Výzkumný útvar Evropského parlamentu (EPRS) zveřejnil 12. června analytický přehled k posouzení dopadů, který doprovází revizi Aktu EU o kybernetické bezpečnosti (Cybersecurity Act, CSA). Dokument hodnotí, jak podrobení systémových rizik novým pravidlům odpovídá skutečným potřebám trhu i bezpečnostního prostředí Evropy.

Platný Akt o kybernetické bezpečnosti z roku 2019 dal ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost) trvalý mandát a zřídil Evropský rámec certifikace kybernetické bezpečnosti (ECCF). Revidovaný akt chce tento základ podstatně rozšířit. Návrh Komise pokrývá čtyři hlavní oblasti: aktualizaci mandátu ENISA tak, aby odpovídal změněnému hrozebnímu prostředí; revizi ECCF s cílem rozšířit jeho rozsah, zpřesnit kompetence a zlepšit postupy; cílené změny směrnice NIS2 ke sjednocení compliance napříč vnitřním trhem; a nový unijní rámec pro zabezpečení ICT dodavatelského řetězce proti netechnickým rizikům – například hrozbám plynoucím z geopolitických závislostí nebo z přítomnosti nedůvěryhodných dodavatelů v kritické infrastruktuře.

EPRS v přehledu konstatuje, že posouzení dopadů je celkově dobře strukturované a věrohodně zdůvodňuje potřebu revize. Identifikované cíle do značné míry splňují kritéria SMART, i když nikoli beze zbytku, a operační cíle v dokumentu chybí. Přehled také upozorňuje, že ačkoli jde o politicky významnou iniciativu, posouzení dopadů nenabízí subsididiaritní grid a neobsahuje samostatnou sekci o proporcionalitě. Jako slabé místo hodnotí EPRS i to, že zpětná vazba ze stakeholderských konzultací dostala při výběru preferovaných variant politiky menší váhu, než by si zasloužila. Regulační kontrolní výbor (RSB) vydal po prvním negativním stanovisku pro závažné nedostatky druhé, podmíněně pozitivní stanovisko; jeho doporučení byla z větší části zapracována.