(EU) 2025/38Nařízení Evropského parlamentu a Rady (EU) 2025/38 ze dne 19. prosince 2024, kterým se stanovují opatření k posílení solidarity a kapacit v Unii pro odhalování kybernetických hrozeb a incidentů a pro připravenost a reakci na ně a mění nařízení (EU) 2021/694 (nařízení o kybernetické solidaritě)

(1)

S ohledem na stále větší propojenost a vzájemnou závislost veřejné správy, podniků a občanů členských států napříč odvětvími a hranicemi se používání informačních a komunikačních technologií a závislost na nich staly základním aspektem ve všech odvětvích hospodářské činnosti a ve společnosti, což zároveň přináší možné zranitelnosti.

(2)

Rozsah, četnost a dopad kybernetických bezpečnostních incidentů, včetně útoků na dodavatelský řetězec, jejichž cílem je kybernetická špionáž, ransomware nebo narušení, se zvyšuje v celé Unii i na světové úrovni. Tyto incidenty představují zásadní hrozbu pro fungování síťových a informačních systémů. Vzhledem k rychle se vyvíjejícímu prostředí hrozeb vyžaduje hrozba možných rozsáhlých kybernetických bezpečnostních incidentů, které mohou vést k významnému narušení či poškození kritické infrastruktury, větší připravenost unijního rámce kybernetické bezpečnosti. Tato hrozba přesahuje rámec útočné války Ruska proti Ukrajině a vzhledem k množství subjektů, které se podílejí na stávajícím geopolitickém napětí, bude pravděpodobně trvat i nadále. Tyto incidenty mohou narušit poskytování veřejných služeb, jelikož se kybernetické útoky často zaměřují na místní, regionální nebo celostátní veřejné služby a infrastrukturu, přičemž obzvláště zranitelné jsou místní orgány, mimo jiné z důvodu jejich omezených zdrojů. Mohou narušit i výkon hospodářských činností, a to i ve vysoce kritických odvětvích nebo dalších kritických odvětvích, způsobit značné finanční ztráty, podkopat důvěru uživatelů, způsobit velké škody hospodářství a demokratickým systémům Unie a mohou mít i následky ohrožující zdraví nebo život. Kybernetické bezpečnostní incidenty jsou navíc nepředvídatelné, protože se často objevují a vyvíjejí rychle, nejsou omezeny na žádnou konkrétní zeměpisnou oblast a současně se vyskytují nebo se okamžitě šíří v mnoha zemích. Proto je důležité zajistit úzkou spolupráci mezi veřejným sektorem, soukromým sektorem, akademickou obcí, občanskou společností a sdělovacími prostředky.

(3)

Je nezbytné posílit konkurenceschopnost průmyslu a služeb v Unii v rámci celé digitalizované ekonomiky a podpořit jejich digitální transformaci zvýšením úrovně kybernetické bezpečnosti na jednotném digitálním trhu, jak se doporučuje ve třech různých návrzích konference o budoucnosti Evropy. Je nutné zvýšit odolnost občanů, podniků, včetně mikropodniků, malých a středních podniků a začínajících podniků, a subjektů provozujících kritickou infrastrukturu vůči rostoucím kybernetickým hrozbám, které mohou mít ničivý společenský a hospodářský dopad. Proto je třeba investovat do infrastruktury a služeb a do vytváření schopností pro rozvoj dovedností v oblasti kybernetické bezpečnosti, které by podpořily rychlejší odhalování kybernetických hrozeb a incidentů a rychlejší reakci na ně. Kromě toho potřebují členské státy pomoc, aby se mohly lépe připravit na významné kybernetické bezpečnostní incidenty a rozsáhlé kybernetické bezpečnostní incidenty, reagovat na ně a zajistit počáteční zotavení se z nich. Unie by měla na základě stávajících struktur a v úzké spolupráci s nimi rovněž zvýšit své kapacity v těchto oblastech, zejména pokud jde o shromažďování a analýzu dat o kybernetických hrozbách a incidentech.

(4)

Unie již přijala řadu opatření ke snížení zranitelnosti a zvýšení odolnosti kritické infrastruktury a subjektů vůči rizikům, zejména nařízení Evropského parlamentu a Rady (EU) 2019/881 (5), směrnice Evropského parlamentu a Rady 2013/40/EU (6) a (EU) 2022/2555 (7) a doporučení Komise (EU) 2017/1584 (8). V doporučení Rady ze dne 8. prosince 2022 týkajícím se celounijního koordinovaného přístupu za účelem posílení odolnosti kritické infrastruktury se navíc členské státy vyzývají, aby přijaly opatření a aby spolupracovaly mezi sebou navzájem, s Komisí a dalšími příslušnými orgány veřejné moci, jakož i s dotčenými subjekty s cílem zvýšit odolnost kritické infrastruktury používané k poskytování základních služeb na vnitřním trhu.

(5)

Vzhledem k rostoucím rizikům v oblasti kybernetické bezpečnosti a k celkově složitému prostředí hrozeb s jasným rizikem rychlého rozšíření incidentů z jednoho členského státu do ostatních a ze třetí země do Unie je nutné posílit solidaritu na úrovni Unie, aby bylo možné lépe odhalovat kybernetické hrozby a incidenty, připravovat se na ně, reagovat na ně i se zotavit z jejich následků, zejména rozšířením schopností stávajících struktur. Kromě toho závěry Rady ze dne 23. května 2022 o kybernetické pozici EU vyzvaly Komisi, aby předložila návrh nového fondu pro reakci na mimořádné události v oblasti kybernetické bezpečnosti.

(6)

Ve společném sdělení Komise a vysokého představitele Unie pro zahraniční věci a bezpečnostní politiku Evropskému parlamentu a Radě ze dne 10. listopadu 2022 o politice kybernetické obrany EU byla oznámena iniciativa EU pro kybernetickou solidaritu s cíli posílit společné schopnosti EU v oblasti odhalování, situačního povědomí a reakce podporou zavádění infrastruktury EU v podobě bezpečnostních operačních středisek, podporovat postupné vytváření kybernetické rezervy na úrovni EU se službami důvěryhodných soukromých poskytovatelů a testování kritických subjektů na potenciální zranitelnosti na základě posouzení rizik v EU.

(7)

Je nezbytné zvýšit odhalování kybernetických hrozeb a incidentů a rozšířit situační povědomí o nich v celé Unii a posílit solidaritu tím, že se zvýší připravenost a schopnost členských států a Unie předcházet významným kybernetickým bezpečnostním incidentům a rozsáhlým kybernetickým bezpečnostním incidentům a reagovat na ně. Proto by měla být zřízena celoevropská síť kybernetických center (dále jen „Evropský systém varování v oblasti kybernetické bezpečnosti“) s cílem vybudovat koordinovanou schopnost v oblasti odhalování hrozeb a získávání situačního povědomí, která rozšíří schopnost Unie odhalovat hrozby a sdílet informace; měl by být zřízen mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti, který by podporoval členské státy na jejich žádost při přípravě na významné kybernetické bezpečnostní incidenty a rozsáhlé kybernetické bezpečnostní incidenty, při reakci na ně, zmírňování jejich dopadu a počáteční obnově po nich, a který by podporoval další uživatele při reakci na významné kybernetické bezpečnostní incidenty a incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům; měl by být zřízen evropský mechanismus přezkumu kybernetických bezpečnostních incidentů, který by přezkoumával a posuzoval konkrétní významné kybernetické bezpečnostní incidenty nebo rozsáhlé kybernetické bezpečnostní incidenty. Akce prováděné podle tohoto nařízení by se měla provádět s náležitým ohledem na pravomoci členských států a měla by doplňovat činnost sítě CSIRT, Sítě styčných organizací pro řešení kybernetických krizí (EU-CyCLONe) nebo skupiny pro spolupráci (dále jen „skupina pro spolupráci NIS“,) zřízených podle směrnice (EU) 2022/2555, aniž by docházelo ke zdvojování činnosti. Těmito akcemi nejsou dotčeny články 107 a 108 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“).

(8)

K dosažení těchto cílů je rovněž nezbytné v některých oblastech změnit nařízení Evropského parlamentu a Rady (EU) 2021/694 (9). Tímto nařízením by mělo být změněno nařízení (EU) 2021/694, zejména pokud jde o doplnění nových operačních cílů týkajících se Evropského systému varování v oblasti kybernetické bezpečnosti a mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti v rámci specifického cíle č. 3 programu Digitální Evropa, který má zajistit odolnost, integritu a důvěryhodnost jednotného digitálního trhu, posílit kapacity pro monitorování kybernetických útoků a kybernetických hrozeb a pro reakci na ně a prohloubit přeshraniční spolupráci a upevnit koordinaci v oblasti kybernetické bezpečnosti. Evropský systém varování v oblasti kybernetické bezpečnosti by mohl hrát důležitou úlohu v podpoře členských států při předvídání kybernetických hrozeb a ochraně před nimi, zatímco rezerva EU pro kybernetickou bezpečnost by mohla hrát významnou roli v podpoře členských států, orgánů, institucí a jiných subjektů Unie a třetích zemí přidružených k programu Digitální Evropa při reakci na významné kybernetické bezpečnostní incidenty, rozsáhlé kybernetické bezpečnostní incidenty a incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům a při zmírňování jejich dopadu. Tento dopad by mohl zahrnovat značnou hmotnou či nehmotnou újmu a závažná rizika v oblasti veřejné bezpečnosti a ochrany. S ohledem na konkrétní úlohu, kterou by mohly hrát Evropský systém varování v oblasti kybernetické bezpečnosti a rezerva EU pro kybernetickou bezpečnost, by tímto nařízením mělo být změněno nařízení (EU) 2021/694, pokud jde o účast právních subjektů, které jsou usazeny v Unii, ale jsou řízeny ze třetích zemí, pokud existuje reálné riziko, že v Unii nejsou k dispozici nezbytné a dostatečné nástroje, infrastruktura a služby nebo technologie, odborné znalosti a kapacita, přičemž přínos zapojení těchto subjektů převažuje nad bezpečnostním rizikem. Měly by být stanoveny konkrétní podmínky, za nichž může být na akce zavádějící Evropský systém varování v oblasti kybernetické bezpečnosti a rezervu EU pro kybernetickou bezpečnost poskytnuta finanční podpora, a měly by být vymezeny mechanismy řízení a koordinace nezbytné k dosažení zamýšlených cílů. Další změny nařízení (EU) 2021/694 by měly zahrnovat popis navrhovaných akcí v rámci nových operačních cílů a měřitelné ukazatele, kterými se bude sledovat plnění těchto nových operačních cílů.

(9)

Pro posílení reakce Unie na kybernetické hrozby a incidenty je zásadní spolupráce s mezinárodními institucemi, jakož i s důvěryhodnými a podobně smýšlejícími mezinárodními partnery. V této souvislosti by se důvěryhodnými a podobně smýšlejícími mezinárodními partnery měly rozumět země, které sdílejí zásady, jež byly inspirací pro vznik Unie, totiž demokracie, právní stát, všeobecné platnosti a nedělitelnost lidských práv a základních svobod, úcta k lidské důstojnosti, zásada rovnosti a solidarity a dodržování zásad Charty Organizace spojených národů a mezinárodního práva a které neohrožují základní bezpečnostní zájmy Unie nebo jejích členských států. Tato spolupráce by mohla být přínosná i s ohledem na akce uvedené v tomto nařízení, zejména pokud jde o Evropský systém varování v oblasti kybernetické bezpečnosti a rezervu EU pro kybernetickou bezpečnost. Nařízení (EU) 2021/694by mělo stanovit, že zadávací řízení pro Evropský systém varování v oblasti kybernetické bezpečnosti a rezervu EU pro kybernetickou bezpečnost by měla být za určitých podmínek týkajících se dostupnosti a bezpečnosti otevřena právnickým osobám řízeným ze třetích zemí, s výhradou bezpečnostních požadavků. Při posuzování bezpečnostního rizika spojeného s takovýmto zajištěním přístupu k zadávání veřejných zakázek je důležité zohlednit zásady a hodnoty, které Unie sdílí s podobně smýšlejícími mezinárodními partnery, pokud tyto zásady a hodnoty souvisejí se základními bezpečnostními zájmy Unie. Kromě toho by při zvažování těchto bezpečnostních požadavků podle nařízení (EU) 2021/694 mohlo být zohledněno několik prvků, jako je podniková struktura a rozhodovací proces daného subjektu, bezpečnost dat a utajovaných nebo citlivých informací a zajištění toho, aby výsledky opatření nepodléhaly kontrole nebo omezením ze strany nezpůsobilých třetích zemí.

(10)

Financování akcí podle tohoto nařízení by mělo být stanoveno v nařízení (EU) 2021/694, které by mělo zůstat příslušným základním aktem pro akce zakotvené ve specifickém cíli č. 3 programu Digitální Evropa. Konkrétní podmínky účasti týkající se jednotlivých akcí budou stanoveny v příslušných pracovních programech v souladu s příslušným ustanovením nařízení (EU) 2021/694.

(11)

Na toto nařízení se použijí horizontální finanční pravidla přijatá Evropským parlamentem a Radou na základě článku 322 Smlouvy o fungování EU. Tato pravidla jsou stanovena v nařízení Evropského parlamentu a Rady (EU, Euratom) 2024/2509 (10) a upravují zejména postupy týkající se sestavování a plnění rozpočtu Unie a kontroly odpovědnosti účastníků finančních operací. Pravidla přijatá na základě článku 322 Smlouvy o fungování EU rovněž zahrnují obecný režim podmíněnosti na ochranu rozpočtu Unie, jak je stanoveno v nařízení Evropského parlamentu a Rady (EU, Euratom) 2020/2092 (11).

(12)

Ačkoli opatření v oblasti prevence a připravenosti mají zásadní význam z hlediska posílení odolnosti Unie vůči významným kybernetickým bezpečnostním incidentům, rozsáhlým kybernetickým bezpečnostním incidentům a incidentům obdobným rozsáhlým kybernetickým bezpečnostním incidentům, výskyt, načasování a rozsah těchto incidentů jsou ze své podstaty nepředvídatelné. Finanční zdroje potřebné k zajištění odpovídající reakce se mohou rok od roku značně lišit a měly by být okamžitě k dispozici. Sladění rozpočtové zásady předvídatelnosti s nutností rychle reagovat na nové potřeby tedy vyžaduje úpravu finančního zajištění pracovních programů. Je proto vhodné povolit kromě převádění prostředků schválených podle čl. 12 odst. 4 nařízení (EU, Euratom) 2024/2509 do dalšího roku i převádění nevyužitých prostředků, ale pouze na následující rok a pouze na rezervu EU pro kybernetickou bezpečnost a akce na podporu vzájemné pomoci.

(13)

Aby bylo možné účinněji předcházet kybernetickým hrozbám a incidentům, vyhodnocovat je, reagovat na ně a zotavit se z nich, je nutné získat komplexnější znalosti o hrozbách pro kritická aktiva a infrastrukturu na území Unie, včetně jejich zeměpisného rozložení, vzájemného propojení a možných dopadů v případě kybernetických útoků na tuto infrastrukturu. Proaktivní přístup k identifikaci kybernetických hrozeb, k jejich zmírňování a předcházení těmto hrozbám zahrnuje rozšíření kapacity v oblasti schopností pokročilého odhalování. Evropský systém varování v oblasti kybernetické bezpečnosti by se měl skládat z několika interoperabilních přeshraničních kybernetických center, z nichž každé sdružuje alespoň tři národní kybernetická centra. Tato infrastruktura by měla sloužit zájmům a potřebám členských států a Unie v oblasti kybernetické bezpečnosti a využívat nejmodernější technologie pro pokročilé shromažďování relevantních a případně anonymizovaných dat a informací a analytické nástroje, zlepšovat koordinované schopnosti odhalování a řízení v oblasti kybernetické bezpečnosti a poskytovat situační povědomí v reálném čase. Tato infrastruktura by měla sloužit ke zlepšení pozice v oblasti kybernetické bezpečnosti zvýšením odhalování, agregace a analýzy dat a informací s cílem předcházet kybernetickým hrozbám a incidentům, a tím doplňovat a podporovat subjekty a sítě Unie odpovědné za řešení kybernetických krizí v Unii, zejména síť „EU-CyCLONe“.

(14)

Účast v Evropském systému varování v oblasti kybernetické bezpečnosti je pro členské státy dobrovolná. Každý členský stát by měl na vnitrostátní úrovni určit jeden subjekt, který bude pověřen koordinací činnosti v oblasti odhalování kybernetických hrozeb v daném členském státě. Tato národní kybernetická centra by měla na vnitrostátní úrovni fungovat jako referenční bod a brána pro účast v Evropském systému varování v oblasti kybernetické bezpečnosti a měla by zajistit, aby informace o kybernetických hrozbách od veřejných a soukromých subjektů byly na vnitrostátní úrovni sdíleny a shromažďovány účinně a efektivně. Národní kybernetická centra by mohla prohloubit spolupráci a rozšířit sdílení informací mezi veřejnými a soukromými subjekty a mohla by rovněž podporovat výměnu relevantních dat a informací s příslušnými odvětvovými a meziodvětvovými komunitami, včetně příslušných odvětvových center pro sdílení a analýzu informací (dále jen „centra ISAC“). Z hlediska posílení kybernetické odolnosti Unie má zásadní význam úzká a koordinovaná spolupráce mezi veřejnými a soukromými subjekty. Tato spolupráce je obzvláště cenná v souvislosti se sdílením poznatků o kybernetických hrozbách (tzv. „cyber threat intelligence“) za účelem zlepšení aktivní kybernetické ochrany. V rámci této spolupráce a sdílení informací by si národní kybernetická centra mohla vyžádat a obdržet konkrétní informace. Tímto nařízením není těmto národním centrům uložena povinnost takové žádosti prosazovat ani jím k tomu nejsou zmocněny. Ve vhodných případech a v souladu s právem Unie a členských států by požadované nebo obdržené informace mohly zahrnovat telemetrii, údaje z čidel a údaje o přihlášeních od subjektů, jako jsou poskytovatelé řízených bezpečnostních služeb, které působí ve vysoce kritických odvětvích nebo v dalších kritických odvětvích v daném členském státě, s cílem zlepšit rychlé odhalování potenciálních kybernetických hrozeb a incidentů v dřívější fázi, a zlepšit tak situační povědomí. Pokud národní kybernetické centrum není příslušným orgánem určeným nebo zřízeným příslušným členským státem podle čl. 8 odst. 1 směrnice (EU) 2022/2555, je nezbytné, aby v souvislosti s žádostmi o tyto údaje a s jejich přijímáním koordinovalo svou činnost s tímto příslušným orgánem.

(15)

V rámci Evropského systému varování v oblasti kybernetické bezpečnosti by měla být zřízena řada přeshraničních kybernetických center. Tato přeshraniční kybernetická centra by měla sdružovat národní kybernetická centra alespoň ze tří členských států, aby bylo možné plně využít výhod přeshraničního odhalování hrozeb a sdílení a správy informací. Obecným cílem přeshraničních kybernetických center by mělo být posílení kapacit pro analýzu, prevenci a odhalování kybernetických hrozeb a podpora získávání vysoce kvalitních poznatků o kybernetických hrozbách, zejména prostřednictvím sdílení relevantních a v příslušných případech anonymizovaných informací z různých zdrojů, ať už veřejných nebo soukromých, v rámci důvěryhodného a zabezpečeného prostředí, jakož i prostřednictvím sdílení a společného využívání nejmodernějších nástrojů a společným rozvojem schopností odhalování, analýzy a prevence v důvěryhodném a zabezpečeném prostředí. Přeshraniční kybernetická centra by měla poskytnout nové dodatečné kapacity, které by vycházely ze stávajících bezpečnostních operačních středisek, týmů CSIRT a dalších příslušných subjektů, včetně sítě týmů CSIRT, a doplňovaly je.

(16)

Členský stát vybraný Evropským průmyslovým, technologickým a výzkumným centrem kompetencí pro kybernetickou bezpečnost (dále jen „centrum ECCC“) zřízeným nařízením Evropského parlamentu a Rady (EU) 2021/887 (12) na základě výzvy k vyjádření zájmu o zřízení národního kybernetického centra nebo rozšíření jeho schopností by měl společně s centrem ECCC zakoupit příslušné nástroje, infrastrukturu a služby. Tento členský stát by měl být způsobilý k získání grantu na provoz těchto nástrojů, infrastruktury nebo služeb. Hostitelské konsorcium složené nejméně ze tří členských států, které centrum ECCC vybralo na základě výzvy k vyjádření zájmu o zřízení přeshraničního kybernetického centra nebo rozšíření jeho schopností by mělo zakoupit příslušné nástroje, infrastrukturu nebo služby společně s centrem ECCC. Toto hostitelské konsorcium by mělo být způsobilé k získání grantu na provoz těchto nástrojů, infrastruktury nebo služeb. Zadávací řízení na nákup příslušných nástrojů, infrastruktury nebo služeb by mělo provádět centrum ECCC společně s příslušnými vybranými veřejnými zadavateli z členských států, následně po takových výzvách k vyjádření zájmu. Takové zadávání veřejných zakázek by mělo být v souladu s čl. 168 odst. 2 nařízení (EU, Euratom) 2024/2509 a finančními pravidly centra ECCC. Soukromé subjekty by proto neměly být způsobilé k účasti na výzvách k vyjádření zájmu o nákup nástrojů, infrastruktury nebo služeb společně s centrem ECCC nebo k získání grantů na provoz těchto nástrojů, infrastruktury nebo služeb. Členské státy by však měly mít v souladu s unijním a vnitrostátním právem možnost zapojit soukromé subjekty do zřízení, rozšíření a provozu svého národního kybernetického centra a přeshraničního kybernetického centra jinými způsoby, které považují za vhodné. Soukromé subjekty by rovněž mohly být způsobilé k získání finančních prostředků Unie v souladu s nařízením (EU) 2021/887 za účelem poskytování podpory národním kybernetickým centrům.

(17)

Ke zlepšení odhalování kybernetických hrozeb a k lepšímu situačnímu povědomí v Unii, by se měl členský stát, který je na základě výzvy k vyjádření zájmu vybrán ke zřízení národního kybernetického centra nebo k rozšíření jeho schopností, zavázat, že požádá o účast na činnosti přeshraničního kybernetického centra. Pokud se členský stát nezačne účastnit činnosti přeshraničního kybernetického centra do dvou let ode dne, kdy byly nástroje, infrastruktura nebo služby pořízeny nebo kdy obdrželo grantové financování, podle toho, co nastane dříve, neměl by mít právo se účastnit v rámci Evropského systému varování v oblasti kybernetické bezpečnosti dalších podpůrných unijních akcí zaměřených na rozšíření schopností jeho národního kybernetického centra. V takových případech by se subjekty z členských států mohly stále účastnit výzev k podávání návrhů týkajících se jiných témat v rámci programu Digitální Evropa nebo jiných unijních programů financování, včetně výzev týkajících se kapacity zajišťující odhalování v oblasti kybernetické bezpečnosti a sdílení informací, za předpokladu, že splňují kritéria způsobilosti stanovená v těchto programech.

(18)

Týmy CSIRT si vyměňují informace v rámci sítě CSIRT v souladu se směrnicí (EU) 2022/2555. Evropský systém varování v oblasti kybernetické bezpečnosti by měl představovat novou schopnost, která by doplňovala síť týmů CSIRT tím, že by přispívala k zajištění situačního povědomí v Unii, což by umožnilo posílit schopnosti týmů CSIRT. Přeshraniční kybernetická centra by měla koordinovat svou činnost se sítí CSIRT a úzce s ní spolupracovat. Měla by jednat na základě shromažďování dat a sdílení relevantních a případně anonymizovaných informací o kybernetických hrozbách od veřejných a soukromých subjektů, zvyšovat hodnotu těchto dat a informací prostřednictvím odborné analýzy a společně pořízené infrastruktury a nejmodernějších nástrojů a přispívat k technologické suverenitě Unie, její otevřené strategické autonomii, konkurenceschopnosti a odolnosti a k rozvoji schopností Unie.

(19)

Přeshraniční kybernetická centra by měla fungovat jako ústřední body umožňující široké shromažďování příslušných dat a poznatků o kybernetických hrozbách a umožňovat šíření informací o hrozbách mezi velkým a různorodým souborem zúčastněných stran, jako jsou týmy pro reakci na počítačové hrozby (dále jen „týmy CERT“), týmy CSIRT, centra ISAC a provozovatelé kritické infrastruktury. Členové hostitelského konsorcia by měli v dohodě o konsorciu upřesnit příslušné informace, které mají být sdíleny mezi účastníky dotčeného přeshraničního kybernetického centra. Informace vyměňované mezi účastníky přeshraničního kybernetického centra by mohly zahrnovat například data ze sítí a čidel, informace o hrozbách, indikátory narušení a kontextualizované informace o incidentech, kybernetických hrozbách, významných událostech, zranitelnostech, technikách a postupech, nepřátelských taktikách, konkrétních informacích o aktérech hrozeb, varováních v oblasti kybernetické bezpečnosti a o doporučení týkajících se konfigurace nástrojů kybernetické bezpečnosti pro odhalování kybernetických útoků. Přeshraniční kybernetická centra by kromě toho měla mezi sebou uzavírat také dohody o spolupráci. V těchto dohodách o spolupráci by měly být stanoveny zejména zásady sdílení informací a aspekty týkající se interoperability. Jejich ustanovení týkající se interoperability, zejména formátů a protokolů pro sdílení informací, by se měla řídit po pokyny pro interoperabilitu vydanými Agenturou Evropské unie pro kybernetickou bezpečnost zřízenou nařízením (EU) 2019/881 (ENISA), a proto by měla z těchto pokynů vycházet. Tyto pokyny by měly být vydány rychle, aby se zajistilo, že je přeshraniční kybernetická centra budou moci zohlednit již v rané fázi. Měly by zohledňovat mezinárodní normy a osvědčené postupy a fungování všech zřízených přeshraničních kybernetických center.

(20)

Přeshraniční kybernetická centra by měla úzce spolupracovat se sítí CSIRT, aby byla zajištěna jejich součinnost a aby se jejich činnost doplňovala. Za tímto účelem by se měly dohodnout na procesních ujednáních o spolupráci a o výměně příslušných informací. To by mohlo zahrnovat sdílení relevantních informací o kybernetických hrozbách a významných kybernetických bezpečnostních incidentech a zajišťovat, aby se přeshraniční kybernetická centra dělila se sítí CSIRT o své zkušenosti s nejmodernějšími nástroji, zejména s technologií umělé inteligence a analýzy dat, které se v rámci těchto center používají.

(21)

Společné situační povědomí mezi příslušnými orgány je nezbytným předpokladem připravenosti a koordinace v celé Unii, pokud jde o významné kybernetické bezpečnostní incidenty a rozsáhlé kybernetické bezpečnostní incidenty. Směrnice (EU) 2022/2555 zřizuje síť EU–CyCLONe za účelem podpory koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operativní úrovni a pro zajištění pravidelné výměny relevantních informací mezi členskými státy a orgány, institucemi nebo jinými subjekty Unie. Směrnice (EU) 2022/2555 zřídila také sít CSIRT s cílem podporovat rychlou a účinnou operativní spolupráci mezi členskými státy. Za účelem získání situačního povědomí a zajištění větší solidarity by v situaci, kdy přeshraniční kybernetické centrum získá informace týkající se potenciálního nebo probíhajícího rozsáhlého kybernetického bezpečnostního incidentu, mělo poskytnout příslušné informace síti CSIRT a v rámci včasného varování informovat síť EU-CyCLONe. V závislosti na situaci mohou informace, které mají být poskytovány, zahrnovat zejména technické informace, informace o povaze a motivech útočníka nebo potenciálního útočníka a jiné než technické údaje vyšší úrovně o potenciálním nebo probíhajícím rozsáhlém kybernetickém bezpečnostním incidentu. V této souvislosti je třeba věnovat náležitou pozornost zásadě „vědět jen to nejnutnější“ a potenciálně citlivé povaze sdělovaných informací. Směrnice (EU) 2022/2555 rovněž znovu vyjmenovává povinnosti Komise v rámci mechanismu civilní ochrany Unie zřízeného rozhodnutím Evropského parlamentu a Rady č. 1313/2013/EU (13) a její odpovědnost za poskytování analytických zpráv v rámci opatření EU pro integrovanou politickou reakci na krize (dále jen „opatření IPCR“) podle prováděcího rozhodnutí (EU) 2018/1993 (14). Pokud přeshraniční kybernetická centra sdílejí se sítí EU-CyCLONe a sítí CSIRT relevantní informace a včasná varování týkající se potenciálního nebo probíhajícího rozsáhlého kybernetického bezpečnostního incidentu, je naprosto nezbytné, aby byly tyto informace prostřednictvím těchto sítí sdělovány orgánům členských států i Komise. V této souvislosti směrnice (EU) 2022/2555 stanoví, že účelem sítě EU-CyCLONe je podpořit koordinované řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operativní úrovni a zajistit pravidelnou výměnu relevantních informací mezi členskými státy a orgány, institucemi a jinými subjekty Unie. K úkolům této sítě patří získávání společného situačního povědomí o těchto incidentech a krizích. Je nanejvýš důležité, aby síť EU-CyCLONe v souladu s tímto účelem a se svými úkoly zajistila, aby tyto informace byly okamžitě sdělovány příslušným zástupcům členských států a Komisi. Za tímto účelem je naprosto nezbytné, aby jednací řád sítě EU-CyCLONe obsahoval vhodná ustanovení.

(22)

Subjekty, které se účastní Evropského systému varování v oblasti kybernetické bezpečnosti, by měly zajistit vysokou úroveň vzájemné interoperability, případně včetně interoperability formátů dat, taxonomie, nástrojů pro zpracování a analýzu dat. Měly by rovněž zajistit bezpečné komunikační kanály, minimální úroveň zabezpečení aplikační vrstvy a přehled situačního povědomí a ukazatele. Při přijetí společné taxonomie a vypracování vzoru situačních zpráv pro popis příčin zjištěných kybernetických hrozeb a rizik by se měla zohlednit již vykonaná práce v souvislosti s uplatňováním směrnice (EU) 2022/2555.

(23)

Aby se umožnila rozsáhlá výměna relevantních dat a informací o kybernetických hrozbách z různých zdrojů v důvěryhodném a zabezpečeném prostředí, měly by být subjekty zapojené do Evropského systému varování v oblasti kybernetické bezpečnosti vybaveny nejmodernějšími a vysoce bezpečnými nástroji, vybavením a infrastrukturou, jakož i kvalifikovaným personálem. Díky tomu by mělo být možné zlepšit kapacity kolektivního odhalování a včasná varování orgánů a příslušných subjektů, zejména s využitím nejnovějších technologií umělé inteligence a analýzy dat.

(24)

Při shromažďování, analýze, sdílení a výměně relevantních dat a informací by Evropský systém varování v oblasti kybernetické bezpečnosti měl posílit technologickou suverenitu Unie a otevřenou strategickou autonomii v oblasti kybernetické bezpečnosti, konkurenceschopnost a odolnost. Shromažďování kvalitních vybraných dat by mohlo rovněž přispět k rozvoji pokročilých technologií umělé inteligence a analýzy dat. Pro účinné shromažďování vysoce kvalitních dat jsou i nadále nezbytné lidský dohled a za tímto účelem i kvalifikovaní pracovníci.

(25)

Ačkoliv je Evropský systém varování v oblasti kybernetické bezpečnosti civilní projekt, větší civilní schopnosti v oblasti odhalování a situačního povědomí vyvinuté k ochraně kritické infrastruktury by mohly být přínosem pro komunitu kybernetické obrany.

(26)

Sdílení informací mezi účastníky Evropského systému varování v oblasti kybernetické bezpečnosti by mělo být v souladu se stávajícími právními požadavky, zejména s unijním a vnitrostátním právem v oblasti ochrany údajů, jakož i s pravidly Unie pro hospodářskou soutěž, kterými se řídí výměna informací. Příjemce informací by měl v rozsahu, v jakém je zpracování osobních údajů nezbytné, zavést technická a organizační opatření, která zajistí práva a svobody subjektů údajů, a zničit údaje, jakmile již nebudou pro stanovený účel potřebné, a informovat subjekt, který údaje zpřístupnil, že údaje byly zničeny.

(27)

Zachování důvěrnosti a bezpečnosti informací má zásadní význam pro všechny tři pilíře tohoto nařízení, ať už jde o podporu sdílení nebo výměny informací v rámci Evropského systému varování v oblasti kybernetické bezpečnosti, o ochranu zájmů subjektů žádajících o podporu v rámci mechanismu pro mimořádné situace v oblasti kybernetické bezpečnosti nebo o zajištění toho, aby zprávy v rámci evropského mechanismu přezkumu kybernetických bezpečnostních incidentů mohly přinést užitečná poučení, aniž by to mělo negativní dopad na subjekty zasažené incidenty. Účast členských států a subjektů na těchto mechanismech závisí na vztazích mezi jejich složkami založenými na důvěře. Pokud jsou informace podle unijních nebo vnitrostátních pravidel důvěrné, mělo by být jejich sdílení nebo výměna podle tohoto nařízení omezeno na to, co je relevantní a přiměřené z hlediska účelu sdílení nebo výměny. Při sdílení nebo výměnách těchto informací by se měla zachovávat důvěrnost předmětných informací a chránit bezpečnost a obchodní zájmy příslušných subjektů. Ke sdílení nebo výměně informací podle tohoto nařízení by mohlo docházet prostřednictvím dohod o zachování mlčenlivosti nebo pokynů pro šíření informací, jako je protokol TLP (Traffic Light Protocol). Tento protokol je třeba chápat jako prostředek k poskytování informací o veškerých omezeních, pokud jde o další šíření informací. Používá se téměř ve všech týmech CSIRT a v některých centrech ISAC. Pokud jde o Evropský systém varování v oblasti kybernetické bezpečnosti, měla by být v dohodách o hostitelských konsorciích stanovena kromě těchto obecných požadavků i zvláštní pravidla týkající se podmínek pro sdílení informací v rámci dotčeného přeshraničního kybernetického centra. Tyto dohody by mohly obsahovat zejména požadavek, aby ke sdílení informací docházelo pouze v souladu s unijním a vnitrostátním právem.

(28)

Pokud jde o vytvoření rezervy EU pro kybernetickou bezpečnost, jsou nezbytná zvláštní pravidla týkající se důvěrnosti dat. Podpora bude požadována, posuzována a poskytována v kontextu krize a ve vztahu k subjektům působícím v citlivých odvětvích. Aby bylo zajištěno účinné fungování rezervy EU pro kybernetickou bezpečnost, je klíčové, aby uživatelé a subjekty mohli sdílet veškeré informace, které jsou nezbytné k tomu, aby každý subjekt mohl plnit svou úlohu při posuzování žádostí a zavádění podpory, a neprodleně k nim poskytnout přístup. V tomto nařízení by proto mělo být stanoveno, že všechny tyto informace mají být používány a sdíleny pouze tehdy, je-li to nezbytné pro provoz rezervy EU pro kybernetickou bezpečnost, a že informace, které jsou podle unijního a vnitrostátního práva důvěrné nebo utajované, mají být používány a sdíleny pouze v souladu s tímto právem. Kromě toho by uživatelé měli mít k dalšímu upřesnění omezení možnost používat ve vhodných případech protokoly pro sdílení informací, jako jsou protokoly TLP. I když mají uživatelé v tomto ohledu prostor pro uvážení, je důležité, aby při uplatňování těchto omezení zohlednili možné důsledky, zejména pokud jde o opožděné posouzení nebo poskytnutí požadovaných služeb. Z hlediska účinnosti rezervy EU pro kybernetickou bezpečnost je důležité, aby veřejný zadavatel uživateli objasnil tyto důsledky předtím, než uživatel žádost podá. Tyto záruky jsou omezeny na žádost o služby poskytované v rámci rezervy EU pro kybernetickou bezpečnost a na jejich poskytování a nemají vliv na výměnu informací v jiných souvislostech, například při zadávání veřejných zakázek na služby poskytované v rámci této rezervy.

(29)

Vzhledem k rostoucím rizikům a počtu incidentů, které postihují členské státy, je nezbytné zřídit nástroj krizové podpory, totiž mechanismus pro mimořádné situace v oblasti kybernetické bezpečnosti, který by zvýšil odolnost Unie vůči významným kybernetickým bezpečnostním incidentům, rozsáhlým kybernetickým bezpečnostním incidentům a incidentům obdobným rozsáhlým kybernetickým bezpečnostním incidentům a doplnil akce členských států prostřednictvím mimořádné finanční podpory pro připravenost, reakci na incidenty a počáteční obnovení základních služeb. Vzhledem k tomu, že úplné zotavení z incidentu je komplexním procesem obnovy fungování subjektu zasaženého incidentem do stavu z doby před incidentem a mohlo by být dlouhým procesem, který s sebou nese značné náklady, měla by být podpora z rezervy EU pro kybernetickou bezpečnost omezena na počáteční fázi procesu zotavení, což povede k obnovení základních funkcí systémů. Mechanismus pro mimořádné situace v oblasti kybernetické bezpečnosti by měl umožnit rychlé a účinné nasazení pomoci za vymezených okolností a jasných podmínek a umožnit pečlivé sledování a hodnocení toho, jak byly zdroje využity. Ačkoli primární odpovědnost za předcházení incidentům a krizím i za připravenost a reakci na ně nesou i nadále členské státy, mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti podporuje solidaritu mezi členskými státy v souladu s čl. 3 odst. 3 Smlouvy o Evropské unii (dále jen „Smlouva o EU“).

(30)

Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti by měl členským státům poskytovat podporu doplňující jejich vlastní opatření a zdroje a další stávající možnosti podpory v případě reakce na významné kybernetické bezpečnostní incidenty a rozsáhlé kybernetické bezpečnostní incidenty a počáteční obnovy po nich, jako jsou služby poskytované agenturou ENISA v souladu s jejím mandátem, koordinovaná reakce a pomoc ze strany sítě CSIRT, podpora při zmírňování následků ze strany sítě EU-CyCLONe, jakož i vzájemná pomoc mezi členskými státy, a to i v kontextu čl. 42 odst. 7 Smlouvy o EU, týmy rychlé reakce v kybernetickém prostoru v rámci stálé strukturované spolupráce zřízené podle rozhodnutí Rady (SZBP) 2017/2315 (15). Měl by zajistit, aby byly k dispozici specializované prostředky na podporu připravenosti a reakce na kybernetické bezpečnostní incidenty v celé Unii a ve třetích zemích přidružených k programu Digitální Evropa a na zotavení z těchto incidentů.

(31)

Tímto nařízením nejsou dotčeny postupy a rámce pro koordinaci reakcí na krize na úrovni Unie, zejména směrnice (EU) 2022/2555, mechanismus civilní ochrany Unie zřízený rozhodnutím Evropského parlamentu a Rady č. 1313/2013/EU (16), opatření IPCR a doporučení Komise (EU) 2017/1584 (17). Podpora poskytovaná v rámci mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti může doplňovat pomoc poskytovanou v rámci společné zahraniční a bezpečnostní politiky a společné bezpečnostní a obranné politiky, a to i prostřednictvím týmů rychlé kybernetické reakce, přičemž je nutné přihlížet k civilní povaze mechanismu pro mimořádné události v kybernetické oblasti. Podpora poskytovaná v rámci mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti může doplňovat akce prováděné v souvislosti s čl. 42 odst. 7 Smlouvy o EU, včetně pomoci poskytované jedním členským státem jinému členskému státu, nebo může být součástí společné reakce Unie a členských států či být poskytována v situacích uvedených v článku 222 Smlouvy o fungování EU. Uplatňování tohoto nařízení by mělo být v případě potřeby koordinováno s prováděním opatření v rámci souboru nástrojů kybernetické diplomacie.

(32)

Pomoc poskytovaná podle tohoto nařízení by měla podporovat a doplňovat akce prováděné členskými státy na vnitrostátní úrovni. Za tímto účelem by měla být zajištěna úzká spolupráce a konzultace mezi Komisí, agenturou ENISA, členskými státy a případně centrem ECCC. Při žádosti o podporu v rámci mechanismu pro mimořádné události v oblasti kybernetické bezpečnosti by měl členský stát poskytnout relevantní informace, které odůvodňují potřebu podpory.

(33)

Směrnice (EU) 2022/2555 vyžaduje, aby členské státy určily nebo zřídily jeden nebo více orgánů pro řešení kybernetických krizí a zajistily, aby tyto orgány měly k dispozici odpovídající zdroje pro účinné a účelné plnění svěřených úkolů. Požaduje také, aby členské státy určily schopnosti, prostředky a postupy, které mohou být nasazeny v případě krize, a aby přijaly národní plán reakce na rozsáhlé kybernetické bezpečnostní incidenty a krize, v němž budou stanoveny cíle a způsoby řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí. Členské státy jsou rovněž povinny zřídit jeden nebo více týmů CSIRT, které budou odpovídat za řešení incidentů podle řádně vymezeného postupu a budou pokrývat alespoň odvětví, pododvětví a druhy subjektů spadající do oblasti působnosti uvedené směrnice, a zajistit, aby tyto týmy měly pro účinné plnění svých úkolů odpovídající zdroje. Tímto nařízením není dotčena úloha Komise při zajišťování toho, aby členské státy plnily povinnosti vyplývající ze směrnice (EU) 2022/2555. Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti by měl poskytovat pomoc pro akce zaměřené na zvýšení připravenosti, jakož i pro akce prováděné v reakci na incidenty s cílem zmírnit dopady významných kybernetických bezpečnostních incidentů a rozsáhlých kybernetických bezpečnostních incidentů, podpořit počáteční obnovu nebo obnovit fungování služeb, které poskytují subjekty působící ve vysoce kritických odvětvích nebo subjekty působící v dalších kritických odvětvích.

(34)

V rámci akcí v oblasti připravenosti by měla být za účelem prosazování jednotného přístupu a posílení bezpečnosti v celé Unii a na jejím vnitřním trhu poskytována podpora pro koordinované testování a posuzování kybernetické bezpečnosti subjektů působících ve vysoce kritických odvětvích určených podle směrnice (EU) 2022/2555, mimo jiné prostřednictvím cvičení a školení. Za tímto účelem by měla Komise po konzultacích s agenturou ENISA, se skupinou pro spolupráci NIS a se sítí EU-CyCLONe pravidelně určovat příslušná odvětví nebo pododvětví, která by měla být způsobilá pro získání finanční podpory na koordinované testování připravenosti na úrovni Unie. Odvětví nebo pododvětví by měla být vybrána z vysoce kritických odvětví uvedených v příloze I směrnice (EU) 2022/2555. Koordinované testování připravenosti by mělo být založeno na společných rizikových scénářích a metodikách. Při výběru odvětví a vypracování rizikových scénářů by se měla zohlednit příslušná hodnocení rizik a rizikové scénáře pro celou Unii, včetně potřeby vyhnout se zdvojování, jako jsou hodnocení rizik a rizikové scénáře, které požaduje Rada v závěrech o rozvoji pozice Evropské unie v oblasti kybernetické bezpečnosti, které provádějí Komise, vysoký představitel Unie pro zahraniční věci a bezpečnostní politiku (dále jen „vysoký představitel“) a skupina pro spolupráci NIS v koordinaci s příslušnými civilními i vojenskými orgány a agenturami a se zavedenými sítěmi včetně sítě EU CyCLONe, jakož i posouzení rizik komunikačních sítí a infrastruktur, které požaduje společná výzva ministrů z Nevers a které provádí skupina pro spolupráci NIS za podpory Komise a agentury ENISA a ve spolupráci se Sdružením evropských regulačních orgánů v oblasti elektronických komunikací zřízeném nařízením Evropského parlamentu a Rady (EU) 2018/1971 (18), koordinované posouzení bezpečnostních rizik kritických dodavatelských řetězců na úrovni Unie, které má být prováděno podle článku 22 směrnice (EU) 2022/2555, a testování digitální provozní odolnosti podle nařízení Evropského parlamentu a Rady (EU) 2022/2554 (19). Při výběru odvětví by se mělo zohlednit rovněž doporučení Rady o celounijním koordinovaném přístupu za účelem posílení odolnosti kritické infrastruktury.

(35)

Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti by měl navíc poskytovat podporu pro další akce v oblasti připravenosti a podporovat připravenost v jiných odvětvích, na něž se nevztahuje koordinované testování připravenosti subjektů působících ve vysoce kritických odvětvích nebo subjektů působících v dalších kritických odvětvích. Tato opatření by mohla zahrnovat různé druhy činnosti v oblasti vnitrostátní připravenosti.

(36)

Pokud členské státy obdrží granty na podporu akcí v oblasti připravenosti, mohou se těchto akcí dobrovolně účastnit subjekty ve vysoce kritických odvětvích. Osvědčeným postupem je, že v návaznosti na tyto akce vypracují zúčastněné subjekty plán nápravy za účelem provedení veškerých výsledných doporučení týkajících se konkrétních opatření, aby měly z akcí v oblasti připravenosti co největší prospěch. I když je důležité, aby členské státy v rámci opatření požadovaly, aby zúčastněné subjekty vypracovaly a uplatňovaly tyto plány nápravy, členským státům není tímto nařízením uložena povinnost takové žádosti prosazovat ani jím k tomu nejsou zmocněny. Těmito žádostmi nejsou dotčeny požadavky na subjekty ani pravomoci příslušných orgánů v oblasti dohledu v souladu se směrnicí (EU) 2022/2555.

(37)

Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti by měl rovněž poskytovat podporu pro akce prováděné v reakci na incidenty s cílem zmírnit dopady významných kybernetických bezpečnostních incidentů, rozsáhlých kybernetických bezpečnostních incidentů a incidentů obdobným rozsáhlým kybernetickým bezpečnostním incidentům, podpořit počáteční obnovu nebo obnovit fungování základních služeb. V případě potřeby by měl doplňovat mechanismus civilní ochrany Unie, aby byl zajištěn komplexní přístup k reakci na dopady incidentů na občany.

(38)

Mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti by měl podporovat technickou pomoc poskytovanou jedním členským státem jinému členskému státu, který je zasažen významným kybernetickým bezpečnostním incidentem nebo rozsáhlým kybernetickým bezpečnostním incidentem, a to i prostřednictvím sítě CSIRT podle čl. 11 odst. 3 písm. f) směrnice (EU) 2022/2555. Členské státy poskytující tuto pomoc by měly mít možnost předkládat žádosti o úhradu nákladů spojených s vysláním týmů odborníků v rámci vzájemné pomoci. Způsobilé náklady mohou zahrnovat cestovní výdaje, výdaje na ubytování a denní příspěvky pro odborníky na kybernetickou bezpečnost.

(39)

Vzhledem k zásadní úloze, kterou hrají soukromé podniky při odhalování rozsáhlých kybernetických bezpečnostních incidentů a incidentů obdobných rozsáhlým kybernetickým bezpečnostním incidentům a při připravenosti a reakci na ně, je důležité uznat hodnotu dobrovolné spolupráce s těmito podniky, v jejímž rámci nabízejí v případech rozsáhlých kybernetických bezpečnostních incidentů a krizí a incidentů obdobných rozsáhlým kybernetickým bezpečnostním incidentům a krizí své služby bezúplatně. Agentura ENISA by ve spolupráci se sítí EU-CyCLONe mohla sledovat vývoj těchto iniciativ bez nároku na odměnu a podporovat jejich soulad s kritérii platnými pro důvěryhodné poskytovatele řízených bezpečnostních služeb podle tohoto nařízení, a to i pokud jde o důvěryhodnost soukromých podniků, jejich zkušenosti a schopnost bezpečně nakládat s citlivými informacemi.

(40)

V rámci mechanismu pro mimořádné situace v oblasti kybernetické bezpečnosti by měla být postupně zřízena rezerva EU pro kybernetickou bezpečnost, která by se skládala ze služeb důvěryhodných poskytovatelů řízených bezpečnostních služeb na podporu akcí prováděných v reakci na incidenty a počáteční obnovy v případě významných kybernetických bezpečnostních incidentů, rozsáhlých kybernetických bezpečnostních incidentů nebo incidentů obdobných rozsáhlým kybernetickým bezpečnostním incidentům, které mají dopad na členské státy, orgány, instituce nebo jiné subjekty Unie nebo na třetí země přidružené k programu Digitální Evropa. Rezerva EU pro kybernetickou bezpečnost by měla zajistit dostupnost a připravenost služeb. Měla by proto zahrnovat služby, které jsou předem přislíbeny, včetně například kapacit, které jsou v pohotovostním režimu a mohou být nasazeny v krátké lhůtě. Služby v rámci rezervy EU pro kybernetickou bezpečnost by měly sloužit jako podpora vnitrostátním orgánům při poskytování pomoci zasaženým subjektům působícím ve vysoce kritických odvětvích nebo působícím v dalších kritických odvětvích jako doplněk jejich vlastních akcí na vnitrostátní úrovni. Služby v rámci rezervy EU pro kybernetickou bezpečnost by měly být schopny za podobných podmínek rovněž sloužit také na podporu orgánů, institucí nebo jiných subjektů Unie. Rezerva EU pro kybernetickou bezpečnost může přispět také k posílení konkurenčního postavení průmyslu a služeb v Unii v celé digitální ekonomice, včetně mikropodniků, malých a středních podniků a začínajících podniků, mimo jiné na základě pobídek k investování do výzkumu a inovací. Při zadávání zakázek na služby pro tuto rezervu je důležité zohlednit evropský rámec dovedností v oblasti kybernetické bezpečnosti (ECSF). Při žádání o podporu z rezervy EU pro kybernetickou bezpečnost by uživatelé měli do své žádosti zahrnout vhodné informace o zasaženém subjektu a potenciálním dopadu, informace o požadované službě z rezervy EU pro kybernetickou bezpečnost a o podpoře poskytnuté postiženému subjektu na vnitrostátní úrovni, které by měly být zohledněny při posuzování žádosti žadatele. Aby byla zajištěna doplňkovost s jinými formami podpory, které má zasažený subjekt k dispozici, měla by žádost obsahovat, pokud jsou k dispozici, informace o existujících smluvních ujednáních týkajících se služeb v oblasti reakce na incident a počáteční obnovy i o pojistných smlouvách, které by se mohly vztahovat na daný druh incidentu.

(41)

Aby bylo zajištěno účinné využívání finančních prostředků Unie, měly by být tyto prostředky v případě, že předem přislíbené služby v rámci rezervy EU pro kybernetickou bezpečnost nejsou využívány k reakci na incidenty po dobu, na kterou byly přislíbeny, v souladu s příslušnou smlouvou přeměněny na služby připravenosti související s prevencí incidentů a reakcí na ně. Tyto služby by měly být doplňkové a neměly by zdvojovat akce v oblasti připravenosti, která má řídit centrum ECCC.

(42)

Žádosti o podporu z rezervy EU pro kybernetickou bezpečnost ze strany orgánů členských států pro řešení kybernetických krizí a týmů CSIRT nebo služby CERT-EU podané jménem orgánů, institucí a jiných subjektů Unie by měl posuzovat veřejný zadavatel. Pokud byla agentura ENISA pověřena správou a provozem rezervy EU pro kybernetickou bezpečnost, je tímto veřejným zadavatelem agentura ENISA. Žádosti o podporu ze strany třetích zemí přidružených k programu Digitální Evropa by měla posuzovat Komise. S cílem usnadnit podávání a posuzování žádostí o podporu by agentura ENISA mohla zřídit bezpečnou platformu.

(43)

Pokud je přijato více souběžných žádostí, měly by se jednotlivé žádosti upřednostňovat v souladu s kritérii stanovenými v tomto nařízení. S ohledem na obecné cíle tohoto nařízení by tato kritéria měla zahrnovat rozsah a závažnost incidentu, druh zasaženého subjektu, potenciální dopad incidentu na zasažené členské státy a uživatele, potenciální přeshraniční povahu incidentu a riziko rozšíření a opatření, která uživatel již přijal na pomoc při reakci a počáteční obnově. S ohledem na tyto cíle a vzhledem k tomu, že žádosti uživatelů z členských států jsou určeny výhradně na podporu subjektů působících ve vysoce kritických odvětvích nebo subjektů působících v dalších kritických odvětvích v celé Unii, je vhodné dát v případech, kdy vedou tato kritéria k posouzení dvou nebo více žádostí jako rovnocenných, vyšší prioritu žádostem uživatelů z členských států. Tím nejsou dotčeny povinnosti členských států přijmout opatření na ochranu orgánů, institucí a jiných subjektů Unie a na pomoc těmto orgánům, institucím a jiným subjektům, které mají podle příslušných dohod o hostování.

(44)

Celkovou odpovědnost za provádění rezervy EU pro kybernetickou bezpečnost by měla nést Komise. Vzhledem k rozsáhlým zkušenostem, které agentura ENISA získala s opatřeními na podporu kybernetické bezpečnosti, je ENISA nejvhodnější agenturou pro provedení rezervy EU pro kybernetickou bezpečnost. Proto by Komise měla agenturu ENISA částečně, nebo pokud to považuje za vhodné, zcela pověřit provozem a správou rezervy EU pro kybernetickou bezpečnost. Toto pověření by mělo být prováděno v souladu s příslušnými pravidly podle nařízení (EU, Euratom) 2024/2509, a zejména by mělo podléhat splnění příslušných podmínek pro podpis dohody o příspěvcích. Veškeré aspekty provozu a správy rezervy EU pro kybernetickou bezpečnost, které nejsou svěřeny agentuře ENISA, by měly podléhat přímému řízení ze strany Komise, a to i před podpisem dohody o příspěvcích.

(45)

Členské státy by měly hrát klíčovou úlohu při vytváření a vyslání rezervy EU pro kybernetickou bezpečnost, stejně jako v období po jejím zavedení. Vzhledem k tomu, že nařízení (EU) 2021/694 je příslušným základním aktem pro akce zaměřená na provádění rezervy EU pro kybernetickou bezpečnost, měla by být opatření v rámci této rezervy stanovena v pracovních programech uvedených v článku 24 nařízení (EU) 2021/694. Podle odstavce 6 uvedeného článku má tyto pracovní programy přijmout Komise prostřednictvím prováděcích aktů přijatých přezkumným postupem. Kromě toho by Komise měla v koordinaci se skupinou pro spolupráci NIS určit priority a vývoj rezervy EU pro kybernetickou bezpečnost.

(46)

Smlouvy uzavřené v rámci rezervy EU pro kybernetickou bezpečnost by neměly mít vliv na vztahy mezi podniky ani na existující povinnosti mezi zasaženým subjektem nebo uživateli a poskytovatelem služeb.

(47)

Pro účely výběru soukromých poskytovatelů služeb, kteří budou poskytovat služby v rámci rezervy EU pro kybernetickou bezpečnost, je nezbytné stanovit soubor minimálních kritérií a požadavků, která by měla být zahrnuta do výzvy k podávání nabídek za účelem výběru těchto poskytovatelů, aby bylo zajištěno naplnění potřeb orgánů členských států, subjektů působících ve vysoce kritických odvětvích nebo subjektů působících v dalších kritických odvětvích. Aby bylo možné řešit konkrétní potřeby členských států, měl by veřejný zadavatel při zadávání zakázek na služby pro rezervu EU pro kybernetickou bezpečnost případně vypracovat dodatečná výběrová kritéria a požadavky nad rámec kritérií stanovených v tomto nařízení. Je důležité podporovat účast menších poskytovatelů služeb působících na regionální a místní úrovni.

(48)

Při výběru poskytovatelů služeb, kteří mají být zařazeni do rezervy EU pro kybernetickou bezpečnost, by měl veřejný zadavatel usilovat o zajištění toho, aby tato rezerva jako celek obsahovala ty poskytovatele, kteří jsou schopni vyhovět jazykovým požadavkům uživatelů. Za tímto účelem by měl veřejný zadavatel před vypracováním zadávací dokumentace zjistit, zda potenciální uživatelé rezervy EU pro kybernetickou bezpečnost nemají nějaké zvláštní jazykové požadavky, aby mohly být podpůrné služby v rámci této rezervy poskytovány v tom z úředních jazyků orgánů Unie nebo členského státu, kterému uživatel nebo zasažený subjekt pravděpodobně rozumí. V případě, že uživatel potřebuje pro poskytování podpůrných služeb v rámci rezervy více než jeden jazyk a tyto služby byly pro tohoto uživatele pořizovány v těchto jazycích, měl by mít uživatel možnost v žádosti o podporu z rezervy EU pro kybernetickou bezpečnost uvést, ve kterém z těchto jazyků by měly být poskytnuty služby v souvislosti s konkrétním incidentem, který vedl k podání žádosti.

(49)

Na podporu zřízení rezervy EU pro kybernetickou bezpečnost je důležité, aby Komise požádala agenturu ENISA, aby připravila návrh schématu certifikace v oblasti kybernetické bezpečnosti pro řízené bezpečnostní služby podle nařízení (EU) 2019/881 v oblastech, na které se vztahuje mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti.

(50)

Na podporu cílů tohoto nařízení, kterými jsou podpora společného situačního povědomí, zvýšení odolnosti Unie a umožnění účinné reakce na významné kybernetické bezpečnostní incidenty a rozsáhlé kybernetické bezpečnostní incidenty, by měla mít Komise nebo síť EU-CyCLONe možnost požádat s pomocí sítě CSIRT a se souhlasem dotčených členských států agenturu ENISA o přezkum a posouzení kybernetických hrozeb, známých zneužitelných zranitelností a akcí ke zmírnění dopadů v souvislosti s konkrétním významným kybernetickým bezpečnostním incidentem nebo rozsáhlým kybernetickým bezpečnostním incidentem. Po dokončení přezkumu a posouzení incidentu by agentura ENISA měla ve spolupráci s dotčeným členským státem, příslušnými zúčastněnými stranami, včetně zástupců soukromého sektoru, Komise a dalších příslušných orgánů, institucí a jiných subjektů Unie, vypracovat zprávu o přezkumu incidentu. Na základě spolupráce se zúčastněnými stranami, včetně soukromého sektoru, by se zpráva o přezkumu konkrétních incidentů měla zaměřit na posouzení příčin, dopadu a zmírnění následků incidentu poté, co k němu došlo. Zvláštní pozornost by měla být věnována příspěvkům a zkušenostem sdíleným poskytovateli řízených bezpečnostních služeb, kteří splňují podmínky nejvyšší profesní bezúhonnosti, nestrannosti a požadované technické odbornosti podle požadavků tohoto nařízení. Zpráva by měla být předložena síti EU-CyCLONe, síti CSIRT a Komisi a měla by být podkladem pro jejich práci i práci agentury ENISA. Pokud se incident týká třetí země přidružené k programu Digitální Evropa, měla by Komise poskytnout zprávu vysokému představiteli.

(51)

S ohledem na nepředvídatelnou povahu kybernetických útoků a skutečnost, že se často neomezují na určitou zeměpisnou oblast a představují vysoké riziko rozšíření, přispívá posílení odolnosti sousedních zemí a jejich kapacity účinně reagovat na významné kybernetické bezpečnostní incidenty a na incidenty obdobné rozsáhlým kybernetickým bezpečnostním incident k ochraně Unie jako celku, a zejména jejího vnitřního trhu a průmyslu. Tato činnost by mohla dále přispět k diplomacii Unie v oblasti kybernetické bezpečnosti. Proto by měly třetí země přidružené k programu Digitální Evropa mít možnost požádat o podporu z rezervy EU pro kybernetickou bezpečnost na celém svém území nebo na jeho části, pokud je to stanoveno v dohodě, jejímž prostřednictvím je třetí země přidružena k programu Digitální Evropa. Financování třetích zemí přidružených k programu Digitální Evropa by mělo být Unií podporováno v rámci příslušných partnerství a nástrojů financování pro tyto země. Podpora by měla zahrnovat služby v oblasti reakce na významné kybernetické bezpečnostní incidenty nebo na incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům a zahájení obnovy po těchto incidentech.

(52)

Při poskytování podpory třetím zemím přidruženým k programu Digitální Evropa by měly platit podmínky stanovené v tomto nařízení pro rezervu EU pro kybernetickou bezpečnost a důvěryhodné poskytovatele řízených bezpečnostních služeb. Třetí země přidružené k programu Digitální Evropa by měly mít možnost požádat o pomoc v rámci rezervy EU pro kybernetickou bezpečnost, pokud jsou cílové subjekty, pro které žádají o podporu z rezervy EU pro kybernetickou bezpečnost, subjekty působícími ve vysoce kritických odvětvích nebo subjekty působícími v dalších kritických odvětvích a pokud zjištěné incidenty vedou v Unii k závažnému narušení provozu nebo se mohou rozšířit. Třetí země přidružené k programu Digitální Evropa by měly být způsobilé k získání podpory pouze v případě, že je v dohodě, jejímž prostřednictvím jsou přidruženy k programu Digitální Evropa, tato podpora výslovně stanovena. Kromě toho by tyto třetí země měly zůstat způsobilé pouze tehdy, jsou-li splněna tři kritéria. Za prvé, třetí země by měla plně dodržovat příslušné podmínky uvedené dohody. Za druhé, vzhledem k doplňkové povaze rezervy EU pro kybernetickou bezpečnost by třetí země měla přijmout odpovídající kroky k přípravě na významné kybernetické bezpečnostní incidenty nebo na incidenty obdobné rozsáhlým kybernetickým bezpečnostním incidentům. Za třetí, poskytování podpory z rezervy EU pro kybernetickou bezpečnost by mělo být v souladu s politikou Unie vůči této zemi a s celkovými vztahy Unie s touto zemí a s další politikou Unie v oblasti bezpečnosti. Při posuzování souladu s tímto třetím kritériem by Komise měla za účelem sladění poskytování této podpory se společnou zahraniční a bezpečnostní politikou konzultovat vysokého představitele.

(53)

Poskytování podpory třetím zemím přidruženým k programu Digitální Evropa může ovlivnit vztahy se třetími zeměmi a bezpečnostní politiku Unie, a to i v rámci společné zahraniční a bezpečnostní politiky a společné obranné a bezpečnostní politiky. Je proto vhodné, aby byly Radě svěřeny prováděcí pravomoci, pokud jde o povolování a upřesňování doby, po niž může být tato podpora poskytována. Rada by měla jednat na základě návrhu Komise a náležitě přitom zohlednit posouzení uvedených tří kritérií ze strany Komise. Totéž by mělo platit pro prodlužování platnosti těchto aktů a návrhy na jejich změnu nebo zrušení. Pokud se Rada za výjimečných okolností domnívá, že došlo k významné změně okolností, pokud jde o třetí kritérium, měla by mít možnost jednat z vlastního podnětu a změnit či zrušit prováděcí akt, aniž by čekala na návrh Komise. Tyto významné změny budou pravděpodobně vyžadovat naléhavá opatření, budou mít obzvláště významné důsledky pro vztahy se třetími zeměmi a nebudou vyžadovat předběžné podrobné posouzení ze strany Komise. Kromě toho by Komise měla v souvislosti s žádostmi o podporu třetích zemích přidružených k programu Digitální Evropa a prováděním podpory poskytnuté takovýmto zemím spolupracovat s vysokým představitelem. Měla rovněž zohlednit případné stanovisko agentury ENISA ohledně těchto žádostí a podpory. Komise by navíc měla informovat Radu o výsledku posouzení žádostí, včetně relevantních úvah v tomto ohledu, a o využitých službách.

(54)

Ve sdělení Komise ze dne 18. dubna 2023 o Akademii dovedností v oblasti kybernetické bezpečnosti se uznává nedostatek kvalifikovaných odborníků. Tyto dovednosti jsou potřebné pro splnění cílů tohoto nařízení. Unie naléhavě potřebuje odborníky se schopnostmi a kompetencemi, aby mohla předcházet kybernetickým útokům, odhalovat je, odrazovat od nich a bránit Unii, včetně její nejkritičtější infrastruktury, proti těmto útokům a zajistit její odolnost. Za tímto účelem je důležité podporovat spolupráci mezi zúčastněnými stranami, včetně soukromého sektoru, akademické obce a veřejného sektoru. Stejně důležité je také vytvořit na veškerém území Unie součinnost v oblasti investic do vzdělávání a školení s cílem podpořit zavádění ochranných prvků, které by zabránily odlivu mozků a zajistily, aby v některých regionech nedocházelo ve srovnání s jinými regiony k dalšímu prohlubování nedostatku dovedností. Je naléhavě nutné odstranit rozdíly v dovednostech v oblasti kybernetické bezpečnosti a zaměřit se přitom zejména na snižování genderových rozdílů v odvětví kybernetické bezpečnosti s cílem podpořit přítomnost žen a jejich účast na navrhování digitální správy.

(55)

Pro podporu inovací na jednotném digitálním trhu je důležité posílit výzkum a inovace v oblasti kybernetické bezpečnosti s cílem přispět ke zvýšení odolnosti členských států a k dosažení otevřené strategické autonomie Unie, což obojí patří mezi cíle tohoto nařízení. Součinnost má zásadní význam pro prohloubení spolupráce a koordinace mezi různými zúčastněnými stranami, včetně soukromého sektoru, občanské společnosti a akademické obce.

(56)

Toto nařízení by mělo zohledňovat závazek stanovený ve společném prohlášení Evropského parlamentu, Rady a Komise ze dne 26. ledna 2022 nazvaném „Evropské prohlášení o digitálních právech a zásadách pro digitální dekádu“ chránit zájmy demokracií, občanů, podniků a veřejných institucí Unie před riziky v oblasti kybernetické bezpečnosti a před kybernetickou kriminalitou, včetně úniku dat a krádeží identity nebo manipulace s ní.

(57)

Za účelem doplnění některých méně podstatných prvků tohoto nařízení by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU, pokud jde o upřesnění druhů a počtu služeb reakce požadovaných pro rezervu EU pro kybernetickou bezpečnost. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (20). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(58)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o další upřesnění podrobných procesních opatření pro přidělování podpůrných služeb z rezervy EU pro kybernetickou bezpečnost. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (21).

(59)

Aniž jsou dotčena pravidla týkající se ročního rozpočtu Unie podle Smluv, měla by Komise při posuzování rozpočtových a personálních potřeb agentury ENISA zohlednit povinnosti vyplývající z tohoto nařízení.

(60)

Komise by měla pravidelně vypracovávat hodnocení opatření stanovených v tomto nařízení. První takové hodnocení by mělo být vypracováno v prvních dvou letech ode dne vstupu tohoto nařízení v platnost a poté alespoň každé čtyři roky, přičemž se zohlední načasování revize víceletého finančního rámce stanoveného podle článku 312 Smlouvy o fungování EU. Zprávu o dosaženém pokroku předloží Komise Evropskému parlamentu a Radě. Aby bylo možné posoudit různé požadované prvky, včetně rozsahu informací sdílených v rámci Evropského systému varování v oblasti kybernetické bezpečnosti, měla by Komise vycházet výhradně z informací, které jsou snadno dostupné nebo dobrovolně poskytnuté. S ohledem na geopolitický vývoj a s cílem zajistit kontinuitu a další rozvoj opatření stanovených v tomto nařízení na období po roce 2027 je důležité, aby Komise vyhodnotila, zda není nezbytné vyčlenit ve víceletém finančním rámci na období 2028 až 2034 odpovídající rozpočtové prostředky.

(61)

Jelikož cílů tohoto nařízení, totiž posílit konkurenceschopnost průmyslu a služeb v Unii v celé digitální ekonomice a přispět k technologické svrchovanosti a otevřené strategické autonomii Unie v oblasti kybernetické bezpečnosti, nemůže být dosaženo uspokojivě členskými státy, ale spíše jich, z důvodu rozsahu nebo účinků tohoto nařízení, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o EU. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení těchto cílů,