POROČILO o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

Odbor za industrijo, raziskave in energetiko
Poročevalec: Bart Groothuis
Pripravljavec mnenja:(*):
Lukas Mandl, Odbor za državljanske svoboščine, pravosodje in notranje zadeve
(*) Postopek s pridruženim odborom - člen 57 Poslovnika

Predlogi sprememb

Postopek : 2020/0359(COD)

Potek postopka na zasedanju

Potek postopka za dokument :

A9-0313/2021

Predložena besedila :

A9-0313/2021

Razprave :

PV 10/11/2022 - 3
CRE 10/11/2022 - 3

Glasovanja :

PV 10/11/2022 - 5.8
CRE 10/11/2022 - 5.8
Obrazložitev glasovanja

Sprejeta besedila :

P9_TA(2022)0383

OSNUTEK ZAKONODAJNE RESOLUCIJE EVROPSKEGA PARLAMENTA
OBRAZLOŽITEV
MNENJE ODBORA ZA DRŽAVLJANSKE SVOBOŠČINE, PRAVOSODJE IN NOTRANJE ZADEVE
MNENJE ODBORA ZA ZUNANJE ZADEVE
MNENJE ODBORA ZA NOTRANJI TRG IN VARSTVO POTROŠNIKOV
MNENJE ODBORA ZA PROMET IN TURIZEM
POSTOPEK V PRISTOJNEM ODBORU
POIMENSKO GLASOVANJE PRI KONČNEM GLASOVANJU V PRISTOJNEM ODBORU

OSNUTEK ZAKONODAJNE RESOLUCIJE EVROPSKEGA PARLAMENTA

o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Redni zakonodajni postopek: prva obravnava)

Evropski parlament,

– ob upoštevanju predloga Komisije Evropskemu parlamentu in Svetu (COM(2020)0823),

– ob upoštevanju člena 294(2) in člena 114 Pogodbe o delovanju Evropske unije, na podlagi katerih je Komisija podala predlog Parlamentu (C9-0422/2020),

– ob upoštevanju člena 294(3) Pogodbe o delovanju Evropske unije,

– ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora z dne 27. aprila 2021 [1],

– po posvetovanju z Odborom regij,

– ob upoštevanju člena 59 Poslovnika,

– ob upoštevanju mnenj Odbora za državljanske svoboščine, pravosodje in notranje zadeve, Odbora za notranji trg in varstvo potrošnikov ter Odbora za promet in turizem,

– ob upoštevanju poročila Odbora za industrijo, raziskave in energetiko (A9-0313/2021),

1. sprejme stališče v prvi obravnavi, kakor je določeno v nadaljevanju;

2. poziva Komisijo, naj mu zadevo ponovno predloži, če svoj predlog nadomesti, ga bistveno spremeni ali ga namerava bistveno spremeniti;

3. naroči svojemu predsedniku, naj stališče Parlamenta posreduje Svetu in Komisiji ter nacionalnim parlamentom.

Predlog spremembe 1

Predlog direktive

Naslov


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Predlog	Predlog
DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA	DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA
o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148	o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (revidirana direktiva o varnosti omrežij in informacij) in razveljavitvi Direktive (EU) 2016/1148

Predlog spremembe 2

Predlog direktive

Uvodna izjava 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(1) Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta11 je bila namenjena razvoju zmogljivosti za kibernetsko varnost po vsej Uniji, ublažitvi groženj za omrežja in informacijske sisteme, ki se uporabljajo za opravljanje bistvenih storitev v ključnih sektorjih, ter zagotovitvi neprekinjenega izvajanja takih storitev pri spoprijemanju s kibernetskimi incidenti, s čimer naj bi prispevala k učinkovitemu delovanju gospodarstva in družbe Unije.	(1) Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta11, imenovana tudi direktiva o varnosti omrežij in informacij, je bila namenjena razvoju zmogljivosti za kibernetsko varnost po vsej Uniji, ublažitvi groženj za omrežja in informacijske sisteme, ki se uporabljajo za opravljanje bistvenih storitev v ključnih sektorjih, ter zagotovitvi neprekinjenega izvajanja takih storitev pri spoprijemanju s kibernetskimi incidenti, s čimer naj bi prispevala k varnosti Unije ter učinkovitemu delovanju njenega gospodarstva in družbe.
__________________	__________________
11 Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1). 1).	11 Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1). 1).

Predlog spremembe 3

Predlog direktive

Uvodna izjava 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(3) Omrežja in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe, vključno s čezmejnimi izmenjavami. Ta razvoj je privedel do razširitve okolja kibernetskih groženj, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv kibernetskih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Posledično lahko kibernetski incidenti ovirajo gospodarske dejavnosti na notranjem trgu, ustvarjajo finančne izgube, slabijo zaupanje uporabnikov ter povzročajo veliko škodo gospodarstvu in družbi Unije. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj pomembnejši za ustrezno delovanje notranjega trga kot kdaj koli prej.	(3) Omrežja in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe, vključno s čezmejnimi izmenjavami. Ta razvoj je privedel do razširitve okolja kibernetskih groženj, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv kibernetskih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Posledično lahko kibernetski incidenti ovirajo gospodarske dejavnosti na notranjem trgu, ustvarjajo finančne izgube, slabijo zaupanje uporabnikov ter povzročajo veliko škodo gospodarstvu in družbi Unije. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj pomembnejši za ustrezno delovanje notranjega trga kot kdaj koli prej. Poleg tega je kibernetska varnost eden od glavnih dejavnikov, ki številnim ključnim sektorjem omogočajo, da se uspešno podajo na pot digitalne preobrazbe ter v celoti izkoristijo gospodarske, družbene in trajnostne prednosti digitalizacije.

Predlog spremembe 4

Predlog direktive

Uvodna izjava 3 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(3a) V primeru velikih kibernetskih incidentov in kriz na ravni Unije je potrebno usklajeno delovanje, da bi zagotovili hiter in učinkovit odziv, saj je medsebojna odvisnost sektorjev in držav zelo velika. Razpoložljivost kibernetsko odpornih omrežij in informacijskih sistemov ter razpoložljivost, zaupnost in celovitost podatkov so ključnega pomena za varnost Unije znotraj in zunaj njenih meja, saj imajo lahko kibernetske grožnje izvor tudi zunaj Unije. Za ambicijo Unije, da pridobi vidnejšo geopolitično vlogo, sta pomembna tudi verodostojna kibernetska obramba in preprečevanje kibernetskih napadov, vključno z zmožnostjo pravočasnega učinkovitega prepoznavanja zlonamernih dejanj in ustreznega odzivanja.

Predlog spremembe 5

Predlog direktive

Uvodna izjava 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(5) Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih standardov. Ta direktiva je namenjena odpravi tako velikih razlik med državami članicami, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi v posameznih državah članicah, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in sankcij, ki so ključni za učinkovito izvrševanje navedenih obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo.	(5) Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih standardov. Nenazadnje bi lahko te razlike privedle do večje ranljivosti nekaterih držav članic za kibernetske grožnje, kar lahko povzroči učinke prelivanja po vsej Uniji. Ta direktiva je namenjena odpravi tako velikih razlik med državami članicami, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi v posameznih državah članicah, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in sankcij, ki so ključni za učinkovito izvrševanje navedenih obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo (revidirana direktiva o varnosti omrežij in informacij).

Predlog spremembe 6

Predlog direktive

Uvodna izjava 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(6) Ta direktiva ne vpliva na zmožnost držav članic, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese svoje varnosti, javni red in javno varnost ter omogočijo preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. V skladu s členom 346 PDEU nobena država članica ni dolžna dajati informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene javne varnosti. V tem smislu so pomembni nacionalna pravila in pravila Unije za varovanje tajnih podatkov, sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol)14.	(6) Ta direktiva ne vpliva na zmožnost držav članic, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese svoje varnosti, javni red in javno varnost ter omogočijo preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. V skladu s členom 346 PDEU nobena država članica ni dolžna dajati informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene javne varnosti. V tem smislu so pomembni nacionalna pravila in pravila Unije za varovanje tajnih podatkov, sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol)14.
__________________	__________________
14 Semaforski protokol je sredstvo, s katerim nekdo, ki izmenjuje informacije, obvesti svoje ciljne skupine o morebitnih omejitvah pri nadaljnjem širjenju teh informacij. Uporablja se v skoraj vseh skupnostih CSIRT ter nekaterih centrih za izmenjavo in analizo informacij.	14 Semaforski protokol je sredstvo, s katerim nekdo, ki izmenjuje informacije, obvesti svoje ciljne skupine o morebitnih omejitvah pri nadaljnjem širjenju teh informacij. Uporablja se v skoraj vseh skupnostih CSIRT ter nekaterih centrih za izmenjavo in analizo informacij.

Predlog spremembe 7

Predlog direktive

Uvodna izjava 7


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(7) Z razveljavitvijo Direktive (EU) 2016/1148 bi bilo treba področje uporabe po sektorjih razširiti na večji del gospodarstva, ob upoštevanju premislekov iz uvodnih izjav 4 do 6. Sektorje, zajete z Direktivo (EU) 2016/1148, bi bilo torej treba razširiti, da bi se zagotovila celovita pokritost sektorjev in storitev, ki so bistvenega pomena za ključne družbene in gospodarske dejavnosti na notranjem trgu. Pravila se ne bi smela razlikovati glede na to, ali so subjekti izvajalci bistvenih storitev ali ponudniki digitalnih storitev. Takšno razlikovanje se je izkazalo za zastarelo, saj ne odraža dejanskega pomena sektorjev ali storitev za družbene in gospodarske dejavnosti na notranjem trgu.	(7) Z razveljavitvijo Direktive (EU) 2016/1148 bi bilo treba področje uporabe po sektorjih razširiti na večji del gospodarstva, ob upoštevanju premislekov iz uvodnih izjav 4 do 6. Sektorje, zajete z Direktivo (EU) 2016/1148, bi bilo torej treba razširiti, da bi se zagotovila celovita pokritost sektorjev in storitev, ki so bistvenega pomena za ključne družbene in gospodarske dejavnosti na notranjem trgu. Zahteve glede obvladovanja tveganj in obveznosti poročanja se ne bi smele razlikovati glede na to, ali so subjekti izvajalci bistvenih storitev ali ponudniki digitalnih storitev. Takšno razlikovanje se je izkazalo za zastarelo, saj ne odraža dejanskega pomena sektorjev ali storitev za družbene in gospodarske dejavnosti na notranjem trgu.

Predlog spremembe 8

Predlog direktive

Uvodna izjava 8


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(8) V skladu z Direktivo (EU) 2016/1148 so bile države članice odgovorne za določanje, kateri subjekti izpolnjujejo merila, v skladu s katerimi se štejejo za izvajalce bistvenih storitev („postopek določitve“). Za odpravo velikih razlik med državami članicami v zvezi s tem in zagotovitev pravne varnosti za zahteve glede obvladovanja tveganj in obveznosti poročanja za vse ustrezne subjekte bi bilo treba določiti enotno merilo, ki bi določalo, kateri subjekti spadajo na področje uporabe te direktive. Navedeno merilo bi moralo vključevati uporabo pravila omejitve velikosti, v skladu s katerim na področje uporabe te direktive spadajo vsa srednja in velika podjetja, kot so opredeljena v Priporočilu Komisije 2003/361/ES15, ki delujejo v sektorjih ali opravljajo vrsto storitev, zajetih s to direktivo. Od držav članice se ne bi smelo zahtevati, naj pripravijo seznam subjektov, ki izpolnjujejo to splošno veljavno merilo, povezano v velikostjo.	(8) V skladu z Direktivo (EU) 2016/1148 so bile države članice odgovorne za določanje, kateri subjekti izpolnjujejo merila, v skladu s katerimi se štejejo za izvajalce bistvenih storitev („postopek določitve“). Za odpravo velikih razlik med državami članicami v zvezi s tem in zagotovitev pravne varnosti za zahteve glede obvladovanja tveganj in obveznosti poročanja za vse ustrezne subjekte bi bilo treba določiti enotno merilo, ki bi določalo, kateri subjekti spadajo na področje uporabe te direktive. Navedeno merilo bi moralo vključevati uporabo pravila omejitve velikosti, v skladu s katerim na področje uporabe te direktive spadajo vsa srednja in velika podjetja, kot so opredeljena v Priporočilu Komisije 2003/361/ES15, ki delujejo v sektorjih ali opravljajo vrsto storitev, zajetih s to direktivo.
__________________	__________________
15 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).	15 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).

Predlog spremembe 9

Predlog direktive

Uvodna izjava 9


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev. Države članice bi morale biti odgovorne za pripravo seznama takih subjektov in ga predložiti Komisiji.	(9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev.

Predlog spremembe 10

Predlog direktive

Uvodna izjava 9 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(9a) Države članice bi morale pripraviti seznam vseh bistvenih in pomembnih subjektov. Ta seznam bi moral vključevati subjekte, ki izpolnjujejo splošno veljavna merila v zvezi z velikostjo, ter mala in mikropodjetja, ki izpolnjujejo nekatera merila, ki kažejo, da imajo bistveno vlogo v gospodarstvih ali družbah držav članic. Da bi skupine za odzivanje na incidente na področju računalniške varnosti (CSIRT) in pristojni organi lahko nudili pomoč in opozarjali subjekte o kibernetskih incidentih, ki bi jih lahko prizadeli, morajo imeti na voljo pravilne kontaktne podatke o subjektih. Bistveni in pomembni subjekti bi morali zato pristojnim organom posredovati vsaj naslednje informacije: ime subjekta, naslov in posodobljene kontaktne podatke, vključno z naslovi elektronske pošte, razponom IP in telefonskimi številkami, ter ustrezne sektorje in podsektorje iz prilog I in II. Subjekti bi morali pristojne organe obvestiti o vseh spremembah teh podatkov. Države članice bi morale brez nepotrebnega odlašanja zagotoviti, da bodo ti podatki enostavno dostopni prek enotne vstopne točke. Zato bi morala agencija ENISA v sodelovanju s skupino za sodelovanje brez nepotrebnega odlašanja izdati smernice in predloge za izpolnjevanje obveznosti obveščanja. Države članice bi morale Komisijo in skupino za sodelovanje obvestiti o številu bistvenih in pomembnih subjektov. Države članice bi morale Komisijo za namene pregleda iz te direktive obveščati tudi o imenih malih in mikropodjetij, ki so bili opredeljeni kot bistveni in pomembni subjekti, da bi Komisija lahko ocenila skladnost pristopov držav članic. Te informacije bi bilo treba obravnavati kot strogo zaupne.

Predlog spremembe 11

Predlog direktive

Uvodna izjava 10


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(10) Komisija lahko v sodelovanju s skupino za sodelovanje izda smernice o izvajanju meril, ki se uporabljajo za mikro in mala podjetja.	(10) Komisija bi morala v sodelovanju s skupino za sodelovanje in ustreznimi deležniki iz industrije izdati smernice o izvajanju meril, ki se uporabljajo za mikro- in mala podjetja. Pripraviti bi morala tudi ustrezne smernice za vsa mikro in mala podjetja, za katera se bo uporabljala ta direktiva. S pomočjo držav članic ni morala tem podjetjem posredovati informacije v zvezi s tem.

Predlog spremembe 12

Predlog direktive

Uvodna izjava 10 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(10a) Komisija bi morala izdati tudi smernice za podporo državam članicam pri pravilnem izvajanju določb o področju uporabe in za oceno sorazmernosti obveznosti iz te direktive, zlasti za subjekte z zapletenimi poslovnimi modeli ali delovnimi okolji, pri čemer lahko subjekt hkrati izpolnjuje merila, dodeljena tako bistvenim kot pomembnim subjektom, ali hkrati izvaja dejavnosti, od katerih nekatere spadajo na področje uporabe te direktive, nekatere pa so zunaj njega.

Predlog spremembe 13

Predlog direktive

Uvodna izjava 12


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(12) Sektorska zakonodaja in sektorski instrumenti lahko prispevajo k zagotavljanju visokih ravni kibernetske varnosti, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Če sektorski pravni akt Unije določa, da morajo bistveni in pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali priglasiti incidente ali pomembne kibernetske grožnje, ki imajo vsaj enak učinek kot obveznosti, določene v tej direktivi, bi se morale uporabljati navedene sektorske določbe, vključno z določbami o nadzoru in izvrševanju. Komisija lahko izda smernice v zvezi z izvajanjem lex specialis. Ta direktiva ne izključuje sprejetja dodatnih sektorskih aktov Unije, ki obravnavajo ukrepe za obvladovanje tveganj za kibernetsko varnost in priglasitve incidentov. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometnim in energetskim.	(12) Sektorska zakonodaja in sektorski instrumenti lahko prispevajo k zagotavljanju visokih ravni kibernetske varnosti, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Sektorski pravni akti Unije, v skladu s katerimi morajo bistveni ali pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali poročati o pomembnih incidentih, bi morali biti, kadar je to mogoče, skladni s terminologijo in uporabljati opredelitve pojmov iz te direktive. Če sektorski pravni akt Unije določa, da morajo bistveni in pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali priglasiti incidente ali kadar imajo te zahteve vsaj enak učinek kot obveznosti, ki so določene v tej direktivi ter se v celoti nanašajo na varnostne vidike dejavnosti in storitev bistvenih in pomembnih subjektov, bi se morale uporabljati navedene sektorske določbe, vključno z določbami o nadzoru in izvrševanju. Komisija bi morala izdati celovite smernice v zvezi z izvajanjem lex specialis, pri čemer bi morala upoštevati ustrezna mnenja, strokovno znanje in dobre prakse agencije ENISA in skupine za sodelovanje. Ta direktiva ne izključuje sprejetja dodatnih sektorskih aktov Unije, ki obravnavajo ukrepe za obvladovanje tveganj za kibernetsko varnost in priglasitve incidentov in ustrezno upoštevajo potrebo po celovitem in doslednem okviru za kibernetsko varnost. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometnim in energetskim.

Predlog spremembe 14

Predlog direktive

Uvodna izjava 14


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(14) Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta17 in to direktivo. Za dosego tega bi morale države članice zagotoviti, da se kritični subjekti in enakovredni subjekti v skladu z Direktivo (EU) XXX/XXX štejejo za bistvene subjekte po tej direktivi. Države članice bi morale tudi zagotoviti, da njihove strategije za kibernetsko varnost določajo okvir politike za okrepljeno usklajevanje med pristojnim organom iz te direktive in pristojnim organom iz Direktive (EU) XXX/XXX v okviru izmenjave informacij o incidentih in kibernetskih grožnjah ter izvajanja nadzornih nalog. Organi iz obeh direktiv bi morali sodelovati in si izmenjevati informacije, zlasti v zvezi z določanjem kritičnih subjektov, kibernetskimi grožnjami, tveganji za kibernetsko varnost in incidenti, ki vplivajo na kritične subjekte, ter o ukrepih za kibernetsko varnost, ki jih sprejmejo kritični subjekti. Na zahtevo pristojnih organov iz Direktive (EU) XXX/XXX bi moralo biti pristojnim organom iz te direktive omogočeno izvajanje nadzornih in izvršilnih pooblastil v zvezi z bistvenim subjektom, ki je opredeljen kot kritičen. Oboji organi bi morali v ta namen sodelovati in si izmenjevati informacije.	(14) Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta17 in to direktivo. Za dosego tega bi morale države članice zagotoviti, da se kritični subjekti in enakovredni subjekti v skladu z Direktivo (EU) XXX/XXX štejejo za bistvene subjekte po tej direktivi. Države članice bi morale tudi zagotoviti, da njihove strategije za kibernetsko varnost določajo okvir politike za okrepljeno usklajevanje med pristojnimi organi v državah članicah in med njimi iz te direktive in pristojnimi organi iz Direktive (EU) XXX/XXX v okviru izmenjave informacij o incidentih in kibernetskih grožnjah ter izvajanja nadzornih nalog. Organi iz obeh direktiv bi morali brez nepotrebnega odlašanja sodelovati in si izmenjevati informacije, zlasti v zvezi z določanjem kritičnih subjektov, kibernetskimi grožnjami, tveganji za kibernetsko varnost in incidenti, ki vplivajo na kritične subjekte, ter o ukrepih za kibernetsko varnost, ki jih sprejmejo kritični subjekti. Na zahtevo pristojnih organov iz Direktive (EU) XXX/XXX bi moralo biti pristojnim organom iz te direktive omogočeno izvajanje nadzornih in izvršilnih pooblastil v zvezi z bistvenim subjektom, ki je opredeljen kot kritičen. Oboji organi bi morali, kadar je to mogoče, v ta namen sodelovati in si izmenjevati informacije v realnem času.
__________________	__________________
17 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	17 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 15

Predlog direktive

Uvodna izjava 15


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(15) Podpiranje in ohranjanje zanesljivega, odpornega in varnega sistema domenskih imen (DNS) sta ključna dejavnika pri ohranjanju celovitosti interneta ter bistvena za njegovo neprekinjeno in stabilno delovanje, od katerega sta odvisna digitalno gospodarstvo in družba. Zato bi se morala ta direktiva uporabljati za vse ponudnike storitev sistema domenskih imen vzdolž verige razreševanja DNS, vključno z upravljavci korenskih imenskih strežnikov, vrhnjih domenskih strežnikov, krovnih imenskih strežnikov za domenska imena in rekurzivnih razreševalnikov.	(15) Podpiranje in ohranjanje zanesljivega, odpornega in varnega sistema domenskih imen (DNS) sta ključna dejavnika pri ohranjanju celovitosti interneta ter bistvena za njegovo neprekinjeno in stabilno delovanje, od katerega sta odvisna digitalno gospodarstvo in družba. Zato bi se morala ta direktiva uporabljati za vrhnje domenske strežnike, javnodostopne storitve rekurzivnega razreševanja domenskih imen za končne uporabnike interneta in storitve avtoritativnega razreševanja domenskih imen. Ta direktiva se ne uporablja za korenske imenske strežnike.

Predlog spremembe 16

Predlog direktive

Uvodna izjava 19


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(19) Ponudniki poštnih storitev v smislu Direktive 97/67/ES Evropskega parlamenta in Sveta18 ter ponudniki storitev hitre pošte in kurirskih storitev bi morali biti predmet te direktive, če zagotavljajo vsaj en korak v verigi poštne dostave ter zlasti sprejem, usmerjanje ali dostavo, vključno s storitvami prevzema. Storitve prenosa, ki se ne izvajajo v povezavi z enim od navedenih korakov, ne bi smele spadati v obseg poštnih storitev.	(19) Ponudniki poštnih storitev v smislu Direktive 97/67/ES Evropskega parlamenta in Sveta18 ter ponudniki storitev hitre pošte in kurirskih storitev bi morali biti predmet te direktive, če zagotavljajo vsaj en korak v verigi poštne dostave ter zlasti sprejem, usmerjanje ali dostavo, vključno s storitvami prevzema, ob upoštevanju stopnje njihove odvisnosti od omrežja in informacijskih sistemov. Storitve prenosa, ki se ne izvajajo v povezavi z enim od navedenih korakov, ne bi smele spadati v obseg poštnih storitev.
__________________	__________________
18 Direktiva 97/67/ES Evropskega parlamenta in Sveta z dne 15. decembra 1997 o skupnih pravilih za razvoj notranjega trga poštnih storitev v Skupnosti in za izboljšanje kakovosti storitve (UL L 15, 21.1.1998, str. 14).	18 Direktiva 97/67/ES Evropskega parlamenta in Sveta z dne 15. decembra 1997 o skupnih pravilih za razvoj notranjega trga poštnih storitev v Skupnosti in za izboljšanje kakovosti storitve (UL L 15, 21.1.1998, str. 14).

Predlog spremembe 17

Predlog direktive

Uvodna izjava 20


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Pandemija COVID-19 je razkrila šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.	(20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Okrepljeni napadi na omrežja in informacijske sisteme med pandemijo covida-19 so razkrili šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.

Predlog spremembe 18

Predlog direktive

Uvodna izjava 24


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(24) Države članice bi morale imeti ustrezne tehnične in organizacijske zmogljivosti za preprečevanje, odkrivanje in ublažitev incidentov in tveganj v omrežjih in informacijskih sistemih ter za odzivanje nanje. Zato bi morale države članice zagotoviti, da imajo dobro delujoče skupine CSIRT, znane tudi kot skupine za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT), ki izpolnjujejo osnovne zahteve, da bi se tako zagotovile učinkovite in združljive zmogljivosti za obvladovanje incidentov in tveganj ter zagotovilo učinkovito sodelovanje na ravni Unije. Za okrepitev odnosa zaupanja med subjekti in skupinami CSIRT v primerih, ko je skupina CSIRT del pristojnega organa, bi morale države članice razmisliti o funkcionalnem ločevanju med operativnimi nalogami, ki jih opravljajo skupine CSIRT, zlasti v zvezi z izmenjavo informacij in podporo subjektom, in nadzornimi dejavnostmi pristojnih organov.	(24) Države članice bi morale imeti ustrezne tehnične in organizacijske zmogljivosti za preprečevanje, odkrivanje in ublažitev incidentov in tveganj v omrežjih in informacijskih sistemih ter za odzivanje nanje. Zato bi morale države članice v skladu s to direktivo določiti eno ali več skupin CSIRT in zagotoviti, da so dobro delujoče in izpolnjujejo osnovne zahteve, da bi se tako zagotovile učinkovite in združljive zmogljivosti za obvladovanje incidentov in tveganj ter zagotovilo učinkovito sodelovanje na ravni Unije. Države članice lahko kot skupine CSIRT določijo obstoječe skupine za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT). Za okrepitev odnosa zaupanja med subjekti in skupinami CSIRT v primerih, ko je skupina CSIRT del pristojnega organa, bi morale države članice razmisliti o funkcionalnem ločevanju med operativnimi nalogami, ki jih opravljajo skupine CSIRT, zlasti v zvezi z izmenjavo informacij in podporo subjektom, in nadzornimi dejavnostmi pristojnih organov.

Predlog spremembe 19

Predlog direktive

Uvodna izjava 25


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(25) Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta19 v imenu in na zahtevo subjekta po tej direktivi zagotovijo proaktvini pregled omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje storitev subjektov. Države članice bi si morale prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice lahko pri oblikovanju nacionalnih skupin CSIRT zaprosijo za pomoč Agencijo Evropske unije za kibernetsko varnost (ENISA).	(25) Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta19 v imenu in na zahtevo subjekta po tej direktivi ali v primeru resne grožnje za nacionalno varnost zagotovijo proaktivni pregled omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje storitev subjektov. Države članice bi si morale prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice lahko pri oblikovanju nacionalnih skupin CSIRT zaprosijo za pomoč Agencijo Evropske unije za kibernetsko varnost (ENISA).
__________________	__________________
19 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).	19 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

Predlog spremembe 20

Predlog direktive

Uvodna izjava 25 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(25a) Skupina CSIRT bi morala imeti možnost, da na zahtevo subjekta stalno odkriva, beleži, upravlja in spremlja vsa sredstva, povezana z internetom, tako na kraju samem kot v oblaku, da lahko razume svoje splošno organizacijsko tveganje za na novo odkrite grožnje v dobavni verigi ali kritične šibke točke. Znanje o tem, ali subjekt uporablja privilegirani upravljalni vmesnik, vpliva na hitrost sprejemanja blažilnih ukrepov.

Predlog spremembe 21

Predlog direktive

Uvodna izjava 26


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(26) Mednarodno sodelovanje na področju kibernetske varnosti je pomembno, zato bi morali skupinam CSIRT poleg sodelovanja v mreži skupin CSIRT, vzpostavljeni s to direktivo, omogočiti sodelovanje tudi v mrežah mednarodnega sodelovanja.	(26) Mednarodno sodelovanje na področju kibernetske varnosti je pomembno, zato bi morali skupinam CSIRT, tudi skupinam CSIRT iz tretjih držav, pri katerih je izmenjava informacij vzajemna in koristna za varnost državljanov in subjektov, poleg sodelovanja v mreži skupin CSIRT, vzpostavljeni s to direktivo, omogočiti sodelovanje tudi v mrežah mednarodnega sodelovanja, da bi prispevali k oblikovanju standardov Unije, ki lahko sooblikujejo krajino kibernetske varnosti na mednarodni ravni. Države članice bi lahko preučile tudi možnost povečanja sodelovanja s podobno mislečimi partnerskimi državami in mednarodnimi organizacijami, da bi sklenile večstranske sporazume o kibernetskih normah, odgovornem državnem in nedržavnem ravnanju v kibernetskem prostoru in učinkovitem svetovnem digitalnem upravljanju ter vzpostavile odprt, svoboden, stabilen in varen kibernetski prostor, ki bo temeljil na mednarodnem pravu.

Predlog spremembe 22

Predlog direktive

Uvodna izjava 26 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(26a) Politike kibernetske higiene predstavljajo temelje za zaščito varnosti infrastruktur omrežij in informacijskih sistemov, strojne opreme, programske opreme in spletnih aplikacij ter poslovnih podatkov ali podatkov končnih uporabnikov, ki jih subjekti uporabljajo. Politike kibernetske higiene zajemajo skupni izhodiščni nabor praks, ki med drugim zajemajo posodobitve programske in strojne opreme, menjavanje gesel, upravljanje novih namestitev, omejevanje računov s skrbniško ravnjo dostopa in varnostno kopiranje podatkov, omogočanje proaktivnega okvira pripravljenosti ter splošno varnost in zaščito v primeru incidentov ali groženj. Agencija ENISA bi morala spremljati in vrednotiti politike glede kibernetske higiene držav članic ter raziskati sheme na ravni celotne Unije, da bi omogočili čezmejna preverjanja, ki zagotavljajo enakovrednost neodvisno od zahtev držav članic.

Predlog spremembe 23

Predlog direktive

Uvodna izjava 26 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(26b) Z uporabo umetne inteligence v kibernetski varnosti bi lahko izboljšali zaznavanje in ustavljanje napadov na omrežja in informacijske sisteme, vire pa bi tako lahko preusmerili v bolj izpopolnjene napade. Države članice bi zato morale v svojih nacionalnih strategijah spodbujati uporabo (pol-)avtomatiziranih orodij na področju kibernetske varnosti in souporabo podatkov, potrebnih za učenje in izboljšanje avtomatiziranih orodij na področju kibernetski varnosti. Da bi zmanjšali tveganje neupravičenega poseganja v pravice in svoboščine posameznikov, ki bi jih utegnili povzročati sistemi z omogočeno umetno inteligenco, se uporabljajo zahteve glede vgrajenega in privzetega varstva podatkov, določene v členu 25 Uredbe (EU) 2016/679. Takšna tveganja bi lahko dodatno zmanjšali z integracijo ustreznih zaščitnih ukrepov, kot so psevdonimizacija, šifriranje, točnost podatkov in zmanjševanje količine podatkov.

Predlog spremembe 24

Predlog direktive

Uvodna izjava 26 c (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(26c) Odprtokodna orodja in aplikacije za kibernetsko varnost lahko prispevajo k višji stopnji preglednosti in pozitivno vplivajo na učinkovitost industrijskih inovacij. Odprti standardi omogočajo interoperabilnost med orodji za varnost in koristijo varnosti industrijskih deležnikov. Odprtokodna orodja in aplikacije za kibernetsko varnost lahko spodbudijo širšo skupnost razvijalcev, kar subjektom omogoča, da si prizadevajo za diverzifikacijo prodajalcev in odprte varnostne strategije. Odprta varnost lahko vodi k preglednejšemu postopku preverjanja orodij, povezanih s kibernetsko varnostjo, in k procesu odkrivanja šibkih točk, ki ga vodi skupnost. Države članice bi zato morale spodbujati sprejetje odprtokodne programske opreme in odprtih standardov z izvajanjem politik v zvezi z uporabo odprtih podatkov in odprtih virov kot dela varnosti prek preglednosti. Politike za spodbujanje odprtokodnih orodij in aplikacij za kibernetsko varnost so še posebej pomembne za mala in srednja podjetja, ki se soočajo z velikimi stroški izvajanja, ki bi jih bilo mogoče zmanjšati, če bi se zmanjšala potreba po točno določenih aplikacijah ali orodjih.

Predlog spremembe 25

Predlog direktive

Uvodna izjava 26 d (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(26d) Javno-zasebna partnerstva na področju kibernetske varnosti lahko zagotovijo pravi okvir za izmenjavo znanja, souporabo dobrih praks in vzpostavitev skupne ravni razumevanja med vsemi zainteresiranimi stranmi. Države članice bi morale kot del svojih nacionalnih strategij za kibernetsko varnost sprejeti politike, ki podpirajo sklepanje posebnih javno-zasebnih partnerstev, povezanih s kibernetsko varnostjo. Te politike bi morale med drugim jasno opredeliti področje uporabe in vpletene zainteresirane strani, model upravljanja, razpoložljive možnosti financiranja in interakcijo med sodelujočimi zainteresiranimi stranmi. Javno-zasebna partnerstva lahko izkoristijo strokovno znanje subjektov iz zasebnega sektorja kot podporo pristojnim organom držav članic pri razvijanju najsodobnejših storitev in procesov, med drugim izmenjavo informacij, zgodnje opozarjanje, vaje na področju kibernetskih groženj in incidentov, upravljanje kriz in načrtovanje odpornosti.

Predlog spremembe 26

Predlog direktive

Uvodna izjava 27


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.	(27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga, ali pomenijo resna tveganja za javno varnost ter varnost subjektov ali državljanov v več državah članicah ali Uniji kot celoti. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.
__________________	__________________
20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).	20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).

Predlog spremembe 27

Predlog direktive

Uvodna izjava 27 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(27a) Države članice bi morale v svojih nacionalnih strategijah za kibernetsko varnost obravnavati posebne potrebe malih in srednjih podjetij (MSP) na področju kibernetske varnosti. MSP v kontekstu Unije predstavljajo velik odstotek industrijskega in poslovnega trga ter se pogosto težje prilagajajo novim poslovnim praksam v bolj povezanem svetu in znajdejo v digitalnem okolju, v katerem zaposleni delajo od doma, poslovanje pa vse bolj poteka prek spleta. Nekatera MSP se spopadajo s posebnimi izzivi na področju kibernetske varnosti, kot so slaba kibernetska ozaveščenost, slaba informacijska varnost pri poslovanju na daljavo, visoki stroški rešitev za kibernetsko varnost in višja stopnja ogroženosti na primer zaradi izsiljevalskega programja, v zvezi s katerimi bi jim bilo treba zagotoviti usmeritve in podporo. Države članice bi morale imeti kontaktno točko za kibernetsko varnost za MSP, ki bi jim zagotovila usmeritve in podporo ali pa jih napotila k primernim organom, ki bi jim nudili usmerjanje in podporo na področju kibernetske varnosti. Države članice naj malim in mikropodjetjem, ki nimajo teh zmogljivosti, ponudijo tudi storitve, kot sta konfiguracija spletišč in omogočanje beleženja.

Predlog spremembe 28

Predlog direktive

Uvodna izjava 27 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(27b) Države članice bi morale v okviru svojih nacionalnih strategij za kibernetsko varnost sprejeti politike za spodbujanje aktivne kibernetske obrambe. Aktivna kibernetska obramba je proaktivno preprečevanje, odkrivanje, spremljanje, analiziranje in zmanjšanje tveganja kršitev varstva omrežja, skupaj z uporabo zmogljivosti znotraj in zunaj ogroženega omrežja. Sposobnost hitre in avtomatske izmenjave ter razumevanja informacij o grožnjah in njihove analize, opozorila o kibernetski dejavnosti ter odzivanje so kritični za doseganje enotnosti prizadevanj za uspešno odkrivanje, preprečevanje in obravnavo napadov na omrežja in informacijske sisteme. Aktivna kibernetska obramba temelji na obrambni strategiji, ki izključuje ofenzivne ukrepe proti kritični civilni infrastrukturi.

Predlog spremembe 29

Predlog direktive

Uvodna izjava 28


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(28) Ker lahko izkoriščanje šibkih točk v omrežjih in informacijskih sistemih povzroči hude motnje in škodo, sta hitro odkrivanje in odpravljanje takih šibkih točk pomemben dejavnik pri zmanjševanju tveganj za kibernetsko varnost. Subjekti, ki razvijajo take sisteme, bi morali zato vzpostaviti ustrezne postopke za obravnavanje šibkih točk, ko jih odkrijejo. Ker šibke točke pogosto odkrijejo in o njih poročajo (jih razkrijejo) tretje osebe (poročajoči subjekti), bi moral proizvajalec ali ponudnik proizvodov ali storitev IKT vzpostaviti tudi potrebne postopke za prejemanje informacij o šibkih točkah od tretjih oseb. V zvezi s tem mednarodna standarda ISO/IEC 30111 in ISO/IEC 29417 določata smernice o obravnavanju oziroma razkrivanju šibkih točk. Kar zadeva razkrivanje šibkih točk, je pomembno zlasti usklajevanje med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT. Usklajeno razkrivanje šibkih točk določa strukturiran postopek, s katerim se šibke točke organizacijam sporočijo tako, da lahko organizacija diagnosticira in odpravi šibko točko, preden se podrobne informacije o šibki točki razkrijejo tretji osebi ali javnosti. Usklajeno razkrivanje šibkih točk bi moralo vključevati tudi usklajevanje med poročajočim subjektom in organizacijo v zvezi s časovnim okvirom za odpravo in objavo šibkih točk.	(28) Ker lahko izkoriščanje šibkih točk v omrežjih in informacijskih sistemih povzroči hude motnje in škodo, sta hitro odkrivanje in odpravljanje takih šibkih točk pomemben dejavnik pri zmanjševanju tveganj za kibernetsko varnost. Subjekti, ki razvijajo take sisteme, bi morali zato vzpostaviti ustrezne postopke za obravnavanje šibkih točk, ko jih odkrijejo. Ker šibke točke pogosto odkrijejo in o njih poročajo (jih razkrijejo) tretje osebe (poročajoči subjekti), bi moral proizvajalec ali ponudnik proizvodov ali storitev IKT vzpostaviti tudi potrebne postopke za prejemanje informacij o šibkih točkah od tretjih oseb. V zvezi s tem mednarodna standarda ISO/IEC 30111 in ISO/IEC 29417 določata smernice o obravnavanju oziroma razkrivanju šibkih točk. Okrepitev sodelovanja med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT je še posebej pomembno, da se vzpostavi prostovoljni okvir za razkrivanje šibkih točk. Usklajeno razkrivanje šibkih točk določa strukturiran postopek, s katerim se šibke točke organizacijam sporočijo tako, da lahko organizacija diagnosticira in odpravi šibko točko, preden se podrobne informacije o šibki točki razkrijejo tretji osebi ali javnosti. Usklajeno razkrivanje šibkih točk bi moralo vključevati tudi usklajevanje med poročajočim subjektom in organizacijo v zvezi s časovnim okvirom za odpravo in objavo šibkih točk.

Predlog spremembe 30

Predlog direktive

Uvodna izjava 28 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(28a) Komisija, agencija ENISA in države članice bi morale še naprej spodbujati mednarodno usklajevanje s standardi in obstoječimi dobrimi praksami industrije na področju obvladovanja tveganja, na primer na področju ocen varnosti dobavne verige, izmenjave informacij in razkrivanja šibkih točk.

Predlog spremembe 31

Predlog direktive

Uvodna izjava 29


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(29) Države članice bi morale zato sprejeti ukrepe za olajšanje usklajenega razkrivanja šibkih točk z vzpostavitvijo ustrezne nacionalne politike. V zvezi s tem bi morale države članice imenovati skupino CSIRT, ki bi prevzela vlogo „koordinatorke“ in ki bi po potrebi delovala kot posrednica med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT. Naloge skupine CSIRT koordinatorke bi morale vključevati zlasti opredelitev zadevnih subjektov in vzpostavitev stika z njimi, podpiranje poročajočih subjektov, pogajanja o časovnicah razkrivanja in upravljanje razkrivanja šibkih točk, ki vplivajo na več organizacij (razkrivanje šibkih točk več strani). Če šibke točke vplivajo na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT s sedežem v več državah članicah, bi morale imenovane skupine CSIRT iz vsake od prizadetih držav članic sodelovati v okviru mreže skupin CSIRT.	(29) Države članice bi morale v sodelovanju z agencijo ENISA zato sprejeti ukrepe za olajšanje usklajenega razkrivanja šibkih točk z vzpostavitvijo ustrezne nacionalne politike. V tej ustrezni nacionalni politiki bi morale države članice obravnavati težave, ki jih odkrijejo raziskovalci šibkih točk. Subjekti in fizične osebe, ki raziskujejo šibke točke, so lahko v nekaterih državah članicah izpostavljeni kazenski in civilni odgovornosti. Zato naj države članice pripravijo smernice za opustitev pregona za raziskave na področju informacijske varnosti in izvzetje teh dejavnosti iz civilne odgovornosti.

Predlog spremembe 32

Predlog direktive

Uvodna izjava 29 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(29a) Države članice bi morale imenovati skupino CSIRT, ki bi prevzela vlogo „koordinatorke“ in ki bi po potrebi delovala kot posrednica med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT, ki bi jih šibka točka lahko prizadela. Naloge skupine CSIRT koordinatorke bi morale vključevati zlasti opredelitev zadevnih subjektov in vzpostavitev stika z njimi, podpiranje poročajočih subjektov, pogajanja o časovnicah razkrivanja in obvladovanje šibkih točk, ki vplivajo na več organizacij (razkrivanje šibkih točk več strani). Če šibke točke vplivajo na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT s sedežem v več državah članicah, bi morale imenovane skupine CSIRT iz vsake od prizadetih držav članic sodelovati v okviru mreže skupin CSIRT.

Predlog spremembe 33

Predlog direktive

Uvodna izjava 30


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(30) Dostop do točnih in pravočasnih informacij o šibkih točkah, ki vplivajo na proizvode in storitve IKT, prispeva k okrepljenemu obvladovanju tveganj za kibernetsko varnost. V zvezi s tem so viri javno dostopnih informacij o šibkih točkah pomembno orodje za subjekte in njihove uporabnike, pa tudi za pristojne nacionalne organe in skupine CSIRT. Zato bi morala agencija ENISA vzpostaviti register šibkih točk, kjer bi bistveni in pomembni subjekti ter njihovi dobavitelji, pa tudi subjekti, ki ne spadajo na področje uporabe te direktive, lahko prostovoljno razkrivali šibke točke in zagotavljali informacije o šibkih točkah, ki bi uporabnikom omogočale sprejetje ustreznih blažilnih ukrepov.	(30) Dostop do točnih in pravočasnih informacij o šibkih točkah, ki vplivajo na proizvode in storitve IKT, prispeva k okrepljenemu obvladovanju tveganj za kibernetsko varnost. Viri so javno dostopnih informacij o šibkih točkah pomembno orodje za subjekte in njihove uporabnike, pa tudi za pristojne nacionalne organe in skupine CSIRT. Zato bi morala agencija ENISA vzpostaviti podatkovno zbirko šibkih točk, kjer bi bistveni in pomembni subjekti ter njihovi dobavitelji, pa tudi subjekti, ki ne spadajo na področje uporabe te direktive, lahko prostovoljno razkrivali šibke točke in zagotavljali informacije o šibkih točkah, ki bi uporabnikom omogočale sprejetje ustreznih blažilnih ukrepov. Namen te podatkovne zbirke bi bila obravnava edinstvenih izzivov, ki jih tveganja za kibernetsko varnost pomenijo za evropske subjekte. Poleg tega bi morala agencija ENISA vzpostaviti odgovoren postopek v zvezi s postopkom objave, da bi imeli subjekti čas za sprejetje blažilnih ukrepov v zvezi z njihovimi šibkimi točkami, ter uporabiti najsodobnejše ukrepe za kibernetsko varnost ter strojno berljive nabore podatkov in ustrezne vmesnike (API). Zaradi spodbujanja kulture razkrivanja šibkih točk razkritje ne bi smelo negativno vplivati na poročajoči subjekt.

Predlog spremembe 34

Predlog direktive

Uvodna izjava 31


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(31) Čeprav podobni registri ali zbirke podatkov o šibkih točk obstajajo, te upravljajo in vzdržujejo subjekti, ki nimajo sedeža v Uniji. Evropski register šibkih točk, ki bi ga vzdrževala agencija ENISA, bi zagotovil večjo preglednost v zvezi s postopkom objave pred uradnim razkritjem šibke točke in odpornost v primerih motenj ali prekinitev pri opravljanju podobnih storitev. Da bi preprečila podvajanje prizadevanj in poskušala zagotoviti čim večje dopolnjevanje, bi morala agencija ENISA preučiti možnost sklenitve sporazumov o strukturnem sodelovanju s podobnimi registri v jurisdikcijah tretjih držav.	(31) Evropska podatkovna zbirka šibkih točk, ki bi ga vzdrževala agencija ENISA, bi morala izkoristiti register splošnih šibkih točk in izpostavljenosti, in sicer tako, da bi uporabila njen okvir za odkrivanje, spremljanje in vrednotenje šibkih točk. Poleg tega bi morala agencija ENISA preučiti možnost sklenitve sporazumov o strukturnem sodelovanju z drugimi podobnimi registri ali podatkovnimi zbirkami v jurisdikcijah tretjih držav, da bi preprečila podvajanje prizadevanj in spodbujala dopolnjevanje.

Predlog spremembe 35

Predlog direktive

Uvodna izjava 33


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(33) Skupina za sodelovanje bi morala pri pripravi smernic dosledno: evidentirati nacionalne rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil.	(33) Skupina za sodelovanje bi morala pri pripravi smernic dosledno: evidentirati nacionalne rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, zlasti o lažjem usklajevanju med državami članicami pri prenosu te direktive, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil. Skupina za sodelovanje bi morala poleg tega evidentirati nacionalne rešitve, da bi spodbujala združljivost rešitev na področju kibernetske varnosti, ki se uporabljajo v vsakem posameznem sektorju po Uniji. To je zlasti pomembno za sektorje z mednarodnim in čezmejnim vidikom.

Predlog spremembe 36

Predlog direktive

Uvodna izjava 34


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu povabila organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Evropski center za boj proti kibernetski kriminaliteti (EC3), Agencija Evropske unije za varnost v letalstvu (EASA) in Agencija Evropske unije za vesoljski program (EUSPA).	(34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu povabila ustrezne organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Europol, Agencija Evropske unije za varnost v letalstvu (EASA) in Agencija Evropske unije za vesoljski program (EUSPA).

Predlog spremembe 37

Predlog direktive

Uvodna izjava 35


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(35) Pristojni organi in skupine CSIRT bi morali biti pooblaščeni za sodelovanje v programih izmenjave uradnikov iz drugih držav članic, da bi izboljšali sodelovanje. Pristojni organi bi morali sprejeti potrebne ukrepe, s katerimi bi uradnikom iz drugih držav članic omogočili učinkovito sodelovanje v dejavnostih pristojnega organa gostitelja.	(35) Pristojni organi in skupine CSIRT bi morali biti pooblaščeni za sodelovanje v programih izmenjave uradnikov iz drugih držav članic, in sicer v okviru strukturiranih pravil in mehanizmov, ki določajo obseg in, kjer je ustrezno, potrebno varnostno odobritev za uradnike, ki sodelujejo v takih programih izmenjave, da bi izboljšali sodelovanje in okrepili zaupanje med državami članicami. Pristojni organi bi morali sprejeti potrebne ukrepe, s katerimi bi uradnikom iz drugih držav članic omogočili učinkovito sodelovanje v dejavnostih pristojnega organa gostitelja ali skupine CSIRT.

Predlog spremembe 38

Predlog direktive

Uvodna izjava 36


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(36) Unija bi morala, kjer je ustrezno, v skladu s členom 218 PDEU skleniti mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki bi omogočali in urejali njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje in mreže skupin CSIRT. Taki sporazumi bi morali zagotoviti ustrezno varstvo podatkov.	(36) Unija bi morala, kjer je ustrezno, v skladu s členom 218 PDEU skleniti mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki bi omogočali in urejali njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje in mreže skupin CSIRT. Taki sporazumi bi morali zagotoviti upoštevanje interesov Unije in ustrezno varstvo podatkov. To ne izključuje pravice držav članic do sodelovanja s podobno mislečimi tretjimi državami pri upravljanju šibkih točk in obvladovanju tveganj za kibernetsko varnost, ki omogoča poročanje in souporabo splošnih informacij v skladu z zakonodajo Unije.

Predlog spremembe 39

Predlog direktive

Uvodna izjava 38


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(38) V tej direktivi bi se moral izraz „tveganje“ nanašati na možnost izgube ali motnje, ki jo povzroči kibernetski incident, ter bi moral biti izražen kot kombinacija razsežnosti take izgube ali motnje in verjetnosti pojava navedenega incidenta.	črtano

Predlog spremembe 40

Predlog direktive

Uvodna izjava 39


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(39) V tej direktivi bi se moral izraz „skorajšnji dogodek“ nanašati na dogodek, ki bi lahko povzročil škodo, vendar se je uspešno preprečilo, da bi se v celoti uresničil.	črtano

Predlog spremembe 41

Predlog direktive

Uvodna izjava 40


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(40) Med ukrepe za obvladovanje tveganj bi morali spadati ukrepi za prepoznavanje tveganj incidentov, preprečevanje, odkrivanje in obvladovanje incidentov ter ublažitev njihovega vpliva. Varnost omrežij in informacijskih sistemov bi morala obsegati varnost shranjenih, prenesenih in obdelanih podatkov.	(40) Med ukrepe za obvladovanje tveganj bi morali spadati ukrepi za prepoznavanje tveganj incidentov, preprečevanje in odkrivanje incidentov, odzivanje nanje in okrevanje po njih ter ublažitev njihovega vpliva. Varnost omrežij in informacijskih sistemov bi morala obsegati varnost shranjenih, prenesenih in obdelanih podatkov. Ti sistemi bi morali zagotoviti sistemske analize, ki razčlenijo različne procese in interakcije med podsistemi in upoštevajo človeški faktor, da bi pridobili celotno sliko varnosti informacijskega sistema.

Predlog spremembe 42

Predlog direktive

Uvodna izjava 41


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(41) Da bistvenim in pomembnim subjektom ne bi bilo naloženo nesorazmerno finančno in upravno breme, bi morale biti zahteve glede obvladovanja tveganj za kibernetsko varnost sorazmerne s tveganjem, ki ga pomenita zadevno omrežje in informacijski sistem, pri čemer bi bilo treba upoštevati dovršenost takih ukrepov.	(41) Da bistvenim in pomembnim subjektom ne bi bilo naloženo nesorazmerno finančno in upravno breme, bi morale biti zahteve glede obvladovanja tveganj za kibernetsko varnost sorazmerne s tveganjem, ki ga pomenita zadevno omrežje in informacijski sistem, pri čemer bi bilo treba upoštevati dovršenost takih ukrepov ter evropskih in mednarodnih standardov, kot so ISO31000 in ISA/IEC 27005.

Predlog spremembe 43

Predlog direktive

Uvodna izjava 43


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(43) Obravnavanje tveganj za kibernetsko varnost, ki izhajajo iz dobavne verige subjekta in njegovega razmerja z njegovimi dobavitelji, je še zlasti pomembno glede na razširjenost incidentov, v katerih so bili subjekti žrtve kibernetskih napadov in v katerih so bili zlonamerni akterji sposobni ogroziti varnost omrežij in informacijskih sistemov subjekta z izkoriščanjem šibkih točk, ki vplivajo na proizvode in storitve tretje osebe. Subjekti bi morali zato oceniti in upoštevati splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki.	(43) Obravnavanje tveganj za kibernetsko varnost, ki izhajajo iz dobavne verige subjekta in njegovega razmerja z njegovimi dobavitelji, kot so ponudniki storitev shranjevanja in obdelave podatkov ali upravljanih varnostnih storitev, je še zlasti pomembno glede na razširjenost incidentov, v katerih so bili subjekti žrtve napadov na omrežje in informacijske sisteme in v katerih so bili zlonamerni akterji sposobni ogroziti varnost omrežij in informacijskih sistemov subjekta z izkoriščanjem šibkih točk, ki vplivajo na proizvode in storitve tretje osebe. Subjekti bi morali zato oceniti in upoštevati splošno kakovost in odpornost proizvodov in storitev, v njih zajetih ukrepov za kibernetsko varnost ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki. Subjekte bi bilo treba zlasti spodbujati, da ukrepe za kibernetsko varnost vključijo v pogodbene dogovore s svojimi prvostopenjskimi dobavitelji in ponudniki storitev. Subjekti bi lahko upoštevali tveganja za kibernetsko varnost, ki izhajajo iz drugih ravni dobaviteljev in ponudnikov storitev.

Predlog spremembe 44

Predlog direktive

Uvodna izjava 44


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(44) Med ponudniki storitev imajo ponudniki upravljanih varnostnih storitev na področjih, kot so odzivanje na incidente, penetracijsko testiranje, varnostne presoje in svetovanje, še posebno pomembno vlogo pri zagotavljanju pomoči subjektom pri njihovih prizadevanjih za odkrivanje incidentov in odzivanje nanje. Vendar pa so bili takšni ponudniki upravljanih varnostnih storitev tudi sami tarče kibernetskih napadov in zaradi svoje tesne vključenosti v delovanje izvajalcev pomenijo posebno tveganje za kibernetsko varnost. Subjekti bi morali biti zato še bolj skrbni pri izbiri ponudnika upravljanih varnostnih storitev.	(44) Med ponudniki storitev imajo ponudniki upravljanih varnostnih storitev na področjih, kot so odzivanje na incidente, penetracijsko testiranje, varnostne presoje in svetovanje, še posebno pomembno vlogo pri zagotavljanju pomoči subjektom pri njihovih prizadevanjih za preprečevanje in odkrivanje incidentov ter odzivanje nanje ali okrevanje po njih. Vendar pa so bili takšni ponudniki upravljanih varnostnih storitev tudi sami tarče kibernetskih napadov in zaradi svoje tesne vključenosti v delovanje izvajalcev pomenijo posebno tveganje za kibernetsko varnost. Subjekti bi morali biti zato še bolj skrbni pri izbiri ponudnika upravljanih varnostnih storitev.

Predlog spremembe 45

Predlog direktive

Uvodna izjava 45


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(45) Subjekti bi morali obravnavati tudi tveganja za kibernetsko varnost, ki izhajajo iz njihovih stikov in odnosov z drugimi zainteresiranimi stranmi v okviru širšega ekosistema. Subjekti bi morali zlasti sprejeti ustrezne ukrepe za zagotovitev, da njihovo sodelovanje z akademskimi in raziskovalnimi ustanovami poteka v skladu z njihovimi politikami na področju kibernetske varnosti, ob upoštevanju dobrih praks v zvezi z varnim dostopom in razširjanjem informacij na splošno ter še posebno z varstvom intelektualne lastnine. Podobno bi morali subjekti glede na pomen in vrednost podatkov za dejavnosti subjektov pri uporabi storitev pretvorbe podatkov in podatkovne analitike, ki jih opravljajo tretje osebe, sprejeti vse ustrezne ukrepe za kibernetsko varnost.	(45) Subjekti bi morali obravnavati tudi tveganja za kibernetsko varnost, ki izhajajo iz njihovih stikov in odnosov z drugimi zainteresiranimi stranmi v okviru širšega ekosistema, med drugim za preprečevanje industrijskega vohunjenja in za zaščito poslovnih skrivnosti. Subjekti bi morali zlasti sprejeti ustrezne ukrepe za zagotovitev, da njihovo sodelovanje z akademskimi in raziskovalnimi ustanovami poteka v skladu z njihovimi politikami na področju kibernetske varnosti, ob upoštevanju dobrih praks v zvezi z varnim dostopom in razširjanjem informacij na splošno ter še posebno z varstvom intelektualne lastnine. Podobno bi morali subjekti glede na pomen in vrednost podatkov za dejavnosti subjektov pri uporabi storitev pretvorbe podatkov in podatkovne analitike, ki jih opravljajo tretje osebe, sprejeti vse ustrezne ukrepe za kibernetsko varnost.

Predlog spremembe 46

Predlog direktive

Uvodna izjava 45 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(45a) Subjekti bi morali sprejeti širok nabor osnovnih praks računalniške higiene, kot je arhitektura popolnega nezaupanja, posodobitve programske opreme, konfiguracija naprav, segmentacija omrežja, upravljanje identitete in dostopa ter ozaveščenost uporabnikov, in organizirati usposabljanje svojega osebja v zvezi s kibernetskimi grožnjami podjetjem, lažnim predstavljanjem in tehnikami socialnega inženiringa. Subjekti bi morali tudi oceniti lastne zmogljivosti glede kibernetske varnosti in si po potrebi prizadevati za vključevanje tehnologij za povečanje kibernetske varnosti, ki uporabljajo umetno inteligenco ali sisteme strojnega učenja, da avtomatizirajo svoje zmogljivosti in zaščito omrežnih arhitektur.

Predlog spremembe 47

Predlog direktive

Uvodna izjava 46


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(46) Za nadaljnje obravnavanje ključnih tveganj za dobavno verigo ter zagotavljanje pomoči subjektom, ki delujejo v sektorjih, zajetih s to direktivo, pri ustreznem obvladovanju tveganj za kibernetsko varnost, povezanih z dobavno verigo in dobavitelji, bi morala skupina za sodelovanje, ki vključuje ustrezne nacionalne organe, v sodelovanju s Komisijo in agencijo ENISA izvesti usklajene sektorske ocene tveganj v zvezi z dobavno verigo, kot je že storila za omrežja 5G na podlagi Priporočila (EU) 2019/534 o kibernetski varnosti omrežij 5G21, da bi opredelila kritične storitve, sisteme ali proizvode IKT, zadevne grožnje in šibke točke za posamezne sektorje.	(46) Za nadaljnje obravnavanje ključnih tveganj za dobavno verigo ter zagotavljanje pomoči subjektom, ki delujejo v sektorjih, zajetih s to direktivo, pri ustreznem obvladovanju tveganj za kibernetsko varnost, povezanih z dobavno verigo in dobavitelji, bi morala skupina za sodelovanje, ki vključuje ustrezne nacionalne organe, v sodelovanju s Komisijo in agencijo ENISA izvesti usklajene ocene tveganj v zvezi z dobavno verigo, kot je že storila za omrežja 5G na podlagi Priporočila (EU) 2019/534 o kibernetski varnosti omrežij 5G21, da bi opredelila kritične storitve, sisteme ali proizvode IKT in IKS, zadevne grožnje in šibke točke za posamezne sektorje. Pri teh ocenah tveganja bi bilo treba opredeliti ukrepe, načrte za ublažitev in dobre prakse v zvezi s kritičnimi odvisnostmi, morebitnimi kritičnimi točkami odpovedi, grožnjami, ranljivostjo in drugimi tveganji, povezanimi z dobavno verigo, ter preučiti načine za nadaljnje spodbujanje subjektov k njihovemu širšemu sprejetju. Morebitni netehnični dejavniki tveganja, kot je neprimeren vpliv tretje države na dobavitelje in ponudnike storitev, zlasti v primeru alternativnih modelov upravljanja, vključujejo prikrite šibke točke ali stranska vrata in morebitne sistemske motnje v oskrbi, zlasti v primeru tehnološke vezanosti na ponudnika ali odvisnosti od njega.
__________________	__________________
21 Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42).	21 Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42).

Predlog spremembe 48

Predlog direktive

Uvodna izjava 47


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov.	(47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT v njihovem celotnem življenjskem ciklu proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov. Poleg tega bi bilo treba posebno pozornost nameniti storitvam, sistemom ali izdelkom IKT, za katere veljajo posebne zahteve, ki izhajajo iz tretjih držav.

Predlog spremembe 49

Predlog direktive

Uvodna izjava 47a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(47a) Certifikacijska skupina deležnikov za kibernetsko varnost, ustanovljena v skladu s členom 22 Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta1a, bi morala izdati mnenje o ocenah varnostnega tveganja specifičnih kritičnih storitev, sistemov ali dobavnih verig v zvezi z IKT in ICS. Skupina za sodelovanje in agencija ENISA bi morali to mnenje upoštevati.
	__________________
	1a Uredba (EU) 2019/881 Evropskega Parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).

Predlog spremembe 50

Predlog direktive

Uvodna izjava 50


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(50) Glede na vedno večji pomen medosebnih komunikacijskih storitev, neodvisnih od številke, je treba zagotoviti, da se tudi za take storitve uporabljajo ustrezne varnostne zahteve, ob upoštevanju njihove posebne narave in gospodarskega pomena. Ponudniki takih storitev bi torej prav tako morali zagotoviti raven varnosti omrežij in informacijskih sistemov, primerno obstoječemu tveganju. Ker ponudniki medosebnih komunikacijskih storitev, neodvisnih od številke, običajno nimajo dejanskega nadzora nad prenosom signalov prek omrežja, je mogoče raven tveganja za take storitve v nekaterih pogledih šteti za manjšo kot pri tradicionalnih elektronskih komunikacijskih storitvah. Enako velja za medosebne komunikacijske storitve, ki uporabljajo številke in nimajo dejanskega nadzora nad prenosom signalov.	(50) Glede na vedno večji pomen medosebnih komunikacijskih storitev, neodvisnih od številke, je treba zagotoviti, da se tudi za take storitve uporabljajo ustrezne varnostne zahteve, ob upoštevanju njihove posebne narave in gospodarskega pomena. Ponudniki takih storitev bi torej prav tako morali zagotoviti raven varnosti omrežij in informacijskih sistemov, primerno obstoječemu tveganju. Ker ponudniki medosebnih komunikacijskih storitev, neodvisnih od številke, običajno nimajo dejanskega nadzora nad prenosom signalov prek omrežja, je mogoče raven tveganja za varnost omrežja za take storitve v nekaterih pogledih šteti za manjšo kot pri tradicionalnih elektronskih komunikacijskih storitvah. Enako velja za medosebne komunikacijske storitve, ki uporabljajo številke in nimajo dejanskega nadzora nad prenosom signalov. Vendar s širjenjem površine za napade postajajo medosebne komunikacijske storitve, neodvisne od številke, kot so med drugim sporočilniki družbenih omrežij, priljubljeni vektorji napadov. Zlonamerni akterji uporabljajo platforme za komuniciranje in privabljanje žrtev, da odprejo spletne strani, ki niso varne, kar poveča verjetnost incidentov, ki vključujejo izkoriščanje osebnih podatkov in s tem varnost informacijskih sistemov.

Predlog spremembe 51

Predlog direktive

Uvodna izjava 51


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(51) Notranji trg je bolj odvisen od delovanja interneta kot kdaj koli prej. Storitve praktično vseh bistvenih in pomembnih subjektov so odvisne od storitev, ki se opravljajo prek interneta. Za zagotovitev nemotenega opravljanja storitev bistvenih in pomembnih subjektov je pomembno, da imajo javna elektronska komunikacijska omrežja, kot so na primer hrbtenična internetna omrežja ali podmorski komunikacijski kabli, vzpostavljene ustrezne ukrepe za kibernetsko varnost in da poročajo o incidentih v zvezi z njo.	(51) Notranji trg je bolj odvisen od delovanja interneta kot kdaj koli prej. Storitve praktično vseh bistvenih in pomembnih subjektov so odvisne od storitev, ki se opravljajo prek interneta. Za zagotovitev nemotenega opravljanja storitev bistvenih in pomembnih subjektov je pomembno, da imajo vsa javna elektronska komunikacijska omrežja, kot so na primer hrbtenična internetna omrežja ali podmorski komunikacijski kabli, vzpostavljene ustrezne ukrepe za kibernetsko varnost in da poročajo o pomembnih incidentih v zvezi z njo. Države članice bi morale zagotoviti, da se ohranita celovitost in razpoložljivost teh javnih elektronskih komunikacijskih omrežij, njihovo zaščito pred sabotažo in vohunjenjem pa dojemati kot ključnega pomena za varnost. Države članice bi si morale dejavno izmenjavati informacije o incidentih, na primer o podmorskih komunikacijskih kablih.

Predlog spremembe 52

Predlog direktive

Uvodna izjava 52


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(52) Kjer je ustrezno, bi morali subjekti obvestiti prejemnike storitev o specifičnih in pomembnih grožnjah ter ukrepih, ki jih lahko sprejmejo za ublažitev posledičnega tveganja za njih same. Zahteva glede obveščanja zadevnih prejemnikov o takih grožnjah subjektov ne bi smela odvezati obveznosti, da na svoje stroške sprejmejo ustrezne in takojšnje ukrepe za preprečevanje ali odpravo vseh kibernetskih groženj in ponovno vzpostavitev običajne ravni varnosti storitve. Zagotavljanje takih informacij o varnostnih grožnjah prejemnikom bi moralo biti brezplačno.	(52) Kjer je ustrezno, bi morali subjekti obvestiti prejemnike storitev o specifičnih in pomembnih grožnjah ter ukrepih, ki jih lahko sprejmejo za ublažitev posledičnega tveganja za njih same. To ne bi smelo subjektov odvezati obveznosti, da na svoje stroške sprejmejo ustrezne in takojšnje ukrepe za preprečevanje ali odpravo vseh kibernetskih groženj in ponovno vzpostavitev običajne ravni varnosti storitve. Zagotavljanje takih informacij o varnostnih grožnjah prejemnikom bi moralo biti brezplačno ter v zlahka razumljivem jeziku.

Predlog spremembe 53

Predlog direktive

Uvodna izjava 53


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(53) Zlasti bi morali ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev prejemnike storitve obvestiti o specifičnih in pomembnih kibernetskih grožnjah ter ukrepih, ki jih lahko sprejmejo za zagotovitev varnosti svojih komunikacij, na primer z uporabo posebnih vrst programske opreme ali tehnologij šifriranja.	(53) Ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev bi morali uvesti privzeto in vgrajeno varnost ter prejemnike storitve obvestiti o specifičnih in pomembnih kibernetskih grožnjah ter ukrepih, ki jih lahko sprejmejo za zagotovitev varnosti svojih naprav in komunikacij, na primer z uporabo posebnih vrst programske opreme za šifriranja ali drugih na podatkih temelječih varnostnih tehnologij.

Predlog spremembe 54

Predlog direktive

Uvodna izjava 54


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(54) Za zaščito varnosti elektronskih komunikacijskih omrežij in storitev bi bilo treba spodbujati uporabo šifriranja, zlasti šifriranja od konca do konca, ki bi morala biti po potrebi obvezna za ponudnike takih storitev in omrežij v skladu z načeloma privzete in vgrajene varnosti ter zasebnosti za namene člena 18. Uporabo šifriranja od konca do konca bi bilo treba uskladiti s pooblastili države članice, da zagotovi zaščito svojih bistvenih varnostnih interesov in javne varnosti ter dovoli preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. Pri rešitvah za zakonit dostop do informacij v komunikacijah, šifriranih od konca do konca, bi se morala ohraniti učinkovitost šifriranja pri varovanju zasebnosti in varnosti komunikacij ter hkrati zagotoviti učinkovit odziv na kazniva dejanja.	(54) Za zaščito varnosti elektronskih komunikacijskih omrežij in storitev bi bilo treba spodbujati uporabo šifriranja in drugih na podatkih temelječih varnostnih tehnologij, kot so tokenizacija, segmentacija, dostop do omejevanja zmogljivosti, označevanje, močno upravljanje identitete in dostopa ter samodejne odločitve za dostop, ki bi morala biti po potrebi obvezna za ponudnike takih storitev in omrežij v skladu z načeloma privzete in vgrajene varnosti ter zasebnosti za namene člena 18. Uporabo šifriranja od konca do konca bi bilo treba uskladiti s pooblastili države članice, da zagotovi zaščito svojih bistvenih varnostnih interesov in javne varnosti ter dovoli preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. Vendar to ne bi smelo privesti do prizadevanj za oslabitev šifriranih od konca do konca, ki je ključna tehnologija za učinkovito varstvo podatkov in zasebnost.

Predlog spremembe 55

Predlog direktive

Uvodna izjava 54 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(54a) Da bi ohranili varnost ter preprečili zlorabe in manipulacije z elektronskimi komunikacijskimi omrežji in storitvami, bi bilo treba spodbujati uporabo interoperabilnih varnih standardov usmerjanja za zagotovitev celovitosti in zanesljivosti funkcij usmerjanja v celotnem ekosistemu nosilcev interneta.

Predlog spremembe 56

Predlog direktive

Uvodna izjava 54 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(54b) Da bi zaščitili funkcionalnost in celovitost interneta ter omejili varnostne težave, povezane z DNS, bi bilo treba ustrezne zainteresirane strani, vključno s podjetji Unije, ponudniki internetnih storitev in ponudniki brskalnikov, spodbujati, naj sprejmejo strategijo za diverzifikacijo razreševanja DNS. Poleg tega bi bilo treba države članice spodbujati, naj razvijejo in uporabljajo javno in varno evropsko storitev razreševanja DNS.

Predlog spremembe 57

Predlog direktive

Uvodna izjava 55


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(55) Direktiva določa dvostopenjski pristop k poročanju o incidentih za vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga blažiti morebitno širjenje incidentov in omogoča subjektom, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih podjetij in celotnega sektorja proti kibernetskim grožnjam. Kadar se subjekti seznanijo z incidentom, bi se moralo od njih zahtevati, da v 24 urah predložijo začetno priglasitev, ki ji najpozneje čez en mesec sledi končno poročilo. Začetna priglasitev bi morala vključevati le informacije, ki so nujno potrebne za seznanitev pristojnih organov z incidentom in ki subjektu omogočajo, da po potrebi zaprosi za pomoč. V taki priglasitvi bi moralo biti, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve viri poročajočega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Da bi države članice nadalje preprečile, da bi se zaradi obveznosti poročanja o incidentih bodisi viri preusmerili z upravljanja odzivov na incidente bodisi kako drugače ogrozila prizadevanja subjektov v zvezi s tem, bi morale tudi zagotoviti, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s pristojnimi organi ali skupino CSIRT odstopa od rokov, tj. 24 ur za začetno priglasitev in enega meseca za končno poročilo.	(55) Direktiva določa dvostopenjski pristop k poročanju o incidentih za vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga blažiti morebitno širjenje incidentov in omogoča subjektom, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih podjetij in celotnega sektorja proti kibernetskim grožnjam. Kadar se subjekti seznanijo z incidentom, bi se moralo od njih zahtevati, da predložijo začetno priglasitev, ki ji najpozneje čez en mesec sledi celovito poročilo. Začetni časovni okvir za priglasitev incidenta ne sme subjektom preprečevati, da o incidentih poročajo prej, kar jim omogoča, da skupine CSIRT hitro zaprosijo za pomoč, kar jim omogoča omejitev morebitnega širjenje poročanega incidenta. Skupine CSIRT lahko zahtevajo vmesno poročilo o ustreznih posodobitvah stanja, pri čemer upoštevajo odziv na incidente in poskuse sanacije poročajočega subjekta.

Predlog spremembe 58

Predlog direktive

Uvodna izjava 55 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(55a) Pomemben incident lahko vpliva na zaupnost, celovitost ali razpoložljivost storitve. Bistveni in pomembni subjekti bi morali skupine CSIRT obvestiti o pomembnih incidentih, ki vplivajo na razpoložljivost njihove storitve v 24 urah po seznanitvi z incidentom. Skupine CSIRT bi morali o pomembnih incidentih, ki kršijo zaupnost in celovitost njihovih storitev, obvestiti v 72 urah po seznanitvi z incidentom. Razlikovanje med vrstami incidentov ne temelji na resnosti incidenta, temveč na tem, kako težavno je za subjekt, ki poroča, oceniti incident, njegov pomen in sporočati informacije, ki se lahko uporabijo za skupino CSIRT. Začetna priglasitev bi morala vključevati informacije, ki so potrebne za seznanitev skupine CSIRT z incidentom in ki subjektu omogočajo, da po potrebi zaprosi za pomoč. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve viri poročajočega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Da bi države članice nadalje preprečile, da bi se zaradi obveznosti poročanja o incidentih bodisi viri preusmerili z upravljanja odzivov na incidente bodisi kako drugače ogrozila prizadevanja subjektov v zvezi s tem, bi morale tudi zagotoviti, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s skupino CSIRT odstopa od rokov za začetno priglasitev in za celovito poročilo.

Predlog spremembe 59

Predlog direktive

Uvodna izjava 59


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(59) Vzdrževanje točnih in popolnih podatkovnih zbirk domenskih imen in podatkov o registraciji (tako imenovani podatki „WHOIS“) ter omogočanje zakonitega dostopa do takih podatkov sta bistveni za zagotavljanje varnosti, stabilnosti in odpornosti sistema domenskih imen, kar posledično prispeva k višji skupni ravni kibernetske varnosti v Uniji. Če obdelava vključuje osebne podatke, mora biti taka obdelava skladna s pravom Unije o varstvu podatkov.	(59) Vzdrževanje točnih, preverjenih in popolnih podatkovnih zbirk domenskih imen in podatkov o registraciji (tako imenovani podatki „WHOIS“) je bistveno za zagotavljanje varnosti, stabilnosti in odpornosti sistema domenskih imen, kar posledično prispeva k višji skupni ravni kibernetske varnosti v Uniji in k boju proti nezakonitim spletnim dejavnostim. Zato bi bilo treba od registrov vrhnjih domen in subjektov, ki opravljajo storitve registracije domenskih imen, zahtevati, da zbirajo podatke o registraciji domenskih imen, ki bi morali vključevati vsaj ime registratorja, njegov fizični in elektronski naslov ter telefonsko številko. V praksi zbrani podatki morda niso vedno popolnoma točni, vendar bi morali registri vrhnjih domen in subjekti, ki zagotavljajo storitve registracije domenskih imen, sprejeti in izvajati sorazmerne postopke za preverjanje, ali so fizične ali pravne osebe, ki zahtevajo ali imajo v lasti domensko ime, zagotovile kontaktne podatke, kjer jih je mogoče doseči in na katere naj bi odgovorile. Z uporabo pristopa „po najboljših prizadevanjih“ bi morali ti postopki preverjanja odražati sedanje dobre prakse, ki se uporabljajo v industriji. Te dobre prakse v postopku preverjanja bi morale odražati napredek, dosežen v postopku elektronske identifikacije. Registri vrhnjih domen in subjekti, ki zagotavljajo storitve registracije domenskih imen, bi morali javno objaviti svoje politike in postopke, da se zagotovita celovitost in razpoložljivost podatkov iz registrov domenskih imen. Če obdelava vključuje osebne podatke, mora biti taka obdelava skladna s pravom Unije o varstvu podatkov.

Predlog spremembe 60

Predlog direktive

Uvodna izjava 60


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(60) Razpoložljivost in pravočasna dostopnost teh podatkov za javne organe, vključno s pristojnimi organi po pravu Unije ali nacionalnem pravu za preprečevanje, preiskovanje ali pregon kaznivih dejanj, skupine CERT in CSIRT ter, kar zadeva podatke njihovih strank, ponudnike elektronskih komunikacijskih omrežij in storitev ter ponudnike tehnologij in storitev kibernetske varnosti, ki delujejo v imenu zadevnih strank, sta bistveni za preprečevanje zlorab sistema domenskih imena in boj proti njim, zlasti za preprečevanje in odkrivanje kibernetskih incidentov ter odzivanje nanje. Pri takem dostopu bi bilo treba spoštovati pravo Unije o varstvu podatkov, če je povezan z osebnimi podatki.	(60) Razpoložljivost in pravočasna dostopnost podatkov o registraciji domenskih imen osebam, ki imajo upravičen razlog za dostop, sta bistvena za kibernetsko varnost in boj proti nezakonitim dejavnostim v spletnem ekosistemu. Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, bi morali biti zato v skladu s pravom Unije o varstvu podatkov dolžni zagotoviti zakonit dostop do podatkov o registraciji posameznih domenskih imen, vključno z osebnimi podatki, tudi osebam, ki imajo upravičen razlog za dostop. Osebe, ki imajo upravičen razlog za dostop, bi morale vložiti ustrezno utemeljeno zahtevo za dostop do podatkov o registraciji domenskih imen na podlagi prava Unije ali nacionalnega prava in bi lahko vključevale pristojne organe v skladu s pravom Unije ali nacionalnim pravom za preprečevanje, preiskovanje ali pregon kaznivih dejanj ter nacionalne skupine CERT ali skupine CSIRT. Države članice bi morale zagotoviti, da se registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, nemudoma in v vsakem primeru v 72 urah odzovejo na zahteve oseb, ki imajo upravičen razlog za dostop, glede razkritja podatkov o registraciji domenskih imen. Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, bi morali vzpostaviti politike in postopke za objavo in razkritje podatkov o registraciji, vključno s sporazumi o ravni storitve, za obravnavanje zahtev oseb za dostop, ki imajo upravičen razlog za dostop. Postopek dostopa lahko vključuje tudi uporabo vmesnika, portala ali drugih tehničnih orodij za zagotovitev učinkovitega sistema za predložitev zahtev in dostopanje do podatkov o registraciji. Komisija lahko za spodbujanje usklajenih praks na notranjem trgu sprejme smernice o takih postopkih brez poseganja v pristojnosti Evropskega odbora za varstvo podatkov.

Predlog spremembe 61

Predlog direktive

Uvodna izjava 61


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(61) Da bi zagotovili razpoložljivost točnih in popolnih podatkov o registraciji domenskih imen, bi morali registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene (tako imenovani registratorji), zbirati podatke o registraciji domenskih imen ter zagotavljati njihovo celovitost in razpoložljivost. Zlasti bi morali registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, vzpostaviti politike in postopke za zbiranje ter vzdrževanje točnih in popolnih podatkov o registraciji ter za preprečevanje in popravljanje netočnih podatkov o registraciji v skladu s pravili Unije o varstvu podatkov.	črtano

Predlog spremembe 62

Predlog direktive

Uvodna izjava 62


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(62) Registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, bi morali objaviti podatke o registraciji domenskih imen, ki ne spadajo na področje uporabe pravil Unije o varstvu podatkov, kot so podatki, ki se nanašajo na pravne osebe25. Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, bi morali v skladu s pravom Unije o varstvu podatkov zakonit dostop do podatkov o registraciji posameznih domenskih imen v zvezi s fizičnimi osebami omogočiti tudi osebam, ki imajo upravičen razlog za dostop. Države članice bi morale zagotoviti, da se registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, brez nepotrebnega odlašanja odzovejo na zahteve oseb, ki imajo upravičen razlog za dostop, glede razkritja podatkov o registraciji domenskih imen. Registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, bi morali vzpostaviti politike in postopke za objavo in razkritje podatkov o registraciji, vključno s sporazumi o ravni storitve, za obravnavanje zahtev oseb za dostop, ki imajo upravičen razlog za dostop. Postopek dostopa lahko vključuje tudi uporabo vmesnika, portala ali drugih tehničnih orodij za zagotovitev učinkovitega sistema za predložitev zahtev in dostopanje do podatkov o registraciji. Komisija lahko za spodbujanje usklajenih praks na notranjem trgu sprejme smernice o takih postopkih brez poseganja v pristojnosti Evropskega odbora za varstvo podatkov.	(62) Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, bi morali biti dolžni objaviti podatke o registraciji domenskih imen, ki ne vsebujejo osebnih podatkov. Razlikovati je treba med fizičnimi in pravnimi osebami25. Registri in subjekti vrhnjih domen bi morali za pravne osebe javno objaviti vsaj ime registratorja, njegov fizični in elektronski naslov ter telefonsko številko. Od pravne osebe bi bilo treba zahtevati, da navede splošni elektronski naslov, ki se lahko objavi, ali da privoli v objavo osebnega elektronskega naslova. Pravna oseba bi morala biti sposobna izkazati to privolitev na zahtevo registrov vrhnjih domen in subjektov, ki opravljajo storitve registracije domenskih imen.
__________________	__________________
25 Uvodna izjava 14 UREDBE (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA, v skladu s katero „[t]a uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe“.	25 Uvodna izjava 14 UREDBE (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA, v skladu s katero „[t]a uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe“.

Predlog spremembe 63

Predlog direktive

Uvodna izjava 63


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(63) Vsi bistveni in pomembni subjekti na podlagi te direktive bi morali spadati v sodno pristojnost države članice, kjer opravljajo svoje storitve. Če subjekt opravlja storitve v več kot eni državi članici, bi moral spadati v ločeno in sočasno sodno pristojnost vsake od teh držav članic. Pristojni organi teh držav članic bi morali sodelovati, si medsebojno pomagati in, kjer je ustrezno, izvajati skupne nadzorne ukrepe.	(63) Vsi bistveni in pomembni subjekti na podlagi te direktive bi morali spadati v sodno pristojnost države članice, kjer opravljajo svoje storitve ali izvajajo svoje dejavnosti. Če subjekt opravlja storitve v več kot eni državi članici, bi moral spadati v ločeno in sočasno sodno pristojnost vsake od teh držav članic. Pristojni organi teh držav članic bi morali sodelovati, si medsebojno pomagati in, kjer je ustrezno, izvajati skupne nadzorne ukrepe.

Predlog spremembe 64

Predlog direktive

Uvodna izjava 64


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(64) Da bi se upoštevala čezmejna narava storitev in postopkov ponudnikov storitev sistema domenskih imen, registrov vrhnjih domenskih imen, ponudnikov omrežij za dostavo vsebine, ponudnikov storitev računalništva v oblaku, ponudnikov storitev podatkovnih centrov in ponudnikov digitalnih storitev, bi morala biti za te subjekte pristojna samo ena država članica. Sodno pristojnost bi bilo treba dodeliti državi članici, v kateri ima zadevni subjekt glavni sedež v Uniji. Merilo sedeža za namene te direktive pomeni dejansko izvajanje dejavnosti na podlagi stabilnih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik. Izpolnjevanje tega merila ne bi smelo biti odvisno od tega, ali so omrežja in informacijski sistemi fizično locirani na tistem mestu; prisotnost in uporaba teh sistemov sami po sebi ne pomenita tega glavnega sedeža in zato nista odločilni merili za ugotavljanje glavnega sedeža. Glavni sedež bi moral biti kraj, kjer se v Uniji sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. To običajno ustreza kraju osrednje uprave podjetij v Uniji. Če se take odločitve ne sprejemajo v Uniji, bi bilo treba šteti, da je glavni sedež v državah članicah, kjer ima subjekt sedež z največjim številom zaposlenih v Uniji. Kadar storitve opravljajo povezane družbe, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezanih družb.	(64) Da bi se upoštevala čezmejna narava storitev in postopkov ponudnikov storitev sistema domenskih imen, registrov vrhnjih domenskih imen, ponudnikov omrežij za dostavo vsebine, ponudnikov storitev računalništva v oblaku, ponudnikov storitev podatkovnih centrov in ponudnikov digitalnih storitev, bi morala biti za te subjekte pristojna samo ena država članica. Sodno pristojnost bi bilo treba dodeliti državi članici, v kateri ima zadevni subjekt glavni sedež v Uniji. Merilo sedeža za namene te direktive pomeni dejansko izvajanje dejavnosti na podlagi stabilnih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik. Izpolnjevanje tega merila ne bi smelo biti odvisno od tega, ali so omrežja in informacijski sistemi fizično locirani na tistem mestu; prisotnost in uporaba teh sistemov sami po sebi ne pomenita tega glavnega sedeža in zato nista odločilni merili za ugotavljanje glavnega sedeža. Glavni sedež bi moral biti kraj, kjer se v Uniji sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. To običajno ustreza kraju osrednje uprave podjetij v Uniji. Če se take odločitve ne sprejemajo v Uniji, bi bilo treba šteti, da je glavni sedež v državah članicah, kjer ima subjekt sedež z največjim številom zaposlenih v Uniji ali sedež, kjer se izvajajo operacije v zvezi s kibernetsko varnostjo. Kadar storitve opravljajo povezane družbe, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezanih družb.

Predlog spremembe 65

Predlog direktive

Uvodna izjava 65a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(65a) Agencija ENISA bi morala vzpostaviti in vzdrževati register, ki vsebuje informacije o bistvenih in pomembnih subjektih, ki bi vključevali ponudnike storitev DNS, registre vrhnjih domenskih imen in ponudnike storitev računalništva v oblaku, storitve podatkovnih centrov, omrežja za dostavo vsebine, spletne tržnice, spletne iskalnike in platforme družbenih medijev. Ti bistveni in pomembni subjekti bi morali agenciji ENISA posredovati svoje ime, naslov in posodobljene kontaktne podatke. Agencijo ENISA bi morali nemudoma, v vsakem primeru pa v dveh tednih od datuma začetka veljavnosti spremembe, obvestiti o vseh spremembah podatkov. Agencija ENISA bi morala informacije posredovati ustrezni enotni kontaktni točki. Bistvenim in pomembnim subjektom, ki predložijo svoje informacije agenciji ENISA, torej ni treba ločeno obveščati pristojnega organa v državi članici. Agencija ENISA bi morala razviti preprosto, javno dostopno aplikacijo, ki bi jo ti subjekti lahko uporabljali za posodabljanje svojih informacij. Poleg tega bi morala agencija ENISA vzpostaviti ustrezne protokole za razvrščanje in upravljanje informacij, s čimer bi zagotovila varnost in zaupnost razkritih informacij ter omejila dostop, shranjevanje in prenos tovrstnih informacij predvidenim uporabnikom.

Predlog spremembe 66

Predlog direktive

Uvodna izjava 66


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(66) Če se podatki, ki se v skladu z nacionalnim pravom ali pravom Unije štejejo za tajne, izmenjujejo, sporočajo ali drugače souporabljajo v skladu z določbami te direktive, bi se morala uporabljati ustrezna posebna pravila o ravnanju s tajnimi podatki.	(66) Če se podatki, ki se v skladu z nacionalnim pravom ali pravom Unije štejejo za tajne, izmenjujejo, sporočajo ali drugače souporabljajo v skladu z določbami te direktive, bi se morala uporabljati ustrezna posebna pravila o ravnanju s tajnimi podatki. Poleg tega bi agencija ENISA morala imeti vzpostavljeno infrastrukturo, postopke in pravila za obravnavo občutljivih in zaupnih informacij v skladu z veljavnimi varnostnimi predpisi za varovanje tajnih podatkov EU.

Predlog spremembe 67

Predlog direktive

Uvodna izjava 68


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(68) Subjekte bi bilo zato treba spodbuditi, naj skupaj izkoristijo svoje individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmogljivosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, zaščito pred njimi in odzivanje nanje. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij. V ta namen bi morale države članice dejavno podpirati in spodbujati tudi ustrezne subjekte, ki niso zajeti v področje uporabe te direktive, naj sodelujejo v takih mehanizmih za izmenjavo informacij. Taki mehanizmi bi se morali izvajati ob polnem spoštovanju pravil Unije o konkurenci in pravil prava Unije o varstvu podatkov.	(68) Države članice bi morale spodbuditi in podpreti subjekte, naj skupaj izkoristijo svoje individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmogljivosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, zaščito pred njimi in odzivanje nanje. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij. V ta namen bi morale države članice dejavno podpirati in spodbujati tudi ustrezne subjekte, ki niso zajeti v področje uporabe te direktive, kot so subjekti, ki se osredotočajo na storitve in raziskave s področja kibernetske varnosti, naj sodelujejo v takih mehanizmih za izmenjavo informacij. Taki mehanizmi bi se morali izvajati ob polnem spoštovanju pravil Unije o konkurenci in pravil prava Unije o varstvu podatkov.

Predlog spremembe 68

Predlog direktive

Uvodna izjava 69


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(69) Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, ki jo izvajajo subjekti, javni organi, skupine CERT in CSIRT ter ponudniki varnostnih tehnologij in storitev, bi morala pomeniti zakoniti interes zadevnega upravljavca podatkov, kot je navedeno v Uredbi (EU) 2016/679. To bi moralo vključevati ukrepe, povezane s preprečevanjem, odkrivanjem in analizo incidentov ter odzivanjem nanje, ukrepe za ozaveščanje v zvezi s posebnimi kibernetskimi grožnjami, izmenjavo informacij v okviru odpravljanja in usklajenega razkrivanja šibkih točk ter prostovoljno izmenjavo informacij o takih incidentih, pa tudi o kibernetskih grožnjah in šibkih točkah, kazalnikih ogroženosti, taktikah, tehnikah in postopkih, opozorilih glede kibernetske varnosti in orodjih za konfiguracijo. Taki ukrepi lahko zahtevajo obdelavo naslednjih vrst osebnih podatkov: naslovov IP, enotnih naslovov vira (URL), domenskih imen in elektronskih naslovov.	(69) Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, ki jo izvajajo bistveni in pomembni subjekti, skupine CSIRT ter ponudniki varnostnih tehnologij in storitev, je nujna za izpolnitev njihovih pravnih obveznosti, določenih v tej direktivi. Taka obdelava osebnih podatkov bo morda potrebna tudi za namene zakonitih interesov, za katere si prizadevajo bistveni in pomembni subjekti. Kadar je v tej direktivi zahtevana obdelava osebnih podatkov za namene kibernetske varnosti ter varnosti omrežij in informacij v skladu z določbami iz členov 18, 20 in 23 direktive, se takšna obdelava šteje za potrebno za izpolnitev zakonske obveznosti iz člena 6(1)(c) Uredbe (EU) 2016/679. Za namene členov 26 in 27 te direktive se obdelava iz točke (f) člena 6(1) Uredbe 2016/679 šteje za potrebno za namene zakonitega interesa bistvenih in pomembnih subjektov. Ukrepi, povezani s preprečevanjem, odkrivanjem, prepoznavanjem, zajezitvijo in analizo incidentov ter odzivanjem nanje, ukrepe za ozaveščanje v zvezi s posebnimi kibernetskimi grožnjami, izmenjavo informacij v okviru odpravljanja in usklajenega razkrivanja šibkih točk ter prostovoljno izmenjavo informacij o takih incidentih, pa tudi o kibernetskih grožnjah in šibkih točkah, kazalnikih ogroženosti, taktikah, tehnikah in postopkih, opozorilih glede kibernetske varnosti in orodjih za konfiguracijo, zahtevajo obdelavo nekaterih kategorij osebnih podatkov, kot so naslovi IP, enotni naslovi vira (URL), domenska imena in elektronski naslovi, časovni žigi, informacije o operacijskem sistemu ali brskalniku, piškotki ali druge informacije o načinu delovanja.

Predlog spremembe 69

Predlog direktive

Uvodna izjava 71


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(71) Da bi bilo izvrševanje učinkovito, bi bilo treba določiti minimalni seznam upravnih sankcij za kršitve obveznosti glede obvladovanja tveganj za kibernetsko varnost in poročanja iz te direktive ter vzpostaviti jasen in skladen okvir za take sankcije po vsej Uniji. Ustrezno bi bilo treba upoštevati naravo, težo in trajanje kršitve, dejansko povzročeno škodo ali nastale izgube ali morebitno škodo ali izgube, ki bi lahko nastale, ali je kršitev namerna ali posledica malomarnosti, ukrepe, sprejete za preprečevanje ali omilitev nastale škode in/ali izgub, stopnjo odgovornosti ali vse zadevne predhodne kršitve, stopnjo sodelovanja s pristojnim organom in morebitne druge oteževalne ali olajševalne dejavnike. Za naložitev sankcij, vključno z upravnimi globami, bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom in ustreznimi postopki.	(71) Da bi bilo izvrševanje učinkovito, bi bilo treba določiti minimalni seznam upravnih sankcij za kršitve obveznosti glede obvladovanja tveganj za kibernetsko varnost in poročanja iz te direktive ter vzpostaviti jasen in skladen okvir za take sankcije po vsej Uniji. Ustrezno bi bilo treba upoštevati naravo, težo in trajanje kršitve, povzročeno škodo ali nastale izgube, ali je kršitev namerna ali posledica malomarnosti, ukrepe, sprejete za preprečevanje ali omilitev nastale škode in/ali izgub, stopnjo odgovornosti ali vse zadevne predhodne kršitve, stopnjo sodelovanja s pristojnim organom in morebitne druge oteževalne ali olajševalne dejavnike. Sankcije, vključno z upravnimi globami, bi morale biti sorazmerne in za njihovo naložitev bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina), vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.

Predlog spremembe 70

Predlog direktive

Uvodna izjava 72


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(72) Za zagotovitev učinkovitega izvrševanja obveznosti, določenih v tej direktivi, bi morali biti vsi pristojni organi pooblaščeni, da naložijo ali zahtevajo naložitev upravnih glob.	(72) Za zagotovitev učinkovitega izvrševanja obveznosti, določenih v tej direktivi, bi morali biti vsi pristojni organi pooblaščeni, da naložijo ali zahtevajo naložitev upravnih glob, če je bila kršitev namerna ali posledica malomarnosti oziroma če je bil zadevni subjekt predhodno obveščen o tem, da krši obveznosti.

Predlog spremembe 71

Predlog direktive

Uvodna izjava 76


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(76) Za nadaljnjo krepitev učinkovitosti in odvračilnosti sankcij, ki se uporabljajo za kršitve obveznosti, določenih v skladu s to direktivo, bi morali biti pristojni organi pooblaščeni za uporabo sankcij, ki vključujejo začasni preklic certifikata ali dovoljenja za del storitev ali vse storitve, ki jih opravlja bistveni subjekt, in začasno prepoved opravljanja vodstvenih funkcij za fizično osebo. Glede na njihovo resnost in vpliv na dejavnosti subjektov ter končno na potrošnike bi se morale take sankcije uporabljati le sorazmerno z resnostjo kršitve in ob upoštevanju posebnih okoliščin posameznega primera, vključno s tem, ali je kršitev namerna ali posledica malomarnosti, ter ukrepi, sprejetimi za preprečevanje ali ublažitev škode in/ali izgub. Take sankcije bi se morale uporabljati le kot ultima ratio, kar pomeni šele potem, ko so bili uporabljeni vsi drugi ustrezni izvršilni ukrepi, določeni v tej direktivi, in le dokler subjekti, za katere se uporabijo, ne sprejmejo potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, zaradi katerih so bile takšne sankcije naložene. Za uvedbo takšnih sankcij bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.	(76) Za nadaljnjo krepitev učinkovitosti in odvračilnosti sankcij, ki se uporabljajo za kršitve obveznosti, določenih v skladu s to direktivo, bi morali biti pristojni organi pooblaščeni za začasen preklic certifikata ali dovoljenja za del storitev ali vse pomembne storitve, ki jih opravlja bistveni subjekt, in zahtevo za uvedbo začasne prepovedi opravljanja vodstvenih funkcij za fizično osebo na ravni glavnega izvršnega direktorja ali pravnega zastopnika. Države članice bi morale razviti posebne postopke in pravila v zvezi z začasno prepovedjo opravljanja vodstvenih funkcij za fizične osebe na ravni glavnega izvršnega direktorja ali pravnega zastopnika v subjektih javne uprave. Države članice bi morale pri pripravi takšnih postopkov in pravil upoštevati posebnosti ravni in sistemov upravljanja v svojih javnih upravah. Glede na njihovo resnost in vpliv na dejavnosti subjektov ter končno na potrošnike bi se morale takšne začasne izgube pravic ali prepovedi uporabljati le sorazmerno z resnostjo kršitve in ob upoštevanju posebnih okoliščin posameznega primera, vključno s tem, ali je kršitev namerna ali posledica malomarnosti, ter ukrepi, sprejetimi za preprečevanje ali ublažitev škode in/ali izgub. Take začasne izgube pravic ali prepovedi bi se morale uporabljati le kot ultima ratio, kar pomeni šele potem, ko so bili uporabljeni vsi drugi ustrezni izvršilni ukrepi, določeni v tej direktivi, in le dokler subjekti, za katere se uporabijo, ne sprejmejo potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, zaradi katerih so bile takšne začasne izgube pravic ali prepovedi naložene. Za uvedbo takšnih začasnih izgub pravic ali prepovedi bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.

Predlog spremembe 72

Predlog direktive

Uvodna izjava 79


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(79) Uvesti bi bilo treba mehanizem medsebojnih strokovnih pregledov, ki bi strokovnjakom, ki jih imenujejo države članice, omogočal oceno izvajanja politik na področju kibernetske varnosti, vključno z ravnjo zmogljivosti in razpoložljivih virov držav članic.	(79) Uvesti bi bilo treba mehanizem medsebojnih strokovnih pregledov, ki bi neodvisnim strokovnjakom, ki jih imenujejo države članice, omogočal oceno izvajanja politik na področju kibernetske varnosti, vključno z ravnjo zmogljivosti in razpoložljivih virov držav članic. Medsebojni strokovni pregledi lahko omogočijo pomembna spoznanja in priporočila, ki krepijo splošne zmogljivosti kibernetske varnosti. Zlasti lahko prispevajo k lažjemu prenosu tehnologij, orodij, ukrepov in postopkov med državami članicami, ki sodelujejo pri medsebojnem strokovnem pregledu, ustvarijo funkcionalno pot za izmenjavo dobrih praks med državami članicami z različnimi stopnjami zrelosti na področju kibernetske varnosti ter omogočajo vzpostavitev visoke, skupne ravni kibernetske varnosti po vsej Uniji. Pred medsebojnim strokovnim pregledom bi morala država članica, ki se pregleduje, opraviti samoocenjevanje, ki bi zajemalo pregledane vidike in vsa dodatna konkretna vprašanja, ki bi jih imenovani strokovnjaki sporočili zadevni državi članici pred začetkom postopka. Komisija bi morala v sodelovanju z agencijo ENISA in skupino za sodelovanje pripraviti predloge za samoocenjevanje pregledanih vidikov, da bi poenostavila postopek in preprečila postopkovne nedoslednosti in zamude, ki bi jih morale zadevne države članice v okviru medsebojnega strokovnega pregleda izpolniti in poslati imenovanim strokovnjakom, ki izvajajo medsebojni strokovni pregled, pred začetkom pregleda.

Predlog spremembe 73

Predlog direktive

Uvodna izjava 80


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(80) Zaradi upoštevanja novih kibernetskih groženj, tehnološkega razvoja ali sektorskih posebnosti bi bilo treba na Komisijo v skladu s členom 290 PDEU prenesti pooblastilo za sprejemanje aktov v zvezi z elementi, ki se nanašajo na ukrepe za obvladovanje tveganj, ki jih zahteva ta direktiva. Na Komisijo bi bilo treba prenesti tudi pooblastilo za sprejetje delegiranih aktov, s katerimi se določi, katere kategorije bistvenih subjektov morajo pridobiti certifikat in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, tudi na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli iz Medinstitucionalnega sporazuma z dne 13. aprila 2016 o boljši pripravi zakonodaje26. Da bi se zlasti zagotovilo enakopravno sodelovanje pri pripravi delegiranih aktov, Evropski parlament in Svet vse dokumente prejmeta sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se lahko sistematično udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.	(80) Zaradi upoštevanja novih kibernetskih groženj, tehnološkega razvoja ali sektorskih posebnosti bi bilo treba na Komisijo v skladu s členom 290 PDEU prenesti pooblastilo za sprejemanje aktov v zvezi z elementi, ki se nanašajo na ukrepe za obvladovanje tveganj za kibernetsko varnost in obveznosti glede poročanja, ki jih zahteva ta direktiva. Na Komisijo bi bilo treba prenesti tudi pooblastilo za sprejetje delegiranih aktov, s katerimi se določi, katere kategorije bistvenih in pomembnih subjektov morajo pridobiti certifikat in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, tudi na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli iz Medinstitucionalnega sporazuma z dne 13. aprila 2016 o boljši pripravi zakonodaje. Da bi se zlasti zagotovilo enakopravno sodelovanje pri pripravi delegiranih aktov, Evropski parlament in Svet vse dokumente prejmeta sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se lahko sistematično udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.
__________________
26 UL L 123, 12.5.2016, str. 1.

Predlog spremembe 74

Predlog direktive

Uvodna izjava 81


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(81) Da bi se zagotovili enotni pogoji za izvajanje ustreznih določb te direktive v zvezi s postopkovnimi ureditvami, potrebnimi za delovanje skupine za sodelovanje, tehničnimi elementi, povezanimi z ukrepi za obvladovanje tveganj, ali vrsto informacij, obliko in postopkom priglasitev incidentov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta27.	(81) Da bi se zagotovili enotni pogoji za izvajanje ustreznih določb te direktive v zvezi s postopkovnimi ureditvami, potrebnimi za delovanje skupine za sodelovanje in postopkom priglasitev incidentov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta27.
__________________	__________________
27 Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).	27 Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

Predlog spremembe 75

Predlog direktive

Uvodna izjava 82


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(82) Komisija bi morala redno v posvetovanju z zainteresiranimi stranmi pregledovati to direktivo, zlasti da bi ugotovila, ali jo je treba prilagoditi spremenjenim družbenim, političnim, tehnološkim ali tržnim razmeram.	(82) Komisija bi morala redno v posvetovanju z zainteresiranimi stranmi pregledovati to direktivo, zlasti da bi ugotovila, ali je treba predlagati spremembe ob upoštevanju družbenih, političnih, tehnoloških ali tržnih razmer. V okviru teh pregledov bi morala Komisija oceniti pomen sektorjev, podsektorjev in vrste subjektov iz prilog za delovanje gospodarstva in družbe v zvezi s kibernetsko varnostjo. Komisija bi morala med drugim oceniti, ali bi bilo treba digitalne ponudnike, ki so razvrščeni kot zelo velike spletne platforme v smislu člena 25 Uredbe (EU) XXXX/XXXX [enotni trg za digitalne storitve (akt o digitalnih storitvah) ali kot vratarji, kot so opredeljeni v členu 2(1) Uredbe (EU) XXXX/XXXX [tekmovalni in pravični trgi v digitalnem sektorju (zakon o digitalnih trgih)], imenovati za bistvene subjekte v skladu s to direktivo. Poleg tega bi morala Komisija oceniti, ali je primerno spremeniti Prilogo I k Direktivi 2020/1828 Evropskega parlamenta in Sveta1a z vključitvijo sklica na to direktivo.
	__________________
	1a Direktiva 2020/1828 Evropskega parlamenta in Sveta z dne 25. novembra 2020 o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov in razveljavitvi Direktive 2009/22/ES (UL L 409, 4.12.2020, str. 1).

Predlog spremembe 76

Predlog direktive

Uvodna izjava 82 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(82a) V tej direktivi so določene zahteve glede kibernetske varnosti za države članice ter bistvene in pomembne subjekte, ustanovljene v Uniji. Te zahteve glede kibernetske varnosti bi morale izpolnjevati tudi institucije, organi, uradi in agencije Unije na podlagi zakonodajnega akta Unije.

Predlog spremembe 77

Predlog direktive

Uvodna izjava 82 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(82b) Ta direktiva agenciji ENISA nalaga nove naloge, s čimer bi se okrepila njena vloga, lahko pa bi tudi povzročila, da bi morala agencija ENISA svoje obstoječe naloge v skladu z Uredbo (EU) 2019/881 izvajati na višji ravni kot prej. Da bi agenciji ENISA zagotovili potrebne finančne in človeške vire za izvajanje obstoječih in novih dejavnosti v okviru svojih nalog ter za izpolnjevanje vseh višjih standardov, ki izhajajo iz njene okrepljene vloge, bi bilo treba njen proračun ustrezno povečati. Poleg tega bi bilo treba za zagotavljanje učinkovite rabe virov agenciji ENISA omogočiti večjo prožnost pri omogočanju notranjega razporejanja sredstev, da bi lahko učinkovito opravljala svoje naloge in izpolnila pričakovanja.

Predlog spremembe 78

Predlog direktive

Uvodna izjava 84


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(84) Ta direktiva upošteva temeljne pravice in načela Listine Evropske unije o temeljnih pravicah, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo gospodarske pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico do izjave. To direktivo bi bilo treba izvajati v skladu s temi pravicami in načeli –	(84) Ta direktiva upošteva temeljne pravice in načela Listine, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo gospodarske pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico do izjave. To vključuje pravico do učinkovitega pravnega sredstva pred sodiščem za prejemnike storitev, ki jih zagotavljajo bistveni in pomembni subjekti. To direktivo bi bilo treba izvajati v skladu s temi pravicami in načeli.

Predlog spremembe 79

Predlog direktive

Člen 1 – odstavek 2 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) določa obveznosti nadzora in izvrševanja za države članice.

Predlog spremembe 80

Predlog direktive

Člen 2 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Ta direktiva se uporablja za javne in zasebne subjekte, ki se v skladu s Prilogo I štejejo za bistvene subjekte, ter za javne in zasebne subjekte, ki se v skladu s Prilogo II štejejo za pomembne subjekte. Ta direktiva se ne uporablja za subjekte, ki se štejejo za mikro in mala podjetja v smislu Priporočila Komisije 2003/361/ES28.	1. Ta direktiva se uporablja za javne in zasebne bistvene in pomembne subjekte, ki se v skladu s Prilogo I štejejo za bistvene subjekte ter v skladu s Prilogo II štejejo za pomembne subjekte, če zagotavljajo svoje storitve ali izvajajo svoje dejavnosti v Uniji. Ta direktiva se ne uporablja za mala podjetja ali mikro podjetja v smislu člena 2(2) in (3) Priloge k Priporočilu Komisije 2003/361/ES28. Člen 3(4) Priloge k navedenemu priporočilu se ne uporablja.
__________________	__________________
28 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).	28 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).

Predlog spremembe 81

Predlog direktive

Člen 2 – odstavek 2 – pododstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Vendar pa se ta direktiva uporablja tudi za subjekte iz prilog I in II ne glede na njihovo velikost, če:	Direktiva uporablja tudi za bistvene in pomembne subjekte, ne glede na njihovo velikost, če:

Predlog spremembe 82

Predlog direktive

Člen 2 – odstavek 2 – pododstavek 1 – točka d


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(d) bi morebitna motnja pri opravljanju storitve subjekta lahko vplivala na javni red, javno varnost ali javno zdravje;	(d) bi motnja pri opravljanju storitve subjekta lahko vplivala na javni red, javno varnost ali javno zdravje;

Predlog spremembe 83

Predlog direktive

Člen 2 – odstavek 2 – pododstavek 1 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) bi morebitna motnja pri opravljanju storitve subjekta lahko povzročila sistemska tveganja, zlasti za sektorje, v katerih bi lahko taka motnja imela čezmejni vpliv;	(e) bi motnja pri opravljanju storitve subjekta lahko povzročila sistemska tveganja, zlasti za sektorje, v katerih bi lahko motnja imela čezmejni vpliv;

Predlog spremembe 84

Predlog direktive

Člen 2 – odstavek 2 – pododstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Države članice pripravijo seznam subjektov, opredeljenih v skladu s točkami (b) do (f), in ga predložijo Komisiji do [6 mesecev po roku za prenos]. Države članice redno oziroma vsaj vsaki dve leti pregledajo seznam ter ga po potrebi posodobijo.	črtano

Predlog spremembe 85

Predlog direktive

Člen 2 – odstavek 2 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	2a. Države članice do ... [6 mesecev po roku za prenos] pripravijo seznam bistvenih in pomembnih subjektov, vključno s subjekti iz odstavka 1 in subjekti, določenimi v skladu z odstavkom 2, točkami (b) do (f) in členom 24(1). Seznam redno oziroma vsaj vsaki dve leti pregledajo in ga po potrebi posodobijo.

Predlog spremembe 86

Predlog direktive

Člen 2 – odstavek 2 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	2b. Države članice zagotovijo, da bistveni in pomembni subjekti pristojnim organom posredujejo vsaj naslednje informacije:
	(a) ime subjekta;
	(b) naslov in najnovejše kontaktne podatke, tudi elektronski naslov, razpone IP in telefonske številke, ter
	(c) ustrezne sektorje in podsektorje iz prilog I in II.
	Bistveni in pomembni subjekti brez nepotrebnega odlašanja sporočijo morebitne spremembe v podatkih, ki so jih predložili v skladu s prvim pododstavkom, v vsakem primeru pa v dveh tednih od datuma začetka veljavnosti spremembe. V ta namen Komisija ob pomoči agencije ENISA brez nepotrebnega odlašanja izda smernice in predloge za obveznost iz tega odstavka.

Predlog spremembe 87

Predlog direktive

Člen 2 – odstavek 12 c (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	2c. Države članice do ... [6 mesecev po roku za prenos] in nato vsak dve leti uradno obvestijo:
	(a) Komisijo in skupino za sodelovanje o številu vseh bistvenih in pomembnih subjektov, opredeljenih za vsak sektor in podsektor iz prilog I in II, ter
	(b) Komisijo o imenih subjektov, opredeljenih v skladu z odstavkom 2, točkama (b) do (f).

Predlog spremembe 88

Predlog direktive

Člen 2 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Ta direktiva se uporablja brez poseganja v Direktivo Sveta 2008/114/ES30 ter direktivi 2011/93/EU31 in 2013/40/EU32 Evropskega parlamenta in Sveta.	4. Ta direktiva se uporablja brez poseganja v Direktivo Sveta 2008/114/ES30 ter direktivi 2011/93/EU31, 2013/40/EU32 in 2002/58/ES32a Evropskega parlamenta in Sveta.
__________________	__________________
30 Direktiva Sveta 2008/114/ES z dne 8. decembra 2008 o ugotavljanju in določanju evropske kritične infrastrukture ter o oceni potrebe po izboljšanju njene zaščite (UL L 345, 23.12.2008, str. 75).	30 Direktiva Sveta 2008/114/ES z dne 8. decembra 2008 o ugotavljanju in določanju evropske kritične infrastrukture ter o oceni potrebe po izboljšanju njene zaščite (UL L 345, 23.12.2008, str. 75).
31 Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1).	31 Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1).
32 Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8).	32 Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8).
	32a Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

Predlog spremembe 89

Predlog direktive

Člen 2 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Kadar se z določbami sektorskih aktov prava Unije zahteva, da bistveni ali pomembni subjekti bodisi sprejmejo ukrepe za obvladovanje tveganj za kibernetsko varnost bodisi priglasijo incidente ali pomembne kibernetske grožnje, in kadar so takšne zahteve po učinku vsaj enakovredne obveznostim iz te direktive, se ustrezne določbe te direktive, vključno z določbo o nadzoru in izvrševanju iz poglavja VI, ne uporabljajo.	6. Kadar se z določbami sektorskih aktov prava Unije zahteva, da bistveni ali pomembni subjekti bodisi sprejmejo ukrepe za obvladovanje tveganj za kibernetsko varnost bodisi priglasijo incidente, in kadar so takšne zahteve po učinku vsaj enakovredne obveznostim iz te direktive, se ustrezne določbe te direktive, vključno z določbo o nadzoru in izvrševanju iz poglavja VI, ne uporabljajo. Komisija brez nepotrebnega odlašanja izda smernice v zvezi z izvajanjem sektorskih aktov prava Unije in tako zagotovi, da izpolnjujejo zahteve glede kibernetske varnosti, določene s to direktivo, ter da ne pride do prekrivanja ali pravne negotovosti. Pri pripravi smernic upošteva dobro prakso ter strokovno znanje agencije ENISA in skupine za sodelovanje.

Predlog spremembe 90

Predlog direktive

Člen 2 – odstavek 6 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	6a. Bistveni in pomembni subjekti, skupine CSIRT ter ponudniki varnostnih tehnologij in storitev obdelujejo osebne podatke v tolikšnem obsegu, kot je nujno potreben in sorazmeren za zagotavljanje kibernetske varnosti ter varnosti omrežja in informacij, da izpolnijo obveznosti iz te direktive. Obdelava osebnih podatkov za namene te direktive se izvaja v skladu z Uredbo (EU) 2016/679, zlasti njenim členom 6.

Predlog spremembe 91

Predlog direktive

Člen 2 – odstavek 6 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	6b. Kar zadeva obdelavo osebnih podatkov v skladu s to direktivo, jo ponudniki javnih elektronskih komunikacijskih omrežij ali ponudniki javno dostopnih elektronskih komunikacij iz Priloge I, točke 8 izvajajo v skladu z Direktivo 2002/58/ES.

Predlog spremembe 92

Predlog direktive

Člen 4 – odstavek 1 – točka 4 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(4a) „skorajšnji dogodek“ pomeni neuresničeni dogodek, ki bi lahko ogrozil razpoložljivost, avtentičnost, celovitost ali zaupnost podatkov ali bi lahko povzročil škodo, a je bil uspešno preprečen oziroma je bil onemogočen njegov negativni vpliv;

Predlog spremembe 93

Predlog direktive

Člen 4 – odstavek 1 – točka 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(6) „obvladovanje incidentov“ pomeni vsa dejanja in postopke, namenjene odkrivanju, analizi in zajezitvi incidentov ter odzivanju nanje;	(6) „obvladovanje incidentov“ pomeni vsa dejanja in postopke, namenjene preprečevanju, odkrivanju, analizi in zajezitvi incidentov ter odzivanju nanje;

Predlog spremembe 94

Predlog direktive

Člen 4 – odstavek 1 – točka 7 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(7a) „tveganje“ pomeni možnost izgube ali motnje zaradi incidenta ter je izraženo kot kombinacija razsežnosti izgube ali motnje in verjetnosti, da bi do incidenta prišlo;

Predlog spremembe 95

Predlog direktive

Člen 4 – odstavek 1 – točka 11


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(11) „tehnična specifikacija“ pomeni tehnično specifikacijo v smislu člena 2(4) Uredbe (EU) št. 1025/2012;	(11) „tehnična specifikacija“ pomeni tehnično specifikacijo, kot je opredeljena v členu 2(20) Uredbe (EU) št. 2019/881;

Predlog spremembe 96

Predlog direktive

Člen 4 – odstavek 1 – točka 13


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(13) „sistem domenskih imen (DNS)“ pomeni hierarhičen porazdeljen sistem dodeljevanja imen, ki končnim uporabnikom omogoča dostop do storitev in virov na internetu;	(13) „sistem domenskih imen (DNS)“ pomeni hierarhično porazdeljen sistem dodeljevanja imen, ki omogoča identifikacijo internetnih storitev in virov, napravam končnih uporabnikov pa omogoča uporabo internetnih storitev usmerjanja in povezljivosti, prek katerih dostopajo do teh storitev in virov;

Predlog spremembe 97

Predlog direktive

Člen 4 – odstavek 1 – točka 14


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(14) „ponudnik storitev sistema domenskih imen (DNS)“ pomeni subjekt, ki opravlja storitve rekurzivnega ali avtoritativnega razreševanja domenskih imen za končne uporabnike interneta in druge ponudnike storitev DNS;	(14) „ponudnik storitev sistema domenskih imen (DNS)“ pomeni subjekt, ki opravlja:

Predlog spremembe 98

Predlog direktive

Člen 4 – odstavek 1 – točka 14 – točka a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(a) odprte in javne storitve rekurzivnega razreševanja domenskih imen za končne uporabnike interneta ali

Predlog spremembe 99

Predlog direktive

Člen 4 – odstavek 1 – točka 14 – točka b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(b) storitve avtoritativnega razreševanja domenskih imen kot storitve, ki jih lahko kupijo tretji subjekti;

Predlog spremembe 100

Predlog direktive

Člen 4 – odstavek 1 – točka 15


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(15) „register vrhnjih domenskih imen“ pomeni subjekt, ki mu je bila dodeljena določena vrhnja domena in ki je odgovoren za upravljanje vrhnje domene, vključno z registracijo domenskih imen pod vrhnjo domeno in tehničnim upravljanjem vrhnje domene, vključno z upravljanjem njenih imenskih strežnikov, vzdrževanjem njenih podatkovnih zbirk in porazdelitvijo območnih datotek vrhnje domene po imenskih strežnikih;	(15) „register vrhnjih domenskih imen“ pomeni subjekt, ki mu je bila dodeljena določena vrhnja domena in je odgovoren za njeno upravljanje, vključno z registracijo domenskih imen pod vrhnjo domeno in tehničnim upravljanjem vrhnje domene, vključno z upravljanjem njenih imenskih strežnikov, vzdrževanjem njenih podatkovnih zbirk in porazdelitvijo območnih datotek vrhnje domene po imenskih strežnikih, ne glede na to, ali katero od teh opravil subjekt izvaja sam ali zunanji izvajalci;

Predlog spremembe 101

Predlog direktive

Člen 4 – odstavek 1 – točka 15 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(15a) „storitve registracije domenskih imen“ pomenijo storitve, ki jih opravljajo registri in registratorji domenskih imen, ponudniki zasebnih ali posredniških storitev registracije, prodajalci ali preprodajalci domen, in vse druge storitve, ki so povezane z registracijo domenskih imen;

Predlog spremembe 102

Predlog direktive

Člen 4 – odstavek 1 – točka 23 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(23a) „javno elektronsko komunikacijsko omrežje“ pomeni javno elektronsko komunikacijsko omrežje, kot je opredeljeno v členu 2, točki (8) Direktive (EU) 2018/1972;

Predlog spremembe 103

Predlog direktive

Člen 4 – odstavek 1 – točka 23 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(23b) „elektronska komunikacijska storitev“ pomeni elektronsko komunikacijsko storitev, kot je opredeljena v členu 2, točki (4) Direktive (EU) 2018/1972;

Predlog spremembe 104

Predlog direktive

Člen 5 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Vsaka država članica sprejme nacionalno strategijo za kibernetsko varnost, v kateri so opredeljeni strateški cilji ter ustrezni ukrepi politike in regulativni ukrepi za doseganje in ohranjanje visoke ravni kibernetske varnosti. Nacionalna strategija za kibernetsko varnost vključuje zlasti naslednje:	1. Vsaka država članica sprejme nacionalno strategijo za kibernetsko varnost, v kateri so opredeljeni strateški cilji, zanje potrebni tehnični, organizacijski in finančni viri ter ustrezni ukrepi politike in regulativni ukrepi za doseganje in ohranjanje visoke ravni kibernetske varnosti. Nacionalna strategija za kibernetsko varnost vključuje zlasti naslednje:

Predlog spremembe 105

Predlog direktive

Člen 5 – odstavek 1 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) opredelitev ciljev in prednostnih nalog strategije držav članic za kibernetsko varnost;	(a) opredelitev ciljev in prednostnih nalog strategije posameznih držav članic za kibernetsko varnost;

Predlog spremembe 106

Predlog direktive

Člen 5 – odstavek 1 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) okvir upravljanja za doseganje navedenih ciljev in prednostnih nalog, vključno s politikami iz odstavka 2 ter vlogami in odgovornostmi javnih organov in subjektov ter drugih ustreznih akterjev;	(b) okvir upravljanja za doseganje teh ciljev in prednostnih nalog, vključno s politikami iz odstavka 2;

Predlog spremembe 107

Predlog direktive

Člen 5 – odstavek 1 – točka b a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ba) okvir za dodeljevanje vlog in odgovornosti javnih organov in subjektov ter drugih ustreznih akterjev, s čimer se podpre sodelovanje in usklajevanje na nacionalni ravni, med pristojnimi organi, imenovanimi v skladu s členoma 7(1) in 8(1), enotno kontaktno točko, imenovano v skladu s členom 8(3), ter skupinami CSIRT, imenovanimi v skladu s členom 9;

Predlog spremembe 108

Predlog direktive

Člen 5 – odstavek 1 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) seznam različnih organov in akterjev, vključenih v izvajanje nacionalne strategije za kibernetsko varnost;	(e) seznam različnih organov in akterjev, vključenih v izvajanje nacionalne strategije za kibernetsko varnost, ob prizadevanju za vzpostavitev enotne kontaktne točke za kibernetsko varnost za MSP, da se jih podpre pri izvajanju namenskih ukrepov za kibernetsko varnost;

Predlog spremembe 109

Predlog direktive

Člen 5 – odstavek 1 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) okvir politike za okrepljeno usklajevanje med pristojnimi organi iz te direktive in direktive (EU) XXXX/XXXX Evropskega parlamenta in Sveta38 [direktiva o odpornosti kritičnih subjektov] za izmenjavo informacij o incidentih in kibernetskih grožnjah ter izvajanje nadzornih nalog.	(f) okvir politike za okrepljeno usklajevanje med pristojnimi organi iz te direktive in direktive (EU) XXXX/XXXX Evropskega parlamenta in Sveta38 [direktiva o odpornosti kritičnih subjektov] znotraj držav članic in med njimi za izmenjavo informacij o incidentih in kibernetskih grožnjah ter izvajanje nadzornih nalog.
__________________	__________________
38 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	38 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 110

Predlog direktive

Člen 5 – odstavek 1 – točka f a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(fa) oceno splošne ozaveščenosti državljanov o kibernetski varnosti.

Predlog spremembe 111

Predlog direktive

Člen 5 – odstavek 2 – točka -a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(-a) politiko, s katero se obravnava kibernetska varnost za vsak sektor, ki ga zajema ta direktiva;

Predlog spremembe 112

Predlog direktive

Člen 5 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) smernice v zvezi z vključitvijo in specifikacijo zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo;	(b) smernice v zvezi z vključitvijo in specifikacijo zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo, vključno z zahtevami za šifriranje in uporabo odprtokodnih proizvodov za kibernetsko varnost;

Predlog spremembe 113

Predlog direktive

Člen 5 – odstavek 2 – točka (d)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(d) politiko, povezano z ohranjanjem splošne razpoložljivosti in celovitosti javnega jedra odprtega interneta;	(d) politiko, povezano z ohranjanjem splošne razpoložljivosti in celovitosti javnega jedra odprtega interneta, vključno s kibernetsko varnostjo podmorskih komunikacijskih kablov;

Predlog spremembe 114

Predlog direktive

Člen 5 – odstavek 2 – točka d a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(da) politiko za spodbujanje in podporo razvoju in vključevanju najnovejše tehnologije, na primer umetne inteligence, v orodja in aplikacije za povečanje kibernetske varnosti;

Predlog spremembe 115

Predlog direktive

Člen 5 – odstavek 2 – točka d b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(db) politiko za spodbujanje vključevanja odprtokodnih orodij in aplikacij;

Predlog spremembe 116

Predlog direktive

Člen 5 – odstavek 2 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) politiko za podpiranje akademskih in raziskovalnih institucij pri razvoju orodij in varne omrežne infrastrukture za kibernetsko varnost;	(f) politiko za podpiranje akademskih in raziskovalnih institucij pri razvoju, krepitvi in uporabi orodij in varne omrežne infrastrukture za kibernetsko varnost;

Predlog spremembe 117

Predlog direktive

Člen 5 – odstavek 2 – točka h


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(h) politiko za obravnavanje posebnih potreb MSP, zlasti tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam.	(h) politiko za spodbujanje kibernetske varnosti za MSP, vključno s tistimi, ki so izključena s področja uporabe te direktive, v kateri so obravnavane njihove posebne potrebe in so jim zagotovljene zlahka dostopne usmeritve in podpora, na primer smernice za reševanje izzivov, s katerimi se spoprijemajo v dobavni verigi;

Predlog spremembe 118

Predlog direktive

Člen 5 – odstavek 2 – točka h a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ha) politiko za spodbujanje programov kibernetske higiene z osnovnim sklopom praks in kontrol za ozaveščanje državljanov o grožnjah kibernetski varnosti in o dobri praksi;

Predlog spremembe 119

Predlog direktive

Člen 5 – odstavek 2 – točka h b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(hb) politiko za spodbujanje aktivne kibernetske obrambe;

Predlog spremembe 120

Predlog direktive

Člen 5 – odstavek 2 – točka h c (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(hc) politiko za pomoč organom pri ozaveščanju in razumevanju varnostnih vidikov, potrebnih za zasnovo, gradnjo in upravljanje povezanih krajev;

Predlog spremembe 121

Predlog direktive

Člen 5 – odstavek 2 – točka h d (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(hd) politiko, ki posebej obravnava grožnjo izsiljevalskega programja in onemogoča poslovni model izsiljevalskega programja;

Predlog spremembe 122

Predlog direktive

Člen 5 – odstavek 2 – točka h e (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(he) politiko, vključno z ustreznimi postopki in okviri upravljanja, za podporo in spodbujanje vzpostavitve javno-zasebnih partnerstev za kibernetsko varnost.

Predlog spremembe 123

Predlog direktive

Člen 5 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice Komisiji priglasijo svoje nacionalne strategije za kibernetsko varnost v treh mesecih od njihovega sprejetja. Države članice lahko iz priglasitve izključijo nekatere informacije, če in kolikor je to nujno potrebno za ohranitev nacionalne varnosti.	3. Države članice Komisiji priglasijo svoje nacionalne strategije za kibernetsko varnost v treh mesecih od njihovega sprejetja. Države članice lahko iz priglasitve izključijo nekatere informacije, če in kolikor je to potrebno za ohranitev nacionalne varnosti.

Predlog spremembe 124

Predlog direktive

Člen 5 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice vsaj vsaka štiri leta ocenijo svoje nacionalne strategije za kibernetsko varnost na podlagi ključnih kazalnikov uspešnosti in jih po potrebi spremenijo. Agencija Evropske unije za kibernetsko varnost (ENISA) na zahtevo pomaga državam članicam pri razvoju nacionalne strategije in ključnih kazalnikov uspešnosti za oceno strategije.	4. Države članice vsaj vsaka štiri leta ocenijo svoje nacionalne strategije za kibernetsko varnost na podlagi ključnih kazalnikov uspešnosti in jih po potrebi spremenijo. Agencija Evropske unije za kibernetsko varnost (ENISA) na zahtevo pomaga državam članicam pri razvoju nacionalne strategije in ključnih kazalnikov uspešnosti za oceno strategije. Agencija ENISA zagotovi smernice za države članice, da bi te svoje že oblikovane nacionalne strategije za kibernetsko varnost uskladile z zahtevami in obveznostmi iz te direktive.

Predlog spremembe 125

Predlog direktive

Člen 6 – naslov


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Usklajeno razkrivanje šibkih točk in evropski register šibkih točk	Usklajeno razkrivanje šibkih točk in evropska baza podatkov šibkih točk

Predlog spremembe 126

Predlog direktive

Člen 6 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Vsaka država članica imenuje eno od svojih skupin CSIRT iz člena 9 za koordinatorko za usklajeno razkrivanje šibkih točk. Imenovana skupina CSIRT deluje kot zaupanja vredna posrednica, ki po potrebi olajšuje sodelovanje med poročajočim subjektom in proizvajalcem ali ponudnikom proizvodov ali storitev IKT. Če se sporočena šibka točka nanaša na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT v Uniji, imenovana skupina CSIRT vsake zadevne države članice sodeluje z mrežo skupin CSIRT.	1. Vsaka država članica imenuje eno od svojih skupin CSIRT iz člena 9 za koordinatorko za usklajeno razkrivanje šibkih točk. Imenovana skupina CSIRT deluje kot zaupanja vredna posrednica, ki na zahtevo poročajočega subjekta olajšuje sodelovanje med poročajočim subjektom in proizvajalcem ali ponudnikom proizvodov ali storitev IKT. Če se sporočena šibka točka nanaša na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT v Uniji, imenovana skupina CSIRT vsake zadevne države članice sodeluje z mrežo skupin CSIRT.

Predlog spremembe 127

Predlog direktive

Člen 6 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Agencija ENISA razvije in vzdržuje evropski register šibkih točk. V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT ter zagotovijo dostop do informacij o šibkih točkah, vsebovanih v registru, vsem zainteresiranim stranem. Register vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, naslovljene na uporabnike proizvodov in storitev s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk.	2. Agencija ENISA razvije in vzdržuje evropsko podatkovno zbirko šibkih točk, ki bo izboljšala svetovne splošne šibke točke in izpostavljenosti (CVE). V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke in sprejme potrebne tehnične in organizacijske ukrepe, s katerimi zagotovi varnost in celovitost baze podatkov, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov in subjektom, ki ne spadajo na področje direktive ter njihovim dobaviteljem, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT. Zainteresirane tretje strani dobijo dostop do informacij o šibkih točkah v bazi podatkov, ki imajo na voljo popravke ali blažilne ukrepe. Baza podatkov vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost s tem povezanih popravkov. Če popravki niso na voljo, so smernice, naslovljene na uporabnike proizvodov in storitev IKT s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk, v bazi podatkov.

Predlog spremembe 128

Predlog direktive

Člen 7 – odstavek 1 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	1a. Kadar država članica imenuje več kot en pristojni organ iz odstavka 1, jasno navede, kateri od njih bo koordinator za obvladovanje velikih incidentov in kriz.

Predlog spremembe 129

Predlog direktive

Člen 7 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Vsaka država članica določi zmogljivosti, sredstva in postopke, ki se lahko uporabijo v primeru krize za namene te direktive.	2. Vsaka država članica določi zmogljivosti, sredstva in postopke, ki se lahko uporabijo v primeru krize za namene te direktive.

Predlog spremembe 130

Predlog direktive

Člen 7 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice Komisijo obvestijo o imenovanju svojih pristojnih organov iz odstavka 1 ter predložijo svoje nacionalne načrte odzivanja na kibernetske incidente in krize iz odstavka 3 v treh mesecih od zadevnega imenovanja in sprejetja navedenih načrtov. Države članice lahko iz načrta izključijo določene informacije, če in kolikor je to nujno potrebno za njihovo nacionalno varnost.	4. Države članice Komisijo obvestijo o imenovanju svojih pristojnih organov iz odstavka 1 ter mreži EU-CyCLONe predložijo svoje nacionalne načrte odzivanja na kibernetske incidente in krize iz odstavka 3 v treh mesecih od zadevnega imenovanja in sprejetja navedenih načrtov. Države članice lahko iz načrta izključijo določene informacije, če in kolikor je to nujno potrebno za njihovo nacionalno varnost.

Predlog spremembe 131

Predlog direktive

Člen 8 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Vsaka država članica imenuje eno nacionalno enotno kontaktno točko za kibernetsko varnost (v nadaljnjem besedilu: enotna kontaktna točka). Kadar država članica imenuje le en pristojni organ, je ta tudi enotna kontaktna točka te države članice.	3. Vsaka država članica imenuje enega od pristojnih organov iz odstavka 1 kot nacionalno enotno kontaktno točko za kibernetsko varnost (v nadaljnjem besedilu: enotna kontaktna točka). Kadar država članica imenuje le en pristojni organ, je ta tudi enotna kontaktna točka te države članice.

Predlog spremembe 132

Predlog direktive

Člen 8 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Vsaka enotna kontaktna točka ima povezovalno vlogo in tako zagotavlja čezmejno sodelovanje organov države članice z ustreznimi organi drugih držav članic ter medsektorsko sodelovanje z drugimi pristojnimi nacionalnimi organi v svoji državi članici.	4. Vsaka enotna kontaktna točka ima povezovalno vlogo in tako zagotavlja čezmejno sodelovanje organov države članice z ustreznimi organi drugih držav članic, Komisijo in agencijo ENISA ter medsektorsko sodelovanje z drugimi pristojnimi nacionalnimi organi v svoji državi članici.

Predlog spremembe 133

Predlog direktive

Člen 9 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da ima vsaka skupina CSIRT ustrezne vire za učinkovito izvajanje svojih nalog iz člena 10(2).	2. Države članice zagotovijo, da ima vsaka skupina CSIRT ustrezne vire in potrebne tehnične zmogljivosti za učinkovito izvajanje svojih nalog iz člena 10(2).

Predlog spremembe 134

Predlog direktive

Člen 9 – odstavek 6 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	6a. Države članice omogočijo uspešno, učinkovito in varno izmenjavo informacij na vseh ravneh razvrščanja med lastnimi skupinami CSIRT in skupinami CSIRT iz tretjih držav na isti ravni razvrščanja.

Predlog spremembe 135

Predlog direktive

Člen 9 – odstavek 6 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	6b. Skupine CSIRT brez poseganja v pravo Unije, zlasti Uredbo (EU) 2016/679, sodelujejo s skupinami CSIRT ali enakovrednimi organi v državah kandidatkah za članstvo in drugih tretjih državah na Zahodnem Balkanu in v vzhodnem partnerstvu in jim po možnosti zagotavljajo pomoč na področju kibernetske varnosti.

Predlog spremembe 136

Predlog direktive

Člen 9 – odstavek 7


Besedilo, ki ga predlaga Komisija	Predlog spremembe
7. Države članice brez nepotrebnega odlašanja obvestijo Komisijo o skupinah CSIRT, imenovanih v skladu z odstavkom 1, skupini CSIRT koordinatorki, imenovani v skladu s členom 6(1), in njihovih ustreznih nalogah, določenih v zvezi s subjekti iz prilog I in II.	7. Države članice nemudoma obvestijo Komisijo o skupinah CSIRT, imenovanih v skladu z odstavkom 1 in skupini CSIRT koordinatorki, imenovani v skladu s členom 6(1), in njihovih ustreznih nalogah, določenih v zvezi z bistvenimi in pomembnimi subjekti.

Predlog spremembe 137

Predlog direktive

Člen 10 – naslov


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Zahteve in naloge skupin CSIRT	Zahteve, tehnične zmogljivosti in naloge skupin CSIRT

Predlog spremembe 138

Predlog direktive

Člen 10 – odstavek 1 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) skupine CSIRT imajo ustrezen sistem za upravljanje in usmerjanje zahtevkov, zlasti da se poenostavi njihova učinkovita in uspešna predaja;	(c) skupine CSIRT imajo ustrezen sistem za razvrščanje, usmerjanje in sledenje zahtevkov, zlasti da se poenostavi njihova učinkovita in uspešna predaja;

Predlog spremembe 139

Predlog direktive

Člen 10 – odstavek 1 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) skupine CSIRT imajo vzpostavljene ustrezne kodekse ravnanja, da zagotovijo zaupnost in zanesljivost svojih dejavnosti;

Predlog spremembe 140

Predlog direktive

Člen 10 – odstavek 1 – točka d


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(d) skupine CSIRT imajo ustrezno osebje, s katerim lahko zagotovijo stalno razpoložljivost;	(d) skupine CSIRT imajo ustrezno osebje, s katerim lahko zagotovijo stalno razpoložljivost in ustrezen okvir za svoje usposabljanje;

Predlog spremembe 141

Predlog direktive

Člen 10 – odstavek 1 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) skupine CSIRT imajo redundantne sisteme in nadomestni delovni prostor, da se zagotovi neprekinjeno izvajanje njihovih storitev;	(e) skupine CSIRT imajo redundantne sisteme in nadomestni delovni prostor, da se zagotovi neprekinjeno izvajanje njihovih storitev, vključno s široko povezljivostjo med omrežji, informacijskimi sistemi, storitvami ter napravami;

Predlog spremembe 142

Predlog direktive

Člen 10 – odstavek 1 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	1a. skupine CSIRT razvijejo vsaj naslednje tehnične zmogljivosti:
	(a) zmožnost izvedbe spremljanja omrežij in informacijskih sistemov v realnem času ali skoraj v realnem času ter odkrivanja nepravilnosti;
	(b) zmožnost podpore preprečevanja in odkrivanja kršitev;
	(c) zmožnost zbiranja in izvajanja kompleksne forenzične analize podatkov ter obratnega inženiringa kibernetskih groženj;
	(d) zmožnost filtriranja zlonamernega prometa;
	(e) zmožnost uveljavljanja močne avtentikacije in pravic dostopa in nadzora ter
	(f) zmožnost analiziranja kibernetskih groženj.

Predlog spremembe 143

Predlog direktive

Člen 10 – odstavek 2 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) spremljanje kibernetskih groženj, šibkih točk in incidentov na nacionalni ravni;	(a) spremljanje kibernetskih groženj, šibkih točk in incidentov na nacionalni ravni in pridobivanje obveščevalnih podatkov o grožnjah v realnem času;

Predlog spremembe 144

Predlog direktive

Člen 10 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in razširjanja informacij o kibernetskih grožnjah, šibkih točkah in incidentih bistvenim in pomembnim subjektom ter drugim ustreznim zainteresiranim stranem;	(b) zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in razširjanja informacij o kibernetskih grožnjah, šibkih točkah in incidentih bistvenim in pomembnim subjektom ter drugim ustreznim zainteresiranim stranem, če je mogoče skoraj v realnem času;

Predlog spremembe 145

Predlog direktive

Člen 10 – odstavek 2 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) odzivanje na incidente;	(c) odzivanje na incidente in zagotavljanje pomoči vključenim subjektom;

Predlog spremembe 146

Predlog direktive

Člen 10 – odstavek 2 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) opravljanje, na zahtevo subjekta, proaktivnega pregleda omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje njihovih storitev;	(e) opravljanje, na zahtevo subjekta ali v primeru resne grožnje za nacionalno varnost, proaktivnega pregleda omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje njihovih storitev;

Predlog spremembe 147

Predlog direktive

Člen 10 – odstavek 2 – točka f a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(fa) zagotavljanje, na zahtevo subjekta, omogočanje in konfiguracija beleženja v omrežju za zaščito podatkov, tudi osebnih pred nepooblaščenim pridobivanjem;

Predlog spremembe 148

Predlog direktive

Člen 10 – odstavek 2 – točka f b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(fb) prispevek k uporabi orodij za varno izmenjavo informacij v skladu s členom 9(3).

Predlog spremembe 149

Predlog direktive

Člen 10 – odstavek 4 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Za olajšanje sodelovanja skupine CSIRT spodbujajo sprejetje in uporabo skupnih ali standardiziranih praks, sistemov razvrščanja in taksonomij v zvezi z naslednjim:	4. Za olajšanje sodelovanja skupine CSIRT spodbujajo avtomatizacijo izmenjave informacij ter sprejetje in uporabo skupnih ali standardiziranih praks, sistemov razvrščanja in taksonomij v zvezi z naslednjim:

Predlog spremembe 150

Predlog direktive

Člen 11 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da bodisi njihovi pristojni organi bodisi skupine CSIRT prejmejo priglasitve incidentov ter pomembnih kibernetskih groženj in skorajšnjih dogodkov, predloženih v skladu s to direktivo. Kadar država članica sklene, da njene skupine CSIRT ne prejemajo takih priglasitev, se tem skupinam v obsegu, potrebnem za opravljanje njihovih nalog, zagotovi dostop do podatkov o incidentih, ki jih v skladu s členom 20 priglasijo bistveni ali pomembni subjekti.	2. Države članice zagotovijo, da njihove skupine CSIRT prejmejo priglasitve o pomembnih incidentih v skladu s členom 20 ter kibernetskih grožnjah in skorajšnjih dogodkih v skladu s členom 27 prek enotne vstopne točke iz člena 20(4a).

Predlog spremembe 151

Predlog direktive

Člen 11 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, organi kazenskega pregona, organi za varstvo podatkov in organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici.	4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, skupinami CSIRT, organi kazenskega pregona, nacionalnimi regulativnimi organi ali drugimi pristojnimi organi za javna elektronska komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve v skladu z Direktivo (EU) 2018/1972, organi za varstvo podatkov, organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici v skladu s svojimi pristojnostmi.
__________________	__________________
39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 152

Predlog direktive

Člen 11 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Države članice zagotovijo, da njihovi pristojni organi pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], redno zagotavljajo informacije o tveganjih za kibernetsko varnost, kibernetskih grožnjah in incidentih, ki vplivajo na bistvene subjekte, ki so opredeljeni kot kritični ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter o ukrepih, ki jih sprejmejo pristojni organi v odziv na taka tveganja in incidente.	5. Države članice zagotovijo, da njihovi pristojni organi pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], redno zagotavljajo pravočasne informacije o tveganjih za kibernetsko varnost, kibernetskih grožnjah in incidentih, ki vplivajo na bistvene subjekte, ki so opredeljeni kot kritični ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter o ukrepih, ki jih sprejmejo pristojni organi v odziv na taka tveganja in incidente.

Predlog spremembe 153

Predlog direktive

Člen 12 – odstavek 3 – pododstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije in agencije ENISA. Evropska služba za zunanje delovanje sodeluje pri dejavnostih skupine za sodelovanje kot opazovalka. Evropski nadzorni organi lahko v skladu s členom 17(5)(c) Uredbe (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti] sodelujejo pri dejavnostih skupine za sodelovanje.	Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije in agencije ENISA. Evropski parlament in Evropska služba za zunanje delovanje sodelujeta pri dejavnostih skupine za sodelovanje kot opazovalca. Evropski nadzorni organi lahko v skladu s členom 17(5)(c) Uredbe (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti] sodelujejo pri dejavnostih skupine za sodelovanje.

Predlog spremembe 154

Predlog direktive

Člen 12 – odstavek 3 – pododstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Skupina za sodelovanje lahko k sodelovanju po potrebi povabi predstavnike ustreznih zainteresiranih strani.	Skupina za sodelovanje lahko k sodelovanju po potrebi povabi predstavnike ustreznih zainteresiranih strani, na primer Evropski odbor za varstvo podatkov in predstavnike industrije.

Predlog spremembe 155

Predlog direktive

Člen 12 – odstavek 4 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) izmenjava dobrih praks in informacij v zvezi z izvajanjem te direktive, tudi v zvezi s kibernetskimi grožnjami, incidenti, šibkimi točkami, skorajšnjimi dogodki, pobudami za ozaveščanje, usposabljanji, vajami ter znanji in spretnostmi, krepitvijo zmogljivosti ter standardi in tehničnimi specifikacijami;	(b) izmenjava dobrih praks in informacij v zvezi z izvajanjem te direktive, tudi v zvezi s kibernetskimi grožnjami, incidenti, šibkimi točkami, skorajšnjimi dogodki, pobudami za ozaveščanje, usposabljanji, vajami ter znanji in spretnostmi, krepitvijo zmogljivosti, standardi in tehničnimi specifikacijami in identifikacija bistvenih in pomembnih subjektov;

Predlog spremembe 156

Predlog direktive

Člen 12 – odstavek 4 – točka b a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ba) evidentiranje nacionalnih rešitev, da bi spodbudili združljivost rešitev na področju kibernetske varnosti, ki se uporabljajo v vsakem posameznem sektorju po Evropi;

Predlog spremembe 157

Predlog direktive

Člen 12 – odstavek 4 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) izmenjava nasvetov in sodelovanje s Komisijo pri nastajajočih pobudah za politiko o kibernetski varnosti;	(c) izmenjava nasvetov in sodelovanje s Komisijo pri nastajajočih pobudah za politiko o kibernetski varnosti in splošna skladnost sektorskih zahtev glede kibernetske varnosti;

Predlog spremembe 158

Predlog direktive

Člen 12 – odstavek 4 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 16(7);	(f) obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 16(7) in priprava ugotovitev in priporočil;

Predlog spremembe 159

Predlog direktive

Člen 12 – odstavek 4 – točka f a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(fa) izvajanje usklajenih ocen tveganja za varnost, ki se lahko začne v skladu s členom 19(1), v sodelovanju s Komisijo in agencijo ENISA;

Predlog spremembe 160

Predlog direktive

Člen 12 – odstavek 4 – točka k a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ka) predložitev poročil o izkušnjah, pridobljenih na strateški in operativni ravni, Komisiji za namene pregleda iz člena 35;

Predlog spremembe 161

Predlog direktive

Člen 12 – odstavek 4 – točka k b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(kb) izvedba letne ocene v sodelovanju z agencijo ENISA, Europolom in nacionalnimi institucijami za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj o tem, katere države prikrivajo storilce kaznivih dejanj, povezanih z izsiljevalskim programjem.

Predlog spremembe 162

Predlog direktive

Člen 12 – odstavek 8


Besedilo, ki ga predlaga Komisija	Predlog spremembe
8. Skupina za sodelovanje se redno in vsaj enkrat letno sestane s skupino za odpornost kritičnih subjektov, ustanovljeno na podlagi Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] z namenom spodbujanja strateškega sodelovanja in izmenjave informacij.	8. Skupina za sodelovanje se redno in vsaj dvakrat letno sestane s skupino za odpornost kritičnih subjektov, ustanovljeno na podlagi Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] z namenom omogočanja strateškega sodelovanja in izmenjave informacij.

Predlog spremembe 163

Predlog direktive

Člen 13 – odstavek 3 – točka a a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(aa) omogočanje lažjega deljenja in prenosa tehnologije ter ustreznih ukrepov, politik, dobre prakse in okvirov med skupinami CSIRT;

Predlog spremembe 164

Predlog direktive

Člen 13 – odstavek 3 – točka b a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ba) zagotavljanje interoperabilnosti glede na standarde za izmenjavo informacij;

Predlog spremembe 165

Predlog direktive

Člen 14 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Za podpiranje usklajenega upravljanja velikih kibernetskih incidentov in kriz na operativni ravni in za zagotovitev redne izmenjave informacij med državami članicami ter institucijami, organi in agencijami Unije se ustanovi evropska organizacijska mreža za povezovanje v kibernetski krizi (EU-CyCLONe).	1. Za podpiranje usklajenega upravljanja velikih kibernetskih incidentov in kriz na operativni ravni in za zagotovitev redne izmenjave relevantnih informacij med državami članicami ter institucijami, organi in agencijami Unije se ustanovi evropska organizacijska mreža za povezovanje v kibernetski krizi (EU-CyCLONe).

Predlog spremembe 166

Predlog direktive

Člen 14 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Mreža EU-CyCLONe je sestavljena iz predstavnikov organov držav članic za krizno upravljanje, imenovanih v skladu s členom 7, Komisije in agencije ENISA. Agencija ENISA zagotovi sekretariat mreže in podpira varno izmenjavo informacij.	2. Mreža EU-CyCLONe je sestavljena iz predstavnikov organov držav članic za krizno upravljanje, imenovanih v skladu s členom 7, Komisije in agencije ENISA. Agencija ENISA zagotovi sekretariat mreže EU-CyCLONe in podpira varno izmenjavo informacij.

Predlog spremembe 167

Predlog direktive

Člen 14 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Mreža EU-CyCLONe redno poroča skupini za sodelovanje o kibernetskih grožnjah, incidentih in trendih, pri čemer se osredotoča zlasti na njihov vpliv na bistvene in pomembne subjekte.	5. Mreža EU-CyCLONe redno poroča skupini za sodelovanje o obsežnih incidentih in krizah ter tudi trendih, pri čemer se osredotoča zlasti na njihov vpliv na bistvene in pomembne subjekte.

Predlog spremembe 168

Predlog direktive

Člen 15 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Agencija ENISA v sodelovanju s Komisijo izda dvoletno poročilo o stanju kibernetske varnosti v Uniji. Poročilo vključuje zlasti oceno naslednjega:	1. Agencija ENISA v sodelovanju s Komisijo izda dvoletno poročilo o stanju kibernetske varnosti v Uniji in ga posreduje in predstavi Evropskemu parlamentu. Poročilo se predloži v strojno berljivi obliki in zajema zlasti oceno naslednjega:

Predlog spremembe 169

Predlog direktive

Člen 15 – odstavek 1 – točka a a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(aa) splošno raven ozaveščenosti o državljanov in subjektov, vključno z MSP, o kibernetski varnosti in higieni ter o splošni ravni varnosti povezanih naprav;

Predlog spremembe 170

Predlog direktive

Člen 15 – odstavek 1 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) indeksa kibernetske varnosti, ki določa skupno oceno ravni zrelosti zmogljivosti za kibernetsko varnost.	(c) indeksa kibernetske varnosti, ki določa skupno oceno ravni zrelosti zmogljivosti za kibernetsko varnost v vsej Uniji, vključno z uskladitvijo strategij držav članic za kibernetsko varnost.

Predlog spremembe 171

Predlog direktive

Člen 15 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Poročilo vključuje posebna priporočila politike za zvišanje ravni kibernetske varnosti v Uniji in povzetek ugotovitev za določeno obdobje iz tehničnih poročil o stanju na področju kibernetske varnosti v EU, ki jih izda agencija ENISA v skladu s členom 7(6) Uredbe (EU) 2019/881.	2. Poročilo vsebuje izrecno opredeljene ovire in priporočila politike za zvišanje ravni kibernetske varnosti v Uniji in povzetek ugotovitev za določeno obdobje iz tehničnih poročil o stanju na področju kibernetske varnosti v EU, ki jih izda agencija ENISA v skladu s členom 7(6) Uredbe (EU) 2019/881.

Predlog spremembe 172

Predlog direktive

Člen 15 – odstavek 2 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	2a. Agencija ENISA v sodelovanju s Komisijo in na podlagi smernic skupine za sodelovanje ter mreže skupin CSIRT pripravi metodologijo z ustreznimi spremenljivkami indeksa kibernetske varnosti iz odstavka 1(c).

Predlog spremembe 173

Predlog direktive

Člen 16 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA najpozneje 18 mesecev po začetku veljavnosti te direktive določi metodologijo in vsebino sistema medsebojnih strokovnih pregledov za ocenjevanje učinkovitosti politik držav članic na področju kibernetske varnosti. Preglede izvedejo tehnični strokovnjaki za kibernetsko varnost iz držav članic, med katerimi ni države, v zvezi s katero se izvede pregled, in zajemajo vsaj naslednje:	1. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA najpozneje do ... [18 mesecev po začetku veljavnosti te direktive] določi metodologijo in vsebino sistema medsebojnih strokovnih pregledov za ocenjevanje učinkovitosti politik držav članic na področju kibernetske varnosti. Medsebojne strokovne preglede v posvetovanju z agencijo ENISA izvedejo tehnični strokovnjaki za kibernetsko varnost iz vsaj dveh držav članic, med katerima ni države, v zvezi s katero se izvede pregled, in zajemajo vsaj naslednje:

Predlog spremembe 174

Predlog direktive

Člen 16 – odstavek 1 – točka iii


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(iii) operativne zmogljivosti in učinkovitost skupin CSIRT;	(iii) operativne zmogljivosti in učinkovitost skupin CSIRT pri izvajanju nalog;

Predlog spremembe 175

Predlog direktive

Člen 16 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Organizacijske vidike medsebojnih strokovnih pregledov določi Komisija, ob podpori agencije ENISA, na podlagi posvetovanj s skupino za sodelovanje in na podlagi meril, opredeljenih v metodologiji iz odstavka 1. Pri medsebojnih strokovnih pregledih se ocenijo vidiki iz odstavka 1 za vse države članice in sektorje, vključno s ciljno usmerjenimi vprašanji, ki se nanašajo na eno ali več držav članic ali enega ali več sektorjev.	3. Organizacijske vidike medsebojnih strokovnih pregledov določi Komisija, ob podpori agencije ENISA, na podlagi posvetovanj s skupino za sodelovanje in na podlagi meril, opredeljenih v metodologiji iz odstavka 1. Pri medsebojnih strokovnih pregledih se ocenijo vidiki iz odstavka 1 za vse države članice in sektorje, vključno s ciljno usmerjenimi vprašanji, ki se nanašajo na eno ali več držav članic ali enega ali več sektorjev. Imenovani strokovnjaki pred začetkom pregleda, ki ga bodo izvajali, sporočijo ta ciljno usmerjena vprašanja državi članici, ki je predmet medsebojnega strokovnega pregleda.

Predlog spremembe 176

Predlog direktive

Člen 16 – odstavek 3 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	3a. Države članice, ki so predmet medsebojnega strokovnega pregleda, izvedejo samooceno vidikov, ki naj bi se pregledali, in jo pred začetkom postopka medsebojnega strokovnega pregleda posredujejo imenovanim strokovnjakom.

Predlog spremembe 177

Predlog direktive

Člen 16 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Medsebojni strokovni pregledi vključujejo dejanske ali virtualne obiske na kraju samem in izmenjave na daljavo. Države članice, ki so predmet pregleda, ob upoštevanju načela dobrega sodelovanja imenovanim strokovnjakom zagotovijo zahtevane informacije, potrebne za oceno vidikov, ki se pregledujejo. Vse informacije, pridobljene v okviru postopka medsebojnega strokovnega pregleda, se uporabljajo izključno v ta namen. Strokovnjaki, ki sodelujejo pri medsebojnem strokovnem pregledu, občutljivih ali zaupnih informacij, pridobljenih med zadevnim pregledom, ne razkrijejo tretjim osebam.	4. Medsebojni strokovni pregledi vključujejo dejanske ali virtualne obiske na kraju samem in izmenjave na daljavo. Države članice, ki so predmet pregleda, ob upoštevanju načela dobrega sodelovanja imenovanim strokovnjakom zagotovijo zahtevane informacije, potrebne za oceno vidikov, ki se pregledujejo. Komisija ob podpori agencije ENISA pripravi ustrezne kodekse ravnanja kot podlago za delovne metode imenovanih strokovnjakov. Vse informacije, pridobljene v okviru postopka medsebojnega strokovnega pregleda, se uporabljajo izključno v ta namen. Strokovnjaki, ki sodelujejo pri medsebojnem strokovnem pregledu, občutljivih ali zaupnih informacij, pridobljenih med zadevnim pregledom, ne razkrijejo tretjim osebam.

Predlog spremembe 178

Predlog direktive

Člen 16 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Država članica zagotovi, da se drugim državam članicam, Komisiji in agenciji ENISA brez nepotrebnega odlašanja razkrijejo vsa tveganja navzkrižja interesov v zvezi z imenovanimi strokovnjaki.	6. Država članica zagotovi, da se drugim državam članicam, Komisiji in agenciji ENISA pred začetkom postopka medsebojnega strokovnega pregleda razkrijejo vsa tveganja navzkrižja interesov v zvezi z imenovanimi strokovnjaki.

Predlog spremembe 179

Predlog direktive

Člen 16 – odstavek 7


Besedilo, ki ga predlaga Komisija	Predlog spremembe
7. Strokovnjaki, ki sodelujejo v medsebojnih strokovnih pregledih, pripravijo poročila o ugotovitvah in sklepih pregledov. Poročila se predložijo Komisiji, skupini za sodelovanje, mreži skupin CSIRT in agenciji ENISA. Poročila se obravnavajo v okviru skupine za sodelovanje in mreže skupin CSIRT. Poročila se lahko objavijo na posebnem spletnem mestu skupine za sodelovanje.	7. Strokovnjaki, ki sodelujejo v medsebojnih strokovnih pregledih, pripravijo poročila o ugotovitvah in sklepih pregledov. Poročila vsebujejo priporočila za izboljšanje vidikov, zajetih v postopku medsebojnega strokovnega pregleda. Poročila se predložijo Komisiji, skupini za sodelovanje, mreži skupin CSIRT in agenciji ENISA. Poročila se obravnavajo v okviru skupine za sodelovanje in mreže skupin CSIRT. Poročila se lahko objavijo na posebnem spletnem mestu skupine za sodelovanje, izključijo pa se občutljive in zaupne informacije.

Predlog spremembe 180

Predlog direktive

Člen 17 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da se člani upravnega organa redno udeležujejo posebnih usposabljanj, da pridobijo dovolj znanja in spretnosti za razumevanje in ocenjevanje tveganj za kibernetsko varnost ter praks upravljanja in njihovega vpliva na dejavnosti subjekta.	2. Države članice zagotovijo, da se člani upravnega organa bistvenih in pomembnih subjektov redno udeležujejo posebnih usposabljanj, in te subjekte spodbujajo, naj podobna usposabljanja ponudijo tudi vsem zaposlenim, da pridobijo dovolj znanja in spretnosti za razumevanje in ocenjevanje tveganj za kibernetsko varnost ter praks upravljanja in njihovega vpliva na storitve, ki jih ponuja subjekt.

Predlog spremembe 181

Predlog direktive

Člen 18 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih ti subjekti uporabljajo za opravljanje storitev. Ob upoštevanju stanja tehnike se s temi ukrepi zagotovi raven varnosti omrežij in informacijskih sistemov, primerna obstoječemu tveganju.	1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih ti subjekti uporabljajo za delovanje ali opravljanje storitev ter za preprečitev ali zmanjšanje vpliva incidentov na prejemnike svojih storitev in druge storitve. Ob upoštevanju stanja tehnike ter evropskih in mednarodnih standardov se s temi ukrepi zagotovi raven varnosti omrežij in informacijskih sistemov, primerna obstoječemu tveganju.

Predlog spremembe 182

Predlog direktive

Člen 18 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) obvladovanje incidentov (preprečevanje in odkrivanje incidentov ter odzivanje nanje);	(b) obvladovanje incidentov;

Predlog spremembe 183

Predlog direktive

Člen 18 – odstavek 2 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) upravljanje neprekinjenega poslovanja in krizno upravljanje;	(c) upravljanje neprekinjenega poslovanja, na primer upravljanje varnostnega shranjevanja in sanacijo po izrednem stanju, ter krizno upravljanje;

Predlog spremembe 184

Predlog direktive

Člen 18 – odstavek 2 – točka d


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(d) varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi dobavitelji ali ponudniki storitev, kot so ponudniki storitev shranjevanja in obdelave podatkov ali upravljanih varnostnih storitev;	(d) varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi dobavitelji ali ponudniki storitev;

Predlog spremembe 185

Predlog direktive

Člen 18 – odstavek 2 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) politike in postopke (preizkušanje in revidiranje) za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;	(f) politike in postopke (usposabljanje, preizkušanje in revidiranje) za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;

Predlog spremembe 186

Predlog direktive

Člen 18 – odstavek 2 – točka f a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(fa) osnovne prakse računalniške higiene in usposabljanje na področju kibernetske varnosti;

Predlog spremembe 187

Predlog direktive

Člen 18 – odstavek 2 – točka g


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(g) uporabo kriptografije in šifriranja.	(g) uporabo kriptografije, na primer šifriranja, kadar je potrebno.

Predlog spremembe 188

Predlog direktive

Člen 18 – odstavek 2 – točka g a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ga) po potrebi uporabo večfaktorske avtentikacije ali rešitev neprekinjene avtentikacije, zavarovanih glasovnih, video in besedilnih komunikacij ter zavarovanih sistemov za komuniciranje v izrednih razmerah znotraj subjekta.

Predlog spremembe 189

Predlog direktive

Člen 18 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice zagotovijo, da subjekt, če ugotovi, da njegove storitve oziroma naloge ne izpolnjujejo zahtev iz odstavka 2, brez nepotrebnega odlašanja sprejme vse potrebne popravne ukrepe za zagotovitev, da zadevna storitev izpolnjuje zahteve.	4. Države članice zagotovijo, da subjekt, če ugotovi, da njegove storitve oziroma naloge ne izpolnjujejo zahtev iz odstavka 2, brez nepotrebnega odlašanja sprejme vse potrebne, primerne in sorazmerne popravne ukrepe za zagotovitev, da zadevna storitev izpolnjuje zahteve.

Predlog spremembe 190

Predlog direktive

Člen 18 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične in metodološke specifikacije elementov iz odstavka 2. Komisija pri pripravi teh aktov ravna v skladu s postopkom pregleda iz člena 37(2) ter v največji možni meri upošteva mednarodne in evropske standarde ter ustrezne tehnične specifikacije.	črtano

Predlog spremembe 191

Predlog direktive

Člen 18 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Komisija je pooblaščena za sprejetje delegiranih aktov v skladu s členom 36 za dopolnitev elementov iz odstavka 2, da bi se upoštevale nove kibernetske grožnje, tehnološki razvoj ali sektorske posebnosti.	6. Komisija je pooblaščena za sprejetje delegiranih aktov v skladu s členom 36 za dopolnitev elementov iz odstavka 2 tega člena, da bi se upoštevale nove kibernetske grožnje, tehnološki razvoj ali sektorske posebnosti, ter za dopolnitev te direktive z določitvijo tehničnih in metodoloških specifikacij ukrepov iz odstavka 2 tega člena.

Predlog spremembe 192

Predlog direktive

Člen 19 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Skupina za sodelovanje lahko v sodelovanju s Komisijo in agencijo ENISA izvaja usklajene ocene tveganja za varnost specifičnih kritičnih storitev IKT, sistemov IKT ali dobavnih verig proizvodov IKT, ob upoštevanju tehničnih in po potrebi netehničnih dejavnikov tveganja.	1. Skupina za sodelovanje lahko v sodelovanju s Komisijo in agencijo ENISA izvaja usklajene ocene tveganja za varnost specifičnih kritičnih storitev IKT in sistemskih informacijsko-komunikacijskih storitev ali dobavnih verig proizvodov IKT, ob upoštevanju tehničnih in po potrebi netehničnih dejavnikov tveganja.

Predlog spremembe 193

Predlog direktive

Člen 19 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA opredeli specifične kritične storitve, sisteme ali proizvode IKT, ki so lahko predmet usklajene ocene tveganja iz odstavka 1.	2. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA ter po potrebi z ustreznimi deležniki opredeli specifične kritične storitve, sisteme ali proizvode IKT in informacijsko-komunikacijskih sistemov, ki so lahko predmet usklajene ocene tveganja iz odstavka 1.

Predlog spremembe 194

Predlog direktive

Člen 20 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice zagotovijo, da bistveni in pomembni subjekti pristojnim organom ali skupini CSIRT brez nepotrebnega odlašanja v skladu z odstavkoma 3 in 4 priglasijo vse incidente, ki pomembno vplivajo na opravljanje njihovih storitev. Kjer je to ustrezno, navedeni subjekti prejemnike svojih storitev brez nepotrebnega odlašanja obvestijo o incidentih, ki bodo verjetno negativno vplivali na opravljanje zadevne storitve. Države članice zagotovijo, da navedeni subjekti sporočijo, med drugim, vse informacije, ki pristojnim organom ali skupini CSIRT omogočajo, da določijo čezmejni vpliv incidenta.	1. Države članice zagotovijo, da bistveni in pomembni subjekti skupini CSIRT brez nepotrebnega odlašanja v skladu z odstavkoma 3 in 4 priglasijo vse pomembne incidente. Države članice zagotovijo, da navedeni subjekti sporočijo, med drugim, vse informacije, ki skupini CSIRT omogočajo, da določijo čezmejni vpliv incidenta.

Predlog spremembe 195

Predlog direktive

Člen 20 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da bistveni in pomembni subjekti brez nepotrebnega odlašanja pristojnim organom ali skupini CSIRT priglasijo vse pomembne kibernetske grožnje, ki jih ti subjekti prepoznajo in ki bi lahko privedle do velikega incidenta.
Po potrebi ti subjekti prejemnike svojih storitev, ki bi jih pomembna kibernetska grožnja lahko prizadela, brez nepotrebnega odlašanja obvestijo o vseh ukrepih ali sredstvih, ki jih lahko ti prejemniki sprejmejo v odziv na zadevno grožnjo. Kjer je ustrezno, subjekti zadevne prejemnike obvestijo tudi o sami grožnji. Priglasitev ne sme nalagati priglasitelju dodatne odgovornosti.	Po potrebi države članice zagotovijo, da bistveni in pomembni subjekti prejemnike svojih storitev brez nepotrebnega odlašanja obvestijo o zaščitnih ali popravnih ukrepih za konkretne incidente in znana tveganja, ki jih lahko prejemniki sami sprejmejo. Subjekti po potrebi obvestijo prejemnike tudi o incidentu ali znanem tveganju. Obveščanje prejemnikov se izvaja po najboljših močeh, a se zaradi tega ne poveča odgovornost subjekta, ki izda obvestilo.

Predlog spremembe 196

Predlog direktive

Člen 20 – odstavek 3 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Incident se šteje za pomemben, če:	3. Za določitev, kako pomemben je posamezni incident, se po možnosti upoštevajo naslednji parametri:

Predlog spremembe 197

Predlog direktive

Člen 20 – odstavek 3 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) je zadevnemu subjektu povzročil ali bi mu lahko povzročil znatne operativne motnje ali finančne izgube;	(a) število prejemnikov storitev, ki jih je incident prizadel;

Predlog spremembe 198

Predlog direktive

Člen 20 – odstavek 3 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnjih materialnih ali nematerialnih izgub.	(b) trajanje incidenta;

Predlog spremembe 199

Predlog direktive

Člen 20 – odstavek 3 – točka b a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ba) geografska razširjenost območja, ki ga je incident prizadel;

Predlog spremembe 200

Predlog direktive

Člen 20 – odstavek 3 – točka b b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(bb) v kolikšnem obsegu sta zaradi incidenta motena delovanje in neprekinjenost storitve;

Predlog spremembe 201

Predlog direktive

Člen 20 – odstavek 3 – točka b c (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(bc) obseg učinka incidenta na gospodarske in družbene dejavnosti.

Predlog spremembe 202

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Države članice zagotovijo, da zadevni subjekti za namen priglasitve iz odstavka 1 pristojnim organom in skupini CSIRT predložijo:	Države članice zagotovijo, da zadevni subjekti za namen priglasitve iz odstavka 1 skupini CSIRT predložijo:

Predlog spremembe 203

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) brez nepotrebnega odlašanja in v vsakem primeru v 24 urah po seznanitvi z incidentom začetno priglasitev, v kateri je, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem;	(a) začetno priglasitev o pomembnem incidentu, ki vsebuje informacije, ki jih ima na voljo priglasitelj po najboljših močeh, kot sledi:

Predlog spremembe 204

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka a – točka i (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(i) skupino CSIRT je treba nemudoma, v vsakem primeru pa v 24 urah po seznanitvi z incidentom, obvestiti o incidentih, ki povzročijo pomembno motnjo v razpoložljivosti storitev, ki jih zagotavlja subjekt;

Predlog spremembe 205

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka a – točka ii (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ii) skupino CSIRT je treba nemudoma, v vsakem primeru pa v 72 urah po seznanitvi z incidentom, obvestiti o incidentih, ki pomembno vplivajo na subjekt, razen na razpoložljivost storitev, ki jih ta zagotavlja;

Predlog spremembe 206

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka a – točka iii (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(iii) skupino CSIRT je treba nemudoma, v vsakem primeru pa v 24 urah po seznanitvi z incidentom, obvestiti o incidentih, ki pomembno vplivajo na storitve ponudnika storitev zaupanja, kot so opredeljene v členu 3(19) Uredbe (EU) št. 910/2014, ali na osebne podatke, ki jih ta hrani;

Predlog spremembe 207

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) na zahtevo pristojnega organa ali skupine CSIRT vmesno poročilo o ustreznih posodobitvah stanja;	(b) na zahtevo skupine CSIRT vmesno poročilo o ustreznih posodobitvah stanja;

Predlog spremembe 208

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka c – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) končno poročilo, najpozneje v enem mesecu po predložitvi začetne priglasitve iz točke (a), ki vključuje vsaj naslednje:	(c) izčrpno poročilo, najpozneje v enem mesecu po predložitvi začetne priglasitve, ki vključuje vsaj naslednje:

Predlog spremembe 209

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) v primeru incidenta, ki je ob predložitvi izčrpnega poročila iz točke (c) še vedno v teku, se končno poročilo predloži en mesec po razrešitvi incidenta;

Predlog spremembe 210

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Države članice zagotovijo, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s pristojnimi organi ali skupino CSIRT odstopa od rokov iz točk (a) in (c).	Države članice zagotovijo, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s pristojnimi organi ali skupino CSIRT odstopa od rokov iz točk (a)(i), (a)(ii) in (c). Države članice zagotovijo zaupnost in ustrezno varstvo občutljivih informacij o incidentih, priglašenih skupinam CSIRT, ter sprejmejo ukrepe in postopke za izmenjavo in ponovno uporabo informacij o incidentih.

Predlog spremembe 211

Predlog direktive

Člen 20 – odstavek 4 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	4a. Države članice vzpostavijo enotno vstopno točko za vse priglasitve, ki se zahtevajo na podlagi te direktive in druge ustrezne zakonodaje Unije. Agencija ENISA v sodelovanju s skupino za sodelovanje oblikuje in stalno izboljšuje skupne predloge za priglasitev na podlagi smernic, da bi se poenostavile in racionalizirale informacije za poročanje, ki se zahtevajo s pravom Unije, ter zmanjšalo breme za poročajoče subjekte.

Predlog spremembe 212

Predlog direktive

Člen 20 – odstavek 4 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	4b. Bistveni in pomembni subjekti iz člena 24(1) lahko izpolnijo zahteve iz odstavka 1 tega člena s priglasitvijo skupini CSIRT države članice, v kateri imajo glavni sedež v Uniji, ter tako, da bistvenim in pomembnim subjektom, ki jim zagotavljajo storitve , priglasijo vsak pomemben incident, za katerega je znano, da vpliva na prejemnika storitev.

Predlog spremembe 213

Predlog direktive

Člen 20 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Pristojni nacionalni organi ali skupina CSIRT v 24 urah po prejemu začetne priglasitve iz točke (a) odstavka 4 odgovorijo priglasitelju, vključno z začetnimi povratnimi informacijami o incidentu in, na zahtevo subjekta, usmeritvami glede izvajanja morebitnih blažilnih ukrepov. Če skupina CSIRT ni prejela priglasitve iz odstavka 1, usmeritve zagotovi pristojni organ v sodelovanju s skupino CSIRT. Skupina CSIRT na zahtevo zadevnega subjekta zagotovi dodatno tehnično podporo. Če se za incident sumi, da je kazenske narave, pristojni nacionalni organi ali skupina CSIRT zagotovijo tudi usmeritve o poročanju o incidentih organom kazenskega pregona.	5. Skupina CSIRT v 24 urah po prejemu začetne priglasitve iz točke (a) odstavka 4 odgovorijo priglasitelju, vključno z začetnimi povratnimi informacijami o incidentu in, na zahtevo subjekta, usmeritvami ter uporabnimi nasveti glede izvajanja morebitnih blažilnih ukrepov. Skupina CSIRT na zahtevo zadevnega subjekta zagotovi dodatno tehnično podporo. Če se za incident sumi, da je kazenske narave, skupina CSIRT zagotovijo tudi usmeritve o poročanju o incidentih organom kazenskega pregona. Skupina CSIRT lahko informacije o incidentu deli z drugimi pomembnimi in bistvenimi subjekti, pri čemer zagotovi zaupnost informacij, ki jih predloži poročajoči subjekt.

Predlog spremembe 214

Predlog direktive

Člen 20 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Kadar je to ustrezno in zlasti če incident iz odstavka 1 zadeva dve ali več držav članic, pristojni organ ali skupina CSIRT obvesti druge prizadete države članice in agencijo ENISA o incidentu. Pristojni organi, skupine CSIRT in enotne kontaktne točke pri tem v skladu s pravom Unije ali nacionalno zakonodajo, ki je skladna s pravom Unije, zaščitijo varnost in poslovne interese subjekta ter zaupnost predloženih informacij.	6. Kadar je to ustrezno in zlasti če incident iz odstavka 1 zadeva dve ali več držav članic, skupina CSIRT obvesti druge prizadete države članice in agencijo ENISA o incidentu in jim posreduje ustrezne informacije. Skupine CSIRT in enotne kontaktne točke pri tem v skladu s pravom Unije ali nacionalno zakonodajo, ki je skladna s pravom Unije, zaščitijo varnost in poslovne interese subjekta ter zaupnost predloženih informacij.

Predlog spremembe 215

Predlog direktive

Člen 20 – odstavek 7


Besedilo, ki ga predlaga Komisija	Predlog spremembe
7. Kadar je ozaveščenost javnosti potrebna za preprečitev incidenta ali obravnavo incidenta, ki je v teku, ali kadar je razkritje incidenta kako drugače v javnem interesu, lahko pristojni organ ali skupina CSIRT in po potrebi organi ali skupine CSIRT drugih zadevnih držav članic po posvetovanju z zadevnim subjektom obvestijo javnost o incidentu ali zahtevajo, da to stori subjekt.	7. Kadar je ozaveščenost javnosti potrebna za preprečitev incidenta ali obravnavo incidenta, ki je v teku, ali kadar je razkritje incidenta kako drugače v javnem interesu, lahko skupina CSIRT in po potrebi skupine CSIRT drugih zadevnih držav članic po posvetovanju z zadevnim subjektom obvestijo javnost o incidentu ali zahtevajo, da to stori subjekt.

Predlog spremembe 216

Predlog direktive

Člen 20 – odstavek 7 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	7a. Skupine CSIRT enotni kontaktni točki in po potrebi pristojnim organom nemudoma podajo informacije o pomembnih incidentih, priglašenih v skladu z odstavkom 1.

Predlog spremembe 217

Predlog direktive

Člen 20 – odstavek 8


Besedilo, ki ga predlaga Komisija	Predlog spremembe
8. Enotna kontaktna točka na zahtevo pristojnega organa ali skupine CSIRT priglasitve, prejete v skladu z odstavkoma 1 in 2, posreduje enotnim kontaktnim točkam drugih prizadetih držav članic.	8. Enotna kontaktna točka na zahtevo skupine CSIRT priglasitve, prejete v skladu z odstavkom 1, posreduje enotnim kontaktnim točkam drugih prizadetih držav članic, pri tem pa zagotavlja zaupnost in ustrezno zaščito informacij, ki jih posreduje poročajoči subjekt.

Predlog spremembe 218

Predlog direktive

Člen 20 – odstavek 9


Besedilo, ki ga predlaga Komisija	Predlog spremembe
9. Enotna kontaktna točka agenciji ENISA vsak mesec predloži zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o incidentih, pomembnih kibernetskih grožnjah in skorajšnjih dogodkih, priglašenih v skladu z odstavkoma 1 in 2 ter členom 27. Da bi prispevala k zagotavljanju primerljivih informacij, lahko agencija ENISA izda tehnične smernice o parametrih informacij, vključenih v zbirno poročilo.	9. Enotna kontaktna točka agenciji ENISA vsak mesec predloži zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o incidentih, pomembnih kibernetskih grožnjah in skorajšnjih dogodkih, priglašenih v skladu z odstavkom 1 tega člena ter členom 27. Da bi prispevala k zagotavljanju primerljivih informacij, lahko agencija ENISA izda tehnične smernice o parametrih informacij, vključenih v zbirno poročilo.

Predlog spremembe 219

Predlog direktive

Člen 20 – odstavek 10


Besedilo, ki ga predlaga Komisija	Predlog spremembe
10. Pristojni organi zagotovijo pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], informacije o incidentih in kibernetskih grožnjah, ki so jih v skladu z odstavkoma 1 in 2 priglasili bistveni subjekti, opredeljeni kot kritični subjekti ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov].	10. Pristojni organi zagotovijo pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], informacije o incidentih in kibernetskih grožnjah, ki so jih v skladu z odstavkom 1 tega člena in členom 27 priglasili bistveni subjekti, opredeljeni kot kritični subjekti ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov].

Predlog spremembe 220

Predlog direktive

Člen 20 – odstavek 11


Besedilo, ki ga predlaga Komisija	Predlog spremembe
11. Komisija lahko sprejme izvedbene akte, s katerimi se podrobneje določijo vrsta informacij, oblika in postopek priglasitve, predložene v skladu z odstavkoma 1 in 2. Komisija lahko sprejme izvedbene akte za podrobnejšo določitev primerov, v katerih se incident šteje za pomemben v skladu z odstavkom 3. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).	11. Komisija lahko sprejme izvedbene akte, s katerimi se podrobneje določijo vrsta informacij, oblika in postopek priglasitve, predložene v skladu z odstavkom 1 tega člena in členom 27. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).

Predlog spremembe 221

Predlog direktive

Člen 20 – odstavek 11 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	11a. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 36 v zvezi z dopolnitvijo te direktive z navedbo vrste informacij, predloženih v skladu z odstavkom 1 tega člena, in navedbo parametrov, ki jih je treba upoštevati pri ugotavljanju, ali se incident šteje za velikega, kot je navedeno v odstavku 3 tega člena.

Predlog spremembe 222

Predlog direktive

Člen 21 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice lahko za dokaz izpolnjevanja nekaterih zahtev iz člena 18 od bistvenih in pomembnih subjektov zahtevajo, naj certificirajo nekatere proizvode, storitve in postopke IKT na podlagi določenih evropskih ceritfikacijskih shem za kibernetsko varnost, sprejetih v skladu s členom 49 Uredbe (EU) 2019/881. Proizvode, storitve in postopke, ki so predmet certificiranja, lahko razvije bistveni ali pomembni subjekt ali jih dobavijo tretje osebe.	1. Države članice ob upoštevanju smernic agencije ENISA, Komisije ter skupine za usklajevanje bistvene in pomembne subjekte spodbujajo, naj certificirajo nekatere proizvode, storitve in postopke IKT, ki so jih bistveni in pomembni subjekti razvili sami ali jih kupili od tretjih strani, na podlagi evropskih shem za kibernetsko varnost, sprejetih v skladu s členom 49 Uredbe (EU) 2019/881, ali, če še niso na voljo, podobnih mednarodno priznanih certifikacijskih shem. Države članice bistvene in pomembne subjekte spodbujajo, naj uporabljajo kvalificirane storitve zaupanja v skladu z Uredbo (EU) št. 910/2014.

Predlog spremembe 223

Predlog direktive

Člen 21 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Komisija je pooblaščena za sprejetje delegiranih aktov, ki določajo, za katere kategorije bistvenih subjektov je treba pridobiti certifikat in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost v skladu z odstavkom 1. Delegirani akti se sprejmejo v skladu s členom 36.	2. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 36 v zvezi z dopolnitvijo te direktive z določitvijo kategorij bistvenih in pomembnih subjektov, ki morajo pridobiti certifikat na podlagi specifičnih evropskih shem za kibernetsko varnost v skladu s členom 49 Uredbe (EU) 2019/881. Takšni delegirani akti se upoštevajo, če so bile ugotovljene nezadostne ravni kibernetske varnosti, pred njimi se opravi ocena učinka, v njih pa je določeno obdobje izvajanja.

Predlog spremembe 224

Predlog direktive

Člen 21 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Komisija lahko od agencije ENISA zahteva, naj pripravi predlogo za shemo v skladu s členom 48(2) Uredbe (EU) 2019/881, če za namene odstavka 2 ni na voljo ustrezne evropske certifikacijske sheme za kibernetsko varnost.	3. Po posvetovanju s skupino za sodelovanje in Evropsko certifikacijsko skupino za kibernetsko varnost lahko Komisija od agencije ENISA zahteva, naj pripravi predlogo za shemo v skladu s členom 48(2) Uredbe (EU) 2019/881, če za namene odstavka 2 ni na voljo ustrezne evropske certifikacijske sheme za kibernetsko varnost.

Predlog spremembe 225

Predlog direktive

Člen 22 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Agencija ENISA v sodelovanju z državami članicami pripravi nasvete in smernice za tehnična področja, ki se upoštevajo v zvezi z odstavkom 1, ter za že obstoječe standarde, vključno z nacionalnimi standardi držav članic, s katerimi bi lahko zajeli navedena področja.	2. Agencija ENISA v sodelovanju z državami članicami ter po posvetovanju z ustreznimi deležniki, če je to potrebno, pripravi nasvete in smernice za tehnična področja, ki se upoštevajo v zvezi z odstavkom 1, ter za že obstoječe standarde, vključno z nacionalnimi standardi držav članic, s katerimi bi lahko zajeli navedena področja.

Predlog spremembe 226

Predlog direktive

Člen 22 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	3. Komisija v sodelovanju z agencijo ENISA podpira in spodbuja razvoj in izvajanje standardov, ki so jih določili ustrezni organi Unije in mednarodni standardizacijski organi, za usklajeno izvajanje člena 18(1) in (2). Komisija podpira, da se ti standardi glede na tehnološki razvoj posodabljajo.

Predlog spremembe 227

Predlog direktive

Člen 23 – naslov


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Podatkovne zbirke domenskih imen in podatkov o registraciji	Struktura podatkovnih zbirk domenskih imen in podatkov o registraciji

Predlog spremembe 228

Predlog direktive

Člen 23 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Da bi prispevale k varnosti, stabilnosti in odpornosti sistema domenskih imen, države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, z ustrezno skrbnostjo zbirajo ter vzdržujejo točne in popolne podatke o registraciji domenskih imen v posebni podatkovni zbirki, ob upoštevanju zakonodaje Unije o varstvu podatkov v zvezi s podatki, ki so osebni podatki.	1. Da bi prispevale k varnosti, stabilnosti in odpornosti sistema domenskih imen, države članice zahtevajo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, zbirajo ter vzdržujejo točne, preverjene in popolne podatke o registraciji domenskih imen v strukturi podatkovne zbirke, ki jo upravljajo v ta namen.

Predlog spremembe 229

Predlog direktive

Člen 23 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da podatkovne zbirke podatkov o registraciji domenskih imen iz odstavka 1 vsebujejo ustrezne informacije za identifikacijo imetnikov domenskih imen in kontaktnih točk, ki upravljajo domenska imena v okviru vrhnjih domen, in navezavo stika z njimi.	2. Države članice zagotovijo, da struktura podatkovnih zbirk podatkov o registraciji domenskih imen iz odstavka 1 vsebuje ustrezne informacije za identifikacijo imetnikov domenskih imen in kontaktnih točk, ki upravljajo domenska imena v okviru vrhnjih domen, in navezavo stika z njimi, ki vključujejo vsaj ime registratorja, njegov fizični in elektronski naslov ter njegovo telefonsko številko.

Predlog spremembe 230

Predlog direktive

Člen 23 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice zagotovijo, da imajo registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, vzpostavljene politike in postopke, ki zagotavljajo, da podatkovne zbirke vključujejo točne in popolne informacije. Države članice zagotovijo, da so take politike in postopki javno dostopni.	3. Države članice zagotovijo, da imajo registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, vzpostavljene politike in postopke, ki zagotavljajo, da struktura podatkovnih zbirk vsebuje točne, preverjene in popolne informacije. Države članice zagotovijo, da so take politike in postopki javno dostopni.

Predlog spremembe 231

Predlog direktive

Člen 23 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, po registraciji domenskega imena brez nepotrebnega odlašanja objavijo podatke o registraciji domene, ki niso osebni podatki.	4. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, po registraciji domenskega imena nemudoma javno objavijo podatke o registraciji domene, ki niso osebni podatki. Za registratorje, ki so pravne osebe, javno dostopni podatki o registraciji domene vključujejo vsaj ime registratorja, njegov fizični in elektronski naslov ter telefonsko številko.

Predlog spremembe 232

Predlog direktive

Člen 23 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, omogočajo dostop do podatkov o registraciji posameznih domenskih imen na podlagi zakonitih in ustrezno utemeljenih zahtevkov oseb, ki imajo upravičen razlog za dostop, v skladu z zakonodajo Unije o varstvu podatkov. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, brez nepotrebnega odlašanja odgovorijo na vse zahtevke za dostop. Države članice zagotovijo, da so politike in postopki za razkrivanje takih podatkov javno dostopni.	5. Države članice zahtevajo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, omogočijo dostop do podatkov o registraciji posameznih domenskih imen, vključno z osebnimi podatki, na podlagi ustrezno utemeljenih zahtevkov oseb, ki imajo upravičen razlog za dostop, v skladu z zakonodajo Unije o varstvu podatkov. Države članice zahtevajo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, odgovorijo nemudoma, v vsakem primeru pa v 72 urah od prejema zahtevkov za dostop. Države članice zagotovijo, da so politike in postopki za razkrivanje takih podatkov javno dostopni.

Predlog spremembe 233

Predlog direktive

Člen 24 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Z namene te direktive se za subjekte iz odstavka 1 šteje, da imajo glavni sedež v Uniji v državi članici, kjer se sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. Če se take odločitve ne sprejemajo na sedežu v Uniji, se šteje, da je glavni sedež v državi članici, kjer imajo subjekti sedež z največjim številom zaposlenih v Uniji.	2. Z namene te direktive se za subjekte iz odstavka 1 šteje, da imajo glavni sedež v Uniji v državi članici, kjer se sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. Če se take odločitve ne sprejemajo na nobenem od sedežev v Uniji, se šteje, da je glavni sedež v državi članici, kjer ima subjekt bodisi sedež z največjim številom zaposlenih v Uniji bodisi sedež, kjer se izvajajo operacije v zvezi s kibernetsko varnostjo.

Predlog spremembe 234

Predlog direktive

Člen 25 – naslov


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Register bistvenih in pomembnih subjektov	Register agencije ENISA

Predlog spremembe 235

Predlog direktive

Člen 25 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Agencija ENISA vzpostavi in vzdržuje register bistvenih in pomembnih subjektov iz člena 24(1). Subjekti do [najpozneje 12 mesecev po začetku veljavnosti Direktive] agenciji ENISA predložijo naslednje informacije:	1. Agencija ENISA vzpostavi in vzdržuje varen register bistvenih in pomembnih subjektov iz člena 24(1), vključno z naslednjimi informacijami:

Predlog spremembe 236

Predlog direktive

Člen 25 – odstavek 1 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) posodobljene kontaktne podatke, vključno z elektronskimi naslovi in telefonskimi številkami subjektov.	(c) posodobljene kontaktne podatke, vključno z elektronskimi naslovi, razponi IP, telefonskimi številkami ter ustreznimi sektorji in podsektorji iz prilog I in II.

Predlog spremembe 237

Predlog direktive

Člen 25 – odstavek 1 – pododstavek 1 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	Bistveni in pomembni subjekti agenciji ENISA predložijo informacije iz prvega pododstavka do [12 mesecev po datumu začetka veljavnosti te direktive].

Predlog spremembe 238

Predlog direktive

Člen 26 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice brez poseganja v Uredbo (EU) 2016/679 zagotovijo, da si bistveni in pomembni subjekti lahko izmenjujejo ustrezne informacije o kibernetski varnosti, vključno z informacijami, ki se nanašajo na kibernetske grožnje, šibke točke, kazalnike ogroženosti, taktike, tehnike in postopke, opozorila glede kibernetske varnosti in orodja za konfiguracijo, če taka izmenjava informacij:	1. Države članice zagotovijo, da si lahko bistveni in pomembni subjekti ter drugi ustrezni subjekti, ki ne spadajo na področje uporabe te direktive, izmenjujejo ustrezne informacije o kibernetski varnosti, vključno z informacijami, ki se nanašajo na kibernetske grožnje, skorajšnje dogodke, šibke točke, tehnike in postopke, metapodatke in podatke o vsebini, kazalnike ogroženosti, sovražne taktike, način delovanja, specifične informacije o akterjih, opozorila glede kibernetske varnosti, taktike industrijskega vohunjenja in priporočeno konfiguracijo varnostnih orodij, če taka izmenjava informacij:

Predlog spremembe 239

Predlog direktive

Člen 26 – odstavek 1 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) zvišuje raven kibernetske varnosti, zlasti z ozaveščanjem v zvezi s kibernetskimi grožnjami, omejevanjem ali oviranjem zmožnosti širjenja takih groženj, podpiranjem vrste obrambnih zmogljivosti, odpravljanjem in razkrivanjem šibkih točk, tehnikami odkrivanja groženj, strategijami za zmanjšanje tveganja ali fazami odzivanja in okrevanja.	(b) zvišuje raven kibernetske varnosti, zlasti z ozaveščanjem v zvezi s kibernetskimi grožnjami, omejevanjem ali oviranjem zmožnosti širjenja takih groženj, podpiranjem vrste obrambnih zmogljivosti, odpravljanjem in razkrivanjem šibkih točk, tehnikami odkrivanja, zajezitve in preprečevanja groženj, strategijami za zmanjšanje tveganja ali fazami odzivanja in okrevanja ali spodbujanjem sodelovanja med javnimi in zasebnimi subjekti pri raziskovanju kibernetskih groženj.

Predlog spremembe 240

Predlog direktive

Člen 26 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da izmenjava informacij poteka v zaupanja vrednih skupnostih bistvenih in pomembnih subjektov. Taka izmenjava se izvaja na podlagi dogovorov o izmenjavi informacij, ob upoštevanju morebitne občutljivosti informacij, ki se izmenjujejo, in v skladu s pravili prava Unije iz odstavka 1.	2. Države članice olajšajo izmenjavo informacij z omogočanjem vzpostavitve zaupanja vrednih skupnosti bistvenih in pomembnih subjektov in njihovih ponudnikov storitev ter, kjer je ustrezno, drugih dobaviteljev. Taka izmenjava se izvaja na podlagi dogovorov o izmenjavi informacij, ob upoštevanju morebitne občutljivosti informacij, ki se izmenjujejo.

Predlog spremembe 241

Predlog direktive

Člen 26 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice določijo pravila o postopku, operativnih elementih (vključno z uporabo namenskih platform IKT), vsebini in pogojih dogovorov o izmenjavi informacij iz odstavka 2. Taka pravila določajo tudi podrobnosti sodelovanja javnih organov pri takih dogovorih in operativne elemente, vključno z uporabo namenskih platform informacijske tehnologije. Države članice nudijo podporo za uporabo takih dogovorov v skladu s svojimi politikami iz člena 5(2)(g).	3. Države članice omogočijo sklenitev dogovorov za izmenjavo informacij o kibernetski varnosti iz odstavka 2, tako da poskrbijo za razpoložljivost operativnih elementov (vključno z uporabo namenskih platform IKT in orodij za avtomatizacijo) in vsebin. Poleg tega določijo tudi podrobnosti sodelovanja javnih organov pri teh dogovorih in lahko naložijo nekatere pogoje glede informacij, ki jih dajo na voljo pristojni organi ali skupne CSIRT. Države članice nudijo podporo za uporabo teh dogovorov v skladu s svojimi politikami iz člena 5(2)(g).

Predlog spremembe 242

Predlog direktive

Člen 27 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Države članice zagotovijo, da lahko subjekti, ki ne spadajo na področje uporabe te direktive, brez poseganja v člen 3 prostovoljno predložijo priglasitve o pomembnih incidentih, kibernetskih grožnjah ali skorajšnjih dogodkih. Države članice pri obdelavi priglasitev ravnajo v skladu s postopkom iz člena 20. Pred prostovoljnimi priglasitvami lahko prednostno obdelajo obvezne priglasitve. Prostovoljno poročanje poročajočemu subjektu ne naloži nikakršnih dodatnih obveznosti, ki zanj ne bi veljale, če ne bi predložil priglasitve.	Države članice zagotovijo, da se lahko priglasitve prostovoljno predložijo skupinam CIRT, in sicer jih lahko posredujejo:

Predlog spremembe 243

Predlog direktive

Člen 27 – odstavek 1 – točka a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(a) bistveni in pomembni subjekti o kibernetskih grožnjah in skorajšnjih dogodkih;

Predlog spremembe 244

Predlog direktive

Člen 27 – odstavek 1 – točka b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(b) subjekti, ki ne spadajo na področje uporabe te direktive, o pomembnih incidentih, kibernetskih grožnjah ali skorajšnjih dogodkih;

Predlog spremembe 245

Predlog direktive

Člen 27 – odstavek 1 – pododstavek 1 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	Države članice pri obdelavi priglasitev ravnajo v skladu s postopkom iz člena 20. Pred prostovoljnimi priglasitvami lahko prednostno obdelajo obvezne priglasitve. Skupine CIRT po potrebi zagotovijo enotno kontaktno točko, pristojni organi pa po možnosti zagotovijo informacije o priglasitvah, prejetih v skladu s tem členom, pri čemer je zagotovljena zaupnost in ustrezno varstvo informacij, ki jih posreduje poročajoči subjekt. Zaradi prostovoljne priglasitve se poročajočemu subjektu ne nalagajo dodatne obveznosti, ki zanj ne bi veljale, če ne bi poslal priglasitve.

Predlog spremembe 246

Predlog direktive

Člen 28 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Pristojni organi pri obravnavi incidentov, katerih posledica je kršitev varstva osebnih podatkov, tesno sodelujejo z organi za varstvo podatkov.	2. Pristojni organi pri obravnavi incidentov, katerih posledica je kršitev varstva osebnih podatkov, tesno sodelujejo z organi za varstvo podatkov. To se izvaja v skladu z njihovimi pristojnostmi in nalogami iz Uredbe (EU) 2016/679.

Predlog spremembe 247

Predlog direktive

Člen 29 – odstavek 2 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) opravijo inšpekcijske preglede na kraju samem in nadzorna daljavo, vključno z naključnimi pregledi;	(a) opravijo inšpekcijske preglede na kraju samem in nadzorna daljavo, vključno z naključnimi pregledi, ki jih izvajajo usposobljeni strokovnjaki;

Predlog spremembe 248

Predlog direktive

Člen 29 – odstavek 2 – točka a a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(aa) preiščejo primere neskladnosti in njihove vplive na varnost storitev;

Predlog spremembe 249

Predlog direktive

Člen 29 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) opravijo redne revizije;	(b) opravijo letne in ciljno usmerjene varnostne presoje, ki jih izvede usposobljen neodvisen organ ali pristojni organ;

Predlog spremembe 250

Predlog direktive

Člen 29 – odstavek 2 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju;	(c) v primerih, utemeljenih z razlogi pomembnega incidenta ali z neizpolnjevanjem obveznosti bistvenega subjekta, se lahko opravi priložnostna revizija;

Predlog spremembe 251

Predlog direktive

Člen 29 – odstavek 2 – pododstavka 1 a in 1 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	Ciljno usmerjene varnostne presoje iz prvega pododstavka, točke (b) temeljijo na ocenah tveganja, ki jih izvedejo pristojni organi ali subjekt, ki je predmet pregleda, ali na drugih razpoložljivih informacijah o tveganju.
	Rezultati ciljno usmerjene varnostne presoje se dajo na voljo pristojnemu organu. Stroške ciljno usmerjene varnostne presoje, ki jo opravi usposobljen neodvisni organ, krije zadevni subjekt.

Predlog spremembe 252

Predlog direktive

Člen 29 – odstavek 2 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	2a. Pristojni organi skušajo pri izvajanju svojih pooblastil iz odstavka 2, točk (a) do (d) zmanjšati vpliv na poslovne procese subjekta.

Predlog spremembe 253

Predlog direktive

Člen 29 – odstavek 4 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) izdajo zavezujoča navodila ali odredbo, s katero od takih subjektov zahtevajo, da odpravijo ugotovljene pomanjkljivosti ali kršitve obveznosti, določene v tej direktivi;	(b) izdajo zavezujoča navodila, vključno z navodili za ukrepe za preprečitev ali popravo incidenta, roke za njihovo izvedbo in poročanje o tem, ali odredbo, s katero od subjektov zahtevajo, da odpravijo ugotovljene pomanjkljivosti ali kršitve obveznosti, določene v tej direktivi;

Predlog spremembe 254

Predlog direktive

Člen 29 – odstavek 4 – točka i


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(i) podajo javno izjavo, v kateri so opredeljene pravne in fizične osebe, odgovorne za kršitev obveznosti, določene v tej direktivi, in narava zadevne kršitve;	črtano

Predlog spremembe 255

Predlog direktive

Člen 29 – odstavek 4 – točka j


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(j) naložijo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalno zakonodajo naložijo upravno globo v skladu s členom 31, poleg ali namesto ukrepov iz točk (a) do (i) tega odstavka glede na okoliščine posameznega primera.	(j) naložijo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalno zakonodajo naložijo upravno globo v skladu s členom 31, poleg ukrepov iz točk (a) do (i) tega odstavka glede na okoliščine posameznega primera.

Predlog spremembe 256

Predlog direktive

Člen 29 – odstavek 5 – pododstavek 1 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) začasno prekličejo ali od certifikacijskega organa ali organa, pristojnega za izdajo dovoljenj, zahtevajo, naj začasno prekliče certifikat ali dovoljenje za del storitev ali dejavnosti ali vse storitve ali dejavnosti, ki jih opravlja bistveni subjekt;	(a) začasno prekličejo ali od certifikacijskega organa ali organa, pristojnega za izdajo dovoljenj, zahtevajo, naj začasno prekliče certifikat ali dovoljenje za del storitev ali dejavnosti ali vse zadevne storitve ali dejavnosti, ki jih opravlja bistveni subjekt;

Predlog spremembe 257

Predlog direktive

Člen 29 – odstavek 5 – pododstavek 1 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) uvedejo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalno zakonodajo uvedejo začasno prepoved opravljanja vodstvenih funkcij vseh oseb, ki za bistveni subjekt opravljajo poslovodne naloge na ravni glavnega izvršnega direktorja ali pravnega zastopnika, in vseh drugih fizičnih oseb, ki so odgovorne za kršitev.	(b) kot skrajni ukrep zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalno zakonodajo uvedejo začasno prepoved opravljanja vodstvenih funkcij vseh oseb, ki za bistveni subjekt opravljajo poslovodne naloge na ravni glavnega izvršnega direktorja ali pravnega zastopnika.

Predlog spremembe 258

Predlog direktive

Člen 29 – odstavek 5 – pododstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Te sankcije se uporabljajo samo, dokler subjekt ne sprejme potrebnih ukrepov za odpravo pomanjkljivosti ali izpolni zahtev pristojnega organa, zaradi katerih so bile take sankcije naložene.	Začasni preklic ali prepoved iz tega odstavka se uporablja samo, dokler subjekt ne sprejme potrebnih ukrepov za odpravo pomanjkljivosti ali izpolni zahtev pristojnega organa, zaradi katerih je bila sankcija naložena. Za uvedbo tovrstnih sankcij bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.

Predlog spremembe 259

Predlog direktive

Člen 29 – odstavek 7 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) dejansko povzročeno škodo ali nastale izgube ali morebitno škodo ali izgube, ki bi lahko nastale, če jih je mogoče določiti. Pri ocenjevanju tega vidika se med drugim upoštevajo dejanske ali morebitne finančne ali gospodarske izgube, učinki na druge storitve, število prizadetih ali potencialno prizadetih uporabnikov;	(c) povzročeno škodo ali nastale izgube, vključno s finančnimi ali gospodarskimi izgubami, učinki na druge storitve in številom prizadetih uporabnikov;

Predlog spremembe 260

Predlog direktive

Člen 29 – odstavek 7 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) vse relevantne predhodne kršitve zadevnega subjekta;

Predlog spremembe 261

Predlog direktive

Člen 29 – odstavek 9


Besedilo, ki ga predlaga Komisija	Predlog spremembe
9. Države članice zagotovijo, da njihovi pristojni organi obvestijo ustrezne pristojne organe zadevne države članice, imenovane v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], kadar izvajajo nadzorna in izvršilna pooblastila, namenjena zagotavljanju, da bistveni subjekt, ki je v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] opredeljen kot kritičen ali kot subjekt, enakovreden kritičnemu subjektu, izpolnjuje obveznosti v skladu s to direktivo. Na zahtevo pristojnih organov iz Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] lahko pristojni organi izvajajo nadzorna in izvršilna pooblastila nad bistvenim subjektom, ki je opredeljen kot kritičen ali enakovreden.	9. Države članice zagotovijo, da njihovi pristojni organi obvestijo ustrezne pristojne organe vseh zadevnih držav članic, imenovane v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], kadar izvajajo nadzorna in izvršilna pooblastila, namenjena zagotavljanju, da bistveni subjekt, ki je v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] opredeljen kot kritičen ali kot subjekt, enakovreden kritičnemu subjektu, izpolnjuje obveznosti v skladu s to direktivo. Na zahtevo pristojnih organov iz Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] lahko pristojni organi izvajajo nadzorna in izvršilna pooblastila nad bistvenim subjektom, ki je opredeljen kot kritičen ali enakovreden.

Predlog spremembe 262

Predlog direktive

Člen 29 – odstavek 9 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	9a. Države članice poskrbijo, da njihovi pristojni organi sodelujejo z ustreznimi pristojnimi organi ustrezne države članice, določenimi v skladu z Uredbo (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti].

Predlog spremembe 263

Predlog direktive

Člen 30 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Če obstajajo dokazi ali znaki, da pomembni subjekt ne izpolnjuje obveznosti, določenih v tej direktivi, zlasti v členih 18 in 20, države članice zagotovijo, da pristojni organi ukrepajo, po potrebi z naknadnimi nadzornimi ukrepi.	1. Če obstajajo dokazi ali znaki, da pomembni subjekt ne izpolnjuje obveznosti, določenih v tej direktivi, zlasti v členih 18 in 20, države članice zagotovijo, da pristojni organi ukrepajo, po potrebi z naknadnimi nadzornimi ukrepi. Države članice zagotovijo, da so ti ukrepi učinkoviti, sorazmerni in odvračilni, pri čemer upoštevajo okoliščine posameznih primerov.

Predlog spremembe 264

Predlog direktive

Člen 30 – odstavek 2 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) opravijo inšpekcijske preglede na kraju samem in naknadni nadzor na daljavo;	(a) usposobljeni strokovnjaki opravijo inšpekcijske preglede na kraju samem in naknadni nadzor na daljavo;

Predlog spremembe 265

Predlog direktive

Člen 30 – odstavek 2 – točka a a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(aa) preiščejo primere neskladnosti in njihove vplive na varnost storitev;

Predlog spremembe 266

Predlog direktive

Člen 30 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju;	(b) opravijo ciljno usmerjene varnostne presoje, ki jih izvede usposobljen neodvisni organ ali pristojni organ;

Predlog spremembe 267

Predlog direktive

Člen 30 – odstavek 2 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) opravijo varnostne preglede, ki temeljijo na objektivnih, poštenih in preglednih merilih za oceno tveganja;	(c) opravijo varnostne preglede, ki temeljijo na objektivnih, nediskriminatornih, poštenih in preglednih merilih za oceno tveganja;

Predlog spremembe 268

Predlog direktive

Člen 30 – odstavek 2 – pododstavka 1 a in 1 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	Ciljno usmerjene varnostne presoje iz točke (b) prvega pododstavka temeljijo na ocenah tveganja, ki jih izvedejo pristojni organi ali revidirani subjekt, ali na drugih razpoložljivih informacijah o tveganju.
	Rezultati ciljno usmerjene varnostne presoje se dajo na voljo pristojnemu organu. Stroške takšne ciljno usmerjene varnostne presoje, ki jo opravi usposobljen neodvisni organ, krije zadevni subjekt.

Predlog spremembe 269

Predlog direktive

Člen 30 – odstavek 4 – točka h


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(h) podajo javno izjavo, v kateri so opredeljene pravne in fizične osebe, odgovorne za kršitev obveznosti, določene v tej direktivi, in narava zadevne kršitve;	črtano

Predlog spremembe 270

Predlog direktive

Člen 30 – odstavek 4 – točka i


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(i) naložijo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalno zakonodajo naložijo upravno globo v skladu s členom 31, poleg ali namesto ukrepov iz točk (a) do (h) tega odstavka glede na okoliščine posameznega primera.	(i) naložijo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalnim pravom naložijo upravno globo v skladu s členom 31, poleg ukrepov iz točk (a) do (h) tega odstavka glede na okoliščine posameznega primera.

Predlog spremembe 271

Predlog direktive

Člen 31 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (i) člena 29(4), člena 29(5) in točk (a) do (h) člena 30(4).	2. Glede na okoliščine posameznega primera se upravne globe naložijo poleg ukrepov iz točk (a) do (i) člena 29(4), člena 29(5) in točk (a) do (h) člena 30(4).

Predlog spremembe 272

Predlog direktive

Člen 32 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Če imajo pristojni organi informacije, ki kažejo, da kršitev obveznosti iz členov 18 in 20 s strani bistvenega ali pomembnega subjekta pomeni kršitev varstva osebnih podatkov, kot je opredeljena v členu 4(12) Uredbe (EU) 2016/679 in ki se uradno sporoči v skladu s členom 33 navedene uredbe, o tem v razumnem času obvestijo nadzorne organe, ki so pristojni v skladu s členoma 55 in 56 navedene uredbe.	1. Če imajo pristojni organi informacije, ki kažejo, da kršitev obveznosti iz členov 18 in 20 s strani bistvenega ali pomembnega subjekta pomeni kršitev varstva osebnih podatkov, kot je opredeljena v točki (12) člena 4 Uredbe (EU) 2016/679 in ki se uradno sporoči v skladu s členom 33 navedene uredbe, o tem v 72 urah obvestijo nadzorne organe, ki so pristojni v skladu s členoma 55 in 56 navedene uredbe brez nepotrebnega odlašanja, v vsakem primeru pa najpozneje 72 ur po seznanitvi s kršitvijo.

Predlog spremembe 273

Predlog direktive

Člen 32 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Če ima nadzorni organ, ki je pristojen v skladu z Uredbo (EU) 2016/679, sedež v drugi državi članici kot pristojni organ, lahko pristojni organ obvesti nadzorni organ, ki ima sedež v isti državi članici.	3. Če ima nadzorni organ, ki je pristojen v skladu z Uredbo (EU) 2016/679, sedež v drugi državi članici kot pristojni organ, pristojni organ obvesti nadzorni organ, ki ima sedež v isti državi članici.

Predlog spremembe 274

Predlog direktive

Člen 35 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Komisija redno pregleduje delovanje te direktive ter poroča Evropskemu parlamentu in Svetu. V poročilu oceni zlasti pomen sektorjev, podsektorjev, velikosti in vrste subjektov iz prilog I in II za delovanje gospodarstva in družbe v zvezi s kibernetsko varnostjo. V ta namen in zaradi nadaljnje krepitve strateškega in operativnega sodelovanja Komisija upošteva poročila skupine za sodelovanje in mreže skupin CSIRT o izkušnjah, pridobljenih na strateški in operativni ravni. Prvo poročilo se predloži do… 54 mesecev po datumu začetka veljavnosti te direktive.	Komisija do … [42 mesecev po datumu začetka veljavnosti te direktive] in nato vsakih 36 mesecev pregleda delovanje te direktive ter o tem poroča Evropskemu parlamentu in Svetu. V poročilu oceni zlasti pomen sektorjev, podsektorjev, velikosti in vrste subjektov iz prilog I in II za delovanje gospodarstva in družbe v zvezi s kibernetsko varnostjo. V ta namen in zaradi nadaljnje krepitve strateškega in operativnega sodelovanja Komisija upošteva poročila skupine za sodelovanje in mreže skupin CSIRT o izkušnjah, pridobljenih na strateški in operativni ravni.
	Poročilu se po potrebi priloži zakonodajni predlog.

Predlog spremembe 275

Predlog direktive

Člen 36 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Pooblastilo za sprejemanje delegiranih aktov iz členov 18(6) in 21(2) se prenese na Komisijo za obdobje petih let od […].	2. Pooblastilo za sprejemanje delegiranih aktov iz členov 18(6), 20(11a) in 21(2) se prenese na Komisijo za obdobje petih let od […].

Predlog spremembe 276

Predlog direktive

Člen 36 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Prenos pooblastila iz členov 18(6) in 21(2) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne veljati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.	3. Prenos pooblastila iz členov 18(6), 20(11a) in 21(2) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne veljati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

Predlog spremembe 277

Predlog direktive

Člen 36 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Delegirani akt, sprejet na podlagi členov 18(6) in 21(2), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v dveh mesecih od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka Evropski parlament in Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.	6. Delegirani akt, sprejet na podlagi členov 18(6), 20(11a) in 21(2), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v dveh mesecih od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka Evropski parlament in Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.

Predlog spremembe 278

Predlog direktive

Člen 42 – odstavek 1 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	Člena 39 in 40 pa se uporabljata od … [18 mesecev po datumu začetka veljavnosti te uredbe].

Predlog spremembe 279

Predlog direktive

Priloga I – točka 2 – točka d – alinea 2 (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Promet

(d) cestni

— Operaterji storitev pametnega polnjenja za električna vozila

Predlog spremembe 280

Predlog direktive

Priloga II – preglednica – vrstica 6 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

6a. Izobraževanje in raziskave

— Visokošolske in raziskovalne ustanove

OBRAZLOŽITEV

Poročevalec želi, da bi Evropa postala najboljše mesto za življenje in poslovanje.

Zato pozdravlja direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (NIS 2), s katero je nadomeščena prvotna direktiva o varnosti omrežij in informacij (NIS 1). Predlog upošteva spremenjene razmere na področju kibernetske varnosti in uvaja minimalno harmonizacijo ukrepov v EU.

Dandanes se evropska policija vse težje spopada z visokim porastom incidentov kibernetske kriminalitete. Ti lahko vključujejo visokotehnološka kazniva dejanja, kriminaliteto, ki jo omogoča kibernetski prostor, ali goljufije, v katerih je ukradena identiteta direktorja, vendar želi poročevalec izrecno poudariti agresiven porast tolp, ki uporabljajo izsiljevalsko programje, s katerim napadajo in izsiljujejo evropske tarče, ne glede na njihovo velikost ali promet. Poleg tega so nasprotniški državni akterji osredotočeni na krajo intelektualne lastnine na industrijski ravni, na kar se je treba ustrezno odzvati.

Glede na podatke agencije ENISA pa je splošna poraba za kibernetsko varnost v organizacijah v EU vseeno 41 % nižja od porabe v organizacijah v ZDA. Poleg tega so skrbi v zvezi s splošno uredbo o varstvu podatkov resno ovirale izmenjavo informacij med državami in znotraj njih. To je očitno v javnih in zasebnih subjektih, ki se bojijo izmenjevati podatke. V direktivi o ukrepih za visoko skupno raven kibernetske varnosti v Uniji mora torej biti jasno navedeno, da je izmenjava informacij ključna za izpolnitev zahtev glede kibernetske varnosti.

Skupna raven kibernetske varnosti v EU je ključnega pomena za delovanje notranjega trga. Potrebna je dobro opredeljena zakonodaja, tako da bo za podjetja, ki delujejo v različnih državah članicah, veljal isti sklop pravil. Z direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji naj bi se odpravili negotovost in trenutna nejasnost.

V času, v katerem lahko imajo dejavnosti kibernetske kriminalitete, vohunjenja ali sabotaž kaskadne učinke, je področje uporabe te direktive upravičeno razširjeno. Predlog vključuje sektorje, ki se predhodno niso šteli za bistvene ali pomembne, vsekakor pa jih kot takšne štejejo tolpe, ki uporabljajo izsiljevalsko programje, ali nekatere države. Subjekti so na podlagi storitev, ki jih opravljajo za družbe, razdeljeni v dve pravni kategoriji: „bistveni“ in „pomembni“ subjekti. Poročevalec podpira cilje predloga Komisije in meni, da bi raziskovalne in akademske ustanove morale biti vključene kot nov sektor. Te ustanove so pogosto tarče in njihova intelektualna lastnina si zasluži varstvo v okviru direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji.

Vsi zakonodajalci morajo vedno imeti v mislih upravno breme in birokracijo za podjetja. Poročevalec podpira izključitev mikro- in malih podjetij. Poleg tega meni, da direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji ne bi smela biti osredotočena samo na izpolnjevanje obveznosti in kazenske ukrepe, temveč tudi na pozitivne spodbude, kot je zagotavljanje usmeritev in pomoči MSP s posebnimi potrebami in interesi, ali na brezplačne službe preverjanja strežnika za elektronsko pošto ali konfiguracije spletnega mesta. Ti predlogi naj bi prikazali, da bi vlade morale biti v zvezi s tem usmerjene v zagotavljanje storitev.

Poročanje o incidentih je ključnega pomena za kibernetsko varnost, saj lahko prepreči, da bi drugi postali žrtve kibernetskega napada. Poročevalec želi opozoriti, da v svoji predhodni funkciji na področju kibernetske varnosti pogosto ni bil zmožen poročati o incidentu v 24 urah. Običajno v tako zgodnji fazi incident še ni jasen. Poročevalec meni, da je predlagani časovni okvir 24 ur nerazumen, tudi zaradi dejstva, da so v tem času prizadevanja strokovnjakov usmerjena v ublažitev težave, poročanje pa je šele sekundarni interes. Kibernetski incident in njegove posledice so redko dobro razumljeni v 24 urah in priglasitve v 24 urah bi lahko vodile v nepravilno poročanje, prekomerno poročanje in dodatno zmedo. Poleg tega se ti incidenti pogosto zgodijo med vikendom. Zato poročevalec predlaga, naj se ta direktiva uskladi z ostalo zakonodajo Unije, kot je splošna uredba o varstvu podatkov, in naj se časovni okvir podaljša na 72 ur.

Poročevalec meni, da poročanje o morebitnih incidentih ne bi smelo biti obvezno. Prostovoljno izmenjavo informacij o morebitnih incidentih ali skorajšnjih dogodkih bi bilo treba spodbujati, vendar se srednji in veliki subjekti lahko spopadajo z desetinami ali celo stotinami pomembnih kibernetskih groženj v enem samem dnevu. Poročanje o teh morebitnih incidentih bi bilo obremenjujoče in bi oviralo učinkovito odzivanje. Lahko bi tudi škodilo učinkovitosti organov, ki obravnavajo te priglasitve, spodkopalo zaupanje v sistem poročanja in oslabilo zmožnost organov, da ob dejanskih incidentih ukrepajo.

Prav tako ne bi smelo biti obvezno poročanje o morebitnih kibernetskih grožnjah skupinam CSIRT ali pristojnim organom. Skladnost in odgovornost bi lovce na grožnje, ki so bistveni del ekosistema kibernetske varnosti, odvračali od dejavnosti. Poleg tega obstajajo (resni) primeri, v katerih je grožnjo bolje sporočiti obveščevalni skupnosti, kadar je na njihovem področju pristojnosti, kot organom za varnost omrežij in informacijskih sistemov.

Ukrepi za kibernetsko varnost bi morali biti primerni velikosti subjekta in tveganjem za kibernetsko varnost, s katerimi se sooča. Nadzor in izvrševanje bi torej morala biti sorazmerna. Denarne kazni in kazenski ukrepi so ključni, če naj bo direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji učinkovita, vendar poročevalec meni, da bi zakonodajalci morali poudariti, da se upošteva stopnjevanje in da naj bi višje vodstvo občutilo težko roko zakona šele po dokazani malomarnosti in neupoštevanju več opozoril. Prav tako je pomembno preprečiti dvojni nadzor zaradi sektorske zakonodaje za subjekte, ki spadajo tako na področje uporabe direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji kot tudi sektorske zakonodaje, kot je uredba o digitalni operativni odpornosti.

Poročevalec spodbuja vse države članice, naj pripravijo nacionalne strategije o aktivni kibernetski obrambi. V Evropi smo izboljšali usklajevanje po incidentu, vendar moramo še vedno izboljšati (javno in zasebno) znanje o kibernetskih napadih, preden se zgodijo. Zgolj pasivna izmenjava znanja ne zadošča; državljani in subjekti pričakujejo dejavno vlogo svojih vlad pri varstvu na področju kibernetske varnosti. Države članice morajo vzpostaviti zmogljivosti za odvračanje napadov in njihovo aktivno preprečevanje.

Prav tako je treba posvetiti pozornost jedru interneta. Storitve DNS morajo strankam zagotavljati varne storitve, ki spoštujejo zasebnost. To še ni splošno sprejeto. Poročevalec je zaskrbljen, da bodo na področje uporabe predloga Komisije vključeni državljani, ki imajo lastno storitev DNS na prenosnem računalniku ali majhnem domačem strežniku. Poročevalec želi zagotoviti, da so te osebe, ki so pogosto tehnično podkovani posamezniki, izključene iz direktive. Druga težava je, da so na področje uporabe direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji vključeni upravljavci korenskih imenskih strežnikov. Od začetka širjenja interneta v sedemdesetih in osemdesetih letih prejšnjega stoletja ter po tem te storitve opravljajo dobri prostovoljni strokovnjaki. Ker ta storitev ni monetizirana in je vlade naj ne bi zakonsko urejale, poročevalec meni, da bi morali biti korenski strežniki izključeni s področja uporabe.

Poročevalec meni, da je zelo pomembno okrepiti splošno varnost elektronskih komunikacijskih omrežij in storitev ter izboljšati celovitost interneta. To pomeni, da bi se morale po vsej Evropi uporabljati interoperabilne tehnike zaupanja. Zelo se spodbujajo evropski razreševalniki DNS, ki so posebej osredotočeni na zasebnost in varnost, pa tudi fizična zaščita hrbteničnih internetnih omrežij in podmorskih komunikacijskih kablov. Direktivo bi zato bilo treba razumeti v okviru celotnega svežnja strategije za kibernetsko varnost, ki jo je pripravila Komisija: potrebujemo varnejše jedro interneta.

V direktivi o ukrepih za visoko skupno raven kibernetske varnosti v Uniji je poleg tega določena pravna podlaga za usklajene ocene tveganja za varnost, ki jih izvajajo skupine za sodelovanje. Nabor orodij za kibernetsko varnost tehnologije 5G je odličen primer. Poročevalec meni, da bi te ocene tveganja lahko močno izboljšale varnost in strateško suverenost Unije in da bi se morale izvajati na širokem naboru storitev, sistemov ali proizvodov IKT. V zvezi s tem želi omeniti primer skenerjev za tovor na letališčih in v pristaniščih.

Izmenjava ključnih informacij je bila nenamerno otežena in jo je treba izboljšati. Na primer: policija je v zadnjih letih odkrila in dešifrirala strežnike tolp z izsiljevalskim programjem, ki so v nekaterih primerih vključevali več milijonov žrtev v EU in zunaj nje. Policija je dolžna obravnavati nove primere, da bi omogočila skupinam CSIRT, da stopijo v stik s tarčami in z informacijami, odkritimi na teh strežnikih, zmanjšajo tveganje kibernetskih groženj. Vendar zaradi neutemeljenih domnevnih pravnih ovir ni bila skoraj nobena žrtev obveščena oziroma prejela pomoči. Zato je ključnega pomena, da direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji ustvari jasno pravno podlago za zmanjševanje tveganja takšnih groženj in izmenjavo informacije ne samo v EU, temveč tudi s partnerji zunaj EU.

Glede na razširitev področja uporabe morajo biti skupine CSIRT pripravljene ponuditi prilagodljive in avtomatizirane rešitve za hitro in varno razširjanje usklajenega razkrivanja šibkih točk, poročanja o incidentih in obveščevalnih podatkov o grožnjah. Avtomatizacija izmenjave informacij ni samo posledica te direktive, temveč njen ključni element. Zagotovitev pravne podlage, da bi lahko skupine CSIRT in podjetja izmenjevali podatke s svojimi strankami, podobnimi subjekti in organi v EU in zunaj nje, je osnovni pogoj za uresničitev vseh dobrih namenov direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji.

Uporaba standardov in certifikacijskih shem je dodaten pozitivni element predloga Komisije. Certifikacija bi morala biti omogočena prek posebnih evropskih in mednarodno priznanih shem, ki bi jim bilo treba dati prednost pred nacionalnimi shemami. Cilj bi morala biti harmonizacija; pravila v eni državi članici bi morala biti podobna pravilom v drugih.

Predlog direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji zahteva, da agencija ENISA razvije in vzdržuje evropski register šibkih točk. Poročevalec meni, da bi bila evropska podatkovna zbirka šibkih točk boljša kot register. Ni razloga za podvajanje rešitve, ki že obstaja in jo skupnost na področju kibernetske varnosti uporablja kot skupni standard povsod po svetu. Podvajanje bi povzročilo razdor in zmedo v skupnosti strokovnjakov. Evropska podatkovna zbirka, ne register, bi morala temeljiti na registru CVE, ki je seznam evidenc o mednarodnih javno znanih šibkih točkah za kibernetsko varnost, ki se uporablja po vsem svetu. Poročevalec meni, da bi agencija ENISA morala imeti pomembno vlogo v registru CVE, ki se trenutno večinoma upravlja v ZDA. Poleg tega bi bilo treba preprečiti podvajanje prizadevanj; želeni rezultat bi morala biti podatkovna zbirka z edinstvenimi izzivi za evropske organizacije. Končno poročevalec poudarja, kako izjemno pomembno je, da ima agencija ENISA vzpostavljeno infrastrukturo in postopke za obravnavo zaupnih informacij. Kibernetsko varnost bi bilo treba obravnavati na vseh ravneh od netajne do ravni (strogo) zaupno.

Podatki WHOIS, ki so avtoritativna evidenca lastništva domen, so edino uporabno sredstvo za pridobitev informacij, potrebnih za identifikacijo storilcev kaznivih dejanj, sledenje akterjem, ki predstavljajo grožnje, preprečevanje škode in varstvo spletnega ekosistema. Skupnost na področju kibernetske varnosti se zanaša nanje, raziskovalcem groženj pa omogočajo, da ulovijo nasprotnike, da bi se državljani in subjekti lahko zaščitili pred prihodnjimi grožnjami. Ti podatki so edini zanesljivi mehanizem odgovornosti na sicer anonimnem internetu. Vendar so v zadnjih treh letih od začetka veljavnosti splošne uredbe o varstvu podatkov nekateri začeli podatke WHOIS dojemati kot vprašanje odgovornosti. Uveljavljena praksa obdelave podatkov WHOIS je bila žal neutemeljeno ustavljena. Poročevalec zato v svojem poročilu ponovno poudarja, da je obdelava podatkov za namene kibernetske varnosti v skladu s splošno uredbo o varstvu podatkov zakonita, in izrecno navaja svojo željo, da bi se podatki WHOIS ponovno izmenjevali.

Na splošno poročevalec meni, da je direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji nujni korak k uskladitvi našega notranjega trga in izboljšanju kibernetske varnosti po vsej EU.

MNENJE ODBORA ZA DRŽAVLJANSKE SVOBOŠČINE, PRAVOSODJE IN NOTRANJE ZADEVE (15.10.2021)

za Odbor za industrijo, raziskave in energetiko

o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Pripravljavec mnenja (*): Lukas Mandl

(*) Postopek s pridruženim odborom – člen 57 Poslovnika

KRATKA OBRAZLOŽITEV

Predlog direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148 [2] je del širšega sklopa pobud na ravni Unije, katerih cilj je povečati odpornost javnih in zasebnih subjektov na grožnje. Namen predloga je odpraviti pomanjkljivosti obstoječe zakonodaje in subjektom, ki spadajo v njeno področje uporabe, omogočiti, da se bolje odzovejo na nove izzive, opredeljene v oceni učinka Komisije, ki je vključevala obsežno posvetovanje z zainteresiranimi stranmi. Ti izzivi vključujejo zlasti večjo digitalizacijo notranjega trga in spreminjajoče se varnostne grožnje.

Pravna podlaga predloga je člen 114 PDEU, tj. notranji trg. Odbor LIBE želi poudariti, da ukrepi, ki jih revidirana direktiva o varnosti omrežij in informacijskih sistemov nalaga omrežjem in informacijskim sistemom, niso namenjeni le zagotavljanju pravilnega delovanja notranjega trga. Direktiva naj bi tudi prispevala k varnosti Unije kot celote, med drugim s preprečevanjem različne ranljivosti držav članic za tveganja glede kibernetske varnosti.

V ta namen je bistveno odpraviti obstoječe razlike med državami članicami, ki izhajajo iz različnih pravnih razlag v državah članicah. Pripravljavec mnenja zato pozdravlja enoten pogoj, ki ga uredba določa za določitev subjektov, ki spadajo v področje uporabe direktive. Podani so dodatni predlogi, da se preprečijo razlike pri izvajanju, zlasti da se od Komisije zahteva, da izda smernice o izvajanju lex specialis in merila, ki se uporabljajo za mala in srednja podjetja (kar bi moralo zagotoviti tudi pravno jasnost in preprečiti nepotrebno breme), ter da se od skupine za sodelovanje zahteva, da podrobneje opredeli netehnične dejavnike, ki jih je treba upoštevati pri oceni tveganja v dobavni verigi. Nadalje je poudarjeno, da mora sodelovanje med pristojnimi organi potekati v realnem času med državami članicami in znotraj njih.

V osnutku poročila so upoštevana tudi številna priporočila, ki jih je Evropski nadzornik za varstvo podatkov podal v svojem mnenju o strategiji za kibernetsko varnost in revidirani direktivi o varnosti omrežij in informacijskih sistemov [3]. Najpomembneje je, da je tako v uvodnih izjavah kot v normativnem delu besedila pojasnjeno, da vsakršna obdelava osebnih podatkov v skladu z revidirano direktivo o varnosti omrežij in informacijskih sistemov ne posega v Uredbo (EU) 2016/679 (Splošna uredba o varstvu podatkov)[4] in Direktivo 2002/58/ES (e-zasebnost)[5]. Glede na ožji obseg pojma „varnost omrežij in informacijskih sistemov“ (ki zajema le zaščito tehnologije) v primerjavi s „kibernetsko varnostjo“ (ki zajema tudi dejavnosti za zaščito uporabnikov) se prejšnji izraz uporablja le, kadar je kontekst povsem tehnične narave. Kar zadeva domenska imena in registracijske podatke so predlagana pojasnila v zvezi s 1) pravno podlago za objavo „ustreznih informacij“ za namene identifikacije in stika, 2) kategorijami podatkov o registraciji domene, ki se objavijo (na podlagi priporočila Organizacije za dodeljevanje spletnih imen in številk (ICANN)), in 3) subjekti, ki bi lahko imeli „upravičen razlog za dostop“. V pravnem besedilu je navedeno tudi, da predlog ne vpliva na dodelitev sodne pristojnosti in pristojnosti nadzornih organov za varstvo podatkov v skladu s Splošno uredbo o varstvu podatkov. Poleg tega je zagotovljena celovitejša pravna podlaga za sodelovanje in izmenjavo ustreznih informacij med pristojnimi organi v okviru predloga in drugimi zadevnimi nadzornimi organi, zlasti nadzornimi organi v okviru Splošne uredbe o varstvu podatkov.

Druge spremembe predloga Komisije, ki jih je predlagal pripravljavec mnenja odbora LIBE, se nanašajo na naslednje:

• Za zagotovitev skladnosti med revidirano direktivo o varnosti omrežij in informacijskih sistemov ter predlagano direktivo o odpornosti kritičnih subjektov (direktiva o evropski kritični infrastrukturi)[6] je bilo besedilo nekaterih določb usklajeno z besedilom predloga direktive o evropski kritični infrastrukturi. V skladu s podobno spremembo, predvideno za direktivo o evropski kritični infrastrukturi, ki bi morala zajemati iste sektorje kot revidirana direktiva o varnosti omrežij in informacijskih sistemov, se predlaga, da se v področje uporabe doda „proizvodnja, predelava in distribucija hrane“.

• V zvezi z osebnimi podatki je pojasnjeno, da pregled omrežij in informacijskih sistemov, ki ga izvajajo skupine CSIRT, ne bi smel biti le v skladu z Uredbo (EU) 2016/679 (Splošna uredba o varstvu podatkov)[7], temveč tudi z Direktivo 2002/58/ES [8] (e-zasebnost). Mednarodni prenosi osebnih podatkov na podlagi te direktive bi morali biti skladni s poglavjem V Splošne uredbe o varstvu podatkov.

• Skupina za sodelovanje bi se morala sestajati dvakrat namesto enkrat letno, da bi ocenila najnovejši razvoj na področju kibernetske varnosti. Evropski odbor za varnost podatkov bi se moral v vlogi opazovalca udeležiti sestankov skupine za sodelovanje.

• Agencija Evropske unije za kibernetsko varnost (ENISA) vsako leto namesto vsake dve leti pripravi poročilo o stanju kibernetske varnosti v Uniji, ki bi moralo upoštevati tudi vpliv kibernetskih incidentov na varstvo osebnih podatkov v Uniji.

• Rok za obveščanje o incidentih je usklajen z rokom za obveščanje o kršitvah v skladu s Splošno uredbo o varstvu podatkov, tj. 72 ur.

• Čeprav bi moralo biti obveščanje bistvenih in pomembnih subjektov o dejanskih kibernetskih incidentih obvezno, bi moralo biti obveščanje o kibernetskih grožnjah prostovoljno, da se omeji upravno breme in prepreči pretirano poročanje. Dogodek se šteje za pomembnega, če povzroči dejansko škodo ter prizadene druge fizične in pravne osebe, ne pa samo „morebitno“ škodo ali učinek.

• Okoliščine, ki jih je treba upoštevati pri odločanju o sankciji zaradi kršitve pravil o kibernetski varnosti, so usklajene s Splošno uredbo o varstvu podatkov. Odrejanje začasne prepovedi opravljanja vodstvenih funkcij fizičnim osebam ne bi smelo biti možno, ker bi bilo to v nasprotju s sedanjo prakso odgovornosti v pravu Unije.

• Subjektom se ne bi smela naložiti obveznost, da javno objavijo vidike neizpolnjevanja zahtev iz te direktive ali identitete fizičnih ali pravnih oseb, odgovornih za kršitev, da se prepreči škodovanje ugledu.

PREDLOGI SPREMEMB

Odbor za državljanske svoboščine, pravosodje in notranje zadeve poziva Odbor za industrijo, raziskave in energetiko kot pristojni odbor, da upošteva naslednje predloge sprememb:

Predlog spremembe 1

Predlog direktive

Uvodna izjava 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(1) Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta11 je bila namenjena razvoju zmogljivosti za kibernetsko varnost po vsej Uniji, ublažitvi groženj za omrežja in informacijske sisteme, ki se uporabljajo za opravljanje bistvenih storitev v ključnih sektorjih, ter zagotovitvi neprekinjenega izvajanja takih storitev pri spoprijemanju s kibernetskimi incidenti, s čimer naj bi prispevala k učinkovitemu delovanju gospodarstva in družbe Unije.	(1) Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta11 je bila namenjena razvoju zmogljivosti za kibernetsko varnost po vsej Uniji, ublažitvi groženj za omrežja in informacijske sisteme, ki se uporabljajo za opravljanje bistvenih storitev v ključnih sektorjih, ter zagotovitvi neprekinjenega izvajanja takih storitev pri spoprijemanju s kibernetskimi incidenti, s čimer naj bi prispevala k varnosti Unije ter učinkovitemu delovanju njenega gospodarstva in družbe.
__________________	__________________
11 Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1). 1).	11 Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1). 1).

Predlog spremembe 2

Predlog direktive

Uvodna izjava 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(2) Od začetka veljavnosti Direktive (EU) 2016/1148 je bil dosežen velik napredek pri zviševanju ravni kibernetske odpornosti v Uniji. Pregled navedene direktive je pokazal, da se je uporabljala kot katalizator za institucionalni in regulativni pristop h kibernetski varnosti v Uniji, s čimer je utrla pot do velike spremembe v mišljenju. Direktiva je zagotovila dokončanje nacionalnih okvirov z opredelitvijo nacionalnih strategij za kibernetsko varnost, vzpostavitvijo nacionalnih zmogljivosti in izvajanjem regulativnih ukrepov, ki so zajemali bistvene infrastrukture in akterje, ki so jih določile posamezne države članice. Prispevala je tudi k sodelovanju na ravni Unije z ustanovitvijo skupine za sodelovanje12 in mreže nacionalnih skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: mreža skupin CSIRT)13. Kljub navedenim dosežkom pa so bile pri pregledu Direktive (EU) 2016/1148 razkrite pomanjkljivosti, zaradi katerih z navedeno direktivo ni mogoče učinkovito obravnavati sedanjih in nastajajočih izzivov na področju kibernetske varnosti.	(2) Od začetka veljavnosti Direktive (EU) 2016/1148 je bil dosežen velik napredek pri zviševanju ravni kibernetske odpornosti v Uniji. Pregled navedene direktive je pokazal, da se je uporabljala kot katalizator za institucionalni in regulativni pristop h kibernetski varnosti v Uniji, s čimer je utrla pot do velike spremembe v mišljenju. Direktiva je zagotovila dokončanje nacionalnih okvirov z opredelitvijo nacionalnih strategij za kibernetsko varnost, vzpostavitvijo nacionalnih zmogljivosti in izvajanjem regulativnih ukrepov, ki so zajemali bistvene infrastrukture in akterje, ki so jih določile posamezne države članice. Prispevala je tudi k sodelovanju na ravni Unije z ustanovitvijo skupine za sodelovanje in mreže nacionalnih skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: mreža skupin CSIRT). Kljub navedenim dosežkom pa so bile pri pregledu Direktive (EU) 2016/1148 razkrite pomanjkljivosti, zaradi katerih z navedeno direktivo ni mogoče učinkovito obravnavati sedanjih in nastajajočih izzivov na področju kibernetske varnosti. Poleg tega je razširitev spletnih dejavnosti v okviru pandemije covida-19 izpostavila, kako pomembna sta kibernetska varnost, ki je bistvena, da bi lahko državljani EU zaupali inovacijam in povezljivosti, ter obsežno izobraževanje in usposabljanje o njej. Zato bi morala Komisija podpirati države članice pri zasnovi izobraževalnih programov o kibernetski varnosti, da se pomembnim in bistvenim subjektom omogoči zaposlitev strokovnjakov za kibernetsko varnost, s katerimi bi izpolnili obveznosti, ki izhajajo iz te direktive.
__________________	__________________
12 Člen 11 Direktive (EU) 2016/1148.	12 Člen 11 Direktive (EU) 2016/1148.
13 Člen 12 Direktive (EU) 2016/1148.	13 Člen 12 Direktive (EU) 2016/1148.

Predlog spremembe 3

Predlog direktive

Uvodna izjava 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(3) Omrežja in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe, vključno s čezmejnimi izmenjavami. Ta razvoj je privedel do razširitve okolja kibernetskih groženj, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv kibernetskih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Posledično lahko kibernetski incidenti ovirajo gospodarske dejavnosti na notranjem trgu, ustvarjajo finančne izgube, slabijo zaupanje uporabnikov ter povzročajo veliko škodo gospodarstvu in družbi Unije. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj pomembnejši za ustrezno delovanje notranjega trga kot kdaj koli prej.	(3) Omrežja in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe, vključno s čezmejnimi izmenjavami. Ta razvoj je privedel do razširitve okolja kibernetskih groženj, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv kibernetskih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Posledično lahko kibernetski incidenti ovirajo gospodarske dejavnosti na notranjem trgu, ustvarjajo finančne izgube, slabijo zaupanje uporabnikov ter povzročajo veliko škodo gospodarstvu Unije, delovanju naše demokracije ter vrednotam in svobodi, na katerih temelji naša družba. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj pomembnejši za varnost Unije in ustrezno delovanje notranjega trga kot kdaj koli prej, ob upoštevanju digitalne preobrazbe vsakodnevnih dejavnosti po Uniji. Za to je potrebno tesnejše sodelovanje organov v državah članicah in med njimi, pa tudi med nacionalnimi organi in pristojnimi organi Unije.

Predlog spremembe 4

Predlog direktive

Uvodna izjava 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(5) Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih standardov. Ta direktiva je namenjena odpravi tako velikih razlik med državami članicami, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi v posameznih državah članicah, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in sankcij, ki so ključni za učinkovito izvrševanje navedenih obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo.	(5) Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih standardov. Ne nazadnje lahko te razlike privedejo do večje ranljivosti nekaterih držav članic za kibernetske grožnje, kar lahko povzroči učinke prelivanja po vsej Uniji, tako glede njenega notranjega trga kot skupne varnosti. Ta direktiva je namenjena odpravi tako velikih razlik med državami članicami, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje v realnem času med pristojnimi organi v posameznih državah članicah in med pristojnimi organi posameznih držav članic, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in sankcij, ki so ključni za učinkovito izvrševanje navedenih obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo.

Predlog spremembe 5

Predlog direktive

Uvodna izjava 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(6) Ta direktiva ne vpliva na zmožnost držav članic, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese svoje varnosti, javni red in javno varnost ter omogočijo preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. V skladu s členom 346 PDEU nobena država članica ni dolžna dajati informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene javne varnosti. V tem smislu so pomembni nacionalna pravila in pravila Unije za varovanje tajnih podatkov, sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol)14.	(6) Ta direktiva ne vpliva na zmožnost držav članic, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese svoje državne varnosti, javni red in javno varnost ter omogočijo preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. V skladu s členom 346 PDEU nobena država članica ni dolžna dajati informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene javne varnosti. V tem smislu so pomembni nacionalna pravila in pravila Unije za varovanje tajnih podatkov, sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol)14.
__________________	__________________
14 Semaforski protokol je sredstvo, s katerim nekdo, ki izmenjuje informacije, obvesti svoje ciljne skupine o morebitnih omejitvah pri nadaljnjem širjenju teh informacij. Uporablja se v skoraj vseh skupnostih CSIRT ter nekaterih centrih za izmenjavo in analizo informacij.	14 Semaforski protokol je sredstvo, s katerim nekdo, ki izmenjuje informacije, obvesti svoje ciljne skupine o morebitnih omejitvah pri nadaljnjem širjenju teh informacij. Uporablja se v skoraj vseh skupnostih CSIRT ter nekaterih centrih za izmenjavo in analizo informacij.

Predlog spremembe 6

Predlog direktive

Uvodna izjava 8


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(8) V skladu z Direktivo (EU) 2016/1148 so bile države članice odgovorne za določanje, kateri subjekti izpolnjujejo merila, v skladu s katerimi se štejejo za izvajalce bistvenih storitev („postopek določitve“). Za odpravo velikih razlik med državami članicami v zvezi s tem in zagotovitev pravne varnosti za zahteve glede obvladovanja tveganj in obveznosti poročanja za vse ustrezne subjekte bi bilo treba določiti enotno merilo, ki bi določalo, kateri subjekti spadajo na področje uporabe te direktive. Navedeno merilo bi moralo vključevati uporabo pravila omejitve velikosti, v skladu s katerim na področje uporabe te direktive spadajo vsa srednja in velika podjetja, kot so opredeljena v Priporočilu Komisije 2003/361/ES15, ki delujejo v sektorjih ali opravljajo vrsto storitev, zajetih s to direktivo. Od držav članice se ne bi smelo zahtevati, naj pripravijo seznam subjektov, ki izpolnjujejo to splošno veljavno merilo, povezano v velikostjo.	(8) Odgovornost držav članic v skladu z Direktivo (EU) 2016/1148, po kateri so bile države članice odgovorne za določanje, kateri subjekti izpolnjujejo merila, v skladu s katerimi se štejejo za izvajalce bistvenih storitev („postopek določitve“), je vodila k velikim razlikam med njimi v zvezi s tem. Brez poseganja v posebne izjeme iz te direktive bi bilo treba določiti enotno merilo, ki bi določalo, kateri subjekti spadajo na področje uporabe te direktive, da se odpravijo te razlike in zagotovi pravna varnost v zvezi z zahtevami glede obvladovanja tveganja in obveznostmi poročanja za vse zadevne subjekte. Navedeno merilo bi moralo vključevati uporabo pravila omejitve velikosti, v skladu s katerim na področje uporabe te direktive spadajo vsa srednja in velika podjetja, kot so opredeljena v Priporočilu Komisije 2003/361/ES15, ki delujejo v sektorjih ali opravljajo vrsto storitev, zajetih s to direktivo. Od držav članice se ne bi smelo zahtevati, naj pripravijo seznam subjektov, ki izpolnjujejo to splošno veljavno merilo, povezano v velikostjo.
__________________	__________________
15 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).	15 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).

Predlog spremembe 7

Predlog direktive

Uvodna izjava 8 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(8 a) Ob upoštevanju razlik v nacionalnih okvirih javne uprave države članice ohranijo popolno zmogljivost odločanja v zvezi z določanjem subjektov javne uprave v okviru te direktive.

Predlog spremembe 8

Predlog direktive

Uvodna izjava 9


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev. Države članice bi morale biti odgovorne za pripravo seznama takih subjektov in ga predložiti Komisiji.	(9) S to direktivo bi morali biti zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev na podlagi ocene tveganja, vključno s subjekti, ki so opredeljeni kot kritični subjekti ali subjekti, enakovredni ključnim subjektom, v skladu z Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta1a. Države članice bi morale biti odgovorne za pripravo seznama takih subjektov in ga predložiti Komisiji.
	__________________
	1a Direktiva (EU) [XXX/XXX] Evropskega parlamenta in Sveta z dne XXX o odpornosti kritičnih subjektov (UL...).

Predlog spremembe 9

Predlog direktive

Uvodna izjava 10


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(10) Komisija lahko v sodelovanju s skupino za sodelovanje izda smernice o izvajanju meril, ki se uporabljajo za mikro in mala podjetja.	(10) Komisija bi morala v sodelovanju s skupino za sodelovanje izdati smernice o izvajanju meril, ki se uporabljajo za mikro- in male subjekte.

Predlog spremembe 10

Predlog direktive

Uvodna izjava 12


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(12) Sektorska zakonodaja in sektorski instrumenti lahko prispevajo k zagotavljanju visokih ravni kibernetske varnosti, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Če sektorski pravni akt Unije določa, da morajo bistveni in pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali priglasiti incidente ali pomembne kibernetske grožnje, ki imajo vsaj enak učinek kot obveznosti, določene v tej direktivi, bi se morale uporabljati navedene sektorske določbe, vključno z določbami o nadzoru in izvrševanju. Komisija lahko izda smernice v zvezi z izvajanjem lex specialis. Ta direktiva ne izključuje sprejetja dodatnih sektorskih aktov Unije, ki obravnavajo ukrepe za obvladovanje tveganj za kibernetsko varnost in priglasitve incidentov. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometnim in energetskim.	(12) Sektorska zakonodaja in sektorski instrumenti lahko prispevajo k zagotavljanju visokih ravni kibernetske varnosti, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Če sektorski pravni akt Unije določa, da morajo bistveni in pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali priglasiti incidente ali pomembne kibernetske grožnje, ki imajo vsaj enak učinek kot obveznosti, določene v tej direktivi, bi se morale uporabljati navedene sektorske določbe, vključno z določbami o nadzoru in izvrševanju. Komisija bi morala izdati smernice v zvezi z izvajanjem lex specialis. Ta direktiva ne izključuje sprejetja dodatnih sektorskih aktov Unije, ki obravnavajo ukrepe za obvladovanje tveganj za kibernetsko varnost in priglasitve incidentov. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometnim in energetskim.

Predlog spremembe 11

Predlog direktive

Uvodna izjava 14


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(14) Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta17 in to direktivo. Za dosego tega bi morale države članice zagotoviti, da se kritični subjekti in enakovredni subjekti v skladu z Direktivo (EU) XXX/XXX štejejo za bistvene subjekte po tej direktivi. Države članice bi morale tudi zagotoviti, da njihove strategije za kibernetsko varnost določajo okvir politike za okrepljeno usklajevanje med pristojnim organom iz te direktive in pristojnim organom iz Direktive (EU) XXX/XXX v okviru izmenjave informacij o incidentih in kibernetskih grožnjah ter izvajanja nadzornih nalog. Organi iz obeh direktiv bi morali sodelovati in si izmenjevati informacije, zlasti v zvezi z določanjem kritičnih subjektov, kibernetskimi grožnjami, tveganji za kibernetsko varnost in incidenti, ki vplivajo na kritične subjekte, ter o ukrepih za kibernetsko varnost, ki jih sprejmejo kritični subjekti. Na zahtevo pristojnih organov iz Direktive (EU) XXX/XXX bi moralo biti pristojnim organom iz te direktive omogočeno izvajanje nadzornih in izvršilnih pooblastil v zvezi z bistvenim subjektom, ki je opredeljen kot kritičen. Oboji organi bi morali v ta namen sodelovati in si izmenjevati informacije.	(14) Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta17 in to direktivo, kadar je to mogoče in ustrezno. Za dosego tega bi morale države članice zagotoviti, da se kritični subjekti in enakovredni subjekti v skladu z Direktivo (EU) XXX/XXX štejejo za bistvene subjekte po tej direktivi. Države članice bi morale tudi zagotoviti, da njihove strategije za kibernetsko varnost določajo okvir politike za okrepljeno usklajevanje med pristojnimi organi v državah članicah in med njimi iz te direktive in pristojnimi organi iz Direktive (EU) XXX/XXX v okviru izmenjave informacij o incidentih in kibernetskih grožnjah ter izvajanja nadzornih nalog. Organi iz obeh direktiv v državah članicah in med njimi bi morali sodelovati in si izmenjevati informacije, zlasti v zvezi z določanjem kritičnih subjektov, kibernetskimi grožnjami, tveganji za kibernetsko varnost in incidenti, ki vplivajo na kritične subjekte, ter o ukrepih za kibernetsko varnost, ki jih sprejmejo pristojni organi iz te direktive, pomembni za kritične subjekte. Na zahtevo pristojnih organov iz Direktive (EU) XXX/XXX bi moralo biti pristojnim organom iz te direktive omogočeno ocenjevanje kibernetske varnosti bistvenega subjekta, ki je opredeljen kot kritičen. Oboji organi bi morali v ta namen sodelovati in si izmenjevati informacije v realnem času.
__________________	__________________
17 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	17 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 12

Predlog direktive

Uvodna izjava 18


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(18) Storitve, ki jih ponujajo ponudniki storitev podatkovnih centrov, se morda ne zagotavljajo vedno v obliki storitve računalništva v oblaku. Zato podatkovni centri morda niso vedno del infrastrukture računalništva v oblaku. Za obvladovanje vseh tveganj za varnost omrežij in informacijskih sistemov bi morala ta direktiva zajemati tudi ponudnike takih storitev podatkovnih centrov, ki niso storitve računalništva v oblaku. V tej direktivi bi moral izraz „storitev podatkovnega centra“ zajemati opravljanje storitve, ki vključuje strukture ali skupine struktur, namenjene centralizirani namestitvi, medsebojnemu povezovanju in delovanju opreme za informacijsko tehnologijo in omrežne opreme, za shranjevanje, obdelavo in prenos podatkov skupaj z vsemi zmogljivostmi in infrastrukturami za distribucijo električne energije in okoljski nadzor. Izraz „storitev podatkovnega centra“ se ne nanaša na podatkovne centre v podjetjih, ki so v lasti zadevnega subjekta, ki jih upravlja za lastne namene.	(18) Storitve, ki jih ponujajo ponudniki storitev podatkovnih centrov, se morda ne zagotavljajo vedno v obliki storitve računalništva v oblaku. Zato podatkovni centri morda niso vedno del infrastrukture računalništva v oblaku. Za obvladovanje vseh tveganj za kibernetsko varnost bi morala ta direktiva zajemati tudi ponudnike takih storitev podatkovnih centrov, ki niso storitve računalništva v oblaku. V tej direktivi bi moral izraz „storitev podatkovnega centra“ zajemati opravljanje storitve, ki vključuje strukture ali skupine struktur, namenjene centralizirani namestitvi, medsebojnemu povezovanju in delovanju opreme za informacijsko tehnologijo in omrežne opreme, za shranjevanje, obdelavo in prenos podatkov skupaj z vsemi zmogljivostmi in infrastrukturami za distribucijo električne energije in okoljski nadzor. Izraz „storitev podatkovnega centra“ se ne nanaša na podatkovne centre v podjetjih, ki so v lasti zadevnega subjekta, ki jih upravlja za lastne namene.

Predlog spremembe 13

Predlog direktive

Uvodna izjava 20


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Pandemija COVID-19 je razkrila šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.	(20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, proizvodnje, predelave in distribucije živil, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Okrepljeni napadi na informacijske sisteme med pandemijo covida-19 so razkrili šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo. Zato so potrebne nadaljnje naložbe v kibernetsko varnost.

Predlog spremembe 14

Predlog direktive

Uvodna izjava 20 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(20a) Ključnega pomena je, da se povečata kibernetska ozaveščenost in odpornost v vseh kritičnih in pomembnih subjektih, tudi v subjektih javne uprave.

Predlog spremembe 15

Predlog direktive

Uvodna izjava 21


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(21) Glede na razlike v nacionalnih strukturah upravljanja in zaradi varovanja že obstoječih sektorskih dogovorov ali nadzornih in regulativnih organov Unije bi morale imeti države članice možnost imenovati več kot en pristojni nacionalni organ, odgovoren za izvajanje nalog, povezanih z varnostjo omrežij in informacijskih sistemov bistvenih in pomembnih subjektov po tej direktivi. Države članice bi morale imeti možnost, da to vlogo dodelijo obstoječemu organu.	(21) Glede na razlike v nacionalnih strukturah upravljanja in zaradi varovanja že obstoječih sektorskih dogovorov ali nadzornih in regulativnih organov Unije bi morale imeti države članice možnost imenovati več kot en pristojni nacionalni organ, odgovoren za izvajanje nalog, povezanih z varnostjo omrežij in informacijskih sistemov bistvenih in pomembnih subjektov po tej direktivi. Države članice bi morale imeti možnost, da to vlogo dodelijo obstoječemu organu in zagotovijo, da ima ta organ na voljo ustrezne vire za učinkovito in uspešno izpolnjevanje svojih nalog.

Predlog spremembe 16

Predlog direktive

Uvodna izjava 22


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(22) Za zagotavljanje lažjega čezmejnega sodelovanja in komunikacije med organi ter za učinkovito izvajanje te direktive je nujno, da vsaka država članica imenuje nacionalno enotno kontaktno točko, odgovorno za usklajevanje vprašanj v zvezi z varnostjo omrežij in informacijskih sistemov ter za čezmejno sodelovanje na ravni Unije.	(22) Za zagotavljanje lažjega čezmejnega sodelovanja in komunikacije med organi ter za učinkovito izvajanje te direktive je nujno, da vsaka država članica imenuje nacionalno enotno kontaktno točko, odgovorno za usklajevanje vprašanj v zvezi s kibernetsko varnostjo ter za čezmejno sodelovanje na ravni Unije.

Predlog spremembe 17

Predlog direktive

Uvodna izjava 23


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(23) Pristojni organi ali skupine CSIRT bi morali od subjektov učinkovito in uspešno prejeti priglasitve incidentov. Enotne kontaktne točke bi morale biti zadolžene za posredovanje priglasitev incidentov enotnim kontaktnim točkam drugih prizadetih držav članic. Da bi se zagotovila ena enotna vstopna točka v vsaki državi članici, bi morale enotne kontaktne točke na ravni organov držav članic tudi prejemati ustrezne informacije o incidentih v zvezi s subjekti finančnega sektorja od pristojnih organov iz Uredbe XXXX/XXXX, ki bi jih morale biti sposobne posredovati, če je ustrezno, ustreznim pristojnim nacionalnim organom ali skupinam CSIRT po tej direktivi.	(23) Pristojni organi ali skupine CSIRT bi morali od subjektov učinkovito in uspešno prejeti priglasitve incidentov. Enotne kontaktne točke bi morale biti zadolžene za posredovanje priglasitev incidentov v realnem času enotnim kontaktnim točkam vseh drugih prizadetih držav članic. Da bi se zagotovila ena enotna vstopna točka v vsaki državi članici, bi morale enotne kontaktne točke na ravni organov držav članic tudi prejemati ustrezne informacije o incidentih v zvezi s subjekti finančnega sektorja od pristojnih organov iz Uredbe XXXX/XXXX, ki bi jih morale biti sposobne posredovati, če je ustrezno, ustreznim pristojnim nacionalnim organom ali skupinam CSIRT po tej direktivi.

Predlog spremembe 18

Predlog direktive

Uvodna izjava 25


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(25) Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta19 v imenu in na zahtevo subjekta po tej direktivi zagotovijo proaktvini pregled omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje storitev subjektov. Države članice bi si morale prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice lahko pri oblikovanju nacionalnih skupin CSIRT zaprosijo za pomoč Agencijo Evropske unije za kibernetsko varnost (ENISA).	(25) Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta19 in Direktivo 2002/58/ES v imenu in na zahtevo subjekta po tej direktivi zagotovijo varnostni pregled informacijskih sistemov in obsega, ki se uporabljajo za opravljanje storitev subjektov, da se zaznajo, zmanjšajo ali preprečijo konkretne nevarnosti. Države članice bi si morale prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice lahko pri oblikovanju nacionalnih skupin CSIRT zaprosijo za pomoč Agencijo Evropske unije za kibernetsko varnost (ENISA). Poleg tega tveganja za kibernetsko varnost nikoli ne bi smela biti izgovor za kršenje temeljnih pravic.
__________________	__________________
19 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).	19 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

Predlog spremembe 19

Predlog direktive

Uvodna izjava 27


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.	(27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga, ali pomenijo resna tveganja za javno varnost v več državah članicah ali Uniji kot celoti. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji. Države članice bi morale spremljati način izvajanja pravil EU, se v primeru čezmejnih težav medsebojno podpirati, vzpostaviti bolj strukturiran dialog z zasebnim sektorjem ter sodelovati pri varnostnih tveganjih in grožnjah, povezanih z novimi tehnologijami, kot je bilo v primeru tehnologije 5G.
__________________	__________________
20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).	20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).

Predlog spremembe 20

Predlog direktive

Uvodna izjava 33


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(33) Skupina za sodelovanje bi morala pri pripravi smernic dosledno: evidentirati nacionalne rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil.	(33) Skupina za sodelovanje bi morala pri pripravi smernic dosledno: evidentirati nacionalne in sektorske rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne in sektorske pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil.

Predlog spremembe 21

Predlog direktive

Uvodna izjava 34


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu povabila organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Evropski center za boj proti kibernetski kriminaliteti (EC3), Agencija Evropske unije za varnost v letalstvu (EASA) in Agencija Evropske unije za vesoljski program (EUSPA).	(34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina k sodelovanju pri svojem delu povabiti ustrezne organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, zlasti Europol, Agencijo Evropske unije za varnost v letalstvu (EASA) in Agencijo Evropske unije za vesoljski program (EUSPA).

Predlog spremembe 22

Predlog direktive

Uvodna izjava 36


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(36) Unija bi morala, kjer je ustrezno, v skladu s členom 218 PDEU skleniti mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki bi omogočali in urejali njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje in mreže skupin CSIRT. Taki sporazumi bi morali zagotoviti ustrezno varstvo podatkov.	(36) Unija bi morala, kjer je ustrezno, v skladu s členom 218 PDEU skleniti mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki bi omogočali in urejali njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje in mreže skupin CSIRT. Če se osebni podatki posredujejo tretji državi ali mednarodni organizaciji, bi bilo treba uporabiti poglavje V Uredbe (EU) 2016/679.

Predlog spremembe 23

Predlog direktive

Uvodna izjava 37


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(37) Države članice bi morale prispevati k vzpostavitvi okvira EU za odzivanje na krize na področju kibernetske varnosti, določenega v Priporočilu (EU) 2017/1584, z obstoječimi mrežami za sodelovanje, zlasti organizacijsko mrežo za povezovanje v kibernetski krizi (EU-CyCLONe), mrežo skupin CSIRT in skupino za sodelovanje. Mreža EU-CyCLONe in mreža skupin CSIRT bi morali sodelovati na podlagi postopkovnih ureditev, v katerih so opredeljeni načini navedenega sodelovanja. V poslovniku mreže EU-CyCLONe bi morali biti podrobneje opredeljeni načini delovanja mreže, med drugim z vlogami, načini sodelovanja, stiki z drugimi ustreznimi akterji in predlogami za izmenjavo informacij ter sredstvi komuniciranja. Za obvladovanje krize na ravni Unije bi se morale ustrezne strani zanašati na enotne ureditve za politično odzivanje na krize (IPCR). Komisija bi morala v ta namen uporabljati postopek medsektorskega kriznega usklajevanja na visoki ravni v okviru sistema ARGUS. Če bo imela kriza znaten vpliv na zunanjo ali skupno varnostno in obrambno politiko (SVOP), bi bilo treba sprožiti mehanizem Evropske službe za zunanje delovanje (ESZD) za krizno odzivanje.	(37) Države članice bi morale prispevati k vzpostavitvi okvira EU za odzivanje na krize na področju kibernetske varnosti, določenega v Priporočilu (EU) 2017/1584, z obstoječimi mrežami za sodelovanje, zlasti organizacijsko mrežo za povezovanje v kibernetski krizi (EU-CyCLONe), mrežo skupin CSIRT in skupino za sodelovanje. Mreža EU-CyCLONe in mreža skupin CSIRT bi morali sodelovati na podlagi postopkovnih ureditev, v katerih so opredeljeni načini navedenega sodelovanja. V poslovniku mreže EU-CyCLONe bi morali biti podrobneje opredeljeni načini delovanja mreže, med drugim z vlogami, načini sodelovanja, stiki z drugimi ustreznimi akterji in predlogami za izmenjavo informacij ter sredstvi komuniciranja. Za obvladovanje krize na ravni Unije bi se morale ustrezne strani zanašati na enotne ureditve za politično odzivanje na krize (IPCR). Komisija bi morala v ta namen uporabljati postopek medsektorskega kriznega usklajevanja na visoki ravni v okviru sistema ARGUS. Če kriza zadeva dve ali več držav članic in se sumi, da je kazenske narave, bi bilo treba razmisliti o aktiviranju protokola EU za nujno odzivanje na izredne razmere na področju kazenskega pregona. Če bo imela kriza znaten vpliv na zunanjo ali skupno varnostno in obrambno politiko (SVOP), bi bilo treba sprožiti mehanizem Evropske službe za zunanje delovanje (ESZD) za krizno odzivanje.

Predlog spremembe 24

Predlog direktive

Uvodna izjava 45


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(45) Subjekti bi morali obravnavati tudi tveganja za kibernetsko varnost, ki izhajajo iz njihovih stikov in odnosov z drugimi zainteresiranimi stranmi v okviru širšega ekosistema. Subjekti bi morali zlasti sprejeti ustrezne ukrepe za zagotovitev, da njihovo sodelovanje z akademskimi in raziskovalnimi ustanovami poteka v skladu z njihovimi politikami na področju kibernetske varnosti, ob upoštevanju dobrih praks v zvezi z varnim dostopom in razširjanjem informacij na splošno ter še posebno z varstvom intelektualne lastnine. Podobno bi morali subjekti glede na pomen in vrednost podatkov za dejavnosti subjektov pri uporabi storitev pretvorbe podatkov in podatkovne analitike, ki jih opravljajo tretje osebe, sprejeti vse ustrezne ukrepe za kibernetsko varnost.	(45) Subjekti bi morali obravnavati tudi tveganja za kibernetsko varnost, ki izhajajo iz njihovih stikov in odnosov z drugimi zainteresiranimi stranmi v okviru širšega ekosistema. Subjekti bi morali zlasti sprejeti ustrezne ukrepe za zagotovitev, da njihovo sodelovanje z akademskimi in raziskovalnimi ustanovami poteka v skladu z njihovimi politikami na področju kibernetske varnosti, ob upoštevanju dobrih praks v zvezi z varnim dostopom in razširjanjem informacij na splošno ter še posebno z varstvom intelektualne lastnine. Podobno bi morali subjekti glede na pomen in vrednost podatkov za dejavnosti subjektov pri uporabi storitev pretvorbe podatkov in podatkovne analitike, ki jih opravljajo tretje osebe, sprejeti vse ustrezne ukrepe za kibernetsko varnost ter poročati o vseh potencialnih kibernetskih napadih, ki jih odkrijejo.

Predlog spremembe 25

Predlog direktive

Uvodna izjava 46 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(46a) Posebno pozornost bi bilo treba nameniti dejstvu, da bi lahko storitve, sistemi ali proizvodi IKT, za katere veljajo posebne zahteve v državi izvora, predstavljali oviro za skladnost z zakonodajo EU o zasebnosti in varstvu podatkov. Po potrebi bi se bilo treba v okviru takšnih ocen tveganja posvetovati z Evropskim odborom za varstvo podatkov. Brezplačna in odprtokodna programska oprema ter odprtokodna strojna oprema bi lahko prinesli velike koristi v smislu kibernetske varnosti, zlasti kar zadeva preglednost in preverljivost funkcij. Ker bi lahko tako lažje obravnavali in ublažili posebna tveganja v dobavni verigi, bi morala njuna uporaba imeti prednost, kadar je to izvedljivo v skladu z Mnenjem 5/2021 Evropskega nadzornika za varstvo podatkov1a.
	__________________
	1a Mnenje 5/2021 Evropskega nadzornika za varstvo podatkov o strategiji za kibernetsko varnost in direktivi o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, 11. marec 2021.

Predlog spremembe 26

Predlog direktive

Uvodna izjava 47


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov.	(47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, ki bi jih morala usklajevalna skupina dodatno opredeliti in ki vključujejo dejavnike, opredeljene v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov.

Predlog spremembe 27

Predlog direktive

Uvodna izjava 48 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(48a) Mala in srednja podjetja (MSP) pogosto niso dovolj velika in nimajo dovolj virov za izpolnjevanje raznolikih in rastočih potreb po kibernetski varnosti v medsebojno povezanem svetu, v katerem se čedalje več dela na daljavo. Države članice bi zato morale v svojih nacionalnih strategijah za kibernetsko varnost obravnavati smernice in podporo za MSP.

Predlog spremembe 28

Predlog direktive

Uvodna izjava 50


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(50) Glede na vedno večji pomen medosebnih komunikacijskih storitev, neodvisnih od številke, je treba zagotoviti, da se tudi za take storitve uporabljajo ustrezne varnostne zahteve, ob upoštevanju njihove posebne narave in gospodarskega pomena. Ponudniki takih storitev bi torej prav tako morali zagotoviti raven varnosti omrežij in informacijskih sistemov, primerno obstoječemu tveganju. Ker ponudniki medosebnih komunikacijskih storitev, neodvisnih od številke, običajno nimajo dejanskega nadzora nad prenosom signalov prek omrežja, je mogoče raven tveganja za take storitve v nekaterih pogledih šteti za manjšo kot pri tradicionalnih elektronskih komunikacijskih storitvah. Enako velja za medosebne komunikacijske storitve, ki uporabljajo številke in nimajo dejanskega nadzora nad prenosom signalov.	(50) Glede na vedno večji pomen medosebnih komunikacijskih storitev, neodvisnih od številke, je treba zagotoviti, da se tudi za take storitve uporabljajo ustrezne varnostne zahteve, ob upoštevanju njihove posebne narave in gospodarskega pomena. Ponudniki takih storitev bi torej prav tako morali zagotoviti raven kibernetske varnosti, primerno obstoječemu tveganju. Ker ponudniki medosebnih komunikacijskih storitev, neodvisnih od številke, običajno nimajo dejanskega nadzora nad prenosom signalov prek omrežja, je mogoče raven tveganja za take storitve v nekaterih pogledih šteti za manjšo kot pri tradicionalnih elektronskih komunikacijskih storitvah. Enako velja za medosebne komunikacijske storitve, ki uporabljajo številke in nimajo dejanskega nadzora nad prenosom signalov.

Predlog spremembe 29

Predlog direktive

Uvodna izjava 52


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(52) Kjer je ustrezno, bi morali subjekti obvestiti prejemnike storitev o specifičnih in pomembnih grožnjah ter ukrepih, ki jih lahko sprejmejo za ublažitev posledičnega tveganja za njih same. Zahteva glede obveščanja zadevnih prejemnikov o takih grožnjah subjektov ne bi smela odvezati obveznosti, da na svoje stroške sprejmejo ustrezne in takojšnje ukrepe za preprečevanje ali odpravo vseh kibernetskih groženj in ponovno vzpostavitev običajne ravni varnosti storitve. Zagotavljanje takih informacij o varnostnih grožnjah prejemnikom bi moralo biti brezplačno.	(52) Kjer je ustrezno, bi moralo biti subjektom omogočeno, da obvestijo prejemnike storitev o specifičnih in pomembnih grožnjah ter ukrepih, ki jih lahko sprejmejo za ublažitev posledičnega tveganja za njih same. Zahteva glede obveščanja zadevnih prejemnikov o takih grožnjah subjektov ne bi smela odvezati obveznosti, da na svoje stroške sprejmejo ustrezne in takojšnje ukrepe za preprečevanje ali odpravo vseh kibernetskih groženj in ponovno vzpostavitev običajne ravni varnosti storitve. Zagotavljanje takih informacij o varnostnih grožnjah prejemnikom bi moralo biti brezplačno.

Predlog spremembe 30

Predlog direktive

Uvodna izjava 53


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(53) Zlasti bi morali ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev prejemnike storitve obvestiti o specifičnih in pomembnih kibernetskih grožnjah ter ukrepih, ki jih lahko sprejmejo za zagotovitev varnosti svojih komunikacij, na primer z uporabo posebnih vrst programske opreme ali tehnologij šifriranja.	(53) Zlasti bi morali ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev izvajati vgrajeno in privzeto varnost ter imeti možnost prejemnike storitve obvestiti o specifičnih in pomembnih kibernetskih grožnjah ter ukrepih, ki jih lahko sprejmejo za zagotovitev varnosti svojih naprav in komunikacij, na primer z uporabo posebnih vrst programske opreme ali tehnologij šifriranja. Da bi povečali varnost strojne in programske opreme, bi bilo treba ponudnike spodbujati k uporabi odprtokodne in odprte strojne opreme.

Predlog spremembe 31

Predlog direktive

Uvodna izjava 54


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(54) Za zaščito varnosti elektronskih komunikacijskih omrežij in storitev bi bilo treba spodbujati uporabo šifriranja, zlasti šifriranja od konca do konca, ki bi morala biti po potrebi obvezna za ponudnike takih storitev in omrežij v skladu z načeloma privzete in vgrajene varnosti ter zasebnosti za namene člena 18. Uporabo šifriranja od konca do konca bi bilo treba uskladiti s pooblastili države članice, da zagotovi zaščito svojih bistvenih varnostnih interesov in javne varnosti ter dovoli preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. Pri rešitvah za zakonit dostop do informacij v komunikacijah, šifriranih od konca do konca, bi se morala ohraniti učinkovitost šifriranja pri varovanju zasebnosti in varnosti komunikacij ter hkrati zagotoviti učinkovit odziv na kazniva dejanja.	(54) Za zaščito varnosti elektronskih komunikacijskih omrežij in storitev ter temeljne pravice do zasebnosti bi bilo treba spodbujati uporabo šifriranja, zlasti šifriranja od konca do konca, ki bi morala biti po potrebi obvezna za ponudnike takih storitev in omrežij v skladu z načeloma privzete in vgrajene varnosti ter zasebnosti za namene člena 18. Uporabo šifriranja od konca do konca bi bilo treba uskladiti z odgovornostjo države članice, da zagotovi zaščito svojih bistvenih varnostnih interesov in javne varnosti ter dovoli preprečevanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije in nacionalnim pravom. Pri rešitvah za zakonit dostop do informacij v komunikacijah, šifriranih od konca do konca, bi se morala ohraniti učinkovitost šifriranja pri varovanju zasebnosti in varnosti komunikacij. Noben del te uredbe se ne bi smel obravnavati kot poskus oslabitve šifriranja od konca do konca s „stranskimi vrati“ ali podobnimi rešitvami, saj se lahko pomanjkljivo šifriranje izkoristi za zlonamerne namene. Vsi ukrepi, ki povzročajo oslabitev šifriranja ali zaobidejo arhitekturo tehnologije, lahko povzročijo znatno tveganje za njihove zmogljivosti učinkovite zaščite. Prepovedati bi bilo treba vsako nepooblaščeno dešifriranje ali nadzor elektronskih komunikacij, ki ga ne izvajajo pravni organi, da bi zagotovili učinkovitost tehnologije in njeno širšo uporabo. Pomembno je, da države članice obravnavajo težave, s katerimi se soočajo pravni organi in tisti, ki raziskujejo ranljivosti. V nekaterih državah članicah so subjekti in fizične osebe, ki raziskujejo ranljivosti, izpostavljeni kazenski in civilni odgovornosti. Zato se države članice spodbuja, naj izdajo smernice za nepreganjanje in neodgovornost raziskav na področju informacijske varnosti.

Predlog spremembe 32

Predlog direktive

Uvodna izjava 56


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(56) Bistveni in pomembni subjekti so pogosto v položaju, ko je treba zaradi obveznosti priglasitve, vključenih v različne pravne instrumente, o določenem incidentu zaradi njegovih značilnosti poročati različnim organom. Taki primeri ustvarjajo dodatna bremena in lahko tudi privedejo do negotovosti v zvezi z obliko in postopki takih priglasitev. Glede na navedeno in za poenostavitev poročanja o varnostnih incidentih bi morale države članice vzpostaviti enotno vstopno točko za vse priglasitve, ki se zahtevajo v skladu s to direktivo in tudi drugo zakonodajo Unije, kot sta Uredba (EU) 2016/679 in Direktiva 2002/58/ES. Agencija ENISA bi morala v sodelovanju s skupino za sodelovanje s smernicami oblikovati skupne predloge za priglasitev, s katerimi bi se poenostavile in racionalizirale informacije za poročanje, ki se zahtevajo s pravom Unije, ter zmanjšala bremena za podjetja.	(56) Bistveni in pomembni subjekti so pogosto v položaju, ko je treba zaradi obveznosti priglasitve, vključenih v različne pravne instrumente, o določenem incidentu zaradi njegovih značilnosti poročati različnim organom. Taki primeri ustvarjajo dodatna bremena in lahko tudi privedejo do negotovosti v zvezi z obliko in postopki takih priglasitev. Glede na navedeno in za poenostavitev poročanja o varnostnih incidentih bi morale države članice vzpostaviti enotno vstopno točko, ki se zahteva v skladu s to direktivo in tudi drugo zakonodajo Unije, kot sta Uredba (EU) 2016/679 in Direktiva 2002/58/ES. Agencija ENISA bi morala v sodelovanju s skupino za sodelovanje in Evropskim odborom za varstvo podatkov s smernicami oblikovati skupne predloge za priglasitev, s katerimi bi se poenostavile in racionalizirale informacije za poročanje, ki se zahtevajo s pravom Unije, ter zmanjšala bremena za podjetja.

Predlog spremembe 33

Predlog direktive

Uvodna izjava 57


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(57) V primeru suma, da je incident povezan s hudimi kaznivimi dejanji po pravu Unije ali nacionalnem pravu, bi morale države članice bistvene in pomembne subjekte na podlagi veljavnih pravil o kazenskem postopku v skladu s pravom Unije spodbujati, da incident, za katerega sumijo, da je hudo kaznivo dejanje, prijavijo ustreznim organom kazenskega pregona. Kjer je ustrezno in brez poseganja v pravila o varstvu osebnih podatkov, ki se uporabljajo za Europol, je zaželeno, da Evropski center za boj proti kibernetski kriminaliteti (EC3) in agencija ENISA olajšata usklajevanje med pristojnimi organi in organi kazenskega pregona različnih držav članic.	(57) V primeru suma, da je incident povezan s hudimi kaznivimi dejanji po pravu Unije ali nacionalnem pravu, bi morale države članice bistvene in pomembne subjekte na podlagi veljavnih pravil o kazenskem postopku v skladu s pravom Unije spodbujati, da incident, za katerega sumijo, da je hudo kaznivo dejanje, prijavijo ustreznim organom kazenskega pregona. Kjer je ustrezno in brez poseganja v pravila o varstvu osebnih podatkov, ki se uporabljajo za Europol, je zaželeno, da Evropski center za boj proti kibernetski kriminaliteti (EC3) pri Europolu in agencija ENISA olajšata usklajevanje med pristojnimi organi in organi kazenskega pregona različnih držav članic.

Predlog spremembe 34

Predlog direktive

Uvodna izjava 58


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(58) V številnih primerih je zaradi incidentov ogrožena varnost osebnih podatkov. V tem okviru bi morali pristojni organi v skladu z Direktivo 2002/58/ES sodelovati in si izmenjevati informacije o vseh pomembnih zadevah z organi za varstvo podatkov in nadzornimi organi.	(58) V številnih primerih je zaradi incidentov ogrožena varnost osebnih podatkov. V tem okviru bi morali pristojni organi v skladu z Uredbo (EU) 2016/679 in Direktivo 2002/58/ES sodelovati in si izmenjevati informacije o vseh pomembnih zadevah z organi za varstvo podatkov in nadzornimi organi.

Predlog spremembe 35

Predlog direktive

Uvodna izjava 59


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(59) Vzdrževanje točnih in popolnih podatkovnih zbirk domenskih imen in podatkov o registraciji (tako imenovani podatki „WHOIS“) ter omogočanje zakonitega dostopa do takih podatkov sta bistveni za zagotavljanje varnosti, stabilnosti in odpornosti sistema domenskih imen, kar posledično prispeva k višji skupni ravni kibernetske varnosti v Uniji. Če obdelava vključuje osebne podatke, mora biti taka obdelava skladna s pravom Unije o varstvu podatkov.	(59) Vzdrževanje točnih in popolnih podatkovnih zbirk domenskih imen in podatkov o registraciji (tako imenovani podatki „WHOIS“) ter omogočanje zakonitega dostopa do takih podatkov sta bistveni za zagotavljanje varnosti, stabilnosti in odpornosti sistema domenskih imen, kar posledično prispeva k višji skupni ravni kibernetske varnosti v Uniji. Če obdelava vključuje osebne podatke, mora biti taka obdelava skladna z veljavnim pravom Unije o varstvu podatkov.

Predlog spremembe 36

Predlog direktive

Uvodna izjava 62


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(62) Registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, bi morali objaviti podatke o registraciji domenskih imen, ki ne spadajo na področje uporabe pravil Unije o varstvu podatkov, kot so podatki, ki se nanašajo na pravne osebe25. Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, bi morali v skladu s pravom Unije o varstvu podatkov zakonit dostop do podatkov o registraciji posameznih domenskih imen v zvezi s fizičnimi osebami omogočiti tudi osebam, ki imajo upravičen razlog za dostop. Države članice bi morale zagotoviti, da se registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, brez nepotrebnega odlašanja odzovejo na zahteve oseb, ki imajo upravičen razlog za dostop, glede razkritja podatkov o registraciji domenskih imen. Registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, bi morali vzpostaviti politike in postopke za objavo in razkritje podatkov o registraciji, vključno s sporazumi o ravni storitve, za obravnavanje zahtev oseb za dostop, ki imajo upravičen razlog za dostop. Postopek dostopa lahko vključuje tudi uporabo vmesnika, portala ali drugih tehničnih orodij za zagotovitev učinkovitega sistema za predložitev zahtev in dostopanje do podatkov o registraciji. Komisija lahko za spodbujanje usklajenih praks na notranjem trgu sprejme smernice o takih postopkih brez poseganja v pristojnosti Evropskega odbora za varstvo podatkov.	(62) Registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, bi morali za izpolnitev pravne obveznosti v smislu člena 6(1)(c) in člena 6(3) Uredbe (EU) 2016/679 javno objaviti nekatere podatke o registraciji domenskih imen, ki so določeni v zanje veljavni zakonodaji države članice, kot sta domensko ime in ime pravne osebe. Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, bi morali zakonit dostop do podatkov o registraciji posameznih domenskih imen v zvezi s fizičnimi osebami omogočiti tudi osebam, ki imajo upravičen razlog za dostop, zlasti pristojnim organom v skladu s to direktivo ali nadzornim organom v skladu z Uredbo (EU) 2016//679 v skladu z njihovimi pooblastili. Države članice bi morale zagotoviti, da se registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, brez nepotrebnega odlašanja odzovejo na zakonite in ustrezno utemeljene zahtevke javnih organov, vključno s pristojnimi organi na podlagi te direktive, organi, ki so po pravu Unije ali nacionalnem pravu pristojni za preprečevanje, preiskovanje ali pregon kaznivih dejanj, ali nadzornimi organi na podlagi Uredbe (EU) 2016/679, glede razkritja podatkov o registraciji domenskih imen. Registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, bi morali vzpostaviti politike in postopke za objavo in razkritje podatkov o registraciji, vključno s sporazumi o ravni storitve, za obravnavanje zahtev oseb za dostop, ki imajo upravičen razlog za dostop. Postopek dostopa lahko vključuje tudi uporabo vmesnika, portala ali drugih tehničnih orodij za zagotovitev učinkovitega sistema za predložitev zahtev in dostopanje do podatkov o registraciji. Komisija lahko za spodbujanje usklajenih praks na notranjem trgu sprejme smernice o takih postopkih brez poseganja v pristojnosti Evropskega odbora za varstvo podatkov.
__________________	__________________
25 Uvodna izjava 14 UREDBE (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA, v skladu s katero „[t]a uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe“.

Predlog spremembe 37

Predlog direktive

Uvodna izjava 63


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(63) Vsi bistveni in pomembni subjekti na podlagi te direktive bi morali spadati v sodno pristojnost države članice, kjer opravljajo svoje storitve. Če subjekt opravlja storitve v več kot eni državi članici, bi moral spadati v ločeno in sočasno sodno pristojnost vsake od teh držav članic. Pristojni organi teh držav članic bi morali sodelovati, si medsebojno pomagati in, kjer je ustrezno, izvajati skupne nadzorne ukrepe.	(63) Vsi bistveni in pomembni subjekti na podlagi te direktive bi morali za namene te direktive spadati v sodno pristojnost države članice, kjer opravljajo svoje storitve. Če subjekt opravlja storitve v več kot eni državi članici, bi moral spadati v ločeno in sočasno sodno pristojnost vsake od teh držav članic. Pristojni organi teh držav članic bi se morali dogovoriti o posameznih klasifikacijah, po potrebi sodelovati, si medsebojno pomagati v realnem času in, kjer je ustrezno, izvajati skupne nadzorne ukrepe.

Predlog spremembe 38

Predlog direktive

Uvodna izjava 64


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(64) Da bi se upoštevala čezmejna narava storitev in postopkov ponudnikov storitev sistema domenskih imen, registrov vrhnjih domenskih imen, ponudnikov omrežij za dostavo vsebine, ponudnikov storitev računalništva v oblaku, ponudnikov storitev podatkovnih centrov in ponudnikov digitalnih storitev, bi morala biti za te subjekte pristojna samo ena država članica. Sodno pristojnost bi bilo treba dodeliti državi članici, v kateri ima zadevni subjekt glavni sedež v Uniji. Merilo sedeža za namene te direktive pomeni dejansko izvajanje dejavnosti na podlagi stabilnih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik. Izpolnjevanje tega merila ne bi smelo biti odvisno od tega, ali so omrežja in informacijski sistemi fizično locirani na tistem mestu; prisotnost in uporaba teh sistemov sami po sebi ne pomenita tega glavnega sedeža in zato nista odločilni merili za ugotavljanje glavnega sedeža. Glavni sedež bi moral biti kraj, kjer se v Uniji sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. To običajno ustreza kraju osrednje uprave podjetij v Uniji. Če se take odločitve ne sprejemajo v Uniji, bi bilo treba šteti, da je glavni sedež v državah članicah, kjer ima subjekt sedež z največjim številom zaposlenih v Uniji. Kadar storitve opravljajo povezane družbe, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezanih družb.	(64) Da bi se upoštevala čezmejna narava storitev in postopkov ponudnikov storitev sistema domenskih imen, registrov vrhnjih domenskih imen, ponudnikov omrežij za dostavo vsebine, ponudnikov storitev računalništva v oblaku, ponudnikov storitev podatkovnih centrov in ponudnikov digitalnih storitev, bi morala biti za te subjekte pristojna samo ena država članica. Sodno pristojnost bi bilo treba za namene te direktive dodeliti državi članici, v kateri ima zadevni subjekt glavni sedež v Uniji. Merilo sedeža za namene te direktive pomeni dejansko izvajanje dejavnosti na podlagi stabilnih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik. Izpolnjevanje tega merila ne bi smelo biti odvisno od tega, ali so omrežja in informacijski sistemi fizično locirani na tistem mestu; prisotnost in uporaba teh sistemov sami po sebi ne pomenita tega glavnega sedeža in zato nista odločilni merili za ugotavljanje glavnega sedeža. Glavni sedež bi moral biti kraj, kjer se v Uniji sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. To običajno ustreza kraju osrednje uprave podjetij v Uniji. Če se take odločitve ne sprejemajo v Uniji, bi bilo treba šteti, da je glavni sedež v državah članicah, kjer ima subjekt sedež z največjim številom zaposlenih v Uniji. Kadar storitve opravljajo povezane družbe, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezanih družb.

Predlog spremembe 39

Predlog direktive

Uvodna izjava 69


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(69) Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, ki jo izvajajo subjekti, javni organi, skupine CERT in CSIRT ter ponudniki varnostnih tehnologij in storitev, bi morala pomeniti zakoniti interes zadevnega upravljavca podatkov, kot je navedeno v Uredbi (EU) 2016/679. To bi moralo vključevati ukrepe, povezane s preprečevanjem, odkrivanjem in analizo incidentov ter odzivanjem nanje, ukrepe za ozaveščanje v zvezi s posebnimi kibernetskimi grožnjami, izmenjavo informacij v okviru odpravljanja in usklajenega razkrivanja šibkih točk ter prostovoljno izmenjavo informacij o takih incidentih, pa tudi o kibernetskih grožnjah in šibkih točkah, kazalnikih ogroženosti, taktikah, tehnikah in postopkih, opozorilih glede kibernetske varnosti in orodjih za konfiguracijo. Taki ukrepi lahko zahtevajo obdelavo naslednjih vrst osebnih podatkov: naslovov IP, enotnih naslovov vira (URL), domenskih imen in elektronskih naslovov.	(69) Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, ki jo izvajajo subjekti, javni organi, skupine CERT in CSIRT ter ponudniki varnostnih tehnologij in storitev, je potrebna za skladnost z njihovimi pravnimi obveznostmi v skladu z nacionalno zakonodajo, v katero je bila prenesena ta direktiva, in je zato zajeta v členu 6(1)(c) in 6(3) Uredbe (EU) 2016/679. Nadalje, bi morala takšna obdelava pomeniti zakoniti interes zadevnega upravljavca podatkov, kot je navedeno v členu 6(1)(f) Uredbe (EU) 2016/679. To bi moralo vključevati ukrepe, povezane s preprečevanjem, odkrivanjem in analizo incidentov ter odzivanjem nanje, ukrepe za ozaveščanje v zvezi s posebnimi kibernetskimi grožnjami, izmenjavo informacij v okviru odpravljanja in usklajenega razkrivanja šibkih točk ter prostovoljno izmenjavo informacij o takih incidentih, pa tudi o kibernetskih grožnjah in šibkih točkah, kazalnikih ogroženosti, taktikah, tehnikah in postopkih, opozorilih glede kibernetske varnosti in orodjih za konfiguracijo. Osebni podatki so pogosto ogroženi zaradi kibernetskih incidentov, zato bi morali pristojni organi in organi za varstvo podatkov držav članic EU sodelovati in si izmenjevati informacije o vseh pomembnih zadevah, da bi odpravili kakršne koli kršitve varstva osebnih podatkov. Taki ukrepi lahko zahtevajo obdelavo nekaterih kategorij osebnih podatkov, ki vključujejo naslove IP, enotne naslove vira (URL), domenska imena in elektronske naslove.

Predlog spremembe 40

Predlog direktive

Uvodna izjava 71


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(71) Da bi bilo izvrševanje učinkovito, bi bilo treba določiti minimalni seznam upravnih sankcij za kršitve obveznosti glede obvladovanja tveganj za kibernetsko varnost in poročanja iz te direktive ter vzpostaviti jasen in skladen okvir za take sankcije po vsej Uniji. Ustrezno bi bilo treba upoštevati naravo, težo in trajanje kršitve, dejansko povzročeno škodo ali nastale izgube ali morebitno škodo ali izgube, ki bi lahko nastale, ali je kršitev namerna ali posledica malomarnosti, ukrepe, sprejete za preprečevanje ali omilitev nastale škode in/ali izgub, stopnjo odgovornosti ali vse zadevne predhodne kršitve, stopnjo sodelovanja s pristojnim organom in morebitne druge oteževalne ali olajševalne dejavnike. Za naložitev sankcij, vključno z upravnimi globami, bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom in ustreznimi postopki.	(71) Da bi bilo izvrševanje učinkovito, bi bilo treba določiti minimalni seznam upravnih sankcij za kršitve obveznosti glede obvladovanja tveganj za kibernetsko varnost in poročanja iz te direktive ter vzpostaviti jasen in skladen okvir za take sankcije po vsej Uniji. Ustrezno bi bilo treba upoštevati resnost in trajanje kršitve, dejansko povzročeno škodo ali nastale izgube ali morebitno škodo ali izgube, ki bi lahko nastale, vse zadevne predhodne kršitve, način, na katerega je pristojni organ izvedel za kršitev, ali je kršitev namerna ali posledica malomarnosti, ukrepe, sprejete za preprečevanje ali omilitev nastale škode in/ali izgub, stopnjo odgovornosti ali vse zadevne predhodne kršitve, stopnjo sodelovanja s pristojnim organom in morebitne druge oteževalne ali olajševalne dejavnike. Za naložene sankcije, vključno z upravnimi globami, bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom in ustreznimi postopki.

Predlog spremembe 41

Predlog direktive

Uvodna izjava 74


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(74) Državam članicam bi moralo biti omogočeno, da določijo pravila o kazenskih sankcijah za kršitve nacionalnih pravil, s katerimi je prenesena ta direktiva. Naložitev kazenskih sankcij zaradi kršitev takih nacionalnih pravil in z njimi povezanih upravnih kazni pa ne bi smela voditi h kršitvi načela ne bis in idem, kakor ga razlaga Sodišče.	(74) Državam članicam bi moralo biti omogočeno, da določijo pravila o kazenskih sankcijah za kršitve nacionalnih pravil, s katerimi je prenesena ta direktiva. Te kazenske sankcije lahko določajo tudi odvzem dobička, pridobljenega s kršenjem te uredbe. Naložitev kazenskih sankcij zaradi kršitev takih nacionalnih pravil in z njimi povezanih upravnih kazni pa ne bi smela voditi h kršitvi načela ne bis in idem, kakor ga razlaga Sodišče.

Predlog spremembe 42

Predlog direktive

Uvodna izjava 76


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(76) Za nadaljnjo krepitev učinkovitosti in odvračilnosti sankcij, ki se uporabljajo za kršitve obveznosti, določenih v skladu s to direktivo, bi morali biti pristojni organi pooblaščeni za uporabo sankcij, ki vključujejo začasni preklic certifikata ali dovoljenja za del storitev ali vse storitve, ki jih opravlja bistveni subjekt, in začasno prepoved opravljanja vodstvenih funkcij za fizično osebo. Glede na njihovo resnost in vpliv na dejavnosti subjektov ter končno na potrošnike bi se morale take sankcije uporabljati le sorazmerno z resnostjo kršitve in ob upoštevanju posebnih okoliščin posameznega primera, vključno s tem, ali je kršitev namerna ali posledica malomarnosti, ter ukrepi, sprejetimi za preprečevanje ali ublažitev škode in/ali izgub. Take sankcije bi se morale uporabljati le kot ultima ratio, kar pomeni šele potem, ko so bili uporabljeni vsi drugi ustrezni izvršilni ukrepi, določeni v tej direktivi, in le dokler subjekti, za katere se uporabijo, ne sprejmejo potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, zaradi katerih so bile takšne sankcije naložene. Za uvedbo takšnih sankcij bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.	(76) Za nadaljnjo krepitev učinkovitosti in odvračilnosti sankcij, ki se uporabljajo za kršitve obveznosti, določenih v skladu s to direktivo, bi morali biti pristojni organi pooblaščeni za uporabo sankcij, ki vključujejo začasni preklic certifikata ali dovoljenja za del storitev ali vse storitve, ki jih opravlja bistveni subjekt. Glede na njihovo resnost in vpliv na dejavnosti subjektov ter končno na potrošnike bi se morale take sankcije uporabljati le sorazmerno z resnostjo kršitve in ob upoštevanju posebnih okoliščin posameznega primera, vključno s tem, ali je kršitev namerna ali posledica malomarnosti, ter ukrepi, sprejetimi za preprečevanje ali ublažitev škode in/ali izgub. Take sankcije bi se morale uporabljati le kot ultima ratio, kar pomeni šele potem, ko so bili uporabljeni vsi drugi ustrezni izvršilni ukrepi, določeni v tej direktivi, in le dokler subjekti, za katere se uporabijo, ne sprejmejo potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, zaradi katerih so bile takšne sankcije naložene. Za uvedbo takšnih sankcij bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitimi pravnimi sredstvi, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.

Predlog spremembe 43

Predlog direktive

Uvodna izjava 77


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(77) S to direktivo bi bilo treba določiti pravila sodelovanja med pristojnimi in nadzornimi organi v skladu z Uredbo (EU) 2016/679 za obravnavanje kršitev, povezanih z osebnimi podatki.	(77) S to direktivo bi bilo treba določiti pravila sodelovanja med pristojnimi iz te direktive in nadzornimi organi iz Uredbe (EU) 2016/679 za obravnavanje kršitev, povezanih z osebnimi podatki.

Predlog spremembe 44

Predlog direktive

Uvodna izjava 79


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(79) Uvesti bi bilo treba mehanizem medsebojnih strokovnih pregledov, ki bi strokovnjakom, ki jih imenujejo države članice, omogočal oceno izvajanja politik na področju kibernetske varnosti, vključno z ravnjo zmogljivosti in razpoložljivih virov držav članic.	(79) Uvesti bi bilo treba mehanizem medsebojnih strokovnih pregledov, ki bi strokovnjakom, ki jih imenujejo države članice, omogočal oceno izvajanja politik na področju kibernetske varnosti, vključno z ravnjo zmogljivosti in razpoložljivih virov držav članic. EU mora zagotoviti usklajen odziv na velike kibernetske incidente in krize ter nuditi pomoč, da se olajša okrevanje po takih kibernetskih napadih.

Predlog spremembe 45

Predlog direktive

Uvodna izjava 82 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(82a) Ta direktiva se ne uporablja za institucije, urade, organe in agencije Unije. Vseeno bi se lahko organi Unije v tej direktivi šteli za bistvene ali pomembne subjekte. Da bi z doslednimi in enotnimi pravili dosegli enovito raven zaščite, Komisija do 31. decembra 2022 objavi zakonodajni predlog za vključitev institucij, uradov, organov in agencij Unije v splošni vseevropski okvir kibernetske varnosti.

Predlog spremembe 46

Predlog direktive

Uvodna izjava 84


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(84) Ta direktiva upošteva temeljne pravice in načela Listine Evropske unije o temeljnih pravicah, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo gospodarske pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico do izjave. To direktivo bi bilo treba izvajati v skladu s temi pravicami in načeli –	(84) Ta direktiva upošteva temeljne pravice in načela Listine Evropske unije o temeljnih pravicah, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo gospodarske pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico do izjave. To direktivo bi bilo treba izvajati v skladu s temi pravicami in načeli ter ob doslednem spoštovanju veljavne zakonodaje Unije, ki ureja ta vprašanja. Vsakršno obdelavo osebnih podatkov na podlagi te direktive urejata Uredba (EU) 2016/679 in Direktiva 2002/58/ES, vsaka v okviru svojega področja uporabe, vključno z nalogami in pooblastili nadzornih organov, pristojnih za spremljanje skladnosti s tema pravnima instrumentoma –

Predlog spremembe 47

Predlog direktive

Člen 2 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Ta direktiva se uporablja za javne in zasebne subjekte, ki se v skladu s Prilogo I štejejo za bistvene subjekte, ter za javne in zasebne subjekte, ki se v skladu s Prilogo II štejejo za pomembne subjekte. Ta direktiva se ne uporablja za subjekte, ki se štejejo za mikro in mala podjetja v smislu Priporočila Komisije 2003/361/ES28.	1. Ta direktiva se uporablja za javne in zasebne subjekte, ki se v skladu s Prilogo I štejejo za bistvene subjekte, ter za javne in zasebne subjekte, ki se v skladu s Prilogo II štejejo za pomembne subjekte. Ta direktiva se ne uporablja za subjekte, ki se štejejo za mikro in mala podjetja v smislu Priporočila Komisije 2003/361/ES28. Člen 3, odstavek 4 Priloge k Priporočilu Komisije 2003/361/ES se ne uporablja.
__________________	__________________
28 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).	28 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).

Predlog spremembe 48

Predlog direktive

Člen 2 – odstavek 2 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Vendar pa se ta direktiva uporablja tudi za subjekte iz prilog I in II ne glede na njihovo velikost, če:	2. Vendar pa se ta direktiva uporablja tudi za subjekte iz prilog I in II ne glede na njihovo velikost in na podlagi ocene tveganja iz člena 18, če:

Predlog spremembe 49

Predlog direktive

Člen 2 – odstavek 2 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) je subjekt edini ponudnik storitve v državi članici;	(c) je subjekt edini ponudnik storitve na nacionalni ali regionalni ravni;

Predlog spremembe 50

Predlog direktive

Člen 2 – odstavek 2 – točka d


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(d) bi morebitna motnja pri opravljanju storitve subjekta lahko vplivala na javni red, javno varnost ali javno zdravje;	(d) bi motnja pri opravljanju storitve subjekta lahko vplivala na javni red, javno varnost ali javno zdravje;

Predlog spremembe 51

Predlog direktive

Člen 2 – odstavek 2 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) bi morebitna motnja pri opravljanju storitve subjekta lahko povzročila sistemska tveganja, zlasti za sektorje, v katerih bi lahko taka motnja imela čezmejni vpliv;	(e) bi motnja pri opravljanju storitve subjekta lahko povzročila sistemska tveganja, zlasti za sektorje, v katerih bi lahko motnja imela čezmejni vpliv;

Predlog spremembe 52

Predlog direktive

Člen 2 – odstavek 4 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	4a. Vsaka obdelava osebnih podatkov na podlagi te direktive mora biti v skladu z Uredbo (EU) 2016/679 in Direktivo 2002/58/ES ter omejena zgolj na to, kar je potrebno in sorazmerno za namene te direktive.

Predlog spremembe 53

Predlog direktive

Člen 2 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Brez poseganja v člen 346 PDEU se informacije, ki so zaupne v skladu s predpisi Unije in nacionalnimi predpisi, na primer o poslovni tajnosti, s Komisijo in drugimi ustreznimi organi izmenjajo le, če je takšna izmenjava potrebna za uporabo te direktive. Izmenjava informacij je omejena na obseg, ki je ustrezen in sorazmeren glede na namen takšne izmenjave. Pri izmenjavi informacij se ohranijo zaupnost zadevnih informacij ter zaščitijo varnost in poslovni interesi bistvenih ali pomembnih subjektov.	5. Brez poseganja v člen 346 PDEU se informacije, ki so zaupne v skladu s predpisi Unije in nacionalnimi predpisi, na primer o poslovni tajnosti, s Komisijo in drugimi ustreznimi organi izmenjajo le, če je takšna izmenjava potrebna za uporabo te direktive. Izmenjava informacij je omejena na obseg, ki je potreben glede na namen izmenjave. Pri izmenjavi informacij se ohranijo zaupnost teh informacij ter zaščitijo varnost in poslovni interesi bistvenih ali pomembnih subjektov.

Predlog spremembe 54

Predlog direktive

Člen 2 – odstavek 6 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	6a. Komisija pred 31. decembrom 2021 objavi zakonodajni predlog za vključitev institucij, uradov, organov in agencij Unije v splošni vseevropski okvir kibernetske varnosti, da bi dosegli enotno raven zaščite z doslednimi in enotnimi pravili.

Predlog spremembe 55

Predlog direktive

Člen 4 – odstavek 1 – točka 1 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) vsako napravo ali skupino med seboj povezanih ali sorodnih naprav, od katerih ena ali več na podlagi programa opravlja samodejno obdelavo digitalnih podatkov;	(b) vsako napravo ali skupino med seboj povezanih ali sorodnih naprav, od katerih ena ali več na podlagi programa opravlja samodejno obdelavo digitalnih podatkov, ki so povezane v informacijski sistem in se uporabljajo za zagotavljanje predvidenih storitev;

Predlog spremembe 56

Predlog direktive

Člen 4 – odstavek 1 – točka 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(4) „nacionalna strategija za kibernetsko varnost“ pomeni skladen okvir države članice, ki določa strateške cilje in prednostne naloge na področju varnosti omrežij in informacijskih sistemov v zadevni državi članici;	(4) „nacionalna strategija za kibernetsko varnost“ pomeni skladen okvir države članice, v katerem določi svoje strateške cilje in prednostne naloge na področju kibernetske varnosti;

Predlog spremembe 57

Predlog direktive

Člen 4 – odstavek 1 – točka 12


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(12) „stičišče omrežij“ pomeni omrežno zmogljivost, ki omogoča medsebojno povezavo več kot dveh neodvisnih omrežij (avtonomnih sistemov), predvsem zaradi izmenjave internetnega prometa; stičišče omrežij zagotavlja medsebojno povezavo le avtonomnih sistemov; stičišče omrežij omogoča izmenjavo internetnega prometa med katerima koli sodelujočima avtonomnima sistemoma, brez prehoda prek tretjega avtonomnega sistema, prav tako pa ne spreminja takšnega prometa ali kako drugače posega vanj;	črtano

Predlog spremembe 58

Predlog direktive

Člen 4 – odstavek 1 – točka 22


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(22) „platforma za storitve družbenega mreženja“ pomeni platformo, ki končnim uporabnikom omogoča, da se povezujejo, si izmenjujejo vsebine, se spoznavajo in komunicirajo med seboj prek več naprav ter zlasti prek klepetov, objav, videoposnetkov in priporočil;	črtano

Predlog spremembe 59

Predlog direktive

Člen 4 – odstavek 1 – točka 24


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(24) „subjekt“ pomeni vsako fizično ali pravno osebo, ki je ustanovljena in priznana kot taka po nacionalnem pravu njenega kraja sedeža ter lahko v svojem imenu uveljavlja pravice in prevzema obveznosti;	(Ne zadeva slovenske različice.)

Predlog spremembe 60

Predlog direktive

Člen 5 – odstavek 1 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) opredelitev ciljev in prednostnih nalog strategije držav članic za kibernetsko varnost;	(a) opredelitev ciljev in prednostnih nalog strategije držav članic za kibernetsko varnost, upoštevaje splošno raven ozaveščenosti državljanov o kibernetski varnosti in splošno raven varnosti povezanih potrošniških naprav;

Predlog spremembe 61

Predlog direktive

Člen 5 – odstavek 1 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) okvir politike za okrepljeno usklajevanje med pristojnimi organi iz te direktive in direktive (EU) XXXX/XXXX Evropskega parlamenta in Sveta38 [direktiva o odpornosti kritičnih subjektov] za izmenjavo informacij o incidentih in kibernetskih grožnjah ter izvajanje nadzornih nalog.	(f) okvir politike za okrepljeno usklajevanje med pristojnimi organi iz te direktive in direktive (EU) XXXX/XXXX Evropskega parlamenta in Sveta38 [direktiva o odpornosti kritičnih subjektov], tako med državami članicami kot znotraj njih, za izmenjavo informacij o incidentih in kibernetskih grožnjah ter izvajanje nadzornih nalog.
__________________	__________________
38 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	38 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 62

Predlog direktive

Člen 5 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) smernice v zvezi z vključitvijo in specifikacijo zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo;	(b) smernice v zvezi z vključitvijo in specifikacijo zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo, med drugim zahteve za šifriranje in spodbujanje uporabe odprtokodnih proizvodov za kibernetsko varnost;

Predlog spremembe 63

Predlog direktive

Člen 5 – odstavek 2 – točka d a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(da) politiko, povezano z ohranjanjem uporabe odprtih podatkov in odprte kode kot sestavnega dela varnosti na podlagi preglednosti;

Predlog spremembe 64

Predlog direktive

Člen 5 – odstavek 2 – točka d b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(db) politiko za spodbujanje zasebnosti in varnosti osebnih podatkov uporabnikov spletnih storitev;

Predlog spremembe 65

Predlog direktive

Člen 5 – odstavek 2 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) politiko za spodbujanje in razvoj znanj in spretnosti, ozaveščanja ter raziskovalnih in razvojnih pobud na področju kibernetske varnosti;	(e) politiko za spodbujanje in razvoj znanj in spretnosti, ozaveščanja ter raziskovalnih in razvojnih pobud na področju kibernetske varnosti, vključno z oblikovanjem ustreznih programov usposabljanja, zato da bodo lahko subjekti pridobili specialiste in tehnične strokovnjake s tega področja;

Predlog spremembe 66

Predlog direktive

Člen 5 – odstavek 2 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) politiko za podpiranje akademskih in raziskovalnih institucij pri razvoju orodij in varne omrežne infrastrukture za kibernetsko varnost;	(f) politiko za podpiranje akademskih in raziskovalnih institucij, ki prispevajo k nacionalni strategiji za kibernetsko varnost, pri razvoju in uporabi orodij in varne omrežne infrastrukture za kibernetsko varnost, vključno z namenskimi politikami, ki obravnavajo problematiko zastopanosti in uravnoteženosti spolov na teh področjih;

Predlog spremembe 67

Predlog direktive

Člen 5 – odstavek 2 – točka h


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(h) politiko za obravnavanje posebnih potreb MSP, zlasti tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam.	(h) politiko za obravnavanje posebnih potreb MSP, zlasti tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam in njihove zmožnosti za odzivanje na kibernetske incidente.

Predlog spremembe 68

Predlog direktive

Člen 6 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Agencija ENISA razvije in vzdržuje evropski register šibkih točk. V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT ter zagotovijo dostop do informacij o šibkih točkah, vsebovanih v registru, vsem zainteresiranim stranem. Register vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, naslovljene na uporabnike proizvodov in storitev s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk.	2. Agencija ENISA razvije in vzdržuje evropski register šibkih točk. V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT ter zagotovijo dostop do informacij o šibkih točkah, vsebovanih v registru, vsem zainteresiranim stranem. Register vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, naslovljene na uporabnike proizvodov in storitev s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk. Da bi poskrbeli za varnost in dostopnost informacij iz registra, agencija ENISA uporabi najsodobnejše ukrepe za kibernetsko varnost in prek ustreznih vmesnikov zagotovi te informacije v strojno berljivi obliki.

Predlog spremembe 69

Predlog direktive

Člen 7 – odstavek 3 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) cilji nacionalnih ukrepov in dejavnosti za pripravljenost;	(a) cilji nacionalnih, po možnosti in po potrebi pa tudi regionalnih in čezmejnih ukrepov in dejavnosti za pripravljenost;

Predlog spremembe 70

Predlog direktive

Člen 10 – odstavek 2 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) opravljanje, na zahtevo subjekta, proaktivnega pregleda omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje njihovih storitev;	(e) opravljanje, na zahtevo subjekta, varnostnega pregleda informacijskih sistemov in obsega omrežij, ki se uporabljajo za opravljanje njihovih storitev, da se zaznajo, zmanjšajo ali preprečijo konkretne nevarnosti. obdelovanje osebnih podatkov v okviru teh pregledov je omejeno na to, kar je nujno potrebno, v vsakem primeru pa na naslove IP in URL;

Predlog spremembe 71

Predlog direktive

Člen 11 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, organi kazenskega pregona, organi za varstvo podatkov in organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici.	4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, organi kazenskega pregona, organi za varstvo podatkov in organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici v skladu s svojimi pristojnostmi.
__________________	__________________
39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 72

Predlog direktive

Člen 11 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Države članice zagotovijo, da njihovi pristojni organi pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], redno zagotavljajo informacije o tveganjih za kibernetsko varnost, kibernetskih grožnjah in incidentih, ki vplivajo na bistvene subjekte, ki so opredeljeni kot kritični ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter o ukrepih, ki jih sprejmejo pristojni organi v odziv na taka tveganja in incidente.	5. Države članice zagotovijo, da njihovi pristojni organi pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], redno zagotavljajo pravočasne informacije o tveganjih za kibernetsko varnost, kibernetskih grožnjah in incidentih, ki vplivajo na bistvene subjekte, ki so opredeljeni kot kritični ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter o ukrepih, ki jih sprejmejo pristojni organi v odziv na taka tveganja in incidente.

Predlog spremembe 73

Predlog direktive

Člen 12 – odstavek 3 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije in agencije ENISA. Evropska služba za zunanje delovanje sodeluje pri dejavnostih skupine za sodelovanje kot opazovalka. Evropski nadzorni organi lahko v skladu s členom 17(5)(c) Uredbe (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti] sodelujejo pri dejavnostih skupine za sodelovanje.	3. Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije in agencije ENISA. Pri dejavnostih skupine kot opazovalci sodelujejo Evropska služba za zunanje delovanje, Evropski center za boj proti kibernetski kriminaliteti pri Europolu in Evropski odbor za varstvo podatkov. Evropski nadzorni organi lahko v skladu s členom 17(5)(c) Uredbe (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti] sodelujejo pri dejavnostih skupine za sodelovanje.

Predlog spremembe 74

Predlog direktive

Člen 12 – odstavek 3 – pododstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Skupina za sodelovanje lahko k sodelovanju po potrebi povabi predstavnike ustreznih zainteresiranih strani.	Kjer je to potrebno za izvajanje njenih nalog, skupina za sodelovanje povabi predstavnike ustreznih zainteresiranih strani k sodelovanju, Evropski parlament pa povabi kot opazovalca.

Predlog spremembe 75

Predlog direktive

Člen 12 – odstavek 8


Besedilo, ki ga predlaga Komisija	Predlog spremembe
8. Skupina za sodelovanje se redno in vsaj enkrat letno sestane s skupino za odpornost kritičnih subjektov, ustanovljeno na podlagi Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] z namenom spodbujanja strateškega sodelovanja in izmenjave informacij.	8. Skupina za sodelovanje se redno in vsaj enkrat letno sestane s skupino za odpornost kritičnih subjektov, ustanovljeno na podlagi Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] z namenom lažjega strateškega sodelovanja in izmenjave informacij v realnem času.

Predlog spremembe 76

Predlog direktive

Člen 13 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Mrežo skupin CSIRT sestavljajo predstavniki tovrstnih skupin držav članic in CERT-EU. Komisija sodeluje v mreži skupin CSIRT kot opazovalka. Agencija ENISA zagotovi sekretariat in dejavno podpira sodelovanje med skupinami CSIRT.	2. Mrežo skupin CSIRT sestavljajo predstavniki tovrstnih skupin držav članic in CERT-EU. Komisija in Evropski center za boj proti kibernetski kriminaliteti pri Europolu sodelujeta v mreži skupin CSIRT kot opazovalca. Agencija ENISA zagotovi sekretariat in dejavno podpira sodelovanje med skupinami CSIRT.

Predlog spremembe 77

Predlog direktive

Člen 14 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Mreža EU-CyCLONe je sestavljena iz predstavnikov organov držav članic za krizno upravljanje, imenovanih v skladu s členom 7, Komisije in agencije ENISA. Agencija ENISA zagotovi sekretariat mreže in podpira varno izmenjavo informacij.	2. Mreža EU-CyCLONe je sestavljena iz predstavnikov organov držav članic za krizno upravljanje, imenovanih v skladu s členom 7, Komisije in agencije ENISA. Evropski center za boj proti kibernetski kriminaliteti pri Europolu sodeluje pri dejavnostih mreže EU-CyCLONe kot opazovalec. Agencija ENISA zagotovi sekretariat mreže in podpira varno izmenjavo informacij.

Predlog spremembe 78

Predlog direktive

Člen 14 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Mreža EU-CyCLONe sodeluje z mrežo skupin CSIRT na podlagi sprejetih postopkovnih ureditev.	6. Mreža EU-CyCLONe sodeluje z mrežo skupin CSIRT na podlagi sprejetih postopkovnih ureditev ter z organi kazenskega pregona v okviru protokola EU za odzivanje organov kazenskega pregona na izredne razmere.

Predlog spremembe 79

Predlog direktive

Člen 15 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Agencija ENISA v sodelovanju s Komisijo izda dvoletno poročilo o stanju kibernetske varnosti v Uniji. Poročilo vključuje zlasti oceno naslednjega:	1. Agencija ENISA v sodelovanju s Komisijo izda vsakoletno poročilo o stanju kibernetske varnosti v Uniji. Poročilo se izda v strojno berljivi obliki in vključuje zlasti oceno naslednjega:

Predlog spremembe 80

Predlog direktive

Člen 15 – odstavek 1 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) vpliva kibernetskih incidentov na varstvo osebnih podatkov v Uniji.

Predlog spremembe 81

Predlog direktive

Člen 15 – odstavek 1 – točka c b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(cb) pregleda splošne ravni ozaveščenosti državljanov o kibernetski varnosti in njene uporabe med državljani ter splošne ravni varnosti povezanih potrošniških naprav, ki so dane na trg Unije.

Predlog spremembe 82

Predlog direktive

Člen 17 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da se člani upravnega organa redno udeležujejo posebnih usposabljanj, da pridobijo dovolj znanja in spretnosti za razumevanje in ocenjevanje tveganj za kibernetsko varnost ter praks upravljanja in njihovega vpliva na dejavnosti subjekta.	2. Države članice zagotovijo, da se člani upravnega organa in odgovorni specialisti za kibernetsko varnost redno udeležujejo posebnih usposabljanj, da pridobijo dovolj znanja in spretnosti za razumevanje in ocenjevanje tveganj za kibernetsko varnost ter praks upravljanja in njihovega vpliva na dejavnosti subjekta.

Predlog spremembe 83

Predlog direktive

Člen 18 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih ti subjekti uporabljajo za opravljanje storitev. Ob upoštevanju stanja tehnike se s temi ukrepi zagotovi raven varnosti omrežij in informacijskih sistemov, primerna obstoječemu tveganju.	1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost omrežij in informacijskih sistemov, ki jih uporabljajo za opravljanje storitev, ter za zagotavljanje neprekinjenega izvajanja teh storitev in za obvladovanje tveganj za pravice posameznikov, kadar se obdelujejo njihovi osebni podatki. Ob upoštevanju stanja tehnike se s temi ukrepi zagotovi raven kibernetske varnosti omrežij in informacijskih sistemov, primerna obstoječemu tveganju.

Predlog spremembe 84

Predlog direktive

Člen 18 – odstavek 2 – točka g


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(g) uporabo kriptografije in šifriranja.	(g) uporabo kriptografije in močnega šifriranja.

Predlog spremembe 85

Predlog direktive

Člen 18 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice zagotovijo, da subjekti pri preučevanju ustreznih ukrepov iz točke (d) odstavka 2 upoštevajo šibke točke posameznega dobavitelja in ponudnika storitev ter splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki.	3. Države članice zagotovijo, da subjekti pri preučevanju ustreznih in sorazmernih ukrepov iz točke (d) odstavka 2 upoštevajo šibke točke posameznega dobavitelja in ponudnika storitev ter splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki. Pristojni organi subjektom zagotovijo smernice o praktični in sorazmerni uporabi.

Predlog spremembe 86

Predlog direktive

Člen 18 – odstavek 6 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	6a. Države članice dajo uporabniku omrežja in informacijskega sistema, ki ga zagotavlja bistveni ali pomembni subjekt, pravico, da od subjekta pridobi informacije o tehničnih in organizacijskih ukrepih, vzpostavljenih za obvladovanje tveganj za varnost omrežij in informacijskih sistemov. Države članice opredelijo omejitve te pravice.

Predlog spremembe 87

Predlog direktive

Člen 19 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Skupina za sodelovanje lahko v sodelovanju s Komisijo in agencijo ENISA izvaja usklajene ocene tveganja za varnost specifičnih kritičnih storitev IKT, sistemov IKT ali dobavnih verig proizvodov IKT, ob upoštevanju tehničnih in po potrebi netehničnih dejavnikov tveganja.	1. Skupina za sodelovanje v sodelovanju s Komisijo in agencijo ENISA izvaja usklajene ocene tveganja za varnost specifičnih kritičnih storitev IKT, sistemov IKT ali dobavnih verig proizvodov IKT, ob upoštevanju tehničnih in po potrebi netehničnih dejavnikov tveganja.

Predlog spremembe 88

Predlog direktive

Člen 20 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice zagotovijo, da bistveni in pomembni subjekti pristojnim organom ali skupini CSIRT brez nepotrebnega odlašanja v skladu z odstavkoma 3 in 4 priglasijo vse incidente, ki pomembno vplivajo na opravljanje njihovih storitev. Kjer je to ustrezno, navedeni subjekti prejemnike svojih storitev brez nepotrebnega odlašanja obvestijo o incidentih, ki bodo verjetno negativno vplivali na opravljanje zadevne storitve. Države članice zagotovijo, da navedeni subjekti sporočijo, med drugim, vse informacije, ki pristojnim organom ali skupini CSIRT omogočajo, da določijo čezmejni vpliv incidenta.	1. Države članice zagotovijo, da bistveni in pomembni subjekti pristojnim organom ali skupini CSIRT brez nepotrebnega odlašanja, vsekakor pa v 24 urah, v skladu z odstavkoma 3 in 4 priglasijo vse incidente, ki pomembno vplivajo na opravljanje njihovih storitev, če pa sumijo ali vedo, da je incident zlonameren, ga prijavijo tudi pristojnim organom kazenskega pregona. Ti subjekti prejemnike svojih storitev brez nepotrebnega odlašanja, vsekakor pa v 24 urah, obvestijo o incidentih, ki bodo verjetno negativno vplivali na opravljanje zadevne storitve, in jim zagotovijo informacije, na podlagi katerih bi lahko ublažili negativne vplive teh kibernetskih napadov. Izjemoma, če bi javno razkritje lahko sprožilo nadaljnje kibernetske napade, lahko subjekti odložijo pošiljanje obvestila. Države članice zagotovijo, da ti subjekti med drugim sporočijo vse informacije, ki pristojnim organom ali skupini CSIRT omogočajo, da določijo čezmejni vpliv incidenta.

Predlog spremembe 89

Predlog direktive

Člen 20 – odstavek 2 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da bistveni in pomembni subjekti brez nepotrebnega odlašanja pristojnim organom ali skupini CSIRT priglasijo vse pomembne kibernetske grožnje, ki jih ti subjekti prepoznajo in ki bi lahko privedle do velikega incidenta.	2. Države članice zagotovijo, da lahko bistveni in pomembni subjekti pristojnim organom ali skupini CSIRT priglasijo vse pomembne kibernetske grožnje, ki jih ti subjekti zaznajo in ki bi lahko privedle do velikega incidenta.

Predlog spremembe 90

Predlog direktive

Člen 20 – odstavek 2 – pododstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Po potrebi ti subjekti prejemnike svojih storitev, ki bi jih pomembna kibernetska grožnja lahko prizadela, brez nepotrebnega odlašanja obvestijo o vseh ukrepih ali sredstvih, ki jih lahko ti prejemniki sprejmejo v odziv na zadevno grožnjo. Kjer je ustrezno, subjekti zadevne prejemnike obvestijo tudi o sami grožnji. Priglasitev ne sme nalagati priglasitelju dodatne odgovornosti.	Po potrebi smejo ti subjekti prejemnike svojih storitev, ki bi jih pomembna kibernetska grožnja lahko prizadela, obvestiti o vseh ukrepih ali sredstvih, ki jih lahko ti prejemniki sprejmejo v odziv na to grožnjo. Če se pošlje tovrstno obvestilo, subjekti prejemnike obvestijo tudi o grožnji. Priglasitev pa priglasitelju ne sme nalagati dodatne odgovornosti.

Predlog spremembe 91

Predlog direktive

Člen 20 – odstavek 4 – točka c – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) končno poročilo, najpozneje v enem mesecu po predložitvi začetne priglasitve iz točke (a), ki vključuje vsaj naslednje:	(c) izčrpno poročilo, najpozneje v enem mesecu po predložitvi začetne priglasitve iz točke (a), ki vključuje vsaj naslednje:

Predlog spremembe 92

Predlog direktive

Člen 20 – odstavek 4 – točka c – točka ii


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(ii) vrsto grožnje ali temeljnega vzroka, ki je verjetno sprožil incident;	(ii) vrsto kibernetske grožnje ali temeljnega vzroka, ki je verjetno sprožil incident;

Predlog spremembe 93

Predlog direktive

Člen 20 – odstavek 4 – točka c – točka iii


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(iii) izvedene blažilne ukrepe in take ukrepe v teku.	(iii) izvedene ali potekajoče blažilne in popravne ukrepe.

Predlog spremembe 94

Predlog direktive

Člen 20 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Kadar je to ustrezno in zlasti če incident iz odstavka 1 zadeva dve ali več držav članic, pristojni organ ali skupina CSIRT obvesti druge prizadete države članice in agencijo ENISA o incidentu. Pristojni organi, skupine CSIRT in enotne kontaktne točke pri tem v skladu s pravom Unije ali nacionalno zakonodajo, ki je skladna s pravom Unije, zaščitijo varnost in poslovne interese subjekta ter zaupnost predloženih informacij.	6. Kadar je to ustrezno in zlasti če incident iz odstavka 1 zadeva dve ali več držav članic, pristojni organ ali skupina CSIRT o njem obvesti druge prizadete države članice in agencijo ENISA. Če incident zadeva dve ali več držav članic in se sumi, da je kazenske narave, pristojni organ ali skupina CSIRT o njem obvesti Europol. Pristojni organi, skupine CSIRT in enotne kontaktne točke pri tem v skladu s pravom Unije ali nacionalno zakonodajo, ki je skladna s pravom Unije, zaščitijo varnost in poslovne interese subjekta ter zaupnost predloženih informacij.

Predlog spremembe 95

Predlog direktive

Člen 22 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Agencija ENISA v sodelovanju z državami članicami pripravi nasvete in smernice za tehnična področja, ki se upoštevajo v zvezi z odstavkom 1, ter za že obstoječe standarde, vključno z nacionalnimi standardi držav članic, s katerimi bi lahko zajeli navedena področja.	2. Agencija ENISA po posvetovanju z Evropskim odborom za varstvo podatkov in v sodelovanju z državami članicami pripravi nasvete in smernice za tehnična področja, ki se upoštevajo v zvezi z odstavkom 1, ter za že obstoječe standarde, vključno z nacionalnimi standardi držav članic, s katerimi bi lahko zajeli navedena področja.

Predlog spremembe 96

Predlog direktive

Člen 23 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Da bi prispevale k varnosti, stabilnosti in odpornosti sistema domenskih imen, države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, z ustrezno skrbnostjo zbirajo ter vzdržujejo točne in popolne podatke o registraciji domenskih imen v posebni podatkovni zbirki, ob upoštevanju zakonodaje Unije o varstvu podatkov v zvezi s podatki, ki so osebni podatki.	1. Da bi prispevale k varnosti, stabilnosti in odpornosti sistema domenskih imen, države članice zagotovijo, da imajo registri vrhnjih domen in subjekti politike in postopke, s katerimi zagotovijo, da zbirajo ter vzdržujejo točne in popolne podatke o registraciji domenskih imen v posebni zbirki, ki je v skladu z zakonodajo Unije o varstvu podatkov v zvezi s podatki, ki so osebni podatki. Države članice zagotovijo, da so te politike in postopki javno dostopni.

Predlog spremembe 97

Predlog direktive

Člen 23 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da podatkovne zbirke podatkov o registraciji domenskih imen iz odstavka 1 vsebujejo ustrezne informacije za identifikacijo imetnikov domenskih imen in kontaktnih točk, ki upravljajo domenska imena v okviru vrhnjih domen, in navezavo stika z njimi.	2. Države članice zagotovijo, da podatkovne zbirke podatkov o registraciji domenskih imen iz odstavka 1 vsebujejo informacije, potrebne za identifikacijo imetnikov domenskih imen, torej ime, fizični in elektronski naslov ter telefonsko številko, in informacije za identifikacijo kontaktnih točk, ki upravljajo domenska imena v okviru vrhnjih domen, in navezavo stika z njimi.

Predlog spremembe 98

Predlog direktive

Člen 23 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice zagotovijo, da imajo registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, vzpostavljene politike in postopke, ki zagotavljajo, da podatkovne zbirke vključujejo točne in popolne informacije. Države članice zagotovijo, da so take politike in postopki javno dostopni.	črtano

Obrazložitev

Ta odstavek je bil vključen v člen 23(1).

Predlog spremembe 99

Predlog direktive

Člen 23 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, po registraciji domenskega imena brez nepotrebnega odlašanja objavijo podatke o registraciji domene, ki niso osebni podatki.	4. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, po registraciji domenskega imena v skladu s členom 6(1)(c) in členom 6(3) Uredbe (EU) 2016/679 in brez nepotrebnega odlašanja objavijo nekatere podatke o registraciji domenskih imen, kot sta domensko ime in ime pravne osebe.

Predlog spremembe 100

Predlog direktive

Člen 23 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, omogočajo dostop do podatkov o registraciji posameznih domenskih imen na podlagi zakonitih in ustrezno utemeljenih zahtevkov oseb, ki imajo upravičen razlog za dostop, v skladu z zakonodajo Unije o varstvu podatkov. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, brez nepotrebnega odlašanja odgovorijo na vse zahtevke za dostop. Države članice zagotovijo, da so politike in postopki za razkrivanje takih podatkov javno dostopni.	5. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, omogočajo dostop do podatkov o registraciji posameznih domenskih imen na podlagi zakonitih in ustrezno utemeljenih zahtevkov javnih organov, vključno s pristojnimi organi na podlagi te direktive, organi, ki so po pravu Unije ali nacionalnem pravu pristojni za preprečevanje, preiskovanje ali pregon kaznivih dejanj, ali nadzornimi organi na podlagi Uredbe (EU) 2016/679, v skladu z zakonodajo Unije o varstvu podatkov. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, brez nepotrebnega odlašanja odgovorijo na vse zakonite in ustrezno utemeljene zahtevke za dostop. Države članice zagotovijo, da so politike in postopki za razkritje teh podatkov javno dostopni.

Predlog spremembe 101

Predlog direktive

Člen 24 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Če subjekt iz odstavka 1 nima sedeža v Uniji, vendar v njej opravlja storitve, določi predstavnika v Uniji. Predstavnik ima sedež v eni od držav članic, v katerih se opravljajo storitve. Za tak subjekt se šteje, da je pod sodno pristojnostjo države članice, v kateri ima predstavnik sedež. Če ni imenovanega predstavnika v Uniji v skladu s tem členom, lahko katera koli država članica, v kateri subjekt opravlja storitve, uvede sodne postopke proti subjektu zaradi neizpolnjevanja obveznosti po tej direktivi.	3. Če subjekt iz odstavka 1 nima sedeža v Uniji, vendar v njej opravlja storitve, določi predstavnika v Uniji. Predstavnik ima sedež v eni od držav članic, v katerih se opravljajo storitve. Brez poseganja v pristojnosti nadzornih organov v skladu z Uredbo (EU) 2016/679 se za tak subjekt šteje, da je pod sodno pristojnostjo države članice, v kateri ima predstavnik sedež. Če ni imenovanega predstavnika v Uniji v skladu s tem členom, lahko katera koli država članica, v kateri subjekt opravlja storitve, uvede sodne postopke proti subjektu zaradi neizpolnjevanja obveznosti po tej direktivi.

Predlog spremembe 102

Predlog direktive

Člen 25 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Agencija ENISA vzpostavi in vzdržuje register bistvenih in pomembnih subjektov iz člena 24(1). Subjekti do [najpozneje 12 mesecev po začetku veljavnosti Direktive] agenciji ENISA predložijo naslednje informacije:	1. Agencija ENISA vzpostavi in vzdržuje varen register bistvenih in pomembnih subjektov iz člena 24(1). Subjekti ji do [najpozneje 12 mesecev po začetku veljavnosti Direktive] predložijo naslednje informacije:

Predlog spremembe 103

Predlog direktive

Člen 26 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice brez poseganja v Uredbo (EU) 2016/679 zagotovijo, da si bistveni in pomembni subjekti lahko izmenjujejo ustrezne informacije o kibernetski varnosti, vključno z informacijami, ki se nanašajo na kibernetske grožnje, šibke točke, kazalnike ogroženosti, taktike, tehnike in postopke, opozorila glede kibernetske varnosti in orodja za konfiguracijo, če taka izmenjava informacij:	1. Države članice brez poseganja v Uredbo (EU) 2016/679 ali Direktivo 2002/58/ES zagotovijo, da si bistveni in pomembni subjekti lahko izmenjujejo ustrezne informacije o kibernetski varnosti, vključno z informacijami, ki se nanašajo na kibernetske grožnje, šibke točke, kazalnike ogroženosti, taktike, tehnike in postopke, opozorila glede kibernetske varnosti in orodja za konfiguracijo ter lokacijo ali identiteto napadalca, če izmenjava informacij:

Predlog spremembe 104

Predlog direktive

Člen 28 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Pristojni organi pri obravnavi incidentov, katerih posledica je kršitev varstva osebnih podatkov, tesno sodelujejo z organi za varstvo podatkov.	2. Pristojni organi pri obravnavi incidentov, katerih posledica je kršitev varstva osebnih podatkov, tesno sodelujejo z nadzornimi organi, brez poseganja v pristojnosti, naloge in pooblastila organov za varstvo podatkov v skladu z Uredbo (EU) 2016/679. V ta namen si pristojni in nadzorni organi izmenjujejo informacije, ki so pomembne za njihovo področje pristojnosti. Poleg tega pristojni organi pristojnim nadzornim organom zahtevo posredujejo vse informacije, ki so jih pridobili pri revizijah in preiskavah in ki se nanašajo na obdelavo osebnih podatkov.

Predlog spremembe 105

Predlog direktive

Člen 29 – odstavek 4 – točka h


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(h) takim subjektom odredijo, naj na določen način objavijo vidike neizpolnjevanja obveznosti, določenih v tej direktivi;	črtano

Predlog spremembe 106

Predlog direktive

Člen 29 – odstavek 5 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) uvedejo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalno zakonodajo uvedejo začasno prepoved opravljanja vodstvenih funkcij vseh oseb, ki za bistveni subjekt opravljajo poslovodne naloge na ravni glavnega izvršnega direktorja ali pravnega zastopnika, in vseh drugih fizičnih oseb, ki so odgovorne za kršitev.	črtano

Predlog spremembe 107

Predlog direktive

Člen 29 – odstavek 5 – pododstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Te sankcije se uporabljajo samo, dokler subjekt ne sprejme potrebnih ukrepov za odpravo pomanjkljivosti ali izpolni zahtev pristojnega organa, zaradi katerih so bile take sankcije naložene.	(Ne zadeva slovenske različice.)

Predlog spremembe 108

Predlog direktive

Člen 29 – odstavek 7 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) dejansko povzročeno škodo ali nastale izgube ali morebitno škodo ali izgube, ki bi lahko nastale, če jih je mogoče določiti. Pri ocenjevanju tega vidika se med drugim upoštevajo dejanske ali morebitne finančne ali gospodarske izgube, učinki na druge storitve, število prizadetih ali potencialno prizadetih uporabnikov;	(c) dejansko povzročeno materialno ali nematerialno škodo ali nastale izgube, če jih je mogoče določiti. Pri ocenjevanju tega vidika se med drugim upoštevajo dejanske ali morebitne finančne ali gospodarske izgube, učinki na druge storitve, število prizadetih ali potencialno prizadetih uporabnikov;

Predlog spremembe 109

Predlog direktive

Člen 29 – odstavek 7 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) vse relevantne predhodne kršitve zadevnega subjekta;

Predlog spremembe 110

Predlog direktive

Člen 29 – odstavek 7 – točka c b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(cb) način, kako je pristojni organ izvedel za kršitev, zlasti če in v kakšnem obsegu je subjekt priglasil kršitev;

Predlog spremembe 111

Predlog direktive

Člen 29 – odstavek 7 – točka g


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(g) raven sodelovanja fizičnih ali pravnih oseb, ki se štejejo za odgovorne, s pristojnimi organi.	(g) raven sodelovanja s pristojnimi organi pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

Predlog spremembe 112

Predlog direktive

Člen 29 – odstavek 7 – točka g a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ga) morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.

Predlog spremembe 113

Predlog direktive

Člen 29 – odstavek 9


Besedilo, ki ga predlaga Komisija	Predlog spremembe
9. Države članice zagotovijo, da njihovi pristojni organi obvestijo ustrezne pristojne organe zadevne države članice, imenovane v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], kadar izvajajo nadzorna in izvršilna pooblastila, namenjena zagotavljanju, da bistveni subjekt, ki je v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] opredeljen kot kritičen ali kot subjekt, enakovreden kritičnemu subjektu, izpolnjuje obveznosti v skladu s to direktivo. Na zahtevo pristojnih organov iz Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] lahko pristojni organi izvajajo nadzorna in izvršilna pooblastila nad bistvenim subjektom, ki je opredeljen kot kritičen ali enakovreden.	9. Države članice zagotovijo, da njihovi pristojni organi v realnem času obvestijo ustrezne pristojne organe vseh držav članic, imenovane v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], kadar izvajajo nadzorna in izvršilna pooblastila, namenjena zagotavljanju, da bistveni subjekt, ki je v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] opredeljen kot kritičen ali kot subjekt, enakovreden kritičnemu subjektu, izpolnjuje obveznosti v skladu s to direktivo. Na zahtevo pristojnih organov iz Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] lahko pristojni organi izvajajo nadzorna in izvršilna pooblastila nad bistvenim subjektom, ki je opredeljen kot kritičen ali enakovreden.

Predlog spremembe 114

Predlog direktive

Člen 30 – odstavek 4 – točka g


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(g) takim subjektom odredijo, naj na določen način objavijo vidike neizpolnjevanja svojih obveznosti, določenih v tej direktivi;	črtano

Predlog spremembe 115

Predlog direktive

Člen 30 – odstavek 4 – točka h


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(h) podajo javno izjavo, v kateri so opredeljene pravne in fizične osebe, odgovorne za kršitev obveznosti, določene v tej direktivi, in narava zadevne kršitve;	h) podajo javno izjavo, v kateri so opredeljene pravne osebe, odgovorne za kršitev obveznosti, določene v tej direktivi, in narava zadevne kršitve;

Predlog spremembe 116

Predlog direktive

Člen 31 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (i) člena 29(4), člena 29(5) in točk (a) do (h) člena 30(4).	(Ne zadeva slovenske različice.)

Predlog spremembe 117

Predlog direktive

Člen 31 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Pri odločanju o naložitvi upravne globe in njeni višini se v vsakem posameznem primeru upoštevajo vsaj elementi, določeni v členu 29(7).	3. Pri odločanju o naložitvi upravne globe se upoštevajo okoliščine posameznega primera, pri odločanju o njeni višini pa se v vsakem posameznem primeru upoštevajo vsaj elementi, določeni v členu 29(7).

Predlog spremembe 118

Predlog direktive

Člen 32 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Če imajo pristojni organi informacije, ki kažejo, da kršitev obveznosti iz členov 18 in 20 s strani bistvenega ali pomembnega subjekta pomeni kršitev varstva osebnih podatkov, kot je opredeljena v členu 4(12) Uredbe (EU) 2016/679 in ki se uradno sporoči v skladu s členom 33 navedene uredbe, o tem v razumnem času obvestijo nadzorne organe, ki so pristojni v skladu s členoma 55 in 56 navedene uredbe.	1. Če imajo pristojni organi informacije, ki kažejo, da kršitev obveznosti iz členov 18 in 20 s strani bistvenega ali pomembnega subjekta pomeni kršitev varstva osebnih podatkov, kot je opredeljena v členu 4(12) Uredbe (EU) 2016/679 in ki se uradno sporoči v skladu s členom 33 navedene uredbe, o tem brez nepotrebnega odlašanja, vsekakor pa v 24 urah obvestijo nadzorne organe, ki so pristojni v skladu s členoma 55 in 56 navedene uredbe.

Predlog spremembe 119

Predlog direktive

Člen 32 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Če ima nadzorni organ, ki je pristojen v skladu z Uredbo (EU) 2016/679, sedež v drugi državi članici kot pristojni organ, lahko pristojni organ obvesti nadzorni organ, ki ima sedež v isti državi članici.	3. Če ima nadzorni organ, ki je pristojen v skladu z Uredbo (EU) 2016/679, sedež v drugi državi članici kot pristojni organ, pristojni organ obvesti nadzorni organ, ki ima sedež v isti državi članici.

Predlog spremembe 120

Predlog direktive

Člen 34 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	Člen 34a
	Odgovornost v primeru neskladnosti
	Brez poseganja v razpoložljiva upravna ali nesodna sredstva imajo prejemniki storitev, ki jih opravljajo bistveni in pomembni subjekti, v primeru škode zaradi nespoštovanja te direktive s strani ponudnikov, pravico do učinkovitega sodnega varstva.

Predlog spremembe 121

Predlog direktive

Člen 35 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Komisija redno pregleduje delovanje te direktive ter poroča Evropskemu parlamentu in Svetu. V poročilu oceni zlasti pomen sektorjev, podsektorjev, velikosti in vrste subjektov iz prilog I in II za delovanje gospodarstva in družbe v zvezi s kibernetsko varnostjo. V ta namen in zaradi nadaljnje krepitve strateškega in operativnega sodelovanja Komisija upošteva poročila skupine za sodelovanje in mreže skupin CSIRT o izkušnjah, pridobljenih na strateški in operativni ravni. Prvo poročilo se predloži do… 54 mesecev po datumu začetka veljavnosti te direktive.	Komisija redno pregleduje delovanje te direktive ter vsaka tri leta poroča Evropskemu parlamentu in Svetu. V poročilu oceni zlasti, v kakšnem obsegu je direktiva prispevala k doseganju najvišje ravni varnosti in celovitosti omrežij in informacij ob optimalnem varovanju zasebnega življenja in osebnih podatkov, ter oceni pomen sektorjev, podsektorjev, velikosti in vrste subjektov iz prilog I in II za delovanje gospodarstva in družbe v zvezi s kibernetsko varnostjo. V ta namen in zaradi nadaljnje krepitve strateškega in operativnega sodelovanja Komisija upošteva poročila skupine za sodelovanje in mreže skupin CSIRT o izkušnjah, pridobljenih na strateški in operativni ravni. Prvo poročilo se predloži do… 36 mesecev po datumu začetka veljavnosti te direktive.

Predlog spremembe 122

Predlog direktive

Priloga I – točka 5 (Zdravje) – alineja 6 (novo)

Besedilo, ki ga predlaga Komisija

Sektor

Podsektor

Vrsta subjekta

5. Zdravje

– izvajalci zdravstvenega varstva iz točke (g) člena 3 Direktive 2011/24/EU (90)

– referenčni laboratoriji EU iz člena 15 Uredbe XXXX/XXXX o resnih čezmejnih grožnjah za zdravje (91)

– subjekti, ki izvajajo raziskovalne in razvojne dejavnosti na področju zdravil iz točke 2 člena 1 Direktive 2001/83/ES (92)

– subjekti, ki proizvajajo farmacevtske surovine in preparate s področja C oddelka 21 NACE Rev. 2

– subjekti, ki proizvajajo medicinske pripomočke, ki se štejejo za kritične v času izrednih razmer v javnem zdravju („seznam kritičnih pripomočkov v izrednih razmerah v javnem zdravju“) iz člena 20 Uredbe XXXX (93)

91 [Uredba Evropskega parlamenta in Sveta o resnih čezmejnih grožnjah za zdravje in o razveljavitvi Sklepa št. 1082/2013/EU, sklic se posodobi po sprejetju predloga COM(2020) 727 final.]

92 Direktiva 2001/83/ES Evropskega parlamenta in Sveta z dne 6. novembra 2001 o zakoniku Skupnosti o zdravilih za uporabo v humani medicini (UL L 311, 28.11.2001, str. 67).

93 [Uredba Evropskega parlamenta in Sveta o okrepljeni vlogi Evropske agencije za zdravila pri pripravljenosti na krize in kriznem upravljanju na področju zdravil in medicinskih pripomočkov, sklic se posodobi po sprejetju predloga COM(2020) 725 final.]

Predlog spremembe

Sektor	Podsektor	Vrsta subjekta
5. Zdravje		– izvajalci zdravstvenega varstva iz točke (g) člena 3 Direktive 2011/24/EU (90)
		– referenčni laboratoriji EU iz člena 15 Uredbe XXXX/XXXX o resnih čezmejnih grožnjah za zdravje (91)
		– subjekti, ki izvajajo raziskovalne in razvojne dejavnosti na področju zdravil iz točke 2 člena 1 Direktive 2001/83/ES (92)
		– subjekti, ki proizvajajo farmacevtske surovine in preparate s področja C oddelka 21 NACE Rev. 2
		– subjekti, ki proizvajajo medicinske pripomočke, ki se štejejo za kritične v času izrednih razmer v javnem zdravju („seznam kritičnih pripomočkov v izrednih razmerah v javnem zdravju“) iz člena 20 Uredbe XXXX (93)
		– subjekti, ki imajo dovoljenje za promet z zdravili iz člena 79 Direktive 2001/83/ES
91 [Uredba Evropskega parlamenta in Sveta o resnih čezmejnih grožnjah za zdravje in o razveljavitvi Sklepa št. 1082/2013/EU, sklic se posodobi po sprejetju predloga COM(2020)0727.]
92 Direktiva 2001/83/ES Evropskega parlamenta in Sveta z dne 6. novembra 2001 o zakoniku Skupnosti o zdravilih za uporabo v humani medicini (UL L 311, 28.11.2001, str. 67).
93 [Uredba Evropskega parlamenta in Sveta o okrepljeni vlogi Evropske agencije za zdravila pri pripravljenosti na krize in kriznem upravljanju na področju zdravil in medicinskih pripomočkov, sklic se posodobi po sprejetju predloga COM(2020)0727.]

POSTOPEK V ODBORU, ZAPROŠENEM ZA MNENJE

Naslov	Ukrepi za visoko skupno raven kibernetske varnosti v Uniji in razveljavitev Direktive (EU) 2016/1148
Referenčni dokumenti	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Pristojni odbor Datum razglasitve na zasedanju	ITRE 21.1.2021
Mnenje pripravil Datum razglasitve na zasedanju	LIBE 21.1.2021
Pridruženi odbori - datum razglasitve na zasedanju	20.5.2021
Pripravljavec/-ka mnenja Datum imenovanja	Lukas Mandl 12.4.2021
Obravnava v odboru	16.6.2021	3.9.2021	11.10.2021
Datum sprejetja	12.10.2021
Izid končnega glasovanja	+: –: 0:	44 14 4
Poslanci, navzoči pri končnem glasovanju	Magdalena Adamowicz, Katarina Barley, Pernando Barrena Arza, Pietro Bartolo, Nicolas Bay, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Patrick Breyer, Saskia Bricmont, Jorge Buxadé Villalba, Damien Carême, Caterina Chinnici, Clare Daly, Marcel de Graaff, Anna Júlia Donáth, Lena Düpont, Cornelia Ernst, Laura Ferrara, Nicolaus Fest, Maria Grapini, Sophia in ‘t Veld, Patryk Jaki, Marina Kaljurand, Assita Kanko, Fabienne Keller, Peter Kofod, Moritz Körner, Jeroen Lenaers, Juan Fernando López Aguilar, Lukas Mandl, Roberta Metsola, Nadine Morano, Javier Moreno Sánchez, Maite Pagazaurtundúa, Nicola Procaccini, Emil Radev, Paulo Rangel, Terry Reintke, Diana Riba i Giner, Ralf Seekatz, Michal Šimečka, Birgit Sippel, Sara Skyttedal, Martin Sonneborn, Tineke Strik, Ramona Strugariu, Annalisa Tardino, Milan Uhrík, Tom Vandendriessche, Bettina Vollath, Elisavet Vozemberg-Vrionidi (Elissavet Vozemberg-Vrionidi), Jadwiga Wiśniewska, Javier Zarzalejos
Namestniki, navzoči pri končnem glasovanju	Olivier Chastel, Tanja Fajon, Jan-Christoph Oetjen, Philippe Olivier, Anne-Sophie Pelletier, Thijs Reuten, Rob Rooken, Maria Walsh

POIMENSKO GLASOVANJE PRI KONČNEM GLASOVANJU
V ODBORU, ZAPROŠENEM ZA MNENJE

44	+
ID	Nicolas Bay, Nicolaus Fest, Peter Kofod, Philippe Olivier, Annalisa Tardino, Tom Vandendriessche
NI	Laura Ferrara
PPE	Magdalena Adamowicz, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Lena Düpont, Jeroen Lenaers, Lukas Mandl, Roberta Metsola, Nadine Morano, Emil Radev, Paulo Rangel, Ralf Seekatz, Sara Skyttedal, Elisavet Vozemberg-Vrionidi (Elissavet Vozemberg-Vrionidi), Maria Walsh, Javier Zarzalejos
Renew	Olivier Chastel, Anna Júlia Donáth, Sophia in 't Veld, Fabienne Keller, Moritz Körner, Jan-Christoph Oetjen, Maite Pagazaurtundúa, Michal Šimečka, Ramona Strugariu
S&D	Katarina Barley, Pietro Bartolo, Caterina Chinnici, Tanja Fajon, Maria Grapini, Marina Kaljurand, Juan Fernando López Aguilar, Javier Moreno Sánchez, Thijs Reuten, Birgit Sippel, Bettina Vollath
Verts/ALE	Damien Carême

14	-
ECR	Jorge Buxadé Villalba, Patryk Jaki, Assita Kanko, Nicola Procaccini, Rob Rooken, Jadwiga Wiśniewska
ID	Marcel de Graaff
NI	Martin Sonneborn, Milan Uhrík
Verts/ALE	Patrick Breyer, Saskia Bricmont, Terry Reintke, Diana Riba i Giner, Tineke Strik

4	0
The Left	Pernando Barrena Arza, Clare Daly, Cornelia Ernst, Anne-Sophie Pelletier

Uporabljeni znaki:

+ : za

- : proti

0 : vzdržani

MNENJE ODBORA ZA ZUNANJE ZADEVE (15.7.2021)

za Odbor za industrijo, raziskave in energetiko

o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Pripravljavka mnenja: Markéta Gregorová

PREDLOGI SPREMEMB

Odbor za zunanje zadeve poziva Odbor za industrijo, raziskave in energetiko kot pristojni odbor, da upošteva naslednje predloge sprememb:

Predlog spremembe 1

Predlog direktive

Uvodna izjava 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(2) Od začetka veljavnosti Direktive (EU) 2016/1148 je bil dosežen velik napredek pri zviševanju ravni kibernetske odpornosti v Uniji. Pregled navedene direktive je pokazal, da se je uporabljala kot katalizator za institucionalni in regulativni pristop h kibernetski varnosti v Uniji, s čimer je utrla pot do velike spremembe v mišljenju. Direktiva je zagotovila dokončanje nacionalnih okvirov z opredelitvijo nacionalnih strategij za kibernetsko varnost, vzpostavitvijo nacionalnih zmogljivosti in izvajanjem regulativnih ukrepov, ki so zajemali bistvene infrastrukture in akterje, ki so jih določile posamezne države članice. Prispevala je tudi k sodelovanju na ravni Unije z ustanovitvijo skupine za sodelovanje12 in mreže nacionalnih skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: mreža skupin CSIRT)13. Kljub navedenim dosežkom pa so bile pri pregledu Direktive (EU) 2016/1148 razkrite pomanjkljivosti, zaradi katerih z navedeno direktivo ni mogoče učinkovito obravnavati sedanjih in nastajajočih izzivov na področju kibernetske varnosti.	(2) Od začetka veljavnosti Direktive (EU) 2016/1148 je bil dosežen velik napredek pri zviševanju ravni kibernetske odpornosti v Uniji. Pregled navedene direktive je pokazal, da se je uporabljala kot katalizator za institucionalni in regulativni pristop h kibernetski varnosti v Uniji, s čimer je utrla pot do velike spremembe v mišljenju. Direktiva je zagotovila dokončanje nacionalnih okvirov z opredelitvijo nacionalnih strategij za kibernetsko varnost, vzpostavitvijo nacionalnih zmogljivosti in izvajanjem regulativnih ukrepov, ki so zajemali bistvene infrastrukture in akterje, ki so jih določile posamezne države članice. Prispevala je tudi k sodelovanju na ravni Unije z ustanovitvijo skupine za sodelovanje12 in mreže nacionalnih skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: mreža skupin CSIRT)13. Direktiva (EU) 2016/1148 je bila prvi zakonodajni akt o kibernetski varnosti, ki velja za vso Unijo in ki tudi na področju varnosti in obrambe določa pravne ukrepe za višjo splošno raven kibernetske odpornosti v Uniji, tako da omogoča sodelovanje držav članic in kulturo varnosti v različnih sektorjih. Kljub navedenim dosežkom pa so bile pri pregledu Direktive (EU) 2016/1148 razkrite pomanjkljivosti, zaradi katerih z navedeno direktivo ni mogoče učinkovito obravnavati sedanjih in nastajajočih izzivov na področju kibernetske varnosti, ki se pogosto pojavljajo zunaj Unije, vendar resno ogrožajo notranjo in zunanjo varnost na ravni Unije.
_________________	_________________
12 Člen 11 Direktive (EU) 2016/1148.	12 Člen 11 Direktive (EU) 2016/1148.
13 Člen 12 Direktive (EU) 2016/1148.	13 Člen 12 Direktive (EU) 2016/1148.

Predlog spremembe 2

Predlog direktive

Uvodna izjava 3 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(3a) Hibridne kampanje so po pojmovanju Unije „večdimenzionalne ter združujejo prisilne in subverzivne ukrepe, pri čemer uporabljajo konvencionalna in nekonvencionalna orodja in taktike (diplomatske, vojaške, ekonomske in tehnološke) za destabilizacijo nasprotnika. Zasnovane so tako, da jih je težko odkriti ali pripisati nekomu, uporabljajo pa jih lahko državni in nedržavni akterji.“1a. Z internetom in spletnimi omrežji imajo državni in nedržavni akterji nove možnosti za agresivne ukrepe. Uporabijo jih lahko za vdiranje v kritično infrastrukturo in demokratične procese, uvajanje prepričljivih dezinformacijskih in propagandnih kampanj, krajo informacij in objavljanje občutljivih podatkov. V najhujšem primeru kibernetski napadi nasprotniku omogočijo, da prevzame nadzor nad sredstvi, kot so vojaški sistemi in strukture poveljevanja1b. Hkrati je odločilno sodelovanje z zasebnim sektorjem in civilnimi deležniki, tudi sektorji in subjekti, ki upravljajo kritične infrastrukture, in bi ga bilo treba poglobiti zaradi posebnih značilnosti kibernetske domene, kjer inovacije večinoma prispevajo zasebna podjetja, ki pa pogosto ne delujejo na vojaškem področju; Na takšne kibernetske incidente in krize velikega obsega na ravni Unije se je treba ustrezno pripraviti in se pred njimi zavarovati s pomočjo skupnih urjenj, saj je mogoče sklicevanje na člen 222 PDEU (solidarnostna klavzula).
	_________________
	1a Evropska komisija/visoki predstavnik Unije za zunanje zadeve in varnostno politiko, „Skupno sporočilo o povečanju odpornosti in krepitvi zmogljivosti za obravnavanje hibridnih groženj“, JOIN(2018) 16 final, Bruselj, 13. junija 2018, str. 1.
	1b https://www.iss.europa.eu/sites/default/files/EUISSFiles/CP_151.pdf

Predlog spremembe 3

Predlog direktive

Uvodna izjava 3 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(3b) Med kibernetskimi incidenti in krizami velikega obsega na ravni Unije je zaradi visoke stopnje medsebojne odvisnosti sektorjev in držav potrebno usklajeno ukrepanje, ki bo omogočilo hiter in učinkovit odziv ter boljše preprečevanje podobnih razmer in pripravljenost nanje v prihodnosti. Razpoložljivost kibernetsko odpornih omrežij in informacijskih sistemov ter razpoložljivost, zaupnost in celovitost podatkov so ključnega pomena za varnost Unije znotraj in zunaj njenih meja. Za ambicijo Unije, da pridobi vidnejšo geopolitično vlogo, sta pomembna tudi verodostojna kibernetska obramba in odvračanje, vključno z zmožnostjo pravočasnega učinkovitega prepoznavanja zlonamernih dejanj in ustreznega odzivanja. Ker so meje med civilnimi in vojaškimi zadevami zabrisane in zaradi dvojne rabe kibernetskih orodij in tehnologij je potreben celovit in celosten pristop k digitalnemu področju. To velja tudi za operacije in misije skupne varnostne in obrambne politike (SVOP), ki jih Unija izvaja, da bi zagotovila mir in stabilnost v svojem sosedstvu in širše. Strateški kompas EU bi moral v zvezi s tem okrepiti in usmerjati uresničevanje ravni ambicij Unije na področju varnosti in obrambe ter te ambicije pretvoriti v potrebe po zmogljivostih na področju kibernetske obrambe, s čimer bi se povečala sposobnost Unije in držav članic za preprečevanje zlonamernih kibernetskih dejavnosti, odvračanje od njih, odzivanje nanje in okrevanje po njih s krepitvijo drže, situacijskega zavedanja, orodij, postopkov in partnerstev. Sodelovanje Unije z mednarodnimi organizacijami, kot je NATO, prispeva k razpravam o tem, kako preprečevati hibridne in kibernetske napade, jih odvračati in se nanje odzivati, pa tudi kako raziskati načine za vzpostavitev skupne analize kibernetskih groženj.

Predlog spremembe 4

Predlog direktive

Uvodna izjava 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(6) Ta direktiva ne vpliva na zmožnost držav članic, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese svoje varnosti, javni red in javno varnost ter omogočijo preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. V skladu s členom 346 PDEU nobena država članica ni dolžna dajati informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene javne varnosti. V tem smislu so pomembni nacionalna pravila in pravila Unije za varovanje tajnih podatkov, sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol)14.	(6) Ta direktiva ne vpliva na zmožnost držav članic, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese svoje varnosti, javni red in javno varnost ter omogočijo preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije in temeljnimi pravicami. Ne glede na tehnološko okolje je nujno v celoti spoštovati predpisane postopke ter druge zaščitne ukrepe in temeljne pravice, zlasti pravico do spoštovanja zasebnega življenja in komunikacij ter pravico do varstva osebnih podatkov. Podobno je treba za zagotovitev celovite odpornosti ne le okrepiti tehnološko infrastrukturo in imeti na voljo zmogljivosti za odzivanje, temveč tudi bolje seznaniti javnost s kibernetskim tveganjem in varnostjo. V skladu s členom 346 PDEU nobena država članica ni dolžna dajati informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene javne varnosti. V tem smislu so pomembni nacionalna pravila in pravila Unije za varovanje tajnih podatkov, sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol)14.
_________________	_________________
14 Semaforski protokol je sredstvo, s katerim nekdo, ki izmenjuje informacije, obvesti svoje ciljne skupine o morebitnih omejitvah pri nadaljnjem širjenju teh informacij. Uporablja se v skoraj vseh skupnostih CSIRT ter nekaterih centrih za izmenjavo in analizo informacij.	14 Semaforski protokol je sredstvo, s katerim nekdo, ki izmenjuje informacije, obvesti svoje ciljne skupine o morebitnih omejitvah pri nadaljnjem širjenju teh informacij. Uporablja se v skoraj vseh skupnostih CSIRT ter nekaterih centrih za izmenjavo in analizo informacij.

Predlog spremembe 5

Predlog direktive

Uvodna izjava 14 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(14a) Da bi razvili sistem varne povezljivosti, pri čemer bi se opirali na evropsko infrastrukturo za kvantno komunikacijo (EuroQCI) in vladno satelitsko komunikacijo Evropske unije (GOVSATCOM), zlasti pa začeli izvajati vodilni program Galileo/GNSS za uporabnike na področju obrambe, bi morali pri vsem morebitnem prihodnjem razvoju med drugim upoštevati učinek združitve hitrosti in izpopolnjenosti kvantnega računalništva in zelo avtonomnih vojaških sistemov, zato morajo države članice zagotoviti zaščito celotne infrastrukture za elektronsko komuniciranje, kot so vesoljska, kopenska in podmorska omrežja. Hkrati bi bilo treba oblikovati skupno strategijo sprejemanja računalništva v oblaku za občutljive sektorje, da bi opredelili pristop Unije na osnovi skupnih standardov podobno mislečih držav.

Predlog spremembe 6

Predlog direktive

Uvodna izjava 20


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Pandemija COVID-19 je razkrila šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.	(20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Infrastruktura, ki je v lasti Unije ali jo Unija vodi ali z njo upravlja oziroma se vodi ali se jo upravlja v imenu Unije kot del njenih vesoljskih programov, je zlasti pomembna za varnost Unije in njenih držav članic ter pravilno delovanje misij Unije v okviru SVOP. Tovrstno infrastrukturo je treba ustrezno varovati, kot to določa Uredba (EU) 2021/696 Evropskega parlamenta in Sveta18a. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu ter ogrožajo varnost državljanov Unije. Pandemija COVID-19 je razkrila šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.
	_________________
	18aUredba (EU) 2021/696 Evropskega parlamenta in Sveta z dne 28. aprila 2021 o vzpostavitvi Vesoljskega programa Unije in ustanovitvi Agencije Evropske unije za vesoljski program ter razveljavitvi uredb (EU) št. 912/2010, (EU) št. 1285/2013 in (EU) št. 377/2014 in Sklepa št. 541/2014/EU (UL L 170, 12.5.2021, str. 69).

Predlog spremembe 7

Predlog direktive

Uvodna izjava 26


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(26) Mednarodno sodelovanje na področju kibernetske varnosti je pomembno, zato bi morali skupinam CSIRT poleg sodelovanja v mreži skupin CSIRT, vzpostavljeni s to direktivo, omogočiti sodelovanje tudi v mrežah mednarodnega sodelovanja.	(26) Mednarodno sodelovanje na področju kibernetske varnosti je pomembno, zato bi morali skupinam CSIRT poleg sodelovanja v mreži skupin CSIRT, vzpostavljeni s to direktivo, omogočiti sodelovanje tudi v mrežah mednarodnega sodelovanja, da bi prispevali k oblikovanju standardov Unije, ki lahko sooblikujejo krajino kibernetske varnosti na mednarodni ravni. Države članice bi lahko preučile tudi možnost povečanja sodelovanja s podobno mislečimi partnerskimi državami in mednarodnimi organizacijami, kot so Svet Evrope, Nato, Organizacija za gospodarsko sodelovanje in razvoj, Organizacija za varnost in sodelovanje v Evropi ter Organizacija združenih narodov, da bi sklenile večstranske sporazume o kibernetskih normah, odgovornem državnem in nedržavnem ravnanju v kibernetskem prostoru in učinkovitem svetovnem digitalnem upravljanju ter vzpostavile odprt, svoboden, stabilen in varen kibernetski prostor, ki bo temeljil na mednarodnem pravu.

Predlog spremembe 8

Predlog direktive

Uvodna izjava 27


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.	(27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga ali ogrožajo varnost državljanov ter gospodarske in finančne interese Unije. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji. Unija in države članice pa bi morale nadalje spodbujati tudi politične razprave o okviru kriznega upravljanja na podlagi vaj in scenarijev, da bi zagotovile skladnost notranje in zunanje politike ter oblikovale skupno razumevanje postopkov za izvajanje solidarnostne klavzule.
_________________	_________________
20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).	20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).

Predlog spremembe 9

Predlog direktive

Uvodna izjava 36


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(36) Unija bi morala, kjer je ustrezno, v skladu s členom 218 PDEU skleniti mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki bi omogočali in urejali njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje in mreže skupin CSIRT. Taki sporazumi bi morali zagotoviti ustrezno varstvo podatkov.	(36) Unija bi morala, kjer je ustrezno, v skladu s členom 218 PDEU skleniti mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki bi omogočali in urejali njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje in mreže skupin CSIRT. Taki sporazumi morajo zagotavljati ustrezno varstvo podatkov, obenem pa bi morali spodbujati dostop do trga in odpravljati varnostna tveganja, izboljšati globalno odpornost ter ozaveščati o kibernetskih grožnjah in zlonamernih kibernetskih dejavnostih. Unija bi morala še naprej podpirati izgradnjo zmogljivosti v tretjih državah. Države članice bi morale po potrebi spodbujati udeležbo podobno mislečih partnerskih držav, s katerimi delijo vrednote Unije, v ustreznih projektih PESCO. Zato bi morala Unija preučiti možnost ponovne uvedbe postopkov za vzpostavitev formalnih in strukturiranih okvirov sodelovanja na tem področju v prihodnosti.

Predlog spremembe 10

Predlog direktive

Uvodna izjava 37


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(37) Države članice bi morale prispevati k vzpostavitvi okvira EU za odzivanje na krize na področju kibernetske varnosti, določenega v Priporočilu (EU) 2017/1584, z obstoječimi mrežami za sodelovanje, zlasti organizacijsko mrežo za povezovanje v kibernetski krizi (EU-CyCLONe), mrežo skupin CSIRT in skupino za sodelovanje. Mreža EU-CyCLONe in mreža skupin CSIRT bi morali sodelovati na podlagi postopkovnih ureditev, v katerih so opredeljeni načini navedenega sodelovanja. V poslovniku mreže EU-CyCLONe bi morali biti podrobneje opredeljeni načini delovanja mreže, med drugim z vlogami, načini sodelovanja, stiki z drugimi ustreznimi akterji in predlogami za izmenjavo informacij ter sredstvi komuniciranja. Za obvladovanje krize na ravni Unije bi se morale ustrezne strani zanašati na enotne ureditve za politično odzivanje na krize (IPCR). Komisija bi morala v ta namen uporabljati postopek medsektorskega kriznega usklajevanja na visoki ravni v okviru sistema ARGUS. Če bo imela kriza znaten vpliv na zunanjo ali skupno varnostno in obrambno politiko (SVOP), bi bilo treba sprožiti mehanizem Evropske službe za zunanje delovanje (ESZD) za krizno odzivanje.	(37) Države članice bi morale prispevati k vzpostavitvi okvira EU za odzivanje na krize na področju kibernetske varnosti, določenega v Priporočilu (EU) 2017/1584, z obstoječimi mrežami za sodelovanje, zlasti organizacijsko mrežo za povezovanje v kibernetski krizi (EU-CyCLONe), mrežo skupin CSIRT in skupino za sodelovanje, Evropskim centrom za boj proti kibernetski kriminaliteti in Obveščevalnim in situacijskim centrom EU (INTCEN), da bi razširile strateško obveščevalno sodelovanje na področju kibernetskih groženj in dejavnosti, s tem pa nadalje podprle spremljanje razmer v Uniji in odločanje o skupnem diplomatskem odzivu. Mreža EU-CyCLONe in mreža skupin CSIRT bi morali sodelovati na podlagi postopkovnih ureditev, v katerih so opredeljeni načini navedenega sodelovanja. V poslovniku mreže EU-CyCLONe bi morali biti podrobneje opredeljeni načini delovanja mreže, med drugim z vlogami, načini sodelovanja, stiki z drugimi ustreznimi akterji in predlogami za izmenjavo informacij ter sredstvi komuniciranja. Za obvladovanje krize na ravni Unije bi se morale ustrezne strani zanašati na enotne ureditve za politično odzivanje na krize (IPCR), ki podpirajo tudi politično usklajevanje odziva ob sklicevanju na uporabo solidarnostne klavzule. Komisija bi morala v ta namen uporabljati postopek medsektorskega kriznega usklajevanja na visoki ravni v okviru sistema ARGUS. Če bo imela kriza znaten vpliv na SVOP, bi bilo treba sprožiti mehanizem Evropske službe za zunanje delovanje (ESZD) za krizno odzivanje in vse druge ukrepe, s katerimi se bodo zaščitile misije in operacije v okviru skupne varnostne in obrambne politike in delegacije Unije. Poleg tega bi morala Unija v celoti izkoristiti svoj nabor orodij kibernetske diplomacije.

Predlog spremembe 11

Predlog direktive

Uvodna izjava 40 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(40a) Države članice bi morale razmisliti o programu aktivne kibernetske obrambe, ki bi bil del njihove nacionalne strategije za kibernetsko varnost določiti, katere del bi bila redna skupna urjenja držav članic in v okviru mednarodnih organizacij, ki bi omogočal, da se sinhronizirano in v realnem času odkrivajo, preiskujejo, analizirajo in blažijo grožnje. Aktivna kibernetska obramba deluje z omrežno hitrostjo s pomočjo senzorjev, programske opreme in obveščevalnih podatkov, njen namen pa je odkrivati in preprečevati zlonamerne dejavnosti, po možnosti preden bi se lahko razširile na omrežja in sisteme. Poleg tega bi morale države članice močno izboljšati metodo za izmenjavo informacij in opredeliti skupni komunikacijski standard, ki bi se lahko uporabljal za tajne in netajne podatke, da bi zagotovile hitro ukrepanje. Unija in države članice bi morale okrepiti tudi zmogljivosti za ugotavljanje odgovornosti za kibernetske napade, da bi jih lahko učinkovito preprečevale in se odzivale nanje na sorazmeren način v skladu z mednarodnim pravom.

Predlog spremembe 12

Predlog direktive

Uvodna izjava 40 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(40b) Države članice bi morale v svojih nacionalnih strategijah za kibernetsko varnost določiti program aktivne kibernetske obrambe. Gre za proaktivno odkrivanje, analiziranje in ublažitev kršitev varnosti omrežja v realnem času, skupaj z uporabo zmogljivosti, ki se uporabljajo zunaj mreže žrtve. Program temelji na obrambni strategiji, ki izključuje ofenzivne ukrepe proti kritični civilni infrastrukturi nasprotnikov, če bi ta pomenila kršitev mednarodnega prava (kot je dodatni protokol iz leta 1977 k ženevskim konvencijam). Sposobnost hitre in samodejne izmenjave in razumevanja informacij o grožnjah in njihove analize, pa tudi opozoril o kibernetskih dejavnostih in ukrepov za odzivanje je ključnega pomena, da bi omogočili enotna prizadevanja za uspešno odkrivanje in preprečevanje kibernetskih napadov. Dejavnosti aktivne kibernetske obrambe bi lahko vključevale konfiguracije poštnih strežnikov in spletišč, omogočanje beleženja in filtriranje sistema domenskih imen. Države članice bi morale sprejeti politike, ki bodo omogočile najširšo možno uporabo najučinkovitejših orodij za kibernetsko varnost ter podprle mala, srednja in druga podjetja ter finančno šibka podjetja z ugodnostmi, nepovratnimi sredstvi, posojili in davčnimi ugodnostmi pri nakupu najboljših proizvodov in storitev za kibernetsko varnost, s čimer se bo preprečilo, da stroški ne bodo postali element diskriminacije. Prav tako bi si morale prizadevati za spodbujanje partnerstev z akademskimi ustanovami in drugimi raziskovalnimi središči, da bi spodbudili raziskave in razvoj na področju kibernetske varnosti ter z večdisciplinarnim pristopom razvili nove tehnologije, orodja in veščine, uporabne tako v civilnem kot obrambnem sektorju. Partnerstva bi bilo treba financirati z obstoječimi in novimi instrumenti pod okriljem Komisije.

Predlog spremembe 13

Predlog direktive

Uvodna izjava 43


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(43) Obravnavanje tveganj za kibernetsko varnost, ki izhajajo iz dobavne verige subjekta in njegovega razmerja z njegovimi dobavitelji, je še zlasti pomembno glede na razširjenost incidentov, v katerih so bili subjekti žrtve kibernetskih napadov in v katerih so bili zlonamerni akterji sposobni ogroziti varnost omrežij in informacijskih sistemov subjekta z izkoriščanjem šibkih točk, ki vplivajo na proizvode in storitve tretje osebe. Subjekti bi morali zato oceniti in upoštevati splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki.	(43) Obravnavanje tveganj za kibernetsko varnost, ki izhajajo iz dobavne verige subjekta in njegovega razmerja z njegovimi dobavitelji, je še zlasti pomembno glede na razširjenost incidentov, v katerih so bili subjekti žrtve kibernetskih napadov in v katerih so bili zlonamerni akterji sposobni ogroziti varnost omrežij in informacijskih sistemov subjekta z izkoriščanjem šibkih točk, ki vplivajo na proizvode in storitve tretje osebe. Subjekti bi morali zato oceniti in upoštevati splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi sistemi za obvladovanje tveganja in varnimi razvojnimi postopki v skladu s standardi Unije na področju kibernetske varnosti.

Predlog spremembe 14

Predlog direktive

Uvodna izjava 43 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(43a) Morebitni netehnični dejavniki tveganja, kot je neprimeren vpliv tretje države na dobavitelje in ponudnike storitev, zlasti v primeru alternativnih modelov upravljanja, vključujejo prikrite šibke točke ali stranska vrata in morebitne sistemske motnje v oskrbi, zlasti v primeru tehnološke vezanosti na ponudnika ali odvisnosti od njega. Ker lahko izkoriščanje šibkih točk v obrambnem sektorju povzroči hude motnje in škodo, so za kibernetsko varnost obrambne industrije potrebni posebni ukrepi, s katerimi bi zagotovili varnost dobavnih verig, zlasti subjektov, ki so nižje v dobavnih verigah in ne potrebujejo dostopa do tajnih podatkov, vendar bi lahko predstavljali resno tveganje za celotni sektor. Posebno pozornost bi morali posvetiti posledicam vsake morebitne kršitve in grožnji vsake morebitne manipulacije podatkov v omrežju, zaradi katerih bi ključna obrambna sredstva lahko postala nekoristna ali ki bi lahko celo nevtralizirala operativne sisteme, zaradi česar bi bili izpostavljeni grožnjam.

Predlog spremembe 15

Predlog direktive

Uvodna izjava 46


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(46) Za nadaljnje obravnavanje ključnih tveganj za dobavno verigo ter zagotavljanje pomoči subjektom, ki delujejo v sektorjih, zajetih s to direktivo, pri ustreznem obvladovanju tveganj za kibernetsko varnost, povezanih z dobavno verigo in dobavitelji, bi morala skupina za sodelovanje, ki vključuje ustrezne nacionalne organe, v sodelovanju s Komisijo in agencijo ENISA izvesti usklajene sektorske ocene tveganj v zvezi z dobavno verigo, kot je že storila za omrežja 5G21 na podlagi Priporočila (EU) 2019/534 o kibernetski varnosti omrežij 5G, da bi opredelila kritične storitve, sisteme ali proizvode IKT, zadevne grožnje in šibke točke za posamezne sektorje.	(46) Za nadaljnje obravnavanje ključnih tveganj za dobavno verigo ter zagotavljanje pomoči subjektom, ki delujejo v sektorjih, zajetih s to direktivo, pri ustreznem obvladovanju tveganj za kibernetsko varnost, povezanih z dobavno verigo in dobavitelji, bi morala skupina za sodelovanje, ki vključuje ustrezne nacionalne organe, v sodelovanju s Komisijo, agencijo ENISA in Evropsko službo za zunanje delovanje izvesti usklajene sektorske ocene tveganj v zvezi z dobavno verigo, kot je že storila za omrežja 5G21 na podlagi Priporočila (EU) 2019/534 o kibernetski varnosti omrežij 5G, da bi opredelila kritične storitve, sisteme ali proizvode IKT, zadevne grožnje in šibke točke za posamezne sektorje.
_________________	_________________
21 Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42).	21 Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42).

Predlog spremembe 16

Predlog direktive

Uvodna izjava 68


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(68) Subjekte bi bilo zato treba spodbuditi, naj skupaj izkoristijo svoje individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmogljivosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, zaščito pred njimi in odzivanje nanje. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij. V ta namen bi morale države članice dejavno podpirati in spodbujati tudi ustrezne subjekte, ki niso zajeti v področje uporabe te direktive, naj sodelujejo v takih mehanizmih za izmenjavo informacij. Taki mehanizmi bi se morali izvajati ob polnem spoštovanju pravil Unije o konkurenci in pravil prava Unije o varstvu podatkov.	(68) Subjekte bi bilo zato treba spodbuditi, naj skupaj izkoristijo svoje individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmogljivosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, zaščito pred njimi in odzivanje nanje. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij. V ta namen bi morale države članice dejavno podpirati in spodbujati tudi ustrezne subjekte, ki niso zajeti v področje uporabe te direktive, naj sodelujejo v takih mehanizmih za izmenjavo informacij. Poleg tega bi države članice lahko razmislile o možnosti povezovanja s podobno mislečimi partnerskimi državami. Taki mehanizmi bi se morali izvajati ob polnem spoštovanju pravil Unije o konkurenci in pravil prava Unije o varstvu podatkov. Zato bi morale države članice podpirati pristojne organe in skupine za odzivanje na incidente na področju računalniške varnosti pri zagotavljanju brezplačne ali dostopne pomoči, izobraževanja in revizijskih programov na področju kibernetske varnosti subjektom, ki ne spadajo na področje uporabe te direktive, zlasti zagonskim podjetjem, MSP in nevladnim organizacijam.

Predlog spremembe 17

Predlog direktive

Uvodna izjava 68 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(68a) Ker ima kibernetska varnost tako civilno kot vojaško razsežnost, bi morali spodbujati izmenjavo informacij med sektorji (obrambni, civilni, preprečevanje, odkrivanje in preiskovanje kaznivih dejanj in zunanje delovanje). Skupna kibernetska enota bi lahko imela pomembno vlogo pri varovanju Unije pred kibernetskimi napadi, če bi akterje pomagala poučiti o grožnjah in bi usklajevala njihov odziv.

Predlog spremembe 18

Predlog direktive

Uvodna izjava 73


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(73) Kadar se upravne globe naložijo podjetjem, bi se podjetje v te namene moralo razumeti kot podjetje v skladu s členoma 101 in 102 PDEU. Kadar se upravne globe naložijo osebam, ki niso podjetje, bi moral nadzorni organ pri določanju ustreznega zneska globe upoštevati splošno raven dohodka v državi članici in ekonomski položaj osebe. Države članice bi morale določiti, ali bi se morale upravne globe uporabljati tudi za javne organe in v kakšnem obsegu. Naložitev upravne globe ne vpliva na uporabo drugih pooblastil pristojnih organov ali drugih sankcij, določenih v nacionalnih pravilih, s katerimi je prenesena ta direktiva.	(73) Kadar se upravne globe naložijo podjetjem, bi se podjetje v te namene moralo razumeti kot podjetje v skladu s členoma 101 in 102 PDEU. Kadar se upravne globe naložijo osebam, ki niso podjetje, bi moral nadzorni organ pri določanju ustreznega zneska globe upoštevati splošno raven dohodka v državi članici in ekonomski položaj osebe, brez poseganja v cilje te direktive. Države članice bi morale določiti, ali bi se morale upravne globe uporabljati tudi za javne organe in v kakšnem obsegu. Naložitev upravne globe ne vpliva na uporabo drugih pooblastil pristojnih organov ali drugih sankcij, določenih v nacionalnih pravilih, s katerimi je prenesena ta direktiva.

Predlog spremembe 19

Predlog direktive

Člen 5 – odstavek 2 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) politiko za obravnavanje kibernetske varnosti v dobavni verigi proizvodov in storitev IKT, ki jih bistveni in pomembni subjekti uporabljajo za opravljanje svojih storitev;	(a) politiko za obravnavanje kibernetske varnosti v dobavni verigi proizvodov in storitev IKT, ki jih bistveni in pomembni subjekti uporabljajo za opravljanje svojih storitev, in sicer na podlagi celovite ocene morebitnih nevarnosti za dobavne verige;

Predlog spremembe 20

Predlog direktive

Člen 5 – odstavek 2 – točka b a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ba) politiko za spodbujanje interoperabilnosti in spoštovanja skupnih standardov Unije na področju kibernetske varnosti;

Predlog spremembe 21

Predlog direktive

Člen 5 – odstavek 2 – točka d


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(d) politiko, povezano z ohranjanjem splošne razpoložljivosti in celovitosti javnega jedra odprtega interneta;	(d) politiko, povezano z ohranjanjem splošne razpoložljivosti in celovitosti javnega jedra odprtega interneta, vključno s kibernetsko varnostjo podmorskih komunikacijskih kablov, kjer je potrebna;

Predlog spremembe 22

Predlog direktive

Člen 5 – odstavek 2 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) politiko za podpiranje akademskih in raziskovalnih institucij pri razvoju orodij in varne omrežne infrastrukture za kibernetsko varnost;	(f) politiko za podpiranje akademskih in raziskovalnih institucij pri raziskavah kibernetske varnosti ter pri razvoju orodij in varne omrežne infrastrukture za kibernetsko varnost;

Predlog spremembe 23

Predlog direktive

Člen 5 – odstavek 2 – točka h


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(h) politiko za obravnavanje posebnih potreb MSP, zlasti tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam.	(h) politiko za obravnavanje posebnih potreb zagonskih podjetij, MSP in nevladnih organizacij, zlasti tistih, ki so izključeni s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam, odzivanju na kibernetske incidente in iskanju pomoči na področju kibernetske varnosti;

Predlog spremembe 24

Predlog direktive

Člen 5 – odstavek 2 – točka h a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ha) politiko za spodbujanje uporabe in razvoja odprtokodne programske opreme.

Predlog spremembe 25

Predlog direktive

Člen 6 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Vsaka država članica imenuje eno od svojih skupin CSIRT iz člena 9 za koordinatorko za usklajeno razkrivanje šibkih točk. Imenovana skupina CSIRT deluje kot zaupanja vredna posrednica, ki po potrebi olajšuje sodelovanje med poročajočim subjektom in proizvajalcem ali ponudnikom proizvodov ali storitev IKT. Če se sporočena šibka točka nanaša na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT v Uniji, imenovana skupina CSIRT vsake zadevne države članice sodeluje z mrežo skupin CSIRT.	1. Vsaka država članica imenuje eno od svojih skupin CSIRT iz člena 9 za koordinatorko za obvezno odgovorno razkrivanje šibkih točk. Imenovana skupina CSIRT deluje kot zaupanja vredna posrednica, ki po potrebi olajšuje sodelovanje med poročajočim subjektom in proizvajalcem ali ponudnikom proizvodov ali storitev IKT. Če se sporočena šibka točka nanaša na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT v Uniji, imenovana skupina CSIRT vsake zadevne države članice sodeluje z mrežo skupin CSIRT.

Predlog spremembe 26

Predlog direktive

Člen 6 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Agencija ENISA razvije in vzdržuje evropski register šibkih točk. V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT ter zagotovijo dostop do informacij o šibkih točkah, vsebovanih v registru, vsem zainteresiranim stranem. Register vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, naslovljene na uporabnike proizvodov in storitev s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk.	2. Agencija ENISA razvije in vzdržuje evropski register šibkih točk. V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT ter zagotovijo dostop do informacij o šibkih točkah, vsebovanih v registru, vsem zainteresiranim stranem. V skladu s členom 10(2) skupine CSIRT poleg pomoči za zmanjševanje tveganja omogočajo dostop do informacij o šibkih točkah, zabeleženih v evropskem registru šibkih točk, tudi subjektom, ki ne spadajo na področje uporabe te direktive, zlasti zagonskim podjetjem, MSP in nevladnim organizacijam. Register vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, naslovljene na uporabnike proizvodov in storitev s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk.

Predlog spremembe 27

Predlog direktive

Člen 7 – odstavek 3 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) nacionalni postopki in ureditve med ustreznimi nacionalnimi organi za zagotovitev učinkovitega sodelovanja države članice pri usklajenem upravljanju velikih kibernetskih incidentov in kriz na ravni Unije ter njegove podpore.	(f) nacionalni postopki in ureditve med ustreznimi nacionalnimi organi za zagotovitev učinkovitega sodelovanja države članice pri usklajenem upravljanju velikih kibernetskih incidentov in kriz na ravni Unije ter njegove podpore, tudi odzivi na ustrezne zahteve na podlagi solidarnostne klavzule.

Predlog spremembe 28

Predlog direktive

Člen 7 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice Komisijo obvestijo o imenovanju svojih pristojnih organov iz odstavka 1 ter predložijo svoje nacionalne načrte odzivanja na kibernetske incidente in krize iz odstavka 3 v treh mesecih od zadevnega imenovanja in sprejetja navedenih načrtov. Države članice lahko iz načrta izključijo določene informacije, če in kolikor je to nujno potrebno za njihovo nacionalno varnost.	4. Države članice Komisijo obvestijo o imenovanju svojih pristojnih organov iz odstavka 1 ter predložijo svoje nacionalne načrte odzivanja na kibernetske incidente in krize iz odstavka 3 v treh mesecih od zadevnega imenovanja in sprejetja navedenih načrtov. Države članice lahko iz načrta izključijo določene informacije, če in kolikor je to nujno potrebno za njihovo nacionalno varnost. V primeru velikega kibernetskega incidenta in krize, ki ne prizadene samo ene države članice in je pomemben na ravni Unije, se vzpostavi ustrezno krizno upravljanje in vodenje. S temi strukturami se organizirajo izmenjava informacij, usklajevanje in sodelovanje s strukturami Unije za zunanjo varnost in vojaško krizno upravljanje ter organi držav članic, pristojnimi za varnost in obrambo.

Predlog spremembe 29

Predlog direktive

Člen 9 – odstavek 4 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	4a. Skupine CSIRT sodelujejo z nacionalnimi institucijami, pristojnimi za ohranjanje javne varnosti, obrambe in nacionalne varnosti, ter si z njimi izmenjujejo ustrezne informacije.

Predlog spremembe 30

Predlog direktive

Člen 9 – odstavek 4 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	4b. Skupine CSIRT sodelujejo ter si, brez poseganja v pravo Unije, zlasti Uredbo (EU) 2016/679, z zaupanja vrednimi tretjimi državami in mednarodnimi organizacijami izmenjujejo relevantne informacije o kibernetskih grožnjah, šibkih točkah, dobri praksi in standardih.

Predlog spremembe 31

Predlog direktive

Člen 9 – odstavek 4 c (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	4c. Skupine CSIRT brez poseganja v pravo Unije, zlasti Uredbo (EU) 2016/679, skupinam CSIRT ali enakovrednim strukturam v državah kandidatkah za članstvo v Uniji in drugih tretjih državah na Zahodnem Balkanu in v vzhodnem partnerstvu zagotavljajo pomoč na področju kibernetske varnosti.

Predlog spremembe 32

Predlog direktive

Člen 10 – odstavek 2 – točka e a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ea) subjektom, ki ne spadajo na področje uporabe te direktive, zlasti zagonskim podjetjem, MSP in nevladnim organizacijam, se zagotovijo brezplačna ali dostopna pomoč, izobraževanje in revizijski programi na področju kibernetske varnosti;

Predlog spremembe 33

Predlog direktive

Člen 11 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, organi kazenskega pregona, organi za varstvo podatkov in organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici.	4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, organi kazenskega pregona, organi za varstvo podatkov, nacionalnimi nadzornimi organi za umetno inteligenco, nacionalnimi pristojnimi organi za upravljanje podatkov, in organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici.
_________________	_________________
39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 34

Predlog direktive

Člen 12 – odstavek 3 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije in agencije ENISA. Evropska služba za zunanje delovanje sodeluje pri dejavnostih skupine za sodelovanje kot opazovalka. Evropski nadzorni organi lahko v skladu s členom 17(5)(c) Uredbe (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti] sodelujejo pri dejavnostih skupine za sodelovanje.	3. Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije, EU – CyCLONe, agencije ENISA in Evropske obrambne agencije. Evropska služba za zunanje delovanje sodeluje pri dejavnostih skupine za sodelovanje kot opazovalka. Pri dejavnostih skupine za sodelovanje v skladu s členom 17(5)(c) Uredbe (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti] sodelujejo tudi nacionalni nadzorni organi za umetno inteligenco, nacionalni pristojni organi za upravljanje podatkov in evropski nadzorni organi.

Predlog spremembe 35

Predlog direktive

Člen 12 – odstavek 4 – točka e a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ea) sodelovanje, medsebojna pomoč ter izmenjava dobre prakse in informacij z zaupanja vrednimi tretjimi državami in mednarodnimi organizacijami, brez poseganja v pravo Unije;

Predlog spremembe 36

Predlog direktive

Člen 13 – odstavek 3 – točka k


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(k) sodelovanje in izmenjava informacij s centri za varnostne operacije na regionalni ravni in ravni Unije za izboljšanje skupnega situacijskega zavedanja na področju incidentov in groženj po vsej Uniji;	(k) sodelovanje in izmenjava informacij s centri za varnostne operacije na regionalni ravni in ravni Unije, po potrebi pa tudi z vojaškimi skupinami za odzivanje na računalniške grožnje (CERT), za izboljšanje skupnega situacijskega zavedanja na področju incidentov in groženj po vsej Uniji;

Predlog spremembe 37

Predlog direktive

Člen 14 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Mreža EU-CyCLONe je sestavljena iz predstavnikov organov držav članic za krizno upravljanje, imenovanih v skladu s členom 7, Komisije in agencije ENISA. Agencija ENISA zagotovi sekretariat mreže in podpira varno izmenjavo informacij.	2. Mreža EU-CyCLONe je sestavljena iz predstavnikov organov držav članic za krizno upravljanje, imenovanih v skladu s členom 7, Komisije, Evropske službe za zunanje delovanje in agencije ENISA. Agencija ENISA zagotovi sekretariat mreže in podpira varno izmenjavo informacij. Tem nacionalnim organom za krizno upravljanje svetuje svetovalna skupina civilne družbe. Za velike kibernetske incidente in krize, ki ne prizadenejo samo ene države članice, se vzpostavi struktura za krizno upravljanje na ravni Unije, pri kateri sodelujejo vsi ustrezni akterji. V njej so skupna kibernetska enota, skupine CSIRT, mreža skupin CSIRT, skupina za sodelovanje, Komisija, Evropska služba za zunanje delovanje in agencija ENISA. Struktura tudi pripravi in izvaja sklicevanje na solidarnostno klavzulo in njeno uporabo.

Predlog spremembe 38

Predlog direktive

Člen 14 – odstavek 3 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) zviševanje ravni pripravljenosti za upravljanje velikih incidentov in kriz;	(a) zviševanje ravni pripravljenosti za upravljanje velikih incidentov in kriz in sodelovanje z agencijami držav članic, odgovornimi za državno varnost in teritorialno obrambo;

Predlog spremembe 39

Predlog direktive

Člen 17 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da se člani upravnega organa redno udeležujejo posebnih usposabljanj, da pridobijo dovolj znanja in spretnosti za razumevanje in ocenjevanje tveganj za kibernetsko varnost ter praks upravljanja in njihovega vpliva na dejavnosti subjekta.	2. Države članice zagotovijo, da se člani upravnega organa redno udeležujejo posebnih usposabljanj, da pridobijo dovolj znanja in spretnosti za razumevanje in ocenjevanje tveganj za kibernetsko varnost ter praks upravljanja in njihovega vpliva na dejavnosti subjekta. Države članice spodbujajo bistvene in pomembne subjekte, da pri članih upravnih organov iz odstavka 1 tega člena redno ocenjujejo ustreznost znanj in spretnosti za zagotavljanje skladnosti s členom 18.

Predlog spremembe 40

Predlog direktive

Člen 18 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice zagotovijo, da subjekti pri preučevanju ustreznih ukrepov iz točke (d) odstavka 2 upoštevajo šibke točke posameznega dobavitelja in ponudnika storitev ter splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki.	3. Države članice zagotovijo, da subjekti pri preučevanju ustreznih ukrepov iz točke (d) odstavka 2 upoštevajo šibke točke posameznega dobavitelja in ponudnika storitev ter splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki v skladu s standardi in zakoni Unije na področju kibernetske varnosti ter morebitnimi netehničnimi dejavniki tveganja, kot so prikrite šibke točke ali stranska vrata in morebitne sistemske motnje v oskrbi.

Predlog spremembe 41

Predlog direktive

Člen 19 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Skupina za sodelovanje lahko v sodelovanju s Komisijo in agencijo ENISA izvaja usklajene ocene tveganja za varnost specifičnih kritičnih storitev IKT, sistemov IKT ali dobavnih verig proizvodov IKT, ob upoštevanju tehničnih in po potrebi netehničnih dejavnikov tveganja.	1. Skupina za sodelovanje lahko v sodelovanju s Komisijo, agencijo ENISA in Evropsko službo za zunanje delovanje izvaja usklajene ocene tveganja za varnost specifičnih kritičnih storitev IKT, sistemov IKT ali dobavnih verig proizvodov IKT, ob upoštevanju tehničnih in po potrebi netehničnih dejavnikov tveganja.

Predlog spremembe 42

Predlog direktive

Člen 19 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA opredeli specifične kritične storitve, sisteme ali proizvode IKT, ki so lahko predmet usklajene ocene tveganja iz odstavka 1.	2. Komisija po posvetovanju s skupino za sodelovanje, agencijo ENISA in Evropsko službo za zunanje delovanje opredeli specifične kritične storitve, sisteme ali proizvode IKT, ki so lahko predmet usklajene ocene tveganja iz odstavka 1.

Predlog spremembe 43

Predlog direktive

Člen 19 – odstavek 2 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	2a. Komisija po opredelitvi tveganj za posamezne kritične storitve, sisteme ali proizvodne dobavne verige IKT po posvetovanju s skupino za sodelovanje, agencijo ENISA in Evropsko službo za zunanje delovanje za države članice in pristojne nacionalne organe, opredeljene v tej uredbi, izda priporočila za odpravo ugotovljenih tveganj in povečanje odpornosti nanje.

Predlog spremembe 44

Predlog direktive

Člen 25 – odstavek 1 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) informacije o upravnem organu, pristojnem za ukrepe za obvladovanje tveganj na področju kibernetske varnosti iz člena 18 v skladu s členom 17;

Predlog spremembe 45

Predlog direktive

Člen 29 – odstavek 2 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju;	(c) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju, vključno s tveganjem, povezanim z dobavnimi verigami, kot je opredeljeno v členu 18(3);

Predlog spremembe 46

Predlog direktive

Člen 30 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju;	(b) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju, vključno s tveganjem, povezanim z dobavnimi verigami, kot je opredeljeno v členu 18(3);

Predlog spremembe 47

Predlog direktive

Priloga I – bistveni subjekti: sektorji, podsektorji in vrste subjektov – sektor 6 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	6a. Izobraževanje in raziskave – Visokošolske in raziskovalne ustanove

Predlog spremembe 48

Predlog direktive

Priloga I – BISTVENI SUBJEKTI: SEKTORJI, PODSEKTORJI IN VRSTE SUBJEKTOV – sektor 9 Javna uprava – vrste subjektov


Besedilo, ki ga predlaga Komisija	Predlog spremembe
– subjekti javne uprave enot centralne ravni držav	– subjekti javne uprave enot centralne ravni držav
– subjekti javne uprave regij na ravni NUTS 1, navedeni v Prilogi I k Uredbi (ES) št. 1059/2003 (27)	– subjekti javne uprave regij na ravni NUTS 1, navedeni v Prilogi I k Uredbi (ES) št. 1059/2003 (27, 27 a (novo))
– subjekti javne uprave regij na ravni NUTS 2, navedeni v Prilogi I k Uredbi (ES) št. 1059/2003	– subjekti javne uprave regij na ravni NUTS 2, navedeni v Prilogi I k Uredbi (ES) št. 1059/2003 (27 b (novo))
__________________	__________________
27 Uredba (ES) št. 1059/2003 Evropskega parlamenta in Sveta z dne 26. maja 2003 o oblikovanju skupne klasifikacije statističnih teritorialnih enot (nuts) (UL L 154, 21.6.2003, str. 1).	27 Uredba (ES) št. 1059/2003 Evropskega parlamenta in Sveta z dne 26. maja 2003 o oblikovanju skupne klasifikacije statističnih teritorialnih enot (nuts) (UL L 154, 21.6.2003, str. 1).
	27 a (novo) Ali enakovredne upravne enote v državah članicah, v katerih se klasifikacija NUTS še ni vključena v institucionalno upravno ureditev.
	27 b (novo) Ali enakovredne upravne enote v državah članicah, v katerih se klasifikacija NUTS še ni vključena v institucionalno upravno ureditev.

POSTOPEK V ODBORU, ZAPROŠENEM ZA MNENJE

Naslov	Ukrepi za visoko skupno raven kibernetske varnosti v Uniji in razveljavitev Direktive (EU) 2016/1148
Referenčni dokumenti	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Pristojni odbor Datum razglasitve na zasedanju	ITRE 21.1.2021
Mnenje pripravil Datum razglasitve na zasedanju	AFET 21.1.2021
Pripravljavec/-ka mnenja Datum imenovanja	Markéta Gregorová 22.2.2021
Obravnava v odboru	25.5.2021	16.6.2021	17.6.2021
Datum sprejetja	14.7.2021
Izid končnega glasovanja	+: –: 0:	59 5 6
Poslanci, navzoči pri končnem glasovanju	Alviina Alametsä, Aleksander Aleksandrov Jordanov (Alexander Alexandrov Yordanov), Maria Arena, Petras Auštrevičius, Traian Băsescu, Anna Bonfrisco, Reinhard Bütikofer, Fabio Massimo Castaldo, Susanna Ceccardi, Włodzimierz Cimoszewicz, Katalin Cseh, Tanja Fajon, Anna Fotyga, Michael Gahler, Jorgos Jeorjiu (Giorgos Georgiou), Sunčana Glavak, Raphaël Glucksmann, Klemen Grošelj, Bernard Guetta, Márton Gyöngyösi, Andrzej Halicki, Sandra Kalniete, Dietmar Köster, Maximilian Krah, Andrius Kubilius, Ilhan Kjučuk (Ilhan Kyuchyuk), David Lega, Miriam Lexmann, Nathalie Loiseau, Antonio López-Istúriz White, Jaak Madison, Claudiu Manda, Thierry Mariani, Vangelis Meimarakis, Sven Mikser, Francisco José Millán Mon, Javier Nart, Urmas Paet, Dimitris Papadakis (Demetris Papadakis), Kostas Papadakis, Tonino Picula, Manu Pineda, Giuliano Pisapia, Thijs Reuten, Jérôme Rivière, María Soraya Rodríguez Ramos, Nacho Sánchez Amor, Isabel Santos, Jacek Saryusz-Wolski, Andreas Schieder, Radosław Sikorski, Jordi Solé, Sergej Stanišev (Sergei Stanishev), Tineke Strik, Hermann Tertsch, Hilde Vautmans, Harald Vilimsky, Idoia Villanueva Ruiz, Viola Von Cramon-Taubadel, Thomas Waitz, Witold Jan Waszczykowski, Charlie Weimers, Isabel Wiseler-Lima, Salima Yenbou, Željana Zovko
Namestniki, navzoči pri končnem glasovanju	Ioan-Rareş Bogdan, Andrej Kovačev (Andrey Kovatchev), Marisa Matias, Gabriel Mato, Milan Zver

POIMENSKO GLASOVANJE PRI KONČNEM GLASOVANJU
V ODBORU, ZAPROŠENEM ZA MNENJE

59	+
ECR	Anna Fotyga, Jacek Saryusz-Wolski, Hermann Tertsch, Witold Jan Waszczykowski
ID	Anna Bonfrisco, Susanna Ceccardi
NI	Fabio Massimo Castaldo, Márton Gyöngyösi
PPE	Aleksander Aleksandrov Jordanov (Alexander Alexandrov Yordanov), Traian Băsescu, Ioan-Rareş Bogdan, Michael Gahler, Sunčana Glavak, Andrzej Halicki, Sandra Kalniete, Andrej Kovačev (Andrey Kovatchev), Andrius Kubilius, David Lega, Miriam Lexmann, Antonio López-Istúriz White, Gabriel Mato, Vangelis Meimarakis, Francisco José Millán Mon, Radosław Sikorski, Isabel Wiseler-Lima, Željana Zovko, Milan Zver
Renew	Petras Auštrevičius, Katalin Cseh, Klemen Grošelj, Bernard Guetta, Ilhan Kjučuk (Ilhan Kyuchyuk), Nathalie Loiseau, Javier Nart, Urmas Paet, María Soraya Rodríguez Ramos, Hilde Vautmans
S&D	Maria Arena, Włodzimierz Cimoszewicz, Tanja Fajon, Raphaël Glucksmann, Dietmar Köster, Claudiu Manda, Sven Mikser, Dimitris Papadakis (Demetris Papadakis), Tonino Picula, Giuliano Pisapia, Thijs Reuten, Nacho Sánchez Amor, Isabel Santos, Andreas Schieder, Sergej Stanišev (Sergei Stanishev)
Verts/ALE	Alviina Alametsä, Reinhard Bütikofer, Jordi Solé, Tineke Strik, Viola Von Cramon-Taubadel, Thomas Waitz, Salima Yenbou

5	-
NI	Kostas Papadakis
The Left	Jorgos Jeorjiu (Giorgos Georgiou), Marisa Matias, Manu Pineda, Idoia Villanueva Ruiz

6	0
ECR	Charlie Weimers
ID	Maximilian Krah, Jaak Madison, Thierry Mariani, Jérôme Rivière, Harald Vilimsky

Uporabljeni znaki:

+ : za

- : proti

0 : vzdržani

MNENJE ODBORA ZA NOTRANJI TRG IN VARSTVO POTROŠNIKOV (14.7.2021)

za Odbor za industrijo, raziskave in energetiko

o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Pripravljavec mnenja: Morten Løkkegaard

KRATKA OBRAZLOŽITEV

Pripravljavec mnenja pozdravlja zakonodajni predlog direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji. Meni, da je v vse bolj digitaliziranem svetu varnost na spletu bistvena za zagotavljanje varnega digitalnega okolja in delovanja enotnega trga, kjer lahko potrošniki in gospodarski subjekti svobodno delujejo.

Predlog direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji je pomemben korak v primerjavi z Direktivo (EU) 2016/1148 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji. V predlogu so naštete glavne pomanjkljivosti direktive o varnosti omrežij in informacijskih sistemov, kot so nizka raven kibernetske odpornosti podjetij in sektorjev, neskladna odpornost in nizka raven skupnega situacijskega zavedanja in pomanjkanje skupnega odzivanja na krize v državah članicah in med njimi. Pripravljavec mnenja pozdravlja željo, da bi te pomanjkljivosti odpravili z direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji.

Področje uporabe

Pripravljavec mnenja pozdravlja, da je bilo področje uporabe predloga direktive o ukrepih za visoko skupno raven kibernetske varnosti v Uniji razširjeno, zlasti pa vključitev novih sektorjev, na primer javne uprave. Če bo izrecno navedeno, kateri sektorji in storitve so vključeni, bo to zagotovo zmanjšalo diskrecijsko pravico držav članic pri določitvi, za katere konkretne subjekte direktiva velja, in posledično zmanjšalo razdrobljenost na enotnem trgu.

Komisija je za sektorje in storitve, ki jih direktiva zajema, kot enotno merilo za določitev subjektov, ki spadajo na področje uporabe direktive, predlagala pravilo omejitve velikosti. Prednost tega merila je nedvomno, da zagotavlja pravno varnost, hkrati pa zmanjšuje razlike med državami članicami.

Pripravljavec mnenja sicer pozdravlja razširjeno sektorsko področje uporabe, vendar meni, da bi bilo treba splošno merilo združiti z oceno kritičnosti subjektov v vsakem posameznem sektorju. Tako bi lahko bili s področja uporabe direktive izključeni srednji in veliki subjekti, za katere se na podlagi ocene tveganja šteje, da je njihova stopnja kritičnosti in odvisnosti od sicer kritičnih subjektov nizka.

Pripravljavec mnenja poudarja, da se s to možnostjo državam članicam ne smejo na stežaj odpreti vrata za različne razlage. Da bi zagotovili, da to ne bi povečalo razdrobljenosti pri izvajanju v državah članicah, naj Komisija izda jasne usmeritve.

Pripravljavec mnenja sicer pozdravlja, da so bila mikro- in mala podjetja izključena s področja uporabe, vendar meni, da je treba spodbujati, da se nanj prostovoljno vključijo, saj so prav tako lahko tarča kibernetskih napadov ali občutijo njihove posledice.

Usklajeni regulativni okviri za kibernetsko varnost

Pripravljavec mnenja pozdravlja poglavje, v katerem so opredeljeni različni elementi nacionalnih strategij za kibernetsko varnost in njihova orodja za krizno upravljanje. Predlagano je, da države članice v okviru svoje nacionalne strategije za kibernetsko varnost sprejmejo politiko za spodbujanje uporabe kriptografije in šifriranja, zlasti mala in srednja podjetja.

Pripravljavec mnenja pozdravlja, da je agencija ENISA razvila evropski register šibkih točk, vendar meni, da je treba pri postopku registracije spoštovati poslovno tajnost in poslovne skrivnosti, subjektov pa ne po nepotrebnem obremenjevati.

Sodelovanje med državami članicami

V direktivi o ukrepih za visoko skupno raven kibernetske varnosti v Uniji je še posebej dobrodošlo, da zagotavlja bolj strukturirano sodelovanje med državami članicami v okviru skupine za sodelovanje, mreže skupin CSIRT in novoustanovljene skupine za velike incidente. Vseeno pa je treba poskrbeti, da se bo raven zaupanja med državami članicami in njihove pripravljenosti za izmenjavo informacij povečala, saj ima učinkovitost tega sodelovanja osrednjo vlogo pri zagotavljanju visoke ravni kibernetske varnosti v EU.

Glede na to stališče je bilo pripravljenih več predlogov sprememb za povečanje vloge mrež. Pripravljavec mnenja zlasti meni, da so medsebojni strokovni pregledi uspešen način za povečanje skupnega zaupanja držav članic, in podpira, da bi morale imeti ključno vlogo pri ocenjevanju učinkovitosti politik posameznih držav članic na področju kibernetske varnosti.

Obvladovanje tveganja za kibernetsko varnost

Pripravljavec mnenja sicer pozdravlja, da je bila ocena tveganja razširjena na celotno dobavno verigo (člena 18 in 19), vendar hkrati poudarja, da je treba to točko dodatno pojasniti, da bi zagotovili jasne usmeritve za subjekte, za katere ta zahteva velja, in za države članice, ko bodo izvajale usklajene ocene tveganja za varnost v posebej kritičnih sektorjih ali dobavnih verigah.

Obveznosti poročanja

Pripravljavec mnenja meni, da bi bilo treba jasneje opredeliti posamezne točke revidirane direktive, zlasti v zvezi z nekaterimi obveznostmi, ki jih imajo podjetja v skladu z direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji. Pripravljavec mnenja skuša zmanjšati birokracijo in podjetjem olajšati izpolnjevanje novih pravil, pri čemer upošteva, da je končni cilj zagotoviti učinkovito izvajanje direktive.

Predlaga, da se predlagani 24-urni rok za obveznosti glede poročanja za prvo priglasitev podaljša na 72 ur, da bi se lahko podjetja učinkovito odzvala na napad na kibernetsko varnost pred njegovo priglasitvijo. Poleg tega se predlaga črtanje vseh sklicevanj na obvezno priglasitev t. i. morebitnih incidentov.

PREDLOGI SPREMEMB

Odbor za notranji trg in varstvo potrošnikov poziva Odbor za industrijo, raziskave in energetiko kot pristojni odbor, da upošteva naslednje predloge sprememb:

Predlog spremembe 1

Predlog direktive

Uvodna izjava 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(5) Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih standardov. Ta direktiva je namenjena odpravi tako velikih razlik med državami članicami, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi v posameznih državah članicah, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in sankcij, ki so ključni za učinkovito izvrševanje navedenih obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo.	(5) Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih standardov. Ta direktiva je namenjena odpravi tako velikih razlik med državami članicami in krepitvi notranjega trga, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi v posameznih državah članicah, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in sankcij, ki so ključni za učinkovito izvrševanje navedenih obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo.

Predlog spremembe 2

Predlog direktive

Uvodna izjava 6 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(6a) Direktiva ne posega v predpise zakonodaje Unije, ki urejajo varstvo osebnih podatkov.

Predlog spremembe 3

Predlog direktive

Uvodna izjava 9


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev. Države članice bi morale biti odgovorne za pripravo seznama takih subjektov in ga predložiti Komisiji.	(9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev. Države članice bi morale biti odgovorne za pripravo seznama takih subjektov in ga predložiti Komisiji. Komisija bi morala zagotoviti jasne smernice o merilih, ki določajo, katera mala podjetja in mikropodjetja bi bila bistvena ali pomembna, zlasti če opravljajo storitve v več državah članicah.

Predlog spremembe 4

Predlog direktive

Uvodna izjava 10


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(10) Komisija lahko v sodelovanju s skupino za sodelovanje izda smernice o izvajanju meril, ki se uporabljajo za mikro in mala podjetja.	(10) Komisija bi morala v sodelovanju s skupino za sodelovanje izdati smernice o izvajanju meril, ki se uporabljajo za mikro in mala podjetja.

Predlog spremembe 5

Predlog direktive

Uvodna izjava 12 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(12a) Razširitev področja uporabe te direktive zajema subjekte, za katere velja sektorska ureditev. Da bi se izognili regulativnemu podvajanju ali bremenu, bi morala Komisija zagotoviti, da bodo sektorski akti, v skladu s katerimi morajo bistveni ali pomembni subjekti sprejeti ukrepe za obvladovanje tveganj na področju kibernetske varnosti ali priglasiti incidente ali pomembne kibernetske grožnje, skladni s to direktivo.

Predlog spremembe 6

Predlog direktive

Uvodna izjava 12 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(12b) Komisija bi morala objaviti jasne smernice, priložene tej direktivi, da bi pomagala zagotoviti harmonizacijo izvajanja v državah članicah in preprečila razdrobljenost.

Predlog spremembe 7

Predlog direktive

Uvodna izjava 12 c (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(12c) Komisija bi morala izdati tudi smernice za podporo državam članicam pri pravilnem izvajanju določb o področju uporabe in za oceno sorazmernosti obveznosti iz te direktive, pri tem pa upoštevati kritičnost subjektov, ki spadajo na področje uporabe, zlasti kadar se uporabljajo za subjekte z zapletenimi poslovnimi modeli ali delovnimi okolji, pri čemer lahko subjekt hkrati izpolnjuje merila, dodeljena tako bistvenim kot pomembnim subjektom, ali hkrati izvaja dejavnosti, od katerih nekatere spadajo na področje uporabe te direktive, nekatere pa so zunaj njega. Če imajo subjekti glavno dejavnost zunaj področja uporabe te direktive, nekatere druge stranske dejavnosti pa znotraj področja uporabe, bi se morale določbe uporabljati le na ravni funkcije ali enote v subjektu, ki spada na področje uporabe te direktive.

Predlog spremembe 8

Predlog direktive

Uvodna izjava 14


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(14) Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta17 in to direktivo. Za dosego tega bi morale države članice zagotoviti, da se kritični subjekti in enakovredni subjekti v skladu z Direktivo (EU) XXX/XXX štejejo za bistvene subjekte po tej direktivi. Države članice bi morale tudi zagotoviti, da njihove strategije za kibernetsko varnost določajo okvir politike za okrepljeno usklajevanje med pristojnim organom iz te direktive in pristojnim organom iz Direktive (EU) XXX/XXX v okviru izmenjave informacij o incidentih in kibernetskih grožnjah ter izvajanja nadzornih nalog. Organi iz obeh direktiv bi morali sodelovati in si izmenjevati informacije, zlasti v zvezi z določanjem kritičnih subjektov, kibernetskimi grožnjami, tveganji za kibernetsko varnost in incidenti, ki vplivajo na kritične subjekte, ter o ukrepih za kibernetsko varnost, ki jih sprejmejo kritični subjekti. Na zahtevo pristojnih organov iz Direktive (EU) XXX/XXX bi moralo biti pristojnim organom iz te direktive omogočeno izvajanje nadzornih in izvršilnih pooblastil v zvezi z bistvenim subjektom, ki je opredeljen kot kritičen. Oboji organi bi morali v ta namen sodelovati in si izmenjevati informacije.	(14) Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta17 in to direktivo. Za dosego tega bi morale države članice zagotoviti, da se kritični subjekti in enakovredni subjekti v skladu z Direktivo (EU) XXX/XXX štejejo za bistvene subjekte po tej direktivi. Države članice bi morale tudi zagotoviti, da njihove nacionalne strategije za kibernetsko varnost določajo okvir politike za okrepljeno usklajevanje med pristojnim organom iz te direktive in pristojnim organom iz Direktive (EU) XXX/XXX v okviru priglasitve incidentov, izmenjave informacij o incidentih, skorajšnjih dogodkih in kibernetskih grožnjah ter izvajanja nadzornih nalog. Organi iz obeh direktiv bi morali sodelovati in si izmenjevati informacije, zlasti v zvezi z določanjem kritičnih subjektov, kibernetskimi grožnjami, tveganji za kibernetsko varnost in incidenti, ki vplivajo na kritične subjekte, ter o ukrepih za kibernetsko varnost, ki jih sprejmejo kritični subjekti. Na zahtevo pristojnih organov iz Direktive (EU) XXX/XXX bi moralo biti pristojnim organom iz te direktive omogočeno izvajanje nadzornih in izvršilnih pooblastil v zvezi z bistvenim subjektom, ki je opredeljen kot kritičen. Oboji organi bi morali v ta namen sodelovati in si izmenjevati informacije.
__________________	__________________
17 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	17 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 9

Predlog direktive

Uvodna izjava 15


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(15) Podpiranje in ohranjanje zanesljivega, odpornega in varnega sistema domenskih imen (DNS) sta ključna dejavnika pri ohranjanju celovitosti interneta ter bistvena za njegovo neprekinjeno in stabilno delovanje, od katerega sta odvisna digitalno gospodarstvo in družba. Zato bi se morala ta direktiva uporabljati za vse ponudnike storitev sistema domenskih imen vzdolž verige razreševanja DNS, vključno z upravljavci korenskih imenskih strežnikov, vrhnjih domenskih strežnikov, krovnih imenskih strežnikov za domenska imena in rekurzivnih razreševalnikov.	(15) Podpiranje in ohranjanje zanesljivega, odpornega in varnega sistema domenskih imen (DNS) sta ključna dejavnika pri ohranjanju celovitosti interneta ter bistvena za njegovo neprekinjeno in stabilno delovanje, od katerega so odvisni digitalno gospodarstvo, notranji trg in družba. Zato bi se morala ta direktiva uporabljati za vse ponudnike storitev sistema domenskih imen vzdolž verige razreševanja DNS, vključno z upravljavci korenskih imenskih strežnikov, vrhnjih domenskih strežnikov, krovnih imenskih strežnikov za domenska imena in rekurzivnih razreševalnikov, pa tudi za ponudnike zasebnih ali posredniških storitev registracije, prodajalce ali preprodajalce domen, in ponudnike vseh drugih storitev, ki so povezane z registracijo domenskih imen.

Predlog spremembe 10

Predlog direktive

Uvodna izjava 20


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Pandemija COVID-19 je razkrila šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.	(20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Pandemija COVID-19 je razkrila šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo in potrebe po zaščiti notranjega trga s skupnimi strategijami in ukrepi na ravni Unije.

Predlog spremembe 11

Predlog direktive

Uvodna izjava 23


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(23) Pristojni organi ali skupine CSIRT bi morali od subjektov učinkovito in uspešno prejeti priglasitve incidentov. Enotne kontaktne točke bi morale biti zadolžene za posredovanje priglasitev incidentov enotnim kontaktnim točkam drugih prizadetih držav članic. Da bi se zagotovila ena enotna vstopna točka v vsaki državi članici, bi morale enotne kontaktne točke na ravni organov držav članic tudi prejemati ustrezne informacije o incidentih v zvezi s subjekti finančnega sektorja od pristojnih organov iz Uredbe XXXX/XXXX, ki bi jih morale biti sposobne posredovati, če je ustrezno, ustreznim pristojnim nacionalnim organom ali skupinam CSIRT po tej direktivi.	(23) Pristojni organi ali skupine CSIRT bi morali od subjektov učinkovito in uspešno prejeti priglasitve incidentov v standardizirani obliki. Enotne kontaktne točke bi morale biti zadolžene za posredovanje priglasitev incidentov enotnim kontaktnim točkam drugih prizadetih držav članic. Da bi se zagotovila ena enotna vstopna točka v vsaki državi članici, bi morale enotne kontaktne točke tudi prejemati ustrezne informacije o incidentih v zvezi s subjekti finančnega sektorja od pristojnih organov iz Uredbe XXXX/XXXX, ki bi jih morale biti sposobne posredovati, če je ustrezno, ustreznim pristojnim nacionalnim organom ali skupinam CSIRT po tej direktivi.

Predlog spremembe 12

Predlog direktive

Uvodna izjava 25


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(25) Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta19 v imenu in na zahtevo subjekta po tej direktivi zagotovijo proaktivni pregled omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje storitev subjektov. Države članice bi si morale prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice lahko pri oblikovanju nacionalnih skupin CSIRT zaprosijo za pomoč Agencijo Evropske unije za kibernetsko varnost (ENISA).	(25) Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta v imenu in na zahtevo subjekta po tej direktivi zagotovijo pregled omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje storitev subjektov, da bi opredelile, ublažile in preprečile posebna tveganja v zvezi s tem. Države članice bi si morale prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice lahko pri oblikovanju nacionalnih skupin CSIRT zaprosijo za pomoč Agencijo Evropske unije za kibernetsko varnost (ENISA).
__________________	__________________
19 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).	19 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

Predlog spremembe 13

Predlog direktive

Uvodna izjava 26 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(26a) Države članice bi morale v okviru svojih nacionalnih strategij za kibernetsko varnost sprejeti politike za spodbujanje in vključevanje inteligentnih sistemov pri preprečevanju in odkrivanju kibernetskih incidentov in groženj. V skladu s svojimi nacionalnimi strategijami za kibernetsko varnost bi morale vzpostaviti politike ozaveščanja in pismenosti na področju kibernetske varnosti, da bi zaščitile potrošnike. Pri sprejemanju nacionalnih strategij za kibernetsko varnost bi morale države članice zagotoviti politične okvire za obravnavo zakonitega dostopa do informacij.

Predlog spremembe 14

Predlog direktive

Uvodna izjava 27


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.	(27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje, kar ogroža notranji trg. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.
__________________	__________________
20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).	20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).

Predlog spremembe 15

Predlog direktive

Uvodna izjava 28


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(28) Ker lahko izkoriščanje šibkih točk v omrežjih in informacijskih sistemih povzroči hude motnje in škodo, sta hitro odkrivanje in odpravljanje takih šibkih točk pomemben dejavnik pri zmanjševanju tveganj za kibernetsko varnost. Subjekti, ki razvijajo take sisteme, bi morali zato vzpostaviti ustrezne postopke za obravnavanje šibkih točk, ko jih odkrijejo. Ker šibke točke pogosto odkrijejo in o njih poročajo (jih razkrijejo) tretje osebe (poročajoči subjekti), bi moral proizvajalec ali ponudnik proizvodov ali storitev IKT vzpostaviti tudi potrebne postopke za prejemanje informacij o šibkih točkah od tretjih oseb. V zvezi s tem mednarodna standarda ISO/IEC 30111 in ISO/IEC 29417 določata smernice o obravnavanju oziroma razkrivanju šibkih točk. Kar zadeva razkrivanje šibkih točk, je pomembno zlasti usklajevanje med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT. Usklajeno razkrivanje šibkih točk določa strukturiran postopek, s katerim se šibke točke organizacijam sporočijo tako, da lahko organizacija diagnosticira in odpravi šibko točko, preden se podrobne informacije o šibki točki razkrijejo tretji osebi ali javnosti. Usklajeno razkrivanje šibkih točk bi moralo vključevati tudi usklajevanje med poročajočim subjektom in organizacijo v zvezi s časovnim okvirom za odpravo in objavo šibkih točk.	(28) Ker lahko izkoriščanje šibkih točk v omrežjih in informacijskih sistemih povzroči hude motnje in škodo podjetjem in potrošnikom, sta hitro odkrivanje in odpravljanje takih šibkih točk pomemben dejavnik pri zmanjševanju tveganj za kibernetsko varnost. Subjekti, ki razvijajo take sisteme, bi morali zato vzpostaviti ustrezne postopke za obravnavanje šibkih točk, ko jih odkrijejo. Ker šibke točke pogosto odkrijejo in o njih poročajo (jih razkrijejo) tretje osebe (poročajoči subjekti), bi moral proizvajalec ali ponudnik proizvodov ali storitev IKT vzpostaviti tudi potrebne postopke za prejemanje informacij o šibkih točkah od tretjih oseb. V zvezi s tem mednarodna standarda ISO/IEC 30111 in ISO/IEC 29417 določata smernice o obravnavanju oziroma razkrivanju šibkih točk. Kar zadeva razkrivanje šibkih točk, je pomembno zlasti usklajevanje med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT. Usklajeno razkrivanje šibkih točk določa strukturiran postopek, s katerim se šibke točke organizacijam sporočijo tako, da lahko organizacija diagnosticira in odpravi šibko točko, preden se podrobne informacije o šibki točki razkrijejo tretji osebi ali javnosti. Usklajeno razkrivanje šibkih točk bi moralo vključevati tudi usklajevanje med poročajočim subjektom in organizacijo v zvezi s časovnim okvirom za odpravo in objavo šibkih točk.

Predlog spremembe 16

Predlog direktive

Uvodna izjava 28 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(28a) Komisija, ENISA in države članice bi morale še naprej spodbujati mednarodno usklajevanje s standardi in obstoječimi dobrimi praksami industrije na področju obvladovanja tveganja, na primer na področju ocen varnosti dobavne verige, izmenjave informacij in razkrivanja šibkih točk.

Predlog spremembe 17

Predlog direktive

Uvodna izjava 30


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(30) Dostop do točnih in pravočasnih informacij o šibkih točkah, ki vplivajo na proizvode in storitve IKT, prispeva k okrepljenemu obvladovanju tveganj za kibernetsko varnost. V zvezi s tem so viri javno dostopnih informacij o šibkih točkah pomembno orodje za subjekte in njihove uporabnike, pa tudi za pristojne nacionalne organe in skupine CSIRT. Zato bi morala agencija ENISA vzpostaviti register šibkih točk, kjer bi bistveni in pomembni subjekti ter njihovi dobavitelji, pa tudi subjekti, ki ne spadajo na področje uporabe te direktive, lahko prostovoljno razkrivali šibke točke in zagotavljali informacije o šibkih točkah, ki bi uporabnikom omogočale sprejetje ustreznih blažilnih ukrepov.	(30) Dostop do točnih in pravočasnih informacij o šibkih točkah, ki vplivajo na proizvode in storitve IKT, prispeva k okrepljenemu obvladovanju tveganj za kibernetsko varnost. V zvezi s tem so viri javno dostopnih informacij o šibkih točkah pomembno orodje za subjekte in njihove uporabnike, pa tudi za pristojne nacionalne organe in skupine CSIRT. Zato bi morala agencija ENISA vzpostaviti podatkovno zbirko šibkih točk, kjer bi bistveni in pomembni subjekti ter njihovi dobavitelji, pa tudi subjekti, ki ne spadajo na področje uporabe te direktive, lahko prostovoljno razkrivali šibke točke in zagotavljali informacije o šibkih točkah, ki bi uporabnikom omogočale sprejetje ustreznih blažilnih ukrepov.

Predlog spremembe 18

Predlog direktive

Uvodna izjava 31


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(31) Čeprav podobni registri ali zbirke podatkov o šibkih točk obstajajo, te upravljajo in vzdržujejo subjekti, ki nimajo sedeža v Uniji. Evropski register šibkih točk, ki bi ga vzdrževala agencija ENISA, bi zagotovil večjo preglednost v zvezi s postopkom objave pred uradnim razkritjem šibke točke in odpornost v primerih motenj ali prekinitev pri opravljanju podobnih storitev. Da bi preprečila podvajanje prizadevanj in poskušala zagotoviti čim večje dopolnjevanje, bi morala agencija ENISA preučiti možnost sklenitve sporazumov o strukturnem sodelovanju s podobnimi registri v jurisdikcijah tretjih držav.	(31) Čeprav podobni registri ali zbirke podatkov o šibkih točk obstajajo, te upravljajo in vzdržujejo subjekti, ki nimajo sedeža v Uniji. Evropska podatkovna zbirka šibkih točk, ki bi jo vzdrževala agencija ENISA, bi zagotovila večjo preglednost v zvezi s postopkom objave pred uradnim razkritjem šibke točke in odpornost v primerih motenj ali prekinitev pri opravljanju podobnih storitev. Da bi preprečila podvajanje prizadevanj in poskušala zagotoviti čim večje dopolnjevanje, bi morala agencija ENISA preučiti možnost sklenitve sporazumov o strukturnem sodelovanju s podatkovnimi zbirkami ali registri o ranljivosti v jurisdikcijah tretjih držav ter posredovati poročila ustreznim registrom, če ti ukrepi ne ogrožajo varovanja zaupnosti in poslovnih skrivnosti.

Predlog spremembe 19

Predlog direktive

Uvodna izjava 32


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(32) Skupina za sodelovanje bi morala vsaki dve leti pripraviti delovni program, ki bi vključeval ukrepe, ki bi jih skupina sprejela za izvajanje svojih ciljev in nalog. Časovni okvir prvega programa, sprejetega v skladu s to direktivo, bi moral biti usklajen s časovnim okvirom zadnjega programa, sprejetega v skladu z Direktivo (EU) 2016/1148, da bi se preprečile morebitne motnje pri delu skupine.	(32) Skupina za sodelovanje bi morala razpravljati o političnih prednostnih nalogah in glavnih izzivih o kibernetski varnosti in vsaki dve leti pripraviti delovni program, ki bi vključeval ukrepe, ki bi jih skupina sprejela za izvajanje svojih ciljev in nalog. Časovni okvir prvega programa, sprejetega v skladu s to direktivo, bi moral biti usklajen s časovnim okvirom zadnjega programa, sprejetega v skladu z Direktivo (EU) 2016/1148, da bi se preprečile morebitne motnje pri delu skupine.

Predlog spremembe 20

Predlog direktive

Uvodna izjava 32 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(32a) Skupino za sodelovanje bi morali sestavljati predstavniki držav članic, Komisije in agencije ENISA.

Predlog spremembe 21

Predlog direktive

Uvodna izjava 34


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu povabila organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Evropski center za boj proti kibernetski kriminaliteti (EC3), Agencija Evropske unije za varnost v letalstvu (EASA) in Agencija Evropske unije za vesoljski program (EUSPA).	(34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu povabila organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Evropski center za boj proti kibernetski kriminaliteti (EC3), Agencija Evropske unije za varnost v letalstvu (EASA) in Agencija Evropske unije za vesoljski program (EUSPA), pa tudi druge ustrezne organe in agencije Unije.

Predlog spremembe 22

Predlog direktive

Uvodna izjava 35


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(35) Pristojni organi in skupine CSIRT bi morali biti pooblaščeni za sodelovanje v programih izmenjave uradnikov iz drugih držav članic, da bi izboljšali sodelovanje. Pristojni organi bi morali sprejeti potrebne ukrepe, s katerimi bi uradnikom iz drugih držav članic omogočili učinkovito sodelovanje v dejavnostih pristojnega organa gostitelja.	(35) Pristojni organi in skupine CSIRT bi morali biti pooblaščeni za sodelovanje v programih izmenjave in skupnih programih usposabljanja uradnikov iz drugih držav članic, da bi izboljšali sodelovanje in povečali zaupanje med državami članicami. Pristojni organi bi morali sprejeti potrebne ukrepe, s katerimi bi uradnikom iz drugih držav članic omogočili učinkovito sodelovanje v dejavnostih pristojnega organa gostitelja ali skupine CSIRT.

Predlog spremembe 23

Predlog direktive

Uvodna izjava 39


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(39) V tej direktivi bi se moral izraz „skorajšnji dogodek“ nanašati na dogodek, ki bi lahko povzročil škodo, vendar se je uspešno preprečilo, da bi se v celoti uresničil.	črtano

Predlog spremembe 24

Predlog direktive

Uvodna izjava 45 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(45a) Subjekti bi morali poleg tega zagotoviti tudi ustrezno izobraževanje na področju kibernetske varnosti za svoje osebje na vseh ravneh organizacije.

Predlog spremembe 25

Predlog direktive

Uvodna izjava 46


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(46) Za nadaljnje obravnavanje ključnih tveganj za dobavno verigo ter zagotavljanje pomoči subjektom, ki delujejo v sektorjih, zajetih s to direktivo, pri ustreznem obvladovanju tveganj za kibernetsko varnost, povezanih z dobavno verigo in dobavitelji, bi morala skupina za sodelovanje, ki vključuje ustrezne nacionalne organe, v sodelovanju s Komisijo in agencijo ENISA izvesti usklajene sektorske ocene tveganj v zvezi z dobavno verigo, kot je že storila za omrežja 5G na podlagi Priporočila (EU) 2019/534 o kibernetski varnosti omrežij 5G21, da bi opredelila kritične storitve, sisteme ali proizvode IKT, zadevne grožnje in šibke točke za posamezne sektorje.	(46) Za nadaljnje obravnavanje ključnih tveganj za dobavno verigo ter zagotavljanje pomoči subjektom, ki delujejo v sektorjih, zajetih s to direktivo, pri ustreznem obvladovanju tveganj za kibernetsko varnost, povezanih z dobavno verigo in dobavitelji, bi morala skupina za sodelovanje, ki vključuje ustrezne nacionalne organe, v sodelovanju s Komisijo in agencijo ENISA izvesti usklajene sektorske ocene tveganj v zvezi z dobavno verigo, kot je že storila za omrežja 5G na podlagi Priporočila (EU) 2019/534 o kibernetski varnosti omrežij 5G21, da bi za vsak sektor opredelila kritične storitve, sisteme ali proizvode IKT, zadevne grožnje in šibke točke.
__________________	__________________
21 Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42).	21 Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42).

Predlog spremembe 26

Predlog direktive

Uvodna izjava 47


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov.	(47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja in njegovo kritičnost upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov.

Predlog spremembe 27

Predlog direktive

Uvodna izjava 51


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(51) Notranji trg je bolj odvisen od delovanja interneta kot kdaj koli prej. Storitve praktično vseh bistvenih in pomembnih subjektov so odvisne od storitev, ki se opravljajo prek interneta. Za zagotovitev nemotenega opravljanja storitev bistvenih in pomembnih subjektov je pomembno, da imajo javna elektronska komunikacijska omrežja, kot so na primer hrbtenična internetna omrežja ali podmorski komunikacijski kabli, vzpostavljene ustrezne ukrepe za kibernetsko varnost in da poročajo o incidentih v zvezi z njo.	(51) Notranji trg je bolj odvisen od delovanja interneta kot kdaj koli prej. Storitve praktično vseh bistvenih in pomembnih subjektov so odvisne od storitev, ki se opravljajo prek interneta, potrošniki pa računajo nanje pri bistvenih delih svojega vsakdanjika. Za zagotovitev nemotenega opravljanja storitev bistvenih in pomembnih subjektov je pomembno, da imajo javna elektronska komunikacijska omrežja, kot so na primer hrbtenična internetna omrežja ali podmorski komunikacijski kabli, vzpostavljene ustrezne ukrepe za kibernetsko varnost in da poročajo o incidentih v zvezi z njo.

Predlog spremembe 28

Predlog direktive

Uvodna izjava 52


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(52) Kjer je ustrezno, bi morali subjekti obvestiti prejemnike storitev o specifičnih in pomembnih grožnjah ter ukrepih, ki jih lahko sprejmejo za ublažitev posledičnega tveganja za njih same. Zahteva glede obveščanja zadevnih prejemnikov o takih grožnjah subjektov ne bi smela odvezati obveznosti, da na svoje stroške sprejmejo ustrezne in takojšnje ukrepe za preprečevanje ali odpravo vseh kibernetskih groženj in ponovno vzpostavitev običajne ravni varnosti storitve. Zagotavljanje takih informacij o varnostnih grožnjah prejemnikom bi moralo biti brezplačno.	(52) Subjekti bi morali poskušati obvestiti prejemnike storitev o specifičnih in pomembnih grožnjah ter ukrepih, ki jih lahko sprejmejo za ublažitev posledičnega tveganja za njih same, še zlasti, če lahko ti ukrepi povečajo varstvo potrošnikov. To ne bi smelo subjektov odvezati obveznosti, da na svoje stroške sprejmejo ustrezne in takojšnje ukrepe za preprečevanje ali odpravo vseh kibernetskih groženj in ponovno vzpostavitev običajne ravni varnosti storitve. Zagotavljanje takih informacij o varnostnih grožnjah prejemnikom bi moralo biti brezplačno ter oblikovano v zlahka razumljivem jeziku.

Predlog spremembe 29

Predlog direktive

Uvodna izjava 53


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(53) Zlasti bi morali ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev prejemnike storitve obvestiti o specifičnih in pomembnih kibernetskih grožnjah ter ukrepih, ki jih lahko sprejmejo za zagotovitev varnosti svojih komunikacij, na primer z uporabo posebnih vrst programske opreme ali tehnologij šifriranja.	(53) Zlasti bi morali ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev prejemnike storitve obvestiti o specifičnih in pomembnih kibernetskih grožnjah ter dodatnih ukrepih, ki jih lahko sprejmejo za zagotovitev varnosti svojih naprav in komunikacij, na primer z uporabo posebnih vrst programske opreme ali tehnologij šifriranja.

Predlog spremembe 30

Predlog direktive

Uvodna izjava 54


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(54) Za zaščito varnosti elektronskih komunikacijskih omrežij in storitev bi bilo treba spodbujati uporabo šifriranja, zlasti šifriranja od konca do konca, ki bi morala biti po potrebi obvezna za ponudnike takih storitev in omrežij v skladu z načeloma privzete in vgrajene varnosti ter zasebnosti za namene člena 18. Uporabo šifriranja od konca do konca bi bilo treba uskladiti s pooblastili države članice, da zagotovi zaščito svojih bistvenih varnostnih interesov in javne varnosti ter dovoli preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. Pri rešitvah za zakonit dostop do informacij v komunikacijah, šifriranih od konca do konca, bi se morala ohraniti učinkovitost šifriranja pri varovanju zasebnosti in varnosti komunikacij ter hkrati zagotoviti učinkovit odziv na kazniva dejanja.	(54) Za zaščito varnosti elektronskih komunikacijskih omrežij in storitev bi bilo treba spodbujati uporabo šifriranja, zlasti šifriranja od konca do konca, ki bi morala biti po potrebi obvezna za ponudnike takih storitev in omrežij v skladu z načeloma privzete in vgrajene varnosti ter zasebnosti za namene ukrepov za obvladovanje tveganj za kibernetsko varnost. Uporaba šifriranja od konca do konca ne posega v pooblastila, politike in postopke države članice, da zagotovi zaščito svojih bistvenih varnostnih interesov in javne varnosti ter dovoli preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. Pri rešitvah za zakonit dostop do informacij v komunikacijah, šifriranih od konca do konca, bi se morala ohraniti učinkovitost šifriranja pri varovanju zasebnosti in varnosti komunikacij ter hkrati zagotoviti učinkovit odziv na kazniva dejanja. Pri vseh sprejetih ukrepih je treba dosledno upoštevati načeli sorazmernosti in subsidiarnosti.

Predlog spremembe 31

Predlog direktive

Uvodna izjava 55


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(55) Direktiva določa dvostopenjski pristop k poročanju o incidentih za vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga blažiti morebitno širjenje incidentov in omogoča subjektom, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih podjetij in celotnega sektorja proti kibernetskim grožnjam. Kadar se subjekti seznanijo z incidentom, bi se moralo od njih zahtevati, da v 24 urah predložijo začetno priglasitev, ki ji najpozneje čez en mesec sledi končno poročilo. Začetna priglasitev bi morala vključevati le informacije, ki so nujno potrebne za seznanitev pristojnih organov z incidentom in ki subjektu omogočajo, da po potrebi zaprosi za pomoč. V taki priglasitvi bi moralo biti, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve viri poročajočega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Da bi države članice nadalje preprečile, da bi se zaradi obveznosti poročanja o incidentih bodisi viri preusmerili z upravljanja odzivov na incidente bodisi kako drugače ogrozila prizadevanja subjektov v zvezi s tem, bi morale tudi zagotoviti, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s pristojnimi organi ali skupino CSIRT odstopa od rokov, tj. 24 ur za začetno priglasitev in enega meseca za končno poročilo.	(55) Direktiva določa pristop v zaporednih korakih k poročanju o incidentih za vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga blažiti morebitno širjenje incidentov in omogoča subjektom, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih podjetij in celotnega sektorja proti kibernetskim grožnjam. Kadar se subjekti seznanijo z incidentom ali skorajšnjim dogodkom, bi se moralo od njih zahtevati, da v 72 urah predložijo začetno priglasitev, ki ji najpozneje tri mesece po predložitvi sledi izčrpno poročilo, nato pa najpozneje en mesec po odpravljenem incidentu še končno poročilo. Začetna priglasitev bi morala vključevati le informacije, ki so nujno potrebne za seznanitev pristojnih organov z incidentom in ki subjektu omogočajo, da po potrebi zaprosi za pomoč. V taki priglasitvi bi moralo biti, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve viri poročajočega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Pred začetno priglasitvijo bi bilo treba v prvih 24 urah posredovati zgodnje opozorilo, ne da bi bilo treba razkriti dodatne informacije. To zgodnje opozorilo bi bilo treba predložiti čim prej, da lahko subjekti za pomoč hitro zaprosijo pristojne organe ali skupine CSIRT, ti organi ali skupine pa lahko nato omejijo morebitno širjenje priglašenega incidenta ter delujejo kot orodje situacijskega zavedanja za skupine CSIRT. Da bi države članice nadalje preprečile, da bi se zaradi obveznosti poročanja o incidentih bodisi viri preusmerili z upravljanja odzivov na incidente bodisi kako drugače ogrozila prizadevanja subjektov v zvezi s tem, bi morale tudi zagotoviti, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s pristojnimi organi ali skupino CSIRT odstopa od predvidenih rokov.

Predlog spremembe 32

Predlog direktive

Uvodna izjava 56


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(56) Bistveni in pomembni subjekti so pogosto v položaju, ko je treba zaradi obveznosti priglasitve, vključenih v različne pravne instrumente, o določenem incidentu zaradi njegovih značilnosti poročati različnim organom. Taki primeri ustvarjajo dodatna bremena in lahko tudi privedejo do negotovosti v zvezi z obliko in postopki takih priglasitev. Glede na navedeno in za poenostavitev poročanja o varnostnih incidentih bi morale države članice vzpostaviti enotno vstopno točko za vse priglasitve, ki se zahtevajo v skladu s to direktivo in tudi drugo zakonodajo Unije, kot sta Uredba (EU) 2016/679 in Direktiva 2002/58/ES. Agencija ENISA bi morala v sodelovanju s skupino za sodelovanje s smernicami oblikovati skupne predloge za priglasitev, s katerimi bi se poenostavile in racionalizirale informacije za poročanje, ki se zahtevajo s pravom Unije, ter zmanjšala bremena za podjetja.	(56) Bistveni in pomembni subjekti so pogosto v položaju, ko je treba zaradi obveznosti priglasitve, vključenih v različne pravne instrumente, o določenem incidentu zaradi njegovih značilnosti poročati različnim organom. Taki primeri ustvarjajo dodatna bremena in lahko tudi privedejo do negotovosti v zvezi z obliko in postopki takih priglasitev. Glede na navedeno in za poenostavitev poročanja o varnostnih incidentih ter spoštovanje načela „samo enkrat“ bi morale države članice vzpostaviti enotno vstopno točko za vse priglasitve, ki se zahtevajo v skladu s to direktivo in tudi drugo zakonodajo Unije, kot sta Uredba (EU) 2016/679 in Direktiva 2002/58/ES. Agencija ENISA bi morala v sodelovanju s skupino za sodelovanje s smernicami oblikovati skupne predloge za priglasitev, s katerimi bi se poenostavile in racionalizirale informacije za poročanje, ki se zahtevajo s pravom Unije, ter zmanjšala bremena za podjetja.

Predlog spremembe 33

Predlog direktive

Uvodna izjava 59


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(59) Vzdrževanje točnih in popolnih podatkovnih zbirk domenskih imen in podatkov o registraciji (tako imenovani podatki „WHOIS“) ter omogočanje zakonitega dostopa do takih podatkov sta bistveni za zagotavljanje varnosti, stabilnosti in odpornosti sistema domenskih imen, kar posledično prispeva k višji skupni ravni kibernetske varnosti v Uniji. Če obdelava vključuje osebne podatke, mora biti taka obdelava skladna s pravom Unije o varstvu podatkov.	(59) Vzdrževanje točnih, preverjenih in popolnih podatkovnih zbirk domenskih imen in podatkov o registraciji (tako imenovani podatki „WHOIS“) ter omogočanje zakonitega dostopa do takih podatkov sta bistveni za zagotavljanje varnosti, stabilnosti in odpornosti sistema domenskih imen, kar posledično prispeva k višji skupni ravni kibernetske varnosti v Uniji. Če obdelava vključuje osebne podatke, mora biti taka obdelava skladna s pravom Unije o varstvu podatkov.

Predlog spremembe 34

Predlog direktive

Uvodna izjava 61


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(61) Da bi zagotovili razpoložljivost točnih in popolnih podatkov o registraciji domenskih imen, bi morali registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene (tako imenovani registratorji), zbirati podatke o registraciji domenskih imen ter zagotavljati njihovo celovitost in razpoložljivost. Zlasti bi morali registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, vzpostaviti politike in postopke za zbiranje ter vzdrževanje točnih in popolnih podatkov o registraciji ter za preprečevanje in popravljanje netočnih podatkov o registraciji v skladu s pravili Unije o varstvu podatkov.	(61) Da bi zagotovili razpoložljivost točnih in popolnih podatkov o registraciji domenskih imen, bi morali registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen (vključno s storitvami, ki jih opravljajo registri domenskih imen in registratorji, ponudniki zasebnih ali posredniških storitev registracije, prodajalci ali preprodajalci domen, in vsemi drugimi storitvami, povezanimi z registracijo domenskih imen), zbirati podatke o registraciji domenskih imen ter zagotavljati njihovo celovitost in razpoložljivost. Zlasti bi morali registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, vzpostaviti politike in postopke za zbiranje ter vzdrževanje točnih in popolnih podatkov o registraciji ter za preprečevanje in popravljanje netočnih podatkov o registraciji v skladu s pravili Unije o varstvu podatkov.

Predlog spremembe 35

Predlog direktive

Uvodna izjava 68


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(68) Subjekte bi bilo zato treba spodbuditi, naj skupaj izkoristijo svoje individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmogljivosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, zaščito pred njimi in odzivanje nanje. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij. V ta namen bi morale države članice dejavno podpirati in spodbujati tudi ustrezne subjekte, ki niso zajeti v področje uporabe te direktive, naj sodelujejo v takih mehanizmih za izmenjavo informacij. Taki mehanizmi bi se morali izvajati ob polnem spoštovanju pravil Unije o konkurenci in pravil prava Unije o varstvu podatkov.	(68) Države članice bi morale spodbuditi in podpreti subjekte, naj skupaj izkoristijo svoje individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmogljivosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, zaščito pred njimi in odzivanje nanje. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij. V ta namen bi morale države članice dejavno podpirati in spodbujati tudi ustrezne subjekte, ki niso zajeti v področje uporabe te direktive, naj sodelujejo v takih mehanizmih za izmenjavo informacij. Taki mehanizmi bi se morali izvajati ob polnem spoštovanju pravil Unije o konkurenci in pravil prava Unije o varstvu podatkov.

Predlog spremembe 36

Predlog direktive

Uvodna izjava 69


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(69) Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, ki jo izvajajo subjekti, javni organi, skupine CERT in CSIRT ter ponudniki varnostnih tehnologij in storitev, bi morala pomeniti zakoniti interes zadevnega upravljavca podatkov, kot je navedeno v Uredbi (EU) 2016/679. To bi moralo vključevati ukrepe, povezane s preprečevanjem, odkrivanjem in analizo incidentov ter odzivanjem nanje, ukrepe za ozaveščanje v zvezi s posebnimi kibernetskimi grožnjami, izmenjavo informacij v okviru odpravljanja in usklajenega razkrivanja šibkih točk ter prostovoljno izmenjavo informacij o takih incidentih, pa tudi o kibernetskih grožnjah in šibkih točkah, kazalnikih ogroženosti, taktikah, tehnikah in postopkih, opozorilih glede kibernetske varnosti in orodjih za konfiguracijo. Taki ukrepi lahko zahtevajo obdelavo naslednjih vrst osebnih podatkov: naslovov IP, enotnih naslovov vira (URL), domenskih imen in elektronskih naslovov.	(69) Obdelava osebnih podatkov, ki bi morala biti omejena na nujno potrebno in sorazmerno za zagotovitev varnosti omrežja in informacij ter varstva potrošnikov, ki ju izvajajo subjekti, javni organi, skupine CERT in CSIRT ter ponudniki varnostnih tehnologij in storitev, bi morala pomeniti zakoniti interes zadevnega upravljavca podatkov, kot je navedeno v Uredbi (EU) 2016/679. To bi moralo vključevati ukrepe, povezane s preprečevanjem, odkrivanjem in analizo incidentov ter odzivanjem nanje, ukrepe za ozaveščanje v zvezi s posebnimi kibernetskimi grožnjami, izmenjavo informacij v okviru odpravljanja in usklajenega razkrivanja šibkih točk ter prostovoljno izmenjavo informacij o takih incidentih, pa tudi o kibernetskih grožnjah in šibkih točkah, kazalnikih ogroženosti, taktikah, tehnikah in postopkih, opozorilih glede kibernetske varnosti in orodjih za konfiguracijo. Taki ukrepi lahko zahtevajo obdelavo naslednjih vrst osebnih podatkov: naslovov IP, enotnih naslovov vira (URL), domenskih imen in elektronskih naslovov.

Predlog spremembe 37

Predlog direktive

Uvodna izjava 70


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(70) Za okrepitev nadzornih pooblastil in ukrepov, ki pomagajo zagotavljati dejansko izpolnjevanje zahtev, bi bilo treba v tej direktivi določiti minimalni seznam nadzornih ukrepov in sredstev, s katerimi lahko pristojni organi nadzorujejo bistvene in pomembne subjekte. Poleg tega bi bilo treba s to direktivo vzpostaviti razlikovanje nadzorne ureditve med bistvenimi in pomembnimi subjekti, da bi se zagotovilo ustrezno ravnovesje med obveznostmi subjektov in pristojnih organov. Tako bi morala za bistvene subjekte veljati celovita ureditev nadzora (predhodni in naknadni nadzor), medtem ko bi morala za pomembne subjekte veljati manj stroga ureditev nadzora, to je le naknadni nadzor. Za te vrste subjektov to pomeni, da pomembnim subjektom ne bi bilo treba sistematično dokumentirati izpolnjevanja zahtev glede obvladovanja tveganj za kibernetsko varnost, pristojni organi pa bi morali uporabljati reaktivni naknadni pristop k nadzoru in tako zanje ne bi veljala splošna obveznost nadzorovanja teh subjektov.	(70) Za okrepitev nadzornih pooblastil in ukrepov, ki pomagajo zagotavljati dejansko izpolnjevanje zahtev ter za doseganje enotne visoke ravni varnosti v digitalnem sektorju, tudi s preprečevanjem tveganj za uporabnike ali druga omrežja, informacijske sisteme in storitve, bi bilo treba v tej direktivi določiti minimalni seznam nadzornih ukrepov in sredstev, s katerimi lahko pristojni organi nadzorujejo bistvene in pomembne subjekte. Poleg tega bi bilo treba s to direktivo vzpostaviti razlikovanje nadzorne ureditve med bistvenimi in pomembnimi subjekti, da bi se zagotovilo ustrezno ravnovesje med obveznostmi subjektov in pristojnih organov. Tako bi morala za bistvene subjekte veljati celovita ureditev nadzora (predhodni in naknadni nadzor), medtem ko bi morala za pomembne subjekte veljati manj stroga ureditev nadzora, to je le naknadni nadzor, pri čemer se upošteva pristop na podlagi tveganja. Za te vrste subjektov to pomeni, da pomembnim subjektom ne bi bilo treba sistematično dokumentirati izpolnjevanja zahtev glede obvladovanja tveganj za kibernetsko varnost, pristojni organi pa bi morali uporabljati reaktivni naknadni pristop k nadzoru in tako zanje ne bi veljala splošna obveznost nadzorovanja teh subjektov, razen ko gre za očitno kršitev obveznosti.

Predlog spremembe 38

Predlog direktive

Uvodna izjava 76


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(76) Za nadaljnjo krepitev učinkovitosti in odvračilnosti sankcij, ki se uporabljajo za kršitve obveznosti, določenih v skladu s to direktivo, bi morali biti pristojni organi pooblaščeni za uporabo sankcij, ki vključujejo začasni preklic certifikata ali dovoljenja za del storitev ali vse storitve, ki jih opravlja bistveni subjekt, in začasno prepoved opravljanja vodstvenih funkcij za fizično osebo. Glede na njihovo resnost in vpliv na dejavnosti subjektov ter končno na potrošnike bi se morale take sankcije uporabljati le sorazmerno z resnostjo kršitve in ob upoštevanju posebnih okoliščin posameznega primera, vključno s tem, ali je kršitev namerna ali posledica malomarnosti, ter ukrepi, sprejetimi za preprečevanje ali ublažitev škode in/ali izgub. Take sankcije bi se morale uporabljati le kot ultima ratio, kar pomeni šele potem, ko so bili uporabljeni vsi drugi ustrezni izvršilni ukrepi, določeni v tej direktivi, in le dokler subjekti, za katere se uporabijo, ne sprejmejo potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, zaradi katerih so bile takšne sankcije naložene. Za uvedbo takšnih sankcij bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.	(76) Za nadaljnjo krepitev učinkovitosti in odvračilnosti sankcij, ki se uporabljajo za kršitve obveznosti, določenih v skladu s to direktivo, bi morali biti pristojni organi pooblaščeni za uporabo sankcij, ki vključujejo začasni preklic certifikata ali dovoljenja za ustrezne storitve, ki jih opravlja bistveni subjekt. Glede na njihovo resnost in vpliv na dejavnosti subjektov ter končno na potrošnike bi se morale take sankcije uporabljati le sorazmerno z resnostjo kršitve in ob upoštevanju posebnih okoliščin posameznega primera, vključno s tem, ali je kršitev namerna ali posledica malomarnosti, ter ukrepi, sprejetimi za preprečevanje ali ublažitev škode in/ali izgub. Take sankcije bi se morale uporabljati le kot ultima ratio, kar pomeni šele potem, ko so bili uporabljeni vsi drugi ustrezni izvršilni ukrepi, določeni v tej direktivi, in le dokler subjekti, za katere se uporabijo, ne sprejmejo potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, zaradi katerih so bile takšne sankcije naložene. Za uvedbo takšnih sankcij bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.

Predlog spremembe 39

Predlog direktive

Uvodna izjava 79


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(79) Uvesti bi bilo treba mehanizem medsebojnih strokovnih pregledov, ki bi strokovnjakom, ki jih imenujejo države članice, omogočal oceno izvajanja politik na področju kibernetske varnosti, vključno z ravnjo zmogljivosti in razpoložljivih virov držav članic.	(79) Uvesti bi bilo treba mehanizem medsebojnih strokovnih pregledov, ki bi strokovnjakom, ki jih imenujejo države članice in agencija ENISA, omogočal oceno izvajanja politik na področju kibernetske varnosti, vključno z ravnjo zmogljivosti in razpoložljivih virov držav članic, ter izmenjavo najboljše prakse.

Predlog spremembe 40

Predlog direktive

Uvodna izjava 80


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(80) Zaradi upoštevanja novih kibernetskih groženj, tehnološkega razvoja ali sektorskih posebnosti bi bilo treba na Komisijo v skladu s členom 290 PDEU prenesti pooblastilo za sprejemanje aktov v zvezi z elementi, ki se nanašajo na ukrepe za obvladovanje tveganj, ki jih zahteva ta direktiva. Na Komisijo bi bilo treba prenesti tudi pooblastilo za sprejetje delegiranih aktov, s katerimi se določi, katere kategorije bistvenih subjektov morajo pridobiti certifikat in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, tudi na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli iz Medinstitucionalnega sporazuma z dne 13. aprila 2016 o boljši pripravi zakonodaje26. Da bi se zlasti zagotovilo enakopravno sodelovanje pri pripravi delegiranih aktov, Evropski parlament in Svet vse dokumente prejmeta sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se lahko sistematično udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.	(80) Zaradi upoštevanja novih kibernetskih groženj, tehnološkega razvoja ali sektorskih posebnosti bi bilo treba na Komisijo v skladu s členom 290 PDEU prenesti pooblastilo za sprejemanje aktov v zvezi z elementi, ki se nanašajo na ukrepe za obvladovanje tveganj, ki jih zahteva ta direktiva. Na Komisijo bi bilo treba prenesti tudi pooblastilo za sprejetje delegiranih aktov, s katerimi se določijo tehnični elementi, povezani z ukrepi za obvladovanje tveganj. Komisijo bi bilo treba pooblastiti tudi, da sprejme delegirane akte in določi, katere vrste informacij predložijo bistveni in pomembni subjekti o vsakem incidentu, ki pomembno vpliva na zagotavljanje njihovih storitev, ali o morebitnih skorajšnjih dogodkih, ter določi primere, v katerih bi bilo treba incident šteti za pomemben. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, tudi na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli iz Medinstitucionalnega sporazuma z dne 13. aprila 2016 o boljši pripravi zakonodaje26. Da bi se zlasti zagotovilo enakopravno sodelovanje pri pripravi delegiranih aktov, Evropski parlament in Svet vse dokumente prejmeta sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se lahko sistematično udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.
__________________	__________________
26 UL L 123, 12.5.2016, str. 1.	26 UL L 123, 12.5.2016, str. 1.

Predlog spremembe 41

Predlog direktive

Uvodna izjava 81


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(81) Da bi se zagotovili enotni pogoji za izvajanje ustreznih določb te direktive v zvezi s postopkovnimi ureditvami, potrebnimi za delovanje skupine za sodelovanje, tehničnimi elementi, povezanimi z ukrepi za obvladovanje tveganj, ali vrsto informacij, obliko in postopkom priglasitev incidentov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta27.	(81) Da bi se zagotovili enotni pogoji za izvajanje ustreznih določb te direktive v zvezi s postopkovnimi ureditvami, potrebnimi za delovanje skupine za sodelovanje, obliko in postopkom priglasitev incidentov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta27.
__________________	__________________
27 Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).	27Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

Predlog spremembe 42

Predlog direktive

Člen 1 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Ta direktiva določa ukrepe za zagotovitev visoke skupne ravni kibernetske varnosti v Uniji.	1. Ta direktiva določa ukrepe za zagotavljanje visoke skupne ravni kibernetske varnosti v Uniji, da bi vzpostavili zaupanja vredno digitalno okolje za potrošnike in gospodarske subjekte ter odpravili ovire in izboljšali delovanje notranjega trga.

Predlog spremembe 43

Predlog direktive

Člen 2 – odstavek 2 – pododstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Vendar pa se ta direktiva uporablja tudi za subjekte iz prilog I in II ne glede na njihovo velikost, če:	2. Vendar pa se ta direktiva uporablja tudi za vrste subjektov iz prilog I in II ne glede na njihovo velikost, če:

Predlog spremembe 44

Predlog direktive

Člen 2 – odstavek 2 – pododstavek 2 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	Komisija izda smernice za podporo državam članicam pri pravilnem izvajanju določb o področju uporabe in za odobritev morebitnih odstopanj za posebne pomembne subjekte od področja uporabe direktive ali od nekaterih njenih določb, ob upoštevanju njihove nizke stopnje kritičnosti v njihovem specifičnem sektorju in/ali nizke stopnje odvisnosti od drugih sektorjev ali vrst storitev. Države članice Komisijo uradno obvestijo o svojih utemeljenih odločitvah v zvezi s tem, pri tem pa v celoti upoštevajo njene smernice.

Predlog spremembe 45

Predlog direktive

Člen 4 – odstavek 1 – točka 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(4) „nacionalna strategija za kibernetsko varnost“ pomeni skladen okvir države članice, ki določa strateške cilje in prednostne naloge na področju varnosti omrežij in informacijskih sistemov v zadevni državi članici;	(4) „nacionalna strategija za kibernetsko varnost“ pomeni skladen okvir države članice, ki določa strateške cilje in prednostne naloge na področju varnosti omrežij in informacijskih sistemov v zadevni državi članici ter politike, potrebne za njihovo uresničevanje;

Predlog spremembe 46

Predlog direktive

Člen 4 – odstavek 1 – točka 5 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(5a) „čezmejni incident“ pomeni vsak incident, ki vpliva na izvajalce dejavnosti pod nadzorom pristojnih nacionalnih organov iz vsaj dveh različnih držav članic;

Predlog spremembe 47

Predlog direktive

Člen 4 – odstavek 1 – točka 6 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(6a) „skorajšnji dogodek“ pomeni dogodek, ki bi lahko povzročil škodo, vendar se je uspešno preprečilo, da bi se v celoti uresničil;

Predlog spremembe 48

Predlog direktive

Člen 4 – odstavek 1 – točka 15 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(15a) „storitve registracije domenskih imen“ pomenijo storitve, ki jih opravljajo registri in registratorji domenskih imen, ponudniki zasebnih ali posredniških storitev registracije, prodajalci ali preprodajalci domen, in vse druge storitve, ki so povezane z registracijo domenskih imen;

Predlog spremembe 49

Predlog direktive

Člen 5 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Vsaka država članica sprejme nacionalno strategijo za kibernetsko varnost, v kateri so opredeljeni strateški cilji ter ustrezni ukrepi politike in regulativni ukrepi za doseganje in ohranjanje visoke ravni kibernetske varnosti. Nacionalna strategija za kibernetsko varnost vključuje zlasti naslednje:	1. Vsaka država članica sprejme nacionalno strategijo za kibernetsko varnost, v kateri so opredeljeni strateški cilji ter ustrezni ukrepi politike in regulativni ukrepi, tudi ustrezni človeški in finančni viri, za doseganje in ohranjanje visoke ravni kibernetske varnosti. Nacionalna strategija za kibernetsko varnost vključuje zlasti naslednje:

Predlog spremembe 50

Predlog direktive

Člen 5 – odstavek 1 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) okvir upravljanja za doseganje navedenih ciljev in prednostnih nalog, vključno s politikami iz odstavka 2 ter vlogami in odgovornostmi javnih organov in subjektov ter drugih ustreznih akterjev;	(b) okvir upravljanja za doseganje navedenih ciljev in prednostnih nalog, vključno s politikami iz odstavka 2 ter vlogami in odgovornostmi javnih organov in subjektov ter drugih ustreznih akterjev, tudi tistih, ki so pristojni za kibernetsko obveščevalno dejavnost in kibernetsko obrambo;

Predlog spremembe 51

Predlog direktive

Člen 5 – odstavek 1 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) oceno za opredelitev ustreznih sredstev in tveganj za kibernetsko varnost v zadevni državi članici;	(c) oceno za opredelitev ustreznih sredstev in tveganj za kibernetsko varnost v zadevni državi članici, vključno z morebitnimi pomanjkljivostmi, ki bi lahko negativno vplivale na enotni trg;

Predlog spremembe 52

Predlog direktive

Člen 5 – odstavek 1 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) seznam različnih organov in akterjev, vključenih v izvajanje nacionalne strategije za kibernetsko varnost;	(e) seznam različnih organov in akterjev, vključenih v izvajanje nacionalne strategije za kibernetsko varnost, vključno s točko „ vse na enem mestu“ za MSP;

Predlog spremembe 53

Predlog direktive

Člen 5 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) smernice v zvezi z vključitvijo in specifikacijo zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo;	(b) smernice v zvezi z vključitvijo in specifikacijo zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo, vključno z uporabo odprtokodnih proizvodov za kibernetsko varnost;

Predlog spremembe 54

Predlog direktive

Člen 5 – odstavek 2 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) politiko za spodbujanje in olajšanje usklajenega razkrivanja šibkih točk v smislu člena 6;	(c) politiko za spodbujanje in olajšanje usklajenega razkrivanja šibkih točk v smislu člena 6, vključno z določitvijo smernic in najboljših praks, ki temeljijo na že uveljavljenih mednarodno priznanih standardih o obravnavanju in razkrivanju šibkih točk;

Predlog spremembe 55

Predlog direktive

Člen 5 – odstavek 2 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) politiko za spodbujanje in razvoj znanj in spretnosti, ozaveščanja ter raziskovalnih in razvojnih pobud na področju kibernetske varnosti;	(e) politiko za spodbujanje kibernetske varnosti za potrošnike, njihovo ozaveščanje o kibernetskih grožnjah, povečanje kibernetske pismenosti, krepitev zaupanja uporabnikov, tehnološko nevtralnih znanj in spretnosti ter izobraževanja na področju kibernetske varnosti in spodbujanja raziskovalnih in razvojnih pobud ter kibernetske varnosti povezanih proizvodov;

Predlog spremembe 56

Predlog direktive

Člen 5 – odstavek 2 – točka e a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ea) politiko za spodbujanje uporabe kriptografije in šifriranja, zlasti v malih in srednjih podjetjih;

Predlog spremembe 57

Predlog direktive

Člen 5 – odstavek 2 – točka h


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(h) politiko za obravnavanje posebnih potreb MSP, zlasti tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam.	(h) politiko za spodbujanje kibernetske varnosti in obravnavanje posebnih potreb MSP pri izpolnjevanju obveznosti iz te direktive in posebnih potreb tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam, na primer vključno s financiranjem in izobraževanjem v podporo prevzetju ukrepov za kibernetsko varnost;

Predlog spremembe 58

Predlog direktive

Člen 5 – odstavek 2 – točka h a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ha) ta politika vključuje vzpostavitev nacionalne enotne kontaktne točke za MSP ter okvir za najučinkovitejšo uporabo vozlišč digitalnih inovacij in razpoložljivih sredstev za doseganje ciljev politike;

Predlog spremembe 59

Predlog direktive

Člen 5 – odstavek 2 – točka h b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(hb) politiko za spodbujanje skladne in sinergijske uporabe razpoložljivih sredstev;

Predlog spremembe 60

Predlog direktive

Člen 5 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice vsaj vsaka štiri leta ocenijo svoje nacionalne strategije za kibernetsko varnost na podlagi ključnih kazalnikov uspešnosti in jih po potrebi spremenijo. Agencija Evropske unije za kibernetsko varnost (ENISA) na zahtevo pomaga državam članicam pri razvoju nacionalne strategije in ključnih kazalnikov uspešnosti za oceno strategije.	4. Države članice vsaj vsaka štiri leta ocenijo svoje nacionalne strategije za kibernetsko varnost na podlagi ključnih kazalnikov uspešnosti in jih po potrebi spremenijo. Agencija Evropske unije za kibernetsko varnost (ENISA) na zahtevo pomaga državam članicam pri razvoju nacionalne strategije in ključnih kazalnikov uspešnosti za oceno strategije. Agencija ENISA na države članice naslovi tudi priporočila o razvoju ključnih kazalnikov uspešnosti za oceno nacionalne strategije, ki so primerljivi na ravni Unije.

Predlog spremembe 61

Predlog direktive

Člen 6 – naslov


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Usklajeno razkrivanje šibkih točk in evropski register šibkih točk	Usklajeno razkrivanje šibkih točk in evropska baza podatkov šibkih točk

Predlog spremembe 62

Predlog direktive

Člen 6 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Agencija ENISA razvije in vzdržuje evropski register šibkih točk. V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT ter zagotovijo dostop do informacij o šibkih točkah, vsebovanih v registru, vsem zainteresiranim stranem. Register vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, naslovljene na uporabnike proizvodov in storitev s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk.	2. Agencija ENISA razvije in vzdržuje evropsko bazo podatkov šibkih točk. V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke ter ustrezne politike razkrivanja, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da razkrijejo in zlahka evidentirajo šibke točke proizvodov in storitev IKT ter zagotovijo dostop do ustreznih informacij o šibkih točkah, vsebovanih v registru, vsem zainteresiranim stranem, pod pogojem, da takšni ukrepi ne ogrožajo varstva zaupnosti in poslovnih skrivnosti. Baza podatkov šibkih točk vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, naslovljene na uporabnike proizvodov in storitev s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk. Da bi se izognili podvajanju prizadevanj, agencija ENISA sklene sporazum o izmenjavi informacij in strukturiran sporazum o sodelovanju z registrom skupnih ranljivosti in izpostavljenosti (CVE) ter po potrebi z drugimi bazami podatkov, ki jih na svetovni ravni razvijajo in vzdržujejo zaupanja vredni partnerji.

Predlog spremembe 63

Predlog direktive

Člen 7 – odstavek 1 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	1a. Kadar država članica imenuje več kot en pristojni organ iz odstavka 1, jasno navede, kateri od teh pristojnih organov bo služil kot glavna kontaktna točka v primeru velikega incidenta ali krize.

Predlog spremembe 64

Predlog direktive

Člen 7 – odstavek 3 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) nacionalni postopki in ureditve med ustreznimi nacionalnimi organi za zagotovitev učinkovitega sodelovanja države članice pri usklajenem upravljanju velikih kibernetskih incidentov in kriz na ravni Unije ter njegove podpore.	(f) nacionalni postopki in usklajevanje med ustreznimi nacionalnimi organi, tudi tistimi, ki so pristojni za kibernetsko obveščevalno dejavnost in kibernetsko obrambo, za zagotovitev učinkovitega sodelovanja države članice pri usklajenem upravljanju velikih kibernetskih incidentov in kriz na ravni Unije ter njegove podpore.

Predlog spremembe 65

Predlog direktive

Člen 10 – odstavek 2 – točka d


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(d) opravljanje dinamičnih analiz tveganja in incidentov ter situacijsko zavedanje na področju kibernetske varnosti;	(d) opravljanje dinamičnih analiz tveganja in incidentov ter situacijsko zavedanje na področju kibernetske varnosti, tudi z analizo zgodnjih opozoril in priglasitev iz člena 20;

Predlog spremembe 66

Predlog direktive

Člen 10 – odstavek 2 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) opravljanje, na zahtevo subjekta, proaktivnega pregleda omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje njihovih storitev;	(e) opravljanje, na zahtevo subjekta, pregleda omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje njihovih storitev, da se prepoznajo, zmanjšajo ali preprečijo določene grožnje;

Predlog spremembe 67

Predlog direktive

Člen 10 – odstavek 2 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) sodelovanje v mreži skupin CSIRT in zagotavljanje medsebojne pomoči drugim članicam mreže na njihovo zahtevo.	(f) dejavno sodelovanje v mreži skupin CSIRT in zagotavljanje medsebojne pomoči drugim članicam mreže na njihovo zahtevo.

Predlog spremembe 68

Predlog direktive

Člen 10 – odstavek 2 – točka f a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(fa) zagotavljanje operativne pomoči in smernic subjektom iz Prilog I in II, zlasti malim in srednjim podjetjem;

Predlog spremembe 69

Predlog direktive

Člen 10 – odstavek 2 – točka f b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(fb) sodelovanje pri skupnih vajah na področju kibernetske varnosti na ravni Unije.

Predlog spremembe 70

Predlog direktive

Člen 11 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da bodisi njihovi pristojni organi bodisi skupine CSIRT prejmejo priglasitve incidentov ter pomembnih kibernetskih groženj in skorajšnjih dogodkov, predloženih v skladu s to direktivo. Kadar država članica sklene, da njene skupine CSIRT ne prejemajo takih priglasitev, se tem skupinam v obsegu, potrebnem za opravljanje njihovih nalog, zagotovi dostop do podatkov o incidentih, ki jih v skladu s členom 20 priglasijo bistveni ali pomembni subjekti.	2. Države članice zagotovijo, da bodisi njihovi pristojni organi bodisi skupine CSIRT prejmejo priglasitve incidentov ter pomembnih kibernetskih groženj in skorajšnjih dogodkov, predloženih v skladu s to direktivo. Kadar država članica sklene, da njene skupine CSIRT ne prejemajo takih priglasitev, se tem skupinam v obsegu, potrebnem za učinkovito opravljanje njihovih nalog, zagotovi primeren dostop do podatkov o incidentih, ki jih v skladu s členom 20 priglasijo bistveni ali pomembni subjekti.

Predlog spremembe 71

Predlog direktive

Člen 11 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, organi kazenskega pregona, organi za varstvo podatkov in organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici.	4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, organi kazenskega pregona, organi za varstvo podatkov in organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici, kot tudi z organi, pristojnimi za kibernetsko obveščevalno dejavnost in kibernetsko obrambo.
__________________	__________________
39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].	39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

Predlog spremembe 72

Predlog direktive

Člen 12 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Skupina za sodelovanje opravlja svoje naloge na podlagi dvoletnih delovnih programov iz odstavka 6.	2. Skupina za sodelovanje se srečuje redno in opravlja svoje naloge na podlagi dvoletnih delovnih programov iz odstavka 6.

Predlog spremembe 73

Predlog direktive

Člen 12 – odstavek 3 – pododstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Skupina za sodelovanje lahko k sodelovanju po potrebi povabi predstavnike ustreznih zainteresiranih strani.	Skupina za sodelovanje lahko k sodelovanju po potrebi povabi predstavnike ustreznih organov in agencij Unije ter zainteresiranih strani.

Predlog spremembe 74

Predlog direktive

Člen 12 – odstavek 4 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) zagotavljanje usmeritev pristojnim organom v zvezi s prenosom in izvajanjem te direktive;	(a) zagotavljanje usmeritev pristojnim organom v zvezi s prenosom in izvajanjem te direktive in spodbujanje njenega enotnega izvajanja v državah članicah;

Predlog spremembe 75

Predlog direktive

Člen 12 – odstavek 4 – točka a a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(aa) izmenjava informacij o političnih prednostnih nalogah in glavnih izzivih kibernetske varnosti ter opredelitev njenih glavnih ciljev;

Predlog spremembe 76

Predlog direktive

Člen 12 – odstavek 4 – točka a b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ab) razpravljanje o nacionalnih strategijah in pripravljenosti držav članic;

Predlog spremembe 77

Predlog direktive

Člen 12 – odstavek 4 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) izmenjava nasvetov in sodelovanje s Komisijo pri nastajajočih pobudah za politiko o kibernetski varnosti;	(c) izmenjava nasvetov in sodelovanje s Komisijo pri nastajajočih pobudah za politiko o kibernetski varnosti in z Evropsko službo za zunanje delovanje o geopolitičnih vidikih kibernetske varnosti v Uniji;

Predlog spremembe 78

Predlog direktive

Člen 12 – odstavek 4 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 16(7);	(f) obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 16(7), ocenjevanje njihovega delovanja ter priprava ugotovitev in priporočil;

Predlog spremembe 79

Predlog direktive

Člen 12 – odstavek 4 – točka k a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ka) podpora agenciji ENISA pri organizaciji skupnega usposabljanja pristojnih nacionalnih organov na ravni Unije.

Predlog spremembe 80

Predlog direktive

Člen 12 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Skupina za sodelovanje do [24 mesecev po datumu začetka veljavnosti te direktive] in nato vsaki dve leti pripravi delovni program v zvezi z ukrepi, ki jih je treba sprejeti za izpolnitev njenih ciljev in nalog. Časovni okvir prvega programa, sprejetega v skladu s to direktivo, je usklajen s časovnim okvirom zadnjega programa, sprejetega v skladu z Direktivo (EU) 2016/1148.	6. Skupina za sodelovanje do [12 mesecev po datumu začetka veljavnosti te direktive] in nato vsaki dve leti pripravi delovni program v zvezi z ukrepi, ki jih je treba sprejeti za izpolnitev njenih ciljev in nalog. Časovni okvir prvega programa, sprejetega v skladu s to direktivo, je usklajen s časovnim okvirom zadnjega programa, sprejetega v skladu z Direktivo (EU) 2016/1148.

Predlog spremembe 81

Predlog direktive

Člen 12 – odstavek 8 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	8a. Skupina za sodelovanje redno objavlja zbirno poročilo o svojih dejavnostih, brez poseganja v zaupnost informacij, izmenjanih na sestankih skupine.

Predlog spremembe 82

Predlog direktive

Člen 13 – odstavek 3 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) izmenjava informacij o zmogljivostih skupin CSIRT;	(a) izmenjava informacij o zmogljivostih in pripravljenosti skupin CSIRT;

Predlog spremembe 83

Predlog direktive

Člen 13 – odstavek 3 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) izmenjava ustreznih informacij o incidentih, skorajšnjih dogodkih, kibernetskih grožnjah, tveganjih in šibkih točkah;	(b) izmenjava ustreznih informacij o incidentih, skorajšnjih dogodkih, kibernetskih grožnjah, tveganjih in šibkih točkah in podpiranje operativnih zmogljivosti držav članic;

Predlog spremembe 84

Predlog direktive

Člen 13 – odstavek 3 – točka d a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(da) izmenjava in obravnavanje informacij v zvezi s čezmejnimi incidenti;

Predlog spremembe 85

Predlog direktive

Člen 13 – odstavek 3 – točka g – točka i a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ia) izmenjava informacij;

Predlog spremembe 86

Predlog direktive

Člen 13 – odstavek 3 – točka j


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(j) na prošnjo posamezne skupine CSIRT obravnavanje njenih zmogljivosti in pripravljenosti;	(j) obravnavanje zmogljivosti in pripravljenosti skupin CSIRT;

Predlog spremembe 87

Predlog direktive

Člen 13 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Mreža skupin CSIRT za namene pregleda iz člena 35 do 24 mesecev po datumu začetka veljavnosti te direktive in nato vsaki dve leti oceni napredek, dosežen na področju operativnega sodelovanja, in pripravi poročilo. V poročilu se zlasti oblikujejo sklepi o rezultatih medsebojnih strokovnih pregledov iz člena 16, opravljenih v zvezi z nacionalnimi skupinami CSIRT, vključno s sklepi in priporočili v okviru navedenega člena. To poročilo se predloži tudi skupini za sodelovanje.	4. Mreža skupin CSIRT za namene pregleda iz člena 35 do 24 mesecev po datumu začetka veljavnosti te direktive in nato vsako leto oceni napredek, dosežen na področju operativnega sodelovanja, in pripravi poročilo. V poročilu se zlasti oblikujejo sklepi o rezultatih medsebojnih strokovnih pregledov iz člena 16, opravljenih v zvezi z nacionalnimi skupinami CSIRT, vključno s sklepi in priporočili v okviru navedenega člena. To poročilo se predloži tudi skupini za sodelovanje.

Predlog spremembe 88

Predlog direktive

Člen 14 – odstavek 3 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) zviševanje ravni pripravljenosti za upravljanje velikih incidentov in kriz;	(a) zviševanje ravni pripravljenosti za upravljanje velikih incidentov in kriz, vključno s čezmejnimi kibernetskimi grožnjami;

Predlog spremembe 89

Predlog direktive

Člen 14 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Mreža EU-CyCLONe redno poroča skupini za sodelovanje o kibernetskih grožnjah, incidentih in trendih, pri čemer se osredotoča zlasti na njihov vpliv na bistvene in pomembne subjekte.	5. Mreža EU-CyCLONe redno poroča skupini za sodelovanje o kibernetskih grožnjah, incidentih in trendih, pri čemer se osredotoča zlasti na njihov vpliv na bistvene in pomembne subjekte in na njihovo odpornost.

Predlog spremembe 90

Predlog direktive

Člen 14 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Mreža EU-CyCLONe sodeluje z mrežo skupin CSIRT na podlagi sprejetih postopkovnih ureditev.	6. Mreža EU-CyCLONe tesno sodeluje z mrežo skupin CSIRT na podlagi sprejetih postopkovnih ureditev.

Predlog spremembe 91

Predlog direktive

Člen 15 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Agencija ENISA v sodelovanju s Komisijo izda dvoletno poročilo o stanju kibernetske varnosti v Uniji. Poročilo vključuje zlasti oceno naslednjega:	1. Agencija ENISA v sodelovanju s Komisijo izda dvoletno poročilo o stanju kibernetske varnosti v Uniji in ga predloži Evropskemu parlamentu. Poročilo vključuje zlasti oceno naslednjega:

Predlog spremembe 92

Predlog direktive

Člen 15 – odstavek 1 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) razvoja zmogljivosti za kibernetsko varnost v Uniji;	(a) razvoja zmogljivosti za kibernetsko varnost v Uniji, vključno s splošno stopnjo spretnosti in kompetenc na področju kibernetske varnosti, splošno stopnjo odpornosti notranjega trga proti kibernetskim grožnjam in tem, v kolikšni meri se direktiva izvaja v vseh posameznih državah članicah;

Predlog spremembe 93

Predlog direktive

Člen 15 – odstavek 1 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) indeksa kibernetske varnosti, ki določa skupno oceno ravni zrelosti zmogljivosti za kibernetsko varnost.	(c) indeksa kibernetske varnosti, ki določa skupno oceno ravni zrelosti zmogljivosti za kibernetsko varnost, vključno s splošno oceno kibernetske varnosti za potrošnike;

Predlog spremembe 94

Predlog direktive

Člen 15 – odstavek 1 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) geopolitičnih vidikov, ki neposredno ali posredno vplivajo na stanje kibernetske varnosti v Uniji.

Predlog spremembe 95

Predlog direktive

Člen 16 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA najpozneje 18 mesecev po začetku veljavnosti te direktive določi metodologijo in vsebino sistema medsebojnih strokovnih pregledov za ocenjevanje učinkovitosti politik držav članic na področju kibernetske varnosti. Preglede izvedejo tehnični strokovnjaki za kibernetsko varnost iz držav članic, med katerimi ni države, v zvezi s katero se izvede pregled, in zajemajo vsaj naslednje:	1. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA najpozneje 12 mesecev po začetku veljavnosti te direktive določi metodologijo in vsebino sistema medsebojnih strokovnih pregledov za ocenjevanje učinkovitosti politik držav članic na področju kibernetske varnosti. Preglede izvedejo tehnični strokovnjaki za kibernetsko varnost iz vsaj dveh držav članic in agencije ENISA, med katerimi ni države, v zvezi s katero se izvede pregled, in zajemajo vsaj naslednje:

Predlog spremembe 96

Predlog direktive

Člen 16 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Metodologija vključuje objektivna, nediskriminatorna, pravična in pregledna merila, na podlagi katerih države članice imenujejo strokovnjake, ki so upravičeni izvajati medsebojne strokovne preglede. Agencija ENISA in Komisija imenujeta strokovnjake, ki v medsebojnih strokovnih pregledih sodelujejo kot opazovalci. Komisija ob podpori agencije ENISA v okviru metodologije iz odstavka 1 vzpostavi objektiven, nediskriminatoren, pravičen in pregleden sistem za izbiro in naključno dodeljevanje strokovnjakov za posamezne medsebojne strokovne preglede.	2. Metodologija vključuje objektivna, nediskriminatorna, tehnološko nevtralna, pravična in pregledna merila, na podlagi katerih države članice imenujejo strokovnjake, ki so upravičeni izvajati medsebojne strokovne preglede. Agencija ENISA in Komisija imenujeta strokovnjake, ki v medsebojnih strokovnih pregledih sodelujejo kot opazovalci. Komisija ob podpori agencije ENISA v okviru metodologije iz odstavka 1 vzpostavi objektiven, nediskriminatoren, pravičen in pregleden sistem za izbiro in naključno dodeljevanje strokovnjakov za posamezne medsebojne strokovne preglede.

Predlog spremembe 97

Predlog direktive

Člen 18 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih ti subjekti uporabljajo za opravljanje storitev. Ob upoštevanju stanja tehnike se s temi ukrepi zagotovi raven varnosti omrežij in informacijskih sistemov, primerna obstoječemu tveganju.	1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih ti subjekti uporabljajo za opravljanje storitev. Ti ukrepi so ustrezni in sorazmerni glede na stopnjo kritičnosti sektorja ali vrste storitve ter stopnjo odvisnosti subjekta od drugih sektorjev ali vrst storitev in se sprejmejo na podlagi ocene tveganja. Ob upoštevanju stanja tehnike se s temi ukrepi zagotovi raven varnosti omrežij in informacijskih sistemov, primerna obstoječemu tveganju. Zlasti se sprejmejo ukrepi za preprečevanje in zmanjšanje vpliva varnostnih incidentov na prejemnike njihovih storitev.

Predlog spremembe 98

Predlog direktive

Člen 18 – odstavek 2 – točka d


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(d) varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi dobavitelji ali ponudniki storitev, kot so ponudniki storitev shranjevanja in obdelave podatkov ali upravljanih varnostnih storitev;	(d) ukrepi za oceno tveganja za varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi dobavitelji ali ponudniki storitev, kot so ponudniki storitev shranjevanja in obdelave podatkov ali upravljanih varnostnih storitev;

Predlog spremembe 99

Predlog direktive

Člen 18 – odstavek 2 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) politike in postopke (preizkušanje in revidiranje) za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;	(f) politike in postopke (preizkušanje in revidiranje) ter redne vaje o kibernetski varnosti za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;

Predlog spremembe 100

Predlog direktive

Člen 18 – odstavek 2 – točka g


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(g) uporabo kriptografije in šifriranja.	(g) uporabo kriptografije, šifriranja in zlasti šifriranja od konca do konca;

Predlog spremembe 101

Predlog direktive

Člen 18 – odstavek 2 – točka g a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ga) politike za zagotavljanje ustreznega usposabljanja in ozaveščanja na področju kibernetske varnosti.

Predlog spremembe 102

Predlog direktive

Člen 18 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice zagotovijo, da subjekti pri preučevanju ustreznih ukrepov iz točke (d) odstavka 2 upoštevajo šibke točke posameznega dobavitelja in ponudnika storitev ter splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki.	3. Države članice zagotovijo, da subjekti pri preučevanju ustreznih ukrepov iz točke (d) odstavka 2, kadar imajo dostop do ustreznih informacij, upoštevajo šibke točke posameznega dobavitelja in ponudnika storitev ter splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki.

Predlog spremembe 103

Predlog direktive

Člen 18 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične in metodološke specifikacije elementov iz odstavka 2. Komisija pri pripravi teh aktov ravna v skladu s postopkom pregleda iz člena 37(2) ter v največji možni meri upošteva mednarodne in evropske standarde ter ustrezne tehnične specifikacije.	5. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov, s katerimi določi tehnične in metodološke specifikacije elementov iz odstavka 2 ter v največji možni meri upošteva mednarodne in evropske standarde ter ustrezne tehnične specifikacije. Komisija se pri pripravi delegiranih aktov posvetuje tudi z vsemi ustreznimi deležniki.

Predlog spremembe 104

Predlog direktive

Člen 18 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Komisija je pooblaščena za sprejetje delegiranih aktov v skladu s členom 36 za dopolnitev elementov iz odstavka 2, da bi se upoštevale nove kibernetske grožnje, tehnološki razvoj ali sektorske posebnosti.	6. Komisija v sodelovanju s skupino za sodelovanje in agencijo ENISA zagotovi smernice in primere dobre prakse glede tega, kako lahko subjekti sorazmerno izpolnjujejo zahteve iz odstavka 2, zlasti zahtevo iz točke (d) navedenega odstavka.

Predlog spremembe 105

Predlog direktive

Člen 19 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Skupina za sodelovanje lahko v sodelovanju s Komisijo in agencijo ENISA izvaja usklajene ocene tveganja za varnost specifičnih kritičnih storitev IKT, sistemov IKT ali dobavnih verig proizvodov IKT, ob upoštevanju tehničnih in po potrebi netehničnih dejavnikov tveganja.	1. Skupina za sodelovanje lahko za izboljšanje splošne ravni kibernetske varnosti v sodelovanju s Komisijo in agencijo ENISA izvaja usklajene ocene tveganja za varnost specifičnih kritičnih storitev IKT, sistemov IKT ali dobavnih verig proizvodov IKT, ob upoštevanju tehničnih in po potrebi netehničnih dejavnikov tveganja, kot so geopolitična tveganja.

Predlog spremembe 106

Predlog direktive

Člen 20 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice zagotovijo, da bistveni in pomembni subjekti pristojnim organom ali skupini CSIRT brez nepotrebnega odlašanja v skladu z odstavkoma 3 in 4 priglasijo vse incidente, ki pomembno vplivajo na opravljanje njihovih storitev. Kjer je to ustrezno, navedeni subjekti prejemnike svojih storitev brez nepotrebnega odlašanja obvestijo o incidentih, ki bodo verjetno negativno vplivali na opravljanje zadevne storitve. Države članice zagotovijo, da navedeni subjekti sporočijo, med drugim, vse informacije, ki pristojnim organom ali skupini CSIRT omogočajo, da določijo čezmejni vpliv incidenta.	1. Države članice zagotovijo, da bistveni in pomembni subjekti pristojnim organom ali skupini CSIRT brez nepotrebnega odlašanja v skladu z odstavkoma 3 in 4 priglasijo vse incidente, ki pomembno vplivajo na opravljanje njihovih storitev, ali vse skorajšnje dogodke. Kjer je to ustrezno, navedeni subjekti prejemnike svojih storitev brez nepotrebnega odlašanja obvestijo o incidentih, ki bodo verjetno negativno vplivali na opravljanje zadevne storitve. Države članice zagotovijo, da navedeni subjekti sporočijo, med drugim, vse informacije, ki pristojnim organom ali skupini CSIRT omogočajo, da določijo čezmejni vpliv incidenta ali skorajšnjega dogodka.

Predlog spremembe 107

Predlog direktive

Člen 20 – odstavek 1 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	1a. Da bi poenostavili obveznosti poročanja, države članice vzpostavijo enotno vstopno točko za vse priglasitve, ki se zahtevajo v skladu s to direktivo in tudi drugo zakonodajo Unije, kot sta Uredba (EU) 2016/679 in Direktiva 2002/58/ES.

Predlog spremembe 108

Predlog direktive

Člen 20 – odstavek 1 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	1b. Agencija ENISA v sodelovanju s skupino za sodelovanje s smernicami oblikuje skupne predloge za priglasitev, s katerimi bi se poenostavile in racionalizirale informacije za poročanje, ki se zahtevajo s pravom Unije, ter zmanjšalo breme izpolnjevanja obveznosti za podjetja.

Predlog spremembe 109

Predlog direktive

Člen 20 – odstavek 2 – pododstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da bistveni in pomembni subjekti brez nepotrebnega odlašanja pristojnim organom ali skupini CSIRT priglasijo vse pomembne kibernetske grožnje, ki jih ti subjekti prepoznajo in ki bi lahko privedle do velikega incidenta.	črtano

Predlog spremembe 110

Predlog direktive

Člen 20 – odstavek 2 – pododstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Po potrebi ti subjekti prejemnike svojih storitev, ki bi jih pomembna kibernetska grožnja lahko prizadela, brez nepotrebnega odlašanja obvestijo o vseh ukrepih ali sredstvih, ki jih lahko ti prejemniki sprejmejo v odziv na zadevno grožnjo. Kjer je ustrezno, subjekti zadevne prejemnike obvestijo tudi o sami grožnji. Priglasitev ne sme nalagati priglasitelju dodatne odgovornosti.	črtano

Predlog spremembe 111

Predlog direktive

Člen 20 – odstavek 3 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) je zadevnemu subjektu povzročil ali bi mu lahko povzročil znatne operativne motnje ali finančne izgube;	(a) je zadevnemu subjektu povzročil znatne operativne motnje ali finančne izgube;

Predlog spremembe 112

Predlog direktive

Člen 20 – odstavek 3 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnjih materialnih ali nematerialnih izgub.	(b) je vplival na druge fizične ali pravne osebe s povzročitvijo precejšnjih materialnih ali nematerialnih izgub.

Predlog spremembe 113

Predlog direktive

Člen 20 – odstavek 3 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	3a. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 36 v zvezi z dopolnitvijo te direktive z navedbo vrste informacij, predloženih v skladu z odstavkom 1 tega člena, in navedbo primerov, v katerih se incident šteje za velikega, kot je navedeno v odstavku 3 tega člena.

Predlog spremembe 114

Predlog direktive

Člen 20 – odstavek 4 – točka -a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(-a) predhodno opozorilo v prvih 24 urah od takrat, ko se subjekt seznani z incidentom, brez obveznosti zadevnega subjekta glede razkritja dodatnih informacij v zvezi z incidentom;

Predlog spremembe 115

Predlog direktive

Člen 20 – odstavek 4 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) brez nepotrebnega odlašanja in v vsakem primeru v 24 urah po seznanitvi z incidentom začetno priglasitev, v kateri je, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem;	(a) brez nepotrebnega odlašanja in v vsakem primeru v 72 urah po seznanitvi z incidentom začetno priglasitev, v kateri je, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem;

Predlog spremembe 116

Predlog direktive

Člen 20 – odstavek 4 – točka c – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) končno poročilo, najpozneje v enem mesecu po predložitvi začetne priglasitve iz točke (a), ki vključuje vsaj naslednje:	(c) celovito poročilo, najpozneje v treh mesecih po predložitvi začetne priglasitve iz točke (a), ki vključuje vsaj naslednje:

Predlog spremembe 117

Predlog direktive

Člen 20 – odstavek 4 – točka c – točka i


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(i) podroben opis incidenta, njegove resnosti in vpliva;	(i) podrobnejši opis incidenta, njegove resnosti in vpliva;

Predlog spremembe 118

Predlog direktive

Člen 20 – odstavek 4 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) v primeru incidenta, ki je ob predložitvi izčrpnega poročila na podlagi točke (c) še vedno v teku, se končno poročilo predloži en mesec po ublažitvi incidenta;

Predlog spremembe 119

Predlog direktive

Člen 20 – odstavek 7


Besedilo, ki ga predlaga Komisija	Predlog spremembe
7. Kadar je ozaveščenost javnosti potrebna za preprečitev incidenta ali obravnavo incidenta, ki je v teku, ali kadar je razkritje incidenta kako drugače v javnem interesu, lahko pristojni organ ali skupina CSIRT in po potrebi organi ali skupine CSIRT drugih zadevnih držav članic po posvetovanju z zadevnim subjektom obvestijo javnost o incidentu ali zahtevajo, da to stori subjekt.	7. Kadar je ozaveščenost javnosti potrebna za preprečitev incidenta ali obravnavo incidenta, ki je v teku, ali kadar je razkritje incidenta kako drugače v javnem interesu, pristojni organ ali skupina CSIRT in po potrebi organi ali skupine CSIRT drugih zadevnih držav članic po posvetovanju z zadevnim subjektom obvestijo javnost o incidentu ali zahtevajo, da to stori subjekt.

Predlog spremembe 120

Predlog direktive

Člen 20 – odstavek 8


Besedilo, ki ga predlaga Komisija	Predlog spremembe
8. Enotna kontaktna točka na zahtevo pristojnega organa ali skupine CSIRT priglasitve, prejete v skladu z odstavkoma 1 in 2, posreduje enotnim kontaktnim točkam drugih prizadetih držav članic.	8. Enotna kontaktna točka na zahtevo pristojnega organa ali skupine CSIRT priglasitve, prejete v skladu z odstavkom 1, posreduje enotnim kontaktnim točkam drugih prizadetih držav članic.

Predlog spremembe 121

Predlog direktive

Člen 20 – odstavek 9


Besedilo, ki ga predlaga Komisija	Predlog spremembe
9. Enotna kontaktna točka agenciji ENISA vsak mesec predloži zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o incidentih, pomembnih kibernetskih grožnjah in skorajšnjih dogodkih, priglašenih v skladu z odstavkoma 1 in 2 ter členom 27. Da bi prispevala k zagotavljanju primerljivih informacij, lahko agencija ENISA izda tehnične smernice o parametrih informacij, vključenih v zbirno poročilo.	9. Enotna kontaktna točka agenciji ENISA vsak mesec predloži zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o incidentih, pomembnih kibernetskih grožnjah in skorajšnjih dogodkih, priglašenih v skladu z odstavkom 1 ter členom 27. Da bi prispevala k zagotavljanju primerljivih informacij, lahko agencija ENISA izda tehnične smernice o parametrih informacij, vključenih v zbirno poročilo.

Predlog spremembe 122

Predlog direktive

Člen 20 – odstavek 10


Besedilo, ki ga predlaga Komisija	Predlog spremembe
10. Pristojni organi zagotovijo pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], informacije o incidentih in kibernetskih grožnjah, ki so jih v skladu z odstavkoma 1 in 2 priglasili bistveni subjekti, opredeljeni kot kritični subjekti ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov].	10. Pristojni organi zagotovijo pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], informacije o incidentih in kibernetskih grožnjah, ki so jih v skladu z odstavkom 1 priglasili bistveni subjekti, opredeljeni kot kritični subjekti ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov].

Predlog spremembe 123

Predlog direktive

Člen 20 – odstavek 11


Besedilo, ki ga predlaga Komisija	Predlog spremembe
11. Komisija lahko sprejme izvedbene akte, s katerimi se podrobneje določijo vrsta informacij, oblika in postopek priglasitve, predložene v skladu z odstavkoma 1 in 2. Komisija lahko sprejme izvedbene akte za podrobnejšo določitev primerov, v katerih se incident šteje za pomemben v skladu z odstavkom 3. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).	11. Komisija lahko sprejme izvedbene akte, s katerimi se podrobneje določijo vrsta informacij, oblika in postopek priglasitve, predložene v skladu z odstavkom 1. Komisija lahko sprejme izvedbene akte za podrobnejšo določitev primerov, v katerih se incident šteje za pomemben v skladu z odstavkom 3. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).

Predlog spremembe 124

Predlog direktive

Člen 21 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice lahko za dokaz izpolnjevanja nekaterih zahtev iz člena 18 od bistvenih in pomembnih subjektov zahtevajo, naj certificirajo nekatere proizvode, storitve in postopke IKT na podlagi določenih evropskih ceritfikacijskih shem za kibernetsko varnost, sprejetih v skladu s členom 49 Uredbe (EU) 2019/881. Proizvode, storitve in postopke, ki so predmet certificiranja, lahko razvije bistveni ali pomembni subjekt ali jih dobavijo tretje osebe.	1. Države članice za dokaz izpolnjevanja nekaterih zahtev iz člena 18 in za povečanje stopnje kibernetske varnosti po posvetovanju s skupino za sodelovanje in agencijo ENISA bistvene in pomembne subjekte spodbujajo, naj certificirajo nekatere proizvode, storitve in postopke IKT, ki so jih bistveni in pomembni subjekti razvili sami ali jih kupili od tretjih strani, na podlagi evropskih shem za kibernetsko varnost, sprejetih v skladu s členom 49 Uredbe (EU) 2019/881, ali podobnih mednarodno priznanih certifikacijskih shem. Kadar je mogoče, države članice spodbujajo usklajeno uporabo sprejetih certifikacijskih shem.

Predlog spremembe 125

Predlog direktive

Člen 21 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Komisija je pooblaščena za sprejetje delegiranih aktov, ki določajo, za katere kategorije bistvenih subjektov je treba pridobiti certifikat in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost v skladu z odstavkom 1. Delegirani akti se sprejmejo v skladu s členom 36.	2. Komisija redno ocenjuje učinkovitost in uporabo sprejetih evropskih certifikacijskih shem v skladu s členom 49 Uredbe (EU) 2019/881 in opredeli, katere kategorije bistvenih subjektov se spodbuja k pridobitvi certifikata in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost v skladu z odstavkom 1.

Predlog spremembe 126

Predlog direktive

Člen 22 – odstavek -1 (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	-1. Komisija v sodelovanju z agencijo ENISA podpira in spodbuja razvoj in izvajanje standardov, ki so jih določili ustrezni organi Unije in mednarodni standardizacijski organi, za usklajeno izvajanje člena 18(1) in (2). Komisija podpira, da se ti standardi glede na tehnološki razvoj posodabljajo.

Predlog spremembe 127

Predlog direktive

Člen 22 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Za zagotovitev usklajenega izvajanja člena 18(1) in (2) države članice spodbujajo uporabo evropskih ali mednarodno sprejetih standardov in specifikacij, pomembnih za varnost omrežij in informacijskih sistemov, ne da bi predpisale uporabo določene vrste tehnologije ali ji dajale prednost.	1. Za zagotovitev usklajenega izvajanja člena 18(1) in (2) države članice spodbujajo uporabo evropskih ali mednarodno sprejetih standardov in specifikacij, pomembnih za varnost omrežij in informacijskih sistemov, ne da bi predpisale uporabo določene vrste tehnologije ali ji dajale prednost in v skladu s smernicami agencije ENISA in skupine za sodelovanje.

Predlog spremembe 128

Predlog direktive

Člen 23 – naslov


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Podatkovne zbirke domenskih imen in podatkov o registraciji	Infrastruktura baz podatkov domenskih imen in podatkov o registraciji

Predlog spremembe 129

Predlog direktive

Člen 23 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Da bi prispevale k varnosti, stabilnosti in odpornosti sistema domenskih imen, države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, z ustrezno skrbnostjo zbirajo ter vzdržujejo točne in popolne podatke o registraciji domenskih imen v posebni podatkovni zbirki, ob upoštevanju zakonodaje Unije o varstvu podatkov v zvezi s podatki, ki so osebni podatki.	1. Da bi prispevale k varnosti, stabilnosti in odpornosti sistema domenskih imen, države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, z ustrezno skrbnostjo zbirajo, preverjajo ter vzdržujejo točne in popolne podatke o registraciji domenskih imen, ki so potrebni za zagotavljanje njihovih storitev, v posebni podatkovni zbirki, ob upoštevanju zakonodaje Unije o varstvu podatkov v zvezi s podatki, ki so osebni podatki.

Predlog spremembe 130

Predlog direktive

Člen 23 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Države članice zagotovijo, da podatkovne zbirke podatkov o registraciji domenskih imen iz odstavka 1 vsebujejo ustrezne informacije za identifikacijo imetnikov domenskih imen in kontaktnih točk, ki upravljajo domenska imena v okviru vrhnjih domen, in navezavo stika z njimi.	2. Države članice zagotovijo, da infrastruktura podatkovnih zbirk podatkov o registraciji domenskih imen iz odstavka 1 vsebuje ustrezne informacije, ki vključujejo vsaj ime registratorja, njegov fizični in elektronski naslov ter telefonsko številko, potrebne za identifikacijo imetnikov domenskih imen in kontaktnih točk, ki upravljajo domenska imena v okviru vrhnjih domen, in navezavo stika z njimi, ki vključujejo vsaj ime registratorja, njegov fizični in elektronski naslov ter telefonsko številko.

Predlog spremembe 131

Predlog direktive

Člen 23 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice zagotovijo, da imajo registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, vzpostavljene politike in postopke, ki zagotavljajo, da podatkovne zbirke vključujejo točne in popolne informacije. Države članice zagotovijo, da so take politike in postopki javno dostopni.	3. Države članice zagotovijo, da imajo registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, vzpostavljene politike in postopke, ki zagotavljajo, da infrastruktura podatkovnih zbirk vključuje točne, preverjene in popolne informacije, ter da bi moral registrator nemudoma popraviti ali izbrisati netočne ali nepopolne podatke. Države članice zagotovijo, da so take politike in postopki javno dostopni.

Predlog spremembe 132

Predlog direktive

Člen 23 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, po registraciji domenskega imena brez nepotrebnega odlašanja objavijo podatke o registraciji domene, ki niso osebni podatki.	4. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, po registraciji domenskega imena brez nepotrebnega odlašanja in v vsakem primeru v 24 urah javno objavijo vse podatke o registraciji domene pravnih oseb kot registratorjev.

Predlog spremembe 133

Predlog direktive

Člen 23 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, omogočajo dostop do podatkov o registraciji posameznih domenskih imen na podlagi zakonitih in ustrezno utemeljenih zahtevkov oseb, ki imajo upravičen razlog za dostop, v skladu z zakonodajo Unije o varstvu podatkov. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, brez nepotrebnega odlašanja odgovorijo na vse zahtevke za dostop. Države članice zagotovijo, da so politike in postopki za razkrivanje takih podatkov javno dostopni.	5. Države članice zagotovijo, da so registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, dolžni omogočiti dostop do podatkov o registraciji posameznih domenskih imen na podlagi ustrezno utemeljenih zahtevkov oseb, ki imajo upravičen razlog za dostop, v skladu z zakonodajo Unije o varstvu podatkov. Države članice zagotovijo, da registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, brez nepotrebnega odlašanja in v vsakem primeru v 72 urah odgovorijo na vse zakonite in ustrezno utemeljene zahtevke za dostop. Države članice zagotovijo, da so politike in postopki za razkrivanje takih podatkov javno dostopni.

Predlog spremembe 134

Predlog direktive

Člen 24 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Z namene te direktive se za subjekte iz odstavka 1 šteje, da imajo glavni sedež v Uniji v državi članici, kjer se sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. Če se take odločitve ne sprejemajo na sedežu v Uniji, se šteje, da je glavni sedež v državi članici, kjer imajo subjekti sedež z največjim številom zaposlenih v Uniji.	2. Z namene te direktive se za subjekte iz odstavka 1 šteje, da imajo glavni sedež v Uniji v državi članici, kjer se sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. Če se take odločitve ne sprejemajo na sedežu v Uniji, se šteje, da je glavni sedež v državi članici, kjer imajo subjekti sedež z največjim številom zaposlenih v Uniji. To se izvede na način, ki zagotavlja, da nacionalni regulativni organi ne nosijo nesorazmernega bremena.

Predlog spremembe 135

Predlog direktive

Člen 25 – odstavek 1 – uvodni del


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Agencija ENISA vzpostavi in vzdržuje register bistvenih in pomembnih subjektov iz člena 24(1). Subjekti do [najpozneje 12 mesecev po začetku veljavnosti Direktive] agenciji ENISA predložijo naslednje informacije:	1. Agencija ENISA vzpostavi in vzdržuje register bistvenih in pomembnih subjektov iz člena 24(1). V ta namen subjekti do [najpozneje 12 mesecev po začetku veljavnosti Direktive] agenciji ENISA predložijo naslednje informacije:

Predlog spremembe 136

Predlog direktive

Člen 26 – odstavek 1 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) zvišuje raven kibernetske varnosti, zlasti z ozaveščanjem v zvezi s kibernetskimi grožnjami, omejevanjem ali oviranjem zmožnosti širjenja takih groženj, podpiranjem vrste obrambnih zmogljivosti, odpravljanjem in razkrivanjem šibkih točk, tehnikami odkrivanja groženj, strategijami za zmanjšanje tveganja ali fazami odzivanja in okrevanja.	(b) zvišuje raven kibernetske varnosti, zlasti z ozaveščanjem v zvezi s kibernetskimi grožnjami, omejevanjem ali oviranjem zmožnosti širjenja takih groženj, podpiranjem vrste obrambnih zmogljivosti, odpravljanjem in razkrivanjem šibkih točk, tehnikami odkrivanja in preprečevanja groženj, strategijami za zmanjšanje tveganja ali fazami odzivanja in okrevanja.

Predlog spremembe 137

Predlog direktive

Člen 26 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Države članice določijo pravila o postopku, operativnih elementih (vključno z uporabo namenskih platform IKT), vsebini in pogojih dogovorov o izmenjavi informacij iz odstavka 2. Taka pravila določajo tudi podrobnosti sodelovanja javnih organov pri takih dogovorih in operativne elemente, vključno z uporabo namenskih platform informacijske tehnologije. Države članice nudijo podporo za uporabo takih dogovorov v skladu s svojimi politikami iz člena 5(2)(g).	3. Države članice določijo smernice o postopku, operativnih elementih (vključno z uporabo namenskih platform IKT), vsebini in pogojih dogovorov o izmenjavi informacij iz odstavka 2. Take smernice vključujejo tudi podrobnosti sodelovanja, kjer je to ustrezno, javnih organov in neodvisnih strokovnjakov pri takih dogovorih in operativne elemente, vključno z uporabo namenskih platform informacijske tehnologije. Države članice nudijo podporo za uporabo takih dogovorov v skladu s svojimi politikami iz člena 5(2)(g).

Predlog spremembe 138

Predlog direktive

Člen 26 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Agencija ENISA v skladu s pravom Unije podpira sklenitev dogovorov o izmenjavi informacij o kibernetski varnosti iz odstavka 2 z zagotavljanjem dobrih praks in smernic.	5. Agencija ENISA v skladu s pravom Unije podpira sklenitev dogovorov o izmenjavi informacij o kibernetski varnosti iz odstavka 2 z zagotavljanjem dobrih praks in smernic ter z olajšanjem izmenjave informacij na ravni Unije ob hkratnem varovanju poslovno občutljivih informacij. Skupino za sodelovanje se pozove, da zagotovi primere dobre prakse in smernice, kadar za to zaprosijo bistveni in pomembni subjekti.

Predlog spremembe 139

Predlog direktive

Člen 27 – odstavek -1 (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	-1. Države članice poskrbijo, da lahko bistveni in pomembni subjekti prostovoljno priglasijo kibernetske grožnje, ki jih ti subjekti prepoznajo in ki bi lahko privedle do velikega incidenta. Države članice poskrbijo, da subjekti pri teh priglasitvah spoštujejo postopek iz člena 20. S prostovoljnimi priglasitvami se poročajočemu subjektu ne naložijo nobene dodatne obveznosti.

Predlog spremembe 140

Predlog direktive

Člen 27 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Države članice zagotovijo, da lahko subjekti, ki ne spadajo na področje uporabe te direktive, brez poseganja v člen 3 prostovoljno predložijo priglasitve o pomembnih incidentih, kibernetskih grožnjah ali skorajšnjih dogodkih. Države članice pri obdelavi priglasitev ravnajo v skladu s postopkom iz člena 20. Pred prostovoljnimi priglasitvami lahko prednostno obdelajo obvezne priglasitve. Prostovoljno poročanje poročajočemu subjektu ne naloži nikakršnih dodatnih obveznosti, ki zanj ne bi veljale, če ne bi predložil priglasitve.	1. Države članice zagotovijo, da lahko subjekti, ki ne spadajo na področje uporabe te direktive, brez poseganja v člen 3 prostovoljno predložijo priglasitve o pomembnih incidentih, kibernetskih grožnjah ali skorajšnjih dogodkih. Države članice pri obdelavi priglasitev ravnajo v skladu s postopkom iz člena 20. Pred prostovoljnimi priglasitvami prednostno obdelajo obvezne priglasitve. Prostovoljno poročanje poročajočemu subjektu ne naloži nikakršnih dodatnih obveznosti, ki zanj ne bi veljale, če ne bi predložil priglasitve, država članica pa mu lahko odobri pomoč skupine CSIRT.

Predlog spremembe 141

Predlog direktive

Člen 28 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice zagotovijo, da pristojni organi učinkovito spremljajo izpolnjevanje obveznosti iz te direktive, zlasti obveznosti iz členov 18 in 20, in sprejmejo ukrepe za zagotovitev takega izpolnjevanja.	1. Države članice zagotovijo, da pristojni organi učinkovito spremljajo izpolnjevanje obveznosti iz te direktive, zlasti obveznosti iz členov 18 in 20, in sprejmejo ukrepe za zagotovitev takega izpolnjevanja ter da prejmejo ustrezna sredstva za izvajanje svoje vloge.

Predlog spremembe 142

Predlog direktive

Člen 28 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Pristojni organi pri obravnavi incidentov, katerih posledica je kršitev varstva osebnih podatkov, tesno sodelujejo z organi za varstvo podatkov.	2. Pristojni organi pri obravnavi incidentov, katerih posledica je kršitev varstva osebnih podatkov, tesno sodelujejo z organi za varstvo podatkov, po potrebi tudi z organi za varstvo podatkov iz drugih držav članic.

Predlog spremembe 143

Predlog direktive

Člen 29 – odstavek 2 – točka c


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(c) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju;	(c) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju, ki jih izvede usposobljen neodvisen organ ali pristojen organ;

Predlog spremembe 144

Predlog direktive

Člen 29 – odstavek 2 – točka f


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(f) zagotovijo izpolnjevanje zahtev po dostopu do podatkov, dokumentov ali kakršnih koli informacij, potrebnih za opravljanje njihovih nadzornih nalog;	(f) zagotovijo izpolnjevanje zahtev po dostopu do ustreznih podatkov, dokumentov ali informacij, potrebnih za opravljanje njihovih nadzornih nalog;

Predlog spremembe 145

Predlog direktive

Člen 29 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Pristojni organi pri izvajanju svojih pooblastil iz točk (e) do (g) odstavka 2 navedejo namen zahteve in opredelijo zahtevane informacije.	3. Pristojni organi pri izvajanju svojih pooblastil iz točk (e) do (g) odstavka 2 navedejo namen zahteve, opredelijo zahtevane informacije in omejijo svoje zahteve na področje incidenta ali težavo.

Predlog spremembe 146

Predlog direktive

Člen 29 – odstavek 5 – pododstavek 1 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) začasno prekličejo ali od certifikacijskega organa ali organa, pristojnega za izdajo dovoljenj, zahtevajo, naj začasno prekliče certifikat ali dovoljenje za del storitev ali dejavnosti ali vse storitve ali dejavnosti, ki jih opravlja bistveni subjekt;	(a) začasno prekličejo ali od certifikacijskega organa ali organa, pristojnega za izdajo dovoljenj, zahtevajo, naj začasno prekliče certifikat ali dovoljenje za ustrezne storitve ali dejavnosti, ki jih opravlja bistveni subjekt;

Predlog spremembe 147

Predlog direktive

Člen 29 – odstavek 5 – pododstavek 1 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) uvedejo ali zahtevajo, naj ustrezni organi ali sodišča v skladu z nacionalno zakonodajo uvedejo začasno prepoved opravljanja vodstvenih funkcij vseh oseb, ki za bistveni subjekt opravljajo poslovodne naloge na ravni glavnega izvršnega direktorja ali pravnega zastopnika, in vseh drugih fizičnih oseb, ki so odgovorne za kršitev.	črtano

Predlog spremembe 148

Predlog direktive

Člen 30 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Če obstajajo dokazi ali znaki, da pomembni subjekt ne izpolnjuje obveznosti, določenih v tej direktivi, zlasti v členih 18 in 20, države članice zagotovijo, da pristojni organi ukrepajo, po potrebi z naknadnimi nadzornimi ukrepi.	1. Če obstajajo dokazi ali znaki, da pomembni subjekt ne izpolnjuje obveznosti, določenih v tej direktivi, zlasti v členih 18 in 20, države članice zagotovijo, da pristojni organi po potrebi in ob upoštevanju pristopa na podlagi tveganja ukrepajo z naknadnimi nadzornimi ukrepi.

Predlog spremembe 149

Predlog direktive

Člen 30 – odstavek 2 – točka b


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(b) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju;	(b) opravijo ciljno usmerjene varnostne presoje, ki temeljijo na ocenah tveganja ali razpoložljivih informacijah o tveganju, ki jih izvede usposobljen neodvisen organ ali pristojen organ;

Predlog spremembe 150

Predlog direktive

Člen 30 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Pristojni organi pri izvajanju svojih pooblastil iz točke (d) ali (e) odstavka 2 navedejo namen zahteve in opredelijo zahtevane informacije.	3. Pristojni organi pri izvajanju svojih pooblastil iz točke (d) ali (e) odstavka 2 navedejo namen zahteve, opredelijo zahtevane informacije in omejijo svoje zahteve na področje incidenta ali težavo.

Predlog spremembe 151

Predlog direktive

Člen 31 – odstavek 4


Besedilo, ki ga predlaga Komisija	Predlog spremembe
4. Države članice zagotovijo, da se za kršitve obveznosti iz člena 18 ali člena 20 v skladu z odstavkoma 2 in 3 tega člena naložijo ustrezno visoke upravne globe v višini najmanj 10 000 000 EUR ali 2 % skupnega svetovnega letnega prometa podjetja, ki mu pripada bistveni ali pomembni subjekt, v preteklem proračunskem letu, kateri koli znesek je višji.	4. Države članice zagotovijo, da se za kršitve obveznosti iz člena 18 ali člena 20 v skladu z odstavkoma 2 in 3 tega člena naložijo ustrezno visoke upravne globe v višini največ 10 000 000 EUR ali 2 % skupnega svetovnega letnega prometa podjetja, ki mu pripada bistveni ali pomembni subjekt, v preteklem proračunskem letu, kateri koli znesek je višji.

Predlog spremembe 152

Predlog direktive

Člen 32 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Če imajo pristojni organi informacije, ki kažejo, da kršitev obveznosti iz členov 18 in 20 s strani bistvenega ali pomembnega subjekta pomeni kršitev varstva osebnih podatkov, kot je opredeljena v členu 4(12) Uredbe (EU) 2016/679 in ki se uradno sporoči v skladu s členom 33 navedene uredbe, o tem v razumnem času obvestijo nadzorne organe, ki so pristojni v skladu s členoma 55 in 56 navedene uredbe.	1. Če imajo pristojni organi informacije, ki kažejo, da kršitev obveznosti iz členov 18 in 20 s strani bistvenega ali pomembnega subjekta pomeni kršitev varstva osebnih podatkov, kot je opredeljena v členu 4(12) Uredbe (EU) 2016/679 in ki se uradno sporoči v skladu s členom 33 navedene uredbe, o tem brez nepotrebnega odlašanja in v vsakem primeru v 72 urah obvestijo nadzorne organe, ki so pristojni v skladu s členoma 55 in 56 navedene uredbe.

Predlog spremembe 153

Predlog direktive

Člen 32 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Če ima nadzorni organ, ki je pristojen v skladu z Uredbo (EU) 2016/679, sedež v drugi državi članici kot pristojni organ, lahko pristojni organ obvesti nadzorni organ, ki ima sedež v isti državi članici.	3. Če ima nadzorni organ, ki je pristojen v skladu z Uredbo (EU) 2016/679, sedež v drugi državi članici kot pristojni organ, pristojni organ tudi obvesti nadzorni organ, ki ima sedež v isti državi članici.

Predlog spremembe 154

Predlog direktive

Člen 36 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Pooblastilo za sprejemanje delegiranih aktov iz členov 18(6) in 21(2) se prenese na Komisijo za obdobje petih let od […].	2. Pooblastilo za sprejemanje delegiranih aktov iz členov 18(5) in 20(3) se prenese na Komisijo za obdobje petih let od […].

Predlog spremembe 155

Predlog direktive

Člen 36 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Prenos pooblastila iz členov 18(6) in 21(2) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne veljati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.	3. Delegirani akt, sprejet na podlagi členov 18(5) in 20(3), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v roku treh mesecev od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka tako Evropski parlament kot Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za tri mesece.

Predlog spremembe 156

Predlog direktive

Člen 36 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Delegirani akt, sprejet na podlagi členov 18(6) in 21(2), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v dveh mesecih od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka Evropski parlament in Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.	6. Delegirani akt, sprejet na podlagi členov 18(5) in 20(3), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v roku dveh mesecev od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka tako Evropski parlament kot Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.

PRILOGA: SEZNAM SUBJEKTOV ALI OSEB,
OD KATERIH JE PRIPRAVLJAVEC MNENJA PREJEL PRISPEVEK

Priprava tega seznama je povsem prostovoljna in je v izključni pristojnosti pripravljavca mnenja. Pripravljavec mnenja je pri pripravi mnenja do njegovega sprejetja v odboru prejel prispevek od naslednjih subjektov ali oseb:

Oseba	Subjekt
	BSA (The Software Alliance)
	BusinessEurope
	Confederation of Danish Industries
	Danish Permanent Representation
	Deutsche Telekom
	Digital Europe
	DOT Europe
	ETNO (European Telecommunications Network Operators)
	French Permanent Representation
	German Permanent Representation
	HUAWEI
	IFPI
	INTEL
	ITI (The Information Technology Industry Council)
	Kaspersky
	MÆRSK
	Microsoft
	ICANN
	MOTION PICTURE ASSOCIATION
	Orgalim
	Palo Alto Networks
	Rettighedsalliancen

POSTOPEK V ODBORU, ZAPROŠENEM ZA MNENJE

Naslov	Ukrepi za visoko skupno raven kibernetske varnosti v Uniji in razveljavitev Direktive (EU) 2016/1148
Referenčni dokumenti	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Pristojni odbor Datum razglasitve na zasedanju	ITRE 21.1.2021
Mnenje pripravil Datum razglasitve na zasedanju	IMCO 21.1.2021
Pripravljavec/-ka mnenja Datum imenovanja	Morten Løkkegaard 9.2.2021
Obravnava v odboru	26.5.2021	21.6.2021
Datum sprejetja	12.7.2021
Izid končnega glasovanja	+: –: 0:	42 1 2
Poslanci, navzoči pri končnem glasovanju	Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Brando Benifei, Adam Bielan, Hynek Blaško, Biljana Borzan, Vlad-Marius Botoş, Markus Buchheit, Andrea Caroppo, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Carlo Fidanza, Evelyne Gebhardt, Alexandra Geese, Sandro Gozi, Maria Grapini, Svenja Hahn, Virginie Joron, Eugen Jurzyca, Marcel Kolaja, Kateřina Konečná, Andrej Kovačev (Andrey Kovatchev), Jean-Lin Lacapelle, Maria-Manuel Leitão-Marques, Morten Løkkegaard, Antonius Manders, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein, Marco Zullo
Namestniki, navzoči pri končnem glasovanju	Clara Aguilera, Maria da Graça Carvalho, Christian Doleschal, Claude Gruffat, Jiří Pospíšil, Kosma Złotowski

POIMENSKO GLASOVANJE PRI KONČNEM GLASOVANJU
V ODBORU, ZAPROŠENEM ZA MNENJE

42	+
ECR	Adam Bielan, Carlo Fidanza, Kosma Złotowski
ID	Alessandra Basso, Hynek Blaško, Markus Buchheit, Virginie Joron, Jean-Lin Lacapelle
PPE	Pablo Arias Echeverría, Andrea Caroppo, Maria da Graça Carvalho, Deirdre Clune, Christian Doleschal, Andrej Kovačev (Andrey Kovatchev), Antonius Manders, Jiří Pospíšil, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein
Renew	Andrus Ansip, Vlad-Marius Botoş, Dita Charanzová, Sandro Gozi, Morten Løkkegaard, Marco Zullo
S&D	Alex Agius Saliba, Clara Aguilera, Brando Benifei, Biljana Borzan, Evelyne Gebhardt, Maria Grapini, Maria-Manuel Leitão-Marques, Leszek Miller, Christel Schaldemose
The Left	Kateřina Konečná, Anne-Sophie Pelletier
Verts/ALE	Anna Cavazzini, David Cormand, Alexandra Geese, Claude Gruffat, Marcel Kolaja

1	-
NI	Miroslav Radačovský

2	0
ECR	Eugen Jurzyca
Renew	Svenja Hahn

Uporabljeni znaki:

+ : za

- : proti

0 : vzdržani

MNENJE ODBORA ZA PROMET IN TURIZEM (14.7.2021)

za Odbor za industrijo, raziskave in energetiko

o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Pripravljavec mnenja: Jakop G. Dalunde

KRATKA OBRAZLOŽITEV

Prometni sektor je vse bolj dovzeten za kibernetske grožnje. Zaradi posebnih značilnosti ima tudi vrsto šibkih točk. Predlogi sprememb v tem osnutku mnenja so sicer splošni, vendar so bile tudi omenjene posebnosti. Predlogi so za promet pomembni iz naslednjih razlogov:

 Promet je pogosto mednarodna dejavnost, pri kateri so številni subjekti v pristojnosti več držav članic. Na sektor zato močno vplivajo prevelike razlike pri obvladovanju tveganj za kibernetsko varnost ter obveznostih poročanja med državami članicami.

 Prometni sektor je odvisen od varne izmenjave podatkov med različnimi akterji. Zaradi medsebojne povezanosti logistike bi lahko nezadostna kibernetska varnost enega subjekta ogrozila celotni sistem in povzročila resne posledice za delovanje drugih subjektov.

 Prometni sektor je delovno intenziven in zato še toliko bolj dovzeten za kibernetske grožnje za delavce.

Zato se predlogi sprememb osredotočajo na naslednje teme: ocenjevanje stopnje neskladnosti med državami članicami pri obveznostih glede kibernetske varnosti, spodbujanje usklajevanja teh obveznosti z nezakonodajnimi sredstvi, podporo za usposabljanje zaposlenih o tveganjih za kibernetsko varnost.

Poleg teh splošnih ugotovitev je treba omeniti, da prometni sektor pri opravljanju storitev vse pogosteje uporablja daljinske senzorje, ki se lahko povežejo z internetom, pa tudi sama vozila so vse bolj digitalizirana. Čeprav te naprave niso nujno del širših informacijskih sistemov, lahko zahtevajo posebne ocene varnosti.

PREDLOGI SPREMEMB

Odbor za promet in turizem poziva Odbor za industrijo, raziskave in energetiko kot pristojni odbor, da upošteva naslednje predloge sprememb:

Predlog spremembe 1

Predlog direktive

Uvodna izjava 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(3) Omrežja in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe, vključno s čezmejnimi izmenjavami. Ta razvoj je privedel do razširitve okolja kibernetskih groženj, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv kibernetskih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Posledično lahko kibernetski incidenti ovirajo gospodarske dejavnosti na notranjem trgu, ustvarjajo finančne izgube, slabijo zaupanje uporabnikov ter povzročajo veliko škodo gospodarstvu in družbi Unije. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj pomembnejši za ustrezno delovanje notranjega trga kot kdaj koli prej.	(3) Omrežja in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe ter prispevajo k razvoju novih gospodarskih modelov in storitev, kot so gospodarstvo priložnostnih del, ekonomija na zahtevo in platformno gospodarstvo, vključno s čezmejnimi izmenjavami in mobilnostjo kot storitvijo (pristop MaaS). Ta razvoj je privedel do razširitve okolja kibernetskih groženj, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv kibernetskih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Posledično lahko kibernetski incidenti škodujejo blaginji celotne družbe, ovirajo gospodarske dejavnosti na notranjem trgu, družbene dejavnosti, ustvarjajo finančne izgube, slabijo zaupanje uporabnikov in delavcev, povzročajo veliko škodo gospodarstvu in družbi Unije ali pomenijo teroristično grožnjo. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj bolj kot kdaj prej pomembnejši za to, da se zaščitijo temeljne pravice in svoboščine EU ter zagotovi pravilno delovanje notranjega trga. Poleg tega je kibernetska varnost eden od glavnih dejavnikov, ki številnim ključnim sektorjem, kot je promet, omogočajo, da se uspešno podajo na pot digitalne preobrazbe ter v celoti izkoristijo gospodarske, družbene in trajnostne prednosti digitalizacije.

Predlog spremembe 2

Predlog direktive

Uvodna izjava 9


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev. Države članice bi morale biti odgovorne za pripravo seznama takih subjektov in ga predložiti Komisiji.	(9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev. Države članice bi morale biti odgovorne za pripravo seznama takih subjektov in ga predložiti Komisiji. Pri tem bi bilo treba v celoti upoštevati posebnosti poslovne dejavnosti malih in srednjih podjetij, prav tako pa jim ne bi smeli naložiti prevelikega upravnega bremena.

Predlog spremembe 3

Predlog direktive

Uvodna izjava 10


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(10) Komisija lahko v sodelovanju s skupino za sodelovanje izda smernice o izvajanju meril, ki se uporabljajo za mikro in mala podjetja.	(10) Komisija lahko v sodelovanju s skupino za sodelovanje in ustreznimi deležniki iz industrije izda smernice o izvajanju meril, ki se uporabljajo za mikro- in mala podjetja. Pripraviti bi morala tudi ustrezne smernice za vsa mikro in mala podjetja, za katera se bo uporabljala ta direktiva. S pomočjo držav članic ni morala tem podjetjem posredovati informacije v zvezi s tem. .

Predlog spremembe 4

Predlog direktive

Uvodna izjava 12


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(12) Sektorska zakonodaja in sektorski instrumenti lahko prispevajo k zagotavljanju visokih ravni kibernetske varnosti, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Če sektorski pravni akt Unije določa, da morajo bistveni in pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali priglasiti incidente ali pomembne kibernetske grožnje, ki imajo vsaj enak učinek kot obveznosti, določene v tej direktivi, bi se morale uporabljati navedene sektorske določbe, vključno z določbami o nadzoru in izvrševanju. Komisija lahko izda smernice v zvezi z izvajanjem lex specialis. Ta direktiva ne izključuje sprejetja dodatnih sektorskih aktov Unije, ki obravnavajo ukrepe za obvladovanje tveganj za kibernetsko varnost in priglasitve incidentov. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometnim in energetskim.	(12) Sektorska zakonodaja in sektorski instrumenti lahko prispevajo k zagotavljanju visokih ravni kibernetske varnosti, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Če sektorski pravni akt Unije določa, da morajo bistveni in pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali priglasiti incidente ali pomembne kibernetske grožnje, ki imajo vsaj enak učinek kot obveznosti, določene v tej direktivi, bi se morale uporabljati navedene sektorske določbe, vključno z določbami o nadzoru in izvrševanju. Da bi pri razlagi in uporabi te direktive preprečili pravno negotovost, bi morala Komisija zagotoviti skladnost med to direktivo in veljavno sektorsko zakonodajo. V ta namen bi morala ugotoviti, kje v ustrezni zakonodaji, regulativnih zahtevah ali postopkih prihaja do podvajanja oziroma prekrivanja, in ga nato odpraviti. Komisija lahko izda smernice v zvezi z izvajanjem lex specialis. Ta direktiva ne izključuje sprejetja dodatnih sektorskih aktov Unije, ki obravnavajo ukrepe za obvladovanje tveganj za kibernetsko varnost in priglasitve incidentov. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometnim in energetskim.

Predlog spremembe 5

Predlog direktive

Uvodna izjava 15 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(15a) Večjo digitalizacijo glavnih gospodarskih sektorjev, kot je promet, bi bilo treba izvesti na varen način, pri tem pa povečati odpornost, da se zagotovi ustrezno odzivanje celotne dobavne verige na tveganja in grožnje. Zato je potreben usklajen pristop, ki bo zagotavljal minimalno stopnjo varnosti povezanih naprav, zlasti v sektorjih, kot je promet, in v primerih, ko so del vozil in privzeto uporabljajo celovito šifriranje.

Predlog spremembe 6

Predlog direktive

Uvodna izjava 17


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(17) Zaradi pojava inovativnih tehnologij in novih poslovnih modelov se pričakuje, da se bodo na trgu pojavili novi modeli uvajanja in storitev računalništva v oblaku v odziv na razvijajoče se potrebe strank. V tem okviru se lahko storitve računalništva v oblaku zagotavljajo v zelo porazdeljeni obliki, še bližje lokaciji, kjer se podatki pridobivajo ali zbirajo, kar pomeni premik s tradicionalnega modela na zelo porazdeljen model („računalništvo na robu“).	(17) Zaradi pojava inovativnih tehnologij, kot je umetna inteligenca, novih poslovnih modelov in novih modelov fleksibilnega dela in dela na daljavo se pričakuje, da se bodo na trgu pojavili novi modeli uvajanja in storitev računalništva v oblaku v odziv na spreminjajoče se potrebe strank in podjetij. V tem okviru se lahko storitve računalništva v oblaku zagotavljajo v zelo porazdeljeni obliki, še bližje lokaciji, kjer se podatki pridobivajo ali zbirajo, kar pomeni premik s tradicionalnega modela na zelo porazdeljen model („računalništvo na robu“).

Predlog spremembe 7

Predlog direktive

Uvodna izjava 18 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(18a) Uvedba avtonomne mobilnosti bo prinesla velike koristi, a je povezana tudi z vrsto novih tveganj, in sicer v zvezi z varnostjo v cestnem prometu, kibernetsko varnostjo, pravicami intelektualne lastnine, težavami glede varstva podatkov in dostopa do podatkov, tehnično infrastrukturo, standardizacijo in zaposlovanjem, zato je nujno treba zagotoviti, da bo s pravnim okvirom Unije te izzive mogoče ustrezno obravnavati, pa tudi učinkovito obvladovati vsa tveganja, povezana z varnostjo omrežij in informacijskih sistemov.

Predlog spremembe 8

Predlog direktive

Uvodna izjava 18 b (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(18b) Pandemija koronavirusa je pokazala, kako pomembno je, da se Unija pripravi na digitalno desetletje, in da je treba kibernetsko odpornost nenehno izboljševati. Zato je namen te direktive določiti minimalna pravila za delovanje usklajenega regulativnega okvira, da se omogočijo digitalna preobrazba, inovacije na področju avtonomnega prometa, logistike in upravljanja prometa pri vseh vrstah prevoza ter da se med uporabniki, zlasti malimi, srednjimi, mikro in zagonskimi podjetji, izboljša odpornost na kibernetske napade in sposobnost za odpravljanje šibkih točk.

Predlog spremembe 9

Predlog direktive

Uvodna izjava 19


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(19) Ponudniki poštnih storitev v smislu Direktive 97/67/ES Evropskega parlamenta in Sveta18 ter ponudniki storitev hitre pošte in kurirskih storitev bi morali biti predmet te direktive, če zagotavljajo vsaj en korak v verigi poštne dostave ter zlasti sprejem, usmerjanje ali dostavo, vključno s storitvami prevzema. Storitve prenosa, ki se ne izvajajo v povezavi z enim od navedenih korakov, ne bi smele spadati v obseg poštnih storitev.	(19) Ponudniki poštnih storitev v smislu Direktive 97/67/ES Evropskega parlamenta in Sveta18 ter ponudniki storitev hitre pošte in kurirskih storitev bi morali biti predmet te direktive, če zagotavljajo vsaj en korak v verigi poštne dostave ter zlasti sprejem, usmerjanje ali dostavo, vključno s storitvami prevzema. Storitve prevoza in dostave, ki se ne izvajajo v povezavi z enim od navedenih korakov, ne bi smele spadati v obseg poštnih storitev.
__________________	__________________
18 Direktiva 97/67/ES Evropskega parlamenta in Sveta z dne 15. decembra 1997 o skupnih pravilih za razvoj notranjega trga poštnih storitev v Skupnosti in za izboljšanje kakovosti storitve (UL L 15, 21.1.1998, str. 14).	18 Direktiva 97/67/ES Evropskega parlamenta in Sveta z dne 15. decembra 1997 o skupnih pravilih za razvoj notranjega trga poštnih storitev v Skupnosti in za izboljšanje kakovosti storitve (UL L 15, 21.1.1998, str. 14).

Predlog spremembe 10

Predlog direktive

Uvodna izjava 27 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(27a) Države članice bi morale v svojih strategijah za kibernetsko varnost obravnavati posebne izzive, s katerimi se v povezavi s kibernetsko varnostjo soočajo mala in srednja podjetja, in sicer slabo kibernetsko ozaveščenost, pomanjkljivo varnost IT pri uporabi na daljavo, visoke stroške rešitev na področju kibernetske varnosti in povečano stopnjo ogroženosti. Imeti bi morale kontaktno točko za kibernetsko varnost za mala in srednja podjetja, kjer bi jim bile na voljo ustrezne informacije, storitve in usmeritve.

Predlog spremembe 11

Predlog direktive

Uvodna izjava 33


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(33) Skupina za sodelovanje bi morala pri pripravi smernic dosledno: evidentirati nacionalne rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil.	(33) Skupina za sodelovanje bi morala pri pripravi smernic dosledno: evidentirati nacionalne rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, zlasti o lažjem usklajevanju med državami članicami pri prenosu te direktive, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil. Skupina za sodelovanje bi morala poleg tega evidentirati nacionalne rešitve, da bi spodbujala združljivost rešitev na področju kibernetske varnosti, ki se uporabljajo v vsakem posameznem sektorju po Evropi. To je zlasti pomembno za sektorje z mednarodnim in čezmejnim vidikom, kot je prometni sektor.

Predlog spremembe 12

Predlog direktive

Uvodna izjava 34


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu povabila organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Evropski center za boj proti kibernetski kriminaliteti (EC3), Agencija Evropske unije za varnost v letalstvu (EASA) in Agencija Evropske unije za vesoljski program (EUSPA).	(34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu po potrebi povabila organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Evropski center za boj proti kibernetski kriminaliteti (EC3), Evropski industrijski, tehnološki in raziskovalni kompetenčni center za kibernetsko varnost, agencije Evropske unije, odgovorne za varnost v prometu – Agencija Evropske unije za varnost v letalstvu (EASA), Evropska agencija za pomorsko varnost (EMSA) in Agencija Evropske unije za železnice (ERA) – Agencija Evropske unije za vesoljski program (EUSPA) ter drugi organi in agencije, katerih strokovno znanje je pomembno za razprave v skupini.

Predlog spremembe 13

Predlog direktive

Uvodna izjava 37 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(37a) Prevelike razlike pri obvladovanju tveganj za kibernetsko varnost ter obveznostih poročanja držav članic pri prenosu te direktive bi lahko ogrozile normalno stopnjo kibernetske varnosti v Uniji. Agencija ENISA bi morala zato v sodelovanju s Komisijo v svojem dvoletnem poročilu o stanju kibernetske varnosti v Uniji oceniti stopnjo neskladnosti pri obvladovanju tveganj za kibernetsko varnost ter obveznostih poročanja držav članic.

Predlog spremembe 14

Predlog direktive

Uvodna izjava 46 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(46a) Da bi ohranili in zaščitili ključne dobavne verige, bi bilo treba posebno pozornost nameniti tudi zaščiti celotne prometne in logistične verige. Prometno in logistično verigo sestavlja veliko število medsebojno povezanih akterjev in sistemov, v katerih se blago na intermodalni način prevaža po cesti, železnici, celinskih plovnih poteh in morju. Pri tem procesu mora biti izmenjava podatkov med različnimi členi prevozne in logistične verige prek različnih vmesnikov hitra in zanesljiva. Glede na to, da so različni členi v verigi medsebojno povezani, obstaja tveganje, da bi lahko nezadostna kibernetska varnost ogrozila delovanje celotne verige, če bi zaradi kibernetskega incidenta v enem ali več delih prometne in logistične verige prišlo do verižnega učinka.

Predlog spremembe 15

Predlog direktive

Uvodna izjava 47


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov.	(47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT proti dogodkom, ki povzročajo motnje v delovanju; (iva) mero , v kateri so specifične ključne storitve, sistemi ali proizvodi IKT, ki jih potrošniki neposredno uporabljajo, odporni in uporabniku prijazni, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov.

Predlog spremembe 16

Predlog direktive

Uvodna izjava 55


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(55) Direktiva določa dvostopenjski pristop k poročanju o incidentih za vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga blažiti morebitno širjenje incidentov in omogoča subjektom, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih podjetij in celotnega sektorja proti kibernetskim grožnjam. Kadar se subjekti seznanijo z incidentom, bi se moralo od njih zahtevati, da v 24 urah predložijo začetno priglasitev, ki ji najpozneje čez en mesec sledi končno poročilo. Začetna priglasitev bi morala vključevati le informacije, ki so nujno potrebne za seznanitev pristojnih organov z incidentom in ki subjektu omogočajo, da po potrebi zaprosi za pomoč. V taki priglasitvi bi moralo biti, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve viri poročajočega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Da bi države članice nadalje preprečile, da bi se zaradi obveznosti poročanja o incidentih bodisi viri preusmerili z upravljanja odzivov na incidente bodisi kako drugače ogrozila prizadevanja subjektov v zvezi s tem, bi morale tudi zagotoviti, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s pristojnimi organi ali skupino CSIRT odstopa od rokov, tj. 24 ur za začetno priglasitev in enega meseca za končno poročilo.	(55) Direktiva določa dvostopenjski pristop k poročanju o incidentih za vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga blažiti morebitno širjenje incidentov in omogoča subjektom, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih podjetij in celotnega sektorja proti kibernetskim grožnjam. Kadar se subjekti seznanijo z incidentom, bi se moralo od njih zahtevati, da v 36 urah predložijo začetno priglasitev, ki ji najpozneje čez en mesec sledi končno poročilo. Začetna priglasitev bi morala vključevati le informacije, ki so nujno potrebne za seznanitev pristojnih organov z incidentom in ki subjektu omogočajo, da po potrebi zaprosi za pomoč. V taki priglasitvi bi moralo biti, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve viri poročajočega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Da bi države članice nadalje preprečile, da bi se zaradi obveznosti poročanja o incidentih bodisi viri preusmerili z upravljanja odzivov na incidente bodisi kako drugače ogrozila prizadevanja subjektov v zvezi s tem, bi morale tudi zagotoviti, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s pristojnimi organi ali skupino CSIRT odstopa od rokov, tj. 36 ur za začetno priglasitev in enega meseca za končno poročilo.

Predlog spremembe 17

Predlog direktive

Člen 2 – odstavek 2 – pododstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
Države članice pripravijo seznam subjektov, opredeljenih v skladu s točkami (b) do (f), in ga predložijo Komisiji do [6 mesecev po roku za prenos]. Države članice redno oziroma vsaj vsaki dve leti pregledajo seznam ter ga po potrebi posodobijo.	Države članice v tesnem sodelovanju z ustreznimi deležniki iz industrije pripravijo seznam subjektov, opredeljenih v skladu s točkami (b) do (f), in ga predložijo Komisiji do [6 mesecev po roku za prenos]. Države članice redno oziroma vsaj vsaki dve leti pregledajo seznam ter ga po potrebi posodobijo.

Predlog spremembe 18

Predlog direktive

Člen 2 – odstavek 6


Besedilo, ki ga predlaga Komisija	Predlog spremembe
6. Kadar se z določbami sektorskih aktov prava Unije zahteva, da bistveni ali pomembni subjekti bodisi sprejmejo ukrepe za obvladovanje tveganj za kibernetsko varnost bodisi priglasijo incidente ali pomembne kibernetske grožnje, in kadar so takšne zahteve po učinku vsaj enakovredne obveznostim iz te direktive, se ustrezne določbe te direktive, vključno z določbo o nadzoru in izvrševanju iz poglavja VI, ne uporabljajo.	6. Kadar se z določbami sektorskih aktov prava Unije zahteva, da bistveni ali pomembni subjekti bodisi sprejmejo ukrepe za obvladovanje tveganj za kibernetsko varnost bodisi priglasijo incidente ali pomembne kibernetske grožnje, in kadar so takšne zahteve po učinku vsaj enakovredne obveznostim iz te direktive, med drugim v zvezi s pooblastili, mandatom in funkcijami zadevnih nadzornih organov, se ustrezne določbe te direktive, vključno z določbo o nadzoru in izvrševanju iz poglavja VI, ne uporabljajo.

Predlog spremembe 19

Predlog direktive

Člen 5 – odstavek 2 – točka h


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(h) politiko za obravnavanje posebnih potreb MSP, zlasti tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam.	(h) politiko za obravnavanje posebnih potreb MSP, zlasti tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami, zagotavljanjem potrebnih in celovitih informacij in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam.

Predlog spremembe 20

Predlog direktive

Člen 12 – odstavek 4 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) zagotavljanje usmeritev pristojnim organom v zvezi s prenosom in izvajanjem te direktive;	(a) zagotavljanje usmeritev pristojnim organom v zvezi s prenosom in izvajanjem te direktive, da se med državami članicami čim bolj zmanjšajo obstoječe razlike med praksami pri obvladovanju tveganj in standardi na področju kibernetske varnosti;

Predlog spremembe 21

Predlog direktive

Člen 12 – odstavek 4 – točka b a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ba) evidentiranje nacionalnih rešitev, da bi spodbudili združljivost rešitev na področju kibernetske varnosti, ki se uporabljajo v vsakem posameznem sektorju po Evropi;

Predlog spremembe 22

Predlog direktive

Člen 15 – odstavek 1 – točka c a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ca) stopnja neskladnosti pri obvladovanju tveganj za kibernetsko varnost ter obveznostih poročanja držav članic in podatek, do katere mere vpliva na skupno stopnjo kibernetske varnosti v Uniji.

Predlog spremembe 23

Predlog direktive

Člen 16 – odstavek 1 – točka iii a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(iiia) priporočila za izboljšanje skladnosti in pravne varnosti pri razlagi in uporabi te direktive in veljavne sektorske zakonodaje, s poudarkom na ugotavljanju in odpravljanju podvajanja oziroma prekrivanja v zadevni zakonodaji, regulativnih zahtevah ali postopkih;

Predlog spremembe 24

Predlog direktive

Člen 18 – odstavek 2 – točka b a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	(ba) politike, programe in postopke, da bodo imeli zaposleni solidno znanje in da bodo sposobni zaznati tveganja za kibernetsko varnost.

Predlog spremembe 25

Predlog direktive

Člen 18 – odstavek 2 – točka e


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(e) varnost pri pridobivanju, razvoju in vzdrževanju omrežij in informacijskih sistemov, vključno z obravnavanjem in razkrivanjem šibkih točk;	(e) varnost pri pridobivanju, razvoju in vzdrževanju omrežij in informacijskih sistemov, tudi mobilnih elementov, kot so vozila in daljinski senzorji, vključno z obravnavanjem in razkrivanjem šibkih točk;

Predlog spremembe 26

Predlog direktive

Člen 18 – odstavek 5


Besedilo, ki ga predlaga Komisija	Predlog spremembe
5. Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične in metodološke specifikacije elementov iz odstavka 2. Komisija pri pripravi teh aktov ravna v skladu s postopkom pregleda iz člena 37(2) ter v največji možni meri upošteva mednarodne in evropske standarde ter ustrezne tehnične specifikacije.	5. Komisija lahko sprejme delegirane akte, s katerimi določi tehnične in metodološke specifikacije elementov iz odstavka 2. Delegirane akte sprejme v skladu s členom 36 ter v največji možni meri upošteva mednarodne in evropske standarde ter ustrezne tehnične specifikacije.

Predlog spremembe 27

Predlog direktive

Člen 18 – odstavek 6 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	6a. Da bi zagotovila učinkovito politiko in olajšala njeno izvajanje, se Komisija posvetuje z bistvenimi in pomembnimi subjekti, zlasti v zvezi s sprejemanjem delegiranih aktov iz odstavkov 5 in 6.

Predlog spremembe 28

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka a


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(a) brez nepotrebnega odlašanja in v vsakem primeru v 24 urah po seznanitvi z incidentom začetno priglasitev, v kateri je, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem;	(a) brez nepotrebnega odlašanja in v vsakem primeru v 36 urah po seznanitvi z incidentom začetno priglasitev, v kateri je, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem;

Predlog spremembe 29

Predlog direktive

Člen 20 – odstavek 4 – pododstavek 1 – točka c – točka iii


Besedilo, ki ga predlaga Komisija	Predlog spremembe
(iii) izvedene blažilne ukrepe in take ukrepe v teku.	(iii) izvedene blažilne ukrepe in tovrstne ukrepe v teku, pa tudi njihove rezultate.

Predlog spremembe 30

Predlog direktive

Člen 20 – odstavek 11


Besedilo, ki ga predlaga Komisija	Predlog spremembe
11. Komisija lahko sprejme izvedbene akte, s katerimi se podrobneje določijo vrsta informacij, oblika in postopek priglasitve, predložene v skladu z odstavkoma 1 in 2. Komisija lahko sprejme izvedbene akte za podrobnejšo določitev primerov, v katerih se incident šteje za pomemben v skladu z odstavkom 3. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).	11. Komisija lahko v skladu s členom 36 sprejme delegirane akte, s katerimi se podrobneje določijo vrsta informacij, oblika in postopek priglasitve, predložene v skladu z odstavkoma 1 in 2 navedenega člena. Komisija lahko sprejme izvedbene akte za podrobnejšo določitev primerov, v katerih se incident šteje za pomemben v skladu z odstavkom 3. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).

Predlog spremembe 31

Predlog direktive

Člen 21 – odstavek 1


Besedilo, ki ga predlaga Komisija	Predlog spremembe
1. Države članice lahko za dokaz izpolnjevanja nekaterih zahtev iz člena 18 od bistvenih in pomembnih subjektov zahtevajo, naj certificirajo nekatere proizvode, storitve in postopke IKT na podlagi določenih evropskih ceritfikacijskih shem za kibernetsko varnost, sprejetih v skladu s členom 49 Uredbe (EU) 2019/881. Proizvode, storitve in postopke, ki so predmet certificiranja, lahko razvije bistveni ali pomembni subjekt ali jih dobavijo tretje osebe.	1. Države članice za dokaz izpolnjevanja nekaterih zahtev iz člena 18 bistvene in pomembne subjekte spodbujajo, naj certificirajo nekatere proizvode, storitve in postopke IKT, ki so jih razvili sami ali jih kupili od tretjih oseb, na podlagi določenih evropskih certifikacijskih shem za kibernetsko varnost, sprejetih v skladu s členom 49 Uredbe (EU) 2019/881, ali podobnih mednarodno priznanih certifikacijskih shem.

Predlog spremembe 32

Predlog direktive

Člen 21 – odstavek 1 a (novo)


Besedilo, ki ga predlaga Komisija	Predlog spremembe
	1a. Zahteve iz te direktive glede certificiranja kibernetske varnosti ne posegajo v člen 56(2) in (3) Uredbe (EU) 2019/881.

Predlog spremembe 33

Predlog direktive

Člen 21 – odstavek 2


Besedilo, ki ga predlaga Komisija	Predlog spremembe
2. Komisija je pooblaščena za sprejetje delegiranih aktov, ki določajo, za katere kategorije bistvenih subjektov je treba pridobiti certifikat in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost v skladu z odstavkom 1. Delegirani akti se sprejmejo v skladu s členom 36.	črtano

Predlog spremembe 34

Predlog direktive

Člen 21 – odstavek 3


Besedilo, ki ga predlaga Komisija	Predlog spremembe
3. Komisija lahko od agencije ENISA zahteva, naj pripravi predlogo za shemo v skladu s členom 48(2) Uredbe (EU) 2019/881, če za namene odstavka 2 ni na voljo ustrezne evropske certifikacijske sheme za kibernetsko varnost.	3. Komisija lahko za namene povečanja splošne kibernetske odpornosti od agencije ENISA zahteva, naj pripravi predlogo za shemo v skladu s členoma 47 in 48 Uredbe (EU) 2019/881, če ni na voljo ustrezne evropske certifikacijske sheme za kibernetsko varnost. Te predloge za sheme izpolnjujejo zahteve iz člena 56(2) in člena 56(3) Uredbe (EU) 2019/881.

POSTOPEK V ODBORU, ZAPROŠENEM ZA MNENJE

Naslov	Ukrepi za visoko skupno raven kibernetske varnosti v Uniji in razveljavitev Direktive (EU) 2016/1148
Referenčni dokumenti	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Pristojni odbor Datum razglasitve na zasedanju	ITRE 21.1.2021
Mnenje pripravil Datum razglasitve na zasedanju	TRAN 21.1.2021
Pripravljavec/-ka mnenja Datum imenovanja	Jakop G. Dalunde 3.2.2021
Datum sprejetja	12.7.2021
Izid končnega glasovanja	+: –: 0:	48 0 1
Poslanci, navzoči pri končnem glasovanju	Magdalena Adamowicz, Andris Ameriks, Izaskun Bilbao Barandica, Paolo Borchia, Marco Campomenosi, Massimo Casanova, Ciarán Cuffe, Jakop G. Dalunde, Johan Danielsson, Karima Delli, Anna Deparnay-Grunenberg, Gheorghe Falcă, Giuseppe Ferrandino, Mario Furore, Søren Gade, Isabel García Muñoz, Elsi Katainen, Kateřina Konečná, Julie Lechanteux, Peter Lundgren, Benoît Lutgen, Elżbieta Katarzyna Łukacijewska, Marian-Jean Marinescu, Tilly Metz, Cláudia Monteiro de Aguiar, Caroline Nagtegaal, Jan-Christoph Oetjen, Philippe Olivier, João Pimenta Lopes, Rovana Plumb, Dominique Riquet, Dorien Rookmaker, Massimiliano Salini, Sven Schulze, Vera Tax, Barbara Thaler, Henna Virkkunen, Peter Vitanov (Petar Vitanov), Elisavet Vozemberg-Vrionidi (Elissavet Vozemberg-Vrionidi), Roberts Zīle, Kosma Złotowski
Namestniki, navzoči pri končnem glasovanju	Clare Daly, Nicola Danti, Angel Džambazki (Angel Dzhambazki), Tomasz Frankowski, Michael Gahler, Maria Grapini, Alessandra Moretti, Marianne Vind

POIMENSKO GLASOVANJE PRI KONČNEM GLASOVANJU
V ODBORU, ZAPROŠENEM ZA MNENJE

48	+
ECR	Angel Džambazki (Angel Dzhambazki), Peter Lundgren, Roberts Zīle, Kosma Złotowski
ID	Paolo Borchia, Marco Campomenosi, Massimo Casanova, Julie Lechanteux, Philippe Olivier
NI	Mario Furore, Dorien Rookmaker
PPE	Magdalena Adamowicz, Gheorghe Falcă, Tomasz Frankowski, Michael Gahler, Elżbieta Katarzyna Łukacijewska, Benoît Lutgen, Marian-Jean Marinescu, Cláudia Monteiro de Aguiar, Massimiliano Salini, Sven Schulze, Barbara Thaler, Henna Virkkunen, Elisavet Vozemberg-Vrionidi (Elissavet Vozemberg-Vrionidi)
Renew	Izaskun Bilbao Barandica, Nicola Danti, Søren Gade, Elsi Katainen, Caroline Nagtegaal, Jan-Christoph Oetjen, Dominique Riquet
S&D	Andris Ameriks, Johan Danielsson, Giuseppe Ferrandino, Isabel García Muñoz, Maria Grapini, Alessandra Moretti, Rovana Plumb, Vera Tax, Marianne Vind, Peter Vitanov (Petar Vitanov)
The Left	Clare Daly, Kateřina Konečná
Verts/ALE	Ciarán Cuffe, Jakop G. Dalunde, Karima Delli, Anna Deparnay-Grunenberg, Tilly Metz

0	-

1	0
The Left	João Pimenta Lopes

Uporabljeni znaki:

+ : za

- : proti

0 : vzdržani

POSTOPEK V PRISTOJNEM ODBORU

Naslov	Ukrepi za visoko skupno raven kibernetske varnosti v Uniji in razveljavitev Direktive (EU) 2016/1148
Referenčni dokumenti	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Datum predložitve EP	16.12.2020
Pristojni odbor Datum razglasitve na zasedanju	ITRE 21.1.2021
Odbori, zaprošeni za mnenje Datum razglasitve na zasedanju	AFET 21.1.2021	ECON 21.1.2021	IMCO 21.1.2021	TRAN 21.1.2021
	CULT 21.1.2021	LIBE 21.1.2021
Odbori, ki niso podali mnenja Datum sklepa	ECON 26.1.2021	CULT 11.1.2021
Pridruženi odbori Datum razglasitve na zasedanju	LIBE 20.5.2021
Poročevalec/-ka Datum imenovanja	Bart Groothuis 14.1.2021
Obravnava v odboru	13.4.2021	26.5.2021
Datum sprejetja	28.10.2021
Izid končnega glasovanja	+: –: 0:	70 3 1
Poslanci, navzoči pri končnem glasovanju	Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Manuel Bompard, Paolo Borchia, Marc Botenga, Markus Buchheit, Cristian-Silviu Buşoi, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Claudia Gamon, Bart Groothuis, Christophe Grudler, András Gyürk, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Zdzisław Krasnodębski, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Georg Mayer, Joëlle Mélin, Dan Nica, Angelika Niebler, Ville Niinistö, Aldo Patriciello, Mauri Pekkarinen, Cvetelina Penkova (Tsvetelina Penkova), Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spiraki (Maria Spyraki), Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho
Namestniki, navzoči pri končnem glasovanju	Rasmus Andresen, Marek Paweł Balt, Klemen Grošelj, Adam Jarubas, Elena Lizzi, Adriana Maldonado López, Bronis Ropė, Jordi Solé, Nils Torvalds
Datum predložitve	4.11.2021

POIMENSKO GLASOVANJE PRI KONČNEM GLASOVANJU V PRISTOJNEM ODBORU

70	+
ECR	Izabela-Helena Kloc, Zdzisław Krasnodębski, Robert Roos, Beata Szydło, Grzegorz Tobiszowski
ID	Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Georg Mayer, Joëlle Mélin, Isabella Tovaglieri
NI	András Gyürk, Clara Ponsatí Obiols, Viktor Uspaskich
PPE	François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Adam Jarubas, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Aldo Patriciello, Markus Pieper, Sara Skyttedal, Maria Spiraki (Maria Spyraki), Riho Terras, Henna Virkkunen, Pernille Weiss
Renew	Nicola Beer, Nicola Danti, Valter Flego, Claudia Gamon, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Nils Torvalds
S&D	Marek Paweł Balt, Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Adriana Maldonado López, Dan Nica, Cvetelina Penkova (Tsvetelina Penkova), Carlos Zorrinho
Verts/ALE	Rasmus Andresen, Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Manuela Ripa, Bronis Ropė, Jordi Solé

3	-
The Left	Manuel Bompard, Marc Botenga, Marisa Matias

1	0
ECR	Jessica Stegrud

Uporabljeni znaki:

+ : za

- : proti

0 : vzdržani

[1] UL C 286, 16.7.2021, str. 170.
[2] 2020/0359(COD).
[3] Mnenje 5/2021: https://edps.europa.eu/system/files/2021-03/21-03-11_edps_nis2-opinion_en.pdf.
[4] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (Besedilo velja za EGP) (UL L 119, 4.5.2016, str. 1–88).
[5] Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).
[6] 2020/0365(COD).
[7] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (Besedilo velja za EGP) (UL L 119, 4.5.2016, str. 1–88).
[8] Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

Zadnja posodobitev: 19. november 2021

Pravno obvestilo - Varstvo osebnih podatkov