ZPRÁVA o návrhu nařízení Evropského parlamentu a Rady, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie
10.3.2023 - (COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD)) - ***I
Výbor pro průmysl, výzkum a energetiku
Zpravodajka: Henna Virkkunen
Zpravodaj přidruženého výboru podle článku 57 jednacího řádu
Tomas Tobé, Výbor pro občanské svobody, spravedlnost a vnitřní věci
NÁVRH LEGISLATIVNÍHO USNESENÍ EVROPSKÉHO PARLAMENTU
o návrhu nařízení Evropského parlamentu a Rady, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie
(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))
(Řádný legislativní postup: první čtení)
Evropský parlament,
– s ohledem na návrh Komise předložený Evropskému parlamentu a Radě (COM(2022)0122),
– s ohledem na čl. 294 odst. 2 a článek 298 Smlouvy o fungování Evropské unie, v souladu se kterými Komise předložila svůj návrh Parlamentu (C9‑0122/2022),
– s ohledem na čl. 294 odst. 3 Smlouvy o fungování Evropské unie,
– s ohledem na článek 59 jednacího řádu,
– s ohledem na stanoviska Výboru pro občanské svobody, spravedlnost a vnitřní věci, Rozpočtového výboru a Výboru pro ústavní záležitosti,
– s ohledem na zprávu Výboru pro průmysl, výzkum a energetiku (A9‑0064/2023),
1. přijímá níže uvedený postoj v prvním čtení;
2. vyzývá Komisi, aby věc znovu postoupila Parlamentu, jestliže svůj návrh nahradí jiným textem, podstatně jej změní nebo má v úmyslu jej podstatně změnit;
3. pověřuje svou předsedkyni, aby předala postoj Parlamentu Radě a Komisi, jakož i vnitrostátním parlamentům.
Pozměňovací návrh 1
POZMĚŇOVACÍ NÁVRHY EVROPSKÉHO PARLAMENTU[*]
k návrhu Komise
---------------------------------------------------------
Návrh
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY,
kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,
s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 298 této smlouvy,
s ohledem na Smlouvu o založení Evropského společenství pro atomovou energii, a zejména na článek 106a této smlouvy,
s ohledem na návrh Evropské komise,
po předložení návrhu legislativního aktu vnitrostátním parlamentům,
v souladu s řádným legislativním postupem,
vzhledem k těmto důvodům:
(1) V digitálním věku tvoří informační a komunikační technologie základ otevřené, efektivní a nezávislé unijní správy. Vyvíjející se technologie a větší složitost a vzájemná propojenost digitálních systémů zesilují kybernetická bezpečnostní rizika, což činí unijní správu zranitelnější vůči kybernetickým hrozbám a incidentům, které v konečném důsledku ohrožují kontinuitu činností správy a schopnost zabezpečovat její data. Širší využívání služeb cloudu, všudypřítomné používání informačních a komunikačních technologií, vysoká úroveň digitalizace, práce na dálku a vyvíjející se technologie a propojenost jsou nyní základními prvky všech činností správních subjektů v Unii, zatím však není dostatečně vybudována digitální odolnost.
(2) Prostředí kybernetických hrozeb, v němž působí subjekty Unie, se neustále vyvíjí. Taktika, metody a postupy používané aktéry hrozeb se neustále vyvíjejí, avšak hlavní motivy takových útoků se nijak výrazně nemění, a to od krádeže cenných neveřejných informací přes získání finančních prostředků a manipulaci s veřejným míněním až po narušení digitální infrastruktury. Tempo, jímž provádějí své kybernetické útoky, se stále zvyšuje, přičemž jejich kampaně jsou stále sofistikovanější a automatizovanější, zaměřují se na exponované prostory k útoku, které se stále rozšiřují, a rychle využívají zranitelná místa.
(3) V prostředí informačních a komunikačních technologií subjektů Unie existují vzájemné závislosti a integrované toky dat a jejich uživatelé spolu úzce spolupracují. Tato vzájemná propojenost znamená, že jakékoli narušení, a dokonce i takové narušení, které je původně omezeno na jeden subjekt Unie, může mít širší dominové účinky, jež mohou potenciálně vést k dalekosáhlým negativním dopadům na ostatní. Prostředí informačních a komunikačních technologií některých subjektů je navíc propojeno s informačním prostředím členských států, z čehož vyplývá, že incident v rámci jednoho subjektu Unie představuje riziko pro kybernetickou bezpečnost prostředí informačních a komunikačních technologií členských států, a naopak.
(4) Subjekty Unie jsou atraktivní cíle, které musejí čelit vysoce kvalifikovaným a dobře finančně zajištěným aktérům hrozeb, jakož i jiným hrozbám. Přitom úroveň a vyspělost kybernetické odolnosti a schopnost odhalovat nepřátelské činnosti v kyberprostoru a reagovat na ně se u zmíněných subjektů značně liší. Pro fungování evropské správy je proto nezbytné, aby subjekty Unie dosáhly vysoké společné úrovně kybernetické bezpečnosti prostřednictvím provádění opatření k řízení kybernetických bezpečnostních rizik přiměřených příslušným rizikům ▌, výměny informací a spolupráce.
(5) ▌ Cílem směrnice Evropského parlamentu Rady (EU) 2022/2555[1] je dále zlepšit odolnost veřejných a soukromých subjektů, příslušných vnitrostátních orgánů a subjektů, jakož i Unie jako celku v oblasti kybernetické bezpečnosti i jejich schopnosti reagovat na bezpečnostní incidenty. Je proto nezbytné, aby se zapojily i subjekty Unie tím, že zajistí pravidla, která jsou v souladu se ▌ směrnicí (EU) 2022/2555 a odrážejí míru jejích ambicí.
(6) K dosažení vysoké společné úrovně kybernetické bezpečnosti je nezbytné, aby všechny subjekty Unie zavedly interní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik a řešení incidentů, který zajistí účinné a obezřetné řízení všech kybernetických bezpečnostních rizik a zohlední řízení kontinuity činností a krizové řízení. Rámec by měl stanovit politiky a priority v oblasti kybernetické bezpečnosti pro bezpečnost sítí a informačních systémů zahrnující celé prostředí IKT. Rámec by měl být pravidelně a nejméně jednou za tři roky přezkoumáván.
(7) Rozdíly mezi subjekty Unii vyžadují pružnost při provádění, protože univerzální řešení nebude vyhovovat všem. Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti by neměla obsahovat žádné povinnosti přímo zasahující do plnění úkolů subjektů Unie nebo narušující jejich institucionální autonomii. Tyto subjekty by proto měly zavést své vlastní rámce pro řízení kybernetických bezpečnostních rizik, řešení incidentů, správu a kontrolu a přijmout vlastní opatření k řízení kybernetických bezpečnostních rizik a plány kybernetické bezpečnosti, které by se vztahovaly na celé prostředí IKT daného subjektu. Subjekty Unie by měly průběžně hodnotit účinnost přijatých opatření k řízení rizik a jejich přiměřenost ve vztahu ke zjištěným rizikům a v případě potřeby odpovídajícím způsobem upravovat a revidovat své rámce a plány na základě výsledků posouzení vyspělosti v oblasti kybernetické bezpečnosti.
(7a) Opakující se povinnost provádět posouzení vyspělosti v oblasti kybernetické bezpečnosti by mohla představovat dodatečnou a nepřiměřenou zátěž pro malé subjekty Unie s omezenými zdroji IKT. Toto nařízení by proto mělo umožnit dvěma nebo více subjektům Unie vytvořit společné týmy pro provádění posouzení vyspělosti kybernetické bezpečnosti a využívat kombinování zdrojů a odborných znalostí.
(8) Požadavky na řízení kybernetických bezpečnostních rizik by měly být úměrné rizikům, jež daná síť nebo informační systém obnáší, aby na subjekty Unie nebyla uvalena nepřiměřená finanční a administrativní zátěž, a to s ohledem na nejnovější technický vývoj takových opatření. Cílem každého subjektu Unie by mělo být, aby přiměřenou část svého rozpočtu na informační a komunikační technologie vynaložily na zlepšení úrovně své kybernetické bezpečnosti; z dlouhodobého hlediska by měl být sledován cíl v řádu nejméně 10 %.
(9) Vyšší společná úroveň kybernetické bezpečnosti vyžaduje, aby dohled nad kybernetickou bezpečností přešel na nejvyšší úroveň vedení každého subjektu Unie, které by mělo dohlížet na provádění ustanovení tohoto nařízení a schvalovat vytvoření a veškeré následné revize rámce pro řízení a kontrolu rizik, odpovídající opatření k řízení kybernetických bezpečnostních rizik zaměřující se na rizika zjištěná v tomto rámci a plány kybernetické bezpečnosti jednotlivých subjektů Unie. Řešení kultury kybernetické bezpečnosti, tj. každodenní praxe kybernetické bezpečnosti, je nedílnou součástí rámce řízení, správy a kontroly kybernetických bezpečnostních rizik a odpovídajících opatření k řízení kybernetických bezpečnostních rizik ve všech subjektech Unie.
(10) Subjekty Unie by měly posuzovat rizika související se vztahy s dodavateli a poskytovateli služeb, včetně poskytovatelů služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb, a přijímat vhodná opatření k řešení těchto rizik. Tato ▌opatření k řízení kybernetických bezpečnostních rizik by měla být dále upřesněna v pokynech nebo doporučeních vydaných skupinou CERT-EU. Při stanovení opatření a pokynů by měly být náležitě zohledněny příslušné právní předpisy a politiky Unie, včetně posouzení rizik a doporučení vydávaných ▌skupinou pro spolupráci v oblasti bezpečnosti sítí a informací ▌stanovenou ve směrnici (EU) 2022/2555, jako je koordinované posouzení rizik v EU a souboru opatření EU pro kybernetickou bezpečnost sítí 5G. S ohledem na typy hrozeb a důležitost budování odolnosti subjektů Unie musí být rovněž vyžadována certifikace příslušných produktů, služeb a procesů IKT, a to v rámci konkrétních systémů certifikace kybernetické bezpečnosti Unie přijatých podle článku 49 nařízení (EU) 2019/881.
(11) Generální tajemníci orgánů a institucí Unie se v květnu 2011 rozhodli zřídit přípravný tým pro vytvoření týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (centrum CERT-EU), na který bude dohlížet interinstitucionální řídící rada. V červenci 2012 potvrdili generální tajemníci praktická ujednání a dohodli se na tom, že centrum CERT-EU zůstane zachováno jako trvalý subjekt, který bude nadále napomáhat zvyšování celkové úrovně bezpečnosti v oblasti informačních technologií v rámci orgánů, institucí a jiných subjektů Unie jakožto příklad viditelné interinstitucionální spolupráce v oblasti kybernetické bezpečnosti. V září 2012 byl CERT-EU založen jako pracovní skupina Evropské komise s interinstitucionálním mandátem. V prosinci 2017 uzavřely orgány a instituce Unie interinstitucionální ujednání o organizaci a provozu CERT-EU[2]. Toto ujednání by se mělo dále vyvíjet s cílem podpořit provádění tohoto nařízení a mělo by být pravidelně vyhodnocováno s ohledem na budoucí jednání o dlouhodobých rozpočtových rámcích, které umožní přijímat další rozhodnutí, pokud jde o fungování a institucionální úlohu centra CERT-EU, včetně případného zřízení centra CERT-EU jako úřadu Unie.
(12) CERT-EU by měl být přejmenován z „týmu pro reakci na počítačové hrozby“ na „centrum pro kybernetickou bezpečnost“ subjektů Unie v souladu s vývojem v členských státech a ve světovém měřítku, kdy se mnohé týmy CERT přejmenovávají na centra pro kybernetickou bezpečnost, avšak měl by si ponechat zkrácený název „CERT-EU“, který je již známý.
(13) Mnohé kybernetické útoky jsou součástí širších kampaní, které cílí na skupiny subjektů Unie nebo na zájmové komunity, jež subjekty Unie zahrnují. Aby bylo možné proaktivní odhalování, reakci na incidenty nebo zmírňující opatření a zotavení z významných incidentů, měly by subjekty Unie oznamovat skupině CERT-EU závažné kybernetické hrozby, závažná zranitelná místa, případy, kdy téměř došlo k incidentu, a významné incidenty a sdílet příslušné technické podrobnosti, které umožní odhalit nebo zmírnit podobné ▌incidenty v jiných subjektech Unie, jakož i reakci na ně a zotavení z nich. Podle stejného přístupu, jaký se předpokládá ve směrnici EU) 2022/2555, by subjekty, které se dozvědí o významném incidentu, měly mít povinnost předložit centru CERT-EU včasné varování do 24 hodin. Taková výměna informací by měla centru CERT-EU umožnit šířit tyto informace do jiných subjektů Unie, jakož i vhodným protějškům, s cílem pomoci chránit prostředí informačních a komunikačních technologií Unie a prostředí informačních a komunikačních prostředí protějšků Unie před podobnými incidenty, hrozbami a zranitelnými místy.
(13a) Toto nařízení stanoví vícestupňový přístup k hlášení významných incidentů, tak aby bylo dosaženo správné rovnováhy mezi rychlým hlášením, které pomáhá snížit potenciální šíření incidentů a umožňuje subjektům Unie žádat o podporu, na jedné straně a podrobným hlášením, které čerpá cenná poučení z jednotlivých incidentů a s postupem času zvyšuje odolnost jednotlivých subjektů Unie a přispívá k posílení celkového postavení správy Unie ve vztahu ke kybernetickým hrozbám, na straně druhé. V tomto ohledu by toto nařízení mělo zahrnovat oznamování incidentů, které by na základě prvotního posouzení provedeného dotčeným subjektem mohly uvedenému subjektu Unie způsobit závažné provozní narušení služeb nebo finanční ztrátu nebo postihnout jiné fyzické nebo právnické osoby tím, že by jim způsobily značnou hmotnou nebo nehmotnou újmu. Toto počáteční posouzení by mělo mimo jiné zohlednit dotčené sítě a informační systémy, zejména jejich význam pro fungování a operace subjektu Unie, závažnost a technické vlastnosti kybernetické hrozby a veškerá související zranitelná místa, která jsou zneužívána, jakož i zkušenosti subjektu Unie s podobnými incidenty. Ukazatele, jako jsou rozsah, v jakém je ovlivněno fungování subjektu Unie, doba trvání incidentu nebo počet dotčených příjemců, by mohly hrát důležitou úlohu při určování toho, zda je provozní narušení služby závažné.
(14) Kromě uložení více úkolů centru CERT-EU a rozšíření jeho úlohy by měl být zřízen Interinstitucionální výbor pro kybernetickou bezpečnost (IICB), který by měl usnadňovat dosažení vysoké společné úrovně kybernetické bezpečnosti u subjektů Unie tak, že bude sledovat provádění tohoto nařízení ze strany subjektů Unie, dohlížet na plnění obecných priorit a cílů centrem CERT-EU a poskytovat centru CERT-EU strategické řízení. Výbor IICB by měl zajišťovat zastoupení orgánů a zahrnovat zástupce jiných subjektů a institucí prostřednictvím sítě agentur Unie.
(14a) Cílem IICB je podporovat subjekty při zvyšování jejich postavení v oblasti kybernetické bezpečnosti prováděním tohoto nařízení. Za účelem podpory subjektů Unie by výbor IICB měl přijímat pokyny a doporučení pro posouzení vyspělosti kybernetické bezpečnosti a plány kybernetické bezpečnosti prováděné subjekty Unie, přezkoumávat možná propojení mezi subjekty Unie v oblasti IKT a podporovat zřízení skupiny referentů pro kybernetickou bezpečnost v rámci agentury ENISA, která by sdružovala místní referenty pro kybernetickou bezpečnost všech subjektů Unie s cílem usnadnit sdílení osvědčených postupů a zkušeností získaných při provádění tohoto nařízení.
(14b) V zájmu zajištění souladu se směrnicí (EU) 2022/2555 by výbor IICB mohl přijmout doporučení založená na výsledcích koordinovaných posouzení bezpečnostních rizik kritických dodavatelských řetězců na úrovni Unie uvedených v článku 22 směrnice (EU) 2022/2555 s cílem podpořit subjekty Unie při přijímání účinných a přiměřených opatření v oblasti řízení rizik týkajících se bezpečnosti dodavatelského řetězce a vypracovat pokyny pro ujednání o sdílení informací orgánů, institucí a jiných subjektů Unie týkající se dobrovolného oznamování kybernetických hrozeb, téměř nastalých incidentů a incidentů centru CERT-EU.
(15) Centrum CERT-EU by mělo podporovat provádění opatření pro zajištění vysoké společné úrovně kybernetické bezpečnosti vypracováním návrhů pokynů a doporučení předkládaných výboru IICB nebo vydáváním výzev k přijetí opatření. Tyto pokyny a doporučení by měl schvalovat výbor IICB. V případě potřeby by centrum CERT-EU mělo vydávat výzvy k přijetí opatření popisující naléhavá bezpečnostní opatření, přičemž subjekty Unie se naléhavě vyzývají, aby ve stanovené lhůtě tato opatření přijaly.
(16) Výbor IICB by měl sledovat dodržování tohoto nařízení, jakož i následná opatření přijímaná v návaznosti na pokyny a doporučení a na výzvy k přijetí opatření vydávané centrem CERT-EU. V technických záležitostech by měly výbor IICB podporovat technické poradní skupiny ve složení, jež výbor IICB považuje za vhodné, které by měly dle potřeby úzce spolupracovat s centrem CERT-EU, subjekty Unie a případně dalšími zúčastněnými stranami. V případě potřeby by měl výbor IICB ▌vydávat varování a žádosti o audity.
(16a) Pokud výbor IICB zjistí, že subjekt Unie toto nařízení účinně neuplatňuje nebo neprovádí, mohl by si, aniž jsou dotčeny vnitřní postupy subjektu Unie, vyžádat relevantní a dostupnou dokumentaci týkající se účinného provádění ustanovení tohoto nařízení, sdělit odůvodněné stanovisko se zjištěnými nedostatky v provádění tohoto nařízení, vyzvat dotčený subjekt Unie, aby poskytl vlastní posouzení svých odůvodněných stanovisek a ve spolupráci s centrem CERT-EU vydal pokyny k uvedení svého příslušného rámce řízení, správy a kontroly rizik, opatření k řízení kybernetických bezpečnostních rizik, plánů kybernetické bezpečnosti a oznamovacích povinností do souladu s tímto nařízením.
(17) Úkolem centra CERT-EU by mělo být přispívat k bezpečnosti prostředí informačních a komunikačních technologií ve všech subjektech Unie. Ve vhodných případech a v koordinaci se subjekty Unie může tým CERT-EU předložit IICB ke schválení návrh koordinované politiky kybernetického pojištění vztahující se na subjekty Unie s cílem zavést krytí první a třetí stranou s cílem řešit potenciální dopad incidentů. Centrum CERT-EU by mělo jednat jako specializovaný koordinátor subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelných místech v evropské databázi zranitelných míst podle článku 12 směrnice (EU) 2022/2555;
(18) V roce 2020 řídící rada CERT-EU stanovila pro CERT-EU nový strategický cíl zajistit pro všechny subjekty Unie komplexní úroveň kybernetické obrany s vhodnou šířkou a hloubkou a s neustálým přizpůsobováním se aktuálním nebo potenciálním hrozbám, včetně útoků zaměřených na mobilní zařízení, prostředí cloudu a zařízení internetu věcí. Tento strategický cíl zahrnuje také široké spektrum bezpečnostních operačních středisek, jež monitorují sítě, a nepřetržité monitorování vysoce rizikových hrozeb. U větších subjektů Unie by centrum CERT-EU mělo podporovat jejich týmy pro bezpečnost informačních a komunikačních technologií, včetně nepřetržitého monitorování v první linii. Menším a některým středně velkým subjektům by centrum CERT-EU mělo poskytovat veškeré služby.
(19) Centrum CERT-EU by rovněž mělo plnit úlohu, kterou pro ně stanoví směrnice (EU) 2022/2555 v oblasti spolupráce a výměny informací se sítí týmů pro reakce na počítačové bezpečnostní incidenty (týmů CSIRT). V souladu s doporučením Komise (EU) 2017/1584[3] by centrum CERT-EU kromě toho mělo spolupracovat a koordinovat reakce s příslušnými zúčastněnými stranami. Aby mohlo centrum CERT-EU přispívat k vysoké úrovni kybernetické bezpečnosti v Unii, mělo by sdílet informace týkající se konkrétních incidentů s vnitrostátními partnery. Centrum CERT-EU by mělo rovněž spolupracovat s jinými protějšky z veřejného i soukromého sektoru, včetně NATO, a to po předchozím schválení výborem IICB.
(20) Při podpoře provozní kybernetické bezpečnosti by skupina CERT-EU měla využívat dostupné odborné znalosti Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) prostřednictvím strukturované spolupráce, jak je stanoveno v nařízení Evropského parlamentu a Rady (EU) 2019/881[4]. Do dvou let ode dne vstupu tohoto nařízení v platnost by měla být mezi oběma subjekty uzavřena zvláštní ujednání s cílem vymezit praktické provádění této spolupráce a zabránit zdvojování činností. Centrum CERT-EU by mělo spolupracovat s agenturou ENISA při analýze hrozeb a pravidelně s touto agenturou sdílet svou zprávu o prostředí hrozeb.
(21) Při podpoře Společné kybernetické jednotky vybudované v souladu s doporučením Komise ze dne 23. června 2021[5] by centrum CERT-EU mělo spolupracovat a vyměňovat si informace se zúčastněnými stranami s cílem podpořit operační spolupráci a umožnit stávajícím sítím realizovat jejich plný potenciál při ochraně Evropské unie.
(22) Veškeré osobní údaje zpracovávané v rámci tohoto nařízení by se měly zpracovávat v souladu s právními předpisy o ochraně údajů včetně nařízení Evropského parlamentu a Rady (EU) 2018/1725 ▌[6]. Tímto nařízením by nemělo být dotčeno uplatňování právních předpisů Unie, které upravují zpracování osobních údajů, ani úkoly, kterými byl pověřen evropský inspektor ochrany údajů, a jeho pravomoci. Centrum CERT-EU a výbor IICB by měly úzce spolupracovat s evropským inspektorem ochrany údajů a se zaměstnanci specializujícími se na ochranu údajů v subjektech Unie s cílem zajistit plný soulad s právními předpisy Unie v oblasti ochrany údajů.
(22a) Systémy a služby kybernetické bezpečnosti zapojené do prevence, odhalování kybernetických hrozeb a reakcí na ně by měly být v souladu s právními předpisy pro ochranu údajů a soukromí a měly by přijmout příslušná technická a organizační opatření, kterými by tento soulad odpovědným způsobem zajistily.
(22b) Nástroje a aplikace v oblasti kybernetické bezpečnosti s otevřeným zdrojovým kódem mohou přispět k vyšší míře otevřenosti. Otevřené normy usnadňují interoperabilitu mezi bezpečnostními nástroji a přispívají k bezpečnosti zúčastněných stran. Nástroje a aplikace kybernetické bezpečnosti s otevřeným zdrojovým kódem mohou podpořit širší komunitu vývojářů, a umožnit tak diverzifikaci dodavatelů. Otevřený zdrojový kód může vést k větší transparentnosti při ověřování nástrojů souvisejících s kybernetickou bezpečností a k postupu odhalování zranitelností řízeném komunitou. Subjekty Unie by proto měly mít možnost podporovat používání softwaru s otevřeným zdrojovým kódem a otevřených standardů tím, že budou provádět politiky spojené s využíváním otevřených dat a otevřených zdrojů v rámci koncepce „bezpečnost prostřednictvím transparentnosti“.
(23) Nakládání s informacemi ze strany centra CERT-EU a subjektů Unie musí být v souladu s pravidly pro bezpečnost informací zejména těmi stanovenými v nařízení [navrhovaném nařízení o zajištění bezpečnosti informací]. S cílem zajistit koordinaci ohledně bezpečnostních záležitostí by veškeré kontakty s centrem CERT-EU iniciované nebo vyžádané vnitrostátními bezpečnostními a zpravodajskými službami měly být bez zbytečného prodlení sděleny Bezpečnostnímu ředitelství Komise a předsedovi výboru IICB.
(24) Jelikož služby a úkoly centra CERT-EU jsou v zájmu všech subjektů Unie, měl by každý subjekt Unie s výdaji v oblasti informačních a komunikačních technologií přispívat na tyto služby a úkoly spravedlivým dílem. Těmito příspěvky není dotčena rozpočtová autonomie subjektů Unie.
(24a) Toto nařízení by mělo zohlednit skutečnost, že kromě orgánů Unie nemá většina subjektů Unie, a zejména ty malé, potřebné finanční a lidské zdroje k plnění dalších úkolů v oblasti kybernetické bezpečnosti.
(25) IICB by za pomoci týmu CERT-EU měla přezkoumat a vyhodnotit provádění tohoto nařízení a měla by o svých zjištěních informovat Komisi. Na základě těchto informací by Komise měla podávat zprávy Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů,
PŘIJALY TOTO NAŘÍZENÍ:
Kapitola I
OBECNÁ USTANOVENÍ
Článek 1
Předmět
Toto nařízení stanoví opatření, jejichž cílem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci subjektů Unie. K tomuto účelu toto nařízení stanoví:
a) povinnosti, které vyžadují, aby subjekty Unie zavedly řízení kybernetických bezpečnostních rizik, řešení incidentů a rámec správy a kontroly;
b) subjektům Unie povinnosti v oblasti řízení kybernetických bezpečnostních rizik a oznamovací povinnosti;
ba) pravidla, o něž se opírají povinnosti sdílení informací a usnadnění dobrovolných ujednání o sdílení informací pro subjekty Unie;
c) pravidla týkající se organizace, úloh a provozu Centra pro kybernetickou bezpečnost subjektů Unie (CERT-EU) a fungování, organizace a provozu Interinstitucionálního výboru pro kybernetickou bezpečnost (IICB).
Článek 2
Oblast působnosti
Toto nařízení se vztahuje na všechny ▌subjekty Unie a na fungování, organizaci a provoz centra CERT-EU a výboru IICB.
Článek 3
Definice
Pro účely tohoto nařízení se rozumí:
1) „subjekty Unie“ orgány, instituce, úřady a agentury zřízené Smlouvou o Evropské unii, Smlouvou o fungování Evropské unie nebo Smlouvou o založení Evropského společenství pro atomovou energii nebo na základě uvedených smluv;
2) „sítí a informačním systémem“ síť a informační systém, jak jsou definovány v čl. 6 bodu 1 směrnice (EU) 2022/2555;
3) „bezpečností sítí a informačních systémů“ bezpečnost sítí a informačních systémů dle vymezení čl. 6 bodě 2 směrnice (EU) 2022/2555;
4) „kybernetickou bezpečností“ kybernetická bezpečnost podle definice v čl. 2 bodu 1 nařízení (EU) 2019/881;
5) „nejvyšší úrovní řízení“ manažer, řídící orgán nebo orgán pro koordinaci a dohled odpovědný za fungování dotčeného subjektu Unie na nejvyšší správní úrovni, který má mandát přijímat nebo schvalovat rozhodnutí v souladu se systémy správy a řízení na vysoké úrovni dotčeného subjektu, aniž je dotčena formální odpovědnost jiných úrovní řízení za dodržování předpisů a řízení rizik v jejich příslušných oblastech působnosti;
5a) „téměř nastalým incidentem“ téměř nastalý incident, jak je definován v čl. 6 bodě 5 směrnice (EU) 2022/2555;
6) „bioplynem“ bioplyn ve smyslu čl. 6 bodu 6 směrnice (EU) 2022/2555;
▌
8) „závažným incidentem“ incident, jehož míra narušení přesahuje schopnost dotčeného subjektu Unie a centra CERT-EU reagovat na něj nebo který má významný dopad na nejméně dva subjekty Unie, nebo incident v oblasti kybernetické bezpečnosti velkého rozsahu uvedený v čl. 6 bodu 7 směrnice (EU) 2022/2555, který má významný dopad na alespoň jeden subjekt Unie;
9) „řešením incidentu“ řešení incidentu ve smyslu čl. 6 bodu 8 směrnice (EU) 2022/2555;
10) „kybernetickou hrozbou“ kybernetická hrozba dle definice v čl. 2 bodu 8 nařízení (EU) č. 2019/881;
11) „významnou kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 6 bodu 11 směrnice (EU) 2022/2555;
12) „bioplynem“ bioplyn ve smyslu čl. 6 bodu 15 směrnice (EU) 2022/2555;
13) „významnou zranitelností“ zranitelnost, která v případě zneužití pravděpodobně povede k významnému incidentu;
14) „▌rizikem“ se rozumí riziko ve smyslu čl. 6 bodu 9 nařízení (EU) 2022/2555;
14a) „normou“ norma definovaná v čl. 2 bodu 1 nařízení Evropského parlamentu a Rady (EU) č. 1025/2012[8];
14b) „technickou specifikací“ technická specifikace podle definice v čl. 2 bodu 4 nařízení (EU) č. 1025/2012;
14c) „produktem IKT“ produkt IKT podle definice v čl. 2 bodu 12 nařízení (EU) 2019/881;
14d) „službou IKT“ služba IKT podle definice v čl. 2 bodu 13 nařízení (EU) 2019/881;
14e) „procesem IKT“ proces IKT podle definice v čl. 2 bodu 14 nařízení (EU) 2019/881;
14f) „Životním prostředím IKT“ jakýkoli produkt, služba a proces IKT na místě nebo virtuální, jakákoliv síť a jakýkoliv informační systém vlastněný a provozovaný subjektem nebo hostovaný či provozovaný třetí stranou, včetně mobilních zařízení, korporátních sítí a obchodních sítí, které nejsou připojeny k internetu, a jakákoli zařízení připojená k prostředí IKT a veškeré decentralizované prostory a decentralizované kanceláře, jako jsou kontaktní kanceláře, zastoupení nebo místní kanceláře;
15) „společnou kybernetickou jednotkou“ virtuální a fyzická platforma pro spolupráci různých komunit v oblasti kybernetické bezpečnosti v Unii, se zaměřením na operativní a technickou koordinaci v boji proti významným přeshraničním kybernetickým hrozbám a incidentům ve smyslu doporučení Komise ze dne 23. června 2021;
16) „opatřeními k zajištění kybernetické bezpečnosti“ soubor minimálních pravidel a opatření v oblasti kybernetické bezpečnosti, která musí splňovat sítě a informační systémy a jejich provozovatelé i uživatelé, aby se minimalizovala kybernetická bezpečnostní rizika.
Kapitola II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
Článek 4
Rámec pro řízení, správu a kontrolu rizik a řešení incidentů
1. Na základě úplného auditu kybernetické bezpečnosti zavede každý subjekt Unie vlastní řízení kybernetických bezpečnostních rizik, řešení incidentů, rámec pro řízení a kontrolu (dále jen „rámec“) na podporu poslání subjektu Unie a výkonu jeho institucionální autonomie. Na vytvoření rámce dohlíží nejvyšší úroveň vedení subjektu Unie a je v jeho pravomoci, aby bylo zajištěno účinné a obezřetné řízení všech kybernetických bezpečnostních rizik. Rámec bude zaveden nejpozději do … [15 měsíců od data vstupu tohoto nařízení v platnost].
2. Rámec zahrnuje celé prostředí informačních a komunikačních technologií dotčeného subjektu Unie. Rámec zohledňuje řízení kontinuity činnosti v době krize a bere v úvahu bezpečnost dodavatelského řetězce, jakož i řízení lidských rizika a všech dalších příslušných technických, provozních a organizačních rizik, která by mohla mít dopad na kybernetickou bezpečnost dotčeného subjektu Unie.
2a. Rámec uvedený v odstavci 1 definuje strategické cíle k zajištění vysoké úrovně kybernetické bezpečnosti v subjektech Unie. Tento rámec stanoví politiky kybernetické bezpečnosti pro bezpečnost sítí a informačních systémů zahrnující celé prostředí IKT a vymezuje úlohy a povinnosti zaměstnanců subjektů Unie pověřených zajišťováním účinného provádění tohoto nařízení. Rámec rovněž zahrnuje klíčové ukazatele výkonnosti pro měření účinnosti provádění na základě seznamu klíčových ukazatelů výkonnosti uvedeného v čl. 12 odst. 2 písm. eb).
2b. Rámec uvedený v odstavci 1 se pravidelně, nejméně však každé tři roky, přezkoumává. První takový přezkum se provede do... [tři roky ode dne vstupu tohoto nařízení v platnost]. Rámec subjektu Unie se, je-li to vhodné a na žádost výboru IICB, aktualizuje podle pokynů centra CERT-EU týkajících se zjištěných incidentů nebo možných nedostatků v provádění ustanovení tohoto nařízení.
3. Nejvyšší úroveň vedení každého subjektu Unie odpovídá za provádění a dohlíží na soulad a fungování jeho organizace s povinnostmi souvisejícími s rámcem, aniž je dotčena formální odpovědnost jiných úrovní řízení za dodržování předpisů a řízení rizik v jejich příslušných oblastech odpovědnosti, jako je ochrana údajů.
4. Každý subjekt Unie má zaveden účinný mechanismus zajišťující, že přiměřená část rozpočtu na informační a komunikační technologie bude vynaložena na kybernetickou bezpečnost.
5. Každý subjekt Unie jmenuje místního referenta pro kybernetickou bezpečnost nebo osobu vykonávající rovnocennou funkci, která působí jako jediné kontaktní místo pro všechny aspekty kybernetické bezpečnosti. Místní referenti pro kybernetickou bezpečnost mohou pracovat pro několik subjektů Unie současně.
Článek 5
Opatření k řízení kybernetických bezpečnostních rizik
1. Nejvyšší úroveň vedení každého subjektu Unie schválí vlastní opatření subjektu Unie k řízení kybernetických bezpečnostních rizik s cílem řešit rizika zjištěná v rámci uvedeném v čl. 4 odst. 1, a to v souladu s veškerými pokyny a doporučeními IICB a CERT-EU. S ohledem na současný stav techniky a případně na příslušné evropské a mezinárodní normy nebo dostupné evropské certifikáty kybernetické bezpečnosti definované v článku 2, bodu 11 nařízení (EU) 2019/881 zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která by byla úměrná rizikům zjištěným v rámci uvedeném v čl. 4 odst. 1. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
1a. Subjekty Unie zahrnují při provádění opatření k řízení rizik v oblasti kybernetické bezpečnosti alespoň tyto oblasti:
a) politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v odstavci 2a tohoto článku;
b) politické cíle týkající se využívání služeb cloud computingu ve smyslu čl. 6 odst. 30 směrnice (EU) 2022/2555 a technická opatření umožňující práci z domova a její udržení,
c) Aby bylo možné posoudit, zda subjekty Unie mají dostatečnou kontrolu nad bezpečností svých systémů IKT, měla by při vstupu tohoto nařízení v platnost a v každém následujícím roce provést úplný počáteční přezkum kybernetické bezpečnosti, včetně posouzení rizik, zranitelnosti a hrozeb, a penetrační test systémů a zařízení IKT subjektů Unie vedoucí a ověřená třetí strana mimo subjekty Unie (jako je vedoucí společnost zabývající se kybernetickou bezpečností). [datum vstupu tohoto nařízení v platnost] a poté každý následující rok, přičemž se náležitě zohlední požadavky příslušných institucí na bezpečnost informací;
d) s ohledem na přezkumy uvedené v písmenu c) zmírnění oznámených rizik a zranitelných míst v aktualizacích kybernetické bezpečnosti a provádění doporučení prostřednictvím politiky kybernetické bezpečnosti, která může zahrnovat nahrazení nakažených systémů IKT;
e) organizace kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti;
f) řízení prostředí IKT, včetně inventáře aktiv IKT a kartografie sítí IKT;
g) kontrolu přístupu, správu identit a správu privilegovaného přístupu,
h) bezpečnost operací a bezpečnost lidských zdrojů,
i) bezpečnost komunikací;
j) získávání, vývoj, údržba a transparentnost zdrojového kódu;
k) audity kybernetické bezpečnosti;
l) pracovní zátěž zaměstnanců ICT a celková spokojenost;
m) bezpečnost dodavatelského řetězce a dodavatelské vztahy mezi jednotlivými subjekty Unie a jejich přímými dodavateli a poskytovateli služeb,
n) řešení incidentů, včetně postupů zaměřených na připravenost, zjišťování, analýzu a omezení incidentů, na reakci na incidenty a zotavení z incidentů, a spolupráci s centrem CERT-EU, jako je zachování monitorování a vedení protokolů bezpečnosti,
o) řízení kontinuity provozu a krizové řízení; a
p) dovednosti a vzdělávání v oblasti bezpečnosti, zvyšování povědomí o dané problematice a programy odborné přípravy a procvičování.
2. Vrcholné vedení každého subjektu Unie, jakož i všichni příslušní pracovníci pověření prováděním opatření a povinností v oblasti řízení kybernetických bezpečnostních rizik stanovených v tomto nařízení pravidelně absolvuje zvláštní školení, aby získalo dostatečné znalosti a dovednosti umožňující posuzovat a vyhodnocovat kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na provoz subjektu Unie.
2a. Subjekty Unie řeší v souladu s pokyny a doporučeními výboru IICB při provádění opatření k zajištění kybernetické bezpečnosti a ve svém plánu kybernetické bezpečnosti alespoň tato specifická opatření a dílčí kontroly v oblasti kybernetické bezpečnosti:
a) konkrétní kroky pro přechod k architektuře nulové důvěry ve smyslu bezpečnostního modelu složeného ze souboru zásad pro navrhování systémů a koordinované strategie kybernetické bezpečnosti a řízení systémů, které jsou založeny na uvědomění si toho, že hrozby existují uvnitř i vně tradičních hranic sítě,
b) přijetí multifaktoriálního ověřování jako normy u sítí a informačních systémů;
c) používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, šifrování při tranzitu a šifrování v klidu, jakož i bezpečného digitálního podpisu;
d) zabezpečenou hlasovou, obrazovou a textovou komunikaci, příp. zabezpečené systémy tísňové komunikace,
e) zavedení častých a ad hoc skenovacích schopností koncových zařízení a dalších součástí prostředí IKT za účelem odhalování a odstraňování malwarového softwaru, jako je špionážní software,
f) zajištění ochrany soukromí již od návrhu a zvýšené bezpečnosti všech osobních údajů;
g) zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru
h) pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti;
i) účast na analýzách rizik vzájemného propojení mezi subjekty Unie;
j) posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
i) odstranění smluvních překážek, které omezují sdílení informací ohledně incidentů, zranitelných míst a kybernetických hrozeb obdržených od poskytovatelů služeb informační a komunikační technologie s centrem CERT-EU,
ii) smluvní povinnosti hlásit incidenty, zranitelná místa, případy, kdy téměř došlo k incidentu a kybernetické hrozby a mít vypracovánu vhodnou reakci na incidenty a jejich monitorování.
k) vytvoření a přijetí programů odborné přípravy nejvyšších řídících pracovníků a technického a provozního personálu v oblasti kybernetické bezpečnosti, které by odpovídaly předepsaným úkolům a očekávaným schopnostem,
2b. Rada IICB může pro účely přezkumu tohoto nařízení v souladu s článkem 24 doporučit technické a metodické požadavky na oblasti a opatření k řízení rizik uvedené v odst. 1 písm. a) a odst. 2 písm. a) tohoto článku a v případě potřeby doporučit úpravy zohledňující vývoj metod kybernetických útoků, kybernetických hrozeb a technologického pokroku.
Článek 6
Posouzení vyspělosti v oblasti kybernetické bezpečnosti
1. Každý subjekt Unie provede posouzení vyspělosti v oblasti kybernetické bezpečnosti do... [18 měsíců od vstupu nařízení v platnost] a poté alespoň každé dva roky hodnocení vyspělosti kybernetické bezpečnosti, které zahrnuje všechny prvky jejich prostředí informačních technologií popsané v článku 4, přičemž zohlední příslušné pokyny a doporučení přijaté v souladu s článkem 13.
2. Malé subjekty Unie s podobnými úkoly nebo strukturou mohou provádět kombinované posouzení vyspělosti kybernetické bezpečnosti.
3. IICB po konzultaci s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA) a po obdržení pokynů skupiny CERT-EU do... [jeden rok ode dne vstupu tohoto nařízení v platnost] vydává pokyny pro subjekty Unie za účelem provádění posouzení vyspělosti v oblasti kybernetické bezpečnosti. Hodnocení vyspělosti v oblasti kybernetické bezpečnosti musí být založeno na auditech kybernetické bezpečnosti.
4. Na žádost rady IICB a s výslovným souhlasem dotyčného subjektu Unie mohou být výsledky posouzení vyspělosti kybernetické bezpečnosti projednány v rámci IICB nebo v rámci zřízené sítě místních úředníků pro kybernetickou bezpečnost s cílem poučit se ze zkušeností s prováděním tohoto nařízení a vyměňovat si osvědčené postupy a výsledky případů použití.
Článek 7
Plány kybernetické bezpečnosti
1. V návaznosti na závěry vyplývající z posouzení vyspělosti kybernetické bezpečnosti a s ohledem na rizika zjištěná podle článku 4 schválí nejvyšší úroveň vedení každého subjektu Unie plán kybernetické bezpečnosti bez zbytečného odkladu po vytvoření rámce a opatření k řízení kybernetických bezpečnostních rizik. Cílem plánu kybernetické bezpečnosti je zvýšit celkovou kybernetickou bezpečnost dotčeného subjektu Unie, a tím přispět k dosažení nebo posílení vysoké společné úrovně kybernetické bezpečnosti v Unii. Na podporu poslání subjektu Unie na základě jejich institucionální autonomie zahrnuje plán kybernetické bezpečnosti alespoň opatření k řízení kybernetických bezpečnostních rizik uvedená v čl. 5 odst. 1a a 2a. Plán kybernetické bezpečnosti se reviduje nejméně jednou za dva roky nebo v případě nutnosti, přičemž podléhá veškerým podstatným revizím rámce uvedeného v článku 4, a to na základě posouzení vyspělosti kybernetické bezpečnosti provedeného podle článku 6.
2. Plán kybernetické bezpečnosti zahrnuje úlohy příslušných pracovníků, požadovanou úroveň způsobilosti a odpovědnosti pro jeho provádění, včetně podrobných popisů pracovních míst pro technické a provozní pracovníky, jakož i všech příslušných procesů, na nichž je založeno hodnocení výkonnosti.
2a. Plán pro kybernetickou bezpečnost zahrnuje plán subjektu Unie pro řešení kybernetických krizí v případě závažných incidentů.
3. V plánu kybernetické bezpečnosti jsou zohledněny veškeré příslušné pokyny a doporučení vydané skupinou CERT-EU v souladu s článkem 13 a další příslušná nebo cílená doporučení vydaná radou IICB a CERT-EU.
3a. Subjekty Unie předloží své plány kybernetické bezpečnosti Interinstitucionálnímu výboru pro kybernetickou bezpečnost (IICB).
Článek 8
Provádění
1. Po dokončení příslušných posouzení vyspělosti kybernetické bezpečnosti uvedených v článku 6 a plánů kybernetické bezpečnosti uvedených v článku 7 předloží subjekty Unie tato posouzení IICB. ▌Na žádost výboru IICB informují o konkrétních aspektech této kapitoly.
2. Pokyny a doporučení vydané v souladu s článkem 13 podporují provádění ustanovení stanovených v této kapitole.
Kapitola III
IICB
Článek 9
IICB
1. Zřizuje se ▌IICB ▌.
2. Výbor IICB je povinen:
a) sledovat provádění tohoto nařízení subjekty Unie a poskytovat doporučení k dosažení vysoké společné úrovně kybernetické bezpečnosti;
b) dohlížet na plnění obecných priorit a cílů centrem CERT-EU a poskytovat centru CERT-EU strategické řízení.
3. Výbor IICB sestává ze:
a) dvou zástupců jmenovaných každým z těchto subjektů:
i) Evropský parlament;
ii) Rada Evropské unie;
iii) Evropská komise;
b) jednoho zástupce jmenovaného každým z těchto subjektů:
i) Soudní dvůr Evropské unie;
ii) Evropská centrální banka;
iii) Evropský účetní dvůr;
iv) Evropská služba pro vnější činnost;
v) Evropský hospodářský a sociální výbor;
vi) Evropský výbor regionů;
vii) Evropská investiční banka;
viii) ENISA;
ix) Evropský inspektor ochrany údajů (EIOÚ).
x) Evropského průmyslového, technologického a výzkumného centra kompetencí pro kybernetickou bezpečnost,
xi) Agentury Evropské unie pro kosmický program,
c) jeden zástupce jmenovaný sítí agentur Unie (EUAN) na návrh jejího poradního výboru pro IKT, aby zastupoval zájmy jiných agentur, úřadů a institucí, než které jsou uvedeny v písmenech b), viii), x) a xi), jež provozují své vlastní ICT prostředí.
Mezi jmenovanými zástupci musí být zachována genderová vyváženost.
3a. Členům může být nápomocen náhradník. Další zástupci výše uvedených organizací nebo jiných subjektů Unie mohou být předsedou pozváni k účasti na zasedáních výboru IICB bez hlasovacích práv.
3b. Vedoucí týmu CERT-EU a předsedové skupiny pro spolupráci, sítě CSIRT a EU-CyCLONe podle článků 14, 13 a 16 směrnice (EU) 2022/2555 nebo jejich náhradníci se mohou účastnit zasedání IICB jako pozorovatelé. Ve výjimečných případech a v souladu s jednacím řádem IICB může IICB rozhodnout jinak.
4. Výbor IICB přijímá svůj jednací řád.
5. Výbor IICB v souladu s jednacím řádem určuje z řad svých členů předsedu na období čtyř let. Jeho náhradník se na stejnou dobu trvání stává plným členem výboru IICB s volebním právem.
6. Výbor IICB se schází z podnětu svého předsedy, na žádost centra CERT-EU nebo na žádost kteréhokoli ze svých členů nejméně dvakrát za rok.
7. Každý člen výboru IICB má jeden hlas. Rozhodnutí výboru IICB se přijímají prostou většinou, není-li v tomto nařízení stanoveno jinak. Předseda nehlasuje kromě případů rovnosti hlasů, kdy může odevzdat rozhodující hlas.
8. Výbor IICB může jednat zjednodušeným písemným postupem zahájeným v souladu s jednacím řádem výboru IICB. Na základě tohoto postupu se příslušné rozhodnutí ve lhůtě stanovené předsedou považuje za schválené, s výjimkou případů, kdy některý z členů vznese námitku.
▌
10. Funkci sekretariátu výboru IICB zajišťuje Komise.
11. Zástupce nominovaný sítí EUAN Zřizuje se ▌. předává rozhodnutí výboru IICB agenturám a společným podnikům Unie. Jakákoli instituce či jiný subjekt Unie jsou oprávněny se obrátit na zástupce nebo předsedu výboru IICB s jakoukoli záležitostí, o níž se domnívají, že by na ni výbor IICB měl být upozorněn.
▌
13. Výbor IICB může nominovat výkonný výbor, aby mu pomáhal v jeho práci, a přenést na něj některé své úkoly a pravomoci. Výbor IICB stanoví jednací řád výkonného výboru, včetně jeho úkolů a pravomocí a funkčního období jeho členů.
Článek 10
Úkoly výboru IICB
Při výkonu svých povinností výbor IICB zejména:
-a) podporuje subjekty Unie při uplatňování tohoto nařízení s cílem zvýšit jejich příslušnou úroveň kybernetické bezpečnosti;
-aa) účinně sleduje plnění povinností vyplývajících z tohoto nařízení v subjektech Unie, aniž je dotčena jejich institucionální autonomie a celková institucionální rovnováha;
-ab) poskytuje strategické vedení vedoucímu týmu CERT-EU,
a) požaduje od centra CERT-EU zprávy, které se týkají stavu provádění tohoto nařízení ze strany subjektů Unie;
aa) na základě návrhu vedoucího týmu CERT-EU schvaluje doporučení pro dosažení vysoké společné úrovně kybernetické bezpečnosti určená jednomu nebo více subjektům Unie;
ab) stanoví rámec pro provádění vzájemných hodnocení pro subjekty Unie s cílem poučit se ze sdílených zkušeností, posílit vzájemnou důvěru, dosáhnout vysoké společné úrovně kybernetické bezpečnosti, jakož i posílit schopnosti subjektů Unie, jež budou provádět techničtí odborníci v oblasti kybernetické bezpečnosti jmenovaní jiným subjektem, než je přezkoumávaný subjekt;
b) na základě návrhu vedoucího centra CERT-EU schvaluje roční pracovní program centra CERT-EU a sleduje jeho provádění;
c) na základě návrhu vedoucího centra CERT-EU schvaluje katalog služeb centra CERT-EU;
d) na základě návrhu předloženého vedoucím centra CERT-EU schvaluje roční finanční plán příjmů a výdajů, včetně personálního obsazení, pro činnosti centra CERT-EU;
e) na základě návrhu vedoucího centra CERT-EU schvaluje postupy pro uzavírání dohod o úrovni služeb;
f) zkoumá a schvaluje výroční zprávu o činnosti centra CERT-EU a správě finančních prostředků centra CERT-EU vypracovanou vedoucím centra CERT-EU;
g) schvaluje a sleduje klíčové ukazatele výkonnosti pro centrum CERT-EU stanovené na základě návrhu vedoucího centra CERT-EU;
h) schvaluje ujednání o spolupráci, ujednání o úrovni služeb nebo smlouvy mezi centrem CERT-EU a dalšími subjekty podle článku 17;
ha) přijímá pokyny nebo doporučení na základě návrhu centra CERT-EU,
hb) v případě nutnosti nařizuje centru CERT-EU, aby návrh pokynů nebo doporučení či výzvu k přijetí opatření vydalo, stáhlo nebo upravilo.
i) zřizuje ▌technických poradních skupin, aby na základě plnění konkrétních úkolů napomáhaly práci výboru IICB, schvaluje jejich mandát a určuje jejich příslušné předsedy.
ia) přezkoumává a na požádání v souladu s příslušnými pokyny skupiny CERT-EU poskytuje zpětnou vazbu subjektům Unie ohledně posouzení vyspělosti kybernetické bezpečnosti podle článku 6 a plánů kybernetické bezpečnosti uvedených v článku 7,
ib) usnadňuje výměnu osvědčených postupů mezi místními úředníky pro kybernetickou bezpečnost, případně poskytuje doporučení týkající se jejich úlohy v rámci subjektů Unie,
ic) přezkoumává možná propojení mezi subjekty Unie v oblasti IKT a vede soupis společně využívaných složek produktů, služeb a procesů IKT,
id) případně přijímá doporučení týkající se interoperability prostředí IKT subjektů Unie nebo jejich součástí,
ie) podporuje zřízení skupiny úředníků pro kybernetickou bezpečnost koordinované v rámci agentury ENISA sdružující místní úředníky pro kybernetickou bezpečnost všech subjektů Unie s cílem usnadnit výměnu osvědčených postupů a zkušeností získaných při uplatňování tohoto nařízení,
if) vypracuje plán pro incidenty a reakci na závažné incidenty a koordinuje přijímání jednotlivých plánů subjektů Unie pro řešení kybernetických krizí uvedených v čl. 7 odst. 2a,
ig) na základě výsledků koordinovaného posouzení rizik kritických dodavatelských řetězců uvedených v článku 22 směrnice (EU) 2022/2555 přijímá doporučení na podporu subjektů Unie při přijímání účinných přiměřených opatření k řízení rizik týkajících se kybernetické bezpečnosti v oblasti bezpečnosti dodavatelského řetězce podle čl. 5 odst. 1a, písm. m),
ih) vypracovává pokyny pro ujednání o sdílení informací podle článku 19,
Článek 11
Dodržování povinností
1. Výbor IICB sleduje provádění tohoto nařízení a přijatých pokynů, doporučení a výzev k přijetí opatření ze strany subjektů Unie. Pokud výbor IICB zjistí, že subjekty Unie toto nařízení nebo pokyny, doporučení a výzvy k přijetí opatření vydané podle tohoto nařízení účinně neuplatňují nebo neprovádějí, může, aniž by byly dotčeny interní postupy příslušného subjektu Unie:
-a) vyžádat si relevantní a dostupnou dokumentaci dotčeného subjektu Unie;
-aa) sdělit dotčenému subjektu Unie odůvodněné stanovisko se zjištěnými nedostatky v provádění tohoto nařízení;
-ab) vyzvat dotčený subjekt Unie, aby ve stanovené lhůtě poskytl vlastní posouzení daného odůvodněného stanoviska;
-ac po konzultaci s centrem CERT-EU poskytnout jednotlivému subjektu Unie pokyny, aby ve stanovené lhůtě uvedl svůj příslušný rámec, opatření k řízení kybernetických bezpečnostních rizik, plány kybernetické bezpečnosti a povinnosti podávat zprávy do souladu s tímto nařízením;
a) vydat varování; je-li to nezbytné vzhledem k závažnému kybernetickému bezpečnostnímu riziku, okruh osob, jimž je varování určeno, se vhodně omezí;
b) požádat, aby příslušná auditorská služba provedla audit,
ba) informovat Účetní dvůr o údajném nesplnění povinností.
Veškerá varování a doporučení jsou určena nejvyšší úrovni vedení dotyčného subjektu Unie.
2. Pokud malé subjekty Unie oznámí, že nejsou schopny dodržet lhůty uvedené v čl. 4 odst. 1 a čl. 5 odst. 1, může IICB v mimořádných případech povolit jejich prodloužení a stanovit lhůty pro splnění povinností.
Kapitola IV
Centrum CERT-EU
Článek 12
Poslání a úkoly centra CERT-EU
1. Posláním CERT-EU, autonomního interinstitucionálního centra kybernetické bezpečnosti pro všechny subjekty Unie, je přispívat k bezpečnosti neutajovaného IKT prostředí všech ▌subjektů Unie a poskytovat jim služby, které jsou obdobné týmům CSIRT zřízeným členskými státy podle směrnice (EU) 2022/2555, zejména tak, že jim poskytuje poradenství v oblasti kybernetické bezpečnosti, pomáhá jim předcházet incidentům, odhalovat incidenty, řešit incidenty, zmírňovat incidenty a reagovat na incidenty a zotavit se po incidentech a působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty.
2. Centrum CERT-EU vykonává pro ▌subjekty Unie tyto úkoly:
a) podporuje je při provádění tohoto nařízení a přispívá ke koordinaci uplatňování tohoto nařízení prostřednictvím opatření uvedených v čl. 13 odst. 1 nebo prostřednictvím ad hoc zpráv vyžádaných IICB;
b) podporuje je pomocí souboru služeb v oblasti kybernetické bezpečnosti popsaných v jeho katalogu služeb (dále jen „základní služby“);
ba) v případě subjektů Unie, které nejsou schopny tak činit samy, provozuje rozsáhlé bezpečnostní operační středisko (SOC), které monitoruje sítě, včetně monitorování v první linii 24 hodin denně 7 dní v týdnu, pokud jde o vysoce závažné hrozby;
c) udržuje síť kolegů a partnerů pro podporu služeb popsaných v článcích 16 a 17;
d) upozorňuje výbor IICB na jakýkoli problém týkající se provádění tohoto nařízení a provádění článku 13 a předkládá návrhy doporučení;
e) nahlašuje subjektům Unie relevantní kybernetické hrozby a přispívá k informovanosti Unie o aktuální kybernetické situaci s přihlédnutím ke stanovisku agentury ENISA a tato hlášení předkládá výboru IICB a síti CSIRT uvedené v článku 15 směrnice (EU) 2022/2555 a Zpravodajskému a informačnímu centru EU (EU-INTCEN);
ea) jedná jako specializovaný koordinátor subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelných místech v evropské databázi zranitelných míst podle článku 12 směrnice (EU) 2022/2555;
eb) po konzultaci s agenturou ENISA navrhuje výboru IICB bezpečnostní kritéria, seznam možných klíčových ukazatelů výkonnosti a měřítka používaná v rámcích pro kybernetickou bezpečnost, které používají subjekty Unie;
ec) navrhuje výboru IICB a po konzultaci s agenturou ENISA stanovuje prioritní oblasti a prioritní opatření kybernetické bezpečnosti, která mají subjekty Unie zohlednit ve svém rámci pro kybernetickou bezpečnost;
ed) poskytuje subjektům Unie jeden nebo více modelů vyspělosti kybernetické bezpečnosti, které mají být použity v jejich rámcích pro kybernetickou bezpečnost a které odrážejí jejich velikost a oblasti kybernetické bezpečnosti, jež používají;
ee) poskytuje služby, které s vysokou mírou transparentnosti a spolehlivosti podporují výměnu informací, zejména pokud jde o oznámení subjektů Unie adresovaná centru CERT-EU;
ef) provádí pravidelnou analýzu rizik vzájemného propojení mezi subjekty Unie za účelem podpory úkolů IICB.
3. Centrum CERT-EU přispívá k činnosti Společné kybernetické jednotky, vybudované v souladu s doporučením Komise ze dne 23. června 2021, mimo jiné v těchto oblastech:
a) připravenost, koordinace při řešení incidentů, výměna informací a reakce na krize na technické úrovni v případech souvisejících se subjekty Unie;
b) operativní spolupráce týkající se sítě týmů pro reakce na počítačové bezpečnostní incidenty (týmů CSIRT), včetně vzájemné pomoci, a týkající se širší komunity v oblasti kybernetické bezpečnosti;
ba) koordinace řízení závažných incidentů a krizí na operativní úrovni a pravidelná výměna příslušných informací mezi členskými státy a subjekty Unie v rámci Evropské sítě styčných organizací pro kybernetické krize (EU-CyCLONe);
c) zpravodajské informace o kybernetických hrozbách, včetně informovanosti o aktuální situaci;
ca) aktivní skenování sítí a informačních systémů,
d) ohledně jakéhokoli tématu vyžadujícího technické odborné znalosti centra CERT-EU v oblasti kybernetické bezpečnosti.
4. Centrum CERT-EU se zapojuje do strukturované spolupráce s agenturou ENISA v oblasti budování kapacit, operativní spolupráce a dlouhodobých strategických analýz kybernetických hrozeb v souladu s nařízením ▌(EU) 2019/881. Centrum CERT-EU může spolupracovat a vyměňovat si informace s evropským centrem Europolu pro boj proti kyberkriminalitě.
5. Centrum CERT-EU může subjektům EU poskytovat tyto služby, které nejsou popsány v jeho katalogu služeb (dále jen „zpoplatněné služby“):
a) jiné služby, které podporují kybernetickou bezpečnost prostředí IKT subjektů Unie, než služby uvedené v odstavci 2, a to na základě dohod o úrovni služeb a v závislosti na dostupných zdrojích, včetně monitorování sítí a monitorování v první linii 24 hodin denně 7 dní v týdnu u větších subjektů Unie prostřednictvím bezpečnostního operačního střediska uvedeného v odst. 2 písm. ba) tohoto článku;
b) služby, které podporují operace nebo projekty subjektů Unie v oblasti kybernetické bezpečnosti, jiné než služby na ochranu jejich prostředí informačních a komunikačních technologií, na základě písemných dohod a po předchozím schválení výborem IICB;
c) služby, které podporují bezpečnost prostředí IKT jiných organizací než subjektů Unie, které úzce spolupracují se subjekty Unie například tak, že jim byly uloženy úkoly nebo povinnosti podle práva Unie, a to na základě písemných dohod a po předchozím schválení výborem IICB.
6. Centrum CERT-EU v úzké spolupráci s agenturou ENISA, kdykoli je to použitelné, pravidelně organizuje cvičení v oblasti kybernetické bezpečnosti za účelem testování úrovně kybernetické subjektů Unie.
7. Centrum CERT-EU poskytuje pomoc subjektům Unie v souvislosti s incidenty v utajovaných prostředích informačních a komunikačních technologií, pokud o to dotyčný zúčastněný subjekt výslovně požádá. Ustanovení a povinnosti týkající se všech subjektů Unie stanovené v kapitole V se nevztahují na incidenty v utajených prostředích IKT, pokud je jednotlivý subjekt Unie výslovně a dobrovolně neuplatňuje, aby si vyžádal od skupiny CERT-EU použitelnou pomoc nebo jiným způsobem přispěl k situačnímu povědomí na úrovni Unie.
7a. Centrum CERT-EU předkládá za vhodných podmínek zachování důvěrnosti Evropskému parlamentu výroční zprávu o své činnosti. Tato zpráva obsahuje relevantní a přesné informace o závažných incidentech a způsobu, jakým byly vyřešeny.
7b. Centrum CERT-EU spolupracuje s evropským inspektorem ochrany údajů na podpoře subjektů Unie při incidentech, které mají za následek porušení bezpečnosti osobních údajů ve smyslu čl. 3 bodu 16 nařízení (EU) 2018/1725.
7c. Zpracovávání osobních údajů prováděné podle tohoto nařízení centrem CERT-EU se řídí nařízením (EU) 2018/1725.
7d. Centrum CERT-EU může subjektům Unie poskytovat pomoc při navázání vhodné vzájemné spolupráce v oblasti kybernetické bezpečnosti, pokud jde o znalosti v oblasti kybernetické bezpečnosti, zaměstnance a zdroje IKT a odborné znalosti v oblasti kybernetické bezpečnosti.
7e. Centrum CERT-EU informuje evropského inspektora ochrany údajů při řešení významných zranitelných míst, závažných incidentů nebo závažných útoků, které mohou vést k narušení bezpečnosti osobních údajů, příp. k porušení důvěrnosti elektronických komunikací.
7f. Skupina CERT-EU informuje evropského inspektora ochrany údajů o preventivní činnosti v oblasti kybernetické bezpečnosti, které by vedly ke shromažďování osobních údajů.
Článek 13
Pokyny, doporučení a výzvy k přijetí opatření
1. Centrum CERT-EU podporuje provádění tohoto nařízení vydáváním:
a) výzev k přijetí opatření popisujících naléhavá bezpečnostní opatření, jejichž přijetí ve stanovené lhůtě je vyžadováno od subjektů Unie;
b) návrhů pokynů určených všem subjektům Unie nebo jejich podmnožině, které předkládá výboru IICB;
c) návrhů doporučení určených jednotlivým nebo všem subjektům Unie, které předkládá výboru IICB.
2. Pokyny a doporučení mohou obsahovat:
a) postupy nebo vylepšení týkající se řízení kybernetických bezpečnostních rizik a opatření k řízení kybernetických bezpečnostních rizik;
b) ujednání pro hodnocení kybernetické vyspělosti a plánů v oblasti kybernetické bezpečnosti; a pokud
c) případně používání společné technologie, architektury s otevřeným zdrojovým kódem a souvisejících osvědčených postupů s cílem dosáhnout interoperability a společných norem;
ca) tam, kde je to vhodné, usnadňování společného nákupu příslušných služeb a produktů IKT.
▌
Článek 14
Vedoucí centra CERT-EU
Po schválení dvoutřetinovou většinou členů IICB jmenuje Komise vedoucího centra CERT-EU. Výbor IICB je konzultován ve všech fázích postupu předcházejícího jmenování vedoucího centra CERT-EU, a to zejména při vypracovávání oznámení o volném pracovním místě, posuzování žádostí a jmenování výběrových komisí v souvislosti s tímto pracovním místem. Konečný seznam kandidátů obsahuje alespoň jednoho muže a jednu ženu.
Vedoucí týmu CERT-EU předkládá nejméně jednou ročně IICB a předsedovi IICB zprávy o činnostech a výsledcích týmu CERT-EU během referenčního období, včetně plnění rozpočtu, uzavřených dohod o úrovni služeb a písemných dohod, spolupráce s protějšky a partnery a služebních cest zaměstnanců, včetně zpráv uvedených v článku 10 ▌ . Tyto zprávy obsahují pracovní program na příští období, finanční plánování příjmů a výdajů, včetně personálního obsazení, plánované aktualizace katalogu služeb týmu CERT-EU a posouzení očekávaného dopadu, který tyto aktualizace mohou mít z hlediska finančních a lidských zdrojů.
Vedoucí týmu CERT-EU rovněž předkládá ad hoc zprávy výboru IICB na jeho žádost.
Článek 15
Finanční a personální záležitosti
1. Centrum CERT-EU je zřízeno jako samostatný interinstitucionální poskytovatel služeb pro všechny subjekty Unie, je však začleněno do administrativní struktury generálního ředitelství Komise, aby mohlo využívat podpůrné struktury Komise v oblasti administrativy, financování, řízení a účetnictví. Komise informuje výbor IICB o administrativním umístění centra CERT-EU a případných změnách tohoto umístění. Tento přístup má být pravidelně vyhodnocován, aby bylo možné přijmout vhodná opatření, včetně případného zřízení týmu CERT-EU jakožto úřadu Unie.
1a. Veškerá rozhodnutí týkající se personálního obsazení a přidělení rozpočtových prostředků týmu CERT-EU se předkládají k formálnímu schválení ze strany IICB.
2. Při uplatňování administrativních a finančních postupů jedná vedoucí centra CERT-EU z pověření Komise, pod dohledem výboru IICB.
3. Úkoly a činnosti centra CERT-EU, včetně služeb poskytovaných centrem CERT-EU podle čl. 12 odst. 2, 3, 4 a 6 a uvedené v čl. 13 odst. 1 subjektům Unie financovaným z okruhu víceletého finančního rámce vyhrazeného evropské veřejné správě jsou financovány prostřednictvím samostatné rozpočtové položky rozpočtu Komise. Místa vyčleněná pro centrum CERT-EU jsou podrobně popsána v poznámce pod čarou k plánu pracovních míst Komise.
4. Subjekty Unie jiné než orgány, instituce a jiné subjekty Unie uvedené v odstavci 3 každoročně finančně přispívají centru CERT-EU na úhradu služeb poskytovaných centrem CERT-EU podle uvedeného odstavce 3. Příslušné příspěvky vycházejí z pokynů vydaných výborem IICB a dohodnutých mezi každým subjektem a centrem CERT-EU v dohodách o úrovni služeb. Příspěvky představují spravedlivý a přiměřený podíl na celkových nákladech na poskytované služby. Převádějí se na samostatnou rozpočtovou položku uvedenou v odstavci 3 jakožto účelově vázaný příjem stanovený v čl. 21 odst. 3 písm. c) nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046[9].
5. Náklady na úkoly stanovené v čl. 12 odst. 5 jsou hrazeny [...] subjekty Unie, které jsou příjemci služeb centra CERT-EU. Příjmy jsou účelově vázány na rozpočtové položky podporující náklady.
Článek 16
Spolupráce centra CERT-EU s protějšky v členských státech
1. Centrum CERT-EU spolupracuje s vnitrostátními protějšky v členských státech, včetně týmů CERT, národních center pro kybernetickou bezpečnost, týmů CSIRT a jednotných kontaktních míst uvedených v článku 8 směrnice (EU) 2022/2555 a vyměňuje si s nimi informace ohledně hrozeb, zranitelných míst a incidentů v oblasti kybernetické bezpečnosti, jakož i případy, kdy téměř došlo k incidentu, ohledně možných protiopatření a osvědčené praktiky ohledně veškerých záležitostí, které mají význam pro zlepšení ochrany prostředí informačních technologií v subjektech Unie, a to i prostřednictvím sítě týmů CSIRT uvedené v článku 15 směrnice (EU) 2022/2555. Tým CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe uvedené v článku 16 směrnice (EU) 2022/2555 o koordinovaném řízení závažných incidentů a krizí.
2. Skupina CERT-EU si může vyměňovat informace týkající se konkrétních incidentů s vnitrostátními protějšky v členských státech s cílem usnadnit odhalování podobných kybernetických hrozeb nebo incidentů bez povolení dotčeného subjektu, pokud jsou osobní údaje chráněny v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679[10]. Informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, si může centrum CERT-EU vyměňovat pouze se souhlasem dotčených orgánů, a v plném souladu s obecným nařízením (EU) 2016/679.
Článek 17
Spolupráce centra CERT-EU s protějšky v nečlenských státech
1. Centrum CERT-EU může spolupracovat s protějšky v nečlenských státech, které podléhají požadavkům Unie na kybernetickou ochranu nebo požadavkům podobné povahy, včetně protějšků zaměřených na konkrétní průmyslová odvětví, ohledně nástrojů a metod, jako například techniky, taktiky, postupů a osvědčených postupů, jakož i ohledně kybernetických hrozeb a zranitelných míst. Pro účely veškeré spolupráce s těmito protějšky, včetně spolupráce na základě rámců, v nichž protějšky ze zemí mimo EU spolupracují s vnitrostátními protějšky členských států, požádá centrum CERT-EU výbor IICB o předchozí souhlas.
2. Centrum CERT-EU může v zájmu shromažďování informací o obecných a konkrétních hrozbách, téměř nastalých incidentech, zranitelných místech a možných protiopatřeních spolupracovat s dalšími partnery, jako jsou komerční subjekty (včetně subjektů zaměřených na konkrétní hospodářská odvětví), mezinárodní organizace, vnitrostátní subjekty zemí mimo Evropskou unii nebo jednotliví odborníci. Pro účely širší spolupráce s těmito partnery požádá centrum CERT-EU výbor IICB o předchozí souhlas.
3. Centrum CERT-EU může se souhlasem zúčastněného subjektu dotčeného incidentem poskytnout informace týkající se tohoto incidentu partnerům, kteří mohou přispět k jeho analýze.
Kapitola V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
Článek 18
Nakládání s informacemi
1. Centrum CERT-EU a subjekty Unie musejí dodržovat povinnost zachování profesního tajemství v souladu s článkem 339 Smlouvy o fungování Evropské unie nebo s rovnocennými použitelnými rámci.
2. V souvislosti se žádostmi o přístup veřejnosti k dokumentům v držení centra CERT-EU se použijí ustanovení nařízení Evropského parlamentu a Rady (ES) č. 1049/2001[11], včetně povinnosti podle uvedeného nařízení konzultovat s jinými subjekty Unie a případně členskými státy, pokud se žádost týká jejich dokumentů.
3. Zpracovávání osobních údajů prováděné podle tohoto nařízení se řídí nařízením (EU) č. 2018/1725 ▌.
Jakékoli zpracování, výměna, shromažďování nebo uchovávání osobních údajů centrem CERT-EU, výborem IICB a subjekty Unie je omezeno na zpracování, výměnu, shromažďování nebo uchovávání, které je nezbytně nutné, a provádí se výhradně za účelem splnění jejich příslušných povinností podle tohoto nařízení.
3a. Komise do [1 rok po vstupu tohoto nařízení v platnost] přijme v souladu s článkem 24a akt v přenesené pravomoci, v němž upřesní, které činnosti zpracování osobních údajů jsou podle tohoto nařízení povoleny, včetně účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, podmínek zpracování údajů, maximální doby uchovávání, definice správců a zpracovatelů údajů a příjemců v případě předání.
Akt v přenesené pravomoci uvedený v prvním pododstavci omezí činnosti zpracování na ty, které jsou nezbytně nutné, a vyžaduje, aby tyto činnosti zpracování byly co nejcílenější a nezahrnovaly nerozlišující uchovávání provozních údajů nebo údajů o obsahu.
Komise akt v přenesené pravomoci uvedený v prvním pododstavci změní, pokud zjistí významné změny týkající se nezbytnosti, konkrétních účelů nebo subjektů zapojených do zpracování osobních údajů pro účely tohoto nařízení.
4. Nakládání s informacemi ze strany centra CERT-EU a subjektů Unie musí být v souladu s pravidly stanovenými v nařízení [navrhovaném nařízení o zajištění bezpečnosti informací]. Při spolupráci s dalšími protějšky tým CERT-EU využívá ekvivalentní pravidla pro nakládání s informacemi.
5. Ředitelství pro bezpečnost Komise, Europol a předseda výboru IICB jsou neprodleně informováni o jakýchkoli kontaktech s centrem CERT-EU, které iniciují nebo o jejichž navázání usilují vnitrostátní bezpečnostní a zpravodajské služby.
5a. Informace o dokončení bezpečnostních plánů ze strany subjektů Unie se sdílejí s orgány udělujícími absolutorium.
5b. Pokyny a doporučení a výzvy k přijetí opatření vydané IICB jsou sdíleny s orgány udělujícími absolutorium.
Článek 19
Ujednání o sdílení informací o kybernetické bezpečnosti a povinností
-1. Subjekty Unie mohou týmu CERT-EU dobrovolně hlásit kybernetické hrozby, téměř nastalé incidenty a zranitelná místa, které se jich týkají, a poskytovat mu o nich informace. Tým CERT-EU zajistí, aby byla přijata účinná opatření k zajištění důvěrnosti a náležité ochrany informací poskytnutých nahlašujícím subjektem Unie. Centrum CERT-EU zajistí, aby v zájmu usnadnění sdílení informací se zúčastněnými subjekty Unie byly k dispozici účinné komunikační prostředky. Centrum CERT-EU může při zpracovávání oznámení dát přednost zpracování povinných oznámení před dobrovolnými oznámeními. Na základě dobrovolného hlášení nesmí být oznamujícímu subjektu uloženy žádné další povinnosti, které by mu nebyly uloženy, kdyby toto nahlášení neučinil.
1. Aby se centru CERT-EU umožnilo účinně plnit své poslání a úkoly stanovené v článku 12 tohoto nařízení, zejména koordinovat řízení zranitelnosti ▌, může požádat subjekty Unie o poskytnutí informací ze soupisů jejich příslušných systémů IKT, které mají význam pro podporu ze strany centra CERT-EU. Dožádaný subjekt Unie může bez zbytečného odkladu předat požadované informace a všechny jejich následné aktualizace.
Aniž je dotčeno nařízení (EU) 2018/1725 veškeré sdílení údajů mezi centrem CERT-EU a subjekty Unie se provádí v souladu se zásadami jasných záruk pro konkrétní případy použití a uplatňují se při něm smlouvy o vzájemné právní pomoci a další dohody s cílem zajistit vysokou úroveň ochrany práv při zpracovávání žádostí o přeshraniční přístup k údajům.
▌
3. Centrum CERT-EU si může vyměňovat informace týkající se konkrétního incidentu, které odhalují totožnost subjektu Unie, jehož se incident týká, pouze se souhlasem tohoto subjektu. Informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, si může centrum CERT-EU vyměňovat pouze se souhlasem zúčastněného subjektu dotčeného tímto incidentem. Vzhledem ke svým úkolům v oblasti kontroly může Evropský parlament tyto informace požadovat bez souhlasu dotčeného subjektu Unie. Pokud Evropský parlament požaduje informace bez souhlasu dotčeného subjektu, jeho jednání se nekonají veřejně a všechny příslušné dokumenty se posuzují pouze na základě zásady „vědět jen to nejnutnější“.
4. Ujednání a povinnosti související se sdílením informací o kybernetické bezpečnosti se nevztahují na utajované informace EU a na informace, které subjekt Unie obdržel od bezpečnostní a zpravodajské služby nebo donucovacího orgánu členského státu, pokud bezpečnostní nebo zpravodajská služba členského státu nebo donucovací orgán nepovolí sdílení těchto informací s centrem CERT-EU.
Článek 20
Ohlašovací povinnosti
1. Všechny subjekty Unie ohlásí týmu CERT-EU v souladu s odstavcem 1d každý incident, který má významný dopad. Incident se považuje za významný, jestliže:
a) dotčenému subjektu způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty;
b) způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu.
1a. Subjekty Unie ohlásí mimo jiné veškeré informace, které týmu CERT-EU umožní určit jakýkoli dopad na více subjektů, dopad na hostitelský členský stát nebo přeshraniční dopad v návaznosti na významný incident. Pouhé ohlášení nepředstavuje pro oznamující subjekt Unie vyšší míru právní odpovědnosti.
1b. V příslušných případech subjekty Unie bez zbytečného odkladu ohlásí uživatelům dotčených sítí a informačních systémů nebo jiných složek prostředí IKT, kteří jsou potenciálně dotčeni významným incidentem nebo významnou kybernetickou hrozbou, jakákoli opatření nebo nápravná opatření, která mohou být přijata v reakci na incident nebo hrozbu. Subjekty Unie případně informují uživatele o samotné hrozbě.
1c. Pokud se významný incident nebo významná kybernetická hrozba týká sítě a informačního systému nebo složky prostředí IKT subjektu Unie, který je vědomě propojen s prostředím IKT jiného subjektu Unie, tým CERT-EU informuje bez zbytečného odkladu dotčený subjekt Unie.
1d. Všechny subjekty Unie předloží centru CERT-EU:
a) neprodleně, nejpozději však do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významný incident způsoben neoprávněným nebo svévolným zásahem nebo že by mohl mít přeshraniční dopad nebo dopad na více subjektů Unie;
b) neprodleně, nejpozději však do 72 hodin po zjištění významného incidentu, oznámení o incidentu, v němž případně aktualizují informace uvedené v písmenu a), předloží počáteční posouzení významného incidentu a uvedou jeho závažnost a dopad a – pokud jsou k dispozici – indikátory narušení;
c) na žádost centra CERT-EU průběžnou zprávu o příslušném aktuálním vývoji situace;
2. Subjekty Unie dále předloží týmu CERT-EU závěrečnou zprávu nejpozději do jednoho měsíce od předložení zprávy o incidentu uvedené v odst. 1d písm. b). V případě přetrvávajících významných incidentů v době předložení závěrečné zprávy zprávu o pokroku v daném okamžiku a závěrečnou zprávu do jednoho měsíce od vyřešení incidentu. Zpráva o incidentu obsahuje alespoň tyto údaje, jsou-li k dispozici:
a) podrobný popis incidentu, včetně jeho závažnosti a dopadu;
b) druh hrozby nebo základní příčinu, která incident pravděpodobně spustila;
c) opatření ke zmírnění dopadů, která byla provedena nebo jsou prováděna;
d) případně možný dopad incidentu na jiné subjekty Unie nebo přeshraniční dopad.
2a. V řádně odůvodněných případech a po dohodě s centrem CERT-EU se dotčený subjekt Unie může odchýlit od lhůty stanovené v odstavci 2. Je-li dohodnuta odchylka, předloží subjekt Unie zprávu o pokroku ve lhůtě pro předložení závěrečné zprávy.
2b. Subjekty Unie na žádost centra CERT-EU a bez zbytečného odkladu poskytnou digitální informace vytvořené použitím elektronických zařízení, která se podílela na jejich příslušných incidentech. Centrum CERT-EU může dále upřesnit, které typy těchto digitálních informací požaduje pro situační přehled a reakci na incidenty.
3. Orgán CERT-EU předkládá agentuře ENISA měsíční souhrnnou zprávu obsahující anonymizované a agregované údaje o významných incidentech, kybernetických hrozbách, incidentech, případech, kdy téměř došlo k incidentu, a zranitelných místech oznámených v souladu s odstavcem 1d tohoto článku a s článkem 19 odst. -1.
4. Do … [jeden rok ode dne vstupu tohoto nařízení v platnost] vydá tým CERT-EU pokyny nebo doporučení týkající se ujednání a obsahu zpráv. Při přípravě těchto pokynů nebo doporučení zohlední centrum CERT-EU specifikace stanovené v prováděcích aktech přijatých Komisí, které upřesňují druh informací, formát a postup oznámení předloženého podle čl. 23 odst. 11 směrnice (EU) 2022/2555. Centrum CERT-EU šíří vhodné technické podrobnosti s cílem umožnit aktivní odhalování incidentů, reakci na incidenty nebo opatření ke zmírnění dopadů incidentů ze strany subjektů Unie.
5. Oznamovací povinnosti se nevztahují na utajované informace EU a na informace, které subjekt Unie obdržel od bezpečnostní a zpravodajské služby nebo donucovacího orgánu členského státu za výslovné podmínky, že nebudou sdíleny s orgánem CERT-EU.
Článek 21
Koordinace reakcí na incidenty
1. Centrum CERT-EU, které působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty, usnadňuje výměnu informací o kybernetických hrozbách, zranitelných místech, případech, kdy téměř došlo k incidentu a incidentech mezi:
a) subjekty Unie;
b) protějšky uvedenými v článcích 16 a 17.
2. Centrum CERT-EU usnadňuje koordinaci reakcí subjektů Unie na incidenty, včetně:
a) přispívání k jednotné vnější komunikaci;
b) vzájemné pomoci;
c) optimálního využití operativních zdrojů;
d) koordinace s dalšími mechanismy reakce na krizové situace na úrovni Unie.
3. Centrum CERT-EU ve spolupráci s agenturou ENISA podporuje subjekty Unie v oblasti situačního povědomí o kybernetických hrozbách, zranitelných místech, případech, kdy téměř došlo k incidentu, a incidentech, jakož i sdílení nejnovějších zpráv z oblasti kybernetické bezpečnosti.
4. Do … [jeden rok ode dne vstupu tohoto nařízení v platnost] vydává výbor IICB pokyny pro koordinaci reakcí na incidenty a pro spolupráci při významných incidentech. Existuje-li podezření z trestní povahy incidentu, IICB a CERT-EU poskytnou poradenství o tom, jak incident bez zbytečného odkladu hlásit donucovacím orgánům.
Článek 22
Závažné incidenty
1. Tým CERT-EU koordinuje mezi subjekty Unie řešení závažných incidentů. V tomto ohledu vede soupis dostupných technických odborných znalostí, které by byly zapotřebí pro reakci na incidenty v případě takových závažných incidentů, a pomáhá IICB při koordinaci plánů subjektů Unie pro řešení kybernetických krizí pro závažné incidenty uvedené v čl. 7 odst. 2a.
2. Subjekty Unie přispívají k seznamu technických odborných znalostí tím, že poskytují každoročně aktualizovaný seznam odborníků, kteří jsou k dispozici v rámci jejich příslušných organizací, s podrobným uvedením jejich konkrétních technických dovedností.
3. Se souhlasem dotčených subjektů Unie se centrum CERT-EU může rovněž obrátit na odborníky ze seznamu uvedeného v odstavci 2, aby přispěli k reakci na významný incident v některém členském státě, a to v souladu s operačními postupy EU CyCLONe. Na návrh skupiny CERT EU schválí IICB zvláštní pravidla pro přístup k technickým odborníkům ze subjektů Unie a jejich využívání.
Kapitola VI
ZÁVĚREČNÁ USTANOVENÍ
Článek 23
Původní rozpočtová opatření
1. Ve svém návrhu prvního rozpočtu, který má být přijat po... [datum vstupu tohoto nařízení v platnost] Komise zohlední zvýšené rozpočtové a personální potřeby všech subjektů Unie, zejména malých subjektů Unie, které jsou spojeny s povinnostmi vyplývajícími z tohoto nařízení.
2. V zájmu zajištění řádného a stabilního fungování týmu CERT-EU může Komise navrhnout přerozdělení zaměstnanců a finančních zdrojů do rozpočtu Komise pro použití v operacích týmu CERT-EU z rozpočtů na IKT některých subjektů Unie na základě jasných kritérií a aniž je dotčena jejich kybernetická bezpečnost. Přerozdělení je účinné současně s prvním rozpočtem přijatým po vstupu tohoto nařízení v platnost.
Článek 24
Přezkum
1. Výbor IICB za pomoci týmu CERT-EU nejméně jednou ročně podává Komisi zprávy o provádění tohoto nařízení. Výbor IICB může také Komisi doporučit, aby navrhla změny tohoto nařízení.
2. Komise vyhodnotí provádění tohoto nařízení a podá o něm zprávu a o zkušenostech získaných na strategické a operativní úrovni Evropskému parlamentu a Radě do... [36 měsíců ode dne vstupu tohoto nařízení v platnost] a poté každé dva roky.
2a. Ve zprávách uvedených v odstavci 2 tohoto článku se s přihlédnutím k čl. 15 odst. 1a vyhodnotí možnost zřízení týmu CERT-EU jako úřadu Unie.
3. Komise vyhodnotí fungování tohoto nařízení a podá zprávu Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů nejdříve pět let ode dne jeho vstupu v platnost.
Článek 24a
Výkon přenesené pravomoci
1. Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.
2. Pravomoc přijímat akty v přenesené pravomoci uvedená v článku 18 je svěřena Komisi na dobu neurčitou od ... [1 den po vstupu tohoto nařízení v platnost].
3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v článku 18 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.
4. Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.
5. Akt v přenesené pravomoci přijatý podle čl. 18 odst. 3a vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament ani Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.
Článek 25
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V/ve ...,
Za Evropský parlament Za Radu
předseda/předsedkyně předseda/předsedkyně
▌
VYSVĚTLUJÍCÍ PROHLÁŠENÍ
SOUVISLOSTI
Komise ve svém návrhu nařízení, které má zajistit vysokou společnou úroveň kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie, stanovila opatření pro všechny subjekty Unie, aby bylo možné vytvořit rámec pro společná pravidla v oblasti kybernetické bezpečnosti a zavést opatření, která posílí jejich odolnost a schopnost reagovat na incidenty. Jedná se o první unijní právní předpis, který se zaměřuje na kybernetickou bezpečnost orgánů, institucí a jiných subjektů EU.
Cílem návrhu je zlepšit odolnost subjektů Unie a jejich schopnost reagovat na incidenty a rozšířit mandát a financování skupiny CERT-EU, která bude přejmenována z „týmu pro reakci na počítačové hrozby“ na „centrum pro kybernetickou bezpečnost“. Návrh také zřizuje Interinstitucionální výbor pro kybernetickou bezpečnost, jehož úkolem je sledovat provádění tohoto nařízení ze strany orgánů, institucí a jiných subjektů Unie a dohlížet na plnění obecných priorit a cílů centrem CERT-EU.
ZPRAVODAJKA
Zpravodajka vítá návrh Komise a souhlasí s volbou nařízení jakožto správného nástroje k řešení stále častějších kybernetických hrozeb, vzhledem k tomu, že v období let 2019–2021 se prudce zvýšil počet významných incidentů postihujících orgány, instituce a subjekty Unie, jejichž původci byli aktéři pokročilé trvalé hrozby (APT). Otázkám kybernetické bezpečnosti by se proto měla věnovat větší pozornost a měly by na ně být vyčleněny odpovídající rozpočtové prostředky.
Vzhledem k rostoucímu počtu kybernetických hrozeb a k jejich rostoucí sofistikovanosti se zpravodajka domnívá, že tento návrh má zásadní význam pro zlepšení odolnosti a ochrany veřejné správy EU. V tomto ohledu je pro odhalování, prevenci a sledování kybernetických hrozeb a rizik a reakci na ně cenná meziinstitucionální spolupráce. Orgány, instituce a jiné subjekty Unie by měly vypracovat opatření k zajištění kybernetické bezpečnosti a reakce na kybernetické hrozby a potenciální útoky. Z tohoto důvodu je třeba zaujmout společný přístup.
Zpravodajka se domnívá, že mají-li orgány, instituce a jiné subjekty EU čelit výzvám spojeným s četnějšími hrozbami v oblasti kybernetické bezpečnosti, měly by jim poskytnuty odpovídající zdroje. Zejména by měly být v jejich rámci zajištěny znalosti a dovednosti v oblasti kybernetické bezpečnosti.
Návrh řeší otázku lidských zdrojů tím, že zdroje pro centrum CERT-EU centralizuje. Navrhovaný centralizovaný model má zlepšit nábor odborníků do orgánů, institucí a jiných subjektů EU. Zpravodajka vítá posílení mandátu centra CERT-EU a považuje za nezbytné, aby mu byly poskytnuty zdroje potřebné k plnění tohoto mandátu a aby byla jeho struktura v budoucnu pečlivě přezkoumána.
Orgány, instituce a jiné subjekty EU se podstatně liší, pokud jde o jejich velikost a úlohu. Některé z nich mají významné mezinárodní sítě. Zpravodajka proto zdůrazňuje, že k vykonávání jejich úkolů by jim měla být umožněna dostatečná míra flexibility a přístup založený na posuzování rizik. Současně by měl být nalezen jednotný přístup k řešení kybernetických bezpečnostních hrozeb, neboť všechny orgány, instituce a jiné subjekty EU jsou vzájemně propojeny a v řetězci by neměl existovat žádný slabý článek.
STANOVISKO VÝBORU PRO OBČANSKÉ SVOBODY, SPRAVEDLNOST A VNITŘNÍ VĚCI (1.3.2023)
pro Výbor pro průmysl, výzkum a energetiku
k návrhu nařízení Evropského parlamentu a Rady, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie
(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))
Zpravodaj (*): Tomas Tobé
(*) Přidružený výbor – článek 57 jednacího řádu
POZMĚŇOVACÍ NÁVRHY
Výbor pro občanské svobody, spravedlnost a vnitřní věci vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:
Pozměňovací návrh 1
Návrh nařízení
Bod odůvodnění 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(4) Orgány, instituce a jiné subjekty Unie jsou atraktivní cíle, které musejí čelit vysoce kvalifikovaným a dobře finančně zajištěným aktérům hrozeb, jakož i jiným hrozbám. Přitom úroveň a vyspělost kybernetické odolnosti a schopnost odhalovat nepřátelské činnosti v kyberprostoru a reagovat na ně se u zmíněných subjektů značně liší. Pro fungování evropské správy je tak nezbytné, aby orgány, instituce a jiné subjekty Unie dosáhly vysoké společné úrovně kybernetické bezpečnosti prostřednictvím základní úrovně kybernetické bezpečnosti (soubor minimálních pravidel k zajištění kybernetické bezpečnosti, s nimiž musí být sítě a informační systémy v souladu, aby se minimalizovala kybernetická bezpečnostní rizika), výměny informací a spolupráce. |
(4) Orgány, instituce a jiné subjekty Unie byly a jsou atraktivní cíle, které musejí čelit vysoce kvalifikovaným a dobře finančně zajištěným aktérům hrozeb, jakož i jiným hrozbám. Přitom úroveň a vyspělost kybernetické odolnosti a schopnost odhalovat nepřátelské činnosti v kyberprostoru a reagovat na ně se u zmíněných subjektů značně liší. Pro fungování evropské správy je tak nezbytné, aby orgány, instituce a jiné subjekty Unie dosáhly vysoké společné úrovně kybernetické bezpečnosti prostřednictvím základní úrovně kybernetické bezpečnosti (soubor minimálních pravidel k zajištění kybernetické bezpečnosti, s nimiž musí být sítě a informační systémy v souladu, aby se minimalizovala kybernetická bezpečnostní rizika), výměny informací a spolupráce. |
Pozměňovací návrh 2
Návrh nařízení
Bod odůvodnění 5
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(5) Cílem směrnice [návrhu směrnice NIS 2] o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii je dále zlepšit odolnost veřejných a soukromých subjektů, příslušných vnitrostátních orgánů a subjektů, jakož i Unie jako celku v oblasti kybernetické bezpečnosti i jejich schopnosti reagovat na bezpečnostní incidenty. Je proto nezbytné, aby se zapojily i orgány, instituce a jiné subjekty Unie tím, že zajistí pravidla, která jsou v souladu se směrnicí [návrhem směrnice NIS 2] a odrážejí míru jejích ambicí. |
(5) Cílem směrnice [návrhu směrnice NIS 2] o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii je dále zlepšit odolnost veřejných a soukromých subjektů, příslušných vnitrostátních orgánů a subjektů, jakož i Unie jako celku v oblasti kybernetické bezpečnosti i jejich schopnosti reagovat na bezpečnostní incidenty. Je proto nezbytné, aby se zapojily i orgány, instituce a jiné subjekty Unie tím, že zajistí pravidla, která jsou v souladu se směrnicí [návrhem směrnice NIS 2] a odrážejí míru jejích ambicí. Bezpečnostní požadavky by měly být alespoň stejné nebo přísnější než minimální bezpečnostní požadavky subjektů, na něž se vztahuje směrnice (EU) 2022/2555. |
Pozměňovací návrh 3
Návrh nařízení
Bod odůvodnění 6 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(6a) Orgány, instituce a jiné subjekty Unie by měly mít k dispozici odpovídající prostředky a nástroje k posílení své kybernetické odolnosti. Je proto nezbytné zajistit vhodné koordinační mechanismy, které zaručí účinné a účelné rozhodování. |
Pozměňovací návrh 4
Návrh nařízení
Bod odůvodnění 22
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(22) Veškeré osobní údaje zpracovávané v rámci tohoto nařízení by se měly zpracovávat v souladu s právními předpisy o ochraně údajů včetně nařízení Evropského parlamentu a Rady (EU) 2018/17257. |
(22) Veškeré osobní údaje zpracovávané v rámci tohoto nařízení by se měly zpracovávat v souladu s právními předpisy Unie o ochraně údajů včetně nařízení Evropského parlamentu a Rady (EU) 2018/1725 7. Tímto nařízením by nemělo být dotčeno uplatňování právních předpisů Unie, které upravují zpracování osobních údajů, ani úkoly, kterými byl pověřen evropský inspektor ochrany údajů, a jeho pravomoci. Centrum CERT-EU a výbor IICB by měly úzce spolupracovat s evropským inspektorem ochrany údajů a se zaměstnanci specializujícími se na ochranu údajů v orgánech, institucích a jiných subjektech Unie s cílem zajistit plný soulad s právními předpisy Unie v oblasti ochrany údajů. |
__________________ |
__________________ |
7 Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39). |
7 Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39). |
Pozměňovací návrh 5
Návrh nařízení
Bod odůvodnění 22 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(22a) Systémy a služby kybernetické bezpečnosti zapojené do prevence, odhalování kybernetických hrozeb a reakcí na ně by měly být v souladu s právními předpisy pro ochranu údajů a soukromí a měly by přijmout příslušná technická a organizační opatření, kterými by tento soulad odpovědným způsobem zajistily. |
Pozměňovací návrh 6
Návrh nařízení
Bod odůvodnění 23
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(23) Nakládání s informacemi ze strany centra CERT-EU a orgánů, institucí a jiných subjektů Unie by mělo být v souladu s pravidly stanovenými v nařízení [navrhovaném nařízení o zajištění bezpečnosti informací]. S cílem zajistit koordinaci ohledně bezpečnostních záležitostí by veškeré kontakty s centrem CERT-EU iniciované nebo vyžádané vnitrostátními bezpečnostními a zpravodajskými službami měly být bez zbytečného prodlení sděleny Bezpečnostnímu ředitelství Komise a předsedovi výboru IICB. |
(23) Nakládání s informacemi ze strany centra CERT-EU a orgánů, institucí a jiných subjektů Unie by mělo být v souladu s pravidly Unie pro bezpečnost informací, zejména s těmi, která jsou stanovena v nařízení [navrhovaném nařízení o zajištění bezpečnosti informací]. S cílem zajistit koordinaci ohledně bezpečnostních záležitostí by veškeré kontakty s centrem CERT-EU iniciované nebo vyžádané vnitrostátními bezpečnostními a zpravodajskými službami měly být bez zbytečného prodlení sděleny Bezpečnostnímu ředitelství Komise a předsedovi výboru IICB. |
Pozměňovací návrh 7
Návrh nařízení
Bod odůvodnění 25 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(25a) Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 42 odst. 1 nařízení (EU) 2018/1725 a dne 17. května 2022 vydal své stanovisko, |
Pozměňovací návrh 8
Návrh nařízení
Čl. 4 – odst. 5
|
|
Znění navržené Komisí |
Pozměňovací návrh |
5. Každý orgán, instituce nebo jiný subjekt Unie jmenuje místního referenta pro kybernetickou bezpečnost nebo osobu vykonávající rovnocennou funkci, která působí jako jediné kontaktní místo pro všechny aspekty kybernetické bezpečnosti. |
5. Každý orgán, instituce nebo jiný subjekt Unie jmenuje místního referenta pro kybernetickou bezpečnost nebo osobu vykonávající rovnocennou funkci, která působí jako jediné kontaktní místo pro všechny aspekty kybernetické bezpečnosti. Místní referent pro kybernetickou bezpečnost spolupracuje s pověřencem pro ochranu osobních údajů jmenovaným v souladu s článkem 43 nařízení (EU) 2018/1725 při řešení překrývajících se činností, jako je záměrná a standardní ochrana údajů u opatření v oblasti kybernetické bezpečnosti, výběr opatření v oblasti kybernetické bezpečnosti, která zahrnují ochranu osobních údajů, integrované řízení rizik a integrované řešení bezpečnostních incidentů. |
Pozměňovací návrh 9
Návrh nařízení
Čl. 9 – odst. 3 – pododstavec 1 – písm. k a (nové)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
ka) evropský inspektor ochrany údajů; |
Pozměňovací návrh 10
Návrh nařízení
Čl. 9 – odst. 3 – pododstavec 1 – písm. k b (nové)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
kb) Agentura Evropské unie pro spolupráci v oblasti prosazování práva. |
Pozměňovací návrh 11
Návrh nařízení
Čl. 12 – odst. 2 – písm. e a (nové)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
ea) informuje evropského inspektora ochrany údajů o veškerých podezřeních z porušení povinností stanovených v tomto nařízení, včetně protiprávního zpracování osobních údajů, kterých se dopustily orgán, instituce nebo jiný subjekt Unie; |
Pozměňovací návrh 12
Návrh nařízení
Čl. 12 – odst. 2 – písm. e b (nové)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
eb) úzce spolupracuje s evropským inspektorem ochrany údajů při řešení incidentů, které způsobují narušení bezpečnosti osobních údajů nebo porušení důvěrnosti elektronických komunikací. |
Pozměňovací návrh 13
Návrh nařízení
Čl. 12 – odst. 7 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
7a. Skupina CERT-EU informuje evropského inspektora ochrany údajů při řešení důležitých zranitelných míst, závažných incidentů nebo závažných útoků, které mohou vést k narušení bezpečnosti osobních údajů nebo k porušení důvěrnosti elektronických komunikací. |
Pozměňovací návrh 14
Návrh nařízení
Čl. 18 – odst. 2
|
|
Znění navržené Komisí |
Pozměňovací návrh |
2. V souvislosti se žádostmi o přístup veřejnosti k dokumentům v držení centra CERT-EU se použijí ustanovení nařízení Evropského parlamentu a Rady (ES) č. 1049/20019, včetně povinnosti podle uvedeného nařízení konzultovat s jinými orgány, institucemi nebo jinými subjekty, pokud se žádost týká jejich dokumentů. |
2. V souvislosti se žádostmi o přístup veřejnosti k dokumentům v držení centra CERT-EU se použijí ustanovení nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 9, včetně povinnosti podle uvedeného nařízení konzultovat s jinými orgány, institucemi nebo jinými subjekty, případně s členskými státy, pokud se žádost týká jejich dokumentů. |
__________________ |
__________________ |
9 Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43). |
9 Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43). |
Pozměňovací návrh 15
Návrh nařízení
Čl. 18 – odst. 3 – pododstavec 1 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Jakékoli zpracování, výměna, shromažďování nebo uchovávání osobních údajů centrem CERT-EU, výborem IICB a orgány, institucemi a jinými subjekty Unie je omezeno na zpracování, výměnu, shromažďování nebo uchovávání, které je nezbytně nutné, a provádí se výhradně za účelem splnění jejich příslušných povinností podle tohoto nařízení. |
Pozměňovací návrh 16
Návrh nařízení
Čl. 18 – odst. 3 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3a. Komise do [1 rok po vstupu tohoto nařízení v platnost] přijme akt v přenesené pravomoci, v němž upřesní, které činnosti zpracování osobních údajů jsou podle tohoto nařízení povoleny, včetně účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, podmínek zpracování údajů, maximální doby uchovávání, definice správců a zpracovatelů údajů a příjemců v případě předání. |
|
Akt v přenesené pravomoci uvedený v prvním pododstavci omezí činnosti zpracování na ty, které jsou nezbytně nutné, a vyžaduje, aby tyto činnosti zpracování byly co nejcílenější a nezahrnovaly nerozlišující uchovávání provozních údajů nebo údajů o obsahu. |
|
Komise akt v přenesené pravomoci uvedený v prvním pododstavci změní, pokud zjistí významné změny týkající se nezbytnosti, konkrétních účelů nebo subjektů zapojených do zpracování osobních údajů pro účely tohoto nařízení. |
Pozměňovací návrh 17
Návrh nařízení
Čl. 18 – odst. 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
4. Nakládání s informacemi ze strany centra CERT-EU a orgánů, institucí a jiných subjektů Unie musí být v souladu s pravidly stanovenými v nařízení [navrhovaném nařízení o zajištění bezpečnosti informací]. |
4. Nakládání s informacemi ze strany centra CERT-EU a orgánů, institucí a jiných subjektů Unie musí být v souladu s pravidly Unie pro bezpečnost informací, zejména s těmi, která jsou stanovena v [navrhovaném nařízení o zajištění bezpečnosti informací]. |
Pozměňovací návrh 18
Návrh nařízení
Čl. 18 – odst. 5
|
|
Znění navržené Komisí |
Pozměňovací návrh |
5. Ředitelství pro bezpečnost Komise a předseda výboru IICB jsou neprodleně informováni o jakýchkoli kontaktech s centrem CERT-EU, které iniciují nebo o jejichž navázání usilují vnitrostátní bezpečnostní a zpravodajské služby. |
5. Ředitelství pro bezpečnost Komise, Europol a předseda výboru IICB jsou neprodleně informováni o jakýchkoli kontaktech s centrem CERT-EU, které iniciují nebo o jejichž navázání usilují vnitrostátní bezpečnostní a zpravodajské služby. |
Pozměňovací návrh 19
Návrh nařízení
Čl. 19 – název
|
|
Znění navržené Komisí |
Pozměňovací návrh |
Sdílení povinností |
Sdílení informací |
Pozměňovací návrh 20
Návrh nařízení
Čl. 19 – odst. 1
|
|
Znění navržené Komisí |
Pozměňovací návrh |
1. Aby se centru CERT-EU umožnilo koordinovat řízení zranitelnosti a reakce na incidenty, může požádat orgány, instituce a jiné subjekty Unie o poskytnutí informací ze soupisů jejich příslušných systémů informačních technologií, které mají význam pro podporu ze strany centra CERT-EU. Dožádaný orgán, instituce nebo jiný subjekt bez zbytečného odkladu předá požadované informace a všechny jejich následné aktualizace. |
1. Aby mohlo centrum CERT-EU plnit své úkoly stanovené v článku 12, zejména za účelem koordinace řízení zranitelnosti a reakce na incidenty, poskytnou orgány, instituce nebo jiné subjekty Unie na žádost centra CERT-EU tomuto centru informace ze soupisů jejich příslušných systémů IKT, které mají význam pro podporu ze strany centra CERT-EU, včetně informací o veškerých změnách v jejich IKT prostředí. Dožádaný subjekt bez zbytečného odkladu předá požadované informace a všechny jejich následné aktualizace. |
|
Aniž je dotčeno nařízení (EU) 2018/1725 veškeré sdílení údajů mezi centrem CERT-EU a orgány, institucemi nebo jinými subjekty Unie se provádí v souladu se zásadami jasných záruk pro konkrétní případy použití a uplatňují se při něm smlouvy o vzájemné právní pomoci a další dohody s cílem zajistit vysokou úroveň ochrany práv při zpracovávání žádostí o přeshraniční přístup k údajům. |
Pozměňovací návrh 21
Návrh nařízení
Čl. 19 – odst. 1 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1a. Orgány, instituce, úřady a agentury Unie poskytují centru CERT-EU informace o kybernetických hrozbách a incidentech, téměř nastalých incidentech a zranitelných místech, které se jich dotýkají. Mohou rovněž požádat centrum CERT-EU o další technickou pomoc a poradenství v boji proti kybernetickým bezpečnostním incidentům a závažným útokům. Centrum CERT-EU může upřednostnit zpracování povinných oznámení před dobrovolnými oznámeními s výjimkou případů, kdy existují řádně odůvodněné a naléhavé dobrovolné žádosti orgánů, institucí a jiných subjektů Unie. |
Pozměňovací návrh 22
Návrh nařízení
Čl. 19 – odst. 3
|
|
Znění navržené Komisí |
Pozměňovací návrh |
3. Centrum CERT-EU si může vyměňovat informace týkající se konkrétního incidentu, které odhalují totožnost orgánu, instituce nebo jiného subjektu Unie, jichž se incident týká, pouze se souhlasem tohoto subjektu. Informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, si může centrum CERT-EU vyměňovat pouze se souhlasem zúčastněného subjektu dotčeného tímto incidentem. |
3. Centrum CERT-EU si může vyměňovat informace týkající se konkrétního incidentu, které odhalují totožnost orgánu, instituce nebo jiného subjektu Unie, jichž se incident týká, pouze s povolením tohoto subjektu. Informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, si může centrum CERT-EU vyměňovat pouze s povolením zúčastněného subjektu dotčeného tímto incidentem. |
|
Je-li to nezbytné pro plnění jeho úkolů, může si centrum CERT-EU vyměňovat informace týkající se konkrétních incidentů, a to i v případě, že orgán, instituce nebo jiný incidentem dotčený subjekt Unie nemá povolení. Orgán, instituce nebo jiný subjekt Unie je o každé takové výměně informací předem informován. |
Pozměňovací návrh 23
Návrh nařízení
Čl. 19 – odst. 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
4. Povinnosti související se sdílením informací se nevztahují na utajované informace EU a na informace, které orgán, instituce nebo jiný subjekt Unie obdržely od bezpečnostní a zpravodajské služby nebo donucovacího orgánu členského státu za výslovné podmínky, že nebudou sdíleny s orgánem CERT-EU. |
4. Povinnosti související se sdílením informací se nevztahují na utajované informace EU a na informace, které orgán, instituce nebo jiný subjekt Unie obdržely od bezpečnostní a zpravodajské služby nebo donucovacího orgánu členského státu, pokud dotčená bezpečnostní nebo zpravodajská služba členského státu nebo dotčený donucovací orgán nepovolí sdílení těchto informací s centrem CERT-EU. |
Pozměňovací návrh 24
Návrh nařízení
Čl. 20 – odst. 3
|
|
Znění navržené Komisí |
Pozměňovací návrh |
3. Orgán CERT-EU předkládá agentuře ENISA měsíční souhrnnou zprávu obsahující anonymizované a agregované údaje o významných kybernetických hrozbách, významných zranitelných místech a významných incidentech oznámených v souladu s odstavcem 1. |
3. Orgán CERT-EU předkládá agentuře ENISA měsíční souhrnnou zprávu obsahující anonymizované a agregované údaje o významných kybernetických hrozbách, významných zranitelných místech a významných incidentech oznámených v souladu s odstavcem 1. Tato zpráva se zveřejní v souladu s příslušnými pravidly Unie pro bezpečnost informací, zejména s pravidly stanovenými v [návrhu nařízení o bezpečnosti informací]. |
Pozměňovací návrh 25
Návrh nařízení
Čl. 20 – odst. 5
|
|
Znění navržené Komisí |
Pozměňovací návrh |
5. Oznamovací povinnosti se nevztahují na utajované informace EU a na informace, které orgán, instituce nebo jiný subjekt Unie obdržely od bezpečnostní a zpravodajské služby nebo donucovacího orgánu členského státu za výslovné podmínky, že nebudou sdíleny s orgánem CERT-EU. |
5. Oznamovací povinnosti se nevztahují na utajované informace EU a na informace, které orgán, instituce nebo jiný subjekt Unie obdržely od bezpečnostní a zpravodajské služby nebo donucovacího orgánu členského státu, pokud dotčená bezpečnostní nebo zpravodajská služba členského státu nebo dotčený donucovací orgán nepovolí sdílení těchto informací s centrem CERT-EU. |
Pozměňovací návrh 26
Návrh nařízení
Čl. 21 – odst. 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
4. Výbor IICB vydává pokyny pro koordinaci reakcí na incidenty a pro spolupráci při významných incidentech. Pokud existuje podezření, že incident má povahu trestného činu, centrum CERT-EU poskytne poradenství k tomu, jak oznámit tento incident donucovacím orgánům. |
4. Výbor IICB vydává pokyny pro koordinaci reakcí na incidenty a pro spolupráci při významných incidentech. Pokud existuje podezření, že incident má povahu trestného činu, centrum CERT-EU nebo výbor IICB bez zbytečného prodlení oznámí tento incident donucovacím orgánům. |
Pozměňovací návrh 27
Návrh nařízení
Článek 24 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Článek 24a |
|
Výkon přenesené pravomoci |
|
1. Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku. |
|
2. Pravomoc přijímat akty v přenesené pravomoci uvedená v článku 18 je svěřena Komisi na dobu neurčitou od ... [den po vstupu tohoto nařízení v platnost]. |
|
3. Evropský parlament nebo Rada mohou přenesení pravomoci podle čl. 18 odst. 3a kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm blíže určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci. |
|
4. Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě. |
|
5. Akt v přenesené pravomoci přijatý podle čl. 18 odst. 3a vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament ani Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce. |
Pozměňovací návrh 28
Návrh nařízení
Příloha II – odst. 1 – bod 2 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2a) používání šifrování v klidu, šifrování při tranzitu i šifrování mezi koncovými body, kdykoli je to možné; |
POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO
Název |
Stanovení opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie |
|||
Referenční údaje |
COM(2022)0122 – C9-0122/2022 – 2022/0085(COD) |
|||
Příslušný výbor Datum oznámení na zasedání |
ITRE 4.4.2022 |
|
|
|
Výbor, který vypracoval stanovisko Datum oznámení na zasedání |
LIBE 4.4.2022 |
|||
Přidružené výbory - datum oznámení na zasedání |
15.9.2022 |
|||
Zpravodaj(ka) Datum jmenování |
Tomas Tobé 12.12.2022 |
|||
Projednání ve výboru |
31.1.2023 |
|
|
|
Datum přijetí |
1.3.2023 |
|
|
|
Výsledek konečného hlasování |
+: –: 0: |
62 0 1 |
||
Členové přítomní při konečném hlasování |
Magdalena Adamowicz, Abir Al-Sahlani, Malik Azmani, Katarina Barley, Pietro Bartolo, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Karolin Braunsberger-Reinhold, Patrick Breyer, Saskia Bricmont, Patricia Chagnon, Caterina Chinnici, Clare Daly, Lena Düpont, Lucia Ďuriš Nicholsonová, Maria Grapini, Sylvie Guillaume, Andrzej Halicki, Evin Incir, Sophia in ‘t Veld, Patryk Jaki, Marina Kaljurand, Assita Kanko, Fabienne Keller, Łukasz Kohut, Moritz Körner, Alice Kuhnke, Jeroen Lenaers, Juan Fernando López Aguilar, Erik Marquardt, Nuno Melo, Maite Pagazaurtundúa, Karlo Ressler, Diana Riba i Giner, Birgit Sippel, Sara Skyttedal, Vincenzo Sofo, Tineke Strik, Ramona Strugariu, Annalisa Tardino, Tomas Tobé, Yana Toom, Milan Uhrík, Tom Vandendriessche, Jadwiga Wiśniewska |
|||
Náhradníci přítomní při konečném hlasování |
Susanna Ceccardi, Gwendoline Delbos-Corfield, Loucas Fourlas, Beata Kempa, Philippe Olivier, Dragoş Tudorache, Petar Vitanov, Tomáš Zdechovský |
|||
Náhradníci (čl. 209 odst. 7) přítomní při konečném hlasování |
Gheorghe Falcă, Jean-François Jalkh, Petra Kammerevert, Marisa Matias, Martina Michels, Ljudmila Novak, Stanislav Polčák, Mick Wallace, Bernhard Zimniok |
|||
JMENOVITÉ KONEČNÉ HLASOVÁNÍ
VE VÝBORU POŽÁDANÉM O STANOVISKO
62 |
+ |
ECR |
Patryk Jaki, Assita Kanko, Beata Kempa, Vincenzo Sofo, Jadwiga Wiśniewska |
ID |
Susanna Ceccardi, Patricia Chagnon, Jean-François Jalkh, Philippe Olivier, Annalisa Tardino, Tom Vandendriessche, Bernhard Zimniok |
PPE |
Magdalena Adamowicz, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Karolin Braunsberger-Reinhold, Lena Düpont, Gheorghe Falcă, Loucas Fourlas, Andrzej Halicki, Jeroen Lenaers, Nuno Melo, Ljudmila Novak, Stanislav Polčák, Karlo Ressler, Sara Skyttedal, Tomas Tobé, Tomáš Zdechovský |
Renew |
Abir Al-Sahlani, Malik Azmani, Lucia Ďuriš Nicholsonová, Sophia in 't Veld, Fabienne Keller, Moritz Körner, Maite Pagazaurtundúa, Ramona Strugariu, Yana Toom, Dragoş Tudorache |
S&D |
Katarina Barley, Pietro Bartolo, Caterina Chinnici, Maria Grapini, Sylvie Guillaume, Evin Incir, Marina Kaljurand, Petra Kammerevert, Łukasz Kohut, Juan Fernando López Aguilar, Birgit Sippel, Petar Vitanov |
The Left |
Clare Daly, Marisa Matias, Martina Michels, Mick Wallace |
Verts/ALE |
Patrick Breyer, Saskia Bricmont, Gwendoline Delbos-Corfield, Alice Kuhnke, Erik Marquardt, Diana Riba i Giner, Tineke Strik |
0 |
- |
|
|
1 |
0 |
NI |
Milan Uhrík |
Význam zkratek:
+ : pro
- : proti
0 : zdrželi se
STANOVISKO ROZPOČTOVÉHO VÝBORU (13.7.2022)
pro Výbor pro průmysl, výzkum a energetiku
k návrhu nařízení Evropského parlamentu a Rady, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie
(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))
Zpravodaj: Nils Ušakovs
STRUČNÉ ODŮVODNĚNÍ
Zpravodaj vítá návrh Komise, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie. Domnívá se, že tento návrh je pro zvýšení odolnosti a bezpečnosti veřejné správy EU nezbytný. Množství kybernetických hrozeb a jejich sofistikovanost totiž roste, což ještě zhoršuje současný geopolitický kontext.
Zpravodaj se domnívá, že klíčem k náležitému předcházení, odhalování a monitorování těchto hrozeb a rizik je interinstitucionální spolupráce. Zajišťovat svou ochranu před kybernetickými útoky je úkolem a odpovědností všech orgánů, institucí a subjektů Unie, bez ohledu na jejich velikost, neboť jediná malá skulina v ochraně u jednoho z nich může ohrozit všechny ostatní. Zpravodaj proto podporuje myšlenku stanovit v oblasti kybernetické bezpečnosti základní opatření. Domnívá se rovněž, že na základě interinstitucionální spolupráce by orgány, instituce a jiné subjekty Unie mohly nejenom zvýšit svou kybernetickou bezpečnost v oblasti informačních technologií, ale zároveň hledat možnosti synergie v rámci pracovních metod a komunikačních kanálů s cílem snížit administrativní zátěž, zabránit zdvojování úsilí a zlepšit připravenost a ochranu.
Zpravodaj je na rozdíl od Komise přesvědčen, že má-li centrum CERT-EU poskytovat plnohodnotné služby na nejmodernější úrovni, je zapotřebí, aby mělo 42, a nikoli pouze 21 pracovních míst. Nesouhlasí s návrhem Komise, aby se dodatečná pracovní místa vyhrazená pro centrum CERT-EU částečně kompenzovala snížením počtu smluvních zaměstnanců.
Zpravodaj doporučuje, aby Evropský parlament, vzhledem ke své relativní velikosti a s ohledem na svou žádost o dodatečná pracovní místa pro oblast kybernetické bezpečnosti vyjádřenou ve svém odhadu příjmů a výdajů na rok 2023, vyčlenil pro centrum CERT-EU nejprve 48 pracovních míst v prvním rozpočtu přijatém po vstupu tohoto nařízení v platnost. V následujících třech letech bude 14 z těchto pracovních míst každoročně převedeno zpět do Parlamentu, takže na konci roku bude v centru CERT-EU trvale šest pracovních míst. Tímto postupným zpětným převodem se podpoří personální stabilita a řízení znalostí. Zároveň s tím budou po prvním roce pro centrum CERT-EU postupně vyčleňovat pracovní místa i další příslušné orgány, instituce a jiné subjekty EU. To umožní vytvořit v centru CERT-EU společně již od začátku 42 nových stálých pracovních míst.
Zpravodaj navrhuje zlepšit stávající mechanismy dohod o úrovni služeb pro zpoplatněné služby, jak doporučil Evropský účetní dvůr ve své zvláštní zprávě č. 05/2022[1] s cílem zajistit lepší řízení peněžních toků a snížit administrativní zátěž.
V neposlední řadě zpravodaj doporučuje, aby byly v rámci orgánů, institucí a jiných subjektů EU zvlášť vyčleněny prostředky na investice a pracovní místa pro oblast kybernetické bezpečnosti. To umožní určit a sdílet osvědčené postupy a potenciální potřeby financování na této úrovni.
POZMĚŇOVACÍ NÁVRHY
Rozpočtový výbor vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:
Pozměňovací návrh 1
Návrh nařízení
Bod odůvodnění 7
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(7) Rozdíly mezi orgány, institucemi a jinými subjekty Unii vyžadují pružnost při provádění, protože univerzální řešení nebude vyhovovat všem. Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti by neměla obsahovat žádné povinnosti přímo zasahující do plnění úkolů orgánů, institucí nebo jiných subjektů Unie nebo narušující jejich institucionální autonomii. Tyto orgány, instituce a jiné subjekty by tak měly zavést své vlastní rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik a přijmout své vlastní základní soubory opatření k zajištění kybernetické bezpečnosti a plány kybernetické bezpečnosti. |
(7) Rozdíly mezi orgány, institucemi a jinými subjekty Unie, a to i pokud jde o rozsah jejich lidských a finančních zdrojů, vyžadují pružnost při provádění, protože univerzální řešení nebude vyhovovat všem. Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti by neměla obsahovat žádné povinnosti přímo zasahující do plnění úkolů orgánů, institucí nebo jiných subjektů Unie nebo narušující jejich institucionální autonomii. Tyto orgány, instituce a jiné subjekty by tak měly zavést své vlastní rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik a přijmout své vlastní základní soubory opatření k zajištění kybernetické bezpečnosti a plány kybernetické bezpečnosti. |
Odůvodnění
Nelze očekávat, že malé subjekty budou přispívat stejným dílem jako orgány Unie.
Pozměňovací návrh 2
Návrh nařízení
Bod odůvodnění 8
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(8) Požadavky na řízení kybernetických bezpečnostních rizik by měly být úměrné rizikům, jež daná síť nebo informační systém obnáší, aby na orgány, instituce nebo jiné subjekty Unie nebyla uvalena nepřiměřená finanční a administrativní zátěž, a to s ohledem na nejnovější technický vývoj takových opatření. Cílem každého orgánu, instituce a jiného subjektu Unie by mělo být, aby přiměřenou část svého rozpočtu na informační technologie vynaložily na zlepšení úrovně své kybernetické bezpečnosti; z dlouhodobého hlediska by měl být sledován cíl v řádu 10 %. |
(8) Požadavky na řízení kybernetických bezpečnostních rizik by měly být úměrné rizikům, jež daná síť nebo informační systém obnáší, aby na orgány, instituce nebo jiné subjekty Unie nebyla uvalena nepřiměřená finanční a administrativní zátěž, a to s ohledem na nejnovější technický vývoj takových opatření. Cílem každého orgánu, instituce a jiného subjektu Unie by mělo být, aby přiměřené zdroje ze svého rozpočtu na informační technologie vynaložily na zlepšení úrovně své kybernetické bezpečnosti a zajistily alespoň minimální úroveň kybernetické bezpečnosti odpovídající posouzení rizik. Náklady na zajištění kybernetické bezpečnosti závisí na několika faktorech, jako je velikost subjektu, potřeba zajistit zvláštní ochranu, prostor k útoku a profil hrozeb, a mají fixní a proměnlivou část. Vzhledem ke stále rostoucím hrozbám je možné, že z dlouhodobého hlediska bude pro zajištění odpovídající úrovně bezpečnosti nezbytné uvolnit až 10 % rozpočtu subjektu, jak je požadováno odvětvovými normami. V souladu s doporučením evropského inspektora ochrany údajů, které uvádí ve svém stanovisku ze dne 17. května 2022 č. 8/2022, by minimální bezpečnostní požadavky stanovené tímto nařízením měly být stejné, nebo vyšší než minimální bezpečnostní požadavky subjektů v návrzích směrnice o bezpečnosti sítí a informací NIS a NIS 2.0. |
Odůvodnění
Podle odvětvové normy by 10 % rozpočtu na informační a komunikační technologie (IKT) mělo být vynaloženo na kybernetickou bezpečnost. Rozpočet na IT by měl být úměrný rizikům u každé instituce, orgánu a jiného subjektu EU v souladu s jejich vnějším a vnitřním prostředím. Ve svém stanovisku č. 8/2022 evropský inspektor ochrany údajů doporučuje do návrhu doplnit ustanovení, že jeho minimální bezpečnostní požadavky by měly být stejné, nebo vyšší než minimální bezpečnostní požadavky subjektů v návrzích směrnice o bezpečnosti sítí a informací NIS a NIS 2.0.
Pozměňovací návrh 3
Návrh nařízení
Bod odůvodnění 8 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(8a) V zájmu zpětného získání nákladů na zpoplatněné služby od orgánů, institucí a jiných subjektů Unie, které tyto služby využívají, by mělo centrum CERT-EU zajistit, aby dohody o úrovni služeb, od nichž se v roce 2020 odvíjelo více než 90 % jeho rozpočtu, nevytvářely zbytečnou administrativní zátěž a byly užitečným nástrojem pro plánování budoucích příjmů z peněžních toků. |
Odůvodnění
Podle zvláštní zprávy EÚD č. 05/2022 je třeba dohody o úrovni služeb každoročně obnovovat. To představuje administrativní zátěž a komplikuje také peněžní toky, neboť centrum CERT-EU nečerpá finanční prostředky ze všech dohod o úrovni služeb současně. Agentury mohou dohody o úrovni služeb kdykoli ukončit, čímž se může vytvořit začarovaný kruh, kdy v důsledku ztráty příjmů bude muset centrum CERT-EU své služby omezit a nepokryje poptávku, což povede k tomu, že i další orgány, instituce a jiné subjekty EU své dohody o úrovni služeb ukončí a přejdou k soukromým poskytovatelům. Současný model financování pro zajištění stabilní a optimální úrovně služeb tedy není ideální.
Pozměňovací návrh 4
Návrh nařízení
Bod odůvodnění 8 b (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(8b) Má-li zaručit účinný rámec kybernetické bezpečnosti a poskytovat širokou škálu služeb orgánům, institucím a jiným subjektům EU, potřebuje centrum CERT-EU stabilní, vysoce kvalifikovaný a specializovaný personál. V zájmu zajištění účinného řízení znalostí by rovněž měla být velká část pracovních míst vyčleněných pro centrum CERT-EU stálého charakteru. Tento personál by měl mít přístup k programům průběžné odborné přípravy. |
Odůvodnění
Pro udržení znalostí uvnitř centra CERT-EU je třeba, aby pro něj bylo vyčleněno 42 dodatečných stálých pracovních míst. Parlament by měl pro centrum CERT-EU v prvním rozpočtu přijatém po vstupu tohoto nařízení v platnost vyčlenit nejdříve 48 pracovních míst . V následujících třech letech bude 14 z těchto pracovních míst každoročně převedeno zpět do Parlamentu, takže na konci roku bude v centru CERT-EU trvale šest pracovních míst. Zároveň s tím budou po prvním roce pro centrum CERT-EU postupně vyčleňovat pracovní místa i další příslušné orgány, instituce a jiné subjekty EU. Tento mechanismus umožní vytvořit společně již od začátku 42 míst pro stálé zaměstnance s náležitým přístupem ke školícím programům.
Pozměňovací návrh 5
Návrh nařízení
Bod odůvodnění 8 c (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(8c) V současném geopolitickém kontextu je nezbytné, aby důvěrnost údajů byla soustavně chráněna před kybernetickými hrozbami specializovanými operačními týmy. |
Pozměňovací návrh 6
Návrh nařízení
Bod odůvodnění 8 d (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(8d) Před přidělením dodatečných personálních zdrojů by Komise měla provést analýzu potřeb, a to i z dlouhodobého hlediska. |
Pozměňovací návrh 7
Návrh nařízení
Bod odůvodnění 10 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(10a) Interinstitucionální spolupráce a důvěra jsou klíčem k účinné a účelné ochraně IT prostředí Unie, a tudíž i jejího demokratického hlasu. Všechny zúčastněné strany by měly vždy dbát na to, aby se zvyšovala součinnost, snižovala administrativní zátěž a nezdvojovalo úsilí. |
Odůvodnění
Do přípravy pokynů a shromažďování informací o incidentech v oblasti IT, reakcích atd. je zapojeno několik subjektů a sítí. Spolupráce mezi všemi těmito zúčastněnými stranami má zásadní význam pro to, aby se zabránilo zdvojování úsilí, nalezly synergie a zajistily rychlé a účinné komunikační toky mezi nimi.
Pozměňovací návrh 8
Návrh nařízení
Bod odůvodnění 10 b (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(10b) V zájmu dodržování politiky, kterou Unie prosazuje vůči členským státům, by se měly orgány, instituce a jiné subjekty Unie vzdát používání a vývoje softwaru, jako je Pegasus, který by mohl porušovat právo na soukromí a právní řád Unie. |
Odůvodnění
Ve své zprávě ze dne 15. února 2022 nazvané „Předběžné poznámky k modernímu špionážnímu softwaru“ vyzval evropský inspektor ochrany údajů členské státy, aby se vzdaly používání a vývoje softwaru, jako je Pegasus, na evropské půdě, který by mohl ovlivnit právo na soukromí, demokracii a právní stát, a mohl by proto být neslučitelný s demokratickými hodnotami a právním řádem Unie.
Pozměňovací návrh 9
Návrh nařízení
Bod odůvodnění 11
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(11) Generální tajemníci orgánů a institucí Unie se v květnu 2011 rozhodli zřídit přípravný tým pro vytvoření týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (centrum CERT-EU), na který bude dohlížet interinstitucionální řídící rada. V červenci 2012 potvrdili generální tajemníci praktická ujednání a dohodli se na tom, že centrum CERT-EU zůstane zachováno jako trvalý subjekt, který bude nadále napomáhat zvyšování celkové úrovně bezpečnosti v oblasti informačních technologií v rámci orgánů, institucí a jiných subjektů Unie jakožto příklad viditelné interinstitucionální spolupráce v oblasti kybernetické bezpečnosti. V září 2012 byl CERT-EU založen jako pracovní skupina Evropské komise s interinstitucionálním mandátem. V prosinci 2017 uzavřely orgány a instituce Unie interinstitucionální ujednání o organizaci a provozu CERT-EU3. Toto ujednání by se mělo dále vyvíjet s cílem podpořit provádění tohoto nařízení. |
(11) Generální tajemníci orgánů a institucí Unie se v květnu 2011 rozhodli zřídit přípravný tým pro vytvoření týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (centrum CERT-EU), na který bude dohlížet interinstitucionální řídící rada. V červenci 2012 potvrdili generální tajemníci praktická ujednání a dohodli se na tom, že centrum CERT-EU zůstane zachováno jako trvalý subjekt, který bude nadále napomáhat zvyšování celkové úrovně bezpečnosti v oblasti informačních technologií v rámci orgánů, institucí a jiných subjektů Unie jakožto příklad viditelné interinstitucionální spolupráce v oblasti kybernetické bezpečnosti. V září 2012 byl CERT-EU založen jako stálá pracovní skupina Evropské komise s interinstitucionálním mandátem. V prosinci 2017 uzavřely orgány a instituce Unie interinstitucionální ujednání o organizaci a provozu CERT-EU3. Toto interinstitucionální ujednání by se mělo dále vyvíjet v souladu s tímto nařízením a k jeho podpoře. |
__________________ |
__________________ |
3 Úř. věst. C 12, 13.1.2018, s. 1. |
3 Úř. věst. C 12, 13.1.2018, s. 1-11. |
Odůvodnění
Podle 11. bodu odůvodnění bylo centrum CERT-EU zřízeno jako stálý subjekt. Interinstitucionální ujednání z roku 2018 by mělo být revidováno s cílem zohlednit rozpis pracovních míst podle přílohy IIa (nové).
Pozměňovací návrh 10
Návrh nařízení
Bod odůvodnění 14
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(14) Kromě uložení více úkolů centru CERT-EU a rozšíření jeho úlohy by měl být zřízen Interinstitucionální výbor pro kybernetickou bezpečnost (IICB), který by měl usnadňovat dosažení vysoké společné úrovně kybernetické bezpečnosti u orgánů, institucí a jiných subjektů Unie tak, že bude sledovat provádění tohoto nařízení ze strany orgánů, institucí a jiných subjektů Unie, dohlížet na plnění obecných priorit a cílů centrem CERT-EU a poskytovat centru CERT-EU strategické řízení. Výbor IICB by měl zajišťovat zastoupení orgánů a zahrnovat zástupce jiných subjektů a institucí prostřednictvím sítě agentur Unie. |
(14) Kromě uložení více úkolů centru CERT-EU a rozšíření jeho úlohy by měl být zřízen Interinstitucionální výbor pro kybernetickou bezpečnost (IICB), který by měl usnadňovat dosažení vysoké společné úrovně kybernetické bezpečnosti u orgánů, institucí a jiných subjektů Unie tak, že bude sledovat provádění tohoto nařízení ze strany orgánů, institucí a jiných subjektů Unie, dohlížet na plnění obecných priorit a cílů centrem CERT-EU a poskytovat centru CERT-EU strategické řízení. Výbor IICB by měl zajišťovat zastoupení orgánů a zahrnovat zástupce jiných subjektů a institucí prostřednictvím sítě agentur Unie a prosazovat genderově vyvážený postup jmenování. Výbor IICB by měl vyžadovat, aby všichni jeho členové nominovali své zástupce s vyváženým poměrem žen a mužů. |
Odůvodnění
Je důležité zajistit, aby v nově zřízeném výboru IICB byla dodržována zásada vyváženého zastoupení žen a mužů.
Pozměňovací návrh 11
Návrh nařízení
Bod odůvodnění 24
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(24) Jelikož služby a úkoly centra CERT-EU jsou v zájmu všech orgánů, institucí a jiných subjektů Unie, měl by každý orgán, instituce a jiný subjekt Unie s výdaji v oblasti informačních technologií přispívat na tyto služby a úkoly spravedlivým dílem. Těmito příspěvky není dotčena rozpočtová autonomie orgánů, institucí a jiných subjektů Unie. |
(24) Jelikož služby a úkoly centra CERT-EU jsou v zájmu všech orgánů, institucí a jiných subjektů Unie, měl by každý orgán, instituce a jiný subjekt Unie s výdaji v oblasti informačních technologií přispívat na tyto služby a úkoly spravedlivým dílem, ať už se jedná o pracovní místa, finanční příspěvky či obojí, v závislosti na velikosti daného orgánu, instituce a subjektu a prováděných službách a úkolech. Těmito příspěvky není dotčena rozpočtová autonomie orgánů, institucí a jiných subjektů Unie. |
Odůvodnění
Orgány, instituce a jiné subjekty Unie by mohly na centrum CERT-EU přispívat podle své velikosti přidělením pracovních míst a finančních prostředků.
Pozměňovací návrh 12
Návrh nařízení
Bod odůvodnění 24 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(24a) Všechny orgány, instituce a jiné subjekty Unie by měly při jmenování svých zástupců v centru CERT-EU, jakož i při přidělování lidských zdrojů pro oblast IT a kybernetické bezpečnosti uplatňovat zásady rovnosti žen a mužů a genderové vyváženosti. Cílená odborná příprava a odpovídající zdroje by měly být věnovány na podporu zaměstnanosti žen v oblasti kybernetické bezpečnosti ve všech orgánech, institucích a jiných subjektech Unie s cílem přispět k vyrovnávání rozdílů, které mezi digitálními dovednostmi žen a mužů panují. |
Odůvodnění
Je důležité zahrnout do nařízení zásady rovnosti žen a mužů a vyváženého zastoupení žen a mužů.
Pozměňovací návrh 13
Návrh nařízení
Bod odůvodnění 25 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(25a) Ve svých závěrech ze dne 23. května 2022 o rozvoji kybernetické pozice Evropské unie vyzvala Rada příslušné orgány a Komisi, aby posílily odolnost komunikačních sítí a infrastruktury v rámci Evropské unie. Je proto důležité posílit suverenitu a odolnost infrastruktury a kontrolu propojení, včetně infrastruktury orgánů, institucí a jiných subjektů Unie. |
Odůvodnění
Ve svých závěrech ze dne 23. května 2022 o rozvoji kybernetické pozice Evropské unie vyzvala Rada k posílení kybernetické odolnosti EU a její schopnosti ochrany před kybernetickými útoky.
Pozměňovací návrh 14
Návrh nařízení
Čl. 4 – odst. 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
4. Každý orgán, instituce a jiný subjekt Unie má zaveden účinný mechanismus zajišťující, že přiměřená část rozpočtu na informační technologie bude vynaložena na kybernetickou bezpečnost. |
4. Každý orgán, instituce a jiný subjekt Unie má zaveden účinný mechanismus zajišťující, že budou z rozpočtu na informační technologie vynaloženy přiměřené zdroje na kybernetickou bezpečnost, přičemž dbá na to, aby byla na kybernetickou bezpečnost vynaložena minimální část jeho rozpočtu na IT v souladu s odvětvovými normami, s cílem účinně jeho prostředí IT chránit. V zájmu větší transparentnosti vyhradí orgány, instituce a jiné subjekty Unie ve svých rozpočtech zdroje na centrum CERT-EU. |
Odůvodnění
Z návrhu Komise není jasné, co je účinnými mechanismy a přiměřenou částí rozpočtu zamýšleno. Alespoň jedním z kritérií pro posouzení přiměřené části je odvětvová norma. Vyčlenění konkrétních prostředků v rozpočtu orgánu, instituce či jiného subjektu Unie by přineslo větší transparentnost investic do kybernetické bezpečnosti a umožnilo by odhalit případné mezery ve finančních záležitostech a sdílet osvědčené postupy.
Pozměňovací návrh 15
Návrh nařízení
Čl. 4 – odst. 4 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4a. Všechny orgány, instituce a jiné subjekty Unie uplatňují při jmenování svých zástupců v centru CERT-EU, jakož i při přidělování lidských zdrojů pro oblast IT a kybernetické bezpečnosti zásady rovnosti žen a mužů a genderové vyváženosti. Poskytují cílenou odbornou přípravu a odpovídající zdroje na podporu zaměstnanosti žen v oblasti kybernetické bezpečnosti ve všech orgánech, institucích a jiných subjektech Unie s cílem přispět k vyrovnávání rozdílů, které mezi digitálními dovednostmi žen a mužů panují. |
Odůvodnění
Do nařízení je důležité zahrnout zásady genderové rovnosti a vyváženého zastoupení žen a mužů.
Pozměňovací návrh 16
Návrh nařízení
Čl. 9 – odst. 3 – pododstavec 1 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Členové jsou jmenováni při náležitém zohlednění zásady vyváženého zastoupení žen a mužů. |
Odůvodnění
Do nařízení je důležité zahrnout zásady genderové rovnosti a vyváženého zastoupení žen a mužů.
Pozměňovací návrh 17
Návrh nařízení
Čl. 12 – odst. 7 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
7a. Je-li poptávka po zpoplatněných službách vyšší než dostupné zdroje centra CERT-EU pro poskytování těchto služeb, stanoví centrum CERT-EU pořadí, v němž bude požadavkům vyhovovat, na základě analýzy rizik s přihlédnutím k řízení rizik v oblasti kybernetické bezpečnosti žádajícího orgánu, instituce či jiného subjektu Unie, přičemž svůj význam má samotný relativní rozsah jejich finančních a lidských zdrojů. |
Odůvodnění
Pořadí významnosti požadavků orgánů, institucí či jiných subjektů EU by mělo být stanoveno na základě jejich rizikového profilu a s přihlédnutím k relativní velikosti jejich finančních a lidských zdrojů.
Pozměňovací návrh 18
Návrh nařízení
Článek 14
|
|
Znění navržené Komisí |
Pozměňovací návrh |
Vedoucí centra CERT-EU předkládá výboru IICB a předsedovi výboru IICB pravidelné zprávy o výsledcích činnosti centra CERT-EU, finančním plánu, příjmech, plnění rozpočtu, uzavřených dohodách o úrovni služeb a písemných dohodách, spolupráci s protějšky a partnery a o misích podniknutých jeho zaměstnanci, včetně zpráv podle čl. 10 odst. 1. |
Vedoucí centra CERT-EU předkládá výboru IICB a předsedovi výboru IICB pravidelné zprávy o výsledcích činnosti centra CERT-EU, finančním plánu, příjmech, plnění rozpočtu, a to i pokud jde o pracovní místa a externí zaměstnance, uzavřených dohodách o úrovni služeb a písemných dohodách, spolupráci s protějšky a partnery a o misích podniknutých jeho zaměstnanci, včetně zpráv podle čl. 10 odst. 1. |
Odůvodnění
Cílem tohoto pozměňovacího návrhu je vyjasnit, že zpráva o plnění rozpočtu by se měla týkat i situace v oblasti pracovních míst a externích pracovníků centra CERT-EU.
Pozměňovací návrh 19
Návrh nařízení
Čl. 15 – odst. 2
|
|
Znění navržené Komisí |
Pozměňovací návrh |
2. Při uplatňování administrativních a finančních postupů jedná vedoucí centra CERT-EU z pověření Komise. |
vypouští se |
Pozměňovací návrh 20
Návrh nařízení
Čl. 15 – odst. 3
|
|
Znění navržené Komisí |
Pozměňovací návrh |
3. Úkoly a činnosti centra CERT-EU, včetně služeb poskytovaných centrem CERT-EU podle čl. 12 odst. 2, 3, 4 a 6 a uvedené v čl. 13 odst. 1 orgánům, institucím a jiným subjektům Unie financovaným z okruhu víceletého finančního rámce vyhrazeného evropské veřejné správě jsou financovány prostřednictvím samostatné rozpočtové položky rozpočtu Komise. Místa vyčleněná pro centrum CERT-EU jsou podrobně popsána v poznámce pod čarou k plánu pracovních míst Komise. |
3. Úkoly a činnosti centra CERT-EU, včetně služeb poskytovaných centrem CERT-EU podle čl. 12 odst. 2, 3, 4 a 6 a uvedené v čl. 13 odst. 1 orgánům, institucím a jiným subjektům Unie financovaným z okruhu víceletého finančního rámce vyhrazeného evropské veřejné správě jsou financovány prostřednictvím samostatné rozpočtové položky rozpočtu Komise. Místa vyčleněná pro centrum CERT-EU jsou podrobně popsána v poznámce pod čarou k plánu pracovních míst Komise. Dočasně přidělená pracovní místa jsou ponechána v plánu pracovních míst dárcovské instituce po dobu jejich dočasného převedení s upřesněním v poznámce pod čarou. Tento plán pracovních míst je revidován jednou za dva a půl roku. |
Pozměňovací návrh 21
Návrh nařízení
Čl. 15 – odst. 3 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3a. Převodem celkem 42 pracovních míst příslušnými orgány, institucemi a jinými subjekty Unie, jak je podrobně popsán v příloze II a (nové), bez částečné kompenzace snížením počtu smluvních zaměstnanců v centru CERT-EU nejsou dotčeny výsady rozpočtového orgánu Unie. Příspěvky jsou ve spravedlivém poměru k podílu stálých zaměstnanců třídy AD v dané organizaci a náležitě odráží zásadu vyváženého zastoupení žen a mužů. |
Odůvodnění
Převod dodatečných 42 stálých pracovních míst do centra CERT-EU je považován za nezbytný. To, kolik pracovních míst jednotlivé příslušné orgány, agentury a subjekty Unie konkrétně převedou, by mělo být dohodnuto mezi oběma složkami rozpočtového orgánu během interinstitucionálních jednání o tomto návrhu, v souladu s výsadami rozpočtového orgánu Unie. Je důležité zajistit, aby byla v nařízení dodržována zásada vyváženého zastoupení žen a mužů.
Pozměňovací návrh 22
Návrh nařízení
Čl. 23 – odst. 1
|
|
Znění navržené Komisí |
Pozměňovací návrh |
Komise navrhne přerozdělení zaměstnanců a finančních zdrojů od příslušných orgánů, institucí a jiných subjektů Unie do rozpočtu Komise. Přerozdělení je účinné současně s prvním rozpočtem přijatým po vstupu tohoto nařízení v platnost. |
Komise navrhne přerozdělení finančních zdrojů od příslušných orgánů, institucí a jiných subjektů Unie do rozpočtu Komise. Toto přerozdělení je účinné současně s prvním rozpočtem přijatým po vstupu tohoto nařízení v platnost. |
Odůvodnění
Počty pracovních míst vyčleněných pro centrum CERT-EU jsou podrobně rozepsány v příloze II a (nové).
Pozměňovací návrh 23
Návrh nařízení
Příloha II a (nová)
|
||||||
Znění navržené Komisí |
||||||
|
||||||
|
||||||
Pozměňovací návrh |
||||||
Příloha II a (nová) |
||||||
Orgán, instituce a jiný subjekt EU/rok |
Celkový počet zaměstnanců |
Pracovní místa vyčleněná pro centrum CERT-EU v roce N |
Pracovní místa vyčleněná pro centrum CERT-EU v N +1 |
Pracovní místa vyčleněná pro centrum CERT-EU v N +2 |
Pracovní místa vyčleněná pro centrum CERT-EU v N +3 |
Pracovní místa trvale vyčleněná pro centrum CERT-EU |
Z předchozího roku CERT-EU |
– |
48 |
42 |
42 |
|
|
EP |
6.773 |
48 |
-14 |
-14 |
-14 |
6 |
EK |
23.474 |
0 |
8 |
9 |
6 |
23 |
Decentralizované agentury |
7.717 |
0 |
0 |
3 |
4 |
7 |
Rada |
3.029 |
0 |
0 |
2 |
1 |
3 |
Soudní dvůr EU |
2.110 |
0 |
0 |
0 |
2 |
2 |
ESVČ |
1.753 |
0 |
0 |
0 |
1 |
1 |
EÚD |
873 |
0 |
0 |
0 |
0 |
0 |
Výkonné agentury |
840 |
0 |
0 |
0 |
0 |
0 |
EHSV |
669 |
0 |
0 |
0 |
0 |
0 |
Společné podniky + společné technologické iniciativy + Evropský inovační a technologický institut |
556 |
0 |
0 |
0 |
0 |
0 |
Výbor regionů |
496 |
0 |
0 |
0 |
0 |
0 |
Evropský inspektor ochrany údajů |
84 |
0 |
0 |
0 |
0 |
0 |
Evropský veřejný ochránce práv |
73 |
0 |
0 |
0 |
0 |
0 |
Celkový počet nových zaměstnanců |
48 |
42 |
42 |
42 |
42 |
|
Odůvodnění
Rozpis 42 pracovních míst vyčleněných pro centrum CERT-EU v zájmu jeho řádného a stabilního fungování.
POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO
Název |
Stanovení opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie |
|||
Referenční údaje |
COM(2022)0122 – C9-0122/2022 – 2022/0085(COD) |
|||
Příslušný výbor Datum oznámení na zasedání |
ITRE 4.4.2022 |
|
|
|
Výbor, který vypracoval stanovisko Datum oznámení na zasedání |
BUDG 4.4.2022 |
|||
Zpravodaj(ka) Datum jmenování |
Nils Ušakovs 22.4.2022 |
|||
Projednání ve výboru |
20.6.2022 |
21.6.2022 |
|
|
Datum přijetí |
12.7.2022 |
|
|
|
Výsledek konečného hlasování |
+: –: 0: |
28 0 4 |
||
Členové přítomní při konečném hlasování |
Rasmus Andresen, Anna Bonfrisco, Olivier Chastel, Lefteris Christoforou, Andor Deli, José Manuel Fernandes, Eider Gardiazabal Rubial, Vlad Gheorghe, Francisco Guerreiro, Valérie Hayer, Eero Heinäluoma, Niclas Herbst, Monika Hohlmeier, Moritz Körner, Joachim Kuhs, Zbigniew Kuźmiuk, Janusz Lewandowski, Margarida Marques, Siegfried Mureşan, Victor Negrescu, Dimitrios Papadimoulis, Bogdan Rzońca, Nicolae Ştefănuță, Nils Torvalds, Nils Ušakovs, Johan Van Overtveldt, Rainer Wieland |
|||
Náhradníci přítomní při konečném hlasování |
Damian Boeselager, Jan Olbrycht |
|||
Náhradníci (čl. 209 odst. 7) přítomní při konečném hlasování |
Alexander Bernhuber, Helmut Scholz, Birgit Sippel |
|||
JMENOVITÉ KONEČNÉ HLASOVÁNÍ
VE VÝBORU POŽÁDANÉM O STANOVISKO
28 |
+ |
ID |
Anna Bonfrisco |
NI |
Andor Deli |
PPE |
Alexander Bernhuber, Lefteris Christoforou, José Manuel Fernandes, Niclas Herbst, Monika Hohlmeier, Janusz Lewandowski, Siegfried Mureşan, Jan Olbrycht, Rainer Wieland |
Renew |
Olivier Chastel, Vlad Gheorghe, Valérie Hayer, Moritz Körner, Nils Torvalds, Nicolae Ştefănuță |
S&D |
Eider Gardiazabal Rubial, Eero Heinäluoma, Margarida Marques, Victor Negrescu, Birgit Sippel, Nils Ušakovs |
The Left |
Dimitrios Papadimoulis, Helmut Scholz |
Verts/ALE |
Rasmus Andresen, Damian Boeselager, Francisco Guerreiro |
0 |
- |
|
|
4 |
0 |
ECR |
Zbigniew Kuźmiuk, Bogdan Rzońca, Johan Van Overtveldt |
ID |
Joachim Kuhs |
Význam zkratek:
+ : pro
- : proti
0 : zdrželi se
STANOVISKO VÝBORU PRO ÚSTAVNÍ ZÁLEŽITOSTI (31.1.2023)
pro Výbor pro průmysl, výzkum a energetiku
k návrhu nařízení Evropského parlamentu a Rady, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie
(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))
Zpravodajka: Markéta Gregorová
STRUČNÉ ODŮVODNĚNÍ
Orgány, instituce a jiné subjekty Evropské unie v posledních letech působí ve stále více digitalizovaném prostředí, pro které je charakteristický neustálý technologický vývoj a z něj vyplývající rostoucí míra ohrožení kybernetické bezpečnosti. Tato situace se ještě zhoršila po vypuknutí pandemie COVID-19 a s ní souvisejícím rozšíření práce na dálku, neboť během této doby rostl počet sofistikovaných útoků z celé řady zdrojů.
Prostředí kybernetické bezpečnosti, které zahrnuje správu, kybernetickou hygienu, celkovou schopnost a vyspělost, se v současné době v jednotlivých orgánech, institucích a jiných subjektech Unie značně liší, což vytváří další překážku otevřené, efektivní a nezávislé evropské správy.
Zpravodajka tudíž souhlasí s tím, že je nezbytný stejný základní přístup všech orgánů, institucí a jiných subjektů Unie k zavedení společných systémů a požadavků na kybernetickou bezpečnost a zajištění toho, aby se kybernetická bezpečnost vyvíjela stejným směrem, a tak přispěla k efektivitě a nezávislosti evropské správy.
Zpravodajka se dále domnívá, že pro ochranu všech zaměstnanců, dat, komunikačních sítí, informačních systémů a rozhodovacích procesů EU je zásadně důležitý robustní a jednotný bezpečnostní rámec, který také přispívá k demokratickému fungování Evropské unie. Posílená bezpečnostní kultura orgánů, institucí a jiných subjektů Unie by také připravila Evropu na digitální éru a vybudovala ekonomiku, která obstojí i v budoucnosti a slouží lidem.
POZMĚŇOVACÍ NÁVRHY
Výbor pro ústavní záležitosti vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:
Pozměňovací návrh 1
Návrh nařízení
Bod odůvodnění 1
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(1) V digitálním věku tvoří informační a komunikační technologie základ otevřené, efektivní a nezávislé unijní správy. Vyvíjející se technologie a větší složitost a vzájemná propojenost digitálních systémů zesilují kybernetická bezpečnostní rizika, což činí unijní správu zranitelnější vůči kybernetickým hrozbám a incidentům, které v konečném důsledku ohrožují kontinuitu činností správy a schopnost zabezpečovat její data. Širší využívání služeb cloudu, všudypřítomné používání informačních technologií, vysoká úroveň digitalizace, práce na dálku a vyvíjející se technologie a propojenost jsou nyní základními prvky všech činností správních subjektů v Unii, zatím však není dostatečně vybudována digitální odolnost. |
(1) V digitálním věku tvoří informační a komunikační technologie základ otevřené, efektivní a nezávislé unijní správy. Vyvíjející se technologie a větší složitost a vzájemná propojenost digitálních systémů zesilují kybernetická bezpečnostní rizika, což činí unijní správu zranitelnější vůči kybernetickým hrozbám a incidentům, které v konečném důsledku ohrožují kontinuitu činností správy a schopnost zabezpečovat její data. Širší využívání služeb cloudu, všudypřítomné používání informačních a komunikačních technologií („IKT“), vysoká úroveň digitalizace, práce na dálku a vyvíjející se technologie a propojenost jsou nyní základními prvky všech činností správních subjektů v Unii, zatím však není dostatečně vybudována digitální odolnost. |
Odůvodnění
V návrhu Komise se objevuje výraz „informační technologie“, který by však měl znít „informační a komunikační technologie“, což je standardní termín používaný ve směrnici NIS 2 a v aktu EU o kybernetické bezpečnosti.
Pozměňovací návrh 2
Návrh nařízení
Bod odůvodnění 2
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(2) Prostředí kybernetických hrozeb, v němž působí orgány, instituce a jiné subjekty Unie, se neustále vyvíjí. Taktika, metody a postupy používané aktéry hrozeb se neustále vyvíjejí, avšak hlavní motivy takových útoků se nijak výrazně nemění, a to od krádeže cenných neveřejných informací přes získání finančních prostředků a manipulaci s veřejným míněním až po narušení digitální infrastruktury. Tempo, jímž provádějí své kybernetické útoky, se stále zvyšuje, přičemž jejich kampaně jsou stále sofistikovanější a automatizovanější, zaměřují se na exponované prostory k útoku, které se stále rozšiřují, a rychle využívají zranitelná místa. |
(2) Prostředí kybernetických hrozeb, v němž působí orgány, instituce, úřady a jiné subjekty Unie, se neustále vyvíjí. Taktika, metody a postupy používané aktéry hrozeb se neustále vyvíjejí, avšak hlavní motivy takových útoků se nijak výrazně nemění, a to od krádeže cenných neveřejných informací přes získání finančních prostředků a manipulaci s veřejným míněním až po narušení digitální infrastruktury. Tempo, jímž provádějí své kybernetické útoky, se stále zvyšuje, přičemž jejich kampaně a metody jsou stále sofistikovanější a automatizovanější, zaměřují se na exponované prostory k útoku, které se stále rozšiřují, a rychle využívají zranitelná místa. |
Pozměňovací návrh 3
Návrh nařízení
Bod odůvodnění 3
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(3) V prostředí informačních technologií orgánů, institucí a jiných subjektů Unie existují vzájemné závislosti a integrované toky dat a jejich uživatelé spolu úzce spolupracují. Tato vzájemná propojenost znamená, že jakékoli narušení, a dokonce i takové narušení, které je původně omezeno na jeden orgán, instituci nebo jiný subjekt Unie, může mít širší dominové účinky, jež mohou potenciálně vést k dalekosáhlým negativním dopadům na ostatní. Prostředí informačních technologií některých orgánů, institucí nebo jiných subjektů je navíc propojeno s informačním prostředím členských států, z čehož vyplývá, že incident v rámci jednoho subjektu Unie představuje riziko pro kybernetickou bezpečnost prostředí informačních technologií členských států, a naopak. |
(3) V prostředí informačních a komunikačních technologií orgánů, institucí, úřadů a jiných subjektů Unie existují vzájemné závislosti a integrované toky dat a jejich uživatelé spolu úzce spolupracují. Tato vzájemná propojenost znamená, že jakékoli narušení, a dokonce i takové narušení, které je původně omezeno na jeden orgán, instituci, úřad nebo jiný subjekt Unie, může mít širší dominové účinky, jež mohou potenciálně vést k dalekosáhlým negativním dopadům na ostatní. Prostředí informačních a komunikačních technologií některých orgánů, institucí, úřadů nebo jiných subjektů je navíc propojeno s informačním a komunikačním prostředím členských států, z čehož vyplývá, že incident v rámci jednoho subjektu Unie představuje riziko pro kybernetickou bezpečnost prostředí informačních a komunikačních technologií členských států, a naopak. |
Pozměňovací návrh 4
Návrh nařízení
Bod odůvodnění 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(4) Orgány, instituce a jiné subjekty Unie jsou atraktivní cíle, které musejí čelit vysoce kvalifikovaným a dobře finančně zajištěným aktérům hrozeb, jakož i jiným hrozbám. Přitom úroveň a vyspělost kybernetické odolnosti a schopnost odhalovat nepřátelské činnosti v kyberprostoru a reagovat na ně se u zmíněných subjektů značně liší. Pro fungování evropské správy je tak nezbytné, aby orgány, instituce a jiné subjekty Unie dosáhly vysoké společné úrovně kybernetické bezpečnosti prostřednictvím základní úrovně kybernetické bezpečnosti (soubor minimálních pravidel k zajištění kybernetické bezpečnosti, s nimiž musí být sítě a informační systémy v souladu, aby se minimalizovala kybernetická bezpečnostní rizika), výměny informací a spolupráce. |
(4) Orgány, instituce, úřady a jiné subjekty Unie jsou atraktivní cíle, které musejí čelit vysoce kvalifikovaným a dobře finančně zajištěným aktérům hrozeb, jakož i jiným hrozbám. Přitom úroveň a vyspělost kybernetické odolnosti a schopnost odhalovat nepřátelské činnosti v kyberprostoru a reagovat na ně se u zmíněných subjektů značně liší. Pro fungování evropské správy je tak nezbytné, aby orgány, instituce, úřady a jiné subjekty Unie dosáhly vysoké společné úrovně kybernetické bezpečnosti prostřednictvím základní úrovně kybernetické bezpečnosti (soubor společných minimálních pravidel k zajištění kybernetické bezpečnosti, s nimiž musí být sítě a informační systémy v souladu, aby se omezila kybernetická bezpečnostní rizika), pravidelné a efektivní výměny informací a spolupráce, a školení v oblasti kybernetické bezpečnosti. |
Pozměňovací návrh 5
Návrh nařízení
Bod odůvodnění 7
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(7) Rozdíly mezi orgány, institucemi a jinými subjekty Unii vyžadují pružnost při provádění, protože univerzální řešení nebude vyhovovat všem. Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti by neměla obsahovat žádné povinnosti přímo zasahující do plnění úkolů orgánů, institucí nebo jiných subjektů Unie nebo narušující jejich institucionální autonomii. Tyto orgány, instituce a jiné subjekty by tak měly zavést své vlastní rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik a přijmout své vlastní základní soubory opatření k zajištění kybernetické bezpečnosti a plány kybernetické bezpečnosti. |
(7) Rozdíly mezi orgány, institucemi, úřady a jinými subjekty Unii vyžadují pružnost při provádění, protože univerzální řešení nebude vyhovovat všem. Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti by měla podporovat plnění úkolů orgánů, institucí, úřadů nebo jiných subjektů Unie a zohledňovat jejich institucionální autonomii. Tyto orgány, instituce, úřady a jiné subjekty by tak měly zavést své vlastní rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik a přijmout své vlastní základní soubory opatření k zajištění kybernetické bezpečnosti a plány kybernetické bezpečnosti vycházející ze společného rámce stanoveného tímto nařízením. |
Pozměňovací návrh 6
Návrh nařízení
Bod odůvodnění 8
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(8) Požadavky na řízení kybernetických bezpečnostních rizik by měly být úměrné rizikům, jež daná síť nebo informační systém obnáší, aby na orgány, instituce nebo jiné subjekty Unie nebyla uvalena nepřiměřená finanční a administrativní zátěž, a to s ohledem na nejnovější technický vývoj takových opatření. Cílem každého orgánu, instituce a jiného subjektu Unie by mělo být, aby přiměřenou část svého rozpočtu na informační technologie vynaložily na zlepšení úrovně své kybernetické bezpečnosti; z dlouhodobého hlediska by měl být sledován cíl v řádu 10 %. |
(8) Požadavky na řízení kybernetických bezpečnostních rizik by měly být úměrné rizikům, jež daná síť nebo informační systém obnáší, aby na orgány, instituce, úřady nebo jiné subjekty Unie nebyla uvalena nepřiměřená finanční a administrativní zátěž, a to s ohledem na nejnovější technický vývoj takových opatření. Cílem každého orgánu, instituce, úřadu a jiného subjektu Unie by mělo být, aby přiměřenou část svého rozpočtu ve střednědobém či dlouhodobém horizontu a více alespoň 10 % vynaložily na informační a komunikační technologie na zlepšení úrovně své kybernetické bezpečnosti; |
Pozměňovací návrh 7
Návrh nařízení
Bod odůvodnění 9
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(9) Vyšší společná úroveň kybernetické bezpečnosti vyžaduje, aby dohled nad kybernetickou bezpečností přešel na nejvyšší úroveň vedení každého orgánu, instituce nebo jiného subjektu Unie, které by mělo schválit základní soubor opatření k zajištění kybernetické bezpečnosti, který by měl řešit rizika zjištěná v rámci, jenž má být každým orgánem, institucí nebo jiným subjektem zaveden. Nedílnou součásti základního souboru opatření k zajištění kybernetické bezpečnosti ve všech orgánech, institucích a jiných subjektech Unie je řešení kultury kybernetické bezpečnosti, tedy každodenní praxe v oblasti kybernetické bezpečnosti. |
(9) Vyšší společná úroveň kybernetické bezpečnosti vyžaduje, aby dohled nad kybernetickou bezpečností přešel na společný výbor EU s nejvyšší úrovní vedení každého orgánu, instituce, úřad nebo jiného subjektu Unie, které by mělo schválit základní soubor opatření k zajištění kybernetické bezpečnosti, který by měl řešit rizika zjištěná v rámci, jenž má být každým orgánem, institucí, úřadem nebo jiným subjektem zaveden. Nedílnou součásti základního souboru opatření k zajištění kybernetické bezpečnosti ve všech orgánech, institucích, úřadech a jiných subjektech Unie by se mělo stát řešení kultury kybernetické bezpečnosti, tedy každodenní praxe v oblasti kybernetické bezpečnosti. |
Pozměňovací návrh 8
Návrh nařízení
Bod odůvodnění 10
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(10) Orgány, instituce a jiné subjekty Unie by měly posuzovat rizika související se vztahy s dodavateli a poskytovateli služeb, včetně poskytovatelů služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb, a přijímat vhodná opatření k řešení těchto rizik. Tato opatření by měla být součástí základního souboru opatření k zajištění kybernetické bezpečnosti a měla by být dále upřesněna v pokynech nebo doporučeních centra CERT-EU. Při stanovení opatření a pokynů by měly být náležitě zohledněny příslušné právní předpisy a politiky EU, včetně posouzení rizik a doporučení vydávaných skupinou pro spolupráci v oblasti bezpečnosti sítí a informací (skupinou NIS), jako je koordinované posouzení rizik v EU a souboru opatření EU pro kybernetickou bezpečnost sítí 5G. Mohla by být rovněž vyžadována certifikace příslušných produktů, služeb a procesů IKT, a to v rámci konkrétních evropských systémů certifikace kybernetické bezpečnosti přijatých podle článku 49 nařízení (EU) 2019/881. |
(10) Orgány, instituce, úřady a jiné subjekty Unie by měly posuzovat rizika související se vztahy s dodavateli a poskytovateli služeb, včetně poskytovatelů služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb, a přijímat vhodná opatření k řešení těchto rizik. Tito dodavatelé a poskytovatelé služeb by měli být důkladně prověřeni s ohledem na celý rozsah dodavatelského řetězce a hospodářské a politické prostředí, v němž působí. Pokud vztahy s takovými dodavateli a poskytovateli služeb představují riziko pro integritu demokratických procesů v EU, měly by být bez zbytečného odkladu ukončeny. Tato opatření by měla být součástí základního souboru opatření k zajištění kybernetické bezpečnosti a měla by být dále upřesněna v pokynech nebo doporučeních centra CERT-EU. Při stanovení opatření a pokynů by měly být náležitě zohledněny příslušné právní předpisy a politiky EU, včetně posouzení rizik a doporučení vydávaných skupinou pro spolupráci v oblasti bezpečnosti sítí a informací (skupinou NIS), jako je koordinované posouzení rizik v EU a souboru opatření EU pro kybernetickou bezpečnost sítí 5G. Dále s ohledem na typy hrozeb a důležitost budování odolnosti by měla být rovněž vyžadována certifikace příslušných produktů, služeb a procesů IKT používaných v orgánech, institucích, úřadech a jiných subjektech Unie, a to v rámci konkrétních evropských systémů certifikace kybernetické bezpečnosti přijatých podle článku 49 nařízení (EU) 2019/881. |
Pozměňovací návrh 9
Návrh nařízení
Bod odůvodnění 13
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(13) Mnohé kybernetické útoky jsou součástí širších kampaní, které cílí na skupiny orgánů, institucí a jiných subjektů Unie nebo na zájmové komunity, jež orgány, instituce a jiné subjekty Unie zahrnují. S cílem umožnit aktivní odhalování incidentů, reakci na incidenty nebo opatření ke zmírnění dopadů incidentů by orgány, instituce a jiné subjekty Unie měly centru CERT-EU oznamovat významné kybernetické hrozby, významná zranitelná místa a významné incidenty a sdílet vhodné technické podrobnosti, jež umožňují odhalovat podobné kybernetické hrozby v rámci jiných orgánů, institucí a jiných subjektů Unie, zmírňovat dopady takových hrozeb a na tyto hrozby reagovat. Podle stejného přístupu, jaký se předpokládá ve směrnici [návrhu směrnice NIS 2], by subjekty, které se dozvědí o významném incidentu, měly mít povinnost předložit centru CERT-EU počáteční oznámení do 24 hodin. Taková výměna informací by měla centru CERT-EU umožnit šířit tyto informace do jiných orgánů, institucí nebo jiných subjektů Unie, jakož i vhodným protějškům, s cílem pomoci chránit prostředí informačních technologií Unie a prostředí informačních prostředí protějšků Unie před podobnými incidenty, hrozbami a zranitelnými místy. |
(13) Mnohé kybernetické útoky jsou součástí širších kampaní, které cílí na skupiny orgánů, institucí, úřadů a jiných subjektů Unie nebo na zájmové komunity, jež orgány, instituce, úřady a jiné subjekty Unie zahrnují. S cílem umožnit aktivní odhalování incidentů, reakci na incidenty nebo opatření ke zmírnění dopadů incidentů by orgány, instituce, úřady a jiné subjekty Unie měly centru CERT-EU oznamovat významné kybernetické hrozby, významná zranitelná místa a významné incidenty a sdílet vhodné technické podrobnosti, jež umožňují odhalovat podobné kybernetické hrozby v rámci jiných orgánů, institucí, úřadů a jiných subjektů Unie, zmírňovat dopady takových hrozeb a na tyto hrozby reagovat. Podle stejného přístupu, jaký se předpokládá ve směrnici [návrhu směrnice NIS 2], by subjekty, které se dozvědí o významném incidentu, měly mít povinnost předložit centru CERT-EU bez zbytečného odkladu a v každém případě do 24 hodin včasné varování. Orgánům, institucím, úřadům a jiným subjektům Unie by měly být přiděleny dostatečné zdroje, aby mohly rychle a účinně plnit své oznamovací povinnosti s cílem zajistit správné fungování navrženého systému. Taková výměna informací by měla centru CERT-EU umožnit šířit tyto informace do jiných orgánů, institucí, úřadů nebo jiných subjektů Unie, jakož i vhodným protějškům, s cílem pomoci chránit prostředí informačních a komunikačních technologií Unie a prostředí informačních a komunikačních technologií protějšků Unie před podobnými incidenty, hrozbami a zranitelnými místy. |
Pozměňovací návrh 10
Návrh nařízení
Bod odůvodnění 14
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(14) Kromě uložení více úkolů centru CERT-EU a rozšíření jeho úlohy by měl být zřízen Interinstitucionální výbor pro kybernetickou bezpečnost (IICB), který by měl usnadňovat dosažení vysoké společné úrovně kybernetické bezpečnosti u orgánů, institucí a jiných subjektů Unie tak, že bude sledovat provádění tohoto nařízení ze strany orgánů, institucí a jiných subjektů Unie, dohlížet na plnění obecných priorit a cílů centrem CERT-EU a poskytovat centru CERT-EU strategické řízení. Výbor IICB by měl zajišťovat zastoupení orgánů a zahrnovat zástupce jiných subjektů a institucí prostřednictvím sítě agentur Unie. |
(14) Kromě uložení více úkolů centru CERT-EU a rozšíření jeho úlohy by měl být zřízen Interinstitucionální výbor pro kybernetickou bezpečnost (IICB), který by měl usnadňovat dosažení vysoké společné úrovně kybernetické bezpečnosti u orgánů, institucí, úřadů a jiných subjektů Unie tak, že bude sledovat provádění tohoto nařízení ze strany orgánů, institucí, úřadů a jiných subjektů Unie, dohlížet na plnění obecných priorit a cílů centrem CERT-EU a poskytovat centru CERT-EU strategické řízení. Výbor IICB by měl zajišťovat rovné zastoupení orgánů a zahrnovat zástupce jiných subjektů, úřadů a institucí prostřednictvím sítě agentur Unie. |
Pozměňovací návrh 11
Návrh nařízení
Bod odůvodnění 16
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(16) Výbor IICB by měl sledovat dodržování tohoto nařízení, jakož i následná opatření přijímaná v návaznosti na pokyny a doporučení a na výzvy k přijetí opatření vydávané centrem CERT-EU. V technických záležitostech by měly výbor IICB podporovat technické poradní skupiny ve složení, jež výbor IICB považuje za vhodné, které by měly dle potřeby úzce spolupracovat s centrem CERT-EU, orgány, institucemi nebo jinými subjekty Unie a dalšími zúčastněnými stranami. V případě potřeby by měl výbor IICB vydávat nezávazná varování a doporučovat audity. |
(16) Výbor IICB by měl sledovat dodržování tohoto nařízení, jakož i následná opatření přijímaná v návaznosti na pokyny a doporučení a na výzvy k přijetí opatření vydávané centrem CERT-EU. V technických záležitostech by měly výbor IICB podporovat technické poradní skupiny, které by měly případně úzce spolupracovat s centrem CERT-EU, orgány, institucemi, úřady nebo jinými subjekty Unie a dalšími zúčastněnými stranami. V případě potřeby by měl výbor IICB vydávat varování a doporučení pro audity. |
Pozměňovací návrh 12
Návrh nařízení
Bod odůvodnění 17
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(17) Úkolem centra CERT-EU by mělo být přispívat k bezpečnosti prostředí informačních technologií ve všech orgánech, institucích a jiných subjektech Unie. Centrum CERT-EU by mělo jednat jako jakýsi specializovaný koordinátor orgánů, institucí a jiných subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelných místech v evropském registru zranitelných míst podle článku 6 směrnice [návrhu směrnice NIS 2]. |
(17) Úkolem centra CERT-EU by mělo být přispívat k bezpečnosti prostředí informačních a komunikačních technologií ve všech orgánech, institucích, úřadů a jiných subjektech Unie. Centrum CERT-EU by mělo jednat jako jakýsi specializovaný koordinátor orgánů, institucí, úřadů a jiných subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelných místech v evropském registru zranitelných míst podle článku 6 směrnice [návrhu směrnice NIS 2]. |
Pozměňovací návrh 13
Návrh nařízení
Bod odůvodnění 18
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(18) V roce 2020 řídící rada CERT-EU stanovila pro CERT-EU nový strategický cíl zajistit pro všechny orgány, instituce a jiné subjekty Unie komplexní úroveň kybernetické obrany s vhodnou šířkou a hloubkou a s neustálým přizpůsobováním se aktuálním nebo potenciálním hrozbám, včetně útoků zaměřených na mobilní zařízení, prostředí cloudu a zařízení internetu věcí. Tento strategický cíl zahrnuje také široké spektrum bezpečnostních operačních středisek, jež monitorují sítě, a nepřetržité monitorování vysoce rizikových hrozeb. U větších orgánů, institucí a jiných subjektů Unie by centrum CERT-EU mělo podporovat jejich týmy pro bezpečnost informačních technologií, včetně nepřetržitého monitorování v první linii. Menším a některým středně velkým orgánům, institucím a jiným subjektům by centrum CERT-EU mělo poskytovat veškeré služby. |
(18) V roce 2020 řídící rada CERT-EU stanovila pro CERT-EU nový strategický cíl zajistit pro všechny orgány, instituce, úřady a jiné subjekty Unie komplexní úroveň kybernetické obrany s vhodnou šířkou a hloubkou a s neustálým přizpůsobováním se aktuálním nebo potenciálním hrozbám, včetně útoků zaměřených na mobilní zařízení, prostředí cloudu a zařízení internetu věcí. Tento strategický cíl zahrnuje také široké spektrum bezpečnostních operačních středisek, jež monitorují sítě, a nepřetržité monitorování vysoce rizikových hrozeb. U větších orgánů, institucí, úřadů a jiných subjektů Unie by centrum CERT-EU mělo podporovat jejich týmy pro bezpečnost informačních a komunikačních technologií, včetně nepřetržitého monitorování v první linii. Menším a některým středně velkým orgánům, institucím, úřadům a jiným subjektům by centrum CERT-EU mělo poskytovat veškeré služby. |
Pozměňovací návrh 14
Návrh nařízení
Bod odůvodnění 19 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(19a) S cílem zajistit lepší provádění opatření a pokynů v oblasti kybernetické bezpečnosti pro orgány, instituce, úřady a jiné subjekty Unie a upevnit v nich kulturu kybernetické bezpečnosti by centrum CERT-EU mělo rovněž posílit spolupráci s evropskou sítí a centrem kompetencí pro kybernetickou bezpečnost. |
Pozměňovací návrh 15
Návrh nařízení
Bod odůvodnění 20
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(20) Při podpoře operační kybernetické bezpečnosti by centrum CERT-EU mělo využívat dostupné odborné znalosti Agentury Evropské unie pro kybernetickou bezpečnost, a to prostřednictvím strukturované spolupráce, jak stanoví nařízení Evropského parlamentu a Rady (EU) 2019/8815. V případě potřeby by měla být učiněna speciální ujednání mezi oběma subjekty o praktické podobě takové spolupráce a mělo by se zabránit zdvojování činností. Centrum CERT-EU by mělo spolupracovat s Agenturou Evropské unie pro kybernetickou bezpečnost při analýze hrozeb a pravidelně s touto agenturou sdílet svou zprávu o prostředí hrozeb. |
(20) Při podpoře operační kybernetické bezpečnosti by centrum CERT-EU mělo využívat dostupné odborné znalosti Agentury Evropské unie pro kybernetickou bezpečnost, a to prostřednictvím strukturované spolupráce, jak stanoví nařízení Evropského parlamentu a Rady (EU) 2019/881. Měla by být učiněna speciální ujednání mezi oběma subjekty o praktické podobě takové spolupráce a mělo by se zabránit zdvojování činností. Centrum CERT-EU by mělo spolupracovat s Agenturou Evropské unie pro kybernetickou bezpečnost při analýze hrozeb a pravidelně s touto agenturou sdílet svou zprávu o prostředí hrozeb. |
__________________ |
__________________ |
5 Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15). |
5 Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15). |
Pozměňovací návrh 16
Návrh nařízení
Bod odůvodnění 24
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(24) Jelikož služby a úkoly centra CERT-EU jsou v zájmu všech orgánů, institucí a jiných subjektů Unie, měl by každý orgán, instituce a jiný subjekt Unie s výdaji v oblasti informačních technologií přispívat na tyto služby a úkoly spravedlivým dílem. Těmito příspěvky není dotčena rozpočtová autonomie orgánů, institucí a jiných subjektů Unie. |
(24) Jelikož služby a úkoly centra CERT-EU jsou v zájmu všech orgánů, institucí, úřadů a jiných subjektů Unie, měl by každý orgán, instituce, úřad a jiný subjekt Unie s výdaji v oblasti informačních a komunikačních technologií úměrně přispívat na tyto služby a úkoly. Těmito příspěvky není dotčena rozpočtová kapacita orgánů, institucí, úřadů a jiných subjektů Unie. |
Pozměňovací návrh 17
Návrh nařízení
Bod odůvodnění 25
|
|
Znění navržené Komisí |
Pozměňovací návrh |
(25) IICB by za pomoci týmu CERT-EU měla přezkoumat a vyhodnotit provádění tohoto nařízení a měla by o svých zjištěních informovat Komisi. Na základě těchto informací by Komise měla podávat zprávy Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů, |
(25) IICB by za pomoci týmu CERT-EU měla přezkoumat a vyhodnotit provádění tohoto nařízení a měla by o svých zjištěních informovat Komisi. Na základě těchto informací by Komise měla přinejmenším každé tři roky podávat zprávy Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů. |
Pozměňovací návrh 18
Návrh nařízení
Čl. 1 – odst. 1 – písm. a
|
|
Znění navržené Komisí |
Pozměňovací návrh |
a) orgánům, institucím a jiným subjektům Unie povinnosti s cílem zavést interní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik; |
a) orgánům, institucím, úřadům a jiným subjektům Unie povinnosti s cílem zavést interní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik; |
Pozměňovací návrh 19
Návrh nařízení
Čl. 1 – odst. 1 – písm. c
|
|
Znění navržené Komisí |
Pozměňovací návrh |
c) pravidla týkající se organizace a provozu Centra pro kybernetickou bezpečnost orgánů, institucí a jiných subjektů Unie (CERT-EU) a organizace a provozu Interinstitucionálního výboru pro kybernetickou bezpečnost (IICB). |
c) pravidla týkající se organizace a provozu Centra pro kybernetickou bezpečnost orgánů, institucí, úřadů a jiných subjektů Unie (CERT-EU) a fungování, organizace a provozu Interinstitucionálního výboru pro kybernetickou bezpečnost (IICB). |
Pozměňovací návrh 20
Návrh nařízení
Článek 2 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Článek 2a |
|
Zpracování osobních údajů |
|
Zpracování osobních údajů podle tohoto nařízení centrem CERT-EU, IICB a všemi orgány, institucemi a jinými subjekty Unie se provádí v souladu s nařízením Evropského parlamentu a Rady (EU) 2018/1725. |
Pozměňovací návrh 21
Návrh nařízení
Čl. 3 – odst. 1 – bod 2
|
|
Znění navržené Komisí |
Pozměňovací návrh |
2) „sítí a informačním systémem“ síť a informační systém ve smyslu čl. 4 odst. 1 směrnice [návrh směrnice NIS 2]; |
2) „sítí a informačním systémem“ síť a informační systém, jak jsou definovány v čl. 6 bodu 1 směrnice [návrh směrnice NIS 2]; |
Pozměňovací návrh 22
Návrh nařízení
Čl. 3 – odst. 1 – bod 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
4) „kybernetickou bezpečností“ kybernetická bezpečnost ve smyslu čl. 4 odst. 3 směrnice [návrh směrnice NIS 2]; |
4) „kybernetickou bezpečností“ kybernetická bezpečnost, jak je definována v čl. 2 bodu 1 nařízení Evropského parlamentu a Rady (EU) 2019/8811a; |
|
_________________ |
|
1A nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15). |
Pozměňovací návrh 23
Návrh nařízení
Čl. 3 – odst. 1 – bod 5
|
|
Znění navržené Komisí |
Pozměňovací návrh |
5) „nejvyšší úrovní vedení“ vedoucí, vedení nebo koordinační orgán a orgán dohledu na nejvyšší správní úrovni, odpovídající za vysokou úroveň správních opatření v každém orgánu, instituci nebo jiném subjektu Unie; |
5) „nejvyšší úrovní vedení“ vedoucí, vedení nebo koordinační orgán a orgán dohledu na nejvyšší správní úrovni s mandátem přijímat nebo schvalovat rozhodnutí, odpovídající za vysokou úroveň správních opatření v každém orgánu, instituci, úřadu nebo jiném subjektu Unie; |
Pozměňovací návrh 24
Návrh nařízení
Čl. 3 – odst. 1 – bod 7
|
|
Znění navržené Komisí |
Pozměňovací návrh |
7) „Významným incidentem“ se rozumí jakýkoli incident, pokud nemá omezený dopad a není pravděpodobné, že je již dobře znám z hlediska metody nebo technologie. |
7) „významnou událostí“ incident, který dotčenému subjektu Unie způsobil nebo může způsobit vážné provozní narušení fungování subjektu Unie nebo finanční ztrátu, nebo který ovlivnil nebo může ovlivnit jiné fyzické nebo právnické osoby tím, že způsobuje značnou hmotnou či nehmotnou újmu; |
Pozměňovací návrh 25
Návrh nařízení
Čl. 3 – odst. 1 – bod 11
|
|
Znění navržené Komisí |
Pozměňovací návrh |
11) „významnou kybernetickou hrozbou“ kybernetická hrozba s úmyslem, příležitostí a schopností způsobit významný incident; |
11) „významnou kybernetickou hrozbou“ kybernetická hrozba, jak je definována v čl. 6 bodě 11 směrnice [návrh směrnice NIS 2]; |
Pozměňovací návrh 26
Návrh nařízení
Čl. 3 – odst. 1 – bod 14
|
|
Znění navržené Komisí |
Pozměňovací návrh |
14) „kybernetickým bezpečnostním rizikem“ jakákoli přiměřeně rozpoznatelná okolnost nebo událost, která by mohla mít negativní dopad na bezpečnost sítí a informačních systémů; |
14) „rizikem“ jakékoli riziko, jak je definováno v čl. 6 odst. 9 směrnice [návrh směrnice NIS 2]; |
Pozměňovací návrh 27
Návrh nařízení
Čl. 3 – odst. 1 – bod 14 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
14a) „informačním a komunikačním prostředím“ jakýkoli produkt, služba a proces IKT, na místě nebo virtuální, jak jsou definovány v článku 2, body 12, 13, 14 nařízení (EU) 2019/881, a veškeré sítě a informační systémy bez ohledu na to, zda jsou vlastněny a provozovány orgánem, institucí nebo jiným subjektem Unie nebo hostovány či provozovány třetí stranou, včetně mobilních zařízení, korporátních sítí a obchodních sítí, které nejsou připojeny k internetu, a jakýchkoli zařízení připojených k prostředí IKT; |
Odůvodnění
Termín přesunut z čl. 4 odst. 2 tohoto návrhu do článku s definicemi vzhledem k tomu, že tento pojem je v celém textu jednotně používán. Navrhovaná definice tohoto pojmu vychází z definic jeho složek z článku 2 nařízení (EU) 2019/881 (aktu o kybernetické bezpečnosti).
Pozměňovací návrh 28
Návrh nařízení
Čl. 3 – odst. 1 – bod 15
|
|
Znění navržené Komisí |
Pozměňovací návrh |
15) „společnou kybernetickou jednotkou“ virtuální a fyzická platforma pro spolupráci různých komunit v oblasti kybernetické bezpečnosti v Unii, se zaměřením na operativní a technickou koordinaci v boji proti významným přeshraničním kybernetickým hrozbám a incidentům ve smyslu doporučení Komise ze dne 23. června 2021; |
vypouští se |
Pozměňovací návrh 29
Návrh nařízení
Čl. 4 – odst. 1
|
|
Znění navržené Komisí |
Pozměňovací návrh |
1. Každý orgán, instituce a jiný subjekt Unie zřídí svůj vlastní interní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik (dále jen „rámec“) na podporu poslání subjektu a výkonu jeho institucionální autonomie. Na tuto práci dohlíží nejvyšší úroveň vedení subjektu, aby bylo zajištěno účinné a obezřetné řízení všech kybernetických bezpečnostních rizik. Rámec bude zaveden nejpozději do … [15 měsíců od vstupu tohoto nařízení v platnost]. |
1. Na základě celkových bezpečnostních auditů každý orgán, instituce a jiný subjekt Unie zřídí svůj vlastní interní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik (dále jen „rámec“) na podporu poslání subjektu a výkonu jeho institucionální autonomie s přihlédnutím k soudržnosti a interoperabilitě svého rámce s opatřeními ostatních příslušných orgánů, institucí a agentur. Na tuto práci dohlíží nejvyšší úroveň vedení subjektu, která je odpovědná za to, aby bylo zajištěno účinné a obezřetné řízení všech kybernetických bezpečnostních rizik. Rámec bude zaveden nejpozději do .... [15 měsíců od data vstupu tohoto nařízení v platnost]. |
Pozměňovací návrh 30
Návrh nařízení
Čl. 4 – odst. 2
|
|
Znění navržené Komisí |
Pozměňovací návrh |
2. Rámec zahrnuje celé prostředí informačních technologií dotčeného orgánu, instituce nebo jiného subjektu Unie, včetně jakéhokoli prostředí informačních technologií v jejich prostorách, externě zajišťovaných aktiv a služeb v prostředí cloud computingu nebo hostovaných třetími stranami, mobilních zařízení, podnikových sítí, obchodních sítí nepřipojených k internetu a jakýchkoli zařízení připojených k prostředí informačních technologií. Rámec zohledňuje řízení kontinuity činnosti v době krize a bere v úvahu bezpečnost dodavatelského řetězce, jakož i řízení lidských rizik, jež by mohla ovlivnit kybernetickou bezpečnost dotčeného orgánu, instituce nebo jiného subjektu Unie. |
2. Rámec zahrnuje celé prostředí informačních a komunikačních technologií dotčeného orgánu, instituce, úřadu nebo jiného subjektu Unie, včetně jakéhokoli prostředí informačních a komunikačních technologií v jejich prostorách, externě zajišťovaných aktiv a služeb v prostředí cloud computingu nebo hostovaných třetími stranami, mobilních zařízení, podnikových sítí, obchodních sítí nepřipojených k internetu a jakýchkoli zařízení připojených k prostředí informačnícha komunikačních technologií. Rámec zohledňuje řízení kontinuity činnosti v době krize a bere v úvahu bezpečnost dodavatelského řetězce, jakož i řízení lidských rizik, jež by mohla ovlivnit kybernetickou bezpečnost dotčeného orgánu, instituce, úřadu nebo jiného subjektu Unie. |
Pozměňovací návrh 31
Návrh nařízení
Čl. 4 – odst. 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
4. Každý orgán, instituce a jiný subjekt Unie má zaveden účinný mechanismus zajišťující, že přiměřená část rozpočtu na informační technologie bude vynaložena na kybernetickou bezpečnost. |
4. Každý orgán, instituce, úřad a jiný subjekt Unie má zaveden účinný mechanismus zajišťující, že alespoň 10 % celkového rozpočtu na informační a komunikační technologie bude vynaloženo na kybernetickou bezpečnost ve střednědobém horizontu. |
Pozměňovací návrh 32
Návrh nařízení
Čl. 4 – odst. 5 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5a. Místní referent pro kybernetickou bezpečnost spolupracuje s pověřencem pro ochranu osobních údajů uvedeným v článku 43 nařízení (EU) 2018/1725 při řešení překrývajících se činností týkajících se záměrné a standardní ochrany osobních údajů u opatření v oblasti kybernetické bezpečnosti, při výběru opatření v oblasti kybernetické bezpečnosti, která zahrnují ochranu osobních údajů, integrované řízení rizik a integrované řešení bezpečnostních incidentů. |
Pozměňovací návrh 33
Návrh nařízení
Čl. 5 – odst. 1
|
|
Znění navržené Komisí |
Pozměňovací návrh |
1. Nejvyšší úroveň vedení každého orgánu, instituce nebo jiného subjektu Unie schválí základní soubor opatření k zajištění vlastní kybernetické bezpečnosti subjektu pro řešení rizik zjištěných v rámci uvedeném v čl. 4 odst. 1. Činí tak na podporu svého poslání a výkonu své institucionální autonomie. Základní soubor opatření k zajištění kybernetické bezpečnosti musí být zaveden nejpozději do … [18 měsíců od vstupu tohoto nařízení v platnost] a řeší oblasti uvedené v příloze I a opatření uvedená v příloze II. |
1. Nejvyšší úroveň vedení každého orgánu, instituce, úřadu nebo jiného subjektu Unie schválí základní soubor opatření k zajištění vlastní kybernetické bezpečnosti subjektu pro řešení rizik zjištěných v rámci uvedeném v čl. 4 odst. 1. Činí tak na podporu svého poslání a výkonu své institucionální autonomie v plném souladu s požadavky tohoto nařízení a s přihlédnutím k pokynům a doporučením přijatým IICB na návrh skupiny CERT-EU a příslušných unijních systémů certifikace kybernetické bezpečnosti. Základní soubor opatření k zajištění kybernetické bezpečnosti bude zaveden nejpozději do … nejpozději do … [18 měsíců od data vstupu tohoto nařízení v platnost] a řeší oblasti uvedené v příloze I a opatření uvedená v příloze II. |
Pozměňovací návrh 34
Návrh nařízení
Čl. 5 – odst. 2
|
|
Znění navržené Komisí |
Pozměňovací návrh |
2. Vrcholné vedení každého orgánu, instituce a jiného subjektu Unie pravidelně absolvuje zvláštní školení, aby získalo dostatečné znalosti a dovednosti umožňující posuzovat a vyhodnocovat kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na provoz organizace. |
2. Vrcholné vedení každého orgánu, instituce, úřadu a jiného subjektu Unie pravidelně absolvuje zvláštní školení, aby získalo dostatečné znalosti a dovednosti umožňující posuzovat a vyhodnocovat kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na provoz organizace, s využitím odpovídajících zdrojů. Kromě těchto specifických školení a za účelem budování a konsolidace kultury kybernetické bezpečnosti se do plánu kybernetické bezpečnosti zahrne pravidelná odborná příprava pracovníků v oblasti kybernetické bezpečnosti, která bude alespoň jednou za dva roky aktualizována. Musí být zajištěny dostatečné zdroje pro zajištění kvalitní odborné přípravy. |
Pozměňovací návrh 35
Návrh nařízení
Čl. 6 – odst. 1
|
|
Znění navržené Komisí |
Pozměňovací návrh |
Každý orgán, instituce a jiný subjekt Unie provádí alespoň každé tři roky hodnocení vyspělosti kybernetické bezpečnosti, které zahrnuje všechny prvky jejich prostředí informačních technologií popsané v článku 4, přičemž zohlední příslušné pokyny a doporučení přijaté v souladu s článkem 13. |
Každý orgán, instituce, úřad nebo jiný subjekt Unie provede posouzení vyspělosti v oblasti kybernetické bezpečnosti do... [6 měsíců od vstupu nařízení v platnost] a poté alespoň každé dva roky hodnocení vyspělosti kybernetické bezpečnosti, které zahrnuje všechny prvky jejich prostředí informačních technologií popsané v článku 4, přičemž zohlední příslušné pokyny a doporučení přijaté v souladu s článkem 13. Hodnocení vyspělosti musí být založeno na nezávislých auditech kybernetické bezpečnosti ověřených poskytovatelů. |
Pozměňovací návrh 36
Návrh nařízení
Čl. 7 – odst. 1
|
|
Znění navržené Komisí |
Pozměňovací návrh |
1. Na základě závěrů vyvozených z hodnocení vyspělosti a s ohledem na aktiva a rizika zjištěná podle článku 4 nejvyšší úroveň vedení každého orgánu, instituce nebo jiného subjektu EU po zavedení rámce pro řízení, správu a kontrolu rizik a základního souboru opatření k zajištění kybernetické bezpečnosti bez zbytečného prodlení schválí plán kybernetické bezpečnosti. Cílem plánu je zvýšit celkovou kybernetickou bezpečnost dotčeného subjektu, a tím přispět k dosažení nebo posílení vysoké společné úrovně kybernetické bezpečnosti ve všech orgánech, institucích a jiných subjektech Unie. Na podporu poslání subjektu na základě jeho institucionální autonomie zahrnuje plán přinejmenším oblasti uvedené v příloze I, opatření uvedená v příloze II, jakož i opatření týkající se připravenosti na incidenty, reakce na incidenty a zotavení z incidentů, jako je monitorování a vedení protokolů bezpečnosti. Plán se nejméně každé tři roky reviduje, a to na základě hodnocení vyspělosti provedených podle článku 6. |
1. Na základě závěrů vyvozených z hodnocení vyspělosti a s ohledem na aktiva a rizika zjištěná podle článku 4 nejvyšší úroveň vedení každého orgánu, instituce, úřadu nebo jiného subjektu EU po zavedení rámce pro řízení, správu a kontrolu rizik a základního souboru opatření k zajištění kybernetické bezpečnosti bez zbytečného prodlení schválí plán kybernetické bezpečnosti. Cílem plánu je zvýšit celkovou kybernetickou bezpečnost dotčeného subjektu, a tím přispět k dosažení nebo posílení vysoké společné úrovně kybernetické bezpečnosti ve všech orgánech, institucích, úřadech a jiných subjektech Unie. Na podporu poslání subjektu na základě jeho institucionální autonomie zahrnuje plán přinejmenším oblasti uvedené v příloze I, opatření uvedená v příloze II, jakož i opatření týkající se připravenosti na incidenty, reakce na incidenty a zotavení z incidentů, jako je bezpečnostní posouzení dodavatelů a služeb, monitorování a vedení protokolů bezpečnosti. Plán se nejméně každé dva roky reviduje, a to na základě hodnocení vyspělosti provedených podle článku 6. |
Pozměňovací návrh 37
Návrh nařízení
Čl. 7 – odst. 2
|
|
Znění navržené Komisí |
Pozměňovací návrh |
2. Plán kybernetické bezpečnosti obsahuje úkoly zaměstnanců a odpovědnost za jeho provádění. |
2. Plán kybernetické bezpečnosti obsahuje úkoly zaměstnanců, připravenost a odpovědnost za jeho provádění. |
Pozměňovací návrh 38
Návrh nařízení
Čl. 7 – odst. 3
|
|
Znění navržené Komisí |
Pozměňovací návrh |
3. Plán kybernetické bezpečnosti zohledňuje příslušné pokyny a doporučení vydané centrem CERT-EU. |
3. Plán kybernetické bezpečnosti zahrnuje navrhovaná opatření stanovená ve všech příslušných pokynech a doporučeních vydaných centrem CERT-EU. |
Pozměňovací návrh 39
Návrh nařízení
Čl. 7 – odst. 3 a (nový)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3a. Orgány, instituce a jiné subjekty Unie předloží své plány kybernetické bezpečnosti Interinstitucionálnímu výboru pro kybernetickou bezpečnost (IICB). Tyto plány jsou sdíleny v co největší míře, aniž by hrozilo odhalení nebo zpřístupnění citlivých nebo důvěrných informací o konkrétních technických opatřeních a schopnostech subjektu Unie v oblasti kybernetické bezpečnosti neoprávněným třetím stranám. |
Pozměňovací návrh 40
Návrh nařízení
Čl. 9 – odst. 2 – písm. a
|
|
Znění navržené Komisí |
Pozměňovací návrh |
a) sledovat provádění tohoto nařízení orgány, institucemi a jinými subjekty Unie; |
a) sledovat provádění tohoto nařízení orgány, institucemi, úřady a jinými subjekty Unie a poskytovat doporučení k dosažení vysoké společné úrovně kybernetické bezpečnosti; |
Pozměňovací návrh 41
Návrh nařízení
Čl. 9 – odst. 3 – pododstavec 1 – návětí
|
|
Znění navržené Komisí |
Pozměňovací návrh |
Výbor IICB sestává ze tří zástupců nominovaných sítí agentur Unie (EUAN) na návrh jejího poradního výboru pro IKT, aby zastupovali zájmy orgánů a jiných subjektů, které provozují své vlastní prostředí informačních technologií, a po jednom zástupci vyslaném každým z těchto subjektů: |
Výbor IICB sestává ze tří zástupců nominovaných sítí agentur Unie (EUAN) na návrh jejího poradního výboru pro IKT, aby zastupovali zájmy úřadů, orgánů a jiných subjektů, které provozují své vlastní prostředí informačních a komunikačních technologií, a po jednom zástupci vyslaném každým z těchto subjektů: |
Pozměňovací návrh 42
Návrh nařízení
Čl. 9 – odst. 3 – pododstavec 1 – písm. k a (nové)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
ka) evropský inspektor ochrany údajů. |
Pozměňovací návrh 43
Návrh nařízení
Čl. 10 – odst. 1 – písm. a a (nové)
|
|
Znění navržené Komisí |
Pozměňovací návrh |
|
aa) na základě návrhu vedoucího centra CERT-EU schvaluje doporučení k dosažení vysoké společné úrovně kybernetické bezpečnosti určená jednomu nebo všem orgánům, institucím a jiným subjektům Unie; |
Pozměňovací návrh 44
Návrh nařízení
Čl. 11 – odst. 1 – písm. a
|
|
Znění navržené Komisí |
Pozměňovací návrh |
a) vydat varování; je-li to nezbytné vzhledem k závažnému kybernetickému bezpečnostnímu riziku, okruh osob, jimž je varování určeno, se vhodně omezí; |
a) vydat varování; je-li to nezbytné vzhledem k závažnému kybernetickému bezpečnostnímu riziku, okruh osob, jimž je varování určeno, se vhodně omezí, a to s pomocí společně dohodnuté metodiky; |
Pozměňovací návrh 45
Návrh nařízení
Čl. 11 – odst. 1 – písm. b
|
|
Znění navržené Komisí |
Pozměňovací návrh |
b) doporučit, aby příslušná auditorská služba provedla audit. |
b) pověřit příslušnou auditorskou službu, aby provedla audit. |
Pozměňovací návrh 46
Návrh nařízení
Čl. 12 – odst. 1
|
|
Znění navržené Komisí |
Pozměňovací návrh |
1. Posláním CERT-EU, autonomního interinstitucionálního centra kybernetické bezpečnosti pro všechny orgány, instituce a agentury Unie, je přispívat k bezpečnosti neutajovaného IT prostředí všech orgánů, institucí a jiných subjektů Unie, a to tak, že jim poskytuje poradenství v oblasti kybernetické bezpečnosti, pomáhá jim předcházet incidentům, odhalovat incidenty, zmírňovat incidenty a reagovat na incidenty a působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty. |
1. Posláním CERT-EU, autonomního interinstitucionálního centra kybernetické bezpečnosti pro všechny orgány, instituce, úřady a agentury Unie, je přispívat k bezpečnosti neutajovaného IKT prostředí všech orgánů, institucí, úřadů a jiných subjektů Unie, a to tak, že jim poskytuje poradenství v oblasti kybernetické bezpečnosti, pomáhá jim předcházet incidentům, odhalovat incidenty, zmírňovat incidenty a reagovat na incidenty a působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty. |
Pozměňovací návrh 47
Návrh nařízení
Čl. 12 – odst. 2 – písm. d
|
|
Znění navržené Komisí |
Pozměňovací návrh |
d) upozorňuje výbor IICB na jakýkoli problém týkající se provádění tohoto nařízení a provádění pokynů, doporučení a výzev k přijetí opatření; |
d) upozorňuje výbor IICB na jakýkoli problém týkající se provádění tohoto nařízení a provádění pokynů, doporučení a výzev k přijetí opatření a předkládá návrhy pro nápravu; |
Pozměňovací návrh 48
Návrh nařízení
Čl. 12 – odst. 4
|
|
Znění navržené Komisí |
Pozměňovací návrh |
4. Centrum CERT-EU se zapojuje do strukturované spolupráce s Agenturou Evropské unie pro kybernetickou bezpečnost v oblasti budování kapacit, operativní spolupráce a dlouhodobých strategických analýz kybernetických hrozeb v souladu s nařízením Evropského parlamentu a Rady (EU) 2019/881. |
4. Centrum CERT-EU se zapojuje do strukturované spolupráce s Agenturou Evropské unie pro kybernetickou bezpečnost v oblasti budování kapacit, operativní spolupráce a dlouhodobých strategických analýz kybernetických hrozeb v souladu s nařízením Evropského parlamentu a Rady (EU) 2019/881. Kromě toho může centrum CERT-EU spolupracovat a vyměňovat si informace s centrem Europolu pro boj proti kyberkriminalitě. |
Pozměňovací návrh 49
Návrh nařízení
Čl. 12 – odst. 5 – návětí
|
|
Znění navržené Komisí |
Pozměňovací návrh |
5. Centrum CERT-EU může poskytovat tyto služby, které nejsou popsány v jeho katalogu služeb (dále jen „zpoplatněné služby“): |
5. Centrum CERT-EU může orgánům, institucím, úřadům a jiným subjektům Unie poskytovat tyto služby, které nejsou popsány v jeho katalogu služeb (dále jen „zpoplatněné služby“): |
Pozměňovací návrh 50
Návrh nařízení
Čl. 12 – odst. 5 – písm. a
|
|
Znění navržené Komisí |
Pozměňovací návrh |
a) služby, které podporují kybernetickou bezpečnost prostředí informačních technologií orgánů, institucí nebo jiných subjektů Unie, jiné než služby uvedené v odstavci 2, na základě dohod o úrovni služeb, a to s výhradou dostupných zdrojů; |
a) služby, které podporují kybernetickou bezpečnost prostředí informačních a komunikačních technologií orgánů, institucí, úřadů nebo jiných subjektů Unie, jiné než služby uvedené v odstavci 2, na základě dohod o úrovni služeb, a to s výhradou dostupných zdrojů; |
Pozměňovací návrh 51
Návrh nařízení
Čl. 12 – odst. 5 – písm. b
|
|
Znění navržené Komisí |
Pozměňovací návrh |
b) služby, které podporují operace nebo projekty orgánů, institucí a dalších subjektů Unie v oblasti kybernetické bezpečnosti, jiné než služby na ochranu jejich prostředí informačních technologií, na základě písemných dohod a po předchozím schválení výborem IICB; |
b) služby, které podporují operace nebo projekty orgánů, institucí, úřadů a dalších subjektů Unie v oblasti kybernetické bezpečnosti, jiné než služby na ochranu jejich prostředí informačních a komunikačních technologií, na základě písemných dohod a po předchozím schválení výborem IICB; |