(1)

Uporaba informacijskih in komunikacijskih tehnologij ter odvisnost od njih sta postali ključna vidika v vseh sektorjih gospodarske dejavnosti in družbe zaradi vse večje medsebojne povezanosti in medsebojne odvisnosti javnih uprav, podjetij in državljanov držav članic v različnih sektorjih in prek meja, hkrati pa sta tudi vir morebitnih ranljivosti.

(2)

Obseg, pogostost in posledice kibernetskih incidentov se, vključno z napadi na oskrbovalno verigo za namene kibernetskega vohunjenja, izsiljevalskega programja ali povzročanja motenj, po vsej Uniji in tudi na svetovni ravni povečujejo. Ti predstavljajo veliko grožnjo za delovanje omrežja in informacijskih sistemov. Glede na hitro razvijajočo se krajino groženj je treba zaradi nevarnosti morebitnih kibernetskih incidentov velikih razsežnosti, ki povzročajo velike motnje ali škodo na kritični infrastrukturi, povečati pripravljenost okvira Unije za kibernetsko varnost. Ta nevarnost presega vojno agresijo Rusije proti Ukrajini in se bo verjetno nadaljevala, glede na številne akterje, vpletene v trenutne geopolitične napetosti. Taki incidenti lahko ovirajo zagotavljanje javnih storitev, saj so kibernetski napadi pogosto usmerjeni v lokalne, regionalne ali nacionalne javne storitve in infrastrukturo, pri čemer so lokalni organi še posebej ranljivi, tudi zaradi svojih omejenih virov. Ovirajo lahko tudi opravljanje gospodarskih dejavnosti, tudi v visoko kritičnih sektorjih ali drugih kritičnih sektorjih, povzročijo znatne finančne izgube, spodkopljejo zaupanje uporabnikov, povzročijo veliko škodo gospodarstvu in demokratičnim sistemom Unije in imajo lahko celo zdravstvene ali življenjsko nevarne posledice. Poleg tega so kibernetski incidenti nepredvidljivi, saj pogosto nastanejo in se razvijejo hitro, niso omejeni na določeno geografsko območje in se zgodijo hkrati ali se takoj razširijo po številnih državah. Pomembno je, da javni in zasebni sektor, akademski svet, civilna družba in mediji tesno sodelujejo.

(3)

Okrepiti je treba konkurenčni položaj industrije in storitev v Uniji v celotnem digitalnem gospodarstvu ter podpreti njuno digitalno preobrazbo, in sicer z okrepitvijo ravni kibernetske varnosti na enotnem digitalnem trgu, kot je priporočeno v treh različnih predlogih Konference o prihodnosti Evrope. Treba je povečati odpornost državljanov, podjetij, vključno z mikropodjetji, malimi in srednjimi podjetji ter zagonskimi podjetji, in subjektov, ki upravljajo kritično infrastrukturo, proti vse večjim kibernetskim grožnjam, ki imajo lahko uničujoče družbene in gospodarske posledice. Zato so potrebne naložbe v infrastrukturo in storitve ter krepitev zmogljivosti za razvoj kibernetskih veščin, ki bodo podpirale hitrejše odkrivanje kibernetskih groženj in incidentov ter hitrejše odzivanje nanje. Poleg tega države članice potrebujejo pomoč pri boljši pripravi na pomembne kibernetske incidente in kibernetske incidente velikih razsežnosti ter odzivanju nanje in pomoči pri začetni obnovitvi po njih. Unija bi morala na podlagi obstoječih struktur in v tesnem sodelovanju z njimi tudi povečati svoje zmogljivosti na teh področjih, zlasti kar zadeva zbiranje in analizo podatkov o kibernetskih grožnjah in incidentih.

(4)

Unija je že sprejela več ukrepov za zmanjšanje ranljivosti in povečanje odpornosti kritične infrastrukture in subjektov proti tveganjem, zlasti Uredbo (EU) 2019/881 Evropskega parlamenta in Sveta (5), direktivi 2013/40/EU (6) in (EU) 2022/2555 (7) Evropskega parlamenta in Sveta ter Priporočilo Komisije (EU) 2017/1584 (8). Poleg tega so države članice v Priporočilu Sveta z dne 8. decembra 2022 o usklajenem vseevropskem pristopu za krepitev odpornosti kritične infrastrukture pozvane, naj sprejmejo ukrepe ter sodelujejo med seboj, s Komisijo in drugimi ustreznimi javnimi organi ter zadevnimi subjekti, da bi se okrepila odpornost kritične infrastrukture, ki se uporablja za zagotavljanje bistvenih storitev na notranjem trgu.

(5)

Zaradi vse večjih tveganj za kibernetsko varnost in na splošno zapletene krajine groženj, pa tudi jasnega tveganja hitrega prelivanja incidentov iz ene države članice v druge in iz tretje države v Unijo, je treba okrepiti solidarnost na ravni Unije za boljše odkrivanje kibernetskih groženj in incidentov, pripravo in odzivanje nanje ter obnovitev po njih, zlasti s krepitvijo zmogljivosti obstoječih struktur. Poleg tega je Svet v sklepih z dne 23. maja 2022 o oblikovanju kibernetske drže Evropske unije pozval Komisijo, naj predstavi predlog o novem skladu za odzivanje na izredne razmere na področju kibernetske varnosti.

(6)

V skupnem sporočilu Komisije in visokega predstavnika Unije za zunanje zadeve in varnostno politiko z dne 10. novembra 2022 Evropskemu parlamentu in Svetu o politiki EU za kibernetsko obrambo je bila napovedana pobuda EU za kibernetsko solidarnost s cilji okrepitve skupnih zmogljivosti EU za odkrivanje, situacijskega zavedanja in odzivanja s spodbujanjem uvedbe infrastrukture centrov za varnostne operacije v EU, podpiranjem postopne vzpostavitve rezerve za kibernetsko varnost na ravni EU s storitvami zaupanja vrednih zasebnih ponudnikov in preskušanjem kritičnih subjektov glede morebitnih ranljivosti na podlagi ocen tveganja EU.

(7)

Izboljšati je treba odkrivanje kibernetskih groženj in incidentov ter situacijsko zavedanje o njih po vsej Uniji ter okrepiti solidarnost s povečanjem pripravljenosti in zmogljivosti držav članic in Unije za preprečevanje in odzivanje na pomembne kibernetske incidente in kibernetske incidente velikih razsežnosti. Zato bi bilo treba vzpostaviti vseevropsko mrežo kibernetskih vozlišč (v nadaljnjem besedilu: evropski sistem za opozarjanje na področju kibernetske varnosti), da bi se oblikovale usklajene zmogljivosti za odkrivanje in situacijsko zavedanje ter tako okrepile zmogljivosti Unije za odkrivanje groženj in deljenje informacij o njih; vzpostaviti bi bilo treba mehanizem za izredne razmere na področju kibernetske varnosti, da bi države članice na njihovo zahtevo podprli pri pripravi na pomembne kibernetske incidente in kibernetske incidente velikih razsežnosti, odzivanju nanje, blaženju njihovih posledic in začetku obnovitve po njih ter druge uporabnike podprli pri odzivanju na pomembne kibernetske incidente in kibernetske incidente, enakovredne incidentom velikih razsežnosti; vzpostaviti bi bilo treba evropski mehanizem za pregledovanje kibernetskih incidentov za pregledovanje in ocenjevanje posameznih pomembnih kibernetskih incidentov ali kibernetskih incidentov velikih razsežnosti. Ukrepi, sprejeti na podlagi te uredbe, bi se morali izvajati ob ustreznem upoštevanju pristojnosti držav članic ter bi morali dopolnjevati in ne podvajati dejavnosti, ki jih izvajajo mreža skupin CSIRT, Evropska organizacijska mreža za povezovanje v kibernetski krizi (v nadaljnjem besedilu: mreža EU-CyCLONe) ali skupina za sodelovanje na področju varnosti omrežnih in informacijskih sistemov (v nadaljnjem besedilu: skupina za sodelovanje), vse ustanovljene na podlagi Direktive (EU) 2022/2555. Ti ukrepi ne posegajo v člena 107 in 108 Pogodbe o delovanju Evropske unije (PDEU).

(8)

Za dosego teh ciljev je treba na nekaterih področjih spremeniti Uredbo (EU) 2021/694 Evropskega parlamenta in Sveta (9). Zlasti bi bilo treba s to uredbo spremeniti Uredbo (EU) 2021/694, kar zadeva dodajanje novih operativnih ciljev v zvezi z evropskim sistemom za opozarjanje na področju kibernetske varnosti in mehanizmom za izredne razmere na področju kibernetske varnosti v okviru specifičnega cilja 3 programa Digitalna Evropa, katerega cilj je zagotoviti odpornost, celovitost in zanesljivost enotnega digitalnega trga, okrepiti zmogljivosti za spremljanje kibernetskih napadov in kibernetskih groženj in odzivanje nanje ter izboljšati čezmejno sodelovanje in usklajevanje na področju kibernetske varnosti. Evropski sistem za opozarjanje na področju kibernetske varnosti bi lahko imel pomembno vlogo pri podpiranju držav članic pri predvidevanju kibernetskih groženj in zaščiti pred njimi, EU rezerva za kibernetsko varnost pa pri podpiranju držav članic, institucij, organov, uradov in agencij Unije ter tretjih držav, pridruženih programu Digitalna Evropa, pri odzivanju na pomembne kibernetske incidente, kibernetske incidente velikih razsežnosti in kibernetske incidente, enakovredne incidentom velikih razsežnosti, ter pri blaženju njihovih posledic. Te posledice bi lahko bili znatna materialna ali nematerialna škoda ter resna tveganja za javno varnost in zaščito in podobno. Glede na posebni vlogi, ki bi ju lahko imela evropski sistem za opozarjanje na področju kibernetske varnosti in EU rezerva za kibernetsko varnost, bi bilo treba s to uredbo spremeniti Uredbo (EU) 2021/694, kar zadeva sodelovanje pravnih subjektov, ki so bili ustanovljeni v Uniji, nadzirani pa so iz tretjih držav, kadar obstaja resnično tveganje, da v Uniji ni na voljo potrebnih in zadostnih orodij, infrastrukture in storitev ali tehnologije, strokovnega znanja in zmogljivosti, koristi vključitve teh subjektov pa so večje od varnostnega tveganja. Določiti bi bilo treba posebne pogoje, pod katerimi se lahko dodeli finančna podpora za ukrepe, s katerimi se izvajata evropski sistem za opozarjanje na področju kibernetske varnosti in EU rezerva za kibernetsko varnost, pri čemer bi bilo treba opredeliti mehanizme upravljanja in usklajevanja, ki so potrebni za doseganje zastavljenih ciljev. Druge spremembe Uredbe (EU) 2021/694 bi morale vključevati opise predlaganih ukrepov v okviru novih operativnih ciljev in merljive kazalnike za spremljanje izvajanja teh novih operativnih ciljev.

(9)

Za okrepitev odziva Unije na kibernetske grožnje in incidente je ključno sodelovanje z mednarodnimi organizacijami ter z zaupanja vrednimi, podobno mislečimi mednarodnimi partnerji. V tem okviru bi bilo treba zaupanja vredne, podobno misleče mednarodne partnerje razumeti kot države, ki delijo načela, ki so bila podlaga nastanka Unije, in sicer demokracija, pravna država, univerzalnost in nedeljivost človekovih pravic in temeljnih svoboščin, spoštovanje človekovega dostojanstva, enakost in solidarnost ter spoštovanje načel Ustanovne listine Združenih narodov in mednarodnega prava, ter ki ne ogrožajo bistvenih varnostnih interesov Unije ali njenih držav članic. To sodelovanje bi lahko bilo koristno tudi pri ukrepih, sprejetih na podlagi te uredbe, zlasti pri evropskem sistemu za opozarjanje na področju kibernetske varnosti in EU rezervi za kibernetsko varnost. Uredba (EU) 2021/694 bi morala, pod nekaterimi pogoji glede razpoložljivosti in varnosti, določati, da so razpisi za evropski sistem za opozarjanje na področju kibernetske varnosti in EU rezervo za kibernetsko varnost odprti tudi za pravne subjekte, ki so nadzorovani iz tretjih držav, in sicer ob izpolnjevanju varnostnih zahtev. Pomembno je, da se pri ocenjevanju varnostnega tveganja, povezanega s takim odpiranjem javnega naročanja, upoštevajo načela in vrednote, ki jih Unija deli s podobno mislečimi mednarodnimi partnerji, kadar so ta načela in vrednote povezana z njenimi bistvenimi varnostnimi interesi. Poleg tega bi se lahko pri obravnavi teh varnostnih zahtev na podlagi Uredbe (EU) 2021/694 upoštevalo več elementov, kot so korporativna struktura in postopek odločanja subjekta, varnost podatkov in tajnih ali občutljivih informacij ter zagotavljanje, da rezultati ukrepa ne bodo predmet nadzora ali omejitev neupravičenih tretjih držav.

(10)

Financiranje ukrepov na podlagi te uredbe bi bilo treba določiti v Uredbi (EU) 2021/694, ki bi morala biti še naprej ustrezen temeljni akt za ukrepe, določene v okviru specifičnega cilja 3 programa Digitalna Evropa. Posebni pogoji za sodelovanje v zvezi z vsakim ukrepom morajo biti določeni v ustreznih delovnih programih v skladu z Uredbo (EU) 2021/694.

(11)

Za to uredbo se uporabljajo horizontalna finančna pravila, ki sta jih Evropski parlament in Svet sprejela na podlagi člena 322 PDEU. Ta pravila so navedena v Uredbi (EU, Euratom) 2024/2509 Evropskega parlamenta in Sveta (10) in določajo zlasti postopek za določitev in izvrševanje proračuna Unije ter urejajo nadzor nad odgovornostmi finančnih udeležencev. Pravila, sprejeta na podlagi člena 322 PDEU, vključujejo tudi splošni režim pogojenosti za zaščito proračuna Unije, kot je določen v Uredbi (EU, Euratom) 2020/2092 Evropskega parlamenta in Sveta (11).

(12)

Čeprav so ukrepi za preprečevanje in pripravljenost bistveni za krepitev odpornosti Unije pri obravnavanju pomembnih kibernetskih incidentov, kibernetskih incidentov velikih razsežnosti in kibernetskih incidentov, enakovrednih incidentom velikih razsežnosti, pa se pojav, čas in obseg teh incidentov ne dajo predvideti. Finančna sredstva, ki so potrebna za zagotovitev ustreznega odziva, se iz leta v leto precej spreminjajo in bi morala biti na voljo takoj. Za združevanje proračunskega načela predvidljivosti s potrebo po hitrem odzivanju na nove potrebe bi bilo treba torej prilagoditi finančno izvajanje delovnih programov. Zato je primerno, da se poleg prenosa odobritev, odobrenega na podlagi člena 12(4) Uredbe (EU, Euratom) 2024/2509, odobri tudi prenos neporabljenih odobritev, vendar samo za naslednje leto ter samo za EU rezervo za kibernetsko varnost in ukrepe, ki podpirajo medsebojno pomoč.

(13)

Za učinkovitejše preprečevanje in ocenjevanje kibernetskih groženj in incidentov ter odzivanje nanje in obnovitev po njih je treba razviti celovitejše znanje o grožnjah za kritična sredstva in infrastrukturo na ozemlju Unije, vključno z njihovo geografsko porazdelitvijo, medsebojno povezanostjo in morebitnimi učinki v primeru kibernetskih napadov na to infrastrukturo. Proaktiven pristop k prepoznavanju, blaženju in preprečevanju kibernetskih groženj vključuje povečano zmogljivost boljšega odkrivanja teh groženj. Evropski sistem za opozarjanje na področju kibernetske varnosti bi moral biti sestavljen iz več interoperabilnih čezmejnih kibernetskih vozlišč, od katerih vsako združuje tri ali več nacionalnih kibernetskih vozlišč. Ta infrastruktura bi morala služiti interesom in potrebam držav in Unije na področju kibernetske varnosti, spodbujati najsodobnejšo tehnologijo za napredno zbiranje ustreznih, po potrebi anonimiziranih, podatkov in informacij, in analitična orodja, okrepiti usklajene zmogljivosti kibernetskega odkrivanja in upravljanja ter zagotavljati situacijsko zavedanje v realnem času. Ta infrastruktura bi morala biti namenjena izboljšanju kibernetske drže, in sicer s povečanjem odkrivanja, združevanja in analize podatkov in informacij, da bi se preprečile kibernetske grožnje in incidenti ter tako dopolnjevali in podpirali subjekti in omrežja Unije, odgovorni za obvladovanje kibernetskih kriz v Uniji, zlasti mreža EU-CyCLONe.

(14)

Države članice v evropskem sistemu za opozarjanje na področju kibernetske varnosti sodelujejo prostovoljno. Vsaka država članica bi morala imenovati en sam subjekt na nacionalni ravni, ki bi bil zadolžen za usklajevanje dejavnosti odkrivanja kibernetskih groženj v tej državi članici. Ta nacionalna kibernetska vozlišča bi morala delovati kot referenčna točka in točka dostopa na nacionalni ravni za sodelovanje v evropskem sistemu za opozarjanje na področju kibernetske varnosti ter zagotoviti, da se informacije o kibernetskih grožnjah, ki jih predložijo javni in zasebni subjekti, na nacionalni ravni delijo in zbirajo na učinkovit in poenostavljen način. Nacionalna kibernetska vozlišča bi lahko okrepila sodelovanje in deljenje informacij med javnimi in zasebnimi subjekti, podpirala pa bi lahko tudi izmenjavo relevantnih podatkov in informacij z ustreznimi sektorskimi in medsektorskimi skupnostmi, vključno z ustreznimi panožnimi centri za izmenjavo in analizo informacij. Za krepitev kibernetske odpornosti Unije je osrednjega pomena, da javni in zasebni subjekti tesno in usklajeno sodelujejo med seboj. Tako sodelovanje je še posebej dragoceno v okviru deljenja analitike kibernetskih groženj, da bi se izboljšala aktivna kibernetska zaščita. Nacionalna kibernetska vozlišča bi lahko v okviru takega sodelovanja in deljenja informacij zahtevala specifične informacije in jih tudi prejela. Ta uredba nacionalnih kibernetskih vozlišč ne obvezuje niti jih ne pooblašča za izvrševanje takih zahtev. Kadar je ustrezno ter v skladu s pravom Unije in nacionalnim pravom, bi lahko zahtevane ali prejete informacije vključevale telemetrične in senzorske podatke ter podatke o beleženju od subjektov, kot so ponudniki upravljanih varnostnih storitev, ki delujejo v visoko kritičnih sektorjih ali drugih kritičnih sektorjih v tej državi članici, da bi že v zgodnji fazi hitreje odkrivali morebitne kibernetske grožnje in incidente, s tem pa izboljšali situacijsko zavedanje. Če nacionalno kibernetsko vozlišče ni pristojni organ, ki ga je imenovala ali ustanovila ustrezna država članica na podlagi člena 8(1) Direktive (EU) 2022/2555, je osrednjega pomena, da se o zahtevah za take podatke in njihovem prejemu usklajuje s tem pristojnim organom.

(15)

V okviru evropskega sistema za opozarjanje na področju kibernetske varnosti bi bilo treba ustanoviti več čezmejnih kibernetskih vozlišč. Ta čezmejna kibernetska vozlišča bi morala združevati nacionalna kibernetska vozlišča iz vsaj treh držav članic, da bi lahko v celoti izkoristili prednosti čezmejnega odkrivanja groženj ter deljenja in upravljanja informacij. Splošna cilja čezmejnih kibernetskih vozlišč bi morala biti okrepitev zmogljivosti za analizo, preprečevanje in odkrivanje kibernetskih groženj ter podpora pripravi visokokakovostne analitike kibernetskih groženj, zlasti z deljenjem ustreznih, po potrebi anonimiziranih, informacij v zaupanja vrednem in varnem okolju iz različnih virov, javnih ali zasebnih, pa tudi izmenjavo in skupno uporabo najsodobnejših orodij ter skupnim razvojem zmogljivosti za odkrivanje, analizo in preprečevanje v zaupanja vrednem in varnem okolju. Čezmejna kibernetska vozlišča bi morala zagotoviti nove dodatne zmogljivosti, ki bi temeljile na obstoječih centrih za varnostne operacije, skupinah CSIRT ter drugih ustreznih akterjih, vključno z mrežo skupin CSIRT, in jih dopolnjevale.

(16)

Država članica, ki jo Evropski industrijski, tehnološki in raziskovalni kompetenčni center za kibernetsko varnost (ECCC), vzpostavljen z Uredbo (EU) 2021/887 Evropskega parlamenta in Sveta (12), na podlagi razpisa za prijavo interesa izbere za vzpostavitev ali okrepitev zmogljivosti nacionalnega kibernetskega vozlišča, bi morala skupaj z ECCC kupiti ustrezna orodja, infrastrukturo ali storitve. Taka država članica bi morala biti upravičena do nepovratnih sredstev za upravljanje orodij, infrastrukture ali storitev. Gostiteljski konzorcij, ki ga sestavljajo vsaj tri države članice in ki ga izbere ECCC na podlagi razpisov za prijavo interesa za vzpostavitev ali okrepitev zmogljivosti čezmejnega kibernetskega vozlišča, bi moral kupiti ustrezna orodja, infrastrukturo ali storitve skupaj z ECCC. Gostiteljski konzorcij bi moral biti upravičen do nepovratnih sredstev za upravljanje orodij, infrastrukture ali storitev. Postopek javnega naročanja za nakup ustreznih orodij, infrastrukture ali storitev bi morali skupaj izvesti ECCC in ustrezni javni naročniki držav članic, izbranih na podlagi takih razpisov za prijavo interesa. Tako javno naročanje bi moralo biti skladno s členom 168(2) Uredbe (EU, Euratom) 2024/2509 in finančnimi pravili ECCC. Zasebni subjekti zato ne bi smeli biti upravičeni do sodelovanja v razpisih za prijavo interesa za nakup orodij, infrastrukture ali storitev skupaj z ECCC, niti do prejemanja nepovratnih sredstev za upravljanje teh orodij, infrastrukture ali storitev. Vendar bi morale imeti države članice možnost, da zasebne subjekte v vzpostavitev, izboljšanje in delovanje njihovih nacionalnih kibernetskih vozlišč in čezmejnih nacionalnih vozlišč vključijo na druge načine, ki se jim zdijo primerni, v skladu s pravom Unije in nacionalnim pravom. Zasebni subjekti bi prav tako lahko bili upravičeni do prejemanja financiranja Unije na podlagi Uredbe (EU) 2021/887 za namene podpore nacionalnih kibernetskih vozlišč.

(17)

Za izboljšanje odkrivanja kibernetskih groženj in situacijskega zavedanja v Uniji bi se morala država članica, ki je na podlagi razpisov za prijavo interesa izbrana za vzpostavitev ali okrepitev zmogljivosti nacionalnega kibernetskega vozlišča, zavezati, da se bo prijavila za sodelovanje v čezmejnem kibernetskem vozlišču. Če država članica ne sodeluje v čezmejnem kibernetskem vozlišču v dveh letih od datuma pridobitve orodij, infrastrukture ali storitev ali datuma prejema nepovratnih sredstev, kateri koli nastopi prej, ne bi smela biti upravičena do sodelovanja pri nadaljnjih podpornih ukrepih Unije v okviru evropskega sistema za opozarjanje na področju kibernetske varnosti za krepitev zmogljivosti svojega nacionalnega kibernetskega vozlišča. V takih primerih bi lahko subjekti iz držav članic še vedno sodelovali v razpisih za zbiranje predlogov o drugih temah v okviru programa Digitalna Evropa ali drugih programov financiranja Unije, vključno z razpisi za zmogljivosti za kibernetsko odkrivanje in izmenjavo informacij, če ti subjekti izpolnjujejo merila upravičenosti, določena v teh programih.

(18)

Skupine CSIRT si informacije izmenjujejo v okviru mreže skupin CSIRT v skladu z Direktivo (EU) 2022/2555. Evropski sistem za opozarjanje na področju kibernetske varnosti bi moral predstavljati novo zmogljivost, ki dopolnjuje mrežo skupin CSIRT, saj bi prispeval k boljšemu situacijskemu zavedanju Unije, kar bi omogočilo okrepitev zmogljivosti mreže skupin CSIRT. Čezmejna kibernetska vozlišča bi se morala usklajevati in tesno sodelovati z mrežo skupin CSIRT. Delovati bi morala z združevanjem podatkov in deljenjem ustreznih, po potrebi anonimiziranih, informacij javnih in zasebnih subjektov o kibernetskih grožnjah, povečevanjem vrednosti takih podatkov in informacij s strokovno analizo ter skupno pridobljeno infrastrukturo in najsodobnejšimi orodji ter s prispevanjem k tehnološki suverenosti Unije, njeni odprti strateški avtonomiji, konkurenčnosti in odpornosti ter razvoju zmogljivosti Unije.

(19)

Čezmejna kibernetska vozlišča bi morala delovati kot osrednje točke, ki bi omogočale obsežno združevanje ustreznih podatkov in analitike kibernetskih groženj, ter omogočati širjenje informacij o grožnjah med velikim in raznolikim naborom deležnikov, na primer skupinami za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT), skupinami CSIRT, centri za izmenjavo in analizo informacij ter upravljavci kritičnih infrastruktur. Članice gostiteljskega konzorcija bi morale v konzorcijski pogodbi navesti ustrezne informacije, ki jih je treba deliti med sodelujočimi v zadevnem čezmejnem kibernetskem vozlišču. Informacije, ki si jih izmenjujejo sodelujoči v čezmejnem kibernetskem vozlišču, bi lahko vključevale na primer podatke iz omrežij in senzorjev, obveščevalne podatke o grožnjah, kazalnike ogroženosti in kontekstualizirane informacije o incidentih, kibernetskih grožnjah, skorajšnjih incidentih, ranljivostih, tehnikah in postopkih, sovražnih taktikah, specifičnih informacijah o grožnji in akterju, opozorilih glede kibernetske varnosti in priporočilih glede konfiguracije orodij za kibernetsko varnost za zaznavo kibernetskih napadov. Poleg tega bi morala čezmejna kibernetska vozlišča skleniti tudi sporazume o medsebojnem sodelovanju. Taki sporazumi o sodelovanju bi morali zlasti določati načela deljenja informacij in interoperabilnosti. Njihove klavzule v zvezi z interoperabilnostjo, zlasti oblike in protokoli za deljenje informacij, bi morale upoštevati smernice za interoperabilnost, ki jih je izdala Agencija Evropske unije za kibernetsko varnost, vzpostavljena z Uredbo (EU) 2019/881 (ENISA), in zato tudi temeljiti na teh smernicah. Te smernice bi bilo treba izdati hitro, da se zagotovi, da jih čezmejna kibernetska vozlišča lahko upoštevajo že v zgodnji fazi. V smernicah bi se morali upoštevati mednarodni standardi in najboljše prakse ter delovanje vseh vzpostavljenih čezmejnih kibernetskih vozlišč.

(20)

Čezmejna kibernetska vozlišča in mreža skupin CSIRT bi morali tesno sodelovati, da bi zagotovili sinergije in dopolnjevanje dejavnosti. V ta namen bi se morali dogovoriti o postopkovnih ureditvah o sodelovanju in deljenju ustreznih informacij. To bi lahko vključevalo deljenje ustreznih informacij o kibernetskih grožnjah in pomembnih kibernetskih incidentih ter zagotavljanje deljenja izkušenj z najsodobnejšimi orodji, zlasti tehnologijo umetne inteligence in podatkovne analitike, ki se uporabljajo v čezmejnih kibernetskih vozliščih, z mrežo skupin CSIRT.

(21)

Skupno situacijsko zavedanje med ustreznimi organi je nujen osnovni pogoj za pripravljenost in usklajevanje na ravni Unije v zvezi s pomembnimi kibernetskimi incidenti in kibernetskimi incidenti velikih razsežnosti. Z Direktivo (EU) 2022/2555 je bila ustanovljena mreža EU-CyCLONe za podporo usklajenemu obvladovanju kibernetskih incidentov velikih razsežnosti in kriz na operativni ravni ter zagotovitev redne izmenjave ustreznih informacij med državami članicami ter institucijami, organi, uradi in agencijami Unije. Z Direktivo (EU) 2022/2555 je bila vzpostavljena tudi mreža skupin CSIRT za spodbujanje hitrega in učinkovitega operativnega sodelovanja med vsemi državami članicami. Za zagotovitev situacijskega zavedanja in krepitev solidarnosti bi morala čezmejna kibernetska vozlišča v primerih, kadar pridobijo informacije v zvezi z morebitnim ali tekočim kibernetskim incidentom velikih razsežnosti, mreži skupin CSIRT zagotoviti ustrezne informacije in kot zgodnje opozarjanje obveščati mrežo EU-CyCLONe. Glede na okoliščine bi lahko informacije, ki jih je treba deliti, vključevale zlasti tehnične informacije, informacije o naravi in motivih napadalca ali morebitnega napadalca ter netehnične informacije na višji ravni o morebitnem ali tekočem kibernetskem incidentu velikih razsežnosti. V zvezi s tem bi bilo treba ustrezno upoštevati načelo potrebe po seznanitvi in morda občutljivo naravo deljenih informacij. V Direktivi (EU) 2022/2555 je tudi opozorjeno na odgovornosti Komisije v okviru mehanizma Unije na področju civilne zaščite, vzpostavljenega s Sklepom 1313/2013/EU Evropskega parlamenta in Sveta (13), ter njeno odgovornost za zagotavljanje analitičnih poročil za enotno ureditev EU za politično odzivanje na krize (v nadaljnjem besedilu: ureditev IPCR) na podlagi Izvedbenega sklepa Sveta (EU) 2018/1993 (14). Kadar čezmejna kibernetska vozlišča delijo ustrezne informacije in zgodnja opozorila v zvezi z morebitnim ali tekočim kibernetskim incidentom velikih razsežnosti z mrežo EU-CyCLONe in mrežo skupin CSIRT, je nujno, da se te informacije prek teh mrež delijo z organi držav članic in Komisijo. V zvezi s tem Direktiva (EU) 2022/2555 določa, da je mreža EU-CyCLONe namenjena podpiranju usklajenega obvladovanja kibernetskih incidentov velikih razsežnosti in kriz na operativni ravni ter zagotavljanju redne izmenjave ustreznih informacij med državami članicami ter institucijami, organi, uradi in agencijami Unije. Naloge mreže EU-CyCLONe vključujejo razvoj skupnega situacijskega zavedanja o takih incidentih in krizah. Izjemno pomembno je, da mreža EU-CyCLONe v skladu s svojim namenom in nalogami zagotovi, da se take informacije nemudoma zagotovijo ustreznim predstavnikom držav članic in Komisiji. V ta namen je bistveno, da poslovnik mreže EU-CyCLONe vključuje ustrezne določbe.

(22)

Subjekti, ki sodelujejo v evropskem sistemu za opozarjanje na področju kibernetske varnosti, bi morali zagotoviti visoko raven medsebojne interoperabilnosti, po potrebi tudi kar zadeva formate podatkov, taksonomijo ter orodja za obravnavanje in analizo podatkov. Zagotoviti bi morali tudi varne komunikacijske kanale, minimalno raven varnosti aplikacijske plasti, pregled situacijskega zavedanja in kazalnike. Pri sprejetju skupne taksonomije in oblikovanju predloge za poročila o razmerah za opis vzrokov odkritih kibernetskih groženj in tveganj bi bilo treba upoštevati obstoječe delo, opravljeno v okviru izvajanja Direktive (EU) 2022/2555.

(23)

Da bi omogočili obsežno izmenjavo ustreznih podatkov in informacij o kibernetskih grožnjah iz različnih virov v zaupanja vrednem in varnem okolju, bi morali biti subjekti, ki sodelujejo v evropskem sistemu za opozarjanje na področju kibernetske varnosti, opremljeni z najsodobnejšimi, izjemno varnimi orodji, opremo in infrastrukturo ter usposobljenim osebjem. To bi moralo omogočiti izboljšanje skupnih zmogljivosti za odkrivanje in pravočasno opozarjanje organov in ustreznih subjektov, zlasti z uporabo najnovejših tehnologij umetne inteligence in podatkovne analitike.

(24)

Evropski sistem za opozarjanje na področju kibernetske varnosti bi moral z zbiranjem, analiziranjem, deljenjem in izmenjavanjem ustreznih podatkov in informacij okrepiti tehnološko suverenost in odprto strateško avtonomijo Unije na področju kibernetske varnosti, konkurenčnosti in odpornosti. Združevanje visokokakovostnih pripravljenih podatkov bi lahko prispevalo tudi k razvoju naprednih tehnologij umetne inteligence in podatkovne analitike. Človeški nadzor in s tem tudi usposobljena delovna sila imata še vedno ključno vlogo pri učinkovitem združevanju visokokakovostnih podatkov.

(25)

Čeprav je evropski sistem za opozarjanje na področju kibernetske varnosti civilni projekt, bi lahko imela kibernetsko obrambna skupnost koristi od okrepljenih zmogljivosti civilnega odkrivanja in situacijskega zavedanja, ki so bile razvite za zaščito kritične infrastrukture.

(26)

Deljenje informacij med sodelujočimi v evropskem sistemu za opozarjanje na področju kibernetske varnosti bi morala biti skladna z obstoječimi pravnimi zahtevami, zlasti s pravom Unije in nacionalnim pravom o varstvu podatkov, ter pravili Unije o konkurenci, ki urejajo izmenjavo informacij. Prejemnik informacij bi moral, če je potrebna obdelava osebnih podatkov, izvajati tehnične in organizacijske ukrepe, ki varujejo pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in podatke uničiti takoj, ko niso več potrebni za navedeni namen, ter subjekt, ki daje podatke na voljo, obvestiti, da so bili podatki uničeni.

(27)

Ohranjanje zaupnosti in informacijske varnosti je bistvenega pomena za vse tri stebre te uredbe, bodisi za spodbujanje deljenja ali izmenjave informacij v okviru evropskega sistema za opozarjanje na področju kibernetske varnosti, ohranjanje interesov subjektov, ki zaprosijo za podporo v okviru mehanizma za izredne razmere na področju kibernetske varnosti, bodisi za zagotavljanje, da lahko poročila v okviru evropskega mehanizma za pregledovanje kibernetskih incidentov prinesejo koristna spoznanja, ne da bi negativno vplivala na subjekte, ki so jih incidenti prizadeli. Sodelovanje držav članic in subjektov v teh mehanizmih je odvisno od razmerij zaupanja med njihovimi sestavnimi deli. Kadar so informacije zaupne na podlagi pravil Unije ali nacionalnih pravil, bi moralo biti njihovo deljenje ali izmenjava na podlagi te uredbe omejeno na to, kar je ustrezno za namen deljenja ali izmenjave in sorazmerno z njim. Pri tem deljenju ali izmenjavi bi se morala ohraniti zaupnost zadevnih informacij, vključno z zaščito varnosti in poslovnih interesov zadevnih subjektov. Deljenje ali izmenjava informacij na podlagi te uredbe bi lahko potekala na podlagi sporazumov o nerazkrivanju podatkov ali smernic za razširjanje informacij, kot je semaforski protokol. Semaforski protokol je treba razumeti kot sredstvo za zagotavljanje informacij o kakršnih koli omejitvah v zvezi z nadaljnjim širjenjem informacij. Uporablja se v skoraj vseh skupinah CSIRT in nekaterih panožnih centrih za izmenjavo in analizo informacij. Poleg teh splošnih zahtev bi bilo treba v zvezi z evropskim sistemom za opozarjanje na področju kibernetske varnosti v pogodbah o gostiteljskih konzorcijih določiti posebna pravila v zvezi s pogoji za deljenje informacij v zadevnem čezmejnem kibernetskem vozlišču. Te pogodbe bi lahko zlasti zahtevale, da se informacije delijo samo v skladu s pravom Unije in nacionalnim pravom.

(28)

V zvezi z uvedbo EU rezerve za kibernetsko varnost so potrebna posebna pravila o zaupnosti. Podpora se bo zahtevala, ocenila in nudila v kriznih razmerah in v zvezi s subjekti, ki delujejo v občutljivih sektorjih. Za učinkovito delovanje EU rezerve za kibernetsko varnost je bistveno, da lahko uporabniki in subjekti brez odlašanja delijo vse informacije, ki jih vsak subjekt potrebuje za sodelovanje pri ocenjevanju zahtevkov in uporabi podpore, ter omogočijo dostop do njih. V skladu s tem bi morala ta uredba določati, da se vse take informacije uporabijo ali delijo le, kadar je to potrebno za delovanje EU rezerve za kibernetsko varnost, ter da bi se morale informacije, ki so zaupne ali tajne na podlagi prava Unije in nacionalnega prava, uporabljati in deliti le v skladu s tem pravom. Poleg tega bi morali imeti uporabniki možnost, da za podrobnejšo opredelitev omejitev po potrebi uporabijo protokole za deljenje informacij, kot je semaforski protokol. Čeprav imajo uporabniki v zvezi s tem diskrecijsko pravico, je pomembno, da pri uporabi takih omejitev upoštevajo možne posledice, zlasti v zvezi z zamudo pri ocenjevanju ali zagotavljanju zahtevanih storitev. Za učinkovito EU rezervo za kibernetsko varnost je pomembno, da javni naročnik pred vložitvijo zahtevka uporabniku pojasni te posledice. Ti zaščitni ukrepi so omejeni na zahtevek za storitve EU rezerve za kibernetsko varnost in njihovo zagotavljanje ter ne vplivajo na izmenjavo informacij v drugih okvirih, na primer pri javnem naročanju EU rezerve za kibernetsko varnost.

(29)

Glede na vse večja tveganja in število incidentov, ki prizadenejo države članice, je treba vzpostaviti instrument podpore ob krizi, in sicer mehanizem za izredne razmere na področju kibernetske varnosti, da se izboljša odpornost Unije proti pomembnim kibernetskim incidentom, kibernetskim incidentom velikih razsežnosti in kibernetskim incidentom, enakovrednim incidentom velikih razsežnosti, ter da se ukrepi držav članic dopolnijo z nujno finančno podporo za pripravljenost, odzivanje na incidente in začetno obnovitev bistvenih storitev. Ker je popolna obnovitev po incidentu celovit proces ponovne vzpostavitve delovanja subjekta, ki ga je incident prizadel, v stanje pred incidentom in bi lahko bil dolgotrajen proces z znatnimi stroški, bi morala biti podpora iz EU rezerve za kibernetsko varnost omejena na začetno fazo procesa obnovitve, ki bi privedla do ponovne vzpostavitve osnovnih funkcij sistemov. Mehanizem za izredne razmere na področju kibernetske varnosti bi moral omogočiti hitro in učinkovito zagotavljanje pomoči v določenih okoliščinah in pod jasnimi pogoji ter skrbno spremljanje in ocenjevanje porabe sredstev. Čeprav so za preprečevanje incidentov in kriz ter pripravo in odzivanje nanje v prvi vrsti odgovorne države članice, mehanizem za izredne razmere na področju kibernetske varnosti spodbuja solidarnost med državami članicami v skladu s členom 3(3) Pogodbe o Evropski uniji (PEU).

(30)

Mehanizem za izredne razmere na področju kibernetske varnosti bi moral državam članicam zagotoviti podporo z dopolnjevanjem njihovih ukrepov in virov ter druge obstoječe možnosti podpore v primeru odziva na pomembne kibernetske incidente in kibernetske incidente velikih razsežnosti ter začetne obnovitve po njih, kot so storitve, ki jih zagotavlja ENISA v skladu s svojim mandatom, usklajen odziv in pomoč mreže skupin CSIRT, podpora mreže EU-CyCLONe pri ublažitvi posledic ter medsebojna pomoč med državami članicami, med drugim v okviru člena 42(7) PEU, enot za hitro odzivanje na kibernetske grožnje v okviru stalnega strukturnega sodelovanja (PESCO), vzpostavljenih na podlagi Sklepa Sveta (SZVP) 2017/2315 (15). Obravnavati bi moral potrebo po zagotavljanju razpoložljivosti specializiranih sredstev za podporo pripravljenosti in odzivanju na take incidente ter obnovitvi po njih po vsej Uniji in v tretjih državah, pridruženih programu Digitalna Evropa.

(31)

Ta uredba ne posega v postopke in okvire za usklajevanje odzivanja na krize na ravni Unije, zlasti Direktivo (EU) 2022/2555, mehanizem Unije na področju civilne zaščite, vzpostavljen s Sklepom št. 1313/2013/EU Evropskega parlamenta in Sveta (16), ureditev IPCR ter Priporočilo Komisije (EU) 2017/1584 (17). Podpora, zagotovljena v okviru mehanizma za izredne razmere na področju kibernetske varnosti, lahko dopolnjuje pomoč, zagotovljeno v okviru skupne zunanje in varnostne politike ter skupne varnostne in obrambne politike, med drugim prek enot za hitro odzivanje na kibernetske grožnje, ob upoštevanju civilne narave mehanizma za izredne razmere na področju kibernetske varnosti. Podpora, zagotovljena v okviru mehanizma za izredne razmere na področju kibernetske varnosti, lahko dopolnjuje ukrepe, ki se izvajajo v okviru člena 42(7) PEU, vključno s pomočjo, ki jo ena država članica zagotovi drugi državi članici, ali je del skupnega odziva Unije in držav članic ali v primerih iz člena 222 PDEU. Izvajanje te uredbe bi bilo treba po potrebi uskladiti tudi z izvajanjem ukrepov iz zbirke orodij za kibernetsko diplomacijo.

(32)

Pomoč, zagotovljena na podlagi te uredbe, bi morala podpirati in dopolnjevati ukrepe, ki jih države članice sprejmejo na nacionalni ravni. V ta namen bi bilo treba zagotoviti tesno sodelovanje in posvetovanje med Komisijo, ENISA, državami članicami in po potrebi ECCC. Kadar države članice zaprosijo za podporo v okviru mehanizma za izredne razmere na področju kibernetske varnosti, bi morale predložiti ustrezne informacije, s katerimi utemeljijo potrebo po podpori.

(33)

V skladu z Direktivo (EU) 2022/2555 morajo države članice imenovati ali ustanoviti enega ali več organov za obvladovanje kibernetskih kriz ter jim zagotoviti ustrezna sredstva za učinkovito in uspešno izvajanje nalog. Države članice morajo tudi določiti zmogljivosti, sredstva in postopke, ki se lahko uporabijo v primeru krize, ter sprejeti nacionalni načrt za odzivanje na kibernetske incidente velikih razsežnosti in krize, v katerem so opredeljeni cilji in ureditve obvladovanja kibernetskih incidentov velikih razsežnosti in kriz. Prav tako morajo ustanoviti eno ali več skupin CSIRT, ki bodo pristojne za obvladovanje incidentov v skladu z natančno določenim postopkom in bodo zajemale vsaj sektorje, podsektorje in vrste subjekta, ki spadajo na področje uporabe navedene direktive, ter jim zagotoviti zadostna sredstva za učinkovito izvajanje nalog. Ta uredba ne posega v vlogo Komisije pri zagotavljanju skladnosti držav članic z obveznostmi iz Direktive (EU) 2022/2555. Mehanizem za izredne razmere na področju kibernetske varnosti bi moral zagotavljati pomoč za ukrepe, namenjene krepitvi pripravljenosti, in ukrepe za odzivanje na incidente, da bi ublažili posledice pomembnih kibernetskih incidentov in kibernetskih incidentov velikih razsežnosti, podprli začetno obnovitev ali ponovno vzpostavili osnovne funkcionalnosti storitev, ki jih zagotavljajo subjekti, ki delujejo v visoko kritičnih sektorjih, ali subjekti, ki delujejo v drugih kritičnih sektorjih.

(34)

V okviru ukrepov pripravljenosti bi bilo treba za spodbujanje doslednega pristopa ter krepitev varnosti po vsej Uniji in na njenem notranjem trgu zagotoviti podporo za usklajeno preskušanje in ocenjevanje kibernetske varnosti subjektov, ki delujejo v visoko kritičnih sektorjih, opredeljenih na podlagi Direktive (EU) 2022/2555, tudi z vajami in usposabljanjem. V ta namen bi morala Komisija po posvetovanju z ENISA, skupino za sodelovanje in mrežo EU-CyCLONe redno določati ustrezne sektorje ali podsektorje, ki bi morali biti upravičeni do prejemanja finančne podpore za usklajeno preskušanje pripravljenosti na ravni Unije. Sektorje ali podsektorje bi bilo treba izbrati izmed visoko kritičnih sektorjev, navedenih v Prilogi I k Direktivi (EU) 2022/2555. Usklajeno preskušanje pripravljenosti bi moralo temeljiti na skupnih scenarijih tveganja in metodologijah. Pri izbiri sektorjev in razvoju scenarijev tveganja bi bilo treba upoštevati ustrezne ocene tveganja in scenarije tveganja po vsej Uniji, vključno s potrebo po preprečevanju podvajanja, kot so ocena tveganja in scenariji tveganja, h katerim poziva Svet v svojih sklepih o oblikovanju kibernetske drže Evropske unije in ki jih morajo izvesti Komisija, visoki predstavnik Unije za zunanje zadeve in varnostno politiko (v nadaljnjem besedilu: visoki predstavnik) in skupina za sodelovanje v sodelovanju z ustreznimi civilnimi in vojaškimi organi in agencijami ter vzpostavljenimi mrežami, med drugim mrežo EU-CyCLONe, pa tudi ocena tveganja komunikacijskih omrežij in infrastrukture, ki se zahteva na podlagi skupnega ministrskega poziva iz Neversa ter jo izvede skupina za sodelovanje ob podpori Komisije in ENISA ter v sodelovanju z Organom evropskih regulatorjev za elektronske komunikacije, ustanovljenim z Uredbo (EU) 2018/1971 Evropskega parlamenta in Sveta (18), usklajene ocene tveganja za varnost na ravni Unije za kritične dobavne verige, ki se izvedejo na podlagi člena 22 Direktive (EU) 2022/2555, in testiranje digitalne operativne odpornosti, kot je določeno v Uredbi (EU) 2022/2554 Evropskega parlamenta in Sveta (19). Pri izbiri sektorjev bi bilo treba upoštevati tudi priporočilo Sveta o usklajenem vseevropskem pristopu za krepitev odpornosti kritične infrastrukture.

(35)

Poleg tega bi moral mehanizem za izredne razmere na področju kibernetske varnosti zagotavljati podporo za druge ukrepe pripravljenosti in podpirati pripravljenost v drugih sektorjih, ki jih usklajeno preskušanje pripravljenosti subjektov, ki delujejo v visoko kritičnih sektorjih, ali subjektov, ki delujejo v drugih kritičnih sektorjih, ne zajema. Ti ukrepi bi lahko vključevali različne vrste nacionalne dejavnosti na področju pripravljenosti.

(36)

Kadar države članice prejmejo nepovratna sredstva za podporo ukrepom za pripravljenost, lahko subjekti v visoko kritičnih sektorjih prostovoljno sodelujejo pri teh ukrepih. Dobra praksa je, da na podlagi takih ukrepov sodelujoči subjekti pripravijo načrt popravnih ukrepov za izvedbo vseh priporočil glede posameznih ukrepov, ki izhajajo iz tega, da bi kar najbolje izkoristili koristi ukrepa za pripravljenost. Čeprav je pomembno, da države članice v okviru ukrepov zahtevajo, da sodelujoči subjekti pripravijo in izvajajo take načrte popravnih ukrepov, ta uredba države članice ne obvezuje niti jih ne pooblašča za izvrševanje takih zahtev. Take zahteve ne posegajo v zahteve za subjekte in nadzorna pooblastila za pristojne organe v skladu z Direktivo (EU) 2022/2555.

(37)

Mehanizem za izredne razmere na področju kibernetske varnosti bi moral zagotavljati tudi podporo za ukrepe za odzivanje na incidente za ublažitev posledic pomembnih kibernetskih incidentov, kibernetskih incidentov velikih razsežnosti in kibernetskih incidentov, enakovrednim incidentom velikih razsežnosti, da bi se podprla začetna obnovitev ali ponovna vzpostavitev delovanja bistvenih storitev. Kadar je ustrezno, bi moral dopolnjevati mehanizem Unije na področju civilne zaščite, da se zagotovi celovit pristop k odzivanju na posledice incidentov za državljane.

(38)

Mehanizem za izredne razmere na področju kibernetske varnosti bi moral podpirati tehnično pomoč, ki jo ena država članica zagotavlja drugi državi članici, ki jo je prizadel pomemben kibernetski incident ali kibernetski incident velikih razsežnosti, med drugim s skupinami CSIRT iz člena 11(3), točka (f), Direktive (EU) 2022/2555. Državam članicam, ki zagotovijo tako pomoč, bi bilo treba dovoliti, da vložijo zahtevke za kritje stroškov, povezanih s pošiljanjem strokovnih skupin v okviru medsebojne pomoči. Upravičeni stroški bi lahko vključevali potne stroške, stroške nastanitve in dnevnice strokovnjakov na področju kibernetske varnosti.

(39)

Glede na bistveno vlogo, ki jo imajo zasebna podjetja pri odkrivanju kibernetskih incidentov velikih razsežnosti in kibernetskih incidentov, enakovrednih incidentom velikih razsežnosti, pripravljenosti in odzivanju nanje, je pomembno priznati vrednost prostovoljnega sodelovanja s takimi podjetji, ki bi ponujala storitve brez plačila v primeru kibernetskih incidentov velikih razsežnosti in kriz ter kibernetskih incidentov, enakovrednim incidentom velikih razsežnosti, in kriz. ENISA bi lahko v sodelovanju z mrežo EU-CyCLONe spremljala razvoj takih brezplačnih pobud in spodbujala njihovo skladnost z merili, ki se na podlagi te uredbe uporabljajo za zaupanja vredne ponudnike upravljanih varnostnih storitev, tudi v zvezi z zanesljivostjo zasebnih podjetij, njihovimi izkušnjami in zmožnostjo varnega ravnanja z občutljivimi informacijami.

(40)

Kot del mehanizma za izredne razmere na področju kibernetske varnosti bi bilo treba postopno vzpostaviti EU rezervo za kibernetsko varnost, ki bi zajemala storitve zaupanja vrednih ponudnikov upravljanih varnostnih storitev za podporo ukrepom odzivanja in uvedbo ukrepov okrevanja v primeru pomembnih kibernetskih incidentov, kibernetskih incidentov velikih razsežnosti ali kibernetskih incidentov, enakovrednih incidentom velikih razsežnosti, ki prizadenejo države članice, institucije, organe, urade ali agencije Unije ali tretje države, pridružene programu Digitalna Evropa. EU rezerva za kibernetsko varnost bi morala zagotoviti razpoložljivost in pripravljenost storitev. Zato bi morala vključevati storitve, za katere so vnaprej prevzete obveznosti, vključno na primer z zmogljivostmi, ki so v pripravljenosti in jih je mogoče hitro uporabiti. Storitve iz EU rezerve za kibernetsko varnost bi morale biti namenjene podpori nacionalnim organom pri zagotavljanju pomoči prizadetim subjektom, ki delujejo v visoko kritičnih sektorjih, ali prizadetim subjektom, ki delujejo v drugih kritičnih sektorjih, kot dopolnitev njihovih ukrepov na nacionalni ravni. Moralo bi biti mogoče, da se storitve iz EU rezerve za kibernetsko varnost pod podobnimi pogoji uporabljajo tudi za podporo institucijam, organom, uradom in agencijam Unije. EU rezerva za kibernetsko varnost bi lahko prispevala tudi h krepitvi konkurenčnega položaja industrije in storitev v Uniji v celotnem digitalnem gospodarstvu, vključno z mikropodjetji, malimi in srednjimi podjetji ter zagonskimi podjetji, tudi z zagotavljanjem spodbud za naložbe v raziskave in inovacije. Pri zagotavljanju storitev za EU rezervo za kibernetsko varnost je pomembno upoštevati okvir znanj in spretnosti za kibernetsko varnost ENISA. Uporabniki bi morali ob vložitvi zahtevka za podporo iz EU rezerve za kibernetsko varnost v svojo vlogo vključiti ustrezne informacije o prizadetem subjektu in morebitnih posledicah, informacije o zahtevani storitvi iz EU rezerve za kibernetsko varnost ter podporo, zagotovljeno prizadetemu subjektu na nacionalni ravni, ki bi jo bilo treba upoštevati pri oceni zahtevka vlagatelja. Da bi dopolnili druge oblike podpore, ki so na voljo prizadetemu subjektu, bi zahtevek med drugim moral vključevati informacije, kadar so na voljo, o pogodbenih ureditvah za storitve odziva na incidente in storitve začetne obnovitve, ter zavarovalnih pogodbah, ki bi lahko krile tovrstne incidente.

(41)

Za učinkovito uporabo sredstev Unije bi moralo biti možno storitve, k zagotavljanju katerih se ponudniki v okviru EU rezerve za kibernetsko varnost zavežejo vnaprej, v skladu z ustrezno pogodbo pretvoriti v storitve za pripravljenost, povezane s preprečevanjem incidentov in odzivanjem nanje, v primeru, da se te storitve, k zagotavljanju katerih se ponudniki zavežejo vnaprej, ne uporabijo za odziv na incidente v času, za katerega so se ponudniki zavezali vnaprej. Te storitve bi morale biti dopolnilne in ne bi smele podvajati ukrepov za pripravljenost, ki jih bo upravljal ECCC.

(42)

Zahtevke za podporo iz EU rezerve za kibernetsko varnost, ki jih vložijo organi držav članic za obvladovanje kibernetskih kriz in skupine CSIRT ali CERT-EU v imenu institucij, organov, uradov in agencij Unije, bi moral oceniti javni naročnik. Kadar je bilo upravljanje in delovanje EU rezerve za kibernetsko varnost zaupano ENISA, je ta javni naročnik ENISA. Zahtevke za podporo iz tretjih držav, pridruženih programu Digitalna Evropa, bi morala oceniti Komisija. Za lažjo predložitev in oceno zahtevkov za podporo bi ENISA lahko vzpostavila varno platformo.

(43)

Kadar je prejetih več sočasnih zahtevkov, bi bilo treba te zahtevke prednostno razvrstiti v skladu z merili iz te uredbe. Glede na splošne cilje te uredbe bi morala ta merila vključevati obseg in resnost incidenta, vrsto prizadetega subjekta, morebitni vpliv incidenta na prizadete države članice in uporabnike, morebitno čezmejno naravo incidenta in tveganje prelivanja ter ukrepe, ki jih je uporabnik že sprejel za pomoč pri odzivu in začetni obnovitvi. Ob upoštevanju teh ciljev in glede na to, da so zahteve uporabnikov iz držav članic namenjene izključno podpori subjektom, ki delujejo v visoko kritičnih sektorjih, ali subjektom, ki delujejo v drugih kritičnih sektorjih, v Uniji, je primerno dati večjo prednost zahtevam uporabnikov iz držav članic, kadar sta dve zahtevi ali več na podlagi teh meril ocenjeni kot enakovredni. To ne posega v obveznosti, ki bi jih države članice lahko imele na podlagi ustreznih sporazumov o gostovanju, da sprejmejo ukrepe za zaščito institucij, organov, uradov in agencij Unije.

(44)

Za izvajanje EU rezerve za kibernetsko varnost bi morala biti v celoti odgovorna Komisija. Glede na obsežne izkušnje, ki jih je ENISA pridobila s podpornim delovanjem za kibernetsko varnost, je ENISA najprimernejša agencija za izvajanje EU rezerve za kibernetsko varnost. Zato bi morala Komisija ENISA delno ali, kadar meni, da je to primerno, v celoti, zaupati delovanje in upravljanje EU rezerve za kibernetsko varnost. Ta prenos odgovornosti bi bilo treba izvesti v skladu z veljavnimi pravili iz Uredbe (EU, Euratom) 2024/2509 in zlasti bi zanj morali veljati ustrezni pogoji za podpis sporazuma o prispevku. Vse vidike delovanja in upravljanja EU rezerve za kibernetsko varnost, ki niso zaupani ENISA, bi morala Komisija neposredno upravljati, tudi pred podpisom sporazuma o prispevku.

(45)

Države članice bi morale imeti ključno vlogo pri vzpostavljanju, uporabi in nadaljnjih ukrepih po uporabi EU rezerve za kibernetsko varnost. Ker je Uredba (EU) 2021/694 ustrezni temeljni akt za ukrepe, s katerimi se izvaja EU rezerva za kibernetsko varnost, bi bilo treba ukrepe iz te rezerve določiti v delovnih programih iz člena 24 Uredbe (EU) 2021/694. Na podlagi odstavka 6 navedenega člena bi morala Komisija te delovne programe sprejeti z izvedbenimi akti v skladu s postopkom pregleda. Komisija bi poleg tega morala določiti prednostne naloge in razvoj EU rezerve za kibernetsko varnost v sodelovanju s skupino za sodelovanje.

(46)

Pogodbe, sklenjene v okviru EU rezerve za kibernetsko varnost, ne bi smele vplivati na odnose med podjetji in obstoječe obveznosti med prizadetim subjektom ali uporabniki in ponudnikom storitve.

(47)

Za izbor zasebnih ponudnikov storitev, ki bi storitve zagotavljali v okviru EU rezerve za kibernetsko varnost, je treba določiti sklop minimalnih meril in zahtev, ki bi jih bilo treba vključiti v razpis za zbiranje ponudb za izbor teh ponudnikov, da se lahko zadosti potrebam organov držav članic, subjektov, ki delujejo v visoko kritičnih sektorjih, in subjektov, ki delujejo v drugih kritičnih sektorjih. Da bi obravnavali posebne potrebe držav članic pri javnem naročanju storitev za EU rezervo za kibernetsko varnost, bi moral javni naročnik po potrebi oblikovati merila in zahteve za izbor, poleg tistih iz te uredbe. Spodbujati je treba sodelovanje manjših ponudnikov, dejavnih na regionalni in lokalni ravni.

(48)

Pri izbiri ponudnikov za vključitev v EU rezervo za kibernetsko varnost bi si moral javni naročnik prizadevati zagotoviti, da EU rezerva za kibernetsko varnost kot celota vsebuje ponudnike, ki se lahko prilagodijo jezikovnim zahtevam uporabnikov. V ta namen bi moral javni naročnik, preden pripravi razpisne zahteve, preveriti, ali imajo potencialni uporabniki EU rezerve za kibernetsko varnost posebne jezikovne zahteve, tako da se lahko podporne storitve EU rezerve za kibernetsko varnost zagotavljajo v enem od uradnih jezikov institucij Unije ali držav članic, ki ga uporabnik ali prizadeti subjekt verjetno razume. V primeru, da uporabnik zahteva več kot en jezik za zagotavljanje podpornih storitev EU rezerve za kibernetsko varnost in so bile te storitve zagotovljene v teh jezikih za tega uporabnika, bi moral ta uporabnik biti sposoben navesti, v zahtevi za podporo EU rezerve za kibernetsko varnost, v katerem od teh jezikov bi bilo treba zagotavljati storitve v zvezi s posebnim incidentom, na podlagi katerega je bila vložena zahteva.

(49)

Pomembno je, da Komisija za podporo vzpostavitvi EU rezerve za kibernetsko varnost od ENISA zahteva, naj pripravi predlog certifikacijske sheme za kibernetsko varnost za upravljane varnostne storitve na podlagi Uredbe (EU) 2019/881 na področjih, ki jih zajema mehanizem za izredne razmere na področju kibernetske varnosti.

(50)

Za podporo ciljem te uredbe glede spodbujanja skupnega situacijskega zavedanja, krepitve odpornosti Unije ter omogočanja učinkovitega odziva na pomembne kibernetske incidente in kibernetske incidente velikih razsežnosti bi morala imeti Komisija ali mreža EU-CyCLONe, s podporo mreže skupin CSIRT in z odobritvijo zadevnih držav članic, možnost, da ENISA zaprosita, naj pregleda in oceni kibernetske grožnje, znane ranljivosti, ki jih mogoče izrabiti, in blažitvene ukrepe v zvezi s posameznim pomembnim kibernetskim incidentom ali kibernetskim incidentom velikih razsežnosti. Po zaključku pregleda in ocene incidenta bi morala ENISA v sodelovanju z zadevno državo članico, ustreznimi deležniki, vključno s predstavniki iz zasebnega sektorja, Komisije in drugih ustreznih institucij, organov, uradov in agencij Unije, pripraviti poročilo o pregledu incidenta. Cilj poročila o pregledu posameznih incidentov, ki temelji na sodelovanju z deležniki, vključno z zasebnim sektorjem, bi moral biti ocena vzrokov, posledic in blažitev incidenta po njegovem nastanku. Posebno pozornost bi bilo treba nameniti prispevku in spoznanjem, ki si jih izmenjujejo ponudniki upravljanih varnostnih storitev, ki izpolnjujejo pogoje največje poklicne integritete, nepristranskosti in potrebnega tehničnega strokovnega znanja, kot se zahtevajo s to uredbo. Poročilo bi bilo treba predložiti mreži EU-CyCLONe, mreži skupin CSIRT in Komisiji, ki bi ga morale upoštevati pri svojem delu, kakor tudi delu ENISA. Kadar je incident povezan s tretjo državo, pridruženo programu Evropa, bi morala Komisija poročilo zagotoviti tudi visokemu predstavniku.

(51)

Ob upoštevanju nepredvidljive narave kibernetskih napadov in dejstva, da ti pogosto niso omejeni na določeno geografsko območje in da predstavljajo veliko tveganje prelivanja, krepitev odpornosti sosednjih držav in njihove zmogljivosti za učinkovito odzivanje na pomembne kibernetske incidente in kibernetske incidente, enakovredne incidentom velikih razsežnosti, prispeva k zaščiti Unije in zlasti njenega notranjega trga in industrije kot celote. Takšne dejavnosti bi lahko dodatno prispevale h kibernetski diplomaciji Unije. Zato bi morale imeti tretje države, pridružene programu Digitalna Evropa, možnost, da zaprosijo za podporo iz EU rezerve za kibernetsko varnost na celotnem ali delu svojega ozemlja, kadar je to določeno v sporazumu, preko katerega je tretja država pridružena programu Digitalna Evropa. Unija bi morala financiranje za tretje države, pridružene programu Digitalna Evropa, podpreti v okviru ustreznih partnerstev in instrumentov financiranja za te države. Podpora bi morala zajemati storitve na področju odzivanja na pomembne kibernetske incidente ali kibernetske incidente, enakovredne incidentom velikih razsežnosti in začetno obnovitev po njih.

(52)

Pri zagotavljanju podpore tretjim državam, pridruženim programu Digitalna Evropa, bi se morali uporabljati pogoji, določeni za EU rezervo za kibernetsko varnost in zaupanja vredne ponudnike upravljanih varnostnih storitev v tej uredbi. Tretje države, pridružene programu Digitalna Evropa, bi morale imeti možnost, da za podporo zaprosijo EU rezervo za kibernetsko varnost, kadar so ciljni subjekti, za katere zaprosijo za podporo iz EU rezerve za kibernetsko varnost, subjekti, ki delujejo v visoko kritičnih sektorjih, ali subjekti, ki delujejo v drugih kritičnih sektorjih, in kadar odkriti incidenti povzročijo znatne operativne motnje oziroma bi lahko imeli učinke prelivanja v Uniji. Tretje države, pridružene programu Digitalna Evropa, lahko prejmejo podporo le, kadar je to določeno v sporazumu, preko katerega je tretja država pridružena programu Digitalna Evropa. Poleg tega bi morale take tretje države ostati upravičene le, če so izpolnjena tri merila. Prvič, tretja država bi morala v celoti spoštovati ustrezne pogoje tega sporazuma. Drugič, glede na dopolnilno naravo EU rezerve za kibernetsko varnost bi morala tretja država sprejeti ustrezne ukrepe za pripravo na pomembne kibernetske incidente ali kibernetske incidente, enakovredne incidentom velikih razsežnosti. Tretjič, zagotavljanje podpore iz EU rezerve za kibernetsko varnost bi moralo biti skladno s politiko Unije do te države in njenimi splošnimi odnosi z njo ter z drugimi politikami Unije na področju varnosti. V okviru svoje ocene glede skladnosti s tem tretjim merilom bi se morala Komisija posvetovati z visokim predstavnikom glede uskladitve dodeljevanja te podpore s skupno zunanjo in varnostno politiko.

(53)

Zagotavljanje podpore tretjim državam, pridruženim programu Digitalna Evropa, lahko vpliva na odnose s tretjimi državami in varnostno politiko Unije, tudi v okviru skupne zunanje in varnostne politike ter skupne varnostne in obrambne politike. Zato je primerno, da se Svetu podelijo izvedbena pooblastila za odobritev in določitev obdobja, v katerem se taka podpora lahko zagotavlja. Svet bi moral ukrepati na podlagi predloga Komisije, ob upoštevanju ocene treh meril, ki jo je opravila Komisija. Enako bi moralo veljati za podaljšanja in predloge za spremembo ali razveljavitev takih aktov. Kadar Svet v izjemnih okoliščinah meni, da je pri tretjem merilu prišlo do občutne spremembe okoliščin, bi moral imeti možnost, da ukrepa na lastno pobudo s spremembo ali razveljavitvijo izvedbenega akta, ne da bi čakal na predlog Komisije. Take pomembne spremembe bodo verjetno zahtevale nujno ukrepanje, s še posebej pomembnimi posledicami za odnose s tretjimi državami, in predhodne natančne ocene Komisije ne bodo potrebne. Poleg tega bi Komisija morala sodelovati z visokim predstavnikom glede zahtev za podporo od tretjih držav, pridruženih programu Digitalna Evropa, in izvajanju podpore, odobrene takim tretjim državam. Komisija bi morala upoštevati tudi vsa stališča ENISA v zvezi s takimi zahtevami in podporo. Komisija bi morala Svetu sporočiti izid ocene zahtev, vključno z ustreznimi premisleki v zvezi s tem, in o storitvah, ki se uporabljajo.

(54)

V sporočilu Komisije z dne 18. aprila 2023 o akademiji za kibernetske veščine je priznano pomanjkanje usposobljenih strokovnjakov. Take veščine so potrebne za uresničevanje ciljev te uredbe. Unija nujno potrebuje strokovnjake z veščinami in kompetencami za preprečevanje in odkrivanje kibernetskih napadov in odvračanje od njih ter obrambo Unije pred takimi napadi, tudi njene najbolj kritične infrastrukture, in za zagotavljanje njene odpornosti. V ta namen je pomembno okrepiti sodelovanje med deležniki, vključno z zasebnim sektorjem, akademskimi krogi in javnim sektorjem. Prav tako je pomembno, da se na vseh ozemljih Unije ustvarijo sinergije za naložbe v izobraževanje in usposabljanje, da se spodbudi oblikovanje zaščitnih ukrepov za preprečevanje bega možganov ali večanja vrzeli v veščinah v nekaterih regijah bolj kot v drugih. Nujno je zapolniti vrzeli v veščinah, povezanih s kibernetsko varnostjo, s posebnim poudarkom na zmanjšanju vrzeli pri delovni sili na področju kibernetske varnosti, da bi spodbujali prisotnost in udeležbo žensk pri zasnovi digitalnega upravljanja.

(55)

Povečanje raziskav in inovacij na področju kibernetske varnosti je pomembno za spodbujanje enotnega digitalnega trga, saj prispeva k povečanju odpornosti držav članic in odprte strateške avtonomije Unije, ki sta cilja te uredbe. Sinergije so bistvene za povečanje sodelovanja in usklajevanja med različnimi deležniki, vključno z zasebnim sektorjem, civilno družbo in akademskim svetom.

(56)

Ta uredba bi morala upoštevati zavezo, določeno v Skupni deklaraciji z dne 26. januarja 2022 Evropskega parlamenta, Sveta in Komisije z naslovom „Evropska deklaracija o digitalnih pravicah in načelih za digitalno desetletje“, da bi zaščitili interese demokracij, ljudi, podjetij in javnih institucij Unije pred tveganji za kibernetsko varnost in kibernetsko kriminaliteto, vključno s kršitvami varstva podatkov in krajo identitete ali poseganjem vanjo.

(57)

Da bi lahko dopolnili nekatere nebistvene elemente te uredbe, bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte v zvezi z določitvijo vrste in števila storitev za odzivanje, potrebnih za EU rezervo za kibernetsko varnost. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje (20). Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.

(58)

Za zagotovitev enotnih pogojev za izvajanje te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za natančnejšo določitev podrobnih postopkovnih ureditev za dodeljevanje podpornih storitev iz EU rezerve za kibernetsko varnost. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (21).

(59)

Brez poseganja v pravila v zvezi z letnim proračunom Unije na podlagi Pogodb bi morala Komisija pri ocenjevanju proračunskih in kadrovskih potreb ENISA upoštevati obveznosti, ki izhajajo iz te uredbe.

(60)

Komisija bi morala redno izvajati ocenjevanje ukrepov, določenih v tej uredbi. Prva taka ocena bi morala biti opravljena v prvih dveh letih po datumu začetka veljavnosti te uredbe in nato vsaj vsaka štiri leta, ob upoštevanju časovnega poteka revizije večletnega finančnega okvira, sprejetega na podlagi člena 312 PDEU. Komisija bi morala predložiti poročilo o doseženem napredku Evropskemu parlamentu in Svetu. Da bi Komisija ocenila različne potrebne elemente, vključno z obsegom informacij, ki se izmenjujejo v okviru evropskega sistema za opozarjanje na področju kibernetske varnosti, bi se morala opreti izključno na informacije, ki so takoj na voljo ali se zagotavljajo prostovoljno. Ob upoštevanju geopolitičnega razvoja dogodkov, pa tudi za zagotovitev, da se bodo ukrepi iz te uredbe izvajali in nadalje razvijali tudi po letu 2027, je pomembno, da Komisija oceni potrebo po dodelitvi ustreznih proračunskih sredstev v večletnem finančnem okviru od leta 2028 do leta 2034.

(61)

Ker ciljev te uredbe, in sicer krepiti konkurenčni položaj industrije in storitev v Uniji v celotnem digitalnem gospodarstvu ter prispevati k tehnološki suverenosti in odprti strateški avtonomiji Unije na področju kibernetske varnosti, države članice ne morejo zadovoljivo doseči, temveč se lažje dosežeta na ravni Unije, lahko Unija sprejme ukrepe v skladu z načeloma subsidiarnosti iz člena 5 PEU. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev –