5.7.2022   

RO

Jurnalul Oficial al Uniunii Europene

C 258/10

Rezumatul Avizului Autorității Europene pentru Protecția Datelor referitor la propunerea de regulament privind măsuri pentru un nivel comun ridicat de securitate cibernetică în instituțiile, organele, oficiile și agențiile Uniunii

[Textul integral al avizului poate fi consultat în engleză, franceză și germană pe site-ul AEPD www.edps.europa.eu]

(2022/C 258/07)

La 22 martie 2022, Comisia Europeană a adoptat o propunere de regulament privind măsuri pentru un nivel comun ridicat de securitate cibernetică în instituțiile, organele, oficiile și agențiile Uniunii („propunerea”).

AEPD salută obiectivul propunerii de a îmbunătăți postura de securitate cibernetică a instituțiilor, organelor, oficiilor și agențiilor Uniunii („instituțiile UE”) și salută, de asemenea, noul rol al fostului „Centru de răspuns la incidente de securitate cibernetică”, denumit în prezent „Centrul de securitate cibernetică” (CERT-UE), ținând seama de intensificarea digitalizării, de evoluția rapidă a situației amenințărilor la adresa securității cibernetice și de tranziția recentă către digitalizare provocată, de asemenea, de pandemia de COVID-19.

AEPD regretă că propunerea nu se aliniază la Directiva NIS și la propunerea NIS 2.0, astfel încât să se atingă obiectivul unei reglementări coerente și omogene pentru statele membre și instituțiile UE, care să contribuie la nivelul general de securitate cibernetică al Uniunii. AEPD recomandă adăugarea în propunere a recomandării ca cerințele sale minime de securitate să fie cel puțin egale sau mai stricte decât cerințele minime de securitate ale entităților din propunerea NIS și NIS 2.0.

Pentru a se conforma propunerii, instituțiile UE, precum și CERT-UE vor trebui să implementeze anumite procese și măsuri de securitate cibernetică, care trebuie să implice o prelucrare suplimentară a datelor cu caracter personal. În vederea asigurării securității juridice și a previzibilității, precum și a conformității cu RPDUE, AEPD recomandă insistent ca propunerea sau, cel puțin, un act delegat care să fie adoptat ulterior de Comisie să prevadă în mod clar un temei juridic pentru prelucrarea datelor cu caracter personal de către CERT-UE și instituțiile UE, inclusiv, în special, scopurile prelucrării și categoriile de date cu caracter personal.

AEPD subliniază importanța integrării perspectivei privind protecția datelor și a vieții private în gestionarea securității cibernetice, pentru a realiza sinergii pozitive între propunere și legislația privind protecția datelor și a vieții private, și oferă recomandări specifice privind modul în care pot fi realizate aceste sinergii, inclusiv o obligație specifică pentru funcționarii UE responsabili cu securitatea cibernetică de a coopera îndeaproape cu responsabilul cu protecția datelor desemnat în conformitate cu RPDUE.

AEPD recomandă insistent ca propunerea să prevadă o cooperare strânsă între CERT-UE și AEPD în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal, în cazul vulnerabilităților semnificative, al incidentelor semnificative sau al atacurilor majore, care ar putea avea ca rezultat încălcarea securității datelor cu caracter personal, precum și în cazul în care CERT-UE are indicii că o încălcare a propunerii implică o încălcare a securității datelor cu caracter personal.

De asemenea, AEPD recomandă insistent ca propunerea să prevadă participarea AEPD la „Consiliul interinstituțional pentru securitate cibernetică” (IICB).

1.   INTRODUCERE ȘI CONTEXT

1.

La 22 martie 2022, Comisia Europeană a adoptat o propunere de regulament privind măsuri pentru un nivel comun ridicat de securitate cibernetică în instituțiile, organele, oficiile și agențiile Uniunii (1) („propunerea”).

2.

La aceeași dată, Comisia Europeană a adoptat Propunerea de regulament al Parlamentului European și al Consiliului privind securitatea informațiilor în instituțiile, organele, oficiile și agențiile Uniunii (2) („propunerea Infosec”).

3.

Ambele propuneri au fost avute în vedere în Strategia de securitate cibernetică a UE pentru deceniul digital, prezentată la 16 decembrie 2020 (3) („strategia”). În ansamblu, strategia urmărește să consolideze autonomia strategică a Uniunii în domeniul securității cibernetice și să îmbunătățească reziliența și răspunsul colectiv al acesteia, precum și să construiască un internet mondial și deschis prevăzut cu balustrade solide, pentru combaterea riscurilor la adresa securității și a drepturilor și libertăților fundamentale ale cetățenilor din Europa (4).

4.

Propunerea constituie una dintre inițiativele de reglementare ale strategiei, în special în domeniul securității cibernetice, pentru instituțiile, organele, oficiile și agențiile UE (instituțiile UE). Din expunerea sa de motive rezultă că propunerea are un dublu obiectiv:

abordarea situației amenințărilor cibernetice tot mai ostile și a incidenței crescute a atacurilor cibernetice mai sofisticate care afectează instituțiile, organele și agențiile UE, determinând necesitatea unor investiții sporite pentru a atinge un nivel ridicat de maturitate în materie de securitate cibernetică și

consolidarea Centrului de răspuns la incidente de securitate cibernetică al UE (CERT-UE) cu un mecanism de finanțare îmbunătățit, necesar pentru a spori capacitatea acestuia de a ajuta instituțiile, organele și agențiile UE să aplice noile norme în materie de securitate cibernetică și să își îmbunătățească reziliența cibernetică.

5.

AEPD observă că obiectul propunerii în cauză este interconectat cu Propunerea de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148 („propunerea NIS 2.0”). AEPD reamintește că a emis Avizul 5/2021 privind Strategia de securitate cibernetică (5) și Directiva NIS 2.0 („avizul NIS 2.0”) (6). Din acest motiv, prezentul aviz va face trimitere la avizul NIS 2.0.

6.

În conformitate cu strategia, propunerea urmărește îmbunătățirea în continuare a rezilienței tuturor instituțiilor, organelor și agențiilor Uniunii, precum și a capacităților lor de răspuns la incidente. Propunerea reflectă, de asemenea, prioritățile Comisiei de a pregăti Europa pentru era digitală și de a construi o economie capabilă să facă față provocărilor viitorului și aflată în serviciul cetățenilor. În plus, subliniază că securitatea și reziliența administrației publice reprezintă o piatră de temelie a transformării digitale a societății în ansamblu.

7.

În conformitate cu expunerea de motive, propunerea:

prezintă măsuri în vederea asigurării unui nivel comun ridicat de securitate cibernetică pentru instituțiile, organele și agențiile Uniunii Europene;

instituie „Consiliul interinstituțional pentru securitate cibernetică”, responsabil pentru monitorizarea punerii în aplicare a regulamentului propus;

stabilește noul rol al Centrului de răspuns la incidente de securitate cibernetică pentru instituțiile, agențiile și organele UE („CERT-UE”) (7), ca „Centru de securitate cibernetică” pentru instituțiile, organele și agențiile Uniunii, în concordanță cu evoluțiile din statele membre și de la nivel mondial.

8.

La 22 martie 2022, Comisia a solicitat AEPD să emită un aviz cu privire la propunere în temeiul articolului 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului („RPDUE”) (8). Observațiile și recomandările din prezentul aviz se limitează la cele mai relevante dispoziții ale propunerii în ceea ce privește protecția datelor și a vieții private.

4.   CONCLUZII

48.

Având în vedere cele de mai sus, AEPD face următoarele recomandări principale:

AEPD recomandă adăugarea în cadrul unui considerent a faptului că propunerea se bazează pe propunerea NIS 2.0 și explicarea mai în detaliu în considerentele 4 și 5 a legăturii dintre propunere și Directiva NIS, precum și propunerea NIS 2.0. În plus, AEPD recomandă includerea în textul principal a următoarei formulări: „Cerințele minime de securitate ar trebui să fie cel puțin egale sau mai stricte decât cerințele minime de securitate ale entităților din propunerea NIS și NIS 2.0”;

AEPD recomandă insistent ca propunerea să ofere în mod clar un temei juridic pentru prelucrarea datelor cu caracter personal de către CERT-UE și instituțiile UE, inclusiv, în special, scopurile prelucrării și categoriile de date cu caracter personal. În plus, ar trebui prevăzute în mod explicit următoarele elemente: (a) identificarea operatorului (operatorilor), a persoanelor împuternicite de operator sau a operatorilor asociați, după caz; (b) categoriile de persoane vizate; (c) perioadele de păstrare sau cel puțin criteriile de stabilire a acestor perioade. AEPD consideră că aceste elemente ar trebui prevăzute în mod explicit în propunere sau, cel puțin, într-un act delegat care urmează să fie adoptat ulterior de Comisie. Propunerea ar trebui să prevadă o astfel de delegare;

AEPD recomandă insistent includerea „criptării în repaus”, a „criptării în tranzit”, precum și a „criptării de la un capăt la altul” în lista măsurilor minime de securitate cibernetică din anexa II la propunere;

AEPD recomandă insistent ca propunerea să prevadă o obligație specifică pentru responsabilul local cu securitatea cibernetică definit la articolul 4 alineatul (5) de a coopera cu responsabilul cu protecția datelor desemnat în conformitate cu articolul 43 din RPDUE, atunci când tratează activități care se suprapun, cum ar fi aplicarea protecției datelor începând cu momentul conceperii și în mod implicit în cazul măsurilor de securitate cibernetică, selectarea unor măsuri de securitate cibernetică care implică date cu caracter personal, gestionarea integrată a riscurilor și gestionarea integrată a incidentelor de securitate;

AEPD recomandă insistent adăugarea, la articolul 12 „Misiunea și sarcinile CERT-UE” din propunere, a unei dispoziții cu următorul conținut: „CERT-UE acționează în strânsă cooperare cu AEPD în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal sau încălcarea confidențialității comunicațiilor electronice”;

AEPD recomandă adăugarea unei obligații pentru CERT-UE de a informa AEPD în cazul vulnerabilităților semnificative, al incidentelor semnificative sau al atacurilor majore care ar putea avea ca rezultat încălcarea securității datelor cu caracter personal și/sau încălcarea confidențialității comunicațiilor electronice.

AEPD recomandă introducerea, la articolul 12, a unei dispoziții care să prevadă obligația AEPD de a se implica în activitățile CERT-UE de sensibilizare în materie de securitate cibernetică ale instituțiilor UE, pentru a acoperi interacțiunea dintre încălcarea securității datelor cu caracter personal și incidentele de securitate cibernetică;

AEPD recomandă adăugarea, la articolul 12 „Misiunea și sarcinile CERT-UE” din propunere, a unei dispoziții care să specifice obligația CERT-UE de a informa AEPD, fără întârzieri nejustificate, atunci când are indicii că o încălcare de către instituțiile UE a obligațiilor prevăzute în propunere implică o încălcare a securității datelor cu caracter personal;

AEPD recomandă insistent ca Autoritatea Europeană pentru Protecția Datelor să fie adăugată la articolul 9 alineatul (3) în calitate participant permanent la IICB, cu un reprezentant.

Bruxelles, 17 mai 2022

Wojciech Rafał WIEWIÓROWSKI

(1)  COM(2022) 122 final.

(2)  COM(2022) 119 final.

(3)  Strategia de securitate cibernetică a UE pentru deceniul digital | Conturarea viitorului digital al Europei (europa.eu), inclusiv o comunicare comună cu Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate [JOIN (2020) 18].

(4)  Vezi capitolul I. INTRODUCERE, pagina 4 din strategie.

(5)  Comunicarea comună a Comisiei Europene și a Înaltului Reprezentant al Uniunii pentru afaceri externe și politica de securitate către Parlamentul European și Consiliu, intitulată „Strategia de securitate cibernetică a UE pentru deceniul digital”.

(6)  Avizul 5/2021 al Autorității Europene pentru Protecția Datelor privind Strategia de securitate cibernetică și Directiva NIS 2.0.

(7)  Rolul actual al CERT-UE decurge din Acordul interinstituțional 2018/C 12/01.

(8)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).