EVROPSKA KOMISIJA

Strasbourg, 18.4.2023

COM(2023) 208 final

2023/0108(COD)

Predlog

UREDBA EVROPSKEGA PARLAMENTA IN SVETA

o spremembi Uredbe (EU) 2019/881 glede upravljanih varnostnih storitev

(Besedilo velja za EGP)

OBRAZLOŽITVENI MEMORANDUM

1.OZADJE PREDLOGA

•Razlogi za predlog in njegovi cilji

Ta obrazložitveni memorandum je priložen predlogu uredbe Evropskega parlamenta in Sveta o spremembi Uredbe (EU) 2019/881 1 glede upravljanih varnostnih storitev.

Namen predlagane ciljno usmerjene spremembe je z izvedbenimi akti Komisije omogočiti sprejetje evropskih certifikacijskih shem za kibernetsko varnost za „upravljane varnostne storitve“ ter tudi za proizvode informacijske in komunikacijske tehnologije (IKT), storitve IKT in postopke IKT, ki so že zajeti v Aktu o kibernetski varnosti. Upravljane varnostne storitve imajo vse pomembnejšo vlogo pri preprečevanju in blaženju kibernetskovarnostnih incidentov.

Svet je v sklepih z dne 23. maja 2022 2 o oblikovanju stališča Evropske unije glede kibernetskih vprašanj Unijo in njene države članice pozval, naj okrepijo prizadevanja za povišanje splošne ravni kibernetske varnosti tako, da na primer omogočijo nastanek zaupanja vrednih ponudnikov kibernetskovarnostnih storitev, ter poudaril, da bi moralo biti spodbujanje razvoja takih ponudnikov prednostna naloga industrijske politike Unije na področju kibernetske varnosti. Komisijo je tudi pozval, naj predlaga možnosti za spodbujanje nastanka zaupanja vredne industrije kibernetskovarnostnih storitev. Certificiranje upravljanih varnostnih storitev je učinkovit način za krepitev zaupanja v kakovost teh storitev, kar olajšuje nastanek zaupanja vredne evropske industrije kibernetskovarnostnih storitev.

V skupnem sporočilu z naslovom „Politika EU za kibernetsko obrambo“, ki sta ga Komisija in visoki predstavnik sprejela 10. novembra 2022 3 , je bilo napovedano, da bo Komisija preučila razvoj certifikacijskih shem za kibernetsko varnost na ravni EU za industrijo kibernetske varnosti in zasebna podjetja. Ponudniki upravljanih varnostnih storitev bodo imeli pomembno vlogo tudi v okviru kibernetskovarnostne rezerve na ravni EU, katere postopna vzpostavitev se podpira z aktom o kibernetski solidarnosti, ki se predlaga hkrati s to uredbo. Kibernetskovarnostno rezervo na ravni EU je treba uporabiti za podporo ukrepom odzivanja in takojšnjega okrevanja v primeru pomembnih kibernetskovarnostnih incidentov in kibernetskovarnostnih incidentov velikih razsežnosti. Ustrezne kibernetskovarnostne storitve, ki jih zagotavljajo „zaupanja vredni ponudniki“ iz akta o kibernetski solidarnosti, ustrezajo „upravljanim varnostnim storitvam“ v tem predlogu.

Nekatere države članice so že začele sprejemati certifikacijske sheme za upravljane varnostne storitve. Zato obstaja vse večje tveganje razdrobljenosti notranjega trga za upravljane varnostne storitve kot posledica nedoslednosti v certifikacijskih shemah za kibernetsko varnost po Uniji. Ta predlog omogoča vzpostavitev evropskih certifikacijskih shem za kibernetsko varnost za te storitve, da se prepreči taka razdrobljenost.

•Skladnost z veljavnimi predpisi s področja zadevne politike

Ta predlog je skladen z Aktom o kibernetski varnosti, ki ga spreminja. Temelji na določbah navedene uredbe in jih prilagaja tako, da bodo vključevale tudi upravljane varnostne storitve. Predlagane spremembe so omejene na to, kar je nujno potrebno, z njimi pa se ne spreminjajo značilnosti ali delovanje Akta o kibernetski varnosti.

Ta predlog je skladen tudi z Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) 4 . Ponudniki upravljanih varnostnih storitev se štejejo za bistvene ali pomembne subjekte, ki spadajo v visoko kritični sektor v skladu z Direktivo (EU) 2022/2555. V uvodni izjavi 86 navedene direktive je navedeno, da imajo ponudniki upravljanih varnostnih storitev na področjih, kot so odzivanje na incidente, penetracijsko testiranje, varnostne presoje in svetovanje, še posebej pomembno vlogo pri zagotavljanju pomoči subjektom pri njihovih prizadevanjih za preprečevanje in odkrivanje incidentov ter odzivanje nanje ali okrevanje po njih. Vendar so ponudniki upravljanih varnostnih storitev tudi sami tarča kibernetskih napadov in predstavljajo posebno tveganje, saj so tesno vključeni v delovanje svojih strank. Bistveni in pomembni subjekti v smislu Direktive (EU) 2022/2555 bi zato morali biti bolj skrbni pri izbiri ponudnika upravljanih varnostnih storitev.

Namen tega predloga je izboljšati kakovost upravljanih varnostnih storitev in povečati njihovo primerljivost. Zato ta predlog bistvenim in pomembnim subjektom omogoča več skrbnosti pri izbiri ponudnika upravljanih varnostnih storitev, kot se zahteva z Direktivo (EU) 2022/2555. Poleg tega opredelitev pojma „upravljane varnostne storitve“ v tem predlogu izhaja iz opredelitve pojma „ponudniki upravljanih varnostnih storitev“ iz Direktive (EU) 2022/2555 in ji je zelo podobna. Iz teh razlogov predlog v veliki meri dopolnjuje direktivo NIS 2.

Nazadnje, ta predlog dopolnjuje predlagani akt o kibernetski solidarnosti. V predlaganem aktu o kibernetski solidarnosti je določen postopek za izbiro ponudnikov za vzpostavitev kibernetskovarnostne rezerve na ravni EU, pri čemer bi bilo treba med drugim upoštevati, ali so ti ponudniki pridobili evropski ali nacionalni certifikat kibernetske varnosti. Zato bodo imele prihodnje certifikacijske sheme za upravljane varnostne storitve pomembno vlogo pri izvajanju akta o kibernetski solidarnosti.

•Skladnost z drugimi politikami Unije

Ta predlog ne vpliva na skladnost Akta o kibernetski varnosti z Uredbo (EU) 2016/679 (v nadaljnjem besedilu: splošna uredba o varstvu podatkov) 5 in njenimi določbami o vzpostavitvi mehanizmov certificiranja ter pečatov in označb za varstvo podatkov, namenjenih dokazovanju, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s to uredbo. Akt o kibernetski varnosti ne posega v certificiranje dejanj obdelave podatkov v skladu s splošno uredbo o varstvu podatkov, tudi kadar so taka dejanja vključena v proizvode in storitve.

Poleg tega ta predlog ne vpliva na združljivost Akta o kibernetski varnosti z Uredbo (ES) št. 765/2008 o zahtevah za akreditacijo in nadzor trga 6 , zlasti kar zadeva okvir za nacionalne akreditacijske organe in organe za ugotavljanje skladnosti ter za nacionalne organe za nadzor nad certificiranjem.

2.PRAVNA PODLAGA, SUBSIDIARNOST IN SORAZMERNOST

•Pravna podlaga

S tem predlogom se spreminja Akt o kibernetski varnosti, ki temelji na členu 114 Pogodbe o delovanju Evropske unije (PDEU). Tako kot v primeru Akta o kibernetski varnosti je namen tega predloga preprečiti razdrobljenost notranjega trga, tako da se omogoči sprejetje evropskih certifikacijskih shem za kibernetsko varnost za upravljane varnostne storitve. Države članice so začele sprejemati nacionalne certifikacijske sheme za upravljane varnostne storitve. Zato obstaja dejansko tveganje razdrobljenosti notranjega trga za te storitve, ki naj bi se s tem predlogom odpravilo. Člen 114 PDEU je torej ustrezna pravna podlaga za to pobudo.

•Subsidiarnost (za neizključno pristojnost)

Cilja, da se omogoči sprejetje evropskih certifikacijskih shem za kibernetsko varnost za upravljane varnostne storitve in prepreči razdrobljenost notranjega trga, ni mogoče doseči na nacionalni ravni, temveč le na ravni Unije. Poleg tega upravljane varnostne storitve, ki so predmet predlagane spremembe, ponujajo ponudniki, ki delujejo po vsej Uniji, kar velja tudi za njihove največje potencialne stranke. Ukrepanje na ravni Unije je zato potrebno in učinkovitejše od ukrepanja na nacionalni ravni.

•Sorazmernost

Predlog je ciljno usmerjena sprememba Akta o kibernetski varnosti. Omejen je na to, kar je nujno potrebno za doseganje njegovega cilja, tj. omogočiti sprejetje evropskih certifikacijskih shem za kibernetsko varnost za upravljane varnostne storitve poleg shem za proizvode IKT, storitve IKT in postopke IKT. S predlaganimi spremembami se prilagaja zlasti področje uporabe evropskega certifikacijskega okvira za kibernetsko varnost, tako da so vanj vključene „upravljane varnostne storitve“, uvedena je opredelitev teh storitev v skladu z direktivo NIS 2 ter spremenjeni so varnostni cilji evropskega certificiranja kibernetske varnosti, da bi se to certificiranje prilagodilo „upravljanim varnostnim storitvam“. Druge spremembe so tehnične narave, njihov namen pa je zagotoviti, da se ustrezni členi uporabljajo tudi za „upravljane varnostne storitve“. Predlagana pobuda je torej sorazmerna s ciljem.

•Izbira instrumenta

Ker predlog spreminja Uredbo (EU) 2019/881, je ustrezen pravni instrument uredba.

3.REZULTATI NAKNADNIH OCEN, POSVETOVANJ Z DELEŽNIKI IN OCEN UČINKA

•Naknadne ocene/preverjanja primernosti obstoječe zakonodaje

Ni relevantno.

•Posvetovanja z deležniki

Opravljena so bila ciljno usmerjena posvetovanja z državami članicami in agencijo ENISA. V teh posvetovanjih so države članice opisale svoje sedanje dejavnosti in stališča v zvezi s certificiranjem upravljanih varnostnih storitev. Agencija ENISA je pojasnila svoja stališča in ugotovitve iz razprav z državami članicami in deležniki. Pripombe in informacije, ki so jih predložile države članice in agencija ENISA, so bile upoštevane pri tem predlogu.

•Zbiranje in uporaba strokovnih mnenj

Ni relevantno.

•Ocena učinka

Zahtevana je bila opustitev potrebe po oceni učinka, saj predlog pomeni zelo omejeno in ciljno usmerjeno spremembo Akta o kibernetski varnosti. Z njim bi bila Komisija pooblaščena, da z izvedbenimi akti sprejme certifikacijske sheme za „upravljane varnostne storitve“ poleg shem za proizvode IKT, storitve IKT in postopke IKT, ki so že zajeti v Aktu. Vendar bi sprememba začela učinkovati šele po sprejetju takih certifikacijskih shem v poznejši fazi. Poleg tega se s spremembo ne bi spremenila prostovoljna narava certifikacijskih shem.

•Primernost in poenostavitev ureditve

Ni relevantno.

•Temeljne pravice

Predlog nima predvidljivih posledic za varstvo temeljnih pravic.  

4.PRORAČUNSKE POSLEDICE

Jih ni.

5.DRUGI ELEMENTI

•Načrti za izvedbo ter ureditev spremljanja, ocenjevanja in poročanja

Določbe, ki se spreminjajo s predlogom, bodo ocenjene v okviru rednega ocenjevanja Akta o kibernetski varnosti, ki ga bo Komisija izvedla v skladu s členom 67 zadevnega akta. V navedeni oceni se med drugim ocenijo učinek, uspešnost in učinkovitost določb o certifikacijskem okviru za kibernetsko varnost glede na cilja zagotavljanja ustrezne ravni kibernetske varnosti proizvodov IKT, storitev IKT in postopkov IKT v Uniji ter izboljšanja delovanja notranjega trga. Predlog vsebuje spremembo, s katero se zagotavlja, da navedena ocena zajema tudi upravljane varnostne storitve. Komisija Evropskemu parlamentu, Svetu in upravnemu odboru agencije ENISA pošlje tudi poročilo o oceni in ugotovitvah iz te ocene ter ugotovitve iz poročila javno objavi.

•Natančnejša pojasnitev posameznih določb predloga

Predlog ima dva člena. Medtem ko člen 1 vsebuje spremembe Uredbe (EU) 2019/881, se člen 2 nanaša na začetek veljavnosti. Člen 1 vsebuje ciljno usmerjene spremembe za spremembo področja uporabe evropskega certifikacijskega okvira za kibernetsko varnost v Aktu o kibernetski varnosti, da se vključijo „upravljane varnostne storitve“ (člena 1 in 46 Akta o kibernetski varnosti). Uvaja opredelitev teh storitev, ki je zelo tesno usklajena z opredelitvijo pojma „ponudniki upravljanih varnostnih storitev“ iz direktive NIS 2 (člen 2 Akta o kibernetski varnosti). Z njim je dodan tudi nov člen 51a o varnostnih ciljih evropskega certificiranja kibernetske varnosti, ki so prilagojeni „upravljanim varnostnim storitvam“. Nazadnje predlog vsebuje več tehničnih sprememb za zagotovitev, da se ustrezni členi uporabljajo tudi za „upravljane varnostne storitve“.

2023/0108 (COD)

Predlog

UREDBA EVROPSKEGA PARLAMENTA IN SVETA

o spremembi Uredbe (EU) 2019/881 glede upravljanih varnostnih storitev

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 114 Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora,

ob upoštevanju mnenja Odbora regij,

v skladu z rednim zakonodajnim postopkom,

ob upoštevanju naslednjega:

(1)Z Uredbo (EU) 2019/881 Evropskega parlamenta in Sveta 7 je vzpostavljen okvir za vzpostavitev evropskih certifikacijskih shem za kibernetsko varnost za namene zagotavljanja ustrezne ravni kibernetske varnosti za proizvode IKT, storitve IKT in postopke IKT v Uniji, pa tudi za namene preprečevanja razdrobljenosti notranjega trga v zvezi s certifikacijskimi shemami za kibernetsko varnost v Uniji.

(2)Upravljane varnostne storitve, tj. storitve, ki vključujejo izvajanje dejavnosti, povezanih z obvladovanjem tveganj za kibernetsko varnost za stranke teh storitev, ali zagotavljanje pomoči pri takih dejavnostih, postajajo vse pomembnejše pri preprečevanju in blaženju kibernetskovarnostnih incidentov. Zato se ponudniki navedenih storitev štejejo za bistvene ali pomembne subjekte, ki spadajo v visoko kritični sektor v skladu z Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta 8 . V skladu z uvodno izjavo 86 navedene direktive imajo ponudniki upravljanih varnostnih storitev na področjih, kot so odzivanje na incidente, penetracijsko testiranje, varnostne presoje in svetovanje, še posebej pomembno vlogo pri zagotavljanju pomoči subjektom pri njihovih prizadevanjih za preprečevanje in odkrivanje incidentov ter odzivanje nanje ali okrevanje po njih. Vendar so ponudniki upravljanih varnostnih storitev tudi sami tarča kibernetskih napadov in predstavljajo posebno tveganje, saj so tesno vključeni v delovanje svojih strank. Bistveni in pomembni subjekti v smislu Direktive (EU) 2022/2555 bi zato morali biti bolj skrbni pri izbiri ponudnika upravljanih varnostnih storitev.

(3)Ponudniki upravljanih varnostnih storitev imajo pomembno vlogo tudi pri kibernetskovarnostni rezervi EU, katere postopno vzpostavitev podpira Uredba (EU) …/… [o določitvi ukrepov za krepitev solidarnosti in zmogljivosti v Uniji za odkrivanje kibernetskih groženj in incidentov ter pripravo in odzivanje nanje] Kibernetskovarnostno rezervo EU je treba uporabiti za podporo ukrepom odzivanja in takojšnjega okrevanja v primeru pomembnih kibernetskovarnostnih incidentov in kibernetskovarnostnih incidentov velikih razsežnosti. V Uredbi (EU) …/… [o določitvi ukrepov za krepitev solidarnosti in zmogljivosti v Uniji za odkrivanje kibernetskih groženj in incidentov ter pripravo in odzivanje nanje] je določen postopek za izbiro ponudnikov, ki sestavljajo kibernetskovarnostno rezervo EU, pri katerem bi bilo treba med drugim upoštevati, ali je zadevni ponudnik pridobil evropski ali nacionalni certifikat kibernetske varnosti. Zadevne storitve, ki jih zagotavljajo „zaupanja vredni ponudniki“ v skladu z Uredbo (EU) …/… [o določitvi ukrepov za krepitev solidarnosti in zmogljivosti v Uniji za odkrivanje kibernetskovarnostnih groženj in incidentov ter pripravo in odzivanje nanje], ustrezajo „upravljanim varnostnim storitvam“ v skladu s to uredbo.

(4)Certificiranje upravljanih varnostnih storitev ni pomembno le v postopku izbire za kibernetskovarnostno rezervo EU, temveč je tudi bistven kazalnik kakovosti za zasebne in javne subjekte, ki nameravajo kupiti take storitve. Glede na kritičnost upravljanih varnostnih storitev in občutljivost podatkov, ki se obdelujejo v okviru teh storitev, bi lahko certificiranje potencialnim strankam zagotovilo pomembne smernice in zagotovila glede zanesljivosti teh storitev. Evropske certifikacijske sheme za upravljane varnostne storitve prispevajo k preprečevanju razdrobljenosti enotnega trga. Namen te uredbe je zato izboljšati delovanje notranjega trga.

(5)Upravljane varnostne storitve poleg uvajanja proizvodov IKT, storitev IKT ali postopkov IKT pogosto zagotavljajo dodatne storitvene funkcije, ki temeljijo na kompetencah, strokovnem znanju in izkušnjah osebja teh storitev. Zelo visoka raven teh kompetenc, strokovnega znanja in izkušenj ter ustrezni notranji postopki bi morali biti del varnostnih ciljev, da se zagotovi zelo visoka kakovost upravljanih varnostnih storitev. Za zagotovitev, da se lahko vsi vidiki upravljane varnostne storitve vključijo v certifikacijsko shemo, je torej treba spremeniti Uredbo (EU) 2019/881. 
V skladu s členom 42(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal [DD/MM/LLLL] –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Spremembe Uredbe (EU) 2019/881

Uredba (EU) 2019/881 se spremeni:

(1)    v členu 1(1), prvi pododstavek, se točka (b) nadomesti z naslednjim:

„(b) okvir za vzpostavitev evropskih certifikacijskih shem za kibernetsko varnost za namene zagotavljanja ustrezne ravni kibernetske varnosti za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve v Uniji, pa tudi za namene preprečevanja razdrobljenosti notranjega trga v zvezi s certifikacijskimi shemami za kibernetsko varnost v Uniji.“;

(2)    člen 2 se spremeni:

(a)    točke 9, 10 in 11 se nadomestijo z naslednjim:

„(9) ‚evropska certifikacijska shema za kibernetsko varnost‘ pomeni celovit sklop pravil, tehničnih zahtev, standardov in postopkov, ki so vzpostavljeni na ravni Unije in se uporabljajo za certificiranje ali ugotavljanje skladnosti posameznih proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev;

(10) ‚nacionalna certifikacijska shema za kibernetsko varnost‘ pomeni celovit sklop pravil, tehničnih zahtev, standardov in postopkov, ki so jih oblikovali in sprejeli nacionalni javni organi in se uporabljajo za certificiranje ali ugotavljanje skladnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev, ki spadajo na področje uporabe določene sheme;

(11) ‚evropski certifikat kibernetske varnosti‘ pomeni dokument, ki ga izda ustrezen organ in potrjuje, da je bil zadevni proizvod IKT, storitev IKT, postopek IKT ali upravljana varnostna storitev ocenjena glede skladnosti s posebnimi varnostnimi zahtevami, določenimi v evropski certifikacijski shemi za kibernetsko varnost;“;

(b)    vstavi se naslednja točka:

„(14a) ‚upravljana varnostna storitev‘ pomeni storitev, ki vključuje izvajanje dejavnosti, povezanih z obvladovanjem tveganj za kibernetsko varnost, ali za zagotavljanje pomoči pri takih dejavnostih, vključno z odzivanjem na incidente, penetracijskim testiranjem, varnostnimi presojami in svetovanjem;“;

(c)    točke 20, 21 in 22 se nadomestijo z naslednjim:

„(20) ‚tehnične specifikacije‘ pomeni dokument, ki določa tehnične zahteve, ki jih mora izpolnjevati proizvod IKT, storitev IKT, postopek IKT ali upravljana varnostna storitev, ali postopke ugotavljanja skladnosti v zvezi s proizvodom IKT, storitvijo IKT, postopkom IKT ali upravljano varnostno storitvijo;

(21) ‚stopnja zagotovila‘ pomeni podlago za zaupanje, da proizvod IKT, storitev IKT, postopek IKT ali upravljana varnostna storitev izpolnjuje varnostne zahteve določene evropske certifikacijske sheme za kibernetsko varnost, navaja pa tudi raven, na kateri je bil proizvod IKT, storitev IKT, postopek IKT ali upravljana varnostna storitev ocenjena, vendar kot taka ne meri varnosti zadevnega proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve;

(22) ‚samoocenjevanje skladnosti‘ pomeni dejavnost proizvajalca ali ponudnika proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, s katero se oceni, ali ti proizvodi IKT, storitve IKT, postopki IKT ali upravljane varnostne storitve izpolnjujejo zahteve iz določene evropske certifikacijske sheme za kibernetsko varnost.“;

(3)    v členu 4 se odstavek 6 nadomesti z naslednjim:

„6. Agencija ENISA spodbuja uporabo evropskega certificiranja na področju kibernetske varnosti, da se prepreči razdrobljenost notranjega trga. Agencija ENISA prispeva k vzpostavitvi in vzdrževanju evropskega certifikacijskega okvira za kibernetsko varnost v skladu z naslovom III te uredbe, da bi se izboljšala preglednost kibernetske varnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev ter s tem okrepila zaupanje v digitalni notranji trg in njegova konkurenčnost.“;

(4)    člen 8 se spremeni:

(a)    odstavek 1 se nadomesti z naslednjim:

„1. Agencija ENISA podpira in spodbuja oblikovanje in izvajanje politike Unije o certificiranju proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev glede kibernetske varnosti, kot je določeno v naslovu III te uredbe, in sicer s:

(a) stalnim spremljanjem razvoja na področjih, povezanih s standardizacijo, in dajanjem priporočil glede ustreznih tehničnih specifikacij, namenjenih razvoju evropske certifikacijske sheme za kibernetsko varnost na podlagi člena 54(1), točka (c), kadar standardi niso na voljo;

(b) pripravo predlog za evropske certifikacijske sheme za kibernetsko varnost (v nadaljnjem besedilu: predloge za sheme) za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve v skladu s členom 49;

(c) ocenjevanjem sprejetih evropskih certifikacijskih shem za kibernetsko varnost v skladu s členom 49(8);

(d) sodelovanjem pri medsebojnih strokovnih pregledih na podlagi člena 59(4);

(e) podporo Komisiji pri zagotavljanju sekretariata evropski certifikacijski skupini za kibernetsko varnost na podlagi člena 62(5).“;

(b)    odstavek 3 se nadomesti z naslednjim:

„3. Agencija ENISA pripravi in objavi smernice ter razvije dobre prakse glede zahtev na področju kibernetske varnosti za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve v sodelovanju z nacionalnimi certifikacijskimi organi za kibernetsko varnost in industrijo na formalen, strukturiran in pregleden način.“;

(c)    odstavek 5 se nadomesti z naslednjim:

„5. Agencija ENISA omogoča lažjo vzpostavitev in uvedbo evropskih in mednarodnih standardov za obvladovanje tveganja in za varnost proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev.“;

(5)    v členu 46 se odstavka 1 in 2 nadomestita z naslednjim:

„1. Evropski certifikacijski okvir za kibernetsko varnost se vzpostavi za izboljšanje pogojev za delovanje notranjega trga z zvišanjem ravni kibernetske varnosti v Uniji in omogočanjem harmoniziranega pristopa na ravni Unije glede evropskih certifikacijskih shem za kibernetsko varnost, da bi se oblikoval enotni digitalni trg za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve.

2. Evropski certifikacijski okvir za kibernetsko varnost zagotavlja mehanizem za vzpostavitev evropskih certifikacijskih shem za kibernetsko varnost. Z njim se potrjuje, da proizvodi IKT, storitve IKT in postopki IKT, ki so bili ocenjeni v skladu s takimi shemami, izpolnjujejo določene varnostne zahteve, da se zaščitijo razpoložljivost, pristnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali funkcij ali storitev, ki jih ti proizvodi, storitve in postopki ponujajo ali so prek njih dostopni v celotnem življenjskem ciklu. Z njim se potrjuje tudi, da upravljane varnostne storitve, ki so bile ocenjene v skladu s takimi shemami, izpolnjujejo določene varnostne zahteve, da se zaščitijo razpoložljivost, pristnost, celovitost in zaupnost podatkov, do katerih se dostopa ali ki se obdelujejo, shranjujejo ali prenašajo v zvezi z izvajanjem navedenih storitev, ter da navedene storitve vedno izvaja osebje z ustreznimi kompetencami, strokovnim znanjem in izkušnjami ter zelo visoko ravnjo ustreznega tehničnega znanja in poklicne integritete.“; 

(6)    v členu 47 se odstavka 2 in 3 nadomestita z naslednjim:

„2. Tekoči delovni program Unije vključuje predvsem seznam proizvodov IKT, storitev IKT in postopkov IKT ali njihovih kategorij in upravljanih varnostnih storitev, za katere je lahko koristno, če so vključeni v področje uporabe evropske certifikacijske sheme za kibernetsko varnost.

3. Vključitev posameznih proizvodov IKT, storitev IKT in postopkov IKT ali njihovih kategorij ali upravljanih varnostnih storitev v tekoči delovni program Unije se utemelji z enim ali več od naslednjih razlogov:

(a) razpoložljivost in oblikovanje nacionalnih certifikacijskih shem za kibernetsko varnost, ki zajemajo posamezno kategorijo proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, zlasti kar zadeva tveganje razdrobljenosti;

(b) ustrezna politika ali pravo Unije ali politika ali pravo države članice;

(c) povpraševanje na trgu;

(d) razvoj kibernetskih groženj;

(e) zahteva za pripravo posebne predloge sheme, ki jo predlaga evropska certifikacijska skupina za kibernetsko varnost.“;

(7)    v členu 49 se odstavek 7 nadomesti z naslednjim:

„7. Komisija lahko na podlagi predloge za shemo, ki jo pripravi agencija ENISA, sprejme izvedbene akte, ki določajo evropsko certifikacijsko shemo za kibernetsko varnost za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki izpolnjujejo zahteve iz členov 51, 52 in 54. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 66(2).“;

(8)    člen 51 se spremeni:

   (a)    naslov se nadomesti z naslednjim:

Varnostni cilji evropskih certifikacijskih shem za kibernetsko varnost za proizvode IKT, storitve IKT in postopke IKT

   (b)     uvodni stavek se nadomesti z naslednjim:

„Evropska certifikacijska shema za kibernetsko varnost za proizvode IKT, storitve IKT ali postopke IKT je oblikovana tako, da se ustrezno dosežejo najmanj naslednji varnostni cilji:“;

(9)    vstavi se naslednji člen:

„Člen 51a

Varnostni cilji evropskih certifikacijskih shem za kibernetsko varnost za upravljane varnostne storitve

„Evropska certifikacijska shema za kibernetsko varnost za upravljane varnostne storitve je oblikovana tako, da se ustrezno dosežejo najmanj naslednji varnostni cilji:

(a) zagotoviti, da se upravljane varnostne storitve izvajajo z ustreznimi kompetencami, strokovnim znanjem in izkušnjami, vključno s tem, da ima osebje, odgovorno za izvajanje teh storitev, zelo visoko raven tehničnega znanja in kompetenc na določenem področju, zadostne in ustrezne izkušnje ter najvišjo stopnjo poklicne integritete;

(b) zagotoviti, da ima ponudnik vzpostavljene ustrezne notranje postopke za zagotovitev, da se upravljane varnostne storitve vedno izvajajo na zelo visoki ravni kakovosti;

(c) zaščititi podatke, do katerih se dostopa ali ki se shranjujejo, prenašajo ali kako drugače obdelujejo v zvezi z izvajanjem upravljanih varnostnih storitev pred naključnim ali nepooblaščenim dostopom, hrambo, razkritjem, uničenjem, drugo obdelavo ali izgubo ali spremembo ali slabo razpoložljivostjo;

(d) v primeru fizičnega ali tehničnega incidenta zagotoviti pravočasno povrnitev razpoložljivosti in dostopa do podatkov, storitev in funkcij;

(e) zagotoviti, da imajo pooblaščene osebe, programi ali stroji dostop zgolj do podatkov, storitev ali funkcij, na katere se nanašajo njihove pravice do dostopa;

(f) evidentirati in omogočiti oceno, do katerih podatkov, storitev ali funkcij se je dostopalo ali kateri podatki, storitve ali funkcije so se uporabljali oziroma kako drugače obdelovali ter kdaj in kdo je do njih dostopal oziroma jih je uporabljal ali obdeloval;

(g) zagotoviti, da so proizvodi IKT, storitve IKT in postopki IKT (ter strojna oprema), ki se uporabljajo pri zagotavljanju upravljanih varnostnih storitev, razviti v skladu z načelom privzete in vgrajene varnosti, ne vsebujejo znanih ranljivosti ter vključujejo najnovejše varnostne posodobitve.“;

(10)    člen 52 se spremeni:

(a)    odstavek 1 se nadomesti z naslednjim:

„1. Evropska certifikacijska shema za kibernetsko varnost lahko določa eno ali več naslednjih stopenj zagotovila za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve: ‚osnovno‘, ‚znatno‘ ali ‚visoko‘. Stopnja zagotovila ustreza stopnji tveganja, povezani s predvideno uporabo proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve v smislu verjetnosti in vpliva incidenta.“;

(b)    odstavek 3 se nadomesti z naslednjim:

„3. Varnostne zahteve, ki ustrezajo vsaki stopnji zagotovila, so določene v ustrezni evropski certifikacijski shemi za kibernetsko varnost, vključno z ustreznimi varnostnimi funkcionalnostmi in ustrezno strogostjo in obsegom ocenjevanja, ki se izvede za proizvod IKT, storitev IKT, postopek IKT ali upravljano varnostno storitev.“;

(c)    odstavki 5, 6 in 7 se nadomestijo z naslednjim:

„5. Evropski certifikat kibernetske varnosti ali izjava EU o skladnosti, ki se nanaša na ‚osnovno‘ stopnjo zagotovila, zagotavlja, da proizvodi IKT, storitve IKT, postopki IKT in upravljane varnostne storitve, za katere se izda navedeni certifikat ali navedena izjava EU o skladnosti, izpolnjujejo ustrezne varnostne zahteve, vključno z varnostnimi funkcionalnostmi, in da so bili ocenjeni na ravni za kar najbolj zmanjšana znana osnovna tveganja incidentov in kibernetskih napadov. Ocenjevalne dejavnosti, ki se izvedejo, vključujejo vsaj pregled tehnične dokumentacije. Kadar tak pregled ni primeren, se izvedejo nadomestne ocenjevalne dejavnosti z enakovrednim učinkom.

6. Evropski certifikat kibernetske varnosti, ki se nanaša na ‚znatno‘ stopnjo zagotovila, zagotavlja, da proizvodi IKT, storitve IKT, postopki IKT in upravljane varnostne storitve, za katere se izda ta certifikat, izpolnjujejo ustrezne varnostne zahteve, vključno z varnostnimi funkcionalnostmi, in da so bili ocenjeni na ravni za kar najbolj zmanjšana znana kibernetska tveganja ter tveganja incidentov in kibernetskih napadov, ki jih izvajajo akterji z omejenimi veščinami in viri. Ocenjevalne dejavnosti, ki se izvedejo, vključujejo najmanj naslednje: pregled za dokazovanje, da se javno znane ranljivosti ne pojavljajo, in testiranje za dokazovanje, da se pri proizvodih IKT, storitvah IKT, postopkih IKT ali upravljanih varnostnih storitev pravilno izvajajo potrebne varnostne funkcionalnosti. Kadar katera izmed takih ocenjevalnih dejavnosti ni primerna, se izvedejo nadomestne ocenjevalne dejavnosti z enakovrednim učinkom.

7. Evropski certifikat kibernetske varnosti, ki se nanaša na ‚visoko‘ stopnjo zagotovila, zagotavlja, da proizvodi IKT, storitve IKT, postopki IKT in upravljane varnostne storitve, za katere se izda ta certifikat, izpolnjujejo ustrezne varnostne zahteve, vključno z varnostnimi funkcionalnostmi, in da so bili ocenjeni na ravni za kar najbolj zmanjšano tveganje naprednih kibernetskih napadov, ki jih izvajajo akterji z obsežnimi veščinami in viri. Ocenjevalne dejavnosti, ki se izvedejo, vključujejo najmanj naslednje: pregled za dokazovanje, da se javno znane ranljivosti ne pojavljajo; testiranje za dokazovanje, da se pri proizvodih IKT, storitvah IKT, postopkih IKT ali upravljanih varnostnih storitvah pravilno izvajajo potrebne najsodobnejše varnostne funkcionalnosti, in ocenjevanje njihove odpornosti proti veščim napadalcem z uporabo penetracijskega testiranja. Kadar katera izmed takih ocenjevalnih dejavnosti ni primerna, se izvedejo nadomestne dejavnosti z enakovrednim učinkom.“;

(11)    v členu 53 se odstavki 1, 2 in 3 nadomestijo z naslednjim:

„1.   V okviru evropske certifikacijske sheme za kibernetsko varnost se lahko dopusti samoocenjevanje skladnosti, za katero je v celoti odgovoren proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, Samoocenjevanje se dopusti samo v zvezi s proizvodi IKT, storitvami IKT, postopki IKT in upravljanimi varnostnimi storitvami, ki predstavljajo nizko tveganje, ki ustreza ‚osnovni‘ stopnji zagotovila.

2.   Proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev lahko izda izjavo EU o skladnosti, v kateri je navedeno, da je dokazano izpolnjevanje zahtev iz sheme. Z izdajo take izjave proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev prevzame odgovornost za skladnost proizvoda IKT, storitve IKT, postopka IKT ali upravljane varnostne storitve z zahtevami iz te sheme.

3.   Proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev za obdobje, določeno v ustrezni evropski certifikacijski shemi za kibernetsko varnost, nacionalnemu certifikacijskemu organu za kibernetsko varnost iz člena 58 da na voljo izjavo EU o skladnosti, tehnično dokumentacijo in vse druge ustrezne informacije, ki se nanašajo na skladnost proizvodov IKT, storitev IKT ali upravljanih varnostnih storitev s shemo. Kopija izjave EU o skladnosti se predloži nacionalnemu certifikacijskemu organu za kibernetsko varnost in agenciji ENISA.“;

(12)    v členu 54 se odstavek 1 spremeni:

(a)    točka (a) se nadomesti z naslednjim:

„(a) predmet urejanja in področje uporabe certifikacijske sheme, vključno z vrsto ali kategorijami zajetih proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev;“;

(b)    točka (j) se nadomesti z naslednjim:

„(j) pravila za spremljanje skladnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev z zahtevami evropskih certifikatov kibernetske varnosti ali izjave EU o skladnosti, vključno z mehanizmi za dokazovanje stalnega izpolnjevanja določenih zahtev glede kibernetske varnosti;“;

(c)    točka (l) se nadomesti z naslednjim:

„(l) pravila glede posledic za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki so bili certificirani ali za katere se je izdala izjava EU o skladnosti, vendar niso skladni z zahtevami sheme;“;

(d)    točka (o) se nadomesti z naslednjim:

opredelitev nacionalnih ali mednarodnih certifikacijskih shem za kibernetsko varnost, ki zadeva isto vrsto ali kategorije proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev, varnostnih zahtev, meril in metod za ocenjevanje ter stopenj zagotovila;“;

(e)    točka (q) se nadomesti z naslednjim:

„(q) obdobje razpoložljivosti izjave EU o skladnosti, tehnične dokumentacije in vseh drugih ustreznih informacij, ki jih da na voljo proizvajalec ali ponudnik proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev;“;

(13)    člen 56 se spremeni:

(a)    odstavek 1 se nadomesti z naslednjim:

„1. Za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki so bili certificirani na podlagi evropske certifikacijske sheme za kibernetsko varnost, sprejete na podlagi člena 49, se domneva, da so skladni z zahtevami take sheme.“;

(b)    odstavek 3 se spremeni:

(i)    prvi pododstavek se nadomesti z naslednjim:

„Komisija redno ocenjuje učinkovitost in uporabo sprejetih evropskih certifikacijskih shem za kibernetsko varnost ter ali bi morala posamezna evropska certifikacijska shema za kibernetsko varnost postati obvezna na podlagi ustreznega prava Unije, da bi zagotovili ustrezno raven kibernetske varnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev v Uniji ter izboljšali delovanje notranjega trga. Prva taka ocena se izvede do 31. decembra 2023, poznejše ocene pa se izvedejo vsaj vsaki dve leti po tem. Komisija na podlagi rezultatov teh ocen opredeli proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, zajete v obstoječi certifikacijski shemi, ki bi morali biti zajeti v obvezni certifikacijski shemi.“;

(ii)    tretji pododstavek se spremeni:

(aa) točka (a) se nadomesti z naslednjim:

„(a) upošteva učinek ukrepov na proizvajalce ali ponudnike takšnih proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev ter na uporabnike v smislu stroška teh ukrepov, pa tudi družbene ali gospodarske koristi zaradi pričakovane višje ravni varnosti ciljnih proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev;“;

(bb) točka (d) se nadomesti z naslednjim:

„(d) upošteva roke za izvajanje, prehodne ukrepe in obdobja, zlasti glede morebitnega učinka ukrepov na proizvajalce ali ponudnike proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, vključno z MSP;“;

(c)    odstavka 7 in 8 se nadomestita z naslednjim:

„7. Fizična ali pravna oseba, ki predloži proizvode IKT, storitve IKT, postopke IKT ali upravljane varnostne storitve za certifikacijo, nacionalnemu certifikacijskemu organu za kibernetsko varnost iz člena 58, če je to organ, ki je izdal evropski certifikat kibernetske varnosti, ali organu za ugotavljanje skladnosti iz člena 60 da na voljo vse informacije, ki so potrebne za izvedbo certifikacije.

8. Imetnik evropskega certifikata kibernetske varnosti obvesti nacionalni certifikacijski organ za kibernetsko varnost ali organ za ugotavljanje skladnosti iz odstavka 7 o vseh pozneje odkritih ranljivostih ali nepravilnostih v zvezi z varnostjo certificiranega proizvoda IKT, storitve IKT, postopka IKT ali upravljanih varnostnih storitev, ki bi lahko vplivale na njihovo skladnost z zahtevami, povezanimi s certifikacijo. Navedeni organ te informacije brez nepotrebnega odlašanja posreduje zadevnemu nacionalnemu certifikacijskemu organu za kibernetsko varnost.“;

(14)    v členu 57 se odstavka 1 in 2 nadomestita z naslednjim:

„1. Brez poseganja v odstavek 3 tega člena nacionalne certifikacijske sheme za kibernetsko varnost ter z njimi povezani postopki za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki so zajeti v evropski certifikacijski shemi za kibernetsko varnost, prenehajo učinkovati z datumom, določenim v izvedbenem aktu, sprejetem na podlagi člena 49(7). Nacionalne certifikacijske sheme za kibernetsko varnost ter z njimi povezani postopki za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki niso zajeti v evropski certifikacijski shemi za kibernetsko varnost, še naprej obstajajo.

2. Države članice ne uvedejo novih nacionalnih certifikacijskih shem za kibernetsko varnost za proizvode IKT, storitve IKT, postopke IKT in upravljane varnostne storitve, ki so zajeti v veljavni evropski certifikacijski shemi za kibernetsko varnost.“;

(15)    člen 58 se spremeni:

(a)    odstavek 7 se spremeni:

(i) točki (a) in (b) se nadomestita z naslednjim:

 „(a) nadzirajo in uveljavljajo pravila iz evropskih certifikacijskih shem za kibernetsko varnost na podlagi člena 54(1), točka (j), za spremljanje skladnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev z zahtevami evropskih certifikatov kibernetske varnosti, ki so bili izdani na njihovem ozemlju, v sodelovanju z drugimi zadevnimi organi za nadzor trga;

(b) spremljajo izpolnjevanje obveznosti proizvajalcev ali ponudnikov proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev, ki imajo sedež na njihovem ozemlju in izvajajo samoocenjevanje skladnosti, in jih izvršujejo, ter zlasti spremljajo izpolnjevanje obveznosti takih proizvajalcev ali ponudnikov, določenih v členu 53(2) in (3) in v ustrezni evropski certifikacijski shemi za kibernetsko varnost, in jih izvršujejo;“;

(ii) točka (h) se nadomesti z naslednjim:

„(h) sodelujejo z drugimi nacionalnimi certifikacijskimi organi za kibernetsko varnost ali drugimi javnimi organi, vključno z izmenjavo informacij o morebitni neskladnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev z zahtevami iz te uredbe ali z zahtevami posameznih evropskih certifikacijskih shem za kibernetsko varnost, ter“;

(b)    odstavek 9 se nadomesti z naslednjim:

„9. Nacionalni certifikacijski organi za kibernetsko varnost sodelujejo med seboj in s Komisijo, zlasti z izmenjavo informacij, izkušenj in dobrih praks glede certificiranja kibernetske varnosti in tehničnih vprašanj, ki zadevajo kibernetsko varnost proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev.“;

(16)    v členu 59(3) se točki (b) in (c) nadomestita z naslednjim:

 „(b) postopke za nadziranje in uveljavljanje pravil za spremljanje skladnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev z evropskimi certifikati kibernetske varnosti na podlagi člena 58(7), točka (a);

(c) postopke za spremljanje in izvrševanje obveznosti proizvajalcev ali ponudnikov proizvodov IKT, storitev IKT, postopkov IKT ali upravljanih varnostnih storitev na podlagi člena 58(7), točka (b);“;

(17)    v členu 67 se odstavka 2 in 3 nadomestita z naslednjim:

„2. Oceni se tudi vpliv, učinkovitost in uspešnost določb naslova III te uredbe glede ciljev zagotavljanja ustrezne ravni kibernetske varnosti proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev v Uniji ter izboljšanja delovanja notranjega trga.

3. Med ocenjevanjem se presodi, ali so za dostop do notranjega trga potrebne bistvene zahteve glede kibernetske varnosti, da se prepreči vstop proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev, ki ne izpolnjujejo osnovnih zahtev glede kibernetske varnosti, na trg Unije.“.

Člen 2

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Strasbourgu,

(1)    Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).

(2)    9364/22.

(3)    JOIN(2022) 49 final.

(4)    UL L 333/810, 27.12.2022.

(5)    UL L 119/1, 4.5.2016.

(6)    UL L 218/30, 13.8.2008.

(7)    Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).

(8)    Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).