52021XX0511(01)

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 52021XX0511(01) - EN

Document 52021XX0511(01)

Help

Rezumatul Avizului Autorității Europene pentru Protecția Datelor privind Strategia de securitate cibernetică și Directiva NIS 2.0 (Textul integral al prezentului aviz poate fi consultat în limbile engleză, franceză și germană pe site-ul AEPD www.edps.europa.eu) 2021/C 183/03

OJ C 183, 11.5.2021, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

HTML

PDF

Official Journal

11.5.2021

Jurnalul Oficial al Uniunii Europene

C 183/3

Rezumatul Avizului Autorității Europene pentru Protecția Datelor privind Strategia de securitate cibernetică și Directiva NIS 2.0

(Textul integral al prezentului aviz poate fi consultat în limbile engleză, franceză și germană pe site-ul AEPD www.edps.europa.eu)

(2021/C 183/03)

La 16 decembrie 2020, Comisia Europeană a adoptat o Propunere de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148 (denumită în continuare „propunerea”). În paralel, Comisia Europeană și Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate au emis o comunicare comună către Parlamentul European și Consiliu, intitulată „Strategia de securitate cibernetică a UE pentru deceniul digital” (denumită în continuare „strategia”).

AEPD sprijină pe deplin obiectivul general al strategiei de a asigura un internet mondial și deschis, cu garanții solide împotriva riscurilor la adresa securității și a drepturilor fundamentale, recunoscând valoarea strategică a internetului și guvernanța sa și consolidând acțiunile Uniunii în cadrul acestuia, într-un model multiparticipativ.

Prin urmare, AEPD salută, de asemenea, obiectivul propunerii de a introduce modificări sistemice și structurale în actuala Directivă NIS pentru a acoperi un număr mai mare de entități din întreaga Uniune, cu măsuri de securitate mai stricte, inclusiv gestionarea obligatorie a riscurilor, standarde minime și dispoziții relevante privind supravegherea și asigurarea respectării legislației. În acest sens, AEPD consideră că este necesar ca instituțiile, oficiile, organele și agențiile Uniunii să fie pe deplin integrate în cadrul general de securitate cibernetică la nivelul UE pentru a se atinge un nivel uniform de protecție, prin includerea explicită a instituțiilor, oficiilor, organelor și a agențiilor Uniunii în domeniul de aplicare al propunerii.

AEPD subliniază, de asemenea, importanța integrării aspectului legat de protecția datelor și a vieții private în măsurile de securitate cibernetică care decurg din propunere sau din alte inițiative privind securitatea cibernetică ale strategiei, pentru a asigura o abordare holistică și a permite sinergii în gestionarea securității cibernetice și în protejarea informațiilor cu caracter personal pe care le prelucrează. Este la fel de important ca orice eventuală limitare a dreptului la protecția datelor cu caracter personal și a vieții private pe care o implică astfel de măsuri să îndeplinească criteriile prevăzute la articolul 52 din Carta drepturilor fundamentale a UE și, în special, ca acestea să fie realizate printr-o măsură legislativă și să fie atât necesare, cât și proporționale.

AEPD preconizează că propunerea nu va afecta aplicarea legislației UE existente care reglementează prelucrarea datelor cu caracter personal, inclusiv sarcinile și competențele autorităților independente de supraveghere competente să monitorizeze respectarea acestor instrumente. Aceasta înseamnă că toate sistemele și serviciile de securitate cibernetică implicate în prevenirea și detectarea amenințărilor cibernetice și răspunsul la acestea trebuie să respecte cadrul actual privind protecția datelor și a vieții private. În acest sens, AEPD consideră că este important și necesar să se stabilească o definiție clară și lipsită de ambiguitate a termenului „securitate cibernetică” în scopul propunerii.

AEPD emite recomandări specifice pentru a se asigura că propunerea completează în mod corect și eficace legislația existentă a Uniunii privind protecția datelor cu caracter personal, în special RGPD și Directiva asupra confidențialității și comunicațiilor electronice, inclusiv prin implicarea AEPD și a Comitetului european pentru protecția datelor atunci când este necesar, precum și prin stabilirea unor mecanisme clare de colaborare între autoritățile competente din diferite domenii de reglementare.

În plus, dispozițiile privind gestionarea registrelor de domenii de internet de prim nivel ar trebui să definească în mod clar domeniul de aplicare și condițiile relevante în legislație. Conceptul de scanări proactive ale rețelelor și sistemelor informatice de către CSIRT-uri necesită, de asemenea, clarificări suplimentare cu privire la domeniul de aplicare și tipurile de date cu caracter personal prelucrate. Se atrage atenția asupra riscurilor legate de posibilele transferuri neconforme de date legate de externalizarea serviciilor de securitate cibernetică sau de achiziționarea de produse de securitate cibernetică și de lanțul lor de aprovizionare.

AEPD salută apelul la promovarea utilizării criptării, în special a criptării de la un capăt la altul, și își reiterează poziția cu privire la criptare ca tehnologie critică și de neînlocuit pentru protecția eficace a datelor și a vieții private, a cărei eludare ar priva mecanismul de orice capacitate de protecție din cauza posibilei utilizări ilegale a acestora și a pierderii încrederii în controalele de securitate. În acest scop, ar trebui clarificat faptul că nicio dispoziție din propunere nu ar trebui interpretată ca o aprobare pentru slăbirea criptării de la un capăt la altul prin intermediul „ușilor secrete” sau al unor soluții similare.

1. Introducere și context

La aceeași dată, Comisia Europeană și Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate au emis o comunicare comună către Parlamentul European și Consiliu, intitulată „Strategia de securitate cibernetică a UE pentru deceniul digital” („strategia”) (2).

Strategia urmărește să consolideze autonomia strategică a Uniunii în domeniul securității cibernetice și să îmbunătățească reziliența și răspunsul colectiv al acesteia, precum și să construiască un internet mondial și deschis prevăzut cu balustrade solide, pentru combaterea riscurilor la adresa securității și a drepturilor și libertăților fundamentale ale cetățenilor din Europa (3).

Strategia conține propuneri de inițiative de reglementare, de investiții și de politică în trei domenii de acțiune a UE: (1) reziliență, suveranitate tehnologică și poziția de lider, (2) consolidarea capacității operaționale de prevenire, descurajare și răspuns și (3) promovarea unui spațiu cibernetic mondial și deschis.

Propunerea constituie una dintre inițiativele de reglementare ale strategiei, în special în domeniul rezilienței, al suveranității tehnologice și al poziției de lider.

Conform expunerii de motive, scopul propunerii este modernizarea cadrului juridic existent, și anume Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului („Directiva NIS”) (4). Propunerea urmărește să valorifice și să abroge actuala Directivă NIS, care a fost primul act legislativ privind securitatea cibernetică adoptat la nivelul UE, și prevede măsuri juridice de stimulare a nivelului general de securitate cibernetică în Uniune. Propunerea ține seama de intensificarea digitalizării pieței interne în ultimii ani și de evoluția situației amenințărilor la adresa securității cibernetice, care s-au amplificat de la începutul crizei provocate de pandemia de COVID-19. Propunerea urmărește să remedieze mai multe deficiențe identificate ale Directivei NIS și vizează creșterea nivelului de reziliență cibernetică a tuturor sectoarelor, publice și private, care îndeplinesc o funcție importantă în economie și societate.

Principalele elementele ale propunerii sunt:

(i)	extinderea domeniului de aplicare al actualei Directive NIS prin adăugarea de noi sectoare în funcție de nivelul lor critic pentru economie și societate;

(ii)	cerințe de securitate mai stricte pentru societățile și entitățile vizate, prin impunerea unei abordări de gestionare a riscurilor care să prevadă o listă minimă de elemente de securitate de bază care trebuie aplicate;

(iii)

abordarea securității în lanțurile de aprovizionare și în relațiile cu furnizorii prin impunerea întreprinderilor individuale a obligației de a aborda riscurile în materie de securitate cibernetică în lanțurile de aprovizionare și în relațiile cu furnizorii;

(iv)	consolidarea cooperării dintre autoritățile statelor membre și cu instituțiile, oficiile, organele și agențiile Uniunii în ceea ce privește activitățile legate de securitatea cibernetică, inclusiv gestionarea crizelor cibernetice.

La 14 ianuarie 2021, AEPD a primit o cerere de consultare oficială din partea Comisiei Europene cu privire la „Propunerea de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148”.

3. Concluzii

77.

Având în vedere cele de mai sus, AEPD formulează următoarele recomandări:

În ceea ce privește strategia de securitate cibernetică

—

să se ia în considerare faptul că primul pas în atenuarea riscurilor la adresa protecției datelor și a vieții private asociate noilor tehnologii de îmbunătățire a securității cibernetice, cum ar fi inteligența artificială, este de a aplica cerințele de protecție a datelor începând cu momentul conceperii și în mod implicit, prevăzute la articolul 25 din RGPD, ceea ce va contribui la integrarea garanțiilor corespunzătoare, cum ar fi pseudonimizarea, criptarea, acuratețea datelor, reducerea la minimum a datelor, în proiectarea și utilizarea acestor tehnologii și sisteme;

—

să se țină seama de importanța integrării aspectului legat de protecția datelor și a vieții private în politicile și standardele de securitate cibernetică, precum și în gestionarea tradițională a securității cibernetice, pentru a asigura o abordare holistică și a permite sinergii între organizațiile publice și cele private atunci când gestionează securitatea cibernetică și protejează informațiile pe care le prelucrează, fără o multiplicare inutilă a eforturilor;

—	să se ia în considerare și să se planifice resursele care urmează să fie utilizate de IUE pentru a-și consolida capacitatea în materie de securitate cibernetică, inclusiv într-un mod care să respecte pe deplin valorile UE;

—

să se țină seama de dimensiunile de protecție a datelor și a vieții private ale securității cibernetice prin investiții în politici, practici și instrumente în care aspectul legat de protecția datelor și a vieții private este integrat în gestionarea tradițională a securității cibernetice, iar garanții eficace în materie de protecție a datelor sunt integrate în cadrul activităților de securitate cibernetică, atunci când se prelucrează date cu caracter personal;

În ceea ce privește domeniul de aplicare al strategiei și al propunerii adresate instituțiilor, oficiilor, organelor și agențiilor Uniunii

—	să se ia în considerare nevoile și rolul IUE, astfel încât IUE să fie integrate în acest cadru general de securitate cibernetică la nivelul UE ca entități care beneficiază de același nivel ridicat de protecție ca și cele din statele membre; și

—	să se includă în mod explicit instituțiile, oficiile, organele și agențiile Uniunii în domeniul de aplicare al propunerii.

În ceea ce privește relația cu legislația existentă a Uniunii privind protecția datelor cu caracter personal

—

să se clarifice, la articolul 2 din propunere, faptul că legislația Uniunii privind protecția datelor cu caracter personal, în special RGPD și Directiva asupra confidențialității și comunicațiilor electronice, se aplică oricărei prelucrări de date cu caracter personal care intră în domeniul de aplicare al propunerii (nu doar în anumite contexte); și

—

să se clarifice, de asemenea, într-un considerent relevant, faptul că propunerea nu urmărește să aducă atingere aplicării legislației UE existente care reglementează prelucrarea datelor cu caracter personal, inclusiv sarcinile și competențele autorităților independente de supraveghere competente să monitorizeze respectarea acestor instrumente;

În ceea ce privește definiția securității cibernetice

—

să se clarifice utilizarea diferită a termenilor „securitate cibernetică” și „securitatea rețelelor și a sistemelor informatice” și să se utilizeze termenul „securitate cibernetică” în general și termenul „securitatea rețelelor și a sistemelor informatice” numai atunci când contextul (de exemplu, unul pur tehnic, fără a ține seama de impactul asupra utilizatorilor de sisteme și asupra altor persoane) o permite.

În ceea ce privește numele de domenii și datele de înregistrare („date WHOIS”)

—	să se precizeze în mod clar ce anume constituie „informații relevante” în scopul identificării și contactării titularilor numelor de domenii și a punctelor de contact care administrează numele de domenii în cadrul TLD-urilor;

—	să se clarifice mai detaliat ce categorii de date de înregistrare a domeniilor de date (care nu constituie date cu caracter personal) trebuie să facă obiectul publicării;

—	să se precizeze mai clar ce entități (publice sau private) ar putea constitui „solicitanți de acces legitimi”;

—

să se clarifice dacă datele cu caracter personal deținute de registrele TLD și de entitățile care furnizează servicii de înregistrare a numelor de domenii pentru TLD ar trebui să fie accesibile și entităților din afara SEE și, în caz afirmativ, să se stabilească în mod clar condițiile, limitările și procedurile pentru un astfel de acces, ținând seama și de cerințele de la articolul 49 alineatul (2) din RGPD, după caz; și

—	să se introducă clarificări suplimentare cu privire la ce anume constituie o cerere „legală și justificată în mod corespunzător” pe baza căreia se acordă acces și în ce condiții.

În ceea ce privește „scanarea proactivă a rețelei și a sistemelor informatice” de către CSIRT

—	să se delimiteze în mod clar tipurile de scanări proactive pe care CSIRT-urile ar putea fi solicitate să le efectueze și să se identifice principalele categorii de date cu caracter personal implicate în textul propunerii.

În ceea ce privește externalizarea și lanțul de aprovizionare

—	să se ia în considerare caracteristicile care permit punerea în aplicare eficace a principiului protecției datelor începând cu momentul conceperii și în mod implicit, atunci când se evaluează lanțurile de aprovizionare pentru tehnologii și sisteme de prelucrare a datelor cu caracter personal;

—	să se țină seama de cerințele specifice din țara de origine care ar putea reprezenta un obstacol în calea respectării legislației UE privind protecția datelor și a vieții private, atunci când se evaluează riscurile legate de lanțul de aprovizionare ale serviciilor, sistemelor sau produselor TIC; și

—	să se includă în textul juridic consultarea obligatorie a CEPD atunci când se definesc caracteristicile menționate anterior și, dacă este necesar, în evaluarea coordonată a riscurilor sectoriale menționată la considerentul 46.

—	să se recomande menționarea într-un considerent a faptului că produsele de securitate cibernetică cu sursă deschisă (software și hardware), inclusiv criptarea cu sursă deschisă, ar putea oferi transparența necesară pentru atenuarea riscurilor specifice legate de lanțul de aprovizionare.

În ceea ce privește criptarea

—	să se clarifice în considerentul 54 că nicio dispoziție din propunere nu trebuie interpretată ca aprobare pentru slăbirea criptării de la un capăt la altul prin intermediul „ușilor secrete” sau al unor soluții similare;

În ceea ce privește măsurile de gestionare a riscurilor în materie de securitate cibernetică

—

să se includă atât în considerente, cât și în partea de fond a propunerii conceptul conform căruia integrarea aspectului legat de protecția datelor și a vieții private în gestionarea tradițională a riscurilor în materie de securitate cibernetică va asigura o abordare holistică și va permite crearea de sinergii între organizațiile publice și cele private atunci când gestionează securitatea cibernetică și protecția informațiilor pe care le prelucrează, fără o multiplicare inutilă a eforturilor;

—	să se adauge în textul juridic obligația ENISA de a consulta CEPD atunci când elaborează avizele relevante;

În ceea ce privește încălcarea securității datelor cu caracter personal

—	să se modifice textul „într-un termen rezonabil” de la articolul 32 alineatul (1) în „fără întârzieri nejustificate”;

În ceea ce privește grupul de cooperare

—	să se includă în textul juridic participarea CEPD la activitățile grupului de cooperare, ținând seama de legătura dintre sarcina acestui grup și cadrul de protecție a datelor.

În ceea ce privește jurisdicția și teritorialitatea

—	să se clarifice în textul juridic faptul că propunerea nu afectează competențele autorităților de supraveghere a protecției datelor în temeiul RGPD;

—	să se furnizeze un temei juridic cuprinzător pentru cooperarea și schimbul de informații între autoritățile competente și de supraveghere, fiecare acționând în cadrul domeniilor lor de competență; și

—

să se clarifice faptul că autoritățile competente din cadrul propunerii trebuie să aibă posibilitatea de a furniza, la cererea autorităților de supraveghere competente, în temeiul Regulamentului (UE) 2016/679, sau din proprie inițiativă, orice informații obținute în contextul auditurilor și al investigațiilor care se referă la prelucrarea datelor cu caracter personal și să se includă un temei juridic explicit în acest sens.

Bruxelles, 11 martie 2021.

Wojciech Rafał WIEWIÓROWSKI

(1) Propunere de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148, COM (2020) 823 final.

(2) Strategia de securitate cibernetică a UE pentru deceniul digital, JOIN (2020) 18 final.

(3) Consultați capitolul I. INTRODUCERE, pagina 4 din strategie.

(4) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, p. 1).

Top