POROČILO o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

    4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

    Odbor za industrijo, raziskave in energetiko
    Poročevalec: Bart Groothuis
    Pripravljavec mnenja:(*):
    Lukas Mandl, Odbor za državljanske svoboščine, pravosodje in notranje zadeve
    (*) Postopek s pridruženim odborom - člen 57 Poslovnika

    OSNUTEK ZAKONODAJNE RESOLUCIJE EVROPSKEGA PARLAMENTA

    o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

    (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

    (Redni zakonodajni postopek: prva obravnava)

    Evropski parlament,

     ob upoštevanju predloga Komisije Evropskemu parlamentu in Svetu (COM(2020)0823),

     ob upoštevanju člena 294(2) in člena 114 Pogodbe o delovanju Evropske unije, na podlagi katerih je Komisija podala predlog Parlamentu (C9-0422/2020),

     ob upoštevanju člena 294(3) Pogodbe o delovanju Evropske unije,

     ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora z dne 27. aprila 2021[1],

     po posvetovanju z Odborom regij,

     ob upoštevanju člena 59 Poslovnika,

     ob upoštevanju mnenj Odbora za državljanske svoboščine, pravosodje in notranje zadeve, Odbora za notranji trg in varstvo potrošnikov ter Odbora za promet in turizem,

     ob upoštevanju poročila Odbora za industrijo, raziskave in energetiko (A9-0313/2021),

    1. sprejme stališče v prvi obravnavi, kakor je določeno v nadaljevanju;

    2. poziva Komisijo, naj mu zadevo ponovno predloži, če svoj predlog nadomesti, ga bistveno spremeni ali ga namerava bistveno spremeniti;

    3. naroči svojemu predsedniku, naj stališče Parlamenta posreduje Svetu in Komisiji ter nacionalnim parlamentom.


    Predlog spremembe  1

     

    Predlog direktive

    Naslov

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    Predlog

    Predlog

    DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA

    DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA

    o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148

    o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (revidirana direktiva o varnosti omrežij in informacij) in razveljavitvi Direktive (EU) 2016/1148

    Predlog spremembe  2

     

    Predlog direktive

    Uvodna izjava 1

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (1) Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta11 je bila namenjena razvoju zmogljivosti za kibernetsko varnost po vsej Uniji, ublažitvi groženj za omrežja in informacijske sisteme, ki se uporabljajo za opravljanje bistvenih storitev v ključnih sektorjih, ter zagotovitvi neprekinjenega izvajanja takih storitev pri spoprijemanju s kibernetskimi incidenti, s čimer naj bi prispevala k učinkovitemu delovanju gospodarstva in družbe Unije.

    (1) Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta11, imenovana tudi direktiva o varnosti omrežij in informacij, je bila namenjena razvoju zmogljivosti za kibernetsko varnost po vsej Uniji, ublažitvi groženj za omrežja in informacijske sisteme, ki se uporabljajo za opravljanje bistvenih storitev v ključnih sektorjih, ter zagotovitvi neprekinjenega izvajanja takih storitev pri spoprijemanju s kibernetskimi incidenti, s čimer naj bi prispevala k varnosti Unije ter učinkovitemu delovanju njenega gospodarstva in družbe.

    __________________

    __________________

    11 Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1). 1).

    11 Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1). 1).

    Predlog spremembe  3

     

    Predlog direktive

    Uvodna izjava 3

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (3) Omrežja in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe, vključno s čezmejnimi izmenjavami. Ta razvoj je privedel do razširitve okolja kibernetskih groženj, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv kibernetskih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Posledično lahko kibernetski incidenti ovirajo gospodarske dejavnosti na notranjem trgu, ustvarjajo finančne izgube, slabijo zaupanje uporabnikov ter povzročajo veliko škodo gospodarstvu in družbi Unije. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj pomembnejši za ustrezno delovanje notranjega trga kot kdaj koli prej.

    (3) Omrežja in informacijski sistemi so se razvili v osrednjo značilnost vsakdanjega življenja s hitro digitalno preobrazbo in medsebojno povezanostjo družbe, vključno s čezmejnimi izmenjavami. Ta razvoj je privedel do razširitve okolja kibernetskih groženj, s čimer so se pojavili novi izzivi, ki zahtevajo prilagojene, usklajene in inovativne odzive v vseh državah članicah. Število, obseg, izpopolnjenost, pogostost in vpliv kibernetskih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Posledično lahko kibernetski incidenti ovirajo gospodarske dejavnosti na notranjem trgu, ustvarjajo finančne izgube, slabijo zaupanje uporabnikov ter povzročajo veliko škodo gospodarstvu in družbi Unije. Pripravljenost in učinkovitost na področju kibernetske varnosti sta zato zdaj pomembnejši za ustrezno delovanje notranjega trga kot kdaj koli prej. Poleg tega je kibernetska varnost eden od glavnih dejavnikov, ki številnim ključnim sektorjem omogočajo, da se uspešno podajo na pot digitalne preobrazbe ter v celoti izkoristijo gospodarske, družbene in trajnostne prednosti digitalizacije.

    Predlog spremembe  4

     

    Predlog direktive

    Uvodna izjava 3 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (3a) V primeru velikih kibernetskih incidentov in kriz na ravni Unije je potrebno usklajeno delovanje, da bi zagotovili hiter in učinkovit odziv, saj je medsebojna odvisnost sektorjev in držav zelo velika. Razpoložljivost kibernetsko odpornih omrežij in informacijskih sistemov ter razpoložljivost, zaupnost in celovitost podatkov so ključnega pomena za varnost Unije znotraj in zunaj njenih meja, saj imajo lahko kibernetske grožnje izvor tudi zunaj Unije. Za ambicijo Unije, da pridobi vidnejšo geopolitično vlogo, sta pomembna tudi verodostojna kibernetska obramba in preprečevanje kibernetskih napadov, vključno z zmožnostjo pravočasnega učinkovitega prepoznavanja zlonamernih dejanj in ustreznega odzivanja.

    Predlog spremembe  5

     

    Predlog direktive

    Uvodna izjava 5

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (5) Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih standardov. Ta direktiva je namenjena odpravi tako velikih razlik med državami članicami, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi v posameznih državah članicah, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in sankcij, ki so ključni za učinkovito izvrševanje navedenih obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo.

    (5) Vse te razlike povzročajo razdrobljenost notranjega trga in lahko škodljivo učinkujejo na njegovo delovanje, kar vpliva zlasti na čezmejno opravljanje storitev in raven kibernetske odpornosti zaradi uporabe različnih standardov. Nenazadnje bi lahko te razlike privedle do večje ranljivosti nekaterih držav članic za kibernetske grožnje, kar lahko povzroči učinke prelivanja po vsej Uniji. Ta direktiva je namenjena odpravi tako velikih razlik med državami članicami, zlasti z določitvijo minimalnih pravil v zvezi z delovanjem usklajenega regulativnega okvira, določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi v posameznih državah članicah, posodobitvijo seznama sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določitvijo učinkovitih pravnih sredstev in sankcij, ki so ključni za učinkovito izvrševanje navedenih obveznosti. Zato bi bilo treba Direktivo (EU) 2016/1148 razveljaviti in nadomestiti s to direktivo (revidirana direktiva o varnosti omrežij in informacij).

    Predlog spremembe  6

     

    Predlog direktive

    Uvodna izjava 6

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (6) Ta direktiva ne vpliva na zmožnost držav članic, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese svoje varnosti, javni red in javno varnost ter omogočijo preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. V skladu s členom 346 PDEU nobena država članica ni dolžna dajati informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene javne varnosti. V tem smislu so pomembni nacionalna pravila in pravila Unije za varovanje tajnih podatkov, sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol)14.

    (6) Ta direktiva ne vpliva na zmožnost držav članic, da sprejmejo potrebne ukrepe, s katerimi zaščitijo bistvene interese svoje varnosti, javni red in javno varnost ter omogočijo preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. V skladu s členom 346 PDEU nobena država članica ni dolžna dajati informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi njene javne varnosti. V tem smislu so pomembni nacionalna pravila in pravila Unije za varovanje tajnih podatkov, sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol)14.

    __________________

    __________________

    14 Semaforski protokol je sredstvo, s katerim nekdo, ki izmenjuje informacije, obvesti svoje ciljne skupine o morebitnih omejitvah pri nadaljnjem širjenju teh informacij. Uporablja se v skoraj vseh skupnostih CSIRT ter nekaterih centrih za izmenjavo in analizo informacij.

    14 Semaforski protokol je sredstvo, s katerim nekdo, ki izmenjuje informacije, obvesti svoje ciljne skupine o morebitnih omejitvah pri nadaljnjem širjenju teh informacij. Uporablja se v skoraj vseh skupnostih CSIRT ter nekaterih centrih za izmenjavo in analizo informacij.

    Predlog spremembe  7

     

    Predlog direktive

    Uvodna izjava 7

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (7) Z razveljavitvijo Direktive (EU) 2016/1148 bi bilo treba področje uporabe po sektorjih razširiti na večji del gospodarstva, ob upoštevanju premislekov iz uvodnih izjav 4 do 6. Sektorje, zajete z Direktivo (EU) 2016/1148, bi bilo torej treba razširiti, da bi se zagotovila celovita pokritost sektorjev in storitev, ki so bistvenega pomena za ključne družbene in gospodarske dejavnosti na notranjem trgu. Pravila se ne bi smela razlikovati glede na to, ali so subjekti izvajalci bistvenih storitev ali ponudniki digitalnih storitev. Takšno razlikovanje se je izkazalo za zastarelo, saj ne odraža dejanskega pomena sektorjev ali storitev za družbene in gospodarske dejavnosti na notranjem trgu.

    (7) Z razveljavitvijo Direktive (EU) 2016/1148 bi bilo treba področje uporabe po sektorjih razširiti na večji del gospodarstva, ob upoštevanju premislekov iz uvodnih izjav 4 do 6. Sektorje, zajete z Direktivo (EU) 2016/1148, bi bilo torej treba razširiti, da bi se zagotovila celovita pokritost sektorjev in storitev, ki so bistvenega pomena za ključne družbene in gospodarske dejavnosti na notranjem trgu. Zahteve glede obvladovanja tveganj in obveznosti poročanja se ne bi smele razlikovati glede na to, ali so subjekti izvajalci bistvenih storitev ali ponudniki digitalnih storitev. Takšno razlikovanje se je izkazalo za zastarelo, saj ne odraža dejanskega pomena sektorjev ali storitev za družbene in gospodarske dejavnosti na notranjem trgu.

    Predlog spremembe  8

     

    Predlog direktive

    Uvodna izjava 8

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (8) V skladu z Direktivo (EU) 2016/1148 so bile države članice odgovorne za določanje, kateri subjekti izpolnjujejo merila, v skladu s katerimi se štejejo za izvajalce bistvenih storitev („postopek določitve“). Za odpravo velikih razlik med državami članicami v zvezi s tem in zagotovitev pravne varnosti za zahteve glede obvladovanja tveganj in obveznosti poročanja za vse ustrezne subjekte bi bilo treba določiti enotno merilo, ki bi določalo, kateri subjekti spadajo na področje uporabe te direktive. Navedeno merilo bi moralo vključevati uporabo pravila omejitve velikosti, v skladu s katerim na področje uporabe te direktive spadajo vsa srednja in velika podjetja, kot so opredeljena v Priporočilu Komisije 2003/361/ES15, ki delujejo v sektorjih ali opravljajo vrsto storitev, zajetih s to direktivo. Od držav članice se ne bi smelo zahtevati, naj pripravijo seznam subjektov, ki izpolnjujejo to splošno veljavno merilo, povezano v velikostjo.

    (8) V skladu z Direktivo (EU) 2016/1148 so bile države članice odgovorne za določanje, kateri subjekti izpolnjujejo merila, v skladu s katerimi se štejejo za izvajalce bistvenih storitev („postopek določitve“). Za odpravo velikih razlik med državami članicami v zvezi s tem in zagotovitev pravne varnosti za zahteve glede obvladovanja tveganj in obveznosti poročanja za vse ustrezne subjekte bi bilo treba določiti enotno merilo, ki bi določalo, kateri subjekti spadajo na področje uporabe te direktive. Navedeno merilo bi moralo vključevati uporabo pravila omejitve velikosti, v skladu s katerim na področje uporabe te direktive spadajo vsa srednja in velika podjetja, kot so opredeljena v Priporočilu Komisije 2003/361/ES15, ki delujejo v sektorjih ali opravljajo vrsto storitev, zajetih s to direktivo.

    __________________

    __________________

    15 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).

    15 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).

    Predlog spremembe  9

     

    Predlog direktive

    Uvodna izjava 9

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev. Države članice bi morale biti odgovorne za pripravo seznama takih subjektov in ga predložiti Komisiji.

    (9) Vendar bi morali biti s to direktivo zajeti tudi mali ali mikro subjekti, ki izpolnjujejo nekatera merila, ki kažejo ključno vlogo za gospodarstvo ali družbo držav članic ali za določene sektorje ali vrste storitev.

    Predlog spremembe  10

     

    Predlog direktive

    Uvodna izjava 9 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (9a) Države članice bi morale pripraviti seznam vseh bistvenih in pomembnih subjektov. Ta seznam bi moral vključevati subjekte, ki izpolnjujejo splošno veljavna merila v zvezi z velikostjo, ter mala in mikropodjetja, ki izpolnjujejo nekatera merila, ki kažejo, da imajo bistveno vlogo v gospodarstvih ali družbah držav članic. Da bi skupine za odzivanje na incidente na področju računalniške varnosti (CSIRT) in pristojni organi lahko nudili pomoč in opozarjali subjekte o kibernetskih incidentih, ki bi jih lahko prizadeli, morajo imeti na voljo pravilne kontaktne podatke o subjektih. Bistveni in pomembni subjekti bi morali zato pristojnim organom posredovati vsaj naslednje informacije: ime subjekta, naslov in posodobljene kontaktne podatke, vključno z naslovi elektronske pošte, razponom IP in telefonskimi številkami, ter ustrezne sektorje in podsektorje iz prilog I in II. Subjekti bi morali pristojne organe obvestiti o vseh spremembah teh podatkov. Države članice bi morale brez nepotrebnega odlašanja zagotoviti, da bodo ti podatki enostavno dostopni prek enotne vstopne točke. Zato bi morala agencija ENISA v sodelovanju s skupino za sodelovanje brez nepotrebnega odlašanja izdati smernice in predloge za izpolnjevanje obveznosti obveščanja. Države članice bi morale Komisijo in skupino za sodelovanje obvestiti o številu bistvenih in pomembnih subjektov. Države članice bi morale Komisijo za namene pregleda iz te direktive obveščati tudi o imenih malih in mikropodjetij, ki so bili opredeljeni kot bistveni in pomembni subjekti, da bi Komisija lahko ocenila skladnost pristopov držav članic. Te informacije bi bilo treba obravnavati kot strogo zaupne.

    Predlog spremembe  11

     

    Predlog direktive

    Uvodna izjava 10

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (10) Komisija lahko v sodelovanju s skupino za sodelovanje izda smernice o izvajanju meril, ki se uporabljajo za mikro in mala podjetja.

    (10) Komisija bi morala v sodelovanju s skupino za sodelovanje in ustreznimi deležniki iz industrije izdati smernice o izvajanju meril, ki se uporabljajo za mikro- in mala podjetja. Pripraviti bi morala tudi ustrezne smernice za vsa mikro in mala podjetja, za katera se bo uporabljala ta direktiva. S pomočjo držav članic ni morala tem podjetjem posredovati informacije v zvezi s tem.

    Predlog spremembe  12

     

    Predlog direktive

    Uvodna izjava 10 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (10a) Komisija bi morala izdati tudi smernice za podporo državam članicam pri pravilnem izvajanju določb o področju uporabe in za oceno sorazmernosti obveznosti iz te direktive, zlasti za subjekte z zapletenimi poslovnimi modeli ali delovnimi okolji, pri čemer lahko subjekt hkrati izpolnjuje merila, dodeljena tako bistvenim kot pomembnim subjektom, ali hkrati izvaja dejavnosti, od katerih nekatere spadajo na področje uporabe te direktive, nekatere pa so zunaj njega.

    Predlog spremembe  13

     

    Predlog direktive

    Uvodna izjava 12

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (12) Sektorska zakonodaja in sektorski instrumenti lahko prispevajo k zagotavljanju visokih ravni kibernetske varnosti, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Če sektorski pravni akt Unije določa, da morajo bistveni in pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali priglasiti incidente ali pomembne kibernetske grožnje, ki imajo vsaj enak učinek kot obveznosti, določene v tej direktivi, bi se morale uporabljati navedene sektorske določbe, vključno z določbami o nadzoru in izvrševanju. Komisija lahko izda smernice v zvezi z izvajanjem lex specialis. Ta direktiva ne izključuje sprejetja dodatnih sektorskih aktov Unije, ki obravnavajo ukrepe za obvladovanje tveganj za kibernetsko varnost in priglasitve incidentov. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometnim in energetskim.

    (12) Sektorska zakonodaja in sektorski instrumenti lahko prispevajo k zagotavljanju visokih ravni kibernetske varnosti, ob polnem upoštevanju posebnosti in kompleksnosti zadevnih sektorjev. Sektorski pravni akti Unije, v skladu s katerimi morajo bistveni ali pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali poročati o pomembnih incidentih, bi morali biti, kadar je to mogoče, skladni s terminologijo in uporabljati opredelitve pojmov iz te direktive. Če sektorski pravni akt Unije določa, da morajo bistveni in pomembni subjekti sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost ali priglasiti incidente ali kadar imajo te zahteve vsaj enak učinek kot obveznosti, ki so določene v tej direktivi ter se v celoti nanašajo na varnostne vidike dejavnosti in storitev bistvenih in pomembnih subjektov, bi se morale uporabljati navedene sektorske določbe, vključno z določbami o nadzoru in izvrševanju. Komisija bi morala izdati celovite smernice v zvezi z izvajanjem lex specialis, pri čemer bi morala upoštevati ustrezna mnenja, strokovno znanje in dobre prakse agencije ENISA in skupine za sodelovanje. Ta direktiva ne izključuje sprejetja dodatnih sektorskih aktov Unije, ki obravnavajo ukrepe za obvladovanje tveganj za kibernetsko varnost in priglasitve incidentov in ustrezno upoštevajo potrebo po celovitem in doslednem okviru za kibernetsko varnost. Ta direktiva ne posega v obstoječa izvedbena pooblastila, ki so bila podeljena Komisiji v številnih sektorjih, vključno s prometnim in energetskim.

    Predlog spremembe  14

     

    Predlog direktive

    Uvodna izjava 14

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (14) Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta17 in to direktivo. Za dosego tega bi morale države članice zagotoviti, da se kritični subjekti in enakovredni subjekti v skladu z Direktivo (EU) XXX/XXX štejejo za bistvene subjekte po tej direktivi. Države članice bi morale tudi zagotoviti, da njihove strategije za kibernetsko varnost določajo okvir politike za okrepljeno usklajevanje med pristojnim organom iz te direktive in pristojnim organom iz Direktive (EU) XXX/XXX v okviru izmenjave informacij o incidentih in kibernetskih grožnjah ter izvajanja nadzornih nalog. Organi iz obeh direktiv bi morali sodelovati in si izmenjevati informacije, zlasti v zvezi z določanjem kritičnih subjektov, kibernetskimi grožnjami, tveganji za kibernetsko varnost in incidenti, ki vplivajo na kritične subjekte, ter o ukrepih za kibernetsko varnost, ki jih sprejmejo kritični subjekti. Na zahtevo pristojnih organov iz Direktive (EU) XXX/XXX bi moralo biti pristojnim organom iz te direktive omogočeno izvajanje nadzornih in izvršilnih pooblastil v zvezi z bistvenim subjektom, ki je opredeljen kot kritičen. Oboji organi bi morali v ta namen sodelovati in si izmenjevati informacije.

    (14) Glede na medsebojne povezave med kibernetsko varnostjo in fizično varnostjo subjektov bi bilo treba zagotoviti skladen pristop med Direktivo (EU) XXX/XXX Evropskega parlamenta in Sveta17 in to direktivo. Za dosego tega bi morale države članice zagotoviti, da se kritični subjekti in enakovredni subjekti v skladu z Direktivo (EU) XXX/XXX štejejo za bistvene subjekte po tej direktivi. Države članice bi morale tudi zagotoviti, da njihove strategije za kibernetsko varnost določajo okvir politike za okrepljeno usklajevanje med pristojnimi organi v državah članicah in med njimi iz te direktive in pristojnimi organi iz Direktive (EU) XXX/XXX v okviru izmenjave informacij o incidentih in kibernetskih grožnjah ter izvajanja nadzornih nalog. Organi iz obeh direktiv bi morali brez nepotrebnega odlašanja sodelovati in si izmenjevati informacije, zlasti v zvezi z določanjem kritičnih subjektov, kibernetskimi grožnjami, tveganji za kibernetsko varnost in incidenti, ki vplivajo na kritične subjekte, ter o ukrepih za kibernetsko varnost, ki jih sprejmejo kritični subjekti. Na zahtevo pristojnih organov iz Direktive (EU) XXX/XXX bi moralo biti pristojnim organom iz te direktive omogočeno izvajanje nadzornih in izvršilnih pooblastil v zvezi z bistvenim subjektom, ki je opredeljen kot kritičen. Oboji organi bi morali, kadar je to mogoče, v ta namen sodelovati in si izmenjevati informacije v realnem času.

    __________________

    __________________

    17 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

    17 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

    Predlog spremembe  15

     

    Predlog direktive

    Uvodna izjava 15

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (15) Podpiranje in ohranjanje zanesljivega, odpornega in varnega sistema domenskih imen (DNS) sta ključna dejavnika pri ohranjanju celovitosti interneta ter bistvena za njegovo neprekinjeno in stabilno delovanje, od katerega sta odvisna digitalno gospodarstvo in družba. Zato bi se morala ta direktiva uporabljati za vse ponudnike storitev sistema domenskih imen vzdolž verige razreševanja DNS, vključno z upravljavci korenskih imenskih strežnikov, vrhnjih domenskih strežnikov, krovnih imenskih strežnikov za domenska imena in rekurzivnih razreševalnikov.

    (15) Podpiranje in ohranjanje zanesljivega, odpornega in varnega sistema domenskih imen (DNS) sta ključna dejavnika pri ohranjanju celovitosti interneta ter bistvena za njegovo neprekinjeno in stabilno delovanje, od katerega sta odvisna digitalno gospodarstvo in družba. Zato bi se morala ta direktiva uporabljati za vrhnje domenske strežnike, javnodostopne storitve rekurzivnega razreševanja domenskih imen za končne uporabnike interneta in storitve avtoritativnega razreševanja domenskih imen. Ta direktiva se ne uporablja za korenske imenske strežnike.

    Predlog spremembe  16

     

    Predlog direktive

    Uvodna izjava 19

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (19) Ponudniki poštnih storitev v smislu Direktive 97/67/ES Evropskega parlamenta in Sveta18 ter ponudniki storitev hitre pošte in kurirskih storitev bi morali biti predmet te direktive, če zagotavljajo vsaj en korak v verigi poštne dostave ter zlasti sprejem, usmerjanje ali dostavo, vključno s storitvami prevzema. Storitve prenosa, ki se ne izvajajo v povezavi z enim od navedenih korakov, ne bi smele spadati v obseg poštnih storitev.

    (19) Ponudniki poštnih storitev v smislu Direktive 97/67/ES Evropskega parlamenta in Sveta18 ter ponudniki storitev hitre pošte in kurirskih storitev bi morali biti predmet te direktive, če zagotavljajo vsaj en korak v verigi poštne dostave ter zlasti sprejem, usmerjanje ali dostavo, vključno s storitvami prevzema, ob upoštevanju stopnje njihove odvisnosti od omrežja in informacijskih sistemov. Storitve prenosa, ki se ne izvajajo v povezavi z enim od navedenih korakov, ne bi smele spadati v obseg poštnih storitev.

    __________________

    __________________

    18 Direktiva 97/67/ES Evropskega parlamenta in Sveta z dne 15. decembra 1997 o skupnih pravilih za razvoj notranjega trga poštnih storitev v Skupnosti in za izboljšanje kakovosti storitve (UL L 15, 21.1.1998, str. 14).

    18 Direktiva 97/67/ES Evropskega parlamenta in Sveta z dne 15. decembra 1997 o skupnih pravilih za razvoj notranjega trga poštnih storitev v Skupnosti in za izboljšanje kakovosti storitve (UL L 15, 21.1.1998, str. 14).

    Predlog spremembe  17

     

    Predlog direktive

    Uvodna izjava 20

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Pandemija COVID-19 je razkrila šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.

    (20) Navedene vse večje medsebojne odvisnosti so rezultat vse bolj čezmejne in medsebojno odvisne mreže opravljanja storitev z uporabo ključnih infrastruktur po vsej Uniji v sektorjih energije, prometa, digitalne infrastrukture, pitne in odpadne vode, zdravja, nekaterih vidikov javne uprave in vesolja, kar zadeva opravljanje nekaterih storitev, ki so odvisne od talne infrastrukture, ki jih imajo v lasti, jih upravljajo in vodijo bodisi države članice bodisi zasebni subjekti, s čimer torej niso zajete infrastrukture, ki jih ima v lasti, jih upravlja ali vodi Unija ali ki so v lasti, se upravljajo ali vodijo v imenu Unije v okviru njenih vesoljskih programov. Te medsebojne odvisnosti pomenijo, da ima lahko kakršna koli motnja, tudi takšna, ki je prvotno omejena na en subjekt ali en sektor, širše kaskadne učinke, ki imajo lahko daljnosežne in dolgotrajne negativne učinke na opravljanje storitev na notranjem trgu. Okrepljeni napadi na omrežja in informacijske sisteme med pandemijo covida-19 so razkrili šibko točko naših vse bolj medsebojno odvisnih družb zaradi tveganj z majhno verjetnostjo.

    Predlog spremembe  18

     

    Predlog direktive

    Uvodna izjava 24

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (24) Države članice bi morale imeti ustrezne tehnične in organizacijske zmogljivosti za preprečevanje, odkrivanje in ublažitev incidentov in tveganj v omrežjih in informacijskih sistemih ter za odzivanje nanje. Zato bi morale države članice zagotoviti, da imajo dobro delujoče skupine CSIRT, znane tudi kot skupine za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT), ki izpolnjujejo osnovne zahteve, da bi se tako zagotovile učinkovite in združljive zmogljivosti za obvladovanje incidentov in tveganj ter zagotovilo učinkovito sodelovanje na ravni Unije. Za okrepitev odnosa zaupanja med subjekti in skupinami CSIRT v primerih, ko je skupina CSIRT del pristojnega organa, bi morale države članice razmisliti o funkcionalnem ločevanju med operativnimi nalogami, ki jih opravljajo skupine CSIRT, zlasti v zvezi z izmenjavo informacij in podporo subjektom, in nadzornimi dejavnostmi pristojnih organov.

    (24) Države članice bi morale imeti ustrezne tehnične in organizacijske zmogljivosti za preprečevanje, odkrivanje in ublažitev incidentov in tveganj v omrežjih in informacijskih sistemih ter za odzivanje nanje. Zato bi morale države članice v skladu s to direktivo določiti eno ali več skupin CSIRT in zagotoviti, da so dobro delujoče in izpolnjujejo osnovne zahteve, da bi se tako zagotovile učinkovite in združljive zmogljivosti za obvladovanje incidentov in tveganj ter zagotovilo učinkovito sodelovanje na ravni Unije. Države članice lahko kot skupine CSIRT določijo obstoječe skupine za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT). Za okrepitev odnosa zaupanja med subjekti in skupinami CSIRT v primerih, ko je skupina CSIRT del pristojnega organa, bi morale države članice razmisliti o funkcionalnem ločevanju med operativnimi nalogami, ki jih opravljajo skupine CSIRT, zlasti v zvezi z izmenjavo informacij in podporo subjektom, in nadzornimi dejavnostmi pristojnih organov.

    Predlog spremembe  19

     

    Predlog direktive

    Uvodna izjava 25

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (25) Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta19 v imenu in na zahtevo subjekta po tej direktivi zagotovijo proaktvini pregled omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje storitev subjektov. Države članice bi si morale prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice lahko pri oblikovanju nacionalnih skupin CSIRT zaprosijo za pomoč Agencijo Evropske unije za kibernetsko varnost (ENISA).

    (25) Kar zadeva osebne podatke, bi moralo biti skupinam CSIRT omogočeno, da v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta19 v imenu in na zahtevo subjekta po tej direktivi ali v primeru resne grožnje za nacionalno varnost zagotovijo proaktivni pregled omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje storitev subjektov. Države članice bi si morale prizadevati za zagotovitev enake ravni tehničnih zmogljivosti za vse sektorske skupine CSIRT. Države članice lahko pri oblikovanju nacionalnih skupin CSIRT zaprosijo za pomoč Agencijo Evropske unije za kibernetsko varnost (ENISA).

    __________________

    __________________

    19 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

    19 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

    Predlog spremembe  20

     

    Predlog direktive

    Uvodna izjava 25 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (25a) Skupina CSIRT bi morala imeti možnost, da na zahtevo subjekta stalno odkriva, beleži, upravlja in spremlja vsa sredstva, povezana z internetom, tako na kraju samem kot v oblaku, da lahko razume svoje splošno organizacijsko tveganje za na novo odkrite grožnje v dobavni verigi ali kritične šibke točke. Znanje o tem, ali subjekt uporablja privilegirani upravljalni vmesnik, vpliva na hitrost sprejemanja blažilnih ukrepov.

    Predlog spremembe  21

     

    Predlog direktive

    Uvodna izjava 26

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (26) Mednarodno sodelovanje na področju kibernetske varnosti je pomembno, zato bi morali skupinam CSIRT poleg sodelovanja v mreži skupin CSIRT, vzpostavljeni s to direktivo, omogočiti sodelovanje tudi v mrežah mednarodnega sodelovanja.

    (26) Mednarodno sodelovanje na področju kibernetske varnosti je pomembno, zato bi morali skupinam CSIRT, tudi skupinam CSIRT iz tretjih držav, pri katerih je izmenjava informacij vzajemna in koristna za varnost državljanov in subjektov, poleg sodelovanja v mreži skupin CSIRT, vzpostavljeni s to direktivo, omogočiti sodelovanje tudi v mrežah mednarodnega sodelovanja, da bi prispevali k oblikovanju standardov Unije, ki lahko sooblikujejo krajino kibernetske varnosti na mednarodni ravni. Države članice bi lahko preučile tudi možnost povečanja sodelovanja s podobno mislečimi partnerskimi državami in mednarodnimi organizacijami, da bi sklenile večstranske sporazume o kibernetskih normah, odgovornem državnem in nedržavnem ravnanju v kibernetskem prostoru in učinkovitem svetovnem digitalnem upravljanju ter vzpostavile odprt, svoboden, stabilen in varen kibernetski prostor, ki bo temeljil na mednarodnem pravu.

    Predlog spremembe  22

     

    Predlog direktive

    Uvodna izjava 26 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (26a) Politike kibernetske higiene predstavljajo temelje za zaščito varnosti infrastruktur omrežij in informacijskih sistemov, strojne opreme, programske opreme in spletnih aplikacij ter poslovnih podatkov ali podatkov končnih uporabnikov, ki jih subjekti uporabljajo. Politike kibernetske higiene zajemajo skupni izhodiščni nabor praks, ki med drugim zajemajo posodobitve programske in strojne opreme, menjavanje gesel, upravljanje novih namestitev, omejevanje računov s skrbniško ravnjo dostopa in varnostno kopiranje podatkov, omogočanje proaktivnega okvira pripravljenosti ter splošno varnost in zaščito v primeru incidentov ali groženj. Agencija ENISA bi morala spremljati in vrednotiti politike glede kibernetske higiene držav članic ter raziskati sheme na ravni celotne Unije, da bi omogočili čezmejna preverjanja, ki zagotavljajo enakovrednost neodvisno od zahtev držav članic.

    Predlog spremembe  23

     

    Predlog direktive

    Uvodna izjava 26 b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (26b) Z uporabo umetne inteligence v kibernetski varnosti bi lahko izboljšali zaznavanje in ustavljanje napadov na omrežja in informacijske sisteme, vire pa bi tako lahko preusmerili v bolj izpopolnjene napade. Države članice bi zato morale v svojih nacionalnih strategijah spodbujati uporabo (pol-)avtomatiziranih orodij na področju kibernetske varnosti in souporabo podatkov, potrebnih za učenje in izboljšanje avtomatiziranih orodij na področju kibernetski varnosti. Da bi zmanjšali tveganje neupravičenega poseganja v pravice in svoboščine posameznikov, ki bi jih utegnili povzročati sistemi z omogočeno umetno inteligenco, se uporabljajo zahteve glede vgrajenega in privzetega varstva podatkov, določene v členu 25 Uredbe (EU) 2016/679. Takšna tveganja bi lahko dodatno zmanjšali z integracijo ustreznih zaščitnih ukrepov, kot so psevdonimizacija, šifriranje, točnost podatkov in zmanjševanje količine podatkov.

    Predlog spremembe  24

     

    Predlog direktive

    Uvodna izjava 26 c (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (26c) Odprtokodna orodja in aplikacije za kibernetsko varnost lahko prispevajo k višji stopnji preglednosti in pozitivno vplivajo na učinkovitost industrijskih inovacij. Odprti standardi omogočajo interoperabilnost med orodji za varnost in koristijo varnosti industrijskih deležnikov. Odprtokodna orodja in aplikacije za kibernetsko varnost lahko spodbudijo širšo skupnost razvijalcev, kar subjektom omogoča, da si prizadevajo za diverzifikacijo prodajalcev in odprte varnostne strategije. Odprta varnost lahko vodi k preglednejšemu postopku preverjanja orodij, povezanih s kibernetsko varnostjo, in k procesu odkrivanja šibkih točk, ki ga vodi skupnost. Države članice bi zato morale spodbujati sprejetje odprtokodne programske opreme in odprtih standardov z izvajanjem politik v zvezi z uporabo odprtih podatkov in odprtih virov kot dela varnosti prek preglednosti. Politike za spodbujanje odprtokodnih orodij in aplikacij za kibernetsko varnost so še posebej pomembne za mala in srednja podjetja, ki se soočajo z velikimi stroški izvajanja, ki bi jih bilo mogoče zmanjšati, če bi se zmanjšala potreba po točno določenih aplikacijah ali orodjih.

    Predlog spremembe  25

     

    Predlog direktive

    Uvodna izjava 26 d (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (26d) Javno-zasebna partnerstva na področju kibernetske varnosti lahko zagotovijo pravi okvir za izmenjavo znanja, souporabo dobrih praks in vzpostavitev skupne ravni razumevanja med vsemi zainteresiranimi stranmi. Države članice bi morale kot del svojih nacionalnih strategij za kibernetsko varnost sprejeti politike, ki podpirajo sklepanje posebnih javno-zasebnih partnerstev, povezanih s kibernetsko varnostjo. Te politike bi morale med drugim jasno opredeliti področje uporabe in vpletene zainteresirane strani, model upravljanja, razpoložljive možnosti financiranja in interakcijo med sodelujočimi zainteresiranimi stranmi. Javno-zasebna partnerstva lahko izkoristijo strokovno znanje subjektov iz zasebnega sektorja kot podporo pristojnim organom držav članic pri razvijanju najsodobnejših storitev in procesov, med drugim izmenjavo informacij, zgodnje opozarjanje, vaje na področju kibernetskih groženj in incidentov, upravljanje kriz in načrtovanje odpornosti.

    Predlog spremembe  26

     

    Predlog direktive

    Uvodna izjava 27

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.

    (27) V skladu s Prilogo k Priporočilu Komisije (EU) 2017/1548 o usklajenem odzivu na velike kibernetske incidente in krize („načrt“)20 bi moral velik incident pomeniti incident, ki ima velik vpliv na vsaj dve državi članici ali ki povzroči motnje, ki presegajo zmožnost države članice za odziv nanje. Glede na njihov vzrok in vpliv se lahko veliki incidenti stopnjujejo in sprevržejo v popolno krizo, ki ne omogoča ustreznega delovanja notranjega trga, ali pomenijo resna tveganja za javno varnost ter varnost subjektov ali državljanov v več državah članicah ali Uniji kot celoti. Glede na velik obseg in večinoma čezmejno naravo takih incidentov bi morali države članice ter ustrezne institucije, organi in agencije Unije sodelovati na tehnični, operativni in politični ravni za ustrezno usklajevanje odziva po vsej Uniji.

    __________________

    __________________

    20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).

    20 Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).

    Predlog spremembe  27

     

    Predlog direktive

    Uvodna izjava 27 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (27a) Države članice bi morale v svojih nacionalnih strategijah za kibernetsko varnost obravnavati posebne potrebe malih in srednjih podjetij (MSP) na področju kibernetske varnosti. MSP v kontekstu Unije predstavljajo velik odstotek industrijskega in poslovnega trga ter se pogosto težje prilagajajo novim poslovnim praksam v bolj povezanem svetu in znajdejo v digitalnem okolju, v katerem zaposleni delajo od doma, poslovanje pa vse bolj poteka prek spleta. Nekatera MSP se spopadajo s posebnimi izzivi na področju kibernetske varnosti, kot so slaba kibernetska ozaveščenost, slaba informacijska varnost pri poslovanju na daljavo, visoki stroški rešitev za kibernetsko varnost in višja stopnja ogroženosti na primer zaradi izsiljevalskega programja, v zvezi s katerimi bi jim bilo treba zagotoviti usmeritve in podporo. Države članice bi morale imeti kontaktno točko za kibernetsko varnost za MSP, ki bi jim zagotovila usmeritve in podporo ali pa jih napotila k primernim organom, ki bi jim nudili usmerjanje in podporo na področju kibernetske varnosti. Države članice naj malim in mikropodjetjem, ki nimajo teh zmogljivosti, ponudijo tudi storitve, kot sta konfiguracija spletišč in omogočanje beleženja.

    Predlog spremembe  28

     

    Predlog direktive

    Uvodna izjava 27 b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (27b) Države članice bi morale v okviru svojih nacionalnih strategij za kibernetsko varnost sprejeti politike za spodbujanje aktivne kibernetske obrambe. Aktivna kibernetska obramba je proaktivno preprečevanje, odkrivanje, spremljanje, analiziranje in zmanjšanje tveganja kršitev varstva omrežja, skupaj z uporabo zmogljivosti znotraj in zunaj ogroženega omrežja. Sposobnost hitre in avtomatske izmenjave ter razumevanja informacij o grožnjah in njihove analize, opozorila o kibernetski dejavnosti ter odzivanje so kritični za doseganje enotnosti prizadevanj za uspešno odkrivanje, preprečevanje in obravnavo napadov na omrežja in informacijske sisteme. Aktivna kibernetska obramba temelji na obrambni strategiji, ki izključuje ofenzivne ukrepe proti kritični civilni infrastrukturi.

    Predlog spremembe  29

     

    Predlog direktive

    Uvodna izjava 28

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (28) Ker lahko izkoriščanje šibkih točk v omrežjih in informacijskih sistemih povzroči hude motnje in škodo, sta hitro odkrivanje in odpravljanje takih šibkih točk pomemben dejavnik pri zmanjševanju tveganj za kibernetsko varnost. Subjekti, ki razvijajo take sisteme, bi morali zato vzpostaviti ustrezne postopke za obravnavanje šibkih točk, ko jih odkrijejo. Ker šibke točke pogosto odkrijejo in o njih poročajo (jih razkrijejo) tretje osebe (poročajoči subjekti), bi moral proizvajalec ali ponudnik proizvodov ali storitev IKT vzpostaviti tudi potrebne postopke za prejemanje informacij o šibkih točkah od tretjih oseb. V zvezi s tem mednarodna standarda ISO/IEC 30111 in ISO/IEC 29417 določata smernice o obravnavanju oziroma razkrivanju šibkih točk. Kar zadeva razkrivanje šibkih točk, je pomembno zlasti usklajevanje med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT. Usklajeno razkrivanje šibkih točk določa strukturiran postopek, s katerim se šibke točke organizacijam sporočijo tako, da lahko organizacija diagnosticira in odpravi šibko točko, preden se podrobne informacije o šibki točki razkrijejo tretji osebi ali javnosti. Usklajeno razkrivanje šibkih točk bi moralo vključevati tudi usklajevanje med poročajočim subjektom in organizacijo v zvezi s časovnim okvirom za odpravo in objavo šibkih točk.

    (28) Ker lahko izkoriščanje šibkih točk v omrežjih in informacijskih sistemih povzroči hude motnje in škodo, sta hitro odkrivanje in odpravljanje takih šibkih točk pomemben dejavnik pri zmanjševanju tveganj za kibernetsko varnost. Subjekti, ki razvijajo take sisteme, bi morali zato vzpostaviti ustrezne postopke za obravnavanje šibkih točk, ko jih odkrijejo. Ker šibke točke pogosto odkrijejo in o njih poročajo (jih razkrijejo) tretje osebe (poročajoči subjekti), bi moral proizvajalec ali ponudnik proizvodov ali storitev IKT vzpostaviti tudi potrebne postopke za prejemanje informacij o šibkih točkah od tretjih oseb. V zvezi s tem mednarodna standarda ISO/IEC 30111 in ISO/IEC 29417 določata smernice o obravnavanju oziroma razkrivanju šibkih točk. Okrepitev sodelovanja med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT je še posebej pomembno, da se vzpostavi prostovoljni okvir za razkrivanje šibkih točk. Usklajeno razkrivanje šibkih točk določa strukturiran postopek, s katerim se šibke točke organizacijam sporočijo tako, da lahko organizacija diagnosticira in odpravi šibko točko, preden se podrobne informacije o šibki točki razkrijejo tretji osebi ali javnosti. Usklajeno razkrivanje šibkih točk bi moralo vključevati tudi usklajevanje med poročajočim subjektom in organizacijo v zvezi s časovnim okvirom za odpravo in objavo šibkih točk.

    Predlog spremembe  30

     

    Predlog direktive

    Uvodna izjava 28 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (28a) Komisija, agencija ENISA in države članice bi morale še naprej spodbujati mednarodno usklajevanje s standardi in obstoječimi dobrimi praksami industrije na področju obvladovanja tveganja, na primer na področju ocen varnosti dobavne verige, izmenjave informacij in razkrivanja šibkih točk.

    Predlog spremembe  31

     

    Predlog direktive

    Uvodna izjava 29

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (29) Države članice bi morale zato sprejeti ukrepe za olajšanje usklajenega razkrivanja šibkih točk z vzpostavitvijo ustrezne nacionalne politike. V zvezi s tem bi morale države članice imenovati skupino CSIRT, ki bi prevzela vlogo „koordinatorke“ in ki bi po potrebi delovala kot posrednica med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT. Naloge skupine CSIRT koordinatorke bi morale vključevati zlasti opredelitev zadevnih subjektov in vzpostavitev stika z njimi, podpiranje poročajočih subjektov, pogajanja o časovnicah razkrivanja in upravljanje razkrivanja šibkih točk, ki vplivajo na več organizacij (razkrivanje šibkih točk več strani). Če šibke točke vplivajo na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT s sedežem v več državah članicah, bi morale imenovane skupine CSIRT iz vsake od prizadetih držav članic sodelovati v okviru mreže skupin CSIRT.

    (29) Države članice bi morale v sodelovanju z agencijo ENISA zato sprejeti ukrepe za olajšanje usklajenega razkrivanja šibkih točk z vzpostavitvijo ustrezne nacionalne politike. V tej ustrezni nacionalni politiki bi morale države članice obravnavati težave, ki jih odkrijejo raziskovalci šibkih točk. Subjekti in fizične osebe, ki raziskujejo šibke točke, so lahko v nekaterih državah članicah izpostavljeni kazenski in civilni odgovornosti. Zato naj države članice pripravijo smernice za opustitev pregona za raziskave na področju informacijske varnosti in izvzetje teh dejavnosti iz civilne odgovornosti.

    Predlog spremembe  32

     

    Predlog direktive

    Uvodna izjava 29 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (29a) Države članice bi morale imenovati skupino CSIRT, ki bi prevzela vlogo „koordinatorke“ in ki bi po potrebi delovala kot posrednica med poročajočimi subjekti in proizvajalci ali ponudniki proizvodov ali storitev IKT, ki bi jih šibka točka lahko prizadela. Naloge skupine CSIRT koordinatorke bi morale vključevati zlasti opredelitev zadevnih subjektov in vzpostavitev stika z njimi, podpiranje poročajočih subjektov, pogajanja o časovnicah razkrivanja in obvladovanje šibkih točk, ki vplivajo na več organizacij (razkrivanje šibkih točk več strani). Če šibke točke vplivajo na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT s sedežem v več državah članicah, bi morale imenovane skupine CSIRT iz vsake od prizadetih držav članic sodelovati v okviru mreže skupin CSIRT.

    Predlog spremembe  33

     

    Predlog direktive

    Uvodna izjava 30

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (30) Dostop do točnih in pravočasnih informacij o šibkih točkah, ki vplivajo na proizvode in storitve IKT, prispeva k okrepljenemu obvladovanju tveganj za kibernetsko varnost. V zvezi s tem so viri javno dostopnih informacij o šibkih točkah pomembno orodje za subjekte in njihove uporabnike, pa tudi za pristojne nacionalne organe in skupine CSIRT. Zato bi morala agencija ENISA vzpostaviti register šibkih točk, kjer bi bistveni in pomembni subjekti ter njihovi dobavitelji, pa tudi subjekti, ki ne spadajo na področje uporabe te direktive, lahko prostovoljno razkrivali šibke točke in zagotavljali informacije o šibkih točkah, ki bi uporabnikom omogočale sprejetje ustreznih blažilnih ukrepov.

    (30) Dostop do točnih in pravočasnih informacij o šibkih točkah, ki vplivajo na proizvode in storitve IKT, prispeva k okrepljenemu obvladovanju tveganj za kibernetsko varnost. Viri so javno dostopnih informacij o šibkih točkah pomembno orodje za subjekte in njihove uporabnike, pa tudi za pristojne nacionalne organe in skupine CSIRT. Zato bi morala agencija ENISA vzpostaviti podatkovno zbirko šibkih točk, kjer bi bistveni in pomembni subjekti ter njihovi dobavitelji, pa tudi subjekti, ki ne spadajo na področje uporabe te direktive, lahko prostovoljno razkrivali šibke točke in zagotavljali informacije o šibkih točkah, ki bi uporabnikom omogočale sprejetje ustreznih blažilnih ukrepov. Namen te podatkovne zbirke bi bila obravnava edinstvenih izzivov, ki jih tveganja za kibernetsko varnost pomenijo za evropske subjekte. Poleg tega bi morala agencija ENISA vzpostaviti odgovoren postopek v zvezi s postopkom objave, da bi imeli subjekti čas za sprejetje blažilnih ukrepov v zvezi z njihovimi šibkimi točkami, ter uporabiti najsodobnejše ukrepe za kibernetsko varnost ter strojno berljive nabore podatkov in ustrezne vmesnike (API). Zaradi spodbujanja kulture razkrivanja šibkih točk razkritje ne bi smelo negativno vplivati na poročajoči subjekt.

    Predlog spremembe  34

     

    Predlog direktive

    Uvodna izjava 31

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (31) Čeprav podobni registri ali zbirke podatkov o šibkih točk obstajajo, te upravljajo in vzdržujejo subjekti, ki nimajo sedeža v Uniji. Evropski register šibkih točk, ki bi ga vzdrževala agencija ENISA, bi zagotovil večjo preglednost v zvezi s postopkom objave pred uradnim razkritjem šibke točke in odpornost v primerih motenj ali prekinitev pri opravljanju podobnih storitev. Da bi preprečila podvajanje prizadevanj in poskušala zagotoviti čim večje dopolnjevanje, bi morala agencija ENISA preučiti možnost sklenitve sporazumov o strukturnem sodelovanju s podobnimi registri v jurisdikcijah tretjih držav.

    (31) Evropska podatkovna zbirka šibkih točk, ki bi ga vzdrževala agencija ENISA, bi morala izkoristiti register splošnih šibkih točk in izpostavljenosti, in sicer tako, da bi uporabila njen okvir za odkrivanje, spremljanje in vrednotenje šibkih točk. Poleg tega bi morala agencija ENISA preučiti možnost sklenitve sporazumov o strukturnem sodelovanju z drugimi podobnimi registri ali podatkovnimi zbirkami v jurisdikcijah tretjih držav, da bi preprečila podvajanje prizadevanj in spodbujala dopolnjevanje.

    Predlog spremembe  35

     

    Predlog direktive

    Uvodna izjava 33

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (33) Skupina za sodelovanje bi morala pri pripravi smernic dosledno: evidentirati nacionalne rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil.

    (33) Skupina za sodelovanje bi morala pri pripravi smernic dosledno: evidentirati nacionalne rešitve in izkušnje, oceniti vpliv svojih dosežkov na nacionalne pristope, razpravljati o izzivih v zvezi z izvajanjem in oblikovati posebna priporočila, zlasti o lažjem usklajevanju med državami članicami pri prenosu te direktive, ki bi se obravnavala z boljšim izvajanjem obstoječih pravil. Skupina za sodelovanje bi morala poleg tega evidentirati nacionalne rešitve, da bi spodbujala združljivost rešitev na področju kibernetske varnosti, ki se uporabljajo v vsakem posameznem sektorju po Uniji. To je zlasti pomembno za sektorje z mednarodnim in čezmejnim vidikom.

    Predlog spremembe  36

     

    Predlog direktive

    Uvodna izjava 34

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu povabila organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Evropski center za boj proti kibernetski kriminaliteti (EC3), Agencija Evropske unije za varnost v letalstvu (EASA) in Agencija Evropske unije za vesoljski program (EUSPA).

    (34) Skupina za sodelovanje bi morala ostati prilagodljiv forum in biti sposobna odzivati se na spreminjajoče se in nove prednostne naloge politike in izzive, ob upoštevanju razpoložljivosti virov. Organizirati bi morala redne skupne sestanke z ustreznimi zasebnimi zainteresiranimi stranmi iz vse Unije, na katerih bi se razpravljalo o dejavnostih, ki jih izvaja skupina, in zbirale informacije o nastajajočih izzivih politike. Za okrepitev sodelovanja na ravni Unije bi morala skupina razmisliti o tem, da bi k sodelovanju pri svojem delu povabila ustrezne organe in agencije Unije, vključene v politiko na področju kibernetske varnosti, kot so Europol, Agencija Evropske unije za varnost v letalstvu (EASA) in Agencija Evropske unije za vesoljski program (EUSPA).

    Predlog spremembe  37

     

    Predlog direktive

    Uvodna izjava 35

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (35) Pristojni organi in skupine CSIRT bi morali biti pooblaščeni za sodelovanje v programih izmenjave uradnikov iz drugih držav članic, da bi izboljšali sodelovanje. Pristojni organi bi morali sprejeti potrebne ukrepe, s katerimi bi uradnikom iz drugih držav članic omogočili učinkovito sodelovanje v dejavnostih pristojnega organa gostitelja.

    (35) Pristojni organi in skupine CSIRT bi morali biti pooblaščeni za sodelovanje v programih izmenjave uradnikov iz drugih držav članic, in sicer v okviru strukturiranih pravil in mehanizmov, ki določajo obseg in, kjer je ustrezno, potrebno varnostno odobritev za uradnike, ki sodelujejo v takih programih izmenjave, da bi izboljšali sodelovanje in okrepili zaupanje med državami članicami. Pristojni organi bi morali sprejeti potrebne ukrepe, s katerimi bi uradnikom iz drugih držav članic omogočili učinkovito sodelovanje v dejavnostih pristojnega organa gostitelja ali skupine CSIRT.

    Predlog spremembe  38

     

    Predlog direktive

    Uvodna izjava 36

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (36) Unija bi morala, kjer je ustrezno, v skladu s členom 218 PDEU skleniti mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki bi omogočali in urejali njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje in mreže skupin CSIRT. Taki sporazumi bi morali zagotoviti ustrezno varstvo podatkov.

    (36) Unija bi morala, kjer je ustrezno, v skladu s členom 218 PDEU skleniti mednarodne sporazume s tretjimi državami ali mednarodnimi organizacijami, ki bi omogočali in urejali njihovo sodelovanje pri nekaterih dejavnostih skupine za sodelovanje in mreže skupin CSIRT. Taki sporazumi bi morali zagotoviti upoštevanje interesov Unije in ustrezno varstvo podatkov. To ne izključuje pravice držav članic do sodelovanja s podobno mislečimi tretjimi državami pri upravljanju šibkih točk in obvladovanju tveganj za kibernetsko varnost, ki omogoča poročanje in souporabo splošnih informacij v skladu z zakonodajo Unije.

    Predlog spremembe  39

     

    Predlog direktive

    Uvodna izjava 38

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (38) V tej direktivi bi se moral izraz „tveganje“ nanašati na možnost izgube ali motnje, ki jo povzroči kibernetski incident, ter bi moral biti izražen kot kombinacija razsežnosti take izgube ali motnje in verjetnosti pojava navedenega incidenta.

    črtano

    Predlog spremembe  40

     

    Predlog direktive

    Uvodna izjava 39

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (39) V tej direktivi bi se moral izraz „skorajšnji dogodek“ nanašati na dogodek, ki bi lahko povzročil škodo, vendar se je uspešno preprečilo, da bi se v celoti uresničil.

    črtano

    Predlog spremembe  41

     

    Predlog direktive

    Uvodna izjava 40

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (40) Med ukrepe za obvladovanje tveganj bi morali spadati ukrepi za prepoznavanje tveganj incidentov, preprečevanje, odkrivanje in obvladovanje incidentov ter ublažitev njihovega vpliva. Varnost omrežij in informacijskih sistemov bi morala obsegati varnost shranjenih, prenesenih in obdelanih podatkov.

    (40) Med ukrepe za obvladovanje tveganj bi morali spadati ukrepi za prepoznavanje tveganj incidentov, preprečevanje in odkrivanje incidentov, odzivanje nanje in okrevanje po njih ter ublažitev njihovega vpliva. Varnost omrežij in informacijskih sistemov bi morala obsegati varnost shranjenih, prenesenih in obdelanih podatkov. Ti sistemi bi morali zagotoviti sistemske analize, ki razčlenijo različne procese in interakcije med podsistemi in upoštevajo človeški faktor, da bi pridobili celotno sliko varnosti informacijskega sistema.

    Predlog spremembe  42

     

    Predlog direktive

    Uvodna izjava 41

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (41) Da bistvenim in pomembnim subjektom ne bi bilo naloženo nesorazmerno finančno in upravno breme, bi morale biti zahteve glede obvladovanja tveganj za kibernetsko varnost sorazmerne s tveganjem, ki ga pomenita zadevno omrežje in informacijski sistem, pri čemer bi bilo treba upoštevati dovršenost takih ukrepov.

    (41) Da bistvenim in pomembnim subjektom ne bi bilo naloženo nesorazmerno finančno in upravno breme, bi morale biti zahteve glede obvladovanja tveganj za kibernetsko varnost sorazmerne s tveganjem, ki ga pomenita zadevno omrežje in informacijski sistem, pri čemer bi bilo treba upoštevati dovršenost takih ukrepov ter evropskih in mednarodnih standardov, kot so ISO31000 in ISA/IEC 27005.

    Predlog spremembe  43

     

    Predlog direktive

    Uvodna izjava 43

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (43) Obravnavanje tveganj za kibernetsko varnost, ki izhajajo iz dobavne verige subjekta in njegovega razmerja z njegovimi dobavitelji, je še zlasti pomembno glede na razširjenost incidentov, v katerih so bili subjekti žrtve kibernetskih napadov in v katerih so bili zlonamerni akterji sposobni ogroziti varnost omrežij in informacijskih sistemov subjekta z izkoriščanjem šibkih točk, ki vplivajo na proizvode in storitve tretje osebe. Subjekti bi morali zato oceniti in upoštevati splošno kakovost proizvodov ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki.

    (43) Obravnavanje tveganj za kibernetsko varnost, ki izhajajo iz dobavne verige subjekta in njegovega razmerja z njegovimi dobavitelji, kot so ponudniki storitev shranjevanja in obdelave podatkov ali upravljanih varnostnih storitev, je še zlasti pomembno glede na razširjenost incidentov, v katerih so bili subjekti žrtve napadov na omrežje in informacijske sisteme in v katerih so bili zlonamerni akterji sposobni ogroziti varnost omrežij in informacijskih sistemov subjekta z izkoriščanjem šibkih točk, ki vplivajo na proizvode in storitve tretje osebe. Subjekti bi morali zato oceniti in upoštevati splošno kakovost in odpornost proizvodov in storitev, v njih zajetih ukrepov za kibernetsko varnost ter praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki. Subjekte bi bilo treba zlasti spodbujati, da ukrepe za kibernetsko varnost vključijo v pogodbene dogovore s svojimi prvostopenjskimi dobavitelji in ponudniki storitev. Subjekti bi lahko upoštevali tveganja za kibernetsko varnost, ki izhajajo iz drugih ravni dobaviteljev in ponudnikov storitev.

    Predlog spremembe  44

     

    Predlog direktive

    Uvodna izjava 44

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (44) Med ponudniki storitev imajo ponudniki upravljanih varnostnih storitev na področjih, kot so odzivanje na incidente, penetracijsko testiranje, varnostne presoje in svetovanje, še posebno pomembno vlogo pri zagotavljanju pomoči subjektom pri njihovih prizadevanjih za odkrivanje incidentov in odzivanje nanje. Vendar pa so bili takšni ponudniki upravljanih varnostnih storitev tudi sami tarče kibernetskih napadov in zaradi svoje tesne vključenosti v delovanje izvajalcev pomenijo posebno tveganje za kibernetsko varnost. Subjekti bi morali biti zato še bolj skrbni pri izbiri ponudnika upravljanih varnostnih storitev.

    (44) Med ponudniki storitev imajo ponudniki upravljanih varnostnih storitev na področjih, kot so odzivanje na incidente, penetracijsko testiranje, varnostne presoje in svetovanje, še posebno pomembno vlogo pri zagotavljanju pomoči subjektom pri njihovih prizadevanjih za preprečevanje in odkrivanje incidentov ter odzivanje nanje ali okrevanje po njih. Vendar pa so bili takšni ponudniki upravljanih varnostnih storitev tudi sami tarče kibernetskih napadov in zaradi svoje tesne vključenosti v delovanje izvajalcev pomenijo posebno tveganje za kibernetsko varnost. Subjekti bi morali biti zato še bolj skrbni pri izbiri ponudnika upravljanih varnostnih storitev.

    Predlog spremembe  45

     

    Predlog direktive

    Uvodna izjava 45

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (45) Subjekti bi morali obravnavati tudi tveganja za kibernetsko varnost, ki izhajajo iz njihovih stikov in odnosov z drugimi zainteresiranimi stranmi v okviru širšega ekosistema. Subjekti bi morali zlasti sprejeti ustrezne ukrepe za zagotovitev, da njihovo sodelovanje z akademskimi in raziskovalnimi ustanovami poteka v skladu z njihovimi politikami na področju kibernetske varnosti, ob upoštevanju dobrih praks v zvezi z varnim dostopom in razširjanjem informacij na splošno ter še posebno z varstvom intelektualne lastnine. Podobno bi morali subjekti glede na pomen in vrednost podatkov za dejavnosti subjektov pri uporabi storitev pretvorbe podatkov in podatkovne analitike, ki jih opravljajo tretje osebe, sprejeti vse ustrezne ukrepe za kibernetsko varnost.

    (45) Subjekti bi morali obravnavati tudi tveganja za kibernetsko varnost, ki izhajajo iz njihovih stikov in odnosov z drugimi zainteresiranimi stranmi v okviru širšega ekosistema, med drugim za preprečevanje industrijskega vohunjenja in za zaščito poslovnih skrivnosti. Subjekti bi morali zlasti sprejeti ustrezne ukrepe za zagotovitev, da njihovo sodelovanje z akademskimi in raziskovalnimi ustanovami poteka v skladu z njihovimi politikami na področju kibernetske varnosti, ob upoštevanju dobrih praks v zvezi z varnim dostopom in razširjanjem informacij na splošno ter še posebno z varstvom intelektualne lastnine. Podobno bi morali subjekti glede na pomen in vrednost podatkov za dejavnosti subjektov pri uporabi storitev pretvorbe podatkov in podatkovne analitike, ki jih opravljajo tretje osebe, sprejeti vse ustrezne ukrepe za kibernetsko varnost.

    Predlog spremembe  46

     

    Predlog direktive

    Uvodna izjava 45 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (45a) Subjekti bi morali sprejeti širok nabor osnovnih praks računalniške higiene, kot je arhitektura popolnega nezaupanja, posodobitve programske opreme, konfiguracija naprav, segmentacija omrežja, upravljanje identitete in dostopa ter ozaveščenost uporabnikov, in organizirati usposabljanje svojega osebja v zvezi s kibernetskimi grožnjami podjetjem, lažnim predstavljanjem in tehnikami socialnega inženiringa. Subjekti bi morali tudi oceniti lastne zmogljivosti glede kibernetske varnosti in si po potrebi prizadevati za vključevanje tehnologij za povečanje kibernetske varnosti, ki uporabljajo umetno inteligenco ali sisteme strojnega učenja, da avtomatizirajo svoje zmogljivosti in zaščito omrežnih arhitektur.

    Predlog spremembe  47

     

    Predlog direktive

    Uvodna izjava 46

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (46) Za nadaljnje obravnavanje ključnih tveganj za dobavno verigo ter zagotavljanje pomoči subjektom, ki delujejo v sektorjih, zajetih s to direktivo, pri ustreznem obvladovanju tveganj za kibernetsko varnost, povezanih z dobavno verigo in dobavitelji, bi morala skupina za sodelovanje, ki vključuje ustrezne nacionalne organe, v sodelovanju s Komisijo in agencijo ENISA izvesti usklajene sektorske ocene tveganj v zvezi z dobavno verigo, kot je že storila za omrežja 5G na podlagi Priporočila (EU) 2019/534 o kibernetski varnosti omrežij 5G21, da bi opredelila kritične storitve, sisteme ali proizvode IKT, zadevne grožnje in šibke točke za posamezne sektorje.

    (46) Za nadaljnje obravnavanje ključnih tveganj za dobavno verigo ter zagotavljanje pomoči subjektom, ki delujejo v sektorjih, zajetih s to direktivo, pri ustreznem obvladovanju tveganj za kibernetsko varnost, povezanih z dobavno verigo in dobavitelji, bi morala skupina za sodelovanje, ki vključuje ustrezne nacionalne organe, v sodelovanju s Komisijo in agencijo ENISA izvesti usklajene ocene tveganj v zvezi z dobavno verigo, kot je že storila za omrežja 5G na podlagi Priporočila (EU) 2019/534 o kibernetski varnosti omrežij 5G21, da bi opredelila kritične storitve, sisteme ali proizvode IKT in IKS, zadevne grožnje in šibke točke za posamezne sektorje. Pri teh ocenah tveganja bi bilo treba opredeliti ukrepe, načrte za ublažitev in dobre prakse v zvezi s kritičnimi odvisnostmi, morebitnimi kritičnimi točkami odpovedi, grožnjami, ranljivostjo in drugimi tveganji, povezanimi z dobavno verigo, ter preučiti načine za nadaljnje spodbujanje subjektov k njihovemu širšemu sprejetju. Morebitni netehnični dejavniki tveganja, kot je neprimeren vpliv tretje države na dobavitelje in ponudnike storitev, zlasti v primeru alternativnih modelov upravljanja, vključujejo prikrite šibke točke ali stranska vrata in morebitne sistemske motnje v oskrbi, zlasti v primeru tehnološke vezanosti na ponudnika ali odvisnosti od njega.

    __________________

    __________________

    21 Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42).

    21 Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42).

    Predlog spremembe  48

     

    Predlog direktive

    Uvodna izjava 47

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov.

    (47) Pri ocenah tveganj v zvezi z dobavno verigo bi bilo treba glede na značilnosti zadevnega sektorja upoštevati tehnične in, kjer je ustrezno, netehnične dejavnike, vključno z dejavniki, opredeljenimi v Priporočilu (EU) 2019/534, iz usklajene ocene tveganj za varnost omrežij 5G na ravni EU in nabora orodij EU za kibernetsko varnost omrežij 5G, o katerem se je dogovorila skupina za sodelovanje. Za opredelitev dobavnih verig, ki bi morale biti predmet usklajene ocene tveganja, bi bilo treba upoštevati naslednja merila: (i) obseg, v katerem bistveni in pomembni subjekti uporabljajo določene kritične storitve, sisteme ali proizvode IKT in se zanašajo nanje; (ii) pomembnost določenih kritičnih storitev, sistemov ali proizvodov IKT za izvajanje kritičnih ali občutljivih funkcij, vključno z obdelavo osebnih podatkov; (iii) razpoložljivost alternativnih storitev, sistemov ali proizvodov IKT; (iv) odpornost celotne dobavne verige storitev, sistemov ali proizvodov IKT v njihovem celotnem življenjskem ciklu proti dogodkom, ki povzročajo motnje v delovanju, in (v) morebiten prihodnji pomen nastajajočih storitev, sistemov ali proizvodov IKT za dejavnosti subjektov. Poleg tega bi bilo treba posebno pozornost nameniti storitvam, sistemom ali izdelkom IKT, za katere veljajo posebne zahteve, ki izhajajo iz tretjih držav.

    Predlog spremembe  49

     

    Predlog direktive

    Uvodna izjava 47a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (47a) Certifikacijska skupina deležnikov za kibernetsko varnost, ustanovljena v skladu s členom 22 Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta1a, bi morala izdati mnenje o ocenah varnostnega tveganja specifičnih kritičnih storitev, sistemov ali dobavnih verig v zvezi z IKT in ICS. Skupina za sodelovanje in agencija ENISA bi morali to mnenje upoštevati.

     

    __________________

     

    1a Uredba (EU) 2019/881 Evropskega Parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).

    Predlog spremembe  50

     

    Predlog direktive

    Uvodna izjava 50

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (50) Glede na vedno večji pomen medosebnih komunikacijskih storitev, neodvisnih od številke, je treba zagotoviti, da se tudi za take storitve uporabljajo ustrezne varnostne zahteve, ob upoštevanju njihove posebne narave in gospodarskega pomena. Ponudniki takih storitev bi torej prav tako morali zagotoviti raven varnosti omrežij in informacijskih sistemov, primerno obstoječemu tveganju. Ker ponudniki medosebnih komunikacijskih storitev, neodvisnih od številke, običajno nimajo dejanskega nadzora nad prenosom signalov prek omrežja, je mogoče raven tveganja za take storitve v nekaterih pogledih šteti za manjšo kot pri tradicionalnih elektronskih komunikacijskih storitvah. Enako velja za medosebne komunikacijske storitve, ki uporabljajo številke in nimajo dejanskega nadzora nad prenosom signalov.

    (50) Glede na vedno večji pomen medosebnih komunikacijskih storitev, neodvisnih od številke, je treba zagotoviti, da se tudi za take storitve uporabljajo ustrezne varnostne zahteve, ob upoštevanju njihove posebne narave in gospodarskega pomena. Ponudniki takih storitev bi torej prav tako morali zagotoviti raven varnosti omrežij in informacijskih sistemov, primerno obstoječemu tveganju. Ker ponudniki medosebnih komunikacijskih storitev, neodvisnih od številke, običajno nimajo dejanskega nadzora nad prenosom signalov prek omrežja, je mogoče raven tveganja za varnost omrežja za take storitve v nekaterih pogledih šteti za manjšo kot pri tradicionalnih elektronskih komunikacijskih storitvah. Enako velja za medosebne komunikacijske storitve, ki uporabljajo številke in nimajo dejanskega nadzora nad prenosom signalov. Vendar s širjenjem površine za napade postajajo medosebne komunikacijske storitve, neodvisne od številke, kot so med drugim sporočilniki družbenih omrežij, priljubljeni vektorji napadov. Zlonamerni akterji uporabljajo platforme za komuniciranje in privabljanje žrtev, da odprejo spletne strani, ki niso varne, kar poveča verjetnost incidentov, ki vključujejo izkoriščanje osebnih podatkov in s tem varnost informacijskih sistemov.

    Predlog spremembe  51

     

    Predlog direktive

    Uvodna izjava 51

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (51) Notranji trg je bolj odvisen od delovanja interneta kot kdaj koli prej. Storitve praktično vseh bistvenih in pomembnih subjektov so odvisne od storitev, ki se opravljajo prek interneta. Za zagotovitev nemotenega opravljanja storitev bistvenih in pomembnih subjektov je pomembno, da imajo javna elektronska komunikacijska omrežja, kot so na primer hrbtenična internetna omrežja ali podmorski komunikacijski kabli, vzpostavljene ustrezne ukrepe za kibernetsko varnost in da poročajo o incidentih v zvezi z njo.

    (51) Notranji trg je bolj odvisen od delovanja interneta kot kdaj koli prej. Storitve praktično vseh bistvenih in pomembnih subjektov so odvisne od storitev, ki se opravljajo prek interneta. Za zagotovitev nemotenega opravljanja storitev bistvenih in pomembnih subjektov je pomembno, da imajo vsa javna elektronska komunikacijska omrežja, kot so na primer hrbtenična internetna omrežja ali podmorski komunikacijski kabli, vzpostavljene ustrezne ukrepe za kibernetsko varnost in da poročajo o pomembnih incidentih v zvezi z njo. Države članice bi morale zagotoviti, da se ohranita celovitost in razpoložljivost teh javnih elektronskih komunikacijskih omrežij, njihovo zaščito pred sabotažo in vohunjenjem pa dojemati kot ključnega pomena za varnost. Države članice bi si morale dejavno izmenjavati informacije o incidentih, na primer o podmorskih komunikacijskih kablih.

    Predlog spremembe  52

     

    Predlog direktive

    Uvodna izjava 52

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (52) Kjer je ustrezno, bi morali subjekti obvestiti prejemnike storitev o specifičnih in pomembnih grožnjah ter ukrepih, ki jih lahko sprejmejo za ublažitev posledičnega tveganja za njih same. Zahteva glede obveščanja zadevnih prejemnikov o takih grožnjah subjektov ne bi smela odvezati obveznosti, da na svoje stroške sprejmejo ustrezne in takojšnje ukrepe za preprečevanje ali odpravo vseh kibernetskih groženj in ponovno vzpostavitev običajne ravni varnosti storitve. Zagotavljanje takih informacij o varnostnih grožnjah prejemnikom bi moralo biti brezplačno.

    (52) Kjer je ustrezno, bi morali subjekti obvestiti prejemnike storitev o specifičnih in pomembnih grožnjah ter ukrepih, ki jih lahko sprejmejo za ublažitev posledičnega tveganja za njih same. To ne bi smelo subjektov odvezati obveznosti, da na svoje stroške sprejmejo ustrezne in takojšnje ukrepe za preprečevanje ali odpravo vseh kibernetskih groženj in ponovno vzpostavitev običajne ravni varnosti storitve. Zagotavljanje takih informacij o varnostnih grožnjah prejemnikom bi moralo biti brezplačno ter v zlahka razumljivem jeziku.

    Predlog spremembe  53

     

    Predlog direktive

    Uvodna izjava 53

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (53) Zlasti bi morali ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev prejemnike storitve obvestiti o specifičnih in pomembnih kibernetskih grožnjah ter ukrepih, ki jih lahko sprejmejo za zagotovitev varnosti svojih komunikacij, na primer z uporabo posebnih vrst programske opreme ali tehnologij šifriranja.

    (53) Ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev bi morali uvesti privzeto in vgrajeno varnost ter prejemnike storitve obvestiti o specifičnih in pomembnih kibernetskih grožnjah ter ukrepih, ki jih lahko sprejmejo za zagotovitev varnosti svojih naprav in komunikacij, na primer z uporabo posebnih vrst programske opreme za šifriranja ali drugih na podatkih temelječih varnostnih tehnologij.

    Predlog spremembe  54

     

    Predlog direktive

    Uvodna izjava 54

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (54) Za zaščito varnosti elektronskih komunikacijskih omrežij in storitev bi bilo treba spodbujati uporabo šifriranja, zlasti šifriranja od konca do konca, ki bi morala biti po potrebi obvezna za ponudnike takih storitev in omrežij v skladu z načeloma privzete in vgrajene varnosti ter zasebnosti za namene člena 18. Uporabo šifriranja od konca do konca bi bilo treba uskladiti s pooblastili države članice, da zagotovi zaščito svojih bistvenih varnostnih interesov in javne varnosti ter dovoli preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. Pri rešitvah za zakonit dostop do informacij v komunikacijah, šifriranih od konca do konca, bi se morala ohraniti učinkovitost šifriranja pri varovanju zasebnosti in varnosti komunikacij ter hkrati zagotoviti učinkovit odziv na kazniva dejanja.

    (54) Za zaščito varnosti elektronskih komunikacijskih omrežij in storitev bi bilo treba spodbujati uporabo šifriranja in drugih na podatkih temelječih varnostnih tehnologij, kot so tokenizacija, segmentacija, dostop do omejevanja zmogljivosti, označevanje, močno upravljanje identitete in dostopa ter samodejne odločitve za dostop, ki bi morala biti po potrebi obvezna za ponudnike takih storitev in omrežij v skladu z načeloma privzete in vgrajene varnosti ter zasebnosti za namene člena 18. Uporabo šifriranja od konca do konca bi bilo treba uskladiti s pooblastili države članice, da zagotovi zaščito svojih bistvenih varnostnih interesov in javne varnosti ter dovoli preiskovanje, odkrivanje in pregon kaznivih dejanj v skladu s pravom Unije. Vendar to ne bi smelo privesti do prizadevanj za oslabitev šifriranih od konca do konca, ki je ključna tehnologija za učinkovito varstvo podatkov in zasebnost.

    Predlog spremembe  55

     

    Predlog direktive

    Uvodna izjava 54 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (54a) Da bi ohranili varnost ter preprečili zlorabe in manipulacije z elektronskimi komunikacijskimi omrežji in storitvami, bi bilo treba spodbujati uporabo interoperabilnih varnih standardov usmerjanja za zagotovitev celovitosti in zanesljivosti funkcij usmerjanja v celotnem ekosistemu nosilcev interneta.

    Predlog spremembe  56

     

    Predlog direktive

    Uvodna izjava 54 b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (54b) Da bi zaščitili funkcionalnost in celovitost interneta ter omejili varnostne težave, povezane z DNS, bi bilo treba ustrezne zainteresirane strani, vključno s podjetji Unije, ponudniki internetnih storitev in ponudniki brskalnikov, spodbujati, naj sprejmejo strategijo za diverzifikacijo razreševanja DNS. Poleg tega bi bilo treba države članice spodbujati, naj razvijejo in uporabljajo javno in varno evropsko storitev razreševanja DNS.

    Predlog spremembe  57

     

    Predlog direktive

    Uvodna izjava 55

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (55) Direktiva določa dvostopenjski pristop k poročanju o incidentih za vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga blažiti morebitno širjenje incidentov in omogoča subjektom, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih podjetij in celotnega sektorja proti kibernetskim grožnjam. Kadar se subjekti seznanijo z incidentom, bi se moralo od njih zahtevati, da v 24 urah predložijo začetno priglasitev, ki ji najpozneje čez en mesec sledi končno poročilo. Začetna priglasitev bi morala vključevati le informacije, ki so nujno potrebne za seznanitev pristojnih organov z incidentom in ki subjektu omogočajo, da po potrebi zaprosi za pomoč. V taki priglasitvi bi moralo biti, kjer je ustrezno, navedeno, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve viri poročajočega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Da bi države članice nadalje preprečile, da bi se zaradi obveznosti poročanja o incidentih bodisi viri preusmerili z upravljanja odzivov na incidente bodisi kako drugače ogrozila prizadevanja subjektov v zvezi s tem, bi morale tudi zagotoviti, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s pristojnimi organi ali skupino CSIRT odstopa od rokov, tj. 24 ur za začetno priglasitev in enega meseca za končno poročilo.

    (55) Direktiva določa dvostopenjski pristop k poročanju o incidentih za vzpostavitev ustreznega ravnovesja med, na eni strani, hitrim poročanjem, ki pomaga blažiti morebitno širjenje incidentov in omogoča subjektom, da zaprosijo za podporo, ter, na drugi strani, podrobnim poročanjem, pri katerem se pridobivajo dragocene izkušnje iz posameznih incidentov ter sčasoma poveča odpornost posameznih podjetij in celotnega sektorja proti kibernetskim grožnjam. Kadar se subjekti seznanijo z incidentom, bi se moralo od njih zahtevati, da predložijo začetno priglasitev, ki ji najpozneje čez en mesec sledi celovito poročilo. Začetni časovni okvir za priglasitev incidenta ne sme subjektom preprečevati, da o incidentih poročajo prej, kar jim omogoča, da skupine CSIRT hitro zaprosijo za pomoč, kar jim omogoča omejitev morebitnega širjenje poročanega incidenta. Skupine CSIRT lahko zahtevajo vmesno poročilo o ustreznih posodobitvah stanja, pri čemer upoštevajo odziv na incidente in poskuse sanacije poročajočega subjekta.

    Predlog spremembe  58

     

    Predlog direktive

    Uvodna izjava 55 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (55a) Pomemben incident lahko vpliva na zaupnost, celovitost ali razpoložljivost storitve. Bistveni in pomembni subjekti bi morali skupine CSIRT obvestiti o pomembnih incidentih, ki vplivajo na razpoložljivost njihove storitve v 24 urah po seznanitvi z incidentom. Skupine CSIRT bi morali o pomembnih incidentih, ki kršijo zaupnost in celovitost njihovih storitev, obvestiti v 72 urah po seznanitvi z incidentom. Razlikovanje med vrstami incidentov ne temelji na resnosti incidenta, temveč na tem, kako težavno je za subjekt, ki poroča, oceniti incident, njegov pomen in sporočati informacije, ki se lahko uporabijo za skupino CSIRT. Začetna priglasitev bi morala vključevati informacije, ki so potrebne za seznanitev skupine CSIRT z incidentom in ki subjektu omogočajo, da po potrebi zaprosi za pomoč. Države članice bi morale zagotoviti, da se z zahtevo po predložitvi začetne priglasitve viri poročajočega subjekta ne preusmerijo z dejavnosti, povezanih z obvladovanjem incidentov, ki bi moralo biti prednostna naloga. Da bi države članice nadalje preprečile, da bi se zaradi obveznosti poročanja o incidentih bodisi viri preusmerili z upravljanja odzivov na incidente bodisi kako drugače ogrozila prizadevanja subjektov v zvezi s tem, bi morale tudi zagotoviti, da lahko zadevni subjekt v ustrezno utemeljenih primerih in v dogovoru s skupino CSIRT odstopa od rokov za začetno priglasitev in za celovito poročilo.

    Predlog spremembe  59

     

    Predlog direktive

    Uvodna izjava 59

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (59) Vzdrževanje točnih in popolnih podatkovnih zbirk domenskih imen in podatkov o registraciji (tako imenovani podatki „WHOIS“) ter omogočanje zakonitega dostopa do takih podatkov sta bistveni za zagotavljanje varnosti, stabilnosti in odpornosti sistema domenskih imen, kar posledično prispeva k višji skupni ravni kibernetske varnosti v Uniji. Če obdelava vključuje osebne podatke, mora biti taka obdelava skladna s pravom Unije o varstvu podatkov.

    (59) Vzdrževanje točnih, preverjenih in popolnih podatkovnih zbirk domenskih imen in podatkov o registraciji (tako imenovani podatki „WHOIS“) je bistveno za zagotavljanje varnosti, stabilnosti in odpornosti sistema domenskih imen, kar posledično prispeva k višji skupni ravni kibernetske varnosti v Uniji in k boju proti nezakonitim spletnim dejavnostim. Zato bi bilo treba od registrov vrhnjih domen in subjektov, ki opravljajo storitve registracije domenskih imen, zahtevati, da zbirajo podatke o registraciji domenskih imen, ki bi morali vključevati vsaj ime registratorja, njegov fizični in elektronski naslov ter telefonsko številko. V praksi zbrani podatki morda niso vedno popolnoma točni, vendar bi morali registri vrhnjih domen in subjekti, ki zagotavljajo storitve registracije domenskih imen, sprejeti in izvajati sorazmerne postopke za preverjanje, ali so fizične ali pravne osebe, ki zahtevajo ali imajo v lasti domensko ime, zagotovile kontaktne podatke, kjer jih je mogoče doseči in na katere naj bi odgovorile. Z uporabo pristopa „po najboljših prizadevanjih“ bi morali ti postopki preverjanja odražati sedanje dobre prakse, ki se uporabljajo v industriji. Te dobre prakse v postopku preverjanja bi morale odražati napredek, dosežen v postopku elektronske identifikacije. Registri vrhnjih domen in subjekti, ki zagotavljajo storitve registracije domenskih imen, bi morali javno objaviti svoje politike in postopke, da se zagotovita celovitost in razpoložljivost podatkov iz registrov domenskih imen. Če obdelava vključuje osebne podatke, mora biti taka obdelava skladna s pravom Unije o varstvu podatkov.

    Predlog spremembe  60

     

    Predlog direktive

    Uvodna izjava 60

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (60) Razpoložljivost in pravočasna dostopnost teh podatkov za javne organe, vključno s pristojnimi organi po pravu Unije ali nacionalnem pravu za preprečevanje, preiskovanje ali pregon kaznivih dejanj, skupine CERT in CSIRT ter, kar zadeva podatke njihovih strank, ponudnike elektronskih komunikacijskih omrežij in storitev ter ponudnike tehnologij in storitev kibernetske varnosti, ki delujejo v imenu zadevnih strank, sta bistveni za preprečevanje zlorab sistema domenskih imena in boj proti njim, zlasti za preprečevanje in odkrivanje kibernetskih incidentov ter odzivanje nanje. Pri takem dostopu bi bilo treba spoštovati pravo Unije o varstvu podatkov, če je povezan z osebnimi podatki.

    (60) Razpoložljivost in pravočasna dostopnost podatkov o registraciji domenskih imen osebam, ki imajo upravičen razlog za dostop, sta bistvena za kibernetsko varnost in boj proti nezakonitim dejavnostim v spletnem ekosistemu. Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, bi morali biti zato v skladu s pravom Unije o varstvu podatkov dolžni zagotoviti zakonit dostop do podatkov o registraciji posameznih domenskih imen, vključno z osebnimi podatki, tudi osebam, ki imajo upravičen razlog za dostop. Osebe, ki imajo upravičen razlog za dostop, bi morale vložiti ustrezno utemeljeno zahtevo za dostop do podatkov o registraciji domenskih imen na podlagi prava Unije ali nacionalnega prava in bi lahko vključevale pristojne organe v skladu s pravom Unije ali nacionalnim pravom za preprečevanje, preiskovanje ali pregon kaznivih dejanj ter nacionalne skupine CERT ali skupine CSIRT. Države članice bi morale zagotoviti, da se registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, nemudoma in v vsakem primeru v 72 urah odzovejo na zahteve oseb, ki imajo upravičen razlog za dostop, glede razkritja podatkov o registraciji domenskih imen. Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, bi morali vzpostaviti politike in postopke za objavo in razkritje podatkov o registraciji, vključno s sporazumi o ravni storitve, za obravnavanje zahtev oseb za dostop, ki imajo upravičen razlog za dostop. Postopek dostopa lahko vključuje tudi uporabo vmesnika, portala ali drugih tehničnih orodij za zagotovitev učinkovitega sistema za predložitev zahtev in dostopanje do podatkov o registraciji. Komisija lahko za spodbujanje usklajenih praks na notranjem trgu sprejme smernice o takih postopkih brez poseganja v pristojnosti Evropskega odbora za varstvo podatkov.

    Predlog spremembe  61

    Predlog direktive

    Uvodna izjava 61

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (61) Da bi zagotovili razpoložljivost točnih in popolnih podatkov o registraciji domenskih imen, bi morali registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene (tako imenovani registratorji), zbirati podatke o registraciji domenskih imen ter zagotavljati njihovo celovitost in razpoložljivost. Zlasti bi morali registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, vzpostaviti politike in postopke za zbiranje ter vzdrževanje točnih in popolnih podatkov o registraciji ter za preprečevanje in popravljanje netočnih podatkov o registraciji v skladu s pravili Unije o varstvu podatkov.

    črtano

    Predlog spremembe  62

     

    Predlog direktive

    Uvodna izjava 62

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (62) Registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, bi morali objaviti podatke o registraciji domenskih imen, ki ne spadajo na področje uporabe pravil Unije o varstvu podatkov, kot so podatki, ki se nanašajo na pravne osebe25. Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen za vrhnje domene, bi morali v skladu s pravom Unije o varstvu podatkov zakonit dostop do podatkov o registraciji posameznih domenskih imen v zvezi s fizičnimi osebami omogočiti tudi osebam, ki imajo upravičen razlog za dostop. Države članice bi morale zagotoviti, da se registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, brez nepotrebnega odlašanja odzovejo na zahteve oseb, ki imajo upravičen razlog za dostop, glede razkritja podatkov o registraciji domenskih imen. Registri vrhnjih domen in subjekti, ki zanje opravljajo storitve registracije domenskih imen, bi morali vzpostaviti politike in postopke za objavo in razkritje podatkov o registraciji, vključno s sporazumi o ravni storitve, za obravnavanje zahtev oseb za dostop, ki imajo upravičen razlog za dostop. Postopek dostopa lahko vključuje tudi uporabo vmesnika, portala ali drugih tehničnih orodij za zagotovitev učinkovitega sistema za predložitev zahtev in dostopanje do podatkov o registraciji. Komisija lahko za spodbujanje usklajenih praks na notranjem trgu sprejme smernice o takih postopkih brez poseganja v pristojnosti Evropskega odbora za varstvo podatkov.

    (62) Registri vrhnjih domen in subjekti, ki opravljajo storitve registracije domenskih imen, bi morali biti dolžni objaviti podatke o registraciji domenskih imen, ki ne vsebujejo osebnih podatkov. Razlikovati je treba med fizičnimi in pravnimi osebami25. Registri in subjekti vrhnjih domen bi morali za pravne osebe javno objaviti vsaj ime registratorja, njegov fizični in elektronski naslov ter telefonsko številko. Od pravne osebe bi bilo treba zahtevati, da navede splošni elektronski naslov, ki se lahko objavi, ali da privoli v objavo osebnega elektronskega naslova. Pravna oseba bi morala biti sposobna izkazati to privolitev na zahtevo registrov vrhnjih domen in subjektov, ki opravljajo storitve registracije domenskih imen.

    __________________

    __________________

    25 Uvodna izjava 14 UREDBE (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA, v skladu s katero „[t]a uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe“.

    25 Uvodna izjava 14 UREDBE (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA, v skladu s katero „[t]a uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe“.

    Predlog spremembe  63

     

    Predlog direktive

    Uvodna izjava 63

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (63) Vsi bistveni in pomembni subjekti na podlagi te direktive bi morali spadati v sodno pristojnost države članice, kjer opravljajo svoje storitve. Če subjekt opravlja storitve v več kot eni državi članici, bi moral spadati v ločeno in sočasno sodno pristojnost vsake od teh držav članic. Pristojni organi teh držav članic bi morali sodelovati, si medsebojno pomagati in, kjer je ustrezno, izvajati skupne nadzorne ukrepe.

    (63) Vsi bistveni in pomembni subjekti na podlagi te direktive bi morali spadati v sodno pristojnost države članice, kjer opravljajo svoje storitve ali izvajajo svoje dejavnosti. Če subjekt opravlja storitve v več kot eni državi članici, bi moral spadati v ločeno in sočasno sodno pristojnost vsake od teh držav članic. Pristojni organi teh držav članic bi morali sodelovati, si medsebojno pomagati in, kjer je ustrezno, izvajati skupne nadzorne ukrepe.

    Predlog spremembe  64

     

    Predlog direktive

    Uvodna izjava 64

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (64) Da bi se upoštevala čezmejna narava storitev in postopkov ponudnikov storitev sistema domenskih imen, registrov vrhnjih domenskih imen, ponudnikov omrežij za dostavo vsebine, ponudnikov storitev računalništva v oblaku, ponudnikov storitev podatkovnih centrov in ponudnikov digitalnih storitev, bi morala biti za te subjekte pristojna samo ena država članica. Sodno pristojnost bi bilo treba dodeliti državi članici, v kateri ima zadevni subjekt glavni sedež v Uniji. Merilo sedeža za namene te direktive pomeni dejansko izvajanje dejavnosti na podlagi stabilnih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik. Izpolnjevanje tega merila ne bi smelo biti odvisno od tega, ali so omrežja in informacijski sistemi fizično locirani na tistem mestu; prisotnost in uporaba teh sistemov sami po sebi ne pomenita tega glavnega sedeža in zato nista odločilni merili za ugotavljanje glavnega sedeža. Glavni sedež bi moral biti kraj, kjer se v Uniji sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. To običajno ustreza kraju osrednje uprave podjetij v Uniji. Če se take odločitve ne sprejemajo v Uniji, bi bilo treba šteti, da je glavni sedež v državah članicah, kjer ima subjekt sedež z največjim številom zaposlenih v Uniji. Kadar storitve opravljajo povezane družbe, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezanih družb.

    (64) Da bi se upoštevala čezmejna narava storitev in postopkov ponudnikov storitev sistema domenskih imen, registrov vrhnjih domenskih imen, ponudnikov omrežij za dostavo vsebine, ponudnikov storitev računalništva v oblaku, ponudnikov storitev podatkovnih centrov in ponudnikov digitalnih storitev, bi morala biti za te subjekte pristojna samo ena država članica. Sodno pristojnost bi bilo treba dodeliti državi članici, v kateri ima zadevni subjekt glavni sedež v Uniji. Merilo sedeža za namene te direktive pomeni dejansko izvajanje dejavnosti na podlagi stabilnih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik. Izpolnjevanje tega merila ne bi smelo biti odvisno od tega, ali so omrežja in informacijski sistemi fizično locirani na tistem mestu; prisotnost in uporaba teh sistemov sami po sebi ne pomenita tega glavnega sedeža in zato nista odločilni merili za ugotavljanje glavnega sedeža. Glavni sedež bi moral biti kraj, kjer se v Uniji sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganj za kibernetsko varnost. To običajno ustreza kraju osrednje uprave podjetij v Uniji. Če se take odločitve ne sprejemajo v Uniji, bi bilo treba šteti, da je glavni sedež v državah članicah, kjer ima subjekt sedež z največjim številom zaposlenih v Uniji ali sedež, kjer se izvajajo operacije v zvezi s kibernetsko varnostjo. Kadar storitve opravljajo povezane družbe, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezanih družb.

    Predlog spremembe  65

     

    Predlog direktive

    Uvodna izjava 65a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (65a) Agencija ENISA bi morala vzpostaviti in vzdrževati register, ki vsebuje informacije o bistvenih in pomembnih subjektih, ki bi vključevali ponudnike storitev DNS, registre vrhnjih domenskih imen in ponudnike storitev računalništva v oblaku, storitve podatkovnih centrov, omrežja za dostavo vsebine, spletne tržnice, spletne iskalnike in platforme družbenih medijev. Ti bistveni in pomembni subjekti bi morali agenciji ENISA posredovati svoje ime, naslov in posodobljene kontaktne podatke. Agencijo ENISA bi morali nemudoma, v vsakem primeru pa v dveh tednih od datuma začetka veljavnosti spremembe, obvestiti o vseh spremembah podatkov. Agencija ENISA bi morala informacije posredovati ustrezni enotni kontaktni točki. Bistvenim in pomembnim subjektom, ki predložijo svoje informacije agenciji ENISA, torej ni treba ločeno obveščati pristojnega organa v državi članici. Agencija ENISA bi morala razviti preprosto, javno dostopno aplikacijo, ki bi jo ti subjekti lahko uporabljali za posodabljanje svojih informacij. Poleg tega bi morala agencija ENISA vzpostaviti ustrezne protokole za razvrščanje in upravljanje informacij, s čimer bi zagotovila varnost in zaupnost razkritih informacij ter omejila dostop, shranjevanje in prenos tovrstnih informacij predvidenim uporabnikom.

    Predlog spremembe  66

     

    Predlog direktive

    Uvodna izjava 66

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (66) Če se podatki, ki se v skladu z nacionalnim pravom ali pravom Unije štejejo za tajne, izmenjujejo, sporočajo ali drugače souporabljajo v skladu z določbami te direktive, bi se morala uporabljati ustrezna posebna pravila o ravnanju s tajnimi podatki.

    (66) Če se podatki, ki se v skladu z nacionalnim pravom ali pravom Unije štejejo za tajne, izmenjujejo, sporočajo ali drugače souporabljajo v skladu z določbami te direktive, bi se morala uporabljati ustrezna posebna pravila o ravnanju s tajnimi podatki. Poleg tega bi agencija ENISA morala imeti vzpostavljeno infrastrukturo, postopke in pravila za obravnavo občutljivih in zaupnih informacij v skladu z veljavnimi varnostnimi predpisi za varovanje tajnih podatkov EU.

    Predlog spremembe  67

     

    Predlog direktive

    Uvodna izjava 68

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (68) Subjekte bi bilo zato treba spodbuditi, naj skupaj izkoristijo svoje individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmogljivosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, zaščito pred njimi in odzivanje nanje. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij. V ta namen bi morale države članice dejavno podpirati in spodbujati tudi ustrezne subjekte, ki niso zajeti v področje uporabe te direktive, naj sodelujejo v takih mehanizmih za izmenjavo informacij. Taki mehanizmi bi se morali izvajati ob polnem spoštovanju pravil Unije o konkurenci in pravil prava Unije o varstvu podatkov.

    (68) Države članice bi morale spodbuditi in podpreti subjekte, naj skupaj izkoristijo svoje individualno znanje in praktične izkušnje na strateški, taktični in operativni ravni, da bi tako okrepili svoje zmogljivosti za ustrezno ocenjevanje in spremljanje kibernetskih groženj, zaščito pred njimi in odzivanje nanje. Zato je treba omogočiti, da se na ravni Unije vzpostavijo mehanizmi za prostovoljne dogovore o izmenjavi informacij. V ta namen bi morale države članice dejavno podpirati in spodbujati tudi ustrezne subjekte, ki niso zajeti v področje uporabe te direktive, kot so subjekti, ki se osredotočajo na storitve in raziskave s področja kibernetske varnosti, naj sodelujejo v takih mehanizmih za izmenjavo informacij. Taki mehanizmi bi se morali izvajati ob polnem spoštovanju pravil Unije o konkurenci in pravil prava Unije o varstvu podatkov.

    Predlog spremembe  68

     

    Predlog direktive

    Uvodna izjava 69

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (69) Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, ki jo izvajajo subjekti, javni organi, skupine CERT in CSIRT ter ponudniki varnostnih tehnologij in storitev, bi morala pomeniti zakoniti interes zadevnega upravljavca podatkov, kot je navedeno v Uredbi (EU) 2016/679. To bi moralo vključevati ukrepe, povezane s preprečevanjem, odkrivanjem in analizo incidentov ter odzivanjem nanje, ukrepe za ozaveščanje v zvezi s posebnimi kibernetskimi grožnjami, izmenjavo informacij v okviru odpravljanja in usklajenega razkrivanja šibkih točk ter prostovoljno izmenjavo informacij o takih incidentih, pa tudi o kibernetskih grožnjah in šibkih točkah, kazalnikih ogroženosti, taktikah, tehnikah in postopkih, opozorilih glede kibernetske varnosti in orodjih za konfiguracijo. Taki ukrepi lahko zahtevajo obdelavo naslednjih vrst osebnih podatkov: naslovov IP, enotnih naslovov vira (URL), domenskih imen in elektronskih naslovov.

    (69) Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, ki jo izvajajo bistveni in pomembni subjekti, skupine CSIRT ter ponudniki varnostnih tehnologij in storitev, je nujna za izpolnitev njihovih pravnih obveznosti, določenih v tej direktivi. Taka obdelava osebnih podatkov bo morda potrebna tudi za namene zakonitih interesov, za katere si prizadevajo bistveni in pomembni subjekti. Kadar je v tej direktivi zahtevana obdelava osebnih podatkov za namene kibernetske varnosti ter varnosti omrežij in informacij v skladu z določbami iz členov 18, 20 in 23 direktive, se takšna obdelava šteje za potrebno za izpolnitev zakonske obveznosti iz člena 6(1)(c) Uredbe (EU) 2016/679. Za namene členov 26 in 27 te direktive se obdelava iz točke (f) člena 6(1) Uredbe 2016/679 šteje za potrebno za namene zakonitega interesa bistvenih in pomembnih subjektov. Ukrepi, povezani s preprečevanjem, odkrivanjem, prepoznavanjem, zajezitvijo in analizo incidentov ter odzivanjem nanje, ukrepe za ozaveščanje v zvezi s posebnimi kibernetskimi grožnjami, izmenjavo informacij v okviru odpravljanja in usklajenega razkrivanja šibkih točk ter prostovoljno izmenjavo informacij o takih incidentih, pa tudi o kibernetskih grožnjah in šibkih točkah, kazalnikih ogroženosti, taktikah, tehnikah in postopkih, opozorilih glede kibernetske varnosti in orodjih za konfiguracijo, zahtevajo obdelavo nekaterih kategorij osebnih podatkov, kot so naslovi IP, enotni naslovi vira (URL), domenska imena in elektronski naslovi, časovni žigi, informacije o operacijskem sistemu ali brskalniku, piškotki ali druge informacije o načinu delovanja.

    Predlog spremembe  69

     

    Predlog direktive

    Uvodna izjava 71

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (71) Da bi bilo izvrševanje učinkovito, bi bilo treba določiti minimalni seznam upravnih sankcij za kršitve obveznosti glede obvladovanja tveganj za kibernetsko varnost in poročanja iz te direktive ter vzpostaviti jasen in skladen okvir za take sankcije po vsej Uniji. Ustrezno bi bilo treba upoštevati naravo, težo in trajanje kršitve, dejansko povzročeno škodo ali nastale izgube ali morebitno škodo ali izgube, ki bi lahko nastale, ali je kršitev namerna ali posledica malomarnosti, ukrepe, sprejete za preprečevanje ali omilitev nastale škode in/ali izgub, stopnjo odgovornosti ali vse zadevne predhodne kršitve, stopnjo sodelovanja s pristojnim organom in morebitne druge oteževalne ali olajševalne dejavnike. Za naložitev sankcij, vključno z upravnimi globami, bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom in ustreznimi postopki.

    (71) Da bi bilo izvrševanje učinkovito, bi bilo treba določiti minimalni seznam upravnih sankcij za kršitve obveznosti glede obvladovanja tveganj za kibernetsko varnost in poročanja iz te direktive ter vzpostaviti jasen in skladen okvir za take sankcije po vsej Uniji. Ustrezno bi bilo treba upoštevati naravo, težo in trajanje kršitve, povzročeno škodo ali nastale izgube, ali je kršitev namerna ali posledica malomarnosti, ukrepe, sprejete za preprečevanje ali omilitev nastale škode in/ali izgub, stopnjo odgovornosti ali vse zadevne predhodne kršitve, stopnjo sodelovanja s pristojnim organom in morebitne druge oteževalne ali olajševalne dejavnike. Sankcije, vključno z upravnimi globami, bi morale biti sorazmerne in za njihovo naložitev bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina), vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.

    Predlog spremembe  70

     

    Predlog direktive

    Uvodna izjava 72

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (72) Za zagotovitev učinkovitega izvrševanja obveznosti, določenih v tej direktivi, bi morali biti vsi pristojni organi pooblaščeni, da naložijo ali zahtevajo naložitev upravnih glob.

    (72) Za zagotovitev učinkovitega izvrševanja obveznosti, določenih v tej direktivi, bi morali biti vsi pristojni organi pooblaščeni, da naložijo ali zahtevajo naložitev upravnih glob, če je bila kršitev namerna ali posledica malomarnosti oziroma če je bil zadevni subjekt predhodno obveščen o tem, da krši obveznosti.

    Predlog spremembe  71

     

    Predlog direktive

    Uvodna izjava 76

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (76) Za nadaljnjo krepitev učinkovitosti in odvračilnosti sankcij, ki se uporabljajo za kršitve obveznosti, določenih v skladu s to direktivo, bi morali biti pristojni organi pooblaščeni za uporabo sankcij, ki vključujejo začasni preklic certifikata ali dovoljenja za del storitev ali vse storitve, ki jih opravlja bistveni subjekt, in začasno prepoved opravljanja vodstvenih funkcij za fizično osebo. Glede na njihovo resnost in vpliv na dejavnosti subjektov ter končno na potrošnike bi se morale take sankcije uporabljati le sorazmerno z resnostjo kršitve in ob upoštevanju posebnih okoliščin posameznega primera, vključno s tem, ali je kršitev namerna ali posledica malomarnosti, ter ukrepi, sprejetimi za preprečevanje ali ublažitev škode in/ali izgub. Take sankcije bi se morale uporabljati le kot ultima ratio, kar pomeni šele potem, ko so bili uporabljeni vsi drugi ustrezni izvršilni ukrepi, določeni v tej direktivi, in le dokler subjekti, za katere se uporabijo, ne sprejmejo potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, zaradi katerih so bile takšne sankcije naložene. Za uvedbo takšnih sankcij bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.

    (76) Za nadaljnjo krepitev učinkovitosti in odvračilnosti sankcij, ki se uporabljajo za kršitve obveznosti, določenih v skladu s to direktivo, bi morali biti pristojni organi pooblaščeni za začasen preklic certifikata ali dovoljenja za del storitev ali vse pomembne storitve, ki jih opravlja bistveni subjekt, in zahtevo za uvedbo začasne prepovedi opravljanja vodstvenih funkcij za fizično osebo na ravni glavnega izvršnega direktorja ali pravnega zastopnika. Države članice bi morale razviti posebne postopke in pravila v zvezi z začasno prepovedjo opravljanja vodstvenih funkcij za fizične osebe na ravni glavnega izvršnega direktorja ali pravnega zastopnika v subjektih javne uprave. Države članice bi morale pri pripravi takšnih postopkov in pravil upoštevati posebnosti ravni in sistemov upravljanja v svojih javnih upravah. Glede na njihovo resnost in vpliv na dejavnosti subjektov ter končno na potrošnike bi se morale takšne začasne izgube pravic ali prepovedi uporabljati le sorazmerno z resnostjo kršitve in ob upoštevanju posebnih okoliščin posameznega primera, vključno s tem, ali je kršitev namerna ali posledica malomarnosti, ter ukrepi, sprejetimi za preprečevanje ali ublažitev škode in/ali izgub. Take začasne izgube pravic ali prepovedi bi se morale uporabljati le kot ultima ratio, kar pomeni šele potem, ko so bili uporabljeni vsi drugi ustrezni izvršilni ukrepi, določeni v tej direktivi, in le dokler subjekti, za katere se uporabijo, ne sprejmejo potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, zaradi katerih so bile takšne začasne izgube pravic ali prepovedi naložene. Za uvedbo takšnih začasnih izgub pravic ali prepovedi bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom, ustreznimi postopki, domnevo nedolžnosti in pravico do obrambe.

    Predlog spremembe  72

     

    Predlog direktive

    Uvodna izjava 79

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (79) Uvesti bi bilo treba mehanizem medsebojnih strokovnih pregledov, ki bi strokovnjakom, ki jih imenujejo države članice, omogočal oceno izvajanja politik na področju kibernetske varnosti, vključno z ravnjo zmogljivosti in razpoložljivih virov držav članic.

    (79) Uvesti bi bilo treba mehanizem medsebojnih strokovnih pregledov, ki bi neodvisnim strokovnjakom, ki jih imenujejo države članice, omogočal oceno izvajanja politik na področju kibernetske varnosti, vključno z ravnjo zmogljivosti in razpoložljivih virov držav članic. Medsebojni strokovni pregledi lahko omogočijo pomembna spoznanja in priporočila, ki krepijo splošne zmogljivosti kibernetske varnosti. Zlasti lahko prispevajo k lažjemu prenosu tehnologij, orodij, ukrepov in postopkov med državami članicami, ki sodelujejo pri medsebojnem strokovnem pregledu, ustvarijo funkcionalno pot za izmenjavo dobrih praks med državami članicami z različnimi stopnjami zrelosti na področju kibernetske varnosti ter omogočajo vzpostavitev visoke, skupne ravni kibernetske varnosti po vsej Uniji. Pred medsebojnim strokovnim pregledom bi morala država članica, ki se pregleduje, opraviti samoocenjevanje, ki bi zajemalo pregledane vidike in vsa dodatna konkretna vprašanja, ki bi jih imenovani strokovnjaki sporočili zadevni državi članici pred začetkom postopka. Komisija bi morala v sodelovanju z agencijo ENISA in skupino za sodelovanje pripraviti predloge za samoocenjevanje pregledanih vidikov, da bi poenostavila postopek in preprečila postopkovne nedoslednosti in zamude, ki bi jih morale zadevne države članice v okviru medsebojnega strokovnega pregleda izpolniti in poslati imenovanim strokovnjakom, ki izvajajo medsebojni strokovni pregled, pred začetkom pregleda.

    Predlog spremembe  73

     

    Predlog direktive

    Uvodna izjava 80

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (80) Zaradi upoštevanja novih kibernetskih groženj, tehnološkega razvoja ali sektorskih posebnosti bi bilo treba na Komisijo v skladu s členom 290 PDEU prenesti pooblastilo za sprejemanje aktov v zvezi z elementi, ki se nanašajo na ukrepe za obvladovanje tveganj, ki jih zahteva ta direktiva. Na Komisijo bi bilo treba prenesti tudi pooblastilo za sprejetje delegiranih aktov, s katerimi se določi, katere kategorije bistvenih subjektov morajo pridobiti certifikat in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, tudi na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli iz Medinstitucionalnega sporazuma z dne 13. aprila 2016 o boljši pripravi zakonodaje26. Da bi se zlasti zagotovilo enakopravno sodelovanje pri pripravi delegiranih aktov, Evropski parlament in Svet vse dokumente prejmeta sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se lahko sistematično udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.

    (80) Zaradi upoštevanja novih kibernetskih groženj, tehnološkega razvoja ali sektorskih posebnosti bi bilo treba na Komisijo v skladu s členom 290 PDEU prenesti pooblastilo za sprejemanje aktov v zvezi z elementi, ki se nanašajo na ukrepe za obvladovanje tveganj za kibernetsko varnost in obveznosti glede poročanja, ki jih zahteva ta direktiva. Na Komisijo bi bilo treba prenesti tudi pooblastilo za sprejetje delegiranih aktov, s katerimi se določi, katere kategorije bistvenih in pomembnih subjektov morajo pridobiti certifikat in na podlagi katerih določenih evropskih certifikacijskih shem za kibernetsko varnost. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, tudi na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli iz Medinstitucionalnega sporazuma z dne 13. aprila 2016 o boljši pripravi zakonodaje. Da bi se zlasti zagotovilo enakopravno sodelovanje pri pripravi delegiranih aktov, Evropski parlament in Svet vse dokumente prejmeta sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se lahko sistematično udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.

    __________________

     

    26 UL L 123, 12.5.2016, str. 1.

     

    Predlog spremembe  74

     

    Predlog direktive

    Uvodna izjava 81

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (81) Da bi se zagotovili enotni pogoji za izvajanje ustreznih določb te direktive v zvezi s postopkovnimi ureditvami, potrebnimi za delovanje skupine za sodelovanje, tehničnimi elementi, povezanimi z ukrepi za obvladovanje tveganj, ali vrsto informacij, obliko in postopkom priglasitev incidentov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta27.

    (81) Da bi se zagotovili enotni pogoji za izvajanje ustreznih določb te direktive v zvezi s postopkovnimi ureditvami, potrebnimi za delovanje skupine za sodelovanje in postopkom priglasitev incidentov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta27.

    __________________

    __________________

    27 Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

    27 Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

    Predlog spremembe  75

     

    Predlog direktive

    Uvodna izjava 82

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (82) Komisija bi morala redno v posvetovanju z zainteresiranimi stranmi pregledovati to direktivo, zlasti da bi ugotovila, ali jo je treba prilagoditi spremenjenim družbenim, političnim, tehnološkim ali tržnim razmeram.

    (82) Komisija bi morala redno v posvetovanju z zainteresiranimi stranmi pregledovati to direktivo, zlasti da bi ugotovila, ali je treba predlagati spremembe ob upoštevanju družbenih, političnih, tehnoloških ali tržnih razmer. V okviru teh pregledov bi morala Komisija oceniti pomen sektorjev, podsektorjev in vrste subjektov iz prilog za delovanje gospodarstva in družbe v zvezi s kibernetsko varnostjo. Komisija bi morala med drugim oceniti, ali bi bilo treba digitalne ponudnike, ki so razvrščeni kot zelo velike spletne platforme v smislu člena 25 Uredbe (EU) XXXX/XXXX [enotni trg za digitalne storitve (akt o digitalnih storitvah) ali kot vratarji, kot so opredeljeni v členu 2(1) Uredbe (EU) XXXX/XXXX [tekmovalni in pravični trgi v digitalnem sektorju (zakon o digitalnih trgih)], imenovati za bistvene subjekte v skladu s to direktivo. Poleg tega bi morala Komisija oceniti, ali je primerno spremeniti Prilogo I k Direktivi 2020/1828 Evropskega parlamenta in Sveta1a z vključitvijo sklica na to direktivo.

     

    __________________

     

    1a Direktiva 2020/1828 Evropskega parlamenta in Sveta z dne 25. novembra 2020 o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov in razveljavitvi Direktive 2009/22/ES (UL L 409, 4.12.2020, str. 1).

    Predlog spremembe  76 

    Predlog direktive

    Uvodna izjava 82 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (82a) V tej direktivi so določene zahteve glede kibernetske varnosti za države članice ter bistvene in pomembne subjekte, ustanovljene v Uniji. Te zahteve glede kibernetske varnosti bi morale izpolnjevati tudi institucije, organi, uradi in agencije Unije na podlagi zakonodajnega akta Unije.

    Predlog spremembe  77

     

    Predlog direktive

    Uvodna izjava 82 b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (82b) Ta direktiva agenciji ENISA nalaga nove naloge, s čimer bi se okrepila njena vloga, lahko pa bi tudi povzročila, da bi morala agencija ENISA svoje obstoječe naloge v skladu z Uredbo (EU) 2019/881 izvajati na višji ravni kot prej. Da bi agenciji ENISA zagotovili potrebne finančne in človeške vire za izvajanje obstoječih in novih dejavnosti v okviru svojih nalog ter za izpolnjevanje vseh višjih standardov, ki izhajajo iz njene okrepljene vloge, bi bilo treba njen proračun ustrezno povečati. Poleg tega bi bilo treba za zagotavljanje učinkovite rabe virov agenciji ENISA omogočiti večjo prožnost pri omogočanju notranjega razporejanja sredstev, da bi lahko učinkovito opravljala svoje naloge in izpolnila pričakovanja.

    Predlog spremembe  78

     

    Predlog direktive

    Uvodna izjava 84

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (84) Ta direktiva upošteva temeljne pravice in načela Listine Evropske unije o temeljnih pravicah, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo gospodarske pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico do izjave. To direktivo bi bilo treba izvajati v skladu s temi pravicami in načeli

    (84) Ta direktiva upošteva temeljne pravice in načela Listine, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo gospodarske pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico do izjave. To vključuje pravico do učinkovitega pravnega sredstva pred sodiščem za prejemnike storitev, ki jih zagotavljajo bistveni in pomembni subjekti. To direktivo bi bilo treba izvajati v skladu s temi pravicami in načeli.

    Predlog spremembe  79

     

    Predlog direktive

    Člen 1 – odstavek 2 – točka c a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (ca) določa obveznosti nadzora in izvrševanja za države članice.

    Predlog spremembe  80

     

    Predlog direktive

    Člen 2 – odstavek 1

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    1. Ta direktiva se uporablja za javne in zasebne subjekte, ki se v skladu s Prilogo I štejejo za bistvene subjekte, ter za javne in zasebne subjekte, ki se v skladu s Prilogo II štejejo za pomembne subjekte. Ta direktiva se ne uporablja za subjekte, ki se štejejo za mikro in mala podjetja v smislu Priporočila Komisije 2003/361/ES28.

    1. Ta direktiva se uporablja za javne in zasebne bistvene in pomembne subjekte, ki se v skladu s Prilogo I štejejo za bistvene subjekte ter v skladu s Prilogo II štejejo za pomembne subjekte, če zagotavljajo svoje storitve ali izvajajo svoje dejavnosti v Uniji. Ta direktiva se ne uporablja za mala podjetja ali mikro podjetja v smislu člena 2(2) in (3) Priloge k Priporočilu Komisije 2003/361/ES28. Člen 3(4) Priloge k navedenemu priporočilu se ne uporablja.

    __________________

    __________________

    28 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).

    28 Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednjih podjetij (UL L 124, 20.5.2003, str. 36).

    Predlog spremembe  81

     

    Predlog direktive

    Člen 2 – odstavek 2 – pododstavek 1 – uvodni del

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    Vendar pa se ta direktiva uporablja tudi za subjekte iz prilog I in II ne glede na njihovo velikost, če:

    Direktiva uporablja tudi za bistvene in pomembne subjekte, ne glede na njihovo velikost, če:

    Predlog spremembe  82

     

    Predlog direktive

    Člen 2 – odstavek 2 – pododstavek 1 – točka d

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (d) bi morebitna motnja pri opravljanju storitve subjekta lahko vplivala na javni red, javno varnost ali javno zdravje;

    (d) bi motnja pri opravljanju storitve subjekta lahko vplivala na javni red, javno varnost ali javno zdravje;

    Predlog spremembe  83

     

    Predlog direktive

    Člen 2 – odstavek 2 – pododstavek 1 – točka e

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (e) bi morebitna motnja pri opravljanju storitve subjekta lahko povzročila sistemska tveganja, zlasti za sektorje, v katerih bi lahko taka motnja imela čezmejni vpliv;

    (e) bi motnja pri opravljanju storitve subjekta lahko povzročila sistemska tveganja, zlasti za sektorje, v katerih bi lahko motnja imela čezmejni vpliv;

    Predlog spremembe  84

     

    Predlog direktive

    Člen 2 – odstavek 2 – pododstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    Države članice pripravijo seznam subjektov, opredeljenih v skladu s točkami (b) do (f), in ga predložijo Komisiji do [6 mesecev po roku za prenos]. Države članice redno oziroma vsaj vsaki dve leti pregledajo seznam ter ga po potrebi posodobijo.

    črtano

    Predlog spremembe  85

     

    Predlog direktive

    Člen 2 – odstavek 2 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    2a. Države članice do ... [6 mesecev po roku za prenos] pripravijo seznam bistvenih in pomembnih subjektov, vključno s subjekti iz odstavka 1 in subjekti, določenimi v skladu z odstavkom 2, točkami (b) do (f) in členom 24(1). Seznam redno oziroma vsaj vsaki dve leti pregledajo in ga po potrebi posodobijo.

    Predlog spremembe  86

     

    Predlog direktive

    Člen 2 – odstavek 2 b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    2b. Države članice zagotovijo, da bistveni in pomembni subjekti pristojnim organom posredujejo vsaj naslednje informacije:

     

    (a) ime subjekta;

     

    (b) naslov in najnovejše kontaktne podatke, tudi elektronski naslov, razpone IP in telefonske številke, ter

     

    (c) ustrezne sektorje in podsektorje iz prilog I in II.

     

    Bistveni in pomembni subjekti brez nepotrebnega odlašanja sporočijo morebitne spremembe v podatkih, ki so jih predložili v skladu s prvim pododstavkom, v vsakem primeru pa v dveh tednih od datuma začetka veljavnosti spremembe. V ta namen Komisija ob pomoči agencije ENISA brez nepotrebnega odlašanja izda smernice in predloge za obveznost iz tega odstavka.

    Predlog spremembe  87

     

    Predlog direktive

    Člen 2 – odstavek 12 c (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    2c. Države članice do ... [6 mesecev po roku za prenos] in nato vsak dve leti uradno obvestijo:

     

    (a) Komisijo in skupino za sodelovanje o številu vseh bistvenih in pomembnih subjektov, opredeljenih za vsak sektor in podsektor iz prilog I in II, ter

     

    (b) Komisijo o imenih subjektov, opredeljenih v skladu z odstavkom 2, točkama (b) do (f).

    Predlog spremembe  88

     

    Predlog direktive

    Člen 2 – odstavek 4

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    4. Ta direktiva se uporablja brez poseganja v Direktivo Sveta 2008/114/ES30 ter direktivi 2011/93/EU31 in 2013/40/EU32 Evropskega parlamenta in Sveta.

    4. Ta direktiva se uporablja brez poseganja v Direktivo Sveta 2008/114/ES30 ter direktivi 2011/93/EU31, 2013/40/EU32 in 2002/58/ES32a Evropskega parlamenta in Sveta.

    __________________

    __________________

    30 Direktiva Sveta 2008/114/ES z dne 8. decembra 2008 o ugotavljanju in določanju evropske kritične infrastrukture ter o oceni potrebe po izboljšanju njene zaščite (UL L 345, 23.12.2008, str. 75).

    30 Direktiva Sveta 2008/114/ES z dne 8. decembra 2008 o ugotavljanju in določanju evropske kritične infrastrukture ter o oceni potrebe po izboljšanju njene zaščite (UL L 345, 23.12.2008, str. 75).

    31 Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1).

    31 Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1).

    32 Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8).

    32 Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8).

     

    32a Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

    Predlog spremembe  89

     

    Predlog direktive

    Člen 2 – odstavek 6

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    6. Kadar se z določbami sektorskih aktov prava Unije zahteva, da bistveni ali pomembni subjekti bodisi sprejmejo ukrepe za obvladovanje tveganj za kibernetsko varnost bodisi priglasijo incidente ali pomembne kibernetske grožnje, in kadar so takšne zahteve po učinku vsaj enakovredne obveznostim iz te direktive, se ustrezne določbe te direktive, vključno z določbo o nadzoru in izvrševanju iz poglavja VI, ne uporabljajo.

    6. Kadar se z določbami sektorskih aktov prava Unije zahteva, da bistveni ali pomembni subjekti bodisi sprejmejo ukrepe za obvladovanje tveganj za kibernetsko varnost bodisi priglasijo incidente, in kadar so takšne zahteve po učinku vsaj enakovredne obveznostim iz te direktive, se ustrezne določbe te direktive, vključno z določbo o nadzoru in izvrševanju iz poglavja VI, ne uporabljajo. Komisija brez nepotrebnega odlašanja izda smernice v zvezi z izvajanjem sektorskih aktov prava Unije in tako zagotovi, da izpolnjujejo zahteve glede kibernetske varnosti, določene s to direktivo, ter da ne pride do prekrivanja ali pravne negotovosti. Pri pripravi smernic upošteva dobro prakso ter strokovno znanje agencije ENISA in skupine za sodelovanje.

    Predlog spremembe  90

     

    Predlog direktive

    Člen 2 – odstavek 6 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    6a. Bistveni in pomembni subjekti, skupine CSIRT ter ponudniki varnostnih tehnologij in storitev obdelujejo osebne podatke v tolikšnem obsegu, kot je nujno potreben in sorazmeren za zagotavljanje kibernetske varnosti ter varnosti omrežja in informacij, da izpolnijo obveznosti iz te direktive. Obdelava osebnih podatkov za namene te direktive se izvaja v skladu z Uredbo (EU) 2016/679, zlasti njenim členom 6.

    Predlog spremembe  91

     

    Predlog direktive

    Člen 2 – odstavek 6 b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    6b. Kar zadeva obdelavo osebnih podatkov v skladu s to direktivo, jo ponudniki javnih elektronskih komunikacijskih omrežij ali ponudniki javno dostopnih elektronskih komunikacij iz Priloge I, točke 8 izvajajo v skladu z Direktivo 2002/58/ES.

    Predlog spremembe  92

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 4 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (4a) „skorajšnji dogodek“ pomeni neuresničeni dogodek, ki bi lahko ogrozil razpoložljivost, avtentičnost, celovitost ali zaupnost podatkov ali bi lahko povzročil škodo, a je bil uspešno preprečen oziroma je bil onemogočen njegov negativni vpliv;

    Predlog spremembe  93

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 6

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (6) „obvladovanje incidentov“ pomeni vsa dejanja in postopke, namenjene odkrivanju, analizi in zajezitvi incidentov ter odzivanju nanje;

    (6) „obvladovanje incidentov“ pomeni vsa dejanja in postopke, namenjene preprečevanju, odkrivanju, analizi in zajezitvi incidentov ter odzivanju nanje;

    Predlog spremembe  94

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 7 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (7a) „tveganje“ pomeni možnost izgube ali motnje zaradi incidenta ter je izraženo kot kombinacija razsežnosti izgube ali motnje in verjetnosti, da bi do incidenta prišlo;

    Predlog spremembe  95

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 11

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (11) „tehnična specifikacija“ pomeni tehnično specifikacijo v smislu člena 2(4) Uredbe (EU) št. 1025/2012;

    (11) „tehnična specifikacija“ pomeni tehnično specifikacijo, kot je opredeljena v členu 2(20) Uredbe (EU) št. 2019/881;

    Predlog spremembe  96

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 13

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (13) „sistem domenskih imen (DNS)“ pomeni hierarhičen porazdeljen sistem dodeljevanja imen, ki končnim uporabnikom omogoča dostop do storitev in virov na internetu;

    (13) „sistem domenskih imen (DNS)“ pomeni hierarhično porazdeljen sistem dodeljevanja imen, ki omogoča identifikacijo internetnih storitev in virov, napravam končnih uporabnikov pa omogoča uporabo internetnih storitev usmerjanja in povezljivosti, prek katerih dostopajo do teh storitev in virov;

    Predlog spremembe  97

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 14

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (14) „ponudnik storitev sistema domenskih imen (DNS)“ pomeni subjekt, ki opravlja storitve rekurzivnega ali avtoritativnega razreševanja domenskih imen za končne uporabnike interneta in druge ponudnike storitev DNS;

    (14) „ponudnik storitev sistema domenskih imen (DNS)“ pomeni subjekt, ki opravlja:

    Predlog spremembe  98

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 14 – točka a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (a) odprte in javne storitve rekurzivnega razreševanja domenskih imen za končne uporabnike interneta ali

    Predlog spremembe  99

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 14 – točka b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (b) storitve avtoritativnega razreševanja domenskih imen kot storitve, ki jih lahko kupijo tretji subjekti;

    Predlog spremembe  100

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 15

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (15) „register vrhnjih domenskih imen“ pomeni subjekt, ki mu je bila dodeljena določena vrhnja domena in ki je odgovoren za upravljanje vrhnje domene, vključno z registracijo domenskih imen pod vrhnjo domeno in tehničnim upravljanjem vrhnje domene, vključno z upravljanjem njenih imenskih strežnikov, vzdrževanjem njenih podatkovnih zbirk in porazdelitvijo območnih datotek vrhnje domene po imenskih strežnikih;

    (15) „register vrhnjih domenskih imen“ pomeni subjekt, ki mu je bila dodeljena določena vrhnja domena in je odgovoren za njeno upravljanje, vključno z registracijo domenskih imen pod vrhnjo domeno in tehničnim upravljanjem vrhnje domene, vključno z upravljanjem njenih imenskih strežnikov, vzdrževanjem njenih podatkovnih zbirk in porazdelitvijo območnih datotek vrhnje domene po imenskih strežnikih, ne glede na to, ali katero od teh opravil subjekt izvaja sam ali zunanji izvajalci;

    Predlog spremembe  101

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 15 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (15a) „storitve registracije domenskih imen“ pomenijo storitve, ki jih opravljajo registri in registratorji domenskih imen, ponudniki zasebnih ali posredniških storitev registracije, prodajalci ali preprodajalci domen, in vse druge storitve, ki so povezane z registracijo domenskih imen;

    Predlog spremembe  102

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 23 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (23a) „javno elektronsko komunikacijsko omrežje“ pomeni javno elektronsko komunikacijsko omrežje, kot je opredeljeno v členu 2, točki (8) Direktive (EU) 2018/1972;

    Predlog spremembe  103

     

    Predlog direktive

    Člen 4 – odstavek 1 – točka 23 b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (23b) „elektronska komunikacijska storitev“ pomeni elektronsko komunikacijsko storitev, kot je opredeljena v členu 2, točki (4) Direktive (EU) 2018/1972;

    Predlog spremembe  104

     

    Predlog direktive

    Člen 5 – odstavek 1 – uvodni del

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    1. Vsaka država članica sprejme nacionalno strategijo za kibernetsko varnost, v kateri so opredeljeni strateški cilji ter ustrezni ukrepi politike in regulativni ukrepi za doseganje in ohranjanje visoke ravni kibernetske varnosti. Nacionalna strategija za kibernetsko varnost vključuje zlasti naslednje:

    1. Vsaka država članica sprejme nacionalno strategijo za kibernetsko varnost, v kateri so opredeljeni strateški cilji, zanje potrebni tehnični, organizacijski in finančni viri ter ustrezni ukrepi politike in regulativni ukrepi za doseganje in ohranjanje visoke ravni kibernetske varnosti. Nacionalna strategija za kibernetsko varnost vključuje zlasti naslednje:

    Predlog spremembe  105

     

    Predlog direktive

    Člen 5 – odstavek 1 – točka a

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (a) opredelitev ciljev in prednostnih nalog strategije držav članic za kibernetsko varnost;

    (a) opredelitev ciljev in prednostnih nalog strategije posameznih držav članic za kibernetsko varnost;

    Predlog spremembe  106

     

    Predlog direktive

    Člen 5 – odstavek 1 – točka b

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (b) okvir upravljanja za doseganje navedenih ciljev in prednostnih nalog, vključno s politikami iz odstavka 2 ter vlogami in odgovornostmi javnih organov in subjektov ter drugih ustreznih akterjev;

    (b) okvir upravljanja za doseganje teh ciljev in prednostnih nalog, vključno s politikami iz odstavka 2;

    Predlog spremembe  107

     

    Predlog direktive

    Člen 5 – odstavek 1 – točka b a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (ba) okvir za dodeljevanje vlog in odgovornosti javnih organov in subjektov ter drugih ustreznih akterjev, s čimer se podpre sodelovanje in usklajevanje na nacionalni ravni, med pristojnimi organi, imenovanimi v skladu s členoma 7(1) in 8(1), enotno kontaktno točko, imenovano v skladu s členom 8(3), ter skupinami CSIRT, imenovanimi v skladu s členom 9;

    Predlog spremembe  108

     

    Predlog direktive

    Člen 5 – odstavek 1 – točka e

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (e) seznam različnih organov in akterjev, vključenih v izvajanje nacionalne strategije za kibernetsko varnost;

    (e) seznam različnih organov in akterjev, vključenih v izvajanje nacionalne strategije za kibernetsko varnost, ob prizadevanju za vzpostavitev enotne kontaktne točke za kibernetsko varnost za MSP, da se jih podpre pri izvajanju namenskih ukrepov za kibernetsko varnost;

    Predlog spremembe  109

     

    Predlog direktive

    Člen 5 – odstavek 1 – točka f

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (f) okvir politike za okrepljeno usklajevanje med pristojnimi organi iz te direktive in direktive (EU) XXXX/XXXX Evropskega parlamenta in Sveta38 [direktiva o odpornosti kritičnih subjektov] za izmenjavo informacij o incidentih in kibernetskih grožnjah ter izvajanje nadzornih nalog.

    (f) okvir politike za okrepljeno usklajevanje med pristojnimi organi iz te direktive in direktive (EU) XXXX/XXXX Evropskega parlamenta in Sveta38 [direktiva o odpornosti kritičnih subjektov] znotraj držav članic in med njimi za izmenjavo informacij o incidentih in kibernetskih grožnjah ter izvajanje nadzornih nalog.

    __________________

    __________________

    38 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

    38 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

    Predlog spremembe  110

     

    Predlog direktive

    Člen 5 – odstavek 1 – točka f a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (fa) oceno splošne ozaveščenosti državljanov o kibernetski varnosti.

    Predlog spremembe  111

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka -a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (-a) politiko, s katero se obravnava kibernetska varnost za vsak sektor, ki ga zajema ta direktiva;

    Predlog spremembe  112

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka b

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (b) smernice v zvezi z vključitvijo in specifikacijo zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo;

    (b) smernice v zvezi z vključitvijo in specifikacijo zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo, vključno z zahtevami za šifriranje in uporabo odprtokodnih proizvodov za kibernetsko varnost;

    Predlog spremembe  113

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka (d)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (d) politiko, povezano z ohranjanjem splošne razpoložljivosti in celovitosti javnega jedra odprtega interneta;

    (d) politiko, povezano z ohranjanjem splošne razpoložljivosti in celovitosti javnega jedra odprtega interneta, vključno s kibernetsko varnostjo podmorskih komunikacijskih kablov;

    Predlog spremembe  114

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka d a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (da) politiko za spodbujanje in podporo razvoju in vključevanju najnovejše tehnologije, na primer umetne inteligence, v orodja in aplikacije za povečanje kibernetske varnosti;

    Predlog spremembe  115

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka d b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (db) politiko za spodbujanje vključevanja odprtokodnih orodij in aplikacij;

    Predlog spremembe  116

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka f

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (f) politiko za podpiranje akademskih in raziskovalnih institucij pri razvoju orodij in varne omrežne infrastrukture za kibernetsko varnost;

    (f) politiko za podpiranje akademskih in raziskovalnih institucij pri razvoju, krepitvi in uporabi orodij in varne omrežne infrastrukture za kibernetsko varnost;

    Predlog spremembe  117

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka h

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (h) politiko za obravnavanje posebnih potreb MSP, zlasti tistih, ki so izključena s področja uporabe te direktive, v zvezi z usmeritvami in podporo pri povečevanju njihove odpornosti proti kibernetskim grožnjam.

    (h) politiko za spodbujanje kibernetske varnosti za MSP, vključno s tistimi, ki so izključena s področja uporabe te direktive, v kateri so obravnavane njihove posebne potrebe in so jim zagotovljene zlahka dostopne usmeritve in podpora, na primer smernice za reševanje izzivov, s katerimi se spoprijemajo v dobavni verigi;

    Predlog spremembe  118

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka h a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (ha) politiko za spodbujanje programov kibernetske higiene z osnovnim sklopom praks in kontrol za ozaveščanje državljanov o grožnjah kibernetski varnosti in o dobri praksi;

    Predlog spremembe  119

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka h b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (hb) politiko za spodbujanje aktivne kibernetske obrambe;

    Predlog spremembe  120

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka h c (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (hc) politiko za pomoč organom pri ozaveščanju in razumevanju varnostnih vidikov, potrebnih za zasnovo, gradnjo in upravljanje povezanih krajev;

    Predlog spremembe  121

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka h d (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (hd) politiko, ki posebej obravnava grožnjo izsiljevalskega programja in onemogoča poslovni model izsiljevalskega programja;

    Predlog spremembe  122

     

    Predlog direktive

    Člen 5 – odstavek 2 – točka h e (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (he) politiko, vključno z ustreznimi postopki in okviri upravljanja, za podporo in spodbujanje vzpostavitve javno-zasebnih partnerstev za kibernetsko varnost.

    Predlog spremembe  123

     

    Predlog direktive

    Člen 5 – odstavek 3

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    3. Države članice Komisiji priglasijo svoje nacionalne strategije za kibernetsko varnost v treh mesecih od njihovega sprejetja. Države članice lahko iz priglasitve izključijo nekatere informacije, če in kolikor je to nujno potrebno za ohranitev nacionalne varnosti.

    3. Države članice Komisiji priglasijo svoje nacionalne strategije za kibernetsko varnost v treh mesecih od njihovega sprejetja. Države članice lahko iz priglasitve izključijo nekatere informacije, če in kolikor je to potrebno za ohranitev nacionalne varnosti.

    Predlog spremembe  124

     

    Predlog direktive

    Člen 5 – odstavek 4

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    4. Države članice vsaj vsaka štiri leta ocenijo svoje nacionalne strategije za kibernetsko varnost na podlagi ključnih kazalnikov uspešnosti in jih po potrebi spremenijo. Agencija Evropske unije za kibernetsko varnost (ENISA) na zahtevo pomaga državam članicam pri razvoju nacionalne strategije in ključnih kazalnikov uspešnosti za oceno strategije.

    4. Države članice vsaj vsaka štiri leta ocenijo svoje nacionalne strategije za kibernetsko varnost na podlagi ključnih kazalnikov uspešnosti in jih po potrebi spremenijo. Agencija Evropske unije za kibernetsko varnost (ENISA) na zahtevo pomaga državam članicam pri razvoju nacionalne strategije in ključnih kazalnikov uspešnosti za oceno strategije. Agencija ENISA zagotovi smernice za države članice, da bi te svoje že oblikovane nacionalne strategije za kibernetsko varnost uskladile z zahtevami in obveznostmi iz te direktive.

    Predlog spremembe  125

     

    Predlog direktive

    Člen 6 – naslov

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    Usklajeno razkrivanje šibkih točk in evropski register šibkih točk

    Usklajeno razkrivanje šibkih točk in evropska baza podatkov šibkih točk

    Predlog spremembe  126

     

    Predlog direktive

    Člen 6 – odstavek 1

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    1. Vsaka država članica imenuje eno od svojih skupin CSIRT iz člena 9 za koordinatorko za usklajeno razkrivanje šibkih točk. Imenovana skupina CSIRT deluje kot zaupanja vredna posrednica, ki po potrebi olajšuje sodelovanje med poročajočim subjektom in proizvajalcem ali ponudnikom proizvodov ali storitev IKT. Če se sporočena šibka točka nanaša na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT v Uniji, imenovana skupina CSIRT vsake zadevne države članice sodeluje z mrežo skupin CSIRT.

    1. Vsaka država članica imenuje eno od svojih skupin CSIRT iz člena 9 za koordinatorko za usklajeno razkrivanje šibkih točk. Imenovana skupina CSIRT deluje kot zaupanja vredna posrednica, ki na zahtevo poročajočega subjekta olajšuje sodelovanje med poročajočim subjektom in proizvajalcem ali ponudnikom proizvodov ali storitev IKT. Če se sporočena šibka točka nanaša na več proizvajalcev ali ponudnikov proizvodov ali storitev IKT v Uniji, imenovana skupina CSIRT vsake zadevne države članice sodeluje z mrežo skupin CSIRT.

    Predlog spremembe  127

     

    Predlog direktive

    Člen 6 – odstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    2. Agencija ENISA razvije in vzdržuje evropski register šibkih točk. V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT ter zagotovijo dostop do informacij o šibkih točkah, vsebovanih v registru, vsem zainteresiranim stranem. Register vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost povezanih popravkov ter, če popravki niso na voljo, smernice, naslovljene na uporabnike proizvodov in storitev s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk.

    2. Agencija ENISA razvije in vzdržuje evropsko podatkovno zbirko šibkih točk, ki bo izboljšala svetovne splošne šibke točke in izpostavljenosti (CVE). V ta namen agencija ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke in sprejme potrebne tehnične in organizacijske ukrepe, s katerimi zagotovi varnost in celovitost baze podatkov, zlasti z namenom omogočanja pomembnim in bistvenim subjektom ter njihovim dobaviteljem omrežnih in informacijskih sistemov in subjektom, ki ne spadajo na področje direktive ter njihovim dobaviteljem, da razkrijejo in evidentirajo šibke točke proizvodov in storitev IKT. Zainteresirane tretje strani dobijo dostop do informacij o šibkih točkah v bazi podatkov, ki imajo na voljo popravke ali blažilne ukrepe. Baza podatkov vključuje zlasti informacije, ki opisujejo šibko točko, prizadeti proizvod ali storitev IKT ter resnost šibke točke v smislu okoliščin, v katerih jo je mogoče izkoristiti, razpoložljivost s tem povezanih popravkov. Če popravki niso na voljo, so smernice, naslovljene na uporabnike proizvodov in storitev IKT s šibkimi točkami, o načinih za zmanjšanje tveganj, ki izhajajo iz razkritih šibkih točk, v bazi podatkov.

    Predlog spremembe  128

     

    Predlog direktive

    Člen 7 – odstavek 1 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    1a. Kadar država članica imenuje več kot en pristojni organ iz odstavka 1, jasno navede, kateri od njih bo koordinator za obvladovanje velikih incidentov in kriz.

    Predlog spremembe  129

     

    Predlog direktive

    Člen 7 – odstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    2. Vsaka država članica določi zmogljivosti, sredstva in postopke, ki se lahko uporabijo v primeru krize za namene te direktive.

    2. Vsaka država članica določi zmogljivosti, sredstva in postopke, ki se lahko uporabijo v primeru krize za namene te direktive.

    Predlog spremembe  130

     

    Predlog direktive

    Člen 7 – odstavek 4

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    4. Države članice Komisijo obvestijo o imenovanju svojih pristojnih organov iz odstavka 1 ter predložijo svoje nacionalne načrte odzivanja na kibernetske incidente in krize iz odstavka 3 v treh mesecih od zadevnega imenovanja in sprejetja navedenih načrtov. Države članice lahko iz načrta izključijo določene informacije, če in kolikor je to nujno potrebno za njihovo nacionalno varnost.

    4. Države članice Komisijo obvestijo o imenovanju svojih pristojnih organov iz odstavka 1 ter mreži EU-CyCLONe predložijo svoje nacionalne načrte odzivanja na kibernetske incidente in krize iz odstavka 3 v treh mesecih od zadevnega imenovanja in sprejetja navedenih načrtov. Države članice lahko iz načrta izključijo določene informacije, če in kolikor je to nujno potrebno za njihovo nacionalno varnost.

    Predlog spremembe  131

     

    Predlog direktive

    Člen 8 – odstavek 3

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    3. Vsaka država članica imenuje eno nacionalno enotno kontaktno točko za kibernetsko varnost (v nadaljnjem besedilu: enotna kontaktna točka). Kadar država članica imenuje le en pristojni organ, je ta tudi enotna kontaktna točka te države članice.

    3. Vsaka država članica imenuje enega od pristojnih organov iz odstavka 1 kot nacionalno enotno kontaktno točko za kibernetsko varnost (v nadaljnjem besedilu: enotna kontaktna točka). Kadar država članica imenuje le en pristojni organ, je ta tudi enotna kontaktna točka te države članice.

    Predlog spremembe  132

     

    Predlog direktive

    Člen 8 – odstavek 4

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    4. Vsaka enotna kontaktna točka ima povezovalno vlogo in tako zagotavlja čezmejno sodelovanje organov države članice z ustreznimi organi drugih držav članic ter medsektorsko sodelovanje z drugimi pristojnimi nacionalnimi organi v svoji državi članici.

    4. Vsaka enotna kontaktna točka ima povezovalno vlogo in tako zagotavlja čezmejno sodelovanje organov države članice z ustreznimi organi drugih držav članic, Komisijo in agencijo ENISA ter medsektorsko sodelovanje z drugimi pristojnimi nacionalnimi organi v svoji državi članici.

    Predlog spremembe  133

     

    Predlog direktive

    Člen 9 – odstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    2. Države članice zagotovijo, da ima vsaka skupina CSIRT ustrezne vire za učinkovito izvajanje svojih nalog iz člena 10(2).

    2. Države članice zagotovijo, da ima vsaka skupina CSIRT ustrezne vire in potrebne tehnične zmogljivosti za učinkovito izvajanje svojih nalog iz člena 10(2).

    Predlog spremembe  134

     

    Predlog direktive

    Člen 9 – odstavek 6 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    6a. Države članice omogočijo uspešno, učinkovito in varno izmenjavo informacij na vseh ravneh razvrščanja med lastnimi skupinami CSIRT in skupinami CSIRT iz tretjih držav na isti ravni razvrščanja.

    Predlog spremembe  135

     

    Predlog direktive

    Člen 9 – odstavek 6 b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    6b. Skupine CSIRT brez poseganja v pravo Unije, zlasti Uredbo (EU) 2016/679, sodelujejo s skupinami CSIRT ali enakovrednimi organi v državah kandidatkah za članstvo in drugih tretjih državah na Zahodnem Balkanu in v vzhodnem partnerstvu in jim po možnosti zagotavljajo pomoč na področju kibernetske varnosti.

    Predlog spremembe  136

     

    Predlog direktive

    Člen 9 – odstavek 7

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    7. Države članice brez nepotrebnega odlašanja obvestijo Komisijo o skupinah CSIRT, imenovanih v skladu z odstavkom 1, skupini CSIRT koordinatorki, imenovani v skladu s členom 6(1), in njihovih ustreznih nalogah, določenih v zvezi s subjekti iz prilog I in II.

    7. Države članice nemudoma obvestijo Komisijo o skupinah CSIRT, imenovanih v skladu z odstavkom 1 in skupini CSIRT koordinatorki, imenovani v skladu s členom 6(1), in njihovih ustreznih nalogah, določenih v zvezi z bistvenimi in pomembnimi subjekti.

    Predlog spremembe  137

     

    Predlog direktive

    Člen 10 – naslov

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    Zahteve in naloge skupin CSIRT

    Zahteve, tehnične zmogljivosti in naloge skupin CSIRT

    Predlog spremembe  138

     

    Predlog direktive

    Člen 10 – odstavek 1 – točka c

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (c) skupine CSIRT imajo ustrezen sistem za upravljanje in usmerjanje zahtevkov, zlasti da se poenostavi njihova učinkovita in uspešna predaja;

    (c) skupine CSIRT imajo ustrezen sistem za razvrščanje, usmerjanje in sledenje zahtevkov, zlasti da se poenostavi njihova učinkovita in uspešna predaja;

    Predlog spremembe  139

     

    Predlog direktive

    Člen 10 – odstavek 1 – točka c a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (ca) skupine CSIRT imajo vzpostavljene ustrezne kodekse ravnanja, da zagotovijo zaupnost in zanesljivost svojih dejavnosti;

    Predlog spremembe  140

     

    Predlog direktive

    Člen 10 – odstavek 1 – točka d

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (d) skupine CSIRT imajo ustrezno osebje, s katerim lahko zagotovijo stalno razpoložljivost;

    (d) skupine CSIRT imajo ustrezno osebje, s katerim lahko zagotovijo stalno razpoložljivost in ustrezen okvir za svoje usposabljanje;

    Predlog spremembe  141

     

    Predlog direktive

    Člen 10 – odstavek 1 – točka e

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (e) skupine CSIRT imajo redundantne sisteme in nadomestni delovni prostor, da se zagotovi neprekinjeno izvajanje njihovih storitev;

    (e) skupine CSIRT imajo redundantne sisteme in nadomestni delovni prostor, da se zagotovi neprekinjeno izvajanje njihovih storitev, vključno s široko povezljivostjo med omrežji, informacijskimi sistemi, storitvami ter napravami;

    Predlog spremembe  142

     

    Predlog direktive

    Člen 10 – odstavek 1 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    1a. skupine CSIRT razvijejo vsaj naslednje tehnične zmogljivosti:

     

    (a) zmožnost izvedbe spremljanja omrežij in informacijskih sistemov v realnem času ali skoraj v realnem času ter odkrivanja nepravilnosti;

     

    (b) zmožnost podpore preprečevanja in odkrivanja kršitev;

     

    (c) zmožnost zbiranja in izvajanja kompleksne forenzične analize podatkov ter obratnega inženiringa kibernetskih groženj;

     

    (d) zmožnost filtriranja zlonamernega prometa;

     

    (e) zmožnost uveljavljanja močne avtentikacije in pravic dostopa in nadzora ter

     

    (f) zmožnost analiziranja kibernetskih groženj.

    Predlog spremembe  143

     

    Predlog direktive

    Člen 10 – odstavek 2 – točka a

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (a) spremljanje kibernetskih groženj, šibkih točk in incidentov na nacionalni ravni;

    (a) spremljanje kibernetskih groženj, šibkih točk in incidentov na nacionalni ravni in pridobivanje obveščevalnih podatkov o grožnjah v realnem času;

    Predlog spremembe  144

     

    Predlog direktive

    Člen 10 – odstavek 2 – točka b

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (b) zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in razširjanja informacij o kibernetskih grožnjah, šibkih točkah in incidentih bistvenim in pomembnim subjektom ter drugim ustreznim zainteresiranim stranem;

    (b) zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in razširjanja informacij o kibernetskih grožnjah, šibkih točkah in incidentih bistvenim in pomembnim subjektom ter drugim ustreznim zainteresiranim stranem, če je mogoče skoraj v realnem času;

    Predlog spremembe  145

     

    Predlog direktive

    Člen 10 – odstavek 2 – točka c

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (c) odzivanje na incidente;

    (c) odzivanje na incidente in zagotavljanje pomoči vključenim subjektom;

    Predlog spremembe  146

     

    Predlog direktive

    Člen 10 – odstavek 2 – točka e

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (e) opravljanje, na zahtevo subjekta, proaktivnega pregleda omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje njihovih storitev;

    (e) opravljanje, na zahtevo subjekta ali v primeru resne grožnje za nacionalno varnost, proaktivnega pregleda omrežij in informacijskih sistemov, ki se uporabljajo za opravljanje njihovih storitev;

    Predlog spremembe  147

     

    Predlog direktive

    Člen 10 – odstavek 2 – točka f a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (fa) zagotavljanje, na zahtevo subjekta, omogočanje in konfiguracija beleženja v omrežju za zaščito podatkov, tudi osebnih pred nepooblaščenim pridobivanjem;

    Predlog spremembe  148

     

    Predlog direktive

    Člen 10 – odstavek 2 – točka f b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (fb) prispevek k uporabi orodij za varno izmenjavo informacij v skladu s členom 9(3).

    Predlog spremembe  149

     

    Predlog direktive

    Člen 10 – odstavek 4 – uvodni del

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    4. Za olajšanje sodelovanja skupine CSIRT spodbujajo sprejetje in uporabo skupnih ali standardiziranih praks, sistemov razvrščanja in taksonomij v zvezi z naslednjim:

    4. Za olajšanje sodelovanja skupine CSIRT spodbujajo avtomatizacijo izmenjave informacij ter sprejetje in uporabo skupnih ali standardiziranih praks, sistemov razvrščanja in taksonomij v zvezi z naslednjim:

    Predlog spremembe  150

     

    Predlog direktive

    Člen 11 – odstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    2. Države članice zagotovijo, da bodisi njihovi pristojni organi bodisi skupine CSIRT prejmejo priglasitve incidentov ter pomembnih kibernetskih groženj in skorajšnjih dogodkov, predloženih v skladu s to direktivo. Kadar država članica sklene, da njene skupine CSIRT ne prejemajo takih priglasitev, se tem skupinam v obsegu, potrebnem za opravljanje njihovih nalog, zagotovi dostop do podatkov o incidentih, ki jih v skladu s členom 20 priglasijo bistveni ali pomembni subjekti.

    2. Države članice zagotovijo, da njihove skupine CSIRT prejmejo priglasitve o pomembnih incidentih v skladu s členom 20 ter kibernetskih grožnjah in skorajšnjih dogodkih v skladu s členom 27 prek enotne vstopne točke iz člena 20(4a).

    Predlog spremembe  151

     

    Predlog direktive

    Člen 11 – odstavek 4

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, organi kazenskega pregona, organi za varstvo podatkov in organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici.

    4. Če je to potrebno za učinkovito opravljanje nalog in izpolnjevanje obveznosti, določenih v tej direktivi, države članice zagotovijo ustrezno sodelovanje med pristojnimi organi, enotnimi kontaktnimi točkami, skupinami CSIRT, organi kazenskega pregona, nacionalnimi regulativnimi organi ali drugimi pristojnimi organi za javna elektronska komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve v skladu z Direktivo (EU) 2018/1972, organi za varstvo podatkov, organi, pristojnimi za kritično infrastrukturo v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter nacionalnimi finančnimi organi, imenovanimi v skladu z Uredbo (EU) XXXX/XXXX Evropskega parlamenta in Sveta39 [uredba o digitalni operativni odpornosti] v zadevni državi članici v skladu s svojimi pristojnostmi.

    __________________

    __________________

    39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

    39 [vstaviti polni naslov in sklic na objavo v UL, ko bosta znana].

    Predlog spremembe  152

     

    Predlog direktive

    Člen 11 – odstavek 5

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    5. Države članice zagotovijo, da njihovi pristojni organi pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], redno zagotavljajo informacije o tveganjih za kibernetsko varnost, kibernetskih grožnjah in incidentih, ki vplivajo na bistvene subjekte, ki so opredeljeni kot kritični ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter o ukrepih, ki jih sprejmejo pristojni organi v odziv na taka tveganja in incidente.

    5. Države članice zagotovijo, da njihovi pristojni organi pristojnim organom, imenovanim v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], redno zagotavljajo pravočasne informacije o tveganjih za kibernetsko varnost, kibernetskih grožnjah in incidentih, ki vplivajo na bistvene subjekte, ki so opredeljeni kot kritični ali kot subjekti, enakovredni kritičnim subjektom, v skladu z Direktivo (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov], ter o ukrepih, ki jih sprejmejo pristojni organi v odziv na taka tveganja in incidente.

    Predlog spremembe  153

     

    Predlog direktive

    Člen 12 – odstavek 3 – pododstavek 1

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije in agencije ENISA. Evropska služba za zunanje delovanje sodeluje pri dejavnostih skupine za sodelovanje kot opazovalka. Evropski nadzorni organi lahko v skladu s členom 17(5)(c) Uredbe (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti] sodelujejo pri dejavnostih skupine za sodelovanje.

    Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije in agencije ENISA. Evropski parlament in Evropska služba za zunanje delovanje sodelujeta pri dejavnostih skupine za sodelovanje kot opazovalca. Evropski nadzorni organi lahko v skladu s členom 17(5)(c) Uredbe (EU) XXXX/XXXX [uredba o digitalni operativni odpornosti] sodelujejo pri dejavnostih skupine za sodelovanje.

    Predlog spremembe  154

     

    Predlog direktive

    Člen 12 – odstavek 3 – pododstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    Skupina za sodelovanje lahko k sodelovanju po potrebi povabi predstavnike ustreznih zainteresiranih strani.

    Skupina za sodelovanje lahko k sodelovanju po potrebi povabi predstavnike ustreznih zainteresiranih strani, na primer Evropski odbor za varstvo podatkov in predstavnike industrije.

    Predlog spremembe  155

     

    Predlog direktive

    Člen 12 – odstavek 4 – točka b

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (b) izmenjava dobrih praks in informacij v zvezi z izvajanjem te direktive, tudi v zvezi s kibernetskimi grožnjami, incidenti, šibkimi točkami, skorajšnjimi dogodki, pobudami za ozaveščanje, usposabljanji, vajami ter znanji in spretnostmi, krepitvijo zmogljivosti ter standardi in tehničnimi specifikacijami;

    (b) izmenjava dobrih praks in informacij v zvezi z izvajanjem te direktive, tudi v zvezi s kibernetskimi grožnjami, incidenti, šibkimi točkami, skorajšnjimi dogodki, pobudami za ozaveščanje, usposabljanji, vajami ter znanji in spretnostmi, krepitvijo zmogljivosti, standardi in tehničnimi specifikacijami in identifikacija bistvenih in pomembnih subjektov;

    Predlog spremembe  156

     

    Predlog direktive

    Člen 12 – odstavek 4 – točka b a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (ba) evidentiranje nacionalnih rešitev, da bi spodbudili združljivost rešitev na področju kibernetske varnosti, ki se uporabljajo v vsakem posameznem sektorju po Evropi;

    Predlog spremembe  157

     

    Predlog direktive

    Člen 12 – odstavek 4 – točka c

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (c) izmenjava nasvetov in sodelovanje s Komisijo pri nastajajočih pobudah za politiko o kibernetski varnosti;

    (c) izmenjava nasvetov in sodelovanje s Komisijo pri nastajajočih pobudah za politiko o kibernetski varnosti in splošna skladnost sektorskih zahtev glede kibernetske varnosti;

    Predlog spremembe  158

     

    Predlog direktive

    Člen 12 – odstavek 4 – točka f

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (f) obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 16(7);

    (f) obravnavanje poročil o medsebojnih strokovnih pregledih iz člena 16(7) in priprava ugotovitev in priporočil;

    Predlog spremembe  159

     

    Predlog direktive

    Člen 12 – odstavek 4 – točka f a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (fa) izvajanje usklajenih ocen tveganja za varnost, ki se lahko začne v skladu s členom 19(1), v sodelovanju s Komisijo in agencijo ENISA;

    Predlog spremembe  160

     

    Predlog direktive

    Člen 12 – odstavek 4 – točka k a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (ka) predložitev poročil o izkušnjah, pridobljenih na strateški in operativni ravni, Komisiji za namene pregleda iz člena 35;

    Predlog spremembe  161

     

    Predlog direktive

    Člen 12 – odstavek 4 – točka k b (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (kb) izvedba letne ocene v sodelovanju z agencijo ENISA, Europolom in nacionalnimi institucijami za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj o tem, katere države prikrivajo storilce kaznivih dejanj, povezanih z izsiljevalskim programjem.

    Predlog spremembe  162

     

    Predlog direktive

    Člen 12 – odstavek 8

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    8. Skupina za sodelovanje se redno in vsaj enkrat letno sestane s skupino za odpornost kritičnih subjektov, ustanovljeno na podlagi Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] z namenom spodbujanja strateškega sodelovanja in izmenjave informacij.

    8. Skupina za sodelovanje se redno in vsaj dvakrat letno sestane s skupino za odpornost kritičnih subjektov, ustanovljeno na podlagi Direktive (EU) XXXX/XXXX [direktiva o odpornosti kritičnih subjektov] z namenom omogočanja strateškega sodelovanja in izmenjave informacij.

    Predlog spremembe  163

     

    Predlog direktive

    Člen 13 – odstavek 3 – točka a a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (aa) omogočanje lažjega deljenja in prenosa tehnologije ter ustreznih ukrepov, politik, dobre prakse in okvirov med skupinami CSIRT;

    Predlog spremembe  164

     

    Predlog direktive

    Člen 13 – odstavek 3 – točka b a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (ba) zagotavljanje interoperabilnosti glede na standarde za izmenjavo informacij;

    Predlog spremembe  165

     

    Predlog direktive

    Člen 14 – odstavek 1

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    1. Za podpiranje usklajenega upravljanja velikih kibernetskih incidentov in kriz na operativni ravni in za zagotovitev redne izmenjave informacij med državami članicami ter institucijami, organi in agencijami Unije se ustanovi evropska organizacijska mreža za povezovanje v kibernetski krizi (EU-CyCLONe).

    1. Za podpiranje usklajenega upravljanja velikih kibernetskih incidentov in kriz na operativni ravni in za zagotovitev redne izmenjave relevantnih informacij med državami članicami ter institucijami, organi in agencijami Unije se ustanovi evropska organizacijska mreža za povezovanje v kibernetski krizi (EU-CyCLONe).

    Predlog spremembe  166

     

    Predlog direktive

    Člen 14 – odstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    2. Mreža EU-CyCLONe je sestavljena iz predstavnikov organov držav članic za krizno upravljanje, imenovanih v skladu s členom 7, Komisije in agencije ENISA. Agencija ENISA zagotovi sekretariat mreže in podpira varno izmenjavo informacij.

    2. Mreža EU-CyCLONe je sestavljena iz predstavnikov organov držav članic za krizno upravljanje, imenovanih v skladu s členom 7, Komisije in agencije ENISA. Agencija ENISA zagotovi sekretariat mreže EU-CyCLONe in podpira varno izmenjavo informacij.

    Predlog spremembe  167

     

    Predlog direktive

    Člen 14 – odstavek 5

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    5. Mreža EU-CyCLONe redno poroča skupini za sodelovanje o kibernetskih grožnjah, incidentih in trendih, pri čemer se osredotoča zlasti na njihov vpliv na bistvene in pomembne subjekte.

    5. Mreža EU-CyCLONe redno poroča skupini za sodelovanje o obsežnih incidentih in krizah ter tudi trendih, pri čemer se osredotoča zlasti na njihov vpliv na bistvene in pomembne subjekte.

    Predlog spremembe  168

     

    Predlog direktive

    Člen 15 – odstavek 1 – uvodni del

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    1. Agencija ENISA v sodelovanju s Komisijo izda dvoletno poročilo o stanju kibernetske varnosti v Uniji. Poročilo vključuje zlasti oceno naslednjega:

    1. Agencija ENISA v sodelovanju s Komisijo izda dvoletno poročilo o stanju kibernetske varnosti v Uniji in ga posreduje in predstavi Evropskemu parlamentu. Poročilo se predloži v strojno berljivi obliki in zajema zlasti oceno naslednjega:

    Predlog spremembe  169

     

    Predlog direktive

    Člen 15 – odstavek 1 – točka a a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    (aa) splošno raven ozaveščenosti o državljanov in subjektov, vključno z MSP, o kibernetski varnosti in higieni ter o splošni ravni varnosti povezanih naprav;

    Predlog spremembe  170

     

    Predlog direktive

    Člen 15 – odstavek 1 – točka c

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (c) indeksa kibernetske varnosti, ki določa skupno oceno ravni zrelosti zmogljivosti za kibernetsko varnost.

    (c) indeksa kibernetske varnosti, ki določa skupno oceno ravni zrelosti zmogljivosti za kibernetsko varnost v vsej Uniji, vključno z uskladitvijo strategij držav članic za kibernetsko varnost.

    Predlog spremembe  171

     

    Predlog direktive

    Člen 15 – odstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    2. Poročilo vključuje posebna priporočila politike za zvišanje ravni kibernetske varnosti v Uniji in povzetek ugotovitev za določeno obdobje iz tehničnih poročil o stanju na področju kibernetske varnosti v EU, ki jih izda agencija ENISA v skladu s členom 7(6) Uredbe (EU) 2019/881.

    2. Poročilo vsebuje izrecno opredeljene ovire in priporočila politike za zvišanje ravni kibernetske varnosti v Uniji in povzetek ugotovitev za določeno obdobje iz tehničnih poročil o stanju na področju kibernetske varnosti v EU, ki jih izda agencija ENISA v skladu s členom 7(6) Uredbe (EU) 2019/881.

    Predlog spremembe  172

     

    Predlog direktive

    Člen 15 – odstavek 2 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    2a. Agencija ENISA v sodelovanju s Komisijo in na podlagi smernic skupine za sodelovanje ter mreže skupin CSIRT pripravi metodologijo z ustreznimi spremenljivkami indeksa kibernetske varnosti iz odstavka 1(c).

    Predlog spremembe  173

     

    Predlog direktive

    Člen 16 – odstavek 1 – uvodni del

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    1. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA najpozneje 18 mesecev po začetku veljavnosti te direktive določi metodologijo in vsebino sistema medsebojnih strokovnih pregledov za ocenjevanje učinkovitosti politik držav članic na področju kibernetske varnosti. Preglede izvedejo tehnični strokovnjaki za kibernetsko varnost iz držav članic, med katerimi ni države, v zvezi s katero se izvede pregled, in zajemajo vsaj naslednje:

    1. Komisija po posvetovanju s skupino za sodelovanje in agencijo ENISA najpozneje do ... [18 mesecev po začetku veljavnosti te direktive] določi metodologijo in vsebino sistema medsebojnih strokovnih pregledov za ocenjevanje učinkovitosti politik držav članic na področju kibernetske varnosti. Medsebojne strokovne preglede v posvetovanju z agencijo ENISA izvedejo tehnični strokovnjaki za kibernetsko varnost iz vsaj dveh držav članic, med katerima ni države, v zvezi s katero se izvede pregled, in zajemajo vsaj naslednje:

    Predlog spremembe  174

     

    Predlog direktive

    Člen 16 – odstavek 1 – točka iii

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (iii) operativne zmogljivosti in učinkovitost skupin CSIRT;

    (iii) operativne zmogljivosti in učinkovitost skupin CSIRT pri izvajanju nalog;

    Predlog spremembe  175

     

    Predlog direktive

    Člen 16 – odstavek 3

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    3. Organizacijske vidike medsebojnih strokovnih pregledov določi Komisija, ob podpori agencije ENISA, na podlagi posvetovanj s skupino za sodelovanje in na podlagi meril, opredeljenih v metodologiji iz odstavka 1. Pri medsebojnih strokovnih pregledih se ocenijo vidiki iz odstavka 1 za vse države članice in sektorje, vključno s ciljno usmerjenimi vprašanji, ki se nanašajo na eno ali več držav članic ali enega ali več sektorjev.

    3. Organizacijske vidike medsebojnih strokovnih pregledov določi Komisija, ob podpori agencije ENISA, na podlagi posvetovanj s skupino za sodelovanje in na podlagi meril, opredeljenih v metodologiji iz odstavka 1. Pri medsebojnih strokovnih pregledih se ocenijo vidiki iz odstavka 1 za vse države članice in sektorje, vključno s ciljno usmerjenimi vprašanji, ki se nanašajo na eno ali več držav članic ali enega ali več sektorjev. Imenovani strokovnjaki pred začetkom pregleda, ki ga bodo izvajali, sporočijo ta ciljno usmerjena vprašanja državi članici, ki je predmet medsebojnega strokovnega pregleda.

    Predlog spremembe  176

     

    Predlog direktive

    Člen 16 – odstavek 3 a (novo)

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

     

    3a. Države članice, ki so predmet medsebojnega strokovnega pregleda, izvedejo samooceno vidikov, ki naj bi se pregledali, in jo pred začetkom postopka medsebojnega strokovnega pregleda posredujejo imenovanim strokovnjakom.

    Predlog spremembe  177

     

    Predlog direktive

    Člen 16 – odstavek 4

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    4. Medsebojni strokovni pregledi vključujejo dejanske ali virtualne obiske na kraju samem in izmenjave na daljavo. Države članice, ki so predmet pregleda, ob upoštevanju načela dobrega sodelovanja imenovanim strokovnjakom zagotovijo zahtevane informacije, potrebne za oceno vidikov, ki se pregledujejo. Vse informacije, pridobljene v okviru postopka medsebojnega strokovnega pregleda, se uporabljajo izključno v ta namen. Strokovnjaki, ki sodelujejo pri medsebojnem strokovnem pregledu, občutljivih ali zaupnih informacij, pridobljenih med zadevnim pregledom, ne razkrijejo tretjim osebam.

    4. Medsebojni strokovni pregledi vključujejo dejanske ali virtualne obiske na kraju samem in izmenjave na daljavo. Države članice, ki so predmet pregleda, ob upoštevanju načela dobrega sodelovanja imenovanim strokovnjakom zagotovijo zahtevane informacije, potrebne za oceno vidikov, ki se pregledujejo. Komisija ob podpori agencije ENISA pripravi ustrezne kodekse ravnanja kot podlago za delovne metode imenovanih strokovnjakov. Vse informacije, pridobljene v okviru postopka medsebojnega strokovnega pregleda, se uporabljajo izključno v ta namen. Strokovnjaki, ki sodelujejo pri medsebojnem strokovnem pregledu, občutljivih ali zaupnih informacij, pridobljenih med zadevnim pregledom, ne razkrijejo tretjim osebam.

    Predlog spremembe  178

     

    Predlog direktive

    Člen 16 – odstavek 6

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    6. Država članica zagotovi, da se drugim državam članicam, Komisiji in agenciji ENISA brez nepotrebnega odlašanja razkrijejo vsa tveganja navzkrižja interesov v zvezi z imenovanimi strokovnjaki.

    6. Država članica zagotovi, da se drugim državam članicam, Komisiji in agenciji ENISA pred začetkom postopka medsebojnega strokovnega pregleda razkrijejo vsa tveganja navzkrižja interesov v zvezi z imenovanimi strokovnjaki.

    Predlog spremembe  179

     

    Predlog direktive

    Člen 16 – odstavek 7

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    7. Strokovnjaki, ki sodelujejo v medsebojnih strokovnih pregledih, pripravijo poročila o ugotovitvah in sklepih pregledov. Poročila se predložijo Komisiji, skupini za sodelovanje, mreži skupin CSIRT in agenciji ENISA. Poročila se obravnavajo v okviru skupine za sodelovanje in mreže skupin CSIRT. Poročila se lahko objavijo na posebnem spletnem mestu skupine za sodelovanje.

    7. Strokovnjaki, ki sodelujejo v medsebojnih strokovnih pregledih, pripravijo poročila o ugotovitvah in sklepih pregledov. Poročila vsebujejo priporočila za izboljšanje vidikov, zajetih v postopku medsebojnega strokovnega pregleda. Poročila se predložijo Komisiji, skupini za sodelovanje, mreži skupin CSIRT in agenciji ENISA. Poročila se obravnavajo v okviru skupine za sodelovanje in mreže skupin CSIRT. Poročila se lahko objavijo na posebnem spletnem mestu skupine za sodelovanje, izključijo pa se občutljive in zaupne informacije.

    Predlog spremembe  180

     

    Predlog direktive

    Člen 17 – odstavek 2

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    2. Države članice zagotovijo, da se člani upravnega organa redno udeležujejo posebnih usposabljanj, da pridobijo dovolj znanja in spretnosti za razumevanje in ocenjevanje tveganj za kibernetsko varnost ter praks upravljanja in njihovega vpliva na dejavnosti subjekta.

    2. Države članice zagotovijo, da se člani upravnega organa bistvenih in pomembnih subjektov redno udeležujejo posebnih usposabljanj, in te subjekte spodbujajo, naj podobna usposabljanja ponudijo tudi vsem zaposlenim, da pridobijo dovolj znanja in spretnosti za razumevanje in ocenjevanje tveganj za kibernetsko varnost ter praks upravljanja in njihovega vpliva na storitve, ki jih ponuja subjekt.

    Predlog spremembe  181

     

    Predlog direktive

    Člen 18 – odstavek 1

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih ti subjekti uporabljajo za opravljanje storitev. Ob upoštevanju stanja tehnike se s temi ukrepi zagotovi raven varnosti omrežij in informacijskih sistemov, primerna obstoječemu tveganju.

    1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih ti subjekti uporabljajo za delovanje ali opravljanje storitev ter za preprečitev ali zmanjšanje vpliva incidentov na prejemnike svojih storitev in druge storitve. Ob upoštevanju stanja tehnike ter evropskih in mednarodnih standardov se s temi ukrepi zagotovi raven varnosti omrežij in informacijskih sistemov, primerna obstoječemu tveganju.

    Predlog spremembe  182

     

    Predlog direktive

    Člen 18 – odstavek 2 – točka b

     

    Besedilo, ki ga predlaga Komisija

    Predlog spremembe

    (b) obvladovanje incidentov (preprečevanje in odkrivanje incidentov ter odzivanje nanje);

    (b) obvladovanje incidentov;

    Predlog spremembe  183

     

    Predlog direktive

    Člen 18 – odstavek 2 – točka c

     

    Besedilo, ki ga predlaga Komisija