COMISIA EUROPEANĂ
Strasbourg, 18.4.2023
COM(2023) 208 final
2023/0108(COD)
Propunere de
REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
de modificare a Regulamentului (UE) 2019/881 în ceea ce privește serviciile de securitate gestionate
(Text cu relevanță pentru SEE)
EXPUNERE DE MOTIVE
1.CONTEXT
•Temeiurile și obiectivele propunerii
Prezenta expunere de motive însoțește propunerea de regulament al Parlamentului European și al Consiliului de modificare a Regulamentului (UE) nr. 2019/881 1 în ceea ce privește serviciile de securitate gestionate.
Modificarea specifică propusă urmărește să permită, prin intermediul unor acte de punere în aplicare ale Comisiei, adoptarea unor sisteme europene de certificare a securității cibernetice pentru „serviciile de securitate gestionate”, pe lângă produsele din domeniul tehnologiei informației și comunicațiilor (TIC), serviciile TIC și procesele TIC, care sunt deja reglementate de Regulamentul privind securitatea cibernetică. Serviciile de securitate gestionate joacă un rol din ce în ce mai important în prevenirea și atenuarea incidentelor de securitate cibernetică.
În concluziile sale din 23 mai 2022 2 privind dezvoltarea poziției cibernetice a Uniunii Europene, Consiliul a invitat Uniunea și statele sale membre să își intensifice eforturile vizând creșterea nivelului general de securitate cibernetică, de exemplu prin facilitarea apariției unor furnizori de servicii de securitate cibernetică de încredere, și a subliniat că încurajarea dezvoltării unor astfel de furnizori ar trebui să fie o prioritate pentru politica industrială a Uniunii în domeniul securității cibernetice. De asemenea, Consiliul a invitat Comisia să propună opțiuni pentru a încuraja apariția unei industrii a serviciilor de securitate cibernetică de încredere. Certificarea serviciilor de securitate gestionate este un mijloc eficace de consolidare a încrederii în calitatea acestor servicii, facilitând astfel apariția unei industrii europene de încredere a serviciilor de securitate cibernetică.
Comunicarea comună intitulată „Politica UE în domeniul apărării cibernetice”, adoptată de Comisie și de Înaltul Reprezentant la 10 noiembrie 2022 3 , a anunțat că Comisia va analiza posibilitatea dezvoltării unor sisteme de certificare a securității cibernetice la nivelul UE pentru sectorul securității cibernetice și pentru întreprinderile private. Furnizorii de servicii de securitate gestionate vor juca, de asemenea, un rol important în rezerva pentru securitate cibernetică de la nivelul UE, a cărei instituire treptată este sprijinită de Regulamentul privind solidaritatea cibernetică, propus în paralel cu prezentul regulament. Rezerva pentru securitate cibernetică de la nivelul UE urmează să fie utilizată pentru a sprijini răspunsul și acțiunile imediate de redresare în cazul unor incidente de securitate cibernetică semnificative și de mare amploare. Serviciile de securitate cibernetică relevante furnizate de „furnizorii de încredere” menționate în Legea privind solidaritatea cibernetică corespund „serviciilor de securitate gestionate” din prezenta propunere.
Unele state membre au început deja să adopte sisteme de certificare pentru serviciile de securitate gestionate. Prin urmare, există un risc tot mai mare de fragmentare a pieței interne pentru serviciile de securitate gestionate, din cauza inconsecvențelor din sistemele de certificare a securității cibernetice din întreaga Uniune. Prezenta propunere permite crearea unor sisteme europene de certificare a securității cibernetice pentru aceste servicii, astfel încât să se prevină o astfel de fragmentare.
•Coerența cu dispozițiile deja existente în domeniul de politică vizat
Prezenta propunere este în concordanță cu Regulamentul privind securitatea cibernetică, pe care îl modifică. Aceasta se bazează pe dispozițiile regulamentului respectiv și le adaptează pentru a include și serviciile de securitate gestionate. Modificările propuse se limitează la ceea ce este strict necesar și nu modifică funcționarea sau caracteristicile Regulamentului privind securitatea cibernetică.
Prezenta propunere este, de asemenea, coerentă cu Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) 4 . Furnizorii de servicii de securitate gestionate sunt considerați entități esențiale sau importante care aparțin unui sector cu o importanță critică ridicată în temeiul Directivei (UE) 2022/2555. Considerentul 86 din directiva respectivă prevede că furnizorii de servicii de securitate gestionate în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a preveni și de a detecta incidente, de a răspunde la acestea și de a se redresa după incidente. Totuși, și furnizorii de servicii de securitate gestionate au fost ținta atacurilor cibernetice și prezintă un risc deosebit din cauza integrării lor strânse în operațiunile clienților lor. Prin urmare, entitățile esențiale și entitățile importante în sensul Directivei (UE) 2022/2555 ar trebui să dea dovadă de o diligență sporită în selectarea unui furnizor de servicii de securitate gestionate.
Prezenta propunere vizează îmbunătățirea calității serviciilor de securitate gestionate și creșterea comparabilității acestora. Prin urmare, aceasta permite entităților esențiale și entităților importante să dea dovadă de o diligență sporită în selectarea unui furnizor de servicii de securitate gestionate, astfel cum se prevede în Directiva (UE) 2022/2555. În plus, definiția „serviciilor de securitate gestionate” din prezenta propunere derivă din definiția „furnizorilor de servicii de securitate gestionate” din Directiva (UE) 2022/2555 și este foarte similară cu aceasta. Din aceste motive, propunerea este în mare măsură complementară Directivei NIS 2.
În cele din urmă, prezenta propunere este complementară cu propunerea de Act privind solidaritatea cibernetică. Propunerea de act privind solidaritatea cibernetică stabilește un proces de selectare a furnizorilor care să formeze o rezervă de securitate cibernetică la nivelul UE, care ar trebui, printre altele, să ia în considerare dacă furnizorii respectivi au obținut o certificare a securității cibernetice la nivel european sau național. Astfel, viitoarele sisteme de certificare pentru serviciile de securitate gestionate vor juca un rol semnificativ în punerea în aplicare a Regulamentului privind solidaritatea cibernetică.
•Coerența cu alte domenii de politică a Uniunii
Prezenta propunere nu afectează coerența Regulamentului privind securitatea cibernetică cu Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor, „RGPD”) 5 și cu dispozițiile acestuia privind instituirea unor mecanisme de certificare și a unor sigilii și mărci în domeniul protecției datelor, care să permită demonstrarea faptului că operațiunile de prelucrare efectuate de operatori și de persoanele împuternicite de operatori respectă prezentul regulament. Regulamentul privind securitatea cibernetică nu aduce atingere certificării operațiunilor de prelucrare a datelor în temeiul RGPD, inclusiv în cazul în care aceste operațiuni sunt integrate în produse și servicii.
În plus, prezenta propunere nu afectează compatibilitatea Regulamentului privind securitatea cibernetică cu Regulamentul (CE) nr. 765/2008 privind cerințele de acreditare și de supraveghere a pieței 6 , în special în ceea ce privește cadrul privind organismele naționale de acreditare și organismele de evaluare a conformității și autoritățile naționale de supraveghere în materie de certificare.
2.TEMEIUL JURIDIC, SUBSIDIARITATEA ȘI PROPORȚIONALITATEA
•Temeiul juridic
Prezenta propunere modifică Regulamentul privind securitatea cibernetică, întemeiat pe articolul 114 din Tratatul privind funcționarea Uniunii Europene (TFUE). La fel ca în cazul Regulamentului privind securitatea cibernetică, prezenta propunere urmărește să evite fragmentarea pieței interne, și anume prin facilitarea adoptării unor sisteme europene de certificare a securității cibernetice pentru serviciile de securitate gestionate. Statele membre au început să adopte sisteme naționale de certificare pentru serviciile de securitate gestionate. Prin urmare, există un risc concret de fragmentare a pieței interne pentru aceste servicii, pe care prezenta propunere urmărește să îl abordeze. Prin urmare, articolul 114 din TFUE este temeiul juridic relevant pentru această inițiativă.
•Subsidiaritatea (în cazul competențelor neexclusive)
Obiectivul de a permite adoptarea unor sisteme europene de certificare a securității cibernetice pentru securitatea gestionată și de a evita fragmentarea pieței interne nu poate fi realizat la nivel național, ci numai la nivelul Uniunii. În plus, serviciile de securitate gestionate, care fac obiectul modificării propuse, sunt oferite de furnizori activi în întreaga Uniune, la fel ca și cei mai mari clienți potențiali ai acestora. Prin urmare, acțiunea la nivelul Uniunii este atât necesară, cât și mai eficace decât acțiunea la nivel național.
•Proporționalitatea
Propunerea este o modificare specifică a Regulamentului privind securitatea cibernetică. Aceasta se limitează la ceea ce este strict necesar pentru atingerea obiectivului său, și anume de a permite adoptarea unor sisteme europene de certificare a securității cibernetice pentru serviciile de securitate gestionate, pe lângă produsele TIC, serviciile TIC și procesele TIC. Modificările propuse adaptează, în special, domeniul de aplicare al cadrului european de certificare a securității cibernetice pentru a include „serviciile de securitate gestionate”, pentru a introduce o definiție a acestor servicii în conformitate cu Directiva NIS 2 și pentru a modifica obiectivele de securitate ale certificării europene a securității cibernetice astfel încât să o adapteze la „serviciile de securitate gestionate”. Celelalte modificări sunt de natură tehnică și sunt menite să asigure faptul că articolele relevante se aplică și „serviciilor de securitate gestionate”. Prin urmare, inițiativa propusă este proporțională cu obiectivul urmărit.
•Alegerea instrumentului
Întrucât propunerea modifică Regulamentul (UE) 2019/881, instrumentul juridic adecvat este un regulament.
3.REZULTATELE EVALUĂRILOR EX POST, ALE CONSULTĂRILOR CU PĂRȚILE INTERESATE ȘI ALE EVALUĂRILOR IMPACTULUI
•Evaluările ex post/verificarea adecvării legislației existente
Nu se aplică.
•Consultările cu părțile interesate
Au avut loc consultări specifice cu statele membre și ENISA. În cadrul acestor consultări, statele membre și-au descris activitățile și opiniile actuale în ceea ce privește certificarea serviciilor de securitate gestionate. ENISA și-a explicat punctele de vedere și constatările rezultate în urma discuțiilor cu statele membre și cu părțile interesate. Observațiile și informațiile primite din partea statelor membre și a ENISA au fost incluse în prezenta propunere.
•Obținerea și utilizarea cunoștințelor de specialitate
Nu se aplică.
•Evaluarea impactului
S-a solicitat o derogare de la necesitatea unei evaluări a impactului, deoarece propunerea este o modificare foarte limitată și specifică a Regulamentului privind securitatea cibernetică. Aceasta ar conferi Comisiei competența de a adopta, prin intermediul unor acte de punere în aplicare, sisteme de certificare pentru „servicii de securitate gestionate”, pe lângă produsele TIC, serviciile TIC și procesele TIC, care sunt deja reglementate prin regulament. Cu toate acestea, modificarea ar avea efect numai după ce astfel de sisteme de certificare sunt adoptate într-o etapă ulterioară. În plus, modificarea nu ar schimba caracterul voluntar al sistemelor de certificare.
•Adecvarea reglementărilor și simplificarea
Nu se aplică.
•Drepturile fundamentale
Propunerea nu are consecințe previzibile asupra protecției drepturilor fundamentale.
4.IMPLICAȚII BUGETARE
Niciuna.
5.ELEMENTE DIVERSE
•Planurile de punere în aplicare și mecanismele de monitorizare, evaluare și raportare
Dispozițiile care urmează să fie modificate prin propunere vor fi evaluate în cadrul evaluării periodice a Regulamentului privind securitatea cibernetică, care urmează să fie efectuată de Comisie în conformitate cu articolul 67 din acesta. Evaluarea analizează, printre altele, impactul, eficacitatea și eficiența dispozițiilor privind cadrul de certificare a securității cibernetice în ceea ce privește obiectivele de asigurare a unui nivel adecvat de securitate cibernetică a produselor TIC, a serviciilor TIC și a proceselor TIC în Uniune și de îmbunătățire a funcționării pieței interne. Propunerea conține o modificare ce asigură faptul că evaluarea vizează și serviciile de securitate gestionate. De asemenea, Comisia transmite Parlamentului European, Consiliului și Consiliului de administrație al ENISA un raport privind evaluarea și concluziile sale și face publice constatările raportului.
•Explicarea detaliată a dispozițiilor specifice ale propunerii
Propunerea conține două articole. Articolul 1 conține modificările aduse Regulamentului (UE) 2019/881, iar articolul 2 se referă la intrarea în vigoare. Articolul 1 conține modificări specifice ale domeniului de aplicare al cadrului european de certificare a securității cibernetice din Regulamentul privind securitatea cibernetică pentru a include „serviciile de securitate gestionate” (articolele 1 și 46 din Regulamentul privind securitatea cibernetică). Se introduce o definiție a acestor servicii, care este foarte strâns aliniată la definiția „furnizorilor de servicii de securitate gestionate” din Directiva NIS 2 (articolul 2 din Regulamentul privind securitatea cibernetică). De asemenea, se adaugă un nou articol, articolul 51a privind obiectivele de securitate ale certificării europene a securității cibernetice, adaptat la „serviciile de securitate gestionate”. În cele din urmă, propunerea conține o serie de modificări tehnice pentru a se asigura că articolele relevante se aplică și „serviciilor de securitate gestionate”.
2023/0108 (COD)
Propunere de
REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
de modificare a Regulamentului (UE) 2019/881 în ceea ce privește serviciile de securitate gestionate
(Text cu relevanță pentru SEE)
PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 114,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naționale,
având în vedere avizul Comitetului Economic și Social European,
având în vedere avizul Comitetului Regiunilor,
hotărând în conformitate cu procedura legislativă ordinară,
întrucât:
(1)Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului 7 stabilește un cadru pentru instituirea de sisteme europene de certificare a securității cibernetice cu scopul de a asigura un nivel adecvat de securitate cibernetică a produselor TIC, a serviciilor TIC și a proceselor TIC în Uniune, precum și cu scopul de a evita fragmentarea pieței interne în ceea ce privește sistemele de certificare a securității cibernetice din Uniune.
(2)Serviciile de securitate gestionate, care constau în desfășurarea de activități legate de gestionarea riscurilor în materie de securitate cibernetică ale clienților lor sau în furnizarea de asistență pentru astfel de activități, au dobândit o importanță din ce în ce mai mare în prevenirea și atenuarea incidentelor de securitate cibernetică. În consecință, furnizorii acestor servicii sunt considerați entități esențiale sau importante care aparțin unui sector cu o importanță critică ridicată în temeiul Directivei (UE) 2022/2555 a Parlamentului European și a Consiliului 8 . În conformitate cu considerentul 86 din directiva respectivă, furnizorii de servicii de securitate gestionate în domenii precum răspunsul în caz de incidente, testele de penetrare, auditurile de securitate și consultanța joacă un rol deosebit de important în sprijinirea entităților în eforturile lor de a preveni și de a detecta incidente, de a răspunde la acestea și de a se redresa după incidente. Totuși, și furnizorii de servicii de securitate gestionate au fost ținta atacurilor cibernetice și prezintă un risc deosebit din cauza integrării lor strânse în operațiunile clienților lor. Prin urmare, entitățile esențiale și entitățile importante în sensul Directivei (UE) 2022/2555 ar trebui să dea dovadă de o diligență sporită în selectarea unui furnizor de servicii de securitate gestionate.
(3)Furnizorii de servicii de securitate gestionate joacă, de asemenea, un rol important în rezerva pentru securitate cibernetică a UE, a cărei instituire treptată este sprijinită de Regulamentul (UE).../... [de stabilire a unor măsuri de consolidare a solidarității și a capacităților în Uniune de detectare, de pregătire și de răspuns la amenințările și incidentele de securitate cibernetică]. Rezerva UE de securitate cibernetică urmează să fie utilizată pentru a sprijini răspunsul și acțiunile imediate de redresare în cazul unor incidente de securitate cibernetică semnificative și de mare amploare. Regulamentul (UE).../... [de stabilire a unor măsuri de consolidare a solidarității și a capacităților în Uniune de detectare, de pregătire și de răspuns la amenințările și incidentele de securitate cibernetică] stabilește un proces de selecție pentru furnizorii care formează rezerva pentru securitate cibernetică a UE, care ar trebui, printre altele, să ia în considerare dacă furnizorul în cauză a obținut o certificare a securității cibernetice la nivel european sau național. Serviciile relevante furnizate de „furnizorii de încredere” în conformitate cu Regulamentul (UE).../... [de stabilire a unor măsuri de consolidare a solidarității și a capacităților în Uniune de detectare, de pregătire și de răspuns la amenințările și incidentele de securitate cibernetică] corespund „serviciilor de securitate gestionate” în conformitate cu prezentul regulament.
(4)Certificarea serviciilor de securitate gestionate nu este relevantă numai în procesul de selecție pentru rezerva pentru securitate cibernetică a UE, ci este și un indicator de calitate esențial pentru entitățile private și publice care intenționează să achiziționeze astfel de servicii. Având în vedere caracterul critic al serviciilor de securitate gestionate și sensibilitatea datelor pe care le prelucrează, certificarea ar putea oferi potențialilor clienți orientări și asigurări importante cu privire la credibilitatea acestor servicii. Sistemele europene de certificare pentru serviciile de securitate gestionate contribuie la evitarea fragmentării pieței unice. Prin urmare, prezentul regulament vizează îmbunătățirea funcționării pieței interne.
(5)Pe lângă implementarea produselor TIC, a serviciilor TIC sau a proceselor TIC, serviciile de securitate gestionate oferă adesea caracteristici suplimentare ale serviciilor care se bazează pe competențele, calificările și experiența personalului lor. Un nivel foarte ridicat al acestor competențe și calificări și al acestei experiențe, precum și proceduri interne adecvate ar trebui să facă parte din obiectivele de securitate pentru a asigura un nivel foarte înalt al calității serviciilor de securitate gestionate furnizate. Prin urmare, pentru a se asigura că toate aspectele unui serviciu de securitate gestionat pot face obiectul unui sistem de certificare, este necesar să se modifice Regulamentul (UE) 2019/881.
Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului și a emis un aviz la [ZZ/LL/AAAA],
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
Modificări aduse Regulamentului (UE) 2019/881
Regulamentul (UE) 2019/881 se modifică după cum urmează:
(1) La articolul 1 alineatul (1) primul paragraf, litera (b) se înlocuiește cu următorul text:
„(b) un cadru pentru instituirea de sisteme europene de certificare a securității cibernetice cu scopul de a asigura un nivel adecvat de securitate cibernetică a produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate în Uniune, precum și cu scopul de a evita fragmentarea pieței interne în ceea ce privește sistemele de certificare a securității cibernetice din Uniune.”;
(2) Articolul 2 se modifică după cum urmează:
(a) Punctele 9, 10 și 11 se înlocuiesc cu următoarele:
„(9) «sistem european de certificare a securității cibernetice» înseamnă un set cuprinzător de norme, cerințe tehnice, standarde și proceduri, instituite la nivelul Uniunii, care se aplică certificării sau evaluării conformității anumitor produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate;
(10) «sistem național de certificare a securității cibernetice» înseamnă un set cuprinzător de norme, cerințe tehnice, standarde și proceduri elaborate și adoptate de o autoritate națională publică, care se aplică certificării sau evaluării conformității produselor TIC, serviciilor TIC, proceselor TIC și serviciilor de securitate gestionate care intră în domeniul de aplicare al sistemului în cauză;
(11) «certificat european de securitate cibernetică» înseamnă un document emis de un organism relevant prin care se atestă că un anumit produs TIC, serviciu TIC, proces TIC sau serviciu de securitate gestionat a fost evaluat în scopul verificării conformității cu cerințele de securitate specifice prevăzute în cadrul unui sistem european de certificare a securității cibernetice;”;
(b) se introduce următorul punct:
„(14a) «serviciu de securitate gestionat» înseamnă un serviciu care constă în desfășurarea de activități legate de gestionarea riscurilor în materie de securitate cibernetică, inclusiv răspunsul la incidente, testele de rezistență la intruziuni, auditurile de securitate și consultanța, sau în furnizarea de asistență pentru astfel de activități;”;
(c) punctele 20, 21 și 22 se înlocuiesc cu următorul text:
„(20) «specificații tehnice» înseamnă un document care stabilește cerințele tehnice pe care trebuie să le îndeplinească un produs TIC, un serviciu TIC, un proces TIC sau un serviciu de securitate gestionat, ori procedurile de evaluare a conformității referitoare la acestea;
(21) «nivel de asigurare» înseamnă temeiul încrederii că un produs TIC, un serviciu TIC, un proces TIC sau un serviciu de securitate gestionat întrunește cerințele de securitate ale unui sistem european de certificare a securității cibernetice specific și indică nivelul la care a fost evaluat un produs TIC, un serviciu TIC, un proces TIC sau un serviciu de securitate gestionat, dar care nu măsoară ca atare securitatea produsului TIC, a serviciului TIC, a procesului TIC sau a serviciului de securitate gestionat în cauză;
(22) «autoevaluare a conformității» înseamnă o acțiune desfășurată de un producător sau de un furnizor de produse TIC, de servicii TIC, sau de procese TIC sau de servicii de securitate gestionate care evaluează dacă respectivele produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate îndeplinesc cerințele unui sistem european de certificare a securității cibernetice specific;”;
(3) La articolul 4, alineatul (6) se înlocuiește cu următorul text:
„(6) ENISA promovează recurgerea la certificarea europeană a securității cibernetice, cu scopul de a evita fragmentarea pieței interne. ENISA contribuie la instituirea și menținerea unui cadru de certificare europeană a securității cibernetice în conformitate cu titlul III din prezentul regulament, pentru a crește transparența securității cibernetice a produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate, consolidând astfel încrederea în piața internă digitală și în competitivitatea acesteia.”;
(4) Articolul 8 se modifică după cum urmează:
(a) alineatul (1) se înlocuiește cu următorul text:
„(1) ENISA sprijină și promovează elaborarea și punerea în aplicare a politicii Uniunii privind certificarea securității cibernetice a produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate, astfel cum se prevede în titlul III din prezentul regulament, prin:
(a) monitorizarea permanentă a evoluțiilor din domenii conexe standardizării și recomandarea unor specificații tehnice adecvate pentru a fi utilizate la dezvoltarea unor sisteme europene de certificare a securității cibernetice, în temeiul articolului 54 alineatul (1) litera (c), în cazurile în care standardele nu sunt disponibile;
(b) pregătirea propunerilor de sisteme europene de certificare a securității cibernetice (denumite în continuare „propuneri de sisteme”) pentru produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate, în conformitate cu articolul 49;
(c) evaluarea sistemelor europene de certificare a securității cibernetice adoptate, în conformitate cu articolul 49 alineatul (8);
(d) participarea la evaluările inter pares în temeiul articolului 59 alineatul (4);
(e) oferirea de asistență Comisiei în ceea ce privește asigurarea secretariatului ECCG, în temeiul articolului 62 alineatul (5).”;
(b) alineatul (3) se înlocuiește cu următorul text:
„(3) ENISA compilează și publică orientări și dezvoltă bune practici în ceea ce privește cerințele în materie de securitate cibernetică pentru produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate, în cooperare cu autoritățile naționale de certificare de securitate și cu industria, în cadrul unui proces oficial, standardizat și transparent.”;
(c) alineatul (5) se înlocuiește cu următorul text:
„(5) ENISA facilitează elaborarea și adoptarea de standarde europene și internaționale pentru gestionarea riscurilor și pentru securitatea produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate.”;
(5) La articolul 46, alineatele (1) și (2) se înlocuiesc cu următorul text:
„(1) Se instituie cadrul european de certificare a securității cibernetice pentru a îmbunătăți condițiile de funcționare a pieței interne prin creșterea nivelului de securitate cibernetică în Uniune și prin permiterea unei abordări armonizate la nivelul Uniunii în privința sistemelor europene de certificare a securității cibernetice, în scopul creării unei piețe unice digitale pentru produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate.”;
(2) Cadrul european de certificare a securității cibernetice prevede un mecanism de instituire a unor sisteme europene de certificare a securității cibernetice. Acesta atestă că produsele TIC, serviciile TIC și procesele TIC care au fost evaluate în conformitate cu sistemele respective sunt conforme cu cerințele de securitate specificate, cu scopul de a proteja disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise ori prelucrate sau funcțiile ori serviciile oferite de aceste produse, servicii și procese sau accesibile prin intermediul acestora pe întregul lor ciclu de viață. În plus, acesta atestă că serviciile de securitate gestionate care au fost evaluate în conformitate cu astfel de sisteme respectă cerințele de securitate specificate în scopul protejării disponibilității, autenticității, integrității și confidențialității datelor care sunt accesate, prelucrate, stocate sau transmise în legătură cu furnizarea serviciilor respective și că serviciile respective sunt furnizate în mod continuu de personal care are competența, calificările și experiența necesare, cu un nivel foarte ridicat de cunoștințe tehnice relevante și de integritate profesională.”;
(6) La articolul 47, alineatele (2) și (3) se înlocuiesc cu următorul text:
„(2) Programul de activitate etapizat la nivelul Uniunii include îndeosebi o listă a produselor TIC, a serviciilor TIC, a proceselor TIC sau a categoriilor acestora și a serviciilor de securitate gestionate care pot beneficia de includerea în sfera de aplicare a unui sistem european de certificare a securității cibernetice.
(3) Includerea unui anumit produs TIC, serviciu TIC, proces TIC sau a unei categorii a acestora ori a unor servicii de securitate gestionate în programul de activitate etapizat la nivelul Uniunii se justifică în baza unuia sau a mai multora dintre considerentele următoarele:
(a) disponibilitatea și dezvoltarea sistemelor naționale de certificare a securității cibernetice care se aplică oricărei categorii specifice de produse TIC, servicii TIC, sau procese TIC sau servicii de securitate gestionate, cu precădere în ceea ce privește riscul de fragmentare;
(b) politica sau dreptul relevant al Uniunii sau al statelor membre;
(c) cererea de pe piață;
(d) dezvoltările din domeniul amenințărilor cibernetice;
(e) solicitarea de pregătire a unei propuneri de sistem specifice de către ECCG.”;
(7) La articolul 49, alineatul (7) se înlocuiește cu următorul text:
„(7) Pe baza propunerii de sistem pregătite de ENISA, Comisia poate adopta acte de punere în aplicare care să prevadă sisteme europene de certificare a securității cibernetice pentru produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate care îndeplinesc cerințele prevăzute la articolele 51, 52 și 54. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 66 alineatul (2).”;
(8) Articolul 51 se modifică după cum urmează:
(a) titlul se înlocuiește cu următorul text:
Obiectivele de securitate ale sistemelor europene de certificare a securității cibernetice pentru produsele TIC, serviciile TIC și procesele TIC
(b) teza introductivă se înlocuiește cu următorul text:
„Un sistem european de certificare a securității cibernetice pentru produsele TIC, serviciile TIC sau procesele TIC este conceput pentru a îndeplini, după caz, cel puțin următoarele obiective de securitate:”
(9) Se introduce următorul articol:
„Articolul 51a
Obiectivele de securitate ale sistemelor europene de certificare a securității cibernetice pentru serviciile de securitate gestionate
Un sistem european de certificare a securității cibernetice pentru serviciile de securitate gestionate este conceput pentru a îndeplini, după caz, cel puțin următoarele obiective de securitate:
(a) să asigure că serviciile de securitate gestionate sunt furnizate de personal care are competența, calificările și experiența necesare, inclusiv un nivel foarte ridicat de cunoștințe tehnice și competențe în domeniul specific, experiență suficientă și adecvată și cel mai înalt grad de integritate profesională;
(b) să asigure că furnizorul dispune de proceduri interne adecvate pentru a se asigura că serviciile de securitate gestionate sunt furnizate la un nivel foarte ridicat de calitate în orice moment;
(c) să protejeze datele accesate, stocate, transmise sau prelucrate în alt mod în legătură cu furnizarea de servicii de securitate gestionate împotriva accesului accidental sau neautorizat, a stocării, a divulgării, a distrugerii, a altor prelucrări, a pierderii, a modificării sau a lipsei disponibilității;
(d) să asigure că disponibilitatea datelor, a serviciilor și a funcțiilor și accesul la acestea sunt restabilite în timp util în cazul unui incident fizic sau tehnic;
(e) să asigure că persoanele, programele sau dispozitivele autorizate pot avea acces numai la datele, serviciile sau funcțiile la care se referă drepturile lor de acces;
(f) să înregistreze și să permită să se evalueze care sunt datele, serviciile sau funcțiile care au fost accesate, utilizate sau procesate în alt mod, precum și în ce moment și de către cine au fost accesate, utilizate sau procesate acestea;
(g) să asigure că produsele TIC, serviciile TIC și procesele TIC [și hardware-ul] utilizate pentru furnizarea serviciilor de securitate gestionate sunt securizate în mod implicit și începând cu momentul conceperii, nu conțin vulnerabilități cunoscute și includ cele mai recente actualizări de securitate;”;
(10) Articolul 52 se modifică după cum urmează:
(a) alineatul (1) se înlocuiește cu următorul text:
„(1) Un sistem european de certificare a securității cibernetice poate stabili unul sau mai multe dintre următoarele niveluri de asigurare pentru produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate: „de bază”, „substanțial” sau „ridicat”. Nivelul de asigurare este corespunzător nivelului riscului asociat cu utilizarea preconizată a unui produs TIC, serviciu TIC, proces TIC sau serviciu de securitate gestionat, înțeles ca probabilitate și impact al unui incident.”;
(b) alineatul (3) se înlocuiește cu următorul text:
„(3) Cerințele de securitate corespunzătoare fiecărui nivel de asigurare sunt prevăzute de sistemul european de certificare a securității cibernetice relevant, inclusiv funcțiile de securitate corespunzătoare și rigoarea și profunzimea corespunzătoare ale evaluării la care a fost supus produsul TIC, serviciul TIC, procesul TIC sau serviciul de securitate gestionat.”;
(c) alineatele (5), (6) și (7) se înlocuiesc cu următorul text:
„(5) Un certificat european de securitate cibernetică sau o declarație de conformitate UE care face trimitere la nivelul de asigurare „de bază” oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate pentru care se eliberează certificatul respectiv sau declarația de conformitate UE respectivă îndeplinesc cerințele de securitate corespunzătoare, inclusiv funcțiile de securitate, și că acestea au fost evaluate la un nivel care urmărește minimizarea riscurilor de bază cunoscute de incidente și atacuri cibernetice. Activitățile de evaluare includ cel puțin o examinare a documentației tehnice. În cazurile în care o astfel de examinare nu este adecvată, se desfășoară activități de evaluare înlocuitoare cu efect echivalent.
(6) Un certificat european de securitate cibernetică care face trimitere la nivelul de asigurare „substanțial” oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate pentru care se eliberează certificatul respectiv îndeplinesc cerințele de securitate corespunzătoare, inclusiv funcțiile de securitate, și că acestea au fost evaluate la un nivel care urmărește minimizarea riscurilor pentru securitatea cibernetică cunoscute și a riscurilor de incidente și atacuri cibernetice desfășurate de actori cu competențe și resurse limitate. Activitățile de evaluare care trebuie întreprinse includ cel puțin următoarele: o examinare pentru a demonstra absența vulnerabilităților cunoscute public și testarea faptului că produsele TIC, serviciile TIC, procesele TIC sau serviciile de securitate gestionate implementează corect funcțiile de securitate necesare. În cazurile în care oricare dintre aceste activități de evaluare nu este adecvată, se desfășoară activități de evaluare înlocuitoare cu efect echivalent.
(7) Un certificat european de securitate cibernetică care face trimitere la nivelul de asigurare „ridicat” oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate pentru care se eliberează certificatul respectiv îndeplinesc cerințele de securitate corespunzătoare, inclusiv funcțiile de securitate, și că acestea au fost evaluate la un nivel care urmărește minimizarea riscului de atacuri cibernetice de ultimă generație desfășurate de actori cu competențe și resurse substanțiale. Activitățile de evaluare care trebuie întreprinse includ cel puțin următoarele: o examinare pentru a demonstra absența vulnerabilităților cunoscute public; testarea pentru a demonstra că produsele TIC, serviciile TIC, procesele TIC sau serviciile de securitate gestionate implementează corect funcțiile de securitate necesare, la nivel de ultimă generație; și o evaluare a rezistenței acestora la atacatori competenți prin teste de rezistență la intruziuni. În cazurile în care oricare dintre aceste activități de evaluare nu este adecvată, se desfășoară activități înlocuitoare cu efect echivalent.”;
(11) La articolul 53, alineatele (1), (2) și (3) se înlocuiesc cu următorul text:
„(1) Un sistem european de certificare a securității cibernetice poate permite efectuarea unei autoevaluări a conformității pe răspunderea exclusivă a producătorului sau a furnizorului de produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate. O astfel de autoevaluare a conformității este permisă numai în cazul produselor TIC, serviciilor TIC, proceselor TIC și serviciilor de securitate gestionate care prezintă un risc redus corespunzând nivelului de asigurare „de bază”.
(2) Producătorul sau furnizorul de produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate poate elibera o declarație de conformitate UE care menționează că s-a demonstrat îndeplinirea cerințelor prevăzute în sistem. Prin eliberarea unei astfel de declarații, producătorul sau furnizorul de produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate își asumă responsabilitatea pentru conformitatea produsului TIC, a serviciului TIC, a procesului TIC sau a serviciului de securitate gestionat cu cerințele stabilite în sistemul respectiv.
(3) Producătorul sau furnizorul de produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate pun la dispoziția autorității naționale de certificare a securității cibernetice menționată la articolul 58, pe durata stabilită în sistemul european de certificare a securității cibernetice corespunzător, declarația de conformitate UE, documentația tehnică și toate celelalte informații relevante legate de conformitatea produselor TIC, a serviciilor TIC sau a serviciilor de securitate gestionate cu sistemul. O copie a declarației de conformitate UE se transmite către autoritatea națională de certificare a securității cibernetice și către ENISA.”;
(12) La articolul 54, alineatul (1) se modifică după cum urmează:
(a) litera (a) se înlocuiește cu următorul text:
„(a) obiectul și sfera de aplicare a sistemului de certificare, inclusiv tipul sau categoriile de produse TIC, servicii TIC, procese TIC și servicii de securitate gestionate acoperite;”;
(b) litera (j) se înlocuiește cu următorul text:
„(j) normele pentru monitorizarea conformității produselor TIC, serviciilor TIC, proceselor TIC și serviciilor de securitate gestionate cu cerințele certificatelor europene de securitate cibernetică sau ale declarațiilor de conformitate UE, inclusiv mecanisme care să demonstreze conformitatea neîntreruptă cu cerințele de securitate cibernetică specificate;”;
(c) litera (l) se înlocuiește cu următorul text:
„(l) normele privind consecințele neconformității produselor TIC, serviciilor TIC, proceselor TIC și serviciilor de securitate gestionate care au fost certificate sau pentru care a fost eliberată o declarație de conformitate UE, dar care nu sunt conforme cu cerințele sistemului;”;
(d) litera (o) se înlocuiește cu următorul text:
„(o) identificarea sistemelor naționale sau internaționale de certificare a securității cibernetice care se referă la aceleași tipuri sau categorii de produse TIC, servicii TIC, procese TIC și servicii de securitate gestionate, cerințele de securitate și criteriile și metodele de evaluare și nivelurile de asigurare;”;
(e) litera (q) se înlocuiește cu următorul text:
„(q) perioada de valabilitate a declarației de conformitate UE, documentația tehnică și toate celelalte informații relevante care sunt puse la dispoziție de producătorul sau de furnizorul de produse TIC, de servicii TIC, de procese TIC sau de servicii de securitate gestionate;”;
(13) Articolul 56 se modifică după cum urmează:
(a) alineatul (1) se înlocuiește cu următorul text:
„(1) Produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate care au fost certificate în cadrul unui sistem european de certificare a securității cibernetice adoptat în temeiul articolului 49 sunt considerate a fi conforme cu cerințele acestui sistem.”;
(b) alineatul (3) se modifică după cum urmează:
(i) primul paragraf se înlocuiește cu textul următor:
„Comisia evaluează periodic eficiența și utilizarea sistemelor europene de certificare a securității cibernetice adoptate și analizează dacă un anumit sistem european de certificare a securității cibernetice trebuie să devină obligatoriu prin dreptul relevant al Uniunii, pentru a se asigura un nivel adecvat de securitate cibernetică a produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate în Uniune și pentru a se îmbunătăți funcționarea pieței interne. Prima evaluare se efectuează până la 31 decembrie 2023, iar evaluările ulterioare se efectuează cel puțin din doi în doi ani după această dată. Pe baza rezultatelor evaluărilor respective, Comisia identifică produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate care fac obiectul unui sistem de certificare existent și care trebuie să fie incluse într-un sistem de certificare obligatoriu.”;
(ii) al treilea paragraf se modifică după cum urmează:
(aa) litera (a) se înlocuiește cu următorul text:
„(a) ia în considerare impactul măsurilor asupra producătorilor sau furnizorilor de astfel de produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate, precum și asupra utilizatorilor în ceea ce privește costul măsurilor respective, avantajele societale sau economice care decurg din nivelul sporit de securitate preconizat pentru produsele TIC, serviciile TIC, procesele TIC sau serviciile de securitate gestionate vizate;”;
(bb) litera (d) se înlocuiește cu următorul text:
„(d) ia în considerare termenele de punere în aplicare, precum și măsurile și perioadele de tranziție, în special în ceea ce privește impactul posibil al măsurilor asupra producătorilor sau a furnizorilor de produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate, inclusiv asupra IMM-urilor;”;
(c) alineatele (7) și (8) se înlocuiesc cu următorul text:
„(7) Persoana fizică sau juridică care își supune certificării produsele TIC, serviciile TIC, procesele TIC sau serviciile de securitate gestionate pune la dispoziția autorității naționale de certificare a securității cibernetice menționată la articolul 58, în cazul în care această autoritate este organismul care eliberează certificatul european de securitate cibernetică, sau la dispoziția organismului de evaluare a conformității menționat la articolul 60 toate informațiile necesare pentru desfășurarea certificării.
(8) Deținătorul unui certificat european de securitate cibernetică informează autoritatea sau organismul menționat la alineatul (7) despre orice vulnerabilități sau nereguli detectate ulterior, legate de securitatea produsului TIC, a serviciului TIC, a procesului TIC sau a serviciilor de securitate gestionate certificat(e), care pot avea un impact asupra conformității sale cu cerințele legate de certificare. Autoritatea sau organismul respectiv transmite aceste informații fără întârzieri nejustificate autorității naționale de certificare a securității cibernetice în cauză.”.
(14) La articolul 57, alineatele (1) și (2) se înlocuiesc cu următorul text:
„(1) Fără a aduce atingere alineatului (3) din prezentul articol, sistemele naționale de certificare a securității cibernetice și procedurile aferente pentru produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate care fac obiectul unui sistem european de certificare a securității cibernetice încetează să mai producă efecte de la data stabilită în actul de punere în aplicare adoptat în temeiul articolului 49 alineatul (7). Sistemele naționale de certificare a securității cibernetice și procedurile aferente pentru produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate care nu fac obiectul unui sistem european de certificare a securității cibernetice continuă să existe.
(2) Statele membre nu introduc noi sisteme naționale de certificare a securității cibernetice pentru produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate care fac deja obiectul unui sistem european de certificare a securității cibernetice în vigoare.”;
(15) Articolul 58 se modifică după cum urmează:
(a) alineatul (7) se modifică după cum urmează:
(i) literele (a) și (b) se înlocuiesc cu următorul text:
„(a) supraveghează și asigură respectarea normelor incluse în sistemele europene de certificare a securității cibernetice în temeiul articolului 54 alineatul (1) litera (j) pentru monitorizarea conformității produselor TIC, serviciilor TIC, proceselor TIC și serviciilor de securitate gestionate cu cerințele certificatelor europene de securitate cibernetică eliberate pe teritoriile lor respective, în cooperare cu alte autorități relevante de supraveghere a pieței;
(b) monitorizează respectarea obligațiilor producătorilor sau furnizorilor de produse TIC, servicii TIC, procese TIC sau servicii de securitate gestionate care sunt stabiliți pe teritoriile lor respective și care desfășoară autoevaluări ale conformității și pun în aplicare aceste obligații, în special respectarea obligațiilor unor astfel de producători sau furnizori prevăzute la articolul 53 alineatele (2) și (3) și în sistemele europene de certificare a securității cibernetice corespunzătoare;”;
(ii) litera (h) se înlocuiește cu următorul text:
„(h) cooperează cu alte autorități naționale de certificare a securității cibernetice sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate cu cerințele prezentului regulament sau cu cerințele sistemului european de certificare a securității cibernetice specific; și”;
(b) alineatul (9) se înlocuiește cu următorul text:
„(9) Autoritățile naționale de certificare a securității cibernetice cooperează între ele și cu Comisia în special prin schimb de informații, de experiență și de bune practici în ceea ce privește certificarea securității cibernetice și aspectele tehnice privind securitatea cibernetică a produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate.”;
(16) La articolul 59 alineatul (3), literele (b) și (c) se înlocuiesc cu următorul text:
„(b) procedurile de supraveghere și de asigurare a respectării normelor de monitorizare a conformității produselor TIC, serviciilor TIC, proceselor TIC și serviciilor de securitate gestionate cu certificatele europene de securitate cibernetică în temeiul articolului 58 alineatul (7) litera (a);
(c) procedurile de monitorizare și de asigurare a respectării obligațiilor producătorilor și ale furnizorilor de produse TIC, de servicii TIC, de procese TIC sau de servicii de securitate gestionate în conformitate cu articolul 58 alineatul (7) litera (b);”;
(17) La articolul 67, alineatele (2) și (3) se înlocuiesc cu următorul text:
„(2) Evaluarea analizează, de asemenea, impactul, eficacitatea și eficiența dispozițiilor din titlul III din prezentul regulament în ceea ce privește obiectivele de asigurare a unui nivel adecvat de securitate cibernetică a produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate în Uniune și de îmbunătățire a funcționării pieței interne.
(3) Evaluarea examinează dacă sunt necesare cerințe esențiale de securitate cibernetică pentru a avea acces la piața internă, cu scopul de a împiedica ca produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate care nu respectă cerințele de bază în materie de securitate cibernetică să intre pe piața Uniunii.”.
Articolul 2
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Strasbourg,
Pentru Parlamentul European, Pentru Consiliu,
Președinta Președintele