This document is an excerpt from the EUR-Lex website
Document 32025R0037
Regulation (EU) 2025/37 of the European Parliament and of the Council of 19 December 2024 amending Regulation (EU) 2019/881 as regards managed security services (Text with EEA relevance)
Nariadenie Európskeho parlamentu a Rady (EÚ) 2025/37 z 19. decembra 2024, ktorým sa mení nariadenie (EÚ) 2019/881, pokiaľ ide o riadené bezpečnostné služby (Text s významom pre EHP)
Nariadenie Európskeho parlamentu a Rady (EÚ) 2025/37 z 19. decembra 2024, ktorým sa mení nariadenie (EÚ) 2019/881, pokiaľ ide o riadené bezpečnostné služby (Text s významom pre EHP)
PE/93/2024/REV/1
Ú. v. EÚ L, 2025/37, 15.1.2025, ELI: http://data.europa.eu/eli/reg/2025/37/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Úradný vestník |
SK Séria L |
|
2025/37 |
15.1.2025 |
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2025/37
z 19. decembra 2024,
ktorým sa mení nariadenie (EÚ) 2019/881, pokiaľ ide o riadené bezpečnostné služby
(Text s významom pre EHP)
EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 114,
so zreteľom na návrh Európskej komisie,
po postúpení návrhu legislatívneho aktu národným parlamentom,
so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru (1),
po porade s Výborom regiónov,
konajúc v súlade s riadnym legislatívnym postupom (2),
keďže:
|
(1) |
Nariadením Európskeho parlamentu a Rady (EÚ) 2019/881 (3) sa stanovuje rámec pre zavádzanie európskych schém certifikácie kybernetickej bezpečnosti na zabezpečenie primeranej úrovne kybernetickej bezpečnosti produktov informačných a komunikačných technológií (ďalej len „IKT“), služieb IKT a procesov IKT v Únii, ako aj na predídenie fragmentácii vnútorného trhu z hľadiska schém certifikácie kybernetickej bezpečnosti v Únii. |
|
(2) |
S cieľom zabezpečiť odolnosť Únie voči kybernetickým útokom a zabrániť akýmkoľvek zraniteľnostiam na vnútornom trhu je zámerom tohto nariadenia doplniť horizontálny regulačný rámec, ktorým sa stanovujú komplexné požiadavky na kybernetickú bezpečnosť pre produkty s digitálnymi prvkami podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2024/2847 (4), a to stanovením bezpečnostných cieľov na riadené bezpečnostné služby, ako aj uplatňovanie a dôveryhodnosť uvedených služieb. |
|
(3) |
Riadené bezpečnostné služby sú poskytované poskytovateľmi riadených bezpečnostných služieb, ktorí sú vymedzení v článku 6 bode 40 smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 (5). Vymedzenie pojmu „riadené bezpečnostné služby“ v tomto nariadení by preto malo byť v súlade s vymedzením pojmu „poskytovatelia riadených bezpečnostných služieb“ v smernici (EÚ) 2022/2555. Uvedené služby spočívajú vo vykonávaní činností súvisiacich s riadením rizika kybernetickej bezpečnosti ich zákazníkov alebo poskytovanie pomoci pri týchto činnostiach a nadobúdajú čoraz väčší význam pri prevencii a zmierňovaní incidentov. V súlade s tým sa poskytovatelia týchto služieb považujú za kľúčové alebo dôležité subjekty patriace do odvetvia s vysokou úrovňou kritickosti podľa smernice (EÚ) 2022/2555. Ako sa uvádza v odôvodnení 86 uvedenej smernice, poskytovatelia riadených bezpečnostných služieb zohrávajú osobitne dôležitú úlohu v pomoci subjektom v ich úsilí o prevenciu, odhaľovanie incidentov, reakciu na ne alebo zotavenie sa z nich, a to v takých oblastiach, ako je reakcia na incidenty, penetračné testovanie, bezpečnostné audity a poradenstvo. Aj samotní poskytovatelia riadených bezpečnostných služieb však boli cieľom kybernetických útokov a ich úzke zapojenie do činnosti ich zákazníkov predstavuje osobitné riziko. Je preto dôležité, aby kľúčové a dôležité subjekty v zmysle smernice (EÚ) 2022/2555 venovali výberu poskytovateľov riadených bezpečnostných služieb zvýšenú pozornosť. |
|
(4) |
Vymedzenie pojmu riadených bezpečnostných služieb podľa tohto nariadenia zahŕňa neúplný zoznam riadených bezpečnostných služieb, ktoré by mohli spĺňať podmienky pre európske schémy certifikácie kybernetickej bezpečnosti, ako je riešenie incidentov, penetračné testovanie, bezpečnostné audity, a poradenstvo týkajúce sa technickej podpory. Riadené bezpečnostné služby by mohli zahŕňať služby kybernetickej bezpečnosti, ktoré podporujú pripravenosť, prevenciu, odhaľovanie, analýzu a zmierňovanie incidentov, reakciu na ne a obnovu po nich. Za riadené bezpečnostné služby by sa mohlo považovať aj poskytovanie spravodajských informácií o kybernetických hrozbách a posudzovanie rizík súvisiacich s technickou podporou. Pre jednotlivé riadené bezpečnostné služby by mohli existovať samostatné európske schémy certifikácie kybernetickej bezpečnosti. Európske certifikáty kybernetickej bezpečnosti vydané v súlade s takýmito schémami by sa mali vzťahovať na konkrétne riadené bezpečnostné služby konkrétneho poskytovateľa uvedených služieb. |
|
(5) |
Poskytovatelia riadených bezpečnostných služieb môžu takisto zohrávať dôležitú úlohu v súvislosti s činnosťami Únie, ktoré podporujú reakciu a počiatočnú obnovu v prípadoch významných incidentov a kybernetických bezpečnostných incidentov veľkého rozsahu, pričom sa spoliehajú na služby od dôveryhodných súkromných poskytovateľov a na testovanie kritických subjektov z hľadiska potenciálnych zraniteľných miest na základe koordinovaných posúdení bezpečnostných rizík na úrovni Únie. Certifikácia riadených bezpečnostných služieb by mohla zohrávať úlohu pri výbere dôveryhodných poskytovateľov riadených bezpečnostných služieb vymedzených v nariadení Európskeho parlamentu a Rady (EÚ) 2025/38 (6). |
|
(6) |
Certifikácia riadených bezpečnostných služieb sa netýka len výberového procesu pre rezervu EÚ na účely kybernetickej bezpečnosti zriadenú nariadením (EÚ) 2025/38, ale je takisto dôležitým ukazovateľom kvality pre súkromné a verejné subjekty, ktoré majú v úmysle si takéto služby zakúpiť. Vzhľadom na kritickosť riadených bezpečnostných služieb a citlivosť spracúvaných údajov by certifikácia mohla poskytnúť potenciálnym zákazníkom dôležité usmernenie a uistenie o dôveryhodnosti týchto služieb. Európske schémy certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby majú za cieľ prispievať k predchádzaniu fragmentácii vnútorného trhu. Cieľom tohto nariadenia je teda zlepšiť fungovanie vnútorného trhu. |
|
(7) |
Európske schémy certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby by mali viesť k využívaniu týchto služieb a k zvýšeniu hospodárskej súťaže medzi poskytovateľmi riadených bezpečnostných služieb. Bez toho, aby bol dotknutý cieľ zabezpečiť dostatočnú a primeranú úroveň relevantných technických znalostí a profesijnej integrity takýchto poskytovateľov, takéto schémy certifikácie by preto mali uľahčiť vstup na trh a ponuku riadených bezpečnostných služieb tým, že sa v čo najväčšej možnej miere zjednoduší potenciálna regulačná, administratívna a finančná záťaž, s ktorou by sa poskytovatelia, najmä malé a stredné podniky (ďalej len „MSP“), vrátane mikropodnikov, mohli stretnúť pri ponúkaní riadených bezpečnostných služieb. V záujme podpory využívania riadených bezpečnostných služieb a stimulácie dopytu po nich by tieto európske schémy certifikácie kybernetickej bezpečnosti okrem toho mali prispievať k prístupnosti týchto služieb, najmä pre menšie subjekty, ako sú MSP vrátane mikropodnikov, ako aj pre miestne a regionálne orgány, ktoré majú obmedzené kapacity a zdroje, avšak sú náchylnejšie na narušenie kybernetickej bezpečnosti, čo má finančné, právne, reputačné a prevádzkové dôsledky. |
|
(8) |
Je dôležité poskytovať podporu MSP, vrátane mikropodnikov, pri vykonávaní tohto nariadenia a pri nábore pracovníkov so špecializovanými zručnosťami a odbornými znalosťami v oblasti kybernetickej bezpečnosti potrebnými na poskytovanie riadených bezpečnostných služieb v súlade s požiadavkami stanovenými v tomto nariadení. V programe Digitálna Európa zriadenom nariadením Európskeho parlamentu a Rady (EÚ) 2021/694 (7) a iných príslušných programoch Únie sa stanovuje, že Komisia zavedie finančnú a technickú podporu, ktorá uvedeným podnikom umožní prispievať k rastu hospodárstva Únie a k posilneniu spoločnej úrovne kybernetickej bezpečnosti v Únii, a to aj zjednodušením finančnej podpory z programu Digitálna Európa a iných relevantných programov Únie a podporou MSP, vrátane mikropodnikov. |
|
(9) |
Európske schémy certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby by mali prispievať k dostupnosti zabezpečených a vysokokvalitných služieb, ktoré zaručujú bezpečný prechod na digitálnu technológiu, a k dosiahnutiu cieľov stanovených v politickom programe Digitálne desaťročie 2030 zriadenom rozhodnutím Európskeho parlamentu a Rady (EÚ) 2022/2481 (8), najmä pokiaľ ide o cieľ, aby 75 % podnikov v Únii začalo používať cloudové služby, veľké dáta alebo umelú inteligenciu, aby viac ako 90 % MSP, vrátane mikropodnikov, dosiahlo aspoň základnú úroveň digitálnej intenzity a aby boli kľúčové verejné služby dostupné online. |
|
(10) |
Riadené bezpečnostné služby často poskytujú okrem zavádzania produktov IKT, služieb IKT alebo procesov IKT aj ďalšie služby, ktoré sú závislé od zručností, odborných znalosti a skúseností zamestnancov poskytovateľov takýchto služieb. Na zabezpečenie veľmi vysokej kvality poskytovaných riadených bezpečnostných služieb by súčasťou bezpečnostných cieľov mala byť veľmi vysoká úroveň uvedených zručností, odborných znalostí a skúseností, ako aj vhodné interné postupy. V záujme zabezpečenia toho, aby sa špecializované európske schémy certifikácie kybernetickej bezpečnosti vzťahovali na všetky aspekty riadených bezpečnostných služieb, je teda potrebné zmeniť nariadenie (EÚ) 2019/881. Mali by sa zohľadniť výsledky a odporúčania hodnotenia a preskúmania stanovené v nariadení (EÚ) 2019/881. |
|
(11) |
S cieľom uľahčiť rast spoľahlivého vnútorného trhu a zároveň vytvoriť partnerstvá s podobne zmýšľajúcimi tretími krajinami, by sa mal proces certifikácie zavedený v európskom rámci certifikácie kybernetickej bezpečnosti stanovenom nariadením (EÚ) 2019/881 implementovať spôsobom, ktorý uľahčuje medzinárodné uznávanie a súlad s medzinárodnými normami. |
|
(12) |
Únia čelí nedostatku talentov, ktorý sa vyznačuje nedostatkom kvalifikovaných odborníkov, a rýchlo sa vyvíjajúcej panoráme hrozieb, ako sa uznáva v oznámení Komisie z 18. apríla 2023 s názvom „Riešenie nedostatku odborníkov v oblasti kybernetickej bezpečnosti s cieľom posilniť konkurencieschopnosť, rast a odolnosť EÚ (Akadémia kybernetických zručností)“. Vzdelávacie zdroje a formy formálnej odbornej prípravy sa líšia a vedomosti možno získať rôznymi spôsobmi: formálne, napríklad na univerzite alebo na kurzoch, alebo neformálne, napríklad prostredníctvom odbornej prípravy na pracovisku alebo na základe pracovných skúseností v príslušnej oblasti. S cieľom uľahčiť vznik vysokokvalitných riadených bezpečnostných služieb a získať lepší prehľad o zložení pracovnej sily v oblasti kybernetickej bezpečnosti v Únii je preto dôležité, aby sa posilnila spolupráca medzi členskými štátmi, Komisiou, Agentúrou Európskej únie pre kybernetickú bezpečnosť (ďalej len „ENISA“) a zainteresovanými stranami vrátane súkromného sektora a akademickej obce prostredníctvom rozvoja verejno-súkromných partnerstiev, podpory výskumných a inovačných iniciatív, vývoja a vzájomného uznávania spoločných noriem a certifikácie zručností v oblasti kybernetickej bezpečnosti, a to aj prostredníctvom európskeho rámca zručností v oblasti kybernetickej bezpečnosti. Táto spolupráca by tiež uľahčila mobilitu odborníkov v oblasti kybernetickej bezpečnosti v rámci Únie, ako aj začlenenie znalostí a odbornej prípravy v tejto oblasti do vzdelávacích programov, a zároveň by mladým ľuďom vrátane osôb žijúcich v znevýhodnených regiónoch, ako sú ostrovy, riedko osídlené, vidiecke a vzdialené oblasti, zabezpečila prístup k učňovskej príprave a stážam. Je dôležité, aby cieľom takejto spolupráce bolo prilákať viac žien a dievčat do tohto odboru a prispievať k riešeniu rodových rozdielov vo vede, technológii, inžinierstve a matematike a aby sa súkromný sektor zameral na poskytovanie odbornej prípravy na pracovisku zameranej na zručnosti, ktoré sú najžiadanejšie, a to so zapojením verejnej správy a startupov, ako aj MSP, vrátane mikropodnikov. Takisto je dôležité, aby poskytovatelia a členské štáty spolupracovali a prispievali k zberu údajov o situácii a vývoji na trhu práce v oblasti kybernetickej bezpečnosti. |
|
(13) |
Agentúra ENISA zohráva významnú úlohu pri príprave kandidátskych európskych schém certifikácie kybernetickej bezpečnosti. Komisia by pri príprave návrhu všeobecného rozpočtu Únie mala posúdiť potrebné rozpočtové zdroje pre plán pracovných miest agentúry ENISA v súlade s postupom stanoveným v článku 29 nariadenia (EÚ) 2019/881. |
|
(14) |
V tomto nariadení sa stanovujú cielené zmeny nariadenia (EÚ) 2019/881 s cieľom umožniť zavádzanie európskych schém certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby. Zároveň sa v ňom špecifikujú a objasňujú určité ustanovenia uvedeného nariadenia týkajúce sa prípravy a fungovania všetkých európskych schém certifikácie kybernetickej bezpečnosti s cieľom zabezpečiť ich transparentnosť a otvorenosť. Týmito zmenami, ktoré sa obmedzujú na spresnenie alebo objasnenie nariadenia (EÚ) 2019/881, najmä zmenami týkajúcimi sa informácií, ktoré má agentúra ENISA poskytovať pri prenose kandidátskej schémy, ad hoc pracovných skupín zriadených pre každú kandidátsku schému a informácií a konzultácií v súvislosti s európskymi schémami certifikácie kybernetickej bezpečnosti, by v žiadnom prípade nemalo byť dotknuté širšie hodnotenie a preskúmanie uvedeného nariadenia podľa článku 67 uvedeného nariadenia, najmä hodnotenia vplyvu, účinnosti a efektívnosti hlavy uvedeného nariadenia týkajúcej sa európskeho rámca certifikácie kybernetickej bezpečnosti. Hodnotenie a preskúmanie týkajúce sa uvedenej hlavy by mali vychádzať zo širokej konzultácie so zainteresovanými stranami a úplnej a dôkladnej analýzy príslušných postupov. |
|
(15) |
Keďže cieľ tohto nariadenia, a to umožniť zavedenie európskych schém certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby, nie je možné uspokojivo dosiahnuť na úrovni členských štátov, ale z dôvodov jeho rozsahu a účinkov ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej Únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa. |
|
(16) |
V súlade s článkom 42 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (9) sa konzultovalo s európskym dozorným úradníkom pre ochranu údajov, ktorý vydal svoje stanovisko 10. januára 2024, |
PRIJALI TOTO NARIADENIE:
Článok 1
Zmeny nariadenia (EÚ) 2019/881
Nariadenie (EÚ) 2019/881 sa mení takto:
|
1. |
V článku 1 ods. 1 prvom pododseku sa písmeno b) nahrádza takto:
|
|
2. |
Článok 2 sa mení takto:
|
|
3. |
V článku 4 sa odsek 6 nahrádza takto: „6. Agentúra ENISA presadzuje používanie európskej certifikácie kybernetickej bezpečnosti, aby predišla fragmentácii vnútorného trhu. Agentúra ENISA prispieva k zriadeniu a udržiavaniu európskeho rámca certifikácie kybernetickej bezpečnosti v súlade s hlavou III tohto nariadenia, aby sa posilnila transparentnosť kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, a tým sa posilnila dôvera v digitálny vnútorný trh a jeho konkurencieschopnosť.“ |
|
4. |
Článok 8 sa mení takto:
|
|
5. |
Článok 46 sa nahrádza takto: „Článok 46 Európsky rámec certifikácie kybernetickej bezpečnosti 1. V záujme vytvorenia digitálneho jednotného trhu s produktmi IKT, službami IKT, procesmi IKT a riadenými bezpečnostnými službami sa zriadi európsky rámec certifikácie kybernetickej bezpečnosti s cieľom zlepšiť podmienky fungovania vnútorného trhu zvýšením úrovne kybernetickej bezpečnosti v Únii a umožnením harmonizovaného prístupu na úrovni Únie k európskym schémam certifikácie kybernetickej bezpečnosti. 2. Európskym rámcom certifikácie kybernetickej bezpečnosti sa zabezpečuje mechanizmus zavádzania európskych schém certifikácie kybernetickej bezpečnosti a osvedčovania, že produkty IKT, služby IKT a procesy IKT vyhodnotené v súlade s týmito schémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré tieto produkty, služby a procesy poskytujú alebo sprístupňujú, a to počas ich celého životného cyklu. Ďalej sa ním osvedčuje, že riadené bezpečnostné služby vyhodnotené v súlade s takýmito schémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu a dôvernosť údajov, ktoré sa sprístupňujú, spracúvajú, uchovávajú alebo prenášajú v súvislosti s poskytovaním týchto služieb, a že tieto služby sa nepretržite poskytujú s využitím požadovaných zručností, odborných znalostí a skúseností zamestnancov, ktorí majú dostatočnú a primeranú úroveň relevantných technických vedomostí a profesijnej bezúhonnosti.“ |
|
6. |
Článok 47 sa mení takto:
|
|
7. |
Článok 49 sa mení takto:
|
|
8. |
Vkladá sa tento článok: „Článok 49a Informácie a konzultácie týkajúce sa európskych schém certifikácie kybernetickej bezpečnosti 1. Komisia zverejní informácie o svojej žiadosti adresovanej agentúre ENISA, aby vypracovala kandidátsku schému alebo preskúmala existujúcu európsku schému certifikácie kybernetickej bezpečnosti uvedenú v článku 48. 2. Počas prípravy kandidátskej schémy agentúrou ENISA podľa článku 49 môže Európsky parlament, Rada alebo obaja požiadať Komisiu ako predsedu ECCG a agentúru ENISA, aby štvrťročne predkladali relevantné informácie o návrhu kandidátskej schémy. Na žiadosť Európskeho parlamentu alebo Rady môže agentúra ENISA po dohode s Komisiou a bez toho, aby bol dotknutý článok 27, sprístupniť Európskemu parlamentu a Rade príslušné časti návrhu kandidátskej schémy spôsobom, ktorý je primeraný požadovanej úrovni dôvernosti, a v prípade potreby obmedzeným spôsobom. 3. S cieľom posilniť dialóg medzi inštitúciami Únie a prispieť k formálnemu, otvorenému, transparentnému a inkluzívnemu konzultačnému procesu môže Európsky parlament, Rada alebo obaja vyzvať Komisiu a agentúru ENISA, aby prediskutovali záležitosti týkajúce sa fungovania európskych schém certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb. 4. Komisia pri hodnotení tohto nariadenia podľa článku 67 vo vhodných prípadoch zohľadní prvky vyplývajúce zo stanovísk Európskeho parlamentu a Rady k záležitostiam uvedeným v odseku 3 tohto článku.“ |
|
9. |
Článok 51 sa mení takto:
|
|
10. |
Vkladá sa tento článok: „Článok 51a Bezpečnostné ciele európskych schém certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby Európska schéma certifikácie kybernetickej bezpečnosti pre riadené bezpečnostné služby musí byť navrhnutý tak, aby podľa potreby splnil aspoň tieto bezpečnostné ciele:
|
|
11. |
Článok 52 sa mení takto:
|
|
12. |
V článku 53 sa odseky 1, 2 a 3 nahrádzajú takto: „1. Európska schéma certifikácie kybernetickej bezpečnosti môže povoliť posúdenie zhody samohodnotením, za ktoré nesie výhradnú zodpovednosť výrobca alebo poskytovateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb. Posúdenie zhody samohodnotením je povolené iba v súvislosti s produktmi IKT, službami IKT, procesmi IKT alebo riadenými bezpečnostnými službami, ktoré predstavujú nízke riziko zodpovedajúce úrovni záruky ‚základný‘. 2. Výrobca alebo poskytovateľ/dodávateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb môže vydať EÚ vyhlásenie o zhode, ktorým potvrdí, že sa preukázalo splnenie požiadaviek stanovených v schéme. Vydaním takéhoto vyhlásenia preberá výrobca alebo poskytovateľ/dodávateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb zodpovednosť za súlad produktu IKT, služby IKT, procesu IKT alebo riadenej bezpečnostnej služby s požiadavkami stanovenými v uvedenej schéme. 3. Výrobca alebo poskytovateľ/dodávateľ produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb uchováva EÚ vyhlásenie o zhode, technickú dokumentáciu a všetky ďalšie relevantné informácie, ktoré sa týkajú zhody produktov IKT, služieb IKT, procesov IKT alebo riadených bezpečnostných služieb so schémou, k dispozícii pre vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vymedzený podľa článku 58 počas obdobia stanoveného v príslušnej európskej schéme certifikácie kybernetickej bezpečnosti. Kópia EÚ vyhlásenia o zhode sa predloží vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti a agentúre ENISA.“ |
|
13. |
V článku 54 sa odsek 1 mení takto:
|
|
14. |
Článok 56 sa mení takto:
|
|
15. |
V článku 57 sa odseky 1 a 2 nahrádzajú takto: „1. Bez toho, aby bol dotknutý odsek 3 tohto článku, vnútroštátne schémy certifikácie kybernetickej bezpečnosti a súvisiace postupy týkajúce sa produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa vzťahuje európska schéma certifikácie kybernetickej bezpečnosti, strácajú účinnosť k dátumu stanovenému vo vykonávacom akte prijatom podľa článku 49 ods. 7. Vnútroštátne schémy certifikácie kybernetickej bezpečnosti a súvisiace postupy týkajúce sa produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa európska schéma certifikácie kybernetickej bezpečnosti nevzťahuje, existujú naďalej. 2. Členské štáty nezavedú nové vnútroštátne schémy certifikácie kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, na ktoré sa už vzťahuje platná európska schéma certifikácie kybernetickej bezpečnosti.“ |
|
16. |
Článok 58 sa mení takto:
|
|
17. |
V článku 59 ods. 3 sa písmená b) a c) nahrádzajú takto:
|
|
18. |
V článku 67 sa odseky 2 a 3 nahrádzajú takto: „2. V hodnotení sa zároveň posúdi vplyv, účinnosť a efektívnosť ustanovení hlavy III tohto nariadenia vrátane postupov vedúcich k prijatiu európskych schém certifikácie kybernetickej bezpečnosti a ich dátových základní, a to z hľadiska cieľov zabezpečiť primeranú úroveň kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb v Únii a zlepšiť fungovanie vnútorného trhu. 3. V hodnotení sa posúdi, či sú základné požiadavky kybernetickej bezpečnosti na prístup na vnútorný trh potrebné na to, aby sa zabránilo vstupu produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb, ktoré nespĺňajú základné požiadavky kybernetickej bezpečnosti, na vnútorný trh.“ |
|
19. |
Príloha sa mení v súlade s prílohou k tomuto nariadeniu. |
Článok 2
Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 19. decembra 2024
Za Európsky parlament
predsedníčka
R. METSOLA
Za Radu
predseda
BÓKA J.
(1) Ú. v. EÚ C 349, 29.9.2023, s. 167.
(2) Pozícia Európskeho parlamentu z 24. apríla 2024 (zatiaľ neuverejnená v úradnom vestníku) a rozhodnutie Rady z 2. decembra 2024.
(3) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).
(4) Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/2847 z 23. októbra 2024 o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami a o zmene nariadení (EÚ) č. 168/2013 a (EÚ) 2019/1020 a smernice (EÚ) 2020/1828 (akt o kybernetickej odolnosti) (Ú. v. EÚ L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
(5) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).
(6) Nariadenie Európskeho parlamentu a Rady (EÚ) 2025/38 z 19. decembra 2024, ktorým sa stanovujú opatrenia na posilnenie solidarity a kapacít v Únii na odhaľovanie kybernetických hrozieb a incidentov, prípravu a reakciu na ne a ktorým sa mení nariadenie (EÚ) 2021/694 (akt o kybernetickej solidarite) (Ú. v. EÚ L, 2025/38, 15.1.2025, ELI: http://data.europa.eu/eli/reg/2025/38/oj).
(7) Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/694 z 29. apríla 2021, ktorým sa zriaďuje program Digitálna Európa a zrušuje rozhodnutie (EÚ) 2015/2240 (Ú. v. EÚ L 166, 11.5.2021, s. 1).
(8) Rozhodnutie Európskeho parlamentu a Rady (EÚ) 2022/2481 zo 14. decembra 2022, ktorým sa zriaďuje politický program digitálne desaťročie do roku 2030 (Ú. v. EÚ L 323, 19.12.2022, s. 4).
(9) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39).
PRÍLOHA
Príloha k nariadeniu (EÚ) 2019/881 sa mení takto:
|
1. |
Body 2 až 5 sa nahrádzajú takto:
|
|
2. |
Bod 10 sa mení takto:
|
|
3. |
Body 19 a 20 sa nahrádzajú takto:
|
V súvislosti s týmto aktom bolo urobené vyhlásenie, ktoré možno nájsť v Ú. v. EÚ C, 2025/307, 15.1.2024, ELI: http://data.europa.eu/eli/C/2025/307/oj.
ELI: http://data.europa.eu/eli/reg/2025/37/oj
ISSN 1977-0790 (electronic edition)