(EU) 2025/38Nařízení Evropského parlamentu a Rady (EU) 2025/38 ze dne 19. prosince 2024, kterým se stanovují opatření k posílení solidarity a kapacit v Unii pro odhalování kybernetických hrozeb a incidentů a pro připravenost a reakci na ně a mění nařízení (EU) 2021/694 (nařízení o kybernetické solidaritě)

Publikováno:	Úř. věst. L 38, 15.1.2025	Druh předpisu:	Nařízení
Přijato:	19. prosince 2024	Autor předpisu:	Evropský parlament; Rada Evropské unie
Platnost od:	4. února 2025	Nabývá účinnosti:	4. února 2025
Platnost předpisu:	Ano	Pozbývá platnosti:

Konsolidované znění předpisu s účinností od 15. ledna 2025

Text aktualizovaného znění s celou hlavičkou je dostupný pouze pro registrované uživatele.

Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu

►B

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2025/38

ze dne 19. prosince 2024,

kterým se stanovují opatření k posílení solidarity a kapacit v Unii pro odhalování kybernetických hrozeb a incidentů a pro připravenost a reakci na ně a mění nařízení (EU) 2021/694 (nařízení o kybernetické solidaritě)

(Úř. věst. L 038 15.1.2025, s. 1)

Opraveno:

►C1	Oprava, Úř. věst. L 90063, 24.1.2025, s. 1 (2025/38)

▼B

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2025/38

ze dne 19. prosince 2024,

KAPITOLA I

OBECNÁ USTANOVENÍ

Článek 1

Předmět a cíle

V tomto nařízení jsou stanovena opatření k posílení kapacit Unie pro odhalování kybernetických bezpečnostních hrozeb a incidentů, přípravu na ně a reakci na ně, zejména zřízením:

celoevropské sítě kybernetických center (dále jen „Evropský systém varování v oblasti kybernetické bezpečnosti“) s cílem vybudovat a posílit koordinované schopnosti odhalování a společného situačního povědomí,

mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti, který bude podporovat členské státy při přípravě na významné kybernetické bezpečnostní incidenty a rozsáhlé kybernetické bezpečnostní incidenty, při reakci na ně, při omezování jejich dopadu a při zahajování obnovy po takových incidentech a podporovat další uživatele při reakci na významné kybernetické bezpečnostní incidenty nebo na incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům,

evropského mechanismu přezkumu kybernetických bezpečnostních incidentů, který bude přezkoumávat a posuzovat významné kybernetické bezpečnostní incidenty nebo rozsáhlé kybernetické bezpečnostní incidenty.

Toto nařízení sleduje obecné cíle, kterými je posílení konkurenceschopnosti průmyslu a služeb v Unii v celé digitální ekonomice, včetně mikropodniků a malých a středních podniků, jakož i začínajících podniků, a přispění k technologické suverenitě a otevřené strategické autonomii Unie v oblasti kybernetické bezpečnosti, mimo jiné podporou inovací na jednotném digitálním trhu. Nařízení sleduje tyto cíle upevňováním solidarity na úrovni Unie, posilováním ekosystému kybernetické bezpečnosti, zvyšováním kybernetické odolnosti členských států a rozvojem dovedností, know-how, schopností a kompetencí pracovní síly v oblasti kybernetické bezpečnosti.

Obecných cílů uvedených v odstavci 2 se dosahuje prostřednictvím těchto specifických cílů:

posílit společné koordinované kapacity odhalování kybernetických hrozeb a incidentů v Unii a společné situační povědomí,

posílit připravenost subjektů působících ve vysoce kritických odvětvích nebo v dalších kritických odvětvích v celé Unii a upevnit solidaritu vytvořením koordinovaného testování připravenosti a kapacit posílené reakce a obnovy pro reakci na významné kybernetické bezpečnostní incidenty, rozsáhlé kybernetické bezpečnostní incidenty nebo incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům, včetně možnosti zpřístupnění podpory Unie pro reakci na kybernetické bezpečnostní incidenty třetím zemím přidruženým k programu Digitální Evropa,

zvýšit odolnost Unie a přispět k účinné reakci na incidenty přezkumem a posouzením významných kybernetických bezpečnostních incidentů nebo rozsáhlých kybernetických bezpečnostních incidentů, včetně vyvození poučení a případných doporučení.

Akce podle tohoto nařízení se provádějí s náležitým ohledem na pravomoci členských států a doplňují činnost prováděnou sítí CSIRT, sítí EU-CyCLONe a skupinou pro spolupráci NIS.

Tímto nařízením nejsou dotčeny základní funkce členských států, včetně zajištění územní celistvosti státu, udržování veřejného pořádku a ochrany národní bezpečnosti. Zejména národní bezpečnost zůstává i nadále ve výhradní pravomoci každého členského státu.

Sdílení nebo výměna informací podle tohoto nařízení, které mají podle unijních nebo vnitrostátních pravidel důvěrnou povahu, se omezuje na data, která jsou relevantní a přiměřená účelu tohoto sdílení nebo této výměny. Při tomto sdílení nebo výměně informací se zachovává důvěrnost dotčených informací a je chráněna bezpečnost a obchodní zájmy příslušných subjektů. To se netýká poskytování informací, jejichž zveřejnění by bylo v rozporu se základními zájmy členských států v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.

Článek 2

Definice

Pro účely tohoto nařízení se rozumí:

„přeshraničním kybernetickým centrem“ platforma, které se účastní více zemí, zřízená prostřednictvím písemné dohody o konsorciu, která v koordinované síťové struktuře sdružuje národní kybernetická centra alespoň ze tří členských států a která je určena ke zlepšení monitorování, odhalování a analýzy kybernetických hrozeb s cílem předcházet incidentům a podporovat získávání poznatků o kybernetických hrozbách, zejména prostřednictvím výměny relevantních a případně anonymizovaných dat a informací, jakož i sdílením nejmodernějších nástrojů a společným vývojem schopností odhalování, analýzy a prevence a ochrany v oblasti kybernetické bezpečnosti v důvěryhodném prostředí;

„hostitelským konsorciem“ konsorcium složené ze zúčastněných členských států, které souhlasily se zřízením nástrojů, infrastruktury nebo služeb pro přeshraniční kybernetické centrum a jeho provoz a s poskytnutím příspěvku na pořízení těchto nástrojů, infrastruktury nebo služeb;

„týmem CSIRT“ tým CSIRT, který byl určen nebo zřízen podle článku 10 směrnice (EU) 2022/2555;

„subjektem“ subjekt ve smyslu čl. 6 bodu 38 směrnice (EU) 2022/2555;

„subjekty působícími ve vysoce kritických odvětvích“ druhy subjektů uvedené v příloze I směrnice (EU) 2022/2555;

„subjekty působícími v dalších kritických odvětvích“ druhy subjektů uvedené v příloze II směrnice (EU) 2022/2555;

„rizikem“ riziko ve smyslu čl. 6 bodu 9 směrnice (EU) 2022/2555;

„kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/881;

„incidentem“ incident ve smyslu čl. 6 bodu 6 směrnice (EU) 2022/2555;

10)

„významným kybernetickým bezpečnostním incidentem“ kybernetický bezpečnostní incident, který splňuje kritéria stanovená v čl. 23 odst. 3 směrnice (EU) 2022/2555;

11)

„závažným incidentem“ závažný incident ve smyslu čl. 3 bodě 8 nařízení Evropského parlamentu a Rady (EU, Euratom) 2023/2841 ( 1 );

12)

„rozsáhlým kybernetickým bezpečnostním incidentem“ rozsáhlý kybernetický bezpečnostní incident ve smyslu čl. 6 bodu 7 směrnice (EU) 2022/2555;

13)

„incidentem obdobným rozsáhlému kybernetickému bezpečnostnímu incidentu“ v případě orgánů, institucí a jiných subjektů Unie závažný incident a v případě třetích zemí přidružených k programu Digitální Evropa incident, který způsobí takovou míru narušení, která přesahuje kapacitu dotčené třetí země přidružené k programu Digitální Evropa na něj reagovat;

14)

„třetí zemí přidruženou k programu Digitální Evropa“ třetí země, která je smluvní stranou dohody s Unií umožňující její účast v programu Digitální Evropa podle článku 10 nařízení (EU) 2021/694;

15)

„veřejným zadavatelem“ Komise nebo, v rozsahu, v němž byla provozem a správou rezervy EU pro kybernetickou bezpečnost pověřena agentura ENISA podle čl. 14 odst. 5 tohoto nařízení, agentura ENISA;

16)

„poskytovatelem řízených bezpečnostních služeb“ poskytovatel řízených bezpečnostních služeb ve smyslu čl. 6 bodu 40 směrnice (EU) 2022/2555;

17)

„důvěryhodnými poskytovateli řízených bezpečnostních služeb“ poskytovatelé řízených bezpečnostních služeb, kteří byli v souladu s článkem 17 vybráni k tomu, aby byli zapojeni do rezervy EU pro kybernetickou bezpečnost.

KAPITOLA II

EVROPSKÝ SYSTÉM VAROVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI

Článek 3

Zřízení Evropského systému varování v oblasti kybernetické bezpečnosti

Zřizuje se Evropský systém varování v oblasti kybernetické bezpečnosti, což je celoevropská síť infrastruktury, která sestává z národních kybernetických center a přeshraničních kybernetických center, jež se k ní připojují dobrovolně, s cílem podpořit rozvoj pokročilých schopností Unie za účelem rozvíjení schopností Unie odhalovat, analyzovat a zpracovávat data v souvislosti s kybernetickými hrozbami v Unii a předcházet incidentům v Unii.

Evropský systém varování v oblasti kybernetické bezpečnosti:

přispívá k lepší ochraně proti kybernetickým hrozbám a reakci na ně tím, že podporuje příslušné subjekty, zejména týmy CSIRT, síť CSIRT, síť EU-CyCLONe a příslušné orgány určené nebo zřízené podle článku 8 odst. 1 směrnice (EU) 2022/2555, spolupracuje s nimi a posiluje jejich schopnosti;

shromažďuje relevantní data a informace o kybernetických hrozbách a incidentech z různých zdrojů v rámci přeshraničních kybernetických center a sdílí analyzované nebo agregované informace prostřednictvím přeshraničních kybernetických center a případně se sítí CSIRT;

shromažďuje a podporuje získávání kvalitních a použitelných informací a poznatků o kybernetických hrozbách s využitím nejmodernějších nástrojů a pokročilých technologií a sdílí tyto informace a poznatky o kybernetických hrozbách;

přispívá k posilování koordinovaného odhalování kybernetických hrozeb, k získání společného situačního povědomí v celé Unii a k vydávání varování, v relevantních případech včetně poskytováním konkrétních doporučení subjektům;

poskytuje služby a zajišťuje činnost pro komunitu kybernetické bezpečnosti v Unii, mimo jiné přispívá k vývoji pokročilých nástrojů a technologií, jako je umělá inteligence a nástroje analýzy dat.

Akce, kterými se provádí Evropský systém varování v oblasti kybernetické bezpečnosti, jsou podporovány z finančních prostředků programu Digitální Evropa a prováděny v souladu s nařízením (EU) 2021/694, zejména s jeho specifickým cílem č. 3.

Článek 4

Národní kybernetická centra

Pokud se členský stát rozhodne podílet se na Evropském systému varování v oblasti kybernetické bezpečnosti, určí nebo případně zřídí pro účely tohoto nařízení národní kybernetické centrum.

Národní kybernetické centrum je jedním subjektem a jedná z pověření členského státu. Může se jednat o tým CSIRT nebo případně o vnitrostátní orgán pro řešení kybernetických bezpečnostních krizí nebo jiný příslušný orgán určený nebo zřízený podle čl. 8 odst. 1 směrnice (EU) 2022/2555 či jiný subjekt. Národní kybernetické centrum musí být schopno:

působit jako referenční bod a brána pro další veřejné a soukromé organizace na vnitrostátní úrovni pro účely shromažďování a analýzy informací o kybernetických bezpečnostních hrozbách a incidentech a přispívat k činnosti přeshraničního kybernetického centra podle článku 5; a

odhalovat, agregovat a analyzovat data a informace týkající se kybernetických hrozeb a incidentů, jako jsou poznatky o kybernetických hrozbách, zejména s využitím nejmodernějších technologií, s cílem předcházet incidentům.

V rámci funkcí uvedených v odstavci 2 tohoto článku mohou národní kybernetická centra spolupracovat se subjekty soukromého sektoru a vyměňovat si relevantní údaje a informace za účelem odhalování kybernetických hrozeb a incidentů a předcházení těmto hrozbám a incidentům, a to i s odvětvovými a meziodvětvovými komunitami základních a důležitých subjektů podle článku 3 směrnice (EU) 2022/2555. Informace vyžádané nebo obdržené národními kybernetickými centry mohou ve vhodných případech zahrnovat v souladu s unijním a vnitrostátním právem telemetrické údaje, údaje z čidel a údaje o přihlášeních.

Členský stát vybraný podle čl. 9 odst. 1 se zaváže, že jeho národní kybernetické centrum požádá o účast v přeshraničním kybernetickém centru.

Článek 5

Přeshraniční kybernetická centra

Pokud hodlají alespoň tři členské státy zajistit, aby jejich národní kybernetická centra spolupracovala na koordinaci svých činností v oblasti odhalování a monitorování kybernetických hrozeb, mohou tyto členské státy pro účely tohoto nařízení zřídit hostitelské konsorcium.

Hostitelské konsorcium je složené nejméně ze tří zúčastněných členských států, které souhlasily se zřízením nástrojů, infrastruktury nebo služeb pro přeshraniční kybernetické centrum v souladu s odstavcem 4 a jeho provoz a s poskytnutím příspěvku na jejich pořízení.

Je-li hostitelské konsorcium vybráno podle čl. 9 odst. 3, jeho členové uzavřou písemnou dohodu o konsorciu:

v níž je stanoveno vnitřní ujednání k provádění dohody o hostování a užívání podle čl. 9 odst. 3,

kterou se zřizuje přeshraniční kybernetické centrum hostitelského konsorcia, a

která zahrnuje zvláštní ustanovení požadovaná podle čl. 6 odst. 1 a 2.

Přeshraniční kybernetické centrum je platforma, které se účastní více zemí, zřízená písemnou dohodou o konsorciu uvedenou v odstavci 3. V koordinované síťové struktuře sdružuje národní kybernetická centra členských států hostitelského konsorcia. Je určeno pro zdokonalení monitorování, odhalování a analýzy kybernetických hrozeb, předcházení incidentům a podporu získávání poznatků o kybernetických hrozeb, zejména prostřednictvím sdílení relevantních a případně anonymizovaných dat a informací a také prostřednictvím sdílení nejmodernějších nástrojů a společným rozvojem schopností odhalování, analýzy, prevence a ochrany v oblasti kybernetické bezpečnosti v důvěryhodném prostředí.

Přeshraniční kybernetické centrum je pro právní účely zastoupeno členem příslušného hostitelského konsorcia, který působí jako koordinátor, nebo hostitelským konsorciem, má-li právní osobnost. Odpovědnost za to, že přeshraniční kybernetické centrum dodržuje toto nařízení a dohodu o hostování a užívání, se určí v písemné dohodě o konsorciu uvedené v odstavci 3.

Členský stát se může připojit ke stávajícímu hostitelskému konsorciu se souhlasem členů hostitelského konsorcia. Písemná dohoda o konsorciu uvedená v odstavci 3 a dohoda o hostování a užívání se odpovídajícím způsobem upraví. Tím nejsou dotčena vlastnická práva Evropského průmyslového, technologického a výzkumného centra kompetencí pro kybernetickou bezpečnost (dále jen „centrum ECCC“) k nástrojům, infrastruktuře nebo službám, které již byly pořízeny společně s tímto hostitelským konsorciem.

Článek 6

Spolupráce a sdílení informací v rámci přeshraničních kybernetických center a mezi nimi

Členové hostitelského konsorcia zajistí, aby jejich národní kybernetická centra v souladu s písemnou dohodou o konsorciu podle čl. 5 odst. 3 mezi sebou v rámci přeshraničního kybernetického centra sdílela relevantní a, tam kde je to vhodné, anonymizované informace, jako jsou informace týkající se kybernetických hrozeb, významných událostí, zranitelností, technik a postupů, indikátorů narušení, nepřátelských taktik, informací specifických pro daný subjekt a danou hrozbu, varování v oblasti kybernetické bezpečnosti a doporučení týkající se konfigurace nástrojů kybernetické bezpečnosti, které slouží k odhalování kybernetických útoků, pokud toto sdílení informací:

podporuje a zlepšuje odhalování kybernetických hrozeb a posiluje schopnosti sítě CSIRT předcházet incidentům a reagovat na ně nebo zmírňovat jejich dopad,

zvyšuje úroveň kybernetické bezpečnosti, například zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných schopností, nápravou a zveřejňováním zranitelností, odhalováním hrozeb, technikami na zamezení šíření hrozeb a předcházení jim, strategií zmírňování, fází reakce a obnovy nebo podporou společného výzkumu hrozeb ze strany subjektů veřejného a soukromého sektoru.

V písemné dohodě o konsorciu podle čl. 5 odst. 3 se stanoví:

závazek sdílet mezi členy hostitelského konsorcia informace uvedené v odstavci 1 a podmínky, za nichž mají být tyto informace sdíleny;

rámec řízení, který objasňuje sdílení relevantních a případně anonymizovaných informací uvedených v odstavci 1 všemi účastníky a který účastníky k jejich sdílení motivuje,

cíle pro přispění k vývoji pokročilých nástrojů a technologií, jako je umělá inteligence a nástroje analýzy dat.

Písemná dohoda o konsorciu může upřesnit, že informace uvedené v odstavci 1 mají být sdíleny v souladu s unijním a vnitrostátním právem.

Přeshraniční kybernetická centra mezi sebou uzavírají dohody o spolupráci, v nichž stanoví zásady interoperability a sdílení informací mezi přeshraničními kybernetickými centry. Přeshraniční kybernetická centra informují Komisi o uzavřených dohodách o spolupráci.

Sdílení informací podle odstavce 1 mezi přeshraničními kybernetickými centry je zajištěno prostřednictvím vysoké úrovně interoperability. Na podporu této interoperability vydá agentura ENISA v úzké spolupráci s Komisí bez zbytečného odkladu a v každém případě do 5. února 2026 pokyny k interoperabilitě, v nichž upřesní zejména formáty a protokoly pro sdílení informací, přičemž zohlední mezinárodní normy, osvědčené postupy a fungování již zřízených přeshraničních kybernetických center. Požadavky na interoperabilitu stanovené v dohodách o spolupráci přeshraničních kybernetických center vycházejí z pokynů vydaných agenturou ENISA.

Článek 7

Spolupráce a sdílení informací se sítěmi na úrovni Unie

Přeshraniční kybernetická centra a síť CSIRT úzce spolupracují, zejména za účelem sdílení informací. Za tímto účelem se dohodnou na procesních ujednáních o spolupráci a sdílení relevantních informací, a aniž je dotčen odstavec 2, také na druzích informací, které mají být sdíleny.

Pokud přeshraniční kybernetická centra získají informace týkající se potenciálního nebo probíhajícího rozsáhlého kybernetického bezpečnostního incidentu, zajistí pro účely získání společného situačního povědomí, aby byly orgánům členských států a Komisi prostřednictvím sítě EU-CyCLONe a sítě CSIRT neprodleně poskytnuty relevantní informace a včasná varování.

Článek 8

Zabezpečení

Členské státy, které se účastní Evropského systému varování v oblasti kybernetické bezpečnosti, zajistí vysokou úroveň kybernetické bezpečnosti, včetně důvěrnosti a bezpečnosti dat a fyzické bezpečnosti Evropského systému varování v oblasti kybernetické bezpečnosti, a zabezpečí, aby byla síť přiměřeně spravována a kontrolována, tak aby byla chráněna před hrozbami a aby byla zajištěna její bezpečnost a bezpečnost systémů, včetně bezpečnosti dat a informací sdílených prostřednictvím této sítě.

Členské státy, které se účastní Evropského systému varování v oblasti kybernetické bezpečnosti, zajistí, aby sdílení informací podle čl. 6 odst. 1 v rámci Evropského systému varování v oblasti kybernetické bezpečnosti s jakýmkoli jiným subjektem, než je orgán veřejné moci nebo orgán členského státu, nemělo negativní dopad na bezpečnostní zájmy Unie nebo členských států.

Článek 9

Financování Evropského systému varování v oblasti kybernetické bezpečnosti

Na základě výzvy k vyjádření zájmu pro členské státy, které se hodlají účastnit Evropského systému varování v oblasti kybernetické bezpečnosti, vybere centrum ECCC členské státy, aby se společně s tímto centrem zúčastnily společného zadávání veřejných zakázek na nástroje, infrastrukturu nebo služby za účelem zřízení národních kybernetických center, jak je uvedeno v čl. 4 odst. 1, nebo za účelem rozšíření schopností takových center. Centrum ECCC může vybraným členským státům udělit granty na financování provozu těchto nástrojů, infrastruktury a služeb. Finanční příspěvek Unie pokrývá až 50 % nákladů na pořízení nástrojů, infrastruktury nebo služeb a až 50 % nákladů na provoz. Zbývající náklady hradí vybrané členské státy. Před zahájením řízení za účelem pořízení nástrojů, infrastruktury nebo služeb uzavře centrum ECCC s vybranými členskými státy dohodu o hostingu a užívání, která upravuje používání příslušných nástrojů, infrastruktury nebo služeb.

Pokud se národní kybernetické centrum členského státu nestane účastníkem přeshraničního kybernetického centra do dvou let ode dne, kdy byly nástroje, infrastruktura nebo služby pořízeny nebo kdy obdrželo grantové financování, podle toho, co nastane dříve, nemá členský stát nárok na dodatečnou podporu Unie podle této kapitoly, dokud se nepřipojí k přeshraničnímu kybernetickému centru.

Na základě výzvy k vyjádření zájmu vybere centrum ECCC hostitelské konsorcium, které se bude spolu s centrem ECCC podílet na společném zadávání veřejných zakázek týkajících se nástrojů, infrastruktury nebo služeb. Centrum ECCC může hostitelskému konsorciu udělit grant na financování provozu těchto nástrojů, infrastruktury nebo služeb. Finanční příspěvek Unie pokrývá až 75 % nákladů na pořízení nástrojů, infrastruktury nebo služeb a až 50 % nákladů na provoz. Zbývající náklady hradí hostitelské konsorcium. Před zahájením řízení za účelem pořízení nástrojů, infrastruktury nebo služeb uzavře centrum ECCC s hostitelským konsorciem dohodu o hostování a užívání, která upravuje používání příslušných nástrojů, infrastruktury nebo služeb.

Centrum ECCC provede alespoň každé dva roky mapování nástrojů, infrastruktury nebo služeb, které jsou nezbytné a mají odpovídající kvalitu pro zřízení národních kybernetických center a přeshraničních kybernetických center a rozšíření jejich schopností a pro zlepšení jejich dostupnosti, mimo jiné od právních subjektů usazených v členských státech nebo považovaných za usazené v členských státech a řízenými členskými státy nebo státními příslušníky členských států. Při provádění tohoto mapování provádí centrum ECCC konzultace se sítí CSIRT, s veškerými stávajícími přeshraničními kybernetickými centry, agenturou ENISA a Komisí.

KAPITOLA III

MECHANISMUS PRO MIMOŘÁDNÉ UDÁLOSTI V OBLASTI KYBERNETICKÉ BEZPEČNOSTI

Článek 10

Zřízení mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti

Zřizuje se mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti s cílem podporovat posilování odolnosti Unie vůči kybernetickým hrozbám a, v duchu solidarity, na přípravu na krátkodobý dopad významných kybernetických bezpečnostních incidentů, rozsáhlých kybernetických bezpečnostních incidentů a incidentů obdobných rozsáhlým kybernetickým bezpečnostním incidentům a jeho zmírňování.

V případě členských států se akce podle mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti provádějí na jejich žádost a doplňují úsilí a akce členských států s cílem připravit se na incidenty, reagovat na ně a zotavit se z nich.

Akce, kterými se provádí mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti, jsou podporovány z finančních prostředků programu Digitální Evropa a prováděny v souladu s nařízením (EU) 2021/694, zejména s jeho specifickým cílem č. 3.

Akce v rámci mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti jsou prováděny především prostřednictvím centra ECCC v souladu s nařízením (EU) 2021/887. Akce zaměřené na provádění rezervy EU pro kybernetickou bezpečnost podle čl. 11 písm. b) tohoto nařízení však provádí Komise a agentura ENISA.

Článek 11

Druhy akcí

Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti podporuje tyto druhy akcí:

akce v oblasti připravenosti, konkrétně:

koordinované testování připravenosti subjektů působících ve vysoce kritických odvětvích v celé Unii, jak je uvedeno v článku 12,

ii)

další akce v oblasti připravenosti pro subjekty působící ve vysoce kritických odvětvích nebo v dalších kritických odvětvích, jak je uvedeno v článku 13,

akce, které podporují reakci na významné kybernetické bezpečnostní incidenty, rozsáhlé kybernetické bezpečnostní incidenty a incidenty obdobné rozsáhlým bezpečnostním incidentům a zahajování obnovy po nich a která mají poskytovat důvěryhodní poskytovatelé řízených bezpečnostních služeb zapojení do rezervy EU pro kybernetickou bezpečnost zřízené podle článku 14,

akce podporující vzájemnou pomoc podle článku 18.

Článek 12

Koordinované testování připravenosti subjektů

Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti podporuje dobrovolné koordinované testování připravenosti subjektů působících ve vysoce kritických odvětvích.

Koordinované testování připravenosti může sestávat z činností v oblasti připravenosti, jako je penetrační testování, a z posuzování hrozeb.

Podpora akcí v oblasti připravenosti podle tohoto článku se poskytuje členským státům především ve formě grantů a za podmínek stanovených v příslušných pracovních programech, jak je uvedeno v článku 24 nařízení (EU) 2021/694.

Za účelem podpory koordinovaného testování připravenosti subjektů uvedených v čl. 11 písm. a) bodu i) tohoto nařízení v celé Unii určí Komise po konzultaci se skupinou pro spolupráci NIS, sítí EU-CyCLONe a agenturou ENISA dotčená odvětví nebo pododvětví z vysoce kritických odvětví vyjmenovaných v příloze I směrnice (EU) 2022/2555, v nichž může být zahájena výzva k podávání návrhů pro účely udělení grantu. Účast členských států na těchto výzvách k podávání návrhů je dobrovolná.

Při určování odvětví nebo pododvětví podle odstavce 4 zohlední Komise koordinovaná posouzení rizik a testování odolnosti na úrovni Unie a jejich výsledky.

Skupina pro spolupráci NIS vypracuje ve spolupráci s Komisí, vysokým představitelem Unie pro zahraniční věci a bezpečnostní politiku (dále jen „vysoký představitel“) a agenturou ENISA a v rámci jejího mandátu i se sítí EU-CyCLONe společné rizikové scénáře a metodiku pro koordinované testování připravenosti podle čl. 11 odst. 1 písm. a) bodu i) a případně pro další akce v oblasti připravenosti podle písm. a) bodu ii) uvedeného článku.

Pokud se subjekt působící ve vysoce kritickém odvětví dobrovolně účastní koordinovaného testování připravenosti a výsledkem tohoto testování jsou doporučení týkající se konkrétních opatření, která by zúčastněný subjekt mohl začlenit do plánu nápravy, orgán členského státu odpovědný za koordinované testování připravenosti přezkoumá, tam kde je to vhodné, následné plnění těchto opatření ze strany zúčastněných subjektů s cílem zlepšit připravenost.

Článek 13

Další akce v oblasti připravenosti

Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti podporuje akce v oblasti připravenosti, na něž se nevztahuje článek 12. Tyto akce zahrnují koordinované akce v oblasti připravenosti pro subjekty v odvětvích, která nejsou určena pro koordinované testování podle článku 12. Tyto akce mohou podporovat monitorování zranitelností a rizik, cvičení a školení.

Podpora opatření v oblasti připravenosti podle tohoto článku se členským státům poskytuje na jejich žádost, především ve formě grantů a za podmínek stanovených v příslušných pracovních programech podle článku 24 nařízení (EU) 2021/694.

Článek 14

Zřízení rezervy EU pro kybernetickou bezpečnost

Zřizuje se rezerva EU pro kybernetickou bezpečnost, která má uživatelům uvedeným v odstavci 3 pomáhat na jejich žádost při reakci nebo při poskytování podpory reakci na významné kybernetické bezpečnostní incidenty, rozsáhlé kybernetické bezpečnostní incidenty a incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům a při zahajování obnovy po těchto incidentech.

Rezerva EU pro kybernetickou bezpečnost se skládá ze služeb určených k reakci od důvěryhodných poskytovatelů řízených bezpečnostních služeb vybraných v souladu s kritérii stanovenými v čl. 17 odst. 2. Rezerva EU pro kybernetickou bezpečnost může zahrnovat předem přislíbené služby. Předem přislíbené služby důvěryhodného poskytovatele řízených bezpečnostních služeb lze v případech, kdy tyto služby nejsou využívány k reakci na incidenty po dobu, na kterou jsou tyto služby předem přislíbeny, přeměnit na služby připravenosti související s předcházením incidentům a reakcí na ně. Rezervu EU pro kybernetickou bezpečnost lze použít na žádost ve všech členských státech, orgánech, institucích a jiných subjektech Unie a ve třetích zemích přidružených k programu Digitální Evropa uvedených v čl. 19 odst. 1.

Uživateli služeb poskytovaných z rezervy EU pro kybernetickou bezpečnost jsou:

orgány členských států pro řešení kybernetických krizí a týmy CSIRT ve smyslu čl. 9 odst. 1 a 2 a článku 10 směrnice (EU) 2022/2555;

CERT-EU v souladu s článkem 13 nařízení (EU, Euratom) 2023/2841;

příslušné orgány, jako jsou týmy pro reakce na počítačové bezpečnostní incidenty a orgány třetích zemí přidružených k programu Digitální Evropa pro řešení kybernetických krizí v souladu s čl. 19 odst. 8.

Celkovou odpovědnost za provádění rezervy EU pro kybernetickou bezpečnost nese Komise. Komise určí v koordinaci se skupinou NIS priority a vývoj rezervy EU pro kybernetickou bezpečnost v souladu s požadavky uživatelů uvedených v odstavci 3, dohlíží na její provádění a zajišťuje doplňkovost, jednotnost, součinnost a vazby s dalšími podpůrnými akcemi podle tohoto nařízení, jakož i s jinými opatřeními a programy Unie. Tyto priority se přezkoumávají a případně revidují každé dva roky. Komise o těchto prioritách a jejich revizi informuje Evropský parlament a Radu.

Aniž je dotčena celková odpovědnost Komise za provádění rezervy EU pro kybernetickou bezpečnost uvedená v odstavci 4 tohoto článku a s výhradou dohody o přiznání příspěvku ve smyslu čl. 2 bodu 19 nařízení (EU, Euratom) 2024/2509, svěří Komise zcela nebo zčásti provoz a správu rezervy EU pro kybernetickou bezpečnost agentuře ENISA. Aspekty, které nejsou svěřeny agentuře ENISA, podléhají i nadále přímému řízení ze strany Komise.

Agentura ENISA provádí alespoň každé dva roky mapování služeb, které uživatelé uvedení v odst. 3 písm. a) a b) tohoto článku potřebují. Mapování zahrnuje také dostupnost těchto služeb, a to i od právnických osob usazených nebo považovaných za usazené v členských státech a řízenými členskými státy nebo státními příslušníky členských států. Při mapování jejich dostupnosti posuzuje agentura ENISA dovednosti a kapacity pracovníků v oblasti kybernetické bezpečnosti v Unii, které jsou relevantní pro cíle rezervy EU pro kybernetickou bezpečnost. Při provádění mapování provádí agentura ENISA konzultace se skupinou pro spolupráci NIS, sítí EU-CyCLONe, s Komisí a případně s interinstitucionálním výborem pro kybernetickou bezpečnost zřízeným podle článku 10 nařízení (EU, Euratom) 2023/2841. Při mapování dostupnosti služeb provádí agentura ENISA konzultace rovněž s příslušnými relevantními stranami z průmyslového odvětví zaměřující se na kybernetickou bezpečnost, včetně poskytovatelů řízených bezpečnostních služeb. Poté, co informuje Radu a provede konzultace se sítí EU-CyCLONe, s Komisí a případně s vysokým představitelem, vypracuje agentura ENISA podobné mapování s cílem zjistit potřeby uživatelů uvedených v odst. 3 písm. c) tohoto článku.

Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 23 za účelem doplnění tohoto nařízení upřesněním druhů a počtu služeb určených k reakci požadovaných pro rezervu EU pro kybernetickou bezpečnost. Při přípravě těchto aktů v přenesené pravomoci zohlední Komise mapování uvedené v odstavci 6 tohoto článku a může si vyměňovat rady a spolupracovat se skupinou pro spolupráci NIS a s agenturou ENISA.

Článek 15

Žádosti o podporu z rezervy EU pro kybernetickou bezpečnost

Uživatelé uvedení v čl. 14 odst. 3 mohou požádat o služby z rezervy EU pro kybernetickou bezpečnost za účelem podpory reakce na významné kybernetické bezpečnostní incidenty, rozsáhlé kybernetické bezpečnostní incidenty nebo incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům a za účelem zahájení obnovy po nich.

Aby mohli uživatelé uvedení v čl. 14 odst. 3 získat podporu z rezervy EU pro kybernetickou bezpečnost, musí přijmout veškerá vhodná opatření ke zmírnění dopadů incidentu, pro nějž je podpora požadována, včetně případného poskytnutí přímé technické pomoci a dalších prostředků na pomoc při reakci na incident a při obnově po něm.

Žádosti o podporu se veřejnému zadavateli předávají takto:

v případě uživatelů uvedených v čl. 14 odst. 3 písm. a) tohoto nařízení prostřednictvím jednotného kontaktního místa určeného nebo zřízeného členským státem podle čl. 8 odst. 3 směrnice (EU) 2022/2555;

v případě uživatele uvedeného v čl. 14 odst. 3 písm. b) uvedeným uživatelem;

v případě uživatelů uvedených v čl. 14 odst. 3 písm. c) prostřednictvím jednotného kontaktního místa uvedeného v čl. 19 odst. 9.

V případě žádostí uživatelů uvedených v čl. 14 odst. 3 písm. a) informují členské státy síť CSIRT, a případně síť EU-CyCLONe, o žádostech svých uživatelů o podporu pro reakci na incidenty a počáteční obnovy podle tohoto článku.

V žádostech o podporu pro reakci na incident a počáteční obnovy se uvádějí:

příslušné informace týkající se zasaženého subjektu a možného dopadu incidentu:

v případě uživatelů uvedených v čl. 14 odst. 3 písm. a) na dotčené členské státy a uživatele, včetně rizika rozšíření do jiného členského státu;

ii)

v případě uživatele uvedeného v čl. 14 odst. 3 písm. b) na dotčené orgány, instituce nebo jiné subjekty Unie;

iii)

v případě uživatelů uvedených v čl. 14 odst. 3 písm. c) na dotčené země přidružené k programu Digitální Evropa;

informace o požadované službě spolu s plánovaným využitím požadované podpory, včetně odhadovaných potřeb,

příslušné informace o opatřeních přijatých ke zmírnění následků incidentu, pro který je podpora požadována, jak je uvedeno v odstavci 2,

případně dostupné informace o dalších formách podpory, které má zasažený subjekt k dispozici.

Agentura ENISA ve spolupráci s Komisí a sítí EU-CyCLONe vypracuje vzor, který usnadní podávání žádostí o podporu z rezervy EU pro kybernetickou bezpečnost.

Komise může prostřednictvím prováděcích aktů dále upřesnit podrobná procesní opatření týkající se toho, jakým způsobem je třeba o podporu z rezervy EU pro kybernetickou bezpečnost požádat a jak se na tyto žádosti reaguje podle tohoto článku, čl. 16 odst. 1 a čl. 19 odst. 10, včetně ujednání o podávání takových žádostí a poskytování odpovědí a vzorů pro zprávy uvedené v čl. 16 odst. 9. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 24 odst. 2.

Článek 16

Poskytování podpory z rezervy EU pro kybernetickou bezpečnost

V případě žádostí uživatelů uvedených v čl. 14 odst. 3 písm. a) a b) posuzuje žádosti o podporu z rezervy EU pro kybernetickou bezpečnost veřejný zadavatel. Aby byla zajištěna účinnost podpory, předá se odpověď uživatelům uvedeným v čl. 14 odst. 3 písm. a) a b) neprodleně a v každém případě nejpozději do 48 hodin od podání žádosti. Veřejný zadavatel informuje o výsledcích tohoto postupu Radu a Komisi.

Pokud jde o informace sdílené v průběhu podávání žádostí o služby v rámci rezervy EU pro kybernetickou bezpečnost a poskytování těchto služeb, všechny strany zapojené do uplatňování tohoto nařízení musí:

omezit používání a sdílení těchto informací na to, co je nezbytné pro plnění jejich povinností nebo funkcí podle tohoto nařízení,

používat a sdílet veškeré informace, které jsou podle unijního a vnitrostátního práva důvěrné nebo utajované, pouze v souladu s tímto právem, a

zajistit účinnou, účelnou a bezpečnou výměnu informací, případně využíváním a dodržováním příslušných protokolů pro sdílení informací, včetně protokolu TLP (Traffic Light Protocol).

Při posuzování jednotlivých žádostí podle čl. 16 odst. 1 a čl. 19 odst. 10 veřejný zadavatel nebo případně Komise nejprve posoudí, zda jsou splněna kritéria uvedená v čl. 15 odst. 1 a 2. Je-li tomu tak, posoudí dobu trvání a povahu vhodné podpory s ohledem na cíl uvedený v čl. 1 odst. 3 písm. b) a případně na tato kritéria:

rozsah a závažnost incidentu,

druh zasaženého subjektu, přičemž vyšší prioritu mají incidenty, které mají vliv na základní subjekty podle čl. 3 odst. 1 směrnice (EU) 2022/2555;

potenciální dopad incidentu na zasažené členské státy, orgány, instituce nebo jiné subjekty Unie nebo třetí země přidružené k programu Digitální Evropa;

potenciální přeshraniční povahu incidentu a riziko rozšíření do jiných členských států, orgánů, institucí nebo jiných subjektů Unie nebo do třetích zemí přidružených k programu Digitální Evropa;

opatření přijatá uživatelem na pomoc při reakci a počáteční obnově podle čl. 15 odst. 2.

Za účelem stanovení priority žádostí v případě souběžných žádostí uživatelů uvedených v čl. 14 odst. 3 se případně zohlední kritéria uvedená v odstavci 3 tohoto článku, aniž je dotčena zásada loajální spolupráce mezi členskými státy a orgány, institucemi a jinými subjekty Unie. Pokud jsou podle kritérií posouzeny dvě nebo více žádostí jako rovnocenné, mají vyšší prioritu žádosti uživatelů z členských států. Pokud je provoz a správa rezervy EU pro kybernetickou bezpečnost svěřena podle čl. 14 odst. 5 zcela nebo zčásti agentuře ENISA, úzce spolupracuje na stanovení priority žádostí v souladu s tímto odstavcem s Komisí.

Služby v rámci rezervy EU pro kybernetickou bezpečnost se poskytují v souladu se zvláštními dohodami mezi důvěryhodným poskytovatelem řízených bezpečnostních služeb a uživatelem, kterému je poskytnuta podpora z rezervy EU pro kybernetickou bezpečnost. Tyto služby mohou být poskytovány v souladu se zvláštními dohodami mezi důvěryhodným poskytovatelem řízených bezpečnostních služeb, uživatelem a zasaženým subjektem. Všechny dohody uvedené v tomto odstavci musí obsahovat mimo jiné podmínky odpovědnosti.

Dohody uvedené v odstavci 5 vycházejí ze vzorů, které vypracuje agentura ENISA po konzultaci s členskými státy a případně dalšími uživateli rezervy EU pro kybernetickou bezpečnost.

Komise, agentura ENISA a uživatelé rezervy EU pro kybernetickou bezpečnost nenesou žádnou smluvní odpovědnost za škody způsobené třetím osobám službami poskytovanými v rámci provádění rezervy EU pro kybernetickou bezpečnost.

Uživatelé mohou využívat služby rezervy EU pro kybernetickou bezpečnost poskytnuté v reakci na žádost podle čl. 15 odst. 1 pouze za účelem podpory reakce na významné kybernetické bezpečnostní incidenty, rozsáhlé kybernetické bezpečnostní incidenty nebo incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům a za účelem zahájení obnovy po nich. Uživatelé mohou tyto služby využívat pouze s ohledem na:

subjekty působící ve vysoce kritických odvětvích nebo subjekty působící v dalších kritických odvětvích v případě uživatelů uvedených v čl. 14 odst. 3 písm. a) a na rovnocenné subjekty v případě uživatelů uvedených v čl. 14 odst. 3 písm. c) a

orgány, instituce a jiné subjekty Unie v případě uživatele uvedeného v čl. 14 odst. 3 písm. b).

Do dvou měsíců od ukončení podpory předloží uživatelé, kteří obdrželi podporu, souhrnnou zprávu o poskytnuté službě, dosažených výsledcích a vyvozených poučení, a to takto:

uživatelé uvedení v čl. 14 odst. 3 písm. a) předloží souhrnnou zprávu Komisi, agentuře ENISA, síti CSIRT a síti EU-CyCLONe,

uživatel uvedený v čl. 14 odst. 3 písm. b) předloží souhrnnou zprávu Komisi, agentuře ENISA a interinstitucionálnímu výboru pro kybernetickou bezpečnost,

uživatelé uvedení v čl. 14 odst. 3 písm. c) předloží tuto zprávu Komisi.

Komise předá souhrnnou zprávu, již obdržela od uživatelů uvedených v čl. 14 odst. 3 podle prvního pododstavce písm. c) tohoto odstavce Radě a vysokému představiteli.

10.

Pokud je provoz a správa rezervy EU pro kybernetickou bezpečnost svěřena podle čl. 14 odst. 5 tohoto nařízení zcela nebo zčásti agentuře ENISA, podává tato agentura v tomto ohledu pravidelně zprávy Komisi a konzultuje s ní. V této souvislosti agentura ENISA neprodleně zašle Komisi veškeré žádosti, které obdrží od uživatelů uvedených v čl. 14 odst. 3 písm. c) tohoto nařízení, a je-li to nezbytné pro účely stanovení priority podle tohoto článku, veškeré žádosti, které obdržela od uživatelů uvedených v čl. 14 odst. 3 písm. a) nebo b) tohoto nařízení. Povinnostmi uvedenými v tomto odstavci není dotčen článek 14 nařízení (EU) 2019/881.

11.

V případě uživatelů uvedených v čl. 14 odst. 3 písm. a) a b) podává veřejný zadavatel skupině pro spolupráci NIS pravidelně, nejméně však dvakrát ročně zprávy o využívání podpory a jejích výsledcích.

12.

V případě uživatelů uvedených v čl. 14 odst. 3 písm. c) podává Komise Radě a vysokému představiteli pravidelně, nejméně však dvakrát ročně zprávy o využívání podpory a jejích výsledcích.

Článek 17

Důvěryhodní poskytovatelé řízených bezpečnostních služeb

Při zadávacích řízeních za účelem zřízení rezervy EU pro kybernetickou bezpečnost postupuje veřejný zadavatel v souladu se zásadami stanovenými v nařízení (EU, Euratom) 2024/2509 a v souladu s těmito zásadami:

zajistit, aby služby zahrnuté do rezervy EU pro kybernetickou bezpečnost byly jako celek takové, aby rezerva EU pro kybernetickou bezpečnost zahrnovala služby, které mohou být využívány ve všech členských státech, zejména s ohledem na vnitrostátní požadavky na poskytování takových služeb, včetně požadavků na jazyky, certifikaci nebo akreditaci,

zajistit ochranu základních bezpečnostních zájmů Unie a jejích členských států,

zajistit, aby rezerva EU pro kybernetickou bezpečnost přinášela Unii přidanou hodnotu tím, že přispěje k dosažení cílů stanovených v článku 3 nařízení (EU) 2021/694, včetně podpory rozvoje dovedností v oblasti kybernetické bezpečnosti v Unii.

Při zadávání zakázek na služby pro rezervu EU pro kybernetickou bezpečnost uvede veřejný zadavatel v zadávací dokumentaci tato kritéria a požadavky:

poskytovatel prokáže, že jeho zaměstnanci mají nejvyšší stupeň profesní bezúhonnosti, nezávislosti, zodpovědnosti a požadované technické způsobilosti k výkonu činnosti v jejich konkrétním oboru a zajistí trvalost a kontinuitu odborných znalostí i potřebných technických zdrojů;

poskytovatel a veškeré příslušné dceřiné společnosti a subdodavatelé dodržují příslušná pravidla na ochranu utajovaných informací a mají zavedena vhodná opatření, včetně případných vzájemných dohod, na ochranu důvěrných informací týkajících se služby, a zejména důkazů, zjištění a zpráv;

poskytovatel předloží dostatečný důkaz o tom, že jeho řídicí struktura je transparentní a neohrozí jeho nestrannost a kvalitu jeho služeb ani nezpůsobí střet zájmů;

poskytovatel má odpovídající bezpečnostní prověrku, alespoň v případě pracovníků určených k nasazení v rámci dané služby, pokud to vyžaduje členský stát;

poskytovatel má odpovídající úroveň zabezpečení svých IT systémů;

poskytovatel je vybaven hardwarem a softwarem nezbytným pro podporu požadované služby, které neobsahují známé zneužitelné zranitelnosti, zahrnují nejnovější bezpečnostní aktualizace a v každém případě splňují veškerá použitelná ustanovení nařízení Evropského parlamentu a Rady (EU) 2024/2847 ( 2 );

poskytovatel je schopen prokázat, že má zkušenosti s poskytováním podobných služeb příslušným vnitrostátním orgánům, subjektům působícím ve vysoce kritických odvětvích nebo subjektům působícím v dalších kritických odvětvích;

poskytovatel je schopen poskytnout službu v krátkém časovém rámci v členských státech, v nichž může službu poskytovat;

poskytovatel je schopen poskytnout službu v jednom nebo ve více úředních jazycích orgánů Unie nebo v jazyce členského státu, pokud to členské státy, v nichž může poskytovatel službu poskytovat, nebo uživatelé uvedení v čl. 14 odst. 3 písm. b) a c) vyžadují;

jakmile budou zavedena evropská schémata certifikace kybernetické bezpečnosti pro řízené bezpečnostní služby podle nařízení (EU) 2019/881, bude poskytovatel certifikován v souladu s těmito schématy do dvou let ode dne začátku uplatňování těchto schémat;

poskytovatel musí do nabídky zahrnout pro jakékoliv nevyužité služby určené k reakci na incidenty, které by mohly být přeměněny na služby připravenosti úzce související s reakcí na incidenty, jako jsou cvičení nebo školení, podmínky takové přeměny.

Pro účely zadávání zakázek na služby pro rezervu EU pro kybernetickou bezpečnost může veřejný zadavatel v úzké spolupráci s členskými státy případně vypracovat kritéria a požadavky nad rámec kritérií uvedených v odstavci 2.

Článek 18

Akce na podporu vzájemné pomoci

Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti podporuje technickou pomoc poskytovanou jedním členským státem jinému členskému státu, který je zasažen významným kybernetickým bezpečnostním incidentem nebo rozsáhlým kybernetickým bezpečnostním incidentem, a to i v případech uvedených v čl. 11 odst. 3 písm. f) směrnice (EU) 2022/2555.

Podpora vzájemné technické pomoci uvedená v odstavci 1 tohoto článku se poskytuje ve formě grantů za podmínek stanovených v příslušných pracovních programech uvedených v článku 24 nařízení (EU) 2021/694.

Článek 19

Podpora pro třetí země přidružené k programu Digitální Evropa

Třetí země přidružená k programu Digitální Evropa může požádat o podporu z rezervy EU pro kybernetickou bezpečnost, pokud je v dohodě, jejímž prostřednictvím je k programu Digitální Evropa přidružena, stanovena účast v této rezervě. Tato dohoda obsahuje ustanovení, která vyžadují, aby dotčená třetí země přidružená k programu Digitální Evropa plnila povinnosti stanovené v odstavcích 2 a 9 tohoto článku. Pro účely účasti třetí země v rezervě EU pro kybernetickou bezpečnost může částečné přidružení třetí země k programu Digitální Evropa zahrnovat přidružení, jež se omezuje na operační cíl uvedený v čl. 6 odst. 1 písm. g) nařízení (EU) 2021/694.

Do tří měsíců od uzavření dohody uvedené v odstavci 1 a v každém případě před získáním jakékoli podpory z rezervy EU pro kybernetickou bezpečnost poskytne třetí země přidružená k programu Digitální Evropa Komisi informace o svých schopnostech v oblasti kybernetické odolnosti a řízení rizik, alespoň včetně informací o vnitrostátních opatřeních přijatých za účelem přípravy na významné kybernetické bezpečnostní incidenty nebo incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům, jakož i informací o odpovědných vnitrostátních subjektech, včetně týmů pro reakce na počítačové bezpečnostní incidenty nebo obdobných subjektů, jejich schopnostech a zdrojích, které jim byly přiděleny. Třetí země přidružená k programu Digitální Evropa tyto informace pravidelně, nejméně však jednou ročně aktualizuje. K usnadnění uplatňování odstavce 11 poskytne Komise tyto informace vysokému představiteli a agentuře ENISA.

Komise pravidelně, nejméně však jednou ročně posuzuje v případě každé třetí země přidružené k programu Digitální Evropa uvedené v odstavci 1 tato kritéria:

zda tato země dodržuje podmínky dohody uvedené v odstavci 1, pokud se týkají účasti v rezervě EU pro kybernetickou bezpečnost,

zda tato země přijala odpovídající kroky k přípravě na významné kybernetické bezpečnostní incidenty nebo incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům na základě informací uvedených v odstavci 2 a

zda je poskytování podpory v souladu s politikou Unie vůči této zemi a s celkovými vztahy Unie s touto zemí a zda je v souladu s ostatními politickými opatřeními Unie v oblasti bezpečnosti.

Komise při provádění posouzení podle prvního pododstavce konzultuje plnění kritéria uvedeného v písmenu c) uvedeného pododstavce s vysokým představitelem.

Pokud Komise dospěje k závěru, že třetí země přidružená k programu Digitální Evropa splňuje všechny podmínky uvedené v prvním pododstavci, předloží Radě návrh na přijetí prováděcího aktu v souladu s odstavcem 4, kterým se povolí poskytnutí podpory z rezervy EU pro kybernetickou bezpečnost této zemi.

Rada může přijmout prováděcí akty uvedené v odstavci 3. Tyto prováděcí akty se použijí nejvýše po dobu jednoho roku. Jejich platnost lze prodloužit. Mohou obsahovat limit stanovující počet dnů, po které je možné podporu na základě jediné žádosti poskytovat, přičemž tento limit nesmí být kratší než 75 dnů.

Pro účely tohoto článku Rada jedná urychleně a zpravidla přijme prováděcí akty uvedené v tomto odstavci do osmi týdnů od přijetí příslušného návrhu Komise podle odstavce 3 třetího pododstavce.

Na návrh Komise může Rada prováděcí akt přijatý podle odstavce 4 kdykoli změnit nebo zrušit.

Pokud se Rada domnívá, že došlo k významné změně ve věci kritéria uvedeného v odst. 3 prvním pododstavci písm. c), může na základě řádně odůvodněného podnětu jednoho nebo více členských států prováděcí akt uvedený v odstavci 4 změnit nebo zrušit.

Při výkonu svých prováděcích pravomocí podle tohoto článku použije Rada kritéria uvedená v odstavci 3 prvním pododstavci a vysvětlí své posouzení uvedených kritérií. Pokud Rada jedná z vlastního podnětu podle odst. 5 druhého pododstavce, vysvětlí zejména významnou změnu uvedenou v uvedeném pododstavci.

Podpora třetí země přidružené k programu Digitální Evropa z rezervy EU pro kybernetickou bezpečnost musí splňovat veškeré zvláštní podmínky stanovené v dohodě uvedené v odstavci 1.

K uživatelům z třetích zemí přidružených k programu Digitální Evropa, kteří jsou způsobilí získat služby z rezervy EU pro kybernetickou bezpečnost, patří příslušné orgány, jako jsou týmy pro reakce na počítačové bezpečnostní incidenty nebo obdobné subjekty a orgány pro řešení kybernetických krizí.

Každá třetí země přidružená k programu Digitální Evropa, která je způsobilá k podpoře z rezervy EU pro kybernetickou bezpečnost, určí orgán, který bude pro účely tohoto nařízení působit jako jednotné kontaktní místo.

10.

Žádosti o podporu z rezervy EU pro kybernetickou bezpečnost podle tohoto článku posuzuje Komise. Veřejný zadavatel může poskytnout podporu třetí zemi pouze tehdy, pokud a dokud je v platnosti prováděcí akt Rady přijatý podle odstavce 4 tohoto článku, který takovou podporu ve vztahu k této zemi povoluje. Odpověď se předá uživatelům uvedeným v čl. 14 odst. 3 písm. c) bez zbytečného odkladu.

11.

Po obdržení žádosti o podporu podle tohoto článku o tom Komise neprodleně informuje Radu. Komise Radu průběžně informuje o posuzování žádosti. Komise na obdržených žádostech a na poskytování podpory z rezervy EU pro kybernetickou bezpečnost třetím zemím přidruženým k programu Digitální Evropa spolupracuje rovněž s vysokým představitelem. Dále Komise zohlední také veškerá stanoviska, která k těmto žádostem poskytla agentura ENISA.

Článek 20

Koordinace s mechanismy Unie pro řešení krizí

Pokud významný kybernetický bezpečnostní incident, rozsáhlý kybernetický bezpečnostní incident nebo incident obdobný rozsáhlému kybernetickému bezpečnostnímu incidentu vznikl v důsledku katastrofy ve smyslu čl. 4 bodu 1 rozhodnutí č. 1313/2013/EU nebo má za následek katastrofu v tomto smyslu, doplňuje podpora pro reakci na tento incident poskytovaná podle tohoto nařízení akce podle uvedeného rozhodnutí a není jím dotčena.

V případě rozsáhlého kybernetického bezpečnostního incidentu nebo incidentu obdobného rozsáhlému kybernetickému bezpečnostnímu incidentu, kdy jsou aktivována opatření pro integrovanou politickou reakci EU na krize podle prováděcího rozhodnutí (EU) 2018/1993 (dále jen „opatření IPCR“), se podpora pro reakci na tento incident poskytovaná podle tohoto nařízení řídí příslušnými postupy v souladu s opatřeními IPCR.

KAPITOLA IV

EVROPSKÝ MECHANISMUS PŘEZKUMU KYBERNETICKÝCH BEZPEČNOSTNÍCH INCIDENTŮ

Článek 21

Evropský mechanismus přezkumu kybernetických bezpečnostních incidentů

Na žádost Komise nebo sítě EU-CyCLONe agentura ENISA s podporou sítě CSIRT a se souhlasem dotčených členských států přezkoumá a posoudí kybernetické hrozby, známé zneužitelné zranitelnosti a opatření ke zmírnění dopadů v souvislosti s konkrétním významným kybernetickým bezpečnostním incidentem nebo rozsáhlým kybernetickým bezpečnostním incidentem. Po dokončení přezkumu a posouzení incidentu předá agentura ENISA síti EU-CyCLONe, síti CSIRT, dotčeným členským státům a Komisi zprávu o přezkumu incidentu s cílem vyvodit poučení, a zabránit tak budoucím incidentům nebo je zmírnit, aby je podpořila při plnění jejich úkolů, zejména s ohledem na úkoly stanovené v článcích 15 a 16 směrnice (EU) 2022/2555. Má-li incident dopad na třetí zemi přidruženou k programu Digitální Evropa, poskytne agentura ENISA tuto zprávu Radě. V takových případech Komise poskytne dotčenou zprávu vysokému představiteli.

Při přípravě zprávy o přezkumu incidentu podle odstavce 1 tohoto článku spolupracuje agentura ENISA se všemi příslušnými zúčastněnými stranami, včetně zástupců členských států, Komise, dalších příslušných orgánů, institucí a jiných subjektů Unie, průmyslu, včetně poskytovatelů řízených bezpečnostních služeb a uživatelů služeb kybernetické bezpečnosti, a získává od nich zpětnou vazbu. Ve vhodných případech agentura ENISA ve spolupráci s týmy CSIRT a případně s příslušnými orgány určenými nebo zřízenými podle čl. 8 odst. 1 směrnice (EU) 2022/2555 spolupracuje také se subjekty zasaženými významnými kybernetickými bezpečnostními incidenty nebo rozsáhlými kybernetickými bezpečnostními incidenty. Konzultovaní zástupci oznámí jakýkoli případný střet zájmů.

Zpráva o přezkumu incidentu podle odstavce 1 tohoto článku zahrnuje přezkum a analýzu konkrétního významného kybernetického bezpečnostního incidentu nebo rozsáhlého kybernetického bezpečnostního incidentu, včetně hlavních příčin, známých zneužitelných zranitelností a vyvozených poučení. Agentura ENISA zajistí, aby byla zpráva v souladu s právem Unie nebo vnitrostátním právem týkajícím se ochrany citlivých či utajovaných informací. Pokud o to příslušné členské státy nebo jiní uživatelé uvedení v čl. 14 odst. 3, jež byli zasaženi incidentem, požádají, údaje a informace obsažené ve zprávě se anonymizují. Nesmí obsahovat žádné podrobnosti o aktivně zneužívaných zranitelnostech, které zůstávají neopravené.

Dle potřeby se ve zprávě o přezkumu incidentu uvedou doporučení ke zlepšení pozice Unie v oblasti kybernetické bezpečnosti a mohou v ní být uvedeny osvědčené postupy a poučení získané od příslušných zúčastněných stran.

Agentura ENISA může vydat veřejně přístupnou verzi zprávy o přezkumu incidentu. Tato verze zprávy obsahuje výhradně spolehlivé veřejné informace, nebo i další spolehlivé informace, pokud s tím souhlasily dotčené členské státy, a pokud jde o informace týkající se uživatele podle čl. 14 odst. 3 písm. b) nebo c), pokud s tím souhlasil tento uživatel.

KAPITOLA V

ZÁVĚREČNÁ USTANOVENÍ

Článek 22

Změny nařízení (EU) 2021/694

Nařízení (EU) 2021/694 se mění takto:

Článek 6 se mění takto:

odstavec 1 se mění takto:

vkládá se nové písmeno, které zní:

„aa)

podporovat rozvoj Evropského systému varování v oblasti kybernetické bezpečnosti, zřízeného článkem 3 nařízení Evropského parlamentu a Rady (EU) 2025/38 ( *1 )(dále jen ‚Evropský systém varování v oblasti kybernetické bezpečnosti‘), včetně vývoje, zavádění a provozu národních kybernetických center a přeshraničních kybernetických center, která přispívají k povědomí o situaci v Unii a k posílení kapacit Unie v oblasti získávání poznatků o kybernetických hrozbách (tzv. cyber threat intelligence);

ii)

doplňuje se nové písmeno, které zní:

„g)

zřídit a provozovat mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti, zřízený článkem 10 nařízení Evropského parlamentu a Rady (EU) 2025/38, včetně rezervy EU pro kybernetickou bezpečnost, zřízené článkem 14 uvedeného nařízení (dále jen ‚rezerva EU pro kybernetickou bezpečnost‘), na podporu členských států při přípravě na významné kybernetické bezpečnostní incidenty a rozsáhlé kybernetické bezpečnostní incidenty a při reakci na ně, který doplní vnitrostátní zdroje a schopnosti a další formy podpory dostupné na úrovni Unie, a na podporu dalších uživatelů při reakci na významné kybernetické bezpečnostní incidenty a incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům;“

odstavec 2 se nahrazuje tímto:

„2.

Akce v rámci specifického cíle č. 3 jsou prováděny především prostřednictvím Evropského průmyslového, technologického a výzkumného centra kompetencí pro kybernetickou bezpečnost a sítě národních koordinačních center v souladu s nařízením Evropského parlamentu a Rady (EU) 2021/887 ( *2 ). Rezervu EU pro kybernetickou bezpečnost však provádí Komise a v souladu s čl. 14 odst. 6 nařízení (EU) 2025/38 agentura ENISA.

Článek 9 se mění takto:

v odstavci 2 se písmena b), c) a d) nahrazují tímto:

„b)

1 760 806 000 EUR pro specifický cíl č. 2 Umělá inteligence,

1 372 020 000 EUR pro specifický cíl č. 3 Kybernetická bezpečnost a důvěra,

482 640 000 EUR pro specifický cíl č. 4 Pokročilé digitální dovednosti,“

;

doplňuje se nový odstavec, který zní:

„8.

Odchylně od čl. 12 odst. 1 finančního nařízení se nevyužité prostředky na závazky a platby na akce související s prováděním rezervy EU pro kybernetickou bezpečnost a na akce na podporu vzájemné pomoci podle nařízení (EU) 2025/38, která sledují cíle stanovené v čl. 6 odst. 1 písm. g) tohoto nařízení, automaticky přenášejí a mohou být přiděleny a vyplaceny do 31. prosince následujícího rozpočtového roku. O prostředcích přenesených podle čl. 12 odst. 6 finančního nařízení jsou informovány Evropský parlament a Rada.“

Článek 12 se mění takto:

vkládají se nové odstavce, které znějí:

„5a.

Jedná-li se o právní subjekty usazené v Unii, ale řízené ze třetích zemí, nepoužije se odstavec 5 na žádné opatření zavádějící Evropský systém varování v oblasti kybernetické bezpečnosti, pokud jsou v souvislosti s dotčeným opatřením splněny obě tyto podmínky:

s přihlédnutím k výsledkům mapování provedeného podle čl. 9 odst. 4 nařízení (EU) 2025/38 existuje skutečné riziko, že od právních subjektů usazených nebo považovaných za usazené v členských státech a řízených členskými státy nebo státními příslušníky členských států nebudou k dispozici nástroje, infrastruktura nebo služby nezbytné a postačující k tomu, aby toto opatření odpovídajícím způsobem přispělo k cíli Evropského systému varování v oblasti kybernetické bezpečnosti;

bezpečnostní riziko zadávání zakázek v rámci Evropského systému varování v oblasti kybernetické bezpečnosti těmto právním subjektům je úměrné přínosům a nepodkopává základní bezpečnostní zájmy Unie a jejích členských států.

5b.

Jedná-li se o právní subjekty usazené v Unii, ale řízené ze třetích zemí, nepoužije se odstavec 5 na žádné opatření provádějící rezervu EU pro kybernetickou bezpečnost, pokud jsou v souvislosti s dotčeným opatřením splněny obě tyto podmínky:

s přihlédnutím k výsledkům mapování provedeného podle čl. 14 odst. 6 nařízení (EU) 2025/38 existuje skutečné riziko, že od právních subjektů usazených nebo považovaných za usazené v členských státech a řízených členskými státy nebo státními příslušníky členských států nebudou k dispozici technologie, odborné znalosti nebo kapacita nezbytné a postačující k tomu, aby rezerva EU pro kybernetickou bezpečnost odpovídajícím způsobem plnila své funkce;

bezpečnostní riziko začlenění těchto právních subjektů do rezervy EU pro kybernetickou bezpečnost je úměrné přínosům a nepodkopává základní bezpečnostní zájmy Unie a jejích členských států.“

;

odstavec 6 se nahrazuje tímto:

„6.

Pracovní program může rovněž stanovit, že právní subjekty usazené v přidružených zemích a právní subjekty usazené v Unii, ale řízené ze třetích zemí mohou být z řádně odůvodněných bezpečnostních důvodů způsobilé k účasti na všech nebo některých akcích v rámci specifických cílů č. 1 a 2 pouze tehdy, pokud splňují požadavky, které jsou na tyto právní subjekty kladeny s cílem zaručit ochranu základních bezpečnostních zájmů Unie a členských států a zajistit ochranu utajovaných informací. Uvedené požadavky musí být stanoveny v pracovním programu.

Jedná-li se o právní subjekty usazené v Unii, ale řízené ze třetích zemí, použije se první pododstavec rovněž na akce v rámci specifického cíle č. 3:

za účelem zavedení Evropského systému varování v oblasti kybernetické bezpečnosti, pokud se použije odst. 5a, a

za účelem provádění rezervy EU pro kybernetickou bezpečnost, pokud se použije odst. 5b.“

V článku 14 se odstavec 2 nahrazuje tímto:

„2.

Program může poskytovat financování kteroukoli z forem stanovených ve finančním nařízení, včetně zejména zadávání veřejných zakázek jako základní formy, jakož i grantů a cen.

Pokud dosažení cíle akce vyžaduje zadávání zakázek na inovační zboží a služby, mohou být granty uděleny pouze příjemcům, kteří jsou veřejnými zadavateli nebo zadavateli, jak jsou vymezeni ve směrnicích Evropského parlamentu a Rady 2014/24/EU ( *3 ) a 2014/25/EU ( *4 ).

Pokud je pro dosažení cílů akce nezbytné dodání inovačního zboží nebo služeb, které dosud nejsou ve velkém rozsahu dostupné na trhu, veřejní zadavatelé a zadavatelé mohou schválit zadání několika zakázek v rámci jednoho zadávacího řízení.

V řádně odůvodněných případech týkajících se veřejné bezpečnosti může veřejný zadavatel nebo zadavatel vyžadovat, aby se místo plnění smlouvy nacházelo na území Unie.

Při provádění zadávacích řízení na rezervu EU pro kybernetickou bezpečnost mohou Komise a agentura ENISA jednat jako centrální zadavatel a zadávat zakázky v zastoupení nebo jménem třetích zemí přidružených k programu v souladu s článkem 10 tohoto nařízení. Komise a agentura ENISA mohou rovněž působit jako velkoobchodníci a nakupovat, skladovat a dále prodávat nebo darovat dodávky a služby těmto třetím zemím, včetně pronájmu. Odchylně od čl. 168 odst. 3 nařízení Evropského parlamentu a Rady (EU, Euratom)2024/2509 ( *5 ) postačuje k pověření Komise nebo agentury ENISA jednáním žádost jediné třetí země.

Při provádění zadávacích řízení na rezervu EU pro kybernetickou bezpečnost mohou Komise a agentura ENISA jednat jako centrální zadavatel a zadávat zakázky v zastoupení nebo jménem orgánů, institucí nebo jiných subjektů Unie. Komise a agentura ENISA mohou rovněž působit jako velkoobchodníci a nakupovat, skladovat, dále prodávat nebo darovat dodávky a služby orgánům, institucím nebo jiným subjektům Unie, včetně pronájmu. Odchylně od čl. 168 odst. 3 nařízení (EU, Euratom) 2024/2059 postačuje k pověření Komise nebo agentury ENISA jednáním žádost jediného orgánu, instituce nebo jiného subjektu Unie.

Program může také poskytovat financování formou finančních nástrojů v rámci operací kombinování zdrojů.

Vkládá se nový článek, který zní:

„Článek 16a

Rozpory mezi pravidly

V případě akcí, kterými se zavádí Evropský systém varování v oblasti kybernetické bezpečnosti, se použijí pravidla stanovená v článcích 4, 5 a 9 nařízení (EU) 2025/38. V případě rozporu mezi ustanoveními tohoto nařízení a články 4, 5 a 9 nařízení (EU) 2025/38 jsou pro tyto konkrétní akce rozhodné články 4 a 5 uvedeného nařízení, které se použijí.

V případě rezervy EU pro kybernetickou bezpečnost jsou zvláštní pravidla pro účast třetích zemí přidružených k programu stanovena v článku 19 nařízení (EU) 2025/38. V případě rozporu mezi ustanoveními tohoto nařízení a článkem 19 nařízení (EU) 2025/38 se na tyto konkrétní akce použije článek 19 uvedeného nařízení.“

Článek 19 se nahrazuje tímto:

„Článek 19

Granty

Granty v rámci programu se udělují a spravují v souladu s hlavou VIII finančního nařízení a mohou pokrývat až 100 % způsobilých nákladů, aniž je dotčena zásada spolufinancování stanovená v článku 190 finančního nařízení. Tyto granty se udělují a spravují, jak je stanoveno pro každý specifický cíl.

Podporu v podobě grantů může v souladu s čl. 195 odst. 1 písm. d) finančního nařízení udělovat členským státům vybraným podle článku 9 nařízení (EU) 2025/38 a hostitelskému konsorciu uvedenému v článku 5 nařízení (EU) 2025/38 přímo centrum ECCC bez výzvy k podávání návrhů.

Podporu v podobě grantů pro mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti může v souladu s čl. 195 odst. 1 písm. d) finančního nařízení udělovat členským státům přímo centrum ECCC bez výzvy k podávání návrhů.

U akcí na podporu vzájemné pomoci uvedených v článku 18 nařízení (EU) 2025/38 informuje centrum ECCC Komisi a agenturu ENISA o žádostech členských států o přímé granty bez výzvy k podávání návrhů.

U akcí na podporu vzájemné pomoci uvedené v článku 18 nařízení (EU) 2025/38 a v souladu s čl. 193 odst. 2 druhým pododstavcem písm. a) finančního nařízení lze v řádně odůvodněných případech považovat náklady za způsobilé i tehdy, pokud vznikly před podáním žádosti o grant.“

Přílohy I a II se mění v souladu s přílohou tohoto nařízení.

Článek 23

Výkon přenesené pravomoci

Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 12 odst. 7 je svěřena Komisi na dobu pěti let od 5. února 2025. Komise vypracuje zprávu o přenesené pravomoci nejpozději devět měsíců před koncem tohoto pětiletého období. Přenesení pravomoci se automaticky prodlužuje o stejně dlouhá období, pokud Evropský parlament ani Rada nevysloví proti tomuto prodloužení námitku nejpozději tři měsíce před koncem každého z těchto období.

Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 14 odst. 7 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

Před přijetím aktu v přenesené pravomoci Komise vede konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.

Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

Akt v přenesené pravomoci přijatý podle čl. 14 odst. 7 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament ani Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitku nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

Článek 24

Postup projednávání ve výborech

Komisi je nápomocen koordinační výbor programu Digitální Evropa uvedený v čl. 31 odst. 1 nařízení (EU) 2021/694. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

Článek 25

Hodnocení a přezkum

Do 5. února 2027 a poté alespoň každé čtyři roky provede Komise hodnocení fungování opatření stanovených v tomto nařízení a předloží zprávu Evropskému parlamentu a Radě.

V rámci hodnocení uvedeného v odstavci 1 posoudí zejména:

počet zřízených národních kybernetických center a přeshraničních kybernetických center, rozsah sdílených informací, pokud možno včetně dopadu na činnost sítě CSIRT, a do jaké míry přispěla tato centra k posílení společného odhalování kybernetických hrozeb a incidentů v Unii a situačního povědomí o nich a k rozvoji nejmodernějších technologií; využívání financování programu Digitální Evropa na nástroje, infrastrukturu nebo služby v oblasti kybernetické bezpečnosti, které byly společně pořízeny, a pokud jsou k dispozici příslušné informace, úroveň spolupráce mezi národními kybernetickými centry a odvětvovými a meziodvětvovými komunitami základních a důležitých subjektů podle článku 3 směrnice (EU) 2022/2555;

využívání a účinnost akcí v rámci mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti na podporu připravenosti, včetně školení, reakce na významné kybernetické bezpečnostní incidenty, rozsáhlé kybernetické bezpečnostní incidenty a na incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům a počáteční obnovy, včetně využití financování programu Digitální Evropa a poučení a doporučení získaných při uplatňování mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti;

využívání a účinnost rezervy EU pro kybernetickou bezpečnost ve vztahu k druhu uživatelů, včetně využívání financování programu Digitální Evropa, využívání služeb, včetně jejich druhu, průměrné doby potřebné k reakci na žádosti a k využití rezervy EU pro kybernetickou bezpečnost, procentního podílu služeb přeměněných na služby připravenosti související s předcházením incidentům a reakcí na ně a poučení a doporučení získaných při provádění rezervy EU pro kybernetickou bezpečnost;

příspěvek tohoto nařízení k posílení konkurenčního postavení průmyslu a služeb v Unii v celé digitální ekonomice, včetně mikropodniků, malých a středních podniků a začínajících podniků, a příspěvek k dosažení celkového cíle, jímž je posílit dovednosti a kapacity pracovníků týkající se kybernetické bezpečnosti.

Komise na základě zpráv uvedených v odstavci 1 případně předloží Evropskému parlamentu a Radě legislativní návrh na změnu tohoto nařízení.

Článek 26

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

PŘÍLOHA

Přílohy nařízení (EU) 2021/694 se mění takto:

V příloze I se oddíl „Specifický cíl č. 3 – Kybernetická bezpečnost a důvěra“ nahrazuje tímto:

„Specifický cíl č. 3 – Kybernetická bezpečnost a důvěra

Program podpoří posilování, budování a pořizování základní kapacity potřebné k zabezpečení digitálního hospodářství, společnosti a demokracie v Unii tím, že bude zvyšovat průmyslový potenciál a konkurenceschopnost Unie v oblasti kybernetické bezpečnosti a prohlubovat schopnost soukromého i veřejného sektoru chránit občany a podniky před kybernetickými hrozbami, mimo jiné podporou uplatňování směrnice (EU) 2016/1148.

Počáteční a případné následné akce v rámci tohoto cíle zahrnují:

společné investování spolu s členskými státy do vyspělého zařízení, infrastruktury a know-how v oblasti kybernetické bezpečnosti, jež mají zásadní význam pro ochranu klíčové infrastruktury a jednotného digitálního trhu jako takového. Toto společné investování by mohlo zahrnovat investice do kvantových zařízení a datových zdrojů pro kybernetickou bezpečnost, povědomí o situaci v kyberprostoru, včetně národních kybernetických center a přeshraničních kybernetických center tvořících Evropský systém varování v oblasti kybernetické bezpečnosti, jakož i dalších nástrojů, které budou zpřístupněny veřejnému i soukromému sektoru v celé Evropě;

rozšiřování stávajících technologických kapacit a propojování odborných středisek v členských státech a zajištění toho, aby tyto kapacity odpovídaly potřebám veřejného sektoru a výrobního odvětví, a to i u produktů a služeb, jež upevňují kybernetickou bezpečnost a důvěru v rámci jednotného digitálního trhu;

široké zavádění účinných nejmodernějších řešení v oblasti kybernetické bezpečnosti a důvěry ve všech členských státech. Toto zavádění zahrnuje posílení bezpečnosti produktů již od fáze jejich návrhu až po jejich uvedení na trh,

podporu odstraňování nedostatků v dovednostech v oblasti kybernetické bezpečnosti s přihlédnutím k vyváženému genderovému zastoupení, např. slaďováním vzdělávacích programů v oblasti kybernetické bezpečnosti, jejich přizpůsobováním potřebám konkrétních odvětví a usnadňováním přístupu ke specializovaným školením,

podporu solidarity mezi členskými státy při přípravě na významné kybernetické bezpečnostní incidenty a rozsáhlé kybernetické bezpečnostní incidenty a reakci na ně prostřednictvím přeshraničního zavádění služeb kybernetické bezpečnosti, včetně podpory vzájemné pomoci mezi orgány veřejné moci a vytvoření rezervy důvěryhodných poskytovatelů řízených bezpečnostních služeb na úrovni Unie.“

V příloze II se oddíl „Specifický cíl č. 3 – Kybernetická bezpečnost a důvěra“ nahrazuje tímto:

„Specifický cíl č. 3 – Kybernetická bezpečnost a důvěra

3.1. Počet infrastruktur nebo nástrojů kybernetické bezpečnosti pořízených v rámci společné veřejné zakázky, a to i v souvislosti s Evropským systémem varování v oblasti kybernetické bezpečnosti

3.2. Počet uživatelů a uživatelských skupin s přístupem k evropským zařízením kybernetické bezpečnosti

3.3 Počet akcí na podporu připravenosti a reakce na kybernetické bezpečnostní incidenty v rámci mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti“.

▼C1

K tomuto aktu bylo učiněno prohlášení, které lze nalézt v Úř. věst. C, C/2025/310, 15.1.2025, ELI: http://data.europa.eu/eli/C/2025/310/oj.

( ) Nařízení Evropského parlamentu a Rady (EU, Euratom) 2023/2841 ze dne 13. prosince 2023, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie (Úř. věst. L, 2023/2841, 18.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2841/oj).

( ) Nařízení Evropského parlamentu a Rady (EU) 2024/2847 ze dne 23. října 2024 o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) č. 168/2013 a (EU) 2019/1020 a směrnice (EU) 2020/1828 (akt o kybernetické odolnosti) (Úř. věst. L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

( *1 ) Nařízení Evropského parlamentu a Rady (EU) 2025/38 ze dne 19. prosince 2024, kterým se stanovují opatření k posílení solidarity a kapacit v Unii pro odhalování kybernetických hrozeb a incidentů a pro připravenost a reakci na ně a mění nařízení (EU) 2021/694 (nařízení o kybernetické solidaritě) (Úř. věst. L, 2025/38, 15.1.2025, ELI: http://data.europa.eu/eli/reg/2025/38/oj).“

( *2 ) Nařízení Evropského parlamentu a Rady (EU) 2021/887 ze dne 20. května 2021, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center (Úř. věst. L 202, 8.6.2021, s. 1).“

( *3 ) Směrnice Evropského parlamentu a Rady 2014/24/EU ze dne 26. února 2014 o zadávání veřejných zakázek a o zrušení směrnice 2004/18/ES (Úř. věst. L 94, 28.3.2014, s. 65).

( *4 ) Směrnice Evropského parlamentu a Rady 2014/25/EU ze dne 26. února 2014 o zadávání zakázek subjekty působícími v odvětví vodního hospodářství, energetiky, dopravy a poštovních služeb a o zrušení směrnice 2004/17/ES (Úř. věst. L 94, 28.3.2014, s. 243).

( *5 ) Nařízení Evropského parlamentu a Rady 2024/2509 (EU, Euratom) 2024/2509 ze dne 23. září 2024, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie (přepracované znění) (Úř. věst. L, 2024/2509, 26.9.2024, ELI: http://data.europa.eu/eli/reg/2024/2509/oj).“

Zavřít

Vyhledání konkrétního předpisu

Fulltextové vyhledávání