EUROPSKA KOMISIJA

Strasbourg, 18.4.2023.

COM(2023) 208 final

2023/0108(COD)

Prijedlog

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o izmjeni Uredbe (EU) 2019/881 u pogledu upravljanih sigurnosnih usluga

(Tekst značajan za EGP)

OBRAZLOŽENJE

1.KONTEKST PRIJEDLOGA

•Razlozi i ciljevi prijedloga

Ovo obrazloženje priloženo je Prijedlogu uredbe Europskog parlamenta i Vijeća o izmjeni Uredbe (EU) 2019/881 1 u pogledu upravljanih sigurnosnih usluga.

Predlaže se ciljana izmjena kako bi se omogućilo da se provedbenim aktima Komisije donesu europski programi kibersigurnosne certifikacije za „upravljane sigurnosne usluge”, što je Aktom o kibersigurnosti već omogućeno za proizvode informacijske i komunikacijske tehnologije (IKT proizvodi), IKT usluge i IKT procese. Upravljane sigurnosne usluge imaju sve važniju ulogu u sprečavanju i ublažavanju kibersigurnosnih incidenata.

U svojim zaključcima od 23. svibnja 2022. 2 o razvoju položaja Europske unije u pogledu kiberprostora Vijeće je pozvalo Uniju i njezine države članice da ojačaju napore za povećanje ukupne razine kibersigurnosti, na primjer olakšavanjem pojave pouzdanih pružatelja kibersigurnosnih usluga, te je naglasilo da bi poticanje razvoja takvih pružatelja usluga trebalo biti prioritet industrijske politike EU-a u području kibersigurnosti. Osim toga, pozvalo je Komisiju da predloži mogućnosti za poticanje stvaranja pouzdane industrije kibersigurnosnih usluga. Certifikacija upravljanih sigurnosnih usluga djelotvorno je sredstvo za povećanje povjerenja u kvalitetu tih usluga, čime se olakšava stvaranje pouzdane europske industrije kibersigurnosnih usluga.

U Zajedničkoj komunikaciji „Politika kiberobrane EU-a”, koju su Komisija i Visoki predstavnik donijeli 10. studenoga 2022. 3 , najavljeno je da će Komisija istražiti razvoj programâ kibersigurnosne certifikacije na razini EU-a za industriju kibersigurnosti i privatna poduzeća. Osim toga, pružatelji upravljanih sigurnosnih usluga imat će važnu ulogu u kibersigurnosnoj pričuvi na razini EU-a, čija je postupna uspostava omogućena u Aktu o kibersolidarnosti, koji se predlaže usporedno s ovom Uredbom. Kibersigurnosna pričuva na razini EU-a koristit će se kao potpora mjerama odgovora i hitnog oporavka u slučaju značajnih kibersigurnosnih incidenata i kibersigurnosnih incidenata velikih razmjera. Relevantne kibersigurnosne usluge koje pružaju „pouzdani pružatelji” iz Akta o kibersolidarnosti odgovaraju „upravljanim sigurnosnim uslugama” u ovom Prijedlogu.

Neke su države članice već počele donositi programe certifikacije za upravljane sigurnosne usluge. Time se povećava rizik od fragmentacije unutarnjeg tržišta za upravljane sigurnosne usluge zbog neusklađenosti programa kibersigurnosne certifikacije u Uniji. Kako bi se spriječila takva fragmentacija, ovim se Prijedlogom omogućuje stvaranje europskih programa kibersigurnosne certifikacije za te usluge.

•Dosljednost s postojećim odredbama politike u tom području

Ovaj je Prijedlog dosljedan s Aktom o kibersigurnosti, koji se Prijedlogom mijenja. Prijedlog se temelji na odredbama te uredbe i njime se one prilagođavaju tako da obuhvate i upravljane sigurnosne usluge. Predložene izmjene ograničene su na ono što je neophodno i njima se ne mijenjaju značajke ili funkcioniranje Akta o kibersigurnosti.

Osim toga, ovaj je Prijedlog dosljedan s Direktivom (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) 4 . Pružatelji upravljanih sigurnosnih usluga smatraju se ključnim ili važnim subjektima koji pripadaju sektoru visoke kritičnosti u skladu s Direktivom (EU) 2022/2555. U uvodnoj izjavi 86. te direktive navedeno je da u područjima kao što su odgovor na incidente, penetracijska testiranja, revizije sigurnosti i savjetovanje pružatelji upravljanih sigurnosnih usluga imaju posebno važnu ulogu u pomaganju subjektima u njihovim nastojanjima da spriječe i otkriju incidente te odgovore na njih ili se oporave od njih. Pružatelji upravljanih sigurnosnih usluga i sami su, međutim, bili meta kibernapada te zbog svoje bliske integracije u rad svojih klijenata predstavljaju poseban kibersigurnosni rizik. Ključni i važni subjekti u smislu Direktive (EU) 2022/2555 stoga bi trebali postupati s većom pažnjom pri odabiru pružatelja upravljanih sigurnosnih usluga.

Cilj je ovog Prijedloga povećati kvalitetu upravljanih sigurnosnih usluga i njihovu usporedivost. Time se ključnim i važnim subjektima omogućuje da postupaju s većom pažnjom pri odabiru pružatelja upravljanih sigurnosnih usluga kako je propisano u Direktivi (EU) 2022/2555. Osim toga, definicija „upravljanih sigurnosnih usluga” u ovom Prijedlogu izvedena je iz definicije „pružatelja upravljanih sigurnosnih usluga” iz Direktive (EU) 2022/2555 i vrlo joj je slična. Zbog toga je ovaj Prijedlog vrlo komplementaran s Direktivom NIS 2.

Naposljetku, ovaj je Prijedlog komplementaran s predloženim Aktom o kibersolidarnosti. U predloženom Aktu o kibersolidarnosti utvrđuje se postupak odabira pružatelja koji će činiti kibersigurnosnu pričuvu na razini EU-a, a u njemu bi se, među ostalim, trebalo uzeti u obzir jesu li ti pružatelji prošli europsku ili nacionalnu kibersigurnosnu certifikaciju. Stoga će budući programi certifikacije za upravljane sigurnosne usluge imati važnu ulogu u provedbi Akta o kibersolidarnosti.

•Dosljednost u odnosu na druge politike Unije

Ovaj Prijedlog ne utječe na dosljednost Akta o kibersigurnosti s Uredbom (EU) 2016/679 (Opća uredba o zaštiti podataka) 5 i njezinim odredbama o uspostavi mehanizama certificiranja te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s tom uredbom. Aktom o kibersigurnosti ne dovodi se u pitanje certifikacija postupaka obrade podataka, među ostalim i kad su ti postupci ugrađeni u proizvode i usluge, u skladu s Općom uredbom o zaštiti podataka.

Osim toga, ovaj Prijedlog ne utječe na usklađenost Akta o kibersigurnosti s Uredbom (EZ) br. 765/2008 o zahtjevima za akreditaciju i nadzor tržišta 6 , prije svega kad je riječ o okviru za nacionalna akreditacijska tijela i tijela za ocjenjivanje sukladnosti te nacionalna tijela za nadzor certifikacije.

2.PRAVNA OSNOVA, SUPSIDIJARNOST I PROPORCIONALNOST

•Pravna osnova

Ovim se Prijedlogom mijenja Akt o kibersigurnosti, koji se temelji na članku 114. Ugovora o funkcioniranju Europske unije (UFEU). Kao i Aktom o kibersigurnosti, ovim se Prijedlogom nastoji izbjeći fragmentacija unutarnjeg tržišta tako što se omogućuje donošenje europskih programa kibersigurnosne certifikacije za upravljane sigurnosne usluge. Države članice počele su donositi nacionalne programe certifikacije za upravljane sigurnosne usluge. Zbog toga postoji konkretan rizik od fragmentacije unutarnjeg tržišta za te usluge i njega se ovim Prijedlogom nastoji otkloniti. Stoga je relevantna pravna osnova za ovu inicijativu članak 114. UFEU-a.

•Supsidijarnost (za neisključivu nadležnost)

Cilj omogućivanja donošenja europskih programa kibersigurnosne certifikacije za upravljane sigurnosne usluge i izbjegavanja fragmentacije unutarnjeg tržišta ne može se postići na nacionalnoj razini, već samo na razini Unije. Osim toga, pružatelji upravljanih sigurnosnih usluga, na koje se odnosi predložena izmjena, posluju diljem Unije, a jednako tako i njihovi najveći potencijalni klijenti. Stoga je djelovanje na razini Unije neophodno i djelotvornije je od djelovanja na nacionalnoj razini.

•Proporcionalnost

Prijedlog je ciljana izmjena Akta o kibersigurnosti. Izmjena je ograničena na ono što je strogo nužno za postizanje njegova cilja da se omogući donošenje europskih programa kibersigurnosne certifikacije za upravljane sigurnosne usluge, što je već moguće za IKT proizvode, IKT usluge i IKT procese. Predloženim izmjenama ponajprije se prilagođava područje primjene europskog okvira za kibersigurnosnu certifikaciju kako bi se obuhvatile „upravljane sigurnosne usluge”, uvodi se definicija tih usluga u skladu s Direktivom NIS 2 i mijenjaju se sigurnosni ciljevi europske kibersigurnosne certifikacije kako bi je se prilagodilo „upravljanim sigurnosnim uslugama”. Ostale su izmjene tehničke prirode kako bi se relevantni članci primjenjivali i na „upravljane sigurnosne usluge”. Predložena inicijativa stoga je proporcionalna cilju.

•Odabir instrumenta

Budući da se Prijedlogom mijenja Uredba (EU) 2019/881, odgovarajući pravni instrument je uredba.

3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENA UČINKA

•Ex post evaluacije/provjere primjerenosti postojećeg zakonodavstva

Nije primjenjivo.

•Savjetovanja s dionicima

Provedena su ciljana savjetovanja s državama članicama i ENISA-om. U tim su savjetovanjima države članice opisale svoje trenutačne aktivnosti i stajališta u pogledu certifikacije upravljanih sigurnosnih usluga. ENISA je iznijela svoja stajališta i rezultate rasprava s državama članicama i dionicima. U Prijedlog su uključene primjedbe i informacije primljene od država članica i ENISA-e.

•Prikupljanje i primjena stručnog znanja

Nije primjenjivo.

•Procjena učinka

Zatraženo je izuzeće od provedbe procjene učinka jer Prijedlog obuhvaća vrlo ograničenu ciljanu izmjenu Akta o kibersigurnosti. Njime bi se Komisiji omogućilo da provedbenim aktima donosi programe certifikacije za „upravljane sigurnosne usluge”, što je Aktom o kibersigurnosti već omogućeno za IKT proizvode, IKT usluge i IKT procese. Međutim, izmjena bi imala učinak tek nakon donošenja takvih programa certifikacije u budućnosti. Osim toga, i nakon izmjene programi certifikacije ostali bi dobrovoljni.

•Primjerenost i pojednostavnjenje propisa

Nije primjenjivo.

•Temeljna prava

Prijedlog nema predvidiv utjecaj na zaštitu temeljnih prava. 

4.UTJECAJ NA PRORAČUN

Nema utjecaja na proračun.

5.DRUGI ELEMENTI

•Planovi provedbe i mehanizmi praćenja, evaluacije i izvješćivanja

Odredbe koje će se izmijeniti Prijedlogom ocijenit će se u okviru periodičnog ocjenjivanja Akta o kibersigurnosti koje Komisija treba provoditi u skladu s njegovim člankom 67. U tom se ocjenjivanju, među ostalim, procjenjuju učinak, djelotvornost i učinkovitost odredaba o okviru za kibersigurnosnu certifikaciju u pogledu ciljeva osiguranja prikladne razine kibersigurnosti IKT proizvoda, IKT usluga i IKT procesa u Uniji i poboljšanja funkcioniranja unutarnjeg tržišta. Prijedlog sadržava izmjenu kojom se u ocjenjivanje uključuju i upravljane sigurnosne usluge. Osim toga, Komisija Europskom parlamentu, Vijeću i Upravnom odboru ENISA-e šalje izvješće o ocjenjivanju i svoje zaključke te objavljuje rezultate izvješća.

•Detaljno obrazloženje posebnih odredaba prijedloga

Prijedlog sadržava dva članka. Članak 1. sadržava izmjene Uredbe (EU) 2019/881, a članak 2. odnosi se na stupanje na snagu. Članak 1. sadržava ciljane izmjene područja primjene europskog okvira za kibersigurnosnu certifikaciju u Aktu o kibersigurnosti kako bi se u njega uključile „upravljane sigurnosne usluge” (članci 1. i 46. Akta o kibersigurnosti). Uvodi se definicija tih usluga, koja je usklađena s definicijom „pružatelja upravljanih sigurnosnih usluga” iz Direktive NIS 2 (članak 2. Akta o kibersigurnosti). Osim toga, dodaje se novi članak 51.a, koji se odnosi na sigurnosne ciljeve europske kibersigurnosne certifikacije prilagođene „upravljanim sigurnosnim uslugama”. Naposljetku, Prijedlog sadržava niz tehničkih izmjena kako bi se relevantni članci primjenjivali i na „upravljane sigurnosne usluge”.

2023/0108 (COD)

Prijedlog

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o izmjeni Uredbe (EU) 2019/881 u pogledu upravljanih sigurnosnih usluga

(Tekst značajan za EGP)

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora,

uzimajući u obzir mišljenje Odbora regija,

u skladu s redovnim zakonodavnim postupkom,

budući da:

(1)Uredbom (EU) 2019/881 Europskog parlamenta i Vijeća 7 utvrđen je okvir za uspostavu europskih programa kibersigurnosne certifikacije za potrebe osiguranja prikladne razine kibersigurnosti IKT proizvoda, IKT usluga i IKT procesa u Uniji kao i za potrebe izbjegavanja fragmentacije unutarnjeg tržišta u pogledu programâ kibersigurnosne certifikacije u Uniji.

(2)Upravljane sigurnosne usluge, odnosno usluge koje se sastoje od obavljanja aktivnosti povezanih s upravljanjem kibersigurnosnim rizicima klijenata ili pružanja pomoći za te aktivnosti, sve su važnije u sprečavanju i ublažavanju kibersigurnosnih incidenata. Zbog toga se pružatelji tih usluga smatraju ključnim ili važnim subjektima koji pripadaju sektoru visoke kritičnosti u skladu s Direktivom (EU) 2022/2555 Europskog parlamenta i Vijeća 8 . U skladu s uvodnom izjavom 86. te direktive, u područjima kao što su odgovor na incidente, penetracijska testiranja, revizije sigurnosti i savjetovanje pružatelji upravljanih sigurnosnih usluga imaju posebno važnu ulogu u pomaganju subjektima u njihovim nastojanjima da spriječe i otkriju incidente te odgovore na njih ili se oporave od njih. Pružatelji upravljanih sigurnosnih usluga i sami su, međutim, bili meta kibernapada te zbog svoje bliske integracije u rad svojih klijenata predstavljaju poseban kibersigurnosni rizik. Ključni i važni subjekti u smislu Direktive (EU) 2022/2555 stoga bi trebali postupati s većom pažnjom pri odabiru pružatelja upravljanih sigurnosnih usluga.

(3)Osim toga, pružatelji upravljanih sigurnosnih usluga imaju važnu ulogu u kibersigurnosnoj pričuvi EU-a, čija je postupna uspostava omogućena u Uredbi (EU) …/…. [o utvrđivanju mjera za povećanje solidarnosti i kapaciteta u Uniji za otkrivanje kibersigurnosnih prijetnji i incidenata, pripremu za njih i odgovor na njih]. Kibersigurnosna pričuva EU-a koristit će se kao potpora mjerama odgovora i hitnog oporavka u slučaju značajnih kibersigurnosnih incidenata i kibersigurnosnih incidenata velikih razmjera. U Uredbi (EU).../... [o utvrđivanju mjera za povećanje solidarnosti i kapaciteta u Uniji za otkrivanje kibersigurnosnih prijetnji i incidenata, pripremu za njih i odgovor na njih] utvrđen je postupak odabira pružatelja koji čine kibersigurnosnu pričuvu EU-a i u njemu bi se, među ostalim, trebalo uzeti u obzir je li dotični pružatelj prošao europsku ili nacionalnu kibersigurnosnu certifikaciju. Relevantne usluge koje pružaju „pouzdani pružatelji” u skladu s Uredbom (EU)..../.....[o utvrđivanju mjera za povećanje solidarnosti i kapaciteta u Uniji za otkrivanje kibersigurnosnih prijetnji i incidenata, pripremu za njih i odgovor na njih] odgovaraju „upravljanim sigurnosnim uslugama” u skladu s ovom Uredbom.

(4)Certifikacija upravljanih sigurnosnih usluga nije važna samo za postupak odabira za kibersigurnosnu pričuvu EU-a, nego je i ključan pokazatelj kvalitete privatnim i javnim subjektima koji namjeravaju kupovati takve usluge. S obzirom na kritičnost upravljanih sigurnosnih usluga i osjetljivost podataka koji se u njima obrađuju, certifikacija bi potencijalnim klijentima mogla biti važan pokazatelj i jamstvo pouzdanosti tih usluga. Europski programi certifikacije za upravljane sigurnosne usluge doprinose izbjegavanju fragmentacije jedinstvenog tržišta. Stoga je cilj ove Uredbe poboljšanje funkcioniranja unutarnjeg tržišta.

(5)Uz primjenu IKT proizvoda, IKT usluga ili IKT procesa, upravljane sigurnosne usluge često nude dodatne mogućnosti koje se oslanjaju na kompetencije, stručnost i iskustvo njihova osoblja. Kako bi se osigurala vrlo visoka kvaliteta pruženih upravljanih sigurnosnih usluga, među sigurnosne ciljeve trebalo bi uvrstiti vrlo visoku razinu tih kompetencija, stručnosti i iskustva te odgovarajuće unutarnje postupke. Kako bi se omogućilo da se programom certifikacije obuhvate svi aspekti upravljane sigurnosne usluge, potrebno je izmijeniti Uredbu (EU) 2019/881.

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća te je on dao mišljenje DD.MM.GGGG.,

DONIJELI SU OVU UREDBU:

Članak 1.

Izmjene Uredbe (EU) 2019/881

Uredba (EU) 2019/881 mijenja se kako slijedi:

1.    u članku 1. stavku 1. prvom podstavku točka (b) zamjenjuje se sljedećim:

„(b) okvir za uspostavu europskih programa kibersigurnosne certifikacije za potrebe osiguranja prikladne razine kibersigurnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga u Uniji kao i za potrebe izbjegavanja fragmentacije unutarnjeg tržišta u pogledu programâ kibersigurnosne certifikacije u Uniji.”;

2.    članak 2. mijenja se kako slijedi:

(a)    točke 9., 10. i 11. zamjenjuju se sljedećim:

„9. „europski program kibersigurnosne certifikacije” znači sveobuhvatni skup pravila, tehničkih zahtjeva, normi i postupaka, koji su utvrđeni na razini Unije i koji se primjenjuju na certifikaciju ili ocjenjivanje sukladnosti određenih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga;

10. „nacionalni program kibersigurnosne certifikacije” znači sveobuhvatan skup pravila, tehničkih zahtjeva, normi i procedura koje je razvilo i donijelo nacionalno javno tijelo i koji se primjenjuju na certifikaciju ili ocjenjivanje sukladnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga obuhvaćenih područjem primjene tog konkretnog programa;

11. „europski kibersigurnosni certifikat” znači dokument koji je izdalo relevantno tijelo i kojim se potvrđuje da su određeni IKT proizvod, IKT usluga, IKT proces ili upravljana sigurnosna usluga evaluirani u pogledu toga jesu li u skladu sa specifičnim sigurnosnim zahtjevima utvrđenima u europskom programu kibersigurnosne certifikacije;”;

(b)    umeće se sljedeća točka:

„14.a „upravljana sigurnosna usluga” znači usluga koja se sastoji od obavljanja aktivnosti povezanih s upravljanjem kibersigurnosnim rizicima, uključujući odgovor na incidente, penetracijska testiranja, revizije sigurnosti i savjetovanje, ili od pružanja pomoći za te aktivnosti;”;

(c)    točke 20., 21. i 22. zamjenjuju se sljedećim:

„20. „tehničke specifikacije” znači dokument kojim se propisuju tehnički zahtjevi koje IKT proizvod, IKT usluga, IKT proces ili upravljana sigurnosna usluga trebaju ispunjavati ili postupci ocjenjivanja sukladnosti koji se na njih odnose;

21. „jamstvena razina” znači osnova za povjerenje u to da IKT proizvod, IKT usluga, IKT proces ili upravljana sigurnosna usluga zadovoljavaju sigurnosne zahtjeve određenog europskog programa kibersigurnosne certifikacije, navodi razinu na kojoj su IKT proizvod, IKT usluga, IKT proces ili upravljana sigurnosna usluga evaluirani, ali kao takav ne mjeri sigurnost dotičnog IKT proizvoda, IKT usluge, IKT procesa ili upravljane sigurnosne usluge;

22. „samoocjenjivanje sukladnosti” znači djelovanje koje provodi proizvođač ili pružatelj IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga kojim se evaluira ispunjavaju li ti IKT proizvodi, IKT usluge, IKT procesi ili upravljane sigurnosne usluge zahtjeve utvrđene u određenom europskom programu kibersigurnosne certifikacije.”;

3.    u članku 4. stavak 6. zamjenjuje se sljedećim:

„6. ENISA promiče upotrebu europske kibersigurnosne certifikacije radi izbjegavanja fragmentacije unutarnjeg tržišta. ENISA doprinosi uspostavi i održavanju europskog okvira za kibersigurnosnu certifikaciju na razini Unije u skladu s glavom III. ove Uredbe s ciljem povećanja transparentnosti kibersigurnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga, jačajući time povjerenje u digitalno unutarnje tržište i njegovu konkurentnost.”;

4.    članak 8. mijenja se kako slijedi:

(a)    stavak 1. zamjenjuje se sljedećim:

„1. ENISA podupire i promiče razvoj i provedbu politike Unije o kibersigurnosnoj certifikaciji IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga, kako je utvrđeno u glavi III. ove Uredbe, na sljedeće načine:

(a) stalnim praćenjem razvoja u povezanim područjima normizacije i preporukom odgovarajućih tehničkih specifikacija za uporabu pri razvoju europskih programa kibersigurnosne certifikacije na temelju članka 54. stavka 1. točke (c) ako norme nisu dostupne;

(b) izradom prijedloga europskih programa kibersigurnosne certifikacije („prijedlozi programa certifikacije”) za IKT proizvode, IKT usluge, IKT procese i upravljane sigurnosne usluge u skladu s člankom 49.;

(c) evaluacijom donesenih europskih programa kibersigurnosne certifikacije u skladu s člankom 49. stavkom 8.;

(d) sudjelovanjem u istorazinskim ocjenjivanjima na temelju članka 59. stavka 4.;

(e) pomaganjem Komisiji u osiguravanju tajništva ECCG-a na temelju članka 62. stavka 5.”;

(b)    stavak 3. zamjenjuje se sljedećim:

„3. ENISA sastavlja i objavljuje smjernice i razvija dobru praksu u pogledu kibersigurnosnih zahtjeva za IKT proizvode, IKT usluge, IKT procese i upravljane sigurnosne usluge, u suradnji s nacionalnim tijelima za kibersigurnosnu certifikaciju i industrijom na formalan, strukturiran i transparentan način.”;

(c)    stavak 5. zamjenjuje se sljedećim:

„5. ENISA olakšava uspostavu i prihvaćanje europskih i međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga.”;

5.    u članku 46. stavci 1. i 2. zamjenjuju se sljedećim:

„1. Europski okvir za kibersigurnosnu certifikaciju uspostavlja se kako bi se poboljšali uvjeti za funkcioniranje unutarnjeg tržišta povećanjem razine kibersigurnosti u Uniji i omogućavanjem usklađenog pristupa na razini Unije za europske programe kibersigurnosne certifikacije s ciljem stvaranja jedinstvenog digitalnog tržišta IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga.

2. Europskim okvirom za kibersigurnosnu certifikaciju pruža se mehanizam za uspostavu europskih programa kibersigurnosne certifikacije. Njime se potvrđuje da IKT proizvodi, IKT usluge i IKT procesi koji su evaluirani u skladu s takvim programima ispunjavaju utvrđene sigurnosne zahtjeve za potrebe zaštite dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, prenesenih ili obrađenih podataka ili funkcija ili usluga koje se nude s pomoću tih proizvoda, usluga i procesa ili kojima se s pomoću njih može pristupiti tijekom njihova cijelog životnog ciklusa. Uz to, njime se potvrđuje da upravljane sigurnosne usluge koje su evaluirane u skladu s takvim programima ispunjavaju utvrđene sigurnosne zahtjeve za potrebe zaštite dostupnosti, izvornosti, cjelovitosti i povjerljivosti podataka kojima se pristupa ili koji se obrađuju, pohranjuju ili prenose u vezi s pružanjem tih usluga te se potvrđuje da te usluge na potrebnoj razini kompetentnosti, stručnosti i iskustva kontinuirano pruža osoblje s vrlo visokom razinom relevantnog tehničkog znanja i profesionalnog integriteta.”; 

6.    u članku 47. stavci 2. i 3. zamjenjuju se sljedećim:

„2. Kontinuirani program rada Unije konkretno uključuje popis IKT proizvoda, IKT usluga i IKT procesa ili njihovih kategorija, te upravljanih sigurnosnih usluga, koji mogu imati koristi od uključivanja u područje primjene europskog programa kibersigurnosne certifikacije.

3. Uključivanje određenih IKT proizvoda, IKT usluga i IKT procesa ili njihovih kategorija, odnosno upravljanih sigurnosnih usluga, u kontinuirani program rada Unije opravdano je na temelju jednog ili više od sljedećih razloga:

(a) dostupnosti i razvoja nacionalnih programa kibersigurnosne certifikacije koji obuhvaćaju određene kategorije IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga, a posebno u pogledu rizika od fragmentacije;

(b) relevantnog prava ili politika Unije ili država članica;

(c) tržišne potražnje;

(d) razvoja kiberprijetnji;

(e) zahtjeva za pripremu posebnog prijedloga programa certifikacije koji je predložio ECCG.”;

7.    u članku 49. stavak 7. zamjenjuje se sljedećim:

„7. Komisija, na temelju prijedloga programa certifikacije koji je izradila ENISA, može donositi provedbene akte kojima se predviđaju europski programi kibersigurnosne certifikacije za IKT proizvode, IKT usluge, IKT procese i upravljane sigurnosne usluge koji ispunjavaju zahtjeve određene u člancima 51., 52. i 54. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 66. stavka 2.”;

8.    članak 51. mijenja se kako slijedi:

   (a)    naslov se zamjenjuje sljedećim:

Sigurnosni ciljevi europskih programa kibersigurnosne certifikacije za IKT proizvode, IKT usluge i IKT procese

   (b)     uvodna rečenica zamjenjuje se sljedećim:

„Europski program kibersigurnosne certifikacije za IKT proizvode, IKT usluge ili IKT procese mora se oblikovati tako da se njime postignu, ovisno o slučaju, barem sljedeći sigurnosni ciljevi:”

9.    umeće se sljedeći članak:

„Članak 51.a

Sigurnosni ciljevi europskih programa kibersigurnosne certifikacije za upravljane sigurnosne usluge

„Europski program kibersigurnosne certifikacije za upravljane sigurnosne usluge mora se oblikovati tako da se njime postignu, ovisno o slučaju, barem sljedeći sigurnosni ciljevi:

(a) osigurati da se upravljane sigurnosne usluge pružaju na potrebnoj razini kompetentnosti, stručnosti i iskustva, među ostalim da osoblje zaduženo za pružanje tih usluga ima vrlo visoku razinu tehničkog znanja i stručnosti u tom području, dostatno i primjereno iskustvo te najviši stupanj profesionalnog integriteta;

(b) osigurati da pružatelj ima primjerene interne postupke kojima jamči da se upravljane sigurnosne usluge u svakom trenutku pružaju na vrlo visokoj razini kvalitete;

(c) zaštita podataka kojima se pristupa ili koji se pohranjuju, šalju ili na drugi način obrađuju u vezi s pružanjem upravljanih sigurnosnih usluga od slučajnog ili neovlaštenog pristupa, pohranjivanja, objave, uništavanja, druge obrade, gubitka, izmjene ili nedostatka dostupnosti;

(d) osigurati da podaci, usluge i funkcije te pristup podacima, uslugama i funkcijama pravodobno budu ponovno dostupni u slučaju fizičkog ili tehničkog incidenta;

(e) osigurati da ovlaštene osobe, programi ili strojevi mogu pristupati isključivo podacima, uslugama ili funkcijama na koje se odnose njihova prava pristupa;

(f) evidentiranje i mogućnost provjere kojim je podacima tko i kad pristupio, koristio ih ili ih na drugi način obrađivao;

(g) osigurati da su IKT proizvodi, IKT usluge i IKT procesi [i hardver] koji se koriste za pružanje upravljanih sigurnosnih usluga sigurni po zadanim postavkama i dizajnom, da ne sadrže poznate ranjivosti te da imaju najnovija sigurnosna ažuriranja.”;

10.    članak 52. mijenja se kako slijedi:

(a)    stavak 1. zamjenjuje se sljedećim:

„1. Europskim programom kibersigurnosne certifikacije može se za IKT proizvode, IKT usluge, IKT procese i upravljane sigurnosne usluge utvrditi jedna od sljedećih jamstvenih razina ili više njih: osnovna, znatna ili visoka. Jamstvena razina razmjerna je razini rizika povezanog s predviđenom uporabom IKT proizvoda, IKT usluge, IKT procesa ili upravljane sigurnosne usluge, u smislu vjerojatnosti i učinka incidenta.”;

(b)    stavak 3. zamjenjuje se sljedećim:

„3. Sigurnosni zahtjevi koji odgovaraju svakoj jamstvenoj razini moraju biti predviđeni u relevantnom europskom programu kibersigurnosne certifikacije uključujući odgovarajuće sigurnosne funkcionalnosti i odgovarajuću razinu strogoće i opsežnosti evaluacije kojoj IKT proizvod, IKT usluga, IKT proces ili upravljana sigurnosna usluga moraju biti podvrgnuti.”;

(c)    stavci 5., 6. i 7. zamjenjuju se sljedećim:

„5. Europskim kibersigurnosnim certifikatom ili EU izjavom o sukladnosti koji se odnose na osnovnu jamstvenu razinu pruža se jamstvo da IKT proizvodi, IKT usluge, IKT procesi i upravljane sigurnosne usluge za koje su taj certifikat ili ta EU izjava o sukladnosti izdani ispunjavaju odgovarajuće sigurnosne zahtjeve, uključujući sigurnosne funkcionalnosti, te da su bili podvrgnuti evaluaciji na razini čija je svrha svođenje na najmanju moguću mjeru poznatih osnovnih rizika za incidente i kibernapade. Aktivnosti evaluacije koje treba poduzeti obuhvaćaju barem preispitivanje tehničke dokumentacije. Ako takvo preispitivanje nije odgovarajuće, poduzimaju se zamjenske aktivnosti evaluacije s istovjetnim učinkom.

6. Europskim kibersigurnosnim certifikatom koji se odnosi na znatnu jamstvenu razinu pruža se jamstvo da IKT proizvodi, IKT usluge, IKT procesi i upravljane sigurnosne usluge za koje je taj certifikat izdan ispunjavaju odgovarajuće sigurnosne zahtjeve, uključujući sigurnosne funkcionalnosti, te da su bili podvrgnuti evaluaciji na razini čija je svrha svođenje na najmanju moguću mjeru poznatih kibersigurnosnih rizika te rizika od incidenata i kibernapada koje provode subjekti ograničenih vještina i resursa. Aktivnosti evaluacije koje treba poduzeti obuhvaćaju barem sljedeće: preispitivanje radi dokazivanja nepostojanja javno poznatih ranjivosti i testiranje radi dokazivanja da IKT proizvodi, IKT usluge, IKT procesi ili upravljane sigurnosne usluge na ispravan način primjenjuju potrebne sigurnosne funkcionalnosti. Ako bilo koja od tih aktivnosti evaluacije nije odgovarajuća, poduzimaju se zamjenske aktivnosti evaluacije s istovjetnim učinkom.

7. Europskim kibersigurnosnim certifikatom koji se odnosi na visoku jamstvenu razinu pruža se jamstvo da IKT proizvodi, IKT usluge, IKT procesi i upravljane sigurnosne usluge za koje je taj certifikat izdan ispunjavaju odgovarajuće sigurnosne zahtjeve, uključujući sigurnosne funkcionalnosti, te da su bili podvrgnuti evaluaciji na razini čija je svrha svođenje na najmanju moguću mjeru rizika od najsuvremenijih kibernapada koje provode subjekti znatnih vještina i resursa. Aktivnosti evaluacije koje treba poduzeti obuhvaćaju barem sljedeće: preispitivanje radi dokazivanja nepostojanja javno poznatih ranjivosti; testiranje radi dokazivanja da IKT proizvodi, IKT usluge, IKT procesi ili upravljane sigurnosne usluge na ispravan način i na najsuvremenijoj razini primjenjuju potrebne sigurnosne funkcionalnosti; procjenu njihove otpornosti na napad vještih napadača, za koju se koristi penetracijsko testiranje. Ako bilo koja od tih aktivnosti evaluacije nije odgovarajuća, poduzimaju se zamjenske aktivnosti s istovjetnim učinkom.”;

11.    u članku 53. stavci 1., 2. i 3. zamjenjuju se sljedećim:

„1.   Europskim programom kibersigurnosne certifikacije može se omogućiti da se samoocjenjivanje sukladnosti provodi pod isključivom odgovornošću proizvođača ili pružatelja IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga. Samoocjenjivanje sukladnosti primjenjuje se samo na IKT proizvode, IKT usluge, IKT procese i upravljane sigurnosne usluge koji predstavljaju niski rizik koji odgovara osnovnoj jamstvenoj razini.

2.   Proizvođač ili pružatelj IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga može izdati EU izjavu o sukladnosti u kojoj se navodi da je dokazano ispunjenje zahtjeva utvrđenih u programu. Izdavanjem takve izjave proizvođač ili pružatelj IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga preuzima odgovornost za sukladnost IKT proizvoda, IKT usluge, IKT procesa ili upravljane sigurnosne usluge sa zahtjevima utvrđenima u tom programu.

3.   Proizvođač ili pružatelj IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga EU izjavu o sukladnosti, tehničku dokumentaciju i sve druge relevantne informacije o sukladnosti IKT proizvoda, IKT usluga ili upravljanih sigurnosnih usluga s programom treba staviti na raspolaganje nacionalnom tijelu za kibersigurnosnu certifikaciju iz članka 58. u razdoblju utvrđenom u odgovarajućem europskom programu kibersigurnosne certifikacije. Preslika EU izjave o sukladnosti podnosi se nacionalnom tijelu za kibersigurnosnu certifikaciju i ENISA-i.”;

12.    u članku 54. stavak 1. mijenja se kako slijedi:

(a)    točka (a) zamjenjuje se sljedećim:

„(a) predmet i opseg programa certifikacije, uključujući vrstu ili kategorije obuhvaćenih IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga;”;

(b)    točka (j) zamjenjuje se sljedećim:

„(j) pravila za praćenje sukladnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga sa zahtjevima europskih kibersigurnosnih certifikata ili EU izjava o sukladnosti, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima;”;

(c)    točka (l) zamjenjuje se sljedećim:

„(l) pravila u vezi s posljedicama nesukladnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga koji su certificirani ili za koje je izdana EU izjava o sukladnosti, ali koji ne ispunjavaju zahtjeve programa;”;

(d)    točka (o) zamjenjuje se sljedećim:

„(o) utvrđivanje nacionalnih ili međunarodnih programa kibersigurnosne certifikacije koji obuhvaćaju iste vrste ili kategorije IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga, sigurnosne zahtjeve, kriterije i metode evaluacije te jamstvene razine;”;

(e)    točka (q) zamjenjuje se sljedećim:

„(q) razdoblje u kojem proizvođač ili pružatelj IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga treba staviti na raspolaganje EU izjavu o sukladnosti, tehničku dokumentaciju i sve relevantne informacije;”;

13.    članak 56. mijenja se kako slijedi:

(a)    stavak 1. zamjenjuje se sljedećim:

„1. Smatra se da su IKT proizvodi, IKT usluge, IKT procesi i upravljane sigurnosne usluge koji su certificirani u okviru europskog programa kibersigurnosne certifikacije donesenog u skladu s člankom 49. sukladni sa zahtjevima tog programa.”;

(b)    stavak 3. mijenja se kako slijedi:

i.    prvi podstavak zamjenjuje se sljedećim:

„Komisija redovito ocjenjuje učinkovitost i upotrebu donesenih europskih programa kibersigurnosne certifikacije te treba li određeni europski program kibersigurnosne certifikacije učiniti obveznim putem relevantnog prava Unije kako bi se osigurala odgovarajuća razina kibersigurnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga u Uniji i poboljšalo funkcioniranje unutarnjeg tržišta. Prva takva ocjena provodi se najkasnije do 31. prosinca 2023., a daljnje ocjene provode se najmanje svake dvije godine nakon toga. Komisija na temelju rezultata tog ocjenjivanja određuje IKT proizvode, IKT usluge, IKT procese i upravljane sigurnosne usluge obuhvaćene postojećim programom certifikacije koji trebaju biti obuhvaćeni obveznim programom certifikacije.”;

ii.    treći podstavak mijenja se kako slijedi:

(aa) točka (a) zamjenjuje se sljedećim:

„(a) uzima u obzir utjecaj mjera na proizvođače ili pružatelje takvih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga te na korisnike u smislu troška tih mjera, kao i društvenih ili gospodarskih koristi koje proizlaze iz očekivane poboljšane razine sigurnosti ciljanih IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga;”;

(bb) točka (d) zamjenjuje se sljedećim:

„(d) uzima u obzir sve rokove za provedbu, prijelazne mjere i razdoblja, posebno vodeći računa o mogućem učinku mjere na proizvođače ili pružatelje IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga, uključujući MSP-ove;”;

(c)    stavci 7. i 8. zamjenjuju se sljedećim:

„7. Fizička ili pravna osoba koja podnosi IKT proizvode, IKT usluge, IKT procese ili upravljane sigurnosne usluge na certifikaciju stavlja na raspolaganje sve informacije nužne za provođenje certifikacije nacionalnom tijelu za kibersigurnosnu certifikaciju iz članka 58., ako je to tijelo ono koje izdaje europski kibersigurnosni certifikat, ili tijelu za ocjenjivanje sukladnosti iz članka 60.

8. Nositelj europskog kibersigurnosnog certifikata obavješćuje tijelo iz stavka 7. o svim naknadno otkrivenim ranjivostima ili nepravilnostima koje se odnose na sigurnost certificiranog IKT proizvoda, IKT usluge, IKT procesa ili upravljane sigurnosne usluge i koje bi mogle imati učinak na njegovu usklađenost sa zahtjevima u vezi s certifikacijom. To tijelo bez nepotrebne odgode prosljeđuje te informacije dotičnom nacionalnom tijelu za kibersigurnosnu certifikaciju.”

14.    u članku 57. stavci 1. i 2. zamjenjuju se sljedećim:

„1. Ne dovodeći u pitanje stavak 3. ovog članka, nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode, IKT usluge, IKT procese i upravljane sigurnosne usluge koji su obuhvaćeni europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u provedbenom aktu donesenom u skladu s člankom 49. stavkom 7. Nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode, IKT usluge, IKT procese i upravljane sigurnosne usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

2. Države članice ne uvode nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga koji su već obuhvaćeni europskim programom kibersigurnosne certifikacije koji je na snazi.”;

15.    članak 58. mijenja se kako slijedi:

(a)    stavak 7. mijenja se kako slijedi:

i. točke (a) i (b) zamjenjuju se sljedećim:

 „(a) nadziru i zahtijevaju ispunjavanje pravila iz europskih programa kibersigurnosne certifikacije u skladu s člankom 54. stavkom 1. točkom (j) za praćenje sukladnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga sa zahtjevima iz europskih kibersigurnosnih certifikata izdanih na njihovim državnim područjima, u suradnji s drugim relevantnim tijelima za nadzor tržišta;

(b) prate usklađenost i zahtijevaju ispunjavanje obveza proizvođača ili pružatelja IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga koji imaju poslovni nastan na njihovim državnim područjima i koji provode samoocjenjivanje sukladnosti, te posebno prate usklađenost i zahtijevaju ispunjavanje obveza tih proizvođača ili pružatelja iz članka 53. stavaka 2. i 3. te odgovarajućeg europskog programa kibersigurnosne certifikacije;”;

ii. točka (h) zamjenjuje se sljedećim:

„(h) surađuju s drugim nacionalnim tijelima za kibersigurnosnu certifikaciju ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga sa zahtjevima iz ove Uredbe ili sa zahtjevima pojedinih europskih programa kibersigurnosne certifikacije; i”;

(b)    stavak 9. zamjenjuje se sljedećim:

„9. Nacionalna tijela za kibersigurnosnu certifikaciju surađuju međusobno i s Komisijom, osobito razmjenom informacija, iskustava i dobre prakse u području kibersigurnosne certifikacije i tehničkih pitanja povezanih s kibersigurnošću IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga.”;

16.    u članku 59. stavku 3. točke (b) i (c) zamjenjuju se sljedećim:

 „(b) postupaka za nadzor i provedbu pravila o praćenju sukladnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga s europskim kibersigurnosnim certifikatima na temelju članka 58. stavka 7. točke (a);

(c) postupaka za praćenje i izvršenje obveza proizvođača ili pružatelja IKT proizvoda, IKT usluga, IKT procesa ili upravljanih sigurnosnih usluga u skladu s člankom 58. stavkom 7. točkom (b);”;

17.    u članku 67. stavci 2. i 3. zamjenjuju se sljedećim:

„2. Ocjenjivanjem se procjenjuje i učinak, djelotvornost i učinkovitost odredaba iz glave III. ove Uredbe u pogledu ciljeva osiguranja prikladne razine kibersigurnosti IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga u Uniji i poboljšanja funkcioniranja unutarnjeg tržišta.

3. Ocjenjivanjem se procjenjuje jesu li ključni zahtjevi kibersigurnosti za pristup unutarnjem tržištu potrebni kako bi se spriječilo da IKT proizvodi, IKT usluge, IKT procesi i upravljane sigurnosne usluge koji ne ispunjavaju temeljne zahtjeve u pogledu kibersigurnosti uđu na tržište Unije.”.

Članak 2.

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Strasbourgu,

(1)    Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti); SL L 151/15, 7.6.2019.

(2)    9364/22.

(3)    JOIN(2022) 49 final.

(4)    SL L 333/810, 27.12.2022.

(5)    SL L 119/1, 4.5.2016.

(6)    SL L 218/30, 13.8.2008.

(7)    Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.).

(8)    Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80.).