OJ:L_202590812

(1)

A tagállami közigazgatási szervek, vállalkozások és polgárok folyamatosan növekvő, ágazatok közötti és határokon átnyúló összekapcsoltságának és egymástól való függésének fényében az információs és kommunikációs technológiák alkalmazása és az azoktól való függés alapvetően fontos tényezővé vált a gazdasági tevékenységek és a társadalom valamennyi ágazatában, ezzel egyidejűleg lehetséges sebezhetőségeket eredményezve.

(2)

A kiberbiztonsági incidensek nagyságrendje, gyakorisága és hatása egyre számottevőbb Unió-szerte és globális szinten is, ideértve az ellátási láncok ellen elkövetett, kiberkémkedést, zsarolóvírus vagy zavarkeltést célzó támadásokat. E jelenségek komoly veszélyt jelentenek a hálózati és információs rendszerek működésére nézve. Tekintettel a fenyegetettségi helyzet gyorsan változó jellegére, a kritikus infrastruktúrákban jelentős fennakadásokat vagy károkat okozó esetleges nagyszabású kiberbiztonsági incidensek veszélye az Unió kiberbiztonsági keretének fokozott felkészültségét követeli meg. Ez a veszély túlmutat Oroszország Ukrajna elleni agressziós háborúján, és tekintettel a jelenlegi geopolitikai feszültségekben közreműködő körök sokféleségére, valószínűleg nem fog alábbhagyni. Az ilyen incidensek akadályozhatják a közszolgáltatások nyújtását, mivel a kibertámadások gyakran a helyi, regionális vagy nemzeti közszolgáltatások és infrastruktúrák ellen irányulnak, a helyi hatóságok pedig különösen kiszolgáltatottak, többek között korlátozott erőforrásaik miatt. Akadályozhatják továbbá a gazdasági tevékenységek folytatását, többek között a kiemelten kritikus ágazatokban vagy egyéb kritikus ágazatokban, jelentős pénzügyi veszteségeket okozhatnak, alááshatják a felhasználói bizalmat, jelentős károkat okozhatnak az uniós gazdaságnak és az Unió demokratikus rendszereinek, sőt egészségügyi vagy az emberi életet veszélyeztető következményekkel is járhatnak. Ezenkívül a kiberbiztonsági incidensek kiszámíthatatlanok, mivel gyakran gyorsan alakulnak ki és eszkalálódnak, nem korlátozódnak egy adott földrajzi területre, hiszen több országot érintően egyidejűleg is előfordulhatnak vagy gyorsan terjedhetnek. Fontos a közszféra, a magánszektor, a tudományos élet, a civil társadalom és a média közötti szoros együttműködés.

(3)

Az Európa jövőjéről szóló konferencia három különböző javaslatának megfelelően meg kell erősíteni az uniós ipar és szolgáltatás versenyhelyzetét a digitalizált gazdaságban, és támogatni kell digitális átalakulásukat a digitális egységes piacon a kiberbiztonság szintjének megerősítése révén. Növelni kell a polgárok, a vállalkozások – köztük a mikrovállalkozások, a kis- és középvállalkozások, valamint az induló innovatív vállalkozások, továbbá a kritikus infrastruktúrákat működtető szervezetek – ellenálló képességét a növekvő kiberfenyegetésekkel szemben, amelyek pusztító társadalmi és gazdasági hatásokkal járhatnak. Ezért olyan infrastruktúrákba és szolgáltatásokba, valamint a kiberbiztonsági készségek fejlesztéséhez szükséges képességek kiépítésébe történő beruházásokra van szükség, amelyek támogatják a kiberfenyegetések és -incidensek gyorsabb észlelését és az azokra való gyorsabb reagálást. Emellett a tagállamoknak segítségre van szükségük ahhoz, hogy jobban felkészüljenek és hatékonyabban reagáljanak a jelentős és a nagyszabású kiberbiztonsági incidensekre, valamint az azokat követő helyreállítás megkezdéséhez. A meglévő struktúrákra építve és azokkal szoros együttműködésben az Uniónak növelnie kell kapacitásait ezeken a területeken, különösen a kiberfenyegetésekre és -incidensekre vonatkozó adatok gyűjtése és elemzése tekintetében.

(4)

Az Unió már számos intézkedést hozott a kritikus infrastruktúrák és a kritikus szervezetek kockázatokkal szembeni sebezhetőségének csökkentése és fokozott ellenálló képességének érdekében, ezek közé tartozik különösen az (EU) 2019/881 európai parlamenti és tanácsi rendelet (5), az 2013/40/EU (6) és az (EU) 2022/2555 (7) európai parlamenti és tanácsi irányelv és az (EU) 2017/1584 bizottsági ajánlás (8). Ezen túlmenően a kritikus infrastruktúrák ellenálló képességének megerősítését célzó összehangolt uniós megközelítésről szóló, 2022. december 8-i tanácsi ajánlás felkéri a tagállamokat, hogy hozzanak intézkedéseket, továbbá hogy működjenek együtt egymással, a Bizottsággal és más érintett hatóságokkal, valamint az érintett szervezetekkel a belső piacon az alapvető szolgáltatások nyújtásához használt kritikus infrastruktúrák ellenálló képességének fokozása érdekében.

(5)

A növekvő kiberbiztonsági kockázatok és az átfogóan komplex fenyegetettségi helyzet okán – amely egyértelműen azzal a kockázattal jár, hogy az incidensek gyorsan tovagyűrűzhetnek az egyik tagállamból a másikba, illetve valamely harmadik országból az Unióba – a kiberfenyegetések és -incidensek eredményesebb észlelése, és az azokra való hatékonyabb felkészülés, reagálás, valamint az azokat követő helyreállítás érdekében meg kell erősíteni az uniós szintű szolidaritást különösen a meglévő struktúrák képességeinek megerősítése révén. Továbbá, az Európai Unió kiberbiztonsági helyzetének javításáról szóló, 2022. május 23-i tanácsi következtetések felkérték a Bizottságot, hogy nyújtson be javaslatot egy új Kiberbiztonsági Vészhelyzeti Alapra vonatkozóan.

(6)

A Bizottság és az Unió külügyi és biztonságpolitikai főképviselőjének az EU kibervédelmi politikájáról szóló, az Európai Parlamentnek és a Tanácsnak címzett, 2022. november 10-i közös közleménye bejelentette az uniós kiberszolidaritási kezdeményezést, amelynek céljai a biztonsági műveleti központok (a továbbiakban: SOC-k) alkotta uniós infrastruktúra kiépítésének előmozdítása révén a közös uniós észlelési, helyzetismereti és reagálási képességek megerősítése, a megbízható magánszolgáltatók szolgáltatásait igénybe vevő uniós szintű kiberbtartalék fokozatos kiépítésének támogatása, valamint a kritikus szervezetek uniós kockázatértékeléseken alapuló tesztelése a potenciális sebezhetőségek tekintetében.

(7)

Unió-szerte meg kell erősíteni a kiberfenyegetések és -incidensek észlelését és helyzetismeretét, valamint – a tagállamok és az Unió a jelentős és a nagyszabású kiberbiztonsági incidensekre való felkészültségét, azok megelőzését és az arra való reagálást szolgáló képességeinek javítása révén – meg kell erősíteni a szolidaritást is. Ezért létre kell hozni a kiberközpontok páneurópai hálózatát (a továbbiakban: Európai Kiberbiztonsági Riasztási Rendszer) az összehangolt észlelési és helyzetismereti képességek kiépítése érdekében, megerősítve az Unió fenyegetésészlelési és információmegosztási képességeit; létre kell hozni a kiberbiztonsági vészhelyzeti mechanizmust, amely kérésükre támogatja a tagállamokat a jelentős és a nagyszabású kiberbiztonsági incidensekre való felkészülésben, reagálásban, azok hatásainak mérséklésében és az azokat követő helyreállítás megkezdésében, valamint támogatja az egyéb felhasználókat a jelentős és a nagyszabású kiberbiztonsági incidensekre való reagálásban; és létre kell hozni az európai kiberbiztonsági incidensek felülvizsgálati mechanizmusát konkrét jelentős vagy nagyszabású kiberbiztonsági incidensek felülvizsgálata és értékelése céljából. Az e rendelet szerinti hozott intézkedéseket a tagállami hatáskörök kellő tiszteletben tartásával kell végrehajtani, és azoknak ki kell egészíteniük az (EU) 2022/2555 irányelv alapján létrehozott CSIRT-hálózat, az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (a továbbiakban: EU-CyCLONe) vagy az Együttműködési Csoport (a továbbiakban: Kiberbiztonsági Együttműködési Csoport) által végzett tevékenységeket, és nem kettőzhetik meg azokat. Ezek az intézkedések nem érintik az Európai Unió működéséről szóló szerződés (EUMSZ) 107. és 108. cikkét.

(8)

E célkitűzések elérése érdekében bizonyos területeket érintően módosítani kell az (EU) 2021/694 európai parlamenti és tanácsi rendeletet (9). Konkrétabban, e rendeletnek módosítania kell az (EU) 2021/694 rendeletet a tekintetben, hogy kiegészítse azt az Európai Kiberbiztonsági Riasztási Rendszerhez és a kiberbiztonsági vészhelyzeti mechanizmushoz kapcsolódó új operatív célkitűzésekkel, a Digitális Európa program 3. sz. egyedi célkitűzése szerint, amelynek célja a digitális egységes piac ellenálló képességének, integritásának és megbízhatóságának garantálása, a kibertámadások és -fenyegetések nyomon követésére és az azokra való reagálásra szolgáló képességek megerősítése, valamint a kiberbiztonsággal kapcsolatos, határokon átnyúló együttműködés és koordináció megerősítése. Az Európai Kiberbiztonsági Riasztási Rendszer fontos szerepet játszhat abban, hogy támogassa a tagállamokat a kiberfenyegetések előrejelzésében és az azokkal szembeni védekezésben, az uniós kiberbiztonsági tartalék pedig fontos szerepet játszhat a tagállamok, az uniós intézmények, szervek, hivatalok és ügynökségek, valamint a Digitális Európa programhoz társult harmadik országok támogatásában a jelentős, a nagyszabású és a nagyszabásúval egyenértékű kiberbiztonsági incidensek hatásainak kezelésében és mérséklésében. E hatások közé tartozhatnak jelentős anyagi vagy nem vagyoni károk, valamint súlyos közbiztonsági és biztonsági kockázatok. Tekintettel azokra a konkrét szerepekre, amelyeket az Európai Kiberbiztonsági Riasztási Rendszer és az uniós kiberbiztonsági tartalék játszhat, e rendeletnek módosítania kell az (EU) 2021/694 rendeletet az Unióban letelepedett, de harmadik országokból irányított jogalanyok részvétele tekintetében, amennyiben valós a kockázata annak, hogy a szükséges és elégséges eszköz, infrastruktúra és szolgáltatás, illetve technológia, szakértelem és kapacitás nem áll rendelkezésre az Unióban, és az ilyen szervezetek bevonásának előnyei meghaladják a biztonsági kockázatot. Meg kell határozni azokat a konkrét feltételeket, amelyek mellett pénzügyi támogatás nyújtható az Európai Kiberbiztonsági Riasztási Rendszert és az uniós kiberbiztonsági tartalékot végrehajtó intézkedésekhez, és meg kell határozni a kitűzött célok eléréséhez szükséges irányítási és koordinációs mechanizmusokat. Az (EU) 2021/694 rendelet egyéb módosításai ismertetik az új operatív célkitűzések keretében javasolt intézkedéseket, valamint az új operatív célkitűzések végrehajtásának nyomon követésére szolgáló mérhető mutatókat.

(9)

A kiberfenyegetésekre és -incidensekre adott uniós válasz megerősítése érdekében létfontosságú a nemzetközi szervezetekkel, valamint a megbízható, hasonlóan gondolkodó nemzetközi partnerekkel folytatott együttműködés. Ebben az összefüggésben a megbízható, hasonlóan gondolkodó nemzetközi partnerek alatt olyan országokat kell érteni, amelyek osztják azokat az elveket, amelyek az Unió létrehozását vezérelték, nevezetesen a demokrácia, a jogállamiság, az emberi jogok és alapvető szabadságok egyetemes és oszthatatlan volta, az emberi méltóság tiszteletben tartása, az egyenlőség és a szolidaritás elve, valamint az Egyesült Nemzetek Alapokmányában foglalt elvek és a nemzetközi jog tiszteletben tartása, és amelyek nem ássák alá az Unió vagy tagállamai alapvető biztonsági érdekeit. Ez az együttműködés az e rendelet szerint hozott intézkedések, különösen az Európai Kiberbiztonsági Riasztási Rendszer és az uniós kiberbiztonsági tartalék tekintetében is előnyös lehet. Az (EU) 2021/694 rendeletnek az Európai Kiberbiztonsági Riasztási Rendszer és az uniós kiberbiztonsági tartalék tekintetében elő kell írnia, hogy bizonyos rendelkezésre állási és biztonsági feltételek teljesülése esetén az Európai Kiberbiztonsági Riasztási Rendszerre és az uniós kiberbiztonsági tartalékra vonatkozó pályázatok – a biztonsági követelmények betartása mellett – nyitva legyenek harmadik országokból irányított jogalanyok előtt. A közbeszerzés ilyen módon történő megnyitásával kapcsolatos biztonsági kockázat értékelésekor fontos figyelembe venni azokat az elveket és értékeket, amelyek közösek az Unió és a hasonlóan gondolkodó nemzetközi partnerek között, amennyiben ezek az elvek és értékek az Unió alapvető biztonsági érdekeihez kapcsolódnak. Emellett, amikor az (EU) 2021/694 rendelet keretében ilyen biztonsági követelményeket mérlegelnek, több elemet is figyelembe lehet venni, például a szervezet szervezeti felépítését és döntéshozatali eljárását, az adatok és a minősített vagy érzékeny információk biztonságát, valamint annak biztosítását, hogy az intézkedés eredményeit a nem jogosult harmadik országok ne ellenőrizhessék és ne korlátozhassák.

(10)

Az e rendelet szerinti intézkedések finanszírozásáról az (EU) 2021/694 rendelet rendelkezik, amely változatlanul a Digitális Európa program 3. sz. egyedi célkitűzésében foglalt intézkedések releváns alap-jogiaktusának számít. Az (EU) 2021/694 rendelettel összhangban a vonatkozó munkaprogramok határozzák meg az egyes intézkedések egyedi részvételi feltételeit.

(11)

Erre a rendeletre az Európai Parlament és a Tanács által az EUMSZ 322. cikke alapján elfogadott horizontális költségvetési szabályok alkalmazandók. E szabályokat az (EU, Euratom) 2024/2509 európai parlamenti és tanácsi rendelet (10) állapítja meg, és e szabályok meghatározzák különösen az uniós költségvetés elkészítésére és végrehajtására vonatkozó eljárást, továbbá rendelkeznek a pénzügyi szereplők felelősségével kapcsolatos ellenőrzésekről. Az EUMSZ 322. cikke alapján elfogadott szabályok az uniós költségvetés védelmét szolgáló, az (EU, Euratom) 2020/2092 európai parlamenti és tanácsi rendeletben (11) meghatározott általános feltételrendszert is magukban foglalják.

(12)

Bár a megelőzési és felkészültségi intézkedések elengedhetetlenek ahhoz, hogy az Unió ellenállóbbá váljon a jelentős kiberbiztonsági incidensekkel, a nagyszabású kiberbiztonsági incidensekkel és a nagyszabásúval egyenértékű kiberbiztonsági incidensekkel való szembenézés terén, az ilyen incidensek előfordulása, időzítése és nagyságrendje jellegénél fogva kiszámíthatatlan. A megfelelő reagálás biztosításához szükséges pénzügyi források évről évre jelentősen eltérhetnek, és azokat azonnal rendelkezésre kell bocsátani. Ezért a kiszámíthatóság költségvetési elvének az új igényekre való gyors reagálás szükségességével való összeegyeztetéséhez a munkaprogramok pénzügyi végrehajtásának kiigazítására van szükség. Következésképpen helyénvaló engedélyezni a fel nem használt előirányzatoknak a csak a következő évre és csak az uniós kiberbiztonsági tartalékra és a kölcsönös segítségnyújtást támogató intézkedésekre történő átvitelét, az (EU, Euratom) 2024/2509 rendelet 12. cikkének (4) bekezdése szerint engedélyezett előirányzatok átvitelén felül.

(13)

A kiberfenyegetések és -incidensek eredményesebb megelőzése, értékelése, az azokra való hatékonyabb reagálás, valamint az azokat követő helyreállítás érdekében átfogóbb ismereteket kell kialakítani az Unió területén található stratégiai eszközöket és kritikus infrastruktúrákat fenyegető veszélyekről, beleértve azok földrajzi elhelyezkedését, összekapcsoltságát és az ezen infrastruktúrákat érintő kibertámadások lehetséges hatásait is. A kiberfenyegetések azonosítására, mérséklésére és megelőzésére irányuló proaktív megközelítés magában foglalja a fejlett észlelési képességek kapacitásának növelését. Az Európai Kiberbiztonsági Riasztási Rendszernek több, határokon átnyúló kiberközpontból kell állnia, amelyek mindegyike három vagy több nemzeti kiberközpontot tömörít. Ennek az infrastruktúrának a nemzeti és uniós kiberbiztonsági érdekeket és igényeket kell szolgálnia, felhasználva a legkorszerűbb technológiát a releváns és adott esetben anonimizált adatok és információk fejlett gyűjtéséhez és elemzési eszközökhöz az összehangolt kiberészlelési és -kezelési képességek megerősítéséhez, valamint a valós idejű helyzetismeret biztosításához. Ennek az infrastruktúrának a kiberhelyzet javítását kell szolgálnia az adatok és információk észlelésének, összesítésének és elemzésének fokozása révén a kiberfenyegetések és -incidensek megelőzése céljából, és ezáltal ki kell egészítenie és támogatnia kell az uniós kiberválság-kezelésért felelős uniós szervezeteket és hálózatokat, különösen az EU-CyCLONe-t.

(14)

Az Európai Kiberbiztonsági Riasztási Rendszerben való részvétel önkéntes a tagállamok számára. Minden tagállamnak ki kell jelölnie egyetlen nemzeti szintű szervezetet, amelynek feladata a kiberfenyegetés-észlelési tevékenységek összehangolása az adott tagállamban. Ezeknek a nemzeti kiberközpontoknak nemzeti szinten referenciapontként és átjáróként kell szolgálniuk az Európai Kiberbiztonsági Riasztási Rendszerben való részvételhez, és biztosítaniuk kell, hogy az állami és magánszervezetektől származó, kiberfenyegetettséggel kapcsolatos információkat nemzeti szinten hatékonyan és egységesen osszák meg és gyűjtsék össze. A nemzeti kiberközpontok megerősíthetik a köz- és magánszervezetek közötti együttműködést és információmegosztást, és támogathatják a releváns adatoknak és információknak az érintett ágazati és ágazatközi közösségekkel, többek között az érintett ágazati információmegosztó és -elemző központokkal (a továbbiakban: ISAC) való cseréjét. Az állami és magánszervezetek közötti szoros és összehangolt együttműködés központi szerepet játszik az Unió kiberellenálló képességének megerősítésében. Ez az együttműködéskülönösen értékes a kiberfenyegetettség felderítés megosztásának összefüggésében az aktív kibervédelem javítása érdekében. Ezen együttműködés és információmegosztás részeként a nemzeti kiberközpontok konkrét információkat kérhetnek és kaphatnak. E nemzeti kiberközpontokat ez a rendelet nem kötelezi és nem is hatalmazza fel az ilyen megkeresések érvényesítésére. Adott esetben, valamint az uniós és a nemzeti joggal összhangban a kért vagy kapott információk magukban foglalhatják az adott tagállamon belül kiemelten kritikus ágazatokban, vagy egyéb kritikus ágazatokban működő szervezetektől – például irányított biztonsági szolgáltatóktól – származó telemetriai, érzékelő- és naplózási adatokat annak érdekében, hogy a potenciális kiberfenyegetések és -incidensek korábbi szakaszban történő gyors észlelése javuljon, ezáltal javítva a helyzetismeretet. Ha a nemzeti kiberközpont nem az érintett tagállam által az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése szerint kijelölt vagy létrehozott illetékes hatóság, alapvető fontosságú, hogy együttműködjön az említett illetékes hatósággal az ilyen adatkérések és -fogadások tekintetében.

(15)

Az Európai Kiberbiztonsági Riasztási Rendszer részeként számos határokon átnyúló kiberközpontot kell létrehozni. A határokon átnyúló fenyegetések észlelése, valamint az információmegosztás és -kezelés előnyeinek teljes körű kiaknázása érdekében ezeknek a határokon átnyúló kiberközpontoknak legalább három tagállam nemzeti kiberközpontjából kell állniuk. A határokon átnyúló kiberközpontok általános célkitűzése a kiberfenyegetések elemzésére, megelőzésére és észlelésére szolgáló kapacitások megerősítése, valamint a magas színvonalú kiberfenyegetettség felderítés előállításának támogatása kell, hogy legyen, elsősorban releváns és adott esetben anonimizált információk megbízható és biztonságos környezetben, a különböző – köz- vagy magánforrásokból származó – adatok megosztása, a legkorszerűbb eszközök megosztása és közös használata, valamint az észlelési, elemzési és megelőzési képességek megbízható és biztonságos környezetben történő közös fejlesztése révén. A határokon átnyúló kiberközpontoknak új, kiegészítő kapacitást kell biztosítaniuk a meglévő SOC-okra és CSIRT-ekre és más érintett szereplőkre, többek között a CSIRT-ek hálózatára építve és azokat kiegészítve.

(16)

Az (EU) 2021/887 európai parlamenti és tanácsi rendelettel (12) létrehozott Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont (ECCC) által a nemzeti kiberközpont létrehozására vagy kapacitásainak fejlesztésére irányuló részvételi szándék kifejezésére való felhívást követően kiválasztott tagállamnak az ECCC-vel közösen kell beszereznie a releváns eszközöket, infrastruktúrákat vagy szolgáltatásokat. Az ilyen tagállamoknak jogosultaknak kell lenniük arra, hogy támogatásban részesüljenek az eszközök, infrastruktúrák vagy szolgáltatások működtetéséhez. Az ECCC által a részvételi szándék kifejezésére való felhívást követően határokon átnyúló kiberközpont létrehozására vagy kapacitásainak fejlesztésére kiválasztott, legalább három tagállamból álló üzemeltetési konzorciumnak az ECCC-vel közösen kell beszereznie a releváns eszközöket, infrastruktúrát vagy szolgáltatásokat. Az üzemeltetési konzorciumnak jogosultnak kell lennie arra, hogy támogatásban részesüljön az eszközök, infrastruktúra vagy szolgáltatások működtetéséhez. A vonatkozó eszközök, infrastruktúra vagy szolgáltatások beszerzésére irányuló közbeszerzési eljárást az ECCC-nek és az adott részvételi szándék kifejezésére való felhívást követően kiválasztott tagállamok érintett ajánlatkérő szerveinek közösen kell lefolytatniuk. Az ilyen beszerzésnek meg kell felelnie az (EU, Euratom) 2024/2509 rendelet 168. cikke (2) bekezdésének és az ECCC pénzügyi szabályzatának. A magánszervezetek ezért nem lehetnek jogosultak arra, hogy részt vegyenek a részvételi szándék kifejezésére való felhívásokban, hogy az ECCC-vel közösen vásároljanak eszközöket, infrastruktúrákat vagy szolgáltatásokat, és nem kaphatnak támogatást ezen eszközök, infrastruktúrák vagy szolgáltatások működtetéséhez. A tagállamok számára azonban lehetővé kell tenni, hogy az uniós és a nemzeti joggal összhangban más, általuk megfelelőnek ítélt módon bevonják a magánszervezeteket nemzeti kiberközpontjaik és határokon átnyúló kiberközpontjaik létrehozásába, fejlesztésébe és működtetésébe. A magánszervezetek az (EU) 2021/887 rendelet szerint uniós finanszírozásra is jogosultak lehetnek a nemzeti kiberközpontok támogatása céljából.

(17)

Az Unión belüli kiberfenyegetések észlelésének és helyzetismeretének javítása érdekében a nemzeti kiberközpont létrehozására vagy képességeinek fejlesztésére irányuló részvételi szándék kifejezésére való felhívást követően kiválasztott tagállamoknak kötelezettséget kell vállalniuk arra, hogy pályáznak a határokon átnyúló kiberközpontban való részvételre. Amennyiben egy tagállam az eszközök, infrastruktúrák vagy szolgáltatások beszerzésének vagy a vissza nem térítendő támogatás igénybevételének időpontjától számított két éven belül – attól függően, hogy melyik következik be előbb – nem vesz részt egy határokon átnyúló kiberközpontban, nem lehet jogosult arra, hogy részt vegyen a nemzeti kiberközpont képességeinek fejlesztését célzó további, az Európai Kiberbiztonsági Riasztási Rendszer keretében hozott uniós támogatási intézkedésekben. Ilyen esetekben a tagállamok szervezetei továbbra is részt vehetnek a Digitális Európa program vagy más uniós finanszírozási programok keretében más témákra vonatkozó pályázati felhívásokban, ideértve a kiberészlelési és információmegosztási kapacitásokra vonatkozó felhívásokat is, feltéve, hogy ezek a szervezetek megfelelnek a programokban meghatározott támogathatósági kritériumoknak.

(18)

A CSIRT-ek az (EU) 2022/2555 irányelvvel összhangban a CSIRT-ek hálózatában folytatnak információcserét. Az Európai Kiberbiztonsági Riasztási Rendszernek olyan új képességet kell képeznie, amely kiegészíti a CSIRT-ek hálózatát azáltal, hogy hozzájárul egy olyan uniós helyzetismeret kialakításához, amely lehetővé teszi a CSIRT-ek hálózata képességeinek megerősítését. A határokon átnyúló kiberközpontoknak szoros koordinációt és együttműködést kell folytatniuk a CSIRT-ek hálózatával. Úgy kell eljárniuk, hogy összegyűjtik az adatokat, és megosztják a köz- és magánszervezetektől származó kiberfenyegetésekre vonatkozó releváns és adott esetben anonimizált információkat, szakértői elemzések, valamint közösen beszerzett infrastruktúrák és legkorszerűbb eszközök révén növelik az ilyen adatok és információk értékét, továbbá hozzájárulnak az Unió technológiai szuverenitásához, nyitott stratégiai autonómiájához, versenyképességéhez és ellenálló képességéhez, valamint az uniós képességek fejlesztéséhez.

(19)

A határokon átnyúló kiberközpontoknak olyan központi pontként kell működniük, amely lehetővé teszi a releváns adatok és kiberfenyegetettség felderítés kiterjedt gyűjtését, és a fenyegetettségre vonatkozó információk különféle érdekelt felek, mint például hálózatbiztonsági vészhelyzeteket elhárító csoportok (a továbbiakban: CERT), CSIRT-ek, ISAC-ok és a kritikus infrastruktúrák üzemeltetői közötti széles körű terjesztését. Az üzemeltetési konzorcium tagjainak a konzorciumi megállapodásban meg kell határozniuk az érintett, határokon átnyúló kiberközpont résztvevői között megosztandó releváns információkat. A határokon átnyúló kiberközpont résztvevői közötti információcsere kiterjedhet például a hálózatokból és érzékelőkből származó adatokra, a kiberfenyegetettségi információk hírcsatornáira, a fertőzöttségi mutatókra, valamint a kiberbiztonsági incidensekre, kiberfenyegetésekre, majdnem bekövetkezett incidensekre, sebezhetőségekre, technikákra és eljárásokra, kontradiktórius taktikákra, a fenyegetettségi szereplőkre vonatkozó konkrét információkra, kiberbiztonsági riasztásokra és a kibertámadások észlelésére szolgáló kiberbiztonsági eszközök konfigurációjára vonatkozó ajánlásokra. Emellett a határokon átnyúló kiberközpontoknak együttműködési megállapodásokat kell kötniük egymással is. Ezeknek az együttműködési megállapodásoknak különösen az információmegosztás elveit és az interoperabilitást kell meghatározniuk. Az interoperabilitásra vonatkozó záradékaiknak – különösen az információmegosztás formátumainak és protokolljainak – az (EU) 2019/881 rendelettel létrehozott Európai Uniós Kiberbiztonsági Ügynökség (a továbbiakban: ENISA) által kiadott iránymutatásokon kell alapulniuk, és ezért azokat kiindulópontként kell tekinteniük. Ezeket az iránymutatásokat mielőbb ki kell adni annak biztosítása érdekében, hogy a határokon átnyúló kiberközpontok már korai szakaszban figyelembe vehessék azokat. Figyelembe kell venniük a nemzetközi szabványokat és a bevált gyakorlatokat és a határokon átnyúló kiberközpontok jelenlegi működését.

(20)

A határokon átnyúló kiberközpontoknak és a CSIRT-ek hálózatának szorosan együtt kell működnie a szinergiák és a tevékenységek egymást kiegészítő jellegének biztosítása érdekében. E célból meg kell állapodniuk az együttműködésre és a releváns információk megosztására vonatkozó eljárási szabályokról. Ez magában foglalhatja a kiberfenyegetésekre és a jelentős kiberbiztonsági incidensekre vonatkozó releváns információk megosztását, valamint annak biztosítását, hogy a határokon átnyúló kiberközpontokban használt legkorszerűbb eszközökkel, különösen a mesterséges intelligenciával és az adatelemzési technológiával kapcsolatos tapasztalatokat megosszák a CSIRT-ek hálózatával.

(21)

Az érintett hatóságok közösen kialakított helyzetismerete elengedhetetlen előfeltétele a jelentős és a nagyszabású kiberbiztonsági incidensekkel kapcsolatos uniós szintű felkészültségnek és koordinációnak. A nagyszabású kiberbiztonsági incidensek és válsághelyzetek operatív szintű összehangolt kezelésének támogatása, valamint a releváns információk tagállamok és az Unió intézményei, szervei, hivatalai és ügynökségei közötti rendszeres cseréjének biztosítása érdekében az (EU) 2022/2555 irányelv létrehozta az EU-CyCLONe-t. Az (EU) 2022/2555 irányelv a CSIRT-ek hálózatát is létrehozta a valamennyi tagállam közötti gyors és hatékony operatív együttműködés előmozdítása érdekében. A helyzetismeret biztosítása és a szolidaritás megerősítése érdekében azokban a helyzetekben, amikor a határokon átnyúló kiberközpontok egy potenciális vagy folyamatban lévő nagyszabású kiberbiztonsági incidensről szereznek információt, releváns információkat kell szolgáltatniuk a CSIRT-ek hálózatának, és korai előrejelzésként tájékoztatniuk kell az EU-CyCLONe-t. A helyzettől függően a megosztandó információk közé tartozhatnak különösen a technikai információk, a támadó vagy potenciális támadó jellegére és szándékaira vonatkozó információk, valamint a potenciális vagy folyamatban lévő nagyszabású kiberbiztonsági incidensekkel kapcsolatos magasabb szintű, nem technikai jellegű információk. Ebben az összefüggésben kellő figyelmet kell fordítani a szükséges ismeret elvére és a megosztott információk potenciálisan érzékeny jellegére. Az (EU) 2022/2555 irányelv ismételten hangsúlyozza a Bizottságnak az 1313/2013/EU európai parlamenti és tanácsi határozattal (13) létrehozott uniós polgári védelmi mechanizmussal (a továbbiakban: UCPM) kapcsolatos felelősségét is, valamint hogy a Bizottság felelőssége, hogy elemző jelentéseket készítsen az (EU) 2018/1993 tanácsi végrehajtási határozat (14) szerinti uniós politikai szintű integrált válságelhárítási mechanizmus (a továbbiakban: IPCR-mechanizmus) számára. Amikor a határokon átnyúló kiberközpontok megosztják az EU-CyCLONe-nal és a CSIRT-ek hálózatával a potenciális vagy folyamatban lévő nagyszabású kiberbiztonsági incidensekkel kapcsolatos releváns információkat és korai figyelmeztetéseket, elengedhetetlen, hogy ezeket az információkat ezeken a hálózatokon keresztül megosszák a tagállami hatóságokkal és a Bizottsággal. E tekintetben az (EU) 2022/2555 irányelv előírja, hogy az EU-CyCLONe célja a nagyszabású kiberbiztonsági incidensek és válságok operatív szintű összehangolt kezelésének támogatása, valamint a releváns információk tagállamok és az Unió intézményei, szervei, hivatalai és ügynökségei közötti rendszeres cseréjének biztosítása. Az EU-CyCLONe feladatai közé tartozik az ilyen incidensekre és válságokra vonatkozó közös helyzetismeret kialakítása. Rendkívül fontos, hogy az EU-CyCLONe e céllal és feladataival összhangban biztosítsa, hogy az ilyen információkat haladéktalanul eljuttassák az érintett tagállamok képviselőinek és a Bizottságnak. E célból alapvető fontosságú, hogy az EU-CyCLONe eljárási szabályzata megfelelő rendelkezéseket tartalmazzon.

(22)

Az Európai Kiberbiztonsági Riasztási Rendszerben részt vevő szervezeteknek gondoskodniuk kell az egymás közötti magas szintű interoperabilitásról, beleértve adott esetben az adatformátumokat, a taxonómiát, az adatkezelésre és az adatelemzésre szolgáló eszközöket. Gondoskodniuk kell továbbá a biztonságos kommunikációs csatornákról, az alkalmazási réteg minimális biztonsági szintjéről, a helyzetismereti jelzőrendszerről és a mutatókról. A közös taxonómia elfogadása és az észlelt kiberfenyegetések és -kockázatok okait leíró helyzetjelentés-minta kidolgozása során figyelembe kell venni az (EU) 2022/2555 irányelv végrehajtásával összefüggésben már elvégzett munkát.

(23)

Annak érdekében, hogy a különböző forrásokból származó, kiberfenyegetésekkel kapcsolatos adat- és információcserére széles körben és megbízható környezetben kerülhessen sor, az Európai Kiberbiztonsági Riasztási Rendszerben részt vevő szervezeteket a legkorszerűbb, rendkívül biztonságos eszközökkel, berendezésekkel és infrastruktúrákkal kell felszerelni, valamint képzett személyzettel kell ellátni. Ez várhatóan lehetővé teszi a közös észlelési képességek javítását és a hatóságok és az érintett szervezetek időben történő figyelmeztetését, különösen a legkorszerűbb mesterségesintelligencia- és adatelemzési technológiák alkalmazásával.

(24)

A releváns adatok és információk gyűjtése, elemzése, megosztása és cseréje révén az Európai Kiberbiztonsági Riasztási Rendszernek meg kell erősítenie az Unió technológiai szuverenitását és nyitott stratégiai autonómiáját a kiberbiztonság, a versenyképesség és az ellenálló képesség területén. A kiváló minőségű rendszerezett adatok összevonása hozzájárulhat a fejlett mesterségesintelligencia- és adatelemzési technológiák fejlesztéséhez is. Az emberi felügyelet és e célból a képzett munkaerő továbbra is elengedhetetlen a jó minőségű adatok hatékony összegyűjtéséhez.

(25)

Jóllehet az Európai Kiberbiztonsági Riasztási Rendszer polgári projekt, a kibervédelmi közösség számára is előnyt jelenthetnek a kritikus infrastruktúrák védelmére kifejlesztett, erősebb polgári észlelési és helyzetismereti képességek.

(26)

Az Európai Kiberbiztonsági Riasztási Rendszer résztvevői közötti információmegosztásnak meg kell felelnie a meglévő jogi követelményeknek, különösen az uniós és nemzeti adatvédelmi jognak, valamint az információcserére irányadó uniós versenyjogi szabályoknak. Amennyiben személyes adatok kezelésére is szükség van, az információ címzettjének olyan technikai és szervezeti intézkedéseket kell végrehajtania, amelyek védik az érintettek jogait és szabadságait, és amint az adatok a megjelölt célból már nem szükségesek, meg kell azokat semmisítenie, majd tájékoztatnia kell az adatokat rendelkezésre bocsátó szervezetet arról, hogy az adatokat megsemmisítették.

(27)

A titoktartás és az információbiztonság megőrzése kiemelkedő fontosságú e rendelet mindhárom pillére szempontjából, legyen szó akár az Európai Kiberbiztonsági Riasztási Rendszer keretében történő információmegosztás és -csere ösztönzéséről, a kiberbiztonsági szükséghelyzeti mechanizmus keretében támogatást igénylő szervezetek érdekeinek védelméről, akár annak biztosításáról, hogy az európai kiberbiztonsági incidensek felülvizsgálati mechanizmusa keretében tett bejelentésekből hasznos tanulságokat vonhassanak le anélkül, hogy negatív hatást gyakorolnának az incidensek által érintett szervezetekre. A tagállamok és a szervezetek e mechanizmusokban való részvétele az összetevőik közötti bizalmi viszonytól függ. Amennyiben az információk az uniós vagy nemzeti szabályok értelmében bizalmasak, az e rendelet szerinti információmegosztást vagy -cserét a megosztás, vagy csere céljára vonatkozó és azzal arányos mértékre kell korlátozni. Ennek az információmegosztásnak vagy -cserének meg kell őriznie ezen információk bizalmas jellegét is, beleértve az érintett szervezetek biztonsági és kereskedelmi érdekeinek védelmét is. Az e rendelet szerinti információmegosztás vagy -csere történhet titoktartási megállapodások, vagy az információterjesztésre vonatkozó iránymutatás, például a jelzőlámpa-protokoll (a továbbiakban: TLP) alkalmazásával. A TLP-t olyan eszközként kell értelmezni, amely arra szolgál, hogy tájékoztatást nyújtson az információk további terjesztésének korlátairól. Szinte valamennyi CSIRT-ben és egyes ISAC-kban használják. Ezen általános követelmények mellett az Európai Kiberbiztonsági Riasztási Rendszer tekintetében az üzemeltetési konzorciumokra vonatkozó megállapodásoknak konkrét szabályokat kell megállapítaniuk az érintett, határokon átnyúló kiberközponton belüli információmegosztás feltételeire vonatkozóan. Ezek a megállapodások különösen azt írhatják elő, hogy az információmegosztás kizárólag az uniós és a nemzeti joggal összhangban történjen.

(28)

Az uniós kiberbiztonsági tartalék bevezetése tekintetében egyedi titoktartási szabályokra van szükség. A támogatás igénylésére, értékelésére és nyújtására válsághelyzetben, valamint az érzékeny ágazatokban működő szervezetek tekintetében kerül sor. Az uniós kiberbiztonsági tartalék hatékony működéséhez elengedhetetlen, hogy a felhasználók és a szervezetek képesek legyenek haladéktalanul megosztani és hozzáférést biztosítani minden olyan információhoz, amely ahhoz szükséges, hogy az egyes szervezetek részt tudjanak venni a kérelmek értékelésében és a támogatás kiépítésében. Ennek megfelelően e rendeletnek elő kell írnia, hogy minden ilyen információt csak akkor lehet felhasználni vagy megosztani, ha az az uniós kiberbiztonsági tartalék működéséhez szükséges, és hogy az uniós és a nemzeti jog szerint bizalmas vagy minősített információkat kizárólag az említett jognak megfelelően szabad felhasználni és megosztani. Emellett a felhasználók számára mindig lehetővé kell tenni, hogy adott esetben információmegosztási protokollokat, például TLP-t használjanak a korlátozások további meghatározására. Bár a felhasználók mérlegelési jogkörrel rendelkeznek e tekintetben, fontos, hogy e korlátozások alkalmazásakor figyelembe vegyék a lehetséges következményeket, különösen a kért szolgáltatások késedelmes értékelése vagy nyújtása tekintetében. A hatékony uniós kiberbiztonsági tartalék létrehozása érdekében fontos, hogy az ajánlatkérő szerv a kérelem benyújtása előtt tisztázza ezeket a következményeket a felhasználó számára. Ezek a biztosítékok az uniós kiberbiztonsági tartalék szolgáltatásainak igénylésére és nyújtására korlátozódnak, és nem érintik a más összefüggésben, például az uniós kiberbiztonsági tartalék keretén belüli beszerzésekkel kapcsolatos információcserét.

(29)

Tekintettel arra, hogy a tagállamokat érintő incidensek egyre nagyobb kockázatot jelentenek és egyre gyakoribbak, létre kell hozni egy válsághelyzetek kezelését célzó támogatási eszközt, nevezetesen a kiberbiztonsági vészhelyzeti mechanizmust, amely javítja az Unió jelentős, nagyszabású és nagyszabásúval egyenértékű kiberbiztonsági incidensekkel szembeni ellenálló képességet, és a felkészültséghez, az incidensekre történő reagáláshoz és az alapvető szolgáltatások helyreállításának megkezdéséhez nyújtott vészhelyzeti pénzügyi támogatás révén kiegészíti a tagállamok intézkedéseit. Mivel az incidenst követő teljes helyreállítás az incidens által érintett szervezet működésének az incidens előtti állapotba való helyreállítására irányuló átfogó folyamat, amely hosszú és költséges lehet, az uniós kiberbiztonsági tartalékból származó támogatást a helyreállítási folyamat kezdeti szakaszára kell korlátozni, ami a rendszerek alapvető funkcióinak helyreállításához vezet. A kiberbiztonsági vészhelyzeti mechanizmusnak lehetővé kell tennie a meghatározott körülmények közötti és egyértelmű feltételek melletti gyors és tényleges segítségnyújtást, valamint a források felhasználásának részletes nyomon követését és értékelését. Míg az incidensek és válsághelyzetek megelőzése, valamint az azokra való felkészülés és reagálás elsősorban a tagállamok feladata, a kiberbiztonsági vészhelyzeti mechanizmus az Európai Unióról szóló szerződés (EUSZ) 3. cikkének (3) bekezdésével összhangban előmozdítja a tagállamok közötti szolidaritást.

(30)

A jelentős és a nagyszabású kiberbiztonsági incidensekre való reagálás alkalmával és azokat követő helyreállítás megkezdése során a kiberbiztonsági vészhelyzeti mechanizmusnak a tagállami intézkedéseket és erőforrásokat, valamint a rendelkezésre álló egyéb támogatási lehetőségeket – például az ENISA által a megbízatásával összhangban nyújtott szolgáltatásokat, a CSIRT-ek hálózata nyújtotta összehangolt reagálást és segítséget, az EU-CyCLONe mérséklési támogatását, valamint a tagállamok közötti, többek között az EUSZ 42. cikkének (7) bekezdésével összefüggésben és a (KKBP) 2017/2315 tanácsi határozattal (15) létrehozott állandó strukturált együttműködés (PESCO) kiberbiztonsági incidensekkel foglalkozó gyorsreagálású csoportjai keretében nyújtott kölcsönös segítségnyújtást – kiegészítve kell támogatnia a tagállamokat. A mechanizmusnak az igényekre reagálva biztosítania kell, hogy Unió-szerte és a Digitális Európa programhoz társult harmadik országokban speciális eszközök álljanak rendelkezésre, amelyek támogatják az ilyen incidensekre való felkészültséget, reagálást, és az azokat követő helyreállítást.

(31)

Ez a rendelet nem érinti a válságreagálás uniós szintű koordinálására szolgáló eljárásokat és kereteket, különösen az (EU) 2022/2555 irányelvet, az 1313/2013/EU európai parlamenti és tanácsi határozattal (16) létrehozott uniós polgári védelmi mechanizmust, az IPCR-mechanizmust és az (EU) 2017/1584 bizottsági ajánlást (17). A kiberbiztonsági szükséghelyzeti mechanizmus keretében nyújtott támogatás kiegészítheti a közös kül- és biztonságpolitika, valamint a közös biztonság- és védelempolitika keretében – többek között a kiberbiztonsági incidensekkel foglalkozó gyorsreagálású csoportokon keresztül – nyújtott támogatást, figyelembe véve a kiberbiztonsági szükséghelyzeti mechanizmus polgári jellegét. A kiberbiztonsági szükséghelyzeti mechanizmus keretében nyújtott támogatás kiegészítheti az EUSZ 42. cikkének (7) bekezdésével összefüggésben végrehajtott intézkedéseket, beleértve az egyik tagállam által egy másik tagállamnak nyújtott támogatást, vagy részét képezheti az Unió és a tagállamok közötti, vagy az EUMSZ 222. cikkében említett helyzetekben végrehajtott közös reagálásnak. E rendelet végrehajtását adott esetben össze kell hangolni a kiberdiplomáciai eszköztár szerinti intézkedések végrehajtásával is.

(32)

Az e rendelet alapján biztosított segítségnyújtásnak támogatnia kell a tagállamok által nemzeti szinten hozott intézkedéseket, és ki kell egészítenie azokat. E célból biztosítani kell a Bizottság, a tagállamok, az ENISA és adott esetben az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont közötti szoros együttműködést és konzultációt. Amikor valamely tagállam támogatást kér a kiberbiztonsági vészhelyzeti mechanizmus keretében, meg kell adnia a támogatás iránti igényét alátámasztó releváns információkat.

(33)

Az (EU) 2022/2555 irányelv előírja a tagállamok számára, hogy jelöljenek ki vagy hozzanak létre egy vagy több, kiberválságok kezelésével foglalkozó hatóságot, és biztosítsák, hogy azok megfelelő forrásokkal rendelkezzenek a rájuk ruházott feladatok hatékony és eredményes ellátásához. Előírja továbbá a tagállamok számára, hogy meghatározzák azon képességeket, eszközöket és eljárásokat, amelyek válság esetén alkalmazhatók, valamint hogy fogadjanak el nemzeti szintű nagyszabású kiberbiztonsági incidens- és válságelhárítási tervet, amelyben meghatározzák a nagyszabású kiberbiztonsági incidensek és válsághelyzetek kezelésének célkitűzéseit és szabályait. A tagállamoknak továbbá létre kell hozniuk egy vagy több CSIRT-et, amelyek feladata az incidensek egy jól meghatározott folyamat szerinti kezelése, amely kiterjed legalább az említett irányelv hatálya alá tartozó ágazatokra, alágazatokra és szervezettípusokra, és biztosítaniuk kell, hogy hogy minden CSIRT megfelelő erőforrásokkal rendelkezzen feladatai hatékony ellátásához. Ez a rendelet nem érinti a Bizottság szerepét annak biztosításában, hogy a tagállamok megfeleljenek az (EU) 2022/2555 irányelvben foglalt kötelezettségeknek. A kiberbiztonsági szükséghelyzeti mechanizmusnak segítséget kell nyújtania a felkészültség megerősítését és az incidensekre való reagálást célzó intézkedésekhez a jelentős és nagyszabású kiberbiztonsági incidensek hatásának mérséklése, a helyreállítás megkezdésének támogatása vagy a kiemelten kritikus ágazatokban vagy egyéb kritikus ágazatokban működő szervezetek által nyújtott szolgáltatások alapvető funkcióinak helyreállítása érdekében.

(34)

A következetes megközelítés előmozdítása, valamint az Unió és belső piaca biztonságának megerősítése érdekében a készültségi intézkedések részeként támogatást kell nyújtani az (EU) 2022/2555 irányelv alapján azonosított, kiemelten kritikus ágazatokban működő szervezetek kiberbiztonságának összehangolt teszteléséhez és értékeléséhez, többek között gyakorlat és képzés révén. E célból a Bizottságnak az ENISA-val, a Kiberbiztonsági Együttműködési Csoporttal és az EU-CyCLONe-val folytatott konzultációt követően rendszeresen azonosítania kell azokat az érintett ágazatokat vagy alágazatokat, amelyek jogosultak az uniós szintű összehangolt készültségi teszteléshez nyújtott pénzügyi támogatásra. Az ágazatokat vagy alágazatokat az (EU) 2022/2555 irányelv I. mellékletében felsorolt kiemelten kritikus ágazatok közül kell kiválasztani. Az összehangolt készültségi tesztelésnek közös kockázati forgatókönyveken és módszereken kell alapulnia. Az ágazatok kiválasztása és a kockázati forgatókönyvek kidolgozása során figyelembe kell venni a vonatkozó uniós szintű kockázatértékeléseket és kockázati forgatókönyveket, többek között a párhuzamosságok elkerülésének igényét, például az Európai Unió kiberbiztonsági helyzetének javításáról szóló tanácsi következtetésekben a Bizottsághoz, az Unió külügyi és biztonságpolitikai főképviselőjéhez (a továbbiakban: a főképviselő) és a Kiberbiztonsági Együttműködési Csoporthoz intézett felkérés szerinti, az érintett polgári és katonai szervekkel és ügynökségekkel, valamint a már működő hálózatokkal – többek között az EU-CyCLONe-nal – koordinációban elvégzendő kockázatértékelést és kidolgozandó kiberbiztonsági szempontú kockázati forgatókönyvet, és a távközlési hálózatokra és infrastruktúrákra vonatkozóan a nevers-i közös miniszteri felhívás nyomán a Kiberbiztonsági Együttműködési Csoport által, a Bizottság és az ENISA támogatásával, az (EU) 2018/1971 európai parlamenti és tanácsi rendelettel (18) létrehozott Európai Elektronikus Hírközlési Szabályozók Testületével (BEREC) együttműködésben elvégzendő kockázatértékelést, az (EU) 2022/2555 irányelv (19) 22. cikke alapján elvégzendő összehangolt kockázatértékeléseket, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben előírt digitális működési reziliencia tesztelését. Az ágazatok kiválasztása során figyelembe kell venni a kritikus infrastruktúra ellenálló képességének megerősítésére szolgáló koordinált megközelítésről szóló tanácsi ajánlást is.

(35)

Emellett a kiberbiztonsági vészhelyzeti mechanizmusnak támogatást kell nyújtania más készültségi intézkedésekhez, és támogatnia kell a felkészültséget más olyan ágazatokban, amelyekre nem terjed ki a kiemelten kritikus és egyéb kritikus ágazatokban működő szervezetek összehangolt készültségi tesztelése. Az említett intézkedések különböző típusú nemzeti szintű készültségi tevékenységet foglalhatnak magukban.

(36)

Amennyiben a tagállamok a készültségi intézkedések támogatására vissza nem térítendő támogatásban részesülnek, a kiemelten kritikus ágazatokban működő szervezetek önkéntes alapon részt vehetnek ezekben az intézkedésekben. Bevált gyakorlat, hogy az ilyen intézkedéseket követően a részt vevő szervezetek helyreállítási tervet dolgoznak ki az ebből eredő konkrét intézkedésekre vonatkozó ajánlások végrehajtására, hogy a lehető legteljesebb mértékben kihasználhassák a készültségi intézkedés előnyeit. Bár fontos, hogy a tagállamok az intézkedések részeként kérjék, hogy a részt vevő szervezetek dolgozzanak ki és hajtsanak végre ilyen helyreállítási terveket, e rendelet nem kötelezi és nem is hatalmazza fel a tagállamokat az ilyen kérelmek érvényesítésére. Az ilyen kérelmek nem érintik a szervezetekre és az illetékes hatóságok felügyeleti hatáskörére vonatkozó, az (EU) 2022/2555 irányelvvel összhangban meghatározott követelményeket.

(37)

A kiberbiztonsági vészhelyzeti mechanizmusnak emellett támogatást kell nyújtania a jelentős, a nagyszabású és a nagyszabásúval egyenértékű kiberbiztonsági incidensek hatásának mérséklését, a helyreállítás megkezdésének támogatását és az alapvető szolgáltatások működésének helyreállítását célzó, kiberbiztonsági incidensekre való reagálással kapcsolatos intézkedésekhez. Adott esetben ki kell egészítenie az uniós polgári védelmi mechanizmust, biztosítva a kiberbiztonsági incidensek polgárokra gyakorolt hatásaira való reagálás átfogó megközelítését.

(38)

A kiberbiztonsági szükséghelyzeti mechanizmusnak támogatnia kell az egyik tagállam által egy másik, jelentős vagy nagyszabású kiberbiztonsági incidens által érintett tagállamnak – beleértve az (EU) 2022/2555 irányelv 11. cikke (3) bekezdésének f) pontjában említett CSIRT-eket is – biztosított technikai segítségnyújtást. Az ilyen segítséget nyújtó tagállamok számára lehetővé kell tenni, hogy kérelmeket nyújtsanak be a szakértői csoportok kölcsönös segítségnyújtás keretében történő kiküldésével kapcsolatos költségek fedezésére. Az elszámolható költségek közé tartozhatnak a kiberbiztonsági szakértők utazási, szállás- és napidíjköltségei.

(39)

Tekintettel arra, hogy a magánvállalkozások alapvető szerepet játszanak a nagyszabású és a nagyszabásúval egyené kiberbiztonsági incidensek észlelésében, az azokra való felkészültségben és reagálásban, fontos elismerni az ilyen vállalkozásokkal folytatott önkéntes pro bono együttműködés értékét, amelynek keretében a nagyszabású és a nagyszabásúval egyenértékű kiberbiztonsági incidensek és válságok esetén díjazás nélkül kínálnak szolgáltatásokat. Az ENISA az EU-CyCLONe-nal együttműködve nyomon követhetné az ilyen pro bono kezdeményezések alakulását, és előmozdíthatná, hogy azok megfeleljenek az e rendelet értelmében a megbízható irányított biztonsági szolgáltatókra alkalmazandó kritériumoknak, többek között a magánvállalkozások megbízhatóságával, tapasztalataival, valamint az érzékeny információk biztonságos kezelésének képességével kapcsolatban.

(40)

A kiberbiztonsági vészhelyzeti mechanizmus részeként fokozatosan létre kell hozni egy uniós kiberbiztonsági tartalékot, amely megbízható irányított biztonsági szolgáltatók szolgáltatásaiból áll a tagállamokat, az uniós intézményeket, szerveket, hivatalokat és ügynökségeket vagy a Digitális Európa program társult harmadik országait érintő jelentős, nagyszabású vagy nagyszabásúval egyenértékű kiberbiztonsági incidensek esetén a reagálás támogatása és a helyreállítási intézkedések megkezdése céljából. Az uniós kiberbiztonsági tartalék keretében biztosítani kell a szolgáltatások rendelkezésre állását és készenlétét. Ezért annak magában kell foglalnia az előzetesen vállalt szolgáltatásokat, beleértve például a készenlétben lévő és rövid időn belül bevethető kapacitásokat. Az uniós kiberbiztonsági tartalék szolgáltatásai a nemzeti hatóságokat hivatottak támogatni abban, hogy saját nemzeti szintű intézkedéseik kiegészítéseként segítséget nyújtsanak a kiemelten kritikus vagy egyéb kritikus ágazatokban működő érintett szervezeteknek. Az uniós kiberbiztonsági tartalék szolgáltatásai hasonló feltételek mellett az uniós intézményeknek, szerveknek, hivataloknak és ügynökségeknek is támogatást nyújthatnak. Az uniós kiberbiztonsági tartalék hozzájárulhat az uniós ipar és szolgáltatások – többek között a mikrovállalkozások, valamint a kis- és középvállalkozások, továbbá az induló innovatív vállalkozások – versenyképességének megerősítéséhez is az Unióban, többek között a kutatási és innovációs beruházások ösztönzése révén. Az uniós kiberbiztonsági tartalékhoz kapcsolódó szolgáltatások beszerzése során fontos figyelembe venni az ENISA Európai Kiberbiztonsági Készségek Keretét. Amikor a felhasználók támogatást kérnek az uniós kiberbiztonsági tartalékból, kérelmükbe bele kell foglalniuk az érintett szervezetre és a lehetséges hatásokra vonatkozó megfelelő információkat, az uniós kiberbiztonsági tartalékból igényelt szolgáltatásra vonatkozó információkat, és az érintett szervezetnek nemzeti szinten nyújtott támogatást, amelyet figyelembe kell venni a kérelmező kérelmének értékelésekor. Az érintett szervezet rendelkezésére álló egyéb támogatási formákkal való kiegészítő jelleg biztosítása érdekében a kérelemnek – amennyiben rendelkezésre áll – tartalmaznia kell az incidensekre való reagálásra és az azokat követő helyreállítást megkezdő szolgáltatásokra vonatkozó meglévő szerződéses megállapodásokra, valamint az ilyen típusú incidensekre potenciálisan kiterjedő biztosítási szerződésekre vonatkozó információkat is.

(41)

Az uniós finanszírozás hatékony felhasználásának biztosítása érdekében az e uniós kiberbiztonsági tartalékból előzetesen lekötött szolgáltatásoknak a vonatkozó szerződéssel összhangban incidensek megelőzésével és elhárításával kapcsolatos felkészültségi szolgáltatásokká átalakíthatónak kell lenniük abban az esetben, ha ezeket az előzetesen lekötött szolgáltatásokat az előzetes kötelezettségvállalás ideje alatt nem használják fel incidensekre való reagálásra. Ezeknek a szolgáltatásoknak ki kell egészíteniük, és nem szabad megkettőzniük az ECCC által irányítandó készültségi intézkedéseket.

(42)

A tagállamok kiberválságkezelő hatóságai és CSIRT-jei, vagy a CERT-EU által az uniós intézmények, szervek, hivatalok és ügynökségek nevében benyújtott, az uniós kiberbiztonsági tartalékból származó támogatás iránti kérelmeket az ajánlatkérő szervnek kell értékelnie. Azokban az esetekben, amikor az ENISA-t bízták meg az uniós kiberbiztonsági tartalék igazgatásával és működtetésével, az ENISA minősül az ajánlatkérő szervnek. A Digitális Európa programhoz társult harmadik országok támogatás iránti kérelmeit a Bizottságnak kell értékelnie. A támogatási kérelmek benyújtásának és értékelésének megkönnyítése érdekében az ENISA biztonságos platformot hozhat létre.

(43)

Amennyiben több párhuzamos megkeresés érkezik, ezeket a kérelmeket az e rendeletben meghatározott kritériumokkal összhangban kell rangsorolni. E rendelet általános célkitűzéseinek fényében e kritériumoknak ki kell terjedniük az incidens nagyságrendjére és súlyosságára, az érintett szervezet típusára, az incidensnek az érintett tagállamokra és felhasználókra gyakorolt lehetséges hatására, a lehetséges határokon átnyúló jellegére és a továbbgyűrűző hatások kockázatára, valamint a felhasználó által a reagálás és a helyreállítás megkezdésének elősegítése érdekében már meghozott intézkedésekre. Ugyanezen célkitűzések fényében, valamint tekintettel arra, hogy a tagállami felhasználók kéréseinek célja kizárólag a kiemelten kritikus ágazatokban vagy egyéb kritikus ágazatokban működő szervezetek támogatása Unió-szerte, helyénvaló nagyobb prioritást biztosítani a tagállami felhasználók kérelmeinek, amennyiben ezek a kritériumok két vagy több kérelem egyenlőként való értékelését eredményezik. Ez nem érinti a tagállamok azon kötelezettségeit, hogy a vonatkozó üzemeltetési megállapodások alapján intézkedéseket hozzanak az uniós intézmények, szervek, hivatalok és ügynökségek védelme és támogatása érdekében.

(44)

A Bizottságnak általános felelősséget kell vállalnia az uniós kiberbiztonsági tartalék végrehajtásáért. Tekintettel az ENISA által a kiberbiztonsági támogatási intézkedéssel kapcsolatban szerzett széles körű tapasztalatokra, az ENISA a legalkalmasabb ügynökség az uniós kiberbiztonsági tartalék végrehajtására. Ezért a Bizottságnak – részben vagy amennyiben a Bizottság megfelelőnek ítéli, teljes egészében – az ENISA-t kell megbíznia az uniós kiberbiztonsági tartalék működtetésével és igazgatásával. A megbízást az (EU, Euratom) 2024/2509 rendelet szerinti alkalmazandó szabályokkal összhangban kell végrehajtani, és különösen a hozzájárulási megállapodás aláírására vonatkozó feltételek teljesülésétől kell függővé tenni. Az uniós kiberbiztonsági tartalék működtetésének és igazgatásának nem az ENISA-ra bízott vonatkozásait a Bizottságnak közvetlenül kell irányítania, többek között a hozzájárulási megállapodás aláírása előtt.

(45)

A tagállamoknak kulcsszerepet kell játszaniuk az uniós kiberbiztonsági tartalék létrehozásában, bevezetésében és a bevezetését követően is. Mivel az (EU) 2021/694 rendelet az uniós kiberbiztonsági tartalékot végrehajtó intézkedések releváns alap-jogiaktusa, az uniós kiberbiztonsági tartalék keretében végrehajtott intézkedésekről az (EU) 2021/694 rendelet 24. cikkében említett munkaprogramokban kell rendelkezni. Az említett cikk (6) bekezdése szerint a Bizottságnak végrehajtási jogi aktusok útján kell elfogadnia ezeket a munkaprogramokat, a vizsgálóbizottsági eljárásnak megfelelően. Ezenkívül a Bizottságnak a Kiberbiztonsági Együttműködési Csoporttal együttműködve meg kell határoznia az uniós kiberbiztonsági tartalék prioritásait és alakulását.

(46)

Az uniós kiberbiztonsági tartalék keretében létrehozott szerződések nem érinthetik a vállalkozások közötti kapcsolatot, valamint az érintett szervezet vagy a felhasználók és a szolgáltató közötti meglévő kötelezettségeket.

(47)

Az uniós kiberbiztonsági tartalék keretében szolgáltatásokat nyújtó magánszolgáltatók kiválasztása céljából meg kell határozni az e szolgáltatók kiválasztására irányuló ajánlati felhívásban szereplő minimum szempontokat és követelményeket, biztosítva, hogy a tagállami hatóságok és a kiemelten kritikus vagy egyéb kritikus ágazatokban működő szervezetek igényei teljesüljenek. A tagállamok sajátos igényeinek kielégítése érdekében az ajánlatkérő szervnek az uniós kiberbiztonsági tartalékhoz kapcsolódó szolgáltatások beszerzése során adott esetben az e rendeletben meghatározottakon felül további kiválasztási szempontokat és követelményeket kell kidolgoznia. Fontos ösztönözni a regionális és helyi szinten aktív kisebb szolgáltatók részvételét.

(48)

Az uniós kiberbiztonsági tartalékba bekerülő szolgáltatók kiválasztásakor az ajánlatkérő szervnek törekednie kell annak biztosítására, hogy az uniós kiberbiztonsági tartalék egészében véve olyan szolgáltatókat tartalmazzon, amelyek képesek megfelelni a felhasználók nyelvi igényeinek. E célból az ajánlatkérő szervnek az ajánlattételi dokumentáció elkészítése előtt meg kell vizsgálnia, hogy az uniós kiberbiztonsági tartalék potenciális felhasználóinak vannak-e különleges nyelvi igényei annak érdekében, hogy az uniós kiberbiztonsági tartalék támogatási szolgáltatásait az uniós intézmények vagy valamely tagállam egy vagy több hivatalos nyelvén lehessen nyújtani, amelyet a felhasználó vagy az érintett szervezet valószínűleg megért. Abban az esetben, ha egy felhasználó egynél több nyelvet kér az uniós kiberbiztonsági tartaléktámogatási szolgáltatások nyújtásához, és a szolgáltatásokat ezeken a nyelveken szerezték be az adott felhasználó számára, a felhasználó számára lehetővé kell tenni, hogy az uniós kiberbiztonsági tartaléktámogatás iránti kérelemben meghatározza, hogy e nyelvek közül melyiken kell a szolgáltatást nyújtani a kérelem alapjául szolgáló konkrét kiberbiztonsági eseménnyel kapcsolatban.

(49)

Az uniós kiberbiztonsági tartalék létrehozásának támogatása érdekében fontos, hogy a Bizottság felkérje az ENISA-t, hogy a kiberbiztonsági vészhelyzeti mechanizmus hatálya alá tartozó területeken az irányított biztonsági szolgáltatásokra vonatkozóan készítsen az (EU) 2019/881 rendelet szerinti kiberbiztonsági tanúsítási rendszerre irányuló javaslatot.

(50)

E rendelet azon célkitűzéseinek támogatása érdekében, amelyek a közös helyzetismeret előmozdítására, az Unió ellenálló képességének fokozására és a jelentős és a nagyszabású kiberbiztonsági incidensekre való hatékony reagálás lehetővé tételére irányulnak, a Bizottságnak vagy az EU-CyCLONe-nak képesnek kell lennie arra, hogy felkérje az ENISA-t – a CSIRT-ek hálózatának támogatásával és az érintett tagállamok jóváhagyásával – a kiberfenyegetések, az ismert kihasználható sebezhetőségek és a kockázatcsökkentő intézkedések felülvizsgálatára és értékelésére egy adott jelentős vagy nagyszabású kiberbiztonsági incidens tekintetében. Az incidens felülvizsgálatának és értékelésének befejezését követően az ENISA-nak az érintett tagállammal, az érintett érdekelt felekkel, többek között a magánszektor, a Bizottság és más érintett uniós intézmények, szervek, hivatalok és ügynökségek képviselőivel együttműködésben incidensértékelési jelentést kell készítenie. A – többek között a magánszektorbeli – érdekelt felekkel folytatott együttműködésre építve a konkrét kiberbiztonsági incidensekkel kapcsolatos értékelési jelentésnek arra kell irányulnia, hogy bekövetkezte után értékelje az incidens okait, hatásait és az azzal kapcsolatos mérséklési intézkedéseket. Különös figyelmet kell fordítani az e rendeletben előírt legmagasabb szintű szakmai feddhetetlenség, pártatlanság és szükséges technikai szakértelem feltételeinek megfelelő irányított biztonsági szolgáltatók által megosztott információkra és tapasztalatokra. A jelentést be kell nyújtani az EU-CyCLONe-nak, a CSIRT-ek hálózatának és a Bizottságnak, és azt be kell építeni mind azok, mind az ENISA munkájába. Amennyiben az incidens egy a Digitális Európa programhoz társult harmadik országgal kapcsolatos, a Bizottságnak a jelentést el kell juttatnia a főképviselőhöz is.

(51)

Figyelembe véve a kibertámadások kiszámíthatatlan jellegét és azt, hogy azok gyakran nem korlátozódnak egy adott földrajzi területre, és így a tovagyűrűzés magas kockázatát hordozzák magukban, a szomszédos országok ellenálló képességének és a jelentős és a nagyszabásúval egyenértékű kiberbiztonsági incidensekre való hatékony reagálási képességüknek a megerősítése hozzájárul az Unió – és különösen annak belső piaca és ipara – egészének védelméhez. Ezek a tevékenységek még inkább hozzájárulhatnak az uniós kiberdiplomáciához. Ezért a Digitális Európa programhoz társult harmadik országok a területük egészén vagy egy részén támogatást kérhetnek az uniós kiberbiztonsági tartalékból, amennyiben erről az a megállapodás rendelkezik, amelyen keresztül a harmadik ország a Digitális Európa programhoz társult. A Digitális Európa programhoz társult harmadik országok a vonatkozó partnerségek és finanszírozási eszközök keretében részesülnek az Unió nyújtotta finanszírozásból. A támogatásnak ki kell terjednie a jelentős vagy a nagyszabásúval egyenértékű kiberbiztonsági incidensekre való reagálás és az azokat követő helyreállítás megkezdésének területén nyújtott szolgáltatásokra.

(52)

Az e rendeletben az uniós kiberbiztonsági tartalékra és a megbízható irányított biztonsági szolgáltatókra vonatkozóan meghatározott feltételeket alkalmazni kell a Digitális Európa programhoz társult harmadik országoknak nyújtott támogatásokra. A Digitális Európa programhoz társult harmadik országok számára lehetővé kell tenni, hogy kérelmezzék a támogatást az uniós kiberbiztonsági tartalékból, ha a célzott szervezetek, amelyek számára támogatást kérnek az uniós kiberbiztonsági tartalékból, kiemelten kritikus ágazatokban vagy egyéb kritikus ágazatokban működő szervezetek, és ha az észlelt incidensek jelentős működési zavarokhoz vezetnek vagy tovagyűrűző hatásokkal járhatnak az Unióban. A Digitális Európa programhoz társult harmadik országok csak akkor jogosultak támogatásra, ha az a megállapodás, amelyen keresztül a programhoz társultak, kifejezetten rendelkezik ilyen támogatásról. Ezen túlmenően az ilyen harmadik országok csak akkor támogathatók, ha három kritérium teljesül. Először is, a harmadik országnak teljes mértékben meg kell felelnie az említett megállapodás vonatkozó feltételeinek. Másodszor, tekintettel az uniós kiberbiztonsági tartalék kiegészítő jellegére, a harmadik országnak előzetesen megfelelő lépéseket kell megtennie a jelentős vagy a nagyszabásúval egyenértékű kiberbiztonsági incidensekre való felkészülés érdekében. Harmadszor, az uniós kiberbiztonsági tartalékból nyújtott támogatásnak összhangban kell lennie az adott országgal kapcsolatos uniós politikával és a vele fenntartott általános kapcsolatokkal, valamint az Unió egyéb biztonsági politikáival. Az ezen harmadik kritériumnak való megfelelés értékelése keretében a Bizottságnak konzultálnia kell a főképviselővel az ilyen támogatás nyújtásának a közös kül- és biztonságpolitikával való összehangolásáról.

(53)

A Digitális Európa programhoz társult harmadik országoknak nyújtott támogatás hatással lehet a harmadik országokkal fenntartott kapcsolatokra és az Unió biztonságpolitikájára, többek között a közös kül- és biztonságpolitika, valamint a közös biztonság- és védelempolitika összefüggésében. Ennek megfelelően helyénvaló, hogy a Tanács végrehajtási hatásköröket kapjon az ilyen támogatás nyújtására rendelkezésre álló időszak engedélyezésére és meghatározására. A Tanácsnak a Bizottság javaslata alapján kell eljárnia, kellően figyelembe véve a három kritérium Bizottság általi értékelését. Ugyanennek kell vonatkoznia a megújításokra és az ilyen jogi aktusok módosítására vagy hatályon kívül helyezésére irányuló javaslatokra is. Amennyiben a Tanács kivételes körülmények között úgy ítéli meg, hogy a harmadik kritérium tekintetében a körülményekben jelentős változás következett be, a Tanács számára lehetővé kell tenni, hogy egy végrehajtási jogi aktus módosítása vagy hatályon kívül helyezése érdekében saját kezdeményezésére járjon el, a Bizottság javaslatának megvárása nélkül. Az ilyen jelentős változások valószínűleg sürgős fellépést tesznek szükségessé, különösen jelentős következményekkel járnak a harmadik országokkal fenntartott kapcsolatokra nézve, és nem igényelnek részletes értékelést a Bizottság részéről. Ezen túlmenően a Bizottságnak együtt kell működnie a főképviselővel a Digitális Európa programhoz társult harmadik országok támogatás iránti kérelmeinek, és az ilyen harmadik országoknak nyújtott támogatás végrehajtásának tekintetében. A Bizottságnak figyelembe kell vennie az ENISA ezen kérelmekkel és támogatással kapcsolatos véleményét is. A Bizottságnak tájékoztatnia kell a Tanácsot a kérelmek értékelésének eredményéről, beleértve az e tekintetben tett releváns megfontolásokat és a kiépített szolgáltatásokat.

(54)

A Kiberkészségek Akadémiájáról szóló, 2023. április 18-i bizottsági közlemény elismerte a képzett szakemberek hiányát. Az említett készségekre e rendelet célkitűzéseinek elérése érdekében van szükség. Az Uniónak sürgősen szüksége van olyan szakemberekre, akik rendelkeznek a kibertámadások megelőzéséhez, észleléséhez és az azoktól való elrettentéshez, valamint az Unió – többek között a legkritikusabb infrastruktúrái – ilyen támadásokkal szembeni védelméhez és ellenálló képességének biztosításához szükséges készségekkel és kompetenciákkal. E célból fontos ösztönözni az érdekelt felek – köztük a magánszektor, a tudományos körök és a közszféra – közötti együttműködést. Ugyanilyen fontos, hogy az Unió valamennyi területén szinergiák jöjjenek létre az oktatásba és képzésbe való beruházás tekintetében, hogy előmozdítsák az agyelszívás elkerülését célzó biztosítékok, valamint az azt célzó biztosítékok létrehozását, hogy a készséghiány egyes régiókban ne mélyüljön tovább más régiókhoz képest. Sürgősen meg kell szüntetni a kiberbiztonsági készséghiányt, különös tekintettel a kiberbiztonsági munkaerőn belül a nemek közötti különbségek csökkentésére a nők jelenlétének és részvételének a digitális kormányzás kialakításában való előmozdítása érdekében.

(55)

A digitális egységes piac innovációjának fellendítése érdekében fontos a kiberbiztonság területén a kutatás és az innováció megerősítése, ezzel hozzájárulva a tagállamok ellenálló képességének és az Unió nyitott stratégiai autonómiájának növeléséhez, amelyek e rendelet célkitűzései. A szinergiák elengedhetetlenek a különböző érdekelt felek – köztük a magánszektor, a civil társadalom és a tudományos élet – közötti együttműködés és koordináció megerősítéséhez.

(56)

E rendeletnek figyelembe kell vennie az Európai Parlament, a Tanács és a Bizottság 2022. január 26-i, »Európai Nyilatkozat a digitális jogokról és a digitális évtized alapelveiről« című közös nyilatkozatában foglalt, az Unió demokráciáinak, az emberek, a vállalkozások és a közintézmények érdekeinek a kiberbiztonsági kockázatokkal és a kiberbűnözéssel – többek között adatvédelmi incidensekkel, valamint a személyazonosság-lopással vagy –manipulációval – szembeni védelméhez kapcsolódó kötelezettségvállalást.

(57)

E rendelet egyes nem alapvető rendelkezéseinek kiegészítése érdekében a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon el az uniós kiberbiztonsági tartalékhoz szükséges reagálási szolgáltatások típusainak és számának meghatározása céljából. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban (20) megállapított elvekkel összhangban kerüljön sor. Így különösen a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kap kézhez minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

(58)

E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni az uniós kiberbiztonsági tartalék támogatási szolgáltatásainak elosztására vonatkozó részletes eljárási szabályok további meghatározása céljából. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (21) megfelelően kell gyakorolni.

(59)

Az Unió éves költségvetésére vonatkozó, a Szerződések szerinti szabályok sérelme nélkül a Bizottságnak az ENISA költségvetés-tervezési és személyzeti igényeinek értékelésekor figyelembe kell vennie az e rendeletből eredő kötelezettségeket.

(60)

A Bizottságnak rendszeresen értékelnie kell az e rendeletben meghatározott intézkedéseket. Az első ilyen értékelést az e rendelet hatálybalépésének napjától számított első 2 évben, majd azt követően legalább négyévente kell elvégezni, figyelembe véve az EUMSZ 312. cikke alapján létrehozott többéves pénzügyi keret felülvizsgálatának időzítését. A Bizottságnak jelentést kell benyújtania az Európai Parlamentnek és a Tanácsnak az elért eredményekről. A különböző szükséges elemek, köztük az Európai Kiberbiztonsági Riasztási Rendszeren belül megosztott információk körének értékelése érdekében a Bizottságnak kizárólag könnyen hozzáférhető vagy önkéntesen rendelkezésre bocsátott információkra kell támaszkodnia. Figyelembe véve a geopolitikai fejleményeket, valamint az e rendeletben meghatározott intézkedések 2027 utáni folytonosságának és továbbfejlesztésének biztosítása érdekében fontos, hogy a Bizottság értékelje, hogy szükséges-e megfelelő költségvetést elkülöníteni a 2028–2034 közötti időszakra vonatkozó többéves pénzügyi keretben.

(61)

Mivel a rendelet céljait, nevezetesen az uniós ipar és szolgáltatások versenyhelyzetének a digitális gazdaságban történő megerősítését, és a kiberbiztonság területén az Unió technológiai szuverenitásához és nyílt stratégiai autonómiájához való hozzájárulást a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme és hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat a szubszidiaritásnak az Európai Unióról szóló szerződés 5. cikkében foglalt elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket,