami, ako sú vojenské systémy a štruktúry velenia1b. Zároveň je dôsledná spolupráca so súkromným sektorom a s civilnými zainteresovanými stranami vrátane priemyselných odvetví a subjektov zapojených do riadenia kritických infraštruktúr zásadná a mala by sa posilniť vzhľadom na vnútorné charakteristiky kybernetickej oblasti, v rámci ktorých technologické inovácie riadia najmä súkromné spoločnosti, ktoré často nepôsobia vo vojenskej oblasti. Na takéto rozsiahle kybernetické incidenty a krízy na úrovni Únie by bolo treba sa primerane pripraviť a chrániť sa proti nim spoločnou odbornou prípravou, keďže majú potenciál vyvolať uplatnenie článku 222 ZFEÚ (ďalej len „doložka o solidarite“). |
|
_________________ |
|
1a Európska komisia/vysoká predstaviteľka Únie pre zahraničné veci a bezpečnostnú politiku, spoločné oznámenie s názvom Zvyšovanie odolnosti a posilňovanie spôsobilosti riešiť hybridné hrozby, JOIN(2018) 16 final, Brusel, 13. júna 2018, s. 1. |
|
1b https://www.iss.europa.eu/sites/default/files/EUISSFiles/CP_151.pdf. |
Pozmeňujúci návrh 3
Návrh smernice
Odôvodnenie 3 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(3b) Počas rozsiahlych kybernetických bezpečnostných incidentov a kríz na úrovni Únie si vysoký stupeň vzájomnej závislosti medzi sektormi a krajinami vyžaduje koordinované opatrenia na zabezpečenie rýchlej a účinnej reakcie, ako aj lepšiu prevenciu a pripravenosť na podobné situácie v budúcnosti. Dostupnosť kyberneticky odolných sietí a informačných systémov a dostupnosť, dôvernosť a integrita údajov sú nevyhnutné pre bezpečnosť Únie v rámci jej hraníc, ako aj za jej hranicami. Ambícia EÚ získať významnejšiu geopolitickú úlohu takisto spočíva v dôveryhodnej kybernetickej obrane a odrádzaní od kybernetických útokov vrátane schopnosti včas a účinne identifikovať škodlivé opatrenia a primerane reagovať. Vzhľadom na stieranie hraníc medzi sférami civilných a vojenských záležitostí a dvojaké využitie kybernetických nástrojov a technológií je potrebný komplexný a holistický prístup k digitálnej oblasti. To platí aj pre operácie a misie spoločnej bezpečnostnej a obrannej politiky (SBOP), ktoré Únia uskutočňuje s cieľom zabezpečiť mier a stabilitu vo svojom susedstve aj mimo neho. V tejto súvislosti by Strategický kompas Únie mal posilniť a usmerniť napĺňanie ambícií v oblasti bezpečnosti a obrany na úrovni Únie a premietnuť túto ambíciu do potrieb v oblasti spôsobilostí týkajúcich sa kybernetickej obrany, čím by sa zvýšila schopnosť Únie a členských štátov predchádzať a zabraňovať škodlivým kybernetickým činnostiam, odrádzať od nich, reagovať na ne a zotavovať sa z nich, a to upevnením jej postoja a posilnením situačného povedomia, nástrojov, postupov a partnerstiev. Spolupráca Únie s medzinárodnými organizáciami, ako je NATO, prispieva k diskusiám o tom, ako predchádzať hybridným a kybernetickým útokom, odrádzať od nich a reagovať na ne a skúmať spôsoby vypracovania spoločnej analýzy kybernetických hrozieb. |
Pozmeňujúci návrh 4
Návrh smernice
Odôvodnenie 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(6) Táto smernica neovplyvňuje možnosť členských štátov prijať potrebné opatrenia na zaručenie ochrany základných záujmov vlastnej bezpečnosti, chrániť verejný poriadok a verejnú bezpečnosť a umožniť vyšetrovanie a odhaľovanie trestných činov, ako aj stíhanie ich páchateľov, a to v súlade s právom Únie. V súlade s článkom 346 ZFEÚ nemá byť žiaden členský štát povinný poskytovať informácie, ktorých sprístupnenie by odporovalo základným záujmom jeho verejnej bezpečnosti. V tejto súvislosti sú relevantné pravidlá Únie a členských štátov na ochranu utajovaných skutočností, dohody o zachovaní mlčanlivosti a neformálne dohody o zachovaní mlčanlivosti, ako napríklad semaforový protokol14. |
(6) Táto smernica neovplyvňuje možnosť členských štátov prijať potrebné opatrenia na zaručenie ochrany základných záujmov vlastnej bezpečnosti, chrániť verejný poriadok a verejnú bezpečnosť a umožniť vyšetrovanie a odhaľovanie trestných činov, ako aj stíhanie ich páchateľov, a to v súlade s právom Únie a základnými právami. Nezávisle od technologického prostredia je nevyhnutné plne dodržiavať riadny proces a ďalšie záruky, najmä základné práva, ako napríklad právo na rešpektovanie súkromného života a komunikácie a právo na ochranu osobných údajov. Podobne je v záujme zabezpečenia celkovej odolnosti potrebné nielen posilniť technologické infraštruktúry a disponovať spôsobilosťami reakcie, ale aj zvýšiť povedomie verejnosti o kybernetických rizikách a bezpečnosti. V súlade s článkom 346 ZFEÚ nemá byť žiaden členský štát povinný poskytovať informácie, ktorých sprístupnenie by odporovalo základným záujmom jeho verejnej bezpečnosti. V tejto súvislosti sú relevantné pravidlá Únie a členských štátov na ochranu utajovaných skutočností, dohody o zachovaní mlčanlivosti a neformálne dohody o zachovaní mlčanlivosti, ako napríklad semaforový protokol14. |
_________________ |
_________________ |
14 Semaforový protokol (Traffic Light Protocol, TLP) slúži pri sprístupňovaní informácií na informovanie príjemcov o akýchkoľvek obmedzeniach pri ďalšom šírení týchto informácií. Používa sa takmer vo všetkých komunitách jednotiek CSIRT a v niektorých strediskách pre výmenu a analýzu informácií (ISAC). |
14 Semaforový protokol (Traffic Light Protocol, TLP) slúži pri sprístupňovaní informácií na informovanie príjemcov o akýchkoľvek obmedzeniach pri ďalšom šírení týchto informácií. Používa sa takmer vo všetkých komunitách jednotiek CSIRT a v niektorých strediskách pre výmenu a analýzu informácií (ISAC). |
Pozmeňujúci návrh 5
Návrh smernice
Odôvodnenie 14 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(14a) S cieľom vyvinúť bezpečný systém pripojenia a budovať na európskej kvantovej komunikačnej infraštruktúre (EuroQCI) a vládnej satelitnej komunikácii Európskej únie (GOVSATCOM), najmä na zavádzaní GNSS GALILEO pre používateľov obrany, pričom by sa pri možnom budúcom vývoji mal zohľadniť dosah spájania rýchlosti a sofistikovanosti kvantovej výpočtovej techniky s vysoko autonómnymi vojenskými systémami, by členské štáty mali zabezpečiť ochranu celej elektronickej komunikačnej infraštruktúry, ako sú vesmírne, pozemné a podmorské sieťové systémy. Zároveň by sa mala vytvoriť spoločná vízia stratégie prijatia cloudu pre citlivé odvetvia s cieľom vymedziť prístup Únie založený na spoločných normách medzi podobne zmýšľajúcimi partnerskými krajinami. |
Pozmeňujúci návrh 6
Návrh smernice
Odôvodnenie 20
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(20) Táto rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach energetiky, dopravy, digitálnej infraštruktúry, pitnej a odpadovej vody, zdravia, určitých aspektov verejnej správy, ako aj kozmického priestoru, pokiaľ ide o poskytovanie určitých služieb v závislosti od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahujú na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírnych programov. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu. Pandémia ochorenia COVID-19 ukázala zraniteľnosť našich čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou. |
(20) Táto rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach energetiky, dopravy, digitálnej infraštruktúry, pitnej a odpadovej vody, zdravia, určitých aspektov verejnej správy, ako aj kozmického priestoru, pokiaľ ide o poskytovanie určitých služieb v závislosti od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahujú na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírnych programov. Infraštruktúra, ktorá je vlastnená, spravovaná alebo prevádzkovaná Úniou alebo v jej mene ako súčasť jej vesmírnych programov, je mimoriadne dôležitá pre bezpečnosť Únie a jej členských štátov a riadne fungovanie misií SBOP. Túto infraštruktúru treba zodpovedajúcim spôsobom chrániť v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 2021/69618a. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu a ohroziť bezpečnosť a ochranu občanov Únie. Pandémia ochorenia COVID-19 ukázala zraniteľnosť našich čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou. |
|
_________________ |
|
18a Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/696 z 28. apríla 2021, ktorým sa zriaďuje Vesmírny program Únie a Agentúra Európskej únie pre vesmírny program a ktorým sa zrušujú nariadenia (EÚ) č. 912/2010, (EÚ) č. 1285/2013 a (EÚ) č. 377/2014 a rozhodnutie č. 541/2014/EÚ (Ú. v. EÚ L 170, 12.5.2021, s. 69). |
Pozmeňujúci návrh 7
Návrh smernice
Odôvodnenie 26
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(26) Vzhľadom na význam medzinárodnej spolupráce v oblasti kybernetickej bezpečnosti by sa malo jednotkám CSIRT umožniť, aby sa okrem siete jednotiek CSIRT zriadenej podľa tejto smernice mohli stať súčasťou sietí medzinárodnej spolupráce. |
(26) Vzhľadom na význam medzinárodnej spolupráce v oblasti kybernetickej bezpečnosti by sa malo jednotkám CSIRT umožniť, aby sa okrem siete jednotiek CSIRT zriadenej podľa tejto smernice mohli stať súčasťou sietí medzinárodnej spolupráce s cieľom prispieť k vývoju noriem Únie, ktoré môžu formovať prostredie kybernetickej bezpečnosti na medzinárodnej úrovni. Členské štáty by mohli preskúmať aj možnosť zintenzívnenia spolupráce s podobne zmýšľajúcimi partnerskými krajinami a medzinárodnými organizáciami, ako sú Rada Európy, Organizácia Severoatlantickej zmluvy, Organizácia pre hospodársku spoluprácu a rozvoj, Organizácia pre bezpečnosť a spoluprácu v Európe a Organizácia Spojených národov, a to s cieľom zabezpečiť multilaterálne dohody o normách v kybernetickej oblasti, zodpovednom správaní sa štátnych a neštátnych subjektov v kybernetickom priestore a účinnej globálnej digitálnej verejnej správe a tiež vytvoriť otvorený, slobodný, stabilný a bezpečný kybernetický priestor na základe medzinárodného práva. |
Pozmeňujúci návrh 8
Návrh smernice
Odôvodnenie 27
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(27) V súlade s prílohou k odporúčaniu Komisie (EÚ) 2017/1548 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (ďalej len „koncepcia“)20 by incident veľkého rozsahu mal znamenať incident s významným dosahom na najmenej dva členské štáty alebo ktorý svojím narušením presahuje schopnosť členského štátu reagovať naň. Incidenty veľkého rozsahu sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii. |
(27) V súlade s prílohou k odporúčaniu Komisie (EÚ) 2017/1548 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (ďalej len „koncepcia“)20 by incident veľkého rozsahu mal znamenať incident s významným dosahom na najmenej dva členské štáty alebo ktorý svojím narušením presahuje schopnosť členského štátu reagovať naň. Incidenty veľkého rozsahu sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu, alebo ohroziť bezpečnosť a ochranu občanov a hospodárske a finančné záujmy Únie. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii. Únia a členské štáty by mali ďalej podporovať cvičenia a politické diskusie o rámci krízového riadenia založené na scenároch s cieľom zabezpečiť vnútornú a vonkajšiu súdržnosť politík a dosiahnuť spoločné chápanie postupov vykonávania doložky o solidarite. |
_________________ |
_________________ |
20 Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36). |
20 Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36). |
Pozmeňujúci návrh 9
Návrh smernice
Odôvodnenie 36
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(36) Únia by v prípade potreby mala v súlade s článkom 218 ZFEÚ uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, ktorými môže povoľovať a organizovať ich účasť na niektorých činnostiach skupiny pre spoluprácu a siete jednotiek CSIRT. Takýmito dohodami by sa mala zabezpečiť primeraná ochrana údajov. |
(36) Únia by v prípade potreby mala v súlade s článkom 218 ZFEÚ uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, ktorými môže povoľovať a organizovať ich účasť na niektorých činnostiach skupiny pre spoluprácu a siete jednotiek CSIRT. Takéto dohody majú zabezpečiť primeranú ochranu údajov a mali by podporovať prístup na trh, ako aj riešiť bezpečnostné riziká a zároveň zvyšovať globálnu odolnosť a informovanosť o kybernetických hrozbách a škodlivých kybernetických činnostiach. Únia by mala tiež naďalej podporovať budovanie kapacít v tretích krajinách. Členské štáty by mali podľa možnosti podporovať účasť podobne zmýšľajúcich partnerských krajín, ktoré vyznávajú naše úniové hodnoty, na príslušných projektoch PESCO. Únia by preto mala preskúmať možnosť opätovného začatia procesu zameraného na uzatvorenie formálneho a štruktúrovaného rámca pre spoluprácu v tejto oblasti v budúcnosti. |
Pozmeňujúci návrh 10
Návrh smernice
Odôvodnenie 37
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(37) Členské štáty by mali prispieť k vytvoreniu rámca EÚ pre reakciu na kybernetické krízy stanoveného v odporúčaní (EÚ) 2017/1584 prostredníctvom existujúcich sietí spolupráce, najmä siete styčných organizácií pre kybernetické krízy (EU-CyCLONe), siete jednotiek CSIRT a skupiny pre spoluprácu. Sieť EU-CyCLONe a sieť jednotiek CSIRT by mali spolupracovať na základe procedurálnych opatrení, v ktorých sa vymedzujú podmienky spolupráce. V rokovacom poriadku siete EU-CyCLONe by sa mali ďalej spresniť spôsoby fungovania siete, okrem iného vrátane úloh, spôsobov spolupráce, interakcií s inými relevantnými aktérmi a vzorových formulárov na zdieľanie informácií, ako aj komunikačných prostriedkov. Pokiaľ ide o krízové riadenie na úrovni Únie, príslušné strany by sa mali opierať o integrované dojednania o politickej reakcii na krízu (IPCR). Komisia by mala na tento účel využiť ARGUS – medziodvetvový krízový koordinačný proces na vysokej úrovni. Ak má kríza výrazný externý rozmer alebo sa týka spoločnej bezpečnostnej a obrannej politiky, mal by sa aktivovať mechanizmus reakcie Európskej služby pre vonkajšiu činnosť na krízy. |
(37) Členské štáty by mali prispieť k vytvoreniu rámca EÚ pre reakciu na kybernetické krízy stanoveného v odporúčaní (EÚ) 2017/1584 prostredníctvom existujúcich sietí spolupráce, najmä siete styčných organizácií pre kybernetické krízy (EU-CyCLONe), siete jednotiek CSIRT a skupiny pre spoluprácu, Európskeho centra boja proti počítačovej kriminalite a Spravodajského a situačného centra Únie (EÚ INTCEN), s cieľom pokročiť v strategickej spravodajskej spolupráci v oblasti kybernetických hrozieb a činností v záujme ďalšej podpory informovanosti o situácii a rozhodovania Únie o spoločnej diplomatickej reakcii. Sieť EU-CyCLONe a sieť jednotiek CSIRT by mali spolupracovať na základe procedurálnych opatrení, v ktorých sa vymedzujú podmienky spolupráce. V rokovacom poriadku siete EU-CyCLONe by sa mali ďalej spresniť spôsoby fungovania siete, okrem iného vrátane úloh, spôsobov spolupráce, interakcií s inými relevantnými aktérmi a vzorových formulárov na zdieľanie informácií, ako aj komunikačných prostriedkov. Pokiaľ ide o krízové riadenie na úrovni Únie, príslušné strany by sa mali opierať o integrované dojednania o politickej reakcii na krízu (IPCR), ktoré tiež podporujú koordináciu reakcie na uplatnenie doložky o solidarite na politickej úrovni. Komisia by mala na tento účel využiť ARGUS – medziodvetvový krízový koordinačný proces na vysokej úrovni. Ak má kríza výrazný externý rozmer alebo sa týka SBOP, mal by sa aktivovať mechanizmus reakcie Európskej služby pre vonkajšiu činnosť (ESVČ) na krízy (CRM), ako aj akékoľvek opatrenie zamerané na ochranu misií a operácií SBOP a delegácií Únie. Únia by mala navyše plne využívať svoj súbor nástrojov kybernetickej diplomacie. |
Pozmeňujúci návrh 11
Návrh smernice
Odôvodnenie 40 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(40a) Členské štáty by mali považovať program aktívnej kybernetickej obrany za súčasť svojej vnútroštátnej stratégie kybernetickej bezpečnosti, ktorá zahŕňa pravidelné spoločné cvičenia odbornej prípravy medzi členskými štátmi a medzinárodnými organizáciami. Takýto program by mal poskytnúť synchronizovanú kapacitu na zisťovanie, odhaľovanie, analýzu a zmierňovanie hrozieb v reálnom čase. Aktívna kybernetická obrana funguje rýchlosťou siete a využíva snímače, softvér a spravodajstvo s cieľom v ideálnom prípade odhaliť a zastaviť škodlivú činnosť pred tým, ako zasiahne siete a systémy. Okrem toho by mali členské štáty výrazne zlepšiť spôsob výmeny informácií, vymedziť spoločnú normu pre komunikáciu, ktorá by sa mohla použiť na utajované a neutajované informácie, s cieľom posilniť rýchlu reakciu. Únia a členské štáty by tiež mali posilniť svoje schopnosti pripisovať kybernetické útoky páchateľom s cieľom účinne a primerane odrádzať od kybernetických útokov a reagovať na ne v súlade s medzinárodným právom. |
Pozmeňujúci návrh 12
Návrh smernice
Odôvodnenie 40 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(40b) Členské štáty by mali vo svojich vnútroštátnych stratégiách kybernetickej bezpečnosti navrhnúť program aktívnej kybernetickej obrany. Aktívna kybernetická obrana predstavuje aktívne odhaľovanie, analýzu a zmierňovanie narušení bezpečnosti siete v reálnom čase v kombinácii s využívaním kapacít nasadených mimo zasiahnutej siete. Je založená na obrannej stratégii, ktorá vylučuje ofenzívne opatrenia proti kritickej civilnej infraštruktúre nepriateľa, ktoré by predstavovali porušenie medzinárodného práva (ako napríklad dodatkového protokolu z roku 1977 k Ženevským dohovorom). Schopnosť rýchlo a automaticky si vymieňať a pochopiť informácie o hrozbách a ich analýzy, upozornenia na kybernetickú činnosť a opatrenia týkajúce sa reakcie je rozhodujúca pre umožnenie jednotného úsilia o úspešné odhaľovanie a prevenciu kybernetických útokov. Aktívne činnosti kybernetickej obrany by mohli zahŕňať konfigurácie e-mailových serverov, konfigurácie webových sídiel, umožnenie zaznamenávania a filtrovanie DNS. Členské štáty by mali prijať politiky schopné zabezpečiť čo najširší prístup k najvýkonnejším kybernetickobezpečnostným nástrojom, podporovať spoločnosti, malé a stredné podniky a podniky s nízkou finančnou kapacitou prostredníctvom výhod, grantov, pôžičiek alebo fiškálnych výhod zameraných na nadobúdanie produktov a služieb v oblasti kybernetickej bezpečnosti na najvyššej úrovni, pričom by mali zabrániť tomu, aby boli ich náklady diskriminačným prvkom. Členské štáty by sa tiež mali usilovať o podporu partnerstiev s akademickou obcou a inými výskumnými centrami zameranými na podporu programu kybernetickej bezpečnosti v oblasti výskumu a vývoja s cieľom vyvinúť multidisciplinárnym prístupom nové spoločné technológie, nástroje a zručnosti použiteľné v civilnom aj obrannom odvetví. Partnerstvá by sa mali financovať z existujúcich a nových nástrojov financovania pod záštitou Komisie. |
Pozmeňujúci návrh 13
Návrh smernice
Odôvodnenie 43
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(43) Riešenie kybernetickobezpečnostných rizík vyplývajúcich z dodávateľského reťazca subjektu a jeho vzťahu s dodávateľmi je obzvlášť dôležité vzhľadom na výskyt incidentov, keď sa subjekty stali obeťami kybernetických útokov a keď aktéri s nekalými úmyslami dokázali ohroziť bezpečnosť sietí a informačných systémov subjektu využívaním zraniteľností a zasiahnuť tak produkty a služby tretích strán. Subjekty by preto mali posúdiť a zohľadniť celkovú kvalitu produktov a postupy svojich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich bezpečných vývojových postupov. |
(43) Riešenie kybernetickobezpečnostných rizík vyplývajúcich z dodávateľského reťazca subjektu a jeho vzťahu s dodávateľmi je obzvlášť dôležité vzhľadom na výskyt incidentov, keď sa subjekty stali obeťami kybernetických útokov a keď aktéri s nekalými úmyslami dokázali ohroziť bezpečnosť sietí a informačných systémov subjektu využívaním zraniteľností a zasiahnuť tak produkty a služby tretích strán. Subjekty by preto mali posúdiť a zohľadniť celkovú kvalitu produktov a postupy svojich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich systémov riadenia rizík a bezpečných vývojových postupov v súlade s normami Únie v oblasti kybernetickej bezpečnosti. |
Pozmeňujúci návrh 14
Návrh smernice
Odôvodnenie 43 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(43a) Potenciálne netechnické rizikové faktory, ako je neprimeraný vplyv tretej krajiny na dodávateľov a poskytovateľov služieb, najmä v prípade alternatívnych modelov riadenia, zahŕňajú skryté zraniteľné miesta alebo zadné vrátka a potenciálne systémové narušenie dodávok, najmä v prípade technologického blokovania alebo závislosti od poskytovateľa. Keďže zneužitie zraniteľných miest v sektore obrany môže spôsobiť značné narušenie a škody, kybernetická bezpečnosť obranného priemyslu si vyžaduje osobitné opatrenia na zaistenie bezpečnosti dodávateľských reťazcov, najmä subjektov z nižších úrovní dodávateľských reťazcov, ktoré nevyžadujú prístup k utajovaným skutočnostiam, ale ktoré by mohli predstavovať vážne riziká pre celé odvetvie. Osobitná pozornosť by sa mala venovať vplyvu, ktorý by akékoľvek porušenie mohlo mať, a hrozbe akejkoľvek potenciálnej manipulácie so sieťovými údajmi, ktorá by mohla viesť k tomu, že by kritické obranné prostriedky boli zbytočné alebo by dokonca prevažovali nad príslušnými operačnými systémami, čím by sa stali zraniteľnými voči „únosu". |
Pozmeňujúci návrh 15
Návrh smernice
Odôvodnenie 46
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(46) V záujme ďalšieho riešenia rizík kľúčového dodávateľského reťazca a pomoci subjektom pôsobiacim v odvetviach, na ktoré sa vzťahuje táto smernica, pri náležitom riadení kybernetickobezpečnostných rizík súvisiacich s dodávateľským reťazcom a dodávateľmi, by skupina pre spoluprácu, do ktorej sú zapojené príslušné vnútroštátne orgány, mala v spolupráci s Komisiou a agentúrou ENISA vykonať koordinované odvetvové posúdenia rizík dodávateľského reťazca, ktoré sa už vykonali v prípade sietí 5G v nadväznosti na odporúčanie (EÚ) 2019/534 o kybernetickej bezpečnosti sietí 5G21 s cieľom identifikovať za každé odvetvie kritické služby, systémy alebo produkty IKT, relevantné hrozby a zraniteľnosti. |
(46) V záujme ďalšieho riešenia rizík kľúčového dodávateľského reťazca a pomoci subjektom pôsobiacim v odvetviach, na ktoré sa vzťahuje táto smernica, pri náležitom riadení kybernetickobezpečnostných rizík súvisiacich s dodávateľským reťazcom a dodávateľmi, by skupina pre spoluprácu, do ktorej sú zapojené príslušné vnútroštátne orgány, mala v spolupráci s Komisiou, agentúrou ENISA a Európskou službou pre vonkajšiu činnosť vykonať koordinované odvetvové posúdenia rizík dodávateľského reťazca, ktoré sa už vykonali v prípade sietí 5G v nadväznosti na odporúčanie (EÚ) 2019/534 o kybernetickej bezpečnosti sietí 5G21 s cieľom identifikovať za každé odvetvie kritické služby, systémy alebo produkty IKT, relevantné hrozby a zraniteľnosti. |
_________________ |
_________________ |
21 Odporúčanie Komisie (EÚ) 2019/534 z 26. marca 2019 Kybernetická bezpečnosť sietí 5G (Ú. v. EÚ L 88, 29.3.2019, s. 42). |
21 Odporúčanie Komisie (EÚ) 2019/534 z 26. marca 2019 Kybernetická bezpečnosť sietí 5G (Ú. v. EÚ L 88, 29.3.2019, s. 42). |
Pozmeňujúci návrh 16
Návrh smernice
Odôvodnenie 68
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(68) Subjekty by sa mali nabádať, aby kolektívne využívali svoje individuálne znalosti a praktické skúsenosti na strategickej, taktickej a operačnej úrovni s cieľom zlepšiť svoje schopnosti primerane posudzovať kybernetické hrozby, monitorovať ich, brániť sa proti nim a reagovať na ne. Preto treba umožniť, aby sa na úrovni Únie vytvorili mechanizmy dohôd o dobrovoľnom zdieľaní informácií. Na tento účel by členské štáty mali aktívne podporovať a podnecovať aj príslušné subjekty, na ktoré sa nevzťahuje rozsah pôsobnosti tejto smernice, aby sa na takýchto mechanizmoch zdieľania informácií zúčastňovali. Tieto mechanizmy by sa mali vykonávať v plnom súlade s pravidlami Únie týkajúcimi sa hospodárskej súťaže, ako aj právnymi predpismi Únie v oblasti ochrany údajov. |
(68) Subjekty by sa mali nabádať, aby kolektívne využívali svoje individuálne znalosti a praktické skúsenosti na strategickej, taktickej a operačnej úrovni s cieľom zlepšiť svoje schopnosti primerane posudzovať kybernetické hrozby, monitorovať ich, brániť sa proti nim a reagovať na ne. Preto treba umožniť, aby sa na úrovni Únie vytvorili mechanizmy dohôd o dobrovoľnom zdieľaní informácií. Na tento účel by členské štáty mali aktívne podporovať a podnecovať aj príslušné subjekty, na ktoré sa nevzťahuje rozsah pôsobnosti tejto smernice, aby sa na takýchto mechanizmoch zdieľania informácií zúčastňovali. Okrem toho by členské štáty mohli tiež preskúmať možnosť osloviť podobne zmýšľajúce partnerské krajiny. Tieto mechanizmy by sa mali vykonávať v plnom súlade s pravidlami Únie týkajúcimi sa hospodárskej súťaže, ako aj právnymi predpismi Únie v oblasti ochrany údajov. Na rovnaký účel by mali členské štáty podporovať príslušné orgány a jednotky CSIRT pri vytváraní bezplatných alebo dostupných programov pomoci v oblasti kybernetickej bezpečnosti, vzdelávania a auditov pre subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, najmä startupy, MSP a mimovládne organizácie (MVO). |
Pozmeňujúci návrh 17
Návrh smernice
Odôvodnenie 68 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(68a) Vzhľadom na to, že kybernetická bezpečnosť má civilný aj vojenský rozmer, mala by sa podporovať aj výmena informácií medzi sektormi (obrana, civilná oblasť, presadzovanie práva a vonkajšia činnosť). Spoločná kybernetická jednotka by mohla zohrávať dôležitú úlohu pri ochrane Únie pred kybernetickými útokmi tým, že by pomohla aktérom dosiahnuť spoločné chápanie oblasti hrozieb a koordinovať ich reakciu. |
Pozmeňujúci návrh 18
Návrh smernice
Odôvodnenie 73
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(73) Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ. Ak sa správne pokuty ukladajú osobám, ktoré nie sú podnikom, dozorný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby. Členské štáty by mali rozhodnúť, či orgány verejnej moci budú podliehať správnym pokutám a do akej miery. Uloženie správnej pokuty nemá vplyv na uplatňovanie iných právomocí príslušnými orgánmi alebo iných sankcií stanovených vo vnútroštátnych predpisoch, ktorými sa transponuje táto smernica. |
(73) Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ. Ak sa správne pokuty ukladajú osobám, ktoré nie sú podnikom, dozorný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby, bez toho, aby tým boli dotknuté ciele tejto smernice. Členské štáty by mali rozhodnúť, či orgány verejnej moci budú podliehať správnym pokutám a do akej miery. Uloženie správnej pokuty nemá vplyv na uplatňovanie iných právomocí príslušnými orgánmi alebo iných sankcií stanovených vo vnútroštátnych predpisoch, ktorými sa transponuje táto smernica. |
Pozmeňujúci návrh 19
Návrh smernice
Článok 5 – odsek 2 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) politiku zameranú na kybernetickú bezpečnosť v dodávateľskom reťazci produktov a služieb IKT, ktoré kľúčové a dôležité subjekty používajú na poskytovanie svojich služieb; |
a) politiku zameranú na kybernetickú bezpečnosť v dodávateľskom reťazci produktov a služieb IKT, ktoré kľúčové a dôležité subjekty používajú na poskytovanie svojich služieb, a to na základe komplexného posúdenia potenciálnych hrozieb pre dodávateľské reťazce; |
Pozmeňujúci návrh 20
Návrh smernice
Článok 5 – odsek 2 – písmeno b a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ba) politiku na podporu interoperability a dodržiavania spoločných noriem Únie v oblasti kybernetickej bezpečnosti; |
Pozmeňujúci návrh 21
Návrh smernice
Článok 5 – odsek 2 – písmeno d
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
d) politiku súvisiacu s udržaním všeobecnej dostupnosti a integrity verejného jadra otvoreného internetu; |
d) politiku súvisiacu s udržaním všeobecnej dostupnosti a integrity verejného jadra otvoreného internetu prípadne vrátane kybernetickej bezpečnosti podmorských komunikačných káblov; |
Pozmeňujúci návrh 22
Návrh smernice
Článok 5 – odsek 2 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) politiku podporovania akademických a výskumných inštitúcií pri vývoji nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry; |
f) politiku podporovania akademických a výskumných inštitúcií pri výskume v oblasti kybernetickej bezpečnosti a vývoji nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry; |
Pozmeňujúci návrh 23
Návrh smernice
Článok 5 – odsek 2 – písmeno h
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
h) politiku zameranú na špecifické potreby MSP, najmä tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám. |
h) politiku zameranú na špecifické potreby startupov, MSP a MVO, najmä tých, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám, reagovaní na kybernetickobezpečnostné incidenty a hľadaní pomoci v oblasti kybernetickej bezpečnosti; |
Pozmeňujúci návrh 24
Návrh smernice
Článok 5 – bod 2 – písmeno h a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ha) politiku na podporu používania a vývoja softvéru s otvoreným zdrojovým kódom. |
Pozmeňujúci návrh 25
Návrh smernice
Článok 6 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Každý členský štát určí jednu zo svojich jednotiek CSIRT v zmysle článku 9 za koordinátora na účely koordinovaného zverejňovania informácií o zraniteľnosti. Určená jednotka CSIRT koná ako dôveryhodný sprostredkovateľ, ktorý v prípade potreby uľahčuje interakciu medzi oznamujúcim subjektom a výrobcom alebo poskytovateľom produktov IKT alebo služieb IKT. Ak sa oznámená zraniteľnosť týka viacerých výrobcov alebo poskytovateľov produktov IKT alebo služieb IKT v celej Únii, určená jednotka CSIRT každého dotknutého členského štátu spolupracuje so sieťou jednotiek CSIRT. |
1. Každý členský štát určí jednu zo svojich jednotiek CSIRT v zmysle článku 9 za koordinátora na účely povinného zodpovedného zverejňovania informácií o zraniteľnosti. Určená jednotka CSIRT koná ako dôveryhodný sprostredkovateľ, ktorý v prípade potreby uľahčuje interakciu medzi oznamujúcim subjektom a výrobcom alebo poskytovateľom produktov IKT alebo služieb IKT. Ak sa oznámená zraniteľnosť týka viacerých výrobcov alebo poskytovateľov produktov IKT alebo služieb IKT v celej Únii, určená jednotka CSIRT každého dotknutého členského štátu spolupracuje so sieťou jednotiek CSIRT. |
Pozmeňujúci návrh 26
Návrh smernice
Článok 16 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Agentúra ENISA vytvorí a vedie európsky register zraniteľnosti. Na tento účel agentúra ENISA zriadi a udržiava vhodné informačné systémy, politiky a postupy, najmä s cieľom umožniť dôležitým a kľúčovým subjektom a ich dodávateľom sietí a informačných systémov zverejňovať a registrovať zraniteľnosti v produktoch IKT alebo službách IKT, ako aj poskytovať prístup k informáciám o zraniteľnosti nachádzajúcich sa v registri všetkým zainteresovaným stranám. Register obsahuje najmä informácie opisujúce zraniteľnosť, zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť, dostupnosť súvisiacich bezpečnostných záplat a v prípade, že žiadne nie sú k dispozícii, usmernenie pre používateľov zraniteľných produktov a služieb o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností. |
2. Agentúra ENISA vytvorí a vedie európsky register zraniteľnosti. Na tento účel agentúra ENISA zriadi a udržiava vhodné informačné systémy, politiky a postupy, najmä s cieľom umožniť dôležitým a kľúčovým subjektom a ich dodávateľom sietí a informačných systémov zverejňovať a registrovať zraniteľnosti v produktoch IKT alebo službách IKT, ako aj poskytovať prístup k informáciám o zraniteľnosti nachádzajúcich sa v registri všetkým zainteresovaným stranám. V súlade s článkom 10 ods. 2 jednotky CSIRT uľahčia prístup k informáciám o zraniteľných miestach zaregistrovaných v európskom registri zraniteľnosti spolu s pomocou na zmierňovanie rizika pre subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, najmä pre startupy, MSP a MVO. Register obsahuje najmä informácie opisujúce zraniteľnosť, zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť, dostupnosť súvisiacich bezpečnostných záplat a v prípade, že žiadne nie sú k dispozícii, usmernenie pre používateľov zraniteľných produktov a služieb o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností. |
Pozmeňujúci návrh 27
Návrh smernice
Článok 7 – odsek 3 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) vnútroštátne postupy a dojednania medzi príslušnými vnútroštátnymi orgánmi a inštitúciami s cieľom zabezpečiť účinnú účasť členského štátu na koordinovanom riadení kybernetickobezpečnostných incidentov a kríz veľkého rozsahu na úrovni Únie, ako aj jeho podporu tohto riadenia. |
f) vnútroštátne postupy a dojednania medzi príslušnými vnútroštátnymi orgánmi a inštitúciami s cieľom zabezpečiť účinnú účasť členského štátu na koordinovanom riadení kybernetickobezpečnostných incidentov a kríz veľkého rozsahu na úrovni Únie, ako aj jeho podporu tohto riadenia vrátane odoziev na relevantné žiadosti podľa doložky o solidarite. |
Pozmeňujúci návrh 28
Návrh smernice
Článok 7 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty oznámia Komisii určenie svojich príslušných orgánov uvedených v odseku 1 a predložia svoje vnútroštátne plány reakcie na kybernetickobezpečnostné incidenty a krízy uvedené v odseku 3 do troch mesiacov od tohto určenia a prijatia týchto plánov. Členské štáty môžu z plánu vylúčiť špecifické informácie, a to v takom prípade a takom rozsahu, v akom je to nevyhnutne potrebné pre ich národnú bezpečnosť. |
4. Členské štáty oznámia Komisii určenie svojich príslušných orgánov uvedených v odseku 1 a predložia svoje vnútroštátne plány reakcie na kybernetickobezpečnostné incidenty a krízy uvedené v odseku 3 do troch mesiacov od tohto určenia a prijatia týchto plánov. Členské štáty môžu z plánu vylúčiť špecifické informácie, a to v takom prípade a takom rozsahu, v akom je to nevyhnutne potrebné pre ich národnú bezpečnosť. V prípade kybernetickobezpečnostných incidentov a kríz veľkého rozsahu, ktoré sa týkajú viac ako jedného členského štátu a ktoré sú relevantné na úrovni Únie, sa zriadia primerané štruktúry pre krízové riadenie a správu. Takéto štruktúry organizujú výmenu informácií, koordináciu a spoluprácu so štruktúrami Únie pre riadenie vonkajšej bezpečnosti a vojenských kríz a orgánmi členských štátov zodpovednými za bezpečnosť a obranu. |
Pozmeňujúci návrh 29
Návrh smernice
Článok 9 – odsek 4 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
4a. Jednotky CSIRT spolupracujú a vymieňajú si relevantné informácie s vnútroštátnymi inštitúciami zodpovednými za udržiavanie verejnej bezpečnosti, obrany a národnej bezpečnosti. |
Pozmeňujúci návrh 30
Návrh smernice
Článok 9 – odsek 4 b (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
4b. Jednotky CSIRT spolupracujú a – bez toho, aby bolo dotknuté právo Únie, najmä nariadenie (EÚ) 2016/679 – vymieňajú si relevantné informácie o kybernetických hrozbách, zraniteľných miestach, najlepších postupoch a normách s dôveryhodnými tretími krajinami a medzinárodnými organizáciami. |
Pozmeňujúci návrh 31
Návrh smernice
Článok 9 – odsek 4 c (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
4c. Bez toho, aby bolo dotknuté právo Únie, najmä nariadenie (EÚ) 2016/679, poskytujú jednotky CSIRT kybernetickobezpečnostnú pomoc jednotkám CSIRT alebo rovnocenným štruktúram v kandidátskych krajinách Únie a ďalším tretím krajinám na západnom Balkáne a vo Východnom partnerstve. |
Pozmeňujúci návrh 32
Návrh smernice
Článok 10 – odsek 2 – písmeno e a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ea) vytvárajú bezplatné alebo dostupné programy pomoci v oblasti kybernetickej bezpečnosti, vzdelávania a auditov pre subjekty, ktoré nepatria do oblasti pôsobnosti tejto smernice, najmä startupy, malé a stredné podniky a mimovládne organizácie; |
Pozmeňujúci návrh 33
Návrh smernice
Článok 11 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty v rozsahu potrebnom na účinné plnenie úloh a povinností stanovených v tejto smernici zabezpečia primeranú spoluprácu medzi príslušnými orgánmi a jednotnými kontaktnými miestami, ako aj orgánmi presadzovania práva, orgánmi na ochranu údajov a orgánmi zodpovednými za kritickú infraštruktúru podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] a vnútroštátnymi finančnými orgánmi určenými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) XXXX/XXXX39 [nariadenie DORA] v rámci daného členského štátu. |
4. Členské štáty v rozsahu potrebnom na účinné plnenie úloh a povinností stanovených v tejto smernici zabezpečia primeranú spoluprácu medzi príslušnými orgánmi a jednotnými kontaktnými miestami, ako aj orgánmi presadzovania práva, úradmi na ochranu údajov, vnútroštátnymi orgánmi dohľadu pre umelú inteligenciu, príslušnými vnútroštátnymi orgánmi pre správu údajov a orgánmi zodpovednými za kritickú infraštruktúru podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] a vnútroštátnymi finančnými orgánmi určenými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) XXXX/XXXX39 [nariadenie DORA] v rámci daného členského štátu. |
_________________ |
_________________ |
39 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
39 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 34
Návrh smernice
Článok 12 – odsek 3 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Skupina pre spoluprácu sa skladá zo zástupcov členských štátov, Komisie a agentúry ENISA. Na činnostiach skupiny pre spoluprácu sa ako pozorovateľ zúčastňuje Európska služba pre vonkajšiu činnosť. Na činnostiach skupiny pre spoluprácu sa môžu zúčastňovať európske orgány dohľadu (ESA) v súlade s článkom 17 ods. 5 písm. c) nariadenia (EÚ) XXXX/XXXX [nariadenie DORA]. |
3. Skupina pre spoluprácu sa skladá zo zástupcov členských štátov, Komisie, siete EU-CyCLONe, agentúry ENISA a Európskej obrannej agentúry. Na činnostiach skupiny pre spoluprácu sa ako pozorovateľ zúčastňuje Európska služba pre vonkajšiu činnosť. Na činnostiach skupiny pre spoluprácu sa zúčastňujú vnútroštátne orgány dohľadu pre umelú inteligenciu, príslušné vnútroštátne orgány pre správu údajov a európske orgány dohľadu (ESA) v súlade s článkom 17 ods. 5 písm. c) nariadenia (EÚ) XXXX/XXXX [nariadenie DORA]. |
Pozmeňujúci návrh 35
Návrh smernice
Článok 12 – odsek 4 – písmeno e a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ea) zapájanie sa do spolupráce, vzájomnej pomoci a výmeny najlepších postupov a informácií s dôveryhodnými tretími krajinami a medzinárodnými organizáciami, bez toho, aby bolo dotknuté právo Únie; |
Pozmeňujúci návrh 36
Návrh smernice
Článok 13 – odsek 3 – písmeno k
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
k) spolupráca a výmena informácií s regionálnymi a únijnými centrami bezpečnostných operácií (SOC) s cieľom zlepšiť spoločné situačné povedomie o incidentoch a hrozbách v celej Únii; |
k) spolupráca a výmena informácií s regionálnymi a únijnými centrami bezpečnostných operácií (SOC), prípadne s vojenskými jednotkami CERT s cieľom zlepšiť spoločné situačné povedomie o incidentoch a hrozbách v celej Únii; |
Pozmeňujúci návrh 37
Návrh smernice
Článok 14 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Sieť EU-CyCLONe tvoria zástupcovia orgánov krízového riadenia členských štátov určených v súlade s článkom 7, Komisia a agentúra ENISA. Agentúra ENISA zabezpečuje sekretariát siete a podporuje bezpečnú výmenu informácií. |
2. Sieť EU-CyCLONe tvoria zástupcovia orgánov krízového riadenia členských štátov určených v súlade s článkom 7, Komisia, ESVČ a agentúra ENISA. Agentúra ENISA zabezpečuje sekretariát siete a podporuje bezpečnú výmenu informácií. Takýmto vnútroštátnym orgánom krízového riadenia poskytuje poradenstvo poradná skupina z prostredia občianskej spoločnosti. V prípade rozsiahlych kybernetických incidentov a kríz na úrovni Únie, ktoré sa týkajú viac ako jedného členského štátu, sa na úrovni Únie zriadi štruktúra pre krízové riadenie, do ktorej budú zapojení všetci relevantní aktéri. Táto štruktúra zahŕňa spoločnú kybernetickú jednotku, jednotky CSIRT, sieť jednotiek CSIRT, koordinačnú skupinu, zástupcov Komisie, ESVČ a ENISA. Pripravuje a vykonáva aj uplatnenie doložky o solidarite a jej používanie. |
Pozmeňujúci návrh 38
Návrh smernice
Článok 14 – odsek 3 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) zvyšovanie úrovne pripravenosti na riadenie incidentov a kríz veľkého rozsahu; |
a) zvyšovanie úrovne pripravenosti na riadenie incidentov a kríz veľkého rozsahu a nadväzovanie kontaktov s agentúrami členských štátov zodpovednými za štátnu bezpečnosť a územnú obranu; |
Pozmeňujúci návrh 39
Návrh smernice
Článok 17 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby členovia riadiaceho orgánu pravidelne absolvovali osobitnú odbornú prípravu s cieľom získať dostatočné znalosti a zručnosti s cieľom zachytiť a posúdiť riziká a postupy riadenia v oblasti kybernetickej bezpečnosti a ich vplyv na činnosť subjektu. |
2. Členské štáty zabezpečia, aby členovia riadiaceho orgánu pravidelne absolvovali osobitnú odbornú prípravu s cieľom získať dostatočné znalosti a zručnosti s cieľom zachytiť a posúdiť riziká a postupy riadenia v oblasti kybernetickej bezpečnosti a ich vplyv na činnosť subjektu. Členské štáty nabádajú kľúčové a dôležité subjekty, aby pravidelne vyhodnocovali členov riadiacich orgánov uvedených v odseku 1 tohto článku, pokiaľ ide o primeranosť ich zručností na zaistenie súladu s článkom 18. |
Pozmeňujúci návrh 40
Návrh smernice
Článok 18 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty zabezpečia, aby subjekty pri zvažovaní vhodných opatrení uvedených v odseku 2 písm. d) zohľadňovali zraniteľnosti špecifické pre každého dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a prax ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja. |
3. Členské štáty zabezpečia, aby subjekty pri zvažovaní vhodných opatrení uvedených v odseku 2 písm. d) zohľadňovali zraniteľnosti špecifické pre každého dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a prax ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja v súlade s normami a právom Únie v oblasti kybernetickej bezpečnosti a potenciálnych netechnických rizikových faktorov, ako sú skryté slabé miesta alebo „zadné vrátka“ a potenciálne systémové narušenia dodávok. |
Pozmeňujúci návrh 41
Návrh smernice
Článok 19 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Skupina pre spoluprácu môže v spolupráci s Komisiou a agentúrou ENISA vykonávať koordinované posúdenia bezpečnostného rizika dodávateľských reťazcov konkrétnych kritických služieb, systémov alebo produktov IKT, pričom zohľadní technické a prípadne aj netechnické faktory rizík. |
1. Skupina pre spoluprácu môže v spolupráci s Komisiou, agentúrou ENISA a Európskou službou pre vonkajšiu činnosť vykonávať koordinované posúdenia bezpečnostného rizika dodávateľských reťazcov konkrétnych kritických služieb, systémov alebo produktov IKT, pričom zohľadní technické a prípadne aj netechnické faktory rizík. |
Pozmeňujúci návrh 42
Návrh smernice
Článok 19 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Komisia po konzultácii so skupinou pre spoluprácu a agentúrou ENISA určí konkrétne kritické služby, systémy alebo produkty IKT, ktoré môžu podliehať koordinovanému posúdeniu rizika uvedenému v odseku 1. |
2. Komisia po konzultácii so skupinou pre spoluprácu, agentúrou ENISA a Európskou službou pre vonkajšiu činnosť určí konkrétne kritické služby, systémy alebo produkty IKT, ktoré môžu podliehať koordinovanému posúdeniu rizika uvedenému v odseku 1. |
Pozmeňujúci návrh 43
Návrh smernice
Článok 19 – odsek 2 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
2a. Po identifikácii rizík pre konkrétne kritické služby IKT, systémy alebo výrobné dodávateľské reťazce Komisia po konzultácii so skupinou pre spoluprácu, agentúrou ENISA a Európskou službou pre vonkajšiu činnosť vydá členským štátom a príslušným vnútroštátnym orgánom vymedzeným v tomto nariadení odporúčania s cieľom vyriešiť identifikované riziká a zvýšiť odolnosť voči nim. |
Pozmeňujúci návrh 44
Návrh smernice
Článok 25 – odsek 1 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) informácie o riadiacom orgáne zodpovednom za opatrenia na riadenie kybernetickobezpečnostných rizík stanovené v článku 18 v súlade s článkom 17; |
Pozmeňujúci návrh 45
Návrh smernice
Článok 29 – odsek 2 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom; |
c) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom vrátane rizík súvisiacich s dodávateľskými reťazcami vymedzenými v článku 18 ods. 3; |
Pozmeňujúci návrh 46
Návrh smernice
Článok 30 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom; |
b) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom vrátane rizík súvisiacich s dodávateľskými reťazcami vymedzenými v článku 18 ods. 3; |
Pozmeňujúci návrh 47
Návrh smernice
Príloha I — Kľúčové subjekty: Odvetvia, pododvetvia a typy subjektov – Odvetvie 6 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
6a. Vzdelávanie a výskum – inštitúcie vysokoškolského vzdelávania a výskumné inštitúcie |
Pozmeňujúci návrh 48
Návrh smernice
Príloha I — KĽÚČOVÉ SUBJEKTY: ODVETVIA, PODODVETVIA A TYPY SUBJEKTOV – Odvetvie 9 Verejná správa – Typ subjektu
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
– Subjekty verejnej správy na úrovni ústrednej štátnej správy |
– Subjekty verejnej správy na úrovni ústrednej štátnej správy |
– Subjekty verejnej správy v regiónoch úrovne NUTS 1 uvedených v prílohe I k nariadeniu (ES) č. 1059/2003 (27) |
– Subjekty verejnej správy v regiónoch úrovne NUTS 1 uvedených v prílohe I k nariadeniu (ES) č. 1059/2003 (27, 27 a (nový)) |
– Subjekty verejnej správy v regiónoch úrovne NUTS 2 uvedených v prílohe I k nariadeniu (ES) č. 1059/2003 |
– Subjekty verejnej správy v regiónoch úrovne NUTS 2 uvedených v prílohe I k nariadeniu (ES) č. 1059/2003 (27 b (nový)) |
__________________ |
__________________ |
27 Nariadenie Európskeho parlamentu a Rady (ES) č. 1059/2003 z 26. mája 2003 o zostavení spoločnej nomenklatúry územných jednotiek pre štatistické účely (NUTS) (Ú. v. EÚ L 154, 21.6.2003, s. 1). |
27 Nariadenie Európskeho parlamentu a Rady (ES) č. 1059/2003 z 26. mája 2003 o zostavení spoločnej nomenklatúry územných jednotiek pre štatistické účely (NUTS) (Ú. v. EÚ L 154, 21.6.2003, s. 1). |
|
27 a (nový) Alebo ekvivalentné administratívne jednotky v členských štátoch, v ktorých klasifikácia NUTS ešte nie je zohľadnená v inštitucionálnej administratívnej štruktúre. |
|
27 a (nový) Alebo ekvivalentné administratívne jednotky v členských štátoch, v ktorých klasifikácia NUTS ešte nie je zohľadnená v inštitucionálnej administratívnej štruktúre. |
POSTUP VÝBORU POŽIADANÉHO O STANOVISKO
Názov |
Opatrenia na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a zrušenie smernice (EÚ) 2016/1148 |
|||
Referenčné čísla |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Gestorský výbor dátum oznámenia na schôdzi |
ITRE 21.1.2021 |
|
|
|
Výbor požiadaný o stanovisko dátum oznámenia na schôdzi |
AFET 21.1.2021 |
|||
Spravodajkyňa výboru požiadaného o stanovisko dátum vymenovania |
Markéta Gregorová 22.2.2021 |
|||
Prerokovanie vo výbore |
25.5.2021 |
16.6.2021 |
17.6.2021 |
|
Dátum prijatia |
14.7.2021 |
|
|
|
Výsledok záverečného hlasovania |
+: –: 0: |
59 5 6 |
||
Poslanci prítomní na záverečnom hlasovaní |
Alviina Alametsä, Alexander Alexandrov Yordanov, Maria Arena, Petras Auštrevičius, Traian Băsescu, Anna Bonfrisco, Reinhard Bütikofer, Fabio Massimo Castaldo, Susanna Ceccardi, Włodzimierz Cimoszewicz, Katalin Cseh, Tanja Fajon, Anna Fotyga, Michael Gahler, Giorgos Georgiou, Sunčana Glavak, Raphaël Glucksmann, Klemen Grošelj, Bernard Guetta, Márton Gyöngyösi, Andrzej Halicki, Sandra Kalniete, Dietmar Köster, Maximilian Krah, Andrius Kubilius, Ilhan Kyuchyuk, David Lega, Miriam Lexmann, Nathalie Loiseau, Antonio López-Istúriz White, Jaak Madison, Claudiu Manda, Thierry Mariani, Vangelis Meimarakis, Sven Mikser, Francisco José Millán Mon, Javier Nart, Urmas Paet, Demetris Papadakis, Kostas Papadakis, Tonino Picula, Manu Pineda, Giuliano Pisapia, Thijs Reuten, Jérôme Rivière, María Soraya Rodríguez Ramos, Nacho Sánchez Amor, Isabel Santos, Jacek Saryusz-Wolski, Andreas Schieder, Radosław Sikorski, Jordi Solé, Sergei Stanishev, Tineke Strik, Hermann Tertsch, Hilde Vautmans, Harald Vilimsky, Idoia Villanueva Ruiz, Viola Von Cramon-Taubadel, Thomas Waitz, Witold Jan Waszczykowski, Charlie Weimers, Isabel Wiseler-Lima, Salima Yenbou, Željana Zovko |
|||
Náhradníci prítomní na záverečnom hlasovaní |
Ioan-Rareş Bogdan, Andrey Kovatchev, Marisa Matias, Gabriel Mato, Milan Zver |
|||
ZÁVEREČNÉ HLASOVANIE PODĽA MIEN VO VÝBORE POŽIADANOM O STANOVISKO
59 |
+ |
ECR |
Anna Fotyga, Jacek Saryusz-Wolski, Hermann Tertsch, Witold Jan Waszczykowski |
ID |
Anna Bonfrisco, Susanna Ceccardi |
NI |
Fabio Massimo Castaldo, Márton Gyöngyösi |
PPE |
Alexander Alexandrov Yordanov, Traian Băsescu, Ioan-Rareş Bogdan, Michael Gahler, Sunčana Glavak, Andrzej Halicki, Sandra Kalniete, Andrey Kovatchev, Andrius Kubilius, David Lega, Miriam Lexmann, Antonio López-Istúriz White, Gabriel Mato, Vangelis Meimarakis, Francisco José Millán Mon, Radosław Sikorski, Isabel Wiseler-Lima, Željana Zovko, Milan Zver |
Renew |
Petras Auštrevičius, Katalin Cseh, Klemen Grošelj, Bernard Guetta, Ilhan Kyuchyuk, Nathalie Loiseau, Javier Nart, Urmas Paet, María Soraya Rodríguez Ramos, Hilde Vautmans |
S&D |
Maria Arena, Włodzimierz Cimoszewicz, Tanja Fajon, Raphaël Glucksmann, Dietmar Köster, Claudiu Manda, Sven Mikser, Demetris Papadakis, Tonino Picula, Giuliano Pisapia, Thijs Reuten, Nacho Sánchez Amor, Isabel Santos, Andreas Schieder, Sergei Stanishev |
Verts/ALE |
Alviina Alametsä, Reinhard Bütikofer, Jordi Solé, Tineke Strik, Viola Von Cramon-Taubadel, Thomas Waitz, Salima Yenbou |
5 |
- |
NI |
Kostas Papadakis |
The Left |
Giorgos Georgiou, Marisa Matias, Manu Pineda, Idoia Villanueva Ruiz |
6 |
0 |
ECR |
Charlie Weimers |
ID |
Maximilian Krah, Jaak Madison, Thierry Mariani, Jérôme Rivière, Harald Vilimsky |
Vysvetlenie použitých znakov:
+ : za
- : proti
0 : zdržali sa hlasovania
STANOVISKO VÝBORU PRE VNÚTORNÝ TRH A OCHRANU SPOTREBITEĽA (14.7.2021)
pre Výbor pre priemysel, výskum a energetiku
k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148
(COM(2020)0823 – C9‑0422/2020 – 2020/0359(COD))
Spravodajca výboru požiadaného o stanovisko: Morten Løkkegaard
STRUČNÉ ODÔVODNENIE
Spravodajca vo všeobecnosti víta legislatívny návrh smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (smernica NIS 2). Spravodajca sa domnieva, že v čoraz viac digitalizovanom svete je bezpečnosť online kľúčom k zaručeniu bezpečného digitálneho prostredia, ako aj fungovania jednotného trhu, na ktorom môžu spotrebitelia a hospodárske subjekty konať slobodne.
Návrh smernice NIS 2 predstavuje v porovnaní so smernicou (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (smernica NIS 1) výrazné zlepšenie. Vymenúvajú sa v ňom kľúčové nedostatky smernice NIS 1, ako je nízka úroveň kybernetickej odolnosti podnikov a odvetví, ako aj nejednotná úroveň odolnosti a nízka úroveň spoločnej situačnej informovanosti a reakcie na krízu v členských štátoch a medzi nimi. Spravodajca víta ambíciu napraviť tieto nedostatky v smernici NIS 2.
Rozsah pôsobnosti
Spravodajca oceňuje rozšírený rozsah pôsobnosti návrhu smernice NIS 2, najmä začlenenie nových odvetví, ako napríklad verejnej správy. Presným zoznamom začlenených odvetví a služieb sa určite zúži priestor na voľné konanie členských štátov pri vymedzovaní konkrétnych subjektov, na ktoré sa smernica vzťahuje, a následne zníži miera fragmentácie na jednotnom trhu.
V rámci príslušných odvetví a služieb Komisia navrhla pravidlo obmedzenia veľkosti ako jednotné kritérium na určenie subjektov, ktoré patria do rozsahu pôsobnosti smernice. Toto kritérium nepochybne predstavuje výhodu, ktorá spočíva v zabezpečení právnej istoty a zároveň v znižovaní rozdielov medzi členskými štátmi.
Aj keď spravodajca víta rozšírený rozsah pôsobnosti založený na odvetviach, zastáva názor, že toto všeobecné kritérium by sa malo kombinovať s posúdením kritickosti subjektov v jednotlivých odvetviach. To by umožnilo vyňať z rozsahu pôsobnosti smernice stredné a veľké subjekty, ktoré sa na základe posúdenia rizika budú považovať za subjekty s nízkou úrovňou kritickosti a závislosti od inak kritických subjektov.
Spravodajca zdôrazňuje, že by sa to nemalo považovať za otvorené dvere pre rozdielne výklady medzi členskými štátmi. Aby sa zabezpečilo, že sa tým nezvýši nejednotnosť vykonávania v jednotlivých členských štátoch, Komisia by k tomu mala vydať jasné usmernenie.
A napokon, aj keď spravodajca víta vylúčenie mikropodnikov a malých podnikov z rozsahu pôsobnosti, domnieva sa, že je potrebné podporiť ich dobrovoľné začlenenie, pretože mikrosubjekty a malé subjekty sa takisto stávajú terčom kybernetických útokov a sú nimi ovplyvnené.
Koordinované regulačné rámce kybernetickej bezpečnosti
Spravodajca víta kapitolu, v ktorej sa vymedzujú rôzne prvky národných stratégií kybernetickej bezpečnosti a ich nástrojov krízového riadenia. V rámci jednotlivých národných stratégií kybernetickej bezpečnosti sa navrhuje, aby členské štáty prijali politiku podporovania používania kryptografie a šifrovania, najmä medzi MSP.
Spravodajca víta vytvorenie európskeho registra zraniteľností agentúrou ENISA, domnieva sa však, že je dôležité, aby sa pri registrácii zachovávala dôvernosť obchodných informácií a obchodné tajomstvá a aby sa ňou subjekty zbytočne nezaťažovali.
Spolupráca medzi členskými štátmi
Štruktúrovanejšia spolupráca medzi členskými štátmi v rámci skupiny pre spoluprácu, siete jednotiek CSIRT a novovytvorenej skupiny pre incidenty veľkého rozsahu v smernici NIS 2 je osobitne vítaná. Treba však zabezpečiť, aby sa medzi členskými štátmi zvýšila úroveň dôvery a ochoty vymieňať si informácie, pretože účinnosť tejto spolupráce zohráva kľúčovú úlohu pri zabezpečovaní vysokej úrovne kybernetickej bezpečnosti v EÚ.
V tomto zmysle bolo vypracovaných niekoľko pozmeňujúcich návrhov na posilnenie úlohy sietí. Za účinný spôsob, ako zvýšiť spoločnú dôveru členských štátov, spravodajca považuje predovšetkým partnerské preskúmania a domnieva sa, že by mali zohrávať rozhodujúcu úlohu pri posudzovaní účinnosti politík jednotlivých členských štátov v oblasti kybernetickej bezpečnosti.
Riadenie kybernetickobezpečnostných rizík
Spravodajca oceňuje rozšírenie posúdenia rizika na celý dodávateľský reťazec (články 18 a 19), zdôrazňuje však, že je potrebné tento bod objasniť, aby bolo možné poskytnúť jasné usmernenie subjektom, na ktoré sa táto požiadavka vzťahuje, a členským štátom pri vykonávaní koordinovaného hodnotenia bezpečnostných rizík v konkrétnych kritických odvetviach alebo dodávateľských reťazcoch.
Oznamovacie povinnosti
Spravodajca sa domnieva, že treba lepšie objasniť konkrétne body revidovanej smernice, najmä pokiaľ ide o niektoré povinnosti uložené spoločnostiam, ktoré patria do rozsahu pôsobnosti smernice NIS 2. Spravodajca sa pokúsil znížiť byrokraciu a uľahčiť podnikom dodržiavanie nových pravidiel so zreteľom na konečný cieľ, ktorým je účinné vykonávanie smernice.
Spravodajca navrhuje predĺžiť navrhovanú lehotu 24 hodín pri oznamovacej povinnosti v prípade prvého oznámenia na 72 hodín, aby spoločnosti mohli účinne riešiť prebiehajúci kybernetický útok predtým, než podajú oznámenie. Ďalej sa navrhuje odstrániť všetky odkazy na povinné oznamovanie takzvaných potenciálnych incidentov, pričom sa umožní ich dobrovoľné oznamovanie.
POZMEŇUJÚCE NÁVRHY
Výbor pre vnútorný trh a ochranu spotrebiteľa vyzýva Výbor pre priemysel, výskum a energetiku, aby ako gestorský výbor vzal do úvahy tieto pozmeňujúce návrhy:
Pozmeňujúci návrh 1
Návrh smernice
Odôvodnenie 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(5) Všetky tieto rozdiely spôsobujú fragmentáciu vnútorného trhu a môžu mať škodlivý vplyv na jeho fungovanie, a to najmä pokiaľ ide o cezhraničné poskytovanie služieb a úroveň kybernetickobezpečnostnej odolnosti v dôsledku uplatňovania rôznych noriem. Cieľom tejto smernice je odstrániť takéto veľké rozdiely medzi členskými štátmi, a to najmä stanovením minimálnych pravidiel týkajúcich sa fungovania koordinovaného regulačného rámca, stanovením mechanizmov účinnej spolupráce medzi zodpovednými orgánmi v každom členskom štáte, aktualizáciou zoznamu odvetví a činností podliehajúcich povinnostiam v oblasti kybernetickej bezpečnosti a poskytnutím účinných nápravných opatrení a sankcií, ktoré sú nevyhnutné na účinné presadzovanie týchto povinností. Smernica (EÚ) 2016/1148 by sa preto mala zrušiť a nahradiť touto smernicou. |
(5) Všetky tieto rozdiely spôsobujú fragmentáciu vnútorného trhu a môžu mať škodlivý vplyv na jeho fungovanie, a to najmä pokiaľ ide o cezhraničné poskytovanie služieb a úroveň kybernetickobezpečnostnej odolnosti v dôsledku uplatňovania rôznych noriem. Cieľom tejto smernice je odstrániť takéto veľké rozdiely medzi členskými štátmi a posilniť vnútorný trh, a to najmä stanovením minimálnych pravidiel týkajúcich sa fungovania koordinovaného regulačného rámca, stanovením mechanizmov účinnej spolupráce medzi zodpovednými orgánmi v každom členskom štáte, aktualizáciou zoznamu odvetví a činností podliehajúcich povinnostiam v oblasti kybernetickej bezpečnosti a poskytnutím účinných nápravných opatrení a sankcií, ktoré sú nevyhnutné na účinné presadzovanie týchto povinností. Smernica (EÚ) 2016/1148 by sa preto mala zrušiť a nahradiť touto smernicou. |
Pozmeňujúci návrh 2
Návrh smernice
Odôvodnenie 6 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(6a) Touto smernicou nie sú dotknuté pravidlá ustanovené právnymi predpismi Únie o ochrane osobných údajov. |
Pozmeňujúci návrh 3
Návrh smernice
Odôvodnenie 9
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(9) Táto smernica by sa však mala vzťahovať aj na malé subjekty alebo mikrosubjekty spĺňajúce určité kritériá, ktoré sú ukazovateľom kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov alebo pre určité odvetvia či druhy služieb. Členské štáty by mali byť zodpovedné za vypracovanie zoznamu takýchto subjektov a mali by ho predložiť Komisii. |
(9) Táto smernica by sa však mala vzťahovať aj na malé subjekty alebo mikrosubjekty spĺňajúce určité kritériá, ktoré sú ukazovateľom kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov alebo pre určité odvetvia či druhy služieb. Členské štáty by mali byť zodpovedné za vypracovanie zoznamu takýchto subjektov a mali by ho predložiť Komisii. Komisia by mala poskytnúť jasné usmernenia týkajúce sa kritérií na stanovenie toho, ktoré malé subjekty alebo mikrosubjekty sú kľúčové alebo dôležité, najmä ak poskytujú služby vo viacerých členských štátoch. |
Pozmeňujúci návrh 4
Návrh smernice
Odôvodnenie 10
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(10) Komisia môže v spolupráci so skupinou pre spoluprácu vydať usmernenia o vykonávaní kritérií uplatniteľných na mikropodniky a malé podniky. |
(10) Komisia by mala v spolupráci so skupinou pre spoluprácu vydať usmernenia o vykonávaní kritérií uplatniteľných na mikropodniky a malé podniky. |
Pozmeňujúci návrh 5
Návrh smernice
Odôvodnenie 12 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(12a) Rozšírenie rozsahu pôsobnosti tejto smernice zahŕňa aj subjekty, na ktoré sa vzťahuje odvetvová regulácia. Komisia by mala zabezpečiť, aby boli akty špecifické pre jednotlivé odvetvia, podľa ktorých sú kľúčové alebo dôležité subjekty povinné prijať opatrenia na riadenie kybernetickobezpečnostných rizík alebo oznamovať incidenty alebo významné kybernetické hrozby, v súlade s touto smernicou, aby sa zabránilo akejkoľvek regulačnej duplicite alebo záťaži. |
Pozmeňujúci návrh 6
Návrh smernice
Odôvodnenie 12 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(12b) Komisia by mala uverejniť jasné usmernenia pripojené k tejto smernici, aby pomohla zaručiť harmonizáciu vykonávania v členských štátoch a zabrániť fragmentácii. |
Pozmeňujúci návrh 7
Návrh smernice
Odôvodnenie 12 c (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(12c) Komisia by tiež mala vydať usmernenia na podporu členských štátov pri správnom vykonávaní ustanovení o rozsahu pôsobnosti a na hodnotenie primeranosti povinností stanovených v tejto smernici so zreteľom na kritickosť subjektov patriacich do rozsahu pôsobnosti, najmä keď sa uplatňuje na subjekty s komplexnými obchodnými modelmi alebo prevádzkovým prostredím, pričom subjekt môže súčasne spĺňať kritériá určené pre kľúčové aj dôležité subjekty, alebo môže súčasne vykonávať činnosti, z ktorých niektoré patria do rozsahu pôsobnosti tejto smernice a niektoré nie. V prípadoch, keď je hlavná činnosť subjektov mimo rozsahu pôsobnosti tejto smernice, ale iná vedľajšia činnosť patrí do jej rozsahu pôsobnosti, by sa mali ustanovenia uplatňovať len na tú úroveň funkcie alebo jednotky v rámci subjektu, ktorá patrí do rozsahu pôsobnosti tejto smernice. |
Pozmeňujúci návrh 8
Návrh smernice
Odôvodnenie 14
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(14) Vzhľadom na prepojenia medzi kybernetickou bezpečnosťou a fyzickou bezpečnosťou subjektov by sa mal zabezpečiť jednotný prístup medzi smernicou Európskeho parlamentu a Rady (EÚ) XXX/XXX17 a touto smernicou. Na dosiahnutie tohto cieľa by členské štáty mali zabezpečiť, aby sa kritické subjekty (a rovnocenné subjekty) podľa smernice (EÚ) XXX/XXX považovali za kľúčové subjekty podľa tejto smernice. Členské štáty by tiež mali zabezpečiť, aby ich stratégie kybernetickej bezpečnosti poskytovali politický rámec pre posilnenú koordináciu medzi príslušným orgánom podľa tejto smernice a príslušným orgánom podľa smernice (EÚ) XXX/XXX v kontexte zdieľania informácií o incidentoch a kybernetických hrozbách, ako aj vykonávania úloh dohľadu. Orgány, na ktoré sa obe smernice vzťahujú, by mali spolupracovať a vymieňať si informácie, najmä pokiaľ ide o identifikáciu kritických subjektov, kybernetické hrozby, kybernetickobezpečnostné riziká, incidenty ovplyvňujúce kritické subjekty, ako aj o kybernetickobezpečnostných opatreniach prijatých kritickými subjektmi. Príslušné orgány podľa tejto smernice by na žiadosť príslušných orgánov podľa smernice (EÚ) XXX/XXX mali byť oprávnené vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický subjekt. Na tento účel by oba orgány mali spolupracovať a vymieňať si informácie. |
(14) Vzhľadom na prepojenia medzi kybernetickou bezpečnosťou a fyzickou bezpečnosťou subjektov by sa mal zabezpečiť jednotný prístup medzi smernicou Európskeho parlamentu a Rady (EÚ) XXX/XXX17 a touto smernicou. Na dosiahnutie tohto cieľa by členské štáty mali zabezpečiť, aby sa kritické subjekty (a rovnocenné subjekty) podľa smernice (EÚ) XXX/XXX považovali za kľúčové subjekty podľa tejto smernice. Členské štáty by tiež mali zabezpečiť, aby ich národné stratégie kybernetickej bezpečnosti poskytovali politický rámec pre posilnenú koordináciu medzi príslušným orgánom podľa tejto smernice a príslušným orgánom podľa smernice (EÚ) XXX/XXX v kontexte oznamovania incidentov, zdieľania informácií o incidentoch, udalostiach odvrátených v poslednej chvíli a kybernetických hrozbách, ako aj vykonávania úloh dohľadu. Orgány, na ktoré sa obe smernice vzťahujú, by mali spolupracovať a vymieňať si informácie, najmä pokiaľ ide o identifikáciu kritických subjektov, kybernetické hrozby, kybernetickobezpečnostné riziká, incidenty ovplyvňujúce kritické subjekty, ako aj o kybernetickobezpečnostných opatreniach prijatých kritickými subjektmi. Príslušné orgány podľa tejto smernice by na žiadosť príslušných orgánov podľa smernice (EÚ) XXX/XXX mali byť oprávnené vykonávať svoje právomoci v oblasti dohľadu a presadzovania práva vo vzťahu ku kľúčovému subjektu identifikovanému ako kritický subjekt. Na tento účel by oba orgány mali spolupracovať a vymieňať si informácie. |
__________________ |
__________________ |
17 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
17 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 9
Návrh smernice
Odôvodnenie 15
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(15) Potvrdenie a udržanie spoľahlivého, odolného a bezpečného systému doménových mien (DNS) je kľúčovým faktorom zachovania integrity internetu a je nevyhnutné pre jeho nepretržité a stabilné fungovanie, od ktorého závisí digitálne hospodárstvo a spoločnosť. Táto smernica by sa preto mala vzťahovať na všetkých poskytovateľov služieb DNS v rozlišovacom reťazci DNS vrátane prevádzkovateľov koreňových menných serverov, menných serverov domén najvyššej úrovne (TLD), autoritatívnych menných serverov pre doménové mená a rekurzívne resolvery. |
(15) Potvrdenie a udržanie spoľahlivého, odolného a bezpečného systému doménových mien (DNS) je kľúčovým faktorom zachovania integrity internetu a je nevyhnutné pre jeho nepretržité a stabilné fungovanie, od ktorého závisí digitálne hospodárstvo, vnútorný trh a spoločnosť. Táto smernica by sa preto mala vzťahovať na všetkých poskytovateľov služieb DNS v rozlišovacom reťazci DNS vrátane prevádzkovateľov koreňových menných serverov, menných serverov domén najvyššej úrovne (TLD), autoritatívnych menných serverov pre doménové mená a rekurzívne resolvery, poskytovateľov registračných služieb v oblasti ochrany osobných údajov alebo proxy serverov, sprostredkovateľov alebo ďalších predajcov domén a všetky ďalšie služby súvisiace s registráciou doménových mien. |
Pozmeňujúci návrh 10
Návrh smernice
Odôvodnenie 20
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(20) Táto rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach energetiky, dopravy, digitálnej infraštruktúry, pitnej a odpadovej vody, zdravia, určitých aspektov verejnej správy, ako aj kozmického priestoru, pokiaľ ide o poskytovanie určitých služieb v závislosti od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahujú na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírnych programov. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu. Pandémia ochorenia COVID-19 ukázala zraniteľnosť našich čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou. |
(20) Táto rastúca previazanosť je výsledkom čoraz väčšej cezhraničnej a previazanej siete poskytovania služieb s využitím kľúčových infraštruktúr v celej Únii v odvetviach energetiky, dopravy, digitálnej infraštruktúry, pitnej a odpadovej vody, zdravia, určitých aspektov verejnej správy, ako aj kozmického priestoru, pokiaľ ide o poskytovanie určitých služieb v závislosti od pozemných infraštruktúr, ktoré vlastnia, spravujú a prevádzkujú členské štáty alebo súkromné strany, a preto sa nevzťahujú na infraštruktúry vlastnené, spravované alebo prevádzkované Úniou alebo v jej mene ako súčasť jej vesmírnych programov. Táto previazanosť znamená, že akékoľvek narušenie, dokonca aj také, ktoré sa pôvodne obmedzovalo na jeden subjekt alebo jedno odvetvie, môže mať širšie kaskádovité účinky, čo môže viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu. Pandémia ochorenia COVID-19 ukázala zraniteľnosť našich čoraz previazanejších spoločností voči rizikám s nízkou pravdepodobnosťou a poukázala na potrebu chrániť vnútorný trh prostredníctvom spoločných stratégií a opatrení na úrovni Únie. |
Pozmeňujúci návrh 11
Návrh smernice
Odôvodnenie 23
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(23) Príslušné orgány alebo jednotky CSIRT by mali dostávať oznámenia o incidentoch od subjektov účinným a efektívnym spôsobom. Malo by byť úlohou jednotných kontaktných miest postupovať oznámenia o incidentoch jednotným kontaktným miestam ostatných dotknutých členských štátov. Na úrovni orgánov členských štátov by na zabezpečenie jedného kontaktného bodu v každom členskom štáte mali byť jednotné kontaktné miesta aj adresátmi relevantných informácií o incidentoch týkajúcich sa subjektov finančného odvetvia od príslušných orgánov podľa nariadenia XXXX/XXXX, ktoré by mali byť podľa potreby schopné postúpiť príslušným vnútroštátnym orgánom alebo jednotkám CSIRT podľa tejto smernice. |
(23) Príslušné orgány alebo jednotky CSIRT by mali dostávať oznámenia o incidentoch od subjektov štandardizovaným, účinným a efektívnym spôsobom. Malo by byť úlohou jednotných kontaktných miest postupovať oznámenia o incidentoch jednotným kontaktným miestam ostatných dotknutých členských štátov. Na zabezpečenie jedného kontaktného bodu v každom členskom štáte mali byť jednotné kontaktné miesta aj adresátmi relevantných informácií o incidentoch týkajúcich sa subjektov finančného odvetvia od príslušných orgánov podľa nariadenia XXXX/XXXX, ktoré by mali byť podľa potreby schopné postúpiť príslušným vnútroštátnym orgánom alebo jednotkám CSIRT podľa tejto smernice. |
Pozmeňujúci návrh 12
Návrh smernice
Odôvodnenie 25
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(25) Pokiaľ ide o osobné údaje, jednotky CSIRT by mali mať možnosť vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/67919 v mene subjektu a na jeho žiadosť podľa tejto smernice proaktívnu kontrolu sietí a informačných systémov používaných na poskytovanie jeho služieb. Členské štáty by sa mali zamerať na zabezpečenie rovnakej úrovne technických kapacít pre všetky odvetvové jednotky CSIRT. Členské štáty môžu pri tvorbe vnútroštátnych jednotiek CSIRT požiadať o pomoc Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA). |
(25) Aby mohli jednotky CSIRT odhaľovať a zmierňovať konkrétne hrozby, pokiaľ ide o osobné údaje, a predchádzať im, mali by mať možnosť vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/67919 v mene subjektu a na jeho žiadosť podľa tejto smernice kontrolu sietí a informačných systémov používaných na poskytovanie jeho služieb. Členské štáty by sa mali zamerať na zabezpečenie rovnakej úrovne technických kapacít pre všetky odvetvové jednotky CSIRT. Členské štáty môžu pri tvorbe vnútroštátnych jednotiek CSIRT požiadať o pomoc Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA). |
__________________ |
__________________ |
19 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1). |
19 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1). |
Pozmeňujúci návrh 13
Návrh smernice
Odôvodnenie 26 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(26a) Členské štáty by mali v rámci svojich národných stratégií kybernetickej bezpečnosti prijať opatrenia na podporu a integráciu inteligentných systémov pri predchádzaní kybernetickobezpečnostným incidentom a hrozbám a ich odhaľovaní. Členské štáty by mali v súlade so svojimi národnými stratégiami kybernetickej bezpečnosti zaviesť opatrenia zamerané na zvyšovanie povedomia o kybernetickej bezpečnosti a kybernetickú gramotnosť s cieľom chrániť spotrebiteľov. Členské štáty by mali pri prijímaní národných stratégií kybernetickej bezpečnosti zabezpečiť politické rámce upravujúce zákonný prístup k informáciám. |
Pozmeňujúci návrh 14
Návrh smernice
Odôvodnenie 27
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(27) V súlade s prílohou k odporúčaniu Komisie (EÚ) 2017/1548 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (ďalej len „koncepcia“)20 by incident veľkého rozsahu mal znamenať incident s významným dosahom na najmenej dva členské štáty alebo ktorý svojím narušením presahuje schopnosť členského štátu reagovať naň. Incidenty veľkého rozsahu sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii. |
(27) V súlade s prílohou k odporúčaniu Komisie (EÚ) 2017/1548 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (ďalej len „koncepcia“)20 by incident veľkého rozsahu mal znamenať incident s významným dosahom na najmenej dva členské štáty alebo ktorý svojím narušením presahuje schopnosť členského štátu reagovať naň, a tým ohrozuje vnútorný trh. Incidenty veľkého rozsahu sa v závislosti od svojej príčiny a dosahu môžu vystupňovať a naplno prepuknúť v krízu, ktorá neumožňuje riadne fungovanie vnútorného trhu. Vzhľadom na široký rozsah a vo väčšine prípadov cezhraničný charakter takýchto incidentov by členské štáty a príslušné inštitúcie, orgány a agentúry Únie mali spolupracovať na technickej, prevádzkovej a politickej úrovni s cieľom riadne koordinovať reakciu v celej Únii. |
__________________ |
__________________ |
20 Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36). |
20 Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36). |
Pozmeňujúci návrh 15
Návrh smernice
Odôvodnenie 28
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(28) Keďže využívanie zraniteľností v sieťach a informačných systémoch môže spôsobiť značné narušenie a škody, rýchla identifikácia a náprava týchto zraniteľností je dôležitým faktorom pri znižovaní kybernetickobezpečnostného rizika. Subjekty, ktoré takéto systémy vyvíjajú, by preto mali zaviesť vhodné postupy na riešenie zistených zraniteľností. Keďže zraniteľnosti často odhaľujú a oznamujú (zverejňujú) tretie strany (oznamujúce subjekty), výrobca alebo poskytovateľ produktov alebo služieb IKT by mal zaviesť aj potrebné postupy na získavanie informácií o zraniteľnosti od tretích strán. V tejto súvislosti sa v medzinárodnej norme ISO/IEC 30111 poskytujú usmernenia na riešenie zraniteľností a v medzinárodnej norme ISO/IEC 29417 zasa usmernenia na zverejňovanie informácií o zraniteľnosti. Pokiaľ ide o zverejňovanie informácií o zraniteľnosti, obzvlášť dôležitá je koordinácia medzi oznamujúcimi subjektmi a výrobcami alebo poskytovateľmi produktov alebo služieb IKT. Koordinované zverejňovanie informácií o zraniteľnosti sa riadi štruktúrovaným procesom, v rámci ktorého sa zraniteľnosti hlásia organizáciám takým spôsobom, ktorým sa danej organizácii umožňuje diagnostikovať zraniteľnosť a zabezpečiť jej nápravu pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Koordinované zverejňovanie informácií o zraniteľnosti by malo zahŕňať aj koordináciu medzi oznamujúcim subjektom a organizáciou, pokiaľ ide o načasovanie nápravy a zverejnenie zraniteľností. |
(28) Keďže využívanie zraniteľností v sieťach a informačných systémoch môže spôsobiť značné narušenie a škody pre podniky a spotrebiteľov, rýchla identifikácia a náprava týchto zraniteľností je dôležitým faktorom pri znižovaní kybernetickobezpečnostného rizika. Subjekty, ktoré takéto systémy vyvíjajú, by preto mali zaviesť vhodné postupy na riešenie zistených zraniteľností. Keďže zraniteľnosti často odhaľujú a oznamujú (zverejňujú) tretie strany (oznamujúce subjekty), výrobca alebo poskytovateľ produktov alebo služieb IKT by mal zaviesť aj potrebné postupy na získavanie informácií o zraniteľnosti od tretích strán. V tejto súvislosti sa v medzinárodnej norme ISO/IEC 30111 poskytujú usmernenia na riešenie zraniteľností a v medzinárodnej norme ISO/IEC 29417 zasa usmernenia na zverejňovanie informácií o zraniteľnosti. Pokiaľ ide o zverejňovanie informácií o zraniteľnosti, obzvlášť dôležitá je koordinácia medzi oznamujúcimi subjektmi a výrobcami alebo poskytovateľmi produktov alebo služieb IKT. Koordinované zverejňovanie informácií o zraniteľnosti sa riadi štruktúrovaným procesom, v rámci ktorého sa zraniteľnosti hlásia organizáciám takým spôsobom, ktorým sa danej organizácii umožňuje diagnostikovať zraniteľnosť a zabezpečiť jej nápravu pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Koordinované zverejňovanie informácií o zraniteľnosti by malo zahŕňať aj koordináciu medzi oznamujúcim subjektom a organizáciou, pokiaľ ide o načasovanie nápravy a zverejnenie zraniteľností. |
Pozmeňujúci návrh 16
Návrh smernice
Odôvodnenie 28 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(28a) Komisia, agentúra ENISA a členské štáty by mali naďalej podporovať medzinárodné zosúladenie s normami a existujúcimi najlepšími odvetvovými postupmi v oblasti riadenia rizík, napríklad v oblastiach posudzovania bezpečnosti dodávateľského reťazca, výmeny informácií a zverejňovania informácií o zraniteľnosti. |
Pozmeňujúci návrh 17
Návrh smernice
Odôvodnenie 30
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(30) Prístup k správnym a včasným informáciám o zraniteľnostiach ovplyvňujúcich produkty a služby IKT prispieva k lepšiemu riadeniu kybernetickobezpečnostných rizík. V tejto súvislosti sú zdroje verejne dostupných informácií o zraniteľnostiach dôležitým nástrojom pre subjekty a ich používateľov, ale aj pre príslušné vnútroštátne orgány a jednotky CSIRT. Agentúra ENISA by preto mala zriadiť register zraniteľností, v ktorom by kľúčové a dôležité subjekty a ich dodávatelia, ako aj subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, mohli dobrovoľne zverejňovať zraniteľnosti a poskytovať o nich informácie, ktoré používateľom umožnia prijať vhodné zmierňujúce opatrenia. |
(30) Prístup k správnym a včasným informáciám o zraniteľnostiach ovplyvňujúcich produkty a služby IKT prispieva k lepšiemu riadeniu kybernetickobezpečnostných rizík. V tejto súvislosti sú zdroje verejne dostupných informácií o zraniteľnostiach dôležitým nástrojom pre subjekty a ich používateľov, ale aj pre príslušné vnútroštátne orgány a jednotky CSIRT. Agentúra ENISA by preto mala zriadiť databázu zraniteľností, v ktorej by kľúčové a dôležité subjekty a ich dodávatelia, ako aj subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, mohli dobrovoľne zverejňovať zraniteľnosti a poskytovať o nich informácie, ktoré používateľom umožnia prijať vhodné zmierňujúce opatrenia. |
Pozmeňujúci návrh 18
Návrh smernice
Odôvodnenie 31
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(31) Hoci podobné registre alebo databázy zraniteľností existujú, ich hostiteľmi a správcami sú subjekty, ktoré nie sú usadené v Únii. Európsky register zraniteľností, ktorý vedie agentúra ENISA, by zabezpečil lepšiu transparentnosť, pokiaľ ide o proces uverejňovania pred tým, ako je daná zraniteľnosť oficiálne oznámená, ako aj odolnosť v prípade narušenia alebo prerušenia poskytovania podobných služieb. Agentúra ENISA by mala preskúmať možnosť uzatvorenia dohôd o štruktúrovanej spolupráci s podobnými registrami v jurisdikciách tretích krajín s cieľom zabrániť duplicite úsilia a usilovať sa v čo najväčšej možnej miere o komplementaritu. |
(31) Hoci podobné registre alebo databázy zraniteľností existujú, ich hostiteľmi a správcami sú subjekty, ktoré nie sú usadené v Únii. Európska databáza zraniteľností, ktorú vedie agentúra ENISA, by zabezpečia lepšiu transparentnosť, pokiaľ ide o proces uverejňovania pred tým, ako je daná zraniteľnosť oficiálne oznámená, ako aj odolnosť v prípade narušenia alebo prerušenia poskytovania podobných služieb. S cieľom zabrániť duplicite úsilia a usilovať sa v čo najväčšej možnej miere o komplementaritu by agentúra ENISA mala preskúmať možnosť uzatvorenia dohôd o štruktúrovanej spolupráci s databázami zraniteľností alebo registrami v jurisdikciách tretích krajín a posielania správ príslušným registrom za predpokladu, že takéto opatrenia neohrozia ochranu dôvernosti a obchodného tajomstva. |
Pozmeňujúci návrh 19
Návrh smernice
Odôvodnenie 32
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(32) Skupina pre spoluprácu by mala každé dva roky vypracovať pracovný program vrátane opatrení, ktoré má skupina vykonať na plnenie svojich cieľov a úloh. Časový rámec prvého programu prijatého podľa tejto smernice by sa mal zosúladiť s časovým rámcom posledného programu prijatého podľa smernice (EÚ) 2016/1148 s cieľom zabrániť možným narušeniam práce skupiny. |
(32) Skupina pre spoluprácu by mala každé dva roky diskutovať o politických prioritách a kľúčových výzvach v oblasti kybernetickej bezpečnosti a vypracovať pracovný program vrátane opatrení, ktoré má skupina vykonať na plnenie svojich cieľov a úloh. Časový rámec prvého programu prijatého podľa tejto smernice by sa mal zosúladiť s časovým rámcom posledného programu prijatého podľa smernice (EÚ) 2016/1148 s cieľom zabrániť možným narušeniam práce skupiny. |
Pozmeňujúci návrh 20
Návrh smernice
Odôvodnenie 32 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(32a) Skupina pre spoluprácu by sa mala skladať zo zástupcov členských štátov, Komisie a agentúry ENISA. |
Pozmeňujúci návrh 21
Návrh smernice
Odôvodnenie 34
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(34) Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mala by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny a zhromažďovať informácie o nových politických výzvach. S cieľom posilniť spoluprácu na úrovni Únie by skupina mala zvážiť prizývanie orgánov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako je Európske centrum boja proti počítačovej kriminalite (EC3), Agentúra Európskej únie pre bezpečnosť letectva (EASA) a Agentúra Európskej únie pre vesmírny program (EUSPA), k účasti na jej práci. |
(34) Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mala by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny a zhromažďovať informácie o nových politických výzvach. S cieľom posilniť spoluprácu na úrovni Únie by skupina mala zvážiť prizývanie orgánov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako je Európske centrum boja proti počítačovej kriminalite (EC3), Agentúra Európskej únie pre bezpečnosť letectva (EASA) a Agentúra Európskej únie pre vesmírny program (EUSPA), ako aj iných relevantných orgánov a agentúr Únie, k účasti na svojej práci. |
Pozmeňujúci návrh 22
Návrh smernice
Odôvodnenie 35
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(35) Príslušné orgány a jednotky CSIRT by mali mať možnosť zúčastňovať sa na výmenných programoch pre úradníkov z iných členských štátov s cieľom zlepšovať spoluprácu. Príslušné orgány by mali prijať potrebné opatrenia, ktoré úradníkom z iných členských štátov umožnia zohrávať účinnú úlohu v činnostiach hostiteľského príslušného orgánu. |
(35) Príslušné orgány a jednotky CSIRT by mali mať možnosť zúčastňovať sa na výmenných programoch a spoločných programoch odbornej prípravy pre úradníkov z iných členských štátov s cieľom zlepšovať spoluprácu a posilňovať dôveru medzi členskými štátmi. Príslušné orgány by mali prijať potrebné opatrenia, ktoré úradníkom z iných členských štátov umožnia zohrávať účinnú úlohu v činnostiach hostiteľského príslušného orgánu alebo jednotky CSIRT. |
Pozmeňujúci návrh 23
Návrh smernice
Odôvodnenie 39
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(39) Na účely tejto smernice by sa pojem „udalosti odvrátené v poslednej chvíli“ mal vzťahovať na udalosť, ktorá by mohla spôsobiť škodu, ale úspešne sa zabránilo jej prejaveniu v plnej miere. |
vypúšťa sa |
Pozmeňujúci návrh 24
Návrh smernice
Odôvodnenie 45 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(45a) Okrem toho by subjekty mali zabezpečiť primerané vzdelávanie v oblasti kybernetickej bezpečnosti a odbornú prípravu svojich zamestnancov na všetkých úrovniach organizácie. |
Pozmeňujúci návrh 25
Návrh smernice
Odôvodnenie 46
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(46) V záujme ďalšieho riešenia rizík kľúčového dodávateľského reťazca a pomoci subjektom pôsobiacim v odvetviach, na ktoré sa vzťahuje táto smernica, pri náležitom riadení kybernetickobezpečnostných rizík súvisiacich s dodávateľským reťazcom a dodávateľmi, by skupina pre spoluprácu, do ktorej sú zapojené príslušné vnútroštátne orgány, mala v spolupráci s Komisiou a agentúrou ENISA vykonať koordinované odvetvové posúdenia rizík dodávateľského reťazca, ktoré sa už vykonali v prípade sietí 5G v nadväznosti na odporúčanie (EÚ) 2019/534 o kybernetickej bezpečnosti sietí 5G21 s cieľom identifikovať za každé odvetvie kritické služby, systémy alebo produkty IKT, relevantné hrozby a zraniteľnosti. |
(46) V záujme ďalšieho riešenia rizík kľúčového dodávateľského reťazca a pomoci subjektom pôsobiacim v odvetviach, na ktoré sa vzťahuje táto smernica, pri náležitom riadení kybernetickobezpečnostných rizík súvisiacich s dodávateľským reťazcom a dodávateľmi, by skupina pre spoluprácu, do ktorej sú zapojené príslušné vnútroštátne orgány, mala v spolupráci s Komisiou a agentúrou ENISA vykonať koordinované odvetvové posúdenia rizík dodávateľského reťazca, ktoré sa už vykonali v prípade sietí 5G v nadväznosti na odporúčanie (EÚ) 2019/534 o kybernetickej bezpečnosti sietí 5G21 s cieľom identifikovať v každom odvetví kritické služby, systémy alebo produkty IKT, relevantné hrozby a zraniteľnosti. |
__________________ |
__________________ |
21 Odporúčanie Komisie (EÚ) 2019/534 z 26. marca 2019 Kybernetická bezpečnosť sietí 5G (Ú. v. EÚ L 88, 29.3.2019, s. 42). |
21 Odporúčanie Komisie (EÚ) 2019/534 z 26. marca 2019 Kybernetická bezpečnosť sietí 5G (Ú. v. EÚ L 88, 29.3.2019, s. 42). |
Pozmeňujúci návrh 26
Návrh smernice
Odôvodnenie 47
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(47) Pri posudzovaní rizík v dodávateľskom reťazci by sa vzhľadom na vlastnosti dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory vrátane tých, ktoré sú vymedzené v odporúčaní (EÚ) 2019/534, v celoeurópskom koordinovanom posúdení rizika bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu rizika, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby, systémy alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb, systémov alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb, systémov alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb, systémov alebo produktov IKT voči rušivým udalostiam a v) v prípade vznikajúcich služieb, systémov alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. |
(47) Pri posudzovaní rizík v dodávateľskom reťazci by sa vzhľadom na vlastnosti a kritickosť dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory vrátane tých, ktoré sú vymedzené v odporúčaní (EÚ) 2019/534, v celoeurópskom koordinovanom posúdení rizika bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu rizika, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby, systémy alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb, systémov alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb, systémov alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb, systémov alebo produktov IKT voči rušivým udalostiam a v) v prípade vznikajúcich služieb, systémov alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. |
Pozmeňujúci návrh 27
Návrh smernice
Odôvodnenie 51
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(51) Vnútorný trh je viac než kedykoľvek predtým závislý od fungovania internetu. Služby prakticky všetkých kľúčových a dôležitých subjektov sú závislé od služieb poskytovaných cez internet. V záujme zabezpečenia bezproblémového poskytovania služieb kľúčovými a dôležitými subjektmi je dôležité, aby verejné elektronické komunikačné siete, ako sú napríklad internetové chrbticové siete alebo podmorské komunikačné káble, mali zavedené vhodné kybernetickobezpečnostné opatrenia a aby oznamovali incidenty, ktoré sa ich týkajú. |
(51) Vnútorný trh je viac než kedykoľvek predtým závislý od fungovania internetu. Služby prakticky všetkých kľúčových a dôležitých subjektov sú závislé od služieb poskytovaných cez internet a spotrebitelia sa na ne spoliehajú v dôležitých aspektoch svojho každodenného života. V záujme zabezpečenia bezproblémového poskytovania služieb kľúčovými a dôležitými subjektmi je dôležité, aby verejné elektronické komunikačné siete, ako sú napríklad internetové chrbticové siete alebo podmorské komunikačné káble, mali zavedené vhodné kybernetickobezpečnostné opatrenia a aby oznamovali incidenty, ktoré sa ich týkajú. |
Pozmeňujúci návrh 28
Návrh smernice
Odôvodnenie 52
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(52) V prípade potreby by subjekty mali informovať príjemcov svojich služieb o konkrétnych a významných hrozbách a o opatreniach, ktoré môžu prijať na zmiernenie vyplývajúceho rizika. Požiadavka informovať týchto príjemcov o takýchto hrozbách by nemala subjekty zbaviť povinnosti na vlastné náklady prijať vhodné a okamžité opatrenia na prevenciu alebo odstránenie akýchkoľvek kybernetických hrozieb a obnovenie bežnej úrovne bezpečnosti služby. Takéto informácie o bezpečnostných hrozbách by sa mali príjemcom poskytovať bezplatne. |
(52) Subjekty by sa mali snažiť informovať príjemcov svojich služieb o konkrétnych a významných hrozbách a o opatreniach, ktoré môžu prijať na zmiernenie vyplývajúceho rizika, najmä ak takéto opatrenia môžu zvýšiť ochranu spotrebiteľa. Subjekty by tým nemali byť zbavené povinnosti na vlastné náklady prijať vhodné a okamžité opatrenia na prevenciu alebo odstránenie akýchkoľvek kybernetických hrozieb a obnovenie bežnej úrovne bezpečnosti služby. Takéto informácie o bezpečnostných hrozbách by sa mali príjemcom poskytovať bezplatne a v jednoduchom a zrozumiteľnom jazyku. |
Pozmeňujúci návrh 29
Návrh smernice
Odôvodnenie 53
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(53) Poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb by mali predovšetkým informovať príjemcov služieb o konkrétnych a významných kybernetických hrozbách a o opatreniach, ktoré môžu prijať na ochranu bezpečnosti svojej komunikácie, napríklad použitím určitých typov softvéru alebo šifrovacích technológií. |
(53) Poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb by mali predovšetkým informovať príjemcov služieb o konkrétnych a významných kybernetických hrozbách a o dodatočných opatreniach, ktoré môžu prijať na ochranu bezpečnosti svojich zariadení a svojej komunikácie, napríklad použitím určitých typov softvéru alebo šifrovacích technológií. |
Pozmeňujúci návrh 30
Návrh smernice
Odôvodnenie 54
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(54) S cieľom zaistiť bezpečnosť elektronických komunikačných sietí a služieb by sa malo podporovať používanie šifrovania, a najmä šifrovania medzi koncovými bodmi, a v prípade potreby by malo byť povinné pre poskytovateľov takýchto služieb a sietí v súlade so zásadami štandardnej a špecificky navrhnutej bezpečnosti a ochrany súkromia na účely článku 18. Používanie šifrovania medzi koncovými bodmi by sa malo zosúladiť s právomocami členských štátov na zabezpečenie ochrany ich základných bezpečnostných záujmov a verejnej bezpečnosti a na umožnenie vyšetrovania, odhaľovania a stíhania trestných činov v súlade s právom Únie. Riešenia na účely zákonného prístupu k informáciám v koncovej šifrovanej komunikácii by mali zachovať účinnosť šifrovania pri ochrane súkromia a bezpečnosti komunikácií a zároveň poskytovať účinnú reakciu na trestnú činnosť. |
(54) S cieľom zaistiť bezpečnosť elektronických komunikačných sietí a služieb by sa malo podporovať používanie šifrovania, a najmä šifrovania medzi koncovými bodmi, a v prípade potreby by malo byť povinné pre poskytovateľov takýchto služieb a sietí v súlade so zásadami štandardnej a špecificky navrhnutej bezpečnosti a ochrany súkromia na účely opatrení na riadenie kybernetickobezpečnostných rizík. Používaním šifrovania medzi koncovými bodmi nie sú dotknuté právomoci, opatrenia a postupy členských štátov na zabezpečenie ochrany ich základných bezpečnostných záujmov a verejnej bezpečnosti a na umožnenie vyšetrovania, odhaľovania a stíhania trestných činov v súlade s právom Únie. Riešenia na účely zákonného prístupu k informáciám v koncovej šifrovanej komunikácii by mali zachovať účinnosť šifrovania pri ochrane súkromia a bezpečnosti komunikácií a zároveň poskytovať účinnú reakciu na trestnú činnosť. Všetky prijaté opatrenia musia byť prísne v súlade so zásadami nevyhnutnosti, proporcionality a subsidiarity. |
Pozmeňujúci návrh 31
Návrh smernice
Odôvodnenie 55
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(55) V tejto smernici sa stanovuje dvojfázový prístup k oznamovaniu incidentov s cieľom nájsť správnu rovnováhu medzi rýchlym oznamovaním na jednej strane, ktoré pomáha zmierniť potenciálne šírenie incidentov a umožňuje subjektom hľadať podporu, a na druhej strane podávaním podrobných správ, v ktorých sa čerpajú cenné ponaučenia z jednotlivých incidentov a časom sa zlepšuje odolnosť jednotlivých podnikov a celých odvetví voči kybernetickým hrozbám. Ak sa subjekty dozvedia o incidente, malo by sa od nich vyžadovať, aby do 24 hodín predložili prvotné oznámenie, po ktorom bude najneskôr do jedného mesiaca nasledovať konečná správa. Prvotné oznámenie by malo obsahovať len informácie, ktoré sú nevyhnutne potrebné na to, aby sa príslušné orgány dozvedeli o incidente a v prípade potreby umožnili subjektu požiadať o pomoc. V takomto oznámení by sa prípadne malo uviesť, či je incident pravdepodobne spôsobený protiprávnym alebo zlomyseľným konaním. Členské štáty by mali zabezpečiť, aby požiadavka na predloženie tohto prvotného oznámenia neodklonila zdroje oznamujúceho subjektu od činností súvisiacich s riešením incidentov, ktoré by sa mali uprednostniť. S cieľom zabrániť tomu, aby sa z dôvodu povinností oznamovania incidentov odkláňali zdroje od riešenia reakcie na incidenty alebo aby sa inak ohrozilo úsilie subjektov v tejto súvislosti, by členské štáty mali takisto stanoviť, že v riadne odôvodnených prípadoch a po dohode s príslušnými orgánmi alebo jednotkami CSIRT sa dotknutý subjekt môže odchýliť od lehoty 24 hodín pre prvotné oznámenie a od lehoty jedného mesiaca pre záverečnú správu. |
(55) V tejto smernici sa stanovuje postupný prístup k oznamovaniu incidentov s cieľom nájsť správnu rovnováhu medzi rýchlym oznamovaním na jednej strane, ktoré pomáha zmierniť potenciálne šírenie incidentov a umožňuje subjektom hľadať podporu, a na druhej strane podávaním podrobných správ, v ktorých sa čerpajú cenné ponaučenia z jednotlivých incidentov a časom sa zlepšuje odolnosť jednotlivých podnikov a celých odvetví voči kybernetickým hrozbám. Ak sa subjekty dozvedia o incidente alebo udalosti odvrátenej v poslednej chvíli, malo by sa od nich vyžadovať, aby do 72 hodín predložili prvotné oznámenie, po ktorom bude najneskôr do troch mesiacov po predložení prvotného oznámenia nasledovať komplexná správa a najneskôr do jedného mesiaca po zmiernení incidentu záverečná správa. Prvotné oznámenie by malo obsahovať len informácie, ktoré sú nevyhnutne potrebné na to, aby sa príslušné orgány dozvedeli o incidente a v prípade potreby umožnili subjektu požiadať o pomoc. V takomto oznámení by sa prípadne malo uviesť, či je incident pravdepodobne spôsobený protiprávnym alebo zlomyseľným konaním. Členské štáty by mali zabezpečiť, aby požiadavka na predloženie tohto prvotného oznámenia neodklonila zdroje oznamujúceho subjektu od činností súvisiacich s riešením incidentov, ktoré by sa mali uprednostniť. Prvotnému oznámeniu by malo predchádzať včasné varovanie počas prvých 24 hodín bez povinnosti zverejniť dodatočné informácie. Toto včasné varovanie by sa malo predkladať čo najskôr, aby subjekty mohli rýchlo požiadať príslušné orgány alebo jednotky CSIRT o pomoc a aby sa príslušným orgánom alebo jednotkám CSIRT umožnilo zmierniť potenciálne šírenie nahlásených incidentov, a zároveň by malo slúžiť ako nástroj situačného prehľadu pre jednotky CSIRT. S cieľom zabrániť tomu, aby sa z dôvodu povinností oznamovania incidentov odkláňali zdroje od riešenia reakcie na incidenty alebo aby sa inak ohrozilo úsilie subjektov v tejto súvislosti, by členské štáty mali takisto stanoviť, že v riadne odôvodnených prípadoch a po dohode s príslušnými orgánmi alebo jednotkami CSIRT sa dotknutý subjekt môže odchýliť od stanovených lehôt na oznamovanie. |
Pozmeňujúci návrh 32
Návrh smernice
Odôvodnenie 56
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(56) Kľúčové a dôležité subjekty sa často nachádzajú v situácii, keď sa konkrétny incident z dôvodu jeho charakteristík musí oznámiť rôznym orgánom v dôsledku oznamovacej povinnosti zahrnutej v rôznych právnych nástrojoch. Takéto prípady vytvárajú dodatočnú záťaž a môžu viesť aj k nejasnostiam, pokiaľ ide o formát a postupy takéhoto oznamovania. Vzhľadom na to a na účely zjednodušenia oznamovania bezpečnostných incidentov by členské štáty mali zriadiť jednotné kontaktné miesto pre všetky oznámenia požadované podľa tejto smernice, ako aj podľa iných právnych predpisov Únie, ako napríklad nariadenie (EÚ) 2016/679 a smernica 2002/58/ES. Agentúra ENISA by spolu so skupinou pre spoluprácu mala vypracovať spoločné vzorové formuláre oznámení prostredníctvom usmernení, ktoré by zjednodušili a zefektívnili oznamovanie informácií požadovaných v právnych predpisoch Únie a znížili záťaž pre podniky. |
(56) Kľúčové a dôležité subjekty sa často nachádzajú v situácii, keď sa konkrétny incident z dôvodu jeho charakteristík musí oznámiť rôznym orgánom v dôsledku oznamovacej povinnosti zahrnutej v rôznych právnych nástrojoch. Takéto prípady vytvárajú dodatočnú záťaž a môžu viesť aj k nejasnostiam, pokiaľ ide o formát a postupy takéhoto oznamovania. Vzhľadom na to a na účely zjednodušenia oznamovania bezpečnostných incidentov a dodržiavania zásady „jedenkrát a dosť“ by členské štáty mali zriadiť jednotné kontaktné miesto pre všetky oznámenia požadované podľa tejto smernice, ako aj podľa iných právnych predpisov Únie, ako napríklad nariadenie (EÚ) 2016/679 a smernica 2002/58/ES. Agentúra ENISA by spolu so skupinou pre spoluprácu mala vypracovať spoločné vzorové formuláre oznámení prostredníctvom usmernení, ktoré by zjednodušili a zefektívnili oznamovanie informácií požadovaných v právnych predpisoch Únie a znížili záťaž pre podniky. |
Pozmeňujúci návrh 33
Návrh smernice
Odôvodnenie 59
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(59) Udržiavanie presných a úplných databáz doménových mien a registračných údajov (tzv. údajov WHOIS) a poskytovanie zákonného prístupu k takýmto údajom je nevyhnutné na zaistenie bezpečnosti, stability a odolnosti DNS, čo zase prispieva k vysokej spoločnej úrovni kybernetickej bezpečnosti v Únii. Ak spracúvanie zahŕňa osobné údaje, takéto spracúvanie musí byť v súlade s právnymi predpismi Únie o ochrane údajov. |
(59) Udržiavanie presných, overených a úplných databáz doménových mien a registračných údajov (tzv. údajov WHOIS) a poskytovanie zákonného prístupu k takýmto údajom je nevyhnutné na zaistenie bezpečnosti, stability a odolnosti DNS, čo zase prispieva k vysokej spoločnej úrovni kybernetickej bezpečnosti v Únii. Ak spracúvanie zahŕňa osobné údaje, takéto spracúvanie musí byť v súlade s právnymi predpismi Únie o ochrane údajov. |
Pozmeňujúci návrh 34
Návrh smernice
Odôvodnenie 61
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(61) S cieľom zabezpečiť dostupnosť presných a úplných údajov o registrácii doménových mien by mali správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD (tzv. registrátori) zhromažďovať registračné údaje o menách domén a zaručovať ich integritu a dostupnosť. Správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD by mali najmä stanoviť politiky a postupy na zhromažďovanie a uchovávanie presných a úplných registračných údajov, ako aj na predchádzanie nepresným registračným údajom a ich opravu v súlade s pravidlami Únie v oblasti ochrany údajov. |
(61) S cieľom zabezpečiť dostupnosť presných a úplných údajov o registrácii doménových mien by mali správcovia TLD a subjekty poskytujúce služby registrácie doménových mien (vrátane služieb poskytovaných správcami a registrátormi doménových mien, poskytovateľmi registračných služieb v oblasti ochrany osobných údajov alebo proxy serverov, sprostredkovateľmi alebo ďalšími predajcami domén, a akýchkoľvek iných služieb súvisiacich s registráciou doménových mien) zhromažďovať registračné údaje o menách domén a zaručovať ich integritu a dostupnosť. Správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD by mali najmä stanoviť politiky a postupy na zhromažďovanie a uchovávanie presných a úplných registračných údajov, ako aj na predchádzanie nepresným registračným údajom a ich opravu v súlade s pravidlami Únie v oblasti ochrany údajov. |
Pozmeňujúci návrh 35
Návrh smernice
Odôvodnenie 68
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(68) Subjekty by sa mali nabádať, aby kolektívne využívali svoje individuálne znalosti a praktické skúsenosti na strategickej, taktickej a operačnej úrovni s cieľom zlepšiť svoje schopnosti primerane posudzovať kybernetické hrozby, monitorovať ich, brániť sa proti nim a reagovať na ne. Preto treba umožniť, aby sa na úrovni Únie vytvorili mechanizmy dohôd o dobrovoľnom zdieľaní informácií. Na tento účel by členské štáty mali aktívne podporovať a podnecovať aj príslušné subjekty, na ktoré sa nevzťahuje rozsah pôsobnosti tejto smernice, aby sa na takýchto mechanizmoch zdieľania informácií zúčastňovali. Tieto mechanizmy by sa mali vykonávať v plnom súlade s pravidlami Únie týkajúcimi sa hospodárskej súťaže, ako aj právnymi predpismi Únie v oblasti ochrany údajov. |
(68) Členské štáty by mali nabádať a podporovať subjekty, aby kolektívne využívali svoje individuálne znalosti a praktické skúsenosti na strategickej, taktickej a operačnej úrovni s cieľom zlepšiť svoje schopnosti primerane posudzovať kybernetické hrozby, monitorovať ich, brániť sa proti nim a reagovať na ne. Preto treba umožniť, aby sa na úrovni Únie vytvorili mechanizmy dohôd o dobrovoľnom zdieľaní informácií. Na tento účel by členské štáty mali aktívne podporovať a podnecovať aj príslušné subjekty, na ktoré sa nevzťahuje rozsah pôsobnosti tejto smernice, aby sa na takýchto mechanizmoch zdieľania informácií zúčastňovali. Tieto mechanizmy by sa mali vykonávať v plnom súlade s pravidlami Únie týkajúcimi sa hospodárskej súťaže, ako aj právnymi predpismi Únie v oblasti ochrany údajov. |
Pozmeňujúci návrh 36
Návrh smernice
Odôvodnenie 69
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(69) Spracúvanie osobných údajov v rozsahu, ktorý je nevyhnutne potrebný a primeraný na účely zaistenia bezpečnosti sietí a informácií subjektmi, orgánmi verejnej moci, jednotkami CERT, jednotkami CSIRT a poskytovateľmi bezpečnostných technológií a služieb, by malo predstavovať oprávnený záujem dotknutého prevádzkovateľa, ako sa uvádza v nariadení (EÚ) 2016/679. To by malo zahŕňať opatrenia týkajúce sa prevencie, odhaľovania a analýzy incidentov a reakcie na ne, opatrenia na zvýšenie informovanosti o konkrétnych kybernetických hrozbách, výmenu informácií v kontexte nápravy zraniteľnosti a koordinovaného zverejňovania, ako aj dobrovoľnú výmenu informácií o týchto incidentoch, ako aj o kybernetických hrozbách a zraniteľnostiach, ukazovatele kompromitácie, taktiky, techniky a postupy, kybernetickobezpečnostné varovania a konfiguračné nástroje. Takéto opatrenia si môžu vyžadovať spracovanie týchto druhov osobných údajov: IP adresy, jednotné vyhľadávače prostriedkov (URL), doménové mená a e-mailové adresy. |
(69) Spracúvanie osobných údajov, ktoré by malo byť obmedzené na to, čo je nevyhnutne potrebné a primerané na účely zaistenia bezpečnosti sietí a informácií a ochrany spotrebiteľa subjektmi, orgánmi verejnej moci, jednotkami CERT, jednotkami CSIRT a poskytovateľmi bezpečnostných technológií a služieb, by malo predstavovať oprávnený záujem dotknutého prevádzkovateľa, ako sa uvádza v nariadení (EÚ) 2016/679. To by malo zahŕňať opatrenia týkajúce sa prevencie, odhaľovania a analýzy incidentov a reakcie na ne, opatrenia na zvýšenie informovanosti o konkrétnych kybernetických hrozbách, výmenu informácií v kontexte nápravy zraniteľnosti a koordinovaného zverejňovania, ako aj dobrovoľnú výmenu informácií o týchto incidentoch, ako aj o kybernetických hrozbách a zraniteľnostiach, ukazovatele kompromitácie, taktiky, techniky a postupy, kybernetickobezpečnostné varovania a konfiguračné nástroje. Takéto opatrenia si môžu vyžadovať spracovanie týchto druhov osobných údajov: IP adresy, jednotné vyhľadávače prostriedkov (URL), doménové mená a e-mailové adresy. |
Pozmeňujúci návrh 37
Návrh smernice
Odôvodnenie 70
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(70) S cieľom posilniť právomoci a opatrenia v oblasti dohľadu, ktoré pomáhajú zabezpečiť účinné dodržiavanie predpisov, by sa v tejto smernici mal stanoviť minimálny zoznam opatrení a prostriedkov dohľadu, prostredníctvom ktorých môžu príslušné orgány vykonávať dohľad nad kľúčovými a dôležitými subjektmi. Okrem toho by sa touto smernicou malo zaviesť rozlišovanie režimu dohľadu medzi kľúčovými a dôležitými subjektmi s cieľom zabezpečiť spravodlivú rovnováhu povinností pre subjekty aj príslušné orgány. Kľúčové subjekty by preto mali podliehať plnohodnotnému režimu dohľadu (ex ante a ex post), zatiaľ čo na dôležité subjekty by sa mal vzťahovať zjednodušený režim dohľadu, a to len ex post. V druhom prípade to znamená, že dôležité subjekty by nemali systematicky dokumentovať súlad s požiadavkami na riadenie kybernetickobezpečnostných rizík, zatiaľ čo príslušné orgány by mali k dohľadu uplatňovať reaktívny prístup ex post, a preto by nemali mať všeobecnú povinnosť vykonávať nad týmito subjektmi dohľad. |
(70) S cieľom posilniť právomoci a opatrenia v oblasti dohľadu, ktoré pomáhajú zabezpečiť účinné dodržiavanie predpisov, a dosiahnuť spoločnú vysokú úroveň bezpečnosti v digitálnom sektore vrátane predchádzania rizikám pre používateľov alebo iné siete, informačné systémy a služby, by sa v tejto smernici mal stanoviť minimálny zoznam opatrení a prostriedkov dohľadu, prostredníctvom ktorých môžu príslušné orgány vykonávať dohľad nad kľúčovými a dôležitými subjektmi. Okrem toho by sa touto smernicou malo zaviesť rozlišovanie režimu dohľadu medzi kľúčovými a dôležitými subjektmi s cieľom zabezpečiť spravodlivú rovnováhu povinností pre subjekty aj príslušné orgány. Kľúčové subjekty by preto mali podliehať plnohodnotnému režimu dohľadu (ex ante a ex post), zatiaľ čo na dôležité subjekty by sa mal vzťahovať zjednodušený režim dohľadu, a to len ex post, pričom by sa mal zohľadniť prístup založený na riziku. V druhom prípade to znamená, že dôležité subjekty by nemali systematicky dokumentovať súlad s požiadavkami na riadenie kybernetickobezpečnostných rizík, zatiaľ čo príslušné orgány by mali k dohľadu uplatňovať reaktívny prístup ex post, a preto by nemali mať všeobecnú povinnosť vykonávať nad týmito subjektmi dohľad, s výnimkou prípadov preukázateľného porušenia povinností. |
Pozmeňujúci návrh 38
Návrh smernice
Odôvodnenie 76
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(76) S cieľom ďalej posilniť účinnosť a odrádzajúci účinok sankcií za porušenie povinností stanovených podľa tejto smernice by príslušné orgány mali byť oprávnené uplatňovať sankcie pozostávajúce z pozastavenia certifikácie alebo povolenia časti alebo všetkých služieb, ktoré poskytuje kľúčový subjekt, a uloženia dočasného zákazu fyzickej osobe vykonávať riadiace funkcie. Takéto sankcie by sa vzhľadom na svoju závažnosť a vplyv na činnosti subjektov a v konečnom dôsledku na ich spotrebiteľov mali uplatňovať len úmerne k závažnosti porušenia a s prihliadnutím na osobitné okolnosti každého prípadu vrátane úmyselného alebo nedbanlivostného charakteru porušenia, opatrení prijatých na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát. Takéto sankcie by sa mali uplatňovať len ako ultima ratio, čo znamená až po vyčerpaní ostatných príslušných opatrení na presadzovanie povinností stanovených v tejto smernici, a len na obdobie, kým subjekty, na ktoré sa vzťahujú, neprijmú potrebné opatrenia na nápravu nedostatkov alebo na splnenie požiadaviek príslušného orgánu, v prípade ktorých sa takéto sankcie uplatnili. Ukladanie takýchto sankcií by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie vrátane účinnej súdnej ochrany, riadneho procesu, prezumpcie neviny a práva na obhajobu. |
(76) S cieľom ďalej posilniť účinnosť a odrádzajúci účinok sankcií za porušenie povinností stanovených podľa tejto smernice by príslušné orgány mali byť oprávnené uplatňovať sankcie pozostávajúce z pozastavenia certifikácie alebo povolenia príslušných služieb, ktoré poskytuje kľúčový subjekt. Takéto sankcie by sa vzhľadom na svoju závažnosť a vplyv na činnosti subjektov a v konečnom dôsledku na ich spotrebiteľov mali uplatňovať len úmerne k závažnosti porušenia a s prihliadnutím na osobitné okolnosti každého prípadu vrátane úmyselného alebo nedbanlivostného charakteru porušenia, opatrení prijatých na zabránenie alebo zmiernenie vzniknutej škody a/alebo strát. Takéto sankcie by sa mali uplatňovať len ako ultima ratio, čo znamená až po vyčerpaní ostatných príslušných opatrení na presadzovanie povinností stanovených v tejto smernici, a len na obdobie, kým subjekty, na ktoré sa vzťahujú, neprijmú potrebné opatrenia na nápravu nedostatkov alebo na splnenie požiadaviek príslušného orgánu, v prípade ktorých sa takéto sankcie uplatnili. Ukladanie takýchto sankcií by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty základných práv Európskej únie vrátane účinnej súdnej ochrany, riadneho procesu, prezumpcie neviny a práva na obhajobu. |
Pozmeňujúci návrh 39
Návrh smernice
Odôvodnenie 79
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(79) Mal by sa zaviesť mechanizmus partnerského preskúmania, ktorý odborníkom určeným členskými štátmi umožní posúdiť vykonávanie politík v oblasti kybernetickej bezpečnosti vrátane úrovne schopností a dostupných zdrojov členských štátov. |
(79) Mal by sa zaviesť mechanizmus partnerského preskúmania, ktorý odborníkom určeným členskými štátmi a agentúrou ENISA umožní posúdiť vykonávanie politík v oblasti kybernetickej bezpečnosti vrátane úrovne schopností a dostupných zdrojov členských štátov, ako aj výmenu najlepších postupov. |
Pozmeňujúci návrh 40
Návrh smernice
Odôvodnenie 80
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(80) S cieľom zohľadniť nové kybernetické hrozby, technologický vývoj alebo odvetvové špecifiká by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ, pokiaľ ide o prvky týkajúce sa opatrení na riadenie rizík, ktoré sa vyžadujú v tejto smernici. Komisia by mala byť splnomocnená prijímať aj delegované akty, v ktorých stanoví, od ktorých kategórií kľúčových subjektov sa vyžaduje získanie certifikátu a v rámci ktorých konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva26. Predovšetkým, v záujme rovnakého zastúpenia pri príprave delegovaných aktov, sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematický prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov. |
(80) S cieľom zohľadniť nové kybernetické hrozby, technologický vývoj alebo odvetvové špecifiká by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ, pokiaľ ide o prvky týkajúce sa opatrení na riadenie rizík, ktoré sa vyžadujú v tejto smernici. Komisia by mala byť splnomocnená prijímať delegované akty, v ktorých stanoví technické prvky týkajúce sa opatrení na riadenie rizík. Komisia by tiež mala byť splnomocnená prijímať delegované akty, v ktorých vymedzí druh informácií, ktoré predkladajú kľúčové a dôležité subjekty o každom incidente so závažným vplyvom na poskytovanie ich služieb alebo o každej udalosti odvrátenej v poslednej chvíli, a vymedzí prípady, v ktorých by sa incident mal považovať za závažný. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva26. Predovšetkým, v záujme rovnakého zastúpenia pri príprave delegovaných aktov, sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematický prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov. |
__________________ |
__________________ |
26 Ú. v. EÚ L 123, 12.5.2016, s. 1. |
26 Ú. v. EÚ L 123, 12.5.2016, s. 1. |
Pozmeňujúci návrh 41
Návrh smernice
Odôvodnenie 81
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(81) S cieľom zabezpečiť jednotné podmienky vykonávania príslušných ustanovení tejto smernice týkajúcich sa procedurálnych opatrení potrebných na fungovanie skupiny pre spoluprácu, technických prvkov týkajúcich sa opatrení na riadenie rizík alebo druhu informácií, formátu a postupu oznamovania incidentov by sa mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/201127. |
(81) S cieľom zabezpečiť jednotné podmienky vykonávania príslušných ustanovení tejto smernice týkajúcich sa procedurálnych opatrení potrebných na fungovanie skupiny pre spoluprácu, formátu a postupu oznamovania incidentov by sa mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/201127. |
__________________ |
__________________ |
27 Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13). |
27 Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13). |
Pozmeňujúci návrh 42
Návrh smernice
Článok 1 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Touto smernicou sa stanovujú opatrenia na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v rámci Únie. |
1. Touto smernicou sa stanovujú opatrenia na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v rámci Únie s cieľom vytvoriť dôveryhodné digitálne prostredie pre spotrebiteľov a hospodárske subjekty, odstrániť prekážky a zlepšiť fungovanie vnútorného trhu. |
Pozmeňujúci návrh 43
Návrh smernice
Článok 2 – odsek 2 – pododsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Táto smernica sa však bez ohľadu na ich veľkosť uplatňuje aj na subjekty uvedené v prílohe I a II, keď: |
2. Táto smernica sa však bez ohľadu na ich veľkosť uplatňuje aj na druhy subjektov uvedené v prílohe I a II, keď: |
Pozmeňujúci návrh 44
Návrh smernice
Článok 2 – odsek 2 – pododsek 2 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
Komisia vydá usmernenia s cieľom pomôcť členským štátom správne vykonávať ustanovenia o rozsahu pôsobnosti, ako aj s cieľom udeliť určitým dôležitým subjektom možné výnimky z rozsahu pôsobnosti smernice alebo niektorých jej ustanovení vzhľadom na ich nízku úroveň kritickosti v ich konkrétnom sektore a/alebo nízku úroveň ich závislosti od iných sektorov alebo druhov služieb. Členské štáty oznámia Komisii svoje odôvodnené rozhodnutia v tejto súvislosti, pričom v plnej miere zohľadnia usmernenia Komisie. |
Pozmeňujúci návrh 45
Návrh smernice
Článok 4 – odsek 1 – bod 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(4) „národná stratégia kybernetickej bezpečnosti“ je súdržný rámec členského štátu, v ktorom sa stanovujú strategické ciele a priority v oblasti bezpečnosti sietí a informačných systémov v danom členskom štáte; |
(4) „národná stratégia kybernetickej bezpečnosti“ je súdržný rámec členského štátu, v ktorom sa stanovujú strategické ciele a priority v oblasti bezpečnosti sietí a informačných systémov v danom členskom štáte, ako aj politiky potrebné na ich dosiahnutie; |
Pozmeňujúci návrh 46
Návrh smernice
Článok 4 – odsek 1 – bod 5 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(5a) „cezhraničný incident“ je každý incident, ktorý má vplyv na prevádzkovateľov pod dohľadom príslušných vnútroštátnych orgánov z najmenej dvoch rôznych členských štátov; |
Pozmeňujúci návrh 47
Návrh smernice
Článok 4 – odsek 1 – bod 6 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(6a) „udalosť odvrátená v poslednej chvíli“ je udalosť, ktorá mohla spôsobiť škodu, ale úspešne sa zabránilo jej prejaveniu v plnej miere; |
Pozmeňujúci návrh 48
Návrh smernice
Článok 4 – odsek 1 – bod 15 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(15a) „služby registrácie doménových mien“ sú služby poskytované správcami a registrátormi doménových mien, poskytovateľmi registračných služieb v oblasti ochrany osobných údajov alebo proxy serverov, sprostredkovateľmi alebo ďalšími predajcami domén a akékoľvek iné služby súvisiace s registráciou doménových mien; |
Pozmeňujúci návrh 49
Návrh smernice
Článok 5 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Každý členský štát prijme národnú stratégiu kybernetickej bezpečnosti, v ktorej sa vymedzia strategické ciele a vhodné politické a regulačné opatrenia na dosiahnutie a zachovanie vysokej úrovne kybernetickej bezpečnosti. Národná stratégia kybernetickej bezpečnosti sietí obsahuje najmä tieto prvky: |
1. Každý členský štát prijme národnú stratégiu kybernetickej bezpečnosti, v ktorej sa vymedzia strategické ciele a vhodné politické a regulačné opatrenia vrátane primeraných ľudských a finančných zdrojov na dosiahnutie a zachovanie vysokej úrovne kybernetickej bezpečnosti. Národná stratégia kybernetickej bezpečnosti sietí obsahuje najmä tieto prvky: |
Pozmeňujúci návrh 50
Návrh smernice
Článok 5 – odsek 1 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) riadiaci rámec na dosiahnutie týchto cieľov a priorít vrátane politík uvedených v odseku 2, ako aj úloh a zodpovedností vládnych orgánov, inštitúcií a ďalších relevantných aktérov; |
b) riadiaci rámec na dosiahnutie týchto cieľov a priorít vrátane politík uvedených v odseku 2, ako aj úloh a zodpovedností vládnych orgánov, inštitúcií a ďalších relevantných aktérov vrátane tých, ktorí sú zodpovední za kybernetické spravodajstvo a kybernetickú obranu; |
Pozmeňujúci návrh 51
Návrh smernice
Článok 5 – odsek 1 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) posúdenie s cieľom identifikovať relevantné prostriedky a riziká v oblasti kybernetickej bezpečnosti v danom členskom štáte; |
c) posúdenie s cieľom identifikovať relevantné prostriedky a riziká v oblasti kybernetickej bezpečnosti v danom členskom štáte vrátane potenciálnych nedostatkov, ktoré môžu mať negatívny vplyv na jednotný trh; |
Pozmeňujúci návrh 52
Návrh smernice
Článok 5 – odsek 1 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) zoznam rôznych orgánov a aktérov zapojených do vykonávania národnej stratégie kybernetickej bezpečnosti; |
e) zoznam rôznych orgánov a aktérov zapojených do vykonávania národnej stratégie kybernetickej bezpečnosti vrátane jednotného kontaktného miesta pre MSP; |
Pozmeňujúci návrh 53
Návrh smernice
Článok 5 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) usmernenia týkajúce sa zahrnutia a špecifikácie požiadaviek týkajúcich sa kybernetickej bezpečnosti produktov a služieb IKT vo verejnom obstarávaní; |
b) usmernenia týkajúce sa zahrnutia a špecifikácie požiadaviek týkajúcich sa kybernetickej bezpečnosti produktov a služieb IKT vo verejnom obstarávaní vrátane využívania produktov kybernetickej bezpečnosti s otvoreným zdrojovým kódom; |
Pozmeňujúci návrh 54
Návrh smernice
Článok 5 – odsek 2 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) politiku na podporu a uľahčenie koordinovaného zverejňovania informácií o zraniteľnosti v zmysle článku 6; |
c) politiku na podporu a uľahčenie koordinovaného zverejňovania informácií o zraniteľnosti v zmysle článku 6, a to vrátane stanovenia usmernení a najlepších postupov založených na už zavedených medzinárodne uznávaných normách v oblasti riešenia a zverejňovania zraniteľnosti; |
Pozmeňujúci návrh 55
Návrh smernice
Článok 5 – odsek 2 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) politiku podporovania a rozvíjania zručností v oblasti kybernetickej bezpečnosti, iniciatívy na zvyšovanie povedomia, ako aj v oblasti výskumu a vývoja; |
e) politiku podporovania kybernetickej bezpečnosti pre spotrebiteľov, zvyšovania ich informovanosti o kybernetických hrozbách, zvyšovania kybernetickej gramotnosti, posilňovania dôvery používateľov, technologicky neutrálnych zručností v oblasti kybernetickej bezpečnosti a vzdelávania, ako aj podporovanie iniciatív v oblasti výskumu a vývoja a kybernetickej bezpečnosti pripojených produktov; |
Pozmeňujúci návrh 56
Návrh smernice
Článok 5 – odsek 2 – písmeno e a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ea) politiku podporovania používania kryptografie a šifrovania, najmä malými a strednými podnikmi; |
Pozmeňujúci návrh 57
Návrh smernice
Článok 5 – odsek 2 – písmeno h
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
h) politiku zameranú na špecifické potreby MSP, najmä tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám. |
h) politiku podporujúcu kybernetickú bezpečnosť a zameranú na špecifické potreby MSP pri plnení povinností stanovených v tejto smernici, ako aj osobitné potreby tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám, okrem iného aj financovaním a vzdelávaním s cieľom podporovať prijímanie kybernetickobezpečnostných opatrení. |
Pozmeňujúci návrh 58
Návrh smernice
Článok 5 – bod 2 – písmeno h a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ha) táto politika zahŕňa vytvorenie jednotného národného kontaktného miesta pre MSP a rámca pre najefektívnejšie využívanie centier digitálnych inovácií a dostupných finančných prostriedkov na dosiahnutie cieľov politiky; |
Pozmeňujúci návrh 59
Návrh smernice
Článok 5 – odsek 2 – písmeno h b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
hb) politiku na podporu koherentného a synergického využívania dostupných finančných prostriedkov; |
Pozmeňujúci návrh 60
Návrh smernice
Článok 5 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty posúdia svoje národné stratégie kybernetickej bezpečnosti aspoň každé štyri roky na základe kľúčových ukazovateľov výkonnosti a v prípade potreby ich zmenia. Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) členským štátom na ich žiadosť pomáha pri vypracúvaní národnej stratégie a kľúčových ukazovateľov výkonnosti na posúdenie stratégie. |
4. Členské štáty posúdia svoje národné stratégie kybernetickej bezpečnosti aspoň každé štyri roky na základe kľúčových ukazovateľov výkonnosti a v prípade potreby ich zmenia. Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) členským štátom na ich žiadosť pomáha pri vypracúvaní národnej stratégie a kľúčových ukazovateľov výkonnosti na posúdenie stratégie. Agentúra ENISA adresuje členským štátom aj odporúčania tákajúce sa vypracovania kľúčových ukazovateľov výkonnosti na posúdenie národnej stratégie, ktoré sú porovnateľné na úrovni Únie. |
Pozmeňujúci návrh 61
Návrh smernice
Článok 6 – názov
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Koordinované zverejňovanie informácií o zraniteľnosti a európsky register zraniteľností |
Koordinované zverejňovanie informácií o zraniteľnosti a európska databáza zraniteľností |
Pozmeňujúci návrh 62
Návrh smernice
Článok 6 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Agentúra ENISA vytvorí a vedie európsky register zraniteľnosti. Na tento účel agentúra ENISA zriadi a udržiava vhodné informačné systémy, politiky a postupy, najmä s cieľom umožniť dôležitým a kľúčovým subjektom a ich dodávateľom sietí a informačných systémov zverejňovať a registrovať zraniteľnosti v produktoch IKT alebo službách IKT, ako aj poskytovať prístup k informáciám o zraniteľnosti nachádzajúcich sa v registri všetkým zainteresovaným stranám. Register obsahuje najmä informácie opisujúce zraniteľnosť, zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť, dostupnosť súvisiacich bezpečnostných záplat a v prípade, že žiadne nie sú k dispozícii, usmernenie pre používateľov zraniteľných produktov a služieb o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností. |
2. Agentúra ENISA vytvorí a vedie európsku databázu zraniteľností. Na tento účel agentúra ENISA zriadi a udržiava vhodné informačné systémy, politiky a postupy, ako aj príslušné politiky zverejňovania informácií, najmä s cieľom umožniť dôležitým a kľúčovým subjektom a ich dodávateľom sietí a informačných systémov zverejňovať a jednoduchým spôsobom registrovať zraniteľnosti v produktoch IKT alebo službách IKT, ako aj poskytovať prístup k relevantným informáciám o zraniteľnosti nachádzajúcich sa v registri všetkým zainteresovaným stranám za predpokladu, že tieto kroky nenarušia ochranu dôvernosti a obchodného tajomstva. Databáza zraniteľností obsahuje najmä informácie opisujúce zraniteľnosť, zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť, dostupnosť súvisiacich bezpečnostných záplat a v prípade, že žiadne nie sú k dispozícii, usmernenie pre používateľov zraniteľných produktov a služieb o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností. Aby sa zabránilo duplicite činnosti, uzavrie agentúra ENISA dohodu o výmene informácií a dohodu o štruktúrovanej spolupráci so spoločným registrom zraniteľností a expozícií (CVE) a prípadne s inými databázami, ktoré na globálnej úrovni vytvárajú a spravujú dôveryhodní partneri. |
Pozmeňujúci návrh 63
Návrh smernice
Článok 7 – odsek 1 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
1a. Ak členský štát určí viac ako jeden príslušný orgán uvedený v odseku 1, jasne uvedie, ktorý z týchto príslušných orgánov bude slúžiť ako hlavné kontaktné miesto počas incidentu alebo krízy veľkého rozsahu. |
Pozmeňujúci návrh 64
Návrh smernice
Článok 7 – odsek 3 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) vnútroštátne postupy a dojednania medzi príslušnými vnútroštátnymi orgánmi a inštitúciami s cieľom zabezpečiť účinnú účasť členského štátu na koordinovanom riadení kybernetickobezpečnostných incidentov a kríz veľkého rozsahu na úrovni Únie, ako aj jeho podporu tohto riadenia. |
f) vnútroštátne postupy a koordinácia medzi príslušnými vnútroštátnymi orgánmi a inštitúciami vrátane tých, ktoré sú zodpovedné za kybernetické spravodajstvo a kybernetickú obranu, s cieľom zabezpečiť účinnú účasť členského štátu na koordinovanom riadení kybernetickobezpečnostných incidentov a kríz veľkého rozsahu na úrovni Únie, ako aj jeho podporu tohto riadenia. |
Pozmeňujúci návrh 65
Návrh smernice
Článok 10 – odsek 2 – písmeno d
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
d) pripravujú dynamickú analýzu rizík a incidentov a poskytujú situačný prehľad o kybernetickej bezpečnosti; |
d) pripravujú dynamickú analýzu rizík a incidentov a poskytujú situačný prehľad o kybernetickej bezpečnosti, a to aj prostredníctvom analýzy včasných varovaní a oznámení uvedených v článku 20; |
Pozmeňujúci návrh 66
Návrh smernice
Článok 10 – odsek 2 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) na žiadosť subjektu proaktívne kontrolujú siete a informačné systémy používané na poskytovanie jeho služieb; |
e) na žiadosť subjektu kontrolujú siete a informačné systémy používané na poskytovanie jeho služieb s cieľom odhaliť a zmierniť konkrétne hrozby alebo im predchádzať; |
Pozmeňujúci návrh 67
Návrh smernice
Článok 10 – odsek 2 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) zapájajú sa do siete jednotiek CSIRT a poskytujú vzájomnú pomoc ostatným členom siete na ich žiadosť. |
f) aktívne sa zapájajú do siete jednotiek CSIRT a poskytujú vzájomnú pomoc ostatným členom siete na ich žiadosť. |
Pozmeňujúci návrh 68
Návrh smernice
Článok 10 – odsek 2 – písmeno f a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
fa) poskytujú operačnú pomoc a usmernenia subjektom uvedeným v prílohách I a II, a najmä MSP; |
Pozmeňujúci návrh 69
Návrh smernice
Článok 10 – odsek 2 – písmeno f b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
fb) zúčastňujú sa na spoločných cvičeniach v oblasti kybernetickej bezpečnosti na úrovni Únie. |
Pozmeňujúci návrh 70
Návrh smernice
Článok 11 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby ich príslušné orgány alebo jednotky CSIRT dostávali oznámenia o incidentoch, závažných kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli predkladané podľa tejto smernice. Ak členský štát rozhodne, že jeho jednotky CSIRT nemajú dostávať tieto oznámenia, jednotkám CSIRT sa v rozsahu potrebnom na plnenie ich úloh poskytne prístup k údajom o incidentoch, ktoré oznámili kľúčové alebo dôležité subjekty podľa článku 20. |
2. Členské štáty zabezpečia, aby ich príslušné orgány alebo jednotky CSIRT dostávali oznámenia o incidentoch, závažných kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli predkladané podľa tejto smernice. Ak členský štát rozhodne, že jeho jednotky CSIRT nemajú dostávať tieto oznámenia, jednotkám CSIRT sa v rozsahu potrebnom na efektívne plnenie ich úloh poskytne zodpovedajúci prístup k údajom o incidentoch, ktoré oznámili kľúčové alebo dôležité subjekty podľa článku 20. |
Pozmeňujúci návrh 71
Návrh smernice
Článok 11 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty v rozsahu potrebnom na účinné plnenie úloh a povinností stanovených v tejto smernici zabezpečia primeranú spoluprácu medzi príslušnými orgánmi a jednotnými kontaktnými miestami, ako aj orgánmi presadzovania práva, orgánmi na ochranu údajov a orgánmi zodpovednými za kritickú infraštruktúru podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] a vnútroštátnymi finančnými orgánmi určenými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) XXXX/XXXX39 [nariadenie DORA] v rámci daného členského štátu. |
4. Členské štáty v rozsahu potrebnom na účinné plnenie úloh a povinností stanovených v tejto smernici zabezpečia primeranú spoluprácu medzi príslušnými orgánmi a jednotnými kontaktnými miestami, ako aj orgánmi presadzovania práva, orgánmi na ochranu údajov a orgánmi zodpovednými za kritickú infraštruktúru podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] a vnútroštátnymi finančnými orgánmi určenými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) XXXX/XXXX39 [nariadenie DORA] v rámci daného členského štátu, ako aj s orgánmi pre kybernetickú obranu a kybernetické spravodajstvo. |
__________________ |
__________________ |
39 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
39 [vložte celý názov a odkaz na uverejnenie v ú. v., keď budú známe] |
Pozmeňujúci návrh 72
Návrh smernice
Článok 12 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Skupina pre spoluprácu si plní úlohy na základe dvojročných pracovných programov uvedených v odseku 6. |
2. Skupina pre spoluprácu sa pravidelne stretáva a plní si úlohy na základe dvojročných pracovných programov uvedených v odseku 6. |
Pozmeňujúci návrh 73
Návrh smernice
Článok 12 – odsek 3 – pododsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Vo vhodných prípadoch môže skupina pre spoluprácu prizvať k svojej práci zástupcov príslušných zainteresovaných strán. |
Vo vhodných prípadoch môže skupina pre spoluprácu prizvať k svojej práci zástupcov príslušných orgánov a agentúr Únie, ako aj zainteresovaných strán. |
Pozmeňujúci návrh 74
Návrh smernice
Článok 12 – odsek 4 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) poskytovanie usmernení príslušným orgánom v súvislosti s transpozíciou a vykonávaním tejto smernice; |
a) poskytovanie usmernení príslušným orgánom v súvislosti s transpozíciou a vykonávaním tejto smernice a podporovanie jej jednotného vykonávania v členských štátoch; |
Pozmeňujúci návrh 75
Návrh smernice
Článok 12 – odsek 4 – písmeno a a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
aa) výmena informácií o politických prioritách a hlavných problémoch v oblasti kybernetickej bezpečnosti a vymedzenie hlavných cieľov kybernetickej bezpečnosti; |
Pozmeňujúci návrh 76
Návrh smernice
Článok 12 – odsek 4 – písmeno a b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ab) prediskutovanie národných stratégií členských štátov a ich pripravenosti; |
Pozmeňujúci návrh 77
Návrh smernice
Článok 12 – odsek 4 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) vzájomné poradenstvo a spolupráca s Komisiou v súvislosti s novými politickými iniciatívami v oblasti kybernetickej bezpečnosti; |
c) vzájomné poradenstvo a spolupráca s Komisiou v súvislosti s novými politickými iniciatívami v oblasti kybernetickej bezpečnosti a s Európskou službou pre vonkajšiu činnosť, pokiaľ ide o geopolitické aspekty kybernetickej bezpečnosti v Únii; |
Pozmeňujúci návrh 78
Návrh smernice
Článok 12 – odsek 4 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) prediskutovanie správ o partnerskom preskúmaní uvedených v článku 16 ods. 7; |
f) prediskutovanie správ o partnerskom preskúmaní uvedených v článku 16 ods. 7, hodnotenie jeho fungovania a vypracovanie záverov a odporúčaní; |
Pozmeňujúci návrh 79
Návrh smernice
Článok 12 – odsek 4 – písmeno k a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ka) podpora agentúry ENISA pri organizovaní spoločnej odbornej prípravy príslušných vnútroštátnych orgánov na úrovni Únie. |
Pozmeňujúci návrh 80
Návrh smernice
Článok 12 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Do ... [24 mesiacov po nadobudnutí účinnosti tejto smernice] a potom každé dva roky skupina pre spoluprácu zostavuje pracovný program týkajúci sa činností, ktoré sa majú vykonávať v rámci plnenia jej cieľov a úloh. Časový rámec prvého programu prijatého podľa tejto smernice sa zosúladí s časovým rámcom posledného programu prijatého podľa smernice (EÚ) 2016/1148. |
6. Do ... [12 mesiacov po nadobudnutí účinnosti tejto smernice] a potom každé dva roky skupina pre spoluprácu zostavuje pracovný program týkajúci sa činností, ktoré sa majú vykonávať v rámci plnenia jej cieľov a úloh. Časový rámec prvého programu prijatého podľa tejto smernice sa zosúladí s časovým rámcom posledného programu prijatého podľa smernice (EÚ) 2016/1148. |
Pozmeňujúci návrh 81
Návrh smernice
Článok 12 – odsek 8 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
8a. Skupina pre spoluprácu pravidelne uverejňuje súhrnnú správu o svojej činnosti bez toho, aby tým bola dotknutá dôvernosť informácií vymieňaných počas jej zasadnutí. |
Pozmeňujúci návrh 82
Návrh smernice
Článok 13 – odsek 3 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) výmena informácií o schopnostiach jednotiek CSIRT; |
a) výmena informácií o schopnostiach a pripravenosti jednotiek CSIRT; |
Pozmeňujúci návrh 83
Návrh smernice
Článok 13 – odsek 3 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) výmena relevantných informácií o incidentoch, udalostiach odvrátených v poslednej chvíli, kybernetických hrozbách, rizikách a zraniteľnostiach; |
b) výmena relevantných informácií o incidentoch, udalostiach odvrátených v poslednej chvíli, kybernetických hrozbách, rizikách a zraniteľnostiach a podpora operačných schopností členských štátov; |
Pozmeňujúci návrh 84
Návrh smernice
Článok 13 – odsek 3 – písmeno d a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
da) výmena informácií o cezhraničných incidentoch a ich prediskutovanie; |
Pozmeňujúci návrh 85
Návrh smernice
Článok 13 – odsek 3 – písmeno g – bod i a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ia) s výmenou informácií; |
Pozmeňujúci návrh 86
Návrh smernice
Článok 13 – odsek 3 – písmeno j
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
j) na žiadosť niektorej jednotky CSIRT prediskutovanie schopností a pripravenosti tejto jednotky CSIRT; |
j) prediskutovanie schopností a pripravenosti jednotiek CSIRT; |
Pozmeňujúci návrh 87
Návrh smernice
Článok 13 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Na účely preskúmania uvedeného v článku 35 sieť jednotiek CSIRT do [24 mesiacov odo dňa nadobudnutia účinnosti tejto smernice] a potom každé dva roky posúdi pokrok dosiahnutý v rámci operačnej spolupráce a vypracuje správu. V správe sa predovšetkým vyvodia závery o výsledkoch partnerských preskúmaní uvedených v článku 16 a vykonaných v súvislosti s vnútroštátnymi jednotkami CSIRT vrátane záverov a odporúčaní, ktoré sa vykonávajú podľa tohto článku. Táto správa sa predloží aj skupine pre spoluprácu. |
4. Na účely preskúmania uvedeného v článku 35 sieť jednotiek CSIRT do [24 mesiacov odo dňa nadobudnutia účinnosti tejto smernice] a potom každý rok posúdi pokrok dosiahnutý v rámci operačnej spolupráce a vypracuje správu. V správe sa predovšetkým vyvodia závery o výsledkoch partnerských preskúmaní uvedených v článku 16 a vykonaných v súvislosti s vnútroštátnymi jednotkami CSIRT vrátane záverov a odporúčaní, ktoré sa vykonávajú podľa tohto článku. Táto správa sa predloží aj skupine pre spoluprácu. |
Pozmeňujúci návrh 88
Návrh smernice
Článok 14 – odsek 3 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) zvyšovanie úrovne pripravenosti na riadenie incidentov a kríz veľkého rozsahu; |
a) zvyšovanie úrovne pripravenosti na riadenie incidentov a kríz veľkého rozsahu vrátane cezhraničných kybernetických hrozieb; |
Pozmeňujúci návrh 89
Návrh smernice
Článok 14 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Sieť EU-CyCLONe pravidelne podáva skupine pre spoluprácu správy o kybernetických hrozbách, incidentoch a trendoch, pričom sa zameriava najmä na ich vplyv na kľúčové a dôležité subjekty. |
5. Sieť EU-CyCLONe pravidelne podáva skupine pre spoluprácu správy o kybernetických hrozbách, incidentoch a trendoch, pričom sa zameriava najmä na ich vplyv na kľúčové a dôležité subjekty a na ich odolnosť. |
Pozmeňujúci návrh 90
Návrh smernice
Článok 14 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Sieť EU-CyCLONe spolupracuje so sieťou jednotiek CSIRT na základe dohodnutých procedurálnych opatrení. |
6. Sieť EU-CyCLONe úzko spolupracuje so sieťou jednotiek CSIRT na základe dohodnutých procedurálnych opatrení. |
Pozmeňujúci návrh 91
Návrh smernice
Článok 15 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Agentúra ENISA v spolupráci s Komisiou vydáva každé dva roky správu o stave kybernetickej bezpečnosti v Únii. Správa obsahuje najmä posúdenie týchto aspektov: |
1. Agentúra ENISA v spolupráci s Komisiou vydáva každé dva roky správu o stave kybernetickej bezpečnosti v Únii a predkladá ju Európskemu parlamentu. Správa obsahuje najmä posúdenie týchto aspektov: |
Pozmeňujúci návrh 92
Návrh smernice
Článok 15 – odsek 1 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) rozvoj kybernetickobezpečnostných schopností v celej Únii; |
a) rozvoj kybernetickobezpečnostných schopností v celej Únii vrátane všeobecnej úrovne zručností a schopností v oblasti kybernetickej bezpečnosti, celkovej miery odolnosti vnútorného trhu voči kybernetickým hrozbám a úrovne vykonávania smernice vo všetkých členských štátoch; |
Pozmeňujúci návrh 93
Návrh smernice
Článok 15 – odsek 1 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) index kybernetickej bezpečnosti poskytujúci súhrnné posúdenie úrovne vyspelosti kybernetickobezpečnostných schopností. |
c) index kybernetickej bezpečnosti poskytujúci súhrnné posúdenie úrovne vyspelosti kybernetickobezpečnostných schopností vrátane celkového posúdenia kybernetickej bezpečnosti pre spotrebiteľov; |
Pozmeňujúci návrh 94
Návrh smernice
Článok 15 – odsek 1 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) geopolitické aspekty, ktoré majú priamy alebo nepriamy vplyv na stav kybernetickej bezpečnosti v Únii. |
Pozmeňujúci návrh 95
Návrh smernice
Článok 16 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Komisia po konzultácii so skupinou pre spoluprácu a agentúrou ENISA a najneskôr 18 mesiacov od nadobudnutia účinnosti tejto smernice stanoví metodiku a obsah systému partnerského preskúmania na posúdenie účinnosti politík členských štátov v oblasti kybernetickej bezpečnosti. Preskúmania vykonávajú technickí experti v oblasti kybernetickej bezpečnosti vybraní z iných členských štátov, než je skúmaný členský štát, a zameriavajú sa aspoň na: |
1. Komisia po konzultácii so skupinou pre spoluprácu a agentúrou ENISA a najneskôr 12 mesiacov od nadobudnutia účinnosti tejto smernice stanoví metodiku a obsah systému partnerského preskúmania na posúdenie účinnosti politík členských štátov v oblasti kybernetickej bezpečnosti. Preskúmania vykonávajú technickí experti v oblasti kybernetickej bezpečnosti vybraní najmenej z dvoch iných členských štátov, než je skúmaný členský štát, a agentúry ENISA, a zameriavajú sa aspoň na: |
Pozmeňujúci návrh 96
Návrh smernice
Článok 16 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Metodika zahŕňa objektívne, nediskriminačné, spravodlivé a transparentné kritériá, na základe ktorých členské štáty určia expertov oprávnených vykonávať partnerské preskúmania. Agentúra ENISA a Komisia určia expertov, ktorí sa ako pozorovatelia zúčastňujú na partnerských preskúmaniach. Komisia s podporou agentúry ENISA vytvorí v rámci metodiky uvedenej v odseku 1 objektívny, nediskriminačný, spravodlivý a transparentný systém výberu a náhodného prideľovania expertov pre každé partnerské preskúmanie. |
2. Metodika zahŕňa objektívne, nediskriminačné, technologicky neutrálne, spravodlivé a transparentné kritériá, na základe ktorých členské štáty určia expertov oprávnených vykonávať partnerské preskúmania. Agentúra ENISA a Komisia určia expertov, ktorí sa ako pozorovatelia zúčastňujú na partnerských preskúmaniach. Komisia s podporou agentúry ENISA vytvorí v rámci metodiky uvedenej v odseku 1 objektívny, nediskriminačný, spravodlivý a transparentný systém výberu a náhodného prideľovania expertov pre každé partnerské preskúmanie. |
Pozmeňujúci návrh 97
Návrh smernice
Článok 18 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty prijali vhodné a primerané technické a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, ktoré tieto subjekty využívajú pri poskytovaní svojich služieb. S ohľadom na najnovší technický vývoj tieto opatrenia zabezpečujú takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty prijali technické a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, ktoré tieto subjekty využívajú pri poskytovaní svojich služieb. Tieto opatrenia sú vhodné a primerané úrovni kritickosti daného odvetvia alebo druhu služby, ako aj úrovni závislosti subjektu od iných odvetví alebo druhov služieb, a prijmú sa na základe posúdenia založeného na riziku. S ohľadom na najnovší technický vývoj tieto opatrenia zabezpečujú takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika. Prijmú sa najmä opatrenia na prevenciu a minimalizáciu vplyvu bezpečnostných incidentov na príjemcov služieb týchto subjektov. |
Pozmeňujúci návrh 98
Návrh smernice
Článok 18 – odsek 2 – písmeno d
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
d) bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom a jeho dodávateľmi alebo poskytovateľmi služieb, ako sú napríklad poskytovatelia služieb ukladania a spracúvania dát alebo riadených bezpečnostných služieb; |
d) opatrenia na posúdenie bezpečnostných rizík v dodávateľskom reťazci vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom a jeho dodávateľmi alebo poskytovateľmi služieb, ako sú napríklad poskytovatelia služieb ukladania a spracúvania dát alebo riadených bezpečnostných služieb; |
Pozmeňujúci návrh 99
Návrh smernice
Článok 18 – odsek 2 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) politiky a postupy (testovanie a audit) na posúdenie účinnosti opatrení na riadenie kybernetickobezpečnostných rizík; |
f) politiky a postupy (testovanie a audit) a pravidelné cvičenia v oblasti kybernetickej bezpečnosti na posúdenie účinnosti opatrení na riadenie kybernetickobezpečnostných rizík; |
Pozmeňujúci návrh 100
Návrh smernice
Článok 18 – odsek 2 – písmeno g
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
g) používanie kryptografie a šifrovania. |
g) používanie kryptografie, šifrovania a najmä šifrovania medzi koncovými bodmi; |
Pozmeňujúci návrh 101
Návrh smernice
Článok 18 – odsek 2 – písmeno g a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ga) politiky na zabezpečenie primeranej odbornej prípravy a informovanosti v oblasti kybernetickej bezpečnosti. |
Pozmeňujúci návrh 102
Návrh smernice
Článok 18 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty zabezpečia, aby subjekty pri zvažovaní vhodných opatrení uvedených v odseku 2 písm. d) zohľadňovali zraniteľnosti špecifické pre každého dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a prax ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja. |
3. Členské štáty zabezpečia, aby subjekty pri zvažovaní vhodných opatrení uvedených v odseku 2 písm. d) zohľadňovali zraniteľnosti špecifické pre každého dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a prax ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja v prípade, že majú prístup k príslušným informáciám. |
Pozmeňujúci návrh 103
Návrh smernice
Článok 18 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Komisia môže prijať vykonávacie akty s cieľom stanoviť technické a metodické špecifikácie prvkov uvedených v odseku 2. Pri vypracúvaní týchto aktov Komisia postupuje v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2, a v čo najväčšej možnej miere dodržiava medzinárodné a európske normy, ako aj príslušné technické špecifikácie. |
5. Komisia je splnomocnená prijímať delegované akty s cieľom stanoviť technické a metodické špecifikácie prvkov uvedených v odseku 2 a v čo najväčšej možnej miere dodržiava medzinárodné a európske normy, ako aj príslušné technické špecifikácie. Pri vypracúvaní delegovaných aktov Komisia konzultuje aj so všetkými príslušnými zainteresovanými stranami. |
Pozmeňujúci návrh 104
Návrh smernice
Článok 18 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 36 s cieľom doplniť prvky stanovené v odseku 2 na zohľadnenie nových kybernetických hrozieb, technologického vývoja alebo odvetvových špecifík. |
6. Komisia v spolupráci so skupinou pre spoluprácu a agentúrou ENISA poskytuje usmernenia a informuje o najlepších postupoch na dodržiavanie predpisov subjektmi primeraným spôsobom v súlade s požiadavkami stanovenými v odseku 2, a najmä s požiadavkou podľa písmena d) uvedeného odseku. |
Pozmeňujúci návrh 105
Návrh smernice
Článok 19 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Skupina pre spoluprácu môže v spolupráci s Komisiou a agentúrou ENISA vykonávať koordinované posúdenia bezpečnostného rizika dodávateľských reťazcov konkrétnych kritických služieb, systémov alebo produktov IKT, pričom zohľadní technické a prípadne aj netechnické faktory rizík. |
1. S cieľom zvýšiť celkovú úroveň kybernetickej bezpečnosti môže skupina pre spoluprácu v spolupráci s Komisiou a agentúrou ENISA vykonávať koordinované posúdenia bezpečnostného rizika dodávateľských reťazcov konkrétnych kritických služieb, systémov alebo produktov IKT, pričom zohľadní technické a prípadne aj netechnické faktory rizík, ako sú geopolitické riziká. |
Pozmeňujúci návrh 106
Návrh smernice
Článok 20 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili príslušným orgánom alebo jednotke CSIRT v súlade s odsekmi 3 a 4 každý incident so závažným vplyvom na poskytovanie ich služieb. V prípade potreby tieto subjekty bez zbytočného odkladu oznámia príjemcom svojich služieb incidenty, ktoré by mohli nepriaznivo ovplyvniť ich poskytovanie. Členské štáty zabezpečia, aby tieto subjekty oznamovali okrem iného informácie umožňujúce príslušným orgánom alebo jednotke CSIRT určiť prípadný cezhraničný vplyv incidentu. |
1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili príslušným orgánom alebo jednotke CSIRT v súlade s odsekmi 3 a 4 každý incident so závažným vplyvom na poskytovanie ich služieb alebo každú udalosť odvrátenú v poslednej chvíli. V prípade potreby tieto subjekty bez zbytočného odkladu oznámia príjemcom svojich služieb incidenty, ktoré by mohli nepriaznivo ovplyvniť ich poskytovanie. Členské štáty zabezpečia, aby tieto subjekty oznamovali okrem iného informácie umožňujúce príslušným orgánom alebo jednotke CSIRT určiť prípadný cezhraničný vplyv incidentu alebo udalosti odvrátenej v poslednej chvíli. |
Pozmeňujúci návrh 107
Návrh smernice
Článok 20 – odsek 1 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
1a. Na účely zjednodušenia oznamovacích povinností členské štáty zriadia jednotné kontaktné miesto pre všetky oznámenia požadované podľa tejto smernice, ako aj podľa iných právnych predpisov Únie, ako napríklad nariadenia (EÚ) 2016/679 a smernice 2002/58/ES. |
Pozmeňujúci návrh 108
Návrh smernice
Článok 20 – odsek 1 b (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
1b. Agentúra ENISA spolu so skupinou pre spoluprácu vypracúva spoločné vzorové formuláre oznámení prostredníctvom usmernení, ktoré by zjednodušili a zefektívnili oznamovanie informácií požadovaných v právnych predpisoch Únie a znížili záťaž pre podniky spojenú s dodržiavaním predpisov. |
Pozmeňujúci návrh 109
Návrh smernice
Článok 20 – odsek 2 – pododsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili príslušným orgánom alebo jednotke CSIRT každú závažnú kybernetickú hrozbu, ktorú tieto subjekty zistia a ktorá by mohla potenciálne viesť k závažnému incidentu. |
vypúšťa sa |
Pozmeňujúci návrh 110
Návrh smernice
Článok 20 – odsek 2 – pododsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Uvedené subjekty v príslušných prípadoch bez zbytočného odkladu oznámia príjemcom svojich služieb, ktorých potenciálne zasiahla závažná kybernetická hrozba, všetky opatrenia alebo nápravné kroky, ktoré títo príjemcovia môžu v reakcii na danú hrozbu prijať. Subjekty v prípade potreby týmto príjemcom oznámia aj informáciu o samotnej hrozbe. Oznámenie nesmie mať pre oznamujúci subjekt za následok vyššiu zodpovednosť. |
vypúšťa sa |
Pozmeňujúci návrh 111
Návrh smernice
Článok 20 – odsek 3 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) dotknutému subjektu spôsobil alebo môže spôsobiť podstatné narušenie prevádzky alebo finančné straty; |
a) dotknutému subjektu spôsobil podstatné narušenie prevádzky alebo finančné straty; |
Pozmeňujúci návrh 112
Návrh smernice
Článok 20 – odsek 3 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) zasiahol alebo môže zasiahnuť iné fyzické alebo právnické osoby spôsobením značných hmotných alebo nehmotných strát. |
b) zasiahol iné fyzické alebo právnické osoby spôsobením značných hmotných alebo nehmotných strát. |
Pozmeňujúci návrh 113
Návrh smernice
Článok 20 – odsek 3 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
3a. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 36 s cieľom doplniť túto smernicu určením druhu informácií predkladaných podľa odseku 1 tohto článku a podrobnejším vymedzením prípadov, v ktorých sa incident považuje za závažný, ako sa uvádza v odseku 3 tohto článku. |
Pozmeňujúci návrh 114
Návrh smernice
Článok 20 – odsek 4 – písmeno -a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
-a) včasné varovanie do 24 hodín od zistenia incidentu bez akejkoľvek povinnosti dotknutého subjektu zverejňovať dodatočné informácie o incidente; |
Pozmeňujúci návrh 115
Návrh smernice
Článok 20 – odsek 4 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia incidentu prvotné oznámenie, v ktorom sa prípadne uvedie, či incident pravdepodobne spôsobilo nezákonné alebo zlomyseľné konanie; |
a) bez zbytočného odkladu a v každom prípade do 72 hodín od zistenia incidentu prvotné oznámenie, v ktorom sa prípadne uvedie, či incident pravdepodobne spôsobilo nezákonné alebo zlomyseľné konanie; |
Pozmeňujúci návrh 116
Návrh smernice
Článok 20 – odsek 4 – písmeno c – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) najneskôr jeden mesiac po predložení oznámenia podľa písmena a) konečnú správu, ktorá obsahuje aspoň tieto informácie: |
c) najneskôr tri mesiace po predložení oznámenia podľa písmena a) komplexnú správu, ktorá obsahuje aspoň tieto informácie: |
Pozmeňujúci návrh 117
Návrh smernice
Článok 20 – odsek 4 – písmeno c – bod i
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
i) podrobný opis incidentu, jeho závažnosť a vplyv; |
i) podrobnejší opis incidentu, jeho závažnosť a vplyv; |
Pozmeňujúci návrh 118
Návrh smernice
Článok 20 – odsek 4 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) v prípade, že v čase predloženia komplexnej správy podľa písmena c) incident stále prebieha, predloží sa záverečná správa jeden mesiac po zmiernení incidentu; |
Pozmeňujúci návrh 119
Návrh smernice
Článok 20 – odsek 7
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
7. Po porade s dotknutým subjektom môže príslušný orgán alebo jednotka CSIRT a prípadne orgány alebo jednotky CSIRT ďalších dotknutých členských štátov informovať o incidente verejnosť alebo požiadať o to daný subjekt, ak je informovanosť verejnosti potrebná na zabránenie incidentu alebo riešenie prebiehajúceho incidentu alebo ak je zverejnenie incidentu vo verejnom záujme z iného dôvodu. |
7. Po porade s dotknutým subjektom príslušný orgán alebo jednotka CSIRT a prípadne orgány alebo jednotky CSIRT ďalších dotknutých členských štátov informujú o incidente verejnosť alebo o to požiadajú daný subjekt, ak je informovanosť verejnosti potrebná na zabránenie incidentu alebo riešenie prebiehajúceho incidentu alebo ak je zverejnenie incidentu vo verejnom záujme z iného dôvodu. |
Pozmeňujúci návrh 120
Návrh smernice
Článok 20 – odsek 8
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
8. Na žiadosť príslušného orgánu alebo jednotky CSIRT jednotné kontaktné miesto postúpi doručené oznámenia podľa odsekov 1 a 2 jednotným kontaktným miestam ostatných zasiahnutých členských štátov. |
8. Na žiadosť príslušného orgánu alebo jednotky CSIRT jednotné kontaktné miesto postúpi doručené oznámenia podľa odseku 1 jednotným kontaktným miestam ostatných zasiahnutých členských štátov. |
Pozmeňujúci návrh 121
Návrh smernice
Článok 20 – odsek 9
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
9. Jednotné kontaktné miesto predkladá agentúre ENISA každý mesiac súhrnnú správu s anonymizovanými a agregovanými údajmi o incidentoch, závažných kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli oznámených v súlade s odsekmi 1 a 2 a v súlade s článkom 27. S cieľom prispieť k poskytovaniu porovnateľných informácií môže agentúra ENISA vydať technické usmernenia týkajúce sa parametrov informácií uvedených v súhrnnej správe. |
9. Jednotné kontaktné miesto predkladá agentúre ENISA každý mesiac súhrnnú správu s anonymizovanými a agregovanými údajmi o incidentoch, závažných kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli oznámených v súlade s odsekom 1 a v súlade s článkom 27. S cieľom prispieť k poskytovaniu porovnateľných informácií môže agentúra ENISA vydať technické usmernenia týkajúce sa parametrov informácií uvedených v súhrnnej správe. |
Pozmeňujúci návrh 122
Návrh smernice
Článok 20 – odsek 10
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
10. Príslušné orgány poskytnú príslušným orgánom určeným podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] informácie o incidentoch a kybernetických hrozbách, ktoré v súlade s odsekmi 1 a 2 oznámili kľúčové subjekty identifikované ako kritické subjekty alebo ako subjekty rovnocenné s kritickými subjektmi podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov]. |
10. Príslušné orgány poskytnú príslušným orgánom určeným podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov] informácie o incidentoch a kybernetických hrozbách, ktoré v súlade s odsekom 1 oznámili kľúčové subjekty identifikované ako kritické subjekty alebo ako subjekty rovnocenné s kritickými subjektmi podľa smernice (EÚ) XXXX/XXXX [smernica o odolnosti kritických subjektov]. |
Pozmeňujúci návrh 123
Návrh smernice
Článok 20 – odsek 11
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
11. Komisia môže prijať vykonávacie akty, v ktorých bližšie určí druh informácií, formát a postup oznámenia predkladaného podľa odsekov 1 a 2. Komisia môže prijať aj vykonávacie akty s cieľom ďalej konkretizovať prípady, v ktorých sa incident považuje za závažný, ako sa uvádza v odseku 3. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2. |
11. Komisia môže prijať vykonávacie akty, v ktorých bližšie určí druh informácií, formát a postup oznámenia predkladaného podľa odseku 1. Komisia môže prijať aj vykonávacie akty s cieľom ďalej konkretizovať prípady, v ktorých sa incident považuje za závažný, ako sa uvádza v odseku 3. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2. |
Pozmeňujúci návrh 124
Návrh smernice
Článok 21 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. S cieľom preukázať súlad s určitými požiadavkami článku 18 môžu členské štáty vyžadovať, aby kľúčové a dôležité subjekty certifikovali určité produkty IKT, služby IKT a procesy IKT v rámci osobitných európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa článku 49 nariadenia (EÚ) 2019/881. Produkty, služby a procesy, ktoré podliehajú certifikácii, môže vytvoriť kľúčový alebo dôležitý subjekt alebo sa môžu obstarať od tretích strán. |
1. S cieľom preukázať súlad s určitými požiadavkami článku 18 a zvýšiť úroveň kybernetickej bezpečnosti členské štáty po konzultácii so skupinou pre spoluprácu a agentúrou ENISA podporujú kľúčové a dôležité subjekty v tom, aby certifikovali určité produkty IKT, služby IKT a procesy IKT, ktoré vyvinul kľúčový alebo dôležitý subjekt alebo ktoré boli obstarané od tretích strán, v rámci európskych systémov kybernetickej bezpečnosti prijatých podľa článku 49 nariadenia (EÚ) 2019/881 alebo v rámci podobných, medzinárodne uznávaných certifikačných systémov. Vždy, keď je to možné, nabádajú členské štáty na využívanie prijatých certifikačných systémov harmonizovaným spôsobom. |
Pozmeňujúci návrh 125
Návrh smernice
Článok 21 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Komisia je splnomocnená prijímať delegované akty, v ktorých bližšie určí, od ktorých kategórií kľúčových subjektov sa vyžaduje získanie certifikátu a v rámci ktorých konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti podľa odseku 1. Delegované akty sa prijímajú v súlade s článkom 36. |
2. Komisia pravidelne posudzuje efektívnosť a používanie prijatých európskych certifikačných systémov kybernetickej bezpečnosti podľa článku 49 nariadenia (EÚ) 2019/881 a určí, ktoré kategórie kľúčových subjektov budú vyzvané, aby získali certifikát, a v rámci ktorých konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti podľa odseku 1. |
Pozmeňujúci návrh 126
Návrh smernice
Článok 22 – odsek -1 (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
-1. Komisia v spolupráci s agentúrou ENISA podporuje a presadzuje vypracovanie a vykonávanie noriem, ktoré stanovia príslušné orgány Únie a medzinárodné normalizačné organizácie na harmonizované vykonávanie článku 18 ods. 1 a 2. Komisia podporuje aktualizáciu noriem s ohľadom na technologický vývoj. |
Pozmeňujúci návrh 127
Návrh smernice
Článok 22 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Členské štáty v záujme harmonizovaného vykonávania článku 18 ods. 1 a 2 a bez toho, aby ukladali povinnosť využívať určitý typ technológie alebo diskriminovali v prospech takéhoto využívania, podporujú využívanie európskych alebo medzinárodne uznávaných noriem a špecifikácií, ktoré sú relevantné pre bezpečnosť sietí a informačných systémov. |
1. Členské štáty v záujme harmonizovaného vykonávania článku 18 ods. 1 a 2 a bez toho, aby ukladali povinnosť využívať určitý typ technológie alebo diskriminovali v prospech takéhoto využívania, a podľa usmernení agentúry ENISA a skupiny pre spoluprácu podporujú využívanie európskych alebo medzinárodne uznávaných noriem a špecifikácií, ktoré sú relevantné pre bezpečnosť sietí a informačných systémov. |
Pozmeňujúci návrh 128
Návrh smernice
Článok 23 – názov
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Databázy doménových mien a registračných údajov |
Infraštruktúra databáz doménových mien a registračných údajov |
Pozmeňujúci návrh 129
Návrh smernice
Článok 23 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. S cieľom prispieť k bezpečnosti, stabilite a odolnosti DNS členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD zbierali a uchovávali presné a úplné registračné údaje o doménových menách vo vyhradenom databázovom zariadení s náležitou starostlivosťou, na ktoré sa vzťahujú právne predpisy Únie o ochrane údajov, pokiaľ ide o údaje, ktoré sú osobnými údajmi. |
1. S cieľom prispieť k bezpečnosti, stabilite a odolnosti DNS členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD zbierali, overovali a uchovávali presné a úplné registračné údaje o doménových menách, ktoré sú potrebné na poskytovanie ich služieb, vo vyhradenom databázovom zariadení s náležitou starostlivosťou, na ktoré sa vzťahujú právne predpisy Únie o ochrane údajov, pokiaľ ide o údaje, ktoré sú osobnými údajmi. |
Pozmeňujúci návrh 130
Návrh smernice
Článok 23 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Členské štáty zabezpečia, aby databázy s registračnými údajmi o doménových menách uvedené v odseku 1 obsahovali relevantné informácie na identifikáciu a kontaktovanie držiteľov doménových mien a kontaktných miest spravujúcich doménové mená v rámci TLD. |
2. Členské štáty zabezpečia, aby infraštruktúra databáz s registračnými údajmi o doménových menách uvedená v odseku 1 obsahovala relevantné informácie, ktoré zahŕňajú prinajmenšom meno držiteľov domény, ich fyzickú a e-mailovú adresu a ich telefónne číslo, čo sú údaje potrebné na identifikáciu a kontaktovanie držiteľov doménových mien a kontaktných miest spravujúcich doménové mená v rámci TLD, vrátane aspoň mena držiteľa domény, fyzickej adresy, e-mailovej adresy a telefónneho čísla. |
Pozmeňujúci návrh 131
Návrh smernice
Článok 23 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD mali zavedené politiky a postupy s cieľom zabezpečiť, aby databázy obsahovali presné a úplné informácie. Členské štáty zabezpečia, aby takéto politiky a postupy boli verejne dostupné. |
3. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD mali zavedené politiky a postupy s cieľom zabezpečiť, aby infraštruktúra databáz obsahovala presné, overené a úplné informácie a aby držiteľ domény bezodkladne opravil alebo vymazal nepresné alebo neúplné údaje. Členské štáty zabezpečia, aby takéto politiky a postupy boli verejne dostupné. |
Pozmeňujúci návrh 132
Návrh smernice
Článok 23 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD bez zbytočného odkladu po registrácii mena domény uverejnili registračné údaje domény, ktoré nie sú osobnými údajmi. |
4. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien bez zbytočného odkladu a v každom prípade do 24 hodín po registrácii mena domény uverejnili všetky registračné údaje domény právnických osôb ako držiteľov domény. |
Pozmeňujúci návrh 133
Návrh smernice
Článok 23 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Členské štáty zabezpečia, aby registre TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD poskytovali prístup k špecifickým registračným údajom o doménových menách na základe zákonných a riadne odôvodnených žiadostí oprávnených záujemcov o prístup v súlade s právnymi predpismi Únie o ochrane údajov. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien pre TLD odpovedali bez zbytočného odkladu na všetky žiadosti o prístup. Členské štáty zabezpečia, aby politiky a postupy zverejňovania takýchto údajov boli verejne dostupné. |
5. Členské štáty zabezpečia, aby registre TLD a subjekty poskytujúce služby registrácie doménových mien boli povinné poskytovať prístup k špecifickým registračným údajom o doménových menách na základe riadne odôvodnených žiadostí oprávnených záujemcov o prístup v súlade s právnymi predpismi Únie o ochrane údajov. Členské štáty zabezpečia, aby správcovia TLD a subjekty poskytujúce služby registrácie doménových mien odpovedali bez zbytočného odkladu a v každom prípade do 72 hodín na všetky zákonné a riadne odôvodnené žiadosti o prístup. Členské štáty zabezpečia, aby politiky a postupy zverejňovania takýchto údajov boli verejne dostupné. |
Pozmeňujúci návrh 134
Návrh smernice
Článok 24 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Na účely tejto smernice sa predpokladá, že subjekty uvedené v odseku 1 majú hlavné miesto podnikateľskej činnosti v Únii v členskom štáte, v ktorom sa prijímajú rozhodnutia týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík. Ak sa takéto rozhodnutia neprijímajú v žiadnom mieste podnikateľskej činnosti v Únii, predpokladá sa, že hlavné miesto podnikateľskej činnosti je v členskom štáte, v ktorom majú subjekty miesto podnikateľskej činnosti s najvyšším počtom zamestnancov v Únii. |
2. Na účely tejto smernice sa predpokladá, že subjekty uvedené v odseku 1 majú hlavné miesto podnikateľskej činnosti v Únii v členskom štáte, v ktorom sa prijímajú rozhodnutia týkajúce sa opatrení na riadenie kybernetickobezpečnostných rizík. Ak sa takéto rozhodnutia neprijímajú v žiadnom mieste podnikateľskej činnosti v Únii, predpokladá sa, že hlavné miesto podnikateľskej činnosti je v členskom štáte, v ktorom majú subjekty miesto podnikateľskej činnosti s najvyšším počtom zamestnancov v Únii. To sa vykoná tak, aby sa zabezpečilo, že vnútroštátne regulačné orgány neponesú neprimeranú záťaž. |
Pozmeňujúci návrh 135
Návrh smernice
Článok 25 – odsek 1 – úvodná časť
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Agentúra ENISA vytvorí a vedie register kľúčových a dôležitých subjektov uvedených v článku 24 ods. 1. Subjekty predložia agentúre ENISA najneskôr [12 mesiacov od nadobudnutia účinnosti tejto smernice] tieto informácie: |
1. Agentúra ENISA vytvorí a vedie register kľúčových a dôležitých subjektov uvedených v článku 24 ods. 1. Subjekty predložia agentúre ENISA na tento účel najneskôr [12 mesiacov od nadobudnutia účinnosti tejto smernice] tieto informácie: |
Pozmeňujúci návrh 136
Návrh smernice
Článok 26 – odsek 1 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) zvyšuje úroveň kybernetickej bezpečnosti, najmä zvyšovaním povedomia o kybernetických hrozbách, obmedzovaním alebo zabraňovaním možnosti šírenia takýchto hrozieb, podporou celej škály obranných kapacít, zverejňovaním informácií o zraniteľnosti a jej nápravou, technikami odhaľovania hrozieb, stratégiami zmierňovania, alebo fázami reakcie a obnovy. |
b) zvyšuje úroveň kybernetickej bezpečnosti, najmä zvyšovaním povedomia o kybernetických hrozbách, obmedzovaním alebo zabraňovaním možnosti šírenia takýchto hrozieb, podporou celej škály obranných kapacít, zverejňovaním informácií o zraniteľnosti a jej nápravou, technikami odhaľovania a prevencie hrozieb, stratégiami zmierňovania, alebo fázami reakcie a obnovy. |
Pozmeňujúci návrh 137
Návrh smernice
Článok 26 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Členské štáty stanovia pravidlá, v ktorých sa konkretizuje postup, operačné prvky (vrátane využívania špecializovaných platforiem IKT), obsah a podmienky dohôd o výmene informácií uvedených v odseku 2. V týchto pravidlách sa stanovia aj podrobnosti o zapojení orgánov verejnej moci do takýchto dohôd, ako aj operačné prvky vrátane využívania špecializovaných IT platforiem. Členské štáty poskytnú pri uplatňovaní takýchto opatrení podporu v súlade so svojimi politikami uvedenými v článku 5 ods. 2 písm. g). |
3. Členské štáty stanovia usmernenia, v ktorých sa konkretizuje postup, operačné prvky (vrátane využívania špecializovaných platforiem IKT), obsah a podmienky dohôd o výmene informácií uvedených v odseku 2. Tieto usmernenia zahŕňajú v prípade potreby aj podrobnosti o zapojení orgánov verejnej moci a nezávislých odborníkov do takýchto dohôd, ako aj operačné prvky vrátane využívania špecializovaných IT platforiem. Členské štáty poskytnú pri uplatňovaní takýchto opatrení podporu v súlade so svojimi politikami uvedenými v článku 5 ods. 2 písm. g). |
Pozmeňujúci návrh 138
Návrh smernice
Článok 26 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Agentúra ENISA podporuje v súlade s právom Únie uzavretie dohôd o výmene informácií o kybernetickej bezpečnosti uvedených v odseku 2 poskytovaním najlepších postupov a usmernení. |
5. Agentúra ENISA podporuje v súlade s právom Únie uzavretie dohôd o výmene informácií o kybernetickej bezpečnosti uvedených v odseku 2 poskytovaním najlepších postupov a usmernení, ako aj tým, že uľahčuje výmenu informácií na úrovni Únie, pričom chráni citlivé obchodné informácie. Na žiadosť kľúčových a dôležitých subjektov sa skupina pre spoluprácu vyzve, aby poskytla najlepšie postupy a usmernenia. |
Pozmeňujúci návrh 139
Návrh smernice
Článok 27 – odsek -1 (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
-1. Členské štáty zabezpečia, aby kľúčové a dôležité subjekty mohli dobrovoľne podávať oznámenia o kybernetických hrozbách, ktoré tieto subjekty zistia a ktoré by mohli potenciálne viesť k závažnému incidentu. Členské štáty zabezpečia, aby subjekty na účely oznámenia konali v súlade s postupom stanoveným v článku 20. V dôsledku dobrovoľného oznámenia nevznikajú oznamujúcemu subjektu žiadne ďalšie povinnosti. |
Pozmeňujúci návrh 140
Návrh smernice
Článok 27 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Členské štáty zabezpečia, aby subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, mohli dobrovoľne podávať oznámenia o závažných incidentoch, kybernetických hrozbách alebo udalostiach odvrátených v poslednej chvíli, a to bez toho, aby bol dotknutý článok 3. Členské štáty pri spracúvaní oznámení konajú v súlade s postupom stanoveným v článku 20. Členské štáty môžu uprednostniť spracúvanie povinných oznámení pred dobrovoľnými oznámeniami. V dôsledku dobrovoľného oznámenia nevznikajú oznamujúcemu subjektu žiadne ďalšie povinnosti, ktoré by sa naň neboli vzťahovali, ak by oznámenie nepodal. |
1. Členské štáty zabezpečia, aby subjekty, ktoré nepatria do rozsahu pôsobnosti tejto smernice, mohli dobrovoľne podávať oznámenia o závažných incidentoch, kybernetických hrozbách alebo udalostiach odvrátených v poslednej chvíli, a to bez toho, aby bol dotknutý článok 3. Členské štáty pri spracúvaní oznámení konajú v súlade s postupom stanoveným v článku 20. Členské štáty uprednostňujú spracúvanie povinných oznámení pred dobrovoľnými oznámeniami. V dôsledku dobrovoľného oznámenia nevznikajú oznamujúcemu subjektu žiadne ďalšie povinnosti, ktoré by sa naň neboli vzťahovali, ak by oznámenie nepodal, príslušný členský štát mu však môže poskytnúť pomoc jednotky CSIRT. |
Pozmeňujúci návrh 141
Návrh smernice
Článok 28 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Členské štáty zabezpečia, aby príslušné orgány účinne monitorovali a prijímali opatrenia potrebné na zabezpečenie súladu s touto smernicou, najmä s povinnosťami stanovenými v článkoch 18 a 20. |
1. Členské štáty zabezpečia, aby príslušné orgány účinne monitorovali a prijímali opatrenia potrebné na zabezpečenie súladu s touto smernicou, najmä s povinnosťami stanovenými v článkoch 18 a 20, a aby im boli poskytnuté primerané prostriedky na výkon ich úloh. |
Pozmeňujúci návrh 142
Návrh smernice
Článok 28 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Príslušné orgány pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, úzko spolupracujú s orgánmi na ochranu údajov. |
2. Príslušné orgány pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, úzko spolupracujú s orgánmi na ochranu údajov vrátane orgánov na ochranu údajov z iných členských štátov, ak je to relevantné. |
Pozmeňujúci návrh 143
Návrh smernice
Článok 29 – odsek 2 – písmeno c
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
c) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom; |
c) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom, ktorý vykoná kvalifikovaný nezávislý subjekt alebo zodpovedný orgán; |
Pozmeňujúci návrh 144
Návrh smernice
Článok 29 – odsek 2 – písmeno f
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
f) žiadostiam o prístup k údajom, dokumentom alebo akýmkoľvek informáciám potrebným na plnenie ich úloh dohľadu; |
f) žiadostiam o prístup k príslušným údajom, dokumentom alebo informáciám potrebným na plnenie ich úloh dohľadu; |
Pozmeňujúci návrh 145
Návrh smernice
Článok 29 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Príslušné orgány pri vykonávaní svojich právomocí podľa odseku 2 písm. e) až g) uvedú účel žiadosti a konkretizujú požadované informácie. |
3. Príslušné orgány pri vykonávaní svojich právomocí podľa odseku 2 písm. e) až g) uvedú účel žiadosti, konkretizujú požadované informácie a svoje žiadosti obmedzia na rozsah incidentu alebo problému vzbudzujúceho obavy. |
Pozmeňujúci návrh 146
Návrh smernice
Článok 29 – odsek 5 – pododsek 1 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) pozastaviť certifikáciu alebo povoľovanie alebo požiadať certifikačný alebo povoľujúci subjekt, aby pozastavil certifikáciu alebo povoľovanie týkajúce sa časti alebo všetkých služieb alebo činností, ktoré poskytuje kľúčový subjekt; |
a) pozastaviť certifikáciu alebo povoľovanie alebo požiadať certifikačný alebo povoľujúci subjekt, aby pozastavil certifikáciu alebo povoľovanie týkajúce sa príslušných služieb alebo činností, ktoré poskytuje kľúčový subjekt; |
Pozmeňujúci návrh 147
Návrh smernice
Článok 29 – odsek 5 – pododsek 1 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) uložiť dočasný zákaz alebo od príslušných orgánov alebo súdov podľa vnútroštátnych zákonov požadovať uloženie dočasného zákazu vykonávať riadiace funkcie v tomto kľúčovom subjekte, a to každej osobe vykonávajúcej riadiace úlohy na úrovni výkonného riaditeľa alebo právneho zástupcu v tomto kľúčovom subjekte a akejkoľvek inej fyzickej osobe zodpovednej za porušenie. |
vypúšťa sa |
Pozmeňujúci návrh 148
Návrh smernice
Článok 30 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Ak členské štáty dostanú dôkaz alebo indíciu, že dôležitý subjekt nedodržiava povinnosti stanovené v tejto smernici, a najmä v článkoch 18 a 20, zabezpečia, aby príslušné orgány konali v prípade potreby prostredníctvom opatrení dohľadu ex post. |
1. Ak členské štáty dostanú dôkaz alebo indíciu, že dôležitý subjekt nedodržiava povinnosti stanovené v tejto smernici, a najmä v článkoch 18 a 20, zabezpečia, aby príslušné orgány konali v prípade potreby a s prihliadnutím na prístup založený na riziku prostredníctvom opatrení dohľadu ex post. |
Pozmeňujúci návrh 149
Návrh smernice
Článok 30 – odsek 2 – písmeno b
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
b) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom; |
b) cieleným bezpečnostným auditom založeným na posúdeniach rizika alebo dostupných informáciách súvisiacich s rizikom, ktorý vykoná kvalifikovaný nezávislý subjekt alebo zodpovedný orgán; |
Pozmeňujúci návrh 150
Návrh smernice
Článok 30 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Príslušné orgány pri vykonávaní svojich právomocí podľa odseku 2 písm. d) alebo e) uvedú účel žiadosti a konkretizujú požadované informácie. |
3. Príslušné orgány pri vykonávaní svojich právomocí podľa odseku 2 písm. d) alebo e) uvedú účel žiadosti, konkretizujú požadované informácie a svoje žiadosti obmedzia na rozsah incidentu alebo problému vzbudzujúceho obavy. |
Pozmeňujúci návrh 151
Návrh smernice
Článok 31 – odsek 4
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
4. Členské štáty zabezpečia, aby sa za porušenia povinností stanovených v článku 18 alebo článku 20 v súlade s odsekmi 2 a 3 tohto článku ukladali správne pokuty v maximálnej výške aspoň 10 000 000 EUR alebo najviac 2 % celkového svetového ročného obratu podniku, ku ktorému kľúčový alebo dôležitý subjekt patrí, v predchádzajúcom účtovnom období, podľa toho, ktorá suma je vyššia. |
4. Členské štáty zabezpečia, aby sa za porušenia povinností stanovených v článku 18 alebo článku 20 v súlade s odsekmi 2 a 3 tohto článku ukladali správne pokuty v maximálnej výške 10 000 000 EUR alebo najviac 2 % celkového svetového ročného obratu podniku, ku ktorému kľúčový alebo dôležitý subjekt patrí, v predchádzajúcom účtovnom období, podľa toho, ktorá suma je vyššia. |
Pozmeňujúci návrh 152
Návrh smernice
Článok 32 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. Ak majú príslušné orgány indície, že kľúčový alebo dôležitý subjekt pri porušení povinností stanovených v článkoch 18 a 20 porušil aj ochranu osobných údajov, ako sa vymedzuje v článku 4 bode 12 nariadenia (EÚ) 2016/679, pričom takéto porušenie sa oznamuje podľa článku 33 uvedeného nariadenia, v primeranej lehote o tom informujú príslušné dozorné orgány podľa článkov 55 a 56 uvedeného nariadenia. |
1. Ak majú príslušné orgány indície, že kľúčový alebo dôležitý subjekt pri porušení povinností stanovených v článkoch 18 a 20 porušil aj ochranu osobných údajov, ako sa vymedzuje v článku 4 bode 12 nariadenia (EÚ) 2016/679, pričom takéto porušenie sa oznamuje podľa článku 33 uvedeného nariadenia, bezodkladne a v každom prípade do 72 hodín o tom informujú príslušné dozorné orgány podľa článkov 55 a 56 uvedeného nariadenia. |
Pozmeňujúci návrh 153
Návrh smernice
Článok 32 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Ak je dozorný orgán, príslušný podľa nariadenia (EÚ) 2016/679, usadený v inom členskom štáte než príslušný orgán, príslušný orgán môže informovať dozorný orgán usadený v tom istom členskom štáte. |
3. Ak je dozorný orgán, príslušný podľa nariadenia (EÚ) 2016/679, usadený v inom členskom štáte než príslušný orgán, príslušný orgán informuje aj dozorný orgán usadený v tom istom členskom štáte. |
Pozmeňujúci návrh 154
Návrh smernice
Článok 36 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Právomoc prijímať delegované akty uvedené v článku 18 ods. 6 a článku 21 ods. 2 sa Komisii udeľuje na obdobie piatich rokov od [...]. |
2. Právomoc prijímať delegované akty uvedené v článku 18 ods. 5 a článku 20 ods. 3 sa Komisii udeľuje na obdobie piatich rokov od [...]. |
Pozmeňujúci návrh 155
Návrh smernice
Článok 36 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Delegovanie právomoci uvedené v článku 18 ods. 6 a článku 21 ods. 2 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť. |
3. Delegovaný akt prijatý podľa článku 18 ods. 5 a článku 20 ods. 3 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote troch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o tri mesiace. |
Pozmeňujúci návrh 156
Návrh smernice
Článok 36 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Delegovaný akt prijatý podľa článku 18 ods. 6 a článku 21 ods. 2 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace. |
6. Delegovaný akt prijatý podľa článku 18 ods. 5 a článku 20 ods. 3 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace. |
PRÍLOHA: ZOZNAM SUBJEKTOV ALEBO OSÔB,
KTORÉ SPRAVODAJCOVI POSKYTLI PODNETY
Tento zoznam bol vypracovaný úplne dobrovoľne na základe výlučnej zodpovednosti spravodajcu. Spravodajca pri príprave stanoviska až po jeho prijatie vo výbore získal podnety od týchto subjektov alebo fyzických osôb:
Osoba |
Subjekt |
|
BSA (The Software Alliance) |
|
BusinessEurope |
|
Konfederácia dánskeho priemyslu |
|
Stále zastúpenie Dánska |
|
Deutsche Telekom |
|
Digital Europe |
|
DOT Europe |
|
ETNO (Združenie európskych prevádzkovateľov telekomunikačných sietí) |
|
Stále zastúpenie Francúzska |
|
Stále zastúpenie Nemecka |
|
HUAWEI |
|
IFPI |
|
INTEL |
|
ITI (The Information Technology Industry Council) |
|
Kaspersky |
|
MÆRSK |
|
Microsoft |
|
ICANN |
|
MOTION PICTURE ASSOCIATION |
|
Orgalim |
|
Palo Alto Networks |
|
Rettighedsalliancen |
POSTUP VÝBORU POŽIADANÉHO O STANOVISKO
Názov |
Opatrenia na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a zrušenie smernice (EÚ) 2016/1148 |
|||
Referenčné čísla |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Gestorský výbor dátum oznámenia na schôdzi |
ITRE 21.1.2021 |
|
|
|
Výbor požiadaný o stanovisko dátum oznámenia na schôdzi |
IMCO 21.1.2021 |
|||
Spravodajca výboru požiadaného o stanovisko dátum vymenovania |
Morten Løkkegaard 9.2.2021 |
|||
Prerokovanie vo výbore |
26.5.2021 |
21.6.2021 |
|
|
Dátum prijatia |
12.7.2021 |
|
|
|
Výsledok záverečného hlasovania |
+: –: 0: |
42 1 2 |
||
Poslanci prítomní na záverečnom hlasovaní |
Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Brando Benifei, Adam Bielan, Hynek Blaško, Biljana Borzan, Vlad-Marius Botoş, Markus Buchheit, Andrea Caroppo, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Carlo Fidanza, Evelyne Gebhardt, Alexandra Geese, Sandro Gozi, Maria Grapini, Svenja Hahn, Virginie Joron, Eugen Jurzyca, Marcel Kolaja, Kateřina Konečná, Andrey Kovatchev, Jean-Lin Lacapelle, Maria-Manuel Leitão-Marques, Morten Løkkegaard, Antonius Manders, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein, Marco Zullo |
|||
Náhradníci prítomní na záverečnom hlasovaní |
Clara Aguilera, Maria da Graça Carvalho, Christian Doleschal, Claude Gruffat, Jiří Pospíšil, Kosma Złotowski |
|||
ZÁVEREČNÉ HLASOVANIE PODĽA MIEN VO VÝBORE POŽIADANOM O STANOVISKO
42 |
+ |
ECR |
Adam Bielan, Carlo Fidanza, Kosma Złotowski |
ID |
Alessandra Basso, Hynek Blaško, Markus Buchheit, Virginie Joron, Jean‑Lin Lacapelle |
PPE |
Pablo Arias Echeverría, Andrea Caroppo, Maria da Graça Carvalho, Deirdre Clune, Christian Doleschal, Andrey Kovatchev, Antonius Manders, Jiří Pospíšil, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein |
Renew |
Andrus Ansip, Vlad‑Marius Botoş, Dita Charanzová, Sandro Gozi, Morten Løkkegaard, Marco Zullo |
S&D |
Alex Agius Saliba, Clara Aguilera, Brando Benifei, Biljana Borzan, Evelyne Gebhardt, Maria Grapini, Maria‑Manuel Leitão‑Marques, Leszek Miller, Christel Schaldemose |
The Left |
Kateřina Konečná, Anne‑Sophie Pelletier |
Verts/ALE |
Anna Cavazzini, David Cormand, Alexandra Geese, Claude Gruffat, Marcel Kolaja |
1 |
- |
NI |
Miroslav Radačovský |
2 |
0 |
ECR |
Eugen Jurzyca |
Renew |
Svenja Hahn |
Vysvetlenie použitých znakov:
+ : za
- : proti
0 : zdržali sa hlasovania
STANOVISKO VÝBORU PRE DOPRAVU A CESTOVNÝ RUCH (14. 7. 2021)
pre Výbor pre priemysel, výskum a energetiku
k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148
(COM(2020)0823 – C9‑0422/2020 – 2020/0359(COD))
Spravodajca výboru požiadaného o stanovisko: Jakop G. Dalunde
STRUČNÉ ODÔVODNENIE
Odvetvie dopravy je čoraz zraniteľnejšie voči kybernetickým bezpečnostným hrozbám a je nimi stále viac zasiahnuté. Doprava má vzhľadom na svoje osobitné črty aj viacero výrazných zraniteľných miest. Hoci pozmeňujúce návrhy v tomto návrhu stanoviska sú všeobecnej povahy, navrhujú sa so zreteľom na tieto osobitosti. Návrhy sú relevantné pre dopravu z týchto dôvodov:
doprava je často medzinárodným podnikaním, v ktorom mnohé subjekty patria do jurisdikcie viacerých členských štátov. Odvetvie dopravy je preto výrazne ovplyvnené veľkými rozdielmi v povinnostiach v oblasti riadenia a oznamovania kyberneticko-bezpečnostných rizík medzi členskými štátmi.
Je závislé od bezpečnej výmeny údajov medzi jednotlivými aktérmi. Vzhľadom na prepojenú povahu logistiky by nedostatočná kybernetická bezpečnosť jedného subjektu mohla ohroziť celý systém a viesť k vážnym dôsledkom pre činnosť iných subjektov.
Doprava je odvetvím s vysokým podielom ľudskej práce, a preto je obzvlášť citlivá na kyberneticko-bezpečnostné hrozby zamerané na zamestnancov.
Z týchto dôvodov sa pozmeňujúce návrhy zameriavajú na tieto témy: posúdenie miery rozdielov medzi členskými štátmi, pokiaľ ide o povinnosti v oblasti kybernetickej bezpečnosti, snaha o zosúladenie týchto povinností nelegislatívnymi prostriedkami, podpora odbornej prípravy zamestnancov a vedomostí o rizikách v oblasti kybernetickej bezpečnosti.
Okrem týchto všeobecných otázok treba poznamenať, že odvetvie dopravy čoraz viac využíva diaľkové snímače schopné pripojiť sa na internet pri poskytovaní služieb a že samotné vozidlá sú čoraz viac digitalizované. Hoci tieto zariadenia nie sú nevyhnutne súčasťou širších informačných systémov, môžu si vyžadovať osobitné posúdenia bezpečnosti.
POZMEŇUJÚCE NÁVRHY
Výbor pre dopravu a cestovný ruch vyzýva Výbor pre priemysel, výskum a energetiku, aby ako gestorský výbor vzal do úvahy tieto pozmeňujúce návrhy:
Pozmeňujúci návrh 1
Návrh smernice
Odôvodnenie 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(3) Siete a informačné systémy sa spolu s rýchlou digitálnou transformáciou a prepojenosťou spoločnosti, a to aj pri cezhraničných výmenách, stali bežnou súčasťou každodenného života. Tento vývoj viedol k nárastu kybernetickobezpečnostných hrozieb a prináša nové výzvy, ktoré si vyžadujú prispôsobené, koordinované a inovatívne reakcie vo všetkých členských štátoch. Počet, rozsah, sofistikovanosť, frekvencia a vplyv kybernetickobezpečnostných incidentov sa zvyšujú a pre fungovanie sietí a informačných systémov predstavujú veľkú hrozbu. Vo výsledku môžu takéto incidenty zabraňovať realizácii ekonomických aktivít na vnútornom trhu, spôsobovať finančné straty, narúšať dôveru používateľov a spôsobovať značné škody spoločnosti a hospodárstvu Únie. Pripravenosť a účinnosť v oblasti kybernetickej bezpečnosti sú preto teraz pre riadne fungovanie vnútorného trhu dôležitejšie ako kedykoľvek predtým. |
(3) Siete a informačné systémy sa spolu s rýchlou digitálnou transformáciou a prepojenosťou spoločnosti, a to aj pri cezhraničných výmenách, stali bežnou súčasťou každodenného života, čo prispelo k rastu nových obchodných modelov a služieb, ako sú napríklad tie, ktoré sa týkajú gig ekonomiky, hospodárstva založeného na dopyte a hospodárstva platforiem vrátane cezhraničných výmen a koncepcie „mobilita ako služba“(MaaS). Tento vývoj viedol k nárastu kybernetickobezpečnostných hrozieb a prináša nové výzvy, ktoré si vyžadujú prispôsobené, koordinované a inovatívne reakcie vo všetkých členských štátoch. Počet, rozsah, sofistikovanosť, frekvencia a vplyv kybernetickobezpečnostných incidentov sa zvyšujú a pre fungovanie sietí a informačných systémov predstavujú veľkú hrozbu. Vo výsledku môžu takéto incidenty poškodiť blaho spoločnosti, zabraňovať realizácii ekonomických aktivít na vnútornom trhu, ako aj sociálnych činností, spôsobovať finančné straty, narúšať dôveru používateľov a pracovníkov, spôsobovať značné škody spoločnosti a hospodárstvu Únie alebo dokonca predstavovať teroristickú hrozbu. Pripravenosť a účinnosť v oblasti kybernetickej bezpečnosti sú preto teraz pre ochranu základných práv a slobôd Únie a pre riadne fungovanie vnútorného trhu dôležitejšie ako kedykoľvek predtým. Kybernetická bezpečnosť je navyše kľúčovým faktorom, ktorý mnohým kritickým odvetviam, ako je doprava, umožňuje úspešne zvládnuť digitálnu transformáciu a plne využiť hospodárske, sociálne a udržateľné prínosy digitalizácie. |
Pozmeňujúci návrh 2
Návrh smernice
Odôvodnenie 9
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(9) Táto smernica by sa však mala vzťahovať aj na malé subjekty alebo mikrosubjekty spĺňajúce určité kritériá, ktoré sú ukazovateľom kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov alebo pre určité odvetvia či druhy služieb. Členské štáty by mali byť zodpovedné za vypracovanie zoznamu takýchto subjektov a mali by ho predložiť Komisii. |
(9) Táto smernica by sa však mala vzťahovať aj na malé subjekty alebo mikrosubjekty spĺňajúce určité kritériá, ktoré sú ukazovateľom kľúčovej úlohy pre hospodárstva alebo spoločnosti členských štátov alebo pre určité odvetvia či druhy služieb. Členské štáty by mali byť zodpovedné za vypracovanie zoznamu takýchto subjektov a mali by ho predložiť Komisii. Tento postup by sa mal vykonávať s plným vedomím špecifickosti malých a stredných podnikov (MSP) a nemal by predstavovať nadmernú administratívnu záťaž pre MSP. |
Pozmeňujúci návrh 3
Návrh smernice
Odôvodnenie 10
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(10) Komisia môže v spolupráci so skupinou pre spoluprácu vydať usmernenia o vykonávaní kritérií uplatniteľných na mikropodniky a malé podniky. |
(10) Komisia môže v spolupráci so skupinou pre spoluprácu a relevantnými zainteresovanými stranami vydať usmernenia o vykonávaní kritérií uplatniteľných na mikropodniky a malé podniky. Komisia by takisto mala zabezpečiť, aby sa všetkým mikropodnikom a malým podnikom, ktoré patria do rozsahu pôsobnosti tejto smernice, poskytli primerané usmernenia. Komisia by v tejto súvislosti mala s podporou členských štátov poskytovať informácie mikropodnikom a malým podnikom. . |
Pozmeňujúci návrh 4
Návrh smernice
Odôvodnenie 12
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(12) Právne predpisy a nástroje špecifické pre jednotlivé odvetvia môžu prispieť k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti pri plnom zohľadnení špecifík a zložitosti týchto odvetví. Ak sa v právnom akte Únie špecifickom pre určité odvetvia vyžaduje, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetickobezpečnostných rizík, alebo aby oznamovali incidenty alebo závažné kybernetické hrozby a táto povinnosť má mať aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, mali by sa uplatňovať dané ustanovenia pre určité odvetvia vrátane ustanovení o dohľade a presadzovaní práva. Komisia môže vydať usmernenia týkajúce sa vykonávania lex specialis. Touto smernicou sa nebráni prijatiu ďalších odvetvových aktov Únie, ktoré sa zaoberajú opatreniami na riadenie kybernetickobezpečnostných rizík a oznamovaním incidentov. Touto smernicou nie sú dotknuté existujúce vykonávacie právomoci, ktoré boli Komisii udelené vo viacerých odvetviach vrátane dopravy a energetiky. |
(12) Právne predpisy a nástroje špecifické pre jednotlivé odvetvia môžu prispieť k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti pri plnom zohľadnení špecifík a zložitosti týchto odvetví. Ak sa v právnom akte Únie špecifickom pre určité odvetvia vyžaduje, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetickobezpečnostných rizík, alebo aby oznamovali incidenty alebo závažné kybernetické hrozby a táto povinnosť má mať aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, mali by sa uplatňovať dané ustanovenia pre určité odvetvia vrátane ustanovení o dohľade a presadzovaní práva. S cieľom predísť právnej neistote pri výklade a uplatňovaní tejto smernice by Komisia mala zabezpečiť súlad medzi touto smernicou a uplatniteľnými odvetvovými právnymi predpismi. Na tento účel by Komisia mala identifikovať duplicitu a nadbytočnosť v príslušných právnych predpisoch, regulačných požiadavkách alebo postupoch s cieľom odstrániť ich. Komisia môže vydať usmernenia týkajúce sa vykonávania lex specialis. Touto smernicou sa nebráni prijatiu ďalších odvetvových aktov Únie, ktoré sa zaoberajú opatreniami na riadenie kybernetickobezpečnostných rizík a oznamovaním incidentov. Touto smernicou nie sú dotknuté existujúce vykonávacie právomoci, ktoré boli Komisii udelené vo viacerých odvetviach vrátane dopravy a energetiky. |
Pozmeňujúci návrh 5
Návrh smernice
Odôvodnenie 15 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(15a) Zvýšená digitalizácia kľúčových hospodárskych odvetví, ako je doprava, by sa mala uskutočňovať bezpečne a budovať s prirodzenou odolnosťou, aby sa zabezpečilo, že celý dodávateľský reťazec bude primerane reagovať na riziká a hrozby. Preto je potrebný koordinovaný prístup, ktorým sa zabezpečí minimálna úroveň bezpečnosti pripojených zariadení, najmä ak sa vyskytujú v odvetviach, ako je doprava, a ak sú súčasťou vozidiel a štandardne zavádzajú šifrovanie medzi koncovými zariadeniami. |
Pozmeňujúci návrh 6
Návrh smernice
Odôvodnenie 17
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(17) Vzhľadom na vznik inovačných technológií a nových obchodných modelov sa očakáva, že sa na trhu objavia nové modely zavádzania cloud computingu a služieb v reakcii na vyvíjajúce sa potreby zákazníkov. V tejto súvislosti sa služby cloud computingu môžu poskytovať vo vysoko distribuovanej forme, ešte bližšie k miestu, kde sa údaje generujú alebo zhromažďujú, čím sa prechádza od tradičného modelu k vysoko distribuovanému modelu („edge computing“). |
(17) Vzhľadom na vznik inovačných technológií, ako je umelá inteligencia, a nových obchodných modelov a nových modelov flexibilnej a diaľkovej práce sa očakáva, že sa na trhu objavia nové modely zavádzania cloud computingu a služieb v reakcii na vyvíjajúce sa potreby zákazníkov a podnikov. V tejto súvislosti sa služby cloud computingu môžu poskytovať vo vysoko distribuovanej forme, ešte bližšie k miestu, kde sa údaje generujú alebo zhromažďujú, čím sa prechádza od tradičného modelu k vysoko distribuovanému modelu („edge computing“). |
Pozmeňujúci návrh 7
Návrh smernice
Odôvodnenie 18 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(18a) Keďže zavedenie autonómnej mobility prinesie značné výhody, ale bude zahŕňať aj rôzne nové riziká, najmä pokiaľ ide o bezpečnosť cestnej premávky, kybernetickú bezpečnosť, práva duševného vlastníctva, otázky týkajúce sa ochrany údajov a prístupu k údajom, technickú infraštruktúru, normalizáciu a zamestnanosť, je nevyhnutné zabezpečiť, aby právny rámec Únie primerane reagoval na tieto výzvy a účinne riadil všetky riziká spojené s bezpečnosťou sietí a informačných systémov. |
Pozmeňujúci návrh 8
Návrh smernice
Odôvodnenie 18 b (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(18b) Pandémia koronavírusu preukázala význam prípravy Únie na digitálne desaťročie a potrebu neustále zlepšovať kybernetickú odolnosť. Cieľom tejto smernice je preto stanoviť minimálne pravidlá týkajúce sa fungovania koordinovaného regulačného rámca s cieľom umožniť digitálnu transformáciu, inovácie v oblasti autonómnej dopravy, logistiky a riadenia dopravy vo všetkých druhoch dopravy a zlepšiť medzi používateľmi, najmä mikropodnikmi, MSP a startupmi, odolnosť proti kybernetickým útokom a schopnosť riešiť slabé miesta. |
Pozmeňujúci návrh 9
Návrh smernice
Odôvodnenie 19
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(19) Poskytovatelia poštových služieb v zmysle smernice Európskeho parlamentu a Rady 97/67/ES18, ako aj poskytovatelia expresných a kuriérskych doručovacích služieb by mali podliehať tejto smernici, ak zabezpečujú aspoň jeden z krokov v reťazci poštového doručovania, a to najmä vyberanie, triedenie alebo distribúciu vrátane služieb zberu. Dopravné služby, ktoré sa nevykonávajú v spojení s jedným z týchto krokov, by nemali patriť do rozsahu poštových služieb. |
(19) Poskytovatelia poštových služieb v zmysle smernice Európskeho parlamentu a Rady 97/67/ES18, ako aj poskytovatelia expresných a kuriérskych doručovacích služieb by mali podliehať tejto smernici, ak zabezpečujú aspoň jeden z krokov v reťazci poštového doručovania, a to najmä vyberanie, triedenie alebo distribúciu vrátane služieb zberu. Dopravné alebo doručovacie služby, ktoré sa nevykonávajú v spojení s jedným z týchto krokov, by nemali patriť do rozsahu poštových služieb. |
__________________ |
__________________ |
18 Smernica Európskeho parlamentu a Rady 97/67/ES z 15. decembra 1997 o spoločných pravidlách rozvoja vnútorného trhu poštových služieb Spoločenstva a zlepšovaní kvality služieb (Ú. v. ES L 15, 21.1.1998, s. 14). |
18 Smernica Európskeho parlamentu a Rady 97/67/ES z 15. decembra 1997 o spoločných pravidlách rozvoja vnútorného trhu poštových služieb Spoločenstva a zlepšovaní kvality služieb (Ú. v. ES L 15, 21.1.1998, s. 14). |
Pozmeňujúci návrh 10
Návrh smernice
Odôvodnenie 27 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(27a) Členské štáty by mali vo svojich vnútroštátnych stratégiách kybernetickej bezpečnosti riešiť osobitné kyberneticko-bezpečnostné potreby MSP, konkrétne nízku kybernetickú informovanosť, chýbajúcu bezpečnosť IT na diaľku, vysoké náklady na riešenia v oblasti kybernetickej bezpečnosti a zvýšenú mieru ohrozenia. Členské štáty by mali zriadiť kontaktné miesto pre kybernetickú bezpečnosť pre MSP, aby tieto mali prístup k relevantným informáciám, službám a usmerneniam. |
Pozmeňujúci návrh 11
Návrh smernice
Odôvodnenie 33
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(33) Pri vypracúvaní usmerňujúcich dokumentov by skupina pre spoluprácu mala dôsledne: zmapovať vnútroštátne riešenia a skúsenosti, posúdiť vplyv výstupov skupiny pre spoluprácu na vnútroštátne prístupy, diskutovať o výzvach pri vykonávaní a formulovať konkrétne odporúčania, ktorými sa má dosiahnuť lepšie vykonávanie existujúcich pravidiel. |
(33) Pri vypracúvaní usmerňujúcich dokumentov by skupina pre spoluprácu mala dôsledne: zmapovať vnútroštátne riešenia a skúsenosti, posúdiť vplyv výstupov skupiny pre spoluprácu na vnútroštátne prístupy, diskutovať o výzvach pri vykonávaní a formulovať konkrétne odporúčania, ktorými sa má dosiahnuť lepšie vykonávanie existujúcich pravidiel, najmä pokiaľ ide o uľahčenie zosúladenia transpozície tejto smernice medzi členskými štátmi. Skupina pre spoluprácu by mala zmapovať aj vnútroštátne riešenia s cieľom podporiť kompatibilitu riešení v oblasti kybernetickej bezpečnosti uplatňovaných v každom konkrétnom sektore v celej Európe. Týka sa to najmä odvetví, ktoré majú medzinárodný a cezhraničný charakter, ako je doprava. |
Pozmeňujúci návrh 12
Návrh smernice
Odôvodnenie 34
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(34) Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mala by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny a zhromažďovať informácie o nových politických výzvach. S cieľom posilniť spoluprácu na úrovni Únie by skupina mala zvážiť prizývanie orgánov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako je Európske centrum boja proti počítačovej kriminalite (EC3), Agentúra Európskej únie pre bezpečnosť letectva (EASA) a Agentúra Európskej únie pre vesmírny program (EUSPA), k účasti na jej práci. |
(34) Skupina pre spoluprácu by mala zostať flexibilným fórom a mala by byť schopná reagovať na meniace sa a nové politické priority a výzvy a zároveň zohľadňovať dostupnosť zdrojov. Mala by organizovať pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny a zhromažďovať informácie o nových politických výzvach. S cieľom posilniť spoluprácu na úrovni Únie by skupina mala v prípade potreby zvážiť prizývanie orgánov a agentúr Únie zapojených do politiky v oblasti kybernetickej bezpečnosti, ako sú Európske centrum boja proti počítačovej kriminalite (EC3), Európske centrum odvetvových, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti, agentúry Európskej únie zodpovedné za bezpečnú dopravu – Agentúra Európskej únie pre bezpečnosť letectva (EASA), Európska námorná bezpečnostná agentúra (EMSA), Železničná agentúra Európskej únie (ERA) – Agentúra Európskej únie pre vesmírny program (EUSPA) a akýkoľvek iný orgán a agentúra, ktorých odborné znalosti sú relevantné pre diskusie skupiny, k účasti na jej práci. |
Pozmeňujúci návrh 13
Návrh smernice
Odôvodnenie 37 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(37a) Príliš veľké rozdiely v povinnostiach v oblasti riadenia a oznamovania kybernetickobezpečnostných rizík pri transpozícii tejto smernice členskými štátmi by mohli ohroziť celkovú úroveň kybernetickej bezpečnosti v Únii. Agentúra ENISA by preto mala v spolupráci s Komisiou vo svojej dvojročnej správe o stave kybernetickej bezpečnosti v Únii posúdiť rozsah rozdielov v povinnostiach v oblasti riadenia a oznamovania kybernetickobezpečnostných rizík medzi členskými štátmi. |
Pozmeňujúci návrh 14
Návrh smernice
Odôvodnenie 46 a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(46a) V záujme zachovania a ochrany kritických dodávateľských reťazcov by sa pozornosť mala zamerať aj na ochranu celého dopravného a logistického reťazca. Dopravný a logistický reťazec pozostáva z veľkého počtu vzájomne prepojených aktérov a systémov, kde sa tovar prepravuje intermodálnym spôsobom leteckou, cestnou, železničnou, vnútrozemskou vodnou a námornou dopravou. Tento proces si vyžaduje rýchlu a spoľahlivú výmenu údajov medzi rôznymi článkami dopravného a logistického reťazca prostredníctvom rôznych rozhraní. Vzhľadom na prepojenosť rôznych článkov reťazca predstavuje nedostatočná kybernetická bezpečnosť riziko ohrozenia fungovania celého reťazca prostredníctvom domino efektov vyvolaných kybernetickým incidentom v jednej alebo viacerých častiach dopravného a logistického reťazca. |
Pozmeňujúci návrh 15
Návrh smernice
Odôvodnenie 47
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(47) Pri posudzovaní rizík v dodávateľskom reťazci by sa vzhľadom na vlastnosti dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory vrátane tých, ktoré sú vymedzené v odporúčaní (EÚ) 2019/534, v celoeurópskom koordinovanom posúdení rizika bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu rizika, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby, systémy alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb, systémov alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb, systémov alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb, systémov alebo produktov IKT voči rušivým udalostiam a v) v prípade vznikajúcich služieb, systémov alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. |
(47) Pri posudzovaní rizík v dodávateľskom reťazci by sa vzhľadom na vlastnosti dotknutého odvetvia mali zohľadniť technické a v relevantných prípadoch aj netechnické faktory vrátane tých, ktoré sú vymedzené v odporúčaní (EÚ) 2019/534, v celoeurópskom koordinovanom posúdení rizika bezpečnosti sietí 5G a v súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G, na ktorom sa dohodla skupina pre spoluprácu. Pri určovaní dodávateľských reťazcov, ktoré by mali podliehať koordinovanému posúdeniu rizika, by sa mali zohľadniť tieto kritériá: i) rozsah, v akom kľúčové a dôležité subjekty využívajú konkrétne kritické služby, systémy alebo produkty IKT a spoliehajú sa na ne; ii) relevantnosť konkrétnych kritických služieb, systémov alebo produktov IKT pre vykonávanie kritických alebo citlivých funkcií vrátane spracúvania osobných údajov; iii) dostupnosť alternatívnych služieb, systémov alebo produktov IKT; iv) odolnosť celkového dodávateľského reťazca služieb, systémov alebo produktov IKT proti rušivým udalostiam; iva) rozsah, v akom sú špecifické kritické služby, systémy alebo produkty IKT, ktoré spotrebitelia priamo používajú, odolné a v súlade s prístupom ústretovým voči zákazníkom; a v) v prípade vznikajúcich služieb, systémov alebo produktov IKT ich potenciálny budúci význam pre činnosti subjektov. |
Pozmeňujúci návrh 16
Návrh smernice
Odôvodnenie 55
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
(55) V tejto smernici sa stanovuje dvojfázový prístup k oznamovaniu incidentov s cieľom nájsť správnu rovnováhu medzi rýchlym oznamovaním na jednej strane, ktoré pomáha zmierniť potenciálne šírenie incidentov a umožňuje subjektom hľadať podporu, a na druhej strane podávaním podrobných správ, v ktorých sa čerpajú cenné ponaučenia z jednotlivých incidentov a časom sa zlepšuje odolnosť jednotlivých podnikov a celých odvetví voči kybernetickým hrozbám. Ak sa subjekty dozvedia o incidente, malo by sa od nich vyžadovať, aby do 24 hodín predložili prvotné oznámenie, po ktorom bude najneskôr do jedného mesiaca nasledovať konečná správa. Prvotné oznámenie by malo obsahovať len informácie, ktoré sú nevyhnutne potrebné na to, aby sa príslušné orgány dozvedeli o incidente a v prípade potreby umožnili subjektu požiadať o pomoc. V takomto oznámení by sa prípadne malo uviesť, či je incident pravdepodobne spôsobený protiprávnym alebo zlomyseľným konaním. Členské štáty by mali zabezpečiť, aby požiadavka na predloženie tohto prvotného oznámenia neodklonila zdroje oznamujúceho subjektu od činností súvisiacich s riešením incidentov, ktoré by sa mali uprednostniť. S cieľom zabrániť tomu, aby sa z dôvodu povinností oznamovania incidentov odkláňali zdroje od riešenia reakcie na incidenty alebo aby sa inak ohrozilo úsilie subjektov v tejto súvislosti, by členské štáty mali takisto stanoviť, že v riadne odôvodnených prípadoch a po dohode s príslušnými orgánmi alebo jednotkami CSIRT sa dotknutý subjekt môže odchýliť od lehoty 24 hodín pre prvotné oznámenie a od lehoty jedného mesiaca pre záverečnú správu. |
(55) V tejto smernici sa stanovuje dvojfázový prístup k oznamovaniu incidentov s cieľom nájsť správnu rovnováhu medzi rýchlym oznamovaním na jednej strane, ktoré pomáha zmierniť potenciálne šírenie incidentov a umožňuje subjektom hľadať podporu, a na druhej strane podávaním podrobných správ, v ktorých sa čerpajú cenné ponaučenia z jednotlivých incidentov a časom sa zlepšuje odolnosť jednotlivých podnikov a celých odvetví voči kybernetickým hrozbám. Ak sa subjekty dozvedia o incidente, malo by sa od nich vyžadovať, aby do 36 hodín predložili prvotné oznámenie, po ktorom bude najneskôr do jedného mesiaca nasledovať konečná správa. Prvotné oznámenie by malo obsahovať len informácie, ktoré sú nevyhnutne potrebné na to, aby sa príslušné orgány dozvedeli o incidente a v prípade potreby umožnili subjektu požiadať o pomoc. V takomto oznámení by sa prípadne malo uviesť, či je incident pravdepodobne spôsobený protiprávnym alebo zlomyseľným konaním. Členské štáty by mali zabezpečiť, aby požiadavka na predloženie tohto prvotného oznámenia neodklonila zdroje oznamujúceho subjektu od činností súvisiacich s riešením incidentov, ktoré by sa mali uprednostniť. S cieľom zabrániť tomu, aby sa z dôvodu povinností oznamovania incidentov odkláňali zdroje od riešenia reakcie na incidenty alebo aby sa inak ohrozilo úsilie subjektov v tejto súvislosti, by členské štáty mali takisto stanoviť, že v riadne odôvodnených prípadoch a po dohode s príslušnými orgánmi alebo jednotkami CSIRT sa dotknutý subjekt môže odchýliť od lehoty 36 hodín pre prvotné oznámenie a od lehoty jedného mesiaca pre záverečnú správu. |
Pozmeňujúci návrh 17
Návrh smernice
Článok 2 – odsek 2 – pododsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
Členské štáty vypracujú zoznam subjektov identifikovaných podľa písmen b) až f) a predložia ho Komisii do [6 mesiacov po uplynutí lehoty na transpozíciu]. Členské štáty zoznam pravidelne preskúmavajú, a to následne aspoň každé dva roky a v prípade potreby ho aktualizujú. |
Členské štáty v úzkej spolupráci s príslušnými zainteresovanými stranami odvetvia vypracujú zoznam subjektov identifikovaných podľa písmen b) až f) a predložia ho Komisii do [6 mesiacov po uplynutí lehoty na transpozíciu]. Členské štáty zoznam pravidelne preskúmavajú, a to následne aspoň každé dva roky a v prípade potreby ho aktualizujú. |
Pozmeňujúci návrh 18
Návrh smernice
Článok 2 – odsek 6
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
6. Ak sa v ustanoveniach právnych aktov Únie špecifických pre určité odvetvie vyžaduje, aby kľúčové alebo dôležité subjekty buď prijali opatrenia na riadenie kybernetickobezpečnostných rizík, alebo aby oznamovali incidenty alebo závažné kybernetické hrozby, a ak majú tieto požiadavky aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, príslušné ustanovenia tejto smernice vrátane ustanovení o dohľade a presadzovaní práva v kapitole VI sa neuplatňujú. |
6. Ak sa v ustanoveniach právnych aktov Únie špecifických pre určité odvetvie vyžaduje, aby kľúčové alebo dôležité subjekty buď prijali opatrenia na riadenie kybernetickobezpečnostných rizík, alebo aby oznamovali incidenty alebo závažné kybernetické hrozby, a ak majú tieto požiadavky aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, a to aj pokiaľ ide o právomocí, mandát a funkcie príslušných dozorných orgánov, príslušné ustanovenia tejto smernice vrátane ustanovení o dohľade a presadzovaní práva v kapitole VI sa neuplatňujú. |
Pozmeňujúci návrh 19
Návrh smernice
Článok 5 – odsek 2 – písmeno h
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
h) politiku zameranú na špecifické potreby MSP, najmä tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám. |
h) politiku zameranú na špecifické potreby MSP, najmä tých MSP, ktoré sú vylúčené z rozsahu pôsobnosti tejto smernice, v súvislosti s usmerneniami, poskytovaním potrebných a komplexných informácií a podporou pri zlepšovaní ich odolnosti voči kybernetickobezpečnostným hrozbám. |
Pozmeňujúci návrh 20
Návrh smernice
Článok 12 – odsek 4 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) poskytovanie usmernení príslušným orgánom v súvislosti s transpozíciou a vykonávaním tejto smernice; |
a) poskytovanie usmernení príslušným orgánom v súvislosti s transpozíciou a vykonávaním tejto smernice s cieľom minimalizovať rozdiely medzi členskými štátmi v oblasti riadenia kybernetickobezpečnostných rizík a noriem oznamovacej povinnosti; |
Pozmeňujúci návrh 21
Návrh smernice
Článok 12 – odsek 4 – písmeno b a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
(ba) zmapovanie vnútroštátnych riešení s cieľom podporiť kompatibilitu riešení v oblasti kybernetickej bezpečnosti uplatňovaných v každom konkrétnom sektore v celej Únii; |
Pozmeňujúci návrh 22
Návrh smernice
Článok 15 – odsek 1 – písmeno c a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ca) miera rozdielnosti v povinnostiach v oblasti riadenia a oznamovania kybernetickobezpečnostných rizík medzi členskými štátmi a rozsah, v akom táto rozdielnosť ovplyvňuje spoločnú úroveň kybernetickej bezpečnosti v Únii. |
Pozmeňujúci návrh 23
Návrh smernice
Článok 16 – odsek 1 – bod iii a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
iiia) odporúčania o tom, ako zlepšiť súdržnosť a právnu istotu pri výklade a uplatňovaní tejto smernice a uplatniteľných odvetvových právnych predpisov, s dôrazom na identifikáciu a odstránenie duplicity a nadbytočnosti v príslušných právnych predpisoch, regulačných požiadavkách alebo postupoch; |
Pozmeňujúci návrh 24
Návrh smernice
Článok 18 – odsek 2 – písmeno b a (nové)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
ba) politiky, programy a postupy na zabezpečenie toho, aby zamestnanci mali primerané vedomosti na odhalenie kybernetickobezpečnostných rizík a praktické skúsenosti, ktoré spĺňajú vysoké normy kybernetickej bezpečnosti; |
Pozmeňujúci návrh 25
Návrh smernice
Článok 18 – odsek 2 – písmeno e
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
e) bezpečnosť pri nadobúdaní, vývoji a údržbe sietí a informačných systémov vrátane riešenia zraniteľností a zverejňovania informácií o zraniteľnostiach; |
e) bezpečnosť sieťových a informačných systémov vrátane mobilných prvkov, ako sú vozidlá a diaľkové snímače, pri ich nadobúdaní, vývoji a údržbe, ako aj riešení zraniteľností a zverejňovania informácií o nich; |
Pozmeňujúci návrh 26
Návrh smernice
Článok 18 – odsek 5
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
5. Komisia môže prijať vykonávacie akty s cieľom stanoviť technické a metodické špecifikácie prvkov uvedených v odseku 2. Pri vypracúvaní týchto aktov Komisia postupuje v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2, a v čo najväčšej možnej miere dodržiava medzinárodné a európske normy, ako aj príslušné technické špecifikácie. |
5. Komisia môže prijať delegované akty s cieľom stanoviť technické a metodické špecifikácie prvkov uvedených v odseku 2. Delegované akty sa prijímajú v súlade s článkom 36 a v čo najväčšej možnej miere sa dodržiavajú medzinárodné a európske normy, ako aj príslušné technické špecifikácie. |
Pozmeňujúci návrh 27
Návrh smernice
Článok 18 – odsek 6 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
6a. S cieľom zabezpečiť účinnú politiku a uľahčiť jej vykonávanie Komisia vedie konzultácie so základnými a dôležitými subjektmi, najmä pred prijatím delegovaných aktov uvedených v odsekoch 5 a 6. |
Pozmeňujúci návrh 28
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno a
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
a) bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia incidentu prvotné oznámenie, v ktorom sa prípadne uvedie, či incident pravdepodobne spôsobilo nezákonné alebo zlomyseľné konanie; |
a) bez zbytočného odkladu a v každom prípade do 36 hodín od zistenia incidentu prvotné oznámenie, v ktorom sa prípadne uvedie, či incident pravdepodobne spôsobilo nezákonné alebo zlomyseľné konanie; |
Pozmeňujúci návrh 29
Návrh smernice
Článok 20 – odsek 4 – pododsek 1 – písmeno c – bod iii
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
iii) uplatnené a prebiehajúce zmierňujúce opatrenia. |
iii) uplatnené a prebiehajúce zmierňujúce opatrenia a ich výsledky. |
Pozmeňujúci návrh 30
Návrh smernice
Článok 20 – odsek 11
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
11. Komisia môže prijať vykonávacie akty, v ktorých bližšie určí druh informácií, formát a postup oznámenia predkladaného podľa odsekov 1 a 2. Komisia môže prijať aj vykonávacie akty s cieľom ďalej konkretizovať prípady, v ktorých sa incident považuje za závažný, ako sa uvádza v odseku 3. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2. |
11. Komisia môže prijať delegované akty v súlade s článkom 36, v ktorých bližšie určí druh informácií, formát a postup oznámenia predkladaného podľa odsekov 1 a 2 tohto článku. Komisia môže prijať aj vykonávacie akty s cieľom ďalej konkretizovať prípady, v ktorých sa incident považuje za závažný, ako sa uvádza v odseku 3. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania, na ktorý sa odkazuje v článku 37 ods. 2. |
Pozmeňujúci návrh 31
Návrh smernice
Článok 21 – odsek 1
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
1. S cieľom preukázať súlad s určitými požiadavkami článku 18 môžu členské štáty vyžadovať, aby kľúčové a dôležité subjekty certifikovali určité produkty IKT, služby IKT a procesy IKT v rámci osobitných európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa článku 49 nariadenia (EÚ) 2019/881. Produkty, služby a procesy, ktoré podliehajú certifikácii, môže vytvoriť kľúčový alebo dôležitý subjekt alebo sa môžu obstarať od tretích strán. |
1. S cieľom preukázať súlad s určitými požiadavkami článku 18 členské štáty podporujú kľúčové a dôležité subjekty v tom, aby certifikovali určité produkty IKT, služby IKT a procesy IKT, ktoré zabezpečil kľúčový alebo dôležitý subjekt alebo ktoré boli obstarané od tretích strán, a to v rámci osobitných európskych systémov certifikácie kybernetickej bezpečnosti prijatých podľa článku 49 nariadenia (EÚ) 2019/881 alebo v rámci podobných, medzinárodne uznávaných systémov certifikácie. |
Pozmeňujúci návrh 32
Návrh smernice
Článok 21 – odsek 1 a (nový)
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
|
1a. Požiadavkami tejto smernice týkajúcimi sa certifikácie kybernetickej bezpečnosti nie je dotknutý článok 56 ods. 2 a 3 nariadenia (EÚ) 2019/881. |
Pozmeňujúci návrh 33
Návrh smernice
Článok 21 – odsek 2
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
2. Komisia je splnomocnená prijímať delegované akty, v ktorých bližšie určí, od ktorých kategórií kľúčových subjektov sa vyžaduje získanie certifikátu a v rámci ktorých konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti podľa odseku 1. Delegované akty sa prijímajú v súlade s článkom 36. |
vypúšťa sa |
Pozmeňujúci návrh 34
Návrh smernice
Článok 21 – odsek 3
|
|
Text predložený Komisiou |
Pozmeňujúci návrh |
3. Komisia môže požiadať agentúru ENISA, aby vypracovala kandidátsky systém podľa článku 48 ods. 2 nariadenia (EÚ) 2019/881 v prípadoch, keď nie je k dispozícii žiadny európsky systém certifikácie kybernetickej bezpečnosti na účely odseku 2. |
3. S cieľom zvýšiť celkovú úroveň odolnosti v oblasti kybernetickej bezpečnosti môže Komisia požiadať agentúru ENISA, aby vypracovala kandidátsky systém podľa článkov 47 a 48 nariadenia (EÚ) 2019/881 v prípadoch, keď nie je k dispozícii žiadny európsky systém certifikácie kybernetickej bezpečnosti na účely odseku 2. Takéto kandidátske systémy musia spĺňať požiadavky stanovené v článku 56 ods. 2 a článku 56 ods. 3 nariadenia (EÚ) 2019/881. |
POSTUP VÝBORU POŽIADANÉHO O STANOVISKO
Názov |
Opatrenia na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a zrušenie smernice (EÚ) 2016/1148 |
|||
Referenčné čísla |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Gestorský výbor dátum oznámenia na schôdzi |
ITRE 21.1.2021 |
|
|
|
Výbor požiadaný o stanovisko dátum oznámenia na schôdzi |
TRAN 21.1.2021 |
|||
Spravodajca výboru požiadaného o stanovisko dátum vymenovania |
Jakop G. Dalunde 3.2.2021 |
|||
Dátum prijatia |
12.7.2021 |
|
|
|
Výsledok záverečného hlasovania |
+: –: 0: |
48 0 1 |
||
Poslanci prítomní na záverečnom hlasovaní |
Magdalena Adamowicz, Andris Ameriks, Izaskun Bilbao Barandica, Paolo Borchia, Marco Campomenosi, Massimo Casanova, Ciarán Cuffe, Jakop G. Dalunde, Johan Danielsson, Karima Delli, Anna Deparnay-Grunenberg, Gheorghe Falcă, Giuseppe Ferrandino, Mario Furore, Søren Gade, Isabel García Muñoz, Elsi Katainen, Kateřina Konečná, Julie Lechanteux, Peter Lundgren, Benoît Lutgen, Elżbieta Katarzyna Łukacijewska, Marian-Jean Marinescu, Tilly Metz, Cláudia Monteiro de Aguiar, Caroline Nagtegaal, Jan-Christoph Oetjen, Philippe Olivier, João Pimenta Lopes, Rovana Plumb, Dominique Riquet, Dorien Rookmaker, Massimiliano Salini, Sven Schulze, Vera Tax, Barbara Thaler, Henna Virkkunen, Petar Vitanov, Elissavet Vozemberg-Vrionidi, Roberts Zīle, Kosma Złotowski |
|||
Náhradníci prítomní na záverečnom hlasovaní |
Clare Daly, Nicola Danti, Angel Dzhambazki, Tomasz Frankowski, Michael Gahler, Maria Grapini, Alessandra Moretti, Marianne Vind |
|||
ZÁVEREČNÉ HLASOVANIE PODĽA MIEN VO VÝBORE POŽIADANOM O STANOVISKO
48 |
+ |
ECR |
Angel Dzhambazki, Peter Lundgren, Roberts Zīle, Kosma Złotowski |
ID |
Paolo Borchia, Marco Campomenosi, Massimo Casanova, Julie Lechanteux, Philippe Olivier |
NI |
Mario Furore, Dorien Rookmaker |
PPE |
Magdalena Adamowicz, Gheorghe Falcă, Tomasz Frankowski, Michael Gahler, Elżbieta Katarzyna Łukacijewska, Benoît Lutgen, Marian-Jean Marinescu, Cláudia Monteiro de Aguiar, Massimiliano Salini, Sven Schulze, Barbara Thaler, Henna Virkkunen, Elissavet Vozemberg-Vrionidi |
Renew |
Izaskun Bilbao Barandica, Nicola Danti, Søren Gade, Elsi Katainen, Caroline Nagtegaal, Jan-Christoph Oetjen, Dominique Riquet |
S&D |
Andris Ameriks, Johan Danielsson, Giuseppe Ferrandino, Isabel García Muñoz, Maria Grapini, Alessandra Moretti, Rovana Plumb, Vera Tax, Marianne Vind, Petar Vitanov |
The Left |
Clare Daly, Kateřina Konečná |
Verts/ALE |
Ciarán Cuffe, Jakop G. Dalunde, Karima Delli, Anna Deparnay-Grunenberg, Tilly Metz |
0 |
- |
|
|
1 |
0 |
The Left |
João Pimenta Lopes |
Vysvetlenie použitých znakov:
+ : za
- : proti
0 : zdržali sa hlasovania
POSTUP – GESTORSKÝ VÝBOR
Názov |
Opatrenia na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a zrušenie smernice (EÚ) 2016/1148 |
|||
Referenčné čísla |
COM(2020)0823 – C9-0422/2020 – 2020/0359(COD) |
|||
Dátum predloženia v EP |
16.12.2020 |
|
|
|
Gestorský výbor dátum oznámenia na schôdzi |
ITRE 21.1.2021 |
|
|
|
Výbory požiadané o stanovisko dátum oznámenia na schôdzi |
AFET 21.1.2021 |
ECON 21.1.2021 |
IMCO 21.1.2021 |
TRAN 21.1.2021 |
|
CULT 21.1.2021 |
LIBE 21.1.2021 |
|
|
Bez predloženia stanoviska dátum rozhodnutia |
ECON 26.1.2021 |
CULT 11.1.2021 |
|
|
Pridružené výbory dátum oznámenia na schôdzi |
LIBE 20.5.2021 |
|
|
|
Spravodajcovia dátum vymenovania |
Bart Groothuis 14.1.2021 |
|
|
|
Prerokovanie vo výbore |
13.4.2021 |
26.5.2021 |
|
|
Dátum prijatia |
28.10.2021 |
|
|
|
Výsledok záverečného hlasovania |
+: –: 0: |
70 3 1 |
||
Poslanci prítomní na záverečnom hlasovaní |
Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Manuel Bompard, Paolo Borchia, Marc Botenga, Markus Buchheit, Cristian-Silviu Buşoi, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Claudia Gamon, Bart Groothuis, Christophe Grudler, András Gyürk, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Zdzisław Krasnodębski, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Georg Mayer, Joëlle Mélin, Dan Nica, Angelika Niebler, Ville Niinistö, Aldo Patriciello, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spyraki, Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho |
|||
Náhradníci prítomní na záverečnom hlasovaní |
Rasmus Andresen, Marek Paweł Balt, Klemen Grošelj, Adam Jarubas, Elena Lizzi, Adriana Maldonado López, Bronis Ropė, Jordi Solé, Nils Torvalds |
|||
Dátum predloženia |
4.11.2021 |
|||
ZÁVEREČNÉ HLASOVANIE PODĽA MIEN V GESTORSKOM VÝBORE
70 |
+ |
ECR |
Izabela-Helena Kloc, Zdzisław Krasnodębski, Robert Roos, Beata Szydło, Grzegorz Tobiszowski |
ID |
Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Georg Mayer, Joëlle Mélin, Isabella Tovaglieri |
NI |
András Gyürk, Clara Ponsatí Obiols, Viktor Uspaskich |
PPE |
François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Adam Jarubas, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Aldo Patriciello, Markus Pieper, Sara Skyttedal, Maria Spyraki, Riho Terras, Henna Virkkunen, Pernille Weiss |
Renew |
Nicola Beer, Nicola Danti, Valter Flego, Claudia Gamon, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Nils Torvalds |
S&D |
Marek Paweł Balt, Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Adriana Maldonado López, Dan Nica, Tsvetelina Penkova, Carlos Zorrinho |
Verts/ALE |
Rasmus Andresen, Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Manuela Ripa, Bronis Ropė, Jordi Solé |
3 |
- |
The Left |
Manuel Bompard, Marc Botenga, Marisa Matias |
1 |
0 |
ECR |
Jessica Stegrud |
Vysvetlenie použitých znakov:
+ : za
- : proti
0 : zdržali sa hlasovania
- [1] Ú. v. EÚ C 286, 16.7.2021, s. 170.
- [2] 2020/0359(COD)
- [3] Stanovisko č. 5/2021: https://edps.europa.eu/system/files/2021-03/21-03-11_edps_nis2-opinion_en.pdf.
- [4] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP)Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88.
- [5] Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách)Ú. v. ES L 201, 31.7.2002, s. 37. – 47.
- [6] 2020/0365(COD)
- [7] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP) Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88.
- [8] Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách)Ú. v. ES L 201, 31.7.2002, s. 37. – 47.