(1)

Uporaba informacijskih i komunikacijskih tehnologija te ovisnost o njima postali su temeljno obilježje svih sektora gospodarske aktivnosti i društva u svjetlu sve veće međusobne povezanosti i međuovisnosti javnih uprava država članica, poduzeća i građana u svim sektorima te preko granica, što u isto vrijeme stvara moguće ranjivosti.

(2)

Na razini Unije i na globalnoj razini povećavaju se razmjeri, učestalost i učinci kibernetičkih sigurnosnih incidenata, uključujući napade na lance opskrbe u svrhe kibernetičke špijunaže, napada ucjenjivačkim softverom ili izazivanja poremećaja. Oni predstavljaju veliku prijetnju funkcioniranju mrežnih i informacijskih sustava. S obzirom na to da se prijetnje brzo mijenjaju, mogući kibernetički sigurnosni incidenti velikih razmjera koji uzrokuju znatne poremećaje ili štetu na kritičnoj infrastrukturi iziskuju povećanu pripravnost okvira Unije za kibernetičku sigurnost. Ta prijetnja nadilazi agresivni rat Rusije protiv Ukrajine i vjerojatno će se nastaviti s obzirom na mnoštvo aktera umiješanih u trenutačne geopolitičke napetosti. Takvi incidenti mogu ometati pružanje javnih usluga jer su kibernetički napadi često usmjereni na lokalne, regionalne ili nacionalne javne usluge i infrastrukture, pri čemu su lokalne vlasti posebno ranjive, među ostalim zbog svojih ograničenih resursa. Oni isto tako mogu ometati obavljanje gospodarskih djelatnosti, među ostalim u sektorima visoke kritičnosti ili drugim kritičnim sektorima, uzrokovati znatne financijske gubitke, narušiti povjerenje korisnika, nanijeti veliku štetu gospodarstvu i demokratskim sustavima Unije te čak imati zdravstvene ili po život opasne posljedice. K tomu, kibernetički sigurnosni incidenti su nepredvidivi jer se često pojavljuju i brzo razvijaju, nisu ograničeni na određeno zemljopisno područje i događaju se istodobno u mnogim zemljama ili se brzo šire na mnoge zemlje. Važno je da postoji bliska suradnja između javnog sektora, privatnog sektora, akademske zajednice, civilnog društva i medija.

(3)

Potrebno je ojačati konkurentni položaj industrije i usluga u Uniji u cijelom digitaliziranom gospodarstvu i poduprijeti njihovu digitalnu transformaciju povećanjem razine kibernetičke sigurnosti na digitalnom jedinstvenom tržištu, kako je preporučeno u trima različitim prijedlozima Konferencije o budućnosti Europe. Potrebno je povećati otpornost građana, poduzeća, uključujući mikropoduzeća, mala i srednja poduzeća i novoosnovana poduzeća, i subjekata koji upravljaju kritičnom infrastrukturom, na sve veće kibernetičke prijetnje koje mogu imati razoran društveni i gospodarski učinak. Stoga su potrebna ulaganja u infrastrukturu i usluge te izgradnja sposobnosti za razvoj vještina u području kibernetičke sigurnosti kojima će se omogućiti brže otkrivanje kibernetičkih prijetnji i incidenata i brži odgovor na njih. Dodatno, državama članicama potrebna je pomoć u boljoj pripremi za značajne kibernetičke sigurnosne incidente ili kibernetičke sigurnosne incidente velikih razmjera i odgovoru na takve incidente kao i pomoć u inicijalnom oporavku od njih. Temeljeći se na postojećim strukturama te u bliskoj suradnji s njima, Unija bi isto tako trebala povećati svoje kapacitete u tim područjima, posebno u pogledu prikupljanja i analize podataka o kibernetičkim prijetnjama i incidentima.

(4)

Unija je već poduzela niz mjera za smanjenje ranjivosti i povećanje otpornosti kritičnih infrastruktura i subjekata u pogledu rizika, koje posebice uključuju Uredbu (EU) 2019/881 Europskog parlamenta i Vijeća (5), direktive 2013/40/EU (6) i (EU) 2022/2555 (7) Europskog parlamenta i Vijeća te Preporuku Komisije (EU) 2017/1584 (8). Nadalje, u Preporuci Vijeća od 8. prosinca 2022. o koordiniranom pristupu na razini Unije za jačanje otpornosti kritične infrastrukture države članice pozivaju se da poduzmu mjere te da surađuju međusobno, s Komisijom i drugim relevantnim javnim tijelima te predmetnim subjektima kako bi se povećala otpornost kritične infrastrukture koja se koristi za pružanje osnovnih usluga na unutarnjem tržištu.

(5)

Zbog sve većih kibernetičkih sigurnosnih rizika i općenito složenih prijetnji te uz očit rizik od brzog širenja incidenata iz jedne države članice u druge i iz treće zemlje u Uniju, potrebno je jačanje solidarnosti na razini Unije kako bi se kibernetičke prijetnje i incidenti bolje otkrivali te kako bi se za njih bolje pripremalo, na njih bolje odgovaralo i od njih bolje oporavljalo, posebice jačanjem sposobnosti postojećih struktura. Štoviše, u Zaključcima Vijeća od 23. svibnja 2022. o razvoju položaja Europske unije u pogledu kiberprostora Komisiju se poziva da predstavi prijedlog o novom Fondu za odgovor na hitne situacije u području kibernetičke sigurnosti.

(6)

U Zajedničkoj komunikaciji Komisije i Visokog predstavnika Unije za vanjske poslove i sigurnosnu politiku od 10. studenog 2022. Europskom parlamentu i Vijeću o politici kiberobrane EU-a, najavljena je inicijativa EU-a za kibernetičku solidarnost s ciljevima jačanje zajedničkih sposobnosti EU-a za otkrivanje, informiranost o stanju i odgovor poticanjem uvođenja infrastrukture centara za sigurnosne operacije (SOC) u EU-u, podupiranje postupne izgradnje kibernetičke pričuve na razini EU-a s uslugama pouzdanih privatnih pružatelja usluga i testiranje kritičnih subjekata na moguće ranjivosti na temelju procjena rizika EU-a.

(7)

U cijeloj Uniji potrebno je poboljšati otkrivanje i informiranost o stanju kibernetičkih prijetnji i incidenata te ojačati solidarnost unapređenjem pripravnosti država članica i Unije te njihovih sposobnosti za sprečavanje i odgovor na značajne kibernetičke sigurnosne incidente i kibernetičke sigurnosne incidente velikih razmjera. Stoga je potrebno uspostaviti paneuropsku mrežu kibernetičkih centara („europski sustav uzbunjivanja u području kibernetičke sigurnosti”) kako bi se izgradile koordinirane sposobnosti za otkrivanje i informiranost o stanju i tako ojačale sposobnosti Unije za otkrivanje prijetnji i dijeljenje informacija o njima; trebalo bi uspostaviti mehanizam za izvanredne kibernetičke sigurnosne situacije kako bi se državama članicama, na njihov zahtjev, pomoglo u pripremi za značajne kibernetičke sigurnosne incidente i kibernetičke sigurnosne incidente velikih razmjera, odgovoru na njih i inicijalnom oporavku od njih te kako bi se drugim korisnicima pružila potpora u odgovoru na značajne kibernetičke sigurnosne incidente i kibernetičke sigurnosne incidente ekvivalentne kibernetičkom sigurnosnom incidentu velikih razmjera; trebalo bi uspostaviti i europski mehanizam za istraživanje kibernetičkih sigurnosnih incidenata kako bi se istražili i procijenili određeni značajni kibernetički sigurnosni incidenti ili kibernetički sigurnosni incidenti velikih razmjera. Djelovanja na temelju ove Uredbe trebale bi se provoditi uz dužno poštovanje nadležnosti država članica te bi trebale dopunjavati, a ne duplicirati aktivnosti koje provode mreža CSIRT-ova, Europska mreža organizacija za vezu za kibernetičke krize („mreža EU-CyCLONe”) i skupina za suradnju („skupina za suradnju NIS”), koje su sve uspostavljene na temelju Direktive (EU) 2022/2555. Tim se djelovanjima ne dovode u pitanje članci 107. i 108. Ugovora o funkcioniranju Europske unije (UFEU).

(8)

Radi postizanja tih ciljeva potrebno je izmijeniti određene dijelove Uredbe (EU) 2021/694 Europskog parlamenta i Vijeća (9). Ovom bi se Uredbom osobito trebala izmijeniti Uredba (EU) 2021/694 u pogledu dodavanja novih operativnih ciljeva povezanih s europskim sustavom uzbunjivanja u području kibernetičke sigurnosti i mehanizmom za izvanredne kibernetičke sigurnosne situacije u okviru specifičnog cilja 3 programa Digitalna Europa, kojim se nastoji zajamčiti otpornost, integritet i pouzdanost jedinstvenog digitalnog tržišta, ojačati kapacitete za praćenje kibernetičkih napada i kibernetičkih prijetnji i odgovor na njih te ojačati prekograničnu suradnju i koordinaciju u području kibernetičke sigurnosti. Europski sustav uzbunjivanja u području kibernetičke sigurnosti mogao bi imati važnu ulogu u pružanju potpore državama članicama u predviđanju kibernetičkih prijetnji i zaštiti od njih, a pričuva EU-a za kibernetičku sigurnost mogla bi imati važnu ulogu u pružanju potpore državama članicama, institucijama, tijelima, uredima i agencijama Unije te trećim zemljama pridruženima programu Digitalna Europa u odgovoru na učinak značajnih kibernetičkih sigurnosnih incidenata, kibernetičkih sigurnosnih incidenata velikih razmjera i kibernetičkih sigurnosnih incidenata ekvivalentnima onima velikih razmjera te ublažavanju tog učinka. Taj bi učinak mogao uključivati znatnu materijalnu ili nematerijalnu štetu i ozbiljne rizike za javnu sigurnost i zaštitu. S obzirom na posebne uloge koje bi europski sustav uzbunjivanja u području kibernetičke sigurnosti i pričuva EU-a za kibernetičku sigurnost mogli imati, ovom bi se Uredbom trebala izmijeniti Uredba (EU) 2021/694 u pogledu sudjelovanja pravnih subjekata s poslovnim nastanom u Uniji, ali pod kontrolom iz trećih zemalja, ako postoji stvaran rizik da potrebni i dostatni alati, infrastrukture i usluge, ili tehnologija, stručno znanje i kapaciteti, nisu dostupni u Uniji te da koristi od uključivanja takvih subjekata nadmašuju sigurnosni rizik. Trebalo bi utvrditi posebne uvjete pod kojima se može dodijeliti financijska potpora za djelovanja kojima se provodi europski sustav uzbunjivanja u području kibernetičke sigurnosti i pričuva EU-a za kibernetičku sigurnost te bi trebalo definirati mehanizme upravljanja i koordinacije potrebne za postizanje predviđenih ciljeva. Druge izmjene Uredbe (EU) 2021/694 trebale bi uključivati opise predloženih djelovanja u okviru novih operativnih ciljeva, kao i mjerljive pokazatelje za praćenje provedbe tih novih operativnih ciljeva.

(9)

Za jačanje odgovora Unije na kibernetičke prijetnje i incidente ključna je suradnja s međunarodnim organizacijama te s pouzdanim međunarodnim partnerima sličnih stavova. U tom bi kontekstu pouzdane međunarodne partnere sličnih stavova trebalo tumačiti kao zemlje koje dijele načela koja su nadahnula stvaranje Unije odnosno demokracije, vladavine prava, univerzalnosti i nedjeljivosti ljudskih prava i temeljnih sloboda, poštovanja ljudskog dostojanstva, načela jednakosti i solidarnosti te poštovanja načela Povelje Ujedinjenih naroda i međunarodnog prava, te koje ne ugrožavaju ključne sigurnosne interese Unije ili njezinih država članica. Takva suradnja mogla bi biti korisna i u pogledu djelovanja koja se poduzimaju na temelju ove Uredbe, a posebno europskog sustava uzbunjivanja u području kibernetičke sigurnosti i pričuve EU-a za kibernetičku sigurnost. Uredbom (EU) 2021/694 trebalo bi predvidjeti, podložno određenim uvjetima dostupnosti i sigurnosti, da natječaji za europski sustav uzbunjivanja u području kibernetičke sigurnosti i pričuvu EU-a za kibernetičku sigurnost budu otvoreni pravnim subjektima pod kontrolom iz trećih zemalja, podložno sigurnosnim zahtjevima. Pri procjeni sigurnosnog rizika takvog otvaranja nabave važno je uzeti u obzir načela i vrijednosti koje Unija dijeli s međunarodnim partnerima sličnih stavova, kada su ta načela i vrijednosti povezani s ključnim sigurnosnim interesima Unije. Povrh toga, ako se takvi sigurnosni zahtjevi razmatraju na temelju Uredbe (EU) 2021/694, u obzir bi se moglo uzeti nekoliko elemenata, kao što su korporativna struktura subjekta i njegov postupak donošenja odluka, sigurnost podataka i klasificiranih ili osjetljivih informacija te osiguravanje da rezultati djelovanja ne podliježu kontroli ili ograničenjima trećih zemalja koje ne ispunjavaju uvjete.

(10)

Financiranje djelovanja na temelju ove Uredbe trebalo bi biti predviđeno Uredbom (EU) 2021/694, koja bi trebala ostati relevantni temeljni akt za ta djelovanja obuhvaćena specifičnim ciljem 3 programa Digitalna Europa. Posebni uvjeti za sudjelovanje za svako djelovanje definiraju se u relevantnim programima rada, u skladu s Uredbom (EU) 2021/694.

(11)

Na ovu se Uredbu primjenjuju horizontalna financijska pravila koja su Europski parlament i Vijeće donijeli na temelju članka 322. UFEU-a. Ta su pravila utvrđena u Uredbi (EU, Euratom) 2024/2509 Europskog parlamenta i Vijeća (10) i njima se osobito određuje postupak donošenja i izvršenja proračuna Unije te predviđaju provjere odgovornosti financijskih izvršitelja. Pravila donesena na temelju članka 322. UFEU-a uključuju i opći režim uvjetovanosti za zaštitu proračuna Unije kako je utvrđen u Uredbi (EU, Euratom) 2020/2092 Europskog parlamenta i Vijeća (11).

(12)

Iako su mjere prevencije i pripravnosti ključne za povećanje otpornosti Unije pri suočavanju sa značajnim kibernetičkim sigurnosnim incidentima, kibernetičkim sigurnosnim incidentima velikih razmjera i kibernetičkim sigurnosnim incidentima ekvivalentnima kibernetičkom sigurnosnom incidentu velikih razmjera, sama pojava, vrijeme i razmjer takvih incidenata po svojoj su prirodi nepredvidivi. Financijska sredstva koja su potrebna za osiguravanje adekvatnog odgovora mogu znatno varirati od godine do godine te bi ih se trebalo moći odmah staviti na raspolaganje. Pomirivanje proračunskog načela predvidljivosti s potrebom da se brzo odgovori na nove potrebe stoga iziskuje prilagodbu financijskog izvršenja programa rada. Stoga je primjereno, uz prijenos odobrenih sredstava odobren u skladu s člankom 12. stavkom 4. Uredbe (EU, Euratom) 2024/2509, odobriti prijenos neiskorištenih odobrenih sredstava, ali isključivo u sljedeću godinu i isključivo u pričuvu EU-a za kibernetičku sigurnost i djelovanja kojima se podupire uzajamna pomoć.

(13)

Kako bi se učinkovitije spriječile i procijenile kibernetičke prijetnje i kibernetički incidenti te na njih odgovorilo i od njih bolje oporavilo, potrebno je steći sveobuhvatnije znanje o prijetnjama ključnim resursima i infrastrukturi na području Unije, uključujući njihovu geografsku raspoređenost, međusobnu povezanost i potencijalne posljedice u slučaju kibernetičkih napada koji pogađaju te infrastrukture. Proaktivan pristup utvrđivanju, ublažavanju i sprečavanju kibernetičkih prijetnji uključuje povećane sposobnosti za napredno otkrivanje. Europski sustav uzbunjivanja u području kibernetičke sigurnosti trebao bi se sastojat od nekoliko interoperabilnih prekograničnih kibernetičkih centara, od kojih svaki okuplja tri ili više nacionalnih kibernetičkih centara. Ta bi infrastruktura trebala služiti kibernetičkim sigurnosnim interesima i potrebama na nacionalnoj razini i razini Unije, koristeći se najsuvremenijim tehnologijama za napredno prikupljanje relevantnih podataka i informacija koji se, prema potrebi, anonimiziraju, te alatima za analitiku podataka, jačajući koordinirane sposobnosti kibernetičkog otkrivanja i upravljanja i osiguravajući informiranost o stanju u stvarnom vremenu. Ta bi infrastruktura trebala služiti za poboljšanje razine kibernetičke sigurnosti i to povećanjem otkrivanja, objedinjavanja i analize podataka i informacija kako bi se spriječile kibernetičke prijetnje i incidenti te tako dopunili i poduprli subjekti i mreže Unije odgovorni za upravljanje kibernetičkim krizama u Uniji, posebno mreža EU-CyCLONe.

(14)

Sudjelovanje u europskom sustavu uzbunjivanja u području kibernetičke sigurnosti dobrovoljno je za države članice. Svaka bi država članica trebala na nacionalnoj razini imenovati jednog subjekta zaduženog za koordinaciju aktivnosti otkrivanja kibernetičkih prijetnji u toj državi članici. Ti nacionalni kibernetički centri trebali bi djelovati kao referentna i pristupna točka na nacionalnoj razini za sudjelovanje u europskom sustavu uzbunjivanja u području kibernetičke sigurnosti te bi trebali osigurati da se informacije o kibernetičkim prijetnjama dobivene od javnih i privatnih subjekata dijele i prikupljaju na nacionalnoj razini na djelotvoran i optimiziran način. Nacionalni kibernetički centri mogli bi ojačati suradnju i dijeljenje informacija između javnih i privatnih subjekata te bi mogli podupirati razmjenu relevantnih podataka i informacija s relevantnim sektorskim i međusektorskim zajednicama, uključujući relevantne industrijske centre za dijeljenje i analizu informacija („ISAC-i”). Bliska i koordinirana suradnja javnih i privatnih subjekata ključna je za jačanje kibernetičke otpornosti Unije. Takva suradnja posebno je vrijedna u kontekstu dijeljenja saznanja o kibernetičkim prijetnjama kako bi se poboljšala aktivna kibernetička zaštita. U okviru takve suradnje i dijeljenja informacija nacionalni kibernetički centri mogli bi tražiti i primati specifične informacije. Ti se nacionalni kibernetički centri ovom Uredbom niti obvezuju niti ovlašćuju za izvršavanje takvih zahtjeva. Prema potrebi i u skladu s pravom Unije i nacionalnim pravom, zatražene ili primljene informacije mogle bi uključivati telemetrijske i senzorske podatke i podatke o evidentiranju od subjekata, kao što su pružatelji upravljanih sigurnosnih usluga, koji posluju u sektorima visoke kritičnosti ili drugim kritičnim sektorima unutar te države članice, kako bi se unaprijedilo brzo otkrivanje potencijalnih kibernetičkih prijetnji i incidenata u ranijoj fazi, čime bi se poboljšala informiranost o stanju. Ako nacionalni kibernetički centar nije nadležno tijelo koje je imenovala ili uspostavila relevantna država članica u skladu s člankom 8. stavkom 1. Direktive (EU) 2022/2555, ključno je da se on koordinira s tim nadležnim tijelom u pogledu zahtjeva za takve podatke i primanja takvih podataka.

(15)

U okviru europskog sustava uzbunjivanja u području kibernetičke sigurnosti trebalo bi uspostaviti niz prekograničnih kibernetičkih centara. U tim bi prekograničnim kibernetičkim centrima trebalo okupiti nacionalne kibernetičke centre iz najmanje triju država članica kako bi se osiguralo da se u potpunosti ostvare koristi od otkrivanja prekograničnih prijetnji te dijeljenja informacija i upravljanja njima. Opći cilj prekograničnih kibernetičkih centara trebao bi biti jačanje kapaciteta za analizu, sprečavanje i otkrivanje kibernetičkih sigurnosnih prijetnji te podupiranje proizvodnje visokokvalitetnih saznanja o kibernetičkim prijetnjama, osobito dijeljenjem relevantnih informacija koje se, prema potrebi, anonimiziraju, u pouzdanom i sigurnom okruženju iz različitih izvora, javnih ili privatnih, te dijeljenjem i zajedničkom uporabom najsuvremenijih alata i zajedničkim razvojem sposobnosti otkrivanja, analize i sprečavanja u pouzdanom i sigurnom okruženju. Prekograničnim kibernetičkim centrima trebalo bi se osigurati nove dodatne kapacitete koji se temelje na postojećim SOC-ovima, CSIRT-ovima i drugim relevantnim akterima, uključujući mrežu CSIRT-ova, te koji ih nadopunjuju.

(16)

Država članica koju je Europski stručni centar za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti („ECCC”) osnovan Uredbom (EU) 2021/887 Europskog parlamenta i Vijeća (12) odabrao nakon poziva na iskaz interesa za osnivanje ili unapređenje sposobnosti nacionalnog kibernetičkog centra trebala bi zajedno s ECCC-om kupiti relevantne alate, infrastrukturu ili usluge. Takva država članica trebala bi biti prihvatljiva za primanje bespovratnih sredstava za upravljanje alatima, infrastrukturom ili uslugama. Konzorcij domaćin koji se sastoji od najmanje tri države članice, a kojeg je odabrao ECCC nakon poziva na iskaz interesa za uspostavljanje ili unapređenje sposobnosti prekograničnog kibernetičkog centra, trebao bi zajedno s ECCC-om kupiti relevantne alate, infrastrukturu ili usluge. Konzorcij domaćin trebao bi biti prihvatljiv za primanje bespovratnih sredstava za upravljanje alatima, infrastrukturom ili uslugama. Postupak nabave za kupnju relevantnih alata, infrastrukture i usluga trebali bi zajednički provoditi ECCC i relevantni javni naručitelji iz država članica odabrani na temelju tih poziva na iskaz interesa. Takva bi nabava trebala biti u skladu s člankom 168. stavkom 2. Uredbe (EU) 2024/25091046 i financijskim pravilima ECCC-a. Privatni subjekti stoga ne bi trebali biti prihvatljivi za sudjelovanje u pozivima na iskaze interesa za kupnju alata, infrastrukture ili usluga zajedno s ECCC-om ili za primanje bespovratnih sredstava za upravljanje tim alatima, infrastrukturom ili uslugama. Međutim, države članice trebale bi moći uključiti privatne subjekte u uspostavu, unapređenje i rad svojih nacionalnih kibernetičkih centara i prekograničnih kibernetičkih centara na druge načine koje smatraju primjerenima, u skladu s pravom Unije i nacionalnim pravom. Privatni subjekti isto bi tako mogli biti prihvatljivi za primanje financijskih sredstava Unije u skladu s Uredbom (EU) 2021/887 radi pružanja potpore nacionalnim kibernetičkim centrima.

(17)

Kako bi se poboljšalo otkrivanje kibernetičkih prijetnji i informiranost o stanju u Uniji, država članica koja je nakon poziva na iskaz interesa odabrana za osnivanje ili unapređivanje sposobnosti nacionalnog kibernetičkog centra trebala bi se obvezati da će se prijaviti za sudjelovanje u prekograničnom kibernetičkom centru. Ako država članica ne postane sudionica u prekograničnom kibernetičkom centru u roku od dvije godine od datuma stjecanja alata, infrastrukture ili usluga ili datuma na koji primi bespovratna sredstva, ovisno o tome što nastupi ranije, ona ne bi trebala biti prihvatljiva za sudjelovanje u daljnjim potpornim djelovanjima Unije u okviru europskog sustava uzbunjivanja u području kibernetičke sigurnosti za unapređenje sposobnosti njezina nacionalnog kibernetičkog centra. U takvim slučajevima subjekti iz država članica i dalje bi mogli sudjelovati u pozivima na podnošenje prijedloga koji se odnose na druge teme u okviru programa Digitalna Europa ili drugih programa financiranja Unije, uključujući pozive koji se odnose na kapacitete za kibernetičko otkrivanje i dijeljenje informacija, pod uvjetom da ti subjekti ispunjavaju kriterije prihvatljivosti utvrđene u tim programima.

(18)

CSIRT-ovi razmjenjuju informacije unutar mreže CSIRT-ova, u skladu s Direktivom (EU) 2022/2555. Europski sustav uzbunjivanja u području kibernetičke sigurnosti trebao bi predstavljati novu sposobnost koja je komplementarna mreži CSIRT-ova na način da doprinosi izgradnji informiranosti o stanju u Uniji, čime se omogućuje jačanje sposobnosti mreže CSIRT-ova. Prekogranični kibernetički centri trebali bi se koordinirati i blisko surađivati s mrežom CSIRT-ova. Trebali bi djelovati na način da objedinjuju podatke i dijele relevantne informacije, koji se, prema potrebi, anonimiziraju, o kibernetičkim sigurnosnim prijetnjama od javnih i privatnih subjekata, povećavajući vrijednosti takvih podataka i informacija stručnom analizom i zajednički nabavljenim infrastrukturama i najsuvremenijim alatima te doprinošenjem tehnološkoj suverenosti Unije, njezinoj otvorenoj strateškoj autonomiji, konkurentnosti i otpornosti te razvoju sposobnosti Unije.

(19)

Prekogranični kibernetički centri trebali bi djelovati kao središnje točke koje omogućuju opsežno objedinjavanje relevantnih podataka i saznanja o kibernetičkim prijetnjama, te omogućiti širenje informacija o prijetnjama među velikim i raznolikim skupom dionika kao što su timovi za hitne računalne intervencije (CERT), CSIRT-ovi, ISAC-ovi i operateri kritične infrastrukture. Članovi konzorcija domaćina trebali bi u sporazumu o konzorciju navesti relevantne informacije koje će se dijeliti među sudionicima predmetnog prekograničnog kibernetičkog centra. Informacije koje razmjenjuju sudionici u prekograničnom kibernetičkom centru mogle bi uključivati, na primjer, podatke iz mreža i senzora, saznanja o prijetnjama, pokazatelje ugroženosti i informacije s kontekstom o incidentima, kibernetičkim prijetnjama, izbjegnutim incidentima, ranjivostima, tehnikama i postupcima, neprijateljskim taktikama, informacije o počiniteljima prijetnji, kibernetička sigurnosna upozorenja i preporuke o konfiguraciji kibernetičkih sigurnosnih alata za otkrivanje kibernetičkih napada. Osim toga, prekogranični kibernetički centri trebali bi međusobno sklapati sporazume o suradnji. U tim sporazumima o suradnji posebno bi trebalo utvrditi načela dijeljenja informacija i interoperabilnost. Za njihove odredbe o interoperabilnosti, posebno u pogledu formata i protokola za dijeljenje informacija, trebalo bi se voditi smjernicama o interoperabilnosti koje izdaje Agencija Europske unije za kibersigurnost osnovana Uredbom (EU) 2019/881 (ENISA) i koje bi za te odredbe trebale služiti kao polazište. Te bi smjernice trebalo brzo izdati kako bi se osiguralo da ih prekogranični kibernetički centri mogu primijeniti u ranoj fazi. U njima bi se trebali uzeti u obzir međunarodni standardi i najbolje prakse te funkcioniranje eventualno uspostavljenih prekograničnih kibernetičkih centara.

(20)

Prekogranični kibernetički centri i mreža CSIRT-ova trebali bi blisko surađivati kako bi se osigurale sinergije i komplementarnost aktivnosti. Oni bi u tu svrhu trebali postići dogovor o postupovnim aranžmanima za suradnju i dijeljenje relevantnih informacija. To bi moglo uključivati dijeljenje relevantnih informacija o kibernetičkim prijetnjama i značajnim kibernetičkim sigurnosnim incidentima te osiguravanje da se iskustva s najsuvremenijim alatima, posebno umjetnom inteligencijom i tehnologijom analitike podataka, koji se upotrebljavaju u prekograničnim kibernetičkim centrima, dijele s mrežom CSIRT-ova.

(21)

Zajednička informiranost o stanju relevantnih tijela nužan je preduvjet za pripravnost i koordinaciju na razini Unije u pogledu značajnih kibernetičkih sigurnosnih incidenata i kibernetičkih sigurnosnih incidenata velikih razmjera. Direktivom (EU) 2022/2555 uspostavljena je mreža EU-CyCLONe radi podupiranja koordiniranog upravljanja kibernetičkim sigurnosnim incidentima i krizama velikih razmjera na operativnoj razini te osiguravanja redovite razmjene relevantnih informacija među državama članicama i institucijama, tijelima, uredima i agencijama Unije. Direktivom (EU) 2022/2555 također je uspostavljena mreža CSIRT-ova u cilju promicanja brze i djelotvorne operativne suradnje među svim državama članicama. Kako bi se osigurala informiranost o stanju i ojačala solidarnost, kada prekogranični kibernetički centri dobiju informacije povezane s potencijalnim ili aktualnim kibernetičkim sigurnosnim incidentom velikih razmjera, oni bi trebali relevantne informacije proslijediti mreži CSIRT-ova te, kao rano upozorenje, obavijestiti mrežu EU-CyCLONe. Osobito, ovisno o situaciji, informacije koje se dijele mogle bi uključivati tehničke informacije, informacije o prirodi i motivima napadača ili potencijalnog napadača te netehničke informacije više razine o potencijalnom ili aktualnom kibernetičkom sigurnosnom incidentu velikih razmjera. U tom bi kontekstu dužnu pozornost trebalo posvetiti načelu nužnosti pristupa podacima i potencijalno osjetljivoj prirodi informacija koje se dijele. U Direktivi (EU) 2022/2555 ponovno se ukazuje na odgovornosti Komisije u okviru Mehanizma Unije za civilnu zaštitu uspostavljenog Odlukom 1313/2013/EU Europskog parlamenta i Vijeća (13), kao i na njezinu odgovornost za dostavljanje analitičkih izvješća za aranžmane EU-a za integrirani politički odgovor na krizu („aranžmani za IPCR”) u skladu s Provedbenom odlukom Vijeća (EU) 2018/1993 (14). Kada prekogranični kibernetički centri s mrežom EU-CyCLONe i mrežom CSIRT-ova dijele relevantne informacije i rana upozorenja o potencijalnom ili aktualnom kibernetičkom sigurnosnom incidentu velikih razmjera, nužno je da se te informacije putem tih mreža dijele s tijelima država članica kao i s Komisijom. U tom se pogledu Direktivom (EU) 2022/2555 predviđa da je svrha mreže EU-CyCLONe podupiranje koordiniranog upravljanja kibernetičkim sigurnosnim incidentima i krizama velikih razmjera na operativnoj razini te osiguravanje redovite razmjene relevantnih informacija među državama članicama i institucijama, tijelima, uredima i agencijama Unije. Zadaće mreže EU-CyCLONe uključuju razvoj zajedničke informiranosti o stanju u pogledu takvih incidenata i kriza. Od ključne je važnosti da EU-CyCLONe osigura, u skladu s tom svrhom i svojim zadaćama, da se takve informacije odmah pružaju relevantnim predstavnicima država članica i Komisijom. U tu je svrhu ključno da poslovnik mreže EU-CyCLONe sadržava odgovarajuće odredbe.

(22)

Subjekti koji sudjeluju u europskom sustavu uzbunjivanja u području kibernetičke sigurnosti trebali bi osigurati visoku razinu međusobne interoperabilnosti, uključujući, prema potrebi, formata podataka, taksonomije, alata za obradu i analitiku podataka. Trebali bi osigurati i sigurne komunikacijske kanale, minimalnu razinu sigurnosti aplikacijskog sloja, pregled informiranosti o stanju i pokazatelje. Pri donošenju zajedničke taksonomije i izradi predloška za izvješća o stanju u kojima se opisuju uzroci otkrivenih kibernetičkih prijetnji i i rizika trebalo bi uzeti u obzir rezultate rada koji je već obavljen u kontekstu provedbe Direktive (EU) 2022/2555.

(23)

Kako bi se omogućilo da se opsežna razmjena relevantnih podataka i informacija o kibernetičkim prijetnjama iz različitih izvora odvija u pouzdanom i sigurnom okruženju, subjekti koji sudjeluju u europskom sustavu uzbunjivanja u području kibernetičke sigurnosti trebali bi raspolagati najsuvremenijim, vrlo sigurnim alatima, opremom i infrastrukturom, kao i kvalificiranim osobljem. Time bi se trebalo omogućiti poboljšanje zajedničkih kapaciteta za otkrivanje i pravodobno upozoravanje nadležnih tijela i relevantnih subjekata, posebno uporabom najnovijih tehnologija umjetne inteligencije i analitike podataka.

(24)

Prikupljanjem, analiziranjem, dijeljenjem i razmjenom relevantnih podataka i informacija europski sustav uzbunjivanja u području kibernetičke sigurnosti trebao bi povećati tehnološku suverenost i otvorenu stratešku autonomiju Unije u području kibernetičke sigurnosti te njezinu konkurentnost i otpornost. Objedinjavanje visokokvalitetnih, prilagođenih podataka moglo bi doprinijeti i razvoju naprednih tehnologija umjetne inteligencije i analitike podataka. Ljudski nadzor, a u tu svrhu kvalificirana radna snaga, i dalje su ključni za djelotvorno objedinjavanje visokokvalitetnih podataka.

(25)

Iako je europski sustav uzbunjivanja u području kibernetičke sigurnosti civilni projekt, zajednica u području kibernetičke obrane mogla bi imati koristi od snažnijih sposobnosti za civilno otkrivanje i informiranost o stanju koji su razvijeni za zaštitu kritične infrastrukture.

(26)

Dijeljenje informacija među sudionicima europskog sustava uzbunjivanja u području kibernetičke sigurnosti trebalo bi biti u skladu s postojećim pravnim zahtjevima, a posebno s pravom Unije i nacionalnim pravom o zaštiti podataka, kao i s pravilima Unije o tržišnom natjecanju kojima se uređuje razmjena informacija. Primatelj informacija trebao bi, ako je obrada osobnih podataka potrebna, provesti tehničke i organizacijske mjere kojima se štite prava i slobode ispitanika te uništiti podatke čim više ne budu potrebni za navedenu svrhu i obavijestiti subjekt koji je stavio podatke na raspolaganje da su podaci uništeni.

(27)

Očuvanje povjerljivosti i sigurnosti informacija ključno je za sva tri stupa ove Uredbe, i to za poticanje dijeljena ili razmjene informacija u kontekstu europskog sustava uzbunjivanja u području kibernetičke sigurnosti, zaštitu interesa subjekata koji podnose zahtjev za potporu u okviru mehanizma za izvanredne kibernetičke sigurnosne situacije ili osiguravanje da izvješća u okviru europskog mehanizma za istraživanje kibernetičkih sigurnosnih incidenata mogu proizvesti korisne pouke bez negativnog učinka na subjekte pogođene incidentima. Sudjelovanje država članica i subjekata u tim mehanizmima ovisi o odnosu povjerenja među njihovim komponentama. Ako su određene informacije povjerljive u skladu s pravilima Unije ili nacionalnim pravilima, dijeljene ili razmjena tih informacija na temelju ove Uredbe trebala bi biti ograničena na ono što je relevantno i razmjerno svrsi dijeljenja ili razmjene. Pri dijeljenju ili razmjeni štiti se i povjerljivost tih informacija, što uključuje i zaštitu sigurnosti i komercijalnih interesa svih predmetnih subjekata. Dijeljenje ili razmjena informacija na temelju ove Uredbe mogla bi se odvijati na temelju sporazuma o povjerljivosti ili smjernica o distribuciji informacija kao što je Protokol o semaforu. Protokol o semaforu treba shvatiti kao sredstvo za pružanje informacija o svim ograničenjima u pogledu daljnjeg širenja informacija. Upotrebljava se u gotovo svim CSIRT-ovima i u nekim ISAC-ovima. Povrh tih općih zahtjeva, kada je riječ o europskom sustavu uzbunjivanja u području kibernetičke sigurnosti, sporazumima konzorcija domaćina trebala bi se utvrditi posebna pravila o uvjetima za dijeljenje informacija u okviru predmetnog prekograničnog kibernetičkog centra. Tim bi se sporazumima posebice moglo zahtijevati da se informacije dijele samo u skladu s pravom Unije i nacionalnim pravom.

(28)

Kada je riječ o primjeni pričuve EU-a za kibernetičku sigurnost, potrebna su posebna pravila o povjerljivosti. Potpora će se tražiti, procjenjivati i pružati u kontekstu krize te za subjekte koji djeluju u osjetljivim sektorima. Kako bi pričuva djelotvorno funkcionirala, ključno je da korisnici i subjekti mogu dijeliti sve informacije koje su svakom subjektu potrebne kako bi ispunio svoju ulogu u procjeni zahtjeva i primjeni potpore te da mogu bez odgode omogućiti pristup tim informacijama. U skladu s tim, ovom bi Uredbom trebalo predvidjeti da se sve takve informacije upotrebljavaju ili dijele samo ako je to potrebno za rad pričuve EU-a za kibernetičku sigurnost te da bi se informacije koje su povjerljive ili klasificirane u skladu spravom Unije i nacionalnim pravom upotrebljavaju i dijele samo u skladu s tim pravom. Osim toga, korisnici bi trebali moći, prema potrebi, upotrebljavati protokole za dijeljenje informacija kao što je Protokol o semaforu kako bi dodatno utvrdili ograničenja. Iako korisnici imaju diskrecijsko pravo u tom pogledu, važno je da pri primjeni takvih ograničenja vode računa o mogućim posljedicama, posebno u pogledu kašnjenja procjene ili isporuke traženih usluga. Kako bi se osigurala učinkovita pričuva EU-a za kibernetičku sigurnost, važno je da javni naručitelj pojasni te posljedice korisniku prije nego što podnese zahtjev. Te su zaštitne mjere ograničene na traženje i pružanje usluga pričuve EU-a za kibernetičku sigurnost i ne utječu na razmjenu informacija u drugim kontekstima, kao što je nabava pričuve EU-a za kibernetičku sigurnost.

(29)

S obzirom na sve veće rizike i sve veći broj incidenata koji pogađaju države članice, potrebno je uspostaviti instrument za potporu u kriznim situacijama, odnosno mehanizam za izvanredne kibernetičke sigurnosne situacije, kako bi se poboljšala otpornost Unije na značajne kibernetičke sigurnosne incidente, kibernetičke sigurnosne incidente velikih razmjera i kibernetičke sigurnosne incidente ekvivalentne kibernetičkom sigurnosnom incidentu velikih razmjera te dopunile mjere država članica hitnom financijskom potporom za pripravnost, odgovor na incidente i inicijalni oporavak osnovnih usluga. Budući da je potpuni oporavak od incidenta sveobuhvatan postupak u kojem se funkcioniranje subjekta pogođenog incidentom vraća u stanje iz razdoblja prije incidenta te to može biti dugotrajan proces sa znatnim troškovima, potpora iz pričuve EU-a za kibernetičku sigurnost trebala bi biti ograničena na inicijalnu fazu procesa oporavka, što bi rezultiralo ponovnom uspostavom osnovnih funkcionalnosti sustava. Mehanizmom za izvanredne kibernetičke sigurnosne situacije trebalo bi omogućiti brzo i djelotvorno pružanje pomoći u definiranim okolnostima i pod jasnim uvjetima te omogućiti pažljivo praćenje i evaluacija uporabe sredstava. Iako glavnu odgovornost za sprečavanje incidenata i kriza te pripravnost i odgovor na njih imaju države članice, mehanizmom za izvanredne kibernetičke sigurnosne situacije promiče se solidarnost među državama članicama u skladu s člankom 3. stavkom 3. Ugovora o Europskoj uniji (UEU).

(30)

Mehanizmom za izvanredne kibernetičke sigurnosne situacije trebala bi se pružiti potpora državama članicama kojom se dopunjavaju njihove vlastite mjere i resursi te druge postojeće mogućnosti potpore u slučaju odgovora na značajne kibernetičke sigurnosne incidente i kibernetičke sigurnosne incidente velikih razmjera i inicijalnog oporavka od njih, kao što su usluge koje pruža ENISA u skladu sa svojim mandatom, koordinirani odgovor i pomoć mreže CSIRT-ova, potpora za ublažavanje posljedica koju pruža mreža EU-CyCLONe, te uzajamna pomoć među državama članicama među ostalim u kontekstu članka 42. stavka 7. UEU-a i timove za brz odgovor na kibernetičke incidente u okviru PESCO-a uspostavljenih na temelju Odluke Vijeća (ZVSP) 2017/20315 (15). Njime bi se trebalo odgovoriti na potrebu da se osigura dostupnost specijaliziranih sredstava za potporu pripravnosti i odgovoru na kibernetičke sigurnosne incidente i oporavku od njih u cijeloj Uniji i u trećim zemljama pridruženima programu Digitalna Europa.

(31)

Ovom se Uredbom ne dovode u pitanje postupci i okviri za koordinaciju odgovora na krizu na razini Unije, posebno Direktiva (EU) 2022/2555, Mehanizam Unije za civilnu zaštitu uspostavljen Odlukom br. 1313/2013/EU Europskog parlamenta i Vijeća (16), aranžmani za IPCR i Preporuka Komisije (EU) 2017/1584 (17). Potpora koja se pruža u okviru mehanizma za izvanredne kibernetičke sigurnosne situacije može biti dopuna pomoći koja se pruža u kontekstu zajedničke vanjske i sigurnosne politike te zajedničke sigurnosne i obrambene politike, među ostalim putem timova za brz odgovor na kibernetičke incidente, uzimajući u obzir civilnu prirodu mehanizma za izvanredne kibernetičke sigurnosne situacije. Potpora koja se pruža u okviru mehanizma za izvanredne kibernetičke sigurnosne situacije može dopuniti djelovanja koja se provode u kontekstu članka 42. stavka 7. UEU-a, uključujući pomoć koju jedna država članica pruža drugoj državi članici, ili biti dio zajedničkog odgovora Unije i država članica ili u situacijama iz članka 222. UFEU-a. Provedbu ove Uredbe trebalo bi, prema potrebi, koordinirati i s provedbom mjera u okviru alata za kibernetičku diplomaciju.

(32)

Pomoć koja se pruža na temelju ove Uredbe trebala bi doprinositi djelovanjima koje države članice poduzimaju na nacionalnoj razini i nadopunjavati ih. U tu bi svrhu trebalo osigurati blisku suradnju i savjetovanje između Komisije, ENISA-e, država članica i, ako je relevantno, ECCC-a. Pri podnošenju zahtjeva za potporu u okviru mehanizma za izvanredne kibernetičke sigurnosne situacije države članice trebale bi dostaviti relevantne informacije kojima se obrazlaže potreba za potporom.

(33)

Prema Direktivi (EU) 2022/2555 države članice dužne su imenovati ili uspostaviti jedno ili više tijela za upravljanje kibernetičkim krizama i osigurati da ta tijela imaju odgovarajuće resurse za djelotvorno i učinkovito obavljanje svojih zadaća. Isto su tako države članice dužne utvrditi sposobnosti, sredstva i postupke koji se mogu primijeniti u slučaju krize te donijeti nacionalni plan za odgovor na kibernetičke sigurnosne incidente velikih razmjera i krize u kojem su utvrđeni ciljevi i načini upravljanja kibernetičkim sigurnosnim incidentima i krizama velikih razmjera. Države članice dužne su uspostaviti jedan ili više CSIRT-ova koji će biti zaduženi za postupanje s incidentima u skladu s točno propisanim postupkom i obuhvaćati barem sektore, podsektore i vrste subjekata obuhvaćene područjem primjene navedene direktive, te da im osiguraju odgovarajuće resurse za djelotvorno izvršavanje zadaća. Ovom se Uredbom ne dovodi u pitanje uloga Komisije u osiguravanju usklađenosti država članica s obvezama iz Direktive (EU) 2022/2555. Mehanizmom za izvanredne kibernetičke sigurnosne situacije trebala bi se pružiti pomoć za djelovanja usmjerena na jačanje pripravnosti i djelovanja za odgovor na incidente kako bi se ublažile posljedice značajnih kibernetičkih sigurnosnih incidenata i kibernetičkih sigurnosnih incidenata velikih razmjera, podržao inicijalni oporavak ili ponovno uspostavile osnovne funkcionalnosti usluga koje pružaju subjekti koji djeluju u sektorima visoke kritičnosti ili subjekti koji posluju u drugim kritičnim sektorima.

(34)

U okviru djelovanja u području pripravnosti, radi promicanja dosljednog pristupa i jačanja sigurnosti u cijeloj Uniji i na njezinu unutarnjem tržištu, trebalo bi pružiti potporu testiranju i procjeni kibernetičke sigurnosti subjekata koji djeluju u sektorima visoke kritičnosti utvrđenima u skladu s Direktivom (EU) 2022/2555, na koordiniran način, uključujući preko vježbi i osposobljavanja. U tu bi svrhu Komisija, nakon savjetovanja s ENISA-om, skupinom za suradnju NIS i mrežom EU-CyCLONe, trebala redovito utvrđivati relevantne sektore ili podsektore koji bi trebali biti prihvatljivi za primanje financijske potpore za koordinirano testiranje pripravnosti na razini Unije. Sektore ili podsektore trebalo bi odabrati iz sektora visoke kritičnosti navedenih u Prilogu I. Direktivi (EU) 2022/2555. Koordinirano testiranje pripravnosti trebalo bi se temeljiti na zajedničkim scenarijima rizika i metodologijama. Pri odabiru sektora i razvoju scenarija rizika trebalo bi uzeti u obzir relevantne procjene rizika i scenarije rizika na razini Unije, uključujući potrebu za izbjegavanjem udvostručavanja, kao što su procjena rizika i scenariji rizika zatraženi u Zaključcima Vijeća o razvoju razine kibernetičke sigurnosti Europske unije u pogledu kiberprostora koje provode Komisija, Visoki predstavnikom Unije za vanjske poslove i sigurnosnu politiku („Visoki predstavnik”) i skupina za suradnju NIS, u koordinaciji s relevantnim civilnim i vojnim tijelima i agencijama te uspostavljenim mrežama, uključujući mrežu EU-CyCLONe, kao i procjena rizika komunikacijskih mreža i infrastruktura koju je zatražila Zajednička ministarska skupina u Neversu i koju je provela skupina za suradnju NIS, uz potporu Komisije i ENISA-e te u suradnji s Tijelom europskih regulatora za elektroničke komunikacije osnovanog Uredbom (EU) 2018/1971 Europskog parlamenta i Vijeća (18), koordinirane procjene rizika ključnih lanaca opskrbe na razini Unije koja se provodi na temelju članka 22. Direktive (EU) 2022/2555 i testiranje digitalne operativne otpornosti predviđeno Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća (19). Pri odabiru sektora trebalo bi uzeti u obzir i Preporuku Vijeća o koordiniranom pristupu na razini Unije za jačanje otpornosti kritične infrastrukture.

(35)

Osim toga, mehanizmom za izvanredne kibernetičke sigurnosne situacije trebala bi se pružati potpora drugim djelovanjima u području pripravnosti i podupirati pripravnost u drugim sektorima koji nisu obuhvaćeni koordiniranim testiranjem pripravnosti subjekata koji djeluju u sektorima visoke kritičnosti ili subjekata koji djeluju u drugim kritičnim sektorima. Ta bi djelovanja mogla uključivati različite vrste aktivnosti u području nacionalne pripravnosti.

(36)

Kada države članice prime bespovratna sredstva za potporu djelovanjima u području pripravnosti, subjekti u sektorima visoke kritičnosti mogu dobrovoljno sudjelovati u tim djelovanjima. Dobra je praksa da nakon takvih djelovanja subjekti koji sudjeluju sastave korektivni plan za provedbu svih preporuka za poduzimanje posebnih mjera koje iz toga proizlaze kako bi imali što više koristi od tog djelovanja u području pripravnosti. Iako je važno da države članice u okviru djelovanja zatraže da subjekti koji sudjeluju sastave i provedu takve korektivne planove, države članice ova Uredba ne obvezuje niti ovlašćuje za izvršavanje takvih zahtjeva. Takvim zahtjevima ne dovode se u pitanje zahtjevi za subjekte i nadzorne ovlasti nadležnih tijela u skladu s Direktivom (EU) 2022/2555.

(37)

Mehanizmom za izvanredne kibernetičke sigurnosne situacije trebala bi se pružati i potpora mjerama za odgovor na incidente kako bi se ublažio učinak značajnih kibernetičkih sigurnosnih incidenata, kibernetičkih sigurnosnih incidenata velikih razmjera i kibernetičkih sigurnosnih incidenata ekvivalentnih kibernetičkom incidentu velikih razmjera, podržao inicijalni oporavak ili ponovno uspostavilo funkcioniranje ključnih usluga. Prema potrebi, njime bi se trebao dopuniti Mehanizam Unije za civilnu zaštitu kako bi se osigurao sveobuhvatan odgovor na učinak incidenata na građane.

(38)

Mehanizmom za izvanredne kibernetičke sigurnosne situacije trebala bi se podupirati tehnička pomoć koju jedna država članica pruža drugoj državi članici pogođenoj značajnim kibernetičkim sigurnosnim incidentom ili kibernetičkim sigurnosnim incidentom velikih razmjera, uključujući CSIRT-ove iz članka 11. stavka 3. točke (f) Direktive (EU) 2022/2555. Državama članicama koje pružaju takvu pomoć trebalo bi dopustiti podnošenje zahtjeva za pokrivanje troškova povezanih sa slanjem timova stručnjaka u okviru pružanja uzajamne pomoći. Prihvatljivi troškovi mogli bi uključivati putne troškove, troškove smještaja i dnevnice stručnjaka za kibernetičku sigurnost.

(39)

S obzirom na ključnu ulogu koju privatna poduzeća imaju u otkrivanju kibernetičkih sigurnosnih incidenata velikih razmjera i kibernetičkih sigurnosnih incidenata ekvivalentnih kibernetičkom sigurnosnom incidentu velikih razmjera te pripravnosti i odgovoru na njih, važno je prepoznati vrijednost dobrovoljne pro bono suradnje s takvim poduzećima, pri čemu ona nude usluge bez naknade u slučaju kibernetičkih sigurnosnih incidenata i velikih razmjera i krizama te kibernetičkih sigurnosnih incidenata i kriza ekvivalentnih kibernetičkim sigurnosnim incidentima i krizama velikih razmjera. ENISA bi u suradnji s mrežom EU-CyCLONe mogla pratiti razvoj takvih pro bono inicijativa i promicati njihovu usklađenost s kriterijima koji se primjenjuju na pouzdane pružatelje upravljanih sigurnosnih usluga u skladu s ovom Uredbom, među ostalim u pogledu pouzdanosti privatnih poduzeća, njihova iskustva i sposobnosti sigurnog postupanja s osjetljivim informacijama.

(40)

U okviru mehanizma za izvanredne kibernetičke sigurnosne situacije na razini Unije trebalo bi postupno uspostaviti pričuvu EU-a za kibernetičku sigurnost koja bi se sastojala od usluga pouzdanih pružatelja upravljanih sigurnosnih usluga kako bi se poduprli odgovor i pokrenula djelovanja za oporavak u slučaju značajnih kibernetičkih sigurnosnih incidenata, kibernetičkih sigurnosnih incidenata velikih razmjera ili kibernetičkih sigurnosnih incidenta ekvivalentnih kibernetičkom sigurnosnom incidentu velikih razmjera koji pogađaju države članice, institucije, tijela, urede ili agencije Unije ili treće zemlje pridružene programu Digitalna Europa. Pričuva EU-a za kibernetičku sigurnost trebala bi osigurati dostupnost i spremnost usluga. Stoga bi trebala uključivati usluge koje su preuzete unaprijed, uključujući, na primjer, kapacitete koji su u stanju pripravnosti i mogu se rasporediti u kratkom roku. Usluge iz pričuve EU-a za kibernetičku sigurnost trebale bi služiti kao potpora nacionalnim tijelima u pružanju pomoći pogođenim subjektima koji djeluju u sektorima visoke kritičnosti ili pogođenim subjektima koji djeluju u drugim sektorima kritičnim sektorima kao nadopuna njihovim vlastitim djelovanjima na nacionalnoj razini. Usluge iz pričuve EU-a za kibernetičku sigurnost trebale bi moći služiti i za potporu institucijama, tijelima, uredima i agencijama Unije pod sličnim uvjetima. Pričuva EU-a za kibernetičku sigurnost mogla bi pridonijeti i jačanju konkurentnog položaja industrije i usluga u Uniji u cijelom digitalnom gospodarstvu, uključujući mikropoduzeća te mala i srednja poduzeća te novoosnovana poduzeća, među ostalim pružanjem poticaja za ulaganja u istraživanje i inovacije. Pri nabavi usluga za pričuvu EU-a za kibernetičku sigurnost važno je uzeti u obzir ENISA-in Europski okvir vještina u području kibernetičke sigurnosti. Pri podnošenju zahtjeva za potporu iz pričuve EU-a za kibernetičku sigurnost korisnici bi u svoj zahtjev trebali uključiti odgovarajuće informacije o pogođenom subjektu i mogućem učinku, informacije o zatraženoj usluzi iz pričuve EU-a za kibernetičku sigurnost, i vrstu potpore pruženu pogođenom subjektu na nacionalnoj razini, koju bi trebalo uzeti u obzir pri procjeni podnositeljeva zahtjeva. Kako bi se osigurala komplementarnost s drugim oblicima potpore koji su dostupni pogođenom subjektu, zahtjev bi također trebao uključivati, ako su dostupne, informacije o uspostavljenim ugovornim aranžmanima za usluge za odgovor na incidente i inicijalni oporavak, kao i ugovore o osiguranju koji bi mogli obuhvaćati takvu vrstu incidenta.

(41)

Kako bi se osigurala djelotvorna upotreba financijskih sredstava Unije, prethodno namijenjene usluge u okviru pričuve EU-a za kibernetičku sigurnost trebalo bi, u skladu s relevantnim ugovorom, pretvoriti u usluge pripravnosti povezane sa sprečavanjem incidenata i odgovorom na njih, u slučaju da se te usluge za koje su prethodno namijenjene usluge ne upotrebljavaju za odgovor na incidente tijekom razdoblja za koje su prethodno namijenjene. Te bi usluge trebale biti komplementarne te ne bi trebale duplicirati djelovanja u području pripravnosti kojima upravlja ECCC.

(42)

Zahtjeve za potporu iz pričuve EU-a za kibernetičku sigurnost od tijela država članica za upravljanje kibernetičkim krizama i CSIRT-ova, ili CERT-EU-a, u ime institucija, tijela, ureda i agencija Unije trebao bi ocjenjivati javni naručitelj. Ako je ENISA-i povjereno upravljanje pričuvom EU-a za kibernetičku sigurnost i njezino djelovanje, ENISA je taj javni naručitelj. Komisija bi trebala ocijeniti zahtjeve trećih zemalja pridruženih programu Digitalna Europa za potporu. Kako bi se olakšalo podnošenje i procjena zahtjeva za potporu, ENISA bi mogla uspostaviti sigurnu platformu.

(43)

Ako se zaprimi više istodobnih zahtjeva, tim bi zahtjevima trebalo dati prednost u skladu s kriterijima utvrđenima u ovoj Uredbi. S obzirom na opće ciljeve ove Uredbe, ti bi kriteriji trebali uključivati razmjer i ozbiljnost incidenta, vrstu pogođenog subjekta, mogući učinak incidenta na pogođene države članice i korisnike, moguću prekograničnu prirodu incidenta i rizik od širenja, kao i mjere koje je korisnik već poduzeo kako bi pomogao u odgovoru i inicijalnom oporavku. S obzirom na te iste ciljeve i s obzirom na to da su zahtjevi korisnika iz država članica namijenjeni isključivo pružanju potpore u cijeloj Uniji subjektima koji djeluju u sektorima visoke kritičnosti ili subjektima koji djeluju u drugim kritičnim sektorima, primjereno je dati veći prioritet zahtjevima država članica ako ti kriteriji dovode do toga da se dva ili više zahtjeva ocijene jednakima. Time se ne dovode u pitanje obveze koje države članice mogu imati na temelju relevantnih ugovora o smještaju da poduzmu mjere za zaštitu i pomoć institucijama, tijelima, uredima i agencijama Unije.

(44)

Komisija bi općenito trebala biti odgovorna za provedbu pričuve EU-a za kibernetičku sigurnost. S obzirom na bogato iskustvo koje je ENISA stekla u pogledu djelovanja za potporu kibernetičkoj sigurnosti, ENISA je najprikladnija agencija za provedbu pričuve EU-a za kibernetičku sigurnost. Stoga bi Komisija ENISA-i trebala povjeriti rad pričuve EU-a za kibernetičku sigurnost i upravljanje njome djelomično ili, ako to Komisija smatra primjerenim, u cijelosti. Povjeravanje bi se trebalo provoditi u skladu s primjenjivim pravilima iz Uredbe (EU, Euratom) 2024/2509, a posebno bi trebalo podlijegati ispunjenju relevantnih uvjeta za potpisivanje sporazuma o doprinosu. Svi aspekti rada pričuve EU-a za kibernetičku sigurnost i upravljanja njome koji nisu povjereni ENISA-i trebali bi podlijegati izravnom upravljanju Komisije, među ostalim i prije potpisivanja sporazuma o doprinosu.

(45)

Države članice trebale bi imati ključnu ulogu u uspostavi, uvođenju i nakon uvođenja pričuve EU-a za kibernetičku sigurnost. Budući da je Uredba (EU) 2021/694 relevantan temeljni akt za djelovanja za provedbu pričuve EU-a za kibernetičku sigurnost, djelovanja u okviru pričuve EU-a za kibernetičku sigurnost trebalo bi predvidjeti u programima rada iz članka 24. Uredbe (EU) 2021/694. Na temelju stavka 6. tog članka Komisija te programe donosi provedbenim aktima u skladu s postupkom ispitivanja. Nadalje, Komisija bi u suradnji sa skupinom za suradnju NIS trebala utvrditi prioritete i razvoj pričuve EU-a za kibernetičku sigurnost.

(46)

Ugovori sklopljeni u okviru pričuve EU-a za kibernetičku sigurnost ne bi trebali utjecati na odnos među poduzećima i već postojeće obveze između zahvaćenog subjekta ili korisnika i pružatelja usluga.

(47)

U svrhu odabira privatnih pružatelja usluga koji će pružati usluge u kontekstu pričuve EU-a za kibernetičku sigurnost potrebno je utvrditi skup minimalnih kriterija i zahtjeva koje bi trebalo uključiti u poziv na podnošenje ponuda za odabir tih pružatelja, kako bi se osiguralo da su ispunjene potrebe tijela država članica, subjekata koji djeluju u sektorima visoke kritičnosti ili subjekata koji djeluju u drugim kritičnim sektorima. Kako bi se odgovorilo na posebne potrebe država članica, pri nabavi usluga za pričuvu EU-a za kibernetičku sigurnost, javni naručitelj trebao bi, prema potrebi, razviti kriterije za odabir i zahtjeve dodatne uz one utvrđene u ovoj Uredbi. Važno je poticati sudjelovanje manjih pružatelja usluga aktivnih na regionalnoj i lokalnoj razini.

(48)

Pri odabiru pružatelja za uključivanje u pričuvu EU-a za kibernetičku sigurnost javni naručitelj trebao bi nastojati osigurati da pričuva EU-a za kibernetičku sigurnost, kad se promatra kao cjelina, sadržava pružatelje koji mogu ispuniti jezične zahtjeve korisnika. U tu bi svrhu javni naručitelj prije pripreme natječajnih specifikacija trebao ispitati imaju li potencijalni korisnici pričuve EU-a za kibernetičku sigurnost posebne jezične zahtjeve kako bi se usluge potpore u okviru pričuve EU-a za kibernetičku sigurnost mogle pružati na jednom od službenih jezika institucija Unije ili država članica koji će pogođeni korisnik ili subjekt vjerojatno razumjeti. Ako korisnik za pružanje usluga potpore u okviru pričuve EU-a za kibernetičku sigurnost zahtijeva više od jednog jezika, a te su usluge nabavljene za tog korisnika na tim jezicima, korisnik bi u zahtjevu za pričuvnu potporu trebao moći navesti na kojem bi od tih jezika usluge trebalo pružati u vezi s konkretnim incidentom zbog kojeg je podnesen zahtjev.

(49)

Kako bi pridonijela uspostavi pričuve EU-a za kibernetičku sigurnost, važno je da Komisija od ENISA-e zatraži izradu prijedloga programa kibernetičke sigurnosne certifikacije kandidata na temelju Uredbe (EU) 2019/881 u područjima obuhvaćenima mehanizmom za izvanredne kibernetičke sigurnosne situacije.

(50)

Kako bi se poduprli ciljevi ove Uredbe koji se odnose na promicanje zajedničke informiranosti o stanju, jačanje otpornosti Unije i omogućivanje djelotvornog odgovora na značajne kibernetičke sigurnosne incidente i kibernetičke sigurnosne incidente velikih razmjera, Komisija ili mreža EU-CyCLONe trebali bi moći zatražiti od ENISA-e, uz potporu mreže CSIRT-ova i uz odobrenje dotične države članice, da istraži i procijeni kibernetičke prijetnje, poznate iskoristive ranjivosti i mjere ublažavanja s obzirom na određeni značajni kibernetički sigurnosni incident ili kibernetički sigurnosni incidentom velikih razmjera. Nakon završetka istraživanja i procjenjivanja incidenta ENISA bi trebala pripremiti izvješće o istraživanju incidenta u suradnji s dotičnom državom članicom, relevantnim dionicima, uključujući predstavnike iz privatnog sektora, Komisijom i drugim relevantnim institucijama, tijelima, uredima i agencije Unije. Na temelju suradnje s dionicima, uključujući privatni sektor, izvješće o istraživanju određenih incidenata trebalo bi biti usmjereno na procjenu uzroka, učinka i ublažavanje posljedica incidenta nakon što se on dogodio. Posebnu pozornost trebalo bi posvetiti informacijama i iskustvima koje dijele pružatelji upravljanih sigurnosnih usluga koji ispunjavaju uvjete najvišeg profesionalnog integriteta, nepristranosti i potrebnog tehničkog stručnog znanja u skladu s ovom Uredbom. Izvješće bi trebalo dostaviti mreži EU-CyCLONe, mreži CSIRT-ova i Komisiji te bi ih oni trebali uzeti u obzir u svojem radu i radu ENISA-e. Ako se incident odnosi na treću zemlju pridruženu programu Digitalna Europa, Komisija bi izvješće trebala dostaviti i Visokom predstavniku.

(51)

Uzimajući u obzir nepredvidivu prirodu kibernetičkih napada i činjenicu da ti napadi često nisu ograničeni na određeno zemljopisno područje te da postoji visok rizik od širenja, jačanje otpornosti susjednih zemalja i njihove sposobnosti da djelotvorno odgovore na značajne kibernetičke sigurnosne incidente i kibernetičke sigurnosne incidente ekvivalentne kibernetičkom sigurnosnom incidentu velikih razmjera doprinosi zaštiti Unije, a posebno njezina unutarnjeg tržišta i industrije, u cjelini. Takve aktivnosti mogle bi dodatno doprinijeti kibernetičkoj diplomaciji Unije. Stoga bi treće zemlje pridružene programu Digitalna Europa trebale moći primiti potporu iz pričuve EU-a za kibernetičku sigurnost na cijelom svojem državnom području ili dijelu njihova državnog područja ako je to predviđeno sporazumom kojim je ta treća zemlja pridružena programu Digitalna Europa. Unija bi trebala podupirati financiranje trećih zemalja pridruženih programu Digitalna Europa u okviru relevantnih partnerstava i instrumenata financiranja za te zemlje. Potpora bi trebala obuhvaćati usluge za odgovor na značajne kibernetičke sigurnosne incidente ili kibernetičke sigurnosne incidente ekvivalentne kibernetičkom sigurnosnom incidentu velikih razmjera te započinjanje oporavka od njih.

(52)

Uvjeti za pričuvu EU-a za kibernetičku sigurnost i pouzdane pružatelje upravljanih sigurnosnih usluga utvrđeni u ovoj Uredbi trebali bi se primjenjivati pri pružanju potpore trećim zemljama pridruženima programu Digitalna Europa. Treće zemlje pridružene programu Digitalna Europa trebale bi moći zatražiti potporu iz pričuve EU-a za kibernetičku sigurnost ako su ciljani subjekti za koje traže potporu iz pričuve EU-a za kibernetičku sigurnost subjekti koji djeluju u sektorima visoke kritičnosti ili subjekti koji djeluju u drugim kritičnim sektorima i ako otkriveni incidenti dovode do znatnih poremećaja u radu ili bi mogli imati učinke širenja u Uniji. Treće zemlje pridružene programu Digitalna Europa trebale bi biti prihvatljive za primanje potpore samo ako je takva potpora izričito predviđena sporazumom kojim su pridružene programu Digitalna Europa. Osim toga, takve treće zemlje trebale bi ostati prihvatljive samo ako su ispunjena tri kriterija. Prvo, treća zemlja trebala bi u potpunosti poštovati relevantne uvjete tog sporazuma. Drugo, s obzirom na komplementarnu prirodu pričuve EU-a za kibernetičku sigurnost, treća zemlja trebala je poduzeti odgovarajuće korake za pripremu za značajne kibernetičke sigurnosne incidente ili kibernetičke sigurnosne incidente velikih razmjera. Treće, pružanje potpore iz pričuve EU-a za kibernetičku sigurnost trebalo bi biti u skladu s politikom Unije prema toj zemlji i sveukupnim odnosima s tom zemljom te u skladu s drugim politikama Unije u području sigurnosti. U kontekstu svoje procjene usklađenosti s tim trećim kriterijem Komisija bi se trebala savjetovati s Visokim predstavnikom radi usklađivanja dodjele takve potpore sa zajedničkom vanjskom i sigurnosnom politikom.

(53)

Pružanje potpore trećim zemljama pridruženima programu Digitalna Europa može utjecati na odnose s trećim zemljama i sigurnosnu politiku Unije, među ostalim u kontekstu zajedničke vanjske i sigurnosne politike te zajedničke obrambene i sigurnosne politike. Stoga je primjereno da se Vijeću dodijele provedbene ovlasti za odobravanje i određivanje razdoblja tijekom kojeg se takva potpora može pružiti. Vijeće bi trebalo djelovati na temelju prijedloga Komisije, uzimajući u obzir Komisijinu procjenu triju kriterija. Isto bi trebalo vrijediti i za produljenja i za prijedloge za izmjenu ili ostavljanje izvan snage takvih akata. Ako u iznimnim okolnostima Vijeće smatra da je došlo do znatne promjene okolnosti u odnosu na treći kriterij, Vijeće bi trebalo moći djelovati na vlastitu inicijativu radi izmjene ili stavljanja izvan snage akta, a da ne čeka prijedlog Komisije. Takve znatne promjene vjerojatno će zahtijevati hitno djelovanje koje će imati posebno važne posljedice za odnose s trećim zemljama i neće zahtijevati prethodnu detaljnu procjenu Komisije. Nadalje, Komisija bi trebala surađivati s Visokim predstavnikom u pogledu zahtjeva za potporu trećih zemalja pridruženih programu Digitalna Europa i provedbi potpore koja se odobrava takvim trećim zemljama. Komisija bi trebala uzeti u obzir i sva stajališta ENISA-e o tim zahtjevima i potpori. Komisija bi trebala obavijestiti Vijeće o ishodu procjene zahtjeva, uključujući relevantna razmatranja u tom pogledu, i o uslugama koje se uvode.

(54)

U komunikaciji Komisije od 18. travnja 2023. o Akademiji za vještine u području kibersigurnosti prepoznat je nedostatak kvalificiranih stručnjaka. Takve su vještine potrebne za postizanje ciljeva ove Uredbe. Uniji su hitno potrebni stručnjaci s vještinama i kompetencijama za sprečavanje, otkrivanje, odvraćanje od kibernetičkih napada i obranu Unije, među ostalim njezine najkritičnije infrastrukture, od takvih napada i osiguravanja njezine otpornosti. U tu je svrhu važno poticati suradnju među dionicima, uključujući iz privatnog sektora, akademske zajednice i javnog sektora. Jednako je važno stvoriti sinergije na svim područjima Unije kako bi se ulaganjem u obrazovanje i osposobljavanje promicalo stvaranje zaštitnih mjera kako bi se izbjegao odljev mozgova ili povećavanje nedostatka vještina u nekim regijama ne poveća više nego u drugima. Hitno je potrebno premostiti nedostatak vještina u području kibernetičke sigurnosti, s posebnim naglaskom na smanjenju rodnog jaza u radnoj snazi u području kibernetičke sigurnosti kako bi se promicala prisutnost i sudjelovanje žena u osmišljavanju digitalnog upravljanja.

(55)

Kako bi se potaknule inovacije na jedinstvenom digitalnom tržištu, važno je ojačati istraživanja i inovacije u području kibernetičke sigurnosti radi doprinošenja povećanju otpornosti država članica i otvorenoj strateškoj autonomiji Unije, što su ciljevi ove Uredbe. Sinergije su ključne za jačanje suradnje i koordinacije među različitim dionicima, uključujući iz privatnog sektora, civilnog društva i akademske zajednice.

(56)

Ovom bi se Uredbom trebala uzeti u obzir obveza iz zajedničke deklaracije od 26. siječnja 2022. Europskog parlamenta, Vijeća i Komisije pod naslovom „Europska deklaracije o digitalnim pravima i načelima za digitalno desetljeće” koja je povezana sa zaštitom interesa demokracija, ljudi, poduzeća i javnih institucija u Uniji od kibernetičkih sigurnosnih rizika i kibernetičkog kriminaliteta, uključujući povrede podataka i krađu identiteta ili manipulaciju njime.

(57)

Kako bi se dopunili određeni elementi ove Uredbe koji nisu ključni, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a kako bi se utvrdile vrste i broj usluga odgovora potrebnih za pričuvu EU-a za kibernetičku sigurnost. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. (20). Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(58)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe, Komisiji bi trebalo dodijeliti provedbene ovlasti za dodatno utvrđivanje detaljnih postupovnih aranžmana za dodjelu usluga potpore pričuve EU-a za kibernetičku sigurnost. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (21).

(59)

Ne dovodeći u pitanje pravila koja se odnose na godišnji proračun Unije u skladu s Ugovorima, Komisija bi pri procjeni proračunskih i kadrovskih potreba ENISA-e trebala uzeti u obzir obveze koje proizlaze iz ove Uredbe.

(60)

Komisija bi trebala redovito provoditi evaluaciju mjera utvrđenih u ovoj Uredbi. Prva takva evaluacija trebala bi se provesti u prve dvije godine od datuma stupanja na snagu ove Uredbe i najmanje svake četiri godine nakon toga, uzimajući u obzir vrijeme revizije višegodišnjeg financijskog okvira uspostavljenog u skladu s člankom 312. UFEU-a. Komisija bi trebala podnijeti izvješće o postignutom napretku Europskom parlamentu i Vijeću. Kako bi procijenila različite potrebne elemente, uključujući opseg informacija koje se razmjenjuju u okviru europskog sustava uzbunjivanja u području kibernetičke sigurnosti, Komisija bi se trebala osloniti isključivo na informacije koje su lako dostupne ili dobrovoljno pružene. Uzimajući u obzir geopolitička kretanja i kako bi se osigurao kontinuitet i daljnji razvoj mjera utvrđenih u ovoj Uredbi nakon 2027., važno je da Komisija procijeni potrebu za dodjelom odgovarajućih sredstava u višegodišnjem financijskom okviru za razdoblje od 2028. do 2034.

(61)

S obzirom na to da ciljeve ove Uredbe, odnosno jačanje konkurentnog položaja industrije i usluga u Uniji u cijelom digitalnom gospodarstvu te doprinos tehnološkoj suverenosti i otvorenoj strateškoj autonomiji Unije, ne mogu dostatno ostvariti države članice, nego se oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenom u članku 5. UEU-a. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva,