EIROPAS KOMISIJA
Strasbūrā, 18.4.2023
COM(2023) 208 final
2023/0108(COD)
Priekšlikums
EIROPAS PARLAMENTA UN PADOMES REGULA,
ar ko attiecībā uz pārvaldītiem drošības pakalpojumiem groza Regulu (ES) 2019/881
(Dokuments attiecas uz EEZ)
EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
You are here
Document 52023PC0208
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) 2019/881 as regards managed security services
Priekšlikums EIROPAS PARLAMENTA UN PADOMES REGULA, ar ko attiecībā uz pārvaldītiem drošības pakalpojumiem groza Regulu (ES) 2019/881
Priekšlikums EIROPAS PARLAMENTA UN PADOMES REGULA, ar ko attiecībā uz pārvaldītiem drošības pakalpojumiem groza Regulu (ES) 2019/881
COM/2023/208 final
- Date of document:
- 18/04/2023
- Date of dispatch:
- 18/04/2023; Nosūtīts Padomei
- Date of dispatch:
- 18/04/2023; Nosūtīts Parlamentam
- Date of end of validity:
- No end date
- Author:
- Eiropas Komisija, Komunikācijas tīklu, satura un tehnoloģiju ģenerāldirektorāts
- Responsible body:
- CNECT
- Form:
- Regulas priekšlikums
- Additional information:
- Attiecas uz EEZ
- Procedure number:
- Link
- European Parliament - Legislative observatory
- Treaty:
- Līgums par Eiropas Savienības darbību
- Legal basis:
- Link
- Link
- Link
- Select all documents mentioning this document
- Earlier related instruments:
-
- 32019R0881 Proposal to amend
- Subsequent related instruments:
-
- ESC Opinion 52023AE2408
- Instruments cited:
- EUROVOC descriptor:
- Subject matter:
- Directory code:
Language
HTML
DOC
PDF
PASKAIDROJUMA RAKSTS
1.PRIEKŠLIKUMA KONTEKSTS
•Priekšlikuma pamatojums un mērķi
Šis paskaidrojuma raksts ir pievienots priekšlikumam Eiropas Parlamenta un Padomes regulai, ar ko attiecībā uz pārvaldītiem drošības pakalpojumiem groza Regulu (ES) 2019/881 1 .
Ierosinātā mērķorientētā grozījuma mērķis ir ar Komisijas īstenošanas aktiem ļaut papildus Kiberdrošības aktā jau ietvertajiem informācijas un komunikācijas tehnoloģijas (IKT) produktiem, IKT pakalpojumiem un IKT procesiem pieņemt Eiropas kiberdrošības sertifikācijas shēmas “pārvaldītiem drošības pakalpojumiem”. Kiberincidentu novēršanā un mazināšanā pārvaldītu drošības pakalpojumu nozīme arvien palielinās.
Padome 2022. gada 23. maija secinājumos 2 par Eiropas Savienības pozīcijas kiberjautājumos izstrādi aicināja Savienību un tās dalībvalstis pastiprināt centienus paaugstināt vispārējo kiberdrošības līmeni, piemēram, veicinot uzticamu kiberdrošības pakalpojumu sniedzēju darbības sākšanu, un uzsvēra, ka šādu pakalpojumu sniedzēju darbības attīstības veicināšanai vajadzētu būt Savienības industriālās politikas prioritātei kiberdrošības jomā. Tā arī aicināja Komisiju ierosināt risinājumus, kas veicina uzticamas kiberdrošības pakalpojumu nozares veidošanos. Pārvaldītu drošības pakalpojumu sertifikācija ir efektīvs līdzeklis, kas vairo uzticēšanos minēto pakalpojumu kvalitātei un tādējādi veicina uzticamas Eiropas kiberdrošības pakalpojumu nozares veidošanos.
Kopīgajā paziņojumā “ES kiberaizsardzības politika”, ko Komisija un Augstais pārstāvis pieņēma 2022. gada 10. novembrī 3 , tika paziņots, ka Komisija izpētīs iespējas izstrādāt ES līmeņa kiberdrošības sertifikācijas shēmas kiberdrošības nozarei un privātiem uzņēmumiem. Arī pārvaldītu drošības pakalpojumu sniedzējiem būs svarīga loma ES līmeņa kiberdrošības rezervēs, kuru pakāpenisku izveidi atbalsta Kiberdrošības solidaritātes akts, kas ierosināts vienlaikus ar šo regulu. ES līmeņa kiberdrošības rezerves izmanto, lai ievērojamu un plašu kiberincidentu gadījumā atbalstītu reaģēšanas un tūlītējas atkopšanas darbības. Relevantie kiberdrošības pakalpojumi, ko sniedz Kiberdrošības solidaritātes aktā minētie “uzticamie pakalpojumu sniedzēji”, šajā priekšlikumā atbilst “pārvaldītiem drošības pakalpojumiem”.
Dažas dalībvalstis jau ir sākušas pieņemt pārvaldīto drošības pakalpojumu sertifikācijas shēmas. Savienībā kiberdrošības sertifikācijas shēmas nav konsekventas, tāpēc palielinās pārvaldīto drošības pakalpojumu iekšējā tirgus sadrumstalotības risks. Lai šādu sadrumstalotību novērstu, šis priekšlikums rada priekšnosacījumus minēto pakalpojumu Eiropas kiberdrošības sertifikācijas shēmu izveidei.
•Saskanība ar pašreizējiem noteikumiem konkrētajā politikas jomā
Šis priekšlikums ir saderīgs ar Kiberdrošības aktu, kuru ar to groza. Tas balstās uz minētās regulas noteikumiem un pielāgo tos, lai iekļautu arī pārvaldītus drošības pakalpojumus. Ierosinātie grozījumi attiecas tikai uz to, kas ir absolūti nepieciešams, un nemaina Kiberdrošības akta būtību vai darbību.
Priekšlikums ir saderīgs arī ar Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) 4 . Pārvaldītu drošības pakalpojumu sniedzēji uzskatāmi par būtiskām vai svarīgām vienībām, kas saskaņā ar Direktīvu (ES) 2022/2555 pieskaitāmas sevišķi kritiskām nozarēm. Minētās direktīvas 86. apsvērumā noteikts, ka pārvaldītu drošības pakalpojumu sniedzēji tādās jomās kā reaģēšana uz incidentiem, ielaušanās testēšana, drošības revīzijas un konsultācijas pilda īpaši svarīgu lomu, palīdzēdami vienībām to centienos novērst, atklāt incidentus, reaģēt uz tiem vai atkopties no tiem. Tomēr arī pārvaldītu drošības pakalpojumu sniedzēji ir bijuši kiberuzbrukumu mērķis un rada īpašu risku, jo ir cieši iesaistīti savu klientu darbībās. Tāpēc būtiskām un svarīgām vienībām Direktīvas (ES) 2022/2555 nozīmē, izvēloties pārvaldīta drošības pakalpojuma sniedzēju, būtu jāievēro īpaša piesardzība.
Šā priekšlikuma mērķis ir uzlabot pārvaldītu drošības pakalpojumu kvalitāti un paaugstināt to salīdzināmību. Tādējādi tas ļauj būtiskām un svarīgām vienībām, izvēloties pārvaldīta drošības pakalpojuma sniedzēju, ievērot īpašu piesardzību, kā noteikts Direktīvā (ES) 2022/2555. Turklāt “pārvaldītu drošības pakalpojumu” definīcija šajā priekšlikumā ir atvasināta no “pārvaldītu drošības pakalpojumu sniedzēju” definīcijas Direktīvā (ES) 2022/2555 un ir ļoti līdzīga tai. Šo iemeslu dēļ priekšlikums lielā mērā papildina TID 2 direktīvu.
Visbeidzot, šis priekšlikums papildina ierosināto Kiberdrošības solidaritātes aktu. Ierosinātajā Kiberdrošības solidaritātes aktā ir noteikts process pakalpojumu sniedzēju atlasei, lai izveidotu ES līmeņa kiberdrošības rezerves, kurās cita starpā būs jāņem vērā tas, vai šie pakalpojumu sniedzēji ir ieguvuši Eiropas vai valsts kiberdrošības sertifikāciju. Tādējādi pārvaldīto drošības pakalpojumu sertifikācijas shēmām turpmāk būs būtiska nozīme Kiberdrošības solidaritātes akta īstenošanā.
•Saskanība ar citām Savienības politikas jomām
Šis priekšlikums neietekmē Kiberdrošības akta atbilstību Regulai (ES) 2016/679 (Vispārīgā datu aizsardzības regula, “VDAR”) 5 un tās noteikumiem par sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu izveidi, lai uzskatāmi parādītu pārziņu un apstrādātāju veikto apstrādes darbību atbilstību minētajai regulai. Kiberdrošības akts neskar datu apstrādes darbību sertifikāciju, arī tad, kad šādas darbības saskaņā ar VDAR ir iestrādātas produktos un pakalpojumos.
Turklāt šis priekšlikums neietekmē Kiberdrošības akta saderību ar Regulu (EK) Nr. 765/2008 6 par akreditācijas un tirgus uzraudzības prasībām, it īpaši attiecībā uz valsts akreditācijas struktūru un atbilstības novērtēšanas struktūru satvaru un valsts sertifikācijas uzraudzības iestādēm.
2.JURIDISKAIS PAMATS, SUBSIDIARITĀTE UN PROPORCIONALITĀTE
•Juridiskais pamats
Ar šo priekšlikumu groza Kiberdrošības aktu, kura pamatā ir Līguma par Eiropas Savienības darbību (LESD) 114. pants. Tāpat kā Kiberdrošības akta gadījumā šā priekšlikuma mērķis ir izvairīties no iekšējā tirgus sadrumstalotības, proti, ļaut pieņemt Eiropas kiberdrošības sertifikācijas shēmas pārvaldītiem drošības pakalpojumiem. Dalībvalstis jau ir sākušas pieņemt nacionālās pārvaldīto drošības pakalpojumu sertifikācijas shēmas. Tādējādi attiecībā uz šiem pakalpojumiem pastāv konkrēts iekšējā tirgus sadrumstalotības risks, ko paredzēts novērst ar šo priekšlikumu. Tāpēc šīs iniciatīvas relevantais juridiskais pamats ir LESD 114. pants.
•Subsidiaritāte (neekskluzīvas kompetences gadījumā)
Mērķi – ļaut pieņemt Eiropas kiberdrošības sertifikācijas shēmas pārvaldītiem drošības pakalpojumiem un izvairīties no iekšējā tirgus sadrumstalotības – var sasniegt nevis valstu līmenī, bet gan tikai Savienības līmenī. Turklāt pārvaldītos drošības pakalpojumus, uz kuriem attiecas ierosinātais grozījums, piedāvā pakalpojumu sniedzēji, kas – tāpat kā to lielākie potenciālie klienti – darbojas visā Savienībā. Tāpēc rīcība Savienības līmenī ir gan nepieciešama, gan efektīvāka nekā rīcība valstu līmenī.
•Proporcionalitāte
Priekšlikums ir mērķorientēts Kiberdrošības akta grozījums. Tas attiecas tikai uz to, kas ir absolūti nepieciešams mērķa sasniegšanai, proti, ļaut pieņemt Eiropas kiberdrošības sertifikācijas shēmas ne tikai IKT produktiem, IKT pakalpojumiem un IKT procesiem, bet arī pārvaldītiem drošības pakalpojumiem. Ar ierosinātajiem grozījumiem pielāgo konkrēti Eiropas kiberdrošības sertifikācijas satvara darbības jomu, proti, tajā iekļauj “pārvaldītus drošības pakalpojumus”, ievieš minēto pakalpojumu definīciju saskaņā ar TID 2 direktīvu un groza Eiropas kiberdrošības sertifikācijas drošības mērķus, lai to pielāgotu “pārvaldītiem drošības pakalpojumiem”. Pārējie grozījumi ir tehniski, un to mērķis ir nodrošināt, ka relevantie panti tiek piemēroti arī “pārvaldītiem drošības pakalpojumiem”. Tādējādi ierosinātā iniciatīva ir samērīga ar mērķi.
•Juridiskā instrumenta izvēle
Tā kā ar priekšlikumu groza Regulu (ES) 2019/881, atbilstīgais juridiskais instruments ir regula.
3.EX POST IZVĒRTĒJUMU, APSPRIEŠANOS AR IEINTERESĒTAJĀM PERSONĀM UN IETEKMES NOVĒRTĒJUMU REZULTĀTI
•Ex post izvērtējumi / spēkā esošo tiesību aktu atbilstības pārbaudes
Neattiecas.
•Apspriešanās ar ieinteresētajām personām
Ir notikušas mērķorientētas apspriešanās ar dalībvalstīm un ENISA. Šajās apspriedēs dalībvalstis izklāstīja savas pašreizējās darbības un viedokļus par pārvaldītu drošības pakalpojumu sertifikāciju. ENISA izskaidroja savu viedokli un konstatējumus, kas gūti diskusijās ar dalībvalstīm un ieinteresētajām personām. Šajā priekšlikumā ir ņemti vērā no dalībvalstīm un ENISA saņemtie komentāri un informācija.
•Ekspertu atzinumu pieprasīšana un izmantošana
Neattiecas.
•Ietekmes novērtējums
Priekšlikums ir ļoti neliels un mērķorientēts Kiberdrošības akta grozījums, tāpēc ir pieprasīts atbrīvojums no nepieciešamības veikt ietekmes novērtējumu. Tas dos Komisijai pilnvaras ar īstenošanas aktiem papildus minētajā aktā jau ietvertajiem IKT produktiem, IKT pakalpojumiem un IKT procesiem pieņemt Eiropas kiberdrošības sertifikācijas shēmas “pārvaldītiem drošības pakalpojumiem”. Tomēr grozījuma ietekme būs vērojama tikai tad, kad šādas sertifikācijas shēmas vēlākā posmā tiks pieņemtas. Turklāt šis grozījums nemainīs sertifikācijas shēmu brīvprātīgo raksturu.
•Normatīvā atbilstība un vienkāršošana
Neattiecas.
•Pamattiesības
Šim priekšlikumam nav paredzamas ietekmes uz pamattiesību aizsardzību.
4.IETEKME UZ BUDŽETU
Nav.
5.CITI ELEMENTI
•Īstenošanas plāni un uzraudzīšanas, izvērtēšanas un ziņošanas kārtība
Ar priekšlikumu grozāmie noteikumi tiks izvērtēti Kiberdrošības akta periodiskajā izvērtēšanā, kas Komisijai jāveic saskaņā ar minētā akta 67. pantu. Izvērtēšanā novērtē arī kiberdrošības sertifikācijas satvara noteikumu ietekmi, efektivitāti un rezultativitāti attiecībā uz mērķiem, kas paredz nodrošināt IKT produktu, IKT pakalpojumu un IKT procesu pienācīgi augstu kiberdrošības līmeni Savienībā un uzlabot iekšējā tirgus darbību. Priekšlikumā ir iekļauts grozījums, kas nodrošina, ka izvērtēšana attiecas arī uz pārvaldītiem drošības pakalpojumiem. Komisija arī nosūta ziņojumu par izvērtēšanu un tās secinājumiem Eiropas Parlamentam, Padomei un ENISA Valdei un publisko ziņojuma konstatējumus.
•Detalizēts konkrētu priekšlikuma noteikumu skaidrojums
Priekšlikumam ir divi panti. 1. pantā ir ietverti Regulas (ES) 2019/881 grozījumi, savukārt 2. pants attiecas uz stāšanos spēkā. Priekšlikuma 1. pantā ir ietverti grozījumi, kuru mērķis ir Kiberdrošības aktā grozīt Eiropas kiberdrošības sertifikācijas satvara piemērošanas jomu, lai iekļautu “pārvaldītus drošības pakalpojumus” (Kiberdrošības akta 1. un 46. pants). Ar to ievieš minēto pakalpojumu definīciju, kas ir cieši saskaņota ar TID 2 direktīvā sniegto “pārvaldītu drošības pakalpojumu sniedzēju” definīciju (Kiberdrošības akta 2. pants). Tas arī pievieno jaunu 51.a pantu par Eiropas kiberdrošības sertifikācijas drošības mērķiem, kas pielāgoti “pārvaldītiem drošības pakalpojumiem”. Visbeidzot, priekšlikumā ir iekļauti vairāki tehniski grozījumi, kas nodrošina, ka relevantie panti attiecas arī uz “pārvaldītiem drošības pakalpojumiem”.
2023/0108 (COD)
Priekšlikums
EIROPAS PARLAMENTA UN PADOMES REGULA,
ar ko attiecībā uz pārvaldītiem drošības pakalpojumiem groza Regulu (ES) 2019/881
(Dokuments attiecas uz EEZ)
EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,
ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 114. pantu,
ņemot vērā Eiropas Komisijas priekšlikumu,
pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,
ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu,
ņemot vērā Reģionu komitejas atzinumu,
saskaņā ar parasto likumdošanas procedūru,
tā kā:
(1)Ar Eiropas Parlamenta un Padomes Regulu (ES) 2019/881 7 ir noteikts satvars, kurā jāizveido Eiropas kiberdrošības sertifikācijas shēmas, lai Savienībā IKT produktiem, IKT pakalpojumiem un IKT procesiem nodrošinātu pietiekami augstu kiberdrošības līmeni, kā arī nolūkā izvairīties no iekšējā tirgus sadrumstalotības attiecībā uz kiberdrošības sertifikācijas shēmām Savienībā.
(2)Pārvaldīti drošības pakalpojumi, proti, pakalpojumi, kas ietver tādu darbību veikšanu vai atbalstīšanu, kuras saistītas ar klientu kiberdrošības riska pārvaldību, kļūst arvien nozīmīgāki kiberincidentu novēršanā un mazināšanā. Respektīvi, saskaņā ar Eiropas Parlamenta un Padomes Direktīvu (ES) 2022/2555 8 minēto pakalpojumu sniedzēji tiek uzskatīti par būtiskām vai svarīgām vienībām, kas pieskaitāmas sevišķi kritiskām nozarēm. Saskaņā ar minētās direktīvas 86. apsvērumu pārvaldītu drošības pakalpojumu sniedzēji tādās jomās kā reaģēšana uz incidentiem, ielaušanās testēšana, drošības revīzijas un konsultācijas pilda īpaši svarīgu lomu, palīdzēdami vienībām to centienos novērst, atklāt incidentus, reaģēt uz tiem vai atkopties no tiem. Tomēr arī pārvaldītu pakalpojumu sniedzēji ir bijuši kiberuzbrukumu mērķis un rada īpašu risku, jo ir cieši iesaistīti savu klientu darbībās. Tāpēc būtiskām un svarīgām vienībām Direktīvas (ES) 2022/2555 nozīmē, izvēloties pārvaldīta drošības pakalpojuma sniedzēju, būtu jāievēro īpaša piesardzība.
(3)Pārvaldītu drošības pakalpojumu sniedzējiem ir arī svarīga loma ES kiberdrošības rezervēs, kuru pakāpenisku izveidi atbalsta Regula (ES).../.... [kas nosaka pasākumus, kuri stiprina solidaritāti un spējas Savienībā atklāt kiberapdraudējumu un kiberincidentus, tiem sagatavoties un uz tiem reaģēt]. ES kiberdrošības rezerves ir jāizmanto, lai atbalstītu reaģēšanas un tūlītējas atkopšanas darbības ievērojamu un plašu kiberincidentu gadījumā. Regulā (ES).../... [kas nosaka pasākumus, kuri stiprina solidaritāti un spējas Savienībā atklāt kiberapdraudējumu un kiberincidentus, tiem sagatavoties un uz tiem reaģēt] ir noteikts ES kiberdrošības rezerves veidojošo pakalpojumu sniedzēju atlases process, kurā cita starpā būtu jāņem vērā, vai attiecīgais pakalpojumu sniedzējs ir ieguvis Eiropas vai valsts kiberdrošības sertifikāciju. Relevantie pakalpojumi, ko sniedz “uzticami pakalpojumu sniedzēji” saskaņā ar Regulu (ES).../... [kas nosaka pasākumus, kuri stiprina solidaritāti un spējas Savienībā atklāt kiberapdraudējumu un kiberincidentus, tiem sagatavoties un uz tiem reaģēt], atbilst “pārvaldītiem drošības pakalpojumiem” saskaņā ar šo regulu.
(4)Pārvaldītu drošības pakalpojumu sertifikācija ir ne tikai relevanta ES kiberdrošības rezervju atlases procesā, bet tā ir arī būtisks kvalitātes indikators privātām un publiskām struktūrām, kas plāno iegādāties šādus pakalpojumus. Ņemot vērā pārvaldīto drošības pakalpojumu kritiskumu un to apstrādāto datu sensitivitāti, sertifikācija varētu potenciālajiem klientiem sniegt svarīgus norādījumus un pārliecību par šo pakalpojumu uzticamību. Eiropas sertifikācijas shēmas pārvaldītiem drošības pakalpojumiem palīdz izvairīties no vienotā tirgus sadrumstalotības. Tādēļ šīs regulas mērķis ir uzlabot iekšējā tirgus darbību.
(5)Papildus IKT produktu, IKT pakalpojumu vai IKT procesu ieviešanai pārvaldītie drošības pakalpojumi bieži vien nodrošina papildu pakalpojumu iezīmes, kuru pamatā ir personāla kompetence, zināšanas un pieredze. Lai nodrošinātu pārvaldīto drošības pakalpojumu augstu kvalitāti, daļai no drošības mērķiem vajadzētu būt īpaši augstam šo kompetenču, zināšanu un pieredzes līmenim, kā arī pienācīgām iekšējām procedūrām. Tādēļ, lai nodrošinātu to, ka sertifikācijas shēma var aptvert visus pārvaldīta drošības pakalpojuma aspektus, Regula (ES) 2019/881 ir jāgroza.
Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas [... gada ...] sniedza atzinumu,
IR PIEŅĒMUŠI ŠO REGULU.
1. pants
Grozījumi Regulā (ES) 2019/881
Regulu (ES) 2019/881 groza šādi:
1) regulas 1. panta 1. punkta pirmās daļas b) apakšpunktu aizstāj ar šādu:
“b) satvars, kurā jāizveido Eiropas kiberdrošības sertifikācijas shēmas, lai Savienībā IKT produktiem, IKT pakalpojumiem, IKT procesiem un pārvaldītiem drošības pakalpojumiem nodrošinātu pietiekami augstu kiberdrošības līmeni, kā arī nolūkā izvairīties no iekšējā tirgus sadrumstalotības attiecībā uz kiberdrošības sertifikācijas shēmām Savienībā.”;
2) regulas 2. pantu groza šādi:
a) panta 9., 10. un 11. punktu aizstāj ar šādiem:
“9) “Eiropas kiberdrošības sertifikācijas shēma” ir visaptverošs noteikumu, tehnisko prasību, standartu un procedūru kopums, kas noteikts Savienības līmenī un kas attiecas uz konkrētu IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu sertifikāciju vai atbilstības novērtēšanu;
10) “valsts kiberdrošības sertifikācijas shēma” ir visaptverošs noteikumu, tehnisko prasību, standartu un procedūru kopums, ko izstrādājusi un pieņēmusi valsts publiskā iestāde un kas attiecas uz to IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu sertifikāciju vai atbilstības novērtēšanu, kuri ietilpst konkrētās shēmas tvērumā;
11) “Eiropas kiberdrošības sertifikāts” ir dokuments, ko izdevusi relevanta struktūra un kas apliecina, ka ir izvērtēta attiecīgā IKT produkta, IKT pakalpojuma, IKT procesa vai pārvaldīta drošības pakalpojuma atbilstība konkrētajām Eiropas kiberdrošības sertifikācijas shēmā noteiktajām drošības prasībām;”;
b) iekļauj šādu punktu:
“14a) “pārvaldīts drošības pakalpojums” ir pakalpojums, kas ietver tādu darbību veikšanu vai atbalstīšanu, kuras saistītas ar kiberdrošības riska pārvaldību, arī reaģēšanu uz incidentiem, ielaušanās testēšanu, drošības revīzijām un konsultācijām;”;
c) panta 20., 21. un 22. punktu aizstāj ar šādiem:
“20) “tehniskās specifikācijas” ir dokuments, kurā noteiktas tehniskās prasības, kam IKT produktam, IKT pakalpojumam, IKT procesam vai pārvaldītam drošības pakalpojumam ir jāatbilst, vai atbilstības novērtēšanas procedūras, kas uz tiem attiecas;
21) “apliecinājuma līmenis” ir pamats paļauties, ka IKT produkts, IKT pakalpojums, IKT process vai pārvaldīts drošības pakalpojums atbilst konkrētās Eiropas kiberdrošības sertifikācijas shēmas prasībām, norāda to, kādā līmenī IKT produkts, IKT pakalpojums, IKT process vai pārvaldīts drošības pakalpojums ir izvērtēts, bet pats par sevi nemēra attiecīgā IKT produkta, IKT pakalpojuma, IKT procesa vai pārvaldīta drošības pakalpojuma drošību;
22) “atbilstības pašnovērtējums” ir darbība, ko veic IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājs vai sniedzējs, kurš izvērtē, vai minētie IKT produkti, IKT pakalpojumi, IKT procesi vai pārvaldītie drošības pakalpojumi atbilst konkrētas Eiropas kiberdrošības sertifikācijas shēmas prasībām.”;
3) regulas 4. panta 6. punktu aizstāj ar šādu:
“6. ENISA veicina Eiropas kiberdrošības sertifikācijas izmantošanu nolūkā izvairīties no iekšējā tirgus sadrumstalotības. ENISA palīdz izveidot un uzturēt Eiropas kiberdrošības sertifikācijas satvaru saskaņā ar šīs regulas III sadaļu, lai uzlabotu IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu kiberdrošības pārredzamību, tādējādi stiprinot uzticēšanos digitālajam iekšējam tirgum un tā konkurētspējai.”;
4) regulas 8. pantu groza šādi:
a) panta 1. punktu aizstāj ar šādu:
“1. ENISA atbalsta un veicina Savienības politikas izstrādi un īstenošanu saistībā ar IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu kiberdrošības sertifikāciju, kā noteikts šīs regulas III sadaļā, proti:
a) pastāvīgi pārrauga jaunumus saistītajās standartizācijas jomās un iesaka pienācīgas tehniskās specifikācijas, kas būtu izmantojamas Eiropas kiberdrošības sertifikācijas shēmu izstrādē, ievērojot 54. panta 1. punkta c) apakšpunktu, gadījumos, kad standarti nav pieejami;
b) IKT produktiem, IKT pakalpojumiem, IKT procesiem un pārvaldītiem drošības pakalpojumiem sagatavo Eiropas kiberdrošības sertifikācijas kandidātshēmas (“kandidātshēmas”) saskaņā ar 49. pantu;
c) izvērtē pieņemtās Eiropas kiberdrošības sertifikācijas shēmas saskaņā ar 49. panta 8. punktu;
d) piedalās salīdzinošā izvērtēšanā, ievērojot 59. panta 4. punktu;
e) palīdz Komisijai nodrošināt ECCG sekretariātu, ievērojot 62. panta 5. punktu.”;
b) panta 3. punktu aizstāj ar šādu:
“3. Sadarbībā ar valstu kiberdrošības sertifikācijas iestādēm un nozares pārstāvjiem oficiālā, strukturētā un pārredzamā veidā ENISA apkopo un publicē pamatnostādnes un izstrādā labu praksi saistībā ar IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu kiberdrošības prasībām.”;
c) panta 5. punktu aizstāj ar šādu:
“5. ENISA palīdz izveidot un ieviest Eiropas un starptautiskos riska pārvaldības un IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu drošības standartus.”;
5) regulas 46. panta 1. un 2. punktu aizstāj ar šādiem:
“1. Eiropas kiberdrošības sertifikācijas satvaru izveido, lai uzlabotu iekšējā tirgus darbības nosacījumus, palielinot kiberdrošības līmeni Savienībā un dodot iespēju Savienības līmenī izmantot saskaņotu pieeju attiecībā uz Eiropas kiberdrošības sertifikācijas shēmām nolūkā izveidot IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu digitālu vienoto tirgu.
2. Eiropas kiberdrošības sertifikācijas satvars paredz mehānismu Eiropas kiberdrošības sertifikācijas shēmu izveidei. Tas apliecina, ka IKT produkti, IKT pakalpojumi un IKT procesi, kas ir izvērtēti saskaņā ar šādām shēmām, atbilst noteiktajām drošības prasībām nolūkā visā to dzīves ciklā aizsargāt tādu glabāto, pārsūtīto vai apstrādāto datu vai funkciju, vai pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti, kurus piedāvā izmantot minētie produkti, pakalpojumi un procesi, vai kuriem, tos izmantojot, var piekļūt. Turklāt tas apliecina, ka pārvaldītie drošības pakalpojumi, kas ir izvērtēti saskaņā ar šādām shēmām, atbilst noteiktajām drošības prasībām nolūkā aizsargāt tādu datu pieejamību, autentiskumu, integritāti un konfidencialitāti, kuriem piekļūst, kurus apstrādā, glabā vai pārsūta saistībā ar minēto pakalpojumu sniegšanu, un ka minētos pakalpojumus pastāvīgi sniedz darbinieki, kuriem ir vajadzīgā kompetence, zināšanas un pieredze un ļoti augsts relevanto tehnisko zināšanu un profesionālās integritātes līmenis.”;
6) regulas 47. panta 2. un 3. punktu aizstāj ar šādiem:
“2. Savienības mainīgajā darba programmā jo īpaši iekļauj tādu IKT produktu, IKT pakalpojumu, IKT procesu vai to kategoriju un pārvaldītu drošības pakalpojumu sarakstu, kam iekļaušana Eiropas kiberdrošības sertificēšanas shēmas piemērošanas jomā var nākt par labu.
3. Konkrētu IKT produktu, IKT pakalpojumu un IKT procesu vai to kategoriju vai pārvaldītu drošības pakalpojumu iekļaušanu Savienības mainīgajā darba programmā pamato ar vienu vai vairākiem šādiem iemesliem:
a) tādu valsts kiberdrošības sertifikācijas shēmu pieejamība un izstrāde, kurās iekļauta konkrēta IKT produktu, IKT pakalpojumu, IKT procesu kategorija vai pārvaldīti drošības pakalpojumi, jo īpaši attiecībā uz sadrumstalotības risku;
b) relevants Savienības vai dalībvalsts tiesību akts vai rīcībpolitika;
c) pieprasījums tirgū;
d) tendences kiberdraudu vidē;
e) ECCG pieprasījums izveidot konkrētu kandidātshēmu.”;
7) regulas 49. panta 7. punktu aizstāj ar šādu:
“7. Pamatojoties uz ENISA izveidoto kandidātshēmu, Komisija var pieņemt īstenošanas aktus, kuros paredzēta Eiropas kiberdrošības sertifikācijas shēma IKT produktiem, IKT pakalpojumiem, IKT procesiem un pārvaldītiem drošības pakalpojumiem, kas atbilst 51., 52. un 54. pantā izklāstītajām prasībām. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 66. panta 2. punktā.”;
8) regulas 51. pantu groza šādi:
a) virsrakstu aizstāj ar šādu:
“Drošības mērķi: Eiropas kiberdrošības sertifikācijas shēmas IKT produktiem, IKT pakalpojumiem un IKT procesiem”;
b) ievadteikumu aizstāj ar šādu:
“Eiropas kiberdrošības sertifikācijas shēmu IKT produktiem, IKT pakalpojumiem vai IKT procesiem veido tā, lai attiecīgā gadījumā sasniegtu vismaz šādus drošības mērķus:”;
9) iekļauj šādu pantu:
“51.a pants
Drošības mērķi: Eiropas kiberdrošības sertifikācijas shēmas pārvaldītiem drošības pakalpojumiem
Eiropas kiberdrošības sertifikācijas shēmu pārvaldītiem drošības pakalpojumiem veido tā, lai attiecīgā gadījumā sasniegtu vismaz šādus drošības mērķus:
a) gādāt, ka pārvaldītiem drošības pakalpojumiem tiek nodrošināta vajadzīgā kompetence, zināšanas un pieredze, tostarp, ka par šo pakalpojumu sniegšanu atbildīgajam personālam ir ļoti augsta līmeņa tehniskās zināšanas un kompetence konkrētajā jomā, pietiekama un pienācīga pieredze un augstākais profesionālās integritātes līmenis;
b) gādāt, ka pakalpojumu sniedzējs ir ieviesis pienācīgas iekšējās procedūras, kas nodrošina, ka pārvaldītie drošības pakalpojumi vienmēr tiek sniegti ļoti augstā kvalitātē;
c) aizsargāt datus, kuriem piekļūts, kurus glabā, pārsūta vai citādi apstrādā saistībā ar pārvaldītu drošības pakalpojumu sniegšanu, pret nejaušu vai neatļautu piekļuvi, glabāšanu, izpaušanu, iznīcināšanu, citu apstrādi, pazaudēšanu, pārveidošanu vai pieejamības trūkumu;
d) gādāt, ka gadījumos, kad noticis fizisks vai tehnisks incidents, laikus tiek atjaunota datu, pakalpojumu un funkciju pieejamība un piekļūstamība;
e) gādāt, ka pilnvarotas personas, programmas vai mašīnas var piekļūt vienīgi tādiem datiem, pakalpojumiem vai funkcijām, attiecībā uz kuriem ir piešķirtas piekļuves tiesības;
f) reģistrēt, kuriem datiem, pakalpojumiem vai funkcijām ir piekļūts, kuri ir izmantoti vai citādi apstrādāti un kad un kurš to ir darījis, un nodrošināt iespēju novērtēt minēto informāciju;
g) gādāt, ka pārvaldīto drošības pakalpojumu sniegšanā izmantotie IKT produkti, IKT pakalpojumi un IKT procesi [un aparatūra] ir droši pēc noklusējuma un konstruēti tā, lai būtu droši, nesatur zināmu ievainojamību un ietver jaunākos drošības atjauninājumus;”;
10) regulas 52. pantu groza šādi:
a) panta 1. punktu aizstāj ar šādu:
“1. Eiropas kiberdrošības sertifikācijas shēmā var norādīt vienu vai vairākus šādus IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu apliecinājuma līmeņus: “pamata”, “būtisks” vai “augsts”. Apliecinājuma līmenis incidenta varbūtības un ietekmes ziņā atbilst riska līmenim, kas saistīts ar IKT produkta, IKT pakalpojuma, IKT procesa vai pārvaldīta drošības pakalpojuma paredzamo lietojumu.”;
b) panta 3. punktu aizstāj ar šādu:
“3. Attiecīgajā Eiropas kiberdrošības sertifikācijas shēmā jānorāda katram apliecinājuma līmenim atbilstošās drošības prasības, tostarp atbilstošās drošības funkcijas un IKT produktam, IKT pakalpojumam, IKT procesam vai pārvaldītam drošības pakalpojumam veicamā izvērtējuma atbilstošā stingrība un dziļums.”;
c) panta 5., 6. un 7. punktu aizstāj ar šādiem:
“5. Ar Eiropas kiberdrošības sertifikātu vai ES atbilstības apliecinājumu, kam ir norāde uz apliecinājuma līmeni “pamata”, sniedz apliecinājumu, ka IKT produkti, IKT pakalpojumi, IKT procesi un pārvaldīti drošības pakalpojumi, par kuriem izdots minētais sertifikāts vai minētais ES atbilstības apliecinājums, atbilst attiecīgajām drošības prasībām, tostarp drošības funkcijām, un ka tie ir izvērtēti tādā līmenī, kas paredz minimizēt zināmos incidentu un kiberuzbrukumu pamata riskus. Veicamās izvērtēšanas darbības ietver vismaz tehniskās dokumentācijas pārskatīšanu. Ja šāda pārskatīšana nav pienācīga, jāveic alternatīvas izvērtēšanas darbības ar līdzvērtīgu ietekmi.
6. Ar Eiropas kiberdrošības sertifikātu, kam ir norāde uz apliecinājuma līmeni “būtisks”, sniedz apliecinājumu, ka IKT produkti, IKT pakalpojumi, IKT procesi un pārvaldīti drošības pakalpojumi, par kuriem izdots minētais sertifikāts, atbilst attiecīgajām drošības prasībām, tostarp drošības funkcijām, un ka tie ir izvērtēti tādā līmenī, kas paredz minimizēt zināmos kiberdrošības riskus un tādu incidentu un kiberuzbrukumu risku, ko rada aktori ar ierobežotām prasmēm un resursiem. Veicamās izvērtēšanas darbības ietver vismaz šādas darbības: pārskatīšana nolūkā pierādīt to, ka nav publiski zināmu ievainojamību, un pārbaude nolūkā pierādīt to, ka ar IKT produktiem, IKT pakalpojumiem, IKT procesiem vai pārvaldītiem drošības pakalpojumiem ir pareizi īstenotas vajadzīgās drošības funkcijas. Ja neviena šāda izvērtēšanas darbība nav pienācīga, veic alternatīvas izvērtēšanas darbības ar līdzvērtīgu ietekmi.
7. Ar Eiropas kiberdrošības sertifikātu, kam ir norāde uz apliecinājuma līmeni “augsts”, sniedz apliecinājumu, ka IKT produkti, IKT pakalpojumi, IKT procesi un pārvadīti drošības pakalpojumi, par kuriem izdots minētais sertifikāts, atbilst attiecīgajām drošības prasībām, tostarp drošības funkcijām, un ka tie ir izvērtēti tādā līmenī, kas paredz minimizēt sarežģītu kiberuzbrukumu risku, ko rada aktori ar nozīmīgām prasmēm un resursiem. Veicamās izvērtēšanas darbības ietver vismaz šādas darbības: pārskatīšana nolūkā pierādīt to, ka nav publiski zināmu ievainojamību; pārbaude nolūkā pierādīt to, ka ar IKT produktiem, IKT pakalpojumiem, IKT procesiem vai pārvaldītiem drošības pakalpojumiem ir pareizi īstenotas vajadzīgās drošības funkcijas – augstākajā līmenī –, un izvērtējums ar ielaušanās testiem par to, ka tie ir noturīgi pret prasmīgu uzbrucēju uzbrukumiem. Ja neviena šāda izvērtēšanas darbība nav pienācīga, veic alternatīvas izvērtēšanas darbības ar līdzvērtīgu ietekmi.”;
11) regulas 53. panta 1., 2. un 3. punktu aizstāj ar šādiem:
“1. Eiropas kiberdrošības sertifikācijas shēmā var atļaut veikt atbilstības pašnovērtējumu, par ko atbildīgs ir tikai pats IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājs vai sniedzējs. Šādu atbilstības pašnovērtējumu atļauj tikai saistībā ar IKT produktiem, IKT pakalpojumiem, IKT procesiem un pārvaldītiem drošības pakalpojumiem ar zemu risku, kas atbilst apliecinājuma līmenim “pamata”.
2. IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājs vai sniedzējs var izdot ES atbilstības apliecinājumu, kurā ir norādīts, ka atbilstība shēmā izklāstītajām prasībām ir pierādīta. Izdodot šādu apliecinājumu, IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājs vai sniedzējs uzņemas atbildību par IKT produkta, IKT pakalpojuma, IKT procesa vai pārvaldīta drošības pakalpojuma atbilstību minētajā shēmā izklāstītajām prasībām.
3. IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājs vai sniedzējs uz attiecīgajā Eiropas kiberdrošības sertifikācijas shēmā paredzēto laikposmu 58. pantā minētajai valsts kiberdrošības sertifikācijas iestādei dara pieejamu ES atbilstības apliecinājumu, tehnisko dokumentāciju un visu pārējo relevanto informāciju, kas saistīta ar IKT produktu, IKT pakalpojumu vai pārvaldītu drošības pakalpojumu atbilstību shēmai. ES atbilstības apliecinājuma kopiju iesniedz valsts kiberdrošības sertifikācijas iestādei un ENISA.”;
12) regulas 54. panta 1. punktu groza šādi:
a) punkta a) apakšpunktu aizstāj ar šādu:
“a) sertifikācijas shēmas priekšmets un tvērums, tostarp shēmā ietverto IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu tipi vai kategorijas;”;
b) punkta j) apakšpunktu aizstāj ar šādu:
“j) noteikumi, kas vajadzīgi, lai pārraudzītu, vai IKT produkti, IKT pakalpojumi, IKT procesi un pārvaldīti drošības pakalpojumi atbilst Eiropas kiberdrošības sertifikātu vai ES atbilstības apliecinājumu prasībām, tostarp mehānismi, kas izmantojami, lai pierādītu noteikto kiberdrošības prasību pastāvīgu ievērošanu;”;
c) punkta l) apakšpunktu aizstāj ar šādu:
“l) noteikumi par sekām, ko rada tādi IKT produkti, IKT pakalpojumi, IKT procesi un pārvaldīti drošības pakalpojumi, kas ir sertificēti vai par kuriem ir izdots ES atbilstības apliecinājums, bet kuri neatbilst shēmas prasībām;”;
d) punkta o) apakšpunktu aizstāj ar šādu:
“o) to valsts vai starptautisko kiberdrošības sertifikācijas shēmu identifikācija, kuras attiecas uz viena un tā paša veida vai tās pašas kategorijas IKT produktiem, IKT pakalpojumiem, IKT procesiem un pārvaldītiem drošības pakalpojumiem, drošības prasībām, izvērtēšanas kritērijiem un metodēm un apliecinājuma līmeņiem;”;
e) punkta q) apakšpunktu aizstāj ar šādu:
“q) pieejamības laikposms, uz kuru IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājam vai sniedzējam jādara pieejams ES atbilstības apliecinājums, tehniskā dokumentācija un visa pārējā relevantā informācija;”;
13) regulas 56. pantu groza šādi:
a) panta 1. punktu aizstāj ar šādu:
“1. IKT produktus, IKT pakalpojumus, IKT procesus un pārvaldītus drošības pakalpojumus, kuri ir sertificēti atbilstīgi Eiropas kiberdrošības sertifikācijas shēmai, kas pieņemta saskaņā ar 49. pantu, uzskata par atbilstīgiem minētās shēmas prasībām.”;
b) panta 3. punktu groza šādi:
i) pirmo daļu aizstāj ar šādu:
“Komisija regulāri novērtē pieņemto Eiropas kiberdrošības sertifikācijas shēmu efektivitāti un izmantojumu un to, vai konkrēta Eiropas kiberdrošības sertifikācijas shēma ir jānosaka par obligātu ar attiecīgu Savienības tiesību aktu, lai nodrošinātu IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu pienācīgi augstu kiberdrošības līmeni Savienībā un uzlabotu iekšējā tirgus darbību. Pirmais šāds novērtējums jāveic līdz 2023. gada 31. decembrim, un pēc tam turpmākie novērtējumi jāveic vismaz reizi divos gados. Komisija, balstoties uz minēto novērtējumu iznākumu, nosaka tos kādas esošas sertifikācijas shēmas aptvertus IKT produktus, IKT pakalpojumus, IKT procesus un pārvaldītus drošības pakalpojumus, uz kuriem jāattiecina obligāta sertificēšanas shēma.”;
ii) trešo daļu groza šādi:
aa) daļas a) apakšpunktu aizstāj ar šādu:
“a) ņem vērā minēto pasākumu ietekmi izmaksu ziņā uz šādu IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājiem vai sniedzējiem un to lietotājiem un to, kādi sociāli vai ekonomiski ieguvumi izriet no paredzētās drošības līmeņa paaugstināšanas konkrētajiem IKT produktiem, IKT pakalpojumiem, IKT procesiem vai pārvaldītiem drošības pakalpojumiem;”;
bb) daļas d) apakšpunktu aizstāj ar šādu:
“d) ņem vērā jebkurus īstenošanas termiņus, pārejas pasākumus un periodus, jo īpaši attiecībā uz pasākuma iespējamo ietekmi uz IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājiem vai sniedzējiem, tostarp MVU;”;
c) panta 7. un 8. punktu aizstāj ar šādiem:
“7. Fiziska vai juridiska persona, kas iesniedz pieteikumu IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu sertifikācijai, 58. pantā minētajai valsts kiberdrošības sertifikācijas iestādei, ja tā ir Eiropas kiberdrošības sertifikāta izdevēja struktūra, vai 60. pantā minētajai atbilstības novērtēšanas struktūrai dara pieejamu visu sertifikācijas veikšanai nepieciešamo informāciju.
8. Eiropas kiberdrošības sertifikāta turētājs 7. punktā minēto iestādi vai struktūru informē par jebkādām vēlāk atklātām IKT produkta, IKT pakalpojuma, IKT procesa vai pārvaldīta drošības pakalpojuma ievainojamībām vai neatbilstībām, kuras varētu ietekmēt tā atbilstību ar sertifikāciju saistītajām prasībām. Minētā iestāde vai struktūra saņemto informāciju bez liekas kavēšanās pārsūta attiecīgajai valsts kiberdrošības sertifikācijas iestādei.”;
14) regulas 57. panta 1. un 2. punktu aizstāj ar šādiem:
“1. Neskarot šā panta 3. punktu, valsts kiberdrošības sertifikācijas shēmas un saistītās procedūras, kas attiecas uz IKT produktiem, IKT pakalpojumiem, IKT procesiem un pārvaldītiem drošības pakalpojumiem, uz kuriem attiecas Eiropas kiberdrošības sertifikācijas shēma, zaudē spēku no datuma, kas noteikts saskaņā ar 49. panta 7. punktu pieņemtā īstenošanas aktā. Valsts kiberdrošības sertifikācijas shēmas un saistītās procedūras, kas attiecas uz IKT produktiem, IKT pakalpojumiem, IKT procesiem un pārvaldītiem drošības pakalpojumiem, uz kuriem neattiecas Eiropas kiberdrošības sertifikācijas shēma, paliek spēkā arī turpmāk.
2. Dalībvalstis neievieš jaunas valsts kiberdrošības sertifikācijas shēmas IKT produktiem, IKT pakalpojumiem, IKT procesiem un pārvaldītiem drošības pakalpojumiem, uz kuriem jau attiecas spēkā esoša Eiropas kiberdrošības sertifikācijas shēma.”;
15) regulas 58. pantu groza šādi:
a) panta 7. punktu groza šādi:
i) punkta a) un b) apakšpunktu aizstāj ar šādiem:
“a) sadarbībā ar citām attiecīgām tirgus uzraudzības iestādēm uzrauga noteikumus, kas, ievērojot 54. panta 1. punkta j) apakšpunktu, ietverti Eiropas kiberdrošības sertifikācijas shēmās nolūkā pārraudzīt IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu atbilstību to attiecīgajās teritorijās izdoto Eiropas kiberdrošības sertifikātu prasībām, un panāk to izpildi;
b) pārrauga atbilstību tiem pienākumiem un panāk to pienākumu izpildi, kas piemērojami IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotājiem vai sniedzējiem, kuri ir iedibināti to attiecīgajās teritorijās un kuri veic atbilstības pašnovērtēšanu, un jo īpaši pārrauga šādu ražotāju vai sniedzēju atbilstību tiem pienākumiem un panāk to pienākumu izpildi, kas izklāstīti 53. panta 2. un 3. punktā un attiecīgajā Eiropas kiberdrošības sertifikācijas shēmā;”;
ii) punkta h) apakšpunktu aizstāj ar šādu:
“h) sadarbojas ar citām valsts kiberdrošības sertifikācijas iestādēm vai citām publiskām iestādēm, piemēram, daloties informācijā par IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu iespējamu neatbilstību šīs regulas vai konkrētu Eiropas kiberdrošības sertifikācijas shēmu prasībām; un”;
b) panta 9. punktu aizstāj ar šādu:
“9. Valsts kiberdrošības sertifikācijas iestādes sadarbojas savā starpā un ar Komisiju, jo īpaši apmainoties ar informāciju, pieredzi un labu praksi attiecībā uz kiberdrošības sertifikācijas un tehniskiem jautājumiem, kas skar IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu kiberdrošību.”;
16) regulas 59. panta 3. punkta b) un c) apakšpunktu aizstāj ar šādiem:
“b) uzraudzības un noteikumu izpildes panākšanas procedūras attiecībā uz procesu, kurā pārrauga IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu atbilstību Eiropas kiberdrošības sertifikātiem, ievērojot 58. panta 7. punkta a) apakšpunktu;
c) procedūras, kas attiecas uz IKT produktu, IKT pakalpojumu, IKT procesu vai pārvaldītu drošības pakalpojumu ražotāju vai sniedzēju pienākumu pārraudzību un izpildes panākšanu, ievērojot 58. panta 7. punkta b) apakšpunktu;”;
17) regulas 67. panta 2. un 3. punktu aizstāj ar šādiem:
“2. Novērtējumā izvērtē arī šīs regulas III sadaļas noteikumu ietekmi, efektivitāti un rezultativitāti, raugoties uz mērķiem, kas paredz nodrošināt pienācīgi augstu IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu kiberdrošības līmeni Savienībā un uzlabot iekšējā tirgus darbību.
3. Novērtējumā izvērtē, vai ir nepieciešamas kiberdrošības pamatprasības attiecībā uz piekļuvi iekšējam tirgum, lai novērstu kiberdrošības pamatprasībām neatbilstošu IKT produktu, IKT pakalpojumu, IKT procesu un pārvaldītu drošības pakalpojumu nonākšanu Savienības tirgū.”
2. pants
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Strasbūrā,
Eiropas Parlamenta vārdā – Padomes vārdā –
priekšsēdētāja priekšsēdētājs
- (1) Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, 7.6.2019., 15. lpp.).
- (2) 9364/22.
- (3) JOIN(2022) 49 final.
- (4) OV L 333, 27.12.2022., 810. lpp.
- (5) OV L 119, 4.5.2016., 1. lpp.
- (6) OV L 218, 13.8.2008., 30. lpp.
- (7) Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, 7.6.2019., 15. lpp.).
- (8) Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris) par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (OV L 333, 27.12.2022., 80. lpp.).
All