(1) Wykorzystanie technologii informacyjno-komunikacyjnych oraz zależność od nich stały się kwestią o zasadniczym znaczeniu we wszystkich sektorach działalności gospodarczej i społeczeństwa w świetle zwiększających się powiązań i współzależności administracji publicznych państw członkowskich, przedsiębiorstw i obywateli w wymiarze międzysektorowym i transgranicznym, a jednocześnie stały się one źródłem potencjalnych podatności.

(2) Na poziomie Unii i na poziomie globalnym rośnie skala, częstotliwość i wpływ incydentów w cyberbezpieczeństwie, w tym ataków na łańcuchy dostaw mające na celu cyberszpiegostwo, instalację oprogramowania szantażującego lub wywołanie zakłóceń. Stanowią one poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. Z uwagi na szybko zmieniający się krajobraz zagrożeń, zagrożenie możliwymi incydentami w cyberbezpieczeństwie na dużą skalę powodującymi poważne zakłócenie lub uszkodzenie infrastruktury krytycznej wymaga podwyższonej gotowości unijnych ram cyberbezpieczeństwa. To zagrożenie wykracza poza rosyjską wojnę napastniczą przeciwko Ukrainie i prawdopodobnie będzie się utrzymywać, biorąc pod uwagę wielość podmiotów, które mają swój udział w generowaniu obecnych napięć geopolitycznych. Takie incydenty mogą utrudniać świadczenie usług publicznych, ponieważ celem cyberataków są często lokalna, regionalna lub krajowa infrastruktura i usługi publiczne, a władze lokalne są szczególnie podatne na zagrożenia, w tym ze względu na swoje ograniczone zasoby. Incydenty te mogą również utrudniać prowadzenie działalności gospodarczej, w tym w sektorach kluczowych lub innych sektorach krytycznych, powodować znaczne straty finansowe, podważać zaufanie użytkowników, powodować poważne szkody dla gospodarki i systemów demokratycznych Unii, a nawet mieć konsekwencje zagrażające zdrowiu lub życiu. Ponadto incydenty w cyberbezpieczeństwie są nieprzewidywalne, ponieważ często pojawiają się i ewoluują w szybkim tempie, nie są ograniczone do jakiegokolwiek konkretnego obszaru geograficznego i mogą występować jednocześnie lub rozprzestrzeniać się błyskawicznie w wielu państwach. Potrzebna jest zatem ścisła współpraca między sektorem publicznym, sektorem prywatnym, środowiskiem akademickim, społeczeństwem obywatelskim i mediami.

(3) Konieczne jest wzmocnienie konkurencyjnej pozycji przemysłu i usług w całej gospodarce cyfrowej w Unii oraz wsparcie ich transformacji cyfrowej poprzez podniesienie poziomu cyberbezpieczeństwa na jednolitym rynku cyfrowym, jak zalecono w trzech różnych propozycjach Konferencji w sprawie przyszłości Europy. Konieczne jest zwiększenie odporności obywateli, przedsiębiorstw, w tym mikroprzedsiębiorstw, małych i średnich przedsiębiorstw oraz przedsiębiorstw typu startup, a także podmiotów obsługujących infrastrukturę krytyczną, na rosnące cyberzagrożenia, które mogą mieć niszczące skutki społeczne i gospodarcze. W związku z tym potrzebne są inwestycje w infrastrukturę i usługi oraz budowanie zdolności z myślą o rozwoju umiejętności w dziedzinie cyberbezpieczeństwa, które będą wspierać szybsze wykrywanie cyberzagrożeń i incydentów oraz szybsze reagowanie na nie. Ponadto państwa członkowskie potrzebują pomocy w lepszym przygotowaniu się na poważne incydenty w cyberbezpieczeństwie i incydenty w cyberbezpieczeństwie na dużą skalę oraz reagowaniu na nie, a także pomocy w rozpoczynaniu usuwania ich skutków. W oparciu o już istniejące struktury oraz w ścisłej współpracy z nimi, Unia powinna również zwiększyć swoje zdolności w tych obszarach, w szczególności w zakresie zbierania i analizy danych dotyczących cyberzagrożeń i incydentów.

(4) Unia wprowadziła już szereg środków w celu zmniejszenia podatności oraz zwiększenia odporności infrastruktury i podmiotów krytycznych na ryzyka, w szczególności rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 5 , dyrektywy Parlamentu Europejskiego i Rady 2013/40/UE 6  i (UE) 2022/2555 7  oraz zalecenie Komisji (UE) 2017/1584 8 . Ponadto w zaleceniu Rady z dnia 8 grudnia 2022 r. w sprawie ogólnounijnego skoordynowanego podejścia do kwestii wzmocnienia odporności infrastruktury krytycznej wzywa się państwa członkowskie do wprowadzenia środków oraz do współpracy między sobą, z Komisją i innymi właściwymi organami publicznymi, a także z zainteresowanymi podmiotami, w celu zwiększenia odporności infrastruktury krytycznej wykorzystywanej do świadczenia usług kluczowych na rynku wewnętrznym.

(5) Coraz większe ryzyko w cyberprzestrzeni i ogólnie złożony krajobraz zagrożeń, w tym również wyraźne ryzyko szybkiego rozprzestrzeniania się incydentów z jednego państwa członkowskiego na inne oraz z państwa trzeciego na Unię, wymagają zwiększenia solidarności na poziomie Unii, aby skuteczniej wykrywać cyberzagrożenia i incydenty oraz lepiej przygotować się i reagować na nie, a także skuteczniej usuwać ich skutki, w szczególności poprzez wzmocnienie możliwości istniejących struktur. Ponadto, w konkluzjach Rady z dnia 23 maja 2022 r. w sprawie pozycji UE w kwestiach cyberprzestrzeni wezwano Komisję do przedstawienia wniosku dotyczącego nowego Funduszu Reagowania Cyberkryzysowego.

(6) We wspólnym komunikacie Komisji i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa z dnia 10 listopada 2022 r. do Parlamentu Europejskiego i Rady zatytułowanym "Polityka UE w zakresie cyberobrony" zapowiedziano inicjatywę na rzecz cybersolidarności UE o następujących celach: wzmocnienie wspólnych unijnych zdolności w zakresie wykrywania, orientacji sytuacyjnej i reagowania dzięki promowaniu wprowadzenia unijnej infrastruktury centrów monitorowania bezpieczeństwa (SOC), wspieranie stopniowego tworzenia na poziomie UE rezerwy do celów cyberbezpieczeństwa, opartej na usługach świadczonych przez zaufanych dostawców, oraz przeprowadzanie testów w krytycznych podmiotach pod kątem potencjalnej podatności na zagrożenia z wykorzystaniem unijnych ocen ryzyka.

(7) Konieczne jest wzmocnienie wykrywania cyberzagrożeń i incydentów oraz orientacji sytuacyjnej w tym zakresie w całej Unii, a także zwiększenie solidarności dzięki zwiększeniu gotowości i zdolności państw członkowskich i Unii do zapobiegania poważnym incydentom w cyberbezpieczeństwie i incydentom w cyberbezpieczeństwie na dużą skalę oraz do reagowania na nie. Dlatego należy ustanowić ogólnoeuropejską sieć centrów cyberbezpieczeństwa (zwaną dalej "europejskim systemem cyberostrzeżeń") w celu zbudowania skoordynowanych zdolności w zakresie wykrywania i orientacji sytuacyjnej oraz wzmocnienia zdolności Unii do wykrywania zagrożeń i udostępniania informacji; należy stworzyć mechanizm cyberkryzysowy, aby wesprzeć państwa członkowskie, na ich wniosek, w przygotowaniu się na poważne incydenty w cyberbezpieczeństwie i incydenty w cyberbezpieczeństwie na dużą skalę, w reagowaniu na nie, ograniczaniu ich wpływu oraz w rozpoczynaniu usuwania ich skutków oraz aby wesprzeć innych użytkowników w reagowaniu na poważne incydenty w cyberbezpieczeństwie i incydenty w cyberbezpieczeństwie na dużą skalę; należy również ustanowić europejski mechanizm przeglądu incydentów w cyberbezpieczeństwie na potrzeby przeglądu i oceny konkretnych poważnych incydentów w cyberbezpieczeństwie lub incydentów równoważnych incydentom w cyberbezpieczeństwie na dużą skalę. Działania podjęte zgodnie z niniejszym rozporządzeniem powinny być prowadzone z należytym poszanowaniem kompetencji państw członkowskich i powinny uzupełniać, a nie powielać działania prowadzone przez sieć CSIRT, europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe) oraz grupę współpracy (zwaną dalej "grupą współpracy NIS"), ustanowione na podstawie dyrektywy (UE) 2022/2555. Działania te pozostają bez uszczerbku dla art. 107 i 108 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).

(8) Aby osiągnąć te cele, konieczna jest również zmiana rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/694 9  w niektórych obszarach. W szczególności niniejszym rozporządzeniem należy zmienić rozporządzenie (UE) 2021/694 poprzez dodanie nowych celów operacyjnych związanych z europejskim systemem cyberostrzeżeń i mechanizmem cyberkryzysowym w ramach celu szczegółowego nr 3 programu "Cyfrowa Europa", który obejmuje zagwarantowanie odporności, integralności i wiarygodności jednolitego rynku cyfrowego, zwiększenie zdolności w zakresie monitorowania cyberataków i cyberzagrożeń oraz reagowania na nie, a także wzmocnienie współpracy i koordynacji transgranicznej w dziedzinie cyberbezpieczeństwa. Europejski system cyberostrzeżeń może odegrać ważną rolę we wspieraniu państw członkowskich w przewidywaniu cyberzagrożeń i ochronie przed nimi, a rezerwa cyberbezpieczeństwa UE - we wspieraniu państw członkowskich, instytucji, organów i jednostek organizacyjnych Unii oraz państw trzecich stowarzyszonych z programem "Cyfrowa Europa" w reagowaniu na poważne incydenty w cyberbezpieczeństwie, incydenty w cyberbezpieczeństwie na dużą skalę i incydenty równoważne incydentom w cyberbezpieczeństwie na dużą skalę oraz w łagodzeniu ich skutków. Skutki te mogą obejmować znaczne szkody materialne lub niematerialne oraz poważne zagrożenia i ryzyko dla bezpieczeństwa publicznego. W świetle konkretnych ról, jakie mogą odegrać europejski system cyberostrzeżeń i rezerwa cyberbezpieczeństwa UE, niniejsze rozporządzenie powinno zmienić rozporządzenie (UE) 2021/694 w odniesieniu do udziału podmiotów prawnych z siedzibą w Unii, lecz kontrolowanych z państw trzecich, w przypadku gdy istnieje realne ryzyko, że niezbędne i wystarczające narzędzia, infrastruktura i usługi lub technologia, wiedza fachowa i zdolności nie są dostępne w Unii, a korzyści wynikające z włączenia takich podmiotów przewyższają ryzyko dla bezpieczeństwa. Należy ustanowić szczegółowe warunki, na jakich można przyznawać wsparcie finansowe na działania wdrażające europejski system cyberostrzeżeń i rezerwę cyberbezpieczeństwa UE, oraz ustanawiać mechanizmy zarządzania i koordynacji niezbędne do osiągnięcia zamierzonych celów. Inne zmiany rozporządzenia (UE) 2021/694 powinny obejmować opisy proponowanych działań w ramach nowych celów operacyjnych, a także mierzalne wskaźniki umożliwiające monitorowanie realizacji tych nowych celów operacyjnych.

(9) Aby wzmocnić unijną reakcję na cyberzagrożenia i incydenty, kluczowe znaczenie ma współpraca z organizacjami międzynarodowymi oraz z zaufanymi partnerami międzynarodowymi o podobnych poglądach. W tym kontekście zaufani partnerzy międzynarodowi o podobnych poglądach to kraje, które przestrzegają zasad, które leżą u podstaw Unii, mianowicie zasad demokracji, państwa prawa, powszechności i niepodzielności praw człowieka i podstawowych wolności, poszanowania godności ludzkiej, zasad równości i solidarności oraz przepisów Karty Narodów Zjednoczonych i prawa międzynarodowego, i które nie naruszają podstawowych interesów bezpieczeństwa Unii lub jej państw członkowskich. Taka współpraca może być również korzystna w odniesieniu do działań podjętych zgodnie z niniejszym rozporządzeniem, w szczególności europejskiego systemu cyberostrzeżeń i rezerwy cyberbezpieczeństwa UE. W odniesieniu do europejskiego systemu cyberostrzeżeń i rezerwy cyberbezpieczeństwa UE rozporządzenie (UE) 2021/694 powinno przewidywać, że - z zastrzeżeniem określonych warunków dostępności i bezpieczeństwa - w przetargach dotyczących europejskiego systemu cyberostrzeżeń i rezerwy cyberbezpieczeństwa UE mogą uczestniczyć podmioty prawne kontrolowane z państw trzecich, z zastrzeżeniem wymogów bezpieczeństwa. Podczas oceny ryzyka dla bezpieczeństwa wynikającego z takiego rozszerzenia przetargu należy uwzględnić zasady i wartości, którymi kieruje się Unia i jej partnerzy międzynarodowi o podobnych poglądach, w przypadku gdy te zasady i wartości są związane z podstawowymi interesami bezpieczeństwa Unii. Ponadto w przypadku gdy takie wymogi bezpieczeństwa są rozważane na podstawie rozporządzenia (UE) 2021/694, można wziąć pod uwagę szereg elementów, takich jak struktura korporacyjna i proces decyzyjny podmiotu, bezpieczeństwo danych oraz informacji niejawnych lub szczególnie chronionych, a także zapewnienie, aby wyniki działania nie podlegały kontroli lub ograniczeniom ze strony niekwalifikujących się państw trzecich.

(10) Finansowanie działań na podstawie niniejszego rozporządzenia należy przewidzieć w rozporządzeniu (UE) 2021/694, które powinno pozostać właściwym aktem podstawowym dla działań objętych celem szczegółowym nr 3 programu "Cyfrowa Europa". Szczegółowe warunki uczestnictwa dotyczące każdego działania mają zostać określone w odpowiednich programach prac zgodnie z rozporządzeniem (UE) 2021/694.

(11) Do niniejszego rozporządzenia zastosowanie mają horyzontalne zasady finansowe przyjęte przez Parlament Europejski i Radę na podstawie art. 322 TFUE. Zasady te są ustanowione rozporządzeniem Parlamentu Europejskiego i Rady (UE, Euratom) 2024/2509 10  i określają w szczególności procedurę uchwalania i wykonywania budżetu Unii oraz przewidują kontrole odpowiedzialności podmiotów upoważnionych do działań finansowych.

Zasady przyjęte na podstawie art. 322 TFUE obejmują również ogólny system warunkowości służący ochronie budżetu Unii ustanowiony rozporządzeniem Parlamentu Europejskiego i Rady (UE, Euratom) 2020/2092 11 .

(12) Chociaż środki zapobiegania i gotowości mają zasadnicze znaczenie dla zwiększenia odporności Unii w reagowaniu na poważne incydenty w cyberbezpieczeństwie, incydenty w cyberbezpieczeństwie na dużą skalę i incydenty równoważne incydentom w cyberbezpieczeństwie na dużą skalę, to fakt i czas wystąpienia takich incydentów oraz ich skala są z natury nieprzewidywalne. Zasoby finansowe niezbędne do zapewnienia odpowiedniej reakcji mogą się znacząco różnić z roku na rok i powinno być możliwe udostępnienie ich w trybie natychmiastowym. Pogodzenie zasady przewidywalności budżetowej z koniecznością szybkiego reagowania na nowe potrzeby wymaga dostosowania realizacji finansowej programów prac. Należy zatem zezwolić, aby oprócz przenoszenia środków dozwolonego zgodnie z art. 12 ust. 4 rozporządzenia (UE, Euratom) 2024/2509 możliwe było przenoszenie niewykorzystanych środków, ale tylko na kolejny rok i z wyłącznym przeznaczeniem na rezerwę cyberbezpieczeństwa UE i działania w zakresie wspierania wzajemnej pomocy.

(13) Aby skuteczniej zapobiegać cyberzagrożeniom i incydentom, oceniać je, reagować na nie i usuwać ich skutki, konieczne jest rozwinięcie bardziej kompleksowej wiedzy na temat zagrożeń dla aktywów i infrastruktury krytycznej na terytorium Unii, w tym na temat ich rozmieszczenia geograficznego, wzajemnych połączeń i potencjalnych skutków w przypadku cyberataków mających wpływ na tę infrastrukturę. Proaktywne podejście do identyfikowania i łagodzenia cyberzagrożeń oraz do zapobiegania im obejmuje zwiększenie zaawansowanych zdolności wykrywania. Europejski system cyberostrzeżeń powinien składać się z szeregu interoperacyjnych transgranicznych centrów cyberbezpieczeństwa, z których każde zrzesza co najmniej trzy krajowe centra cyberbezpieczeństwa. Infrastruktura ta powinna służyć krajowym i unijnym interesom i potrzebom w zakresie cyberbezpieczeństwa, wykorzystując najnowocześniejszą technologię zaawansowanego zbierania odpowiednich danych i informacji, w stosownych przypadkach zanonimizowanych, oraz narzędzi analityki, zwiększając skoordynowane zdolności w zakresie wykrywania cyberataków i zarządzania nimi oraz zapewniając orientację sytuacyjną w czasie rzeczywistym. Infrastruktura ta powinna służyć poprawie stanu cyberbezpieczeństwa poprzez lepsze wykrywanie, agregację i analizę danych i informacji w celu zapobiegania cyberzagrożeniom i incydentom, a tym samym uzupełniania i wspierania unijnych podmiotów i sieci odpowiedzialnych za zarządzanie cyberkryzysowe w Unii, w szczególności EU-CyCLONe.

(14) Uczestnictwo państw członkowskich w europejskim systemie cyberostrzeżeń jest dobrowolne. Każde państwo członkowskie powinno wyznaczyć na poziomie krajowym jeden podmiot, którego zadaniem będzie koordynowanie działań w zakresie wykrywania cyberzagrożeń w tym państwie członkowskim. Te krajowe centra cyberbezpieczeństwa powinny pełnić funkcję punktu odniesienia i punktu dostępu na poziomie krajowym do celów uczestnictwa w europejskim systemie cyberostrzeżeń oraz powinny zapewniać, aby informacje dotyczące cyberza- grożeń uzyskiwane od podmiotów publicznych i prywatnych skutecznie i sprawnie udostępniano i gromadzono na poziomie krajowym. Krajowe centra cyberbezpieczeństwa mogą wzmocnić współpracę i udostępnianie informacji między podmiotami publicznymi i prywatnymi, a także wspierać wymianę odpowiednich danych i informacji z odpowiednimi społecznościami sektorowymi i międzysektorowymi, w tym z odpowiednimi branżowymi ośrodkami wymiany i analizy informacji (ISAC). Ścisła i skoordynowana współpraca między podmiotami publicznymi i prywatnymi ma kluczowe znaczenie dla zwiększenia cyberodporności Unii. Taka współpraca jest szczególnie cenna w kontekście udostępniania danych wywiadowczych na temat cyberzagrożeń w celu poprawy aktywnej cyberochrony. W ramach takiej współpracy i udostępniania informacji krajowe centra cyberbezpieczeń- stwa mogłyby składać wnioski o konkretne informacje i je otrzymywać. Na podstawie niniejszego rozporządzenia krajowe centra cyberbezpieczeństwa nie są zobowiązane ani uprawnione do egzekwowania takich wniosków. W stosownych przypadkach oraz zgodnie z prawem Unii i prawem krajowym informacje, o które wnioskowano lub które otrzymano, mogą obejmować dane telemetryczne, dane z czujników lub dane z rejestrów pochodzące od podmiotów takich jak dostawcy usług zarządzanych w zakresie bezpieczeństwa działających w sektorach kluczowych lub innych sektorach krytycznych w danym państwie członkowskim, aby zwiększyć szybkie wykrywanie potencjalnych cyberzagrożeń i incydentów na wcześniejszym etapie, a tym samym poprawić orientację sytuacyjną. Jeżeli krajowe centrum cyberbezpieczeństwa nie jest właściwym organem wyznaczonym lub ustanowionym przez odpowiednie państwo członkowskie zgodnie z art. 8 ust. 1 dyrektywy (UE) 2022/2555, kluczowe znaczenie ma koordynacja jego działań z właściwym organem w odniesieniu do takich wniosków o udostępnienie takich danych i do ich odbioru.

(15) W ramach europejskiego systemu cyberostrzeżeń należy ustanowić szereg transgranicznych centrów cyberbezpieczeństwa. Te transgraniczne centra cyberbezpieczeństwa powinny zrzeszać krajowe centra cyberbezpieczeństwa z co najmniej trzech państw członkowskich, aby zapewnić pełne osiągnięcie korzyści płynących z transgranicznego wykrywania zagrożeń, udostępniania informacji na ich temat i zarządzania nimi. Ogólnym celem transgranicznych

warunkowości służącego ochronie budżetu Unii (Dz.U. L 433 I z 22.12.2020, s. 1, ELI: http://data.europa.eu/eli/reg/2020/2092/oj). centrów cyberbezpieczeństwa powinno być zwiększanie zdolności w zakresie analizy i wykrywania cyberzagrożeń oraz zapobiegania im, wspieranie generowania wysokiej jakości danych wywiadowczych dotyczących cyberza- grożeń, w szczególności w drodze udostępniania odpowiednich informacji, w stosownych przypadkach zanonimizowanych, w zaufanym i bezpiecznym otoczeniu, pochodzących z różnych źródeł publicznych lub prywatnych, a także przez udostępnianie najnowocześniejszych narzędzi i ich wspólne używanie oraz wspólne rozwijanie zdolności w zakresie wykrywania i analizy tych zagrożeń oraz zapobiegania im w zaufanym i bezpiecznym otoczeniu. Transgraniczne centra cyberbezpieczeństwa powinny zapewnić nowe dodatkowe zdolności, opierając się na istniejących SOC, CSIRT i innych odpowiednich podmiotach, w tym sieci CSIRT, oraz uzupełniając je.

(16) Państwo członkowskie wybrane przez Europejskie Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa (ECCC) ustanowione rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/887 12  w następstwie zaproszenia do wyrażenia zainteresowania w celu ustanowienia krajowego centrum cyberbezpieczeństwa lub zwiększenia jego zdolności, powinno - wspólnie z ECCC - zakupić odpowiednie narzędzia, infrastrukturę lub usługi. Takie państwo członkowskie powinno kwalifikować się do otrzymania dotacji na obsługę narzędzi, infrastruktury lub usług. Konsorcjum przyjmujące, składające się z co najmniej trzech państw członkowskich, które zostało wybrane przez ECCC w następstwie zaproszenia do wyrażenia zainteresowania w celu ustanowienia transgranicznego centrum cyberbezpieczeństwa lub zwiększenia jego zdolności powinno wspólnie z ECCC zakupić odpowiednie narzędzia, infrastrukturę lub usługi. Konsorcjum przyjmujące powinno kwalifikować się do otrzymania dotacji na obsługę narzędzi, infrastruktury lub usług. Postępowanie o udzielenie zamówienia mające na celu zakup odpowiednich narzędzi, infrastruktury lub usług powinno być przeprowadzone wspólnie przez ECCC i właściwe instytucje zamawiające z państw członkowskich wybranych w następstwie takich zaproszeń do wyrażenia zainteresowania. Takie postępowanie powinno być zgodne z art. 168 ust. 2 rozporządzenia (UE, Euratom) 2024/2509 oraz zasadami finansowymi ECCC. Podmioty prywatne nie powinny zatem kwalifikować się do udziału w zaproszeniach do wyrażenia zainteresowania dotyczących wspólnego z ECCC zakupu narzędzi, infrastruktury lub usług ani do otrzymywania dotacji na obsługę tych narzędzi, infrastruktury i usług. Państwa członkowskie powinny jednak móc angażować podmioty prywatne w tworzenie, ulepszanie i funkcjonowanie swoich krajowych centrów cyberbezpieczeństwa i transgranicznych centrów cyberbezpieczeństwa w inny sposób, który uznają za stosowny, zgodnie z prawem Unii i prawem krajowym. Podmioty prywatne mogą również kwalifikować się do otrzymania finansowania unijnego zgodnie z rozporządzeniem (UE) 2021/887 w celu udzielenia wsparcia krajowym centrom cyberbezpieczeństwa.

(17) Aby zwiększyć wykrywanie cyberzagrożeń oraz orientację sytuacyjną w Unii, państwo członkowskie wybrane w następstwie zaproszenia do wyrażenia zainteresowania w celu utworzenia krajowego centrum cyberbezpieczeń- stwa lub zwiększenia jego zdolności powinno zobowiązać się do złożenia wniosku o uczestnictwo w trans- granicznym centrum cyberbezpieczeństwa. Jeżeli państwo członkowskie nie przyłączy się do transgranicznego centrum cyberbezpieczeństwa w ciągu dwóch lat od daty nabycia narzędzi, infrastruktury lub usług lub od daty otrzymania finansowania w formie dotacji, w zależności od tego, co nastąpiło wcześniej, nie powinno kwalifikować się do udziału w dodatkowych unijnych działaniach wspierających w ramach europejskiego systemu cyberostrzeżeń służących zwiększeniu zdolności jego krajowego centrum cyberbezpieczeństwa. W takich przypadkach podmioty z państw członkowskich mogą nadal uczestniczyć w zaproszeniach do składania wniosków dotyczących innych tematów w ramach programu "Cyfrowa Europa" lub innych unijnych programów finansowania, w tym w zaproszeniach do składania wniosków dotyczących zdolności w zakresie wykrywania cyberataków i udostępniania informacji, pod warunkiem że podmioty te spełniają kryteria kwalifikowalności określone w tych programach.

(18) CSIRT wymieniają informacje w ramach sieci CSIRT zgodnie z dyrektywą (UE) 2022/2555. Europejski system cyberostrzeżeń powinien stanowić nową zdolność, która jest uzupełnieniem sieci CSIRT i przyczynia się do budowania unijnej orientacji sytuacyjnej umożliwiającej wzmocnienie jej zdolności. Transgraniczne centra cyberbezpieczeństwa powinny działać w ścisłej koordynacji i współpracy z siecią CSIRT. Ich działalność powinna obejmować łączenie danych i udostępnianie odpowiednich informacji, w stosownych przypadkach zanonimizowa- nych, na temat cyberzagrożeń od podmiotów publicznych i prywatnych, zwiększanie wartości takich danych i informacji dzięki analizie eksperckiej oraz wspólnie nabytym infrastrukturze i najnowocześniejszym narzędziom oraz przyczynianie się do suwerenności technologicznej Unii, jej otwartej strategicznej autonomii, konkurencyjności i odporności, a także wkład w rozwój zdolności Unii.

(19) Transgraniczne centra cyberbezpieczeństwa powinny działać jako centralne punkty, które umożliwiają szeroko zakrojone łączenie odpowiednich danych, w tym danych wywiadowczych na temat cyberzagrożeń, oraz pozwalają na rozpowszechnianie informacji o zagrożeniach wśród dużej i zróżnicowanej grupy zainteresowanych stron, takich jak zespoły reagowania na incydenty komputerowe (CERT), CSIRT, ISAC i operatorzy infrastruktury krytycznej. Członkowie konsorcjum przyjmującego powinni określić w umowie konsorcjum odpowiednie informacje, które mają być udostępniane między uczestnikami danego transgranicznego centrum cyberbezpieczeństwa. Informacje wymieniane między uczestnikami transgranicznego centrum cyberbezpieczeństwa mogłyby obejmować na przykład dane z sieci i czujników, dane wywiadowcze o zagrożeniach, oznaki naruszenia integralności oraz informacje kontekstowe na temat incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności, technik i procedur oraz wrogich taktyk, konkretne informacje o agresorach, cyberostrzeżenia i zalecenia dotyczące konfiguracji narzędzi cyberbezpieczeństwa służących wykrywaniu cyberataków. Ponadto transgraniczne centra cyberbezpieczeństwa powinny również zawierać między sobą umowy o współpracy. Takie umowy o współpracy powinny w szczególności określać zasady udostępniania informacji i interoperacyjności. Wzorem i punktem wyjścia dla zawartych w nich klauzuli dotyczących interoperacyjności, w szczególności formatów udostępniania i protokołów wymiany informacji, powinny być wytyczne dotyczące interoperacyjności wydane przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) ustanowioną rozporządzeniem (UE) 2019/881. Wytyczne te powinny zostać szybko wydane, aby zapewnić możliwość ich uwzględnienia przez transgraniczne centra cyberbezpieczeństwa na wczesnym etapie. Należy w nich uwzględnić międzynarodowe standardy i najlepsze praktyki oraz sposób funkcjonowania istniejących transgranicznych centrów cyberbezpieczeństwa.

(20) Transgraniczne centra cyberbezpieczeństwa i sieć CSIRT powinny ściśle ze sobą współpracować, aby zapewnić synergię i komplementarność działań. W tym celu powinny one uzgodnić procedury dotyczące współpracy i udostępniania odpowiednich informacji. Może to obejmować udostępnianie odpowiednich informacji na temat cyberzagrożeń i poważnych incydentów w cyberbezpieczeństwie oraz zapewnienie, aby doświadczenia związane z wykorzystaniem przez transgraniczne centra cyberbezpieczeństwa najnowocześniejszych narzędzi, w szczególności sztucznej inteligencji i technologii analityki danych, były udostępniane sieci CSIRT.

(21) Wspólna orientacja sytuacyjna wśród odpowiednich organów jest warunkiem koniecznym gotowości i koordynacji w całej Unii w odniesieniu do poważnych incydentów w cyberbezpieczeństwie i incydentów w cyberbezpieczeństwie na dużą skalę. Dyrektywą (UE) 2022/2555 ustanowiono EU-CyCLONe, aby pomagać w skoordynowanym zarządzaniu na poziomie operacyjnym incydentami i sytuacjami kryzysowymi w cyberbezpieczeństwie na dużą skalę oraz zapewniać regularną wymianę odpowiednich informacji między państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii. Dyrektywą (UE) 2022/2555 ustanowiono również sieć CSIRT mającą na celu promowanie szybkiej i skutecznej współpracy operacyjnej między wszystkimi państwami członkowskimi. Aby zapewnić orientację sytuacyjną oraz zwiększyć poziom solidarności w sytuacjach, w których transgraniczne centra cyberbezpieczeństwa uzyskują informacje dotyczące potencjalnego lub trwającego incydentu w cyberbezpieczeństwie na dużą skalę, powinny one przekazywać odpowiednie informacje sieci CSIRT oraz - w ramach wczesnego ostrzegania - EU-CyCLONe. W szczególności, w zależności od sytuacji, udostępniane informacje mogą obejmować informacje techniczne, informacje na temat charakteru i motywów sprawcy lub potencjalnego sprawcy ataku oraz informacje nietechniczne wyższego poziomu na temat potencjalnego lub trwającego incydentu w cyberbezpieczeństwie na dużą skalę. W tym kontekście należy zwrócić należytą uwagę na zasadę ograniczonego dostępu oraz potencjalnie poufny charakter udostępnianych informacji. W dyrektywie (UE) 2022/2555 przypomniano również o odpowiedzialności Komisji w ramach Unijnego Mechanizmu Ochrony Ludności (UMOL) ustanowionego decyzją Parlamentu Europejskiego i Rady 1313/2013/UE 13  oraz o jej odpowiedzialności za przedstawianie sprawozdań analitycznych na potrzeby zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (zwanych dalej "uzgodnieniami IPCR") zgodnie z decyzją wykonawczą Rady (UE) 2018/1993 14 . W przypadku gdy transgraniczne centra cyberbezpieczeństwa udostępniają EU-CyCLONe i sieci CSIRT odpowiednie informacje i wczesne ostrzeżenia dotyczące potencjalnego lub trwającego incydentu w cyberbezpieczeństwie na dużą skalę, konieczne jest, aby informacje te były udostępniane za pośrednictwem tych sieci organom państw członkowskich oraz Komisji. W tym kontekście dyrektywa (UE) 2022/2555 przewiduje, że EU-CyCLONe ma za zadanie pomagać w skoordynowanym zarządzaniu na poziomie operacyjnym incydentami i kryzysami w cyberbezpieczeństwie na dużą skalę oraz zapewniać regularną wymianę odpowiednich informacji między państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii. Do zadań EU-CyCLONe należy opracowanie wspólnej orientacji sytuacyjnej w odniesieniu do takich incydentów i kryzysów. Jest niezwykle ważne, aby EU-CyCLONe zapewniło, zgodnie z tym celem i zadaniami, aby takie informacje były natychmiast udostępniane odpowiednim przedstawicielom państw członkowskich i Komisji. W tym celu istotne jest, aby regulamin wewnętrzny EU-CyCLONe zawierał odpowiednie przepisy.

(22) Podmioty uczestniczące w europejskim systemie cyberostrzeżeń powinny zapewniać wysoki poziom interoperacyj- ności między sobą, w tym w stosownych przypadkach w odniesieniu do formatów danych, taksonomii, narzędzi przetwarzania i analityki danych. Powinny one również zapewnić bezpieczne kanały komunikacji, minimalny poziom bezpieczeństwa warstwy aplikacji, tablicę wskaźników orientacji sytuacyjnej oraz same wskaźniki. Przy przyjmowaniu wspólnej taksonomii i opracowywaniu wzoru sprawozdań sytuacyjnych na potrzeby opisywania przyczyn wykrytych cyberzagrożeń i ryzyka w cyberprzestrzeni należy uwzględnić dotychczasowe prace w kontekście wykonywania dyrektywy (UE) 2022/2555.

(23) Aby umożliwić prowadzoną na dużą skalę wymianę odpowiednich danych i informacji na temat cyberzagrożeń pochodzących z różnych źródeł w zaufanym i bezpiecznym środowisku, podmioty uczestniczące w europejskim systemie cyberostrzeżeń powinny być wyposażone w najnowocześniejsze i wysoce bezpieczne narzędzia, sprzęt i infrastrukturę oraz posiadać wykwalifikowany personel. Powinno to umożliwić poprawę zdolności zbiorowego wykrywania incydentów oraz terminowe ostrzeganie organów i odpowiednich podmiotów, w szczególności dzięki wykorzystaniu najnowszych technologii sztucznej inteligencji i analityki danych.

(24) Dzięki zbieraniu, analizie, udostępnianiu i wymianie odpowiednich danych i informacji europejski system cyberostrzeżeń powinien zwiększać suwerenność technologiczną i otwartą autonomię strategiczną w dziedzinie cyberbezpieczeństwa oraz konkurencyjność i odporność Unii. Łączenie wyselekcjonowanych danych wysokiej jakości może również przyczynić się do rozwoju zaawansowanych narzędzi sztucznej inteligencji i analityki danych. Skuteczne łączenie wysokiej jakości danych wymaga nadzoru człowieka, a zatem wykwalifikowanej siły roboczej.

(25) Chociaż europejski system cyberostrzeżeń jest projektem cywilnym, społeczność zajmująca się cyberobroną mogłaby skorzystać na poprawie cywilnych zdolności w zakresie wykrywania i orientacji sytuacyjnej do celów ochrony infrastruktury krytycznej.

(26) Udostępnianie informacji między uczestnikami europejskiego systemu cyberostrzeżeń powinno być zgodne z obowiązującymi wymogami prawnymi, w szczególności z unijnymi i krajowymi przepisami o ochronie danych, a także z unijnymi regułami konkurencji regulującymi wymianę informacji. Odbiorca informacji powinien wdrożyć - o ile konieczne jest przetwarzanie danych osobowych - środki techniczne i organizacyjne chroniące prawa i wolności osób, których dane dotyczą, oraz zniszczyć dane, gdy tylko przestaną one być niezbędne do określonego celu, oraz poinformować jednostkę udostępniającą dane o ich zniszczeniu.

(27) Zachowanie poufności i bezpieczeństwa informacji ma zasadnicze znaczenie z punktu widzenia wszystkich trzech filarów niniejszego rozporządzenia: zachęcania do udostępniania informacji lub ich wymiany w kontekście europejskiego systemu cyberostrzeżeń, ochrony interesów podmiotów ubiegających się o wsparcie z mechanizmu cyberkryzysowego, lub zapewniania, aby zgłoszenia w ramach europejskiego mechanizmu przeglądu incydentów w cyberbezpieczeństwie umożliwiały zdobycie doświadczenia bez wywierania negatywnego wpływu na podmioty dotknięte incydentami. Udział państw członkowskich i podmiotów w tych mechanizmach wymaga wzajemnego zaufania. Udostępnianie informacji, które zgodnie z przepisami unijnymi lub krajowymi mają status informacji poufnych, lub ich wymiana, powinny być ograniczone do tego, co jest istotne i proporcjonalne do celów tej wymiany. Podczas udostępniania informacji lub ich wymiany należy zachować ich poufność oraz chronić bezpieczeństwo i interesy handlowe każdego zainteresowanego podmiotu. Udostępnianie informacji lub ich wymiana na podstawie niniejszego rozporządzenia może się odbywać z wykorzystaniem umów o zachowaniu poufności lub wytycznych dotyczących dystrybucji informacji, takich jak kod poufności TLP. Kod poufności TLP należy rozumieć jako narzędzie służące informowaniu o wszelkich ograniczeniach w dalszym rozpowszechnianiu informacji. Stosują go niemal wszystkie CSIRT i niektóre ISAC. Oprócz tych ogólnych wymogów, jeżeli chodzi o europejski system cyberostrzeżeń, w umowach konsorcjów przyjmujących należy szczegółowo określić przepisy dotyczące warunków udostępniania informacji w ramach danego transgranicznego centrum cyberbezpieczeństwa. Umowy te mogłyby w szczególności zawierać wymóg, aby udostępnianie informacji odbywało się tylko zgodnie z prawem Unii i prawem krajowym.

(28) Jeśli chodzi o uruchamianie rezerwy cyberbezpieczeństwa UE, konieczne są szczegółowe zasady poufności. Wniosek o wsparcie będzie składany i oceniany, a wsparcie udzielane w kontekście kryzysu podmiotom działającym w sektorach wrażliwych. Aby rezerwa cyberbezpieczeństwa UE mogła skutecznie funkcjonować, użytkownicy i podmioty powinni niezwłocznie udostępniać wszelkie informacje niezbędne do tego, aby każdy podmiot mógł odegrać wyznaczoną mu rolę w ocenie wniosków i uruchamianiu wsparcia. W związku z tym niniejsze rozporządzenie powinno stanowić, że wszystkie takie informacje mogą być wykorzystywane lub udostępniane wyłącznie wtedy, gdy jest to konieczne dla działania rezerwy cyberbezpieczeństwa UE, a informacje poufne lub niejawne na podstawie prawa Unii i prawa krajowego mają być wykorzystywane i udostępniane wyłącznie zgodnie z tym prawem. Ponadto użytkownicy powinni mieć zawsze możliwość, w stosownych przypadkach, skorzystania z protokołów udostępniania informacji, takich jak kody poufności TLP, w celu doprecyzowania ograniczeń. Chociaż użytkownicy mają pewną swobodę w tym względzie, ważne jest, aby przy stosowaniu takich ograniczeń brali pod uwagę możliwe konsekwencje, w szczególności opóźnienie oceny lub wykonania zamówionych usług. Skuteczne funkcjonowanie rezerwy cyberbezpieczeństwa UE wymaga, aby instytucja zamawiająca wyjaśniła użytkownikowi te konsekwencje przed złożeniem wniosku. Tego typu zabezpieczenia ograniczone są tylko do wniosku i świadczenia usług oferowanych w ramach rezerwy cyberbezpieczeństwa UE oraz nie mają wpływu na wymianę informacji w innych kontekstach, takich jak udzielanie zamówień na potrzeby rezerwy cyberbezpieczeństwa UE.

(29) W związku z rosnącym ryzykiem i rosnącą liczbą incydentów mających wpływ na państwa członkowskie konieczne jest ustanowienie instrumentu wsparcia kryzysowego, a mianowicie mechanizmu cyberkryzysowego, aby poprawić odporność Unii na poważne incydenty w cyberbezpieczeństwie i incydenty w cyberbezpieczeństwie na dużą skalę i incydenty równoważne incydentom w cyberbezpieczeństwie na dużą skalę oraz uzupełnić działania państw członkowskich wsparciem finansowym w sytuacjach nadzwyczajnych na potrzeby gotowości, reagowania na incydenty i wstępnego przywrócenia funkcjonowania usług kluczowych. Ponieważ pełne usunięcie skutków incydentu jest kompleksowym procesem przywracania funkcjonowania podmiotu dotkniętego incydentem do stanu sprzed incydentu i może długo trwać oraz pociągać za sobą znaczące koszty, wsparcie z rezerwy cyberbezpieczeństwa UE powinno się ograniczać do wstępnego etapu procesu usuwania skutków, który pomaga przywrócić podstawowe funkcje systemów. Mechanizm cyberkryzysowy powinien umożliwiać szybkie i skuteczne udzielanie pomocy w określonych okolicznościach i na jasnych warunkach oraz dokładne monitorowanie i ocenę sposobu wykorzystania zasobów. O ile podstawowa odpowiedzialność za zapobieganie incydentom i kryzysom spoczywa na państwach członkowskich, mechanizm cyberkryzysowy propaguje solidarność między państwami członkowskimi zgodnie z art. 3 ust. 3 Traktatu o Unii Europejskiej (TUE).

(30) Mechanizm cyberkryzysowy powinien zapewniać państwom członkowskim wsparcie uzupełniające ich własne środki i zasoby oraz inne istniejące możliwości wsparcia w przypadku reagowania na poważne incydenty w cyberbezpieczeństwie i incydenty w cyberbezpieczeństwie na dużą skalę oraz wstępnego usuwania ich skutków, takie jak: usługi świadczone przez ENISA zgodnie z jej mandatem, skoordynowana reakcja i pomoc ze strony sieci CSIRT, wsparcie ze strony EU-CyCLONe na potrzeby zmniejszenia zagrożeń, a także wzajemna pomoc między państwami członkowskimi, w tym w kontekście art. 42 ust. 7 TUE i zespoły szybkiego reagowania na cyberincydenty w ramach stałej współpracy strukturalnej (PESCO) ustanowione na podstawie decyzji Rady (WPZiB) 2017/2315 15 . W mechanizmie tym należy uwzględnić potrzebę zapewnienia dostępności specjalistycznych środków wspierających gotowość, reagowanie na takie incydenty i usuwanie ich skutków w całej Unii i w państwach trzecich stowarzyszonych z programem "Cyfrowa Europa".

(31) Niniejsze rozporządzenie pozostaje bez uszczerbku dla procedur i ram koordynowania reagowania kryzysowego na poziomie Unii, w szczególności dyrektywy (UE) 2022/2555, Unijnego Mechanizmu Ochrony Ludności ustanowionego decyzją Parlamentu Europejskiego i Rady nr 1313/2013/UE 16 , uzgodnień IPCR oraz zalecenia Komisji (UE) 2017/1584 17 . Wsparcie z mechanizmu cyberkryzysowego może uzupełniać pomoc udzielaną w kontekście wspólnej polityki zagranicznej i bezpieczeństwa oraz wspólnej polityki bezpieczeństwa i obrony, w tym za pośrednictwem zespołów szybkiego reagowania na cyberincydenty, uwzględniając cywilny charakter mechanizmu cyberkryzysowego. Wsparcie z mechanizmu cyberkryzysowego może uzupełniać działania realizowane w kontekście art. 42 ust. 7 Traktatu UE, w tym pomoc udzielaną przez jedno państwo członkowskie innemu państwu członkowskiemu, lub stanowić część wspólnej reakcji Unii i państw członkowskich, lub w sytuacjach, o których mowa w art. 222 TFUE. Wykonywanie tego rozporządzenia powinno być również skoordynowane, w stosownych przypadkach, z wdrażaniem środków z zestawu narzędzi dla dyplomacji cyfrowej.

(32) Wsparcie udzielane na podstawie niniejszego rozporządzenia powinno wspomagać i uzupełniać działania podejmowane przez państwa członkowskie na poziomie krajowym. W tym celu należy zapewnić ścisłą współpracę i konsultacje między Komisją, ENISA, państwami członkowskimi oraz, w stosownych przypadkach, ECCC. Wnioskując o wsparcie w ramach mechanizmu cyberkryzysowego, państwo członkowskie powinno przedstawić odpowiednie informacje uzasadniające potrzebę wsparcia.

(33) W dyrektywie (UE) 2022/2555 zobowiązano państwa członkowskiego do wyznaczenia lub ustanowienia co najmniej jednego organu ds. zarządzania kryzysowego w cyberbezpieczeństwie oraz do zapewnienia tym organom odpowiednich zasobów, aby organy te mogły efektywnie i skutecznie wykonywać powierzone im zadania. Zobowiązano w niej również państwa członkowskie do określenia zdolności, zasobów i procedur, które można wykorzystać w razie sytuacji kryzysowej, a także do przyjęcia krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę, w którym określa się cele i tryb zarządzania incydentami i zarządzania kryzysowego w cyberbezpieczeństwie na dużą skalę. Państwa członkowskie są również zobowiązane do ustanowienia co najmniej jednego CSIRT, który jest odpowiedzialny za obsługę incydentów zgodnie z wyraźnie określoną procedurą i obejmuje co najmniej sektory, podsektory i rodzaje podmiotów wchodzące w zakres stosowania tej dyrektywy, oraz do zapewnienia, aby CSIRT dysponowały odpowiednimi zasobami, tak aby mogły skutecznie realizować swoje zadania. Niniejsze rozporządzenie pozostaje bez uszczerbku dla roli Komisji w zapewnianiu przestrzegania przez państwa członkowskie obowiązków wynikających z dyrektywy (UE) 2022/2555. Mechanizm cyberkryzysowy powinien zapewniać pomoc w zakresie działań mających na celu zwiększenie gotowości, a także działań w zakresie reagowania na incydenty w celu złagodzenia skutków poważnych incydentów w cyberbezpieczeństwie i incydentów w cyberbezpieczeństwie na dużą skalę, wsparcia wstępnego usuwania ich skutków lub przywrócenia podstawowych funkcji usług świadczonych przez podmioty działające w sektorach kluczowych lub podmioty działające w innych sektorach krytycznych.

(34) Aby propagować spójne podejście oraz zwiększyć bezpieczeństwo w całej Unii i na jej rynku wewnętrznym, w ramach działań w zakresie gotowości należy w skoordynowany sposób wspierać testowanie i ocenę cyberbezpieczeństwa podmiotów działających w sektorach kluczowych określonych zgodnie z dyrektywą (UE) 2022/2555, w tym za pomocą ćwiczeń i szkoleń. W tym celu Komisja, po konsultacjach z ENISA, we współpracy z grupą współpracy NIS i EU-CyCLONe, powinna regularnie identyfikować odpowiednie sektory lub podsektory, które powinny kwalifikować się do otrzymania wsparcia finansowego na skoordynowane testowanie gotowości na poziomie Unii. Sektory lub podsektory należy wybierać spośród sektorów kluczowych wymienionych w załączniku I do dyrektywy (UE) 2022/2555. Skoordynowane testowanie gotowości powinno opierać się na wspólnych scenariuszach ryzyka i wspólnych metodykach. Przy wyborze sektorów i opracowywaniu scenariuszy ryzyka należy uwzględnić odpowiednie ogólnounijne oceny ryzyka i scenariusze ryzyka, w tym potrzebę unikania powielania działań, między innymi ocenę ryzyka i scenariusze ryzyka, o które zaapelowano w konkluzjach Rady o rozwijaniu pozycji Unii Europejskiej w kwestiach cyberprzestrzeni i które przeprowadziła Komisja, Wysoki Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa (zwany dalej "Wysokim Przedstawicielem") i grupa współpracy NIS, w koordynacji z odpowiednimi organami i agencjami cywilnymi i wojskowymi oraz ustanowionymi sieciami, w tym EU-CyCLONe, a także ocenę ryzyka związanego z sieciami i infrastrukturą łączności, o którą to ocenę zaapelowano we wspólnym ministerialnym wezwaniu z Nevers i którą przeprowadziła grupa współpracy NIS przy wsparciu Komisji i ENISA oraz we współpracy z Organem Europejskich Regulatorów Łączności Elektronicznej ustanowionym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1971 18 , skoordynowane na poziomie Unii szacowanie ryzyka krytycznych łańcuchów dostaw, które mają zostać przeprowadzone zgodnie z art. 22 dyrektywy (UE) 2022/2555, oraz testowanie operacyjnej odporności cyfrowej przewidziane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 19 . Przy wyborze sektorów należy również uwzględnić zalecenie Rady w sprawie ogólnounijnego skoordynowanego podejścia do kwestii wzmocnienia odporności infrastruktury krytycznej.

(35) Ponadto w ramach mechanizmu cyberkryzysowego należy udzielać wsparcia dla innych działań w zakresie gotowości oraz wspierać gotowość w innych sektorach, nieobjętych skoordynowanym testowaniem gotowości podmiotów działających w sektorach kluczowych lub podmiotów działających w innych sektorach krytycznych. Działania te mogą obejmować różnego rodzaju działania krajowe związane z gotowością.

(36) W przypadku gdy państwa członkowskie otrzymują dotacje na wsparcie działań w zakresie gotowości, podmioty w sektorach kluczowych mogą uczestniczyć w tych działaniach na zasadzie dobrowolności. Aby w jak największym stopniu wykorzystać działania w zakresie gotowości, dobrą praktyką jest sporządzenie planu środków zaradczych przez uczestniczące w nich podmioty w celu wdrożenia ewentualnych zaleceń dotyczących konkretnych środków. Chociaż ważne jest, aby państwa członkowskie zwróciły się do uczestniczących podmiotów o sporządzenie i wdrożenie takich planów środków zaradczych, niniejsze rozporządzenie nie zobowiązuje państw członkowskich ani nie upoważnia ich do egzekwowania wymogu sporządzania takich planów. Wnioski o sporządzenie takich planów pozostają bez uszczerbku dla wymogów dotyczących podmiotów i uprawnień nadzorczych właściwych organów zgodnie z dyrektywą (UE) 2022/2555.

(37) Mechanizm cyberkryzysowy powinien również zapewniać wsparcie działań w zakresie reagowania na incydenty w celu złagodzenia skutków poważnych incydentów w cyberbezpieczeństwie, incydentów w cyberbezpieczeństwie na dużą skalę i incydentów równoważnych incydentom w cyberbezpieczeństwie na dużą skalę, wsparcia wstępnego usuwania ich skutków lub przywrócenia funkcjonowania usług kluczowych. W stosownych przypadkach powinien on uzupełniać UMOL, aby zapewnić kompleksowe podejście do reagowania na skutki incydentów dla obywateli.

(38) Mechanizm cyberkryzysowy powinien wspierać pomoc techniczną udzielaną przez jedno państwo członkowskie drugiemu państwu członkowskiemu dotkniętemu poważnym incydentem w cyberbezpieczeństwie lub incydentem w cyberbezpieczeństwie na dużą skalę, w tym za pośrednictwem sieci CSIRT, o której mowa w art. 11 ust. 3 lit. f) dyrektywy (UE) 2022/2555. Udzielające takiej pomocy państwa członkowskie powinny mieć możliwość składania wniosków o pokrycie kosztów związanych z wysyłaniem zespołów ekspertów w ramach wzajemnej pomocy. Koszty kwalifikowalne mogą obejmować koszty podróży, zakwaterowania i diety dziennej ekspertów ds. cyberbezpieczeństwa.

(39) Biorąc pod uwagę zasadniczą rolę, jaką przedsiębiorstwa prywatne odgrywają w wykrywaniu incydentów w cyberbezpieczeństwie na dużą skalę i incydentów równoważnych incydentom w cyberbezpieczeństwie na dużą skalę oraz w gotowości i reagowaniu na nie, należy uznać wartość dobrowolnej współpracy pro bono z takimi przedsiębiorstwami, w ramach której oferują one bezpłatne usługi w przypadku incydentów i kryzysów w cyberbezpieczeństwie na dużą skalę lub incydentów i kryzysów równoważnych incydentom w cyberbezpieczeń- stwie na dużą skalę. ENISA, we współpracy z EU-CyCLONe, mogłaby monitorować rozwój takich inicjatyw pro bono oraz promować przestrzeganie przez uczestniczące w nich podmioty kryteriów mających zastosowanie do zaufanych dostawców usług zarządzanych w zakresie bezpieczeństwa na podstawie niniejszego rozporządzenia, w tym w odniesieniu do wiarygodności przedsiębiorstw prywatnych, ich doświadczenia, a także zdolności do bezpiecznego przetwarzania informacji szczególnie chronionych.

(40) W ramach mechanizmu cyberkryzysowego należy stopniowo tworzyć rezerwę cyberbezpieczeństwa UE składającą się z usług oferowanych przez zaufanych dostawców usług zarządzanych w zakresie bezpieczeństwa, aby wspierać reagowanie i wstępne usuwanie skutków w przypadku poważnych incydentów w cyberbezpieczeństwie, incydentów w cyberbezpieczeństwie na dużą skalę lub incydentów równoważnych incydentom w cyberbezpieczeństwie na dużą skalę mających wpływ na państwa członkowskie, instytucje, organy i jednostki organizacyjne Unii lub państwa trzecie stowarzyszone z programem "Cyfrowa Europa". Rezerwa cyberbezpieczeństwa UE powinna zapewniać dostępność i gotowość usług. W związku z tym powinna obejmować usługi, które są deklarowane z wyprzedzeniem, w tym na przykład gotowość do natychmiastowego i szybkiego reagowania. Usługi z rezerwy cyberbezpieczeństwa UE powinny służyć wspieraniu organów krajowych w udzielaniu pomocy dotkniętym incydentami podmiotom działającym w sektorach kluczowych lub dotkniętym incydentami podmiotom działającym w innych sektorach krytycznych jako uzupełnienie działań tych organów na poziomie krajowym. Usługi z rezerwy cyberbezpieczeństwa UE powinny również móc służyć zapewnieniu wsparcia instytucjom, organom i jednostkom organizacyjnym Unii na podobnych warunkach. Rezerwa cyberbezpieczeństwa UE mogłaby także wzmacniać konkurencyjną pozycję przemysłu i usług w Unii w całej gospodarce cyfrowej, w tym mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, a także przedsiębiorstw typu startup, w tym poprzez udzielanie zachęt do inwestycji w badania i innowacyjność. Przy zamawianiu usług na potrzeby rezerwy cyberbezpieczeństwa UE ważne jest uwzględnienie europejskich ram umiejętności w dziedzinie cyberbezpieczeństwa ENISA. Wnioskując o wsparcie z rezerwy cyberbezpieczeństwa UE, użytkownicy powinni podać we wniosku odpowiednie informacje na temat dotkniętego incydentem podmiotu i potencjalnych skutków, informacje na temat żądanej usługi z rezerwy cyberbezpieczeństwa UE oraz informacje na temat wsparcia udzielonego na poziomie krajowym podmiotowi dotkniętemu incydentem, które należy uwzględnić przy ocenie wniosku złożonego przez wnioskodawcę. Aby zapewnić komplementarność z innymi formami wsparcia dostępnymi podmiotowi, na który incydent ma wpływ, wniosek powinien także zawierać, w miarę dostępności, informacje o istniejących ustaleniach umownych dotyczących usług reagowania na incydenty i wstępnego usuwania skutków incydentów, a także o umowach ubezpieczeniowych potencjalnie pokrywających koszty takich incydentów.

(41) Aby zapewnić skuteczne wykorzystanie unijnych funduszy, wcześniej zadeklarowane usługi w ramach rezerwy cyberbezpieczeństwa UE należy przekształcić, zgodnie z odpowiednią umową, w usługi w zakresie gotowości związane z zapobieganiem incydentom i reagowaniem na nie, w przypadku gdy takie wcześniej zadeklarowane usługi nie zostaną wykorzystane do reagowania na incydenty w okresie, na który je wcześniej zadeklarowano. Usługi te powinny uzupełniać działania w zakresie gotowości, którymi zarządzać będzie ECCC, a nie powinny ich powielać.

(42) Wnioski o wsparcie z rezerwy cyberbezpieczeństwa UE składane przez organy państw członkowskich ds. zarządzania kryzysowego w cyberbezpieczeństwie oraz CSIRT lub CERT-UE w imieniu instytucji, organów i jednostek organizacyjnych Unii powinna oceniać instytucja zamawiająca. W przypadku gdy ENISA powierzono zarządzanie rezerwą cyberbezpieczeństwa UE i jej obsługę, tą instytucją zamawiającą jest ENISA. Wnioski o wsparcie z rezerwy cyberbezpieczeństwa UE z państw trzecich stowarzyszonych z programem "Cyfrowa Europa" oceniane są przez Komisję. Aby ułatwić składanie i ocenę wniosków o wsparcie, ENISA może utworzyć bezpieczną platformę.

(43) W przypadku otrzymania wielu wniosków równocześnie, porządkuje się je według priorytetów zgodnie z kryteriami określonymi w niniejszym rozporządzeniu. W świetle ogólnych celów niniejszego rozporządzenia kryteria te powinny uwzględniać zakres i dotkliwość incydentu, rodzaj podmiotu, którego dotyczy incydent, potencjalny wpływ incydentu na dotknięte nim państwa członkowskie i użytkowników, potencjalny transgraniczny charakter incydentu oraz ryzyko jego rozprzestrzeniania się, a także środki już podjęte przez użytkownika w reakcji na incydent i wstępnie usunięte skutki. W świetle tych celów oraz biorąc pod uwagę, że wnioski użytkowników z państw członkowskich mają wyłącznie wspierać w całej Unii podmioty działające w sektorach kluczowych lub podmioty działające w innych sektorach krytycznych, należy nadać wyższy priorytet wnioskom użytkowników z państw członkowskich, w przypadku gdy na podstawie kryteriów równo oceniono dwa lub większą liczbę wniosków. Pozostaje to bez uszczerbku dla wszelkich zobowiązań państw członkowskich, na podstawie odpowiednich umów o przyjęciu, do podejmowania środków na rzecz ochrony i wsparcia instytucji, organów i jednostek organizacyjnych Unii.

(44) Komisja powinna ponosić ogólną odpowiedzialność za wdrożenie rezerwy cyberbezpieczeństwa UE. Biorąc pod uwagę rozległe doświadczenie ENISA w dziedzinie cyberbezpieczeństwa, ENISA jest najbardziej odpowiednią agencją do wdrożenia rezerwy cyberbezpieczeństwa UE. W związku z tym Komisja powinna powierzyć ENISA, częściowo lub - jeżeli uzna to za stosowne - w całości, obsługę rezerwy cyberbezpieczeństwa UE i zarządzanie nią. Powierzenie jej tych zadań powinno się odbyć zgodnie z mającymi zastosowanie przepisami rozporządzenia (UE, Euratom) 2024/2509, a w szczególności powinno być uzależnione od spełnienia odpowiednich warunków podpisania umowy o przyznanie wkładu. Wszelkie aspekty obsługi rezerwy cyberbezpieczeństwa UE i zarządzaniu nią, które nie zostały powierzone ENISA, powinny podlegać zarządzaniu bezpośredniemu przez Komisję, w tym przed podpisaniem umowy o przyznanie wkładu.

(45) Państwa członkowskie powinny odgrywać kluczową rolę w tworzeniu i uruchamianiu rezerwy cyberbezpieczeństwa UE, a także w okresie po jej uruchomieniu. Ponieważ rozporządzenie (UE) 2021/694 jest odpowiednim aktem podstawowym dla działań wdrażających rezerwę cyberbezpieczeństwa UE, działania w ramach rezerwy cyberbezpieczeństwa UE należy uwzględnić w programach prac, o których mowa w art. 24 rozporządzenia (UE) 2021/694. Zgodnie z ust. 6 tego artykułu te programy prac mają być przyjmowane przez Komisję w drodze aktów wykonawczych zgodnie z procedurą sprawdzającą. Ponadto Komisja, w koordynacji z grupą współpracy NIS, powinna określić priorytety i ewolucję rezerwy cyberbezpieczeństwa UE.

(46) Umowy zawarte w ramach rezerwy cyberbezpieczeństwa UE nie powinny wpływać na relacje między przedsiębiorstwami ani na istniejące zobowiązania między podmiotem, na który wpływ ma incydent, lub użytkownikami a dostawcą usług.

(47) Na potrzeby wyboru prywatnych dostawców usług do świadczenia usług w kontekście rezerwy cyberbezpieczeń- stwa UE konieczne jest ustanowienie zestawu minimalnych kryteriów i wymogów, które należy uwzględnić w zaproszeniu do składania ofert na potrzeby wyboru tych dostawców usług, tak aby zapewnić zaspokojenie potrzeb organów państw członkowskich, podmiotów działających w sektorach kluczowych lub podmiotów działających w innych sektorach krytycznych. Aby zaspokoić szczególne potrzeby państw członkowskich instytucja zamawiająca powinna - w stosownych przypadkach - w momencie przygotowywania zamówienia na usługi na potrzeby rezerwy cyberbezpieczeństwa UE opracować kryteria wyboru i wymogi dodatkowe w stosunku do tych określonych w niniejszym rozporządzeniu. Ważne jest, aby do udziału zachęcać mniejszych dostawców działających na poziomie regionalnym i lokalnym.

(48) Przy wyborze dostawców na potrzeby rezerwy cyberbezpieczeństwa UE instytucja zamawiająca powinna dążyć do tego, aby rezerwa cyberbezpieczeństwa UE, jako całość, obejmowała dostawców, którzy są w stanie spełnić wymogi językowe użytkowników. W tym celu instytucja zamawiająca, przed przygotowaniem specyfikacji warunków zamówienia, powinna zbadać, czy potencjalni użytkownicy rezerwy cyberbezpieczeństwa UE mają szczególne wymogi językowe, tak aby usługi wsparcia z rezerwy cyberbezpieczeństwa UE mogły być świadczone w jednym z języków urzędowych instytucji Unii lub państwa członkowskiego, które będą zrozumiałe dla użytkownika lub podmiotu, którego dotyczy incydent. W przypadku gdy użytkownik wymaga obsługi więcej niż jednego języka do świadczenia usług wsparcia z rezerwy cyberbezpieczeństwa UE, a usługi te zostały zamówione w tych językach dla tego użytkownika, użytkownik ten powinien być w stanie określić we wniosku o wsparcie z rezerwy cyberbezpieczeństwa UE, w którym z języków powinny być świadczone usługi w związku z tym konkretnym incydentem, którego dotyczy wniosek.

(49) Aby wesprzeć ustanowienie rezerwy cyberbezpieczeństwa UE, ważne jest, aby Komisja zwróciła się do ENISA o przygotowanie propozycji programu certyfikacji cyberbezpieczeństwa w odniesieniu do usług zarządzanych w zakresie bezpieczeństwa na podstawie rozporządzenia (UE) 2019/881 w obszarach objętych mechanizmem cyberkryzysowym.

(50) Aby wspierać osiągnięcie celów niniejszego rozporządzenia, które obejmują propagowanie wspólnej orientacji sytuacyjnej, zwiększanie odporności Unii oraz umożliwianie skutecznego reagowania na poważne incydenty w cyberbezpieczeństwie i incydenty w cyberbezpieczeństwie na dużą skalę, Komisja lub EU-CyCLONe powinny mieć możliwość zwrócenia się do ENISA, ze wsparciem sieci CSIRT i za zgodą danego państwa członkowskiego, o dokonanie przeglądu i oceny cyberzagrożeń, znanych możliwych do wykorzystania podatności oraz działań łagodzących w odniesieniu do konkretnego poważnego incydentu w cyberbezpieczeństwie lub incydentu w cyberbezpieczeństwie na dużą skalę. Po zakończeniu przeglądu i oceny incydentu ENISA powinna przygotować sprawozdanie z przeglądu incydentu we współpracy z zainteresowanym państwem członkowskim, odpowiednimi zainteresowanymi stronami, w tym z przedstawicielami sektora prywatnego, Komisją oraz innymi odpowiednimi instytucjami, organami i jednostkami organizacyjnymi Unii. Sprawozdanie z przeglądu konkretnych incydentów, sporządzone we współpracy z zainteresowanymi stronami, w tym z sektorem prywatnym, powinno służyć ocenie przyczyn i skutków incydentu po jego wystąpieniu oraz działań łagodzących te skutki. Szczególną uwagę należy zwrócić na spostrzeżenia i doświadczenia przekazywane przez dostawców usług zarządzanych w zakresie bezpieczeństwa, którzy spełniają warunki najwyższej uczciwości zawodowej, bezstronności i wymaganej fachowej wiedzy technicznej zgodnie z wymogami niniejszego rozporządzenia. Sprawozdanie należy dostarczyć EU-CyCLONe, sieci CSIRT i Komisji oraz powinno być ono użyte do wnoszenia wkładu w ich prace, a także w prace ENISA. W przypadku gdy incydent dotyczy państwa trzeciego stowarzyszonego z programem "Cyfrowa Europa", Komisja powinna udostępnić sprawozdanie także Wysokiemu Przedstawicielowi.

(51) Biorąc pod uwagę nieprzewidywalny charakter cyberataków oraz fakt, że często nie są one ograniczone do konkretnego obszaru geograficznego i stwarzają wysokie ryzyko rozprzestrzenienia się, zwiększenie odporności państw sąsiadujących i ich zdolności do skutecznego reagowania na poważne incydenty w cyberbezpieczeństwie i incydenty równoważne incydentom w cyberbezpieczeństwie na dużą skalę przyczynia się do ochrony całej Unii, a szczególnie jej rynku wewnętrznego i przemysłu. Takie działania mogą przyczyniać się do rozwoju dyplomacji cyfrowej Unii. W związku z tym państwa trzecie stowarzyszone z programem "Cyfrowa Europa" powinny móc występować o wsparcie z rezerwy cyberbezpieczeństwa UE, na całości lub części swojego terytorium, w przypadku gdy jest to przewidziane w umowie, na podstawie której dane państwo trzecie jest stowarzyszone z programem "Cyfrowa Europa". Unia powinna wspierać finansowanie dla stowarzyszonych z programem "Cyfrowa Europa" państw trzecich w ramach odpowiednich partnerstw i instrumentów finansowania przeznaczonych dla tych państw. Wsparcie powinno obejmować usługi w obszarze reagowania na poważne incydenty w cyberbezpieczeństwie lub incydenty równoważne incydentom w cyberbezpieczeństwie na dużą skalę oraz wstępnego usuwania skutków takich incydentów.

(52) Warunki określone w niniejszym rozporządzeniu w odniesieniu do rezerwy cyberbezpieczeństwa UE i zaufanych dostawców usług zarządzanych w zakresie bezpieczeństwa powinny mieć zastosowanie do wsparcia udzielanego państwom trzecim stowarzyszonym z programem "Cyfrowa Europa". Państwa trzecie stowarzyszone z programem "Cyfrowa Europa" powinny mieć możliwość wystąpienia o wsparcie z rezerwy cyberbezpieczeństwa UE, w przypadku gdy podmioty, które potrzebują wsparcia z rezerwy cyberbezpieczeństwa UE, są podmiotami działającymi w sektorach kluczowych lub podmiotami działającymi w innych sektorach krytycznych oraz w przypadku gdy wykryte incydenty prowadzą do znaczących zakłóceń operacyjnych lub mogą mieć skutki uboczne w Unii. Państwa trzecie stowarzyszone z programem "Cyfrowa Europa" powinny kwalifikować się do otrzymania wsparcia tylko wtedy, gdy umowa, na podstawie której są one stowarzyszone z programem "Cyfrowa Europa", wyraźnie przewiduje takie wsparcie. Ponadto takie państwa trzecie powinny nadal kwalifikować się do wsparcia tylko tak długo, jak spełnione są trzy kryteria. Po pierwsze, państwo trzecie powinno w pełni przestrzegać odpowiednich postanowień tej umowy. Po drugie, biorąc pod uwagę komplementarny charakter rezerwy cyberbezpieczeństwa UE, państwo trzecie powinno było podjąć odpowiednie kroki, aby przygotować się na poważne incydenty w cyberbezpieczeństwie lub incydenty równoważne incydentom w cyberbezpieczeństwie na dużą skalę. Po trzecie, udzielenie wsparcia z rezerwy cyberbezpieczeństwa UE powinno być spójne z polityką Unii wobec tego państwa i ogólnymi stosunkami z tym państwem oraz z innymi politykami Unii w dziedzinie bezpieczeństwa. W kontekście swojej oceny zgodności z tym trzecim kryterium Komisja powinna konsultować się z Wysokim Przedstawicielem w kwestii dostosowania takiego wsparcia do wspólnej polityki zagranicznej i bezpieczeństwa.

(53) Udzielanie wsparcia państwom trzecim stowarzyszonym z programem "Cyfrowa Europa" może mieć wpływ na stosunki z państwami trzecimi i na politykę bezpieczeństwa Unii, w tym w kontekście wspólnej polityki zagranicznej i bezpieczeństwa oraz wspólnej polityki bezpieczeństwa i obrony. W związku z tym należy przyznać Radzie uprawnienia wykonawcze do zatwierdzania i ustalania okresu, w którym takie wsparcie może być udzielane. Rada powinna działać na podstawie wniosku Komisji, z należytym uwzględnieniem dokonanej przez Komisję oceny trzech kryteriów. To samo powinno mieć zastosowanie do przedłużeń obowiązywania oraz wniosków dotyczących zmiany lub uchylenia takich aktów. W przypadku gdy w wyjątkowych okolicznościach Rada uzna, że nastąpiła istotna zmiana okoliczności w odniesieniu do trzeciego kryterium, Rada powinna mieć możliwość działania z własnej inicjatywy w celu zmiany lub uchylenia aktu wykonawczego bez oczekiwania na wniosek Komisji. Takie istotne zmiany z reguły wymagają pilnych działań, mają szczególnie istotne konsekwencje dla stosunków z państwami trzecimi oraz nie wymagają uprzedniej szczegółowej oceny ze strony Komisji. Ponadto Komisja powinna współpracować z Wysokim Przedstawicielem w odniesieniu do wniosków o wsparcie od państw trzecich stowarzyszonych z programem "Cyfrowa Europa" oraz wdrażania wsparcia przyznanego takim państwom trzecim. Komisja powinna również uwzględniać wszelkie opinie przekazane przez ENISA w odniesieniu do takich wniosków i wsparcia. Komisja powinna informować Radę o wynikach oceny wniosków, w tym o odpowiednich ustaleniach poczynionych w tym względzie, oraz o wdrożonych usługach.

(54) W komunikacie Komisji z dnia 18 kwietnia 2023 r. w sprawie Akademii Umiejętności w dziedzinie Cyberbezpieczeństwa zwrócono uwagę na niedobór wykwalifikowanych specjalistów. Takie kwalifikacje są potrzebne do realizacji celów niniejszego rozporządzenia. Unia pilnie potrzebuje specjalistów posiadających umiejętności i kompetencje, aby zapobiegać cyberatakom, wykrywać i powstrzymywać je oraz bronić Unii, w tym jej najbardziej krytycznej infrastruktury, przed takimi atakami oraz zapewnić jej odporność. W tym celu należy zachęcać do współpracy zainteresowane strony, w tym z sektora prywatnego, środowiska akademickiego i sektora publicznego. Równie ważne jest tworzenie synergii na wszystkich terytoriach Unii w odniesieniu do inwestycji w kształcenie i szkolenie, aby promować tworzenie zabezpieczeń zapobiegających drenażowi mózgów lub powiększeniu luki kompetencyjnej w niektórych regionach bardziej niż w innych. Należy pilnie zlikwidować lukę kompetencyjną w zakresie cyberbezpieczeństwa, a w szczególności zmniejszyć dysproporcję kobiet i mężczyzn w zawodach związanych z cyberbezpieczeństwem, aby promować obecność i udział kobiet w projektowaniu administracji cyfrowej.

(55) Aby pobudzić innowacje na jednolitym rynku cyfrowym, należy wzmocnić badania naukowe i innowacje w dziedzinie cyberbezpieczeństwa w celu przyczynienia się do zwiększenia odporności państw członkowskich i otwartej strategicznej autonomii Unii, co jest celem niniejszego rozporządzenia. Synergie mają zasadnicze znaczenie dla wzmocnienia współpracy i koordynacji między różnymi zainteresowanymi stronami, w tym z sektora prywatnego, społeczeństwa obywatelskiego i środowiska akademickiego.

(56) Niniejsze rozporządzenie powinno uwzględniać zobowiązanie zapisane we wspólnej deklaracji Parlamentu Europejskiego, Rady i Komisji z dnia 26 stycznia 2022 r. zatytułowanej "Europejska deklaracja praw i zasad cyfrowych w cyfrowej dekadzie" do ochrony interesów demokracji Unii, obywateli, przedsiębiorstw i instytucji publicznych przed ryzykiem w cyberprzestrzeni i cyberprzestępczością, w tym przed naruszaniem ochrony danych oraz kradzieżą tożsamości lub manipulowaniem tożsamością.

(57) W celu uzupełnienia niektórych, innych niż istotne elementów niniejszego rozporządzenia należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE w celu określenia rodzajów i liczby służb reagowania wymaganych dla rezerwy cyberbezpieczeństwa UE. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 20 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(58) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze na potrzeby doprecyzowania szczegółowych ustaleń dotyczących przyznawania usług wsparcia z rezerwy cyberbezpieczeństwa UE. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 21 .

(59) Bez uszczerbku dla przepisów dotyczących rocznego budżetu Unii wynikających z traktatów Komisja powinna uwzględniać obowiązki wynikające z niniejszego rozporządzenia przy ocenie potrzeb budżetowych i kadrowych ENISA.

(60) Komisja powinna regularnie przeprowadzać ocenę środków przewidzianych w niniejszym rozporządzeniu. Pierwsza taka ocena powinna mieć miejsce w ciągu pierwszych 2 lat po dniu wejścia w życie niniejszego rozporządzenia, a następnie co najmniej co 4 lata, z uwzględnieniem harmonogramu przeglądu wieloletnich ram finansowych ustanowionych zgodnie z art. 312 TFUE. Komisja powinna przedstawić sprawozdanie z poczynionych postępów Parlamentowi Europejskiemu i Radzie. Aby ocenić poszczególne wymagane elementy, w tym zakres informacji udostępnianych w ramach europejskiego systemu cyberostrzeżeń, Komisja powinna opierać się wyłącznie na informacjach, które są łatwo dostępne lub przekazywane dobrowolnie. Biorąc pod uwagę zmiany geopolityczne oraz w celu zapewnienia ciągłości i dalszego rozwoju środków określonych w niniejszym rozporządzeniu na okres po 2027 r. Komisja powinna ocenić konieczność przydziału odpowiednich środków budżetowych w wieloletnich ramach finansowych na lata 2028-2034.

(61) Ponieważ cele niniejszego rozporządzenia, a mianowicie wzmocnienie konkurencyjnej pozycji przemysłu i usług w Unii w całej gospodarce cyfrowej oraz przyczynienie się do suwerenności technologicznej Unii i jej otwartej autonomii strategicznej w dziedzinie cyberbezpieczeństwa, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na ich rozmiary i skutki możliwe jest ich lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 TUE. Zgodnie z zasadą proporcjonalności określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: