EURÓPSKA KOMISIA

V Štrasburgu18. 4. 2023

COM(2023) 208 final

2023/0108(COD)

Návrh

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY,

ktorým sa mení nariadenie (EÚ) 2019/881, pokiaľ ide o riadené bezpečnostné služby

(Text s významom pre EHP)

DÔVODOVÁ SPRÁVA

1.KONTEXT NÁVRHU

•Dôvody a ciele návrhu

Táto dôvodová správa je sprievodným dokumentom k návrhu nariadenia Európskeho parlamentu a Rady, ktorým sa mení nariadenie (EÚ) 2019/881 1 , pokiaľ ide o riadené bezpečnostné služby.

Zámerom navrhovanej cielenej zmeny je prostredníctvom vykonávacích aktov Komisie umožniť prijatie európskych systémov certifikácie kybernetickej bezpečnosti aj pre „riadené bezpečnostné služby“ okrem produktov informačných a komunikačných technológií (ďalej len „IKT“), služieb IKT a procesov IKT, ktoré sú už obsiahnuté v akte o kybernetickej bezpečnosti. Riadené bezpečnostné služby zohrávajú čoraz dôležitejšiu úlohu pri prevencii a zmierňovaní kybernetických incidentov.

Rada vo svojich záveroch z 23. mája 2022 2 o vývoji prístupu Európskej únie ku kybernetickej bezpečnosti vyzvala Úniu a jej členské štáty, aby zintenzívnili úsilie o zvýšenie celkovej úrovne kybernetickej bezpečnosti, napríklad uľahčením vzniku dôveryhodných poskytovateľov služieb kybernetickej bezpečnosti, a zdôraznila, že podpora rozvoja takýchto poskytovateľov by mala byť prioritou priemyselnej politiky Únie v oblasti kybernetickej bezpečnosti. Takisto vyzvala Komisiu, aby navrhla možnosti na podporu vzniku dôveryhodného odvetvia služieb v oblasti kybernetickej bezpečnosti. Certifikácia riadených bezpečnostných služieb je účinným prostriedkom na budovanie dôvery v kvalitu týchto služieb, čím uľahčuje vznik dôveryhodného európskeho odvetvia služieb v oblasti kybernetickej bezpečnosti.

V spoločnom oznámení s názvom Politika EÚ v oblasti kybernetickej obrany prijaté Komisiou a vysokým predstaviteľom 10. novembra 2022 3 sa uvádza, že Komisia preskúma rozvoj systémov certifikácie kybernetickej bezpečnosti na úrovni EÚ pre odvetvie kybernetickej bezpečnosti a súkromné spoločnosti. Poskytovatelia riadených bezpečnostných služieb budú takisto zohrávať dôležitú úlohu v rámci rezerv na účely kybernetickej bezpečnosti na úrovni EÚ, ktorých postupné vytvorenie je podporené aktom o kybernetickej solidarite navrhnutom súbežne s týmto nariadením. Rezervy na účely kybernetickej bezpečnosti na úrovni EÚ sa majú použiť na podporu reakcie a okamžitých opatrení na obnovu v prípade významných kybernetických bezpečnostných incidentov veľkého rozsahu. Príslušné služby kybernetickej bezpečnosti poskytované „dôveryhodnými poskytovateľmi“ uvedenými v akte o kybernetickej solidarite zodpovedajú „riadeným bezpečnostným službám“ v tomto návrhu.

Niektoré členské štáty už začali prijímať systémy certifikácie pre riadené bezpečnostné služby. V dôsledku nejednotnosti systémov certifikácie kybernetickej bezpečnosti v rámci Únie preto narastá riziko fragmentácie vnútorného trhu s riadenými bezpečnostnými službami. Tento návrh umožňuje vytvorenie európskych systémov certifikácie kybernetickej bezpečnosti pre tieto služby, aby sa zabránilo takejto fragmentácii.

•Súlad s existujúcimi ustanoveniami v tejto oblasti politiky

Tento návrh je v súlade s aktom o kybernetickej bezpečnosti, ktorý sa ním mení. Vychádza z ustanovení uvedeného nariadenia a prispôsobuje ich tak, aby zahŕňali aj riadené bezpečnostné služby. Navrhované zmeny sa obmedzujú na to, čo je nevyhnutne potrebné, a nemenia povahu ani fungovanie aktu o kybernetickej bezpečnosti.

Tento návrh je v súlade aj so smernicou Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) 4 . Poskytovatelia riadených bezpečnostných služieb sa podľa smernice (EÚ) 2022/2555 považujú za kľúčové alebo dôležité subjekty patriace do odvetvia s vysokou úrovňou kritickosti. V odôvodnení 86 danej smernice sa uvádza, že poskytovatelia riadených bezpečnostných služieb zohrávajú osobitne dôležitú úlohu v pomoci subjektom v ich úsilí o prevenciu, odhaľovanie incidentov, reakciu na ne alebo zotavenie sa z nich, a to v takých oblastiach, ako je reakcia na incidenty, penetračné testovanie, bezpečnostné audity a poradenstvo. Aj samotní poskytovatelia riadených bezpečnostných služieb však boli cieľom kybernetických útokov a ich úzke zapojenie do činnosti ich zákazníkov predstavuje osobitné riziko. Kľúčové a dôležité subjekty v zmysle smernice (EÚ) 2022/2555 by preto mali výberu poskytovateľa riadených bezpečnostných služieb venovať zvýšenú pozornosť.

Cieľom tohto návrhu je zlepšiť kvalitu riadených bezpečnostných služieb a zvýšiť ich porovnateľnosť. Umožňuje tak kľúčovým a dôležitým subjektom venovať výberu poskytovateľa riadených bezpečnostných služieb zvýšenú pozornosť, ako sa vyžaduje v smernici (EÚ) 2022/2555. Navyše vymedzenie pojmu „riadené bezpečnostné služby“ v tomto návrhu je odvodené od vymedzenia pojmu „poskytovatelia riadených bezpečnostných služieb“ v smernici (EÚ) 2022/2555 a je mu veľmi podobné. Z uvedených dôvodov návrh veľmi dobre dopĺňa smernicu NIS 2.

Napokon tento návrh dopĺňa navrhovaný akt o kybernetickej solidarite. V navrhovanom akte o kybernetickej solidarite sa stanovuje postup výberu poskytovateľov, ktorí budú tvoriť rezervy na účely kybernetickej bezpečnosti na úrovni EÚ, pričom tento postup by okrem iného mal zohľadňovať, či poskytovatelia získali európsku alebo vnútroštátnu certifikáciu kybernetickej bezpečnosti. Budúce systémy certifikácie pre riadené bezpečnostné služby tak budú zohrávať významnú úlohu pri vykonávaní aktu o kybernetickej solidarite.

•Súlad s ostatnými politikami Únie

Tento návrh nemá vplyv na súlad aktu o kybernetickej bezpečnosti s nariadením (EÚ) 2016/679 (všeobecné nariadenie o ochrane údajov) 5 a jeho ustanoveniami o zavedení certifikačných mechanizmov, ako aj pečatí a značiek ochrany údajov na preukázanie súladu spracovateľských operácií prevádzkovateľov a sprostredkovateľov s uvedeným nariadením. Aktom o kybernetickej bezpečnosti nie je dotknutá certifikácia operácií spracovania údajov podľa všeobecného nariadenia o ochrane údajov, čo platí aj pre prípady, keď sú takéto operácie súčasťou produktov a služieb.

Okrem toho tento návrh nemá vplyv na zlučiteľnosť aktu o kybernetickej bezpečnosti s nariadením (ES) č. 765/2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom 6 , najmä pokiaľ ide o rámec pre vnútroštátne akreditačné orgány, orgány posudzovania zhody a vnútroštátne orgány dohľadu nad certifikáciou.

2.PRÁVNY ZÁKLAD, SUBSIDIARITA A PROPORCIONALITA

•Právny základ

Týmto návrhom sa mení akt o kybernetickej bezpečnosti, ktorý je založený na článku 114 Zmluvy o fungovaní Európskej únie (ZFEÚ). Podobne ako v prípade aktu o kybernetickej bezpečnosti, cieľom tohto návrhu je zabrániť fragmentácii vnútorného trhu, a to umožnením prijatia európskych systémov certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby. Členské štáty začali prijímať vnútroštátne systémy certifikácie pre riadené bezpečnostné služby. Existuje teda konkrétne riziko fragmentácie vnútorného trhu s týmito službami, ktoré chce tento návrh riešiť. Článok 114 ZFEÚ preto predstavuje relevantný právny základ tejto iniciatívy.

•Subsidiarita (v prípade inej ako výlučnej právomoci)

Cieľ umožniť prijatie európskych systémov certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby a zabrániť fragmentácii vnútorného trhu nemožno dosiahnuť na vnútroštátnej úrovni, ale len na úrovni Únie. Navyše poskytovatelia, ktorí ponúkajú riadené bezpečnostné služby, na ktoré sa navrhovaná zmena zameriava, pôsobia v celej Únii, rovnako ako ich najväčší potenciálni zákazníci. Opatrenie na úrovni Únie je preto potrebné a aj účinnejšie ako opatrenie na vnútroštátnej úrovni.

•Proporcionalita

Návrh je cielenou zmenou aktu o kybernetickej bezpečnosti. Obmedzuje sa na to, čo je nevyhnutne potrebné na dosiahnutie stanoveného cieľa, teda umožniť prijatie európskych systémov certifikácie kybernetickej bezpečnosti aj pre riadené bezpečnostné služby okrem produktov IKT, služieb IKT a procesov IKT. Navrhovanými zmenami sa prispôsobuje najmä rozsah pôsobnosti európskeho rámca certifikácie kybernetickej bezpečnosti tak, aby v ňom boli zahrnuté aj „riadené bezpečnostné služby“, zavedené vymedzenie týchto služieb v súlade so smernicou NIS 2 a zmenené bezpečnostné ciele európskej certifikácie kybernetickej bezpečnosti s cieľom prispôsobiť tento rámec „riadeným bezpečnostným službám“. Ostatné zmeny majú technický charakter a ich cieľom je zabezpečiť, aby sa relevantné články uplatňovali aj na „riadené bezpečnostné služby“. Navrhovaná iniciatíva je teda primeraná sledovanému cieľu.

•Výber nástroja

Keďže návrhom sa mení nariadenie (EÚ) 2019/881, vhodným právnym nástrojom je nariadenie.

3.VÝSLEDKY HODNOTENÍ EX POST, KONZULTÁCIÍ SO ZAINTERESOVANÝMI STRANAMI A POSÚDENÍ VPLYVU

•Hodnotenia ex post/kontroly vhodnosti existujúcich právnych predpisov

Neuplatňuje sa.

•Konzultácie so zainteresovanými stranami

Uskutočnili sa cielené konzultácie s členskými štátmi a agentúrou ENISA. Členské štáty v nich opísali svoje súčasné činnosti a stanoviská, pokiaľ ide o certifikáciu riadených bezpečnostných služieb. Agentúra ENISA vysvetlila svoje stanoviská a zistenia z diskusií s členskými štátmi a zainteresovanými stranami. Pripomienky a informácie získané od členských štátov a agentúry ENISA sa zohľadnili v tomto návrhu.

•Získavanie a využívanie praktických alebo odborných znalostí

Neuplatňuje sa.

•Posúdenie vplyvu

Bola predložená žiadosť o výnimku z potreby posúdenia vplyvu, keďže návrh predstavuje veľmi obmedzenú a cielenú zmenu aktu o kybernetickej bezpečnosti. Komisia by ním bola splnomocnená, aby okrem produktov IKT, služieb IKT a procesov IKT, na ktoré sa už tento akt vzťahuje, prijala prostredníctvom vykonávacích aktov systémy certifikácie aj pre „riadené bezpečnostné služby“. Zmena by však bola účinná až neskôr, po prijatí takýchto systémov certifikácie. Okrem toho by táto zmena nemenila dobrovoľný charakter systémov certifikácie.

•Regulačná vhodnosť a zjednodušenie

Neuplatňuje sa.

•Základné práva

Návrh nemá žiadne predvídateľné dôsledky z hľadiska ochrany základných práv. 

4.VPLYV NA ROZPOČET

Žiadny.

5.ĎALŠIE PRVKY

•Plány vykonávania, spôsob monitorovania, hodnotenia a podávania správ

Ustanovenia, ktoré sa majú návrhom zmeniť, sa vyhodnotia ako súčasť pravidelného hodnotenia aktu o kybernetickej bezpečnosti, ktoré má Komisia vykonať v súlade s jeho článkom 67. V hodnotení sa okrem iného posúdi vplyv, účinnosť a efektívnosť ustanovení o rámci certifikácie kybernetickej bezpečnosti z hľadiska cieľov zabezpečiť primeranú úroveň kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT v Únii a zlepšiť fungovanie vnútorného trhu. Návrh obsahuje zmenu, ktorou sa zabezpečí, aby sa hodnotenie vzťahovalo aj na riadené bezpečnostné služby. Komisia takisto zasiela správu o hodnotení a jeho záveroch Európskemu parlamentu, Rade a správnej rade agentúry ENISA a výsledky tejto správy zverejňuje.

•Podrobné vysvetlenie konkrétnych ustanovení návrhu

Návrh obsahuje dva články. Článok 1 obsahuje zmeny nariadenia (EÚ) 2019/881, zatiaľ čo článok 2 sa týka nadobudnutia účinnosti. Článok 1 obsahuje cielené zmeny, ktorými sa má zmeniť rozsah pôsobnosti európskeho rámca certifikácie kybernetickej bezpečnosti v akte o kybernetickej bezpečnosti tak, aby zahŕňal „riadené bezpečnostné služby“ (články 1 a 46 aktu o kybernetickej bezpečnosti). Zavádza sa ním vymedzenie týchto služieb, ktoré je veľmi úzko zosúladené s vymedzením pojmu „poskytovatelia riadených bezpečnostných služieb“ podľa smernice NIS 2 (článok 2 aktu o kybernetickej bezpečnosti). Dopĺňa sa ním aj nový článok 51a o bezpečnostných cieľoch európskej certifikácie kybernetickej bezpečnosti prispôsobených „riadeným bezpečnostným službám“. Napokon návrh obsahuje niekoľko technických zmien, ktoré majú zabezpečiť, aby sa relevantné články vzťahovali aj na „riadené bezpečnostné služby“.

2023/0108 (COD)

Návrh

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY,

ktorým sa mení nariadenie (EÚ) 2019/881, pokiaľ ide o riadené bezpečnostné služby

(Text s významom pre EHP)

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 114,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru,

so zreteľom na stanovisko Výboru regiónov,

konajúc v súlade s riadnym legislatívnym postupom,

keďže:

(1)Nariadením Európskeho parlamentu a Rady (EÚ) 2019/881 7 sa stanovuje rámec pre zavádzanie európskych systémov certifikácie kybernetickej bezpečnosti na zabezpečenie primeranej úrovne kybernetickej bezpečnosti produktov IKT, služieb IKT a procesov IKT v Únii, ako aj na predídenie fragmentácii vnútorného trhu z hľadiska systémov certifikácie kybernetickej bezpečnosti v Únii.

(2)Riadené bezpečnostné služby, ktorých predmetom je vykonávanie činností súvisiacich s riadením rizika kybernetickej bezpečnosti ich zákazníkov alebo poskytovanie pomoci pri týchto činnostiach, nadobúdajú čoraz väčší význam pri prevencii a zmierňovaní kybernetických incidentov. V súlade s tým sa poskytovatelia týchto služieb považujú za kľúčové alebo dôležité subjekty patriace do odvetvia s vysokou úrovňou kritickosti podľa smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 8 . Podľa odôvodnenia 86 uvedenej smernice zohrávajú poskytovatelia riadených bezpečnostných služieb osobitne dôležitú úlohu v pomoci subjektom v ich úsilí o prevenciu, odhaľovanie incidentov, reakciu na ne alebo zotavenie sa z nich, a to v takých oblastiach, ako je reakcia na incidenty, penetračné testovanie, bezpečnostné audity a poradenstvo. Aj samotní poskytovatelia riadených bezpečnostných služieb však boli cieľom kybernetických útokov a ich úzke zapojenie do činnosti ich zákazníkov predstavuje osobitné riziko. Kľúčové a dôležité subjekty v zmysle smernice (EÚ) 2022/2555 by preto mali výberu poskytovateľa riadených bezpečnostných služieb venovať zvýšenú pozornosť.

(3)Poskytovatelia riadených bezpečnostných služieb takisto zohrávajú dôležitú úlohu v rámci rezerv EÚ na účely kybernetickej bezpečnosti, ktorých postupné vytvorenie sa podporuje nariadením (EÚ) …/… [, ktorým sa stanovujú opatrenia na posilnenie solidarity a kapacít v Únii na odhaľovanie kybernetických hrozieb a incidentov, prípravu a reakciu na ne]. Rezervy EÚ na účely kybernetickej bezpečnosti sa majú použiť na podporu reakcie a okamžitých opatrení na obnovu v prípade významných kybernetických bezpečnostných incidentov veľkého rozsahu. V nariadení (EÚ) …/…[, ktorým sa stanovujú opatrenia na posilnenie solidarity a kapacít v Únii na odhaľovanie kybernetických hrozieb a incidentov, prípravu a reakciu na ne,] sa stanovuje výberový proces pre poskytovateľov, ktorí tvoria rezervy EÚ na účely kybernetickej bezpečnosti, v ktorom by sa okrem iného malo zohľadniť, či dotknutý poskytovateľ získal európsku alebo vnútroštátnu certifikáciu kybernetickej bezpečnosti. Príslušné služby poskytované „dôveryhodnými poskytovateľmi“ podľa nariadenia (EÚ) …/…[, ktorým sa stanovujú opatrenia na posilnenie solidarity a kapacít v Únii na odhaľovanie kybernetických hrozieb a incidentov, prípravu a reakciu na ne,] zodpovedajú „riadeným bezpečnostným službám“ v súlade s týmto nariadením.

(4)Certifikácia riadených bezpečnostných služieb sa netýka len výberového procesu pre rezervy EÚ na účely kybernetickej bezpečnosti, ale je takisto dôležitým ukazovateľom kvality pre súkromné a verejné subjekty, ktoré majú v úmysle si takéto služby zakúpiť. Vzhľadom na kritickosť riadených bezpečnostných služieb a citlivosť údajov, ktoré spracúvajú, by certifikácia mohla poskytnúť potenciálnym zákazníkom dôležité usmernenie a uistenie o dôveryhodnosti týchto služieb. Európske systémy certifikácie pre riadené bezpečnostné služby prispievajú k predchádzaniu fragmentácii jednotného trhu. Cieľom tohto nariadenia je teda zlepšiť fungovanie vnútorného trhu.

(5)Riadené bezpečnostné služby často poskytujú okrem zavádzania produktov IKT, služieb IKT alebo procesov IKT aj ďalšie služby, ktoré sú závislé od zručností, odborných znalosti a skúseností ich zamestnancov. Na zabezpečenie veľmi vysokej kvality poskytovaných riadených bezpečnostných služieb by súčasťou bezpečnostných cieľov mala byť veľmi vysoká úroveň týchto zručností, odborných znalostí a skúseností, ako aj vhodné interné postupy. V záujme zabezpečenia toho, aby sa systém certifikácie vzťahoval na všetky aspekty riadenej bezpečnostnej služby, je teda potrebné zmeniť nariadenie (EÚ) 2019/881. 
 
V súlade s článkom 42 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 sa uskutočnila konzultácia s európskym dozorným úradníkom pre ochranu údajov, ktorý [DD. MM. RRRR] vydal svoje stanovisko,

PRIJALI TOTO NARIADENIE:

Článok 1

Zmeny nariadenia (EÚ) 2019/881

Nariadenie (EÚ) 2019/881 sa mení takto:

1.    V článku 1 ods. 1 prvom pododseku sa písmeno b) nahrádza takto:

„b) rámec pre zavádzanie európskych systémov certifikácie kybernetickej bezpečnosti na zabezpečenie primeranej úrovne kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v Únii, ako aj na predídenie fragmentácii vnútorného trhu z hľadiska systémov certifikácie kybernetickej bezpečnosti v Únii.“

2.    Článok 2 sa mení takto:

a)    Body 9, 10 a 11 sa nahrádzajú takto:

„9. „európsky systém certifikácie kybernetickej bezpečnosti“ je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov, ktoré sú stanovené na úrovni Únie a ktoré sa uplatňujú na certifikáciu alebo posudzovanie zhody konkrétnych produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb;

10. „vnútroštátny systém certifikácie kybernetickej bezpečnosti“ je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov vypracovaných a prijatých vnútroštátnym orgánom verejnej moci a uplatňovaných pri certifikácii alebo posudzovaní zhody produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v rozsahu pôsobnosti príslušného systému;

11. „európsky certifikát kybernetickej bezpečnosti“ je dokument, ktorý vydal príslušný orgán a ktorým sa potvrdzuje, že daný produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba boli predmetom hodnotenia, pokiaľ ide o súlad s konkrétnymi bezpečnostnými požiadavkami stanovenými v európskom systéme certifikácie kybernetickej bezpečnosti;“;

b)    Vkladá sa toto písmeno:

„14a. „riadená bezpečnostná služba“ je služba, ktorej predmetom je vykonávanie činností súvisiacich s riadením rizika kybernetickej bezpečnosti alebo poskytovanie pomoci pri týchto činnostiach vrátane reakcie na incidenty, penetračného testovania, bezpečnostných auditov a poradenstva;“;

c)    Body 20, 21 a 22 sa nahrádzajú takto:

„20. „technické špecifikácie“ sú dokument, v ktorom sa predpisujú technické požiadavky, ktoré musí spĺňať produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba, alebo postupy posudzovania zhody týkajúce sa produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby;

21. „stupeň dôveryhodnosti“ je základ pre presvedčenie, že produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba spĺňa bezpečnostné požiadavky konkrétneho európskeho systému certifikácie kybernetickej bezpečnosti a uvádza úroveň, na akej sa produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba hodnotili, ale ako taký nemeria bezpečnosť produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby;

22. „vlastné posúdenie zhody“ je činnosť vykonávaná výrobcom alebo poskytovateľom produktov IKT, služieb IKT, alebo procesov IKT alebo riadených bezpečnostných služieb, ktorou sa hodnotí, či tieto produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby spĺňajú požiadavky konkrétneho európskeho systému certifikácie kybernetickej bezpečnosti.“

3.    V článku 4 sa odsek 6 nahrádza takto:

„6. Agentúra ENISA presadzuje používanie európskej certifikácie kybernetickej bezpečnosti, aby predišla fragmentácii vnútorného trhu. Agentúra ENISA prispieva k zriadeniu a udržiavaniu európskeho rámca certifikácie kybernetickej bezpečnosti v súlade s hlavou III tohto nariadenia, aby sa posilnila transparentnosť kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, a tým sa posilnila dôvera v digitálny vnútorný trh a jeho konkurencieschopnosť.“

4.    Článok 8 sa mení takto:

a)    Odsek 1 sa nahrádza takto:

„1. Agentúra ENISA podporuje a presadzuje tvorbu a vykonávanie politiky Únie v oblasti certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v zmysle hlavy III tohto nariadenia, a to tak, že:

a) neustále monitoruje vývoj v súvisiacich oblastiach normalizácie a odporúča vhodné technické špecifikácie na použitie pri rozvoji európskych systémov certifikácie kybernetickej bezpečnosti podľa článku 54 ods. 1 písm. c) v prípadoch, keď normy nie sú k dispozícii;

b) vypracúva kandidátske európske systémy certifikácie kybernetickej bezpečnosti (ďalej len „kandidátske systémy“) produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v súlade s článkom 49;

c) hodnotí prijaté európske systémy certifikácie kybernetickej bezpečnosti v súlade s článkom 49 ods. 8;

d) zapája sa do partnerských preskúmaní podľa článku 59 ods. 4;

e) pomáha Komisii pri poskytovaní sekretariátu skupine ECCG podľa článku 62 ods. 5.“

b)    Odsek 3 sa nahrádza takto:

„3. Agentúra ENISA zostavuje a uverejňuje usmernenia a vypracúva osvedčené postupy, ktoré sa týkajú požiadaviek kybernetickej bezpečnosti na produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby, a to v spolupráci s vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti a s príslušným odvetvím formálnym, štandardizovaným a transparentným spôsobom.“

c)    Odsek 5 sa nahrádza takto:

„5. Agentúra ENISA uľahčuje zavádzanie a využívanie európskych i medzinárodných noriem v oblasti riadenia rizika a v oblasti bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb.“

5.    V článku 46 sa odseky 1 a 2 nahrádzajú takto:

„1. V záujme vytvorenia digitálneho jednotného trhu s produktmi IKT, službami IKT, procesmi IKT a riadenými bezpečnostnými službami sa zriadi európsky rámec certifikácie kybernetickej bezpečnosti s cieľom zlepšiť podmienky fungovania vnútorného trhu zvýšením úrovne kybernetickej bezpečnosti v Únii a umožnením harmonizovaného prístupu na úrovni Únie k európskym systémom certifikácie kybernetickej bezpečnosti.

2. Európskym rámcom certifikácie kybernetickej bezpečnosti sa zabezpečuje mechanizmus zavádzania európskych systémov certifikácie kybernetickej bezpečnosti. Okrem toho sa ním osvedčuje, že produkty IKT, služby IKT a procesy IKT vyhodnotené v súlade s týmito systémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré tieto produkty, služby a procesy poskytujú alebo sprístupňujú, a to počas ich celého životného cyklu. Ďalej sa ním osvedčuje, že riadené bezpečnostné služby vyhodnotené v súlade s týmito systémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu a dôvernosť údajov, ktoré sa sprístupňujú, spracúvajú, uchovávajú alebo prenášajú v súvislosti s poskytovaním týchto služieb, a že tieto služby sa nepretržite poskytujú s využitím požadovaných zručností, odborných znalostí a skúseností zamestnancov, ktorí majú veľmi vysokú úroveň relevantných technických vedomostí a profesijnej bezúhonnosti.“ 

6.    V článku 47 sa odseky 2 a 3 nahrádzajú takto:

„2. Priebežný pracovný program Únie obsahuje najmä zoznam produktov IKT, služieb IKT a procesov IKT alebo ich kategórií a riadených bezpečnostných služieb, ktoré sú spôsobilé mať prospech zo zahrnutia do rozsahu pôsobnosti európskeho systému certifikácie kybernetickej bezpečnosti.

3. Zahrnutie konkrétneho produktu IKT, služby IKT a procesu IKT alebo ich kategórií alebo riadených bezpečnostných služieb do priebežného pracovného programu Únie sa zakladá na jednom či viacerých z týchto dôvodov:

a) dostupnosť a rozvoj vnútroštátnych systémov certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na konkrétnu kategóriu produktov IKT, služieb IKT, alebo procesov IKT alebo riadených bezpečnostných služieb, a najmä pokiaľ ide o riziko fragmentácie;

b) príslušné právo alebo politika Únie alebo členského štátu;

c) dopyt na trhu;

d) vývoj v oblasti kybernetických hrozieb;

e) žiadosť o vypracovanie konkrétneho kandidátskeho systému zo strany ECCG.“

7.    V článku 49 sa odsek 7 nahrádza takto:

„7. Komisia môže na základe kandidátskeho systému pripraveného agentúrou ENISA prijať vykonávacie akty, v ktorých sa stanoví európsky systém certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, ktorý spĺňa požiadavky stanovené v článkoch 51, 52 a 54. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 66 ods. 2.“

8.    Článok 51 sa mení takto:

   a)    Názov sa nahrádza takto:

„Bezpečnostné ciele európskych systémov certifikácie kybernetickej bezpečnosti pre produkty IKT, služby IKT a procesy IKT“;

   b)    Úvodná veta sa nahrádza takto:

„Európsky systém certifikácie kybernetickej bezpečnosti pre produkty IKT, služby IKT alebo procesy IKT musí byť navrhnutý tak, aby podľa potreby splnil aspoň tieto bezpečnostné ciele:“.

9.    Vkladá sa tento článok:

„Článok 51a

Bezpečnostné ciele európskych systémov certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby

„Európsky systém certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby musí byť navrhnutý tak, aby podľa potreby splnil aspoň tieto bezpečnostné ciele:

a) zabezpečiť, aby boli riadené bezpečnostné služby poskytované s využitím požadovaných zručností, odborných znalostí a skúseností vrátane toho, aby zamestnanci zodpovední za poskytovanie týchto služieb mali veľmi vysokú úroveň technických vedomostí a zručností v danej konkrétnej oblasti, dostatočné a primerané skúsenosti a najvyšší stupeň profesijnej bezúhonnosti;

b) zaistiť, aby mal poskytovateľ zavedené vhodné interné postupy zabezpečujúce poskytovanie riadených bezpečnostných služieb vždy na veľmi vysokej úrovni kvality;

c) chrániť údaje, ktoré sa sprístupňujú, uchovávajú, prenášajú alebo inak spracúvajú v súvislosti s poskytovaním riadených bezpečnostných služieb, pred náhodným alebo neoprávneným prístupom, ukladaním, zverejnením, zničením, iným spracovaním alebo stratou, zmenou či nedostatočnou dostupnosťou;

d) zabezpečiť, aby bola v prípade fyzického alebo technického incidentu včas obnovená dostupnosť údajov, služieb a funkcií a prístup k nim;

e) zabezpečiť, aby oprávnené osoby, programy alebo zariadenia mali prístup výlučne k tým údajom, službám alebo funkciám, na ktoré sa vzťahujú ich prístupové práva;

f) zaznamenávať a umožniť posudzovať informácie o tom, ktoré údaje, služby alebo funkcie boli predmetom prístupu, použité alebo inak spracúvané, kedy a kým;

g) zabezpečiť, aby produkty IKT, služby IKT a procesy IKT [a hardvér], ktoré sa používajú pri poskytovaní riadených bezpečnostných služieb, boli bezpečné štandardne a už v štádiu návrhu, neobsahovali známe zraniteľnosti a obsahovali najnovšie bezpečnostné aktualizácie;“.

10.    Článok 52 sa mení takto:

a)    Odsek 1 sa nahrádza takto:

„1. Európsky systém certifikácie kybernetickej bezpečnosti môže uvádzať jeden alebo viacero z týchto stupňov dôveryhodnosti pre produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby: „základný“, „pokročilý“ alebo „vysoký“. Stupeň dôveryhodnosti zodpovedá úrovni rizika spojeného s plánovaným využívaním daného produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby z hľadiska pravdepodobnosti a vplyvu incidentu.“;

b)    Odsek 3 sa nahrádza takto:

„3. Bezpečnostné požiadavky zodpovedajúce každému stupňu dôveryhodnosti sa uvádzajú v príslušnom európskom systéme certifikácie kybernetickej bezpečnosti vrátane zodpovedajúcich bezpečnostných funkcií a zodpovedajúcej prísnosti a hĺbky hodnotenia, ktorým má produkt IKT, služba IKT, proces IKT alebo riadená bezpečnostná služba prejsť.“;

c)    Odseky 5, 6 a 7 sa nahrádzajú takto:

„5. Európsky certifikát kybernetickej bezpečnosti alebo EÚ vyhlásenie o zhode, v ktorom sa odkazuje na stupeň dôveryhodnosti „základný“, poskytuje uistenie, že produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby, pre ktoré je vydaný uvedený certifikát alebo uvedené EÚ vyhlásenie o zhode, spĺňajú zodpovedajúce bezpečnostné požiadavky vrátane bezpečnostných funkcií a že boli hodnotené na úrovni určenej na minimalizovanie známych základných rizík incidentov a kybernetických útokov. Hodnotiace činnosti, ktoré sa majú vykonať, zahŕňajú aspoň preskúmanie technickej dokumentácie. V prípade, keď takéto preskúmanie nie je vhodné, vykonajú sa náhradné hodnotiace činnosti s rovnocenným účinkom.

6. Európsky certifikát kybernetickej bezpečnosti, v ktorom sa odkazuje na stupeň dôveryhodnosti „pokročilý“, poskytuje uistenie, že produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby, pre ktoré je vydaný uvedený certifikát, spĺňajú zodpovedajúce bezpečnostné požiadavky vrátane bezpečnostných funkcií a že boli hodnotené na úrovni určenej na minimalizovanie známych kybernetickobezpečnostných rizík a rizík incidentov a kybernetických útokov, ktoré vykonávajú subjekty s obmedzenými zručnosťami a zdrojmi. Hodnotiace činnosti, ktoré sa majú vykonať, zahŕňajú aspoň: preskúmanie na preukázanie neexistencie verejne známych zraniteľností a skúšku na preukázanie, že produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby správne plnia potrebné bezpečnostné funkcie. V prípade, keď takéto hodnotiace činnosti nie sú vhodné, vykonajú sa náhradné hodnotiace činnosti s rovnocenným účinkom.

7. Európsky certifikát kybernetickej bezpečnosti, v ktorom sa odkazuje na stupeň dôveryhodnosti „vysoký“, poskytuje uistenie, že produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby, pre ktoré je vydaný uvedený certifikát, spĺňajú zodpovedajúce bezpečnostné požiadavky vrátane bezpečnostných funkcií a že boli hodnotené na úrovni určenej na minimalizovanie rizika najpokročilejších kybernetických útokov, ktoré vykonávajú subjekty so značnými zručnosťami a zdrojmi. Hodnotiace činnosti, ktoré sa majú vykonať, zahŕňajú aspoň: preskúmanie na preukázanie neexistencie verejne známych zraniteľností, skúšku na preukázanie, že produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby správne plnia najpokročilejšie potrebné bezpečnostné funkcie a posúdenie ich odolnosti proti zručným útočníkom prostredníctvom penetračného testovania. V prípade, keď takéto hodnotiace činnosti nie sú vhodné, vykonajú sa náhradné hodnotiace činnosti s rovnocenným účinkom.“

11.    V článku 53 sa odseky 1, 2 a 3 nahrádzajú takto:

„1.   Európsky systém certifikácie kybernetickej bezpečnosti môže povoliť vlastné posúdenie zhody, za ktoré nesie výhradnú zodpovednosť výrobca alebo poskytovateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb. Vlastné posúdenie zhody je povolené iba v súvislosti s produktmi IKT, službami IKT, procesmi IKT a riadenými bezpečnostnými službami, ktoré predstavujú nízke riziko zodpovedajúce stupňu dôveryhodnosti „základný“.

2.   Výrobca alebo poskytovateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb môže vydať EÚ vyhlásenie o zhode, ktorým potvrdí, že sa preukázalo splnenie požiadaviek stanovených v systéme. Vydaním takéhoto vyhlásenia preberá výrobca alebo poskytovateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb zodpovednosť za súlad produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby s požiadavkami stanovenými v uvedenom systéme.

3.   Výrobca alebo poskytovateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb uchováva EÚ vyhlásenie o zhode, technickú dokumentáciu a všetky ďalšie relevantné informácie, ktoré sa týkajú zhody produktov IKT, služieb IKT alebo riadených bezpečnostných služieb so systémom, k dispozícii pre vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti uvedený v článku 58 počas obdobia stanoveného v príslušnom európskom systéme certifikácie kybernetickej bezpečnosti. Kópia EÚ vyhlásenia o zhode sa predloží vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti a agentúre ENISA.“

12.    V článku 54 sa odsek 1 mení takto:

a)    Písmeno a) sa nahrádza takto:

„a) predmet úpravy a rozsah pôsobnosti daného certifikačného systému vrátane typu alebo kategórií produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa vzťahuje;“;

b)    Písmeno j) sa nahrádza takto:

„j) pravidlá monitorovania súladu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb s požiadavkami európskych certifikátov kybernetickej bezpečnosti alebo EÚ vyhlásení o zhode vrátane mechanizmov na preukázanie trvalého súladu so stanovenými požiadavkami kybernetickej bezpečnosti;“;

c)    Písmeno l) sa nahrádza takto:

„l) pravidlá týkajúce sa dôsledkov pre produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby, ktoré boli certifikované alebo pre ktoré bolo vydané EÚ vyhlásenie o zhode, ale ktoré nespĺňajú požiadavky systému;“;

d)    Písmeno o) sa nahrádza takto:

„o) určenie vnútroštátnych alebo medzinárodných systémov certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na rovnaký typ alebo kategóriu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, bezpečnostných požiadaviek, kritérií a metód hodnotenia a stupňov dôveryhodnosti;“;

e)    Písmeno q) sa nahrádza takto:

„q) obdobie, počas ktorého výrobca alebo poskytovateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb má uchovávať k dispozícii EÚ vyhlásenie o zhode, technickú dokumentáciu a všetky ďalšie relevantné informácie;“.

13.    Článok 56 sa mení takto:

a)    Odsek 1 sa nahrádza takto:

„1. Produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby certifikované v rámci európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 49 sa považujú za vyhovujúce požiadavkám daného systému.“

b)    Odsek 3 sa mení takto:

i)    Prvý pododsek sa nahrádza takto:

„Komisia pravidelne posúdi účinnosť a využívanie prijatých európskych systémov certifikácie kybernetickej bezpečnosti a či sa niektorý konkrétny európsky systém certifikácie kybernetickej bezpečnosti má stať záväzným prostredníctvom príslušného práva Únie s cieľom zaistiť primeranú úroveň kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v Únii a zlepšiť fungovanie vnútorného trhu. Prvé takéto posúdenie sa vykoná do 31. decembra 2023 a následné posúdenia sa potom vykonávajú aspoň každé dva roky. Komisia na základe výsledkov uvedených posúdení určí produkty IKT, služby IKT, procesy IKT a riadené bezpečnostné služby, na ktoré sa vzťahuje existujúci certifikačný systém a na ktoré sa má vzťahovať povinný certifikačný systém.“

ii)    Tretí pododsek sa mení takto:

aa) Písmeno a) sa nahrádza takto:

„a) zohľadní vplyv opatrení na výrobcov alebo poskytovateľov takýchto produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb a na užívateľov z hľadiska nákladov uvedených opatrení a spoločenských alebo ekonomických prínosov vyplývajúcich z predpokladanej zvýšenej úrovne bezpečnosti cielených produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb;“;

bb) Písmeno d) sa nahrádza takto:

„d) zohľadní všetky lehoty na vykonávanie, prechodné opatrenia a obdobia, najmä s ohľadom na možný vplyv daného opatrenia na výrobcov alebo poskytovateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb vrátane MSP;“;

c)    Odseky 7 a 8 sa nahrádzajú takto:

„7. Fyzická či právnická osoba, ktorá predkladá produkty IKT, služby IKT, procesy IKT alebo riadené bezpečnostné služby na certifikáciu, sprístupní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti uvedenému v článku 58, ak tento orgán vydáva európsky certifikát kybernetickej bezpečnosti, alebo orgánu posudzovania zhody uvedenému v článku 60 všetky informácie potrebné pre certifikáciu.

8. Držiteľ európskeho certifikátu kybernetickej bezpečnosti informuje orgán uvedený v odseku 7 o všetkých následne zistených zraniteľnostiach alebo nezrovnalostiach týkajúcich sa bezpečnosti certifikovaného produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby, ktoré môžu mať vplyv na ich súlad s požiadavkami týkajúcimi sa certifikácie. Uvedený orgán bez zbytočného odkladu postúpi uvedené informácie dotknutému vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti.“

14.    V článku 57 sa odseky 1 a 2 nahrádzajú takto:

„1. Bez toho, aby bol dotknutý odsek 3 tohto článku, vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy týkajúce sa produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, strácajú účinnosť k dátumu stanovenému vo vykonávacom akte prijatom podľa článku 49 ods. 7. Vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy týkajúce sa produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa európsky systém certifikácie kybernetickej bezpečnosti nevzťahuje, existujú naďalej.

2. Členské štáty nezavedú nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa už vzťahuje platný európsky systém certifikácie kybernetickej bezpečnosti.“

15.    Článok 58 sa mení takto:

a)    Odsek 7 sa mení takto:

i) Písmená a) a b) sa nahrádzajú takto:

 „a) dozerajú nad pravidlami uvedenými v európskych systémoch certifikácie kybernetickej bezpečnosti podľa článku 54 ods. 1 písm. j), ktoré sa týkajú monitorovania súladu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb s požiadavkami európskych certifikátov kybernetickej bezpečnosti, ktoré boli vydané na ich príslušných územiach, a tieto pravidlá presadzujú, a to v spolupráci s ďalšími príslušnými orgánmi dohľadu nad trhom;

b) monitorujú dodržiavanie povinností výrobcov alebo poskytovateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb, ktorí sú usadení na ich príslušných územiach a vykonávajú vlastné posúdenie zhody, a tieto povinnosti presadzujú, a najmä monitorujú dodržiavanie povinností takýchto výrobcov alebo poskytovateľov stanovených v článku 53 ods. 2 a 3 a v príslušnom európskom systéme certifikácie kybernetickej bezpečnosti, a tieto povinnosti presadzujú;“;

ii) Písmeno h) sa nahrádza takto:

„h) spolupracujú s inými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti alebo inými orgánmi verejnej moci, čo zahŕňa poskytovanie informácií o možnom nesúlade produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb s požiadavkami tohto nariadenia alebo s požiadavkami konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti, a“;

b)    Odsek 9 sa nahrádza takto:

„9. Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti navzájom i s Komisiou spolupracujú, najmä si vymieňajú informácie, skúsenosti a osvedčené postupy, pokiaľ ide o certifikáciu kybernetickej bezpečnosti a technické otázky súvisiace s kybernetickou bezpečnosťou produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb.“

16.    V článku 59 ods. 3 sa písmená b) a c) nahrádzajú takto:

 „b) postupy dozoru a presadzovania pravidiel monitorovania súladu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb s európskymi certifikátmi kybernetickej bezpečnosti podľa článku 58 ods. 7 písm. a);

c) postupy monitorovania a presadzovania povinností výrobcov a poskytovateľov produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb podľa článku 58 ods. 7 písm. b);“.

17.    V článku 67 sa odseky 2 a 3 nahrádzajú takto:

„2. V hodnotení sa zároveň posúdi vplyv, účinnosť a efektívnosť ustanovení hlavy III tohto nariadenia z hľadiska cieľov zabezpečiť primeranú úroveň kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v Únii a zlepšiť fungovanie vnútorného trhu.

3. V hodnotení sa posúdi, či sú základné požiadavky kybernetickej bezpečnosti na prístup na vnútorný trh potrebné na to, aby sa zabránilo vstupu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, ktoré nespĺňajú základné požiadavky kybernetickej bezpečnosti, na trh Únie.“

Článok 2

Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Štrasburgu

(1)    Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151/15, 7.6.2019).

(2)    9364/22.

(3)    JOIN(2022) 49 final.

(4)    Ú. v. EÚ L 333/810, 27.12.2022.

(5)    Ú. v. EÚ L 119/1, 4.5.2016.

(6)    Ú. v. EÚ L 218/30, 13.8.2008.

(7)    Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).

(8)    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).