EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52023PC0208
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) 2019/881 as regards managed security services
Предложение за РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА за изменение на Регламент (ЕС) 2019/881 по отношение на управляваните услуги за сигурност
Предложение за РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА за изменение на Регламент (ЕС) 2019/881 по отношение на управляваните услуги за сигурност
COM/2023/208 final
ЕВРОПЕЙСКА КОМИСИЯ
Страсбург, 18.4.2023
COM(2023) 208 final
2023/0108(COD)
Предложение за
РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
за изменение на Регламент (ЕС) 2019/881 по отношение на управляваните услуги за сигурност
(текст от значение за ЕИП)
ОБЯСНИТЕЛЕН МЕМОРАНДУМ
1.КОНТЕКСТ НА ПРЕДЛОЖЕНИЕТО
•Основания и цели на предложението
Настоящият обяснителен меморандум придружава предложението за регламент на Европейския парламент и на Съвета за изменение на Регламент (ЕС) 2019/881 1 по отношение на управляваните услуги за сигурност.
Предлаганото целенасочено изменение има за цел да позволи, чрез актове за изпълнение на Комисията, да се приемат европейски схеми за сертифициране на киберсигурността на „управляваните услуги за сигурност“, наред с продуктите, услугите и процесите от областта на информационните и комуникационните технологии (ИКТ), които вече са обхванати от Акта за киберсигурността. Управляваните услуги за сигурност играят все по-важна роля за предотвратяването на киберинциденти и ограничаването на последствията от тях.
В заключенията си от 23 май 2022 г. 2 относно установяването на позицията на Европейския съюз в киберпространството Съветът призова Съюза и неговите държави членки да положат повече усилия за повишаване на цялостното равнище на киберсигурност, например чрез създаване на благоприятни условия за появата на надеждни доставчици на услуги в областта на киберсигурността, и изтъкна, че насърчаването на развитието на такива доставчици следва да бъде приоритет за промишлената политика на Съюза в областта на киберсигурността. Съветът също така прикани Комисията да предложи варианти за насърчаване на появата на надежден сектор на услуги за киберсигурността. Сертифицирането на управляваните услуги за сигурност е ефективно средство за изграждане на доверие в качеството на тези услуги и съдейства за появата на надежден европейски сектор на услугите в областта на киберсигурността.
В съвместното съобщение „Политика на ЕС за киберотбрана“, прието от Комисията и върховния представител на 10 ноември 2022 г. 3 , беше обявено, че Комисията ще проучи възможностите за разработване на схеми за сертифициране за киберсигурност на равнището на ЕС в сектора на киберсигурността и за частни дружества. Доставчиците на управлявани услуги за сигурност ще играят важна роля и в резерва на ЕС за киберсигурност, чието постепенно създаване се подкрепя от Законодателния акт в областта на киберсолидарността, предложен успоредно с настоящия регламент. Резервът на ЕС за киберсигурност ще се използва в подкрепа на действията по реагиране и незабавно възстановяване на функционирането в случай на значителни и мащабни киберинциденти. В настоящото предложение съответните киберуслуги, предоставяни от „доверени доставчици“ и посочени в Законодателния акт в областта на киберсолидарността, съответстват на „управлявани услуги за сигурност“.
Някои държави членки вече са започнали да приемат схеми за сертифициране на управляваните услуги за сигурност. Това съответно увеличава риска от възникването на разпокъсаност на вътрешния пазар за управлявани услуги за сигурност поради разнобой в схемите за сертифициране на киберсигурността в отделните държави от Съюза. Настоящото предложение дава възможност за създаване на европейски схеми за сертифициране на киберсигурността за тези услуги, за да се предотврати подобна разпокъсаност.
•Съгласуваност с действащите разпоредби в тази област на политиката
Настоящото предложение е в съответствие с Акта за киберсигурността и за неговото изменение. То се основава на разпоредбите на посочения регламент и ги адаптира, така че в тях да бъдат включени и управляваните услуги за сигурност. Предложените изменения са ограничени до строго необходимото и не променят характеристиките или функционирането на Акта за киберсигурността.
Настоящото предложение е в съответствие и с Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) 4 . Доставчиците на управлявани услуги за сигурност се считат за съществени или значими субекти, принадлежащи към сектор с висока степен на критичност съгласно Директива (ЕС) 2022/2555. В съображение 86 от тази директива се посочва, че доставчиците на управлявани услуги за сигурност в области като реагиране при инциденти, тестване за проникване, одити за сигурността и консултантски услуги, играят особено важна роля в оценката на усилията на субектите за предотвратяване, идентифициране, реагиране на инциденти или възстановяване от такива. Самите доставчици на управлявани услуги за сигурност обаче също са обект на кибератаки и представляват особен риск поради тясната им интеграция в операциите на техните клиенти. Ето защо съществените и важните субекти по смисъла на Директива (ЕС) 2022/2555 следва да подхождат с повишено внимание към избора на доставчик на управлявани услуги за сигурност.
Настоящото предложение има за цел да подобри качеството на управляваните услуги за сигурност и да повиши тяхната съпоставимост. По този начин то дава възможност на съществените и важните субекти да положат допълнително старание при избора на доставчик на управлявани услуги за сигурност, както се изисква съгласно Директива (ЕС) 2022/2555. Освен това определението за „управлявани услуги за сигурност“ в настоящото предложение произтича от и е много сходно с определението за „доставчици на управлявани услуги за сигурност“ в Директива (ЕС) 2022/2555. Съответно предложението до голяма степен допълва Директивата за МИС 2.
Най-сетне, настоящото предложение допълва предложения Законодателен акт в областта на киберсолидарността, определящ процеса за подбор на доставчици за съставяне на резерв за киберсигурност на равнище ЕС, при който, наред с останалото, следва да се отчита и дали въпросните доставчици са били сертифицирани в областта на киберсигурността на европейско или национално равнище. По този начин бъдещите схеми за сертифициране на управлявани услуги за сигурност ще имат значителна роля в прилагането на Законодателния акт в областта на киберсолидарността.
•Съгласуваност с други политики на Съюза
Настоящото предложение не засяга съгласуваността на Акта за киберсигурността с Регламент (ЕС) 2016/679 (Общия регламент относно защитата на данните, „ОРЗД“) 5 и неговите разпоредби относно създаването на механизми за сертифициране и печати и маркировки за защита на данните с цел доказване на съответствие с настоящия регламент на операциите по обработка от страна на администраторите и обработващите лични данни. Актът за киберсигурността не засяга сертифицирането на операции по обработката на данни съгласно ОРЗД, включително когато тези операции са включени в продукти и услуги.
Освен това настоящото предложение не засяга съвместимостта на Акта за киберсигурността с Регламент (ЕО) № 765/2008 за определяне на изискванията за акредитация и надзор на пазара 6 , по-специално по отношение на рамката за националните органи по акредитация и органите за оценяване на съответствието и националните надзорни органи по сертифицирането.
2.ПРАВНО ОСНОВАНИЕ, СУБСИДИАРНОСТ И ПРОПОРЦИОНАЛНОСТ
•Правно основание
С настоящото предложение се изменя Актът за киберсигурността, който се основава на член 114 от Договора за функционирането на Европейския съюз (ДФЕС). Подобно на Акта за киберсигурността, настоящото предложение има за цел да се избегне възникването на разпокъсаност на вътрешния пазар, по-специално като се осигури възможност за приемане на европейски схеми за сертифициране на киберсигурността за управляваните услуги за сигурност. Някои държави членки вече са започнали да приемат национални схеми за сертифициране на управлявани услуги за сигурност. Следователно съществува осезаем риск от възникване на разпокъсаност на вътрешния пазар на тези услуги, който настоящото предложение има за цел да преодолее. Поради това член 114 от ДФЕС е съответното правно основание за тази инициатива.
•Субсидиарност (при неизключителна компетентност)
Поставената цел — осигуряване на възможност за приемане на европейски схеми за сертифициране на киберсигурността за управлявани услуги за сигурност и избягване възникването на разпокъсаност на вътрешния пазар — не може да се постигне на национално равнище, а само на равнището на Съюза. Освен това управляваните услуги за сигурност, които са предмет на предложеното изменение, се предлагат от доставчици с дейност в целия Съюз, където се намират и техните най-големи потенциални клиенти. Следователно действията на равнището на Съюза са както необходими, така и по-ефективни от действията на национално равнище.
•Пропорционалност
Предложението представлява целенасочено изменение на Акта за киберсигурността. То е ограничено до строго необходимото за постигането на неговата цел, а именно осигуряване на възможност за приемане на европейски схеми за сертифициране на киберсигурността на управлявани услуги за сигурност, наред с ИКТ продукти, ИКТ услуги и ИКТ процеси. С предложените изменения се адаптира по-специално обхватът на европейската рамка за сертифициране на киберсигурността, за да се включат в него „управляваните услуги за сигурност“, да се въведе определение за тези услуги в съответствие с Директивата за МИС 2 и да се изменят свързаните със сигурността цели на европейското сертифициране на киберсигурността, за да бъде то съобразено с „управляваните услуги за сигурност“. Другите изменения са от техническо естество и имат за цел да гарантират, че съответните членове се прилагат и за „управляваните услуги за сигурност“. Следователно предложената инициатива е пропорционална на целта.
•Избор на инструмент
Тъй като предложението изменя Регламент (ЕС) 2019/881, подходящият правен инструмент е регламент.
3.РЕЗУЛТАТИ ОТ ПОСЛЕДВАЩИТЕ ОЦЕНКИ, КОНСУЛТАЦИИТЕ СЪС ЗАИНТЕРЕСОВАНИТЕ СТРАНИ И ОЦЕНКИТЕ НА ВЪЗДЕЙСТВИЕТО
•Последващи оценки/проверки за пригодност на действащото законодателство
Не се прилага.
•Консултации със заинтересованите страни
Бяха проведени целеви консултации с държавите членки и ENISA, в рамките на които държавите членки описаха текущите си дейности и становища по отношение на сертифицирането на управляваните услуги за сигурност. ENISA обясни своите виждания и констатации от обсъжданията с държавите членки и заинтересованите страни. Коментарите и информацията, получени от държавите членки и ENISA, бяха включени в настоящото предложение.
•Събиране и използване на експертни становища
Не се прилага.
•Оценка на въздействието
Беше поискано освобождаване от необходимостта да се извърши оценка на въздействието, тъй като предложението е много ограничено и целенасочено изменение на Акта за киберсигурността. То ще предостави правомощия на Комисията да приема чрез актове за изпълнение схеми за сертифициране на „управлявани услуги за сигурност“, наред с ИКТ продукти, ИКТ услуги и ИКТ процеси, които вече са обхванати от акта. Изменението обаче ще породи действие едва след приемането на такива схеми за сертифициране на по-късен етап. Освен това изменението няма да засегне доброволния характер на схемите за сертифициране.
•Пригодност и опростяване на законодателството
Не се прилага.
•Основни права
Предложението няма никакви предвидими последици върху защитата на основните права.
4.ОТРАЖЕНИЕ ВЪРХУ БЮДЖЕТА
Няма.
5.ДРУГИ ЕЛЕМЕНТИ
•Планове за изпълнение и механизми за мониторинг, оценка и докладване
Разпоредбите, които ще бъдат изменени с предложението, ще бъдат оценени в рамките на периодичната оценка на Акта за киберсигурността, която ще се извършва от Комисията в съответствие с член 67 от него. В рамките на тази оценка наред с останалото се разглеждат въздействието и ефективността на разпоредбите на рамката за сертифициране на киберсигурността по отношение на целите за осигуряване на адекватно ниво на киберсигурност на ИКТ продукти, ИКТ услуги и ИКТ процеси в Съюза и за подобряване на функционирането на вътрешния пазар. Предложението съдържа изменение, което гарантира, че оценката обхваща и управляваните услуги в областта на сигурността. Комисията също така изпраща доклад за оценката и заключенията си до Европейския парламент, Съвета и управителния съвет на ENISA и оповестява публично констатациите от доклада.
•Подробно разяснение на отделните разпоредби на предложението
Предложението съдържа 2 члена. Член 1 съдържа измененията на Регламент (ЕС) 2019/881, а член 2 се отнася до влизането в сила. Член 1 съдържа целенасочени изменения на обхвата на европейската рамка за сертифициране на киберсигурността в Акта за киберсигурността, за да бъдат включени „управляваните услуги за сигурност“ (членове 1 и 46 от Акта за киберсигурността). С него се въвежда определение за тези услуги, което е много тясно съгласувано с определението за „доставчици на управлявани услуги в областта на сигурността“ съгласно Директивата за МИС 2 (член 2 от Акта за киберсигурността). Също така с него се добавя и нов член 51а относно свързаните със сигурността цели на европейското сертифициране на киберсигурността, което е съобразено с „управляваните услуги за сигурност“. И накрая, предложението съдържа редица технически изменения, за да се гарантира, че съответните членове се прилагат и по отношение на „управляваните услуги за сигурност“.
2023/0108 (COD)
Предложение за
РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
за изменение на Регламент (ЕС) 2019/881 по отношение на управляваните услуги за сигурност
(текст от значение за ЕИП)
ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,
като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 114 от него,
като взеха предвид предложението на Европейската комисия,
след предаване на проекта на законодателния акт на националните парламенти,
като взеха предвид становището на Европейския икономически и социален комитет,
като взеха предвид становището на Комитета на регионите,
в съответствие с обикновената законодателна процедура,
като имат предвид, че:
(1)С Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета 7 беше определена рамка за създаването на европейски схеми за сертифициране на киберсигурността с цел да се гарантира подходящо ниво на киберсигурност за ИКТ продукти, ИКТ услуги и ИКТ процеси в Съюза, както и с цел да се избегне разпокъсаност на вътрешния пазар по отношение на схемите за сертифициране на киберсигурността в Съюза.
(2)Управляваните услуги за сигурност, които представляват услуги по извършване или съдействие за извършване на дейности, свързани с управлението на риска за киберсигурността от страна на съответните клиенти, придобиват все по-голямо значение за предотвратяването на киберинциденти или ограничаването на последствията от тях. Съответно доставчиците на тези услуги се считат за съществени или значими субекти, принадлежащи към сектор с висока степен на критичност съгласно Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета 8 . Съгласно съображение 86 от посочената директива доставчиците на управлявани услуги за сигурност в области като реагиране при инциденти, тестване за проникване, одити за сигурността и консултантски услуги, играят особено важна роля в оценката на усилията на субектите за предотвратяване, идентифициране, реагиране на инциденти или възстановяване от такива. Самите доставчици на управлявани услуги за сигурност обаче също са обект на кибератаки и представляват особен риск поради тясната им интеграция в операциите на техните клиенти. Ето защо съществените и важните субекти по смисъла на Директива (ЕС) 2022/2555 следва да подхождат с повишено внимание към избора на доставчик на управлявани услуги за сигурност.
(3)Доставчиците на управлявани услуги за сигурност играят също важна роля в резерва на ЕС за киберсигурност, чието постепенно създаване се подкрепя от Регламент (ЕС).../.... [за определяне на мерки за укрепване на солидарността и капацитета в Съюза за откриване, подготовка и реагиране на заплахи и инциденти в областта на киберсигурността]. Резервът на ЕС за киберсигурност ще се използва в подкрепа на действията по реагиране и незабавно възстановяване на функционирането в случай на значителни и мащабни киберинциденти. С Регламент (ЕС).../... [за определяне на мерки за укрепване на солидарността и капацитета в Съюза за откриване, подготовка и реагиране на заплахи и инциденти в областта на киберсигурността] се определя процедура за подбор на доставчиците, формиращи резерва на ЕС за киберсигурност, която следва, наред с останалото, да взема предвид дали въпросните доставчици са били сертифицирани в областта на киберсигурността на европейско или национално равнище. Съответните услуги, предоставяни от „доверени доставчици“ съгласно Регламент (ЕС).../... [за определяне на мерки за укрепване на солидарността и капацитета в Съюза за откриване, подготовка и реагиране на заплахи и инциденти в областта на киберсигурността], отговарят на „управлявани услуги за сигурност“ в съответствие с настоящия регламент.
(4)Сертифицирането на управляваните услуги за сигурност не само е от значение за процеса на подбор на резерва на ЕС за киберсигурност, но представлява и съществен показател за качество за частните и публичните субекти, които възнамеряват да закупят такива услуги. С оглед на критичността на управляваните услуги за сигурност и чувствителността на данните, които те обработват, сертифицирането може да осигури на потенциалните клиенти важни насоки и гаранции относно надеждността на тези услуги. Европейските схеми за сертифициране на управляваните услуги за сигурност допринасят да се избегне разпокъсаност на единния пазар. Настоящият регламент има за цел съответно да подобри функционирането на вътрешния пазар.
(5)Освен че внедряват ИКТ продукти, ИКТ услуги или ИКТ процеси, управляваните услуги за сигурност често осигуряват допълнителни елементи на услугата, които са плод на компетентността, експертните познания и опита на предоставящия персонал. Част от целите, свързани със сигурността, следва да бъдат осигуряването на много високо равнище на тази компетентност, експертни познания и опит, заедно с подходящи вътрешни процедури, за да се гарантира много високо качество на предоставяните управлявани услуги за сигурност. За да се гарантира, че всички аспекти на управляваната услуга за сигурност могат да бъдат обхванати от схема за сертифициране, е необходимо Регламент (ЕС) 2019/881 да бъде изменен.
Европейският надзорен орган по защита на данните беше консултиран в съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета и прие своето становище на [ДД/ММ/ГГГГ],
ПРИЕХА НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Изменения на Регламент (ЕС) 2019/881
Регламент (ЕС) 2019/881 се изменя, както следва:
1) В член 1, параграф 1, първа алинея буква б) се заменя със следното:
„б) се определя рамка за създаването на европейски схеми за сертифициране на киберсигурността с цел да се гарантира подходящо ниво на киберсигурност за ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност в Съюза, както и с цел да се избегне разпокъсаност на вътрешния пазар по отношение на схемите за сертифициране на киберсигурността в Съюза.“;
2) Член 2 се изменя, както следва:
а) точки 9, 10 и 11 се заменят със следното:
„9) „европейска схема за сертифициране на киберсигурността“ означава определен на равнището на Съюза цялостен набор от правила, технически изисквания, стандарти и процедури, установени на равнище на Съюза и които се прилагат по отношение на сертифицирането или оценката на съответствието на специфични ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност;
„10) „национална схема за сертифициране на киберсигурността“ означава цялостен набор от правила, технически изисквания, стандарти и процедури, разработени и приети от национален публичен орган и които се прилагат по отношение на сертифицирането или оценката на съответствието на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност, попадащи в обхвата на конкретната схема;
„11) „европейски сертификат за киберсигурност“ означава издаден от съответния орган документ, удостоверяващ, че за даден ИКТ продукт, ИКТ услуга, ИКТ процес или управлявана услуга за сигурност е извършена оценка за съответствие спрямо специфичните изисквания за сигурност, определени в дадена европейска схема за сертифициране на киберсигурността;“;
б) вмъква се следната точка:
„(14а) „управлявана услуга за сигурност“ означава услуга по извършване или съдействие за извършване на дейности, свързани с управлението на риска за киберсигурността, включително реагиране при инциденти, тестване за проникване, одити на сигурността и консултантски услуги“;
в) точки 20, 21 и 22 се заменят със следното:
„20) „технически спецификации“ означава документ, определящ техническите изисквания, които трябва да бъдат изпълнени от ИКТ продукт, ИКТ услуга или ИКТ процес, или процедурите за оценяване на съответствието, свързани с ИКТ продукт, ИКТ услуга, ИКТ процес или управлявана услуга за сигурност;
21) „ниво на увереност“ означава основа за увереност, че даден ИКТ продукт, ИКТ услуга, ИКТ процес или управлявана услуга за сигурност отговаря на изискванията за сигурност на конкретна европейска схема за сертифициране на киберсигурността, и указва на какво ниво е бил оценен ИКТ продуктът, ИКТ услугата, ИКТ процесът или управляваната услуга за сигурност, но само по себе си не измерва сигурността на съответния ИКТ продукт, ИКТ услуга, ИКТ процес или управлявана услуга за сигурност;
22) „самооценяване на съответствието“ означава действие, извършвано от производител или доставчик на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност, с което се оценява дали тези ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност отговарят на изискванията на конкретна европейска схема за сертифициране на киберсигурността;“;
3) В член 4 параграф 6 се заменя със следното:
„6. ENISA насърчава използването на европейското сертифициране с оглед на избягването на разпокъсаността на вътрешния пазар. ENISA допринася за създаването и поддържането на европейската рамка за сертифициране на киберсигурността съгласно дял III от настоящия регламент, с цел постигане на повече прозрачност в увереността за киберсигурността на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност като по този начин се укрепва доверието в цифровия вътрешен пазар и неговата конкурентоспособност.“;
4) Член 8 се изменя, както следва:
а) параграф 1 се заменя със следното:
„1. ENISA насърчава разработването и изпълнението на политиката на Съюза за сертифициране на киберсигурността на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност, както е предвидено в дял III от настоящия регламент, като:
а) непрекъснато следи събитията в съответните области на стандартизацията и препоръчва подходящи технически спецификации за използване при разработването на европейски схеми за сертифициране на киберсигурността съгласно член 54, параграф 1, буква в), когато такива стандарти не са налични;
б) изготвя проекти за европейски схеми за сертифициране на киберсигурността („проекти за схеми“) на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност в съответствие с член 49;
в) оценява приетите европейски схеми за сертифициране на киберсигурността в съответствие с член 49, параграф 8;
г) участва в партньорски проверки съгласно член 59, параграф 4;
д) съдейства на Комисията като осигурява секретариата на Европейската група за сертифициране на киберсигурността съгласно член 62, параграф 5.“;
б) параграф 3 се заменя със следното:
„3. ENISA съставя и публикува насоки и разработва добри практики относно изискванията за киберсигурност за ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност в сътрудничество с националните органи по сертифицирането на киберсигурността и с отрасъла по формален, структуриран и прозрачен начин.“;
в) параграф 5 се заменя със следното:
„5. ENISA улеснява въвеждането и използването на европейски и международни стандарти за управление на риска и за сигурността на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност.“;
5) В член 46 параграфи 1 и 2 се заменят със следното:
„1. Европейската рамка за сертифициране на киберсигурността се създава с цел да се подобрят условията за функционирането на вътрешния пазар, като се повиши нивото на киберсигурност в Съюза и се даде възможност за хармонизиран подход на равнището на Съюза спрямо европейските схеми за сертифициране на киберсигурността, с оглед на създаването на цифров единен пазар за ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност.“;
2. Европейската рамка за сертифициране на киберсигурността предвижда механизъм за създаване на европейски схеми за сертифициране на киберсигурността. Тя удостоверява, че ИКТ продуктите, ИКТ услугите и ИКТ процесите, които са били оценени в съответствие с такива схеми, отговарят на определени изисквания за сигурност с цел да се защити наличността, автентичността, целостта или поверителността на съхраняваните, предаваните или обработваните данни или на функциите и услугите, предлагани или направени достъпни чрез тези продукти, услуги и процеси през целия им жизнен цикъл. Освен това тя удостоверява, че управляваните услуги за сигурност, оценени в съответствие с тези схеми, отговарят на определени изисквания за сигурност с цел защита на наличността, автентичността, целостта и поверителността на данните, до които се осъществява достъп, които се обработват, съхраняват или предават във връзка с предоставянето на тези услуги, и че тези услуги се предоставят непрекъснато с необходимата компетентност, експертни познания и опит от персонал с много високо ниво на съответните технически познания и професионална почтеност.“;
6) В член 47 параграфи 2 и 3 се заменят със следното:
„2. Непрекъснатата работна програма на Съюза включва по-специално списък на ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност или категориите такива продукти, услуги и процеси, които могат да се възползват от включване в обхвата на дадена европейска схема за сертифициране на киберсигурността.
3. Включването на който и да било конкретен ИКТ продукт, ИКТ услуга, ИКТ процес или категория такива продукти, услуги или процеси, или на управлявана услуга за сигурност, в непрекъснатата работна програма на Съюза става на едно или повече от следните основания:
а) наличието и разработването на национални схеми за сертифициране на киберсигурността, които да обхващат някоя конкретна категория ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност и по-специално по отношение на опасността от възникване на разпокъсаност;
б) съответно право или политика на Съюза или национално право или политика;
в) пазарно търсене;
г) развитие на картината на киберзаплахите;
д) искане за изготвянето на конкретен проект за схема от Европейската група за сертифициране на киберсигурността.“;
7) В член 49 параграф 7 се заменя със следното:
„7. На основата на проекта за схема, изготвен от ENISA, Комисията може да приема актове за изпълнение, с които да установи европейска схема за сертифициране на киберсигурността за ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност, отговаряща на изискванията на членове 51, 52 и 54. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 66, параграф 2.“;
8) Член 51 се изменя, както следва:
а) заглавието се заменя със следното:
„Свързани със сигурността цели на европейските схеми за сертифициране на киберсигурността на ИКТ продукти, ИКТ услуги и ИКТ процеси“
б) уводното изречение се заменя със следното:
„Европейските схеми за сертифициране на киберсигурността на ИКТ продукти, ИКТ услуги или ИКТ процеси се проектира така, че да постигнат, според нуждите, най-малко следните цели, свързани със сигурността:“
9) Вмъква се следният член:
„Член 51a
Свързани със сигурността цели на европейските схеми за сертифициране на киберсигурността на управлявани услуги за сигурност
„Европейските схеми за сертифициране на киберсигурността на управлявани услуги за сигурност се проектират така, че да постигнат, според нуждите, най-малко следните цели, свързани със сигурността:
а) гарантиране, че управляваните услуги за сигурност разполагат с необходимата компетентност, експертни познания и опит, включително че персоналът, отговарящ за предоставянето на тези услуги, притежава много високо ниво на технически познания и компетентност в конкретната област, достатъчен и подходящ опит и най-висока степен на професионална почтеност;
б) гарантиране, че доставчикът разполага с подходящи вътрешни процедури, за да гарантира, че управляваните услуги за сигурност се предоставят с много високо качество по всяко време;
в) защита на данните, до които се осъществява достъп и които се съхраняват, предават или обработват по друг начин във връзка с предоставянето на управлявани услуги за сигурност, срещу случаен или неразрешен достъп, съхранение, разкриване, унищожаване, друга обработка, загуба, промяна или неналичност;
г) гарантиране на своевременно възстановяване наличието и достъпа до данни, услуги и функции в случай на физически или технически инцидент;
д) гарантиране, че оправомощените лица, програми и машини имат достъп единствено до данните, услугите и функциите, за които се отнасят правата им на достъп;
е) регистриране и осигуряване на възможност да се определи до кои данни, услуги или функции е бил осъществен достъп или са били използвани или обработвани по друг начин, кога и от кого;
ж) гарантиране, че ИКТ продуктите, ИКТ услугите и ИКТ процесите [и хардуерът], внедрени при предоставянето на управляваните услуги за сигурност, са защитени по подразбиране и още при разработването, не съдържат известни уязвимости и включват последните актуализации на сигурността;“;
10) Член 52 се изменя, както следва:
а) параграф 1 се заменя със следното:
„1. Европейските схеми за сертифициране на киберсигурността могат да предвиждат едно или повече от следните нива на увереност за ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност: „базово“, „съществено“ или „високо“. Нивото на увереност следва да е съизмеримо със степента на риска, свързан с предвидената употреба на ИКТ продукта, ИКТ услугата, ИКТ процеса или управляваната услуга за сигурност, с оглед на вероятността от инцидент и неговото въздействие.“;
б) параграф 3 се заменя със следното:
„3. Изискванията за сигурност, които отговарят на всяко ниво на увереност се посочват в съответната европейска схема за сертифициране на киберсигурността включително съответните функционалности за сигурност и съответното ниво на стриктност и задълбоченост на оценката, през която трябва да премине даден ИКТ продукт, ИКТ услуга или ИКТ процес и управлявана услуга за сигурност.“;
в) параграфи 5, 6 и 7 се заменят със следното:
„5. Европейският сертификат за киберсигурност или ЕС декларацията за съответствие, посочващи ниво на увереност „базово“, дава увереност, че ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност, за които този сертификат или тази ЕС декларация за съответствие са издадени, отговарят на съответните изисквания за сигурност, включително функционалности за сигурност, и че са били оценени на ниво, което има за цел да се сведат до минимум известните основни рискове от инциденти и кибератаки. Дейностите по оценка, които трябва да се предприемат, включват най-малко преглед на техническата документация. Когато такъв преглед не е подходящ, се предприемат заместващи дейности с равностоен ефект.
6. Европейският сертификат за киберсигурност, посочващ ниво на увереност „съществено“, дава увереност, че ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност, за които този сертификат е издаден, отговарят на съответните изисквания за сигурност, включително функционалности за сигурността, и че са били оценени на ниво, което има за цел да се сведат до минимум известните киберрискове, рискове от инциденти и кибератаки, извършвани от субекти с ограничени умения и ресурси. Дейностите по оценка, които трябва да се предприемат, включват най-малко следното: преглед за доказване отсъствие на общоизвестни уязвимости, и изпитване за доказване, че ИКТ продуктите, ИКТ услугите, ИКТ процесите или управляваните услуги за сигурност правилно внедряват необходимите функции за сигурност. Когато такива дейности по оценка не са подходящи, се предприемат заместващи дейности с равностоен ефект.
7. Европейският сертификат за киберсигурност, посочващ ниво на увереност „високо“ дава увереност, че ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност, за които сертификатът е издаден, отговарят на съответните изисквания за сигурност, включително функционалности за сигурност, и че са били оценени на ниво, което има за цел да се сведе до минимум рискът от най-висш тип кибератаки, извършвани от субекти със значителни умения и ресурси. Дейностите по оценка, които трябва да се предприемат, включват най-малко следното: преглед за доказване отсъствие на общоизвестни уязвимости; изпитване за доказване, че ИКТ продуктите, ИКТ услугите, ИКТ процесите или управляваните услуги за сигурност правилно внедряват необходимите най-съвременни функции за сигурност; и оценяване на устойчивостта им на атаки на умели извършители посредством тестване за проникване. Когато такива дейности по оценка не са подходящи, се предприемат заместващи дейности с равностоен ефект.“;
11) В член 53 параграфи 1, 2 и 3 се заменят със следното:
„1. Дадена европейска схема за сертифициране на киберсигурността може да позволява извършване на самооценяване на съответствието, като отговорност за нея носи единствено производителят или доставчикът на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност. Самооценяване на съответствието се разрешава само във връзка с ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност с ниско ниво на риск, съответстващо на ниво на увереност „базово“.
2. Производителят или доставчикът на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност може да издаде ЕС декларация за съответствие, в която заявява, че е изпълнил определените в схемата изисквания. Чрез издаването на такава декларация производителят или доставчикът на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност поема отговорност за съответствието на ИКТ продукта, ИКТ услугата, ИКТ процеса или управляваната услуга за сигурност с определените в схемата изисквания.
3. Производителят или доставчикът на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност съхранява ЕС декларацията за съответствие, техническата документация и всякаква друга съответна информация, отнасяща се до съответствието на ИКТ продуктите, ИКТ услугите, ИКТ процесите или управляваните услуги за сигурност със схемата, която е на разположение на националния орган за сертифициране на киберсигурността, посочен в член 58, за срок, определен в съответната европейска схема за сертифициране на киберсигурността. Копие от ЕС декларацията за съответствие се предоставя на националния орган за сертифициране на киберсигурността и на ENISA.“;
12) В член 54 параграф 1 се изменя, както следва:
а) буква а) се заменя със следното:
„а) предмет и обхват на схемата за сертифициране, включително вида или категориите ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност, обхванати от нея;“;
б) буква й) се заменя със следното:
„й) правилата за наблюдение на съответствието на ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност с изискванията на европейските сертификати за киберсигурност или на ЕС декларациите за съответствие, включително механизми за удостоверяване на трайното съответствие с определените изисквания за киберсигурност;“;
в) буква л) се заменя със следното:
„л) правила относно последиците за ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност, които са били сертифицирани или за които има издадена ЕС декларация за съответствието, но които не съответстват на изискванията на схемата;“;
г) буква о) се заменя със следното:
„о) списък на националните или международни схеми за сертифициране на киберсигурността, които обхващат същия тип или категории ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност, изисквания за сигурност, критерии и методи за оценка и нива на увереност;“;
д) буква р) се заменя със следното:
„р) срока, през който следва да бъде налична ЕС декларацията за съответствие, техническата документация и всякаква друга съответна информация, която трябва да се представи от производителя или доставчика на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност;“;
13) Член 56 се изменя, както следва:
а) параграф 1 се заменя със следното:
„1. ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност, сертифицирани по европейска схема за сертифициране на киберсигурността, приета съгласно член 49, се считат за съответстващи на изискванията на такава схема.“;
б) Параграф 3 се изменя, както следва:
i) първата алинея се заменя със следното:
Комисията извършва редовно оценяване на ефективността и използването на приетите европейски схеми за сертифициране на киберсигурността и дали някоя конкретна схема следва да бъде направена задължителна посредством съответното право на Съюза, така че да се гарантира подходящо ниво на киберсигурност на ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност в Съюза и да се подобри функционирането на вътрешния пазар. Първото такова оценяване се извършва до 31 декември 2023 г., а след това се извършват последващи оценявания най-малко веднъж на 2 години. Въз основа на резултатите от тези оценявания, Комисията набелязва ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност, обхванати от съществуваща схема за сертифициране, които следва да бъдат включени в обхвата на задължителна схема за сертифициране.“;
ii) третата алинея се изменя, както следва:
аа) буква а) се заменя със следното:
„а) отчита въздействието на мерките върху производителите или доставчиците на такива ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност, както и върху ползвателите, от гледна точка на разходите за тези мерки и социалните или икономическите ползи от очакваното повишено ниво на сигурност на ИКТ продуктите, ИКТ услугите, ИКТ процесите или управляваните услуги за сигурност, към които са насочени;“;
бб) буква г) се заменя със следното:
„г) отчита сроковете за изпълнение, необходимостта от преходни мерки и срокове, по-специално по отношение на възможното въздействие на мярката върху производителите или доставчиците на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност, включително МСП;“;
в) параграфи 7 и 8 се заменят със следното:
„7. Физическото или юридическото лице, което подлага ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност на процедурите за сертифициране, предоставя на националния орган за сертифициране на киберсигурността по член 58, когато този орган е издаващият орган на европейския сертификат за киберсигурност, или на органа за оценяване на съответствието по член 60, цялата необходима информация за провеждане на сертифицирането.
8. Притежателят на европейски сертификат за киберсигурност уведомява органа или институцията, посочени в параграф 7, за всички открити впоследствие уязвимости или нередности във връзка със сигурността на сертифицирания ИКТ продукт, ИКТ услуга, ИКТ процес или управлявана услуга за сигурност, които може да окажат въздействие върху тяхното съответствие с изискванията, свързани със сертифицирането. Органът или институцията изпраща тази информация без излишно забавяне на съответния национален орган за сертифициране на киберсигурността.“
14) В член 57 параграфи 1 и 2 се заменят със следното:
„1. Без да се засягат разпоредбите на параграф 3 от настоящия член, националните схеми за сертифициране на киберсигурността и свързаните с тях процедури за ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност, обхванати от европейска схема за сертифициране на киберсигурността, прекратяват правното си действие от датата, посочена в акта за изпълнение, приет съгласно член 49, параграф 7. Националните схеми за сертифициране на киберсигурността и свързаните с тях процедури за ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност, които не са обхванати от европейска схема за сертифициране на киберсигурността, продължават да съществуват.
2. Държавите членки не въвеждат нови национални схеми за сертифициране на киберсигурността на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност вече обхванати от европейска схема за сертифициране на киберсигурността, която е в сила.“;
15) Член 58 се изменя, както следва:
а) Параграф 7 се изменя, както следва:
i) букви а) и б) се заменят със следното:
„а) упражняват надзор и следят за спазването на правилата, включени в европейски схеми за сертифициране на киберсигурността съгласно член 54, параграф 1, буква й), за да наблюдават съответствието на ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност с изискванията на издадените европейски сертификати за киберсигурност на съответната им територия, в сътрудничество с други съответни органи за надзор на пазара;
б) наблюдават и следят за спазването на задълженията на производителите или доставчиците на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност, които са установени на тяхна територия и които извършват самооценяване на съответствието, и по-специално наблюдават и следят за спазването на задълженията на тези производители или доставчици, посочени в член 53, параграфи 2 и 3 и в съответната европейска схема за сертифициране на киберсигурността;“;
ii) буква з) се заменя със следното:
„з) сътрудничат си с другите национални органи за сертифициране на киберсигурността или други публични органи, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност с изискванията на настоящия регламент или с изискванията на конкретни европейски схеми за сертифициране на киберсигурността; и“;
б) параграф 9 се заменя със следното:
„9. Националните органи за сертифициране на киберсигурността си сътрудничат помежду си и с Комисията, и по-специално обменят информация, опит и добри практики във връзка със сертифицирането на киберсигурността и техническите въпроси, засягащи киберсигурността на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност.“;
16) В член 59, параграф 3, букви б) и в) се заменят със следното:
„б) процедурите за надзор и изпълнение на правилата за наблюдение на съответствието на ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност с европейските сертификати за киберсигурност съгласно член 58, параграф 7, буква а);
в) процедурите за наблюдение и изпълнение на задълженията на производителите или доставчиците на ИКТ продукти, ИКТ услуги, ИКТ процеси или управлявани услуги за сигурност съгласно член 58, параграф 7, буква б);“;
17) В член 67 параграфи 2 и 3 се заменят със следното:
„2. В оценката също така се разглежда въздействието и ефективността на разпоредбите на дял III от настоящия регламент по отношение на целите за осигуряване на адекватно ниво на киберсигурност на ИКТ продуктите, ИКТ услугите, ИКТ процесите и управляваните услуги за сигурност в Съюза и за подобряване на функционирането на вътрешния пазар.
3. В оценката се преценява дали са необходими съществени изисквания за киберсигурност за достъп до вътрешния пазар, за да се предотврати влизането в пазара на Съюза на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност, които не отговарят на базовите изисквания за киберсигурност.“.
Член 2
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Страсбург на […] година.
За Европейския парламент За Съвета
Председател Председател
