Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 52023PC0208

Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για την τροποποίηση του κανονισμού (ΕΕ) 2019/881 όσον αφορά τις διαχειριζόμενες υπηρεσίες ασφάλειας

COM/2023/208 final

Date of document:
18/04/2023
Date of dispatch:
18/04/2023; διαβιβάστηκε στο Συμβούλιο
Date of dispatch:
18/04/2023; διαβιβάστηκε στο Κοινοβούλιο
Date of end of validity:
No end date
Author:
Ευρωπαϊκή Επιτροπή, Γενική Διεύθυνση Επικοινωνιακών Δικτύων, Περιεχομένου και Τεχνολογιών
Responsible body:
CNECT
Form:
Πρόταση κανονισμού
Additional information:
Ενδιαφέρον για τον ΕΟΧ
Treaty:
Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης
Legal basis:
Link
Link
Link
Select all documents mentioning this document
Earlier related instruments:
Subsequent related instruments:
Instruments cited:

Στρασβούργο, 18.4.2023

COM(2023) 208 final

2023/0108(COD)

Πρόταση

ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

για την τροποποίηση του κανονισμού (ΕΕ) 2019/881 όσον αφορά τις διαχειριζόμενες υπηρεσίες ασφάλειας

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)


ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ

1.ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ

Αιτιολόγηση και στόχοι της πρότασης

Η παρούσα αιτιολογική έκθεση συνοδεύει την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την τροποποίηση του κανονισμού (ΕΕ) 2019/881 1 σχετικά με τις διαχειριζόμενες υπηρεσίες ασφάλειας.

Η προτεινόμενη στοχευμένη τροποποίηση σκοπό έχει να καταστήσει δυνατή, μέσω εκτελεστικών πράξεων της Επιτροπής, την έγκριση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας για «διαχειριζόμενες υπηρεσίες ασφάλειας», επιπλέον των προϊόντων πληροφοριών και τεχνολογίας (ΤΠΕ), των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ, που καλύπτονται ήδη από την πράξη για την κυβερνοασφάλεια. Οι διαχειριζόμενες υπηρεσίες ασφάλειας διαδραματίζουν ολοένα σημαντικότερο ρόλο στην πρόληψη και τον μετριασμό των περιστατικών στον τομέα της κυβερνοασφάλειας.

Στα συμπεράσματά του της 23ης Μαΐου 2022 2 σχετικά με τη διαμόρφωση της στάσης της Ευρωπαϊκής Ένωσης στον κυβερνοχώρο, το Συμβούλιο κάλεσε την Ένωση και τα κράτη μέλη της να εντείνουν τις προσπάθειες για την αύξηση του συνολικού επιπέδου κυβερνοασφάλειας, για παράδειγμα διευκολύνοντας την εμφάνιση αξιόπιστων παρόχων υπηρεσιών κυβερνοασφάλειας, και τόνισε ότι η ενθάρρυνση της ανάπτυξης τέτοιων παρόχων θα πρέπει να αποτελεί προτεραιότητα για τη βιομηχανική πολιτική της Ένωσης στον τομέα της κυβερνοασφάλειας. Κάλεσε επίσης την Επιτροπή να προτείνει επιλογές για την ενθάρρυνση της ανάδυσης αξιόπιστου κλάδου υπηρεσιών κυβερνοασφάλειας. Η πιστοποίηση των διαχειριζόμενων υπηρεσιών ασφάλειας αποτελεί αποτελεσματικό μέσο για την οικοδόμηση εμπιστοσύνης στην ποιότητα των εν λόγω υπηρεσιών και, ως εκ τούτου, για τη διευκόλυνση της ανάδυσης ενός αξιόπιστου ευρωπαϊκού κλάδου υπηρεσιών κυβερνοασφάλειας.

Στην κοινή ανακοίνωση με τίτλο «Πολιτική της ΕΕ για την κυβερνοάμυνα», η οποία εκδόθηκε από την Επιτροπή και τον ύπατο εκπρόσωπο στις 10 Νοεμβρίου 2022 3 , ανακοινώθηκε ότι η Επιτροπή θα διερευνήσει την ανάπτυξη σχημάτων πιστοποίησης της κυβερνοασφάλειας σε επίπεδο ΕΕ για τον κλάδο της κυβερνοασφάλειας και τις ιδιωτικές εταιρείες. Οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας θα διαδραματίσουν επίσης σημαντικό ρόλο στο αποθεματικό κυβερνοασφάλειας σε επίπεδο ΕΕ, η σταδιακή σύσταση του οποίου υποστηρίζεται από την πράξη για την αλληλεγγύη στον κυβερνοχώρο, η οποία προτείνεται παράλληλα με τον παρόντα κανονισμό. Το αποθεματικό κυβερνοασφάλειας σε επίπεδο ΕΕ πρόκειται να χρησιμοποιηθεί για τη στήριξη δράσεων αντιμετώπισης και άμεσης ανάκαμψης σε περίπτωση σημαντικών και μεγάλης κλίμακας περιστατικών κυβερνοασφάλειας. Οι σχετικές υπηρεσίες κυβερνοασφάλειας που παρέχονται από «αξιόπιστους παρόχους», οι οποίες αναφέρονται στην πράξη για την αλληλεγγύη στον κυβερνοχώρο, αντιστοιχούν σε «διαχειριζόμενες υπηρεσίες ασφάλειας» στην παρούσα πρόταση.

Ορισμένα κράτη μέλη έχουν ήδη αρχίσει να θεσπίζουν σχήματα πιστοποίησης για τις διαχειριζόμενες υπηρεσίες ασφάλειας. Ως εκ τούτου, υπάρχει αυξανόμενος κίνδυνος κατακερματισμού της εσωτερικής αγοράς διαχειριζόμενων υπηρεσιών ασφάλειας λόγω ασυνεπειών στα σχήματα πιστοποίησης της κυβερνοασφάλειας σε ολόκληρη την Ένωση. Η παρούσα πρόταση καθιστά δυνατή τη δημιουργία ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας για τις εν λόγω υπηρεσίες, ώστε να αποτραπεί ο εν λόγω κατακερματισμός.

Συνέπεια με τις ισχύουσες διατάξεις στον τομέα πολιτικής

Η παρούσα πρόταση συνάδει με την πράξη για την κυβερνοασφάλεια, την οποία τροποποιεί. Βασίζεται στις διατάξεις του εν λόγω κανονισμού και τις προσαρμόζει ώστε να περιλαμβάνουν επίσης τις διαχειριζόμενες υπηρεσίες ασφάλειας. Οι προτεινόμενες τροποποιήσεις περιορίζονται στα απολύτως αναγκαία και δεν μεταβάλλουν τα χαρακτηριστικά ή τη λειτουργία της πράξης για την κυβερνοασφάλεια.

Η πρόταση συνάδει επίσης με την οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS 2) 4 . Οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας θεωρούνται βασικές ή σημαντικές οντότητες που ανήκουν σε τομέα υψηλής κρισιμότητας σύμφωνα με την οδηγία (ΕΕ) 2022/2555. Στην αιτιολογική σκέψη 86 της εν λόγω οδηγίας αναφέρεται ότι οι πάροχοι υπηρεσίας διαχείρισης της ασφάλειας σε τομείς όπως η αντιμετώπιση περιστατικών, οι δοκιμές διείσδυσης, οι έλεγχοι ασφάλειας και η παροχή συμβουλών διαδραματίζουν ιδιαίτερα σημαντικό ρόλο στην παροχή συνδρομής σε οντότητες που καταβάλλουν προσπάθειες για την πρόληψη, τον εντοπισμό και την αντιμετώπιση περιστατικών ή την ανάκαμψη από αυτά. Ωστόσο, οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας αποτέλεσαν και οι ίδιοι στόχο κυβερνοεπιθέσεων και ενέχουν ιδιαίτερο κίνδυνο λόγω της στενής ενσωμάτωσής τους στις δραστηριότητες των πελατών τους. Συνεπώς, οι βασικές και σημαντικές οντότητες κατά την έννοια της οδηγίας (ΕΕ) 2022/2555 θα πρέπει να επιδεικνύουν αυξημένη επιμέλεια κατά την επιλογή παρόχου διαχειριζόμενης υπηρεσίας ασφάλειας.

Η παρούσα πρόταση αποσκοπεί στη βελτίωση της ποιότητας των διαχειριζόμενων υπηρεσιών ασφάλειας και στην αύξηση της συγκρισιμότητάς τους. Ως εκ τούτου, επιτρέπει στις βασικές και σημαντικές οντότητες να επιδεικνύουν αυξημένη επιμέλεια κατά την επιλογή ενός παρόχου διαχειριζόμενων υπηρεσιών ασφάλειας, όπως απαιτείται βάσει της οδηγίας (ΕΕ) 2022/2555. Επιπλέον, ο ορισμός των «διαχειριζόμενων υπηρεσιών ασφάλειας» στην παρούσα πρόταση απορρέει και είναι πολύ παρόμοιος με τον ορισμό των «παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας» στην οδηγία (ΕΕ) 2022/2555. Για τους λόγους αυτούς, η πρόταση συμπληρώνει σε μεγάλο βαθμό την οδηγία NIS 2.

Τέλος, η παρούσα πρόταση συμπληρώνει την προτεινόμενη πράξη για την αλληλεγγύη στον κυβερνοχώρο. Η προτεινόμενη πράξη για την αλληλεγγύη στον κυβερνοχώρο θεσπίζει διαδικασία επιλογής των παρόχων για τη δημιουργία αποθεματικού κυβερνοασφάλειας σε επίπεδο ΕΕ, η οποία θα πρέπει, μεταξύ άλλων, να λαμβάνει υπόψη το αν οι εν λόγω πάροχοι έχουν λάβει ευρωπαϊκή ή εθνική πιστοποίηση κυβερνοασφάλειας. Ως εκ τούτου, τα μελλοντικά σχήματα πιστοποίησης για τις διαχειριζόμενες υπηρεσίες ασφάλειας θα διαδραματίσουν σημαντικό ρόλο στην εφαρμογή της πράξης για την αλληλεγγύη στον κυβερνοχώρο.

Συνέπεια με άλλες πολιτικές της Ένωσης

Η παρούσα πρόταση δεν επηρεάζει τη συνέπεια της πράξης για την κυβερνοασφάλεια με τον κανονισμό (ΕΕ) 2016/679 (στο εξής: γενικός κανονισμός για την προστασία δεδομένων, «ΓΚΠΔ») 5 και τις διατάξεις του σχετικά με τη θέσπιση μηχανισμών πιστοποίησης και σφραγίδων και σημάτων προστασίας δεδομένων για τον σκοπό της απόδειξης της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Η πράξη για την κυβερνοασφάλεια εξακολουθεί να εφαρμόζεται με την επιφύλαξη της πιστοποίησης των πράξεων επεξεργασίας των δεδομένων, ακόμη και όταν τέτοιες πράξεις βρίσκονται ενσωματωμένες σε προϊόντα και υπηρεσίες, στο πλαίσιο του ΓΚΠΔ.

Επιπλέον, η παρούσα πρόταση δεν επηρεάζει τη συμβατότητα της πράξης για την κυβερνοασφάλεια με τον κανονισμό (ΕΚ) αριθ. 765/2008 για τις απαιτήσεις διαπίστευσης και εποπτείας της αγοράς 6 , ιδίως όσον αφορά το πλαίσιο για τους εθνικούς οργανισμούς διαπίστευσης και τους οργανισμούς αξιολόγησης της συμμόρφωσης, καθώς και με τις εθνικές εποπτικές αρχές πιστοποίησης.

2.ΝΟΜΙΚΗ ΒΑΣΗ, ΕΠΙΚΟΥΡΙΚΟΤΗΤΑ ΚΑΙ ΑΝΑΛΟΓΙΚΟΤΗΤΑ

Νομική βάση

Η παρούσα πρόταση τροποποιεί την πράξη για την κυβερνοασφάλεια, η οποία βασίζεται στο άρθρο 114 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ). Όπως και στην περίπτωση της πράξης για την κυβερνοασφάλεια, η παρούσα πρόταση αποσκοπεί στην αποφυγή του κατακερματισμού της εσωτερικής αγοράς, συγκεκριμένα καθιστώντας δυνατή τη θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας για τις διαχειριζόμενες υπηρεσίες ασφάλειας. Τα κράτη μέλη έχουν ήδη αρχίσει να θεσπίζουν εθνικά σχήματα πιστοποίησης για τις διαχειριζόμενες υπηρεσίες ασφάλειας. Ως εκ τούτου, υπάρχει συγκεκριμένος κίνδυνος κατακερματισμού της εσωτερικής αγοράς για τις εν λόγω υπηρεσίες, τον οποίο η παρούσα πρόταση επιδιώκει να αντιμετωπίσει. Ως εκ τούτου, το άρθρο 114 της ΣΛΕΕ αποτελεί τη σχετική νομική βάση για την παρούσα πρωτοβουλία.

Επικουρικότητα (σε περίπτωση μη αποκλειστικής αρμοδιότητας)

Ο στόχος να καταστεί δυνατή η θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας για τη διαχείριση της ασφάλειας και να αποφευχθεί ο κατακερματισμός της εσωτερικής αγοράς δεν μπορεί να επιτευχθεί σε εθνικό επίπεδο, αλλά μόνο σε επίπεδο Ένωσης. Επιπλέον, οι διαχειριζόμενες υπηρεσίες ασφάλειας, οι οποίες αποτελούν το αντικείμενο της προτεινόμενης τροποποίησης, προσφέρονται από παρόχους που δραστηριοποιούνται σε ολόκληρη την Ένωση, όπως και οι μεγαλύτεροι δυνητικοί πελάτες τους. Ως εκ τούτου, η δράση σε επίπεδο Ένωσης είναι ταυτόχρονα αναγκαία και αποτελεσματικότερη από τη δράση σε εθνικό επίπεδο.

Αναλογικότητα

Η πρόταση αποτελεί στοχευμένη τροποποίηση της πράξης για την κυβερνοασφάλεια. Περιορίζεται στα απολύτως αναγκαία για την επίτευξη του στόχου της, δηλαδή να καταστεί δυνατή η θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας για τις διαχειριζόμενες υπηρεσίες ασφάλειας, επιπλέον των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ. Ειδικότερα, οι προτεινόμενες τροποποιήσεις προσαρμόζουν το πεδίο εφαρμογής του ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας ώστε να συμπεριληφθούν οι «διαχειριζόμενες υπηρεσίες ασφάλειας», εισάγουν ορισμό των εν λόγω υπηρεσιών σύμφωνα με την οδηγία NIS 2 και τροποποιούν τους στόχους ασφάλειας της ευρωπαϊκής πιστοποίησης κυβερνοασφάλειας προκειμένου να προσαρμοστεί στις «διαχειριζόμενες υπηρεσίες ασφάλειας». Οι λοιπές τροποποιήσεις είναι τεχνικής φύσεως και έχουν ως σκοπό να διασφαλίσουν ότι τα σχετικά άρθρα εφαρμόζονται και στις «διαχειριζόμενες υπηρεσίες ασφάλειας». Ως εκ τούτου, η προτεινόμενη πρωτοβουλία είναι ανάλογη του στόχου.

Επιλογή της νομικής πράξης

Δεδομένου ότι η νομική πράξη τροποποιεί τον κανονισμό (ΕΕ) 2019/881, η κατάλληλη νομική πράξη είναι ο κανονισμός.

3.ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΚ ΤΩΝ ΥΣΤΕΡΩΝ ΑΞΙΟΛΟΓΗΣΕΩΝ, ΤΩΝ ΔΙΑΒΟΥΛΕΥΣΕΩΝ ΜΕ ΤΑ ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ ΚΑΙ ΤΩΝ ΕΚΤΙΜΗΣΕΩΝ ΕΠΙΠΤΩΣΕΩΝ

Εκ των υστέρων αξιολογήσεις / έλεγχοι καταλληλότητας της ισχύουσας νομοθεσίας

Άνευ αντικειμένου.

Διαβουλεύσεις με τα ενδιαφερόμενα μέρη

Πραγματοποιήθηκαν στοχευμένες διαβουλεύσεις με τα κράτη μέλη και τον ENISA. Στις διαβουλεύσεις αυτές, τα κράτη μέλη περιέγραψαν τις τρέχουσες δραστηριότητες και απόψεις τους όσον αφορά την πιστοποίηση των διαχειριζόμενων υπηρεσιών ασφάλειας. Ο ENISA εξήγησε τις απόψεις του και τις διαπιστώσεις του από συζητήσεις με τα κράτη μέλη και τα ενδιαφερόμενα μέρη. Οι παρατηρήσεις και οι πληροφορίες που ελήφθησαν από τα κράτη μέλη και τον ENISA αξιοποιήθηκαν στην παρούσα πρόταση.

Συλλογή και χρήση εμπειρογνωσίας

Άνευ αντικειμένου.

Εκτίμηση επιπτώσεων

Ζητήθηκε απαλλαγή από την ανάγκη διενέργειας εκτίμησης επιπτώσεων, καθώς η πρόταση αποτελεί πολύ περιορισμένη και στοχευμένη τροποποίηση της πράξης για την κυβερνοασφάλεια. Θα εξουσιοδοτεί την Επιτροπή να εγκρίνει, μέσω εκτελεστικών πράξεων, σχήματα πιστοποίησης για «διαχειριζόμενες υπηρεσίες ασφάλειας», επιπλέον των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ, που καλύπτονται ήδη από την πράξη. Ωστόσο, η τροποποίηση θα έχει αποτέλεσμα μόνο μετά την έγκριση των εν λόγω σχημάτων πιστοποίησης σε μεταγενέστερο στάδιο. Επιπλέον, η τροποποίηση δεν θα μεταβάλει τον εθελοντικό χαρακτήρα των σχημάτων πιστοποίησης.

Καταλληλότητα και απλούστευση του κανονιστικού πλαισίου

Άνευ αντικειμένου.

Θεμελιώδη δικαιώματα

Η πρόταση δεν έχει προβλέψιμες επιπτώσεις στην προστασία των θεμελιωδών δικαιωμάτων. 

4.ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ

Καμία.

5.ΛΟΙΠΑ ΣΤΟΙΧΕΙΑ

Σχέδια εφαρμογής και ρυθμίσεις παρακολούθησης, αξιολόγησης και υποβολής εκθέσεων

Οι διατάξεις που θα τροποποιηθούν με την πρόταση θα αξιολογηθούν στο πλαίσιο της περιοδικής αξιολόγησης της πράξης για την κυβερνοασφάλεια που θα διενεργηθεί από την Επιτροπή σύμφωνα με το άρθρο 67 αυτής. Η αξιολόγηση αποτιμά, μεταξύ άλλων, τον αντίκτυπο, την αποτελεσματικότητα και την απόδοση των διατάξεων για το πλαίσιο πιστοποίησης της κυβερνοασφάλειας σε σχέση με τους στόχους αφενός της διασφάλισης επαρκούς επιπέδου κυβερνοασφάλειας των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ στην Ένωση και αφετέρου της βελτίωσης της λειτουργίας της εσωτερικής αγοράς. Η πρόταση περιλαμβάνει τροποποίηση που διασφαλίζει ότι η αξιολόγηση καλύπτει επίσης τις διαχειριζόμενες υπηρεσίες ασφάλειας. Η Επιτροπή διαβιβάζει επίσης έκθεση σχετικά με την αξιολόγηση και τα συμπεράσματά της στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και το διοικητικό συμβούλιο του ENISA και δημοσιοποιεί τα πορίσματα της έκθεσης.

Αναλυτική επεξήγηση των επιμέρους διατάξεων της πρότασης

Η πρόταση περιέχει δύο άρθρα. Το άρθρο 1 περιέχει τις τροποποιήσεις του κανονισμού (ΕΕ) 2019/881, ενώ το άρθρο 2 αφορά την έναρξη ισχύος. Το άρθρο 1 περιέχει στοχευμένες τροποποιήσεις για την τροποποίηση του πεδίου εφαρμογής του ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας της πράξης για την κυβερνοασφάλεια, ώστε να συμπεριληφθούν οι «διαχειριζόμενες υπηρεσίες ασφάλειας» (άρθρα 1 και 46 της πράξης για την κυβερνοασφάλεια). Εισάγει ορισμό των εν λόγω υπηρεσιών, ο οποίος ευθυγραμμίζεται πολύ στενά με τον ορισμό των «παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας» βάσει της οδηγίας NIS 2 (άρθρο 2 της πράξης για την κυβερνοασφάλεια). Προσθέτει επίσης ένα νέο άρθρο 51α σχετικά με τους στόχους ασφάλειας της ευρωπαϊκής πιστοποίησης της κυβερνοασφάλειας, προσαρμοσμένο στις «διαχειριζόμενες υπηρεσίες ασφάλειας». Τέλος, η πρόταση περιέχει ορισμένες τεχνικές τροποποιήσεις προκειμένου να διασφαλιστεί ότι τα σχετικά άρθρα εφαρμόζονται και στις «διαχειριζόμενες υπηρεσίες ασφάλειας».

2023/0108 (COD)

Πρόταση

ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

για την τροποποίηση του κανονισμού (ΕΕ) 2019/881 όσον αφορά τις διαχειριζόμενες υπηρεσίες ασφάλειας

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης και ιδίως το άρθρο 114,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής,

Έχοντας υπόψη τη γνώμη της Επιτροπής των Περιφερειών,

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία,

Εκτιμώντας τα ακόλουθα:

(1)Ο κανονισμός (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 7 θεσπίζει ένα πλαίσιο για τη θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας με σκοπό τη διασφάλιση επαρκούς επιπέδου κυβερνοασφάλειας για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ και τις διαδικασίες ΤΠΕ στην Ένωση, καθώς και με σκοπό την αποφυγή του κατακερματισμού της εσωτερικής αγοράς όσον αφορά τα σχήματα πιστοποίησης της κυβερνοασφάλειας στην Ένωση.

(2)Οι διαχειριζόμενες υπηρεσίες ασφάλειας, οι οποίες συνίστανται στην εκτέλεση ή την παροχή βοήθειας για δραστηριότητες που σχετίζονται με τη διαχείριση κινδύνων κυβερνοασφάλειας από τους πελάτες τους, αποκτούν ολοένα και μεγαλύτερη σημασία για την πρόληψη και τον μετριασμό των περιστατικών κυβερνοασφάλειας. Ως εκ τούτου, οι πάροχοι των εν λόγω υπηρεσιών θεωρούνται βασικές ή σημαντικές οντότητες που ανήκουν σε τομέα υψηλής κρισιμότητας σύμφωνα με την οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 8 . Σύμφωνα με την αιτιολογική σκέψη 86 της εν λόγω οδηγίας, οι πάροχοι υπηρεσίας διαχείρισης της ασφάλειας σε τομείς όπως η αντιμετώπιση περιστατικών, οι δοκιμές διείσδυσης, οι έλεγχοι ασφάλειας και η παροχή συμβουλών διαδραματίζουν ιδιαίτερα σημαντικό ρόλο στην παροχή συνδρομής σε οντότητες που καταβάλλουν προσπάθειες για την πρόληψη, τον εντοπισμό και την αντιμετώπιση περιστατικών ή την ανάκαμψη από αυτά. Ωστόσο, οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας αποτέλεσαν και οι ίδιοι στόχο κυβερνοεπιθέσεων και ενέχουν ιδιαίτερο κίνδυνο λόγω της στενής ενσωμάτωσής τους στις δραστηριότητες των πελατών τους. Συνεπώς, οι βασικές και σημαντικές οντότητες κατά την έννοια της οδηγίας (ΕΕ) 2022/2555 θα πρέπει να επιδεικνύουν αυξημένη επιμέλεια κατά την επιλογή παρόχου διαχειριζόμενης υπηρεσίας ασφάλειας.

(3)Οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας διαδραματίζουν επίσης σημαντικό ρόλο στο αποθεματικό κυβερνοασφάλειας της ΕΕ, η σταδιακή σύσταση του οποίου υποστηρίζεται από τον κανονισμό (ΕΕ) .../.... [για τη θέσπιση μέτρων για την ενίσχυση της αλληλεγγύης και των ικανοτήτων της Ένωσης για τον εντοπισμό, την προετοιμασία και την αντιμετώπιση απειλών και περιστατικών κυβερνοασφάλειας] Το αποθεματικό της ΕΕ για την κυβερνοασφάλεια πρέπει να χρησιμοποιείται για τη στήριξη δράσεων αντίδρασης και άμεσης ανάκαμψης σε περίπτωση σημαντικών και μεγάλης κλίμακας περιστατικών κυβερνοασφάλειας. Ο κανονισμός (ΕΕ).../... [για τη θέσπιση μέτρων για την ενίσχυση της αλληλεγγύης και των ικανοτήτων της Ένωσης για τον εντοπισμό, την προετοιμασία και την αντιμετώπιση απειλών και περιστατικών κυβερνοασφάλειας] θεσπίζει διαδικασία επιλογής των παρόχων που αποτελούν το αποθεματικό κυβερνοασφάλειας της ΕΕ, η οποία θα πρέπει, μεταξύ άλλων, να λαμβάνει υπόψη το αν ο ενδιαφερόμενος πάροχος έχει λάβει ευρωπαϊκή ή εθνική πιστοποίηση κυβερνοασφάλειας. Οι σχετικές υπηρεσίες που παρέχονται από «αξιόπιστους παρόχους» σύμφωνα με τον κανονισμό (ΕΕ).../... [για τη θέσπιση μέτρων για την ενίσχυση της αλληλεγγύης και των ικανοτήτων της Ένωσης για τον εντοπισμό, την προετοιμασία και την αντιμετώπιση απειλών και περιστατικών κυβερνοασφάλειας] αντιστοιχούν στις «διαχειριζόμενες υπηρεσίες ασφάλειας» σύμφωνα με τον παρόντα κανονισμό.

(4)Η πιστοποίηση των διαχειριζόμενων υπηρεσιών ασφάλειας δεν είναι μόνο σημαντική για τη διαδικασία επιλογής για το αποθεματικό κυβερνοασφάλειας της ΕΕ, αλλά αποτελεί επίσης βασικό δείκτη ποιότητας για τους ιδιωτικούς και δημόσιους φορείς που προτίθενται να αγοράσουν τέτοιες υπηρεσίες. Δεδομένης της κρισιμότητας των διαχειριζόμενων υπηρεσιών ασφάλειας και της ευαισθησίας των δεδομένων που επεξεργάζονται, η πιστοποίηση μπορεί να παράσχει στους δυνητικούς πελάτες σημαντική καθοδήγηση και διασφάλιση σχετικά με την αξιοπιστία των εν λόγω υπηρεσιών. Τα ευρωπαϊκά σχήματα πιστοποίησης για τις διαχειριζόμενες υπηρεσίες ασφάλειας συμβάλλουν στην αποφυγή του κατακερματισμού της ενιαίας αγοράς. Ως εκ τούτου, ο παρών κανονισμός αποσκοπεί στην ενίσχυση της λειτουργίας της εσωτερικής αγοράς.

(5)Εκτός από την ανάπτυξη προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ ή διαδικασιών ΤΠΕ, οι διαχειριζόμενες υπηρεσίες ασφάλειας περιλαμβάνουν συχνά πρόσθετα χαρακτηριστικά υπηρεσιών που βασίζονται στις ικανότητες, την εμπειρογνωσία και την πείρα του προσωπικού τους. Προκειμένου να διασφαλίζεται πολύ υψηλή ποιότητα των παρεχόμενων διαχειριζόμενων υπηρεσιών ασφάλειας, μέρος των στόχων ασφάλειας θα πρέπει να είναι το πολύ υψηλό επίπεδο των εν λόγω ικανοτήτων, εμπειρογνωσίας και πείρας, καθώς και κατάλληλες εσωτερικές διαδικασίες. Συνεπώς, για να εξασφαλιστεί ότι όλες οι πτυχές μιας διαχειριζόμενης υπηρεσίας ασφάλειας μπορούν να καλυφθούν από ένα σχήμα πιστοποίησης, είναι αναγκαίο να τροποποιηθεί ο κανονισμός (ΕΕ) 2019/881. 
 
Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και διατύπωσε γνώμη στις [ΗΗ/ΜΜ/ΕΕΕΕ],

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Άρθρο 1

Τροποποιήσεις του κανονισμού (ΕΕ) 2019/881

Ο κανονισμός (ΕΕ) 2019/881 τροποποιείται ως εξής:

1)    στο άρθρο 1 παράγραφος 1 πρώτο εδάφιο το στοιχείο β) αντικαθίσταται από το ακόλουθο κείμενο:

«β) το πλαίσιο για τη θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας με σκοπό τη διασφάλιση επαρκούς επιπέδου κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας στην Ένωση, καθώς και για τον σκοπό της αποφυγής του κατακερματισμού της εσωτερικής αγοράς όσον αφορά τα σχήματα πιστοποίησης της κυβερνοασφάλειας στην Ένωση.»·

2)    το άρθρο 2 τροποποιείται ως εξής:

α)    τα σημεία 9, 10 και 11 αντικαθίστανται από το ακόλουθο κείμενο:

«9) “ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας”: πλήρες σύνολο κανόνων, τεχνικών απαιτήσεων, προτύπων και διαδικασιών που θεσπίζονται σε επίπεδο Ένωσης και που εφαρμόζονται στην πιστοποίηση ή την αξιολόγηση της συμμόρφωσης συγκεκριμένων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας,

10) “εθνικό σχήμα πιστοποίησης της κυβερνοασφάλειας”: πλήρες σύνολο κανόνων, τεχνικών απαιτήσεων, προτύπων και διαδικασιών που έχουν αναπτυχθεί και εγκριθεί από εθνική δημόσια αρχή και που εφαρμόζονται για την πιστοποίηση ή την αξιολόγηση της συμμόρφωσης των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ και διαχειριζόμενων υπηρεσιών ασφάλειας που εμπίπτουν στο πεδίο εφαρμογής του συγκεκριμένου σχήματος,

11) “ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας”: έγγραφο το οποίο εκδίδεται από τον αρμόδιο οργανισμό και βεβαιώνει ότι ένα συγκεκριμένο προϊόν ΤΠΕ, μια συγκεκριμένη υπηρεσία ΤΠΕ, διαδικασία ΤΠΕ ή διαχειριζόμενη υπηρεσία ασφάλειας έχει αξιολογηθεί ως προς τη συμμόρφωση με συγκεκριμένες απαιτήσεις ασφαλείας που προβλέπει ένα ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας,»·

β)    προστίθεται το ακόλουθο σημείο:

«14α) “διαχειριζόμενη υπηρεσία ασφάλειας”: υπηρεσία που συνίσταται στην εκτέλεση ή την παροχή βοήθειας για δραστηριότητες που σχετίζονται με τη διαχείριση κινδύνων κυβερνοασφάλειας, συμπεριλαμβανομένης της αντιμετώπισης περιστατικών, των δοκιμών διείσδυσης, των ελέγχων ασφάλειας και της παροχής συμβουλών,»·

γ)    τα σημεία 20, 21 και 22 αντικαθίστανται από το ακόλουθο κείμενο:

«20) “τεχνικές προδιαγραφές”: έγγραφο με το οποίο ορίζονται οι τεχνικές απαιτήσεις που πρέπει να πληρούνται από προϊόν ΤΠΕ, υπηρεσία ΤΠΕ, διαδικασία ΤΠΕ ή διαχειριζόμενη υπηρεσία ασφάλειας; ή οι σχετικές με αυτά διαδικασίες αξιολόγησης της συμμόρφωσης,

21) “επίπεδο διασφάλισης”: η βάση για την εμπιστοσύνη ότι ένα προϊόν ΤΠΕ, μια υπηρεσία ΤΠΕ, μια διαδικασία ΤΠΕ ή μια διαχειριζόμενη υπηρεσία ασφάλειας πληροί τις απαιτήσεις ασφαλείας συγκεκριμένου ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας, το οποίο δείχνει το επίπεδο στο οποίο έχει αξιολογηθεί ένα προϊόν ΤΠΕ, μια υπηρεσία ΤΠΕ, μια διαδικασία ΤΠΕ ή μια διαχειριζόμενη υπηρεσία ασφάλειας αλλά δεν μετρά από μόνο του την ασφάλεια του σχετικού προϊόντος ΤΠΕ, υπηρεσίας ΤΠΕ, διαδικασίας ΤΠΕ ή διαχειριζόμενης υπηρεσίας ασφάλειας,

22) “αυτοαξιολόγηση της συμμόρφωσης”: ενέργεια που πραγματοποιείται από κατασκευαστή ή πάροχο προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας, η οποία αξιολογεί αν τα εν λόγω προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ ή διαχειριζόμενες υπηρεσίες ασφάλειας πληρούν τις απαιτήσεις συγκεκριμένου ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας.»·

3)    το άρθρο 4 παράγραφος 6 αντικαθίσταται από το ακόλουθο κείμενο:

«6. Ο ENISA προάγει τη χρήση της ευρωπαϊκής πιστοποίησης της κυβερνοασφάλειας προκειμένου να αποφευχθεί ο κατακερματισμός της εσωτερικής αγοράς. Ο ENISA συμβάλλει στη θέσπιση και τη διατήρηση ενός ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας σύμφωνα με τον τίτλο III του παρόντος κανονισμού, προκειμένου να αυξηθεί η διαφάνεια της κυβερνοασφάλειας των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ και των διαχειριζόμενων υπηρεσιών ασφάλειας και, επομένως, να ενισχυθεί η εμπιστοσύνη στην ψηφιακή εσωτερική αγορά και η ανταγωνιστικότητά της.»·

4)    το άρθρο 8 τροποποιείται ως εξής:

α)    η παράγραφος 1 αντικαθίσταται από το ακόλουθο κείμενο:

«1. Ο ENISA υποστηρίζει και προάγει τη χάραξη και την εφαρμογή της πολιτικής της Ένωσης για την πιστοποίηση της κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας, όπως καθορίζονται στον τίτλο III του παρόντος κανονισμού:

α) παρακολουθώντας σε συνεχή βάση τις εξελίξεις σε σχετικούς τομείς προτυποποίησης και συνιστώντας κατάλληλες τεχνικές προδιαγραφές για χρήση στην ανάπτυξη ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας δυνάμει του άρθρου 54 παράγραφος 1 στοιχείο γ) σε περιπτώσεις στις οποίες δεν υπάρχουν διαθέσιμα πρότυπα,

β) επεξεργαζόμενος υποψήφια ευρωπαϊκά σχήματα πιστοποίησης της κυβερνοασφάλειας (στο εξής: υποψήφια σχήματα) για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας σύμφωνα με το άρθρο 49,

γ) αξιολογώντας τα εγκριθέντα ευρωπαϊκά σχήματα πιστοποίησης της κυβερνοασφάλειας σύμφωνα με το άρθρο 49 παράγραφος 8,

δ) συμμετέχοντας σε αξιολογήσεις από ομοτίμους δυνάμει του άρθρου 59 παράγραφος 4,

ε) επικουρώντας την Επιτροπή, μέσω της παροχής της γραμματειακής υποστήριξης στην ΕΟΠΙΚ δυνάμει του άρθρου 62 παράγραφος 5.»·

β)    η παράγραφος 3 αντικαθίσταται από το ακόλουθο κείμενο:

«3. Ο ENISA συντάσσει και δημοσιεύει κατευθυντήριες γραμμές και αναπτύσσει ορθές πρακτικές, όσον αφορά τις απαιτήσεις κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας, σε συνεργασία με τις εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας και με τον κλάδο, με τρόπο επίσημο και δομημένο και με διαφάνεια.»·

γ)    η παράγραφος 5 αντικαθίσταται από το ακόλουθο κείμενο:

«5. Ο ENISA διευκολύνει την καθιέρωση και χρήση ευρωπαϊκών και διεθνών προτύπων για τη διαχείριση κινδύνου και την ασφάλεια των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ, των διαδικασιών ΤΠΕ και των διαχειριζόμενων υπηρεσιών ασφάλειας.»·

5)    στο άρθρο 46, οι παράγραφοι 1 και 2 αντικαθίσταται από το ακόλουθο κείμενο:

«1. Το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας θεσπίζεται με στόχο να βελτιωθούν οι συνθήκες για τη λειτουργία της εσωτερικής αγοράς μέσω αναβάθμισης του επιπέδου κυβερνοασφάλειας εντός της Ένωσης και επιτρέποντας εναρμονισμένη προσέγγιση, σε επίπεδο Ένωσης, των ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας, με απώτερο στόχο τη δημιουργία ψηφιακής ενιαίας αγοράς για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας.

2. Το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας προβλέπει μηχανισμό για τη θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας. Βεβαιώνει ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ που έχουν αξιολογηθεί σύμφωνα με τα εν λόγω σχήματα συμμορφώνονται με συγκεκριμένες απαιτήσεις ασφάλειας με σκοπό να διαφυλάσσεται η διαθεσιμότητα, η γνησιότητα, η ακεραιότητα και η εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων ή επεξεργασμένων δεδομένων ή των σχετικών λειτουργιών ή υπηρεσιών που παρέχονται ή είναι προσβάσιμες μέσω των εν λόγω προϊόντων, υπηρεσιών και διαδικασιών σε όλη τη διάρκεια του κύκλου ζωής τους. Επιπλέον, βεβαιώνει ότι οι διαχειριζόμενες υπηρεσίες ασφάλειας που έχουν αξιολογηθεί σύμφωνα με τα εν λόγω σχήματα συμμορφώνονται με συγκεκριμένες απαιτήσεις ασφάλειας με σκοπό την προστασία της διαθεσιμότητας, της γνησιότητας, της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, τα οποία είναι προσβάσιμα, υποβάλλονται σε επεξεργασία, αποθηκεύονται ή διαβιβάζονται σε σχέση με την παροχή των εν λόγω υπηρεσιών, και ότι οι εν λόγω υπηρεσίες παρέχονται συνεχώς με την απαιτούμενη επάρκεια, εμπειρογνωσία και πείρα από προσωπικό με πολύ υψηλό επίπεδο σχετικών τεχνικών γνώσεων και επαγγελματικής ακεραιότητας.»· 

6)    στο άρθρο 47, οι παράγραφοι 2 και 3 αντικαθίστανται από το ακόλουθο κείμενο:

«2. Το κυλιόμενο πρόγραμμα εργασίας της Ένωσης περιλαμβάνει ειδικότερα κατάλογο των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ ή των κατηγοριών τους, καθώς και των διαχειριζόμενων υπηρεσιών ασφάλειας, που μπορούν να έχουν όφελος από τη συμπερίληψή τους στο πεδίο εφαρμογής ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας.

3. Η προσθήκη συγκεκριμένων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ ή κατηγοριών τους, ή διαχειριζόμενων υπηρεσιών ασφάλειας, στο κυλιόμενο πρόγραμμα εργασίας της Ένωσης αιτιολογείται βάσει ενός ή περισσότερων από τους ακόλουθους λόγους:

α) της διαθεσιμότητας και της ανάπτυξης των εθνικών σχημάτων πιστοποίησης της κυβερνοασφάλειας που καλύπτουν συγκεκριμένη κατηγορία προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας και ιδίως όσον αφορά τον κίνδυνο κατακερματισμού,

β) του σχετικού δικαίου ή πολιτικής της Ένωσης ή του σχετικού δικαίου ή πολιτικής κράτους μέλους,

γ) της ζήτησης στην αγορά,

δ) των εξελίξεων όσον αφορά τις κυβερνοαπειλές,

ε) αιτήματος για την επεξεργασία συγκεκριμένου υποψήφιου ευρωπαϊκού σχήματος πιστοποίησης από την ΕΟΠΙΚ.»·

7)    στο άρθρο 49 η παράγραφος 7 αντικαθίσταται από το ακόλουθο κείμενο:

«7. Η Επιτροπή, με βάση το υποψήφιο σχήμα που προετοιμάζει ο ENISA, μπορεί να εκδίδει εκτελεστικές πράξεις οι οποίες προβλέπουν σε σχέση με ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας που πληρούν τις απαιτήσεις των άρθρων 51, 52 και 54. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 66 παράγραφος 2.»·

8)    το άρθρο 51 τροποποιείται ως εξής:

   α)    ο τίτλος αντικαθίσταται από το ακόλουθο κείμενο:

«Στόχοι ασφάλειας των ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ»·

   

   β)     η εισαγωγική περίοδος αντικαθίσταται από το ακόλουθο κείμενο:

«Ένα ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ ή διαδικασίες ΤΠΕ σχεδιάζεται με τέτοιο τρόπο ώστε να επιτυγχάνει, κατά περίπτωση, τουλάχιστον τους ακόλουθους στόχους ασφάλειας:»·

9)    προστίθεται το ακόλουθο άρθρο:

«Άρθρο 51α

Στόχοι ασφάλειας των ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας για τις διαχειριζόμενες υπηρεσίες ασφάλειας

   

Ένα ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας για διαχειριζόμενες υπηρεσίες ασφάλειας σχεδιάζεται με τέτοιο τρόπο ώστε να επιτυγχάνει, κατά περίπτωση, τουλάχιστον τους ακόλουθους στόχους ασφάλειας:

α) διασφαλίζει ότι οι διαχειριζόμενες υπηρεσίες ασφάλειας παρέχονται με την απαιτούμενη επάρκεια, εμπειρογνωσία και πείρα, μεταξύ άλλων ότι το προσωπικό που είναι επιφορτισμένο με την παροχή των υπηρεσιών αυτών διαθέτει πολύ υψηλό επίπεδο τεχνικών γνώσεων και ικανοτήτων στον συγκεκριμένο τομέα, επαρκή και κατάλληλη πείρα, καθώς και το υψηλότερο επίπεδο επαγγελματικής ακεραιότητας,

β) διασφαλίζει ότι ο πάροχος εφαρμόζει κατάλληλες εσωτερικές διαδικασίες που εξασφαλίζουν ότι το επίπεδο ποιότητας των παρεχόμενων διαχειριζόμενων υπηρεσιών ασφάλειας είναι πάντοτε πολύ υψηλό,

γ) προστατεύει τα δεδομένα τα οποία είναι προσβάσιμα, αποθηκεύονται, διαβιβάζονται ή αποτελούν με άλλο τρόπο αντικείμενο επεξεργασίας σε σχέση με την παροχή διαχειριζόμενων υπηρεσιών ασφαλείας από τυχαία ή μη εγκεκριμένη πρόσβαση, αποθήκευση, κοινοποίηση, καταστροφή, άλλη επεξεργασία, ή απώλεια ή αλλοίωση ή έλλειψη διαθεσιμότητας,

δ) διασφαλίζει την έγκαιρη αποκατάσταση της διαθεσιμότητας και της πρόσβασης σε δεδομένα, υπηρεσίες και λειτουργίες σε περίπτωση φυσικών ή τεχνικών συμβάντων,

ε) διασφαλίζει ότι εγκεκριμένα άτομα, προγράμματα ή μηχανήματα μπορούν να έχουν πρόσβαση σε δεδομένα, υπηρεσίες ή λειτουργίες που καλύπτονται από το δικαίωμα πρόσβασης που τους παρέχεται,

στ) καταγράφει και παρέχει τη δυνατότητα προσδιορισμού των δεδομένων, των υπηρεσιών ή των λειτουργιών στα οποία υπήρξε πρόσβαση, τα οποία χρησιμοποιήθηκαν ή αποτέλεσαν με άλλο τρόπο αντικείμενο επεξεργασίας καθώς και τις χρονικές στιγμές κατά τις οποίες έλαβαν χώρα τα παραπάνω και από ποιον,

ζ) διασφαλίζει ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ [και το υλισμικό] που αναπτύσσονται κατά την παροχή των διαχειριζόμενων υπηρεσιών ασφάλειας είναι εξ ορισμού και εκ σχεδιασμού ασφαλή, δεν περιέχουν γνωστά τρωτά σημεία και περιλαμβάνουν τις τελευταίες επικαιροποιήσεις ασφάλειας.»·

10)    το άρθρο 52 τροποποιείται ως εξής:

α)    η παράγραφος 1 αντικαθίσταται από το ακόλουθο κείμενο:

«1. Ένα ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας μπορεί να προσδιορίζει ένα ή περισσότερα από τα ακόλουθα επίπεδα διασφάλισης για προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας: “βασικό”, “σημαντικό” ή “υψηλό”. Το επίπεδο διασφάλισης είναι ανάλογο του επιπέδου του κινδύνου ο οποίος συνδέεται με την προβλεπόμενη χρήση του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ, της διαδικασίας ΤΠΕ ή της διαχειριζόμενης υπηρεσίας ασφάλειας από άποψη πιθανότητας και αντικτύπου ενός συμβάντος.»·

β)    η παράγραφος 3 αντικαθίσταται από το ακόλουθο κείμενο:

«3. Οι απαιτήσεις ασφάλειας που αντιστοιχούν σε κάθε επίπεδο διασφάλισης παρέχονται στο σχετικό ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας, συμπεριλαμβανομένων των αντίστοιχων λειτουργιών ασφάλειας και της αντίστοιχης αυστηρότητας και βάθους της αξιολόγησης στην οποία θα υποβληθεί το προϊόν ΤΠΕ, η υπηρεσία ΤΠΕ, η διαδικασία ΤΠΕ ή η διαχειριζόμενη υπηρεσία ασφάλειας.»·

γ)    οι παράγραφοι 5, 6 και 7 αντικαθίστανται από το ακόλουθο κείμενο:

«5. Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας ή μία δήλωση συμμόρφωσης ΕΕ που αναφέρεται σε “βασικό” επίπεδο διασφάλισης παρέχει τη διασφάλιση ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ, οι διαδικασίες ΤΠΕ και οι διαχειριζόμενες υπηρεσίες ασφάλειας για τα οποία εκδόθηκε το εν λόγω πιστοποιητικό ή η εν λόγω δήλωση συμμόρφωσης ΕΕ πληρούν τις αντίστοιχες απαιτήσεις ασφάλειας, συμπεριλαμβανομένων των λειτουργιών ασφάλειας, και ότι έχουν αξιολογηθεί σε επίπεδο με σκοπό την ελαχιστοποίηση των γνωστών βασικών κινδύνων των συμβάντων και των κυβερνοεπιθέσεων. Οι δραστηριότητες αξιολόγησης που πρόκειται να διεξαχθούν περιλαμβάνουν τουλάχιστον επανεξέταση της τεχνικής τεκμηρίωσης. Εφόσον δεν είναι κατάλληλη τέτοια επανεξέταση, διεξάγονται υποκατάστατες δραστηριότητες αξιολόγησης με ισοδύναμο αποτέλεσμα.

6. Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας που αναφέρεται σε “σημαντικό” επίπεδο διασφάλισης παρέχει τη διασφάλιση ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ, οι διαδικασίες ΤΠΕ και οι διαχειριζόμενες υπηρεσίες ασφάλειας για τα οποία εκδόθηκε το εν λόγω πιστοποιητικό πληρούν τις αντίστοιχες απαιτήσεις ασφάλειας, συμπεριλαμβανομένων των λειτουργιών ασφάλειας, και ότι έχουν αξιολογηθεί σε επίπεδο με σκοπό την ελαχιστοποίηση των γνωστών κινδύνων κυβερνοασφάλειας και του κινδύνου συμβάντων και κυβερνοεπιθέσεων που πραγματοποιούνται από δράστες με περιορισμένες δεξιότητες και πόρους. Οι δραστηριότητες αξιολόγησης που πρόκειται να διεξαχθούν περιλαμβάνουν τουλάχιστον τα ακόλουθα: επανεξέταση για να καταδειχθεί η απουσία δημοσίως γνωστών τρωτών σημείων και δοκιμές για να αποδειχθεί ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ, οι διαδικασίες ΤΠΕ ή οι διαχειριζόμενες υπηρεσίες ασφάλειας εφαρμόζουν ορθά τις απαραίτητες λειτουργίες ασφάλειας. Εφόσον οποιεσδήποτε τέτοιες δραστηριότητες αξιολόγησης δεν είναι κατάλληλες, διεξάγονται υποκατάστατες δραστηριότητες αξιολόγησης με ισοδύναμο αποτέλεσμα.

7. Ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας που αναφέρεται σε “υψηλό” επίπεδο διασφάλισης παρέχει τη διασφάλιση ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ, οι διαδικασίες ΤΠΕ και οι διαχειριζόμενες υπηρεσίες ασφάλειας για τα οποία εκδόθηκε το εν λόγω πιστοποιητικό πληρούν τις αντίστοιχες απαιτήσεις ασφάλειας, συμπεριλαμβανομένων των λειτουργιών ασφάλειας, και ότι έχουν αξιολογηθεί σε επίπεδο με σκοπό την ελαχιστοποίηση του κινδύνου κυβερνοεπιθέσεων προηγμένης τεχνολογίας που πραγματοποιούνται από δράστες με σημαντικές δεξιότητες και πόρους. Οι δραστηριότητες αξιολόγησης που πρόκειται να διεξαχθούν περιλαμβάνουν τουλάχιστον τα ακόλουθα: επανεξέταση για να καταδειχθεί η απουσία δημοσίως γνωστών τρωτών σημείων, δοκιμές για να αποδειχθεί ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ, οι διαδικασίες ΤΠΕ ή οι διαχειριζόμενες υπηρεσίες ασφάλειας εφαρμόζουν ορθά τις απαραίτητες λειτουργίες ασφάλειας με την πλέον προηγμένη τεχνολογία, και αξιολόγηση της αντοχής τους σε ειδικευμένους επιτιθέμενους, με τη χρήση δοκιμών διείσδυσης. Εφόσον οποιεσδήποτε τέτοιες δραστηριότητες αξιολόγησης δεν είναι κατάλληλες, διεξάγονται υποκατάστατες δραστηριότητες αξιολόγησης με ισοδύναμο αποτέλεσμα.»·

11)    στο άρθρο 53, οι παράγραφοι 1, 2 και 3 αντικαθίστανται από το ακόλουθο κείμενο:

«1. Ένα ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας μπορεί να επιτρέπει την αυτοαξιολόγηση της συμμόρφωσης υπό την αποκλειστική ευθύνη του κατασκευαστή ή του παρόχου προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας. Η αυτοαξιολόγηση της συμμόρφωσης επιτρέπεται μόνο σχετικά με προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας χαμηλού κινδύνου που αντιστοιχούν σε “βασικό” επίπεδο διασφάλισης.

2. Ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας μπορεί να εκδώσει δήλωση συμμόρφωσης ΕΕ στην οποία να αναφέρεται ότι έχει καταδειχθεί η εκπλήρωση των απαιτήσεων που ορίζονται στο σχήμα. Με την έκδοση της εν λόγω δήλωσης, ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας αναλαμβάνει την ευθύνη για τη συμμόρφωση του προϊόντος ΤΠΕ, της υπηρεσίας ΤΠΕ, της διαδικασίας ΤΠΕ ή της διαχειριζόμενης υπηρεσίας ασφάλειας με τις απαιτήσεις που ορίζονται στο εν λόγω σχήμα.

3. Ο κατασκευαστής ή ο πάροχος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας καθιστά τη δήλωση συμμόρφωσης ΕΕ, την τεχνική τεκμηρίωση και όλες τις άλλες σχετικές πληροφορίες που αφορούν τη συμμόρφωση των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ ή των διαχειριζόμενων υπηρεσιών ασφάλειας με το σχήμα διαθέσιμα στην εθνική αρχή πιστοποίησης της κυβερνοασφάλειας που αναφέρεται στο άρθρο 58 για περίοδο που καθορίζεται στο αντίστοιχο ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας. Αντίγραφο της δήλωσης συμμόρφωσης ΕΕ υποβάλλεται στην εθνική αρχή πιστοποίησης της κυβερνοασφάλειας και στον ENISA.»·

12)    στο άρθρο 54, η παράγραφος 1 τροποποιείται ως εξής:

α)    το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:

«α) το αντικείμενο και το πεδίο εφαρμογής του ευρωπαϊκού σχήματος πιστοποίησης, συμπεριλαμβανομένων του τύπου ή των κατηγοριών των καλυπτόμενων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ και διαχειριζόμενων υπηρεσιών ασφάλειας,»·

β)    το στοιχείο ι) αντικαθίσταται από το ακόλουθο κείμενο:

«ι) τους κανόνες παρακολούθησης της συμμόρφωσης των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ, των διαδικασιών ΤΠΕ και των διαχειριζόμενων υπηρεσιών ασφάλειας με τις απαιτήσεις των ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας ή των δηλώσεων συμμόρφωσης ΕΕ, συμπεριλαμβανομένων των μηχανισμών για την κατάδειξη της συνεχούς συμμόρφωσης με τις συγκεκριμένες απαιτήσεις της κυβερνοασφάλειας,»·

γ)    το στοιχείο ιβ) αντικαθίσταται από το ακόλουθο κείμενο:

«ιβ) τους κανόνες σχετικά με τις συνέπειες όσον αφορά προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ, διαδικασίες ΤΠΕ και διαχειριζόμενες υπηρεσίες ασφάλειας που έχουν πιστοποιηθεί ή για τα οποία έχει εκδοθεί δήλωση συμμόρφωσης ΕΕ τα οποία όμως δεν συμμορφώνονται προς τις απαιτήσεις του σχήματος,»·

δ)    το στοιχείο ιε) αντικαθίσταται από το ακόλουθο κείμενο:

«ιε) τον προσδιορισμό εθνικών ή διεθνών σχημάτων πιστοποίησης της κυβερνοασφάλειας που καλύπτουν τον ίδιο τύπο ή τις ίδιες κατηγορίες προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ και διαχειριζόμενων υπηρεσιών ασφάλειας απαιτήσεις ασφάλειας, κριτήρια και μεθόδους αξιολόγησης και επίπεδα διασφάλισης,»·

ε)    το στοιχείο ιζ) αντικαθίσταται από το ακόλουθο κείμενο:

«ιζ) την περίοδο διαθεσιμότητας της δήλωσης συμμόρφωσης ΕΕ, την τεχνική τεκμηρίωση και όλες τις άλλες σχετικές πληροφορίες που πρέπει να καταστούν διαθέσιμες από τον κατασκευαστή ή τον πάροχο προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας,»·

13)    το άρθρο 56 τροποποιείται ως εξής:

α)    η παράγραφος 1 αντικαθίσταται από το ακόλουθο κείμενο:

«1. Τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ, οι διαδικασίες ΤΠΕ και οι διαχειριζόμενες υπηρεσίες ασφάλειας που έχουν πιστοποιηθεί στο πλαίσιο ενός ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας που εγκρίνεται δυνάμει του άρθρου 49 τεκμαίρονται ότι πληρούν τις απαιτήσεις ενός τέτοιου σχήματος.»·

β)    η παράγραφος 3 τροποποιείται ως εξής:

i)    το πρώτο εδάφιο αντικαθίσταται από το ακόλουθο κείμενο:

«Η Επιτροπή αξιολογεί τακτικά την απόδοση και τη χρήση των εγκριθέντων ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας, καθώς και αν συγκεκριμένα ευρωπαϊκά σχήματα πιστοποίησης της κυβερνοασφάλειας πρόκειται να καταστούν υποχρεωτικά μέσω συναφούς ενωσιακού δικαίου προκειμένου να διασφαλίζεται επαρκές επίπεδο κυβερνοασφάλειας των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ, των διαδικασιών ΤΠΕ και των διαχειριζόμενων υπηρεσιών ασφάλειας στην Ένωση και να βελτιωθεί η λειτουργία της εσωτερικής αγοράς. Η πρώτη τέτοια αξιολόγηση διενεργείται έως τις 31 Δεκεμβρίου 2023 και οι ακόλουθες αξιολογήσεις διενεργούνται τουλάχιστον ανά διετία εν συνεχεία. Η Επιτροπή, βασιζόμενη στα αποτελέσματα της εν λόγω αξιολόγησης, προσδιορίζει τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ, τις διαδικασίες ΤΠΕ και τις διαχειριζόμενες υπηρεσίες ασφάλειας που καλύπτονται από ήδη υφιστάμενο σχήμα πιστοποίησης και τα οποία πρέπει να καλυφθούν από υποχρεωτικό σχήμα πιστοποίησης.»·

ii)    το τρίτο εδάφιο τροποποιείται ως εξής:

αα) το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:

«α) λαμβάνει υπόψη τον αντίκτυπο των μέτρων στους κατασκευαστές ή τους παρόχους των εν λόγω προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας και στους χρήστες από άποψη κόστους των εν λόγω μέτρων και τα κοινωνικά ή οικονομικά οφέλη που προκύπτουν από το αναμενόμενο βελτιωμένο επίπεδο ασφάλειας για τα στοχευόμενα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ, τις διαδικασίες ΤΠΕ ή τις διαχειριζόμενες υπηρεσίες ασφάλειας,»·

ββ) το στοιχείο δ) αντικαθίσταται από το ακόλουθο κείμενο:

«δ) λαμβάνει υπόψη τις προθεσμίες εφαρμογής, τα μεταβατικά μέτρα και χρονικά διαστήματα, ιδίως όσον αφορά τις πιθανές συνέπειες του μέτρου για τους κατασκευαστές ή παρόχους προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας, συμπεριλαμβανομένων των ΜΜΕ,»·

γ)    οι παράγραφοι 7 και 8 αντικαθίστανται από το ακόλουθο κείμενο:

«7. Το φυσικό ή νομικό πρόσωπο που υποβάλλει τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ, τις διαδικασίες ΤΠΕ ή τις διαχειριζόμενες υπηρεσίες ασφάλειας προς πιστοποίηση θέτει στη διάθεση της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας που αναφέρεται στο άρθρο 58, σε περίπτωση που η εν λόγω αρχή είναι ο οργανισμός που εκδίδει το ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας, ή του οργανισμού αξιολόγησης της συμμόρφωσης που αναφέρεται στο άρθρο 60 όλες τις πληροφορίες που απαιτούνται για τη διενέργεια της πιστοποίησης.

8. Ο κάτοχος ευρωπαϊκού πιστοποιητικού κυβερνοασφάλειας ενημερώνει την αρχή ή τον οργανισμό που αναφέρεται στην παράγραφο 7 για τυχόν τρωτά σημεία ή παρατυπίες που εντοπίστηκαν σε μεταγενέστερο στάδιο σχετικά με την ασφάλεια του πιστοποιημένου προϊόντος ΤΠΕ, υπηρεσίας ΤΠΕ, διαδικασίας ΤΠΕ ή διαχειριζόμενης υπηρεσίας ασφάλειας και μπορεί να έχουν αντίκτυπο στη συμμόρφωσή του με τις απαιτήσεις σχετικά με την πιστοποίηση. Η εν λόγω αρχή ή οργανισμός διαβιβάζει τις εν λόγω πληροφορίες χωρίς αδικαιολόγητη καθυστέρηση στην ενδιαφερόμενη εθνική αρχή πιστοποίησης της κυβερνοασφάλειας.»·

14)    στο άρθρο 57, οι παράγραφοι 1 και 2 αντικαθίσταται από το ακόλουθο κείμενο:

«1. Με την επιφύλαξη της παραγράφου 3 του παρόντος άρθρου, τα εθνικά σχήματα πιστοποίησης της κυβερνοασφάλειας και οι σχετικές διαδικασίες για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ, τις διαδικασίες ΤΠΕ και τις διαχειριζόμενες υπηρεσίες ασφάλειας που καλύπτονται από ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας παύουν να παράγουν αποτελέσματα από την ημερομηνία που ορίζεται στην εκτελεστική πράξη που εκδίδεται σύμφωνα με το άρθρο 49 παράγραφος 7. Τα εθνικά σχήματα πιστοποίησης της κυβερνοασφάλειας και οι σχετικές διαδικασίες για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ, τις διαδικασίες ΤΠΕ και τις διαχειριζόμενες υπηρεσίες ασφάλειας που δεν καλύπτονται από ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας εξακολουθούν να παράγουν αποτελέσματα.

2. Τα κράτη μέλη δεν θεσπίζουν νέα εθνικά σχήματα πιστοποίησης της κυβερνοασφάλειας για τα προϊόντα ΤΠΕ, τις υπηρεσίες ΤΠΕ, τις διαδικασίες ΤΠΕ και τις διαχειριζόμενες υπηρεσίες ασφάλειας που καλύπτονται ήδη από ισχύον ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας.»·

15)    το άρθρο 58 τροποποιείται ως εξής:

α)    η παράγραφος 7 τροποποιείται ως εξής:

i) τα στοιχεία α) και β) αντικαθίστανται από το ακόλουθο κείμενο:

 «α) εποπτεύουν και μεριμνούν για την εφαρμογή των κανόνων που περιλαμβάνονται στα ευρωπαϊκά σχήματα πιστοποίησης της κυβερνοασφάλειας σύμφωνα με το άρθρο 54 παράγραφος 1 στοιχείο ι) για την παρακολούθηση της συμμόρφωσης των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ, των διαδικασιών ΤΠΕ και των διαχειριζόμενων υπηρεσιών ασφάλειας προς τις απαιτήσεις των ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας που έχουν εκδοθεί στα αντίστοιχα εδάφη τους, σε συνεργασία με άλλες αρμόδιες αρχές εποπτείας της αγοράς,

β) παρακολουθούν τη συμμόρφωση με τις υποχρεώσεις των κατασκευαστών ή των παρόχων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας που είναι εγκατεστημένοι στα αντίστοιχα εδάφη τους και που διενεργούν αυτοαξιολόγηση συμμόρφωσης και επιβάλλουν την εφαρμογή των εν λόγω υποχρεώσεων και παρακολουθούν ιδίως τη συμμόρφωση με τις υποχρεώσεις των εν λόγω κατασκευαστών ή παρόχων που προβλέπονται στο άρθρο 53 παράγραφοι 2 και 3 και στο αντίστοιχο ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας και επιβάλλουν την εφαρμογή των εν λόγω υποχρεώσεων,»·

ii) το στοιχείο η) αντικαθίσταται από το ακόλουθο κείμενο:

«η) συνεργάζονται με άλλες εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας ή άλλες δημόσιες αρχές, μεταξύ άλλων ανταλλάσσοντας πληροφορίες σχετικά με την πιθανή μη συμμόρφωση προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ και διαχειριζόμενων υπηρεσιών ασφάλειας με τις απαιτήσεις του παρόντος κανονισμού ή με τις απαιτήσεις συγκεκριμένων ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας, και»·

β)    η παράγραφος 9 αντικαθίσταται από το ακόλουθο κείμενο:

«9. Οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας συνεργάζονται μεταξύ τους και με την Επιτροπή, ιδίως ανταλλάσσοντας πληροφορίες, εμπειρίες και ορθές πρακτικές όσον αφορά την πιστοποίηση της κυβερνοασφάλειας και τα τεχνικά ζητήματα που αφορούν την κυβερνοασφάλεια των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ, των διαδικασιών ΤΠΕ και των διαχειριζόμενων υπηρεσιών ασφάλειας.»·

16)    στο άρθρο 59 παράγραφος 3, τα στοιχεία β) και γ) αντικαθίστανται από το ακόλουθο κείμενο:

 «β) τις διαδικασίες για την εποπτεία και την επιβολή των κανόνων παρακολούθησης της συμμόρφωσης των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ, των διαδικασιών ΤΠΕ και των διαχειριζόμενων υπηρεσιών ασφάλειας με ευρωπαϊκά πιστοποιητικά κυβερνοασφάλειας δυνάμει του άρθρου 58 παράγραφος 7 στοιχείο α),

γ) τις διαδικασίες για την παρακολούθηση και την τήρηση των υποχρεώσεων των κατασκευαστών ή των παρόχων προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ ή διαχειριζόμενων υπηρεσιών ασφάλειας δυνάμει του άρθρου 58 παράγραφος 7 στοιχείο β),»·

17)    στο άρθρο 67, οι παράγραφοι 2 και 3 αντικαθίσταται από το ακόλουθο κείμενο:

«2. Η αξιολόγηση εξετάζει επίσης τον αντίκτυπο, την αποτελεσματικότητα και την απόδοση των διατάξεων του τίτλου III του παρόντος κανονισμού σε σχέση με τους στόχους αφενός της διασφάλισης επαρκούς επιπέδου κυβερνοασφάλειας των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ, των διαδικασιών ΤΠΕ και των διαχειριζόμενων υπηρεσιών ασφάλειας στην Ένωση και αφετέρου της βελτίωσης της λειτουργίας της εσωτερικής αγοράς.

3. Η αξιολόγηση εκτιμά κατά πόσον είναι απαραίτητες βασικές απαιτήσεις κυβερνοασφάλειας για την πρόσβαση στην εσωτερική αγορά, ώστε να αποφευχθεί η είσοδος προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ, διαδικασιών ΤΠΕ και διαχειριζόμενων υπηρεσιών ασφάλειας που δεν πληρούν τις βασικές απαιτήσεις κυβερνοασφάλειας στην αγορά της Ένωσης.».

Άρθρο 2

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Στρασβούργο,

Για το Ευρωπαϊκό Κοινοβούλιο    Για το Συμβούλιο

Η Πρόεδρος    Ο Πρόεδρος

(1)    Κανονισμός (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια) (ΕΕ L 151 της 7.6.2019, σ. 15).
(2)    9364/22.
(3)    JOIN(2022) 49 final.
(4)    ΕΕ L 333 της 27.12.2022, σ. 810.
(5)    ΕΕ L 119 της 4.5.2016, σ. 1.
(6)    ΕΕ L 218 της 13.8.2008, σ. 30.
(7)    Κανονισμός (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια) (ΕΕ L 151 της 7.6.2019, σ. 15).
(8)    Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS 2) (ΕΕ L 333 της 27.12.2022, σ. 80).
Top