pr_cod_1amcom€¦ · web view(3)rast digitalizacije i povezivosti donose veće kibersigurnosne...

Europski parlament2014-2019

Dokument s plenarne sjednice

A8-0264/2018

30.7.2018

***IIZVJEŠĆEo Prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Odbor za industriju, istraživanje i energetiku

Izvjestiteljica: Angelika Niebler

Izvjestitelj za mišljenje (*):Nicola Danti, Odbor za unutarnje tržište i zaštitu potrošača

(*) Pridruženi odbor – Članak 54. Poslovnika

RR\1160156HR.docx PE619.373v03-00

HR Ujedinjena u raznolikosti HR

PR_COD_1amCom

Oznake postupaka

* Postupak savjetovanja*** Postupak suglasnosti

***I Redovni zakonodavni postupak (prvo čitanje)***II Redovni zakonodavni postupak (drugo čitanje)

***III Redovni zakonodavni postupak (treće čitanje)

(Navedeni se postupak temelji na pravnoj osnovi predloženoj u nacrtu akta.)

Izmjene nacrta akta

Amandmani Parlamenta u obliku dvaju stupaca

Brisanja su označena podebljanim kurzivom u lijevom stupcu. Izmjene su označene podebljanim kurzivom u obama stupcima. Novi tekst označen je podebljanim kurzivom u desnom stupcu.

U prvom i drugom retku zaglavlja svakog amandmana naznačen je predmetni odlomak iz nacrta akta koji se razmatra. Ako se amandman odnosi na postojeći akt koji se želi izmijeniti nacrtom akta, zaglavlje sadrži i treći redak u kojem se navodi postojeći akt te četvrti redak u kojem se navodi odredba akta na koju se izmjena odnosi.

Amandmani Parlamenta u obliku pročišćenog teksta

Novi dijelovi teksta označuju se podebljanim kurzivom. Brisani dijelovi teksta označuju se oznakom ▌ ili su precrtani. Izmjene se naznačuju tako da se novi tekst označi podebljanim kurzivom, a da se zamijenjeni tekst izbriše ili precrta.Iznimno, izmjene strogo tehničke prirode koje unesu nadležne službe prilikom izrade konačnog teksta ne označuju se.

PE619.373v03-00 2/229 RR\1160156HR.docx

HR

SADRŽAJ

Stranica

NACRT ZAKONODAVNE REZOLUCIJE EUROPSKOG PARLAMENTA.........................5

OBRAZLOŽENJE..................................................................................................................125

MIŠLJENJE ODBORA ZA UNUTARNJE TRŽIŠTE I ZAŠTITU POTROŠAČA.............127

MIŠLJENJE ODBORA ZA PRORAČUNE...........................................................................189

MIŠLJENJE ODBORA ZA GRAĐANSKE SLOBODE, PRAVOSUĐE I UNUTARNJE POSLOVE...............................................................................................................................200

POSTUPAK U NADLEŽNOM ODBORU............................................................................240

KONAČNO GLASOVANJE POIMENIČNIM GLASOVANJEM U NADLEŽNOM ODBORU................................................................................................................................241

RR\1160156HR.docx 3/229 PE619.373v03-00

HR

NACRT ZAKONODAVNE REZOLUCIJE EUROPSKOG PARLAMENTA

o Prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”) (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Redovni zakonodavni postupak: prvo čitanje)

Europski parlament,

– uzimajući u obzir Prijedlog Komisije upućen Europskom parlamentu i Vijeću (COM(2017)0477),

– uzimajući u obzir članak 294. stavak 2. i članak 114. Ugovora o funkcioniranju Europske unije, u skladu s kojima je Komisija podnijela prijedlog Parlamentu (C8-0310/2017),

– uzimajući u obzir članak 294. stavak 3. Ugovora o funkcioniranju Europske unije,

– uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora od 14. veljače 2018.1,

– uzimajući u obzir članak 59. Poslovnika,

– uzimajući u obzir obrazloženo mišljenje francuskog Senata, podneseno u okviru protokola br. 2 o primjeni načela supsidijarnosti i proporcionalnosti, u kojemu se izjavljuje da nacrt zakonodavnog akta nije u skladu s načelom supsidijarnosti,

– uzimajući u obzir izvješće Odbora za industriju, istraživanje i energetiku te mišljenja Odbora za unutarnje tržište i zaštitu potrošača, Odbora za proračun te Odbora za građanske poslove, pravosuđe i unutarnje poslove (A8-0264/2018),

1. usvaja sljedeće stajalište u prvom čitanju;

2. poziva Komisiju da predmet ponovno uputi Parlamentu ako zamijeni, bitno izmijeni ili namjerava bitno izmijeniti svoj Prijedlog;

3. nalaže svojem predsjedniku da stajalište Parlamenta proslijedi Vijeću, Komisiji i nacionalnim parlamentima.

1 SL C 227, 28.6.2018., str. 86.

PE619.373v03-00 4/229 RR\1160156HR.docx

HR

Amandman 1

Prijedlog uredbeUvodna izjava 1.

Tekst koji je predložila Komisija Izmjena

(1) Mrežni i informacijski sustavi i telekomunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Informacijska i komunikacijska tehnologija podupire složene sustave kojima se podupiru društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

(1) Mrežni i informacijski sustavi i telekomunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Informacijska i komunikacijska tehnologija (IKT) podupire složene sustave kojima se podupiru svakodnevne društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

Amandman 2



(2) Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja.

(2) Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda, procesa i usluga, što smanjuje povjerenje u digitalna rješenja. Ta je ambicija u središtu plana reforme Europske komisije s ciljem postizanja jedinstvenog digitalnog tržišta

RR\1160156HR.docx 5/229 PE619.373v03-00

HR

jer mreže IKT-a čine okosnicu digitalnih proizvoda i usluga, koji imaju potencijal za podupiranje svih aspekata naših života i poticanje gospodarskog rasta Europe. Kako bi se osiguralo potpuno ispunjenje ciljeva jedinstvenog digitalnog tržišta, osnovne tehnološke sastavnice na koje se nadovezuju važna područja kao što su e-zdravstvo, internet stvari, umjetna inteligencija, kvantna tehnologija te inteligentni prometni sustavi i napredna proizvodnja moraju već biti u funkciji.

Amandman 3



(3) Rast digitalizacije i povezivosti donose veće kibersigurnosne rizike zbog čega je društvo u cjelini osjetljivije na prijetnje kibersigurnosti, a građani se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Kako bi se ublažio taj rizik za društvo, treba poduzeti sve nužne mjere za poboljšanje kibersigurnosti u EU-u u cilju bolje zaštite mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, vlade i poduzeća, od MSP-ova do operatora ključnih infrastruktura, od kiberprijetnji.

(3) Rast digitalizacije i povezivosti donose veće kibersigurnosne rizike zbog čega je društvo u cjelini osjetljivije na prijetnje kibersigurnosti, a građani se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Kako bi se ublažio taj rizik za društvo, treba poduzeti sve nužne mjere za poboljšanje kibersigurnosti u EU-u u cilju bolje zaštite mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, vlade i poduzeća, od MSP-ova do operatora ključnih infrastruktura, od kiberprijetnji. Akcijski plan za digitalno obrazovanje koji je Europska komisija objavila 17. siječnja 2018. u tom je pogledu korak u dobrom smjeru, a posebice kampanja povećanja osviještenosti o sigurnosti na internetu, kiberhigijeni i medijskoj pismenosti koja se provodi diljem EU-a i koja je usmjerena na učitelje, roditelje i učenike te inicijativa podučavanja o kibersigurnosti koja se temelji na okviru digitalne kompetencije za građane, kako bi se ljudima omogućilo da samouvjereno i odgovorno koriste tehnologiju.

PE619.373v03-00 6/229 RR\1160156HR.docx

HR

Amandman 4

Prijedlog uredbeUvodna izjava 3.a (nova)


(3 a) Vjeruje da bi se ciljevi i zadaće ENISA-e trebali dodatno uskladiti s dijelovima Zajedničke komunikacije u kojima se govori o promicanju kiberhigijene i svijesti o njoj; napominje da se kiberotpornost može postići provedbom osnovnih načela kiberhigijene;

Amandman 5

Prijedlog uredbeUvodna izjava 3.b (nova)


(3b) ENISA bi u praksi trebala davati snažniju potporu kibersigurnosnoj industriji u Uniji utemeljenu na informacijama, posebno malim i srednjim poduzeća te inovativnim novoosnovanim poduzećima, koja su ključni izvori inovativnih rješenja u području kiberobrane, te bi trebala promicati tješnju suradnju s akademskim istraživačkim organizacijama i drugim velikim dionicima kako bi se smanjila ovisnost o kibersigurnosnim proizvodima koji ne potječu iz Unije i uspostavio strateški lanac opskrbe unutar Unije;

Amandman 6



(4) Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako

(4) Kibernapadi su sve češći te je potrebna snažnija i sigurnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade.

RR\1160156HR.docx 7/229 PE619.373v03-00

HR

su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Potrebe za osposobljavanjem u području kiberobrane znatne su i sve se više povećavaju, a na njih se najučinkovitije može odgovoriti suradnjom na razini Unije; Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Amandman 7



(5) Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacije u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granica, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u podizanje razine

(5) Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje, koordinacije i razmjene informacija u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granice trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza uz istovremeno

PE619.373v03-00 8/229 RR\1160156HR.docx

HR

osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, povjerenje u jedinstveno digitalno tržište trebalo bi dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima.

isticanje važnosti održavanja i daljnjeg poboljšavanja nacionalnih sposobnosti za odgovaranje na kiberprijetnje svih razmjera. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, budući da kiberincidenti narušavaju povjerenje u pružatelje digitalnih usluga i u samo jedinstveno digitalno tržište, posebno u redovima potrošača, ono bi se trebalo dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda, procesa i usluga uz što je potrebno istaknuti da čak i visoka razina kibersigurnosne certifikacije nije jamstvo da su proizvod ili usluga IKT-a potpuno sigurni. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima, kao i promicanjem kiberpismenosti. Uz certifikaciju na razini EU-a i s obzirom na sve veću dostupnost povezanih digitalnih uređaja (uređaja interneta stvari – IoT), postoji niz dobrovoljnih mjera koje bi trebale biti poduzete u privatnom sektoru kako bi se ojačalo povjerenje u sigurnost IKT proizvoda, procesa i usluga, poput kriptiranja i tehnologija lanca blokova. Proračunska sredstava dodijeljena Agenciji trebala bi biti razmjerna izazovima koji se postavljaju kako bi se osigurala najbolja funkcionalnost pod trenutačnim okolnostima.

Amandman 8



(5 a) U svrhu jačanja europske sigurnosti i struktura kiberobrane, važno je održati i razviti sposobnosti država članica da daju sveobuhvatan odgovor na kiberprijetnje, uključujući prekogranične

RR\1160156HR.docx 9/229 PE619.373v03-00

HR

incidente dok koordinacija na razina EU-a koju provodi Agencija ne bi trebala voditi umanjivanju sposobnosti ili napora u državama članicama.

Amandman 9



(5b) Poduzeća, kao i pojedinačni klijenti, trebali bi imati točne informacije u pogledu sigurnosti svojih IKT proizvoda. Istovremeno je potrebno razumjeti da nijedan proizvod nije kibersiguran i da je potrebno promicati i prioritizirati osnovna pravila kiberhigijene.

Amandman 10



(7) Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za

(7) Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS, čiji uspjeh uvelike ovisi o njezinoj učinkovitoj provedbi u državama članicama, zadovoljava se strategija jedinstvenog digitalnog tržišta, te se, zajedno s drugim instrumentima, kao što su Direktiva o Europskom zakoniku elektroničkih komunikacija, Uredba (EU) 2016/679 i Direktiva 2002/58/EZ,

PE619.373v03-00 10/229 RR\1160156HR.docx

HR

gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

utvrđuju zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljaju prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvode obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

Amandman 11



(8) Priznaje se da se od donošenja strategije EU-a o kibersigurnosti iz 2013. i posljednje revizije mandata Agencije znatno promijenio opći kontekst politike, među ostalim u pogledu nesigurnijeg globalnog okruženja. U tom kontekstu i u okviru nove politike Unije u području kibersigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom kibersigurnosnom ekosustavu i osiguralo da ona djelotvorno pridonosi odgovoru Unije na kiberizazove koji proizlaze iz bitno preobraženog okruženja prijetnji na koje Agencija, u okviru svojeg trenutačnog mandata, ne može odgovoriti.

(8) Priznaje se da se od donošenja strategije EU-a o kibersigurnosti iz 2013. i posljednje revizije mandata Agencije znatno promijenio opći kontekst politike, među ostalim u pogledu nesigurnijeg globalnog okruženja. U tom kontekstu i u kontekstu pozitivne uloge koju je Agencija imala tijekom proteklih godina u okupljanju stručnjaka, koordinaciji i izgradnji kapaciteta te u okviru nove politike Unije u području kibersigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom kibersigurnosnom ekosustavu i osiguralo da ona djelotvorno pridonosi odgovoru Unije na kiberizazove koji proizlaze iz bitno preobraženog okruženja prijetnji na koje Agencija, u okviru svojeg trenutačnog mandata, ne

RR\1160156HR.docx 11/229 PE619.373v03-00

HR

može odgovoriti.

Amandman 12



(11) S obzirom na sve veće izazove kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav.

(11) S obzirom na sve veće prijetnje izazove kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav koji bi ENISA-i omogućili da učinkovito izvršava zadaće koje su joj dodijeljene ovom Uredbom.

Amandman 13



(12) Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Skupom zadaća trebao bi se utvrditi način na koji će Agencija ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

(12) Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama te izbjegavati dupliciranje posla, promicati sinergiju i komplementarnost te tako postići koordinaciju i fiskalne uštede. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog i javnog sektora i suradnji s njim i drugim relevantnim dionicima. Trebalo bi definirati jasan plan te skup zadataka i

PE619.373v03-00 12/229 RR\1160156HR.docx

HR

ciljeva kojima bi se utvrdilo na koji način Agencija treba ostvariti svoje ciljeve, pri čemu treba uzeti u obzir fleksibilnost koja je potrebna u njezinu radu. Kad je to moguće, treba održati najviši stupanj transparentnosti i širenja informacija.

Amandman 14



(12 a) Uloga Agencije trebala bi biti podložna kontinuiranim ocjenama i pravovremenim revizijama, posebice u pogledu njezine uloge koordiniranja država članica i njihovih nacionalnih tijela te buduće mogućnosti da će preuzeti ulogu jedinstvene kontaktne točke za države članice i tijela i institucije EU-a. Isto tako bi trebalo ocjenjivati ulogu Agencije u izbjegavanju fragmentacije unutarnjeg tržišta i mogućeg uvođenja obveznih programa certifikacije kibersigurnosti, ako situacija u budućnosti bude zahtijevala takav pomak, kao i ulogu Agencije u ocjeni proizvoda iz trećih zemalja koji ulaze na tržište EU-a te stavljanju poduzeća koji ne ispunjavaju kriterije EU-a na crnu listu.

Amandman 15



(12b) ENISA bi trebala dodatno ojačati svoje vlastite tehničke sposobnosti i stručnost kako bi državama članicama mogla pružiti odgovarajuću potporu u pogledu operativne suradnje. U tu svrhu Agencija bi trebala postupno osnažiti svoje osoblje zaduženo za tu zadaću kako bi samostalno mogla prikupljati i

RR\1160156HR.docx 13/229 PE619.373v03-00

HR

analizirati velik broj kibersigurnosnih prijetnji i zlonamjernih softvera različitih vrsta, provoditi forenzičku analizu i pomoći državama članicama u odgovoru na incidente velikih razmjera. Kako bi se izbjeglo udvostručavanje postojećih sposobnosti u državama članicama, ENISA bi na temelju postojećih resursa država članica trebala proširiti svoje znanje i kapacitete, prije svega privremenim upućivanjem nacionalnih stručnjaka u Agenciju, formiranjem udruženja stručnjaka, programima razmjene osoblja itd. Pri odabiru osoblja koje bi snosilo odgovornost u tom području, Agencija bi na postupan način trebala osigurati da ono zadovoljava određene kriterije za pružanje adekvatne potpore.

Amandman 16



(13) Agencija bi trebala pomagati Komisiji davanjem savjeta, mišljenja i analiza u vezi sa svim pitanjima Unije koja se odnose na razvoj, ažuriranje i reviziju politike i zakonodavstva u području kibersigurnosti, uključujući zaštitu kritične informacijske infrastrukture i kiberotpornost. Agencija bi trebala djelovati kao referentna točka za pružanje savjeta i stručnog znanja o sektorskoj politici i zakonodavnim inicijativama Unije kada je riječ o pitanjima kibersigurnosti.

(13) Agencija bi trebala pomagati Komisiji davanjem savjeta, mišljenja i analiza u vezi sa svim pitanjima Unije koja se odnose na razvoj, ažuriranje i reviziju politike i zakonodavstva u području kibersigurnosti, uključujući zaštitu kritične informacijske infrastrukture i kiberotpornost. Agencija bi trebala djelovati kao referentna točka za pružanje savjeta i stručnog znanja o sektorskoj politici i zakonodavnim inicijativama Unije kada je riječ o pitanjima kibersigurnosti. Njezino stručno znanje bit će posebno potrebno u pripremi višegodišnjeg programa rada Unije za europske programe kibersigurnosne certifikacije. Agencija bi trebala redovito izvještavati Parlament o analizama i revizijama u području kibersigurnosti i razvoju svojih zadaća.

PE619.373v03-00 14/229 RR\1160156HR.docx

HR

Amandman 17



(14) Osnovna je zadaća Agencije promicati dosljednu provedbu odgovarajućeg pravnog okvira, posebno učinkovitu provedbu Direktive NIS, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na okruženje prijetnji kibersigurnosti koje se brzo razvija, državama članicama treba pružiti potporu s pomoću sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

(14) Osnovna je zadaća Agencije promicati dosljednu provedbu odgovarajućeg pravnog okvira, posebno učinkovitu provedbu Direktive NIS, Direktive o Europskom zakoniku elektroničkih komunikacija, Uredbe (EU) 2016/679 i Direktive 2002/58/EZ, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na okruženje prijetnji kibersigurnosti koje se brzo razvija, državama članicama treba pružiti potporu s pomoću sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

Amandman 18



(15) Agencija bi trebala pomagati državama članicama i institucijama, tijelima, uredima i agencijama Unije u njihovim naporima usmjerenima na izgradnju i jačanje sposobnosti i pripravnosti u cilju sprječavanja i otkrivanja problema i incidenata u području kibersigurnosti i odgovaranja na njih te u vezi sa sigurnošću mrežnih i informacijskih sustava. Agencija bi posebno trebala poduprijeti razvoj i jačanje nacionalnih CSIRT-ova u cilju postizanja visoke zajedničke razine njihove zrelosti u Uniji. Agencija bi trebala pomagati i u razvoju i ažuriranju strategija Unije i država članica o sigurnosti mrežnih i informacijskih sustava, posebno o kibersigurnosti, promicati njihovo širenje i pratiti napredak u njihovoj provedbi. Agencija bi trebala nuditi i osposobljavanja

(15) Agencija bi trebala pomagati državama članicama i institucijama, tijelima, uredima i agencijama Unije u njihovim naporima usmjerenima na izgradnju i jačanje sposobnosti i pripravnosti u cilju sprječavanja i otkrivanja problema i incidenata u području kibersigurnosti i odgovaranja na njih te u vezi sa sigurnošću mrežnih i informacijskih sustava. Agencija bi posebno trebala poduprijeti razvoj i jačanje nacionalnih CSIRT-ova u cilju postizanja visoke zajedničke razine njihove zrelosti u Uniji. Agencija bi trebala pomagati i u razvoju i ažuriranju strategija Unije i država članica o sigurnosti mrežnih i informacijskih sustava, posebno o kibersigurnosti, promicati njihovo širenje i pratiti napredak u njihovoj provedbi. S obzirom na to da su ljudske greške jedne

RR\1160156HR.docx 15/229 PE619.373v03-00

HR

i obrazovne materijale javnim tijelima i, prema potrebi „osposobljavati voditelje osposobljavanja” kako bi pomogla državama članicama da razviju vlastite sposobnosti za osposobljavanje.

od glavnih opasnosti za kibersigurnost, Agencija bi trebala nuditi i osposobljavanja i obrazovne materijale javnim tijelima i, u najvećoj mogućoj mjeri „osposobljavati voditelje osposobljavanja” kako bi pomogla državama članicama i institucijama i agencijama Unije da razviju vlastite sposobnosti za osposobljavanje. Agencija bi trebala poslužiti i kao kontaktna točka za države članice i institucije Unije koje bi trebali moći zatražiti pomoć od Agencije u okviru nadležnosti i uloga koje su joj dodijeljene.

Amandman 19



(18) Agencija bi trebala objedinjavati i analizirati nacionalna izvješća CSIRT-ova i CERT-EU-a utvrđivanjem zajedničkih pravila, jezika i terminologije za razmjenu informacija. Agencija bi trebala uključiti i privatni sektor, u okviru Direktive NIS kojom je utvrđena osnova za dobrovoljnu razmjenu tehničkih informacija na operativnoj razini stvaranjem mreže CSIRT-ova.

(18) Agencija bi trebala objedinjavati i analizirati nacionalna izvješća CSIRT-ova i CERT-EU-a utvrđivanjem zajedničkih pravila, jezika i terminologije za razmjenu informacija. Agencija bi trebala uključiti privatni i javni sektor, u okviru Direktive NIS kojom je utvrđena osnova za dobrovoljnu razmjenu tehničkih informacija na operativnoj razini stvaranjem mreže CSIRT-ova.

Amandman 20



(19) Agencija bi trebala pridonijeti odgovoru na razini EU-a u slučaju prekograničnih kiberincidenata i kiberkriza velikih razmjera. Ta funkcija trebala bi uključivati prikupljanje relevantnih informacija i posredovanje između mreže CSIRT-ova i tehničke zajednice te donositelja odluka koji su odgovorni za upravljanje krizom. Nadalje, Agencija bi mogla pružati tehničku pomoć u slučaju

(19) Agencija bi trebala pridonijeti odgovoru na razini EU-a u slučaju prekograničnih kiberincidenata i kiberkriza velikih razmjera. Ta funkcija trebala bi uključivati sazivanje tijela država članica i pomaganje u koordinaciji njihova odgovora, prikupljanje relevantnih informacija i posredovanje između mreže CSIRT-ova i tehničke zajednice te donositelja odluka koji su odgovorni za

PE619.373v03-00 16/229 RR\1160156HR.docx

HR

incidenata olakšavanjem odgovarajuće tehničke razmjene rješenja među državama članicama i obavješćivanjem javnosti. Agencija bi trebala poduprijeti postupak ispitivanjem načina takve suradnje s pomoću godišnjih vježbi u području kibersigurnosti.

upravljanje krizom. Nadalje, Agencija bi mogla pružati tehničku pomoć u slučaju incidenata, primjerice olakšavanjem odgovarajuće tehničke razmjene rješenja među državama članicama i obavješćivanjem javnosti. Agencija bi trebala poduprijeti postupak ispitivanjem načina takve suradnje s pomoću godišnjih vježbi u području kibersigurnosti. Agencija bi trebala poštovati nadležnosti država članica u pogledu kibersigurnosti, posebice one koje se odnose na javnu sigurnost, obranu, nacionalnu sigurnost i aktivnosti države u području kaznenog prava.

Amandman 21



(25) Države članice mogu pozvati poduzeća pogođena incidentom da surađuju pružanjem potrebnih informacija i pomoći Agenciji ne dovodeći u pitanje njihovo pravo na zaštitu poslovno osjetljivih informacija.

(25) Države članice mogu pozvati poduzeća pogođena incidentom da surađuju pružanjem potrebnih informacija i pomoći Agenciji ne dovodeći u pitanje njihovo pravo na zaštitu poslovno osjetljivih informacija i informacija koje se odnose na javnu sigurnost.

Amandman 22



(26) Kako bi bolje razumjela izazove u području kibersigurnosti i u cilju pružanja strateških dugoročnih savjeta državama članicama i institucijama Unije, Agencija mora analizirati postojeće i nove rizike. U tu svrhu ona bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne informacije i provoditi analize novih tehnologija te davati posebne tematske procjene

(26) Kako bi bolje razumjela izazove u području kibersigurnosti i u cilju pružanja strateških dugoročnih savjeta državama članicama i institucijama Unije, Agencija mora analizirati postojeće i nove rizike, incidente, prijetnje i ranjivosti. U tu svrhu ona bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne informacije i provoditi analize novih tehnologija te davati posebne

RR\1160156HR.docx 17/229 PE619.373v03-00

HR

očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehničkih inovacija na mrežnu i informacijsku sigurnost, posebno na kibersigurnost. Nadalje, Agencija bi, analizom prijetnji i incidenata, trebala pomoći državama članicama i institucijama, agencijama i tijelima Unije da prepoznaju nove prijetnje i spriječe probleme povezane s kibersigurnošću.

tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehničkih inovacija na mrežnu i informacijsku sigurnost, posebno na kibersigurnost. Nadalje, Agencija bi, analizom prijetnji, incidenata i ranjivosti, trebala pomoći državama članicama i institucijama, agencijama i tijelima Unije da prepoznaju nove prijetnje i spriječe probleme povezane s kibersigurnošću.

Amandman 23



(27) U cilju povećanja otpornosti Unije Agencija bi trebala razvijati izvrsnost u području sigurnosti internetske infrastrukture i ključnih infrastruktura pružanjem savjeta, smjernica i najbolje prakse. Kako bi osigurala lakši pristup bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima, Agencija bi trebala razviti i održavati „informativni centar” Unije, središnji portal na kojem će javnost moći na jednom mjestu dobiti informacije o kibersigurnosti koje potječu od institucija, agencija i tijela na razini EU-a i nacionalnoj razini.

(27) U cilju povećanja otpornosti Unije Agencija bi trebala razvijati izvrsnost u području sigurnosti internetske infrastrukture i ključnih infrastruktura pružanjem savjeta, smjernica i najbolje prakse. Kako bi osigurala lakši pristup bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima, Agencija bi trebala razviti i održavati „informativni centar” Unije, središnji portal na kojem će javnost moći na jednom mjestu dobiti informacije o kibersigurnosti koje potječu od institucija, agencija i tijela na razini EU-a i nacionalnoj razini. Olakšavanje pristupa bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima trebalo bi pomoći državama članicama da ojačaju svoje kapacitete i usklade svoje prakse, čime bi povećale svoju ukupnu otpornost na kibernapade.

Amandman 24



(28) Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o

(28) Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o

PE619.373v03-00 18/229 RR\1160156HR.docx

HR

rizicima povezanima s kibersigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Agencija bi trebala pridonositi i promicanju najbolje prakse i rješenja na razini građana i organizacija prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima i sastavljanjem izvješća u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, podizanja razine osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja osnovnog savjetovanja o autentikaciji i zaštiti podataka. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja.

rizicima povezanima s kibersigurnošću, uključujući promicanjem obrazovanja, i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane, organizacije i poduzeća. Agencija bi trebala pridonositi i promicanju najbolje prakse kiberhigijene, što obuhvaća nekoliko praksi koje bi se trebale uvesti i redovno provoditi u cilju zaštite korisnika i poduzeća na internetu, i rješenja na razini pojedinaca, organizacija i poduzeća prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima te sastavljanjem i objavljivanjem izvješća i uputa u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. ENISA bi također trebala težiti tome da potrošačima pruži relevantne informacije o mjerodavnim prijedlozima programa, na primjer davanjem smjernica i preporuka o internetskim i neinternetskim tržištima. Agencija bi, nadalje, u skladu s akcijskim planom o digitalnom obrazovanju i u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, digitalne pismenosti i podizanja razine osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja osnovnog savjetovanja o višestrukoj autentikaciji, zakrpama, enkripciji, anonimizaciji i zaštiti podataka. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja i sigurnom korištenju usluga te širenju informacija na razini EU-a u pogledu integrirane sigurnosti, integrirane privatnosti te incidenata i odgovarajućih rješenja. U postizanju tog cilja Agencija bi trebala najbolje iskoristiti dostupne najbolje prakse i iskustva, posebice akademskih

RR\1160156HR.docx 19/229 PE619.373v03-00

HR

institucija i istraživača informatičke sigurnosti. S obzirom na to da su pogreške pojedinaca i neosviještenost o kiberrizicima glavni čimbenik nesigurnosti u kibersigurnosti, Agenciji bi se u najvećoj mogućoj mjeri na raspolaganje trebali staviti adekvatni resursi za izvršavanje njezine funkcije.

Amandman 25



(28a) Agencija bi trebala podizati razinu osviještenosti javnosti o rizicima od prijevara povezanih s podacima i od krađe podataka, koji mogu ozbiljno utjecati na temeljna prava pojedinaca te ugroziti vladavinu prava i stabilnost demokratskih društava, uključujući i demokratske procese u državama članicama.

Amandman 26



(30) Kako bi se osiguralo da Agencija potpuno ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim institucijama, agencijama i tijelima, među ostalim s CERT-EU-om, Europskim centrom za kiberkriminal (EC3) pri Europolu, Europskom obrambenom agencijom (EDA), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom agencijom za sigurnost zračnog prometa (EASA) i s drugim agencijama EU-a koje djeluju u području kibersigurnosti. Ona bi se trebala povezati i s nadležnim tijelima za zaštitu podataka u cilju razmjene znanja i najbolje prakse i u

(30) Kako bi se osiguralo da Agencija potpuno ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim institucijama, nadzornim tijelima EU-a i drugim nadležnim vlastima, agencijama i tijelima, među ostalim s CERT-EU-om, Europskim centrom za kiberkriminal (EC3) pri Europolu, Europskom obrambenom agencijom (EDA), Agencijom za europski GNSS (GSA), Uredom tijela europskih regulatora za elektroničke komunikacije (BEREC), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom središnjom bankom (ESB), Europskim nadzornim tijelom za

PE619.373v03-00 20/229 RR\1160156HR.docx

HR

cilju davanja savjeta o aspektima kibersigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela kaznenog progona i tijela kaznenog progona na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u Stalnoj interesnoj skupini Agencije. Pri povezivanju s tijelima kaznenog progona u vezi s aspektima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, Agencija bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže.

bankarstvo (EBA), Europskim odborom za zaštitu podataka (EDPB), Europskom agencijom za sigurnost zračnog prometa (EASA), i s drugim agencijama EU-a koje djeluju u području kibersigurnosti. Ona bi se trebala povezati i s europskim organizacijama za normizaciju, relevantnim dionicima i nadležnim tijelima za zaštitu podataka u cilju razmjene znanja i najbolje prakse i u cilju davanja savjeta o aspektima kibersigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela kaznenog progona i tijela kaznenog progona na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u savjetodavnoj skupini ENISA-e. Pri povezivanju s tijelima kaznenog progona u vezi s aspektima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, Agencija bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže. Trebalo bi uspostaviti partnerstva s akademskim ustanovama u kojima su pokrenute istraživačke inicijative u relevantnim područjima, a za doprinos organizacija potrošača i ostalih organizacija trebali bi postojati odgovarajući kanali i te bi doprinose uvijek trebalo analizirati.

Amandman 27



(31) Agencija, kao članica koja osigurava i tajništvo mreže CSIRT-ova, trebala bi podupirati CSIRT-ove u državama članicama i CERT-EU u operativnoj suradnji u skladu sa svim relevantnim zadaćama mreže CSIRT-ova, kako su definirane u Direktivi NIS. Nadalje, Agencija bi trebala poticati i podržavati suradnju između relevantnih CSIRT-ova u slučaju incidenata, napada ili poremećaja mreža ili infrastrukture kojima

(31) Agencija, kao članica koja osigurava i tajništvo mreže CSIRT-ova, trebala bi podupirati CSIRT-ove u državama članicama i CERT-EU u operativnoj suradnji u skladu sa svim relevantnim zadaćama mreže CSIRT-ova, kako su definirane u Direktivi NIS. Nadalje, Agencija bi trebala poticati i podržavati suradnju između relevantnih CSIRT-ova u slučaju incidenata, napada ili poremećaja mreža ili infrastrukture kojima

RR\1160156HR.docx 21/229 PE619.373v03-00

HR

upravljaju ili koje oni štite i koje uključuju ili mogu uključivati najmanje dva CERT-a uzimajući u obzir standardne operativne postupke mreže CSIRT-ova.

upravljaju ili koje oni štite i koje uključuju ili mogu uključivati najmanje dva CERT-a uzimajući u obzir standardne operativne postupke mreže CSIRT-ova. Agencija na zahtjev Komisije ili države članice može provoditi redovite neovisne revizije informatičke sigurnosti ključne prekogranične infrastrukture u cilju identificiranja mogućih rizika i utvrđivanja preporuka za jačanje njezine otpornosti.

Amandman 28



(33) Agencija bi trebala dalje razvijati i održavati svoje stručno znanje u području kibersigurnosne certifikacije radi potpore politici Unije u tom području. Agencija bi trebala promicati prihvaćanje kibersigurnosne certifikacije u Uniji, među ostalim pridonošenjem uspostavi okvira za kibersigurnosnu certifikaciju na razini Unije i njegovu održavanju, u cilju povećanja transparentnosti kibersigurnosnog jamstva za IKT proizvode i usluge i jačanja povjerenja u jedinstveno digitalno tržište.

(33) Agencija bi trebala dalje razvijati i održavati svoje stručno znanje u području kibersigurnosne certifikacije radi potpore politici Unije u tom području. Agencija bi se trebala oslanjati na postojeće najbolje prakse i promicati prihvaćanje kibersigurnosne certifikacije u Uniji, među ostalim pridonošenjem uspostavi okvira za kibersigurnosnu certifikaciju na razini Unije i njegovu održavanju, u cilju povećanja transparentnosti kibersigurnosnog jamstva za IKT proizvode i usluge i jačanja povjerenja u jedinstveno digitalno tržište.

Amandman 29



(35) Agencija bi trebala poticati države članice i pružatelje usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji

(35) Agencija bi trebala poticati države članice, proizvođače i pružatelje usluga da povećaju opće sigurnosne standarde svojih proizvoda, procesa, usluga i sustava IKT-a koji bi trebali biti usklađeni s načelima integrirane i zadane sigurnosti, posebno pružanjem potrebnih ažuriranja, kako bi svi korisnici interneta bili osigurani i kako

PE619.373v03-00 22/229 RR\1160156HR.docx

HR

ne zadovoljavaju standarde kibersigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda i usluga.

bi ih se potaknulo da poduzmu potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi opozvati, povući ili reciklirati proizvode i usluge koji ne zadovoljavaju osnovne obveze u pogledu kibersigurnosti, dok bi uvoznici i distributeri trebali osigurati da proizvodi, procesi, usluge i sustavi IKT-a koje stavljaju na tržište EU-a ispunjavaju primjenjive zahtjeve i ne predstavljaju rizik za europske potrošače. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda, procesa, usluga i sustava. Agencija bi trebala surađivati s dionicima u pogledu razvoja pristupa na razini EU-a za odgovorno otkrivanje ranjivosti te promicati najbolju praksu u tom području.

Amandman 30



(36) Agencija bi trebala u potpunosti uzeti u obzir tekuće aktivnosti istraživanja, razvoja i tehnološkog ocjenjivanja, posebno one aktivnosti koje provode različite istraživačke inicijative Unije kako bi institucije tijela, urede i agencije Unije i, prema potrebi, države članice, na njihov zahtjev savjetovala o potrebama za istraživanjem u području mrežne i informacijske sigurnosti, posebno kibersigurnosti.

(36) Agencija bi trebala u potpunosti uzeti u obzir tekuće aktivnosti istraživanja, razvoja i tehnološkog ocjenjivanja, posebno one aktivnosti koje provode različite istraživačke inicijative Unije kako bi institucije tijela, urede i agencije Unije i, prema potrebi, države članice, na njihov zahtjev savjetovala o potrebama za istraživanjem u području mrežne i informacijske sigurnosti, posebno kibersigurnosti. Konkretnije, trebalo bi uspostaviti suradnju s Europskim istraživačkim vijećem (ERC) i Europskim institutom za inovacije i tehnologiju (EIT) te u Deveti okvirni program za istraživanje i program Obzor 2020.

RR\1160156HR.docx 23/229 PE619.373v03-00

HR

uključiti istraživanja u području sigurnosti.

Amandman 31



(36 a) Norme su dobrovoljan i tržišno uvjetovan alat kojim se postavljaju tehnički zahtjevi i daju smjernice i koji proizlazi iz otvorenog, transparentnog i uključivog postupka. Agencija bi se trebala redovito savjetovati s europskim organizacijama za normizaciju i blisko surađivati s njima, osobito kad priprema europske programe kibersigurnosne certifikacije.

Amandman 32



(37) Problemi kibersigurnosti globalni su problemi. Potrebna je i bliža međunarodna suradnja radi unaprjeđenja sigurnosnih standarda, uključujući definiciju zajedničkih normi ponašanja, razmjenu informacija, poticanje brže međunarodne suradnje kao odgovor na pitanja mrežne i informacijske sigurnosti, kao i zajednički globalni pristup tim pitanjima. U tu svrhu Agencija bi trebala, pružanjem, prema potrebi, potrebnog stručnog znanja i analize relevantnim institucijama, tijelima, uredima i agencijama Unije, podupirati daljnje uključivanje Unije i njezinu suradnju s trećim zemljama i međunarodnim organizacijama.

(37) Problemi kibersigurnosti globalni su problemi. Potrebna je i bliža međunarodna suradnja radi unaprjeđenja sigurnosnih standarda, uključujući definiciju zajedničkih normi i kodeksa ponašanja, korištenje međunarodnih standarda i razmjenu informacija, poticanje brže međunarodne suradnje kao odgovor na pitanja mrežne i informacijske sigurnosti, kao i zajednički globalni pristup tim pitanjima. U tu svrhu Agencija bi trebala, pružanjem, prema potrebi, potrebnog stručnog znanja i analize relevantnim institucijama, tijelima, uredima i agencijama Unije, podupirati daljnje uključivanje Unije i njezinu suradnju s trećim zemljama i međunarodnim organizacijama.

Amandman 33

PE619.373v03-00 24/229 RR\1160156HR.docx

HR



(40) Upravljački odbor sastavljen od država članica i Komisije trebao bi definirati opće usmjerenje rada Agencije i osigurati da ona obavlja svoje zadaće u skladu s ovom Uredbom. Upravljačkom odboru trebalo bi povjeriti ovlasti potrebne za izradu proračuna, provjeru njegova izvršenja, donošenje odgovarajućih financijskih pravila, uspostavu transparentnih radnih postupaka za donošenje odluka Agencije, donošenje jedinstvenog programskog dokumenta, donošenje svog poslovnika, imenovanje izvršnog direktora i odlučivanje o produljenju ili prestanku mandata izvršnog direktora.

(40) Upravljački odbor koji predstavlja države članice i Komisiju te dionike relevantne za ispunjavanje ciljeva Agencije trebao bi definirati opće usmjerenje rada Agencije i osigurati da ona obavlja svoje zadaće u skladu s ovom Uredbom. Upravljačkom odboru trebalo bi povjeriti ovlasti potrebne za izradu proračuna, provjeru njegova izvršenja, donošenje odgovarajućih financijskih pravila, uspostavu transparentnih radnih postupaka za donošenje odluka Agencije, donošenje jedinstvenog programskog dokumenta, donošenje svog poslovnika, imenovanje izvršnog direktora i odlučivanje o produljenju ili prestanku mandata izvršnog direktora. S obzirom na izrazito tehničke i znanstvene zadaće Agencije, članovi upravnog odbora morali bi imati odgovarajuće iskustvo i visoku razinu stručnog znanja u područjima koje potpadaju pod djelokrug zadaća Agencije.

Amandman 34



(41) U cilju pravilnog i djelotvornog funkcioniranja Agencije Komisija i države članice trebale bi osigurati da osobe koje će imenovati u Upravljački odbor imaju odgovarajuća stručna znanja i iskustvo u područjima njezina djelovanja. Komisija i države članice također bi trebale ograničiti učestalost izmjena njihovih predstavnika u Upravljačkom odboru kako bi se osigurao kontinuitet njihova rada.

(41) U cilju pravilnog i djelotvornog funkcioniranja Agencije Komisija i države članice trebale bi osigurati da osobe koje će imenovati u Upravljački odbor imaju odgovarajuća stručna znanja i iskustvo u područjima njezina djelovanja. Komisija i države članice također bi trebale ograničiti učestalost izmjena njihovih predstavnika u Upravljačkom odboru kako bi se osigurao kontinuitet njihova rada. Zbog visoke tržišne vrijednosti vještina potrebnih u radu Agencije neophodno je zajamčiti da su plaće i socijalni uvjeti ponuđeni svom osoblju Agencije konkurentni te osigurati

RR\1160156HR.docx 25/229 PE619.373v03-00

HR

da se u Agenciju privuku najbolji stručnjaci.

Obrazloženje

Kako bi se osigurala odgovarajuća razina stručnog znanja, ENISA treba biti konkurentni poslodavac na veoma konkurentnom tržištu.

Amandman 35



(42) Kako bi se osiguralo nesmetano funkcioniranje Agencije, njezin izvršni direktor imenuje se na temelju zasluga i dokazanih administrativnih i rukovoditeljskih sposobnosti, kao i sposobnosti i iskustava relevantnih za kibersigurnost, a svoje dužnosti obavlja potpuno neovisno. Izvršni direktor trebao bi, nakon prethodnog savjetovanja s Komisijom, pripremiti prijedlog programa rada Agencije i poduzeti sve potrebne korake kako bi osigurao njegovo pravilno izvršenje. Izvršni direktor trebao bi izraditi godišnje izvješće koje se dostavlja Upravljačkom odboru, sastaviti nacrt izvješća o procjenama prihoda i rashoda Agencije te izvršavati proračun. Nadalje, izvršni direktor trebao bi imati mogućnost osnivanja ad hoc radnih skupina za rješavanje određenih pitanja, a posebno pitanja znanstvene, tehničke, pravne ili socioekonomske prirode. Izvršni direktor trebao bi osigurati odabir članova ad hoc radnih skupina u skladu s najvišim standardima struke, uzimajući pritom u obzir ravnotežu među predstavnicima kada je to potrebno s obzirom na predmetna specifična pitanja, između javnih uprava država članica, institucija Unije i privatnog sektora, uključujući industriju, korisnike i akademske stručnjake iz područja mrežne i informacijske sigurnosti.

(42) Kako bi se osiguralo nesmetano funkcioniranje Agencije, njezin izvršni direktor imenuje se na temelju zasluga i dokazanih administrativnih i rukovoditeljskih sposobnosti, kao i sposobnosti i iskustava relevantnih za kibersigurnost, a svoje dužnosti obavlja potpuno neovisno. Izvršni direktor trebao bi, nakon prethodnog savjetovanja s Komisijom, pripremiti prijedlog programa rada Agencije i poduzeti sve potrebne korake kako bi osigurao njegovo pravilno izvršenje. Izvršni direktor trebao bi izraditi godišnje izvješće koje se dostavlja Upravljačkom odboru, sastaviti nacrt izvješća o procjenama prihoda i rashoda Agencije te izvršavati proračun. Nadalje, izvršni direktor trebao bi imati mogućnost osnivanja ad hoc radnih skupina za rješavanje određenih pitanja, a posebno pitanja znanstvene, tehničke, pravne ili socioekonomske prirode. Izvršni direktor trebao bi osigurati odabir članova ad hoc radnih skupina u skladu s najvišim standardima struke, uzimajući pritom u obzir ravnotežu među predstavnicima i ravnotežu spolova kada je to potrebno s obzirom na predmetna specifična pitanja, između javnih uprava država članica, institucija Unije i privatnog sektora, uključujući industriju, korisnike i akademske stručnjake iz područja mrežne i informacijske sigurnosti.

PE619.373v03-00 26/229 RR\1160156HR.docx

HR

Amandman 36



(44) Agencija bi trebala imati Stalnu interesnu skupinu kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača i drugim interesnim skupinama. Stalna interesna skupina, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Sastav Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezinim zadaćama trebao bi osigurati dostatnu zastupljenost dionika u radu Agencije.

(44) Agencija bi trebala imati Savjetodavnu skupinu ENISA-e kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača, akademskom zajednicom i drugim interesnim skupinama. Savjetodavna skupina ENISA-e, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Sastavom Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezinim zadaćama trebala bi se osigurati dostatna zastupljenost dionika u radu Agencije. S obzirom na važnost zahtjeva u pogledu certifikacije, da bi se osiguralo povjerenje u internet stvari, Komisija će posebno razmotriti provedbene mjere kojima bi se zajamčilo usklađivanje sigurnosnih normi za uređaje povezane internetom stvari na razini EU-a.

Amandman 37



(44 a) Agencija bi trebala imati Interesnu skupinu za postupak certificiranja kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača, akademskom zajednicom i drugim interesnim skupinama. Interesna skupina za postupak certificiranja koju osniva izvršni direktor trebala bi se sastojati od općeg savjetodavnog odbora koji će pružati

RR\1160156HR.docx 27/229 PE619.373v03-00

HR

informacije o tome koje proizvode i usluge IKT-a treba obuhvatiti budućim europskim programima informatičke sigurnosne certifikacije te ad hoc odbore koji će pružati informacije u pogledu predlaganja, razvoja i donošenja predloženih europskih kibersigurnosnih programa.

Amandman 38



(46) Kako bi se zajamčila potpuna autonomija i neovisnost Agencije i kako bi joj se omogućilo obavljanje dodatnih i novih zadaća, uključujući nepredviđene hitne zadaće, Agenciji bi trebalo osigurati dostatni i autonomni proračun s prihodima prvenstveno iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu Agencije. Veći dio osoblja Agencija trebao bi izravno sudjelovati u operativnoj provedbi mandata Agencije. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa prihodima Agencije. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Štoviše, Revizorski sud trebao bi provesti reviziju računa Agencije radi osiguranja transparentnosti i odgovornosti.

(46) Kako bi se zajamčila potpuna autonomija i neovisnost Agencije i kako bi joj se omogućilo obavljanje dodatnih i novih zadaća, uključujući nepredviđene hitne zadaće, Agenciji bi trebalo osigurati dostatni i autonomni proračun s prihodima prvenstveno iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu Agencije. Prikladan proračun od presudne je važnosti kako bi se osiguralo da Agencija ima dovoljne kapacitete za ispunjavanje svih svojih zadaća i ciljeva, koji su sve brojniji. Veći dio osoblja Agencija trebao bi izravno sudjelovati u operativnoj provedbi mandata Agencije. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa prihodima Agencije. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Štoviše, Revizorski sud trebao bi provesti reviziju računa Agencije radi osiguranja transparentnosti i odgovornosti te svrsishodnosti rashoda.

Amandman 39


PE619.373v03-00 28/229 RR\1160156HR.docx

HR


(47) Ocjenjivanje sukladnosti postupak je kojim se dokazuje da su ispunjeni određeni zahtjevi koji se odnose na proizvod, proces, uslugu, sustav, osobu ili tijelo. Za potrebe ove Uredbe certifikacija bi se trebala smatrati vrstom ocjenjivanja sukladnosti u pogledu kibersigurnosnih značajki proizvoda, procesa, usluge, sustava ili njihove kombinacije („IKT proizvodi i usluge”) koju obavlja neovisna treća strana koja nije proizvođač proizvoda ili pružatelj usluge. Samom certifikacijom ne može se jamčiti kibersigurnost certificiranih IKT proizvoda i usluga. Riječ je o postupku i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi i usluge testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama.

(47) Ocjenjivanje sukladnosti postupak je kojim se dokazuje da su ispunjeni određeni zahtjevi koji se odnose na proizvod, proces, uslugu, sustav, osobu ili tijelo. Za potrebe ove Uredbe certifikacija bi se trebala smatrati vrstom ocjenjivanja sukladnosti u pogledu kibersigurnosnih značajki proizvoda, procesa, usluge, sustava ili njihove kombinacije („IKT proizvodi, procesi i usluge”) koju obavlja neovisna treća strana ili, kada je to dozvoljeno, proizvođač proizvoda ili pružatelj usluge. Samoocjenu može provoditi proizvođač proizvoda, mala i srednja poduzeća ili pružatelj usluga, kako je utvrđeno u ovoj Uredbi, i, ako je primjenjivo, kako je predviđeno novim zakonodavnim okvirom. Samoocjenu može, međutim, provoditi proizvođač proizvoda ili operator ako se ne očekuje velika ili znatna vjerojatnost incidenta povezanog s kibersigurnošću i/ili vjerojatnost da će takav incident nanijeti znatnu štetu društvu ili njegovom velikom dijelu, uzimajući u obzir namijenjenu upotrebu dotičnog proizvoda ili usluge koju je proizvođač proizvoda ili pružatelj usluge predvidio. Samom certifikacijom ne može se jamčiti kibersigurnost certificiranih IKT proizvoda, procesa i usluga i o tome se propisno moraju obavijestiti potrošači i poduzeća. Riječ je o postupku i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi, procesi i usluge testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama. Te tehničke norme uključuju i naznaku o tome mogu li IKT proizvod, proces i usluga izvršavati svoje redovite funkcije ako nisu spojeni na internet.

Amandman 40

Prijedlog uredbe

RR\1160156HR.docx 29/229 PE619.373v03-00

HR

Uvodna izjava 48.


(48) Kibersigurnosna certifikacija ima važnu ulogu u jačanju povjerenja u IKT proizvode i usluge i njihovu sigurnost. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i internet stvari, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima i uslugama osigurava određena razina kibersigurnosnog jamstva. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi ili pametne mreže samo su primjeri sektora u kojima se certificiranje već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom NIS. U Komunikaciji iz 2016.

(48) Europska kibersigurnosna certifikacija ima ključnu ulogu u jačanju povjerenja u IKT proizvode, procese i usluge i njihovu sigurnost. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i internet stvari, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima i uslugama osigurava visoka razina kibersigurnosnog jamstva. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi ili pametne mreže samo su primjeri sektora u kojima se certificiranje već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom NIS. U Komunikaciji iz 2016.

Amandman 41



(49) „Jačanje europskog sustava kibernetičke sigurnosti i poticanje konkurentne i inovativne industrije kibernetičke sigurnosti” Komisija je istaknula potrebu za visokokvalitetnim, povoljnim i interoperabilnim proizvodima i rješenjima za kibersigurnost. Ponuda IKT proizvoda i usluga na jedinstvenom tržištu vrlo je zemljopisno rascjepkana. To je zato što se industrija kibersigurnosti u Europi u velikoj mjeri razvila na temelju potražnje nacionalnih vlada. Nadalje, nepostojanje interoperabilnih rješenja (tehničke norme), praksi i postupaka certificiranja na razini EU-a neki su od nedostataka koji utječu na jedinstveno tržište kibersigurnosti. S jedne strane, time je europskim poduzećima

(49) „Jačanje europskog sustava kibernetičke sigurnosti i poticanje konkurentne i inovativne industrije kibernetičke sigurnosti” Komisija je istaknula potrebu za visokokvalitetnim, povoljnim i interoperabilnim proizvodima i rješenjima za kibersigurnost. Ponuda IKT proizvoda, procesa i usluga na jedinstvenom tržištu vrlo je zemljopisno rascjepkana. To je zato što se industrija kibersigurnosti u Europi u velikoj mjeri razvila na temelju potražnje nacionalnih vlada. Nadalje, nepostojanje interoperabilnih rješenja (tehničke norme), praksi i postupaka certificiranja na razini EU-a neki su od nedostataka koji utječu na jedinstveno tržište kibersigurnosti. S jedne

PE619.373v03-00 30/229 RR\1160156HR.docx

HR

otežano tržišno natjecanje na nacionalnoj, europskoj i svjetskoj razini. S druge strane, ograničen je izbor održivih i iskoristivih kibersigurnosnih tehnologija koje su dostupne građanima i poduzećima. Slično tomu, u preispitivanju provedbe Strategije jedinstvenog digitalnog tržišta na sredini provedbenog razdoblja Komisija je istaknula da su potrebni sigurni povezani proizvodi i sustavi i navela je da bi se stvaranjem europskog okvira za sigurnost IKT-a kojim se utvrđuju pravila o organizaciji sigurnosnog certificiranja u području IKT-a moglo očuvati povjerenje u internet i riješiti trenutačni problem rascjepkanosti kibersigurnosnog tržišta.

strane, time je europskim poduzećima otežano tržišno natjecanje na nacionalnoj, europskoj i svjetskoj razini. S druge strane, ograničen je izbor održivih i iskoristivih kibersigurnosnih tehnologija koje su dostupne građanima i poduzećima. Slično tomu, u preispitivanju provedbe Strategije jedinstvenog digitalnog tržišta na sredini provedbenog razdoblja Komisija je istaknula da su potrebni sigurni povezani proizvodi i sustavi i navela je da bi se stvaranjem europskog okvira za sigurnost IKT-a kojim se utvrđuju pravila o organizaciji sigurnosnog certificiranja u području IKT-a moglo očuvati povjerenje u internet i riješiti trenutačni problem rascjepkanosti kibersigurnosnog tržišta.

Amandman 42



(50) Trenutačno se kibersigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razine jamstva, materijalnih kriterija i stvarne upotrebe.

(50) Trenutačno se kibersigurnosna certifikacija IKT proizvoda, procesa i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode, procese i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave, što će povećati njihove troškove. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razina jamstva utemeljenih na riziku, materijalnih kriterija i stvarne upotrebe. Međusobno priznavanje i povjerenje

RR\1160156HR.docx 31/229 PE619.373v03-00

HR

među državama članicama ključan je element u tom pogledu. ENISA ima važnu ulogu u pružanju pomoći državama članicama kako bi one razvile čvrste institucijske strukture i stručno znanje u području zaštite od mogućih kibernapada. Potreban je pristup kojim se svaki slučaj uzima u obzir posebno kako bi se osiguralo da usluge, procesi i proizvodi podliježu odgovarajućim programima certifikacije. K tome, potreban je pristup utemeljen na riziku za učinkovitu identifikaciju i ublažavanje rizika, pri čemu treba uvidjeti da univerzalni program nije moguć.

Amandman 43



(52) S obzirom na navedeno nužno je uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Programi certificiranja trebali bi biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

(52) S obzirom na navedeno nužno je usvojiti zajednički pristup i uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Pritom je ključno nadovezati se na postojeće nacionalne i međunarodne programe i sustave uzajamnog priznavanja, osobito Skupinu viših dužnosnika za sigurnost informacijskih sustava (SOG-IS), te omogućiti neometan prijelaz iz postojećih programa u takvim sustavima na programe u novom europskom okviru. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode, procese i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja

PE619.373v03-00 32/229 RR\1160156HR.docx

HR

djeluju na jedinstvenom digitalnom tržištu. Ako je europski program kibersigurnosne certifikacije zamijenio nacionalni program, certifikati izdani u okviru europskog programa trebali bi se prihvaćati kao valjani u slučajevima u kojima je potrebna certifikacija na temelju nacionalnog programa. Programi certificiranja trebali bi se u načelu voditi integriranom sigurnošću i načelima iz Uredbe (EU) 2016/679. Trebali bi također biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

Amandman 44



(52a) Taj europski okvir za kibersigurnosnu certifikaciju treba na ujednačen način uspostaviti u svim državama članicama kako bi se izbjegla praksa „traženja povoljnije certifikacije” zbog razlika u troškovima i razini zahtjevnosti među državama članicama.

Amandman 45



(52b) Napominje da bi se programi certifikacije trebali temeljiti na onome što već postoji na nacionalnoj i međunarodnoj razini, pri čemu je potrebno učiti od sadašnjih pozitivnih primjera te analizirati i ispraviti nedostatke.

Amandman 46

RR\1160156HR.docx 33/229 PE619.373v03-00

HR

Prijedlog uredbeUvodna izjava 52.c (nova)


(52c) Potrebna su fleksibilna rješenja kako bi taj sektor bio korak ispred zlonamjernih napada i prijetnji te bi se stoga trebalo osigurati da programi certifikacije brzo ne postanu zastarjeli.

Amandman 47



(53) Komisija bi trebala imati ovlasti donositi europske programe kibersigurnosne certifikacije za određene skupine IKT proizvoda i usluga. Programe bi trebala provoditi i nadzirati nacionalna tijela za nadzor certifikacije, a certifikati izdani na temelju tih programa trebali bi biti valjani i priznati u cijeloj Uniji. Programi certificiranja kojima upravlja industrija ili privatne organizacije trebali bi biti izvan područja primjene Uredbe. Međutim, tijela koja provode takve programe mogu Komisiji predložiti da razmotri odobravanje tih programa kao europskih programa.

(53) Komisija bi trebala imati ovlasti donositi europske programe kibersigurnosne certifikacije za određene skupine IKT proizvoda, procesa i usluga. Programe bi trebala provoditi i nadzirati nacionalna tijela za nadzor certifikacije, a certifikati izdani na temelju tih programa trebali bi biti valjani i priznati u cijeloj Uniji. Programi certificiranja kojima upravlja industrija ili privatne organizacije trebali bi biti izvan područja primjene Uredbe. Međutim, tijela koja provode takve programe mogu Komisiji predložiti da razmotri odobravanje tih programa kao europskih programa. Agencija bi trebala identificirati i ocijeniti programe koje industrija ili privatne organizacije već koriste radi odabira najboljih praksi koje bi mogle postati dio europskog programa. Akteri u sektoru mogu provesti samoocjenu svojih proizvoda ili usluga prije certifikacije, čime pokazuju da su njihovi proizvodi ili usluge spremni za postupak certifikacije ako to bude potrebno ili ako se zatraži.

Amandman 48


PE619.373v03-00 34/229 RR\1160156HR.docx

HR


(53 a) Agencija i Komisija trebale bi na najbolji mogući način iskoristiti već postojeće programe certifikacije na razini EU-a i/ili na međunarodnoj razini. ENISA bi trebala moći ocijeniti koji su postojeći programi adekvatni te ih se može uvrstiti u europsko zakonodavstva u suradnji s europskim organizacijama za normizaciju i, koliko je to moguće, međunarodno priznati. Postojeće dobre prakse trebalo bi prikupljati i dijeliti među državama članicama.

Amandman 49



(54) Odredbama ove Uredbe ne bi se trebalo dovoditi u pitanje zakonodavstvo Unije kojim se propisuju posebna pravila o certifikaciji IKT proizvoda i usluga. U Uredbi (EU) 2016/679 (Opća uredba o zaštiti podataka) propisane su odredbe o uspostavi programa certificiranja te pečata i oznaka za zaštitu podataka za potrebe dokazivanja usklađenosti s Uredbom postupaka obrade koje obavljaju voditelji ili izvršitelji obrade. Tim postupcima certificiranja i pečatima i oznakama za zaštitu podataka trebalo bi se osobama čiji se podaci obrađuju omogućiti da brzo ocijene razinu zaštite podataka relevantnih proizvoda i usluga. Ovom Uredbom ne dovodi se u pitanje certificiranje postupaka obrade podataka, uključujući kada su ti postupci ugrađeni u proizvode i usluge, u skladu s Općom uredbom o zaštiti podataka.

(54) Odredbama ove Uredbe ne bi se trebalo dovoditi u pitanje zakonodavstvo Unije kojim se propisuju posebna pravila o certifikaciji IKT proizvoda, procesa i usluga. U Uredbi (EU) 2016/679 (Opća uredba o zaštiti podataka) propisane su odredbe o uspostavi programa certificiranja te pečata i oznaka za zaštitu podataka za potrebe dokazivanja usklađenosti s Uredbom postupaka obrade koje obavljaju voditelji ili izvršitelji obrade. Tim postupcima certificiranja i pečatima i oznakama za zaštitu podataka trebalo bi se osobama čiji se podaci obrađuju omogućiti da brzo ocijene razinu zaštite podataka relevantnih proizvoda i usluga. Ovom Uredbom ne dovodi se u pitanje certificiranje postupaka obrade podataka, uključujući kada su ti postupci ugrađeni u proizvode i usluge, u skladu s Općom uredbom o zaštiti podataka.

Amandman 50


RR\1160156HR.docx 35/229 PE619.373v03-00

HR


(55) Europskim programima kibersigurnosne certifikacije trebalo bi se osigurati da proizvodi i usluge koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, procesa, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije.

(55) Europskim programima kibersigurnosne certifikacije trebalo bi se osigurati da proizvodi, usluge i procesi koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini rizika, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, procesa, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima, uslugama i procesima. IKT proizvodi, usluge i procesi i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima, uslugama i procesima trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije. Sve aktere u opskrbnom lancu trebalo bi poticati da razviju i usvoje sigurnosne norme, tehničke norme i načela integrirane sigurnosti u svim fazama životnog ciklusa proizvoda, usluge ili procesa; svi programi europske kibersigurnosne certifikacije trebali bi biti oblikovani tako da ostvare taj cilj.

Amandman 51


PE619.373v03-00 36/229 RR\1160156HR.docx

HR


(56) Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode ili usluge. Komisija bi na temelju prijedloga programa koji je predložila ENISA trebala imati ovlasti donijeti europski program kibersigurnosne certifikacije s pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima kibersigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja i predviđenu razinu jamstva: osnovna, znatna i/ili visoka.

(56) Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode, procese ili usluge na temelju opravdanih razloga, ponajprije postojećih nacionalnih programa kibersigurnosne certifikacije koji fragmentiraju unutarnje tržište; trenutačne ili buduće potrebe da se podupre zakonodavstvo Unije; ili mišljenja skupine država članica za certifikaciju ili interesne skupine za certifikaciju. Nakon procjene prijedloga programa koje je predložila ENISA na zahtjev Komisije, Komisija bi trebala imati ovlasti donijeti europski program kibersigurnosne certifikacije s pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u tim bi europskim programima kibersigurnosne certifikacije trebalo odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja i predviđenu razinu jamstva: osnovna, znatna i/ili visoka.

Amandman 52



(56 a) Agencija bi trebala biti referentna točka za informacije o europskim programima za kibersigurnost. Na njezinim internetskim stranicama trebale bi biti dostupne sve relevantne informacije, uključujući one koje se

RR\1160156HR.docx 37/229 PE619.373v03-00

HR

odnose na certifikate koji su povučeni ili im je istekao rok valjanosti te na nacionalne certifikate. Agencija bi trebala osigurati da odgovarajući dio sadržaja njezine internetske stranice bude razumljiv potrošačima.

Amandman 53



(56 b) Definiranje razina jamstva za certifikate potrebno je kako bi se krajnjim korisnicima naznačilo koje se očekivane vrste kiberprijetnji mjerama kibersigurnosti u okviru proizvoda, procesa ili usluge nastoje spriječiti. Kiberprijetnje se moraju definirati uzimajući u obzir očekivani rizik i sposobnosti autora ili autora napada u kontekstu očekivane uporabe IKT proizvoda, procesa ili usluga. „Osnovna” razina jamstva odnosi se na sposobnost sprječavanja napada koji se mogu izbjeći osnovnim mjerama kibersigurnosti i koji se mogu jednostavno provjeriti preispitivanjem tehničke dokumentacije. „Znatna” razina jamstva odnosi se na sposobnost sprečavanja poznatih vrsta napada koje izvodi napadač s određenom razinom sofistikacije, ali s ograničenim sredstvima. „Visoka” razina jamstva odnosi se na sposobnost sprečavanja nepoznatih ranjivosti i sofisticiranih napada s pomoću najnovijih tehnika i znatnih resursa, kao što su financirani multidisciplinarni timovi.

Amandman 54


PE619.373v03-00 38/229 RR\1160156HR.docx

HR


(56 c) Kako bi se izbjegla fragmentacija unutarnjeg tržišta zbog nacionalnih programa kibersigurnosti, poduprlo buduće zakonodavstvo te povećalo povjerenje i sigurnost, Komisiji treba delegirati ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije u vezi s određivanjem prioriteta u pogledu europskog programa kibersigurnosne certifikacije, donošenja kliznog programa te donošenja europskih programa certificiranja. Posebno je važno da Komisija provodi odgovarajuća savjetovanja tijekom pripremnog rada, uključujući na stručnoj razini, te da se ta savjetovanja provode u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

Amandman 55

Prijedlog uredbeUvodna izjava 56.d (nova)


(56d) Među metodama ocjenjivanja i postupcima procjene povezanima s europskim programom kibersigurnosne certifikacije trebalo bi promicati etičko hakiranje, čiji je cilj lociranje slabosti i osjetljivosti uređaja i informatičkih sustava predviđanjem planiranih akcija i vještina zlonamjernih hakera.

RR\1160156HR.docx 39/229 PE619.373v03-00

HR

Amandman 56



(57) Primjena europske kibersigurnosne certifikacije trebala bi biti dobrovoljna, osim ako je u zakonodavstvu Unije ili nacionalnom zakonodavstvu predviđeno drugačije. Međutim, kako bi se ostvarili ciljevi ove Uredbe i izbjegla rascjepkanost unutarnjeg tržišta, nacionalni programi kibersigurnosne certifikacije ili postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije trebali bi prestati proizvoditi učinke od datuma koji Komisija odredi provedbenim aktom. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda i usluga koji su već obuhvaćeni postojećim europskim programom kibersigurnosne certifikacije.

(57) Primjena europske kibersigurnosne certifikacije trebala bi biti dobrovoljna, osim ako je u zakonodavstvu Unije ili nacionalnom zakonodavstvu predviđeno drugačije. Međutim, kako bi se ostvarili ciljevi ove Uredbe i izbjegla rascjepkanost unutarnjeg tržišta, nacionalni programi kibersigurnosne certifikacije ili postupci za IKT proizvode, postupke i usluge obuhvaćene europskim programom kibersigurnosne certifikacije trebali bi prestati proizvoditi učinke od datuma koji Komisija odredi delegiranim aktom. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda i usluga koji su već obuhvaćeni postojećim europskim programom kibersigurnosne certifikacije. Međutim, ova Uredba ne bi trebala dovesti u pitanje nacionalne programe prema kojima su države članice nadležne kada je riječ o upravljanju IKT proizvodima, procesima i uslugama koji se koriste za potrebe u okviru njihove suverene domene.

Amandman 57



(57 a) Obveza izdavanja deklaracije proizvoda koja sadrži strukturirane informacije o certifikaciji tog proizvoda, procesa ili usluge uvedena je kako bi se potrošačima pružilo više informacija i omogućio utemeljen odabir.

Amandman 58

PE619.373v03-00 40/229 RR\1160156HR.docx

HR



(57b) Pri predlaganju novih europskih programa kibersigurnosti, ENISA i druga relevantna tijela trebali bi obratiti pozornost na dinamiku tržišnog natjecanja prijedloga, posebno vodeći računa o tome da ako u predmetnom sektoru ima mnogo malih i srednjih poduzeća, kao što su poduzeća za razvoj softvera, programi certificiranja ne predstavljaju prepreku ulasku novih poduzeća i inovacijama.

Amandman 59



(57c) Europski programi kibersigurnosti pomoći će u usklađivanju i ujednačavanju kibersigurnosnih praksi u Uniji. Oni, međutim, ne smiju predstavljati minimalne razine kibersigurnosti. Pri osmišljavanju europskih programa kibersigurnosti također treba voditi računa o razvoju inovacija u području kibersigurnosti te ostaviti prostor za to.

Amandman 60



(58) Nakon donošenja europskog programa kibersigurnosne certifikacije, proizvođači IKT proizvoda ili pružatelji IKT usluga moći će podnijeti zahtjev za certifikaciju svojih proizvoda i usluga tijelu za ocjenjivanje sukladnosti po svojem izboru. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati akreditacijsko tijelo

(58) Nakon donošenja europskog programa kibersigurnosne certifikacije, proizvođači IKT proizvoda, procesa ili pružatelji IKT usluga moći će podnijeti zahtjev za certifikaciju svojih proizvoda i usluga tijelu za ocjenjivanje sukladnosti po svojem izboru, bilo gdje u Uniji. Tijela za ocjenjivanje sukladnosti trebalo bi

RR\1160156HR.docx 41/229 PE619.373v03-00

HR

ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i može se obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve. Akreditacijska tijela trebala bi ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba.

akreditirati akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i može se obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve. Akreditacijska tijela trebala bi ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba. Agencija bi trebala provoditi revizije kako bi se osigurala ujednačena razina kvalitete i obavljanja zadaća tijela za ocjenjivanje sukladnosti s ciljem izbjegavanja regulatorne arbitraže. Rezultate bi trebalo dostaviti Agenciji, Komisiji i Parlamentu te bi trebali biti javno dostupni.

Amandman 61



(58 a) Obvezna uporaba europske kibersigurnosne certifikacije trebala bi biti ograničena na slučajeve u kojima analiza rizika opravdava trošak za industriju, građane i potrošače. Incidenti kojima se remeti pružanje ključnih usluga mogu ugroziti gospodarsku aktivnost, prouzročiti znatne financijske gubitke, narušiti povjerenje korisnika i nanijeti znatnu štetu gospodarstvu Unije. Obvezna uporaba europske kibersigurnosne certifikacije od strane operatora koji pružaju ključne usluge trebala bi biti ograničena na one elemente koji su ključni za njihovo funkcioniranje i ne bi trebala obuhvaćati proizvode, procese i usluge za opću uporabu, čime bi se stvorio neopravdani trošak za industriju i potrošače. Komisija bi zajedno sa skupinom za suradnju, osnovanom u skladu s člankom 11. Direktive (EU)

PE619.373v03-00 42/229 RR\1160156HR.docx

HR

2016/1148, trebala raditi na definiranju popisa kategorija proizvoda, procesa i usluga koji su posebno namijenjeni za operatore ključnih usluga i čije bi neispravno djelovanje u slučaju incidenta moglo imati znatan negativan učinak na pružanje ključne usluge. Taj bi se popis trebao izrađivati postepeno te po potrebi ažurirati. Za operatore ključnih usluga obvezni bi trebali biti samo proizvodi, procesi i usluge s tog popisa.

Amandman 62



(58 b) Unakrsno upućivanje u nacionalnom zakonodavstvu koje se odnosi na nacionalnu normu koja je prestala proizvoditi pravne učinke zbog stupanja na snagu Europskog programa certifikacije može biti izvor zabune kod proizvođača i krajnjih korisnika. Kako bi se izbjeglo da proizvođači nastave provoditi specifikacije koje odgovaraju nacionalnim certifikatima koji više nisu na snazi, države bi članice trebale, u skladu sa svojim obvezama prema Ugovorima, prilagoditi svoje nacionalno zakonodavstvo kako bi se uzelo u obzir usvajanje Europskog programa certifikacije.

Amandman 63



(59) Od svih država članica treba tražiti da imenuju jedno tijelo za nadzor kibersigurnosne certifikacije koje će nadzirati usklađenost tijela za ocjenjivanje sukladnosti i certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim

(59) Od svih država članica treba tražiti da imenuju jedno tijelo za nadzor kibersigurnosne certifikacije koje će nadzirati usklađenost tijela za ocjenjivanje sukladnosti i certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim

RR\1160156HR.docx 43/229 PE619.373v03-00

HR

nastanom na njihovom državnom području sa zahtjevima iz ove Uredbe i s relevantnim programima kibersigurnosne certifikacije. Nacionalna tijela za nadzor certifikacije trebala bi rješavati pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražiti predmet pritužbe i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, ona bi trebala surađivati s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim programima kibersigurnosne certifikacije.

nastanom na njihovom državnom području sa zahtjevima iz ove Uredbe i s relevantnim programima kibersigurnosne certifikacije, te da se pobrinu za to da su europski certifikati o sigurnosti priznati na njihovu državnom području. Nacionalna tijela za nadzor certifikacije trebala bi rješavati pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, ili u pogledu navodnih nepriznavanja certifikata na njihovu državnom području, u prikladnoj mjeri istražiti predmet pritužbe i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, ona bi trebala surađivati s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim programima kibersigurnosne certifikacije, ili o nepriznavanju europskih certifikata o kibersigurnosti. Nadalje, ona bi trebala nadzirati i provjeravati sukladnost vlastitih izjava o sukladnosti, kao i to jesu li europske kibersigurnosne certifikate izdala tijela za ocjenjivanje sukladnosti prema zahtjevima iz ove Uredbe, uključujući pravila koja je usvojila Europska skupina za kibersigurnosnu certifikaciju i zahtjeve odgovarajućeg europskog programa kibersigurnosne certifikacije. Učinkovita suradnja nacionalnih tijela za nadzor certifikacije ključna je za ispravnu provedbu europskih programa za kibersigurnosnu certifikaciju i tehničkih pitanja koja se odnose na kibersigurnost IKT proizvoda i usluga. Komisija bi trebala olakšati tu razmjenu informacija stavljanjem na raspolaganje općeg elektroničko-informacijskog sustava podrške, primjerice postojećeg Informacijskog i komunikacijskog sustava za tržišni nadzor (ICSMS) i Sustava brzog uzbunjivanja za opasne neprehrambene proizvode

PE619.373v03-00 44/229 RR\1160156HR.docx

HR

(RAPEX) kojima se koriste tijela za nadzor tržišta u skladu s Uredbom (EZ) br. 765/2008.

Amandman 64



(60) Radi osiguranja dosljedne primjene europskog okvira kibersigurnosne certifikacije trebalo bi osnovati Europsku skupinu za kibersigurnosnu certifikaciju („skupina”) koja se sastoji od nacionalnih tijela za nadzor certifikacije. Glavne bi zadaće skupine trebale biti savjetovanje Komisije i pomoć Komisiji u radu kako bi se osigurala dosljedna provedba i primjena europskog okvira za kibersigurnosnu certifikaciju; pomoć Agenciji i suradnju s njome u izradi prijedloga programa kibersigurnosne certifikacije; preporuka Komisiji da od Agencije zatraži izradu prijedloga europskog programa kibersigurnosne certifikacije i donošenje mišljenja upućenih Komisiji o održavanju i preispitivanju postojećih europskih programa kibersigurnosne certifikacije.

(60) Radi osiguranja dosljedne primjene europskog okvira kibersigurnosne certifikacije trebalo bi osnovati Skupinu država članica za certifikaciju koja se sastoji od nacionalnih tijela za nadzor certifikacije. Glavne bi zadaće Skupine država članica za certifikaciju trebale biti savjetovanje Komisije i pomoć Komisiji u radu kako bi se osigurala dosljedna provedba i primjena europskog okvira za kibersigurnosnu certifikaciju; pomoć Agenciji i suradnju s njome u izradi prijedloga programa kibersigurnosne certifikacije; preporuka Komisiji da od Agencije zatraži izradu prijedloga europskog programa kibersigurnosne certifikacije; i donošenje mišljenja upućenih Komisiji o održavanju i preispitivanju postojećih europskih programa kibersigurnosne certifikacije.

Amandman 65



(60 a) Kako bi se osigurala istovrijednost razine osposobljenosti tijela za ocjenjivanje sukladnosti, olakšalo uzajamno priznavanje i promicalo opće prihvaćanje potvrda o certifikaciji i rezultata ocjenjivanja sukladnosti koje izdaju tijela za ocjenjivanje sukladnosti, nacionalna tijela za nadzor certifikacije trebaju koristiti strog i transparentan sustav uzajamnog vrednovanja i redovito

RR\1160156HR.docx 45/229 PE619.373v03-00

HR

provoditi takva vrednovanja.

Amandman 66



(60 b) Učinkovita suradnja između nacionalnih tijela za nadzor certifikacije ključna je za pravilnu provedbu uzajamnog vrednovanja i s obzirom na prekograničnu akreditaciju. Zbog transparentnosti je stoga potrebno predvidjeti obvezu da nacionalna tijela za nadzor certifikacije međusobno razmjenjuju informacije i dostavljaju odgovarajuće podatke nacionalnim tijelima i Komisiji. Ažurirani i točni podaci o dostupnosti akreditacijskih djelatnosti koje provode nacionalna akreditacijska tijela trebaju također biti javni te prema tomu dostupni posebno za tijela za ocjenjivanje sukladnosti.

Amandman 67



(61) U cilju podizanja razine osviještenosti i radi lakšeg prihvaćanja budućih programa kibersigurnosti EU-a Europska komisija može izdati opće ili sektorske smjernice u području kibersigurnosti, na primjer o dobroj praksi u području kibersigurnosti ili odgovornom ponašanju povezanom s kibersigurnošću, ističući pozitivan učinak uporabe certificiranih IKT proizvoda i usluga.

(61) U cilju podizanja razine osviještenosti i radi lakšeg prihvaćanja budućih programa kibersigurnosti EU-a Europska komisija može izdati opće ili sektorske smjernice u području kibersigurnosti, na primjer o dobroj praksi u području kibersigurnosti ili odgovornom ponašanju povezanom s kibersigurnošću, ističući pozitivan učinak uporabe certificiranih IKT proizvoda, procesa i usluga.

Amandman 68

Prijedlog uredbe

PE619.373v03-00 46/229 RR\1160156HR.docx

HR

Uvodna izjava 63.


(63) Kako bi se dodatno utvrdili kriteriji za akreditaciju tijela za ocjenjivanje sukladnosti, ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije treba prenijeti na Komisiju. Komisija bi tijekom svojeg pripremnog rada trebala provoditi odgovarajuća savjetovanja, uključujući i savjetovanje sa stručnjacima. Savjetovanja bi trebalo provoditi u skladu s načelima propisanima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Kako bi se osiguralo ravnopravno sudjelovanje u izradi delegiranih akata, Europski parlament i Komisija trebali bi sve dokumente zaprimiti istodobno kada i stručnjaci država članica, a njihovi stručnjaci trebali bi sustavno imati pristup sastancima skupina stručnjaka Komisije koje se bave izradom delegiranih akata.

(63) Kako bi se dodatno utvrdili kriteriji za akreditaciju tijela za ocjenjivanje sukladnosti, ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije treba prenijeti na Komisiju. Komisija bi tijekom svojeg pripremnog rada trebala provoditi odgovarajuća savjetovanja, uključujući i savjetovanje sa stručnjacima i relevantnim dionicima, prema potrebi. Savjetovanja bi trebalo provoditi u skladu s načelima propisanima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Kako bi se osiguralo ravnopravno sudjelovanje u izradi delegiranih akata, Europski parlament i Komisija trebali bi sve dokumente zaprimiti istodobno kada i stručnjaci država članica, a njihovi stručnjaci trebali bi sustavno imati pristup sastancima skupina stručnjaka Komisije koje se bave izradom delegiranih akata.

Amandman 69



(65) Postupak ispitivanja trebao bi se koristiti za donošenje provedbenih akata o europskim programima kibersigurnosne certifikacije za IKT proizvode i usluge; o načinima provođenja istraga Agencije te o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za nadzor certifikacije Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti.

(65) Nadalje, mogli bi se donijeti delegirani akti o europskim programima kibersigurnosne certifikacije za IKT proizvode, procese i usluge; o načinima provođenja istraga Agencije te o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za nadzor certifikacije Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti.

Amandman 70


RR\1160156HR.docx 47/229 PE619.373v03-00

HR


(66) Rad Agencije trebao bi se ocjenjivati neovisno. Ocjenjivanjem bi trebalo uzeti u obzir ostvaruje li Agencija svoje ciljeve, njezin način rada i relevantnost njezinih zadaća. Ocjenjivanjem bi trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosno certificiranje.

(66) Rad Agencije trebao bi se ocjenjivati kontinuirano i neovisno. Ocjenjivanjem bi trebalo uzeti u obzir ostvaruje li Agencija svoje ciljeve, njezin način rada i relevantnost njezinih zadaća, posebno njezinu koordinacijsku ulogu u odnosu na države članice i njihova nacionalna tijela. U slučaju preispitivanja, Komisija bi trebala ocijeniti sposobnost Agencije da djeluje kao jedinstvena kontaktna točka za države članice te institucije i tijela Unije.

Amandman 71



(66 a) Ocjenjivanjem bi trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosno certificiranje. U slučaju preispitivanja Komisija bi trebala ocijeniti ulogu Agencije u procjeni proizvoda i usluga iz trećih zemalja koji ulaze na tržište Unije te njezinu sposobnost sastavljanja crne liste poduzeća koja ne poštuju pravila Unije.

Amandman 72



(66 b) Tom bi se ocjenom trebala analizirati razina kibersigurnosti proizvoda i usluga koji se prodaju u Uniji. U slučaju preispitivanja Komisija bi trebala ocijeniti treba li uključiti ključne zahtjeve o kibersigurnosti kao uvjet za pristup unutarnjem tržištu.

PE619.373v03-00 48/229 RR\1160156HR.docx

HR

Amandman 73

Prijedlog uredbeČlanak 1. – stavak 1. – točka a


(a) utvrđuju se ciljevi, zadaće i ustrojstveni aspekti ENISA-e (agencije EU-a za kibersigurnost), dalje u tekstu „Agencija”; i

(a) utvrđuju se ciljevi, zadaće i ustrojstveni aspekti Agencije Europske unije za mrežnu i informacijsku sigurnost („Agencija”); i

Amandman 74

Prijedlog uredbeČlanak 1. – stavak 1. – točka b


(b) utvrđuje se okvir za uspostavu europskih programa kibersigurnosne certifikacije za potrebe osiguranja prikladne razine kibersigurnosti IKT proizvoda i usluga u Uniji. Taj okvir primjenjuje se ne dovodeći u pitanje posebne odredbe o dobrovoljnoj ili obveznoj certifikaciji u drugim aktima Unije.

(b) utvrđuje se okvir za uspostavu europskih programa kibersigurnosne certifikacije za potrebe izbjegavanja fragmentacije programa certifikacije u Uniji i osiguranja prikladne razine kibersigurnosti IKT proizvoda, procesa i usluga u Uniji koji se primjenjuje ne dovodeći u pitanje posebne odredbe o dobrovoljnoj i, po potrebi, obveznoj certifikaciji u skladu s ovom Uredbom ili drugim aktima Unije.

Amandman 75

Prijedlog uredbeČlanak 1. – stavak 1.a (novi)


Agencija obavlja svoje zadaće ne dovodeći u pitanje kompetencije država članica u pogledu kibersigurnosti, a posebno, kompetencije država članica u pogledu javne sigurnosti, obrane, nacionalne sigurnosti i kaznenog prava.

Amandman 76

RR\1160156HR.docx 49/229 PE619.373v03-00

HR

Prijedlog uredbeČlanak 2. – stavak 1. – točka 1.


(1) „kibersigurnost” obuhvaća sve aktivnosti koje su nužne za zaštitu od kiberprijetnji mrežnih i informacijskih sustava, njihovih korisnika i osoba na koje utječu;

(1) „kibersigurnost” znači sve aktivnosti koje su nužne za zaštitu od kiberprijetnji mrežnih i informacijskih sustava, njihovih korisnika i osoba na koje utječu;

Amandman 77



(2) „mrežni i informacijski sustav” znači sustav u smislu članka 4. točke 1. Direktive (EU) 2016/1148;

(2) „mrežni i informacijski sustav” znači mrežni i informacijski sustav kako je utvrđeno člankom 4. točkom 1. Direktive (EU) 2016/1148;

Amandman 78



(3) „nacionalna strategija za sigurnost mrežnih i informacijskih sustava” znači okvir u smislu članka 4. točke 3. Direktive (EU) 2016/1148;

(3) „nacionalna strategija za sigurnost mrežnih i informacijskih sustava” znači nacionalna strategija za sigurnost mrežnih i informacijskih sustava kako je utvrđeno člankom 4. točkom 3. Direktive (EU) 2016/1148;

Amandman 79



(4) „operator ključne usluge” znači javni ili privatni subjekt definiran u članku 4. točki 4. Direktive (EU) 2016/1148;

(4) „operator ključne usluge” znači operator ključne usluge definiran u članku 4. točki 4. Direktive (EU) 2016/1148;

PE619.373v03-00 50/229 RR\1160156HR.docx

HR

Amandman 80



(5) „pružatelj digitalnih usluga” znači svaka pravna osoba koja pruža digitalnu uslugu kako je definirano člankom 4. točkom 6. Direktive (EU) 2016/1148;

(5) „pružatelj digitalnih usluga” znači pružatelj digitalnih usluga kako je definirano člankom 4. točkom 6. Direktive (EU) 2016/1148;

Amandman 81



(6) „incident” znači bilo koji događaj kako je definiran u članku 4. točki 7. Direktive (EU) 2016/1148;

(6) „incident” znači incident kako je definiran u članku 4. točki 7. Direktive (EU) 2016/1148;

Amandman 82



(7) „rješavanje incidenta” znači svi postupci kako su definirani u članku 4. točki 8. Direktive (EU) 2016/1148;

(7) „rješavanje incidenta” znači rješavanje incidenta kako je definirano u članku 4. točki 8. Direktive (EU) 2016/1148;

Amandman 83



(8) „kiberprijetnja” znači svaka moguća okolnost ili događaj koji bi mogli negativno utjecati na mrežne i informacijske sustave, njihove korisnike i uključene osobe.

(8) „kiberprijetnja” znači svaka moguća okolnost, događaj ili bilo koja namjerna radnja, uključujući automatski nalog, koji bi mogli oštetiti, poremetiti ili na drugi način negativno utjecati na mrežne i informacijske sustave, njihove

RR\1160156HR.docx 51/229 PE619.373v03-00

HR

korisnike i pogođene osobe.

Amandman 84

Prijedlog uredbeČlanak 2. – stavak 1. – točka 8.a (nova)


(8 a) „kiberhigijena” znači jednostavne rutinske mjere koje, kada ih na internetu korisnici i poduzeća primjenjuju i redovito provode, smanjuju njihovu izloženost rizicima od kibernetičkih prijetnji.

Amandman 85



(9) „europski program kibersigurnosne certifikacije” znači sveobuhvatni skup pravila, tehničkih zahtjeva, normi i postupaka definiranih na razini Unije koji se primjenjuju na certificiranje proizvoda i usluga informacijske i komunikacijske tehnologije (IKT) obuhvaćenih područjem primjene tog programa;

(9) „europski program kibersigurnosne certifikacije” znači sveobuhvatni skup pravila, tehničkih zahtjeva, normi i postupaka definiranih na razini Unije i u skladu s međunarodnim i europskim normama i IKT specifikacijama koje je odobrila Agencija, koji se primjenjuju na certificiranje proizvoda, procesa i usluga informacijske i komunikacijske tehnologije (IKT) obuhvaćenih područjem primjene tog programa;

Amandman 86



(10) „europski kibersigurnosni certifikat” znači dokument koji izdaje tijelo za ocjenjivanje sukladnosti kojim se potvrđuje da IKT proizvod ili usluga ispunjavaju određene zahtjeve utvrđene u europskom programu kibersigurnosne certifikacije;

(10) „europski kibersigurnosni certifikat” znači dokument koji izdaje tijelo za ocjenjivanje sukladnosti kojim se potvrđuje da IKT proizvod ili usluga ili proces ispunjavaju određene zahtjeve utvrđene u europskom programu kibersigurnosne certifikacije;

PE619.373v03-00 52/229 RR\1160156HR.docx

HR

Amandman 87



(11 a) „IKT proces” znači bilo koji skup aktivnosti koje se provode u cilju osmišljavanja, razvoja, održavanja i isporuke IKT proizvoda ili usluge;

Amandman 88

Prijedlog uredbeČlanak 2. – stavak 1. – točka 11.b (nova)


(11 b) „potrošački elektronički uređaj” znači uređaji koji se sastoje od hardvera i softvera koji obrađuju osobne podatke ili se spajaju na internet u svrhu kućne automatizacije i rada kontrolnih kućanskih uređaja, uredskih uređaja, opreme za usmjeravanje i uređaja koji se povezuju na mrežu, kao što su pametni televizori, igračke i igraće konzole, virtualni ili osobni asistenti, povezani uređaji za prijenos (streaming), nosiva elektronika, sustavi za glasovne naredbe i virtualnu stvarnost;

Amandman 89



(16) „norma” znači norma kako je definirana u članku 2. točki 1. Uredbe (EU) br. 1025/2012.

(16) „norma, tehnička specifikacija i IKT tehnička specifikacija” znači norma, tehnička specifikacija i IKT tehnička specifikacija kako je definirana u članku 2. točkama 1., 4. i 5. Uredbe (EU) br. 1025/2012;

RR\1160156HR.docx 53/229 PE619.373v03-00

HR

Amandman 90



(16 a) „nacionalno tijelo za nadzor certifikacije” znači tijelo koje imenuje svaka država članica u skladu s člankom 50. ove Uredbe;

Amandman 91



(16 b) „samoocjena” znači izjava kojom proizvođač izjavljuje da su ispunjeni određeni zahtjevi utvrđeni programom certifikacije koji se odnose na proizvode, procese i usluge;

Amandman 92

Prijedlog uredbeČlanak 2. – stavak 1. – točka 16.c (nova)


(16 c) „zadana sigurnost” znači situaciju u kojoj bi, ako se proizvod, softver ili proces može instalirati na način kojim se jamči najviši stupanj sigurnosti, prvi korisnik trebao dobiti zadanu konfiguraciju s najsigurnijim mogućim postavkama. Ako se na pojedinačnoj osnovi analiza rizika i upotrebljivosti pokaže da takve postavke nisu ostvarive, korisnike bi trebalo upozoriti da se odluče za najsigurniju postavku.

Amandman 93

Prijedlog uredbeČlanak 2. – stavak 1. – točka 16.d (nova)

PE619.373v03-00 54/229 RR\1160156HR.docx

HR


(16 d) „operatori ključne usluge” znači operatori ključne usluge kako je definirano u članku 4. točki 4. Direktive (EU) 2016/1148.

Amandman 94

Prijedlog uredbeČlanak 3. – stavak 1.


1. Agencija obavlja zadaće koje su joj dodijeljene ovom Uredbom kako bi pridonijela ostvarivanju visoke razine kibersigurnosti u Uniji.

1. Agencija obavlja zadaće koje su joj dodijeljene ovom Uredbom te joj se pruža pomoć kako bi pridonijela ostvarivanju visoke zajedničke razine informacijske sigurnosti, u cilju sprečavanja kibernapada u Uniji, smanjenja fragmentacije na unutarnjem tržištu i poboljšanja njegova funkcioniranja te jamčenja dosljednosti uzimanjem u obzir postignuća država članica na planu suradnje u skladu s Direktivom NIS.

Amandman 95



1. Agencija djeluje kao stručni centar za kibersigurnost zahvaljujući svojoj neovisnosti, znanstvenoj i tehničkoj kvaliteti savjeta i pomoći koje pruža i informacija koje stavlja na raspolaganje, transparentnosti svojih operativnih postupaka i načina rada te revnosti u obavljanju zadaća.

1. Agencija djeluje kao centar tehničke i praktične stručnosti za kibersigurnost zahvaljujući svojoj neovisnosti, znanstvenoj i tehničkoj kvaliteti savjeta i pomoći koje pruža i informacija koje stavlja na raspolaganje, transparentnosti svojih operativnih postupaka i načina rada te revnosti u obavljanju zadaća.

Amandman 96


RR\1160156HR.docx 55/229 PE619.373v03-00

HR


2. Agencija pomaže institucijama, agencijama i tijelima Unije te državama članicama u razvoju i provedbi politika povezanih s kibersigurnošću.

2. Agencija pomaže institucijama, agencijama i tijelima Unije te državama članicama u razvoju i provedbi politika povezanih s kibersigurnošću te u podizanju osviještenosti među građanima i poduzećima.

Amandman 97



3. Agencija podupire jačanje kapaciteta i pripravnosti u cijeloj Uniji na način da Uniji, državama članicama i javnim i privatnim dionicima pomaže da povećaju zaštitu svojih mrežnih i informacijskih sustava, razviju vještine i sposobnosti u području kibersigurnosti i postanu kiberotporne.

3. Agencija podupire jačanje kapaciteta i pripravnosti u cijeloj Uniji na način da institucijama, agencijama i tijelima Unije, državama članicama i javnim i privatnim dionicima pomaže da povećaju zaštitu svojih mrežnih i informacijskih sustava, razviju i poboljšaju kiberotpornost i sposobnost reagiranja na prijetnje, povećaju razinu svijesti i razviju vještine i sposobnosti u području kibersigurnosti te postanu kiberotporne.

Amandman 98



4. Agencija promiče suradnju i koordinaciju na razini Unije među državama članicama, institucijama, agencijama i tijelima Unije i relevantnim dionicima, uključujući privatni sektor, u pitanjima povezanima s kibersigurnošću.

4. Agencija promiče suradnju, koordinaciju i dijeljenje informacija na razini Unije među državama članicama, institucijama, agencijama i tijelima Unije i relevantnim dionicima, u pitanjima povezanima s kibersigurnošću.

Amandman 99


PE619.373v03-00 56/229 RR\1160156HR.docx

HR


5. Agencija povećava kibersigurnosne sposobnosti na razini Unije kako bi dopunila djelovanja država članica usmjerena na sprječavanje kiberprijetnji i odgovaranje na kiberprijetnje, posebno u slučaju prekograničnih incidenata.

5. Agencija doprinosi povećavanju kibersigurnosne sposobnosti na razini Unije kako bi dopunila djelovanja država članica usmjerena na sprječavanje kiberprijetnji i odgovaranje na kiberprijetnje, posebno u slučaju prekograničnih incidenata, i kako bi provodila svoju zadaću pomaganja institucijama Unije u izradi politika povezanih s kibersigurnošću.

Amandman 100



6. Agencija promiče uporabu certifikacije, među ostalim i pridonošenjem uspostavi i održavanju okvira za kibersigurnosnu certifikaciju na razini Unije u skladu s glavom III. ove Uredbe u cilju povećanja transparentnosti kibersigurnosnog jamstva IKT proizvoda i usluga i jačanja povjerenja u jedinstveno digitalno tržište.

6. Agencija promiče uporabu certifikacije kako bi se izbjegla fragmentiranost unutarnjeg tržišta i poboljšalo njegovo funkcioniranje, među ostalim i pridonošenjem uspostavi i održavanju okvira za kibersigurnosnu certifikaciju na razini Unije u skladu s glavom III. ove Uredbe u cilju povećanja transparentnosti kibersigurnosnog jamstva IKT proizvoda i usluga i jačanja povjerenja u jedinstveno digitalno tržište te povećanja kompatibilnosti između postojećih nacionalnih i međunarodnih programa certificiranja.

Amandman 101



7. Agencija promiče visoku razinu osviještenosti građana i poduzeća o pitanjima povezanima s kibersigurnošću.

7. Agencija promiče i podupire projekte koji doprinose visokoj razini osviještenosti, kiberhigijene i kiberpismenosti građana i poduzeća o pitanjima povezanima s kibersigurnošću.

RR\1160156HR.docx 57/229 PE619.373v03-00

HR

Amandman 102



1. pružanjem pomoći i savjeta, osobito svojeg neovisnog mišljenja, i obavljanjem pripremih radnji za razvoj i preispitivanje politike i prava Unije u području kibersigurnosti te sektorskih inicijativa politike i sektorskih zakonodavnih inicijativa koje uključuju pitanja povezana s kibersigurnošću;

1. pružanjem pomoći i savjeta, osobito svojeg neovisnog mišljenja i analize relevantnih aktivnosti u kiberprostoru, i obavljanjem pripremih radnji za razvoj i preispitivanje politike i prava Unije u području kibersigurnosti te sektorskih inicijativa politike i sektorskih zakonodavnih inicijativa koje uključuju pitanja povezana s kibersigurnošću;

Amandman 103



2. pružanjem pomoći državama članicama u dosljednoj provedbi politike i prava Unije u području kibersigurnosti, posebno u vezi s Direktivom (EU) 2016/1148, među ostalim i s pomoću mišljenja, smjernica, savjeta i najbolje prakse o temama kao što su upravljanje rizikom, izvješćivanje o incidentima i razmjena informacija, te olakšavanjem razmjene najbolje prakse među nadležnim tijelima u tom pogledu;

2. pružanjem pomoći državama članicama u dosljednoj provedbi politike i prava Unije u području kibersigurnosti, posebno u vezi s Direktivom (EU) 2016/1148, Direktivom ... o Europskom zakoniku elektroničkih komunikacija, Uredbom (EU) 2016/679 i Direktivom 2002/58/EZ među ostalim i s pomoću mišljenja, smjernica, savjeta i najbolje prakse o temama kao što su razvoj sigurnog softvera i sigurnih sustava, upravljanje rizikom, izvješćivanje o incidentima i razmjena informacija, tehničke i organizacijske mjere, posebno uspostava programa koordiniranog otkrivanja ranjivosti, te olakšavanjem razmjene najbolje prakse među nadležnim tijelima u tom pogledu;

Amandman 104


PE619.373v03-00 58/229 RR\1160156HR.docx

HR


2 a. razvoja i promicanja politika kojima bi se održavala općenita dostupnost ili integritet javne osnove otvorenog interneta, koji internetu kao cjelini pružaju temeljnu funkcionalnost i osnova su njegova normalnog funkcioniranja, uključujući ali i ne ograničavajući se na sigurnost i stabilnost ključnih protokola (posebno DNS, BGP, i IPv6), rad sustava naziva domena (DNS), uključujući one svih vršnih domena, te rad korijenske zone (Root Zone).

Amandman 105



(2) promicanja pojačane razine sigurnosti elektroničkih komunikacija, među ostalim pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse među nadležnim tijelima;

(2) promicanja pojačane razine sigurnosti elektroničkih komunikacija, pohrane podataka i obrade podataka, među ostalim pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse među nadležnim tijelima;

Amandman 106



5 a. pružanjem pomoći državama članicama u dosljednoj provedbi politike i prava Unije u području zaštite podataka, osobito Uredbe (EU) 2016/679, te pružanjem pomoći Europskom odboru za zaštitu podataka u izradi smjernica u vezi s provedbom Uredbe (EU) 2016/679 za potrebe kibersigurnosti. Europski odbor za zaštitu podataka trebao bi se savjetovati s Agencijom svaki put kada izdaje mišljenje ili donosi odluku o provedbi Opće uredbe o zaštiti podataka i o

RR\1160156HR.docx 59/229 PE619.373v03-00

HR

kibersigurnosti, te ne tako iscrpno u vezi s pitanjima koja se odnose na procjene učinka na privatnost, obavijestima o povredi povjerljivosti podataka, sigurnosnom obradom, sigurnosnim zahtjevima i integriranom privatnošću.

Amandman 107

Prijedlog uredbeČlanak 6. – stavak 1. – točka aa (nova)


(a a) državama članicama i institucijama Unije pri uspostavi i provedbi politika koordiniranog otkrivanja ranjivosti i postupaka revizije otkrivanja ranjivosti u državnim sustavima, čije bi prakse i zaključci trebali biti transparentni i podložni neovisnom nadzoru;

Amandman 108

Prijedlog uredbeČlanak 6. – stavak 1. – točka ab (nova)


(a b) Agencija olakšava osnivanje i pokretanje dugoročnog europskog projekta informatičke sigurnosti radi daljnjeg poticanja istraživanja kibersigurnosti u Uniji i državama članicama u suradnji s Europskim istraživačkim vijećem (ERC) i Europskim institutom za inovacije i tehnologiju (EIT) te vodeći računa o istraživačkim programima Unije;

Amandman 109

Prijedlog uredbeČlanak 6. – stavak 1. – točka g

PE619.373v03-00 60/229 RR\1160156HR.docx

HR


(g) državama članicama organiziranjem godišnjih opsežnih kibersigurnosnih vježbi velikih razmjera na razini Unije iz članka 7. stavka 6. i pružanjem preporuka politike na temelju postupka ocjenjivanja vježbi i stečenog iskustva tijekom tih vježbi;

(g) državama članicama organiziranjem redovnih opsežnih kibersigurnosnih vježbi velikih razmjera na razini Unije iz članka 7. stavka 6. barem jednom godišnje te pružanjem preporuka politike i razmjenom najbolje prakse na temelju postupka ocjenjivanja vježbi i stečenog iskustva tijekom tih vježbi;

Amandman 110



2. Agencija olakšava uspostavu centara za razmjenu i analizu informacija (ISAC) i stalno ih podupire, posebno u sektorima navedenima u Prilogu II. Direktivi (EU) 2016/1148 pružanjem najbolje prakse i smjernica o dostupnim alatima, postupku i o tome kako riješiti regulatorne probleme povezane s razmjenom informacija.

2. Agencija olakšava uspostavu centara za razmjenu i analizu informacija (ISAC) i stalno ih podupire, posebno u sektorima navedenima u Prilogu II. Direktivi (EU) 2016/1148 pružanjem najbolje prakse i smjernica o dostupnim alatima, postupku, načelima kiberhigijene i o tome kako riješiti regulatorne probleme povezane s razmjenom informacija.

Amandman 111



1. Agencija podupire operativnu suradnju nadležnih javnih tijela i dionika.

1. Agencija podupire operativnu suradnju između država članica, institucija, agencija i tijela Unije te između dionika u cilju ostvarivanja suradnje, i to analizom i ocjenom postojećih nacionalnih programa, razvojem i provedbom plana te koristeći se odgovarajućim instrumentima kako bi se postigla najviša razina kibersigurnosti certificiranja u Uniji i državama članicama.

RR\1160156HR.docx 61/229 PE619.373v03-00

HR

Amandman 112

Prijedlog uredbeČlanak 7. – stavak 4. – podstavak 1. – točka b


(b) pružanjem, na njihov zahtjev, tehničke pomoći u slučaju incidenata sa značajnim ili znatnim učinkom;

(b) pružanjem, na njihov zahtjev, tehničke pomoći u obliku razmjene informacija i stručnosti u slučaju incidenata sa značajnim ili znatnim učinkom;

Amandman 113

Prijedlog uredbeČlanak 7. – stavak 4. – podstavak 1. – točka ba (nova)


(b a) ako situacija zahtijeva hitno djelovanje, ako incident ima znatan negativa učinak, država članica može za procjenu stanja zatražiti pomoć stručnjaka iz Agencije. Zahtjev mora uključivati opis stanja, moguće ciljeve i predviđene potrebe.

Amandman 114

Prijedlog uredbeČlanak 7. – stavak 5. – podstavak 1.


Na zahtjev najmanje dviju pogođenih država članica i u isključivu svrhu pružanja savjeta za sprječavanje budućih incidenata, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje dvije države članice.

Na zahtjev jedne ili više pogođenih država članica i u isključivu svrhu pružanja pomoći bilo u obliku savjeta za sprječavanje budućih incidenata bilo u obliku pomoći pri odgovoru na velike trenutačne incidente, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija navedene aktivnosti provodi primanjem relevantnih informacija od pogođenih država članica i korištenjem vlastitih resursa za analizu prijetnje kao i

PE619.373v03-00 62/229 RR\1160156HR.docx

HR

resursa za odgovor u slučaju incidenta. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje jednu državu članicu. Pri tome se Agencija mora pobrinuti da se ne objave mjere koje države članice poduzimaju za zaštitu svojih temeljnih državnih funkcija, posebno one koje se odnose na nacionalnu sigurnost.

Amandman 115



6. Agencija organizira godišnje vježbe u području kibersigurnosti na razini Unije i, na zahtjev, podupire države članice i institucije, agencije i tijela EU-a pri organizaciji takvih vježbi. Godišnje vježbe na razini Unije uključuju tehničke, operativne i strateške elemente i pomoć u pripremi usklađenog odgovora na razini Unije na prekogranične kiberincidente velikih razmjera. Agencija pridonosi i sektorskim vježbama u području kibersigurnosti i, prema potrebi, u suradnji s relevantnim ISAC-ovima pomaže u njihovoj organizaciji te dopušta ISAC-ovima da sudjeluju i u kibersigurnosnim vježbama na razini Unije.

6. Agencija organizira redovite, i u svakom slučaju, barem godišnje vježbe u području kibersigurnosti na razini Unije i, na zahtjev, podupire države članice i institucije, agencije i tijela EU-a pri organizaciji takvih vježbi. Godišnje vježbe na razini Unije uključuju tehničke, operativne i strateške elemente i pomoć u pripremi usklađenog odgovora na razini Unije na prekogranične kiberincidente velikih razmjera. Agencija pridonosi i sektorskim vježbama u području kibersigurnosti i, prema potrebi, u suradnji s relevantnim ISAC-ovima pomaže u njihovoj organizaciji te dopušta ISAC-ovima da sudjeluju i u kibersigurnosnim vježbama na razini Unije.

Amandman 116



7. Agencija sastavlja redovito tehničko izvješće o stanju kibersigurnosti u EU-u u pogledu incidenata i prijetnji na temelju informacija iz otvorenih izvora,

7. Agencija sastavlja redovito i temeljito tehničko izvješće o stanju kibersigurnosti u EU-u u pogledu incidenata i prijetnji na temelju informacija

RR\1160156HR.docx 63/229 PE619.373v03-00

HR

vlastite analize i izvješća koje dostavljaju, među ostalim: CSIRT-ovi država članica (dobrovoljno) ili jedinstvene kontaktne točke iz Direktive NIS (u skladu s člankom 14. stavkom 5. Direktive NIS); Europski centar za kiberkriminal (EC3) pri Europolu, CERT-EU.

iz otvorenih izvora, vlastite analize i izvješća koje dostavljaju, među ostalim: CSIRT-ovi država članica (dobrovoljno) ili jedinstvene kontaktne točke iz Direktive NIS (u skladu s člankom 14. stavkom 5. Direktive NIS); Europski centar za kiberkriminal (EC3) pri Europolu, CERT-EU. Izvršni direktor po potrebi podnosi rezultate izvješća Europskom parlamentu.

Amandman 117



7 a. Agencija, po potrebi i podložno prethodnom odobrenju od strane Komisije, doprinosi suradnji u području kibersigurnosti s NATO-ovim Centrom izvrsnosti za suradnju u području kiberobrane i NATO-ovom Komunikacijskom i informacijskom akademijom.

Amandman 118



(a) objedinjavanjem izvješća iz nacionalnih izvora kako bi se pridonijelo zajedničkoj informiranosti o stanju;

(a) analizom i objedinjavanjem izvješća iz nacionalnih izvora kako bi se pridonijelo zajedničkoj informiranosti o stanju;

Amandman 119

Prijedlog uredbeČlanak 7. – stavak 8. – točka c


(c) podupiranjem tehničkog rješavanja incidenta ili krize, među ostalim olakšavanjem razmjene tehničkih rješenja

(c) podupiranjem tehničkog rješavanja incidenta ili krize, na temelju vlastitog neovisnog stručnog znanja i resursa,

PE619.373v03-00 64/229 RR\1160156HR.docx

HR

među državama članicama; među ostalim olakšavanjem dobrovoljne razmjene tehničkih rješenja među državama članicama;

Amandman 120



8 a. Agencija organizira razmjenu mišljenja kada je to potrebno te pomaže tijelima država članica u koordinaciji njihovog odgovora u skladu s načelima supsidijarnosti i proporcionalnosti.

Amandman 121

Prijedlog uredbeČlanak 7.a (novi)


Članak 7.a

Tehničke sposobnosti Agencije

1. Kako bi mogla ostvarivati ciljeve opisane u članku 7. i u skladu s radnim programom Agencije, Agencija između ostalog razvija sljedeće tehničke sposobnosti i vještine:

(a) sposobnost prikupljanja informacija o kibersigurnosnim prijetnjama iz otvorenih izvora i

(b) sposobnost primjene tehničke opreme, alata i stručnog znanja na daljinu.

2. Kako bi mogla ostvariti tehničke sposobnosti opisane u stavku 1. ovog članka i razviti relevantne vještine, Agencija:

(a) osigurava da se u njezinim postupcima zapošljavanja uzimaju u obzir različite tehničke vještine koje su potrebne i

(b) surađuje s CERT EU-om i Europolom u skladu s člankom 7. stavkom 2. ove

RR\1160156HR.docx 65/229 PE619.373v03-00

HR

Uredbe.

Amandman 122

Prijedlog uredbeČlanak 8. – stavak 1. – točka a – uvodni dio


(a) podupire i promiče razvoj i provedbu politike Unije o kibersigurnosnoj certifikaciji IKT proizvoda i usluga, kako je utvrđeno u glavi III. ove Uredbe na sljedeće načine:

(a) podupire i promiče razvoj i provedbu politike Unije o kibersigurnosnoj certifikaciji IKT proizvoda, usluga i postupaka, kako je utvrđeno u glavi III. ove Uredbe na sljedeće načine:

Amandman 123

Prijedlog uredbeČlanak 8. – stavak 1. – točka a – podtočka -1. (nova)


(-1) stalnim utvrđivanjem normi, tehničkih specifikacija i tehničkih IKT specifikacija;

Amandman 124

Prijedlog uredbeČlanak 8. – stavak 1. – točka a – podtočka 1.


(1) izradom prijedloga europskih programa kibersigurnosne certifikacije za IKT proizvode i usluge u skladu s člankom 44. ove Uredbe;

(1) izradom prijedloga europskih programa kibersigurnosne certifikacije za IKT proizvode, usluge i postupke u skladu s člankom 44. ove Uredbe te u suradnji s dionicima iz industrije i organizacijama za normizaciju u okviru formalnog, standardiziranog i transparentnog postupka;

Amandman 125

Prijedlog uredbeČlanak 8. – stavak 1. – točka a – podtočka 1.a (nova)

PE619.373v03-00 66/229 RR\1160156HR.docx

HR


(1 a) ocjenjivanjem, u suradnji sa Skupinom država članica za certifikaciju u skladu s člankom 53. ove Uredbe, postupaka za izdavanje europskih kibersigurnosnih certifikata koje su uspostavila tijela za ocjenjivanje sukladnosti iz članka 51. ove Uredbe, s ciljem da se osigura da tijela za ocjenjivanje sukladnosti na isti način primjenjuju ovu Uredbu kad izdaju certifikate;

Amandman 126

Prijedlog uredbeČlanak 8. – stavak 1. – točka a – podtočka 1.b (nova)


(1 b) provedbom neovisnih periodičnih ex post provjera sukladnosti certificiranih IKT proizvoda, procesa i usluga s europskim programima kibersigurnosne certifikacije;

Amandman 127



(2) pomaganjem Komisiji u osiguravanju tajništva Europske skupine za kibersigurnosno certificiranje u skladu s člankom 53. ove Uredbe;

(2) pomaganjem Komisiji u osiguravanju tajništva Skupine država članica za certificiranje u skladu s člankom 53. ove Uredbe;

Amandman 128



(3) sastavljanjem i objavljivanjem (3) sastavljanjem i objavljivanjem

RR\1160156HR.docx 67/229 PE619.373v03-00

HR

smjernica i razvojem dobre prakse u pogledu kibersigurnosnih zahtjeva za IKT proizvode i usluge, u suradnji s nacionalnim tijelima za nadzor certifikacije i industrijom;

smjernica i razvojem dobre prakse, među ostalim o načelima kiberhigijene, u pogledu kibersigurnosnih zahtjeva za IKT proizvode, procese i usluge, u suradnji s nacionalnim tijelima za nadzor certifikacije i industrijom i u okviru formalnog, standardiziranog i transparentnog postupka;

Amandman 129



(b) olakšavanjem uspostave i prihvaćanja europskih i međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda i usluga te izradom, u suradnji s državama članicama, savjeta i smjernica o tehničkim područjima povezanima sa sigurnosnim zahtjevima za operatore ključnih usluga i pružatelje digitalnih usluga, te u pogledu već postojećih normi, uključujući nacionalne norme država članica, u skladu s člankom 19. stavkom 2. Direktive (EU) 2016/1148.

(b) olakšavanjem uspostave i prihvaćanja europskih i/ili međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda, procesa i usluga te izradom, u suradnji s državama članicama i sektorom, savjeta i smjernica o tehničkim područjima povezanima sa sigurnosnim zahtjevima za operatore ključnih usluga i pružatelje digitalnih usluga, te u pogledu već postojećih normi, uključujući nacionalne norme država članica, u skladu s člankom 19. stavkom 2. Direktive (EU) 2016/1148 te razmjenom tih informacija među državama članicama.

Amandman 130



(c) pruža, u suradnji sa stručnjacima iz tijela država članica, savjete, smjernice i najbolju praksu za sigurnost mrežnih i informacijskih sustava, posebno za sigurnost internetske infrastrukture i infrastruktura kojima se podupiru sektori navedeni u Prilogu II. Direktivi (EU) 2016/1148;

(c) pruža, u suradnji sa stručnjacima iz tijela država članica i relevantnim dionicima iz industrije, savjete, smjernice i najbolju praksu za sigurnost mrežnih i informacijskih sustava, posebno za sigurnost internetske infrastrukture i infrastruktura kojima se podupiru sektori navedeni u Prilogu II. Direktivi (EU) 2016/1148;

PE619.373v03-00 68/229 RR\1160156HR.docx

HR

Amandman 131

Prijedlog uredbeČlanak 9. – stavak 1. – točka e


(e) podiže razinu osviještenosti javnosti o rizicima povezanima s kibersigurnošću i daje smjernice o dobroj praksi za pojedinačne korisnike usmjerene na građane i organizacije;

(e) stalno podiže razinu osviještenosti javnosti o rizicima povezanima s kibersigurnošću i daje tečajeve i smjernice o dobroj praksi za pojedinačne korisnike usmjerene na građane i organizacije te promiče donošenje preventivnih snažnih mjera informatičke sigurnosti i pouzdane zaštite podataka i privatnosti;

Amandman 132



(g) organizira, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije, redovite informativne kampanje u cilju povećanja kibersigurnosti i svoje vidljivosti u Uniji.

(g) organizira, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije, redovite komunikacijske kampanje u cilju poticanja šire javne rasprave;

Amandman 133

Prijedlog uredbeČlanak 9. – stavak 1. – točka ga (nova)


(g a) podupire tješnju tješnju koordinaciju i razmjenu najboljih praksi među državama članicama u pogledu obrazovanja i pismenosti o kibersigurnosti, kiberhigijene i podizanja razine osviještenosti.

Amandman 134


RR\1160156HR.docx 69/229 PE619.373v03-00

HR


(a) savjetuje Uniju i države članice o istraživačkim potrebama i prioritetima u području kibersigurnosti kako bi se omogućili učinkoviti odgovori na postojeće i nove rizike i prijetnje, među ostalim i u pogledu novih informacijskih i komunikacijskih tehnologija te onih u nastajanju, te kako bi se učinkovito upotrebljavale tehnologije za sprečavanje rizika;

(a) osigurava prethodno savjetovanje s relevantnim korisničkim skupinama i savjetuje Uniju i države članice o istraživačkim potrebama i prioritetima u područjima kibersigurnosti, zaštite podataka i privatnosti, kako bi se omogućili učinkoviti odgovori na postojeće i nove rizike i prijetnje, među ostalim i u pogledu novih informacijskih i komunikacijskih tehnologija te onih u nastajanju, te kako bi se učinkovito upotrebljavale tehnologije za sprečavanje rizika;

Amandman 135

Prijedlog uredbeČlanak 10. – stavak 1. – točka ba (nova)


(b a) naručuje vlastite istraživačke aktivnosti u područjima od interesa koja još nisu obuhvaćena postojećim istraživačkim programima Unije, u slučajevima kada je prisutna jasna europska dodana vrijednost.

Amandman 136

Prijedlog uredbeČlanak 11. – stavak 1. – točka ca (nova)


(c a) pružanjem savjeta i potpore Komisiji, u suradnji sa Skupinom država članica za certifikaciju osnovanom u skladu s člankom 53., u vezi s pitanjima koja se tiču sporazuma o uzajamnom priznavanju kibersigurnosnih certifikata s trećim zemljama.

Amandman 137

Prijedlog uredbeČlanak 12. – stavak 1. – točka d

PE619.373v03-00 70/229 RR\1160156HR.docx

HR


(d) Stalne interesne skupine koja obavlja funkcije iz članka 20.

(d) Savjetodavne skupine ENISA-e koja obavlja funkcije iz članka 20.

Amandman 138



(e) ocjenjuje i donosi konsolidirano godišnje izvješće o aktivnostima Agencije i do 1. srpnja sljedeće godine dostavlja izvješće i njegovu ocjenu Europskom parlamentu, Vijeću, Komisiji i Revizorskom sudu. Godišnje izvješće uključuje financijske izvještaje i u njemu se opisuje kako je Agencija ostvarila svoje pokazatelje uspješnosti. Godišnje se izvješće objavljuje;

(e) ocjenjuje i donosi konsolidirano godišnje izvješće o aktivnostima Agencije i do 1. srpnja sljedeće godine dostavlja izvješće i njegovu ocjenu Europskom parlamentu, Vijeću, Komisiji i Revizorskom sudu. Godišnje izvješće uključuje financijske izvještaje i u njemu se opisuje učinkovitost potrošenih sredstava te ocjenjuje djelotvornost Agencije i kako je ona ostvarila svoje pokazatelje uspješnosti. Godišnje se izvješće objavljuje;

Amandman 139

Prijedlog uredbeČlanak 14. – stavak 1. – točka m


(m) imenuje izvršnog direktora i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

(m) imenuje izvršnog direktora s pomoću postupka odabira utemeljenog na kriterijima stručnosti i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

Amandman 140

Prijedlog uredbeČlanak 14. – stavak 1. – točka o


o) donosi sve odluke o unutarnjem ustrojstvu Agencije te, prema potrebi, o

o) donosi sve odluke o unutarnjem ustrojstvu Agencije te, prema potrebi, o

RR\1160156HR.docx 71/229 PE619.373v03-00

HR

njegovim izmjenama, uzimajući u obzir potrebe Agencije u pogledu aktivnosti te razumno financijsko upravljanje;

njegovim izmjenama, uzimajući u obzir potrebe Agencije u pogledu aktivnosti navedenih u ovoj Uredbi te razumno financijsko upravljanje;

Amandman 141



4. Članovi Stalne interesne skupine mogu na poziv predsjednika sudjelovati na sastancima Upravljačkog odbora, bez prava glasa.

4. Članovi Savjetodavne skupine ENISA-e mogu na poziv predsjednika sudjelovati na sastancima Upravljačkog odbora, bez prava glasa.

Amandman 142



3. Izvršni odbor sastavljen je od pet članova imenovanih iz redova članova Upravljačkog odbora, uključujući predsjednika Upravljačkog odbora koji može i predsjedati Izvršnim odborom, a jedan od članova predstavnik je Komisije. Izvršni direktor sudjeluje na sastancima Izvršnog odbora, ali nema pravo glasa.

3. Izvršni odbor sastavljen je od pet članova imenovanih iz redova članova Upravljačkog odbora, uključujući predsjednika Upravljačkog odbora koji može i predsjedati Izvršnim odborom, a jedan od članova predstavnik je Komisije. Izvršni direktor sudjeluje na sastancima Izvršnog odbora, ali nema pravo glasa. U pogledu imenovanja nastoji se postići uravnotežena rodna zastupljenost u Izvršnom odboru.

Obrazloženje

Kad je riječ o imenovanjima, Izvršni odbor treba voditi računa o rodnoj ravnoteži. To je u skladu s odredbama za Upravljački odbor (čl. 13 točka 3.).

Amandman 143



2. Izvršni direktor na poziv izvješćuje 2. Izvršni direktor na poziv ili svake

PE619.373v03-00 72/229 RR\1160156HR.docx

HR

Europski parlament o izvršavanju svojih dužnosti. Vijeće može pozvati izvršnog direktora da ga izvijesti o izvršavanju svojih dužnosti.

godine izvješćuje Europski parlament o izvršavanju svojih dužnosti. Vijeće može pozvati izvršnog direktora da ga izvijesti o izvršavanju svojih dužnosti.

Amandman 144



5a. Izvršni direktor također ima ovlasti da djeluje kao posebni institucijski savjetnik za kibersigurnosnu politiku predsjedniku Europske komisije, a njegov je mandat određen Odlukom Komisije C(2014) 541 od 6. veljače 2014.

Amandman 145

Prijedlog uredbeČlanak 20. – naslov


Stalna interesna skupina Savjetodavna skupina ENISA-e

(Ova izmjena primjenjuje se u cijelom zakonodavnom tekstu koji se razmatra; ako bude prihvaćena bit će potrebno unijeti tehničke promjene u cijelom tekstu.)

Amandman 146



1. Upravljački odbor, djelujući na prijedlog izvršnog direktora, osniva Stalnu interesnu skupinu sastavljenu od priznatih stručnjaka koji zastupaju relevantne interesne skupine, kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača,

1. Upravljački odbor, djelujući na prijedlog izvršnog direktora, na transparentan način osniva Savjetodavnu skupinu ENISA-e sastavljenu od priznatih stručnjaka za sigurnost koji zastupaju relevantne interesne skupine, kao što su IKT industrija, uključujući mala i srednja poduzeća, operatori ključnih usluga u

RR\1160156HR.docx 73/229 PE619.373v03-00

HR

akademski stručnjaci za kibersigurnost i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

skladu s Direktivom NIS, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, akademski stručnjaci za kibersigurnost, europske organizacije za normizaciju i agencije EU-a te predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka. Upravljački odbor osigurava odgovarajuću ravnotežu među različitim interesnim skupinama.

Amandman 147



2. Postupci koji se odnose na Stalnu interesnu skupinu, posebno u pogledu broja, sastava i imenovanja njezinih članova od strane Upravljačkog odbora, prijedlog izvršnog direktora i rad Skupine utvrđuju se u unutarnjem pravilniku o radu Agencije te se objavljuju.

2. Postupci koji se odnose na Savjetodavnu skupinu ENISA-e, posebno u pogledu broja, sastava i imenovanja njezinih članova od strane Upravljačkog odbora, prijedlog izvršnog direktora i rad Skupine utvrđuju se u unutarnjem pravilniku o radu Agencije te se objavljuju.

Amandman 148



3. Stalnom interesnom skupinom predsjeda izvršni direktor ili bilo koja osoba koju, zasebno za svaki slučaj, imenuje izvršni direktor.

3. Savjetodavnom skupinom ENISA-e predsjeda izvršni direktor ili bilo koja osoba koju, zasebno za svaki slučaj, imenuje izvršni direktor.

Amandman 149


PE619.373v03-00 74/229 RR\1160156HR.docx

HR


4. Mandat članova Stalne interesne skupine traje dvije i pol godine. Članovi Upravljačkog odbora ne mogu biti članovi Stalne interesne skupine. Stručnjaci Komisije i država članica imaju pravo nazočiti sjednicama Stalne interesne skupine i sudjelovati u njezinu radu. Na sastanke Stalne interesne skupine i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima koji nisu članovi Stalne interesne skupine.

4. Mandat članova Savjetodavne skupine ENISA-e traje dvije i pol godine. Članovi Upravljačkog odbora ne smiju biti članovi Savjetodavne skupine ENISA-e. Stručnjaci Komisije i država članica imaju pravo nazočiti sjednicama Savjetodavne skupine ENISA-e i sudjelovati u njezinu radu. Na sastanke Savjetodavne skupine ENISA-e i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima i koji nisu članovi Savjetodavne skupine ENISA-e.

Amandman 150



4 a. Savjetodavna skupina ENISA-e pruža redovite informacije o svojim planovima tijekom cijele godine i određuje ciljeve u svojem programu rada koji se objavljuje svakih šest mjeseci kako bi se osigurala transparentnost;

Amandman 151



5. Stalna interesna skupina savjetuje Agenciju u vezi s obavljanjem njezinih aktivnosti. Ona posebno savjetuje izvršnog direktora u vezi s izradom prijedloga programa rada Agencije i osiguravanjem komunikacije s relevantnim interesnim skupinama o svim pitanjima koja se odnose na program rada.

5. Savjetodavna skupina ENISA-e savjetuje Agenciju u vezi s obavljanjem njezinih aktivnosti, osim u pogledu primjene glave III. ove Uredbe. Ona posebno savjetuje izvršnog direktora u vezi s izradom prijedloga programa rada Agencije i osiguravanjem komunikacije s relevantnim interesnim skupinama o svim pitanjima koja se odnose na program rada.

RR\1160156HR.docx 75/229 PE619.373v03-00

HR

Amandman 152



Članak 20.a

Interesna skupina za certificiranje

1. Izvršni direktor uspostavlja Interesnu skupinu za certificiranje koja se sastoji od općeg savjetodavnog odbora koji daje opće savjete o primjeni glave III. ove Uredbe te uspostavlja ad hoc odbore za predlaganje, razvoj i donošenje svakog prijedloga programa. Članovi te skupine biraju se među priznatim stručnjacima u području sigurnosti koji zastupaju relevantne interesne skupine, kao što su IKT industrija, uključujući mala i srednja poduzeća, operatori ključnih usluga u skladu s Direktivom NIS, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, akademski stručnjaci za kibersigurnost, europske organizacije za normizaciju i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te predstavnici tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

2. Postupci koji se odnose na Interesnu skupinu za certificiranje, posebno u pogledu broja, sastava i imenovanja njezinih članova od strane izvršnog direktora utvrđuju se u unutarnjem pravilniku o radu Agencije, prate najbolje prakse pri jamčenju pravedne zastupljenosti i jednakih prava za sve zainteresirane strane te se objavljuju.

3. Članovi Upravljačkog odbora ne smiju biti članovi Interesne skupine za certificiranje. Članovi Savjetodavne skupine ENISA-e također mogu biti članovi Interesne skupine za

PE619.373v03-00 76/229 RR\1160156HR.docx

HR

certificiranje. Stručnjaci iz Komisije i država članica imaju pravo da uz poziv prisustvuju sjednicama Interesne skupine za certificiranje. Na sastanke Interesne skupine za certificiranje i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima.

4. Interesna skupina za certificiranje savjetuje Agenciju u pogledu izvršavanja njezinih aktivnosti u vezi s glavom III. ove Uredbe. Osobito ima pravo da, u skladu s člankom 44. ove Uredbe, Komisiji predloži pripremu prijedloga europskog programa kibersigurnosne certifikacije te da sudjeluje u postupcima odobravanja tih programa opisanima u člancima 43. - 48. i članku 53. ove Uredbe.

Amandman 153



Članak 21.

Zahtjev upućen Agenciji

1. Agencija bi trebala utvrditi jedinstvenu točku preko koje se mogu rješavati zahtjevi za savjet i pomoć u okviru ciljeva i zadaća Agencije te bi trebala njome upravljati. Ti bi zahtjevi trebali biti popraćeni informacijama o kontekstu koje objašnjavaju pitanje koje se treba riješiti. Agencija bi trebala sastaviti potencijalne implikacije za resurse i pravovremeno odgovoriti na zahtjeve. U slučaju odbijanja zahtjeva, Agencija je dužna dati obrazloženje.

2. Zahtjeve iz stavka 1. mogu podnijeti:

a) Europski parlament

b) Vijeće

c) Komisija i

d) svako nadležno tijelo koje je imenovala

RR\1160156HR.docx 77/229 PE619.373v03-00

HR

država članica, kao što je nacionalno regulatorno tijelo definirano člankom 2. Direktive 2002/21/EZ.

3. Praktična rješenja za primjenu stavaka 1. i 2., posebno u vezi s podnošenjem zahtjeva, određivanjem prioriteta, praćenjem i obavješćivanjem Upravljački odbor u unutarnjim pravilima rada Agencije.

Amandman 154



2. Članovi Upravljačkog odbora, izvršni direktor, članovi Stalne interesne skupine, vanjski stručnjaci koji sudjeluju u radu ad hoc radnih skupina i članovi osoblja Agencije, uključujući službenike koje privremeno upućuju države članice, poštuju zahtjeve u pogledu povjerljivosti iz članka 339. Ugovora o funkcioniranju Europske unije (UFEU) čak i nakon prestanka njihovih dužnosti.

2. Članovi Upravljačkog odbora, izvršni direktor, članovi Savjetodavne skupine ENISA-e, vanjski stručnjaci koji sudjeluju u radu ad hoc radnih skupina i članovi osoblja Agencije, uključujući službenike koje privremeno upućuju države članice, poštuju zahtjeve u pogledu povjerljivosti iz članka 339. Ugovora o funkcioniranju Europske unije (UFEU) čak i nakon prestanka njihovih dužnosti.

Amandman 155

Prijedlog uredbeČlanak 26. – stavak 1. – podstavak 1.a (novi)


Privremeni nacrt izvještaja o prihodima i rashodima Agencije temelji se na ciljevima i očekivanim rezultatima jedinstvenog programskog dokumenta iz članka 21. stavka 1. ove Uredbe i uzima u obzir financijske resurse potrebne za postizanje tih ciljeva i očekivanih rezultata u skladu s načelom izrade proračuna zasnovane na uspješnosti.

Amandman 156

Prijedlog uredbe

PE619.373v03-00 78/229 RR\1160156HR.docx

HR

Članak 30. – stavak 2.


2. Revizorski sud ovlašten je za provedbu revizije, na temelju dokumenata i na terenu, svih korisnika bespovratnih sredstava, ugovaratelja i podugovaratelja koji su primili sredstva Unije od Agencije.

2. Revizorski sud ovlašten je za provedbu revizije, na temelju dokumenata i inspekcija na terenu, svih korisnika bespovratnih sredstava, ugovaratelja i podugovaratelja koji su primili sredstva Unije od Agencije.

Amandman 157



5. Osobna odgovornost službenika prema Agenciji podliježe odgovarajućim uvjetima koji se primjenjuju na osoblje.

5. Osobna odgovornost službenika prema Agenciji podliježe odgovarajućim uvjetima koji se primjenjuju na osoblje. Osigurava se učinkovito zapošljavanje osoblja.

Amandman 158



2. Prevoditeljske usluge potrebne za funkcioniranje Agencije pruža Prevoditeljski centar za tijela Europske unije.

2. Prevoditeljske usluge potrebne za funkcioniranje Agencije pruža Prevoditeljski centar za tijela Europske unije ili drugi pružatelji prevoditeljskih usluga u skladu s pravilima javne nabave i unutar granica utvrđenih relevantnim financijskim pravilima.

Amandman 159



1. Ako je to nužno za ostvarivanje ciljeva utvrđenih u ovoj Uredbi, Agencija može surađivati s nadležnim tijelima trećih

1. Ako je to nužno za ostvarivanje ciljeva utvrđenih u ovoj Uredbi, Agencija može surađivati s nadležnim tijelima trećih

RR\1160156HR.docx 79/229 PE619.373v03-00

HR

zemalja ili s međunarodnim organizacijama ili i s jedinima i s drugima. U tu svrhu Agencija može, uz prethodno odobrenje Komisije, utvrditi radne aranžmane s tijelima trećih zemalja i međunarodnim organizacijama. Tim se aranžmanima ne stvaraju pravne obveze za Uniju i njezine države članice.

zemalja ili s međunarodnim organizacijama ili i s jedinima i s drugima. U tu svrhu Agencija može, uz prethodno odobrenje Komisije, utvrditi radne aranžmane s tijelima trećih zemalja i međunarodnim organizacijama. Suradnja s NATO-om, ako postoji, može uključivati zajedničke kibersigurnosne vježbe i zajedničku koordinaciju odgovora na kiberincidente. Tim se aranžmanima ne stvaraju pravne obveze za Uniju i njezine države članice.

Obrazloženje

S obzirom na prekograničnu narav kiberincidenata ENISA bi trebala surađivati s akterima u području kibersigurnosti u Europi, kao što je NATO, ako je to primjereno. To je osobito važno s obzirom na činjenicu da NATO možda ima kibersposobnosti koje ENISA nema i obrnuto. U okolnostima pojačanih kibernapada na države u cjelini ENISA radi sigurnosti Europe mora na međunarodnoj razini surađivati s međunarodnim organizacijama kao što je NATO.

Amandman 160



2. Država članica domaćin Agencije osigurava najbolje moguće uvjete za osiguravanje pravilnog funkcioniranja Agencije, uključujući dostupnost lokacije, postojanje odgovarajućih obrazovnih objekata za djecu članova osoblja, odgovarajući pristup tržištu rada, socijalno osiguranje i zdravstvenu zaštitu za djecu i supružnike.

2. Država članica domaćin Agencije osigurava najbolje moguće uvjete kako bi se osiguralo pravilno funkcioniranje Agencije, uključujući jedinstvenu lokaciju za cijelu Agenciju, postojanje odgovarajućih obrazovnih objekata za djecu članova osoblja, odgovarajući pristup tržištu rada, socijalno osiguranje i zdravstvenu zaštitu za djecu i supružnike.

Obrazloženje

Aktualna struktura Agencije čije je administrativno sjedište u Heraklionu, a operativno u Ateni, pokazala se neučinkovitom i skupom. Stoga bi svi zaposlenici ENISA-e trebali raditi u istom gradu. S obzirom na kriterije navedene u ovom stavku lokacija Agencije trebala bi biti u Ateni.

Amandman 161


PE619.373v03-00 80/229 RR\1160156HR.docx

HR


Europskim programom kibersigurnosne certifikacije potvrđuje se da su IKT proizvodi i usluge koji su certificirani u skladu s tim programom usklađeni s utvrđenim zahtjevima u pogledu njihove sposobnosti da se odupru, na određenoj razini jamstva, djelovanjima kojima se nastoji ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih ili poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude tim proizvodima, procesima, uslugama ili sustavima ili koje su preko njih dostupne.

Europskim programom kibersigurnosne certifikacije potvrđuje se da obuhvaćeni IKT proizvodi, procesi i usluge nemaju poznatih manjkavosti u vrijeme certificiranja i da su usklađeni s posebnim zahtjevima koji se mogu odnositi na europske ili međunarodne norme, tehničke specifikacije i IKT tehničke specifikacije u pogledu njihove sposobnosti da se za svoga životnog ciklusa odupru, na određenoj razini jamstva, djelovanjima kojima se nastoji ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih ili poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude tim proizvodima, procesima i uslugama i koje su preko njih dostupne, te da zadovoljavaju određene sigurnosne ciljeve.

Amandman 162

Prijedlog uredbeČlanak 44. – stavak -1. (novi)


-1. Komisija donosi delegirane akte u skladu s člankom 55.a, čime će se ova Uredba dopuniti uspostavom kliznog programa rada Unije za europske programe kibersigurnosne certifikacije. Tim delegiranim aktima utvrđuju se zajedničke aktivnosti koje je potrebno poduzeti na razini Unije te strateški prioriteti. Klizni program rada Unije posebno uključuje prioritetni popis IKT proizvoda, procesa i usluga koji su prikladni da budu predmet europskog programa kibersigurnosne certifikacije, kao i analizu toga postoji li jednakovrijedna razina kvalitete, znanja i stručnosti među tijelima za ocjenjivanje sukladnosti i nacionalnim tijelima za nadzor certifikacije te, po potrebi, prijedlog mjera kako se ta

RR\1160156HR.docx 81/229 PE619.373v03-00

HR

jednakovrijedna razina može postići.

Prvotni klizni program rada Unije utvrđuje se najkasnije [šest mjeseci nakon stupanja na snagu ove Uredbe] te se po potrebi ažurira i to svakako barem svake dvije godine nakon toga. Klizni program rada Unije javno je dostupan.

Prije donošenja ili ažuriranja kliznog programa rada Unije, Komisija se na otvoren, transparentan i uključiv način savjetuje sa skupinom država članica za certifikaciju, Agencijom i interesnom skupinom za certifikaciju.

Amandman 163

Prijedlog uredbeČlanak 44. – stavak -1.a (novi)


-1a. Kada za to postoji razlog, Komisija od Agencije može zatražiti izradu prijedloga europskog programa kibersigurnosne certifikacije. Zahtjev se temelji na kliznom programu rada Unije.

Amandman 164



1. Na temelju zahtjeva Komisije ENISA izrađuje prijedlog europskog programa kibersigurnosne certifikacije koji je u skladu sa zahtjevima iz članaka 45., 46. i 47. ove Uredbe. Države članice ili Europska skupina za kibersigurnosnu certifikaciju („Skupina”) uspostavljena u skladu s člankom 53. mogu Komisiji predložiti izradu prijedloga europskog programa kibersigurnosne certifikacije.

1. Zahtjev za prijedlog europskog programa kibersigurnosne certifikacije sadrži područje primjene, primjenjive sigurnosne ciljeve iz članka 45., primjenjive elemente iz članka 47. i rok do kojeg bi određeni prijedlog programa trebao stupiti na snagu. Pri izradi zahtjeva Komisija se može savjetovati s Agencijom, skupinom država članica za certifikaciju i interesnom skupinom za certifikaciju.

Amandman 165

PE619.373v03-00 82/229 RR\1160156HR.docx

HR



2. Pri izradi prijedloga programa iz stavka 1. ovog članka ENISA se savjetuje sa svim relevantnim dionicima i blisko surađuje sa Skupinom. Skupina pruža ENISA-i pomoć i stručne savjete koji su joj potrebni u vezi s izradom prijedloga programa, među ostalim davanjem mišljenja kada je potrebno.

2. Pri izradi prijedloga programa iz stavka -1. (Novi), Agencija se savjetuje sa svim relevantnim dionicima u okviru formalnog, otvorenog, transparentnog i uključivog postupka savjetovanja i blisko surađuje sa skupinom država članica za certifikaciju, interesnom skupinom za certifikaciju i ad hoc odborima u skladu s člankom 20.a ove Uredbe i europskim tijelima za normizaciju. Oni pružaju Agenciji pomoć i stručne savjete koji su joj potrebni u vezi s izradom prijedloga programa, među ostalim davanjem mišljenja kada je potrebno.

Amandman 166



3. ENISA dostavlja Komisiji prijedlog europskog programa kibersigurnosne certifikacije izrađenog u skladu sa stavkom 2. ovog članka.

3. Agencija dostavlja Komisiji prijedlog programa izrađenog u skladu sa stavcima 1. i 2. ovog članka.

Amandman 167



4. Komisija, na temelju prijedloga programa koji je izradila ENISA, može donositi provedbene akte, u skladu s člankom 55. stavkom 1., kojima su predviđeni europski programi kibersigurnosne certifikacije za IKT proizvode i usluge koji ispunjavaju zahtjeve iz članaka 45., 46. i 47. ove Uredbe.

4. Komisija, na temelju prijedloga programa koji je izradila Agencija, može donositi delegirane akte, u skladu s člankom 55.a kojim se dopunjuje ova Uredba predviđanjem europskih programa kibersigurnosne certifikacije za IKT proizvode, procese i usluge koji ispunjavaju zahtjeve iz članaka 45., 46. i 47. ove Uredbe.

RR\1160156HR.docx 83/229 PE619.373v03-00

HR

Amandman 168



5. ENISA održava posebno web-mjesto na kojem pruža informacije i promovira europske programe kibersigurnosne certifikacije.

5. Agencija održava posebno web-mjesto na kojem pruža informacije i promiče europske programe kibersigurnosne certifikacije, uključujući certifikate koji su povučeni ili im je istekao rok valjanosti te uključene nacionalne certifikate.

Kad europski program kibersigurnosne certifikacije udovoljava zahtjevima kojima nastoji poštovati odgovarajuće zakonodavstvo Unije o usklađivanju, Komisija u Službenom listu Europske unije ili pomoću drugih sredstava bez odlaganja objavljuje uputu na taj program certifikacije, u skladu s uvjetima koji su utvrđeni u odgovarajućem aktu zakonodavstva Unije o usklađivanju.

Amandman 169



5 a. Agencija preispituje donesene programe u skladu sa strukturom utvrđenom na temelju ove Uredbe na kraju njihove valjanosti u skladu s člankom 47. točkom (1.ac) ili na zahtjev Komisije, uzimajući u obzir povratne informacije dobivene od relevantnih dionika.

Amandman 170

Prijedlog uredbeČlanak 45. – stavak 1. – uvodni dio

PE619.373v03-00 84/229 RR\1160156HR.docx

HR


Europski program kibersigurnosne certifikacije izrađuje se tako da se njime uzimaju u obzir, prema potrebi, sljedeći sigurnosni ciljevi:

Europski program kibersigurnosne certifikacije izrađuje se tako da se njime uzimaju u obzir , prema potrebi, sigurnosni ciljevi kojima se jamči:

Amandman 171



(a) zaštititi pohranjene, poslane ili na drugačiji način obrađene podatke od slučajnog ili neovlaštenog pohranjivanja, obrade, pristupa ili objave;

(a) osigurati povjerljivost, cjelovitost, dostupnost i privatnost usluga, funkcija i podataka;

Amandman 172



(b) zaštititi pohranjene, poslane ili na drugačiji način obrađene podatke od slučajnog ili neovlaštenog uništavanja, slučajnog gubitka ili izmjene;

(b) da isključivo ovlaštene osobe i/ili ovlašteni sustavi i programi mogu pristupiti i koristiti se uslugama, funkcijama i podacima;

Amandman 173



(c) osigurati da ovlaštene osobe, programi ili strojevi mogu pristupiti isključivo podacima, uslugama ili funkcijama na koje se odnose njihova prava pristupa;

(c) da je uspostavljen postupak za identificiranje i dokumentiranje svih ovisnosti i poznatih slabosti IKT proizvoda, procesa i usluga;

Amandman 174

RR\1160156HR.docx 85/229 PE619.373v03-00

HR



(d) evidentirati koji su podaci, funkcije ili usluge priopćeni, kada i tko ih je priopćio;

(d) da IKT proizvodi, procesi i usluge ne sadrže poznate slabosti;

Amandman 175



(e) osigurati da je moguće provjeriti kojim se podacima, uslugama ili funkcijama pristupilo odnosno koji su podaci, usluge ili funkcije upotrijebljeni, kada i tko im je pristupio ili ih upotrijebio;

(e) da je uspostavljen postupak za rješavanje novootkrivenih slabosti IKT proizvoda, procesa i usluga;

Amandman 176

Prijedlog uredbeČlanak 45. – stavak 1. – točka f


(f) pravodobno osigurati ponovnu dostupnost podataka i pristup podacima, uslugama i funkcijama u slučaju fizičkog ili tehničkog incidenta;

(f) da su IKT proizvodi, procesi i usluge unaprijed i u načelu sigurni

Amandman 177



(g) osigurati da je softver za IKT proizvode i usluge ažuriran i da ne sadržava poznate ranjivosti i da ti IKT proizvodi u usluge raspolažu mehanizmima za sigurno ažuriranje softvera.

(g) da je softver za IKT proizvode i usluge ažuriran i da ne sadržava poznate ranjivosti i da ti IKT proizvodi i usluge raspolažu mehanizmima za sigurno ažuriranje softvera.

PE619.373v03-00 86/229 RR\1160156HR.docx

HR

Amandman 178



(g a) da su ostali rizici povezani s kibernetičkim incidentima, kao što su rizici za život, zdravlje, okoliš i drugi značajni pravni interesi svedeni na najmanju moguću mjeru.

Amandman 179



1. Europskim programom kibersigurnosne certifikacije može se utvrditi jedna od sljedećih razina jamstva ili više njih: osnovna, znatna i/ ili visoka za IKT proizvode i usluge certificirane u skladu s tim programom.

1. Europskim programom kibersigurnosne certifikacije može se utvrditi jedna od sljedećih razina jamstva utemeljenih na riziku ili više njih prema kontekstu i predviđenoj uporabi IKT proizvoda, procesa i usluga: osnovna, znatna i/ ili visoka za IKT proizvode, procese i usluge certificirane u skladu s tim programom.

Amandman 180



(a) osnovna razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava ograničeni stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha smanjiti rizik od kiberincidenata;

(a) Osnovna razina jamstva odgovara niskom riziku, u smislu kombinirane vjerojatnosti i štete, koji se odnosi na IKT proizvod, proces i uslugu, njihovu predviđenu uporabu i kontekst. Osnovna razina jamstva pruža sigurnost da se poznatim osnovnim kibernetičkim rizicima može odoljeti.

RR\1160156HR.docx 87/229 PE619.373v03-00

HR

Amandman 181



(b) znatna razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava znatan stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha znatno smanjiti rizik od kiberincidenata;

(b) Znatna razina jamstva odgovara većem riziku, u smislu kombinirane vjerojatnosti i štete, koji se odnosi na IKT proizvod, proces i uslugu. Znatna razina jamstva pruža sigurnost da se poznati osnovni kibernetički rizici mogu spriječiti te da je moguće odoljeti kibernetičkim napadima uz ograničena sredstva.

Amandman 182



(c) visoka razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava viši stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge nego certifikatima o znatnoj razini jamstva i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha spriječiti kiberincidente.

(c) Visoka razina jamstva odgovara visokom riziku u smislu štete koja se odnosi na IKT proizvod, proces i uslugu. Visoka razina jamstva pruža sigurnost da se kibernetički rizici mogu spriječiti te da je moguće odoljeti najnaprednijim kibernetičkim napadima uz ograničena sredstva.

Amandman 183



Članak 46.a

Evaluacija razine jamstva europskih programa kibersigurnosne certifikacije

PE619.373v03-00 88/229 RR\1160156HR.docx

HR

1. Za osnovnu razinu jamstva, proizvođač ili pružatelj IKT proizvoda, procesa ili usluga može provesti samoocjenu sukladnosti na svoju isključivu odgovornost.

2. Za znatnu razinu jamstva, evaluacija se provodi u najmanju ruku provjerom sukladnosti sigurnosnih funkcija proizvoda, procesa ili usluge s njihovom tehničkom dokumentacijom;

3. Za znatnu razinu jamstva, metodologija evaluacije temelji se barem na ispitivanju učinkovitosti kojim se procjenjuje otpornost sigurnosnih funkcija na napade izvedene uz pomoć znatnih resursa.

Amandman 184



(a) predmet i opseg certifikacije, uključujući vrstu ili kategorije obuhvaćenih IKT proizvoda i usluga;

(a) predmet i opseg certifikacije, uključujući vrstu ili kategorije obuhvaćenih IKT proizvoda, procesa i usluga;

Amandman 185



(a a) područje primjene i kibersigurnosni zahtjevi i, prema potrebi, to područje primjene i ti zahtjevi odražavaju zahtjeve nacionalnih kibersigurnosnih certifikacija koje zamjenjuju ili koji su predviđeni u pravnim aktima;

Amandman 186

Prijedlog uredbeČlanak 47. – stavak 1. – točka ab (nova)

RR\1160156HR.docx 89/229 PE619.373v03-00

HR


(a b) razdoblje valjanosti programa certifikacije;

Amandman 187



(b) iscrpnu specifikaciju kibersigurnosnih zahtjeva u odnosu na koje se određeni IKT proizvodi i usluge ocjenjuju, na primjer upućivanjem na norme Unije ili međunarodne norme ili tehničke specifikacije;

(b) iscrpnu specifikaciju kibersigurnosnih zahtjeva u odnosu na koje se određeni IKT proizvodi, procesi i usluge ocjenjuju, na primjer upućivanjem na europske ili međunarodne norme ili tehničke specifikacije ili IKT tehničke specifikacije, definiranu na način da se certifikat može ugraditi u proizvođačev postupak sustavne sigurnosti, koji se prati tijekom razvoja i životnog ciklusa dotičnog proizvoda ili usluge, ili se na njemu temeljiti;

Amandman 188



(b a) informacije o poznatim kibernetičkim prijetnjama koje nisu obuhvaćene certifikacijom i upute za njihovo rješavanje;

Amandman 189



(c) jednu ili više razina jamstva, ovisno o slučaju;

(c) jednu ili više razina jamstva, ovisno o slučaju, uzimajući u obzir, među ostalim, pristup temeljen na riziku;

PE619.373v03-00 90/229 RR\1160156HR.docx

HR

Amandman 190



(c a) naznaku je li samoocjena sukladnosti dopuštena u okviru programa te mjerodavni postupak za ocjenjivanje sukladnosti ili vlastitu izjavu o sukladnosti ili oboje;

Amandman 191



(d) posebne kriterije i metode ocjenjivanja, uključujući vrste ocjenjivanja, koji se upotrebljavaju za dokazivanje da su ostvareni posebni ciljevi iz članka 45.;

(d) posebne kriterije ocjenjivanja, vrste procjenjivanja sukladnosti i metode ocjenjivanja koji se upotrebljavaju za dokazivanje da su ostvareni posebni ciljevi iz članka 45.;

Amandman 192



(e) informacije koje podnositelj zahtjeva mora dostaviti tijelima za ocjenjivanje sukladnosti, a koje su nužne za certificiranje;

(e) informacije koje podnositelj zahtjeva mora dostaviti tijelima za ocjenjivanje sukladnosti, a koje su nužne za certificiranje;

Amandman 193



(f) ako su programom predviđeni oznake ili znakovi, uvjete pod kojim se te oznake ili znakovi mogu upotrebljavati;

(f) informacije o kibersigurnosti u skladu s člankom 47. ove Uredbe;

RR\1160156HR.docx 91/229 PE619.373v03-00

HR

Amandman 194



(g) ako je nadzor dio programa, pravila za praćenje sukladnosti sa zahtjevima iz certifikata, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima;

(g) pravila za praćenje sukladnosti sa zahtjevima iz certifikata, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima;

Amandman 195

Prijedlog uredbeČlanak 47. – stavak 1. – točka h


(h) uvjete za izdavanje, održavanje i produljenje certifikata te za proširenje ili smanjenje njegova opsega;

(h) uvjete za izdavanje, održavanje, obnovu, ocjenu i produljenje certifikata te za proširenje ili smanjenje njegova opsega i razdoblja valjanosti;

Amandman 196

Prijedlog uredbeČlanak 47. – stavak 1. – točka ha (nova)


(h a) pravila kojima je cilj rješavanje nedostataka do kojih može doći nakon izdavanja certifikata, i to uspostavom dinamičnog i kontinuiranog organizacijskog procesa u kojem sudjeluju i pružatelji i korisnici;

Amandman 197

Prijedlog uredbeČlanak 47. – stavak 1. – točka i


(i) pravila u vezi s posljedicama (i) pravila u vezi s posljedicama

PE619.373v03-00 92/229 RR\1160156HR.docx

HR

nesukladnosti certificiranih proizvoda i usluga IKT-a sa zahtjevima za certifikaciju;

nesukladnosti samoocijenjenih i certificiranih proizvoda i usluga IKT-a sa zahtjevima za certifikaciju;

Amandman 198

Prijedlog uredbeČlanak 47. – stavak 1. – točka j


(j) pravila o tome kako prijaviti prethodno neotkrivene kibersigurnosne ranjivosti IKT proizvoda i usluga i postupiti u slučaju njihova otkrivanja;

(j) pravila o tome kako prijaviti kibersigurnosne ranjivosti IKT proizvoda i usluga koje do tada još nisu bile javno poznate i postupiti u slučaju njihova otkrivanja;

Amandman 199

Prijedlog uredbeČlanak 47. – stavak 1. – točka l


(l) utvrđivanje nacionalnih programa kibersigurnosne certifikacije kojima je obuhvaćena ista vrsta ili iste kategorije IKT proizvoda i usluga;

(l) utvrđivanje nacionalnih ili međunarodnih programa kibersigurnosne certifikacije kojima je obuhvaćena ista vrsta ili iste kategorije IKT proizvoda, procesa i usluga, sigurnosnih zahtjeva te kriterija i metoda ocjenjivanja;

Amandman 200

Prijedlog uredbeČlanak 47. – stavak 1. – točka ma (nova)


(m a) uvjete za uzajamno priznavanje programa certifikacije s trećim zemljama.

Amandman 201


RR\1160156HR.docx 93/229 PE619.373v03-00

HR


1 a. Postupcima održavanja koji uključuju ažuriranja certifikacija se ne poništava, osim ako takva ažuriranja nemaju znatan negativan učinak na sigurnost IKT proizvoda, procesa i usluga.

Amandman 202



Članak 47.a

Informacije o kibersigurnosti za certificirane proizvode, procese i usluge

1. Proizvođač ili pružatelj IKT proizvoda, procesa i usluga obuhvaćenih programom certifikacije u skladu s ovom Uredbom krajnjem korisniku dostavlja dokument, u elektroničkom ili papirnatom obliku, koji sadržava barem sljedeće informacije: razinu jamstva certifikata koja se odnosi na predviđenu uporabu IKT proizvoda, procesa ili usluge; opis rizika kojima se moguće oduprijeti s obzirom na razinu povjerljivosti koja se pruža certifikacijom; preporuke o tome kako korisnici mogu dodatno pozitivno utjecati na kibersigurnost proizvoda, procesa ili usluge, redovitost ažuriranja i razdoblja potpore nakon ažuriranja; prema potrebi, informacije o tome kako korisnici mogu očuvati glavne značajke proizvoda, procesa ili usluge u slučaju napada.

2. Dokument iz stavka 1. ovog članka dostupan je tijekom čitavog životnog ciklusa proizvoda, procesa ili usluga do njihova diskontinuiteta s tržišta i tijekom razdoblja od najmanje pet godina.

3. Komisija donosi provedbene akte kojima se uspostavlja zajednički format za taj dokument. Komisija od Agencije može

PE619.373v03-00 94/229 RR\1160156HR.docx

HR

zatražiti da iznese prijedlog formata. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 55. ove Uredbe.

Amandman 203



1. Smatra se da su IKT proizvodi i usluge koji su certificirani u okviru europskog programa kibersigurnosne certifikacije donesenog u skladu s člankom 44. sukladni sa zahtjevima tog programa.

1. Smatra se da su IKT proizvodi, procesi i usluge koji su certificirani u okviru europskog programa kibersigurnosne certifikacije donesenog u skladu s člankom 44. sukladni sa zahtjevima tog programa.

Amandman 204



4. Odstupajući od stavka 3. u opravdanim se slučajevima u europskom kibersigurnosnom programu može predvidjeti da europski certifikat o kibersigurnosti u okviru tog programa može izdati samo javno tijelo. To javno tijelo može biti:

4. Odstupajući od stavka 3. i samo u opravdanim slučajevima, kao primjerice iz razloga nacionalne sigurnosti, europskim programom kibersigurnosne certifikacije može se predvidjeti da europski certifikat o kibersigurnosti u okviru tog programa može izdati samo javno tijelo. To javno tijelo jest tijelo koje je akreditirano kao tijelo za ocjenjivanje sukladnosti u skladu s člankom 51. stavkom 1. ove Uredbe. Pravna ili fizička osoba koja prijavi svoje IKT proizvode ili usluge za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije.

Amandman 205



RR\1160156HR.docx 95/229 PE619.373v03-00

HR

5. Pravna ili fizička osoba koja prijavi svoje IKT proizvode ili usluge za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije.

5. Pravna ili fizička osoba koja prijavi svoje IKT proizvode, usluge ili procese za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije, uključujući informacije o svim poznatim sigurnosnim slabostima. Informacije se mogu dostaviti bilo kojem tijelu za ocjenjivanje sukladnosti iz članka 51.

Amandman 206



6. Certifikati se izdaju na najviše tri godine i mogu se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi.

6. Certifikati se izdaju na najdulje razdoblje utvrđeno za svaki pojedinačni slučaj i za svaki program, uzimajući u obzir razuman životni vijek koji ni u kojem slučaju ne premašuje pet godina, i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi.

Obrazloženje

Ovime se omogućuje fleksibilnost prilagodbe razdoblja valjanosti predviđenoj uporabi.

Amandman 207



7. Europski certifikat o kibersigurnosti izdan u skladu s ovim člankom priznaje se u svim državama članicama.

7. Europski certifikat o kibersigurnosti izdan u skladu s ovim člankom priznaje se u svim državama članicama i smatra se da ispunjava lokalne kibersigurnosne zahtjeve u pogledu IKT proizvoda, procesa i potrošačkih elektroničkih uređaja na koje se taj certifikat odnosi, uzimajući u obzir navedenu razinu jamstva iz članka 46., te se te certifikate ne smije diskriminirati na temelju države

PE619.373v03-00 96/229 RR\1160156HR.docx

HR

članice podrijetla ili tijela za ocjenjivanje sukladnosti iz članka 51. koje je izdalo certifikat.

Obrazloženje

Kako bi se izbjegla fragmentacija u priznavanju i/ili sukladnosti programa kibersigurnosne certifikacije EU-a, u članku treba naglasiti da mjesto izdavanja certifikata ne smije biti razlog diskriminacije.

Amandman 208



Članak 48.a

Program certifikacije za operatore ključnih usluga

1. Kada se europski programi kibrsigurnosne certifikacije donesu u skladu sa stavkom 2. ovog članka, operatori ključnih usluga, kako bi zadovoljili sigurnosne zahtjeve iz članka 14. Direktive (EU) 2016/1148, koriste se proizvodima, procesima i uslugama obuhvaćenima tim programima certifikacije.

2. Do [godinu dana nakon stupanja na snagu ove Uredbe] Komisija, nakon savjetovanja sa skupinom za suradnju iz članka 11. Direktive (EU) 2016/1148, donosi delegirane akte u skladu s člankom 55.a kojima se ova Uredba dopunjuje popisom kategorija proizvoda, procesa i usluga koji ispunjavaju oba sljedeća kriterija:

(a) namijenjeni su korištenju od strane operatora ključnih usluga i

(b) njihovo neispravno djelovanje moglo bi imati znatan negativan učinak na pružanje ključne usluge.

3. Komisija donosi delegirane akte u skladu s člankom 55.a, čime se, po potrebi, izmjenjuje ova Uredba

RR\1160156HR.docx 97/229 PE619.373v03-00

HR

ažuriranjem popisa kategorija proizvoda, procesa i usluga iz stavka 3. ovog članka.

4. Komisija od Agencije zahtijeva izradu prijedloga europskih programa kibersigurnosti u skladu s člankom 44. stavkom -1. ove Uredbe za popis kategorija proizvoda, procesa i usluga iz stavaka 2. i 3. ovog članka čim se taj popis donese ili ažurira. Certifikatima koji se izdaju u skladu s takvim europskim programima kibersigurnosne certifikacije pruža se visoka razina jamstva.

Amandman 209

Prijedlog uredbeČlanak 48.b (novi)


Članak 48.b

Službeni prigovori na europske programe kibersigurnosne certifikacije

1. Ako država članica smatra da europski program kibersigurnosne certifikacije ne zadovoljava u potpunosti zahtjeve koje nastoji ispuniti i koji su utvrđeni u relevantnom zakonodavstvu Unije o usklađivanju, obavješćuje Komisiju i dostavlja detaljno objašnjenje. Komisija nakon savjetovanja s odborom osnovanim u skladu s relevantnim zakonodavstvom Unije o usklađivanju, ako je primjenjivo, ili nakon drugih oblika savjetovanja sa stručnjacima iz tog sektora donosi odluku:

(a) o objavljivanju, neobjavljivanju ili objavljivanju uz ograničenja uputa na dotični europski program kibersigurnosne certifikacije u Službenom listu Europske unije;

(b) o zadržavanju, zadržavanju uz ograničenja ili povlačenju uputa na dotični europski program kibersigurnosne certifikacije u Službenom listu Europske unije ili iz njega.

PE619.373v03-00 98/229 RR\1160156HR.docx

HR

2. Komisija na svojoj web-stranici objavljuje informacije o europskim programima kibersigurnosne certifikacije koji podliježu odluci iz stavka 1. ovog članka.

3. Komisija obavješćuje Agenciju o odluci iz stavka 1. ovog članka i, po potrebi, traži reviziju dotičnog europskog programa kibersigurnosne certifikacije.

4. Odluka iz stavka 1. točke (a) ovog članka donosi se u skladu sa savjetodavnim postupkom iz članka 55. stavka 2. ove Uredbe.

5. Odluka iz stavka 1. točke (b) ovog članka donosi se u skladu sa savjetodavnim postupkom iz članka 55. stavka 2.a (novi) ove Uredbe.

Amandman 210



1. Ne dovodeći u pitanje stavak 3., nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u provedbenom aktu donesenom u skladu s člankom 44. stavkom 4. Postojeći nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

1. Ne dovodeći u pitanje stavak 3., nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode, procese i usluge obuhvaćene europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u provedbenom aktu donesenom u skladu s člankom 44. stavkom 4. Postojeći nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode, procese i usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

Amandman 211


RR\1160156HR.docx 99/229 PE619.373v03-00

HR


2. Države članice ne uvode nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda i usluga obuhvaćenih europskim programom kibersigurnosne certifikacije koji je na snazi.

2. Države članice ne uvode nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda, procesa i usluga obuhvaćenih europskim programom kibersigurnosne certifikacije koji je na snazi.

Amandman 212



3 a. Države članice priopćuju Komisiji sve zahtjeve za izradu nacionalnih programa kibersigurnosne certifikacije i navode razloge za njihovo donošenje.

Amandman 213

Prijedlog uredbeČlanak 49. – stavak 3.b (novi)


3 b. Države članice na zahtjev dostavljaju drugim državama članicama, Agenciji ili Komisiji nacrt nacionalnih programa kibersigurnosne certifikacije barem u elektroničkom obliku.

Amandman 214

Prijedlog uredbeČlanak 49. – stavak 3.c (novi)


3 c. Ne dovodeći u pitanje Direktivu (EU) 2015/1535, države članice u roku od tri mjeseca propisno razmatraju svaku primjedbu koju zaprime od bilo koje druge države članice, Agencije ili Komisije u vezi s nacrtom iz stavka 3.b

PE619.373v03-00 100/229 RR\1160156HR.docx

HR

ovog članka i šalju svoj odgovor.

Amandman 215

Prijedlog uredbeČlanak 49. – stavak 3.d (novi)


3 d. Kada primjedbe primljene na temelju stavka 3. točke (c) ovog članka upućuju na to da bi nacrt nacionalnog programa kibersigurnosne certifikacije vjerojatno imao negativan utjecaj na pravilno funkcioniranje unutarnjeg tržišta, država članica primatelj savjetuje se i u najvećoj mogućoj mjeri uzima u obzir primjedbe Agencije i Komisije prije donošenja nacrta programa.

Amandman 216



5. Kako bi se Uredba mogla djelotvorno provoditi, ta tijela trebala bi na aktivan, djelotvoran, učinkovit i siguran način sudjelovati u Europskoj skupini za kibersigurnosnu certifikaciju uspostavljenu u skladu s člankom 53.

5. Kako bi se Uredba mogla djelotvorno provoditi, ta tijela trebala bi na aktivan, djelotvoran, učinkovit i siguran način sudjelovati u skupini država članica za certifikaciju uspostavljenu u skladu s člankom 53.

Amandman 217



(a) prate i izvršavaju primjenu odredaba iz ove glave na nacionalnoj razini i nadziru sukladnost certifikata koje su izdala tijela za ocjenjivanje sukladnosti osnovana na njihovu državnom području sa zahtjevima iz ove glave i odgovarajućeg europskog programa kibersigurnosne

(a) prate i izvršavaju primjenu odredaba iz ove glave na nacionalnoj razini i u skladu s pravilima koje je donijela Europska skupina za kibersigurnosnu certifikaciju na temelju članka 53. stavka 3. točke (da) nadziru sukladnost:

RR\1160156HR.docx 101/229 PE619.373v03-00

HR

certifikacije;

i) certifikata koje su izdala tijela za ocjenjivanje sukladnosti osnovana na njihovu državnom području sa zahtjevima iz ove glave i odgovarajućeg europskog programa kibersigurnosne certifikacije i

ii) vlastitih izjava o sukladnosti izdanih u sklopu programa za IKT proces, proizvod ili uslugu;

Amandman 218



(b) prate i nadziru aktivnosti tijela za ocjenjivanje sukladnosti za potrebe ove Uredbe, među ostalim i u pogledu obavijesti tijela za ocjenjivanje sukladnosti i povezanih zadaća iz članka 52. ove Uredbe;

(b) prate i nadziru te barem svake dvije godine ocjenjuju aktivnosti tijela za ocjenjivanje sukladnosti za potrebe ove Uredbe, među ostalim i u pogledu obavijesti tijela za ocjenjivanje sukladnosti i povezanih zadaća iz članka 52. ove Uredbe;

Amandman 219



(b a) provode revizije kako bi se zajamčilo da se u Uniji primjenjuju jednakovrijedne norme i dostavljaju rezultate Agenciji i Skupini;

Obrazloženje

Na ovaj se način osigurava da se u cijelom EU-u primjenjuje jednaka razine usluge i kvalitete te se doprinosi sprječavanju prakse traženja najpovoljnije certifikacije.

Amandman 220



PE619.373v03-00 102/229 RR\1160156HR.docx

HR

(c) obrađuju pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražuju predmet pritužbe i u razumnom roku obavješćuju podnositelja pritužbe o napretku i rezultatu istrage;

(c) obrađuju pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području ili u pogledu provedenih samoocjena sukladnosti, u prikladnoj mjeri istražuju predmet pritužbe i u razumnom roku obavješćuju podnositelja pritužbe o napretku i rezultatu istrage;

Amandman 221



(ca) izvješćuju Agenciju i Europsku skupinu za kibersigurnosnu certifikaciju o rezultatima provjera iz točke (a) i ocjenjivanja iz točke (b);

Amandman 222



(d) surađuju s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

(d) surađuju s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, kao što su nacionalna nadzorna tijela za zaštitu podataka, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda, procesa i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

Amandman 223



(d) surađuju s drugim nacionalnim (d) surađuju s drugim nacionalnim

RR\1160156HR.docx 103/229 PE619.373v03-00

HR

tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

tijelima za nadzor certifikacije ili s drugim javnim tijelima, kao što su nacionalna nadzorna tijela za zaštitu podataka, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima informatičke sigurnosne certifikacije;

Obrazloženje

Iz mišljenja Europskog nadzornika za zaštitu podataka.

Amandman 224



(c a) povući akreditaciju tijela za ocjenjivanje sukladnosti koja se ne pridržavaju ove Uredbe;

Amandman 225



(e) povući, u skladu s nacionalnim pravom, certifikate koji nisu u skladu s ovom Uredbom ili europskim programom kibersigurnosne certifikacije;

(e) povući, u skladu s nacionalnim pravom, certifikate koji nisu u skladu s ovom Uredbom ili europskim programom kibersigurnosne certifikacije i o tome obavijestiti nacionalna akreditacijska tijela;

Amandman 226



8. Nacionalna tijela za nadzor certifikacije surađuju međusobno i s Komisijom i, posebno, razmjenjuju informacije, iskustva i dobru praksu u

8. Nacionalna tijela za nadzor certifikacije surađuju međusobno i s Komisijom i, posebno, razmjenjuju informacije, iskustva i dobru praksu u

PE619.373v03-00 104/229 RR\1160156HR.docx

HR

području kibersigurnosne certifikacije i tehničkih pitanja povezanih s kibersigurnošću IKT proizvoda i usluga.

području kibersigurnosne certifikacije i tehničkih pitanja povezanih s kibersigurnošću IKT proizvoda, procesa i usluga.

Amandman 227



8a. Svako nacionalno tijelo za nadzor certifikacije i svaki član i osoblje svakog nacionalnog tijela za nadzor certifikacije podliježu, u skladu s pravom Unije ili pravom države članice, obvezi čuvanja profesionalne tajne i za vrijeme mandata i nakon njegova završetka, s obzirom na sve povjerljive informacije koje doznaju tijekom obavljanja svojih dužnosti ili izvršavanja svojih ovlasti.

Amandman 228



Članak 50.a

Stručna revizija

1. Nacionalna tijela za nadzor certifikacije podliježu istorazinskoj ocjeni, u organizaciji Agencije, u pogledu svih aktivnosti koje provode na temelju članka 50. ove Uredbe.

2. Uzajamno vrednovanje se provodi na temelju valjanih i jasnih kriterija i postupaka vrednovanja, a posebno što se tiče zahtjeva u pogledu strukture, ljudskih resursa i postupaka, povjerljivosti i pritužbi. Potrebno je predvidjeti odgovarajuće žalbene postupke s obzirom na odluke donesene kao rezultat takvog vrednovanja.

RR\1160156HR.docx 105/229 PE619.373v03-00

HR

3. Istorazinskom ocjenom obuhvaćeni su svi postupci koje provode nacionalna tijela za nadzor certifikacije, posebice postupci provjere sukladnosti certifikata, postupci za praćenje i nadzor aktivnosti tijela za ocjenjivanje sukladnosti, stručnosti osoblja, ispravnosti provjera i metodologije inspekcija, kao i točnosti rezultata. U okviru istorazinske ocjene također se ocjenjuje imaju li dotična nacionalna tijela za nadzor certifikacije dovoljno resursa za ispravno obavljanje svojih dužnosti kako je određeno člankom 50. stavkom 4.

4. Istorazinsku ocjenu nacionalnog tijela za nadzor certifikacije provode dva nacionalna tijela za nadzor certifikacije iz drugih država članica i Komisija te se ona provodi barem jednom svakih pet godina. Agencija može sudjelovati u istorazinskoj ocjeni i odlučuje o svom sudjelovanju na temelju analize procjene rizika.

5. Komisija u skladu s člankom 55.a ima ovlasti donositi delegirane akte, čime se ova Uredba dopunjuje donošenjem plana za istorazinsku ocjenu kojim se obuhvaća razdoblje od najmanje pet godina, definiraju kriteriji za sastav tima za istorazinsku ocjenu, metodologija koja se primjenjuje za istorazinsku ocjenu, raspored, učestalost i druge zadaće povezane s istorazinskom ocjenom. Pri donošenju tih delegiranih akata Komisija u obzir uzima napomene skupine država članica za certifikaciju.

6. Skupina država članica za certifikaciju ispituje ishod istorazinske ocjene. Agencija sastavlja sažetak rezultata te, kada je to potrebno, pruža smjernice i dokumente o najboljoj praksi te ih objavljuje.

Amandman 229


PE619.373v03-00 106/229 RR\1160156HR.docx

HR


1a. Za visoku razinu jamstva tijelo za ocjenjivanje sukladnosti mora, uz akreditaciju, biti prijavljeno od strane nacionalnog tijela za nadzor certifikacije u pogledu svoje nadležnosti i stručnosti za procjenu kibersigurnosti. Nacionalno tijelo za nadzor certifikacije provodi redovite provjere stručnosti i sposobnosti prijavljenih tijela za ocjenjivanje sukladnosti.

Obrazloženje

Za visoke razine jamstva potrebni su testovi djelotvornosti. Stručno znanje i sposobnosti tijela za ocjenjivanje sukladnosti koja provode testove djelotvornosti moraju se redovito provjeravati kako bi se posebno osigurala kvaliteta testova.

Amandman 230



2 a. Revizije se provode kako bi se u Uniji osigurala primjena jednakih normi, čiji se rezultati dostavljaju Agenciji i Skupini.

Amandman 231

Prijedlog uredbeČlanak 51. – stavak 2.b (novi)


2b. Ako proizvođači izaberu „vlastitu izjavu o sukladnosti” u skladu s člankom 48. stavkom 3., tijela za ocjenjivanje sukladnosti poduzet će dodatne korake kako bi provjerila interne postupke koje je proizvođač proveo da bi zajamčio sukladnost svojih proizvoda i/ili usluga sa zahtjevima europskog programa kibersigurnosne certifikacije.

Amandman 232

RR\1160156HR.docx 107/229 PE619.373v03-00

HR



5. Komisija može provedbenim aktima definirati okolnosti, formate i postupke prijava iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 55. stavka 2.

5. Komisija može delegiranim aktima definirati okolnosti, formate i postupke prijava iz stavka 1. ovog članka. Ti se delegirani akti donose u skladu s postupkom iz članka 55. stavka 2.

Amandman 233

Prijedlog uredbeČlanak 53. – naslov


Europska skupina za kibersigurnosnu certifikaciju

Skupina država članica za certifikaciju

(Ova izmjena primjenjuje se u cijelom zakonodavnom tekstu koji se razmatra; ako bude prihvaćena bit će potrebno unijeti tehničke promjene u cijelom tekstu.)

Amandman 234



1. Osniva se Europska skupina za kibersigurnosnu certifikaciju („Skupina”).

1. Osniva se Skupina država članica za certifikaciju.

Amandman 235



2. Skupina je sastavljena od nacionalnih tijela za nadzor certifikacije. Ta tijela predstavljaju njihovi čelnici ili

2. Skupina država članica za certifikaciju sastavljena je od nacionalnih tijela za nadzor certifikacije iz svake

PE619.373v03-00 108/229 RR\1160156HR.docx

HR

drugi predstavnici nacionalnih tijela za nadzor certifikacije na visokoj razini.

države članice. Ta tijela predstavljaju njihovi čelnici ili drugi predstavnici nacionalnih tijela za nadzor certifikacije na visokoj razini. Članovi Interesne skupine za certificiranje imaju pravo biti pozvani prisustvovati sastancima Skupine i sudjelovati u njezinu radu.

Amandman 236



3. Skupina ima sljedeće zadaće: 3. Skupina država članica za certifikaciju ima sljedeće zadaće:

Amandman 237



(b) pomagati ENISA-i, savjetovati je i surađivati s njome u pogledu izrade prijedloga programa u skladu s člankom 44. ove Uredbe;

(b) pomagati Agenciji, savjetovati je i surađivati s njome u pogledu izrade prijedloga programa u skladu s člankom 44. ove Uredbe;

Amandman 238

Prijedlog uredbeČlanak 53. – stavak 3. – točka da (nova)


(d a) donijeti preporuke kojima se utvrđuju učestalost provjera certifikata i samoocjena sukladnosti koje provode nacionalna tijela za nadzor certifikacije te kriteriji, razmjer i opseg tih provjera i donijeti zajednička pravila i standarde za izvješćivanje u skladu s člankom 50. stavkom 6.

Amandman 239

RR\1160156HR.docx 109/229 PE619.373v03-00

HR



(e) analizirati relevantne promjene u području kibersigurnosne certifikacije i razmjenjivati dobru praksu o programima kibersigurnosne certifikacije;

(e) analizirati relevantne promjene u području kibersigurnosne certifikacije i razmjenjivati informacije i dobru praksu o programima kibersigurnosne certifikacije;

Amandman 240

Prijedlog uredbeČlanak 53. – stavak 3. – točka fa (nova)


(f a) olakšati usklađivanje europskih programa kibersigurnosti s međunarodno priznatim standardima, uključujući preispitivanjem postojećih europskih programa kibersigurnosti te, po potrebi, davanjem preporuka Agenciji u pogledu suradnje s relevantnim međunarodnim organizacijama za normizaciju kako bi se riješili nedostaci ili manjkavosti u dostupnim međunarodno priznatim normama;

Amandman 241

Prijedlog uredbeČlanak 53. – stavak 3. – točka fb (nova)


(f b) uspostaviti postupak stručne revizije. Taj proces posebno uzima u obzir potrebnu tehničku stručnost nacionalnih tijela za nadzor certifikacije u ispunjavanju njihovih zadaća, kako je navedeno u člancima 48. i 50., i po potrebi obuhvaća izradu smjernica i dokumenata o najboljim praksama kako bi se poboljšala sukladnost nacionalnih tijela za nadzor certifikacije s ovom Uredbom;

PE619.373v03-00 110/229 RR\1160156HR.docx

HR

Amandman 242

Prijedlog uredbeČlanak 53. – stavak 3. – točka fc (nova)


(f c) nadzirati praćenje i održavanje certifikata;

Amandman 243

Prijedlog uredbeČlanak 53. – stavak 3. – točka fd (nova)


(f d) uzimati u obzir rezultate savjetovanja s dionicima provedenih tijekom pripreme prijedloga programa, u skladu s člankom 44.

Amandman 244



4. Skupinom predsjeda Komisija i osigurava joj tajništvo uz pomoć ENISA-e, kako je predviđeno u članku 8. točki (a).

4. Skupinom država članica za certifikaciju predsjeda Komisija i osigurava joj tajništvo uz pomoć Agencije, kako je predviđeno u članku 8. točki (a).

Amandman 245



Članak 53.a

Pravo na učinkovit pravni lijek protiv nadzornog tijela ili tijela za ocjenjivanje

sukladnosti

1. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, svaka fizička ili pravna osoba ima pravo

RR\1160156HR.docx 111/229 PE619.373v03-00

HR

na učinkovit pravni lijek:

(a) protiv odluke tijela za ocjenjivanje sukladnosti ili nacionalnog tijela za nadzor certifikacije koja se odnosi na tu osobu, među ostalim, ako je primjenjivo, u pogledu izdavanja, neizdavanja ili priznavanja europskog kibersigurnosnog certifikata koji ta osoba posjeduje; i

(b) u slučaju kada nacionalno tijelo za nadzor certifikacije ne riješi pritužbu za koju je nadležno.

2. Postupak protiv tijela za ocjenjivanje sukladnosti ili nacionalnog tijela za nadzor certifikacije vodi se pred sudovima države članice u kojoj tijelo za ocjenjivanje sukladnosti ili nacionalno tijelo za nadzor certifikacije ima poslovni nastan.

Amandman 246



2 a. U slučaju upućivanja na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Amandman 247



Članak 55.a

Izvršavanje delegiranja ovlasti

1. Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

2. Ovlast za donošenje delegiranih akata iz članaka 44. i 48.a dodjeljuje se Komisiji na neodređeno razdoblje počevši od ... (datum stupanja na snagu temeljnog

PE619.373v03-00 112/229 RR\1160156HR.docx

HR

zakonodavnog akta).

3. Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članaka 44. i 48.a. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4. Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima propisanima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5. Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6. Delegirani akt donesen na temelju članka 44. stavka 48.a stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za [dva mjeseca] na inicijativu Europskog parlamenta ili Vijeća.

Amandman 248



1. Najkasnije pet godina od datuma iz članka 58. i svakih pet godina nakon toga Komisija ocjenjuje učinak, djelotvornost i učinkovitost Agencije i njezina načina rada kao i moguću potrebu za izmjenom mandata Agencije te financijske posljedice takve izmjene. Ocjenom iz stavka 1.

1. Najkasnije dvije godine od datuma iz članka 58. i svake dvije godine nakon toga Komisija ocjenjuje učinak, djelotvornost i učinkovitost Agencije i njezina načina rada kao i moguću potrebu za izmjenom mandata Agencije te financijske posljedice takve izmjene.

RR\1160156HR.docx 113/229 PE619.373v03-00

HR

uzimaju se u obzir sve povratne informacije pružene Agenciji kao odgovor na njezine aktivnosti. Ako Komisija smatra da daljnje postojanje Agencije više nije opravdano s obzirom na ciljeve, mandat i zadaće koji su joj dodijeljeni, ona može predložiti izmjenu odredaba ove Uredbe koje se odnose na Agenciju.

Ocjenom iz stavka 1. uzimaju se u obzir sve povratne informacije pružene Agenciji kao odgovor na njezine aktivnosti. Ako Komisija smatra da daljnje postojanje Agencije više nije opravdano s obzirom na ciljeve, mandat i zadaće koji su joj dodijeljeni, ona može predložiti izmjenu odredaba ove Uredbe koje se odnose na Agenciju.

Amandman 249



2. Ocjenjivanjem se ocjenjuje i učinak, djelotvornost i učinkovitost odredaba iz glave III. u pogledu ciljeva osiguranja prikladne razine kibersigurnosti IKT proizvoda i usluga u Uniji i poboljšanja funkcioniranja unutarnjeg tržišta.

2. Ocjenjivanjem se ocjenjuje i učinak, djelotvornost i učinkovitost odredaba iz glave III. u pogledu ciljeva osiguranja prikladne razine kibersigurnosti IKT proizvoda, procesa i usluga u Uniji i poboljšanja funkcioniranja unutarnjeg tržišta.

Amandman 250



2 a. Evaluacijom se ocjenjuje jesu li ključni zahtjevi kibersigurnosti za pristup unutarnjem tržištu potrebni kako bi se spriječilo da proizvodi, usluge i postupci koji ne ispunjavaju temeljne zahtjeve u pogledu kibersigurnosti uđu na tržište Unije.

Amandman 251

Prijedlog uredbePrilog -I.(novi)


PRILOG -I.

PE619.373v03-00 114/229 RR\1160156HR.docx

HR

Nakon uspostave okvira EU-a za kibersigurnosnu certifikaciju vrlo je vjerojatno da će se pozornost usmjeriti na područja koja su od neposrednog interesa kako bi se odgovorilo na izazov koji predstavljaju nove tehnologije. Područje interneta stvari od posebnog je interesa jer obuhvaća i zahtjeve u pogledu potrošača i u pogledu industrije. Predlaže se sljedeća lista prioriteta za uključivanje u okvir certifikacije:

(1) Certifikacija usluga u oblaku.

(2) Certifikacija uređaja povezanih internetom stvari, uključujući:

a. uređaje na razini pojedinca, kao što su pametni nosivi uređaji;

b. uređaje na razini zajednice, kao što su pametni automobili, pametne kuće, zdravstveni uređaji;

c. uređaje na razini društva, kao što su pametni gradovi i pametne mreže.

(3) Industrija 4.0 koja obuhvaća inteligentne, međusobno povezane kiberfizičke sustave koji automatiziraju sve faze industrijskih aktivnosti, od dizajniranja i proizvodnje do rada, lanca opskrbe i održavanja.

(4) Certifikacija tehnologija i proizvoda koji se koriste u svakodnevnom životu. Primjer su toga mrežni uređaji, kao što su kućni usmjernici za internet.

Amandman 252

Prijedlog uredbePrilog I. – stavak 1. – točka 5.a (nova)


5a. Ako je tijelo za ocjenjivanje sukladnosti u vlasništvu ili pod upravljanjem javnog subjekta ili institucije, neovisnost i nepostojanje sukoba interesa osigurava se i dokumentira između, s jedne strane, tijela za nadzor certifikacije i, s druge strane,

RR\1160156HR.docx 115/229 PE619.373v03-00

HR

tijela za ocjenjivanje sukladnosti.

Amandman 253

Prijedlog uredbePrilog I. – stavak 1. – točka 8.


8. Tijelo za ocjenjivanje sukladnosti u stanju je obavljati sve zadaće ocjenjivanja sukladnosti koje su mu dodijeljene u skladu s ovom Uredbom, bez obzira na to obavlja li te zadaće samo ili se obavljaju u njegovo ime i pod njegovom odgovornošću.

8. Tijelo za ocjenjivanje sukladnosti u stanju je obavljati sve zadaće ocjenjivanja sukladnosti koje su mu dodijeljene u skladu s ovom Uredbom, bez obzira na to obavlja li te zadaće samo ili se obavljaju u njegovo ime i pod njegovom odgovornošću. Svako podugovaranje ili savjetovanje s vanjskim osobljem uredno se dokumentira, ne uključuje nikakve posrednike, i predmetom je pisanog sporazuma kojim su obuhvaćeni, među ostalim, povjerljivost i sukobi interesa. Dotično tijelo za ocjenjivanje sukladnosti preuzima punu odgovornost za zadaće koje obavlja.

Amandman 254



12. Nepristranost tijela za ocjenjivanje sukladnosti, njihovog visokog rukovodstva i osoblja zaduženih za ocjenjivanje mora biti zajamčena.

12. Nepristranost tijela za ocjenjivanje sukladnosti, njihovog visokog rukovodstva i osoblja i podugovaratelja zaduženih za ocjenjivanje mora biti zajamčena.

Amandman 255



15. Osoblje tijela za ocjenjivanje sukladnosti čuva poslovnu tajnu koja se odnosi na sve informacije prikupljene pri obavljanju zadaća u skladu s ovom Uredbom ili na temelju bilo koje odredbe

15. Tijelo za ocjenjivanje sukladnosti i njegovo osoblje, odbori, ovisni subjekti, podugovoratelji i sva povezana tijela ili osoblje vanjskih tijela postupaju u skladu s načelima povjerljivosti i čuvaju poslovnu

PE619.373v03-00 116/229 RR\1160156HR.docx

HR

nacionalnoga prava kojom se ona provodi, osim kad ih zahtijeva nadležno tijelo države članice u kojoj se provode njegove aktivnosti.

tajnu koja se odnosi na sve informacije prikupljene pri obavljanju zadaća u skladu s ovom Uredbom ili na temelju bilo koje odredbe nacionalnoga prava kojom se ona provodi, osim u slučajevima kada se otkrivanje informacija zahtijeva zakonodavstvom Unije ili države članice koje je mjerodavno za te osobe, osim u pogledu nadležnih tijela država članica u kojoj se provode njegove aktivnosti. Vlasnička su prava zaštićena. Tijelo za ocjenjivanje sukladnosti ima uspostavljene dokumentirane postupke u pogledu zahtjeva iz odjeljka 15.

Amandman 256

Prijedlog uredbePrilog I. – stavak 1. – točka 15.a (nova)


15a. Uz iznimku odjeljka 15., zahtjevi iz ovog Priloga ni na koji način ne isključuju razmjenu tehničkih informacija i regulatornih smjernica između tijela za ocjenjivanje sukladnosti i osobe koje podnose zahtjev za certifikaciju ili razmatraju mogućnost podnošenja zahtjeva.

Amandman 257

Prijedlog uredbePrilog I. – stavak 1. – točka 15.b (nova)


15b. Tijela za ocjenjivanje sukladnosti djeluju u skladu s nizom dosljednih, pravednih i razumnih uvjeta, uzimajući u obzir interese malih i srednjih poduzeća, kako su definirana u Preporuci 2003/361/EZ, u pogledu naknada.

RR\1160156HR.docx 117/229 PE619.373v03-00

HR

OBRAZLOŽENJE

Činjenica je da je globalna digitalna revolucija sve snažnija i da se širi na naša gospodarstva, društva i države, zbog čega su svi naši podaci ugroženi. Potrošači, industrije, institucije i demokracije na lokalnoj, nacionalnoj, europskoj i globalnoj razini žrtve su kibernapada, kiberšpijunaže i kibersabotaže, a svi smo svjesni toga da će se narednih godina to još više intenzivirati.

Milijarde uređaja spojene su na internet i međusobno djeluju na novim razinama i u novom opsegu. Ti uređaji i povezane usluge mogu poboljšati život građana i naša gospodarstva. Međutim, građani i organizacije u potpunosti će biti ili postati dio digitalnog svijeta samo ako imaju povjerenja u digitalne tehnologije. Zbog toga uređaji, procesi i usluge koji su povezani internetom stvari moraju biti sigurni.

Kako bi se postigli ti ciljevi, Komisija je predložila „Akt o kibersigurnosti”. Ova je Uredba važan dio i alat nove strategije Europske unije o kibersigurnosti, čiji je cilj pružiti Europi dugoročnu viziju kibersigurnosti i osigurati povjerenje u digitalne tehnologije. Potrebno ju je razmatrati u kontekstu zakonodavstva koje je već na snazi: EU je već osnovao Agenciju Europske unije za mrežnu i informacijsku sigurnost (ENISA) i donio Direktivu o mrežnoj i informacijskoj sigurnosti (Direktiva NIS), koju države članice trenutačno prenose u svoja zakonodavstva.

Akt o kibersigurnosti sastoji se od dva dijela: u prvom su dijelu određeni uloga i mandat ENISA-e s ciljem jačanja Agencije. U drugom se dijelu europski program kibersigurnosne certifikacije uvodi kao oblik dobrovoljnog okvira za poboljšanje sigurnosti povezanih uređaja, digitalnih proizvoda i usluga.

Općenito govoreći izvjestiteljica pozdravlja prijedlog Komisije o europskom aktu o kibersigurnosti jer je on ključan za maksimalno smanjenje rizika i prijetnji za informacijsku sigurnost i mrežne sustave te za izgradnju povjerenja u IT rješenja kod potrošača, posebno u pogledu interneta stvari. Izvjestiteljica čvrsto vjeruje da Europa može postati predvodnica u području kibersigurnosti. Europa ima jaku industrijsku bazu te je stoga rad na poboljšanju kibersigurnosti u pogledu potrošačke robe, industrijske primjene i ključne infrastrukture u interesu i potrošača i industrije.

Prijedlog Komisije trebalo bi izmijeniti i to dio o ENISA-i i dio o certificiranju:

kad je riječ o ENISA-i, izvjestiteljica vjeruje da je ključno uspostaviti pravi okvir ako želimo imati snažnu i funkcionalnu Agenciju. Izvjestiteljica pozdravlja važniju ulogu ENISA-e, koja obuhvaća trajni mandat i povećanje njezina proračuna i broja zaposlenika, no potreban je realističan pristup s obzirom na to da je u usporedbi s brojem zaposlenih u nekim nacionalnim tijelima za nadzor certifikacije u ENISA-i i dalje zaposlen mali broj stručnjaka. Zadatak ENISA-e i dalje bi trebala biti organizacija operativne suradnje, uzimajući u obzir stručno znanje stečeno u okviru Direktive NIS, podupiranje izgradnje kapaciteta u državama članicama i pružanje informacija. Nadalje, ENISA treba imati jaku ulogu u uspostavi europskih programa kibersigurnosne certifikacije zajedno s državama članicama i relevantnim dionicima.

PE619.373v03-00 118/229 RR\1160156HR.docx

HR

Kad je riječ o certificiranju, izvjestiteljica se zalaže za jasnije područje primjene Prijedloga. Kao prvo, ovom Uredbom trebali bi biti obuhvaćeni ne samo proizvodi i usluge, već čitav životni ciklus. Stoga u područje primjene treba uključiti i procese. Međutim, trebalo bi jasno isključiti područja nadležnosti država članica, odnosno područja javne sigurnosti, obrane, nacionalne sigurnosti i kaznenog prava.

U pogledu europskog programa kibersigurnosne certifikacije izvjestiteljica predlaže da se detaljnije precizira pristup utemeljen na riziku, a ne univerzalan program certifikacije. Nadalje, izvjestiteljica se zalaže za dobrovoljan sustav, ali samo za osnovnu i znatnu razinu jamstva. Za proizvode, procese ili usluge koje potpadaju pod najveću razinu jamstva izvjestiteljica smatra da je primjereniji obvezan program. Kad je riječ o evaluaciji digitalnih tehnologija koje potpadaju pod osnovnu razinu jamstva, izvjestiteljica predlaže povezivanje s pristupom iz novog zakonodavnog okvira. Time će se omogućiti samoocjena, jeftiniji i manje opterećujući sustav za koji se pokazalo da dobro funkcionira u različitim specifičnim područjima.

Izvjestiteljica smatra da bi proizvođač ili pružatelj IKT proizvoda, procesa i usluga trebao imati obvezu izdavanja deklaracije proizvoda sa strukturiranim informacija o certifikaciji, u kojoj bi na primjer bila navedena dostupnost ažuriranja ili interoperabilnost certificiranih proizvoda, procesa ili usluge. Na taj bi način potrošač prilikom odabira uređaja raspolagao korisnim informacijama. Izvjestiteljica daje prednost deklaraciji proizvoda u odnosu na etiketu ili oznaku koje bi mogle zavarati potrošače.

Čvrsto vjeruje da je strukturu upravljanja kako ju je predložila Komisija potrebno poboljšati da bi bila transparentnija za sve uključene dionike. Izvjestiteljica stoga predlaže da se usvoji višegodišnji program rada Unije u kojem će se utvrditi zajedničke mjere koje je potrebno provesti na razini Unije i u kojem će biti navedena područja za koja bi prvo trebalo uvesti europske programe certifikacije te razina ekvivalentnosti znanja i stručnosti tijela za ocjenjivanje i nadzor u državama članicama. Čvršće upravljanje također podrazumijeva veću uključenost država članica i industrije u postupku certifikacije: uloga država članica može se ojačati kad Skupina, osnovana u skladu s člankom 53. Prijedloga i koja se sastoji od nacionalnih tijela za nadzor certifikacije, bude na istoj razini kao i Komisija prilikom pripreme programa certifikacije. Skupina će također morati odobriti prijedlog europskog programa. Trebalo bi isto tako ojačati sudjelovanje industrije u postupku certifikacije. To se može postići tako što će se pojasniti sastav Stalne interesne skupine i tako što će ENISA osnivati ad hoc savjetodavne skupine kako bi dobila daljnje stručno znanje i iskustvo iz industrijskog sektora i od relevantnih dionika u okviru postupka certifikacije. Izvjestiteljica vjeruje da će te mjere pomoći MSP-ovima da u tom postupku sudjeluju u većoj mjeri.

Najzad, europskom sustavu certificiranja prilikom razvoja novih programa potrebno je veće sudjelovanje europskih organizacija za normizaciju kao što su CEN i CENELEC. Time bi se omogućilo da postojeće i globalno prihvaćene međunarodne norme prevladaju.

RR\1160156HR.docx 119/229 PE619.373v03-00

HR

22.5.2018

MIŠLJENJE ODBORA ZA UNUTARNJE TRŽIŠTE I ZAŠTITU POTROŠAČA

upućeno Odboru za industriju, istraživanje i energetiku

o Prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”) (COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Izvjestitelj za mišljenje: (*) Nicola Danti

(*) Pridruženi odbor – članak 54. Poslovnika

KRATKO OBRAZLOŽENJE

U digitalnom dobu kibersigurnost je ključan element za gospodarsku konkurentnost i sigurnost Europske unije te za integritet naših slobodnih i demokratskih društava i procesa na kojima se temelje. Zajamčena visoka razina kiberotpornosti diljem EU-a iznimno je važna za postizanje povjerenja potrošača u jedinstveno digitalno tržište i za daljnji razvoj inovativnije i konkurentnije Europe.

Nema sumnje u to da su kiberprijetnje i globalni kibernapadi – kao što su „Wannacry” i „Meltdown” – pitanja od sve veće važnosti u našem u sve većoj mjeri digitaliziranom društvu. Prema ispitivanju Eurobarometra objavljenom u srpnju 2017., 87 % ispitanika smatra kiberkriminalitet „važnim izazovom za unutarnju sigurnost EU-a”, a većina njih „zabrinuta je da su žrtve raznih oblika kiberkriminaliteta”. Štoviše, od početka 2016. svaki dan diljem svijeta dogodilo se više od 4 000 napada ucjenjivačkim softverima, uz povećanje od 300 % od 2015. i s učinkom na 80 % trgovačkih društava iz EU-a. Ove činjenice i saznanja jasno ukazuju na potrebu da EU bude otporniji i učinkovitiji u borbi protiv kibernapada te da poveća svoje sposobnosti kako bi bolje zaštitio građane Europe, poduzeća i javne institucije.

Godinu dana nakon stupanja na snagu Direktive NIS Europska je komisija u širem okviru strategije EU-a za kibersigurnost predstavila uredbu kojoj je cilj dodatno povećanje otpornosti, odvraćanja i obrane EU-a u području kibersigurnosti. Dana 13. rujna 2017. Komisija je predstavila „Akt o kibersigurnosti” na osnovi dvaju stupova, kako slijedi: 1. trajan i snažniji mandat za Agenciju Europske unije za mrežnu i informacijsku sigurnost (ENISA) kako bi se pomoglo državama članicama u učinkovitom sprječavanju kibernapada i odgovoru na njih i 2. uspostava okvira EU-a za kibersigurnosnu certifikaciju kako bi se zajamčilo da su IKT proizvodi i usluge kibersigurni.

Općenito, izvjestitelj pozdravlja pristup koji predlaže Europska komisija i osobito

PE619.373v03-00 120/229 RR\1160156HR.docx

HR

podržava uvođenje programa kibersigurnosne certifikacije na razini EU-a, kojima je cilj jačanje sigurnosti IKT proizvoda i usluga i izbjegavanje skupe rascjepkanosti jedinstvenog tržišta u tom ključnom području. Iako bi to prvenstveno trebalo ostati dobrovoljan alat, izvjestitelj se nada da će okvir EU-a za kibersigurnosnu certifikaciju i srodni postupci postati nužan alat za jačanje povjerenja naših građana i korisnika te povećanje sigurnosti proizvoda i usluga koji se kreću na jedinstvenom tržištu.

Dakako, također je uvjeren da niz stavki prijedloga treba razjasniti i poboljšati: Prije svega, više uključiti relevantne dionike u različite faze sustava upravljanja

za pripremu ENISA-inih prijedloga programa kibersigurnosne certifikacije: prema mišljenju izvjestitelja, nužno je formalno uključiti najrelevantnije dionike kao što su industrije IKT-a, organizacije potrošača, MSP-ovi, normizacijska tijela EU-a i sektorske agencije EU-a itd. i dati im mogućnost da podnose nove prijedloge programa, savjetuju ENISA-u svojim stručnim znanjem ili surađuju s ENISA-om u pripremi prijedloga programa.

Kao drugo, postoji potreba za jačanjem koordinacijske uloge Europske skupine za kibersigurnosnu certifikaciju (sastavljene od nacionalnih tijela i s podrškom Komisije i ENISA-e) dodatnim zadacima da pruža strateško vođenje i uspostavi program rada za zajedničko djelovanje koje treba poduzeti na razini Unije u području certifikacije te da uspostavi i periodički ažurira prioritetni popis IKT proizvoda i usluga za koje smatra da im je potreban europski program kibersigurnosne certifikacije.

Izvjestitelj čvrsto vjeruje da bismo trebali izbjegavati praksu traženja najpovoljnije certifikacije EU-a („shopping”), što se već dogodilo u drugim sektorima. Potrebno je izrazito ojačati odredbe za praćenje i nadzor koje se odnose na ENISA-u i nacionalna tijela za nadzor certifikacije kako bi se zajamčilo da europski certifikat izdan u jednoj državi članici ima iste standarde i zahtjeve kao i certifikat izdan u drugoj državi članici. Stoga predlaže:

1. jačanje nadzornih ovlasti ENISA-e: ENISA bi trebala zajedno sa Skupinom za certifikaciju ocijeniti postupke koje su uspostavila tijela odgovorna za izdavanje certifikata EU-a;2. da nacionalna tijela za nadzor certifikacije provode periodička ocjenjivanja (barem svake dvije godine) certifikata EU-a koje su izdala tijela za ocjenjivanje sukladnosti; 3. uvođenje zajedničkih obvezujućih kriterija koje će definirati Skupina kako bi se postavili razmjer, opseg i učestalost ocjenjivanja iz točke 2. koja će provoditi nacionalna tijela za nadzor certifikacije.

Izvjestitelj smatra da bi trebalo uvesti obveznu oznaku povjerenja EU-a za certificirane IKT proizvode i usluge koji su namijenjeni krajnjim korisnicima. Ta bi oznaka pomogla u podizanju razine osviještenosti, a trgovačkim društvima s dobrim kibersigurnosnim certifikatima povećala bi konkurentnost.

Izvjestitelj se slaže s jedinstvenim i usklađenim pristupom Komisije, ali stajališta je da bi trebao biti fleksibilniji i prilagodljiviji posebnim značajkama i slabostima svakog proizvoda i usluge umjesto primjene načela jedinstvenog pristupa. Stoga izvjestitelj smatra da je potrebno preimenovati razine jamstva i primjenjivati ih uzimajući u

RR\1160156HR.docx 121/229 PE619.373v03-00

HR

obzir i planiranu namjenu IKT proizvoda i usluga. Isto tako, trajanje valjanosti certifikata trebalo bi se definirati na osnovi pojedinačnog programa.

Svaki program certifikacije trebao bi biti osmišljen tako da stimulira i potiče sve dionike uključene u predmetni sektor da razvijaju i usvajaju sigurnosne standarde, tehničke norme i načela integrirane sigurnosti i integrirane privatnosti u svim fazama životnog vijeka proizvoda ili usluge.

PE619.373v03-00 122/229 RR\1160156HR.docx

HR

AMANDMANI

Odbor za unutarnje tržište i zaštitu potrošača poziva Odbor za industriju, istraživanje i energiju da kao nadležni odbor uzme u obzir sljedeće amandmane:

Amandman 1



(1) Mrežni i informacijski sustavi i telekomunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Informacijska i komunikacijska tehnologija podupire složene sustave kojima se podupiru društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

(1) Mrežni i informacijski sustavi i telekomunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Informacijska i komunikacijska tehnologija (IKT) podupire složene sustave kojima se podupiru svakodnevne društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

Amandman 2



(2) Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe

(2) Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost ne ugrađuju se dostatno kao standardni element, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe

RR\1160156HR.docx 123/229 PE619.373v03-00

HR

certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja.

certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja koje je nužno za uspostavu jedinstvenog digitalnog tržišta.

Amandman 3



(3) Rast digitalizacije i povezivosti donose veće kibersigurnosne rizike zbog čega je društvo u cjelini osjetljivije na prijetnje kibersigurnosti, a građani se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Kako bi se ublažio taj rizik za društvo, treba poduzeti sve nužne mjere za poboljšanje kibersigurnosti u EU-u u cilju bolje zaštite mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, vlade i poduzeća, od MSP-ova do operatora ključnih infrastruktura, od kiberprijetnji.

(3) Rast digitalizacije i povezivosti donose znatno veće kibersigurnosne rizike zbog čega je društvo u cjelini osjetljivije na prijetnje kibersigurnosti, a građani se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Transformativnu moć umjetne inteligencije i strojnog učenja iskoristit će cijelo društvo, ali i kiberkriminalci. Kako bi se ublažili ti rizici za društvo, treba poduzeti sve nužne mjere za poboljšanje zaštite od kibernapada u EU-u u cilju bolje zaštite mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, vlade i poduzeća, od MSP-ova do operatora ključnih infrastruktura, od kiberprijetnji.

Amandman 4



(4) Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi

(4) Kibernapadi su sve češći te je potrebna snažnija i sigurnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki

PE619.373v03-00 124/229 RR\1160156HR.docx

HR

uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Amandman 5



(5) Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacija u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granica, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, povjerenje u jedinstveno digitalno tržište trebalo bi dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za

(5) Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacije u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granice, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, s obzirom na to da kiberincidenti narušavaju povjerenje u pružatelje digitalnih usluga i jedinstveno digitalno tržište kao takvo, osobito među potrošačima, povjerenje bi trebalo dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT

RR\1160156HR.docx 125/229 PE619.373v03-00

HR

ocjenjivanje na svim nacionalnim tržištima i u svim sektorima.

proizvoda i usluga. To se može olakšati standardiziranim certificiranjem na razini EU-a, koje se temelji na europskim ili međunarodnim normama i kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima. Osim certifikacije na razini cijele Unije postoji niz dobrovoljnih mjera koje sâm privatni sektor treba poduzeti za jačanje povjerenja u sigurnost IKT proizvoda i usluga, osobito u pogledu sve veće dostupnosti povezanih digitalnih uređaja. Na primjer, enkripcija i druge tehnologije za uspješno sprečavanje kibernapada, kao što je lanac blokova, trebali bi se učinkovitije upotrebljavati kako bi se poboljšala sigurnost komunikacije i podataka krajnjih korisnika te opća sigurnost mreža i informacijskih sustava u Uniji.

Amandman 6



(5a) Iako certifikacija i drugi oblici ocjenjivanja sukladnosti IKT proizvoda, usluga i postupaka imaju važnu ulogu, za poboljšanje kibersigurnosti potreban je višedimenzionalan pristup koji obuhvaća osobe, postupke i tehnologije. EU bi također trebao nastaviti snažno naglašavati i poticati druge napore, uključujući obrazovanje, osposobljavanje i razvoj vještina u području kibersigurnosti, podizanje razine osviještenosti na izvršnoj razini i razini uprave poduzeća, promicanje dobrovoljne razmjene informacija o kiberprijetnjama te zaokret s reaktivnog na proaktivni pristup za odgovor na prijetnje stavljanjem naglaska na sprečavanje uspješnih kibernapada.

PE619.373v03-00 126/229 RR\1160156HR.docx

HR

Amandman 7



(7) Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

(7) Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS, čiji će uspjeh uvelike ovisiti o učinkovitoj provedbi u državama članicama, utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

Amandman 8


RR\1160156HR.docx 127/229 PE619.373v03-00

HR



(11) S obzirom na sve veće prijetnje i izazove kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav.

Amandman 9



(28) Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s kibersigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Agencija bi trebala pridonositi i promicanju najbolje prakse i rješenja na razini građana i organizacija prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima i sastavljanjem izvješća u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, podizanja razine osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja osnovnog savjetovanja o autentikaciji i zaštiti podataka. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja.

(28) Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s kibersigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Agencija bi trebala pridonositi i promicanju najbolje prakse u pogledu kiberhigijene, odnosno jednostavne i rutinske mjere koje pojedinci i organizacije mogu poduzeti kako bi se opasnost od kiberprijetnji svela na najmanju moguću mjeru, kao što su višefaktorska autentifikacija, sigurnosni popravci, enkripcija i upravljanje pristupom. Trebala bi to činiti prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima te sastavljanjem i objavljivanjem izvješća i smjernica u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, podizanja razine osviještenosti o mjerama koje se mogu poduzeti radi zaštite od potencijalnih

PE619.373v03-00 128/229 RR\1160156HR.docx

HR

opasnosti u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, napadi ucjenjivačkim softverima, preuzimanje kontrole, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja savjetovanja o osnovnoj višefaktorskojautentifikaciji, enkripciji, sigurnosnim poporavcima, načelima upravljanja pristupom, zaštiti podataka, i drugim tehnologijama za unaprjeđenje sigurnosti i privatnosti te o alatima za anonimizaciju. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja i sigurnom korištenju usluga, promicanju integrirane sigurnosti na razini Unije koja je izuzetno važna za sigurnost povezanih uređaja, osobito za ranjive krajnje korisnike koji uključuju djecu, te promicanju integrirane privatnosti. Agencija bi trebala poticati sve krajnje korisnike da poduzmu odgovarajuće korake za sprečavanje i svođenje na najmanju moguću mjeru učinaka incidenata koji utječu na sigurnost njihovih mreža i informacijskih sustava. Trebalo bi uspostaviti partnerstva s akademskim ustanovama u kojima su pokrenute istraživačke inicijative u relevantnim područjima kibersigurnosti.

Amandman 10



(35) Agencija bi trebala poticati države članice i pružatelje usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde kibersigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini

(35) Agencija bi trebala poticati države članice i pružatelje usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde kibersigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini

RR\1160156HR.docx 129/229 PE619.373v03-00

HR

kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda i usluga.

kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda. ENISA bi trebala objaviti takva upozorenja na web-mjestu namijenjenom pružanju informacija o programima certifikacije. Agencija bi trebala sastaviti smjernice o minimalnim sigurnosnim zahtjevima za informatičke uređaje koji se prodaju u Uniji ili izvoze iz nje. Takvim bi se smjernicama moglo pozvati proizvođače da dostave pisanu izjavu kojom se potvrđuje da uređaj ne sadržava hardver, softver ili ugrađene programe s poznatim sigurnosnim slabostima koje se mogu zloupotrijebiti, niti nepromjenjivu ili nekriptiranu lozinku ili pristupnu šifru koji ne prihvaćaju ažuriranja sigurnosne zaštite iz pouzdanih izvora koja su prikladno provjerena, da odgovor prodavača za predmetni uređaj obuhvaća odgovarajuću hijerarhiju pravnih lijekova i da prodavači obavještavaju krajnje korisnike kad će sigurnosna potpora za uređaj prestati.

Amandman 11



(36 a) Norme su dobrovoljan i tržišno uvjetovan alat kojim se postavljaju tehnički zahtjevi i daju smjernice i koji proizlazi iz otvorenog, transparentnog i uključivog postupka. Primjena normi olakšava usklađenost robe i usluga s pravom Unije te se njome podupiru europske politike sukladne Uredbi (EU) br. 1025/2012 o europskoj normizaciji. Agencija bi se trebala redovito savjetovati s europskim organizacijama za normizaciju i surađivati s njima, osobito kad priprema europske programe

PE619.373v03-00 130/229 RR\1160156HR.docx

HR

kibersigurnosne certifikacije.

Amandman 12




(44) Agencija bi trebala imati Stalnu interesnu skupinu kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača, akademskom zajednicom i drugim interesnim skupinama. Stalna interesna skupina, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Kako bi se osigurala stvarna uključenost interesnih skupina u okvir kibersigurnosne certifikacije, Stalna interesna skupina trebala bi davati savjete i o tome koje bi IKT proizvode i usluge trebalo obuhvatiti budućim europskim programima kibersigurnosne certifikacije i trebala bi predložiti Komisiji da od Agencije zatraži pripremu prijedloga programa za takve IKT proizvode i usluge, bilo na vlastitu inicijativu ili nakon što relevantni dionici podnesu prijedloge. Sastav Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezine zadaće trebali bi osigurati efikasnu i pravednu zastupljenost dionika u radu Agencije.

Amandman 13



(46) Kako bi se zajamčila potpuna autonomija i neovisnost Agencije i kako bi joj se omogućilo obavljanje dodatnih i novih zadaća, uključujući nepredviđene

(46) Kako bi se zajamčila potpuna autonomija i neovisnost Agencije i kako bi joj se omogućilo obavljanje dodatnih i novih zadaća, uključujući nepredviđene

RR\1160156HR.docx 131/229 PE619.373v03-00

HR

hitne zadaće, Agenciji bi trebalo osigurati dostatni i autonomni proračun s prihodima prvenstveno iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu Agencije. Veći dio osoblja Agencija trebao bi izravno sudjelovati u operativnoj provedbi mandata Agencije. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa prihodima Agencije. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Štoviše, Revizorski sud trebao bi provesti reviziju računa Agencije radi osiguranja transparentnosti i odgovornosti.

hitne zadaće, Agenciji bi trebalo osigurati dostatni i autonomni proračun s prihodima prvenstveno iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu Agencije. Veći dio osoblja Agencija trebao bi izravno sudjelovati u operativnoj provedbi mandata Agencije. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa prihodima Agencije. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Štoviše, Revizorski sud trebao bi provesti reviziju računa Agencije radi osiguranja transparentnosti, odgovornosti, djelotvornosti i učinkovitosti izdataka.

Amandman 14



(47) Ocjenjivanje sukladnosti postupak je kojim se dokazuje da su ispunjeni određeni zahtjevi koji se odnose na proizvod, postupak, uslugu, sustav, osobu ili tijelo. Za potrebe ove Uredbe certifikacija bi se trebala smatrati vrstom ocjenjivanja sukladnosti u pogledu kibersigurnosnih značajki proizvoda, postupka, usluge, sustava ili njihove kombinacije („IKT proizvodi i usluge”) koju obavlja neovisna treća strana koja nije proizvođač proizvoda ili pružatelj usluge. Samom certifikacijom ne može se jamčiti kibersigurnost certificiranih IKT proizvoda i usluga. Riječ je o postupku i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi i usluge testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama.

(47) Ocjenjivanje sukladnosti postupak je kojim se dokazuje da su ispunjeni određeni zahtjevi koji se odnose na proizvod, postupak, uslugu, sustav, osobu ili tijelo. Za potrebe ove Uredbe certifikacija bi se trebala smatrati vrstom ocjenjivanja sukladnosti u pogledu kibersigurnosnih značajki i praksi uključenih u proizvod, postupak, uslugu, sustav ili njihovu kombinaciju („IKT proizvodi i usluge”) koju obavlja neovisna treća strana ili se provodi postupkom davanja vlastite izjave o sukladnosti. Samom certifikacijom ne može se jamčiti kibersigurnost certificiranih IKT proizvoda i usluga te bi krajnjeg korisnika trebalo upoznati s time. Riječ je o postupku i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi i usluge te postupci i sustavi na kojima se temelje testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama.

PE619.373v03-00 132/229 RR\1160156HR.docx

HR

Amandman 15



(48) Kibersigurnosna certifikacija ima važnu ulogu u jačanju povjerenja u IKT proizvode i usluge i njihovu sigurnost. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i internet stvari, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima i uslugama osigurava određena razina kibersigurnosnog jamstva. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi ili pametne mreže samo su primjeri sektora u kojima se certificiranje već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom NIS.

(48) Europska kibersigurnosna certifikacija ima ključnu ulogu u jačanju povjerenja u IKT proizvode i usluge i njihovu sigurnost. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i internet stvari, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima i uslugama osigurava visoka razina kibersigurnosnog jamstva. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi ili pametne mreže samo su primjeri sektora u kojima se certificiranje već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom NIS.

Amandman 16



(50) Trenutačno se kibersigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima

(50) Trenutačno se kibersigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima

RR\1160156HR.docx 133/229 PE619.373v03-00

HR

javne nabave. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razine jamstva, materijalnih kriterija i stvarne upotrebe.

javne nabave, što će povećati njihove troškove. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razina jamstva utemeljenih na riziku, materijalnih kriterija i stvarne upotrebe.

Amandman 17



(52) S obzirom na navedeno nužno je uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Programi certificiranja trebali bi biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

(52) S obzirom na navedeno nužno je usvojiti zajednički pristup i uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Pritom je ključno nadovezati se na postojeće nacionalne i međunarodne programe i sustave uzajamnog priznavanja, osobito Skupinu viših dužnosnika za sigurnost informacijskih sustava (SOG-IS), te omogućiti neometan prijelaz iz postojećih programa u takvim sustavima na programe u novom europskom okviru. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Ako je europski program kibersigurnosne certifikacije zamijenio nacionalni program, certifikati izdani u okviru europskog programa trebali bi se

PE619.373v03-00 134/229 RR\1160156HR.docx

HR

prihvaćati kao valjani u slučajevima u kojima je potrebna certifikacija na temelju nacionalnog programa. Programi certificiranja trebali bi se voditi integriranom sigurnošću i načelima iz Uredbe (EU) 2016/679. Trebali bi također biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

Amandman 18



(52a) Europski okvir za kibersigurnosnu certifikaciju treba na ujednačen način uspostaviti u svim državama članicama kako bi se izbjegla praksa „traženja povoljnije certifikacije” zbog razlika u troškovima ili razini zahtjevnosti među državama članicama.

Amandman 19



(55) Europskim programima kibersigurnosne certifikacije trebalo bi se osigurati da proizvodi i usluge koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, postupaka, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne

(55) Europskim programima kibersigurnosne certifikacije trebalo bi se doprinijeti visokoj razini zaštite krajnjih korisnika i europskoj konkurentnosti te povećati razinu sigurnosti unutar jedinstvenog digitalnog tržišta, a konkretnije osigurati da IKT proizvodi i usluge koji su certificirani u skladu s nekim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija

RR\1160156HR.docx 135/229 PE619.373v03-00

HR

mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije.

ili usluge koje se nude s pomoću tih postupaka, proizvoda, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije. Iznimno je važno da svaki europski program kibersigurnosne certifikacije bude osmišljen tako da stimulira i potiče sve dionike uključene u predmetni sektor da razvijaju i usvajaju sigurnosne standarde, tehničke norme i načela integrirane sigurnosti u svim fazama životnog vijeka proizvoda ili usluge. Ako su programom predviđene oznake ili znakovi, potrebno je navesti uvjete pod kojim se te oznake ili znakovi mogu upotrebljavati. Na tom znaku, koji bi mogao biti u obliku digitalnog logotipa ili koda QR, navodili bi se rizici povezani s radom i upotrebom IKT proizvoda ili usluga te bi on trebao biti jasan i lako razumljivi za krajnjeg korisnika.

Amandman 20



(55a) U svjetlu razvoja inovacija te sve veće dostupnosti i stalno rastućeg broja

PE619.373v03-00 136/229 RR\1160156HR.docx

HR

povezanih digitalnih uređaja u svim sektorima društva, osobita pozornost mora se posvetiti sigurnosti svih, pa čak i najjednostavnijih povezanih digitalnih uređaja. Budući da je certifikacija ključna metoda za povećanje povjerenja u tržište te veću sigurnost i otpornost, naglasak bi se stoga u novom okviru EU-a za kibersigurnosnu certifikaciju trebao staviti na povezane digitalne uređaje i usluge kako bi postali manje osjetljivi i sigurniji za potrošače i poduzeća.

Amandman 21




(56) ENISA bi trebala održavati namjensko web-mjesto s mrežno dostupnim alatom, jednostavnim za korištenje i koji prikazuje popis informacija o usvojenim programima, predloženim programima i programima koje je zatražila Komisija. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima kibersigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja povezane s radom i primjenom IKT proizvoda, postupka ili usluge, njihov inherentan rizik i predviđenu razinu jamstva: funkcionalno sigurnu, odnosno razine jamstva koje imaju funkcionalan stupanj sigurnosti, znatno sigurnu, vrlo sigurnu ili bilo koju kombinaciju tih razina. Razinama jamstva

RR\1160156HR.docx 137/229 PE619.373v03-00

HR

ne bi se trebala sugerirati apsolutna sigurnost kako se krajnjeg korisnika ne bi dovelo u zabludu. Pozornost bi trebalo posvetiti i cijelom životnom ciklusu proizvoda. Kako bi se razjasnilo kojim će se rizicima određeni proizvod ili usluga moći oduprijeti zahvaljujući svojem dizajnu, ENISA bi trebala koordinirati izradu kontrolnog popisa rizika za koje se očekuje da se IKT postupak, proizvod ili usluga s njima suoče, prema određenoj kategoriji korisnika u nekom okruženju.

Amandman 22



(56 a) Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode ili usluge. Komisiji treba delegirati ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije u vezi s uspostavom europskog programa kibersigurnosne certifikacije za IKT proizvode i usluge. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Posebno, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata. Pri donošenju tih delegiranih akata Komisija bi programe kibersigurnosne certifikacije za IKT proizvode i usluge trebala temeljiti na svim relevantnim prijedlozima programa koje je predložila

PE619.373v03-00 138/229 RR\1160156HR.docx

HR

ENISA kako bi učvrstilo povjerenje u okvir za kibersigurnosnu certifikaciju i njegovu predvidljivost te povećala razina javne osviještenosti o njemu.

Amandman 23



(56b) Među metodama ocjenjivanja i postupcima procjene povezanima s europskim programom kibersigurnosne certifikacije trebalo bi na razini Unije promicati etičko hakiranje, čiji je cilj lociranje slabosti i osjetljivosti uređaja i informatičkih sustava predviđanjem planiranih akcija i vještina zlonamjernih hakera.

Amandman 24



(58) Nakon donošenja europskog programa kibersigurnosne certifikacije, proizvođači IKT proizvoda ili pružatelji IKT usluga moći će podnijeti zahtjev za certifikaciju svojih proizvoda i usluga tijelu za ocjenjivanje sukladnosti po svojem izboru. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i može se obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve. Akreditacijska tijela trebala bi ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba.

(58) Nakon donošenja europskog programa kibersigurnosne certifikacije, proizvođači IKT proizvoda ili pružatelji IKT usluga moći će podnijeti zahtjev za certifikaciju svojih postupaka, proizvoda ili usluga tijelu za ocjenjivanje sukladnosti po svojem izboru ili sami dati izjavu da su njihovi proizvodi ili usluge sukladni s relevantnim europskim programom kibersigurnosne certifikacije. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i može se obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve. Akreditacijska tijela trebala bi ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za

RR\1160156HR.docx 139/229 PE619.373v03-00

HR

akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba. Kako bi se zajamčilo da se akreditacija provodi jednako diljem Europske unije, nacionalna tijela za nadzor certifikacije trebala bi podlijegati istorazinskoj stručnoj ocjeni kada je riječ o postupcima za provjeru sukladnosti proizvoda koji podliježu certificiranju u području kibersigurnosti.

Amandman 25



(59) Od svih država članica treba tražiti da imenuju jedno tijelo za nadzor kibersigurnosne certifikacije koje će nadzirati usklađenost tijela za ocjenjivanje sukladnosti i certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovom državnom području sa zahtjevima iz ove Uredbe i s relevantnim programima kibersigurnosne certifikacije. Nacionalna tijela za nadzor certifikacije trebala bi rješavati pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražiti predmet pritužbe i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, ona bi trebala surađivati s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim programima kibersigurnosne certifikacije.

(59) Od svih država članica treba tražiti da imenuju jedno tijelo za nadzor kibersigurnosne certifikacije koje će nadzirati usklađenost tijela za ocjenjivanje sukladnosti i certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovom državnom području sa zahtjevima iz ove Uredbe i s relevantnim programima kibersigurnosne certifikacije. Nacionalna tijela za nadzor certifikacije trebala bi rješavati pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražiti predmet pritužbe i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, ona bi trebala surađivati s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim programima kibersigurnosne certifikacije. Nadalje bi trebala nadzirati i provjeravati sukladnost vlastitih izjava o sukladnosti, kao i to jesu li europske kibersigurnosne certifikate izdala tijela za ocjenjivanje sukladnosti prema zahtjevima iz ove

PE619.373v03-00 140/229 RR\1160156HR.docx

HR

Uredbe, uključujući pravila koja je usvojila Europska skupina za kibersigurnosnu certifikaciju i zahtjeve odgovarajućeg europskog programa kibersigurnosne certifikacije. Učinkovita suradnja nacionalnih tijela za nadzor certifikacije ključna je za ispravnu provedbu europskih programa za kibersigurnosnu certifikaciju i tehničkih pitanja koja se odnose na kibersigurnost IKT proizvoda i usluga. Komisija bi trebala olakšati tu razmjenu informacija stavljanjem na raspolaganje općeg elektroničko-informacijskog sustava podrške, primjerice postojećeg Informacijskog i komunikacijskog sustava za tržišni nadzor (ICSMS) i Sustava brzog uzbunjivanja za opasne neprehrambene proizvode (RAPEX) kojima se koriste tijela za nadzor tržišta u skladu s Uredbom (EZ) br. 765/2008.

Amandman 26



(63) Kako bi se dodatno utvrdili kriteriji za akreditaciju tijela za ocjenjivanje sukladnosti, ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije treba prenijeti na Komisiju. Komisija bi tijekom svojeg pripremnog rada trebala provoditi odgovarajuća savjetovanja, uključujući i savjetovanje sa stručnjacima. Savjetovanja bi trebalo provoditi u skladu s načelima propisanima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Kako bi se osiguralo ravnopravno sudjelovanje u izradi delegiranih akata, Europski parlament i Komisija trebali bi sve dokumente zaprimiti istodobno kada i stručnjaci država članica, a njihovi stručnjaci trebali bi sustavno imati pristup sastancima skupina stručnjaka Komisije

deleted

RR\1160156HR.docx 141/229 PE619.373v03-00

HR

koje se bave izradom delegiranih akata.

Amandman 27



(65) Postupak ispitivanja trebao bi se koristiti za donošenje provedbenih akata o europskim programima kibersigurnosne certifikacije za IKT proizvode i usluge; o načinima provođenja istraga Agencije te o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za nadzor certifikacije Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti.

(65) Postupak ispitivanja trebao bi se koristiti za donošenje provedbenih akata o europskim programima kibersigurnosne certifikacije za IKT postupke, proizvode i usluge; o načinima provođenja istraga Agencije te o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za nadzor certifikacije Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti, uzimajući u obzir dokazanu djelotvornost alata za elektroničko prijavljivanje „Informacijski sustav prijavljenih i imenovanih tijela prema novom pristupu” (NANDO).

Amandman 28



(66) Rad Agencije trebao bi se ocjenjivati neovisno. Ocjenjivanjem bi trebalo uzeti u obzir ostvaruje li Agencija svoje ciljeve, njezin način rada i relevantnost njezinih zadaća. Ocjenjivanjem bi trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosno certificiranje.

(66) Rad Agencije trebao bi se ocjenjivati neovisno. Ocjenjivanje bi trebalo obuhvaćati ispravnost i učinkovitost načina na koji Agencija troši sredstva, njezinu djelotvornost u ostvarivanju ciljeva te opis njezina načina rada i relevantnost njezinih zadaća. Ocjenjivanjem bi trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosno certificiranje.

Amandman 29


PE619.373v03-00 142/229 RR\1160156HR.docx

HR


(11) „IKT proizvod ili usluga” znači bilo koji element ili skupina elemenata mrežnih i informacijskih sustava;

(11) „IKT postupak, proizvod ili usluga” znači proizvod, usluga, postupak, sustav ili kombinacija navedenog koji je element mrežnih i informacijskih sustava;

(Ova izmjena primjenjuje se u cijelom zakonodavnom tekstu koji se razmatra. Ako bude prihvaćena, bit će potrebno unijeti tehničke promjene u cijelom tekstu.)

Amandman 30



(11 a) „nacionalno tijelo za nadzor certifikacije” znači tijelo države članice koje je odgovorno za izvršavanje zadaća praćenja, provedbe i nadzora kibersigurnosne certifikacije na svome državnom području;

Amandman 31



(16 a) „vlastita izjava o sukladnosti” znači izjava proizvođača izjavljuje da je njegov IKT postupak, proizvod ili usluga sukladna sa specificiranim europskim programima kibersigurnosne certifikacije.

Amandman 32



1. Agencija obavlja zadaće koje su joj dodijeljene ovom Uredbom kako bi

1. Agencija obavlja zadaće koje su joj dodijeljene ovom Uredbom kako bi

RR\1160156HR.docx 143/229 PE619.373v03-00

HR

pridonijela ostvarivanju visoke razine kibersigurnosti u Uniji.

pridonijela postizanju visoke zajedničke razine kibersigurnosti u Uniji radi sprečavanja kibernapada u Uniji, smanjenja rascjepkanosti na unutarnjem tržištu i poboljšanja njegova funkcioniranja.

Amandman 33




5. Agencija pridonosi povećanju kibersigurnosne sposobnosti na razini Unije kako bi dopunila i jačala djelovanja država članica usmjerena na sprječavanje kiberprijetnji i odgovaranje na kiberprijetnje, posebno u slučaju prekograničnih incidenata.

Amandman 34




6. Agencija promiče uporabu certifikacije, izbjegavajući pritom rascjepkanost prouzročenu nedostatkom koordinacije među postojećim programima certifikacije u Uniji. Agencija doprinosi uspostavi i održavanju okvira za kibersigurnosnu certifikaciju na razini Unije u skladu s člancima 43. do 54. [glava III.] u cilju povećanja transparentnosti kibersigurnosnog jamstva za IKT proizvode i usluge i jačanja povjerenja u jedinstveno digitalno tržište.

Amandman 35



PE619.373v03-00 144/229 RR\1160156HR.docx

HR


7. Agencija promiče visoku razinu osviještenosti građana, nadležnih tijela i poduzeća o pitanjima povezanima s kibersigurnošću.

Amandman 36



1. pružanjem pomoći i savjeta, osobito svojeg neovisnog mišljenja, i obavljanjem pripremih radnji za razvoj i preispitivanje politike i prava Unije u području kibersigurnosti te sektorskih inicijativa politike i sektorskih zakonodavnih inicijativa koje uključuju pitanja povezana s kibersigurnošću;

1. pružanjem pomoći i savjeta za razvoj i preispitivanje politike i prava Unije u području kibersigurnosti te sektorskih inicijativa politike i sektorskih zakonodavnih inicijativa koje uključuju pitanja povezana s kibersigurnošću;

Obrazloženje

Agencija bi trebala imati slobodu odabira instrumenata pomoću kojih će izvršavati svoje zadaće.

Amandman 37



2a. pružanjem pomoći Europskom odboru za zaštitu podataka, osnovanom Uredbom (EU) 2016/679, pri izradi smjernica za specifikaciju tehničkih uvjeta prema kojima se voditelji obrade podataka mogu dopušteno koristiti osobnim podacima za potrebe informatičke sigurnosti u cilju zaštite svoje infrastrukture utvrđivanjem i blokiranjem napada na svoje informatičke sustave u kontekstu: (i) Uredbe (EU) 2016/6791a; (ii) Direktive (EU) 2016/11481b; i (iii) Direktive 2002/58/EZ1c;;

_________________

RR\1160156HR.docx 145/229 PE619.373v03-00

HR

1a Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).1b (EU) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).1c Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016, str. 1.).

Obrazloženje

Uspostava prikladnih mehanizama suradnje.

Amandman 38

Prijedlog uredbeČlanak 5. – stavak 1. – točka 4. – podtočka 2.


(2) promicanja pojačane razine sigurnosti elektroničkih komunikacija, među ostalim pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse među nadležnim tijelima;

(2) promicanja pojačane razine sigurnosti elektroničkih komunikacija, pohrane podataka i obrade podataka, među ostalim pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse među nadležnim tijelima;

Amandman 39



PE619.373v03-00 146/229 RR\1160156HR.docx

HR

2a. Agencija pomaže pri uspostavi i pokretanju dugoročnog europskog projekta kibersigurnosti kako bi se podupro rast neovisne industrije kibersigurnosti u EU-u te kako bi kibersigurnost postala sastavni dio cjelokupnog razvoja IKT-a u EU-u.

Obrazloženje

ENISA treba savjetovati zakonodavce pri pripremi politika kako bi EU uhvatio korak s industrijama informatičke sigurnosti u trećim zemljama. Taj bi projekt po opsegu trebao odgovarati mjerama koje su prethodno poduzete u zrakoplovnoj industriji (primjer Airbusa). To je potrebno kako bi se razvila jača, suverena i vjerodostojna industrija informatičko-komunikacijskih tehnologija u EU-u (vidi istraživanje Odjela za znanstvena predviđanja (STOA) PE 614.531).

Amandman 40

Prijedlog uredbeČlanak 7. – stavak 5. – podstavak 1.


Na zahtjev najmanje dviju pogođenih država članica i u isključivu svrhu pružanja savjeta za sprječavanje budućih incidenata, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje dvije države članice.

Na zahtjev jedne ili više pogođenih država članica i u isključivu svrhu pružanja savjeta za sprječavanje budućih incidenata, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje dvije države članice.

Amandman 41



(a) objedinjavanjem izvješća iz nacionalnih izvora kako bi se pridonijelo zajedničkoj informiranosti o stanju;

(a) objedinjavanjem izvješća iz nacionalnih i međunarodnih izvora kako bi se pridonijelo zajedničkoj informiranosti o stanju;

RR\1160156HR.docx 147/229 PE619.373v03-00

HR

Amandman 42

Prijedlog uredbeČlanak 8. – stavak 1. – točka a – podtočka 1.a (nova)


(1 a) ocjenjivanjem, u suradnji s Europskom skupinom za kibersigurnosnu certifikaciju, postupaka za izdavanje europskih kibersigurnosnih certifikata koje su uspostavila tijela za ocjenjivanje sukladnosti iz članka 51., s ciljem da se osigura da tijela za ocjenjivanje sukladnosti na isti način primjenjuju ovu Uredbu kad izdaju certifikate;

Amandman 43

Prijedlog uredbeČlanak 8. – stavak 1. – točka a – podtočka 1.b (nova)


(1 b) provedbom neovisnih periodičnih ex post provjera sukladnosti certificiranih IKT proizvoda i usluga s europskim programima kibersigurnosne certifikacije;

Amandman 44



(3) sastavljanjem i objavljivanjem smjernica i razvojem dobre prakse u pogledu kibersigurnosnih zahtjeva za IKT proizvode i usluge, u suradnji s nacionalnim tijelima za nadzor certifikacije i industrijom;

(3) sastavljanjem i objavljivanjem smjernica i razvojem dobre prakse, među ostalim o načelima kiberhigijene i odvraćanju od tajnih „stražnjih ulaza”, u pogledu kibersigurnosnih zahtjeva za IKT proizvode i usluge, u suradnji s nacionalnim tijelima za nadzor certifikacije i industrijom i u okviru formalnog, standardiziranog i transparentnog postupka;

PE619.373v03-00 148/229 RR\1160156HR.docx

HR

Amandman 45



(b) olakšavanjem uspostave i prihvaćanja europskih i međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda i usluga te izradom, u suradnji s državama članicama, savjeta i smjernica o tehničkim područjima povezanima sa sigurnosnim zahtjevima za operatore ključnih usluga i pružatelje digitalnih usluga, te u pogledu već postojećih normi, uključujući nacionalne norme država članica, u skladu s člankom 19. stavkom 2. Direktive (EU) 2016/1148.

(b) savjetovanjem s međunarodnim tijelima za normizaciju i europskim organizacijama za normizaciju o razvoju normi kako bi se osigurala prikladnost normi koje se primjenjuju u europskim programima kibersigurnosne certifikacije i olakšavanjem uspostave i prihvaćanja relevantnih europskih i međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda i usluga te izradom, u suradnji s državama članicama, savjeta i smjernica o tehničkim područjima povezanima sa sigurnosnim zahtjevima za operatore ključnih usluga i pružatelje digitalnih usluga, te u pogledu već postojećih normi, uključujući nacionalne norme država članica, u skladu s člankom 19. stavkom 2. Direktive (EU) 2016/1148;

Amandman 46



(b a) sastavljanjem smjernica o načinu i vremenu kada se države članice međusobno trebaju obavijestiti kada saznaju za ranjivost koja nije javno poznata u IKT postupku, proizvodu ili usluzi koja je certificirana u skladu s glavom III. ove Uredbe, uključujući smjernice o koordinaciji politika otkrivanja ranjivosti;

Amandman 47

Prijedlog uredbeČlanak 8. – stavak 1. – točka bb (nova)

RR\1160156HR.docx 149/229 PE619.373v03-00

HR


(b b) sastavljanjem smjernica o minimalnim sigurnosnim zahtjevima za informatičke uređaje koji se prodaju u Uniji ili izvoze iz nje;

Amandman 48



(d) na posebnom portalu objedinjuje, organizira i stavlja na raspolaganje javnosti informacije o kibersigurnosti koje su dostavile institucije, agencije i tijela Unije;

(d) na posebnom portalu objedinjuje, organizira i stavlja na raspolaganje javnosti informacije o kibersigurnosti koje su dostavile institucije, agencije i tijela Unije, uključujući informacije o važnim kibersigurnosnim incidentima i velikim povredama podataka;

Amandman 49




(e) podiže razinu osviještenosti javnosti o rizicima povezanima s kibersigurnošću, daje smjernice o dobroj korisničkoj praksi usmjerene na građane i organizacije te promiče donošenje preventivnih snažnih mjera informatičke sigurnosti i pouzdane zaštite podataka i privatnosti;

Amandman 50



(g a) podupire tješnju suradnju i razmjenu najboljih praksi među državama

PE619.373v03-00 150/229 RR\1160156HR.docx

HR

članicama u pogledu obrazovanja o kibersigurnosti, kiberhigijene i podizanja razine osviještenosti;

Amandman 51




(a) osigurava prethodno savjetovanje s relevantnim korisničkim skupinama i savjetuje Uniju i države članice o istraživačkim potrebama i prioritetima u području kibersigurnosti kako bi se omogućili učinkoviti odgovori na postojeće i nove rizike i prijetnje, među ostalim i u pogledu novih informacijskih i komunikacijskih tehnologija te onih u nastajanju, te kako bi se učinkovito upotrebljavale tehnologije za sprečavanje rizika;

Amandman 52



1. Upravljački odbor sastoji se od jednog predstavnika svake države članice i dva predstavnika koje imenuje Komisija. Svi predstavnici imaju pravo glasa.

1. Upravljački odbor sastoji se od jednog predstavnika svake države članice i dva predstavnika koja imenuju Komisija i Europski parlament. Svi predstavnici imaju pravo glasa.

Amandman 53



e) ocjenjuje i donosi konsolidirano godišnje izvješće o aktivnostima Agencije i do 1. srpnja sljedeće godine dostavlja izvješće i njegovu ocjenu Europskom parlamentu, Vijeću, Komisiji i

e) ocjenjuje i donosi konsolidirano godišnje izvješće o aktivnostima Agencije i do 1. srpnja sljedeće godine dostavlja izvješće i njegovu ocjenu Europskom parlamentu, Vijeću, Komisiji i

RR\1160156HR.docx 151/229 PE619.373v03-00

HR

Revizorskom sudu. Godišnje izvješće uključuje financijske izvještaje i u njemu se opisuje kako je Agencija ostvarila svoje pokazatelje uspješnosti. Godišnje se izvješće objavljuje;

Revizorskom sudu. Godišnje izvješće uključuje financijske izvještaje i u njemu se opisuje učinkovitost potrošenih sredstava te ocjenjuje djelotvornost Agencije i kako je ona ostvarila svoje pokazatelje uspješnosti. Godišnje se izvješće objavljuje;

Amandman 54



(m) imenuje izvršnog direktora i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

(m) imenuje izvršnog direktora s pomoću postupka odabira utemeljenog na kriterijima stručnosti i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

Amandman 55

Prijedlog uredbeČlanak 14. – stavak 1. – točka o


o) donosi sve odluke o unutarnjem ustrojstvu Agencije te, prema potrebi, o njegovim izmjenama, uzimajući u obzir potrebe Agencije u pogledu aktivnosti te razumno financijsko upravljanje;

o) donosi sve odluke o unutarnjem ustrojstvu Agencije te, prema potrebi, o njegovim izmjenama, uzimajući u obzir potrebe Agencije u pogledu aktivnosti navedenih u ovoj Uredbi te razumno financijsko upravljanje;

Amandman 56



2. Izvršni direktor na poziv izvješćuje Europski parlament o izvršavanju svojih dužnosti. Vijeće može pozvati izvršnog direktora da ga izvijesti o izvršavanju svojih dužnosti.

2. Izvršni direktor na poziv ili svake godine izvješćuje Europski parlament o izvršavanju svojih dužnosti. Vijeće može pozvati izvršnog direktora da ga izvijesti o izvršavanju svojih dužnosti.

PE619.373v03-00 152/229 RR\1160156HR.docx

HR

Amandman 57



1. Upravljački odbor, djelujući na prijedlog izvršnog direktora, osniva Stalnu interesnu skupinu sastavljenu od priznatih stručnjaka koji zastupaju relevantne interesne skupine, kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, akademski stručnjaci za kibersigurnost i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

1. Upravljački odbor, djelujući na prijedlog izvršnog direktora, osniva Stalnu interesnu skupinu sastavljenu od priznatih stručnjaka koji zastupaju relevantne interesne skupine, kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, a posebno europska IKT industrija i pružatelji IKT usluga, udruženja malih i srednjih poduzeća, skupine i udruge potrošača, akademski stručnjaci u području kibersigurnosti, europske organizacije za normizaciju kako je definirano u točki 8. članka 2. Uredbe (EU) br. 1025/2012, relevantne sektorske agencije i tijela Unije i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

Amandman 58



4. Mandat članova Stalne interesne skupine traje dvije i pol godine. Članovi Upravljačkog odbora ne mogu biti članovi Stalne interesne skupine. Stručnjaci Komisije i država članica imaju pravo nazočiti sjednicama Stalne interesne skupine i sudjelovati u njezinu radu. Na sastanke Stalne interesne skupine i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima koji nisu članovi Stalne interesne skupine.

4. Mandat članova Stalne interesne skupine traje dvije i pol godine. Članovi Upravljačkog odbora i Izvršnog odbora, osim izvršnog direktora, ne mogu biti članovi Stalne interesne skupine. Stručnjaci Komisije i država članica imaju pravo nazočiti sjednicama Stalne interesne skupine i sudjelovati u njezinu radu. Na sastanke Stalne interesne skupine i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima koji

RR\1160156HR.docx 153/229 PE619.373v03-00

HR

nisu članovi Stalne interesne skupine.

Amandman 59



5. Stalna interesna skupina savjetuje Agenciju u vezi s obavljanjem njezinih aktivnosti. Ona posebno savjetuje izvršnog direktora u vezi s izradom prijedloga programa rada Agencije i osiguravanjem komunikacije s relevantnim interesnim skupinama o svim pitanjima koja se odnose na program rada.

5. Stalna interesna skupina savjetuje Agenciju u vezi s obavljanjem njezinih aktivnosti. Ona posebno savjetuje izvršnog direktora u vezi s izradom prijedloga programa rada Agencije i osiguravanjem komunikacije s relevantnim interesnim skupinama o svim pitanjima koja se odnose na program rada. Također može predložiti Komisiji da od Agencije zatraži da izradi prijedlog europskih programa kibersigurnosne certifikacije u skladu s člankom 44., bilo na vlastitu inicijativu ili nakon podnošenja prijedloga relevantnih dionika.

Amandman 60



5 a. Stalna interesna skupina savjetuje Agenciju pri izradi prijedlog europskih programa kibersigurnosne certifikacije.

Amandman 61



2. Agencija osigurava da javnost i sve zainteresirane strane dobiju odgovarajuće, objektivne, pouzdane i lako dostupne informacije, posebno u pogledu rezultata njezina rada. Agencija objavljuje i izjave o interesima dane u skladu s člankom 22.

2. Agencija osigurava da javnost i sve zainteresirane strane dobiju odgovarajuće, objektivne, pouzdane i lako dostupne informacije, posebno u pogledu rasprava i rezultata njezina rada. Agencija objavljuje i izjave o interesima dane u skladu s

PE619.373v03-00 154/229 RR\1160156HR.docx

HR

člankom 22.

Obrazloženje

Transparentnost treba biti provediva, uzimajući u obzir primjenu članka 24.

Amandman 62



Europskim programom kibersigurnosne certifikacije potvrđuje se da su IKT proizvodi i usluge koji su certificirani u skladu s tim programom usklađeni s utvrđenim zahtjevima u pogledu njihove sposobnosti da se odupru, na određenoj razini jamstva, djelovanjima kojima se nastoji ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih ili poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude tim proizvodima, postupcima, uslugama ili sustavima ili koje su preko njih dostupne.

Europski program kibersigurnosne certifikacije uspostavlja se radi povećanja razine sigurnosti na jedinstvenom digitalnom tržištu i usvajanja usklađenog pristupa za europsku certifikaciju na razini Unije te kako bi se zajamčilo da su IKT proizvodi, usluge i sustavi otporni na kibernapade.Njime se potvrđuje da su IKT proizvodi i usluge koji su certificirani u skladu s tim programom usklađeni s utvrđenim zajedničkim zahtjevima i značajkama u pogledu njihove sposobnosti da se odupru, na određenoj razini jamstva, djelovanjima kojima se nastoji ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih ili poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude tim postupcima, proizvodima, uslugama ili sustavima ili koje su preko njih dostupne.

Amandman 63



Članak 43.a

Program rada

Nakon savjetovanja s Europskom skupinom za kibersigurnosnu certifikaciju i Stalnom interesnom skupinom te nakon odobrenja Komisije, ENISA uspostavlja program rada koji nudi detaljan opis

RR\1160156HR.docx 155/229 PE619.373v03-00

HR

zajedničkih aktivnosti koje treba poduzeti na razini Unije kako bi se osigurala dosljedna primjena ove glave te koji sadrži prioritetni popis IKT proizvoda i usluga za koje smatra da im je potreban europski program kibersigurnosne certifikacije.

Program rada utvrđuje se najkasnije [šest mjeseci nakon stupanja na snagu ove Uredbe], a novi program rada utvrđuje se svake dvije godine nakon toga. Program rada mora biti javno dostupan.

Amandman 64



1. Na temelju zahtjeva Komisije ENISA izrađuje prijedlog europskog programa kibersigurnosne certifikacije koji je u skladu sa zahtjevima iz članaka 45., 46. i 47. ove Uredbe. Države članice ili Europska skupina za kibersigurnosnu certifikaciju („Skupina”) uspostavljena u skladu s člankom 53. mogu Komisiji predložiti izradu prijedloga europskog programa kibersigurnosne certifikacije.

1. Na temelju zahtjeva Komisije ENISA izrađuje prijedlog europskog programa kibersigurnosne certifikacije koji je u skladu sa zahtjevima iz članaka 45., 46. i 47. ove Uredbe. Države članice, Europska skupina za kibersigurnosnu certifikaciju („Skupina”) uspostavljena u skladu s člankom 53. ili Stalna interesna skupina uspostavljena u skladu s člankom 20. mogu Komisiji predložiti izradu prijedloga europskog programa kibersigurnosne certifikacije.

Amandman 65




2. Pri izradi prijedloga programa iz stavka 1. ovog članka ENISA se u okviru službenog, standardiziranog i transparentnog procesa savjetuje sa Stalnom interesnom skupinom, osobito europskim organizacijama za normizaciju, i svim ostalim relevantnim dionicima, uključujući organizacije potrošača, i blisko surađuje sa Skupinom

PE619.373v03-00 156/229 RR\1160156HR.docx

HR

uzimajući u obzir postojeće nacionalne i međunarodne norme. Pri izradi svakog prijedloga programa ENISA sastavlja kontrolni popi rizika i odgovarajućih kibersigurnosnih značajki.

Skupina pruža ENISA-i pomoć i stručne savjete koji su joj potrebni u vezi s izradom prijedloga programa, među ostalim davanjem mišljenja kada je potrebno.

Kad je to relevantno, ENISA može uspostaviti i savjetodavnu interesnu skupinu stručnjaka, koja se sastoji od članova Stalne interesne skupine i svih drugih relevantnih dionika s određenim stručnim znanjem u području predmetnog predloženog programa, kako bi pružila dodatnu pomoć i savjete.

Amandman 66



3. ENISA dostavlja Komisiji prijedlog europskog programa kibersigurnosne certifikacije izrađenog u skladu sa stavkom 2. ovog članka.

3. ENISA dostavlja Komisiji prijedlog europskog programa kibersigurnosne certifikacije izrađenog u skladu sa stavkom 2. ovog članka, a Komisija ocjenjuje njegovu prikladnost za postizanje ciljeva zahtjeva iz stavka 1.

Amandman 67



3a. ENISA mora čuvati poslovnu tajnu u pogledu svih podataka prikupljenih pri obavljanju svojih zadaća u skladu s ovom Uredbom.

Amandman 68

RR\1160156HR.docx 157/229 PE619.373v03-00

HR




4. Komisija je ovlaštena donositi delegirane akte, u skladu s člankom 55.a, u pogledu uspostave europskih programa kibersigurnosne certifikacije za IKT proizvode i usluge koji ispunjavaju zahtjeve iz članaka 45., 46. i 47. ove Uredbe. Pri donošenju tih delegiranih akata Komisija temelji programe kibersigurnosne certifikacije za IKT proizvode i usluge na svim relevantnim prijedlozima programa koje je predložila ENISA. Komisija se može savjetovati s Europskim odborom za zaštitu podataka i uzeti u obzir njegovo stajalište prije donošenja takvih delegiranih akata.

Amandman 69



5. ENISA održava posebno web-mjesto na kojem pruža informacije i promovira europske programe kibersigurnosne certifikacije.

5. ENISA održava posebno web-mjesto na kojem pruža informacije i promovira europske programe kibersigurnosne certifikacije, uključujući informacije o svim predloženim programima čiju je pripremu od ENISA-e zatražila Komisija.

Amandman 70



Europski program kibersigurnosne certifikacije izrađuje se tako da se njime uzimaju u obzir, prema potrebi, sljedeći sigurnosni ciljevi:

Svaki europski program kibersigurnosne certifikacije izrađuje se tako da se njime uzimaju u obzir barem sljedeći sigurnosni ciljevi, u mjeri u kojoj su relevantni:

PE619.373v03-00 158/229 RR\1160156HR.docx

HR

Amandman 71



(g) osigurati da je softver za IKT proizvode i usluge ažuriran i da ne sadržava poznate ranjivosti i da ti IKT proizvodi u usluge raspolažu mehanizmima za sigurno ažuriranje softvera.

(g) osigurati da su softver i hardver za IKT proizvode i usluge ažurirani i da ne sadržavaju poznate ranjivosti; osigurati da su osmišljeni i provedeni tako da se njihova podložnost ranjivostima zaista ograniči te osigurati da raspolažu mehanizmima za sigurno ažuriranje softvera, uključujući nadogradnje hardvera i automatsko sigurnosno ažuriranje;

Amandman 72



(g a) osigurati da se IKT proizvodi i usluge razvijaju i funkcioniraju na takav način da je visoka razina kibersigurnosti i zaštite podataka prethodno konfigurirana u skladu s načelom „integrirane sigurnosti”.

Amandman 73



1. Europskim programom kibersigurnosne certifikacije može se utvrditi jedna od sljedećih razina jamstva ili više njih: osnovna, znatna i/ ili visoka za IKT proizvode i usluge certificirane u skladu s tim programom.

1. Svakim europskim programom kibersigurnosne certifikacije može se utvrditi jedna od sljedećih razina jamstva utemeljenih na riziku ili više njih: „funkcionalno sigurna”, „znatno sigurna” i/ili „vrlo sigurna” za IKT proizvode i usluge certificirane u skladu s tim programom.

Razine jamstva za svaki prijedlog

RR\1160156HR.docx 159/229 PE619.373v03-00

HR

europskog programa kibersigurnosne certifikacije utvrđuju se na temelju rizika utvrđenih u kontrolnom popisu iz članka 44. stavka 2. i na temelju dostupnosti kibersigurnosnih značajki za suzbijanje tih rizika u IKT proizvodima i uslugama na koje se program certifikacije primjenjuje.

Amandman 74



1 a. U svakom programu navodi se metodologija procjene ili proces evaluacije koji treba poštovati pri izdavanju certifikata na svakoj razini jamstva, ovisno o predviđenoj uporabi i riziku povezanom s IKT proizvodima i uslugama obuhvaćenim tim programom.

Amandman 75



2. Osnovna, znatna i visoka razina jamstva ispunjavaju sljedeće kriterije:

2. „Funkcionalno sigurna”, „načelno sigurna” i/ili „vrlo sigurna” razina jamstva ispunjavaju sljedeće kriterije:

Amandman 76



(a) osnovna razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava ograničeni stupanj povjerenja u navedena ili zajamčena

(a) „funkcionalno sigurna” razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava odgovarajući stupanj povjerenja

PE619.373v03-00 160/229 RR\1160156HR.docx

HR

kibersigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha smanjiti rizik od kiberincidenata;

u navedena ili zajamčena kibersigurnosna obilježja IKT postupka, proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha smanjiti rizik od kiberincidenata;

Amandman 77




(b) „znatno sigurna” razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava znatan stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT postupka, proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha znatno smanjiti rizik od kiberincidenata;

Amandman 78




(c) „vrlo sigurna” razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava viši stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT postupka, proizvoda ili usluge nego certifikatima o znatno sigurnoj razini jamstva i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha spriječiti kiberincidente. To se posebno

RR\1160156HR.docx 161/229 PE619.373v03-00

HR

odnosi na proizvode i usluge namijenjene operatorima ključnih usluga, kako su definirani u članku 4. stavku 4. Direktive 2016/1148/EU.

Amandman 79



1. Europski program kibersigurnosne certifikacije uključuje sljedeće elemente:

1. Svaki europski program kibersigurnosne certifikacije uključuje barem sljedeće elemente, kad je to primjenjivo:

Amandman 80



(a) predmet i opseg certifikacije, uključujući vrstu ili kategorije obuhvaćenih IKT proizvoda i usluga;

(a) predmet i opseg programa certifikacije, uključujući sve konkretne obuhvaćene sektore te vrstu ili kategorije obuhvaćenih IKT proizvoda i usluga;

Amandman 81



(b) iscrpnu specifikaciju kibersigurnosnih zahtjeva u odnosu na koje se određeni IKT proizvodi i uslugeo cjenjuju, na primjer upućivanjem na norme Unije ili međunarodne norme ili tehničke specifikacije;

(b) iscrpnu specifikaciju kibersigurnosnih zahtjeva u odnosu na koje se određeni IKT proizvodi i uslugeo cjenjuju, osobito upućivanjem na međunarodne, europske ili nacionalne norme ili tehničke specifikacije;

Amandman 82


PE619.373v03-00 162/229 RR\1160156HR.docx

HR


(b a) iscrpnu specifikaciju može li se odobrena certifikacija primijeniti samo na pojedinačni proizvod ili na raspon proizvoda, na primjer različite inačice ili modele iste osnovne strukture proizvoda;

Amandman 83



(c a) naznaku je li vlastita izjava o sukladnosti dopuštena u okviru programa te mjerodavni postupak za ocjenjivanje sukladnosti ili vlastitu izjavu o sukladnosti ili oboje;

Amandman 84

Prijedlog uredbeČlanak 47. – stavak 1. – točka cb (nova)


(c b) zahtjeve u pogledu certifikacije definirane tako da se certifikacija može uključiti u sustavne kibersigurnosne procese proizvođača koji se provode tijekom osmišljavanja, razvoja i životnog ciklusa IKT postupka, proizvoda ili usluge, ili da se certifikacija na njima može temeljiti;

Amandman 85



(f) ako su programom predviđeni oznake ili znakovi, uvjete pod kojim se te oznake ili znakovi mogu upotrebljavati;

(f) ako su programom predviđeni oznake ili znakovi, kao što je oznaka kibersigurnosne sukladnosti EU-a koja

RR\1160156HR.docx 163/229 PE619.373v03-00

HR

znači da IKT postupak, proizvod ili usluga udovoljava kriterijima nekog programa, uvjete pod kojim se te oznake ili znakovi mogu upotrebljavati;

Amandman 86



(g) ako je nadzor dio programa, pravila za praćenje sukladnosti sa zahtjevima iz certifikata, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima;

(g) pravila za praćenje sukladnosti sa zahtjevima iz certifikata, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima, kao što su obvezna ažuriranja, nadogradnje ili zakrpe predmetnog IKT postupka, proizvoda ili usluge, kad je to relevantno i izvedivo;

Amandman 87

Prijedlog uredbeČlanak 47. – stavak 1. – točka h


(h) uvjete za izdavanje, održavanje i produljenje certifikata te za proširenje ili smanjenje njegova opsega;

(h) uvjete za izdavanje, održavanje, produljenje i obnavljanje certifikata te za proširenje ili smanjenje njegova opsega;

Amandman 88

Prijedlog uredbeČlanak 47. – stavak 1. – točka i


(i) pravila u vezi s posljedicama nesukladnosti certificiranih proizvoda i usluga IKT-a sa zahtjevima za certifikaciju;

(i) pravila u vezi s posljedicama nesukladnosti certificiranih IKT proizvoda i usluga sa zahtjevima za certifikaciju te opće informacije o kaznama utvrđenima u članku 54. ove Uredbe;

Amandman 89

PE619.373v03-00 164/229 RR\1160156HR.docx

HR

Prijedlog uredbeČlanak 47. – stavak 1. – točka j


(j) pravila o tome kako prijaviti prethodno neotkrivene kibersigurnosne ranjivosti IKT proizvoda i usluga i postupiti u slučaju njihova otkrivanja;

(j) pravila o tome kako prijaviti prethodno neotkrivene kibersigurnosne ranjivosti IKT proizvoda i usluga i postupiti u slučaju njihova otkrivanja, među ostalim koordiniranim procesima otkrivanja ranjivosti;

Amandman 90

Prijedlog uredbeČlanak 47. – stavak 1. – točka l



(l) utvrđivanje nacionalnih ili međunarodnih programa kibersigurnosne certifikacije ili postojećih međunarodnih sporazuma o uzajamnom priznavanju kojima je obuhvaćena ista vrsta ili iste kategorije IKT proizvoda i usluga;

Amandman 91

Prijedlog uredbeČlanak 47. – stavak 1. – točka ma (nova)


(m a) maksimalno razdoblje valjanosti certifikata;

Amandman 92

Prijedlog uredbeČlanak 47. – stavak 1. – točka mb (novi)


(m b) pravila za testiranje sposobnosti odupiranja i otpornosti za „vrlo sigurnu” razinu jamstva.

RR\1160156HR.docx 165/229 PE619.373v03-00

HR

Amandman 93



3. Ako je tako predviđeno posebnim aktom Unije, certificiranje u okviru europskog programa kibersigurnosne certifikacije može se upotrijebiti za dokazivanje pretpostavke sukladnosti sa zahtjevima tog akta.

3. Ako je tako predviđeno posebnim budućim aktom Unije, certificiranje u okviru europskog programa kibersigurnosne certifikacije može se upotrijebiti za dokazivanje pretpostavke sukladnosti sa zahtjevima tog akta.

Amandman 94



2. Certifikacija je dobrovoljna, osim ako je pravom Unije predviđeno drukčije.

2. Certificiranje u sklopu europskog programa kibersigurnosne certifikacije obvezno je za IKT proizvode i usluge s visokom stopom inherentnog rizika koji su konkretno namijenjeni operatorima ključnih usluga, kako su definirani u članku 4. stavku 4. Direktive 2016/1148/EU. Za sve ostale IKT proizvode i usluge certifikacija je dobrovoljna, osim ako je pravom Unije predviđeno drukčije.

Amandman 95



3. Europski certifikat o kibersigurnosti u skladu s ovim člankom izdaju tijela za ocjenjivanje sukladnosti iz članka 51. na temelju kriterija uključenih u europski program kibersigurnosne certifikacije donesen u skladu s člankom 44.

3. Europske certifikate o kibersigurnosti u skladu s ovim člankom izdaju tijela za ocjenjivanje sukladnosti iz članka 51. na temelju kriterija uključenih u europski program kibersigurnosne certifikacije donesen u skladu s člankom 44.

Kao alternativu certificiranju koje

PE619.373v03-00 166/229 RR\1160156HR.docx

HR

provode tijela za ocjenjivanje sukladnosti, proizvođači proizvoda i pružatelji usluga mogu, ako je predmetnim programom predviđena takva mogućnost, dati vlastitu izjavu o sukladnosti kojom izjavljuju da neki postupak, proizvod ili usluga udovoljava kriterijima programa certificiranja. U takvim slučajevima proizvođač proizvoda ili pružatelj usluge na zahtjev dostavlja nacionalnom tijelu za nadzor certifikacije koje je to tražilo i ENISA-i vlastitu izjavu o sukladnosti.

Amandman 96



4. Odstupajući od stavka 3. u opravdanim se slučajevima u europskom kibersigurnosnom programu može predvidjeti da europski certifikat o kibersigurnosti u okviru tog programa može izdati samo javno tijelo. To javno tijelo može biti:

4. Odstupajući od stavka 3. u opravdanim se slučajevima, kao primjerice iz razloga nacionalne sigurnosti, u europskom programu kibersigurnosne certifikacije može predvidjeti da europski certifikat o kibersigurnosti u okviru tog programa može izdati samo javno tijelo. To javno tijelo može biti:

Amandman 97



5. Pravna ili fizička osoba koja prijavi svoje IKT proizvode ili usluge za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije.

5. Pravna ili fizička osoba koja prijavi svoje IKT proizvode ili usluge za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije, uključujući informacije o svim poznatim sigurnosnim ranjivostima.

Amandman 98


RR\1160156HR.docx 167/229 PE619.373v03-00

HR



6. Certifikati se izdaju i važeći su najviše na razdoblje utvrđeno u svakom programu certifikacije i mogu se obnoviti pod istim uvjetima ako su relevantni zahtjevi tog programa, uključujući sve revidirane ili izmijenjene zahtjeve, i dalje ispunjeni.

Amandman 99



6 a. Certifikati vrijede i dalje za sve nove verzije postupka, proizvoda ili usluge ako je primarni razlog za novu verziju zakrpa, popravak ili drugačije rješavanje poznatih ili potencijalnih sigurnosnih slabosti ili prijetnji.

Amandman 100



1. Ne dovodeći u pitanje stavak 3., nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u provedbenom aktu donesenom u skladu s člankom 44. stavkom 4. Postojeći nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

1. Ne dovodeći u pitanje stavak 3., nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u delegiranom aktu donesenom u skladu s člankom 44. stavkom 4. Komisija nadzire usklađenost s ovim podstavkom kako bi se izbjeglo postojanje paralelnih programa. Postojeći nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

PE619.373v03-00 168/229 RR\1160156HR.docx

HR

Amandman 101



3. Postojeći certifikati izdani u okviru nacionalnih programa kibersigurnosne certifikacije ostaju na snazi do svojeg datuma isteka.

3. Postojeći certifikati izdani u okviru nacionalnih programa kibersigurnosne certifikacije koji su obuhvaćeni nekim europskim programom kibersigurnosne certifikacije ostaju na snazi do svojeg datuma isteka.

Amandman 102



3. Svako nacionalno tijelo za nadzor certifikacije neovisno je od subjekata koje nadzire u pogledu svojeg ustrojstva, odluka o financiranju, pravne strukture i odlučivanja.

3. Svako nacionalno tijelo za nadzor certifikacije neovisno je od subjekata koje nadzire u pogledu svojeg ustrojstva, odluka o financiranju, pravne strukture i odlučivanja te nije tijelo za ocjenu sukladnosti ili nacionalno akreditacijsko tijelo.

Amandman 103



(a) prate i izvršavaju primjenu odredaba iz ove glave na nacionalnoj razini i nadziru sukladnost certifikata koje su izdala tijela za ocjenjivanje sukladnosti osnovana na njihovu državnom području sa zahtjevima iz ove glave i odgovarajućeg europskog programa kibersigurnosne certifikacije;

(a) prate i izvršavaju primjenu odredaba iz ove glave na nacionalnoj razini i u skladu s pravilima koje je donijela Europska skupina za kibersigurnosnu certifikaciju na temelju točke (da) članka 53. stavka 3. nadziru sukladnost:

i. certifikata koje su izdala tijela za ocjenjivanje sukladnosti osnovana na njihovu državnom području sa zahtjevima iz ove glave i odgovarajućeg europskog

RR\1160156HR.docx 169/229 PE619.373v03-00

HR

programa kibersigurnosne certifikacije i

ii. vlastitih izjava o sukladnosti izdanih u sklopu programa za IKT postupak, proizvod ili uslugu;

Amandman 104



(b) prate i nadziru aktivnosti tijela za ocjenjivanje sukladnosti za potrebe ove Uredbe, među ostalim i u pogledu obavijesti tijela za ocjenjivanje sukladnosti i povezanih zadaća iz članka 52. ove Uredbe;

(b) prate, nadziru i barem svake dvije godine ocjenjuju aktivnosti tijela za ocjenjivanje sukladnosti za potrebe ove Uredbe, među ostalim i u pogledu obavijesti tijela za ocjenjivanje sukladnosti i povezanih zadaća iz članka 52. ove Uredbe;

Amandman 105



(c) obrađuju pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražuju predmet pritužbe i u razumnom roku obavješćuju podnositelja pritužbe o napretku i rezultatu istrage;

(c) obrađuju pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području ili u pogledu danih vlastitih izjava o sukladnosti, u prikladnoj mjeri istražuju predmet pritužbe i u razumnom roku obavješćuju podnositelja pritužbe o napretku i rezultatu istrage;

Amandman 106



(c a) izvješćuju ENISA-u i Europsku skupinu za kibersigurnosnu certifikaciju o rezultatima provjera iz točke (a) i

PE619.373v03-00 170/229 RR\1160156HR.docx

HR

ocjenjivanja iz točke (b);

Amandman 107




(d) surađuju s drugim nacionalnim tijelima za nadzor certifikacije, nacionalnim akreditacijskim tijelima ili drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj nesukladnosti, uključujući prijevarne, netočne ili lažne tvrdnje o certifikaciji, IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

Amandman 108



(c a) povući akreditaciju tijela za ocjenjivanje sukladnosti koja se ne pridržavaju ove Uredbe;

Amandman 109



(e) povući, u skladu s nacionalnim pravom, certifikate koji nisu u skladu s ovom Uredbom ili europskim programom kibersigurnosne certifikacije;

(e) povući, u skladu s nacionalnim pravom, certifikate koji nisu u skladu s ovom Uredbom ili europskim programom kibersigurnosne certifikacije i o tome obavijestiti nacionalna akreditacijska tijela;

Amandman 110

RR\1160156HR.docx 171/229 PE619.373v03-00

HR



(f a) ENISA-i predložiti stručnjake koji bi mogli sudjelovati u radu savjetodavne interesne skupine stručnjaka iz članka 44. stavka 2.

Amandman 111



Komisija stavlja na raspolaganje opći elektroničko-informacijski sustav podrške za potrebe takve razmjene.

Amandman 112



Članak 50.a

Istorazinska ocjena

1. Nacionalna tijela za nadzor certifikacije podliježu istorazinskoj ocjeni u pogledu svih aktivnosti koje provode na temelju članka 50. ove Uredbe.

2. Istorazinskom ocjenom obuhvaćeni su svi postupci koje provode nacionalna tijela za nadzor certifikacije, posebice postupci provjere sukladnosti proizvoda koji podliježu kibersigurnosnoj certifikaciji, stručnosti osoblja, ispravnosti provjera i metodologije inspekcija, kao i točnosti rezultata. U okviru istorazinske ocjene također se ocjenjuje imaju li dotična nacionalna tijela za nadzor certifikacije dovoljno resursa za ispravno obavljanje svojih dužnosti kako je određeno člankom 50. stavkom 4.

PE619.373v03-00 172/229 RR\1160156HR.docx

HR

3. Istorazinsku ocjenu nacionalnog tijela za nadzor certifikacije provode dva nacionalna tijela za nadzor certifikacije iz drugih država članica i Komisija te se ona provodi barem jednom svakih pet godina. ENISA može sudjelovati u istorazinskoj ocjeni, a o svom sudjelovanju odlučuje na temelju analize procjene rizika.

4. Komisija u skladu s člankom 55.a ima ovlasti donositi delegirne akte kako bi utvrdila plan za istorazinsku ocjenu kojim se obuhvaća razdoblje od najmanje pet godina, definiraju kriteriji za sastav tima za istorazinsku ocjenu, metodologija koja se primjenjuje za istorazinsku ocjenu, raspored, učestalost i druge zadaće povezane s istorazinskom ocjenom. Pri donošenju tih delegiranih akata Komisija u obzir uzima napomene Skupine.

5. Skupina ispituje ishod istorazinske ocjene. ENISA sastavlja sažetak ishoda i objavljuje ga.

Amandman 113



2a. Ako proizvođači izaberu „vlastitu izjavu o sukladnosti” u skladu s člankom 48. stavkom 3., tijela za ocjenjivanje sukladnosti poduzet će dodatne korake kako bi provjerila interne postupke koje je proizvođač proveo da bi zajamčio sukladnost svojih proizvoda i/ili usluga sa zahtjevima europskog programa kibersigurnosne certifikacije.

Amandman 114

Prijedlog uredbeČlanak 53. – stavak 3. – točka da (nova)

RR\1160156HR.docx 173/229 PE619.373v03-00

HR


(d a) donijeti obvezujuća pravila kojima se utvrđuju učestalost provjera certifikata i vlastitih izjava o sukladnosti koje provode nacionalna tijela za nadzor certifikacije te kriteriji, razmjer i opseg tih provjera i donijeti zajednička pravila i standarde za izvješćivanje u skladu s člankom 50. stavkom 6.;

Amandman 115



(e) analizirati relevantne promjene u području kibersigurnosne certifikacije i razmjenjivati dobru praksu o programima kibersigurnosne certifikacije;

(e) analizirati relevantne promjene u području kibersigurnosne certifikacije i razmjenjivati informacije i dobru praksu o programima kibersigurnosne certifikacije;

Amandman 116



(f a) razmjenjivati primjere dobre prakse u vezi s istragama tijela za ocjenjivanje sukladnosti, nositeljima europskog certifikata o kibersigurnosti te proizvođačima i pružateljima usluga koji su dali vlastite izjave o sukladnosti;

Amandman 117

Prijedlog uredbeČlanak 53. – stavak 3. – točka fb (nova)


(f b) olakšati usklađivanje europskih programa kibersigurnosne certifikacije s međunarodno priznatim normama i, po

PE619.373v03-00 174/229 RR\1160156HR.docx

HR

potrebi, predložiti ENISA-i područja u kojima bi trebala surađivati s relevantnim međunarodnim i europskim organizacijama za normizaciju kako bi se riješili nedostaci ili manjkavosti u međunarodno priznatim normama;

Amandman 118

Prijedlog uredbeČlanak 53. – stavak 3. – točka fc (nova)


(f c) pri uspostavi programa rada iz članka 43.a davati savjete ENISA-i o prioritetnom popisu IKT proizvoda i usluga za koje smatra da je potreban europski program kibersigurnosne certifikacije;

Amandman 119



ENISA se mora pobrinuti da dnevni red, zapisnici i evidencija donesenih odluka budu registrirani te da objavljene verzije tih dokumenata budu dostupne javnosti na internetskoj stranici ENISA-e nakon svakog sastanka Skupine.

Amandman 120



Članak 55.a

Izvršavanje delegiranja ovlasti

Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

RR\1160156HR.docx 175/229 PE619.373v03-00

HR

Ovlast za donošenje delegiranih akata iz članka 44. stavka 4. i članka 50.a stavka 4. dodjeljuje se Komisiji na razdoblje od 5 godina počevši od [datum stupanja na snagu temeljnog zakonodavnog akta]. Komisija izrađuje izvješće o delegiranju ovlasti najkasnije devet mjeseci prije kraja razdoblja od pet godina. Delegiranje ovlasti prešutno se produljuje za razdoblja jednakog trajanja, osim ako se Europski parlament ili Vijeće tom produljenju usprotive najkasnije tri mjeseca prije kraja svakog razdoblja.

Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 44. stavka 4. i članka 50.a stavka 4. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

Delegirani akt donesen na temelju članka 44. stavka 4. ili članka 50.a stavka 4. stupa na snagu samo ako Europski parlament ili Vijeće u roku od [dva mjeseca] od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za [dva mjeseca] na inicijativu Europskog parlamenta ili Vijeća.

PE619.373v03-00 176/229 RR\1160156HR.docx

HR

RR\1160156HR.docx 177/229 PE619.373v03-00

HR

POSTUPAK U ODBORU KOJI DAJE MIŠLJENJE

Naslov Uredba o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

Referentni dokumenti COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Nadležni odbor Datum objave na plenarnoj sjednici

ITRE23.10.2017

Odbori koji su dali mišljenje Datum objave na plenarnoj sjednici

IMCO23.10.2017

Pridruženi odbori - datum objave na plenarnoj sjednici

18.1.2018

Izvjestitelj(ica) za mišljenje Datum imenovanja

Nicola Danti25.9.2017

Razmatranje u odboru 21.2.2018 21.3.2018

Datum usvajanja 17.5.2018

Rezultat konačnog glasovanja +:–:0:

3121

Zastupnici nazočni na konačnom glasovanju

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Zamjenici nazočni na konačnom glasovanju

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Zamjenici nazočni na konačnom glasovanju prema čl. 200. st. 2.

Inés Ayala Sender, Flavio Zanonato

PE619.373v03-00 178/229 RR\1160156HR.docx

HR

KONAČNO GLASOVANJE POIMENIČNIM GLASOVANJEM U ODBORU KOJI DAJE MIŠLJENJE

31 +ALDE

ECR

EFDD

GUE/NGL

PPE

S&D

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2 -EFDD John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1 0ENF Mylène Troszczynski

Korišteni znakovi:+ : za- : protiv0 : suzdržani

RR\1160156HR.docx 179/229 PE619.373v03-00

HR

16.5.2018

MIŠLJENJE ODBORA ZA PRORAČUNE


o Prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Izvjestitelj za mišljenje: Jens Geier


Izvjestitelj općenito pozdravlja Komisijin Prijedlog akta o kibersigurnosti u cilju daljnjeg jačanja uloge Agencije Europske unije za mrežnu i informacijsku sigurnost (ENISA), s obzirom na to da je pitanje kibersigurnosti očito prekogranične prirode i da je potreban više europski pristup. Izvjestitelj posebno pozdravlja Komisijin prijedlog da se ENISA-i odobri stalni mandat, s obzirom na njezinu ojačanu ulogu i radi pružanja sigurnosti osoblju Agencije. Komisija predlaže da se do 2022. broj zaposlenika u funkcijskim skupinama AD i AST poveća za 411 te da se godišnji proračun Agencije poveća na 23 milijuna EUR 20222.

Izvjestitelj smatra da trenutačni aranžman u pogledu sjedišta, tj. višestruka lokacija Agencije u Heraklionu i Ateni, ometa učinkovito funkcioniranje pri obavljanju mandata Agencije. Međuinstitucijska radna skupina za resurse agencija, osnovana nakon dogovora o proračunu za 2014., preporučuje „Komisiji da provede evaluaciju višestrukih lokacija agencijâ (dvostruka sjedišta, postojanje tehničkih pogona uz sjedište, lokalni uredi ili upućivanje osoblja izvan sjedišta) na temelju dosljedna pristupa i upotrebom jasnih i transparentnih kriterija, a posebno s ciljem ocjene njihove dodane vrijednosti i uzimajući u obzir nastale troškove”. Sve institucije EU-a složile su se s tom preporukom te izvjestitelj smatra da bi tu evaluaciju trebalo brzo provesti. Nakon evaluacije institucije bi trebale bez daljnjeg odlaganja doći do potrebnih zaključaka.

Izvjestitelj nadalje smatra da bi se mandat Agencije u pogledu pružanja stručnih savjeta mogao dodatno ojačati ako se Agenciji dodijeli proračun za korištenje vlastitog proračuna za aktivnosti istraživanja i razvoja. Za taj bi proračun Agencija trebala imati potrebne resurse.

1 To obuhvaća 26 zaposlenika funkcijske skupine AD, 6 zaposlenika funkcijske skupine AST i 9 upućenih nacionalnih stručnjaka. Nisu obuhvaćene procijenjene potrebe za nadležnu glavnu upravu, ugovorno osoblje i vanjske ugovaratelje.2 Procjena, kojom se ne dovodi u pitanje financiranje EU-a nakon 2020.

PE619.373v03-00 180/229 RR\1160156HR.docx

HR

Dodatne uštede mogle bi se ostvariti ako se Agenciji dopusti da koristi usluge prevođenja drugih pružatelja usluga. Demokratski nadzor nad Agencijom mogao bi se ojačati imenovanjem predstavnika Europskog parlamenta u Upravljački odbor, u skladu sa zajedničkim pristupom agencijama.

AMANDMANI

Odbor za proračune poziva Odbor za industriju, istraživanje i energetiku da kao nadležni odbor uzme u obzir sljedeće amandmane:

Amandman 1



(3 a) ENISA bi u praksi trebala davati snažniju potporu kibersigurnosnoj industriji u EU-u utemeljenu na informacijama, posebno malim i srednjim poduzećima te inovativnim novoosnovanim poduzećima, koja su ključni izvori inovativnih rješenja u području kiberobrane, te bi trebala promicati tješnju suradnju s akademskim istraživačkim organizacijama i drugim velikim dionicima kako bi se smanjila ovisnost o kibersigurnosnim proizvodima koji ne potječu iz EU-a i uspostavio strateški lanac opskrbe unutar Unije.

Amandman 2



(4) Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su

(4) Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su

RR\1160156HR.docx 181/229 PE619.373v03-00

HR

nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Potrebe za osposobljavanjem u području kiberobrane znatne su i sve se više povećavaju, a na njih se najučinkovitije može odgovoriti suradnjom na razini Unije. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Amandman 3



(10) Odlukom 2004/97/EZ, Euratom, koja je donesena na sastanku Europskog vijeća od 13. prosinca 2003., predstavnici država članica odlučili su da će sjedište ENISA-e biti u Grčkoj u gradu koji odredi grčka vlada. Država članica domaćin Agencije trebala bi osigurati najbolje moguće uvjete za njezin nesmetan i učinkovit rad. Za pravilno i učinkovito obavljanje zadaća, za odabir i zadržavanje osoblja te za jačanje učinkovitosti aktivnosti umrežavanja nužno je da se Agencija nalazi na odgovarajućoj lokaciji na kojoj su, među ostalim, osigurani odgovarajuća prometna povezanost te prostori za supružnike i djecu koji prate članove osoblja Agencije. Potrebne aranžmane trebalo bi utvrditi u sporazumu između Agencije i države članice domaćina

(10) Odlukom 2004/97/EZ, Euratom, koja je donesena na sastanku Europskog vijeća od 13. prosinca 2003., predstavnici država članica odlučili su da će sjedište ENISA-e biti u Grčkoj u gradu koji odredi grčka vlada. Država članica domaćin Agencije trebala bi osigurati najbolje moguće uvjete za njezin nesmetan i učinkovit rad. Za pravilno i učinkovito obavljanje zadaća, za odabir i zadržavanje osoblja te za jačanje učinkovitosti aktivnosti umrežavanja nužno je da se Agencija nalazi na odgovarajućoj lokaciji na kojoj su, među ostalim, osigurani odgovarajuća prometna povezanost te prostori za supružnike i djecu koji prate članove osoblja Agencije. Potrebne aranžmane trebalo bi utvrditi u sporazumu između Agencije i države članice domaćina

PE619.373v03-00 182/229 RR\1160156HR.docx

HR

koji se sklapa nakon dobivanja suglasnosti Upravljačkog odbora Agencije.

koji se sklapa nakon dobivanja suglasnosti Upravljačkog odbora Agencije. Taj bi sporazum u cilju veće učinkovitosti Agencije trebalo revidirati nakon evaluacije koju će provesti Komisija po preporuci međuinstitucijske radne skupine za resurse agencija te bi trebalo preispitati lokaciju Agencije.

Amandman 4



(12) Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Skupom zadaća trebao bi se utvrditi način na koji će Agencija ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

(12) Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama te izbjegavati dupliciranje posla, promicati sinergiju i komplementarnost te tako postići koordinaciju i fiskalne uštede. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Skupom zadaća trebao bi se utvrditi način na koji će Agencija ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

Amandman 5



(15 a) Međunarodno pravo primjenjuje se na kiberprostor, a izvješća UN-ove

RR\1160156HR.docx 183/229 PE619.373v03-00

HR

skupine vladinih stručnjaka za informacijsku sigurnost iz 2013. i 2015. i dalje predstavljaju relevantne smjernice, posebno u pogledu zabrane državama da provode ili svjesno pružaju potporu za kiberaktivnosti koje bi bile u suprotnosti s njihovim obvezama prema međunarodnim pravilima. U tom je kontekstu Talinski priručnik 2.0 relevantan kao izvrstan temelj za raspravu o tome na koji se način međunarodno pravo primjenjuje na kiberprostor; došlo je vrijeme da države članice počnu proučavati i primjenjivati priručnik.

Amandman 6



(36) Agencija bi trebala u potpunosti uzeti u obzir tekuće aktivnosti istraživanja, razvoja i tehnološkog ocjenjivanja, posebno one aktivnosti koje provode različite istraživačke inicijative Unije kako bi institucije tijela, urede i agencije Unije i, prema potrebi, države članice, na njihov zahtjev savjetovala o potrebama za istraživanjem u području mrežne i informacijske sigurnosti, posebno kibersigurnosti.

(36) Agencija bi trebala u potpunosti uzeti u obzir tekuće aktivnosti istraživanja, razvoja i tehnološkog ocjenjivanja, posebno one aktivnosti koje provode različite istraživačke inicijative Unije kako bi institucije tijela, urede i agencije Unije i, prema potrebi, države članice, na njihov zahtjev savjetovala o potrebama za istraživanjem u području mrežne i informacijske sigurnosti, posebno kibersigurnosti. Agenciji bi trebalo dodijeliti dodatni proračun za aktivnosti istraživanja i razvoja kao nadopunu postojećim istraživačkim programima Unije.

Amandman 7



(46 a) Proračun Agencije trebalo bi donijeti u skladu s načelom izrade proračuna zasnovane na uspješnosti, pri čemu se uzimaju u obzir ciljevi Agencije i

PE619.373v03-00 184/229 RR\1160156HR.docx

HR

očekivani rezultati po izvršenju zadaća.

Amandman 8



4. Agencija promiče suradnju i koordinaciju na razini Unije među državama članicama, institucijama, agencijama i tijelima Unije i relevantnim dionicima, uključujući privatni sektor, u pitanjima povezanima s kibersigurnošću.

4. Agencija promiče suradnju i koordinaciju na razini Unije među državama članicama, institucijama, agencijama i tijelima Unije i relevantnim dionicima, uključujući privatni sektor, u pitanjima povezanima s kibersigurnošću kako bi postigla koordinaciju i fiskalne uštede, izbjegla dupliciranje i promicala sinergiju i komplementarnost njihovih aktivnosti.

Amandman 9



(g a) objavljuje i promiče aktivnosti i rezultate svojega rada kako bi povećala vidljivost i osviještenost među građanima.

Amandman 10

Prijedlog uredbeČlanak 10. – točka ba (nova)


(b a) naručuje vlastite istraživačke aktivnosti u područjima od interesa koja još nisu obuhvaćena postojećim istraživačkim programima Unije, u slučajevima kada je prisutna jasna europska dodana vrijednost.

Amandman 11


RR\1160156HR.docx 185/229 PE619.373v03-00

HR


1. Upravljački odbor sastoji se od jednog predstavnika svake države članice i dva predstavnika koje imenuje Komisija. Svi predstavnici imaju pravo glasa.

1. Upravljački odbor sastoji se od jednog predstavnika svake države članice, jednog predstavnika kojeg imenuje Europski parlament i dva predstavnika koje imenuje Komisija. Svi predstavnici imaju pravo glasa.

Amandman 12

Prijedlog uredbeČlanak 26. – stavak 1. – podstavak 1. (novi)


Privremeni nacrt izvještaja o prihodima i rashodima Agencije temelji se na ciljevima i očekivanim rezultatima jedinstvenog programskog dokumenta iz članka 21. stavka 1. i uzima u obzir financijske resurse potrebne za postizanje tih ciljeva i očekivanih rezultata u skladu s načelom izrade proračuna zasnovane na uspješnosti.

Amandman 13



5. Osobna odgovornost službenika prema Agenciji podliježe odgovarajućim uvjetima koji se primjenjuju na osoblje.

5. Osobna odgovornost službenika prema Agenciji podliježe odgovarajućim uvjetima koji se primjenjuju na osoblje. Osigurava se učinkovito zapošljavanje osoblja.

Amandman 14



2. Prevoditeljske usluge potrebne za funkcioniranje Agencije pruža

2. Prevoditeljske usluge potrebne za funkcioniranje Agencije pruža

PE619.373v03-00 186/229 RR\1160156HR.docx

HR

Prevoditeljski centar za tijela Europske unije.

Prevoditeljski centar za tijela Europske unije ili drugi pružatelji prevoditeljskih usluga u skladu s pravilima javne nabave i unutar granica utvrđenih relevantnim financijskim pravilima.

Amandman 15



2. Država članica domaćin Agencije osigurava najbolje moguće uvjete za osiguravanje pravilnog funkcioniranja Agencije, uključujući dostupnost lokacije, postojanje odgovarajućih obrazovnih objekata za djecu članova osoblja, odgovarajući pristup tržištu rada, socijalno osiguranje i zdravstvenu zaštitu za djecu i supružnike.

2. Država članica domaćin Agencije osigurava najbolje moguće uvjete za osiguravanje pravilnog funkcioniranja Agencije, uključujući jedinstvenu lokaciju za cijelu Agenciju, dostupnost lokacije, postojanje odgovarajućih obrazovnih objekata za djecu članova osoblja, odgovarajući pristup tržištu rada, socijalno osiguranje i zdravstvenu zaštitu za djecu i supružnike.

Obrazloženje

Aktualna struktura Agencije čije je administrativno sjedište u Heraklionu, a operativno u Ateni, pokazala se neučinkovitom i skupom. Stoga bi svi zaposlenici ENISA-e trebali raditi u istom gradu. S obzirom na kriterije navedene u ovom stavku lokacija Agencije trebala bi biti u Ateni.

Amandman 16



2a. Nakon što Komisija provede evaluaciju po preporuci međuinstitucijske radne skupine za resurse agencija, Sporazum o sjedištu Agencije revidirat će se te će se u skladu s time preispitati lokacija Agencije.

RR\1160156HR.docx 187/229 PE619.373v03-00

HR





ITRE23.10.2017


BUDG23.10.2017


Jens Geier26.9.2017

Razmatranje u odboru 21.3.2018



2240


Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek


Ivana Maletić, Andrey Novakov

PE619.373v03-00 188/229 RR\1160156HR.docx

HR


22 +

ALDE Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR Bernd Kölmel

PPE Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE Jordi Solé

4 -

ENF André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL Liadh Ní Riada

0 0


RR\1160156HR.docx 189/229 PE619.373v03-00

HR

16.3.2018

MIŠLJENJE ODBORA ZA GRAĐANSKE SLOBODE, PRAVOSUĐE I UNUTARNJE POSLOVE


o prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (Agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Izvjestitelj za mišljenje: Jan Philipp Albrecht


Izvjestitelj pozdravlja prijedlog Komisije o donošenju „Akta o kibersigurnosti”1 jer se njime bolje definira uloga ENISA-e u izmijenjenom ekosustavu informatičke sigurnosti te se razvijaju mjere u pogledu normi, certificiranja i označavanja informatičke sigurnosti kako bi sustavi koji se temelje na informacijsko-komunikacijskim tehnologijama, uključujući povezane objekte, postali sigurniji.

Bez obzira to, izvjestitelj smatra da postoji prostor za daljnja poboljšanja. Izvjestitelj čvrsto vjeruje da je informacijska sigurnost ključna za zaštitu temeljnih prava građana utvrđenih u Povelji Europske unije o temeljnim pravima, kao i za borbu protiv kiberkriminaliteta te zaštitu demokracije i vladavine prava.

Temeljna prava: Nesigurni sustavi mogu dovesti do povrede podataka ili zlouporabe identiteta, što bi pojedincima moglo stvoriti stvarnu štetu i nevolje, uključujući rizike u pogledu njihovih života, privatnosti, dostojanstva ili imovine. Primjerice, svjedoci mogu biti u opasnosti od zastrašivanja i fizičke povrede, a žene mogu biti u opasnosti od obiteljskog nasilja u slučaju da se otkriju njihove kućne adrese. Što se tiče interneta stvari koji sadrži i fizičke aktivatore, a ne samo senzore, fizički integritet i život pojedinaca mogao bi se naći u opasnosti zbog napada na informatičke sustave. Amandmani koje izvjestitelj predlaže posebno su usmjereni na zaštitu članaka 1., 2., 3., 6., 7., 8., 11. i 17. Povelje Europske unije o temeljnim pravima. Postoji čak i sudska praksa iz područja ustavnog prava prema kojoj iz općih prava osobnosti proizlazi posebno „temeljno pravo na povjerljivost i integritet 1 Europska komisija, Prijedlog uredbe Europskog parlamenta i Vijeća o ENISA-i (Agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”), COM(2017) 477 final/2.

PE619.373v03-00 190/229 RR\1160156HR.docx

HR

informatičko-tehničkih sustava”2, prilagođeno našem trenutačnom digitalnom okružju.

Borba protiv kiberkriminaliteta: Neki oblici kaznenih djela počinjenih na internetu, kao što su phishing napadi ili financijske i bankovne prijevare, predstavljaju povredu povjerenja, a protiv toga nije se moguće boriti mjerama informatičke sigurnosti. Što se tiče borbe protiv tih vrsta kaznenih djela, izvjestitelj pozdravlja prijedlog da se redovito provode informativne kampanje i kampanje za podizanje razine osviještenosti javnosti usmjerene na krajnje korisnike, a koje bi organizirala ENISA. Drugi oblici kaznenih djela na internetu uključuju napade na informatičke sustave kao što su hakiranje ili distribuirani napadi uskraćivanjem usluga. Kada je riječ o borbi protiv tih vrsta kaznenih djela, izvjestitelj smatra da će se jačanjem informatičke sigurnosti djelotvorno poboljšati suzbijanje i sprečavanje kiberkriminaliteta.

Demokracija i vladavina prava: Napadi na informatičke sustave koje provode vlade i nedržavni akteri jasna su i sve veća prijetnja demokraciji jer se njima ugrožava održavanje slobodnih i pravednih izbora, primjerice, manipuliranjem činjenica i mišljenja koji utječu na glasovanje građana, uplitanjem u postupak glasovanja i izmjenom rezultata glasovanja ili narušavanjem povjerenja u pouzdanost glasovanja.

Izvjestitelj stoga u okviru svojeg nacrta mišljenja odbora LIBE predlaže da se Prijedlog Komisije izmijeni imajući na umu sljedeća ključna pitanja:

Agencija treba imati veću ulogu u poticanju svih dionika europskog informacijskog društva da usvoje pouzdane tehnologije za unapređenje zaštite privatnosti i preventivne mjere informatičke sigurnosti;

Agencija treba predložiti politike kojima se utvrđuju jasne odgovornosti svih dionika koji sudjeluju u ekosustavu informatičko-komunikacijskih tehnologija u slučaju kada bi izostanak primjene prikladne informatičke sigurnosti moglo dovesti do ozbiljnih posljedica u pogledu sigurnosti, velike štete za okoliš ili izazvati sustavnu financijsku ili gospodarsku krizu;

Agencija treba predložiti, u suradnji sa stručnjacima u području informatičke sigurnosti, jasne i obvezujuće osnovne uvjete u pogledu informatičke sigurnosti;

Agencija treba predložiti program certificiranja informatičke sigurnosti kojim se prodavačima u području informatičko-komunikacijskih tehnologija omogućuje da u interesu potrošača povećaju transparentnost u pogledu mogućnosti ažuriranja i kraja razdoblja pružanja softverske podrške. Takav program certificiranja treba biti dinamičan jer je područje sigurnosti potrebno stalno poboljšavati;

Agencija bi proizvođačima u području informatičko-komunikacijskih tehnologija trebala omogućiti jednostavniju i jeftiniju provedbu načela integrirane sigurnosti objavljivanjem smjernica i primjera najbolje prakse;

Agencija treba na zahtjev institucija, tijela, ureda i agencija Unije, kao i država članica, provoditi redovite preventivne revizije informatičke sigurnosti njihove ključne infrastrukture (pravo na reviziju);

2 Njemački Ustavni sud, presuda od 27. veljače 2008., predmeti 1 BvR 370/07, 1 BvR 595/07.

RR\1160156HR.docx 191/229 PE619.373v03-00

HR

Agencija treba odmah prijaviti ranjivosti u pogledu informatičke sigurnosti koje još uvijek nisu javno objavljene proizvođačima. Agencija ne smije prikrivati ili iskorištavati neobjavljene ranjivosti u poduzećima ili proizvodima za vlastite ciljeve. Vladina tijela, koristeći se novcem poreznih obveznika, ugrožavaju sigurnost građana razvijanjem, kupnjom i iskorištavanjem „stražnjih ulaza” u informatičke sustave. Kako bi se zaštitili drugi dionici koji odgovorno postupaju u slučaju takvih ranjivosti, Agencija treba predložiti politike za odgovornu razmjenu informacija o „Zero days” ranjivostima i drugim vrstama sigurnosnih ranjivosti koje još nisu javno objavljene te za olakšano rješavanje ranjivosti;

Kako bi EU uhvatio korak s industrijama informatičke sigurnosti u trećim zemljama, Agencija treba utvrditi i pokrenuti dugoročni projekt EU-a u području informatičke sigurnosti koji bi po opsegu odgovarao mjerama koje su na primjeru Airbusa poduzete u zrakoplovnoj industriji;

Komisija treba izbjegavati korištenje termina „kibersigurnost” jer je pravno nejasan i mogao bi dovesti do nejasnoća. Izvjestitelj predlaže da se termin „kibersigurnost” zamijeni terminom „informatička sigurnost” kako bi se poboljšala pravna sigurnost.

AMANDMANI

Odbor za građanske slobode, pravosuđe i unutarnje poslove poziva Odbor za industriju, istraživanje i energetiku da kao nadležni odbor uzme u obzir sljedeće amandmane:

Amandman 1

Prijedlog uredbeNaslov


UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

o ENISA-i (Agenciji EU-a za mrežnu i informacijsku sigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o informatičkoj sigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o informatičkoj sigurnosti”)

(Ova izmjena primjenjuje se u cijelom zakonodavnom tekstu koji se razmatra;

PE619.373v03-00 192/229 RR\1160156HR.docx

HR

Obrazloženje

Prefiks „kiber”, koji potječe iz znanstveno-fantastičnih djela iz 1960-ih, sve se češće koristi kako bi se opisali negativni aspekti interneta (kibernapad, kiberkriminalitet, itd.), međutim, radi se o pravno veoma nejasnom prefiksu. Izvjestitelj predlaže da se termin „kibersigurnost” promijeni u „informatička sigurnost” kako bi se zajamčila pravna sigurnost.

Amandman 2



(2) Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja.

(2) Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne informatičke sigurnosti. U tom kontekstu, zbog ograničene i fragmentirane uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o informatičko-sigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja. IKT mreže danas čine okosnicu digitalnih proizvoda i usluga koje nam pomažu u svim aspektima života te potiču gospodarski rast Europe. Kako bi se osiguralo potpuno ispunjenje ciljeva jedinstvenog digitalnog tržišta, moraju biti uspostavljene osnovne tehnološke sastavnice na koje se nadovezuju važna područja kao što su e-zdravstvo, internet stvari, umjetna inteligencija, kvantna tehnologija te inteligentni prometni sustavi i napredna proizvodnja.

Amandman 3

RR\1160156HR.docx 193/229 PE619.373v03-00

HR



(4) Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

(4) Kibernapadi sve su češći te je potrebna snažnija i sigurnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori tijela nadležnih za informatičku sigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja informatičke sigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Amandman 4



(5) Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacija u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granica, trebalo bi povećati

(5) Zbog sve većih izazova u pogledu informatičke sigurnosti s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacija u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju

PE619.373v03-00 194/229 RR\1160156HR.docx

HR

sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, povjerenje u jedinstveno digitalno tržište trebalo bi dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima.

granica, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u pružanje koordiniranog odgovora na razini EU-a te podizanje razine osviještenosti građana i poduzeća u području informatičke sigurnosti. Nadalje, povjerenje u jedinstveno digitalno tržište trebalo bi dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički zahtjevi u pogledu informatičke sigurnosti i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima. Osim certificiranja na razini Unije, postoji niz dobrovoljnih mjera koje su općeprihvaćene na tržištu, ovisno o proizvodu, usluzi, upotrebi ili normi. Trebalo bi poticati te mjere, kao i pristup industrije „odozdo prema gore”, uključujući upotrebu integrirane sigurnosti, promicanje međunarodnih normi i doprinošenje tim normama.

Amandman 5



(7) Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS utvrđuju se zahtjevi u pogledu

(7) Unija je već poduzela važne korake kako bi osigurala informatičku sigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na prijetnje i rizike za informatičku sigurnost. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području informatičke sigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom

RR\1160156HR.docx 195/229 PE619.373v03-00

HR

nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

NIS zadovoljava se strategija jedinstvenog digitalnog tržišta, te se, zajedno s drugim instrumentima, kao što su Direktiva .../... [o Europskom zakoniku elektroničkih komunikacija], Uredba (EU) 2016/679 Europskog parlamenta i Vijeća1a i Direktiva 2002/58/EZ Europskog parlamenta i Vijeća1b, utvrđuju zahtjevi u pogledu nacionalnih sposobnosti u području informatičke sigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine informatičke sigurnosti.

_______________1aUredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.)1bDirektiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

Amandman 6

PE619.373v03-00 196/229 RR\1160156HR.docx

HR



(8) Priznaje se da se od donošenja strategije EU-a o kibersigurnosti iz 2013. i posljednje revizije mandata Agencije znatno promijenio opći kontekst politike, među ostalim u pogledu nesigurnijeg globalnog okruženja. U tom kontekstu i u okviru nove politike Unije u području kibersigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom kibersigurnosnom ekosustavu i osiguralo da ona djelotvorno pridonosi odgovoru Unije na kiberizazove koji proizlaze iz bitno preobraženog okruženja prijetnji na koje Agencija, u okviru svojeg trenutačnog mandata, ne može odgovoriti.

(8) Priznaje se da se od donošenja strategije EU-a o kibersigurnosti iz 2013. i posljednje revizije mandata Agencije znatno promijenio opći kontekst politike, među ostalim u pogledu nesigurnijeg globalnog okruženja. U tom kontekstu i u okviru nove politike Unije u području informatičke sigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom informatičko-sigurnosnom ekosustavu i osiguralo da ona preuzme vodeću ulogu zahvaljujući kojoj će djelotvorno poboljšati odgovor Unije na izazove u području informatičke sigurnosti koji proizlaze iz bitno preobraženog okruženja prijetnji na koje Agencija, u okviru svojeg trenutačnog mandata, ne može odgovoriti.

Amandman 7




(11) S obzirom na sve veće izazove u području informatičke sigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav. Potrebno je obratiti pozornost na daljnje jačanje kapaciteta Agencije.

Obrazloženje

Ključno je da se riješi problem nedostatnih kapaciteta Agencije. Isto tako, treba težiti daljnjem razvoju Agencije s obzirom na presudnu važnost kibersigurnosti danas te, prije svega, u budućnosti. Valja upozoriti na rusko uplitanje u izbore, povećanje kapaciteta velesila i zemalja diljem svijeta te neizbježnu digitalizaciju važnih sektora.

RR\1160156HR.docx 197/229 PE619.373v03-00

HR

Amandman 8



(11a) Izazovi u području informatičke sigurnosti u digitalnom su dobu često blisko povezani s izazovima u području zaštite podataka, zaštite privatnog života, kao i zaštite elektroničke komunikacije. Kako bi se Agencija mogla prikladno suočiti s tim izazovima, postoji potreba za bliskom suradnjom i učestalim savjetovanjem s tijelima osnovanima u skladu s Uredbom (EZ) 45/2001 Europskog parlamenta i Vijeća1a, Uredbom (EU) 2016/679, Direktivom (EU) 2016/680 i Uredbom (EZ) br. 1211/2009, kao i s industrijskim sektorom i civilnim društvom.

________________1aUredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.)

Amandman 9



(12) Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim

(12) Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim

PE619.373v03-00 198/229 RR\1160156HR.docx

HR

naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Skupom zadaća trebao bi se utvrditi način na koji će Agencija ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Trebalo bi definirati jasan plan i skup zadataka i ciljeva koje Agencija treba ostvariti, pri čemu treba uzeti u obzir fleksibilnost koja je potrebna u njezinu radu. Kad je to moguće, treba održati najviši stupanj transparentnosti i širenja informacija.

Amandman 10



(14) Osnovna je zadaća Agencije promicati dosljednu provedbu odgovarajućeg pravnog okvira, posebno učinkovitu provedbu Direktive NIS, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na okruženje prijetnji kibersigurnosti koje se brzo razvija, državama članicama treba pružiti potporu s pomoću sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

(14) Osnovna je zadaća Agencije promicati dosljednu provedbu odgovarajućeg pravnog okvira, posebno učinkovitu provedbu Direktive NIS, Direktive .../... [o Europskom zakoniku elektroničkih komunikacija], Uredbe (EU) 2016/679 i Direktive 2002/58/EZ, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na okruženje prijetnji za informatičku sigurnost koje se brzo razvija, državama članicama treba pružiti potporu s pomoću sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

Amandman 11



(21a) Komisija bi trebala predložiti uvođenje obvezne suradnje među državama članicama u pogledu zaštite ključne informacijske infrastrukture.

Amandman 12

RR\1160156HR.docx 199/229 PE619.373v03-00

HR



(26) Kako bi bolje razumjela izazove u području kibersigurnosti i u cilju pružanja strateških dugoročnih savjeta državama članicama i institucijama Unije, Agencija mora analizirati postojeće i nove rizike. U tu svrhu ona bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne informacije i provoditi analize novih tehnologija te davati posebne tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehničkih inovacija na mrežnu i informacijsku sigurnost, posebno na kibersigurnost. Nadalje, Agencija bi, analizom prijetnji i incidenata, trebala pomoći državama članicama i institucijama, agencijama i tijelima Unije da prepoznaju nove prijetnje i spriječe probleme povezane s kibersigurnošću.

(26) Kako bi bolje razumjela izazove u području informatičke sigurnosti i u cilju pružanja strateških dugoročnih savjeta državama članicama i institucijama Unije, Agencija mora analizirati postojeće i nove rizike, incidente i ranjivosti. U tu svrhu ona bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne informacije i provoditi analize novih tehnologija te davati posebne tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehničkih inovacija na mrežnu i informacijsku sigurnost, posebno na informatičku sigurnost. Nadalje, Agencija bi, analizom prijetnji, incidenata i ranjivosti, trebala pomoći državama članicama i institucijama, agencijama i tijelima Unije da prepoznaju nove prijetnje i spriječe probleme povezane s informatičkom sigurnošću.

Amandman 13



(28) Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s kibersigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Agencija bi trebala pridonositi i promicanju najbolje prakse i rješenja na razini građana i organizacija prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima i sastavljanjem izvješća u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. Agencija bi, nadalje, u suradnji

(28) Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s informatičkom sigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Kako bi poboljšala opću razinu pripravnosti i otpornosti, Agencija bi trebala pridonositi i promicanju najbolje prakse i rješenja na razini građana i organizacija prikupljanjem i analizom dostupnih informacija o znatnim incidentima i sastavljanjem izvješća u cilju pružanja smjernica poduzećima, građanima i relevantnim tijelima na razini Unije i

PE619.373v03-00 200/229 RR\1160156HR.docx

HR

s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, podizanja razine osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja osnovnog savjetovanja o autentikaciji i zaštiti podataka. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja.

nacionalnoj razini. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika. Tim kampanjama trebalo bi se poticati obrazovanje o informatičkoj sigurnosti i sigurnije ponašanje pojedinaca na internetu i podići razina osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet, kao što su phishing napadi, mreže zaraženih računala (botnet), financijske i bankovne prijevare, krivotvorenje i nezakoniti sadržaji, te se zalagati za zaštitu podataka i osnovnu autentikaciju kako bi se izbjegla krađa podataka i identiteta. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja.

Amandman 14



(28a) Agencija bi trebala podizati razinu osviještenosti javnosti o rizicima od prijevara povezanih s podacima i od krađe podataka, koji mogu ozbiljno utjecati na temeljna prava pojedinaca te ugroziti vladavinu prava i stabilnost demokratskih društava, uključujući i demokratske procese u državama članicama.

Amandman 15



(30) Kako bi se osiguralo da Agencija potpuno ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim institucijama, agencijama i tijelima, među ostalim s CERT-EU-om, Europskim

(30) Kako bi se osiguralo da Agencija potpuno ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim institucijama, agencijama i tijelima, među ostalim s CERT-EU-om, Europskim

RR\1160156HR.docx 201/229 PE619.373v03-00

HR

centrom za kiberkriminal (EC3) pri Europolu, Europskom obrambenom agencijom (EDA), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom agencijom za sigurnost zračnog prometa (EASA) i s drugim agencijama EU-a koje djeluju u području kibersigurnosti. Ona bi se trebala povezati i s nadležnim tijelima za zaštitu podataka u cilju razmjene znanja i najbolje prakse i u cilju davanja savjeta o aspektima kibersigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela kaznenog progona i tijela kaznenog progona na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u Stalnoj interesnoj skupini Agencije. Pri povezivanju s tijelima kaznenog progona u vezi s aspektima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, Agencija bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže.

centrom za kiberkriminal (EC3) pri Europolu, Europskom obrambenom agencijom (EDA), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom agencijom za sigurnost zračnog prometa (EASA), Europskom agencijom za globalne navigacijske satelitske sustave (GSA) i s drugim agencijama EU-a koje djeluju u području informatičke sigurnosti. Ona bi se trebala povezati i s tijelima Unije i nacionalnim nadležnim tijelima za zaštitu podataka u cilju razmjene znanja i najbolje prakse i u cilju davanja savjeta o aspektima informatičke sigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela kaznenog progona i tijela kaznenog progona na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u Stalnoj interesnoj skupini Agencije. Pri povezivanju s tijelima kaznenog progona u vezi s aspektima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, Agencija bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže.

Obrazloženje

Budući da u programu Galileo postoje problemi u pogledu kibersigurnosti, posebno u zemaljskim segmentima, suradnja s Europskom agencijom za globalne navigacijske satelitske sustave zapravo jača ulogu ENISA-e, a istodobno doprinosi vjerodostojnosti programa Galileo.

Amandman 16



(35) Agencija bi trebala poticati države članice i pružatelje usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne

(35) Agencija bi trebala poticati države članice, proizvođače hardvera i softvera, pružatelje IKT i internetskih usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli

PE619.373v03-00 202/229 RR\1160156HR.docx

HR

kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde kibersigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda i usluga.

poduzeti potrebne korake za osiguranje svoje osobne informatičke sigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde informatičke sigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini informatičke sigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju informatičku sigurnost svojih proizvoda i usluga. Agencija bi trebala surađivati s dionicima u pogledu razvoja pristupa na razini Unije za odgovorno otkrivanje ranjivosti te promicati najbolju praksu u tom području.

Amandman 17




(44) Agencija bi trebala imati Stalnu interesnu skupinu kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača i drugim interesnim skupinama. Stalna interesna skupina, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Sastav Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezinim zadaćama trebao bi osigurati dostatnu zastupljenost dionika u radu Agencije. S obzirom na važnost zahtjeva u pogledu certifikacije da bi se osiguralo povjerenje u internet stvari, Komisija bi posebno trebala razmotriti provedbene mjere kojima bi se zajamčilo usklađivanje sigurnosnih normi za uređaje povezane internetom stvari na razini Unije.

RR\1160156HR.docx 203/229 PE619.373v03-00

HR

Amandman 18



(50) Trenutačno se kibersigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razine jamstva, materijalnih kriterija i stvarne upotrebe.

(50) Trenutačno se informatička sigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za informatičku sigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave, a ti postupci mogu uključivati dodatne troškove za trgovačka društva. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne informatičke sigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razine jamstva, materijalnih kriterija i stvarne upotrebe. Pristupom kojim se svaki slučaj uzima u obzir posebno osiguralo bi se da usluge i proizvodi podliježu odgovarajućim programima certifikacije. K tome, potreban je pristup utemeljen na riziku za učinkovitu identifikaciju i ublažavanje rizika te za izbjegavanje povećanih troškova za proizvođače.

Amandman 19



(52) S obzirom na navedeno nužno je uspostaviti europski okvir za

(52) S obzirom na navedeno nužno je uspostaviti usklađeni europski okvir za

PE619.373v03-00 204/229 RR\1160156HR.docx

HR

kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Programi certificiranja trebali bi biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

informatičku sigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe informatičke sigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih informatičkih sigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Programi certificiranja trebali bi biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

Amandman 20



(55) Europskim programima kibersigurnosne certifikacije trebalo bi se osigurati da proizvodi i usluge koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, postupaka, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane kibersigurnosne potrebe

(55) Europskim programima informatičke sigurnosne certifikacije trebalo bi se osigurati da proizvodi i usluge koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, postupaka, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi informatički sigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane informatičko-

RR\1160156HR.docx 205/229 PE619.373v03-00

HR

toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije.

sigurnosne potrebe toliko su različiti, kao i njihov životni ciklus, da je teško osmisliti opće informatičke sigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam informatičke sigurnosti dopunjen skupom konkretnih informatičko-sigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa informatičke sigurnosne certifikacije. Načine postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, u bliskoj suradnji s državama članicama i dionicima iz industrije, na primjer upućivanjem na norme ili tehničke specifikacije. Pojedinačni programi certificiranja trebali bi biti oblikovani tako da se sve aktere uključene u razvoj relevantnih informatičkih proizvoda i usluga potiče na razvoj i usvajanje standarda, normi i načela kojima se osigurava najviša moguća razina sigurnosti tijekom cijeloga životnog ciklusa.

Amandman 21



(55a) ENISA treba razviti program certificiranja s globalnom dimenzijom kako bi spriječila buduće trgovinske barijere. U procesu oblikovanja mjerila za program certificiranja ENISA treba sudjelovati u dijalogu s relevantnim partnerima iz sektora da bi se osigurala tržišna izvedivost.

Amandman 22


PE619.373v03-00 206/229 RR\1160156HR.docx

HR



(56) Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode ili usluge. Komisija bi na temelju prijedloga programa koji je predložila ENISA trebala imati ovlasti donijeti europski program informatičke sigurnosne certifikacije pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima informatičke sigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj informatičke sigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju informatičko-sigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja i predviđenu razinu jamstva. osnovna, znatna i/ili visoka. Razine jamstva trebale bi se određivati na pojedinačnoj osnovi kako bi se zajamčilo da IKT usluge i proizvodi podliježu odgovarajućim programima certificiranja te bi se njima trebale uzeti u obzir različite pojedinačne uporabe, kao i vlastita odgovornost i obrazovanje korisnika.

Amandman 23



(57) Primjena europske kibersigurnosne certifikacije trebala bi biti dobrovoljna, osim ako je u zakonodavstvu Unije ili nacionalnom zakonodavstvu predviđeno drugačije. Međutim, kako bi se ostvarili ciljevi ove Uredbe i izbjegla rascjepkanost unutarnjeg tržišta, nacionalni programi

(57) Primjena europske informatičke sigurnosne certifikacije trebala bi biti dobrovoljna, osim ako je u zakonodavstvu Unije ili nacionalnom zakonodavstvu predviđeno drugačije. Nakon te početne faze te ovisno o razini provedbe u državama članicama i kritičnosti

RR\1160156HR.docx 207/229 PE619.373v03-00

HR

kibersigurnosne certifikacije ili postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije trebali bi prestati proizvoditi učinke od datuma koji Komisija odredi provedbenim aktom. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda i usluga koji su već obuhvaćeni postojećim europskim programom kibersigurnosne certifikacije.

proizvoda ili usluge u budućnosti bi se u fazama i kao reakcija na ciljeve politike sutrašnjice mogli početi razvijati potencijalno obvezni sustavi za određene IKT proizvode i usluge za buduće generacije tehnologije. Međutim, kako bi se ostvarili ciljevi ove Uredbe i izbjegla rascjepkanost unutarnjeg tržišta, nacionalni programi informatičke sigurnosne certifikacije ili postupci za IKT proizvode i usluge obuhvaćene europskim programom informatičke sigurnosne certifikacije trebali bi prestati proizvoditi učinke od datuma koji Komisija odredi provedbenim aktom. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe informatičke sigurnosne certifikacije IKT proizvoda i usluga koji su već obuhvaćeni postojećim europskim programom informatičke sigurnosne certifikacije.

Amandman 24



(58a) Agencija bi trebala razraditi jasne osnovne zahtjeve u pogledu informatičke sigurnosti koji bi se, ako je prikladno, predložili Komisiji kao provedbeni akti za sve informatičke uređaje koji se prodaju u Uniji ili izvoze iz nje. Ti bi se zahtjevi trebali revidirati svake dvije godine nakon toga kako bi se osigurala stalna poboljšanja. Tim se osnovnim zahtjevima u pogledu informatičke sigurnosti treba osigurati, između ostalog, da uređaji ne sadrže nikakve iskoristive poznate sigurnosne ranjivosti i da mogu prihvatiti provjerena sigurnosna ažuriranja, da prodavač obavještava nadležna tijela o poznatim ranjivostima te popravlja ili zamjenjuje dotični uređaj i da pruža informacije o tome kada ističe sigurnosna podrška za takav uređaj.

Amandman 25

PE619.373v03-00 208/229 RR\1160156HR.docx

HR



(b) utvrđuje se okvir za uspostavu europskih programa kibersigurnosne certifikacije za potrebe osiguranja prikladne razine kibersigurnosti IKT proizvoda i usluga u Uniji. Taj okvir primjenjuje se ne dovodeći u pitanje posebne odredbe o dobrovoljnoj ili obveznoj certifikaciji u drugim aktima Unije.

(b) utvrđuje se okvir za uspostavu europskih programa informatičke sigurnosne certifikacije za potrebe osiguranja prikladne razine informatičke sigurnosti IKT proizvoda i usluga u Uniji. Taj okvir primjenjuje se ne dovodeći u pitanje posebne odredbe o dobrovoljnoj ili obveznoj certifikaciji u drugim aktima Unije.

Obrazloženje

Isključivo jezična izmjena, brisanje pleonazma iz teksta COM-a.

Amandman 26



(8) „kiberprijetnja” znači svaka moguća okolnost ili događaj koji bi mogli negativno utjecati na mrežne i informacijske sustave, njihove korisnike i uključene osobe.

(8) „kiberprijetnja” znači svaka moguća okolnost, mogućnost ili događaj koji bi mogli negativno utjecati na mrežne i informacijske sustave, njihove korisnike i uključene osobe.

Obrazloženje

Dodavanje važnog aspekta, posebno u pogledu procjene prijetnji.

Amandman 27



Agencija nastoji utvrditi ključne slabosti informatičke sigurnosne mreže Unije kao cjeline te istih mreža pojedinačnih država članica. Ako Agencija smatra potrebnim, o tim slabostima treba izvijestiti Europski parlament.

RR\1160156HR.docx 209/229 PE619.373v03-00

HR

Amandman 28




5. Agencija povećava informatičko-sigurnosne sposobnosti na razini Unije kako bi dopunila i podržala djelovanja država članica usmjerena na sprječavanje kiberprijetnji i odgovaranje na kiberprijetnje, posebno u slučaju prekograničnih incidenata.

Amandman 29




6. Agencija promiče uporabu certifikacije, među ostalim pridonošenjem razvoju normi Unije i međunarodnih normi u području informatičke sigurnosti te uspostavi i održavanju okvira za informatičku sigurnosnu certifikaciju na razini Unije u skladu s glavom III. ove Uredbe u cilju povećanja transparentnosti informatičko-sigurnosnog jamstva IKT proizvoda i usluga i jačanja povjerenja u jedinstveno digitalno tržište.

Amandman 30




7. Agencija promiče visoku razinu osviještenosti o pitanjima povezanima s informatičkom sigurnošću.

Obrazloženje

Ne bi trebalo promicati visoku razinu osviještenosti samo kad je riječ o građanima i poduzećima, nego i o svim relevantnim dionicima u društvu, uključujući tijela vlasti i

PE619.373v03-00 210/229 RR\1160156HR.docx

HR

zakonodavce. U ovoj se izmjeni namjerno ostavlja otvorenim pitanje adresata te vrste aktivnosti.

Amandman 31



2. pružanjem pomoći državama članicama u dosljednoj provedbi politike i prava Unije u području kibersigurnosti, posebno u vezi s Direktivom (EU) 2016/1148, među ostalim i s pomoću mišljenja, smjernica, savjeta i najbolje prakse o temama kao što su upravljanje rizikom, izvješćivanje o incidentima i razmjena informacija, te olakšavanjem razmjene najbolje prakse među nadležnim tijelima u tom pogledu;

2. pružanjem pomoći državama članicama u dosljednoj provedbi politike i prava Unije u području informatičke sigurnosti, posebno u vezi s Direktivom (EU) 2016/1148, Direktivom .../... [o Europskom zakoniku elektroničkih komunikacija], Uredbom (EU) 2016/679 i Direktivom 2002/58/EZ, među ostalim i s pomoću mišljenja, smjernica, savjeta i najbolje prakse o temama kao što su upravljanje rizikom, izvješćivanje o incidentima i razmjena informacija, te olakšavanjem razmjene najbolje prakse među nadležnim tijelima u tom pogledu;

Amandman 32



2a. pružanjem pomoći Europskom odboru za zaštitu podataka, osnovanom u okviru Uredbe (EU) 2016/679, pri izradi smjernica za specifikaciju tehničkih uvjeta prema kojima se voditelji obrade podataka mogu dopušteno koristiti osobnim podacima za potrebe informatičke sigurnosti u cilju zaštite svoje infrastrukture utvrđivanjem i blokiranjem napada na svoje informatičke sustave u kontekstu:

(i) Uredbe (EU) 2016/679;

(ii) Direktive (EU) 2016/1148; i

RR\1160156HR.docx 211/229 PE619.373v03-00

HR

(iii) Direktive 2002/58/EZ;

Amandman 33



2b. predlaganjem smjernica kako bi se zajamčilo da prodavači proizvoda u području informacijsko-komunikacijskih tehnologija pravovremeno rješavaju ranjivosti u pogledu informatičke sigurnosti svojih proizvoda i usluga kako bi se izbjeglo svako izlaganje njihovih korisnika kiberkriminalitetu;

Amandman 34

Prijedlog uredbeČlanak 5. – stavak 1. – točka 2.c (nova)


2c. predlaganjem smjernica kojima se utvrđuje snažan okvir odgovornosti svih dionika (uključujući krajnje korisnike) koji sudjeluju u ekosustavima informacijsko-komunikacijskih tehnologija;

Amandman 35

Prijedlog uredbeČlanak 5. – stavak 1. – točka 2.d (nova)


2d. predlaganjem smjernica, u skladu s nacionalnim pravom, o odgovornosti operatora ključnih mrežnih infrastruktura u slučaju napada na njihove informatičke sustave koji utječu na njihove korisnike zbog nepravilnog postupanja nekog od korisnika ili samog operatora, ako

PE619.373v03-00 212/229 RR\1160156HR.docx

HR

operator nije poduzeo razumne mjere za sprečavanje incidenta ili ublažavanje njegovih posljedica za sve korisnike;

Amandman 36

Prijedlog uredbeČlanak 5. – stavak 1. – točka 2.e (nova)


2e. predlaganjem smjernica u okviru kojih se javnim tijelima ograničava kupnja i korištenje „Zero days” ranjivosti u svrhu napada na informatičke sustave; promicanjem revizija softvera i financiranjem stručnog osoblja;

Amandman 37

Prijedlog uredbeČlanak 5. – stavak 1. – točka 2.f (nova)


2f. predlaganjem smjernica prema kojima su sva javna tijela, privatna poduzeća, istraživači, sveučilišta i drugi dionici dužni objaviti sve ključne sigurnosne ranjivosti koje još nisu javno i odgovorno objavljene;

Amandman 38

Prijedlog uredbeČlanak 5. – stavak 1. – točka 2.g (nova)


2g. predlaganjem smjernica za proširenje korištenja „povjerljivog otvorenog koda” za informatička rješenja u javnom sektoru, kao i za povezano korištenje automatiziranih alata za jednostavniju reviziju izvornog koda i olakšanu provjeru da ne postoje „stražnji

RR\1160156HR.docx 213/229 PE619.373v03-00

HR

ulazi” i druge moguće sigurnosne ranjivosti;

Amandman 39



(fa) te po potrebi surađuje s nacionalnim nadzornim tijelima za zaštitu podataka;

Amandman 40



2a. Agencija pomaže pri uspostavi i pokretanju dugoročnog europskog projekta u području informatičke sigurnosti kako bi se podržao rast neovisne industrije informatičke sigurnosti u EU-u te kako bi informatička sigurnost postala sastavni dio cjelokupnog informatičkog razvoja u EU-u.

Obrazloženje

ENISA treba savjetovati zakonodavce pri pripremi politika kako bi EU uhvatio korak s industrijama informatičke sigurnosti u trećim zemljama. Taj bi projekt po opsegu trebao odgovarati mjerama koje su prethodno poduzete u zrakoplovnoj industriji (primjer Airbusa). To je potrebno kako bi se razvila jača, suverena i vjerodostojna industrija informatičko-komunikacijskih tehnologija u EU-u (vidi istraživanje Odjela za znanstvena predviđanja (STOA) PE 614.531).

Amandman 41



5. Na zahtjev najmanje dviju pogođenih država članica i u isključivu

5. Na zahtjev jedne države članice i u isključivu svrhu pružanja savjeta za

PE619.373v03-00 214/229 RR\1160156HR.docx

HR

svrhu pružanja savjeta za sprječavanje budućih incidenata, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje dvije države članice.

sprječavanje budućih incidenata, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje dvije države članice.

Opseg istrage i postupak koji treba slijediti pri provedbi takve istrage dogovaraju pogođene države članice i Agencija, čime se ne dovode u pitanje tekuće kaznene istrage istog incidenta. Istraga se zaključuje završnim tehničkim izvješćem koje sastavlja Agencija prije svega na temelju informacija i primjedbi koje su dostavile pogođene države članice i poduzeća i koje se dogovara s pogođenim državama članicama. Sažetak izvješća u kojem se naglasak stavlja preporuke za sprječavanje budućih incidenata dostavlja se mreži CSIRT-ova.

Opseg istrage i postupak koji treba slijediti pri provedbi takve istrage dogovaraju pogođene države članice i Agencija, čime se ne dovode u pitanje tekuće kaznene istrage istog incidenta ili nacionalne sigurnosne mjere država članica. Istraga se zaključuje završnim tehničkim izvješćem koje sastavlja Agencija prije svega na temelju informacija i primjedbi koje su dostavile pogođene države članice i poduzeća i koje se dogovara s pogođenim državama članicama. Sažetak izvješća u kojem se naglasak stavlja preporuke za sprječavanje budućih incidenata dostavlja se mreži CSIRT-ova.

Amandman 42



8a. Agencija provodi, na zahtjev institucije, tijela, ureda ili agencije Unije ili države članice, redovite neovisne revizije informatičke sigurnosti ključne infrastrukture u cilju utvrđivanja mogućih preporuka za jačanje njezine otpornosti.

Obrazloženje

ENISA treba imati ovlasti za provođenje preventivnih revizija informatičke sigurnosti svih ključnih infrastruktura nadležnih tijela država članica ili institucija, agencija EU-a itd.

RR\1160156HR.docx 215/229 PE619.373v03-00

HR

Amandman 43



(1) izradom prijedloga europskih programa kibersigurnosne certifikacije za IKT proizvode i usluge u skladu s člankom 44. ove Uredbe;

(1) izradom prijedloga europskih programa informatičke sigurnosne certifikacije za IKT proizvode i usluge u suradnji s industrijom i u skladu s člankom 44. ove Uredbe;

Obrazloženje

U tom je području važna suradnja s industrijom.

Amandman 44



(ca) uspostavom programa certificiranja kojima se prodavače i pružatelje usluga u području informacijsko-komunikacijskih tehnologija odvraća od korištenja tajnih „stražnjih ulaza” kojima se namjerno oslabljuje informatička sigurnost komercijalnih proizvoda i usluga, a koji negativno utječu na globalnu sigurnost interneta.

Obrazloženje

Ovo treba smatrati jednim od glavnih ciljeva programa certificiranja.

Amandman 45



(d) na posebnom portalu objedinjuje, organizira i stavlja na raspolaganje javnosti informacije o kibersigurnosti koje su

(d) na posebnom portalu objedinjuje, organizira i stavlja na raspolaganje javnosti informacije o informatičkoj sigurnosti

PE619.373v03-00 216/229 RR\1160156HR.docx

HR

dostavile institucije, agencije i tijela Unije; koje su dostavile institucije, agencije i tijela Unije te koje su na raspolaganje stavile države članice te javni i privatni dionici;

Amandman 46




(e) podiže razinu osviještenosti javnosti o rizicima povezanima s informatičkom sigurnošću, širi odgovarajuće mjere za sprečavanje incidenata i daje smjernice o dobroj praksi za pojedinačne korisnike usmjerene na građane i organizacije;

Amandman 47

Prijedlog uredbeČlanak 9. – stavak 1. – točka ea (nova)


(ea) uspostavlja mrežu nacionalnih edukacijskih kontaktnih točaka kako bi se poduprla bolja koordinacija i razmjena najboljih praksi među državama članicama u pogledu edukacije i podizanja razine osviještenosti o informatičkoj sigurnosti;

Amandman 48



(g) organizira, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije, redovite informativne kampanje u cilju povećanja kibersigurnosti i svoje vidljivosti u Uniji.

(g) organizira, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije te ostalim relevantnim dionicima, redovite informativne kampanje u cilju povećanja informatičke sigurnosti i svoje vidljivosti u Uniji;

RR\1160156HR.docx 217/229 PE619.373v03-00

HR

Amandman 49



(ga) potiče sve dionike na jedinstvenom digitalnom tržištu EU-a da usvoje preventivne i snažne mjere informatičke sigurnosti te pouzdane tehnologije za unapređenje zaštite privatnosti koje bi trebale služiti kao prva linija obrane od napada na informatičke sustave.

Obrazloženje

Na temelju mišljenja Europskog nadzornika za zaštitu podataka (u vezi s tehnologijama za unapređenje zaštite privatnosti). Očito je da ulogu ENISA-e treba proširiti izvan pružanja potpore državama članicama, Komisiji i agencijama EU-a kako bi se poboljšala njezina vidljivost u industriji i općoj javnosti.

Amandman 50




(a) savjetuje Uniju i države članice o istraživačkim potrebama i prioritetima u područjima informatičke sigurnosti te zaštite podataka i privatnosti kako bi se omogućili učinkoviti odgovori na postojeće i nove rizike i prijetnje, među ostalim i u pogledu novih informacijskih i komunikacijskih tehnologija te onih u nastajanju, te kako bi se učinkovito upotrebljavale tehnologije za sprečavanje rizika;

Amandman 51



(m) imenuje izvršnog direktora i, po (m) imenuje izvršnog direktora pomoću

PE619.373v03-00 218/229 RR\1160156HR.docx

HR

potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

postupka odabira utemeljenog na kriterijima stručnosti i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

Amandman 52



1. Upravljački odbor, djelujući na prijedlog izvršnog direktora, osniva Stalnu interesnu skupinu sastavljenu od priznatih stručnjaka koji zastupaju relevantne interesne skupine, kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, akademski stručnjaci za kibersigurnost i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

1. Upravljački odbor, djelujući na prijedlog izvršnog direktora, osniva Stalnu interesnu skupinu sastavljenu od priznatih stručnjaka koji zastupaju relevantne interesne skupine, kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, europske organizacije za normizaciju, akademski stručnjaci za informatičku sigurnost i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

Amandman 53



2. Revizorski sud ovlašten je za provedbu revizije, na temelju dokumenata i na terenu, svih korisnika bespovratnih sredstava, ugovaratelja i podugovaratelja koji su primili sredstva Unije od Agencije.

2. Revizorski sud ovlašten je za provedbu revizije, na temelju dokumenata i inspekcija na terenu, svih korisnika bespovratnih sredstava, ugovaratelja i podugovaratelja koji su primili sredstva Unije od Agencije.

Amandman 54


RR\1160156HR.docx 219/229 PE619.373v03-00

HR



2. Pri izradi prijedloga programa iz stavka 1. ovog članka ENISA se savjetuje sa svim relevantnim dionicima i blisko surađuje sa Skupinom i Stalnom interesnom skupinom. Skupina i Stalna interesna skupina pružaju ENISA-i pomoć i stručne savjete koji su joj potrebni u vezi s izradom prijedloga programa, među ostalim davanjem mišljenja kada je potrebno. Osim toga, ENISA po potrebi može osnovati radnu skupinu dionika za certifikaciju, koja se sastoji od članova Stalne interesne skupine i svih ostalih relevantnih dionika, u cilju davanja stručnih savjeta o područjima obuhvaćenima konkretnim prijedlogom programa.

Obrazloženje

Industrija bi trebala sudjelovati u sastavljanju i pripremi prijedloga programa tijekom procesa savjetovanja radi pružanja stručnog znanja kako bi se osiguralo njihovo učinkovito osmišljavanje.

Amandman 55




4. Komisija, na temelju prijedloga programa koji je izradila ENISA, može donositi provedbene akte, u skladu s člankom 55. stavkom 1., kojima su predviđeni europski programi informatičke sigurnosne certifikacije za IKT proizvode i usluge koji ispunjavaju zahtjeve iz članaka 45., 46. i 47. ove Uredbe. Komisija se može savjetovati s Europskim odborom za zaštitu podataka i uzeti u obzir njegovo stajalište prije donošenja takvih provedbenih akata.

PE619.373v03-00 220/229 RR\1160156HR.docx

HR

Obrazloženje

Na temelju mišljenja Europskog nadzornika za zaštitu podataka. Ovim amandmanom osigurava se usklađenost certificiranja u sklopu europskog okvira za kibersigurnosnu certifikaciju i Opće uredbe o zaštiti podataka.

Amandman 56



2. Osnovna, znatna i visoka razina jamstva ispunjavaju sljedeće kriterije:

2. Osnovna, znatna i visoka razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa informatičke sigurnosne certifikacije kojim se osigurava odgovarajući stupanj povjerenja u navedena ili zajamčena informatičko-sigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha smanjiti rizik od informatičkih incidenata.

Amandman 57



(a) osnovna razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava ograničeni stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha smanjiti rizik od kiberincidenata;

Briše se.

Amandman 58

Prijedlog uredbe

RR\1160156HR.docx 221/229 PE619.373v03-00

HR

Članak 46. – stavak 2. – točka b



Briše se.

Amandman 59




Briše se.

Amandman 60



(aa) tijela za ocjenjivanje sukladnosti i revizorska tijela;

Amandman 61

Prijedlog uredbeČlanak 47. – stavak 1. – točka I

PE619.373v03-00 222/229 RR\1160156HR.docx

HR



(l) utvrđivanje nacionalnih programa informatičke sigurnosne certifikacije, u skladu s člankom 49., kojima je obuhvaćena ista vrsta ili iste kategorije IKT proizvoda i usluga;

Amandman 62




6. Certifikati se izdaju na najdulje razdoblje utvrđeno za svaki pojedinačni slučaj i za svaki program, koje ne premašuje pet godina, i mogu se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi.

Amandman 63



Article 48a

Osnovni uvjeti u pogledu informatičke sigurnosti

1. Agencija, na temelju vlastitog iskustva s okvirom za informatičku sigurnosnu certifikaciju u skladu s glavom III. ove Uredbe, predlaže Komisiji jasne minimalne uvjete informatičke sigurnosti za sve informatičke uređaje koji se prodaju u Uniji ili izvoze iz nje, primjerice:

(a) proizvođač izdaje pisani certifikat kojim potvrđuje da uređaj ne sadrži nikakav hardver, softver ili ugrađeni program s iskoristivim poznatim sigurnosnim slabostima;

(b) uređaj se temelji na softveru ili komponentama ugrađenog programa koji

RR\1160156HR.docx 223/229 PE619.373v03-00

HR

mogu prihvatiti prikladno provjerena i vjerodostojna ažuriranja proizvođača;

(c) proizvod ne uključuje nikakvu nešifriranu lozinku ili pristupni kod; proizvođač dokumentira sposobnost uređaja za daljinski pristup te ga osigurava od neovlaštenog pristupa najkasnije tijekom instaliranja; proizvođač u svom uređaju ne nudi zadane standardne lozinke ugrađene u kod; prodavač dokumentira mogućnosti korisnika za ažuriranje uređaja i jasno ističe odgovornost u slučaju da korisnik ne ažurira uređaj;

(d) proizvođači, distributeri ili uvoznici mrežnih uređaja, softvera ili ugrađenih programa obvezni su obavijestiti nadležna tijela o svim poznatim iskoristivim sigurnosnim slabostima;

(e) prodavač mrežnih uređaja, softvera ili ugrađenih programa obvezan je pružati uslugu popravka ili zamjene u pogledu svih novootkrivenih sigurnosnih ranjivosti;

(f) proizvođač mrežnih uređaja, softvera ili ugrađenih programa obvezan je pružati informacije o tome na koji način uređaj prima sigurnosna ažuriranja, o predviđenom kraju pružanja sigurnosne podrške te o postupku obavješćivanja korisnika;

2. Agencija može predložiti da se minimalni zahtjevi u pogledu informatičke sigurnosti iz stavka 1. primjenjuju na informatičke uređaje iz jednog posebnog sektora ili više njih.

3. Agencija svake dvije godine revidira i po potrebi izmjenjuje zahtjeve u pogledu informatičke sigurnosti iz stavka 1. te Komisiji podnosi prijedloge svih izmjena.

4. Komisija može provedbenim aktima i na temelju procjene učinka odlučiti da predloženi ili izmijenjeni zahtjevi u pogledu informatičke sigurnosti

PE619.373v03-00 224/229 RR\1160156HR.docx

HR

iz stavaka 1. i 2. imaju opću valjanost u Uniji. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 55. stavka 2.

5. Komisija osigurava odgovarajuće objavljivanje zahtjeva u pogledu informatičke sigurnosti za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 3.

6. Agencija u registru objedinjuje sve predložene zahtjeve u pogledu informatičke sigurnosti i njihove izmjene te ih na prikladan način objavljuje.

Obrazloženje

Umjesto amandmana br. 19 točke (c) Nacrta mišljenja zbog jasnoće. Važno je ostvariti otporno informatičko okružje kako bi se korisnici informatičkih uređaja zaštitili od kiberkriminaliteta te kako bi se zaštitila njihova temeljna prava. Stoga je potrebno u okviru ove Uredbe utvrditi ciljeve u pogledu visoke razine informatičke sigurnosti kako bi se u Uniji ostvario obvezujući temelj za informatičku sigurnost.

Amandman 64




(d) surađuju s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, kao što su nacionalna nadzorna tijela za zaštitu podataka, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima informatičke sigurnosne certifikacije;

ObrazloženjeIz mišljenja Europskog nadzornika za zaštitu podataka.

RR\1160156HR.docx 225/229 PE619.373v03-00

HR





ITRE23.10.2017


LIBE23.10.2017


Jan Philipp Albrecht20.11.2017




3524


Asim Ademov, Jan Philipp Albrecht, Heinz K. Becker, Caterina Chinnici, Rachida Dati, Cornelia Ernst, Kinga Gál, Sylvie Guillaume, Monika Hohlmeier, Filiz Hyusmenova, Dietmar Köster, Barbara Kudrycka, Monica Macovei, Péter Niedermüller, Ivari Padar, Judith Sargentini, Birgit Sippel, Branislav Škripek, Sergei Stanishev, Traian Ungureanu, Josef Weidenholzer, Cecilia Wikström, Kristina Winberg, Auke Zijlstra


Maria Grapini, Sylvia-Yvonne Kaufmann, Jeroen Lenaers, Andrejs Mamikins, Maite Pagazaurtundúa Ruiz, John Procter, Jaromír Štětina, Josep-Maria Terricabras, Axel Voss, Elissavet Vozemberg-Vrionidi


Andrea Bocskor, Reimer Böge, André Elissen, Ramón Jáuregui Atondo, Julia Reda, Rainer Wieland, Patricija Šulin

PE619.373v03-00 226/229 RR\1160156HR.docx

HR


35 +ALDE Filiz Hyusmenova, Maite Pagazaurtundúa Ruiz, Cecilia Wikström

ECR Monica Macovei, John Procter, Branislav Škripek

GUE/NGL Cornelia Ernst

PPE Asim Ademov, Heinz K. Becker, Andrea Bocskor, Rachida Dati, Kinga Gál, Barbara Kudrycka, Jeroen Lenaers, Jaromír Štětina, Patricija Šulin, Traian Ungureanu, Elissavet Vozemberg-Vrionidi, Rainer Wieland

S&D Caterina Chinnici, Maria Grapini, Sylvie Guillaume, Ramón Jáuregui Atondo, Sylvia-Yvonne Kaufmann, Dietmar Köster, Andrejs Mamikins, Péter Niedermüller, Ivari Padar, Birgit Sippel, Sergei Stanishev, Josef Weidenholzer

VERTS/ALE Jan Philipp Albrecht, Julia Reda, Judith Sargentini, Josep-Maria Terricabras

2 -ENF André Elissen, Auke Zijlstra

4 0EFDD Kristina Winberg

PPE Reimer Böge, Monika Hohlmeier, Axel Voss


RR\1160156HR.docx 227/229 PE619.373v03-00

HR

POSTUPAK U NADLEŽNOM ODBORU



Datum podnošenja EP-u 13.9.2017


ITRE23.10.2017

Odbori koji daju mišljenje Datum objave na plenarnoj sjednici

AFET8.2.2018

BUDG23.10.2017

IMCO23.10.2017

LIBE23.10.2017

Odbori koji nisu dali mišljenje Datum odluke

AFET4.12.2017

Pridruženi odbori Datum objave na plenarnoj sjednici

IMCO18.1.2018

Izvjestitelji Datum imenovanja

Angelika Niebler27.10.2017




5651


Zigmantas Balčytis, Bendt Bendtsen, Xabier Benito Ziluaga, José Blanco López, David Borrelli, Jonathan Bullock, Cristian-Silviu Buşoi, Jerzy Buzek, Angelo Ciocca, Edward Czesak, Jakop Dalunde, Pilar del Castillo Vera, Christian Ehler, Fredrick Federley, Ashley Fox, Adam Gierek, Theresa Griffin, Rebecca Harms, Barbara Kappel, Krišjānis Kariņš, Jeppe Kofod, Jaromír Kohlíček, Peter Kouroumbashev, Zdzisław Krasnodębski, Christelle Lechevalier, Janusz Lewandowski, Edouard Martin, Tilly Metz, Csaba Molnár, Nadine Morano, Angelika Niebler, Morten Helveg Petersen, Miroslav Poche, Paul Rübig, Massimiliano Salini, Algirdas Saudargas, Sven Schulze, Neoklis Sylikiotis, Dario Tamburrano, Patrizia Toia, Evžen Tošenovský, Vladimir Urutchev, Kathleen Van Brempt, Henna Virkkunen, Lieve Wierinck, Hermann Winkler, Anna Záborská, Flavio Zanonato, Carlos Zorrinho


Michał Boni, Rosa D’Amato, Eugen Freund, Gunnar Hökmark, Benedek Jávor, Werner Langen, Olle Ludvigsson, Marisa Matias, Gesine Meissner, Pavel Telička


Romeo Franz, Emilian Pavel, Ulrike Rodust

Datum podnošenja 17.7.2018

PE619.373v03-00 228/229 RR\1160156HR.docx

HR

KONAČNO GLASOVANJE POIMENIČNIM GLASOVANJEM U NADLEŽNOM ODBORU

56 +ALDE Fredrick Federley, Gesine Meissner, Morten Helveg Petersen, Pavel Telička, Lieve

Wierinck

ECR Edward Czesak, Ashley Fox, Zdzisław Krasnodębski, Evžen Tošenovský

EFDD Rosa D'Amato, Dario Tamburrano

ENF Barbara Kappel, Christelle Lechevalier

NI David Borrelli

PPE Bendt Bendtsen, Michał Boni, Cristian-Silviu Buşoi, Jerzy Buzek, Pilar del Castillo Vera, Christian Ehler, Gunnar Hökmark, Krišjānis Kariņš, Werner Langen, Janusz Lewandowski, Nadine Morano, Angelika Niebler, Paul Rübig, Massimiliano Salini, Algirdas Saudargas, Sven Schulze, Vladimir Urutchev, Henna Virkkunen, Hermann Winkler, Anna Záborská

S&D Zigmantas Balčytis, José Blanco López, Eugen Freund, Adam Gierek, Theresa Griffin, Jeppe Kofod, Peter Kouroumbashev, Olle Ludvigsson, Edouard Martin, Csaba Molnár, Emilian Pavel, Miroslav Poche, Ulrike Rodust, Patrizia Toia, Kathleen Van Brempt, Flavio Zanonato, Carlos Zorrinho

VERTS/ALE Jakop Dalunde, Romeo Franz, Rebecca Harms, Benedek Jávor, Tilly Metz

5 -EFDD Jonathan Bullock

GUE/NGL Xabier Benito Ziluaga, Jaromír Kohlíček, Marisa Matias, Neoklis Sylikiotis

1 0ENF Angelo Ciocca


RR\1160156HR.docx 229/229 PE619.373v03-00

HR

pr_cod_1amcom€¦ · web view(3)rast digitalizacije i povezivosti donose veće kibersigurnosne...

Documents