29.11.2022   

CS

Úřední věstník Evropské unie

C 452/23

Shrnutí stanoviska evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) 2019/1020

(2022/C 452/07)

(Úplné znění tohoto stanoviska je k dispozici v angličtině, francouzštině a němčině na internetových stránkách evropského inspektora ochrany údajů na adrese https://edps.europa.eu)

Dne 15. září 2022 vydala Evropská komise návrh nařízení Evropského parlamentu a Rady o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) 2019/1020 (1) (dále jen „návrh“).

Evropský inspektor ochrany údajů návrh vítá a plně podporuje jeho obecný cíl zlepšit fungování vnitřního trhu stanovením jednotného právního rámce pro základní požadavky na kybernetickou bezpečnost při uvádění produktů s digitálními prvky na trh Unie.

Evropský inspektor ochrany údajů připomíná, že čl. 5 odst. 1 písm. f) obecného nařízení o ochraně osobních údajů stanovuje bezpečnost jako jednu z hlavních zásad zpracování osobních údajů. Článek 32 obecného nařízení o ochraně osobních údajů tuto povinnost, která se vztahuje jak na správce, tak na zpracovatele údajů, dále vymezuje, aby byla zajištěna náležitá úroveň bezpečnosti. Evropský inspektor ochrany údajů proto vítá, že zásady bezpečnosti a minimalizace údajů jsou již zakotveny v základních požadavcích na kybernetickou bezpečnost uvedených v příloze I návrhu. Evropský inspektor ochrany údajů navíc důrazně doporučuje, aby do základních požadavků na kybernetickou bezpečnost produktů s digitálními prvky byly zahrnuty zásady záměrné a standardní ochrany osobních údajů.

17. bod odůvodnění obsahuje velice důležitá ustanovení týkající se správy, která nejsou zohledněna v normativní části návrhu. Evropský inspektor ochrany údajů proto doporučuje upřesnit v normativní části návrhu všechny aspekty týkající se vytvoření synergií jak v oblasti normalizace a certifikace kybernetické bezpečnosti, tak mezi návrhem a právními předpisy Unie v oblasti ochrany údajů, pokud jde o dozor nad trhem a prosazování předpisů. Evropský inspektor ochrany údajů navíc považuje za nezbytné objasnit, že návrh si neklade za cíl ovlivnit uplatňování stávajících právních předpisů EU upravujících zpracování osobních údajů, a to ani úkoly a pravomoci nezávislých dozorových úřadů příslušných k monitorování dodržování těchto nástrojů.

Evropský inspektor ochrany údajů vítá skutečnost, že návrh uznává, že zpracování osobních údajů je kritickou a citlivou funkcí, a může být proto nutné získat pro příslušné kritické produkty s digitálními prvky evropský certifikát kybernetické bezpečnosti v rámci evropského systému certifikace kybernetické bezpečnosti. Evropský inspektor ochrany údajů zároveň doporučuje objasnit v bodě odůvodnění návrhu, že získání evropské certifikace kybernetické bezpečnosti nezaručuje soulad s obecným nařízením o ochraně osobních údajů.

Evropský inspektor ochrany údajů vítá také navrhované sankce, které jsou podobné sankcím stanoveným v obecném nařízení o ochraně osobních údajů za porušení článku 32 o zabezpečení zpracování, konkrétně pokuty v maximální výši 2,5 % celosvětového ročního obratu. V důsledku toho by návrh mohl sloužit jako další forma ochrany fyzických osob s bydlištěm v některém z členských států EU, a to ve spojení s ustanoveními obecného nařízení o ochraně osobních údajů.

1.   ÚVOD

1.

 Dne 15. září 2022 vydala Evropská komise návrh nařízení Evropského parlamentu a Rady o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) 2019/1020.

2.

 Cílem návrhu je zlepšit fungování vnitřního trhu stanovením jednotného právního rámce pro základní požadavky na kybernetickou bezpečnost při uvádění produktů s digitálními prvky na trh Unie (2). Návrh má zejména stanovit mezní podmínky pro vývoj bezpečných produktů s digitálními prvky tím, že bude zajištěno, aby hardwarové a softwarové produkty byly uváděny na trh s méně zranitelnostmi a aby výrobci brali vážně bezpečnost v průběhu celého životního cyklu produktu. Má rovněž vytvořit podmínky umožňující uživatelům, aby při výběru a používání produktů s digitálními prvky zohlednili kybernetickou bezpečnost (3).

3.

 Za tímto účelem se tímto návrhem stanoví (4):

pravidla pro uvádění produktů s digitálními prvky na trh s cílem zajistit kybernetickou bezpečnost těchto produktů,

základní požadavky na navrhování, vývoj a výrobu produktů s digitálními prvky a povinnosti hospodářských subjektů v souvislosti s těmito produkty s ohledem na kybernetickou bezpečnost,

základní požadavky na procesy řešení zranitelnosti zavedené výrobci s cílem zajistit kybernetickou bezpečnost produktů s digitálními prvky během celého životního cyklu a povinnosti hospodářských subjektů v souvislosti s těmito procesy,

pravidla pro dozor nad trhem a prosazování výše uvedených pravidel a požadavků.

4.

 Rámec EU obsahuje několik horizontálních právních předpisů, které upravují některá hlediska související s kybernetickou bezpečností z různých úhlů (produkty, služby, řešení krizí a trestná činnost). V roce 2013 vstoupila v platnost směrnice o útocích na informační systémy (5), která harmonizuje kriminalizaci a sankce za řadu trestných činů namířených proti informačním systémům. V srpnu 2016 vstoupila v platnost směrnice (EU) 2016/1148 (6) o bezpečnosti sítí a informačních systémů (směrnice o bezpečnosti sítí a informací) coby první právní předpis EU o kybernetické bezpečnosti. Její revize, jejímž výsledkem je směrnice o bezpečnosti sítí a informací 2, zvyšuje společnou úroveň ambicí EU, pokud jde o kybernetickou bezpečnost služeb IKT. V roce 2019 vstoupil v platnost akt EU o kybernetické bezpečnosti (7), jehož cílem je posílit bezpečnost produktů, služeb a procesů IKT zavedením dobrovolného evropského rámce pro certifikaci kybernetické bezpečnosti.

5.

 Toto stanovisko evropského inspektora ochrany údajů je vydáno v reakci na konzultaci Evropské komise ze dne 15. září 2022 podle čl. 42 odst. 1 nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie. Evropský inspektor ochrany údajů vítá odkaz na tuto konzultaci v 71. bodě odůvodnění návrhu. V tomto ohledu evropský inspektor ochrany údajů rovněž s uspokojením konstatuje, že byl předtím neformálně konzultován podle 60. bodu odůvodnění nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie.

3.   ZÁVĚRY

31.

 Vzhledem k výše uvedenému vydává evropský inspektor ochrany údajů tato doporučení:

1)

zahrnout do základních požadavků na kybernetickou bezpečnost produktů s digitálními prvky zásady záměrné a standardní ochrany osobních údajů;

2)

vysvětlit v preambuli důležitost produktů s digitálními prvky, pomocí kterých se provádí kryptografické operace, včetně šifrování neaktivních uložených dat a přenášených dat a pseudonymizace, které jsou nezbytné pro účinné zajištění bezpečnosti informací, kybernetické bezpečnosti, ochrany údajů a soukromí;

3)

doplnit do přílohy II hmotné a nehmotné produkty s digitálními prvky, pomocí kterých se provádí kryptografické operace;

4)

vymazat ze seznamu právních předpisů vyloučených z oblasti působnosti návrhu nařízení (EU) 2017/745 (8);

5)

výslovně v návrhu vysvětlit, jaké prvky základních požadavků uvedených v čl. 3 odst. 3 písm. e) směrnice 2014/53/EU (9) se týkají osobních údajů a soukromí;

6)

upřesnit v normativní části návrhu praktické aspekty týkající se vytvoření synergií jak v oblasti normalizace a certifikace kybernetické bezpečnosti, tak mezi návrhem a právními předpisy Unie v oblasti ochrany údajů, pokud jde o dozor nad trhem a prosazování předpisů;

7)

objasnit, že návrh si neklade za cíl ovlivnit uplatňování stávajících právních předpisů EU upravujících zpracování osobních údajů, a to ani úkoly a pravomoci nezávislých dozorových úřadů příslušných k monitorování dodržování těchto nástrojů;

8)

doplnit příslušné definice pojmů „svobodný software“, „software s otevřeným zdrojovým kódem“ a „svobodný software s otevřeným zdrojovým kódem“;

9)

objasnit v bodě odůvodnění návrhu, že získání evropské certifikace kybernetické bezpečnosti nezaručuje soulad s obecným nařízením o ochraně osobních údajů.

V Bruselu dne 9. listopadu 2022.

Wojciech Rafał WIEWIÓROWSKI

(1)  COM/2022/454 final.

(2)  1. bod odůvodnění návrhu.

(3)  2. bod odůvodnění návrhu.

(4)  Článek 1 návrhu.

(5)  Směrnice Evropského parlamentu a Rady 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV (Úř. věst. L 218, 14.8.2013, s. 8).

(6)  Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1).

(7)  Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).

(8)  Nařízení Evropského parlamentu a Rady (EU) 2017/745 ze dne 5. dubna 2017 o zdravotnických prostředcích, kterým se mění směrnice 2001/83/ES, nařízení (ES) č. 178/2002 a nařízení (ES) č. 1223/2009 a zrušuje Směrnice Rady 90/385/EHS a 93/42/EHS (Úř. věst. L 117, 5.5.2017, s. 1).

(9)  Směrnice Evropského parlamentu a Rady 2014/53/EU ze dne 16. dubna 2014 o harmonizaci právních předpisů členských států týkajících se dodávání rádiových zařízení na trh a o zrušení směrnice 1999/5/ES (Úř. věst. L 153, 22.5.2014, s. 62).