Youtube Linkedin
Pitajte nas bilo što
HR 🇭🇷
HR 🇭🇷 ENG 🇬🇧 SLO 🇸🇮 DE 🇩🇪 FR 🇫🇷
Savjetovati
Nis2Compliant.org
Razgovarajte sa stručnjakom

Puni tekst NIS 2 Direktive

Poglavlje 1 – Opće odredbe

  1. Ova Direktiva utvrđuje mjere kojima je cilj postići visoku zajedničku razinu kibernetičke sigurnosti u cijeloj Uniji, s ciljem poboljšanja funkcioniranja unutarnjeg tržišta.
  2. U tu svrhu, ova Direktiva propisuje:

    • obveze koje zahtijevaju od država članica da donesu nacionalne strategije kibernetičke sigurnosti i da odrede ili uspostave nadležna tijela, tijela za upravljanje kibernetičkim krizama, jedinstvene kontaktne točke za kibernetičku sigurnost (jedinstvene kontaktne točke) i timove za odgovor na računalne sigurnosne incidente (CSIRT);
    • mjere upravljanja rizikom kibernetičke sigurnosti i obveze izvješćivanja za subjekte vrste navedene u Prilogu I. ili II., kao i za subjekte koji su identificirani kao kritični subjekti prema Direktivi (EU) 2022/2557;
    • pravila i obveze o dijeljenju informacija o kibernetičkoj sigurnosti;
    • nadzorne i provedbene obveze država članica.
 
  1. Ova se Direktiva primjenjuje na javne ili privatne subjekte vrste navedene u Prilogu I. ili II. koji se kvalificiraju kao srednja poduzeća prema članku 2. Priloga Preporuci 2003/361/EZ ili premašuju gornje granice za srednja poduzeća predviđene iz stavka 1. toga članka, a koje svoje usluge pružaju odnosno obavljaju djelatnost unutar Unije.

    Članak 3. stavak 4. Priloga toj Preporuci ne primjenjuje se za potrebe ove Direktive.

  2. Bez obzira na njihovu veličinu, ova se Direktiva također primjenjuje na subjekte vrste navedene u Prilogu I. ili II., gdje:
    1. usluge pružaju:
      1. pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga;
      2. pružatelji usluga povjerenja;
      3. registri naziva domena najviše razine i pružatelji usluga sustava naziva domena;
    2. subjekt je jedini pružatelj usluge u državi članici koja je ključna za održavanje ključnih društvenih ili gospodarskih aktivnosti;
    3. prekid usluge koju pruža subjekt mogao bi imati značajan utjecaj na javnu sigurnost, javnu sigurnost ili javno zdravlje;
    4. prekid usluge koju pruža subjekt mogao bi izazvati značajan sistemski rizik, posebno za sektore u kojima bi takav prekid mogao imati prekogranični učinak;
    5. subjekt je kritičan zbog svoje posebne važnosti na nacionalnoj ili regionalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u državi članici;
    6. subjekt je subjekt javne uprave:
      1. središnje vlade kako je definira država članica u skladu s nacionalnim pravom; ili
      2. na regionalnoj razini kako je definirala država članica u skladu s nacionalnim pravom koja, nakon procjene temeljene na riziku, pruža usluge čiji bi prekid mogao imati značajan utjecaj na ključne društvene ili gospodarske aktivnosti.
  3. Bez obzira na njihovu veličinu, ova se Direktiva primjenjuje na subjekte koji su identificirani kao kritični subjekti prema Direktivi (EU) 2022/2557.
  4. Bez obzira na njihovu veličinu, ova se Direktiva primjenjuje na subjekte koji pružaju usluge registracije naziva domena.
  5. Države članice mogu predvidjeti da se ova Direktiva primjenjuje na:
    1. subjekti javne uprave na lokalnoj razini;
    2. obrazovnim ustanovama, posebno tamo gdje provode kritičke istraživačke aktivnosti.
  6. Ova Direktiva ne dovodi u pitanje odgovornost država članica za očuvanje nacionalne sigurnosti i njihovu ovlast da zaštite druge bitne državne funkcije, uključujući osiguranje teritorijalne cjelovitosti države i održavanje reda i zakona.
  7. Ova se Direktiva ne primjenjuje na tijela javne uprave koja obavljaju svoje aktivnosti u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili provođenja zakona, uključujući sprječavanje, istragu, otkrivanje i kazneni progon kaznenih djela.
  8. Države članice mogu izuzeti određene subjekte koji obavljaju aktivnosti u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili provođenja zakona, uključujući prevenciju, istragu, otkrivanje i kazneni progon kaznenih djela, ili koji pružaju usluge isključivo subjektima javne uprave iz iz stavka 7. ovoga članka, od obveza propisanih čl Članak 21 ili 23 s obzirom na te aktivnosti ili usluge. U takvim slučajevima, nadzorne i izvršne mjere iz poglavlja VII. neće se primjenjivati u odnosu na te posebne aktivnosti ili usluge. Ako subjekti obavljaju aktivnosti ili pružaju usluge isključivo vrste navedene u ovom stavku, države članice mogu odlučiti također izuzeti te subjekte od obveza utvrđenih u Članci 3 i 27.
  9. Stavci 7. i 8. ne primjenjuju se ako subjekt djeluje kao pružatelj usluga povjerenja.
  10. Ova se Direktiva ne primjenjuje na subjekte koje su države članice izuzele iz područja primjene Uredbe (EU) 2022/2554 u skladu s člankom 2. stavkom 4. te Uredbe.
  11. Obveze utvrđene ovom Direktivom ne uključuju dostavu informacija čije bi otkrivanje bilo u suprotnosti s bitnim interesima nacionalne sigurnosti, javne sigurnosti ili obrane država članica.
  12. Ova se Direktiva primjenjuje ne dovodeći u pitanje Uredbu (EU) 2016/679, Direktivu 2002/58/EZ, Direktive 2011/93/EU (27) i 2013/40/EU (28) Europskog parlamenta i Vijeća i Direktiva (EU) 2022/2557.
  13. Ne dovodeći u pitanje članak 346. UFEU-a, informacije koje su povjerljive u skladu s pravilima Unije ili nacionalnim pravilima, kao što su pravila o poslovnoj povjerljivosti, razmjenjuju se s Komisijom i drugim relevantnim tijelima u skladu s ovom Direktivom samo ako je ta razmjena nužna za primjenu ovu Direktivu. Razmijenjene informacije ograničene su na one koje su relevantne i razmjerne svrsi te razmjene. Razmjenom informacija čuva se povjerljivost tih informacija i štite sigurnost i poslovni interesi dotičnih subjekata.
  14. Subjekti, nadležna tijela, jedinstvene kontaktne točke i CSIRT-ovi obrađuju osobne podatke u mjeri potrebnoj za potrebe ove Direktive i u skladu s Uredbom (EU) 2016/679, a posebno se takva obrada oslanja na njezin članak 6. .

    Obrada osobnih podataka u skladu s ovom Direktivom od strane pružatelja javnih elektroničkih komunikacijskih mreža ili pružatelja javno dostupnih elektroničkih komunikacijskih usluga provodi se u skladu s pravom Unije o zaštiti podataka i pravom Unije o privatnosti, posebno Direktivom 2002/58/EZ.

(27) Direktiva 2011/93/EU Europskog parlamenta i Vijeća od 13. prosinca 2011. o borbi protiv seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije, koja zamjenjuje Okvirnu odluku Vijeća 2004/68/JHA (SL L 335, 17.12.2011., str. 1).
(28) Direktiva 2013/40/EU Europskog parlamenta i Vijeća od 12. kolovoza 2013. o napadima na informacijske sustave i zamjeni Okvirne odluke Vijeća 2005/222/PUP (SL L 218, 14.8.2013., str. 8.).
 
  1. Za potrebe ove Direktive, sljedeći subjekti smatraju se bitnim subjektima:
    1. subjekti tipa iz Priloga I. koji premašuju gornje granice za srednja poduzeća predviđene u članku 2. stavku 1. Priloga Preporuci 2003/361/EZ;
    2. kvalificirani pružatelji usluga povjerenja i registri naziva domena najviše razine kao i pružatelji DNS usluga, bez obzira na njihovu veličinu;
    3. pružateljima javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji se kvalificiraju kao srednja poduzeća prema članku 2. Priloga Preporuci 2003/361/EZ;
    4. tijela javne uprave iz članka 2. stavka 2. točke (f) podtočke (i);
    5. bilo koje druge subjekte vrste navedene u Prilogu I. ili II. koje je država članica identificirala kao bitne subjekte u skladu s člankom 2. stavkom 2. točkama (b) do (e);
    6. subjekti identificirani kao kritični subjekti prema Direktivi (EU) 2022/2557, navedeni u članku 2. stavku 3. ove Direktive;
    7. ako je država članica tako odredila, subjekte koje je ta država članica prije 16. siječnja 2023. identificirala kao operatere osnovnih usluga u skladu s Direktivom (EU) 2016/1148 ili nacionalnim pravom.
  2. Za potrebe ove Direktive, subjekti vrste iz Priloga I. ili II. koji se ne kvalificiraju kao bitni subjekti u skladu sa stavkom 1. ovog članka smatraju se važnim subjektima. To uključuje subjekte koje su države članice identificirale kao važne subjekte u skladu s člankom 2. stavkom 2. točkama (b) do (e).
  3. Do 17. travnja 2025. države članice utvrđuju popis bitnih i važnih subjekata, kao i subjekata koji pružaju usluge registracije naziva domena. Države članice pregledavaju i, prema potrebi, ažuriraju taj popis redovito, a nakon toga najmanje svake dvije godine.
  4.  U svrhu utvrđivanja popisa iz stavka 3., države članice zahtijevaju od subjekata iz tog stavka da nadležnim tijelima dostave najmanje sljedeće informacije:
    1. naziv subjekta;
    2. adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP raspone i telefonske brojeve;
    3. prema potrebi, odgovarajući sektor i podsektor iz Priloga I. ili II.; i
    4. gdje je primjenjivo, popis država članica u kojima pružaju usluge koje spadaju u područje primjene ove Direktive.

    Subjekti iz stavka 3. obavješćuju sve promjene podataka dostavljenih u skladu s prvim podstavkom ovog stavka bez odgode, a u svakom slučaju unutar dva tjedna od datuma promjene.

    Komisija, uz pomoć Agencije Europske unije za kibernetičku sigurnost (ENISA), bez nepotrebnog odgađanja daje smjernice i predloške u vezi s obvezama utvrđenima u ovom stavku.

    Države članice mogu uspostaviti nacionalne mehanizme za subjekte da se registriraju.

  5. Do 17. travnja 2025. i svake dvije godine nakon toga, nadležna tijela obavješćuju:
    1. Komisiji i Skupini za suradnju o broju bitnih i važnih subjekata navedenih u skladu sa stavkom 3. za svaki sektor i podsektor iz Priloga I. ili II.; i
    2. Komisiji relevantne informacije o broju bitnih i važnih subjekata utvrđenih u skladu s člankom 2. stavkom 2. točkama (b) do (e), sektoru i podsektoru iz Priloga I. ili II. kojem pripadaju, vrsti uslugu koju pružaju i pružanje između onih navedenih u članku 2. stavku 2. točkama (b) do (e), na temelju kojih su identificirani.
  6. Do 17. travnja 2025. i na zahtjev Komisije, države članice mogu obavijestiti Komisiju o nazivima bitnih i važnih subjekata iz stavka 5. točke (b).
  1. Ako pravni akti Unije za pojedine sektore zahtijevaju od bitnih ili važnih subjekata da donesu mjere upravljanja kibersigurnosnim rizikom ili da obavijeste o značajnim incidentima i gdje su ti zahtjevi po učinku barem jednaki obvezama utvrđenima u ovoj Direktivi, relevantne odredbe ove Direktive, uključujući odredbe o nadzoru i provedbi utvrđene u Poglavlju VII., neće se primjenjivati na takve subjekte. Ako sektorski pravni akti Unije ne obuhvaćaju sve subjekte u određenom sektoru koji spadaju u područje primjene ove Direktive, relevantne odredbe ove Direktive nastavljaju se primjenjivati na subjekte koji nisu obuhvaćeni tim sektorskim pravnim aktima Unije.
  2. Zahtjevi iz stavka 1. ovog članka smatraju se učinkom jednakim obvezama utvrđenim ovom Direktivom ako:
    1. mjere upravljanja rizikom kibernetičke sigurnosti po učinku su barem jednakovrijedne onima iz članka 21. stavaka 1. i 2.; ili
    2. sektorski pravni akt Unije predviđa neposredan pristup, prema potrebi automatski i izravan, CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama za trenutni pristup obavijestima o incidentima u skladu s ovom Direktivom i gdje su zahtjevi za obavještavanje o značajnim incidentima barem jednaki u učinak na one utvrđene u članku 23. stavcima 1. do 6. ove Direktive.
  3. Komisija će do 17. srpnja 2023. dati smjernice kojima se pojašnjava primjena stavaka 1. i 2. Komisija redovito preispituje te smjernice. Prilikom pripreme tih smjernica, Komisija će uzeti u obzir sve primjedbe Skupine za suradnju i ENISA-e.
 

Ova Direktiva ne sprječava države članice da usvoje ili zadrže odredbe kojima se osigurava viša razina kibernetičke sigurnosti, pod uvjetom da su te odredbe u skladu s obvezama država članica utvrđenim pravom Unije.

Za potrebe ove Direktive primjenjuju se sljedeće definicije:

  1. „mrežni i informacijski sustav” znači:
    1. elektronička komunikacijska mreža kako je definirana u članku 2. točki 1. Direktive (EU) 2018/1972;
    2. bilo koji uređaj ili skupina međusobno povezanih ili srodnih uređaja, od kojih jedan ili više, u skladu s programom, provode automatsku obradu digitalnih podataka; ili
    3. digitalni podaci koje pohranjuju, obrađuju, dohvaćaju ili prenose elementi obuhvaćeni točkama (a) i (b) u svrhu njihova rada, upotrebe, zaštite i održavanja;
  2. „sigurnost mrežnih i informacijskih sustava” znači sposobnost mrežnih i informacijskih sustava da se odupru, na određenoj razini povjerenja, svakom događaju koji bi mogao ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje nudi ili im se može pristupiti putem tih mrežnih i informacijskih sustava;
  3. „kibersigurnost” znači kibernetička sigurnost kako je definirana u članku 2. točki 1. Uredbe (EU) 2019/881;
  4. „nacionalna kibersigurnosna strategija” znači koherentan okvir države članice koji pruža strateške ciljeve i prioritete u području kibernetičke sigurnosti i upravljanje za njihovo postizanje u toj državi članici;
  5. „zamalo promašaj” znači događaj koji je mogao ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje nude ili su dostupne putem mrežnih i informacijskih sustava, ali je uspješno spriječeno da se ostvari ili to se nije ostvarilo;
  6. „incident” znači događaj koji ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje nude ili su dostupne putem mrežnih i informacijskih sustava;
  7. „kibersigurnosni incident velikih razmjera” znači incident koji uzrokuje razinu poremećaja koja premašuje kapacitete države članice da na njega odgovori ili koji ima značajan utjecaj na najmanje dvije države članice;
  8. „postupanje s incidentom” znači sve radnje i postupci koji imaju za cilj spriječiti, otkriti, analizirati i obuzdati ili odgovoriti na incident i oporaviti se od njega;
  9. „rizik” znači mogućnost gubitka ili poremećaja uzrokovanog incidentom i treba se izraziti kao kombinacija veličine takvog gubitka ili poremećaja i vjerojatnosti nastanka incidenta;
  10. „kibernetička prijetnja” znači kibernetička prijetnja kako je definirana u članku 2. točki 8. Uredbe (EU) 2019/881;
  11. „značajna kibernetička prijetnja” znači kibernetička prijetnja za koju se, na temelju njenih tehničkih karakteristika, može pretpostaviti da ima potencijal ozbiljnog utjecaja na mrežne i informacijske sustave subjekta ili korisnike usluga subjekta nanošenjem značajnih materijalnih ili nematerijalna šteta;
  12. „IKT proizvod” znači IKT proizvod kako je definiran u članku 2. točki 12. Uredbe (EU) 2019/881;
  13. „ICT usluga” znači ICT usluga kako je definirana u članku 2. točki 13. Uredbe (EU) 2019/881;
  14. „ICT proces” znači ICT proces kako je definiran u članku 2. točki (14) Uredbe (EU) 2019/881;
  15. „ranjivost” znači slabost, osjetljivost ili nedostatak ICT proizvoda ili ICT usluga koje može iskoristiti kibernetička prijetnja;
  16. „standard” znači standard kako je definiran u članku 2. točki (1) Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća (29);
  17. „tehnička specifikacija” znači tehnička specifikacija kako je definirana u članku 2. točki 4. Uredbe (EU) br. 1025/2012;
  18. „internetska razmjenska točka” znači mrežni objekt koji omogućuje međusobno povezivanje više od dvije neovisne mreže (autonomni sustavi), prvenstveno u svrhu olakšavanja razmjene internetskog prometa, koji omogućuje međusobno povezivanje samo za autonomne sustave i koji niti jedan ne zahtijeva internetski promet prolaz između bilo kojeg para sudjelujućih autonomnih sustava radi prolaska kroz bilo koji treći autonomni sustav niti mijenja ili na drugi način ometa takav promet;
  19. „sustav naziva domene” ili „DNS” znači hijerarhijski distribuirani sustav imenovanja koji omogućuje identifikaciju internetskih usluga i resursa, omogućujući krajnjim korisničkim uređajima da koriste usluge internetskog usmjeravanja i povezivanja za pristup tim uslugama i resursima;
  20. „Pružatelj DNS usluga” znači subjekt koji pruža:
    1. Javno dostupne rekurzivne usluge rješavanja naziva domene za krajnje korisnike interneta; ili
    2. autoritativne usluge rješavanja naziva domene za korištenje trećih strana, s iznimkom korijenskih poslužitelja imena;
  21. „registar naziva domene najviše razine” ili „registar naziva domene TLD” znači subjekt kojem je delegiran određeni TLD i koji je odgovoran za upravljanje TLD-om, uključujući registraciju naziva domena pod TLD-om i tehnički rad TLD-a, uključujući rad njegovih poslužitelja naziva, održavanje njegovih baza podataka i distribucija datoteka TLD zona preko poslužitelja imena, bez obzira na to provodi li bilo koju od tih operacija sam subjekt ili su povjereni vanjskim izvođačima, ali isključujući situacije u kojima nazive TLD-a koristi registar samo za vlastitu upotrebu;
  22. „subjekt koji pruža usluge registracije naziva domene” znači registrar ili agent koji djeluje u ime registara, kao što je pružatelj usluga privatnosti ili proxy registracije ili preprodavač;
  23. „digitalna usluga” znači usluga kako je definirana u članku 1. stavku 1. točki (b) Direktive (EU) 2015/1535 Europskog parlamenta i Vijeća (30);
  24. „usluga povjerenja” znači usluga povjerenja kako je definirana u članku 3. točki 16. Uredbe (EU) br. 910/2014;
  25. „pružatelj usluga povjerenja” znači pružatelj usluga povjerenja kako je definiran u članku 3. točki 19. Uredbe (EU) br. 910/2014;
  26. „kvalificirana usluga povjerenja” znači kvalificirana usluga povjerenja kako je definirana u članku 3. točki 17. Uredbe (EU) br. 910/2014;
  27. „pružatelj kvalificiranih usluga povjerenja” znači pružatelj kvalificiranih usluga povjerenja kako je definiran u članku 3. točki 20. Uredbe (EU) br. 910/2014;
  28. „online tržište” znači internetsko tržište kako je definirano u članku 2. točki (n) Direktive 2005/29/EZ Europskog parlamenta i Vijeća (31);
  29. „online tražilica” znači internetska tražilica kako je definirana u članku 2. točki (5) Uredbe (EU) 2019/1150 Europskog parlamenta i Vijeća (32);
  30. „usluga računalstva u oblaku” znači digitalna usluga koja omogućuje administraciju na zahtjev i širok daljinski pristup skalabilnom i elastičnom skupu računalnih resursa koji se mogu dijeliti, uključujući tamo gdje su takvi resursi raspoređeni na nekoliko lokacija;
  31. „usluga podatkovnog centra” znači usluga koja obuhvaća strukture ili skupine struktura namijenjene centraliziranom smještaju, međusobnom povezivanju i radu IT i mrežne opreme koja pruža usluge pohrane, obrade i prijenosa podataka zajedno sa svim objektima i infrastrukturom za distribuciju električne energije i kontrola okoliša;
  32. „mreža za isporuku sadržaja” znači mreža geografski raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, dostupnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružatelja sadržaja i usluga;
  33. „platforma usluga društvenog umrežavanja” znači platforma koja krajnjim korisnicima omogućuje povezivanje, dijeljenje, otkrivanje i međusobnu komunikaciju na više uređaja, posebno putem chatova, objava, videozapisa i preporuka;
  34. „predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji izričito imenovana da djeluje u ime pružatelja DNS usluga, registra naziva TLD-a, subjekta koji pruža usluge registracije naziva domene, pružatelja usluga računalstva u oblaku, pružatelja usluga podatkovnog centra, pružatelj mreže za isporuku sadržaja, pružatelj upravljane usluge, pružatelj upravljane sigurnosne usluge ili pružatelj internetske tržnice, internetske tražilice ili platforme usluga društvenog umrežavanja koja nije osnovana u Uniji, a kojima se može baviti nadležno tijelo ili CSIRT umjesto samog subjekta u vezi s obvezama tog subjekta prema ovoj Direktivi;
  35. „subjekt javne uprave” znači subjekt priznat kao takav u državi članici u skladu s nacionalnim pravom, ne uključujući pravosuđe, parlamente ili središnje banke, koji ispunjava sljedeće kriterije:
    1. osnovana je radi zadovoljavanja potreba od općeg interesa i nema industrijski ili trgovački karakter;
    2. ima pravnu osobnost ili je zakonom ovlašten djelovati u ime drugog subjekta s pravnom osobnošću;
    3. financira ga većim dijelom država, regionalna tijela ili druga javnopravna tijela, podliježe nadzoru upravljanja od strane tih tijela ili tijela ili ima upravni, upravni ili nadzorni odbor, čiji je više od polovice članove imenuje država, regionalne vlasti ili druga tijela kojima upravlja javno pravo;
    4. ima ovlast upućivati fizičkim ili pravnim osobama administrativne ili regulatorne odluke koje utječu na njihova prava u prekograničnom kretanju osoba, roba, usluga ili kapitala;
  36. „javna elektronička komunikacijska mreža” znači javna elektronička komunikacijska mreža kako je definirana u članku 2. točki 8. Direktive (EU) 2018/1972;
  37. „elektronička komunikacijska usluga” znači elektronička komunikacijska usluga kako je definirana u članku 2. točki 4. Direktive (EU) 2018/1972;
  38. „subjekt” znači fizička ili pravna osoba stvorena i priznata kao takva u skladu s nacionalnim pravom mjesta poslovnog nastana, koja može, djelujući pod svojim imenom, ostvarivati prava i podlijegati obvezama;
  39. „pružatelj upravljanih usluga” znači subjekt koji pruža usluge povezane s instalacijom, upravljanjem, radom ili održavanjem ICT proizvoda, mreža, infrastrukture, aplikacija ili bilo kojih drugih mrežnih i informacijskih sustava, putem pomoći ili aktivne administracije koja se provodi u prostorijama korisnika ili na daljinu;
  40. „pružatelj usluga upravljane sigurnosti” znači pružatelj upravljane usluge koji provodi ili pruža pomoć za aktivnosti povezane s upravljanjem rizikom kibernetičke sigurnosti;
  41. „istraživačka organizacija” znači subjekt čiji je primarni cilj provođenje primijenjenog istraživanja ili eksperimentalnog razvoja s ciljem iskorištavanja rezultata tog istraživanja u komercijalne svrhe, ali koji ne uključuje obrazovne ustanove.
(29) Uredba (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012. o europskoj normizaciji, izmjeni Direktiva Vijeća 89/686/EEZ i 93/15/EEZ i Direktiva 94/9/EZ, 94/25/ EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća i stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (SL L 316, 14.11.2012., str. 12.).
(30) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka za pružanje informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1).
(31) Direktiva 2005/29/EZ Europskog parlamenta i Vijeća od 11. svibnja 2005. o nepoštenoj trgovačkoj praksi između poduzeća i potrošača na unutarnjem tržištu i izmjenama i dopunama Direktive Vijeća 84/450/EEZ, Direktive 97/7/EZ, 98/ 27/EZ i 2002/65/EZ Europskog parlamenta i Vijeća i Uredba (EZ) br. 2006/2004 Europskog parlamenta i Vijeća („Direktiva o nepoštenoj trgovačkoj praksi”) (SL L 149, 11.6.2005. , str. 22).
(32) Uredba (EU) 2019/1150 Europskog parlamenta i Vijeća od 20. lipnja 2019. o promicanju pravednosti i transparentnosti za poslovne korisnike internetskih posredničkih usluga (SL L 186, 11.7.2019., str. 57.).

Poglavlje 2 – Koordinirani okviri kibernetičke sigurnosti

  1. Svaka država članica donosi nacionalnu kibersigurnosnu strategiju koja predviđa strateške ciljeve, resurse potrebne za postizanje tih ciljeva te odgovarajuće političke i regulatorne mjere, s ciljem postizanja i održavanja visoke razine kibernetičke sigurnosti. Nacionalna strategija kibernetičke sigurnosti uključuje:
    1. ciljevi i prioriteti kibersigurnosne strategije države članice koji posebno obuhvaćaju sektore iz priloga I. i II.;
    2. okvir upravljanja za postizanje ciljeva i prioriteta iz točke (a) ovog stavka, uključujući politike iz stavka 2.;
    3. okvir upravljanja koji pojašnjava uloge i odgovornosti relevantnih dionika na nacionalnoj razini, podupirući suradnju i koordinaciju na nacionalnoj razini između nadležnih tijela, jedinstvenih kontaktnih točaka i CSIRT-ova prema ovoj Direktivi, kao i koordinaciju i suradnju između onih tijela i nadležna tijela prema pravnim aktima Unije za pojedine sektore;
    4. mehanizam za utvrđivanje relevantne imovine i procjenu rizika u toj državi članici;
    5. utvrđivanje mjera koje osiguravaju spremnost, odgovor na incidente i oporavak od njih, uključujući suradnju između javnog i privatnog sektora;
    6. popis različitih tijela i dionika uključenih u provedbu nacionalne strategije kibernetičke sigurnosti;
    7. politički okvir za poboljšanu koordinaciju između nadležnih tijela u skladu s ovom Direktivom i nadležnih tijela u skladu s Direktivom (EU) 2022/2557 u svrhu razmjene informacija o rizicima, kibernetičkim prijetnjama i incidentima, kao i o ne-kibernetičkim rizicima, prijetnjama i incidente i izvršavanje nadzornih zadataka, prema potrebi;
    8. plan, uključujući potrebne mjere, za poboljšanje opće razine svijesti o kibernetičkoj sigurnosti među građanima.
  2.  Kao dio nacionalne kibersigurnosne strategije, države članice posebno usvajaju politike:
    1. rješavanje kibernetičke sigurnosti u opskrbnom lancu za ICT proizvode i ICT usluge koje koriste subjekti za pružanje svojih usluga;
    2. o uključivanju i specifikaciji zahtjeva povezanih s kibersigurnošću za ICT proizvode i ICT usluge u javnoj nabavi, uključujući u vezi s certifikacijom kibersigurnosti, enkripcijom i upotrebom kibersigurnosnih proizvoda otvorenog koda;
    3. upravljanje ranjivostima, uključujući promicanje i olakšavanje koordiniranog otkrivanja ranjivosti u okviru Članak 12. stavak 1.;
    4. u vezi s održavanjem opće dostupnosti, integriteta i povjerljivosti javne jezgre otvorenog interneta, uključujući, prema potrebi, kibernetičku sigurnost podmorskih komunikacijskih kabela;
    5. promicanje razvoja i integracije relevantnih naprednih tehnologija s ciljem provedbe najsuvremenijih mjera upravljanja rizikom kibernetičke sigurnosti;
    6. promicanje i razvoj obrazovanja i osposobljavanja o kibernetičkoj sigurnosti, vještinama kibernetičke sigurnosti, podizanju svijesti te inicijativama za istraživanje i razvoj, kao i smjernicama o dobrim praksama i kontrolama kibernetičke higijene, usmjerenih na građane, dionike i subjekte;
    7. podupiranje akademskih i istraživačkih institucija za razvoj, poboljšanje i promicanje primjene alata za kibernetičku sigurnost i sigurne mrežne infrastrukture;
    8. uključujući relevantne postupke i odgovarajuće alate za razmjenu informacija za podršku dobrovoljnoj razmjeni informacija o kibersigurnosti između subjekata u skladu s pravom Unije;
    9. jačanje kibernetičke otpornosti i osnove kibernetičke higijene malih i srednjih poduzeća, posebno onih koji su isključeni iz područja primjene ove Direktive, pružanjem lako dostupnih smjernica i pomoći za njihove posebne potrebe;
    10. promicanje aktivne kibernetičke zaštite.
  3. Države članice obavješćuju Komisiju o svojim nacionalnim strategijama kibernetičke sigurnosti u roku od tri mjeseca od njihova donošenja. Države članice mogu isključiti informacije koje se odnose na njihovu nacionalnu sigurnost iz takvih obavijesti.
  4. Države članice ocjenjuju svoje nacionalne strategije kibernetičke sigurnosti redovito i najmanje svakih pet godina na temelju ključnih pokazatelja uspješnosti i, prema potrebi, ažuriraju ih. ENISA pomaže državama članicama, na njihov zahtjev, u razvoju ili ažuriranju nacionalne strategije kibernetičke sigurnosti i ključnih pokazatelja uspješnosti za procjenu te strategije, kako bi se uskladila sa zahtjevima i obvezama utvrđenima u ovoj Direktivi.
  1. Svaka država članica imenuje ili uspostavlja jedno ili više nadležnih tijela odgovornih za kibernetičku sigurnost i za nadzorne zadatke iz poglavlja VII. (nadležna tijela).
  2. Nadležna tijela iz stavka 1. nadziru provedbu ove Direktive na nacionalnoj razini.
  3. Svaka država članica određuje ili uspostavlja jedinstvenu kontaktnu točku. Ako država članica odredi ili uspostavi samo jedno nadležno tijelo u skladu sa stavkom 1., to nadležno tijelo također je jedinstvena kontaktna točka za tu državu članicu.
  4. Svaka pojedinačna kontaktna točka obavlja funkciju veze kako bi osigurala prekograničnu suradnju tijela svoje države članice s relevantnim tijelima drugih država članica i, prema potrebi, s Komisijom i ENISA-om, kao i kako bi osigurala međusektorsku suradnju s drugim nadležnim tijelima unutar svoje države članice.
  5. Države članice osiguravaju da njihova nadležna tijela i jedinstvene kontaktne točke imaju odgovarajuće resurse za provedbu, na djelotvoran i djelotvoran način, zadataka koji su im dodijeljeni i time za ispunjavanje ciljeva ove Direktive.
  6. Svaka država članica obavješćuje Komisiju bez nepotrebnog odgađanja o identitetu nadležnog tijela iz stavka 1. i jedinstvene kontaktne točke iz stavka 3., o zadaćama tih tijela i svim njihovim naknadnim promjenama. Svaka država članica objavljuje identitet svog nadležnog tijela. Komisija javno objavljuje popis jedinstvenih kontaktnih točaka.
  1. Svaka država članica imenuje ili uspostavlja jedno ili više nadležnih tijela odgovornih za upravljanje kibersigurnosnim incidentima i krizama velikih razmjera (tijela za upravljanje kibernetičkim krizama). Države članice osiguravaju da ta tijela imaju odgovarajuće resurse za provedbu, na učinkovit i učinkovit način, zadataka koji su im dodijeljeni. Države članice osiguravaju usklađenost s postojećim okvirima za opće nacionalno upravljanje krizama.
  2. Ako država članica odredi ili uspostavi više od jednog tijela za upravljanje kibernetičkim krizama u skladu sa stavkom 1., jasno navodi koje od tih tijela treba služiti kao koordinator za upravljanje kibersigurnosnim incidentima i krizama velikih razmjera.
  3. Svaka država članica utvrđuje sposobnosti, sredstva i postupke koji se mogu primijeniti u slučaju krize za potrebe ove Direktive.
  4. Svaka država članica donosi nacionalni plan kibersigurnosnih incidenata velikih razmjera i odgovora na krize u kojem su navedeni ciljevi i načini upravljanja kibersigurnosnim incidentima i krizama velikih razmjera. Taj plan posebno utvrđuje:
    1. ciljevi nacionalnih mjera i aktivnosti pripravnosti;
    2. zadaće i odgovornosti tijela za upravljanje kibernetičkim krizama;
    3. postupke upravljanja kibernetičkom krizom, uključujući njihovu integraciju u opći nacionalni okvir upravljanja krizom i kanale za razmjenu informacija;
    4. nacionalne mjere pripravnosti, uključujući vježbe i aktivnosti obuke;
    5. relevantni javni i privatni dionici i uključena infrastruktura;
    6. nacionalnim postupcima i dogovorima između relevantnih nacionalnih tijela i tijela kako bi se osiguralo učinkovito sudjelovanje države članice u koordiniranom upravljanju kibersigurnosnim incidentima i krizama velikih razmjera i potpora tome na razini Unije.
  5. U roku od tri mjeseca od imenovanja ili uspostave tijela za upravljanje kibernetičkim krizama iz stavka 1., svaka država članica obavješćuje Komisiju o identitetu svog tijela i svim njegovim naknadnim promjenama. Države članice dostavljaju Komisiji i europskoj mreži organizacija za vezu u kibernetičkoj krizi (EU-CyCLONe) relevantne informacije u vezi sa zahtjevima iz stavka 4. o svojim nacionalnim planovima za kibersigurnosne incidente velikih razmjera i odgovor na krize u roku od tri mjeseca od usvajanja tih planova. planovi. Države članice mogu isključiti informacije gdje i u mjeri u kojoj je takvo izuzimanje potrebno za njihovu nacionalnu sigurnost.
  1. Svaka država članica imenuje ili uspostavlja jedan ili više CSIRT-ova. CSIRT-ovi mogu biti imenovani ili uspostavljeni unutar nadležnog tijela. CSIRT-ovi moraju ispunjavati zahtjeve navedene u Članak 11. stavak 1., pokrivat će barem sektore, podsektore i vrste subjekata iz Priloga I. i II. te će biti odgovorni za postupanje u incidentima u skladu s dobro definiranim postupkom.
  2. Države članice osiguravaju da svaki CSIRT ima odgovarajuće resurse za učinkovito izvršavanje svojih zadaća kako je navedeno u Članak 11. stavak 3..
  3. Države članice osiguravaju da svaki CSIRT ima na raspolaganju odgovarajuću, sigurnu i otpornu komunikacijsku i informacijsku infrastrukturu putem koje se mogu razmjenjivati informacije s ključnim i važnim subjektima i drugim relevantnim dionicima. U tu svrhu države članice osiguravaju da svaki CSIRT pridonese uvođenju sigurnih alata za razmjenu informacija.
  4. CSIRT-ovi će surađivati i, prema potrebi, razmjenjivati relevantne informacije u skladu s Članak 29 sa sektorskim ili međusektorskim zajednicama bitnih i važnih subjekata.
  5. CSIRT-ovi će sudjelovati u reviziji od strane kolega organiziranoj u skladu s Članak 19.
  6. Države članice osiguravaju učinkovitu, učinkovitu i sigurnu suradnju svojih CSIRT-ova u mreži CSIRT-ova.
  7. CSIRT-ovi mogu uspostaviti odnose suradnje s nacionalnim timovima trećih zemalja za odgovor na računalne sigurnosne incidente. Kao dio takvih odnosa suradnje, države članice olakšavaju djelotvornu, učinkovitu i sigurnu razmjenu informacija s nacionalnim timovima za odgovor na računalne sigurnosne incidente tih trećih zemalja, koristeći relevantne protokole za razmjenu informacija, uključujući protokol semafora. CSIRT-ovi mogu razmjenjivati relevantne informacije s nacionalnim timovima za odgovor na računalne sigurnosne incidente trećih zemalja, uključujući osobne podatke u skladu sa zakonom Unije o zaštiti podataka.
  8. CSIRT-ovi mogu surađivati s nacionalnim timovima za odgovor na računalne sigurnosne incidente trećih zemalja ili ekvivalentnim tijelima trećih zemalja, posebno u svrhu pružanja pomoći u kibernetičkoj sigurnosti.
  9. Svaka država članica obavješćuje Komisiju bez nepotrebnog odgađanja o identitetu CSIRT-a iz stavka 1. ovog članka i CSIRT-a koji je određen kao koordinator u skladu s Članak 12. stavak 1., njihovih zadaća u odnosu na bitne i važne subjekte, te o svim naknadnim promjenama istih.
  10. Države članice mogu zatražiti pomoć ENISA-e u razvoju svojih CSIRT-ova.
  1. CSIRT-ovi moraju ispunjavati sljedeće zahtjeve:
    1. CSIRT-ovi osiguravaju visoku razinu dostupnosti svojih komunikacijskih kanala izbjegavanjem pojedinačnih točaka kvara i imaju nekoliko načina za kontaktiranje i za kontaktiranje drugih u svakom trenutku; oni će jasno navesti komunikacijske kanale i upoznati ih s biračima i partnerima u suradnji;
    2. prostorije CSIRT-ova i prateći informacijski sustavi nalaze se na sigurnim mjestima;
    3. CSIRT-ovi moraju biti opremljeni odgovarajućim sustavom za upravljanje i usmjeravanje zahtjeva, posebno za olakšavanje djelotvorne i učinkovite primopredaje;
    4. CSIRT-ovi osiguravaju povjerljivost i pouzdanost svojih operacija;
    5. CSIRT-ovi moraju imati odgovarajuće osoblje kako bi osigurali dostupnost svojih usluga u svakom trenutku i osigurat će da je njihovo osoblje odgovarajuće obučeno;
    6. CSIRT-ovi će biti opremljeni redundantnim sustavima i rezervnim radnim prostorom kako bi se osigurao kontinuitet njihovih usluga.

    CSIRT-ovi mogu sudjelovati u međunarodnim mrežama suradnje.

  2. Države članice osiguravaju da njihovi CSIRT-ovi zajednički imaju tehničke sposobnosti potrebne za obavljanje zadataka iz stavka 3. Države članice osiguravaju da se njihovim CSIRT-ovima dodijele dovoljni resursi kako bi se osigurala odgovarajuća razina osoblja u svrhu omogućavanja CSIRT-ovima da se razvijaju. njihove tehničke mogućnosti.
  3.  CSIRT-ovi imaju sljedeće zadaće:
    1. praćenje i analiziranje kibernetičkih prijetnji, ranjivosti i incidenata na nacionalnoj razini i, na zahtjev, pružanje pomoći ključnim i važnim subjektima u vezi s praćenjem njihove mreže i informacijskih sustava u stvarnom ili gotovo stvarnom vremenu;
    2. pružanje ranih upozorenja, upozorenja, najava i širenje informacija bitnim i važnim predmetnim subjektima, kao i nadležnim tijelima i drugim relevantnim dionicima o kibernetičkim prijetnjama, ranjivostima i incidentima, ako je moguće u gotovo stvarnom vremenu;
    3. reagiranje na incidente i pružanje pomoći ključnim i važnim entitetima, gdje je to primjenjivo;
    4. prikupljanje i analiziranje forenzičkih podataka i pružanje dinamičke analize rizika i incidenata te situacijske svijesti u vezi s kibersigurnošću;
    5. pružanje, na zahtjev bitnog ili važnog subjekta, proaktivnog skeniranja mreže i informacijskih sustava dotičnog subjekta radi otkrivanja ranjivosti s potencijalno značajnim utjecajem;
    6. sudjelovanje u mreži CSIRT-ova i pružanje međusobne pomoći u skladu sa svojim kapacitetima i kompetencijama drugim članovima mreže CSIRT-a na njihov zahtjev;
    7. gdje je primjenjivo, djelujući kao koordinator za potrebe koordiniranog otkrivanja ranjivosti prema Članak 12. stavak 1.;
    8. pridonoseći uvođenju sigurnih alata za razmjenu informacija u skladu s Članak 10. stavak 3..

    CSIRT-ovi mogu provoditi proaktivno nenametljivo skeniranje javno dostupnih mrežnih i informacijskih sustava bitnih i važnih subjekata. Takvo skeniranje provodi se kako bi se otkrili ranjivi ili nesigurno konfigurirani mrežni i informacijski sustavi i obavijestili predmetni subjekti. Takvo skeniranje neće imati nikakav negativan utjecaj na funkcioniranje usluga subjekata.

    Prilikom obavljanja zadataka iz prvog podstavka, CSIRT-ovi mogu dati prioritet određenim zadacima na temelju pristupa temeljenog na riziku.

  4. CSIRT-ovi uspostavljaju odnose suradnje s relevantnim dionicima u privatnom sektoru, s ciljem postizanja ciljeva ove Direktive.
  5. Kako bi se olakšala suradnja iz stavka 4., CSIRT-ovi promiču usvajanje i korištenje zajedničkih ili standardiziranih praksi, klasifikacijskih shema i taksonomija u vezi sa:
    1. procedure za rješavanje incidenata;
    2. krizni menadžment; i
    3. koordinirano otkrivanje ranjivosti pod Članak 12. stavak 1..
  1. Svaka država članica imenuje jedan od svojih CSIRT-ova kao koordinatora za potrebe koordiniranog otkrivanja ranjivosti. CSIRT određen kao koordinator djeluje kao pouzdani posrednik, olakšavajući, prema potrebi, interakciju između fizičke ili pravne osobe koja prijavljuje ranjivost i proizvođača ili pružatelja potencijalno ranjivih ICT proizvoda ili ICT usluga, na zahtjev bilo koje strane. Zadaci CSIRT-a imenovanog koordinatorom uključuju:
    1. identificiranje i kontaktiranje dotičnih subjekata;
    2. pomoć fizičkim ili pravnim osobama koje prijavljuju ranjivost; i
    3. pregovaranje o rokovima otkrivanja i upravljanje ranjivostima koje utječu na više entiteta.

    Države članice osiguravaju da fizičke ili pravne osobe mogu prijaviti, anonimno, kada to zatraže, ranjivost CSIRT-u određenom kao koordinator. CSIRT određen kao koordinator osigurava da se poduzmu revne daljnje radnje u vezi s prijavljenom ranjivošću i osigurava anonimnost fizičke ili pravne osobe koja prijavljuje ranjivost. Ako bi prijavljena ranjivost mogla imati značajan utjecaj na subjekte u više od jedne države članice, CSIRT određen kao koordinator svake dotične države članice će, prema potrebi, surađivati s drugim CSIRT-ovima određenim kao koordinatori unutar mreže CSIRT-ova.

  2.  ENISA razvija i održava, nakon savjetovanja sa Skupinom za suradnju, europsku bazu podataka o ranjivosti. U tu svrhu, ENISA će uspostaviti i održavati odgovarajuće informacijske sustave, politike i postupke te usvojiti potrebne tehničke i organizacijske mjere za osiguranje sigurnosti i integriteta europske baze podataka o ranjivostima, s posebnim osvrtom na omogućavanje subjektima, bez obzira na spadaju li u područje primjene ove Direktive, i njihovi dobavljači mrežnih i informacijskih sustava, da na dobrovoljnoj osnovi otkriju i registriraju javno poznate ranjivosti u ICT proizvodima ili ICT uslugama. Svim dionicima mora se omogućiti pristup informacijama o ranjivostima sadržanim u europskoj bazi podataka ranjivosti. Ta baza podataka uključuje:
    1. informacije koje opisuju ranjivost;
    2. zahvaćeni ICT proizvodi ili ICT usluge i ozbiljnost ranjivosti u smislu okolnosti pod kojima se može iskorištavati;
    3. dostupnost povezanih zakrpa i, u nedostatku dostupnih zakrpa, smjernice nadležnih tijela ili CSIRT-ova upućene korisnicima ranjivih ICT proizvoda i ICT usluga o tome kako se mogu ublažiti rizici koji proizlaze iz otkrivenih ranjivosti.
  1. Ako su odvojeni, nadležna tijela, jedinstvena kontaktna točka i CSIRT-ovi iste države članice međusobno surađuju u pogledu ispunjavanja obveza utvrđenih ovom Direktivom.
  2. Države članice osiguravaju da njihovi CSIRT-ovi ili, prema potrebi, njihova nadležna tijela primaju obavijesti o značajnim incidentima u skladu s Članak 23, i incidenti, cyber prijetnje i zamalo promašaji u skladu s Članak 30.
  3. Države članice osiguravaju da njihovi CSIRT-ovi ili, ako je primjenjivo, njihova nadležna tijela obavještavaju svoje jedinstvene kontaktne točke o obavijestima o incidentima, kibernetičkim prijetnjama i izmaku nesrećama podnesenim u skladu s ovom Direktivom.
  4. Kako bi se osiguralo da se zadaće i obveze nadležnih tijela, jedinstvenih kontaktnih točaka i CSIRT-ova učinkovito izvršavaju, države članice, u mjeri u kojoj je to moguće, osiguravaju odgovarajuću suradnju između tih tijela i tijela za provedbu zakona, tijela za zaštitu podataka , nacionalna tijela prema Uredbama (EZ) br. 300/2008 i (EU) 2018/1139, nadzorna tijela prema Uredbi (EU) br. 910/2014, nadležna tijela prema Uredbi (EU) 2022/2554, nacionalna regulatorna tijela prema Direktivi (EU) 2018/1972, nadležna tijela prema Direktivi (EU) 2022/2557, kao i nadležna tijela prema drugim sektorskim pravnim aktima Unije unutar te države članice.
  5. Države članice osiguravaju da njihova nadležna tijela u skladu s ovom Direktivom i njihova nadležna tijela u skladu s Direktivom (EU) 2022/2557 redovito surađuju i razmjenjuju informacije u vezi s identifikacijom kritičnih subjekata, kao i o rizicima, cyber prijetnjama i incidentima o ne-kibernetičkim rizicima, prijetnjama i incidentima koji utječu na subjekte koji su identificirani kao kritični subjekti prema Direktivi (EU) 2022/2557, te mjere poduzete kao odgovor na takve rizike, prijetnje i incidente. Države članice također osiguravaju da njihova nadležna tijela u skladu s ovom Direktivom i njihova nadležna tijela u skladu s Uredbom (EU) br. 910/2014, Uredbom (EU) 2022/2554 i Direktivom (EU) 2018/1972 redovito razmjenjuju relevantne informacije, uključujući s obzirom na relevantne incidente i kibernetičke prijetnje.
  6. Države članice pojednostavljuju izvješćivanje putem tehničkih sredstava za obavijesti iz Članci 23 i 30.

Poglavlje 3 – Suradnja na razini sindikata i međunarodnoj razini

  1. Kako bi se poduprla i olakšala strateška suradnja i razmjena informacija među državama članicama, te ojačalo povjerenje, osniva se Skupina za suradnju.
  2. Skupina za suradnju obavlja svoje zadaće na temelju dvogodišnjih programa rada iz stavka 7.
  3. Skupina za suradnju sastoji se od predstavnika država članica, Komisije i ENISA-e. Europska služba za vanjsko djelovanje sudjeluje u aktivnostima Skupine za suradnju kao promatrač. Europska nadzorna tijela (ESA) i nadležna tijela prema Uredbi (EU) 2022/2554 mogu sudjelovati u aktivnostima Skupine za suradnju u skladu s člankom 47. stavkom 1. te Uredbe.

    Prema potrebi, Skupina za suradnju može pozvati Europski parlament i predstavnike relevantnih dionika da sudjeluju u njezinu radu.

    Komisija osigurava tajništvo.

  4. Skupina za suradnju ima sljedeće zadatke:
    1. pružanje smjernica nadležnim tijelima u vezi s prijenosom i provedbom ove Direktive;
    2. pružanje smjernica nadležnim tijelima u vezi s razvojem i provedbom politika o koordiniranom otkrivanju ranjivosti, kako je navedeno u članku 7. stavku 2. točki (c);
    3. za razmjenu najboljih praksi i informacija u vezi s provedbom ove Direktive, uključujući u vezi s kibernetičkim prijetnjama, incidentima, ranjivostima, zamalo promašajima, inicijativama za podizanje svijesti, obukom, vježbama i vještinama, izgradnjom kapaciteta, standardima i tehničkim specifikacijama kao i identifikaciju bitnih i važnih subjekata u skladu s člankom 2. stavkom 2. točkama (b) do (e);
    4. razmjenjivati savjete i surađivati s Komisijom o novim inicijativama politike kibernetičke sigurnosti i sveukupnoj dosljednosti zahtjeva za kibernetičku sigurnost specifičnih za sektor;
    5. razmjenjivati savjete i surađivati s Komisijom na nacrtima delegiranih ili provedbenih akata donesenih u skladu s ovom Direktivom;
    6. razmjenjivati najbolje prakse i informacije s relevantnim institucijama, tijelima, uredima i agencijama Unije;
    7. razmijeniti mišljenja o provedbi sektorskih pravnih akata Unije koji sadrže odredbe o kibersigurnosti;
    8. gdje je relevantno, raspravljati o izvješćima o stručnom ocjenjivanju iz članka 19. stavka 9. i sastavljati zaključke i preporuke;
    9. za provedbu koordiniranih procjena sigurnosnih rizika ključnih opskrbnih lanaca u skladu s člankom 22. stavkom 1.;
    10. raspravljati o slučajevima uzajamne pomoći, uključujući iskustva i rezultate zajedničkih prekograničnih nadzornih radnji kako je navedeno u članku 37.;
    11. na zahtjev jedne ili više dotičnih država članica, za raspravu o posebnim zahtjevima za uzajamnu pomoć kako je navedeno u članku 37.;
    12. pružanje strateških smjernica mreži CSIRT-ova i EU-CyCLONe-u o specifičnim problemima u nastajanju;
    13. razmijeniti mišljenja o politici daljnjih radnji nakon kibersigurnosnih incidenata i kriza velikih razmjera na temelju naučenih lekcija iz mreže CSIRT-ova i EU-CyCLONe-a;
    14. doprinijeti kibersigurnosnim sposobnostima diljem Unije olakšavanjem razmjene nacionalnih službenika kroz program izgradnje kapaciteta koji uključuje osoblje iz nadležnih tijela ili CSIRT-ova;
    15. organizirati redovite zajedničke sastanke s relevantnim privatnim dionicima iz cijele Unije kako bi se raspravljalo o aktivnostima koje provodi Skupina za suradnju i prikupili podaci o izazovima politike u nastajanju;
    16. raspravljati o poduzetom poslu u vezi s vježbama kibernetičke sigurnosti, uključujući rad ENISA-e;
    17. utvrditi metodologiju i organizacijske aspekte stručnih provjera iz članka 19. stavka 1., kao i utvrditi metodologiju samoprocjene za države članice u skladu s člankom 19. stavkom 5., uz pomoć Komisije i ENISA-u i, u suradnji s Komisijom i ENISA-om, razviti kodekse ponašanja koji podupiru radne metode imenovanih stručnjaka za kibernetičku sigurnost u skladu s člankom 19. stavkom 6.;
    18. priprema izvješća u svrhu pregleda iz članka 40. o iskustvu stečenom na strateškoj razini i iz pregleda od strane kolega;
    19. raspravljati i redovito provoditi procjenu stanja kibernetičkih prijetnji ili incidenata, kao što je ransomware.

    Skupina za suradnju podnosi izvješća iz prvog podstavka točke (r) Komisiji, Europskom parlamentu i Vijeću.

  5. Države članice osiguravaju učinkovitu, učinkovitu i sigurnu suradnju svojih predstavnika u Skupini za suradnju.
  6. Skupina za suradnju može zatražiti od mreže CSIRT-ova tehničko izvješće o odabranim temama.
  7. Do 1. veljače 2024. i svake dvije godine nakon toga, Skupina za suradnju utvrđuje program rada u pogledu radnji koje treba poduzeti za provedbu svojih ciljeva i zadataka.
  8. Komisija može usvojiti provedbene akte kojima se utvrđuju proceduralni aranžmani potrebni za funkcioniranje Suradničke skupine.

    Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 39. stavka 2.

    Komisija razmjenjuje savjete i surađuje sa Skupinom za suradnju na nacrtima provedbenih akata iz prvog podstavka ovog stavka u skladu sa stavkom 4. točkom (e).

  9. Skupina za suradnju sastaje se redovito, au svakom slučaju najmanje jednom godišnje, sa skupinom za otpornost kritičnih subjekata uspostavljenom prema Direktivi (EU) 2022/2557 radi promicanja i olakšavanja strateške suradnje i razmjene informacija.
  1. Kako bi se doprinijelo razvoju povjerenja i promicala brza i učinkovita operativna suradnja među državama članicama, uspostavljena je mreža nacionalnih CSIRT-ova.
  2. Mreža CSIRT-ova sastoji se od predstavnika CSIRT-ova koji su određeni ili uspostavljeni u skladu s člankom 10. i tima za odgovor na računalne hitne slučajeve za institucije, tijela i agencije Unije (CERT-EU). Komisija sudjeluje u mreži CSIRT-ova kao promatrač. ENISA će osigurati tajništvo i aktivno će pružati pomoć za suradnju između CSIRT-ova.
  3. Mreža CSIRT-ova ima sljedeće zadaće:
    1. razmjenjivati informacije o sposobnostima CSIRT-ova;
    2. olakšati dijeljenje, prijenos i razmjenu tehnologije i relevantnih mjera, politika, alata, procesa, najboljih praksi i okvira među CSIRT-ovima;
    3. za razmjenu relevantnih informacija o incidentima, zamalo nezgodama, kibernetičkim prijetnjama, rizicima i ranjivostima;
    4. za razmjenu informacija u vezi s publikacijama i preporukama o kibernetičkoj sigurnosti;
    5. osigurati interoperabilnost s obzirom na specifikacije i protokole za razmjenu informacija;
    6. na zahtjev člana mreže CSIRT-ova potencijalno pogođenog incidentom, za razmjenu i raspravu o informacijama u vezi s tim incidentom i povezanim kibernetičkim prijetnjama, rizicima i ranjivostima;
    7. na zahtjev člana mreže CSIRT-ova, za raspravu i, gdje je moguće, provedbu koordiniranog odgovora na incident koji je identificiran unutar nadležnosti te države članice;
    8. pružiti državama članicama pomoć u rješavanju prekograničnih incidenata u skladu s ovom Direktivom;
    9. surađivati, razmjenjivati najbolje prakse i pružati pomoć CSIRT-ovima određenim kao koordinatori u skladu s člankom 12. stavkom 1. u pogledu upravljanja koordiniranim otkrivanjem ranjivosti koje bi mogle imati značajan utjecaj na subjekte u više od jedne države članice;
    10.  raspravljati i identificirati daljnje oblike operativne suradnje, uključujući u vezi sa:
      1. kategorije kibernetičkih prijetnji i incidenata;
      2. rana upozorenja;
      3. uzajamna pomoć;
      4. načela i aranžmane za koordinaciju kao odgovor na prekogranične rizike i incidente;
      5. doprinos nacionalnom velikom kibersigurnosnom incidentu i planu odgovora na krizne situacije iz članka 9. stavka 4. na zahtjev države članice;
    11. obavijestiti Skupinu za suradnju o svojim aktivnostima i daljnjim oblicima operativne suradnje o kojima se raspravljalo u skladu s točkom (j), te, prema potrebi, zatražiti smjernice u tom pogledu;
    12. procijeniti vježbe kibersigurnosti, uključujući one koje organizira ENISA;
    13. na zahtjev pojedinog CSIRT-a, za raspravu o sposobnostima i spremnosti tog CSIRT-a;
    14. surađivati i razmjenjivati informacije s regionalnim i sigurnosnim operativnim centrima (SOC) na razini Unije kako bi se poboljšala zajednička situacijska svijest o incidentima i kibernetičkim prijetnjama diljem Unije;
    15. prema potrebi, za raspravu o izvješćima o recenziji iz članka 19. stavka 9.;
    16. pružiti smjernice kako bi se olakšala konvergencija operativnih praksi u pogledu primjene odredaba ovog članka koje se odnose na operativnu suradnju.
  4. Do 17. siječnja 2025. i svake dvije godine nakon toga mreža CSIRT-ova će, u svrhu pregleda iz članka 40., procijeniti napredak postignut u pogledu operativne suradnje i usvojiti izvješće. Izvješće će posebno sadržavati zaključke i preporuke na temelju rezultata stručnih pregleda iz članka 19. koji se provode u vezi s nacionalnim CSIRT-ovima. To se izvješće podnosi Skupini za suradnju.
  5. Mreža CSIRT-ova donosi svoj poslovnik.
  6. Mreža CSIRT-ova i EU-CyCLONe dogovaraju se o proceduralnim aranžmanima i surađuju na temelju njih.
  1. EU-CyCLONe je uspostavljen kako bi podržao koordinirano upravljanje kibersigurnosnim incidentima i krizama velikih razmjera na operativnoj razini i osigurao redovitu razmjenu relevantnih informacija među državama članicama i institucijama, tijelima, uredima i agencijama Unije.
  2. EU-CyCLONe sastoji se od predstavnika tijela država članica za upravljanje kibernetičkim krizama, kao i, u slučajevima kada potencijalni ili tekući kibernetički incident velikih razmjera ima ili će vjerojatno imati značajan utjecaj na usluge i aktivnosti koje spadaju u djelokrug ove Direktive, Komisija. U drugim slučajevima, Komisija sudjeluje u aktivnostima EU-CyCLONe-a kao promatrač.

    ENISA osigurava tajništvo EU-CyCLONe-a i podržava sigurnu razmjenu informacija, kao i osigurava potrebne alate za podršku suradnji između država članica kako bi se osigurala sigurna razmjena informacija.

    Prema potrebi, EU-CyCLONe može pozvati predstavnike relevantnih dionika da sudjeluju u njegovom radu kao promatrači.

  3. EU-CyCLONe će imati sljedeće zadatke:
    1. povećati razinu spremnosti upravljanja kibersigurnosnim incidentima i krizama velikih razmjera;
    2. razviti zajedničku svijest o situaciji za kibersigurnosne incidente i krize velikih razmjera;
    3. procijeniti posljedice i utjecaj relevantnih kibersigurnosnih incidenata i kriza velikih razmjera te predložiti moguće mjere za ublažavanje;
    4. koordinirati upravljanje kibersigurnosnim incidentima i krizama velikih razmjera i poduprijeti donošenje odluka na političkoj razini u vezi s takvim incidentima i krizama;
    5. za raspravu, na zahtjev dotične države članice, o nacionalnim velikim kibersigurnosnim incidentima i planovima odgovora na krize iz članka 9. stavka 4.
  4. EU-CyCLONe donosi svoj poslovnik.
  5. EU-CyCLONe redovito će izvješćivati Skupinu za suradnju o upravljanju kibersigurnosnim incidentima i krizama velikih razmjera, kao i trendovima, s posebnim naglaskom na njihov utjecaj na ključne i važne subjekte.
  6. EU-CyCLONe surađuje s mrežom CSIRT-ova na temelju dogovorenih proceduralnih dogovora iz članka 15. stavka 6.
  7. Do 17. srpnja 2024. i svakih 18 mjeseci nakon toga, EU-CyCLONe podnosi Europskom parlamentu i Vijeću izvješće o ocjeni svog rada.

Unija može, prema potrebi, zaključiti međunarodne sporazume, u skladu s člankom 218. UFEU-a, s trećim zemljama ili međunarodnim organizacijama, dopuštajući i organizirajući njihovo sudjelovanje u određenim aktivnostima Skupine za suradnju, mreže CSIRT-ova i EU-CyCLONe-a. Takvi sporazumi moraju biti u skladu s pravom Unije o zaštiti podataka.

  1. ENISA usvaja, u suradnji s Komisijom i Skupinom za suradnju, dvogodišnje izvješće o stanju kibernetičke sigurnosti u Uniji te to izvješće podnosi i predstavlja Europskom parlamentu. Izvješće će, između ostalog, biti dostupno u strojno čitljivim podacima i uključivati sljedeće:
    1. procjenu rizika kibernetičke sigurnosti na razini Unije, uzimajući u obzir krajolik kibernetičkih prijetnji;
    2. procjenu razvoja sposobnosti kibernetičke sigurnosti u javnom i privatnom sektoru diljem Unije;
    3. procjena opće razine svijesti o kibernetičkoj sigurnosti i kibernetičkoj higijeni među građanima i subjektima, uključujući mala i srednja poduzeća;
    4. agregirana procjena ishoda stručnih pregleda navedenih u Članak 19;
    5. agregirana procjena razine zrelosti kibersigurnosnih sposobnosti i resursa diljem Unije, uključujući one na razini sektora, kao i mjere do koje su nacionalne strategije kibernetičke sigurnosti država članica usklađene.
  2. Izvješće će sadržavati posebne preporuke politike, s ciljem rješavanja nedostataka i povećanja razine kibernetičke sigurnosti u cijeloj Uniji, te sažetak nalaza za određeno razdoblje iz Izvješća o tehničkoj situaciji EU-a o kibernetičkoj sigurnosti o incidentima i kibernetičkim prijetnjama koje je pripremila ENISA u u skladu s člankom 7. stavkom 6. Uredbe (EU) 2019/881.
  3. ENISA, u suradnji s Komisijom, Skupinom za suradnju i mrežom CSIRT-ova, razvija metodologiju, uključujući relevantne varijable, kao što su kvantitativni i kvalitativni pokazatelji, agregirane procjene iz stavka 1. točke (e).
  1. Skupina za suradnju će 17. siječnja 2025., uz pomoć Komisije i ENISA-e, i, prema potrebi, mreže CSIRT-ova, uspostaviti metodologiju i organizacijske aspekte recenzije od strane kolega s ciljem učenja iz zajedničkih iskustava, jačanja međusobnog povjerenja , postizanje visoke zajedničke razine kibernetičke sigurnosti, kao i jačanje sposobnosti i politika kibernetičke sigurnosti država članica potrebnih za provedbu ove Direktive. Sudjelovanje u recenziji je dobrovoljno. Stručne provjere provode stručnjaci za kibernetičku sigurnost. Stručnjake za kibernetičku sigurnost imenuju najmanje dvije države članice, različite od države članice koja se pregledava.

    Stručna provjera obuhvaća najmanje jedno od sljedećeg:

    1. razina provedbe mjera za upravljanje rizikom kibernetičke sigurnosti i obveza izvješćivanja utvrđenih u člancima 21. i 23;
    2. razinu sposobnosti, uključujući raspoložive financijske, tehničke i ljudske resurse, te učinkovitost izvršavanja zadaća nadležnih tijela;
    3. operativne sposobnosti CSIRT-ova;
    4. stupanj provedbe uzajamne pomoći iz članka 37.;
    5. razinu provedbe dogovora o kibersigurnosnoj razmjeni informacija iz članka 29.;
    6. specifična pitanja prekogranične ili međusektorske prirode.
  2. Metodologija iz stavka 1. uključuje objektivne, nediskriminirajuće, pravedne i transparentne kriterije na temelju kojih države članice određuju stručnjake za kibernetičku sigurnost koji ispunjavaju uvjete za provedbu stručnih pregleda. Komisija i ENISA sudjeluju kao promatrači u stručnim pregledima.
  3. Države članice mogu identificirati posebna pitanja kako je navedeno u stavku 1. točki (f) za potrebe stručnog pregleda.
  4. Prije početka stručnog pregleda kako je navedeno u stavku 1., države članice obavješćuju države članice sudionice o njegovom opsegu, uključujući posebna pitanja utvrđena u skladu sa stavkom 3.
  5. Prije početka stručnog pregleda države članice mogu provesti samoprocjenu pregledanih aspekata i dati tu samoprocjenu imenovanim stručnjacima za kibersigurnost. Skupina za suradnju će, uz pomoć Komisije i ENISA-e, utvrditi metodologiju za samoprocjenu država članica.
  6. Stručne provjere uključuju fizičke ili virtualne posjete na licu mjesta i razmjenu informacija izvan mjesta. U skladu s načelom dobre suradnje, država članica koja podliježe stručnom ocjenjivanju daje imenovanim stručnjacima za kibernetičku sigurnost informacije potrebne za procjenu, ne dovodeći u pitanje pravo Unije ili nacionalno pravo u vezi sa zaštitom povjerljivih ili klasificiranih podataka i očuvanjem bitnih državnih funkcija, kao što je nacionalna sigurnost. Skupina za suradnju, u suradnji s Komisijom i ENISA-om, razvija odgovarajuće kodekse ponašanja koji podupiru radne metode imenovanih stručnjaka za kibersigurnost. Sve informacije dobivene recenzijom koristit će se isključivo u tu svrhu. Stručnjaci za kibernetičku sigurnost koji sudjeluju u stručnom pregledu trećim stranama ne smiju otkriti nikakve osjetljive ili povjerljive informacije dobivene tijekom tog stručnog pregleda.
  7. Nakon što su podvrgnuti stručnom ocjenjivanju, isti aspekti pregledani u državi članici neće biti podvrgnuti daljnjem stručnom ocjenjivanju u toj državi članici dvije godine nakon završetka stručnog ocjenjivanja, osim ako država članica ne zatraži drugačije ili se dogovori nakon toga prijedlog Skupine za suradnju.
  8. Države članice osiguravaju da se svaki rizik od sukoba interesa u vezi s imenovanim stručnjacima za kibernetičku sigurnost otkrije drugim državama članicama, Skupini za suradnju, Komisiji i ENISA-i prije početka stručnog pregleda. Država članica koja podliježe stručnom ocjenjivanju može se usprotiviti imenovanju određenih stručnjaka za kibernetičku sigurnost na propisno potkrijepljenim razlozima o kojima se obavijesti država članica koja ih imenuje.
  9. Stručnjaci za kibernetičku sigurnost koji sudjeluju u stručnim provjerama sastavljaju izvješća o nalazima i zaključcima stručnih provjera. Države članice koje podliježu stručnoj reviziji mogu dati komentare na nacrte izvješća koja se na njih odnose i ti se komentari prilažu izvješćima. Izvješća će uključivati preporuke kako bi se omogućilo poboljšanje aspekata obuhvaćenih recenzijom. Izvješća se dostavljaju Skupini za suradnju i mreži CSIRT-ova prema potrebi. Država članica koja podliježe recenziji može odlučiti da svoje izvješće ili njegovu redigiranu verziju učini javno dostupnim.
  1. Države članice osiguravaju da upravljačka tijela bitnih i važnih subjekata odobravaju mjere upravljanja kibersigurnosnim rizikom koje poduzimaju ti subjekti kako bi bili u skladu s člankom 21., nadziru njegovu provedbu i mogu se smatrati odgovornima za kršenja tog članka od strane subjekata.
      Primjena ovog stavka ne dovodi u pitanje nacionalno pravo u pogledu pravila o odgovornosti primjenjivih na javne institucije, kao ni odgovornosti javnih službenika i izabranih ili imenovanih dužnosnika.
  2. Države članice osiguravaju da članovi upravljačkih tijela bitnih i važnih subjekata moraju pohađati obuku te potiču bitne i važne subjekte da svojim zaposlenicima redovito nude sličnu obuku kako bi stekli dovoljno znanja i vještina. kako bi im se omogućilo da identificiraju rizike i procijene prakse upravljanja rizikom kibernetičke sigurnosti i njihov utjecaj na usluge koje pruža subjekt.

Poglavlje 4 – Mjere upravljanja rizikom kibernetičke sigurnosti i obveze izvješćivanja

  1. Države članice osiguravaju da upravljačka tijela bitnih i važnih subjekata odobravaju mjere upravljanja kibersigurnosnim rizikom koje poduzimaju ti subjekti kako bi bili u skladu s člankom 21., nadziru njegovu provedbu i mogu se smatrati odgovornima za kršenja tog članka od strane subjekata.
      Primjena ovog stavka ne dovodi u pitanje nacionalno pravo u pogledu pravila o odgovornosti primjenjivih na javne institucije, kao ni odgovornosti javnih službenika i izabranih ili imenovanih dužnosnika.
  2. Države članice osiguravaju da članovi upravljačkih tijela bitnih i važnih subjekata moraju pohađati obuku te potiču bitne i važne subjekte da svojim zaposlenicima redovito nude sličnu obuku kako bi stekli dovoljno znanja i vještina. kako bi im se omogućilo da identificiraju rizike i procijene prakse upravljanja rizikom kibernetičke sigurnosti i njihov utjecaj na usluge koje pruža subjekt.
  1. Države članice osiguravaju da bitni i važni subjekti poduzimaju odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima za sigurnost mrežnih i informacijskih sustava koje ti subjekti koriste za svoje poslovanje ili za pružanje svojih usluga, te za sprječavanje ili minimizirati utjecaj incidenata na primatelje njihovih usluga i na druge usluge.

    Uzimajući u obzir najsuvremenije i, prema potrebi, relevantne europske i međunarodne standarde, kao i troškove provedbe, mjere iz prvog podstavka osiguravaju odgovarajuću razinu sigurnosti mreže i informacijskih sustava na izložene rizike. Pri ocjenjivanju proporcionalnosti tih mjera potrebno je uzeti u obzir stupanj subjektove izloženosti rizicima, veličinu subjekta i vjerojatnost pojave incidenata i njihovu težinu, uključujući njihov društveni i ekonomski učinak.

  2. Mjere iz stavka 1. temelje se na pristupu svih opasnosti koji ima za cilj zaštititi mrežne i informacijske sustave i fizičko okruženje tih sustava od incidenata, te uključuju najmanje sljedeće:
    1. politike analize rizika i sigurnosti informacijskog sustava;
    2. rukovanje incidentima;
    3. kontinuitet poslovanja, kao što je upravljanje sigurnosnom kopijom i oporavak od katastrofe te upravljanje krizom;
    4. sigurnost opskrbnog lanca, uključujući aspekte povezane sa sigurnošću koji se tiču odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga;
    5. sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući rukovanje i otkrivanje ranjivosti;
    6. politike i procedure za procjenu učinkovitosti mjera za upravljanje rizikom kibernetičke sigurnosti;
    7. osnovne prakse kibernetičke higijene i obuka o kibernetičkoj sigurnosti;
    8. politike i procedure u vezi s upotrebom kriptografije i, prema potrebi, enkripcije;
    9. sigurnost ljudskih resursa, politike kontrole pristupa i upravljanje imovinom;
    10. korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti, sigurne glasovne, video i tekstualne komunikacije i sigurnih komunikacijskih sustava za hitne slučajeve unutar subjekta, gdje je to prikladno.
  3. Države članice osiguravaju da subjekti prilikom razmatranja primjerenih mjera iz stavka 2. točke (d) ovog članka uzmu u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i kibersigurnosne prakse. njihovih dobavljača i pružatelja usluga, uključujući njihove sigurnosne razvojne postupke. Države članice također osiguravaju da, pri razmatranju primjerenih mjera iz te točke, subjekti moraju uzeti u obzir rezultate koordiniranih procjena sigurnosnih rizika kritičnih opskrbnih lanaca provedenih u skladu s člankom 22. stavkom 1.
  4. Države članice osiguravaju da subjekt koji utvrdi da se ne pridržava mjera iz stavka 2. bez nepotrebnog odgađanja poduzme sve potrebne, primjerene i razmjerne korektivne mjere.
  5. Komisija do 17. listopada 2024. donosi provedbene akte kojima se utvrđuju tehnički i metodološki zahtjevi mjera iz stavka 2. u vezi s pružateljima usluga DNS-a, registrima naziva TLD-a, pružateljima usluga računalstva u oblaku, pružateljima usluga podatkovnih centara, isporukom sadržaja pružatelji mrežnih usluga, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji mrežnih tržišta, online tražilica i platformi usluga društvenog umrežavanja i pružatelji usluga povjerenja.

    Komisija može donijeti provedbene akte kojima se utvrđuju tehnički i metodološki zahtjevi, kao i sektorski zahtjevi, prema potrebi, za mjere iz stavka 2. u vezi s ključnim i važnim subjektima osim onih iz prvog podstavka ovog članka. paragraf.

    Prilikom pripreme provedbenih akata iz prvog i drugog podstavka ovog stavka, Komisija će, u mjeri u kojoj je to moguće, slijediti europske i međunarodne standarde, kao i relevantne tehničke specifikacije. Komisija razmjenjuje savjete i surađuje sa Skupinom za suradnju i ENISA-om na nacrtima provedbenih akata u skladu s člankom 14. stavkom 4. točkom (e).

    Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 39. stavka 2.

  1. Skupina za suradnju, u suradnji s Komisijom i ENISA-om, može provoditi koordinirane procjene sigurnosnih rizika specifičnih kritičnih ICT usluga, ICT sustava ili lanaca opskrbe ICT proizvodima, uzimajući u obzir tehničke i, prema potrebi, netehničke čimbenike rizika.
  2. Komisija, nakon savjetovanja sa Skupinom za suradnju i ENISA-om te, prema potrebi, s relevantnim dionicima, utvrđuje specifične kritične ICT usluge, ICT sustave ili ICT proizvode koji mogu biti podložni koordiniranoj procjeni sigurnosnog rizika iz stavka 1.
  1. Svaka država članica osigurava da bitni i važni subjekti obavijeste, bez nepotrebnog odgađanja, svoj CSIRT ili, prema potrebi, svoje nadležno tijelo u skladu sa stavkom 4. o svakom incidentu koji ima značajan utjecaj na pružanje njihovih usluga kako je navedeno u stavku 3 (značajan incident). Prema potrebi, dotični subjekti obavješćuju, bez nepotrebnog odgađanja, primatelje njihovih usluga o značajnim incidentima koji bi mogli negativno utjecati na pružanje tih usluga. Svaka država članica osigurava da ti subjekti prijave, između ostalog, sve informacije koje CSIRT-u ili, ako je primjenjivo, nadležnom tijelu omogućuju utvrđivanje bilo kakvog prekograničnog utjecaja incidenta. Sama radnja obavješćivanja ne podvrgava subjekt koji obavještava povećanom odgovornošću.

    Ako dotični subjekti obavijeste nadležno tijelo o značajnom incidentu prema prvom podstavku, država članica osigurava da to nadležno tijelo proslijedi obavijest CSIRT-u po primitku.

    U slučaju prekograničnog ili međusektorskog značajnog incidenta, države članice osiguravaju da njihove jedinstvene kontaktne točke pravodobno dobiju relevantne informacije o kojima se obavještavaju u skladu sa stavkom 4.

  2. Gdje je primjenjivo, države članice osiguravaju da ključni i važni subjekti, bez nepotrebnog odgađanja, obavijeste primatelje svojih usluga koji su potencijalno pogođeni značajnom kibernetičkom prijetnjom o svim mjerama ili pravnim lijekovima koje ti primatelji mogu poduzeti kao odgovor na tu prijetnju. Prema potrebi, subjekti također obavještavaju te primatelje o samoj značajnoj kibernetičkoj prijetnji.
  3. Incident se smatra značajnim ako:
    1. prouzročio je ili bi mogao prouzročiti ozbiljne operativne poremećaje usluga ili financijski gubitak za predmetni subjekt;
    2. utjecao ili bi mogao utjecati na druge fizičke ili pravne osobe prouzročivši znatnu materijalnu ili nematerijalnu štetu.
  4. Države članice osiguravaju da, u svrhu obavješćivanja prema stavku 1., predmetni subjekti podnose CSIRT-u ili, prema potrebi, nadležnom tijelu:
    1. bez nepotrebnog odgađanja i u svakom slučaju unutar 24 sata od saznanja za značajan incident, rano upozorenje, koje će, gdje je primjenjivo, naznačiti postoji li sumnja da je značajan incident uzrokovan nezakonitim ili zlonamjernim radnjama ili bi mogao imati prekogranični udarac;
    2. bez nepotrebnog odgađanja i u svakom slučaju unutar 72 sata od saznanja za značajni incident, obavijest o incidentu, koja će, prema potrebi, ažurirati informacije iz točke (a) i navesti početnu procjenu značajnog incidenta, uključujući njegovu ozbiljnost i učinak, kao i, ako su dostupni, pokazatelje kompromisa;
    3. na zahtjev CSIRT-a ili, prema potrebi, nadležnog tijela, međuizvješće o relevantnim ažuriranjima statusa;
    4. konačno izvješće najkasnije mjesec dana nakon podnošenja obavijesti o incidentu prema točki (b), uključujući sljedeće:
        1. detaljan opis incidenta, uključujući njegovu ozbiljnost i učinak;
        2. vrsta prijetnje ili glavni uzrok koji je vjerojatno pokrenuo incident;
        3. primijenjene i tekuće mjere ublažavanja;
        4. gdje je primjenjivo, prekogranični učinak incidenta;
    5. u slučaju incidenta koji je u tijeku u vrijeme podnošenja završnog izvješća iz točke (d), države članice osiguravaju da dotični subjekti dostave izvješće o napretku u to vrijeme i konačno izvješće u roku od mjesec dana od njihovog rukovanja incident.

    Odstupajući od prvog podstavka, točke (b), pružatelj usluga povjerenja dužan je, s obzirom na značajne incidente koji utječu na pružanje njegovih usluga povjerenja, obavijestiti CSIRT ili, ako je primjenjivo, nadležno tijelo, bez nepotrebnog odgađanja iu svakom slučaju unutar 24 sata od saznanja za značajan incident.

  5. CSIRT ili nadležno tijelo dužni su bez nepotrebnog odgađanja i gdje je to moguće u roku od 24 sata od primitka ranog upozorenja iz stavka 4. točke (a) dati odgovor subjektu koji obavještava, uključujući početne povratne informacije o značajnom incidentu i, na zahtjev subjekta, smjernice ili operativni savjeti o provedbi mogućih mjera ublažavanja. Ako CSIRT nije prvi primatelj obavijesti iz stavka 1., smjernice daje nadležno tijelo u suradnji s CSIRT-om. CSIRT će pružiti dodatnu tehničku podršku ako dotični subjekt to zatraži. Ako se sumnja da je značajan incident kriminalne prirode, CSIRT ili nadležno tijelo također će pružiti smjernice o prijavljivanju značajnog incidenta tijelima za provođenje zakona.
  6. Prema potrebi, a posebno ako se značajan incident odnosi na dvije ili više država članica, CSIRT, nadležno tijelo ili jedinstvena kontaktna točka obavješćuju, bez nepotrebnog odgađanja, ostale pogođene države članice i ENISA-u o značajnom incidentu. Takve informacije uključuju vrstu informacija primljenih u skladu sa stavkom 4. Pritom će CSIRT, nadležno tijelo ili jedinstvena kontaktna točka, u skladu s pravom Unije ili nacionalnim pravom, također čuvati sigurnost i komercijalne interese subjekta. kao povjerljivost dostavljenih informacija.
  7. Kada je javna svijest nužna za sprječavanje značajnog incidenta ili za rješavanje značajnog incidenta koji je u tijeku, ili kada je otkrivanje značajnog incidenta inače u javnom interesu, CSIRT države članice ili, gdje je primjenjivo, njegovo nadležno tijelo, i, gdje je prikladno , CSIRT-ovi ili nadležna tijela drugih dotičnih država članica mogu, nakon savjetovanja s predmetnim subjektom, obavijestiti javnost o značajnom incidentu ili zahtijevati od subjekta da to učini.
  8. Na zahtjev CSIRT-a ili nadležnog tijela, jedinstvena kontaktna točka prosljeđuje obavijesti primljene u skladu sa stavkom 1. jedinstvenim kontaktnim točkama drugih pogođenih država članica.
  9. Jedinstvena kontaktna točka dostavlja ENISA-i svaka tri mjeseca sažeto izvješće, uključujući anonimizirane i agregirane podatke o značajnim incidentima, incidentima, kibernetičkim prijetnjama i zamalo promašenim slučajevima o kojima je obaviješteno u skladu sa stavkom 1. ovog članka i člankom 30. Kako bi doprinijeli za pružanje usporedivih informacija, ENISA može usvojiti tehničke smjernice o parametrima informacija koje treba uključiti u sažeto izvješće. ENISA će svakih šest mjeseci obavijestiti Skupinu za suradnju i mrežu CSIRT-ova o svojim nalazima o primljenim obavijestima.
  10. CSIRT-ovi ili, ako je primjenjivo, nadležna tijela dostavljaju nadležnim tijelima u skladu s Direktivom (EU) 2022/2557 informacije o značajnim incidentima, incidentima, kibernetičkim prijetnjama i izbjeglim nesrećama prijavljenima u skladu sa stavkom 1. ovog članka i člankom 30. subjekti identificirani kao kritični subjekti prema Direktivi (EU) 2022/2557.
  11. Komisija može donijeti provedbene akte kojima se dodatno utvrđuje vrsta informacija, format i postupak obavijesti dostavljene u skladu sa stavkom 1. ovog članka i članka 30. te priopćenja dostavljene u skladu sa stavkom 2. ovog članka.

    Do 17. listopada 2024. Komisija će u pogledu pružatelja usluga DNS-a, registara imena TLD-a, pružatelja usluga računalstva u oblaku, pružatelja usluga podatkovnih centara, pružatelja mreže za isporuku sadržaja, pružatelja upravljanih usluga, pružatelja upravljanih sigurnosnih usluga, kao i pružatelja internetskih usluga. tržišta, internetskih tražilica i platformi za usluge društvenog umrežavanja, donose provedbene akte kojima se dalje navode slučajevi u kojima se incident smatra značajnim kako je navedeno u stavku 3. Komisija može donijeti takve provedbene akte u pogledu drugih bitnih i važni entiteti.

    Komisija razmjenjuje savjete i surađuje sa Skupinom za suradnju na nacrtima provedbenih akata iz prvog i drugog podstavka ovog stavka u skladu s člankom 14. stavkom 4. točkom (e).

    Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 39. stavka 2.

  1. Kako bi dokazale sukladnost s posebnim zahtjevima iz članka 21., države članice mogu zahtijevati od bitnih i važnih subjekata da koriste određene ICT proizvode, ICT usluge i ICT procese, koje je razvio bitan ili važan subjekt ili nabavili od trećih strana, koji su certificirani prema Europskom sheme certificiranja kibernetičke sigurnosti donesene u skladu s člankom 49. Uredbe (EU) 2019/881. Nadalje, države članice potiču bitne i važne subjekte da koriste kvalificirane usluge povjerenja.
  2. Komisija je ovlaštena donositi delegirane akte, u skladu s člankom 38., kako bi dopunila ovu Direktivu određivanjem od kojih se kategorija bitnih i važnih subjekata zahtijeva da koriste određene certificirane ICT proizvode, ICT usluge i ICT procese ili dobivaju certifikat prema Europska shema certifikacije kibernetičke sigurnosti usvojena u skladu s člankom 49. Uredbe (EU) 2019/881. Ti se delegirani akti donose ako su utvrđene nedostatne razine kibernetičke sigurnosti i uključuju razdoblje provedbe.

    Prije donošenja takvih delegiranih akata, Komisija provodi procjenu učinka i savjetovanja u skladu s člankom 56. Uredbe (EU) 2019/881.

  3. Ako nije dostupna odgovarajuća europska certifikacijska shema za kibernetičku sigurnost za potrebe stavka 2. ovog članka, Komisija može, nakon savjetovanja sa Skupinom za suradnju i Europskom certifikacijskom skupinom za kibernetičku sigurnost, zatražiti od ENISA-e da pripremi kandidatsku shemu u skladu s člankom 48. stavkom 2. Uredba (EU) 2019/881.
  1. Kako bi promicale konvergentnu provedbu članka 21. stavaka 1. i 2., države članice će, bez nametanja ili diskriminacije u korist uporabe određene vrste tehnologije, poticati upotrebu europskih i međunarodnih standarda i relevantnih tehničkih specifikacija. na sigurnost mrežnih i informacijskih sustava.
  2. ENISA, u suradnji s državama članicama i, prema potrebi, nakon savjetovanja s relevantnim dionicima, sastavlja savjete i smjernice u vezi s tehničkim područjima koja treba razmotriti u vezi sa stavkom 1., kao i u vezi s već postojećim standardima, uključujući nacionalne standarde, koji bi omogućiti pokrivanje tih područja.

Poglavlje 5 – Nadležnost i registracija

  1. Za subjekte koji spadaju u područje primjene ove Direktive smatra se da potpadaju pod nadležnost države članice u kojoj imaju poslovni nastan, osim u slučaju:
    1. pružateljima javnih elektroničkih komunikacijskih mreža ili pružateljima javno dostupnih elektroničkih komunikacijskih usluga, za koje se smatra da potpadaju pod nadležnost države članice u kojoj pružaju svoje usluge;
    2. Pružatelji DNS usluga, registri imena TLD-a, subjekti koji pružaju usluge registracije naziva domene, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnih centara, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, kao i pružatelji mrežnih tržišta, online pretraživanja motore ili platforme usluga društvenog umrežavanja, za koje se smatra da potpadaju pod nadležnost države članice u kojoj imaju glavni poslovni nastan u Uniji prema stavku 2.;
    3. tijela javne uprave, za koje se smatra da potpadaju pod nadležnost države članice koja ih je osnovala.
  2. Za potrebe ove Direktive, smatra se da subjekt iz stavka 1. točke (b) ima glavni poslovni nastan u Uniji u državi članici u kojoj se pretežno donose odluke povezane s mjerama upravljanja rizikom kibernetičke sigurnosti. . Ako se takva država članica ne može odrediti ili ako se takve odluke ne donose u Uniji, smatra se da je glavni poslovni nastan u državi članici u kojoj se provode operacije kibernetičke sigurnosti. Ako se takva država članica ne može odrediti, glavni poslovni nastan se smatra u državi članici u kojoj dotični subjekt ima poslovni nastan s najvećim brojem zaposlenih u Uniji.
  3. Ako subjekt iz stavka 1. točke (b) nema poslovni nastan u Uniji, ali nudi usluge unutar Unije, imenuje predstavnika u Uniji. Predstavnik ima poslovni nastan u jednoj od onih država članica u kojima se usluge nude. Smatra se da takav subjekt potpada pod nadležnost države članice u kojoj zastupnik ima poslovni nastan. U nedostatku predstavnika u Uniji određenog prema ovom stavku, svaka država članica u kojoj subjekt pruža usluge može pokrenuti pravne radnje protiv subjekta zbog kršenja ove Direktive.
  4. Imenovanje predstavnika od strane subjekta kako je navedeno u stavku 1. točki (b) ne dovodi u pitanje pravne postupke koji bi mogli biti pokrenuti protiv samog subjekta.
  5. Države članice koje su primile zahtjev za uzajamnu pomoć u vezi sa subjektom kako je navedeno u stavku 1. točki (b), mogu, u okviru ograničenja tog zahtjeva, poduzeti odgovarajuće nadzorne i izvršne mjere u odnosu na predmetni subjekt koji pruža usluge ili koja na svom teritoriju ima mrežni i informacijski sustav.
  1. ENISA će stvoriti i održavati registar pružatelja DNS usluga, registara imena TLD-ova, subjekata koji pružaju usluge registracije naziva domena, pružatelja usluga računalstva u oblaku, pružatelja usluga podatkovnog centra, pružatelja mreže za isporuku sadržaja, pružatelja upravljanih usluga, pružatelja upravljanih sigurnosnih usluga, kao i pružatelji internetskih tržišta, internetskih tražilica i platformi za usluge društvenog umrežavanja, na temelju informacija primljenih od jedinstvenih kontaktnih točaka u skladu sa stavkom 4. Na zahtjev ENISA dopušta nadležnim tijelima pristup tom registru, dok osiguravanje da je povjerljivost informacija zaštićena tamo gdje je to primjenjivo.
  2. Države članice zahtijevaju od subjekata iz stavka 1. da do 17. siječnja 2025. nadležnim tijelima dostave sljedeće informacije:
    1. naziv subjekta;
    2. odgovarajući sektor, podsektor i vrstu subjekta iz Priloga I. ili II., prema potrebi;
    3. adresu glavnog poslovnog nastana subjekta i njegovih drugih pravnih poslovnih nastana u Uniji ili, ako nema poslovni nastan u Uniji, njegovog predstavnika imenovanog u skladu s člankom 26. stavkom 3.;
    4. ažurne podatke za kontakt, uključujući adrese e-pošte i telefonske brojeve subjekta i, prema potrebi, njegovog predstavnika određenog u skladu s člankom 26. stavkom 3.;
    5. države članice u kojima subjekt pruža usluge; i
    6. IP rasponi entiteta.
  3. Države članice osiguravaju da subjekti iz stavka 1. obavijeste nadležno tijelo o svim promjenama podataka koje su dostavili u skladu sa stavkom 2. bez odgode, au svakom slučaju u roku od tri mjeseca od datuma promjene.
  4. Po primitku informacija iz stavaka 2. i 3., osim onih iz stavka 2. točke (f), jedinstvena kontaktna točka dotične države članice ih bez nepotrebnog odgađanja prosljeđuje ENISA-i.
  5. Prema potrebi, informacije iz stavaka 2. i 3. ovog članka dostavljaju se putem nacionalnog mehanizma iz članka 3. stavka 4. četvrtog podstavka.
  1. U svrhu doprinosa sigurnosti, stabilnosti i otpornosti DNS-a, države članice zahtijevaju od registara naziva TLD-a i subjekata koji pružaju usluge registracije naziva domene da prikupljaju i održavaju točne i potpune podatke o registraciji naziva domene u namjenskoj bazi podataka s dužnom pažnjom u skladu s s pravom Unije o zaštiti podataka u pogledu podataka koji su osobni podaci.
  2. Za potrebe stavka 1. države članice zahtijevaju da baza podataka podataka o registraciji naziva domene sadrži potrebne informacije za identifikaciju i kontaktiranje nositelja naziva domena i kontaktnih točaka koje upravljaju nazivima domena pod TLD-ovima. Takve informacije uključuju:
    1. naziv domene;
    2. datum registracije;
    3. ime prijavitelja, kontakt e-mail adresu i broj telefona;
    4. kontakt e-mail adresu i telefonski broj kontaktne točke koja upravlja nazivom domene u slučaju da se razlikuju od onih registranta.
  3. Države članice zahtijevaju da registri naziva TLD-a i subjekti koji pružaju usluge registracije naziva domena imaju politike i postupke, uključujući postupke provjere, kako bi se osiguralo da baze podataka iz stavka 1. uključuju točne i potpune informacije. Države članice zahtijevaju da takva politika i postupci budu javno dostupni.
  4. Države članice zahtijevaju od registara naziva TLD-a i subjekata koji pružaju usluge registracije naziva domene da, bez nepotrebnog odgađanja nakon registracije naziva domene, učine javno dostupnima podatke o registraciji naziva domene koji nisu osobni podaci.
  5. Države članice zahtijevaju od registara naziva TLD-a i subjekata koji pružaju usluge registracije naziva domene da omoguće pristup određenim podacima o registraciji naziva domene na zakonite i propisno potkrijepljene zahtjeve legitimnih tražitelja pristupa, u skladu s pravom Unije o zaštiti podataka. Države članice zahtijevaju od registara naziva TLD-ova i subjekata koji pružaju usluge registracije naziva domena da odgovore bez nepotrebnog odgađanja, au svakom slučaju unutar 72 sata od primitka zahtjeva za pristup. Države članice zahtijevaju da politike i postupci u vezi s objavljivanjem takvih podataka budu javno dostupni.
  6. Usklađenost s obvezama iz stavaka 1. do 5. ne smije rezultirati udvostručenjem prikupljanja podataka o registraciji naziva domene. U tu svrhu države članice zahtijevaju da registri naziva TLD-a i subjekti koji pružaju usluge registracije naziva domene međusobno surađuju.

Poglavlje 6 – Razmjena informacija

  1. Države članice osiguravaju da subjekti koji spadaju u područje primjene ove Direktive i, prema potrebi, drugi subjekti koji ne spadaju u područje primjene ove Direktive mogu dobrovoljno međusobno razmjenjivati relevantne informacije o kibernetičkoj sigurnosti, uključujući informacije koje se odnose na kibernetičke prijetnje, u blizini promašaji, ranjivosti, tehnike i procedure, pokazatelji kompromitacije, kontradiktorne taktike, informacije specifične za aktere prijetnje, upozorenja o kibernetičkoj sigurnosti i preporuke u vezi s konfiguracijom alata za kibernetičku sigurnost za otkrivanje kibernetičkih napada, gdje takvo dijeljenje informacija:
    1. ima za cilj spriječiti, otkriti, odgovoriti na incidente ili se oporaviti od njih ili ublažiti njihov učinak;
    2. poboljšava razinu kibernetičke sigurnosti, posebno podizanjem svijesti u vezi s kibernetičkim prijetnjama, ograničavanjem ili sprječavanjem mogućnosti širenja takvih prijetnji, podržavanjem niza obrambenih sposobnosti, sanacijom i otkrivanjem ranjivosti, otkrivanjem prijetnji, tehnikama obuzdavanja i prevencije, strategijama ublažavanja ili faze odgovora i oporavka ili promicanje zajedničkog istraživanja kibernetičkih prijetnji između javnih i privatnih subjekata.
  2. Države članice osiguravaju da se razmjena informacija odvija unutar zajednica ključnih i važnih subjekata i, prema potrebi, njihovih dobavljača ili pružatelja usluga. Takva se razmjena provodi putem dogovora o kibersigurnosnoj razmjeni informacija s obzirom na potencijalno osjetljivu prirodu dijeljenih informacija.
  3. Države članice olakšavaju uspostavu sporazuma o kibersigurnosnoj razmjeni informacija iz stavka 2. ovog članka. Takvi dogovori mogu specificirati operativne elemente, uključujući korištenje namjenskih ICT platformi i alata za automatizaciju, sadržaj i uvjete dogovora o razmjeni informacija. Prilikom utvrđivanja pojedinosti o uključenosti javnih tijela u takve aranžmane, države članice mogu nametnuti uvjete za informacije koje su stavili na raspolaganje nadležna tijela ili CSIRT-ovi. Države članice nude pomoć za primjenu takvih dogovora u skladu sa svojim politikama iz Članak 7(2), točka (h).
  4. Države članice osiguravaju da ključni i važni subjekti obavijeste nadležna tijela o svom sudjelovanju u sporazumima o kibersigurnosnoj razmjeni informacija iz stavka 2. nakon sklapanja takvih sporazuma ili, prema potrebi, o svom povlačenju iz takvih aranžmana, nakon povlačenja stupa na snagu.
  5. ENISA pruža pomoć za uspostavljanje dogovora o kibersigurnosnoj razmjeni informacija iz stavka 2. razmjenom najboljih praksi i pružanjem smjernica.
  1. Države članice osiguravaju da se, uz obvezu obavješćivanja predviđenu člankom 23., obavijesti mogu podnijeti CSIRT-ovima ili, ako je primjenjivo, nadležnim tijelima, na dobrovoljnoj osnovi, putem:
    1. bitne i važne subjekte s obzirom na incidente, kibernetičke prijetnje i zamalo nesreće;
    2. subjekti osim onih iz točke (a), bez obzira na to spadaju li u područje primjene ove Direktive, u pogledu značajnih incidenata, kibernetičkih prijetnji i zamalo nesreće.
  2. Države članice obrađuju obavijesti iz stavka 1. ovog članka u skladu s postupkom utvrđenim u članku 23. Države članice mogu dati prednost obradi obveznih obavijesti u odnosu na dobrovoljne obavijesti.

    Prema potrebi, CSIRT-ovi i, prema potrebi, nadležna tijela osiguravaju jedinstvene kontaktne točke s informacijama o primljenim obavijestima u skladu s ovim člankom, istovremeno osiguravajući povjerljivost i odgovarajuću zaštitu informacija koje je dostavio subjekt koji obavještava. Ne dovodeći u pitanje sprječavanje, istraživanje, otkrivanje i kazneni progon kaznenih djela, dobrovoljno prijavljivanje neće imati za posljedicu nametanje dodatnih obveza podnositelju prijave kojima ne bi podlijegao da nije podnio prijavu.

Poglavlje 7 – Nadzor i provedba

  1. Države članice osiguravaju da njihova nadležna tijela učinkovito nadziru i poduzimaju mjere potrebne za osiguranje usklađenosti s ovom Direktivom.
  2. Države članice mogu dopustiti svojim nadležnim tijelima da daju prioritet nadzornim zadaćama. Takvo se određivanje prioriteta temelji na pristupu koji se temelji na riziku. U tu svrhu, pri obavljanju svojih nadzornih zadaća predviđenih člancima 32. i 33., nadležna tijela mogu uspostaviti nadzorne metodologije koje omogućuju određivanje prioriteta takvih zadaća prema pristupu temeljenom na riziku.
  3. Nadležna tijela blisko surađuju s nadzornim tijelima u skladu s Uredbom (EU) 2016/679 kada se bave incidentima koji rezultiraju povredama osobnih podataka, ne dovodeći u pitanje nadležnost i zadaće nadzornih tijela u skladu s tom Uredbom.
  4. Ne dovodeći u pitanje nacionalne zakonodavne i institucionalne okvire, države članice osiguravaju da, u nadzoru usklađenosti tijela javne uprave s ovom Direktivom i nametanju mjera izvršenja u vezi s kršenjem ove Direktive, nadležna tijela imaju odgovarajuće ovlasti za provedbu takve zadatke s operativnom neovisnošću u odnosu na nadzirane subjekte javne uprave. Države članice mogu odlučiti o nametanju odgovarajućih, razmjernih i učinkovitih nadzornih i izvršnih mjera u odnosu na te subjekte u skladu s nacionalnim zakonodavnim i institucionalnim okvirima.
  1. Države članice osiguravaju da su nadzorne ili izvršne mjere nametnute ključnim subjektima u pogledu obveza utvrđenih ovom Direktivom učinkovite, razmjerne i odvraćajuće, uzimajući u obzir okolnosti svakog pojedinačnog slučaja.
  2. Države članice osiguravaju da nadležna tijela, kada izvršavaju svoje nadzorne zadaće u vezi s ključnim subjektima, imaju ovlast podvrgnuti te subjekte barem:
    1. inspekcije na licu mjesta i nadzor izvan mjesta, uključujući nasumične provjere koje provode obučeni stručnjaci;
    2. redovite i ciljane sigurnosne revizije koje provodi neovisno tijelo ili nadležno tijelo;
    3. ad hoc revizije, uključujući kada je to opravdano na temelju značajnog incidenta ili kršenja ove Direktive od strane bitnog subjekta;
    4. sigurnosna skeniranja temeljena na objektivnim, nediskriminirajućim, poštenim i transparentnim kriterijima procjene rizika, prema potrebi uz suradnju dotičnog subjekta;
    5. zahtjeve za informacijama potrebnima za procjenu mjera upravljanja rizikom kibernetičke sigurnosti koje je usvojio dotični subjekt, uključujući dokumentirane politike kibernetičke sigurnosti, kao i usklađenost s obvezom podnošenja informacija nadležnim tijelima u skladu s Članak 27;
    6. zahtjeve za pristup podacima, dokumentima i informacijama potrebnim za obavljanje nadzornih poslova;
    7. zahtjeve za dokazima o provedbi politika kibernetičke sigurnosti, kao što su rezultati sigurnosnih revizija koje je proveo kvalificirani revizor i odgovarajući temeljni dokazi.

    Ciljane sigurnosne revizije iz prvog podstavka točke (b) temelje se na procjenama rizika koje provodi nadležno tijelo ili revidirani subjekt ili na drugim dostupnim informacijama u vezi s rizikom.

    Rezultati svake ciljane sigurnosne revizije stavljaju se na raspolaganje nadležnom tijelu. Troškove takve ciljane sigurnosne revizije koju provodi neovisno tijelo snosi subjekt revizije, osim u propisno obrazloženim slučajevima kada nadležno tijelo odluči drugačije.

  3. Prilikom izvršavanja svojih ovlasti iz stavka 2. točke (e), (f) ili (g), nadležna tijela navode svrhu zahtjeva i specificiraju tražene informacije.
  4.  Države članice osiguravaju da njihova nadležna tijela, pri izvršavanju svojih izvršnih ovlasti u odnosu na bitne subjekte, imaju ovlast barem za:
    1. izdaje upozorenja o kršenju ove Direktive od strane dotičnih subjekata;
    2. donijeti obvezujuće upute, uključujući one u pogledu mjera potrebnih za sprječavanje ili otklanjanje incidenta, kao i rokove za provedbu takvih mjera i izvješćivanje o njihovoj provedbi, ili nalog kojim se od dotičnih subjekata zahtijeva da otklone utvrđene nedostatke ili kršenja ove Direktive;
    3. narediti dotičnim subjektima da prestanu s ponašanjem kojim se krši ova Direktiva i odustati od ponavljanja takvog ponašanja;
    4. naloži predmetnim subjektima da osiguraju da su njihove mjere upravljanja rizikom kibernetičke sigurnosti u skladu s člankom 21. ili da ispune obveze izvješćivanja utvrđene u članku 23., na određen način i u određenom roku;
    5. naložiti dotičnim subjektima da fizičke ili pravne osobe u vezi s kojima pružaju usluge ili obavljaju aktivnosti na koje potencijalno utječe značajna kibernetička prijetnja obavijeste o prirodi prijetnje, kao io svim mogućim zaštitnim ili popravnim mjerama koje mogu poduzeti te fizičke ili pravne osobe kao odgovor na tu prijetnju;
    6. naložiti predmetnim subjektima da provedu preporuke dane kao rezultat sigurnosne revizije u razumnom roku;
    7. imenuje službenika za praćenje s dobro definiranim zadacima na određeno vremensko razdoblje kako bi nadgledao usklađenost dotičnih subjekata s člancima 21. i 23.;
    8. narediti dotičnim subjektima da objave aspekte kršenja ove Direktive na određeni način;
    9. nametnuti ili zatražiti izricanje administrativne novčane kazne od strane relevantnih tijela, sudova ili tribunala, u skladu s nacionalnim pravom, u skladu s člankom 34. uz bilo koju od mjera navedenih u točkama (a) do (h) ovog stavka .
  5. Ako su provedbene mjere usvojene u skladu sa stavkom 4. točkama (a) do (d) i (f) neučinkovite, države članice osiguravaju da njihova nadležna tijela imaju ovlast za određivanje roka do kojeg se od bitnog subjekta traži da poduzme potrebne radnje za otklanjanje nedostataka ili usklađivanje sa zahtjevima tih tijela. Ako se tražena radnja ne poduzme u zadanom roku, države članice osiguravaju da njihova nadležna tijela imaju ovlast:
    1. privremeno obustaviti ili zatražiti od tijela za certifikaciju ili autorizaciju, ili od suda ili tribunala, u skladu s nacionalnim pravom, da privremeno suspendira certifikaciju ili autorizaciju koja se odnosi na dio ili sve relevantne pružene usluge ili aktivnosti koje provodi osnovni subjekt;
    2. zatražiti da relevantna tijela, sudovi ili tribunali, u skladu s nacionalnim pravom, privremeno zabrane bilo kojoj fizičkoj osobi koja je odgovorna za izvršavanje upravljačkih odgovornosti na razini glavnog izvršnog direktora ili pravnog zastupnika u bitnom subjektu da obavlja upravljačke funkcije u tom subjektu.

    Privremene obustave ili zabrane nametnute u skladu s ovim stavkom primjenjivat će se samo dok dotični subjekt ne poduzme potrebne radnje za otklanjanje nedostataka ili ispunjavanje zahtjeva nadležnog tijela za koje su primijenjene takve mjere izvršenja. Izricanje takvih privremenih obustava ili zabrana podliježe odgovarajućim postupovnim jamstvima u skladu s općim načelima prava Unije i Povelje, uključujući pravo na učinkovit pravni lijek i pošteno suđenje, pretpostavku nevinosti i prava obrana.

    Mjere izvršenja predviđene ovim stavkom neće se primjenjivati na subjekte javne uprave koji podliježu ovoj Direktivi.

  6. Države članice osiguravaju da svaka fizička osoba koja je odgovorna ili djeluje kao pravni predstavnik bitnog subjekta na temelju ovlasti da ga zastupa, ovlasti da donosi odluke u njegovo ime ili ovlasti da vrši kontrolu nad njim ima ovlast osigurati njegovu usklađenost s ovom Direktivom. Države članice osiguravaju da je moguće takve fizičke osobe smatrati odgovornima za kršenje njihovih dužnosti osiguravanja usklađenosti s ovom Direktivom.

    Što se tiče tijela javne uprave, ovaj stavak ne dovodi u pitanje nacionalno pravo u pogledu odgovornosti javnih službenika i izabranih ili imenovanih dužnosnika.

  7. Kada poduzimaju bilo koju od mjera izvršenja iz stavka 4. ili 5., nadležna tijela poštuju prava obrane i uzimaju u obzir okolnosti svakog pojedinačnog slučaja te, kao minimum, uzimaju u obzir sljedeće:
    1. ozbiljnost povrede i važnost prekršenih odredaba, među ostalim, koje u svakom slučaju predstavljaju ozbiljnu povredu:
      1. ponovljena kršenja;
      2. propust u obavještavanju ili otklanjanju značajnih incidenata;
      3. neotklanjanje nedostataka prema obvezujućim uputama nadležnih tijela;
      4. ometanje revizija ili aktivnosti praćenja koje je naredilo nadležno tijelo nakon utvrđivanja povrede;
      5. davanje lažnih ili krajnje netočnih informacija u vezi s mjerama upravljanja rizikom kibernetičke sigurnosti ili obvezama izvješćivanja utvrđenim u člancima 21. i 23.;
    2. trajanje povrede;
    3. sva relevantna prethodna kršenja dotičnog subjekta;
    4. bilo kakvu prouzročenu materijalnu ili nematerijalnu štetu, uključujući sve financijske ili ekonomske gubitke, učinke na druge usluge i broj pogođenih korisnika;
    5. bilo kakva namjera ili nemar od strane počinitelja povrede;
    6. sve mjere koje je subjekt poduzeo kako bi spriječio ili ublažio materijalnu ili nematerijalnu štetu;
    7. bilo kakvo pridržavanje odobrenih kodeksa ponašanja ili odobrenih mehanizama certifikacije;
    8. stupanj suradnje odgovornih fizičkih ili pravnih osoba s nadležnim tijelima.
  8. Nadležna tijela navode detaljno obrazloženje svojih mjera izvršenja. Prije donošenja takvih mjera, nadležna tijela obavješćuju dotične subjekte o svojim preliminarnim nalazima. Također će dopustiti razumno vrijeme tim subjektima za podnošenje primjedbi, osim u propisno potkrijepljenim slučajevima kada bi trenutačna radnja za sprječavanje ili reagiranje na incidente inače bila onemogućena.
  9. Države članice osiguravaju da njihova nadležna tijela u skladu s ovom Direktivom obavještavaju relevantna nadležna tijela u istoj državi članici u skladu s Direktivom (EU) 2022/2557 kada provode svoje nadzorne i provedbene ovlasti s ciljem osiguravanja usklađenosti subjekta koji je identificiran kao kritični subjekt u skladu s Direktivom (EU) 2022/2557 ovom Direktivom. Prema potrebi, nadležna tijela prema Direktivi (EU) 2022/2557 mogu zatražiti od nadležnih tijela prema ovoj Direktivi da izvršavaju svoje nadzorne i izvršne ovlasti u odnosu na subjekt koji je identificiran kao kritični subjekt prema Direktivi (EU) 2022/2557.
  10. Države članice osiguravaju da njihova nadležna tijela u skladu s ovom Direktivom surađuju s relevantnim nadležnim tijelima dotične države članice u skladu s Uredbom (EU) 2022/2554. Posebno, države članice osiguravaju da njihova nadležna tijela u skladu s ovom Direktivom obavijeste Nadzorni forum uspostavljen u skladu s člankom 32. stavkom 1. Uredbe (EU) 2022/2554 kada izvršavaju svoje nadzorne i izvršne ovlasti usmjerene na osiguravanje usklađenosti osnovnog subjekta koji je određen kao ključni pružatelj ICT usluga treće strane u skladu s člankom 31. Uredbe (EU) 2022/2554. ovom Direktivom.
  1. Kada im se dostave dokazi, naznake ili informacije da se važan subjekt navodno ne pridržava ove Direktive, posebno njezinih članaka 21. i 23., države članice osiguravaju da nadležna tijela poduzmu radnje, prema potrebi, putem ex post nadzornih mjera. Države članice osiguravaju da su te mjere učinkovite, razmjerne i odvraćajuće, uzimajući u obzir okolnosti svakog pojedinačnog slučaja.
  2. Države članice osiguravaju da nadležna tijela, kada izvršavaju svoje nadzorne zadaće u vezi s važnim subjektima, imaju ovlasti te subjekte podvrgnuti barem:
    1. inspekcije na licu mjesta i izvan mjesta ex post nadzor od strane educiranih stručnjaka;
    2. ciljane sigurnosne revizije koje provodi neovisno tijelo ili nadležno tijelo;
    3. sigurnosna skeniranja temeljena na objektivnim, nediskriminirajućim, poštenim i transparentnim kriterijima procjene rizika, prema potrebi uz suradnju dotičnog subjekta;
    4. zahtjeve za informacijama potrebnim za procjenu, ex post, mjere upravljanja rizikom kibernetičke sigurnosti koje je usvojio dotični subjekt, uključujući dokumentirane politike kibernetičke sigurnosti, kao i usklađenost s obvezom podnošenja informacija nadležnim tijelima u skladu s člankom 27.;
    5. zahtjeve za pristup podacima, dokumentima i informacijama potrebnim za obavljanje nadzornih poslova;
    6. zahtjeve za dokazima o provedbi politika kibernetičke sigurnosti, kao što su rezultati sigurnosnih revizija koje je proveo kvalificirani revizor i odgovarajući temeljni dokazi.

    Ciljane sigurnosne revizije iz prvog podstavka točke (b) temelje se na procjenama rizika koje provodi nadležno tijelo ili revidirani subjekt ili na drugim dostupnim informacijama u vezi s rizikom.

    Rezultati svake ciljane sigurnosne revizije stavljaju se na raspolaganje nadležnom tijelu. Troškove takve ciljane sigurnosne revizije koju provodi neovisno tijelo snosi subjekt revizije, osim u propisno obrazloženim slučajevima kada nadležno tijelo odluči drugačije.

  3. Prilikom izvršavanja svojih ovlasti iz stavka 2. točke (d), (e) ili (f), nadležna tijela navode svrhu zahtjeva i specificiraju tražene informacije.
  4. Države članice osiguravaju da nadležna tijela, kada provode svoje izvršne ovlasti u vezi s važnim subjektima, imaju ovlast barem za:
    1. izdaje upozorenja o kršenju ove Direktive od strane dotičnih subjekata;
    2. usvojiti obvezujuće upute ili nalog kojim se od dotičnih subjekata zahtijeva da isprave utvrđene nedostatke ili kršenje ove Direktive;
    3. narediti dotičnim subjektima da prestanu s ponašanjem kojim se krši ova Direktiva i odustati od ponavljanja takvog ponašanja;
    4. naloži predmetnim subjektima da osiguraju da su njihove mjere upravljanja rizikom kibernetičke sigurnosti u skladu s člankom 21. ili da ispune obveze izvješćivanja utvrđene u članku 23., na određen način i u određenom roku;
    5. naložiti dotičnim subjektima da fizičke ili pravne osobe u vezi s kojima pružaju usluge ili obavljaju aktivnosti na koje potencijalno utječe značajna kibernetička prijetnja obavijeste o prirodi prijetnje, kao io svim mogućim zaštitnim ili popravnim mjerama koje mogu poduzeti te fizičke ili pravne osobe kao odgovor na tu prijetnju;
    6. naložiti predmetnim subjektima da provedu preporuke dane kao rezultat sigurnosne revizije u razumnom roku;
    7. narediti dotičnim subjektima da objave aspekte kršenja ove Direktive na određeni način;
    8. nametnuti ili zatražiti izricanje administrativne novčane kazne od strane relevantnih tijela, sudova ili tribunala, u skladu s nacionalnim pravom, u skladu s člankom 34. uz bilo koju od mjera navedenih u točkama (a) do (g) ovog stavka .
  5. Primjenjuju se članci 32. stavci 6., 7. i 8 mutatis mutandis na nadzorne i ovršne mjere predviđene ovim člankom za važne subjekte.
  6. Države članice osiguravaju da njihova nadležna tijela u skladu s ovom Direktivom surađuju s relevantnim nadležnim tijelima dotične države članice u skladu s Uredbom (EU) 2022/2554. Posebno, države članice osiguravaju da njihova nadležna tijela u skladu s ovom Direktivom obavijeste Nadzorni forum uspostavljen u skladu s člankom 32. stavkom 1. Uredbe (EU) 2022/2554 kada izvršavaju svoje nadzorne i izvršne ovlasti usmjerene na osiguravanje usklađenosti važnog subjekta koji je određen kao ključni pružatelj ICT usluga treće strane u skladu s člankom 31. Uredbe (EU) 2022/2554. ovom Direktivom.
  1. Države članice osiguravaju da su administrativne kazne izrečene bitnim i važnim subjektima u skladu s ovim člankom u vezi s kršenjem ove Direktive učinkovite, razmjerne i odvraćajuće, uzimajući u obzir okolnosti svakog pojedinačnog slučaja.
  2. Upravne novčane kazne izriču se uz bilo koju od mjera iz članka 32. stavka 4. točaka (a) do (h), članka 32. stavka 5. i članka 33. stavka 4. točaka (a) do (g) .
  3. Pri odlučivanju hoće li se izreći upravna novčana kazna i odlučivanju o njezinom iznosu u svakom pojedinačnom slučaju, potrebno je uzeti u obzir, kao minimum, elemente predviđene u članku 32. stavku 7.
  4. Države članice osiguravaju da, u slučaju kršenja članka 21. ili 23., bitni subjekti podliježu, u skladu sa stavcima 2. i 3. ovog članka, administrativnim kaznama u najvišem iznosu od najmanje 10 000 000 EUR ili najviše u iznosu od najmanje 2 % ukupnog svjetskog godišnjeg prometa u prethodnoj financijskoj godini poduzeća kojemu pripada osnovni subjekt, ovisno o tome što je veće.
  5. Države članice osiguravaju da u slučaju kršenja članka 21. ili 23. važni subjekti podliježu, u skladu sa stavcima 2. i 3. ovog članka, administrativnim kaznama u najvišem iznosu od najmanje 7 000 000 EUR ili maksimalnom iznosu od najmanje 1 ,4 % ukupnog svjetskog godišnjeg prometa u prethodnoj financijskoj godini poduzeća kojem pripada važan subjekt, ovisno o tome što je veće.
  6. Države članice mogu predvidjeti ovlasti za izricanje periodičnih novčanih kazni kako bi se ključni ili važan subjekt prisilio da prestane s kršenjem ove Direktive u skladu s prethodnom odlukom nadležnog tijela.
  7. Ne dovodeći u pitanje ovlasti nadležnih tijela u skladu s člancima 32. i 33., svaka država članica može propisati pravila o tome mogu li se i u kojoj mjeri administrativne novčane kazne izreći subjektima javne uprave.
  8. Ako pravni sustav države članice ne predviđa administrativne novčane kazne, ta država članica osigurava da se ovaj članak primjenjuje na takav način da novčanu kaznu pokreće nadležno tijelo, a izriču je nadležni nacionalni sudovi, istovremeno osiguravajući da ti pravni lijekovi su učinkoviti i imaju jednak učinak kao i administrativne novčane kazne koje su izrekla nadležna tijela. U svakom slučaju, izrečene kazne moraju biti učinkovite, razmjerne i odvraćajuće. Država članica obavješćuje Komisiju o odredbama zakona koje donosi u skladu s ovim stavkom do 17. listopada 2024. te, bez odgode, o svim naknadnim izmjenama zakona ili izmjenama i dopunama koje na njih utječu.
  1. Ako nadležna tijela tijekom nadzora ili provedbe postanu svjesna da kršenje obveza utvrđenih člancima 21. i 23. ove Direktive od strane bitnog ili važnog subjekta može dovesti do povrede osobnih podataka, kako je definirano u članku 4. točki ( 12) Uredbe (EU) 2016/679 o kojoj se treba obavijestiti u skladu s člankom 33. te Uredbe, oni bez nepotrebnog odgađanja obavješćuju nadzorna tijela kako je navedeno u članku 55. ili 56. te Uredbe.
  2. Ako nadzorna tijela iz članka 55. ili 56. Uredbe (EU) 2016/679 izreknu upravnu novčanu kaznu u skladu s člankom 58. stavkom 2. točkom (i) te Uredbe, nadležna tijela neće izreći upravnu novčanu kaznu. u skladu s člankom 34. ove Direktive za prekršaj naveden u stavku 1. ovog članka koji proizlazi iz istog ponašanja kao ono koje je bilo predmet upravne novčane kazne prema članku 58. stavku 2. točki (i) Uredbe (EU) 2016/679. Nadležna tijela mogu, međutim, nametnuti mjere izvršenja predviđene u članku 32. stavku 4. točkama (a) do (h), članku 32. stavku 5. i članku 33. stavku 4. točkama (a) do (g), ove Direktive.
  3. Ako nadzorno tijelo nadležno u skladu s Uredbom (EU) 2016/679 ima poslovni nastan u državi članici koja nije nadležno tijelo, nadležno tijelo obavješćuje nadzorno tijelo s poslovnim nastanom u vlastitoj državi članici o potencijalnoj povredi podataka iz stavka 1.

Države članice utvrđuju pravila o kaznama koje se primjenjuju na kršenje nacionalnih mjera donesenih u skladu s ovom Direktivom i poduzimaju sve potrebne mjere kako bi osigurale njihovu provedbu. Predviđene kazne moraju biti učinkovite, razmjerne i odvraćajuće. Države članice do 17. siječnja 2025. obavješćuju Komisiju o tim pravilima i mjerama te je bez odgode obavješćuju o svim naknadnim izmjenama koje na njih utječu.

  1. Ako subjekt pruža usluge u više od jedne države članice ili pruža usluge u jednoj ili više država članica, a njegovi mrežni i informacijski sustavi nalaze se u jednoj ili više drugih država članica, nadležna tijela dotičnih država članica surađuju i pomažu jedni druge po potrebi. Ta suradnja podrazumijeva najmanje sljedeće:
    1. nadležna tijela koja primjenjuju nadzorne ili izvršne mjere u državi članici putem jedinstvene kontaktne točke obavještavaju i savjetuju se s nadležnim tijelima u drugim predmetnim državama članicama o poduzetim nadzornim i izvršnim mjerama;
    2. nadležno tijelo može zatražiti od drugog nadležnog tijela da poduzme nadzorne ili izvršne mjere;
    3. nadležno tijelo, po primitku obrazloženog zahtjeva od drugog nadležnog tijela, drugom nadležnom tijelu pruža uzajamnu pomoć razmjernu njegovim vlastitim resursima kako bi se nadzorne ili izvršne mjere mogle provoditi na učinkovit, učinkovit i dosljedan način.

    Međusobna pomoć iz prvog podstavka točke (c) može obuhvaćati zahtjeve za informacijama i nadzorne mjere, uključujući zahtjeve za provedbu izravnih inspekcija ili nadzora izvan lokacije ili ciljane sigurnosne revizije. Nadležno tijelo kojem je upućen zahtjev za pomoć ne smije odbiti taj zahtjev osim ako se utvrdi da nije nadležno za pružanje tražene pomoći, da tražena pomoć nije razmjerna nadzornim zadaćama nadležnog tijela ili zahtjev se odnosi na informacije ili uključuje aktivnosti koje bi, ako bi bile otkrivene ili provedene, bile u suprotnosti s bitnim interesima nacionalne sigurnosti, javne sigurnosti ili obrane države članice. Prije nego što odbije takav zahtjev, nadležno tijelo konzultira se s drugim dotičnim nadležnim tijelima, kao i, na zahtjev jedne od dotičnih država članica, Komisijom i ENISA-om.

  2. Prema potrebi i uz zajednički dogovor, nadležna tijela različitih država članica mogu provoditi zajedničke nadzorne radnje.
 

Poglavlje 8. – Delegirani i provedbeni akti

  1. Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji pod uvjetima utvrđenima u ovom članku.
  2. Ovlast za donošenje delegiranih akata iz članka 24. stavka 2. dodjeljuje se Komisiji na razdoblje od pet godina od 16. siječnja 2023.
  3. Europski parlament ili Vijeće mogu u bilo kojem trenutku opozvati delegiranje ovlasti iz članka 24. stavka 2. Odlukom o opozivu prestaje delegiranje ovlasti navedeno u toj odluci. Ona stupa na snagu dan nakon objave odluke u Službenom listu Europske unije ili na kasniji datum koji je u njoj naveden. Ne utječe na valjanost delegiranih akata koji su već na snazi.
  4. Prije donošenja delegiranog akta, Komisija se savjetuje sa stručnjacima koje imenuje svaka država članica u skladu s načelima utvrđenima u Međuinstitucionalnom sporazumu od 13. travnja 2016. o boljoj izradi zakonodavstva.
  5. Čim donese delegirani akt, Komisija o njemu istodobno obavješćuje Europski parlament i Vijeće.
  6. Delegirani akt donesen na temelju Članak 24. stavak 2. stupa na snagu samo ako ni Europski parlament ni Vijeće ne izraze prigovor u roku od dva mjeseca od obavijesti o tom aktu Europskom parlamentu i Vijeću ili ako, prije isteka tog roka, Europski parlament i Vijeće obavijestili su Komisiju da se neće buniti. To se razdoblje produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.
  1. Komisiji pomaže odbor. Taj odbor je odbor u smislu Uredbe (EU) br. 182/2011.
  2. Ako se upućuje na ovaj stavak, primjenjuje se članak 5. Uredbe (EU) br. 182/2011.
  3. Ako se mišljenje odbora treba pribaviti pisanim postupkom, taj se postupak prekida bez rezultata kada, u roku za dostavu mišljenja, to odluči predsjednik odbora ili to zatraži član odbora.
 

Poglavlje 9 – Završne odredbe

Do 17. listopada 2027. i svakih 36 mjeseci nakon toga, Komisija preispituje funkcioniranje ove Direktive i izvješćuje Europski parlament i Vijeće. U izvješću se posebno ocjenjuje relevantnost veličine dotičnih subjekata te sektora, podsektora i vrsta subjekata navedenih u prilozima I. i II. za funkcioniranje gospodarstva i društva u vezi s kibersigurnošću. U tu svrhu i s ciljem daljnjeg unaprjeđenja strateške i operativne suradnje, Komisija će uzeti u obzir izvješća Skupine za suradnju i mreže CSIRT-ova o iskustvu stečenom na strateškoj i operativnoj razini. Izvješću se, prema potrebi, prilaže zakonski prijedlog.

 
  1. Do 17. listopada 2024. države članice donose i objavljuju mjere potrebne za usklađivanje s ovom Direktivom. Oni će o tome odmah obavijestiti Komisiju.
    One te mjere primjenjuju od 18. listopada 2024.
  2. Kada države članice usvoje mjere iz stavka 1., one će sadržavati uputu na ovu Direktivu ili će biti popraćene takvom uputom prilikom njihove službene objave. Metode takvog upućivanja određuju države članice.

U Uredbi (EU) br. 910/2014 članak 19. briše se s učinkom od 18. listopada 2024.

U Direktivi (EU) 2018/1972, članci 40. i 41. brišu se s učinkom od 18. listopada 2024.

Direktiva (EU) 2016/1148 stavlja se izvan snage s učinkom od 18. listopada 2024.

Upućivanja na stavljenu izvan snage Direktivu tumače se kao upućivanja na ovu Direktivu i čitaju se u skladu s korelacijskom tablicom iz Priloga III.

Ova Direktiva stupa na snagu dvadesetog dana od dana objave u Službeni list Europske unije.

Ova je Direktiva upućena državama članicama.

Prilozi

SektorPodsektorVrsta entiteta
1.energija
(a)Struja
Elektroenergetski subjekti kako je definirano u članku 2. točki (57) Direktive (EU) 2019/944 Europskog parlamenta i Vijeća (1), koji obavljaju funkciju „opskrbe” kako je definirano u članku 2. točki ( 12) te Direktive
Operatori distribucijskog sustava kako je definirano u članku 2. točki (29.) Direktive (EU) 2019/944
Operatori prijenosnog sustava kako je definirano u članku 2. točki (35) Direktive (EU) 2019/944
Proizvođači kako je definirano u članku 2. točki (38.) Direktive (EU) 2019/944
Nominirani operatori tržišta električne energije kako je definirano u članku 2. točki (8) Uredbe (EU) 2019/943 Europskog parlamenta i Vijeća (2)
Sudionici na tržištu kako je definirano u članku 2. točki (25) Uredbe (EU) 2019/943 koji pružaju usluge agregacije, odziva na potražnju ili skladištenja energije kako je definirano u članku 2. točkama (18), (20) i (59) Direktiva (EU) 2019/944
Operateri mjesta za punjenje koji su odgovorni za upravljanje i rad mjesta za punjenje, koji pružaju uslugu punjenja krajnjim korisnicima, uključujući u ime i za račun pružatelja usluga mobilnosti
(b)Daljinsko grijanje i hlađenje
Operateri daljinskog grijanja ili daljinskog hlađenja kako je definirano u članku 2. točki (19) Direktive (EU) 2018/2001 Europskog parlamenta i Vijeća (3)
(c)Ulje
Operateri naftovoda za prijenos nafte
Operateri postrojenja za proizvodnju, rafiniranje i obradu nafte, skladištenje i prijenos
Središnji subjekti za držanje zaliha kako su definirani u članku 2. točki (f) Direktive Vijeća 2009/119/EZ (4)
(d)Plin
Poduzeća za opskrbu kako su definirana u članku 2. točki (8) Direktive 2009/73/EZ Europskog parlamenta i Vijeća (5)
Operatori distribucijskog sustava kako je definirano u članku 2. točki (6) Direktive 2009/73/EZ
Operatori prijenosnog sustava kako je definirano u članku 2. točki (4) Direktive 2009/73/EZ
Operatori sustava skladišta kako je definirano u članku 2. točki (10) Direktive 2009/73/EZ
Operatori LNG sustava kako je definirano u članku 2. točki (12.) Direktive 2009/73/EZ
Poduzeća za prirodni plin kako su definirana u članku 2. točki (1) Direktive 2009/73/EZ
Operateri postrojenja za rafiniranje i obradu prirodnog plina
(e)Vodik
Operateri proizvodnje, skladištenja i prijenosa vodika
2.Prijevoz
(a)Zrak
Zračni prijevoznici kako je definirano u članku 3. točki (4) Uredbe (EZ) br. 300/2008 koji se koriste u komercijalne svrhe
Upravljačka tijela zračnih luka kako su definirana u članku 2. točki (2) Direktive 2009/12/EZ Europskog parlamenta i Vijeća (6), zračne luke kako su definirane u članku 2. točki (1) te Direktive, uključujući glavne zračne luke navedene u Odjeljku 2. Priloga II. Uredbe (EU) br. 1315/2013 Europskog parlamenta i Vijeća (7) i subjekti koji upravljaju pomoćnim postrojenjima unutar zračnih luka
Operatori kontrole upravljanja prometom koji pružaju usluge kontrole zračnog prometa (ATC) kako je definirano u članku 2. točki (1) Uredbe (EZ) br. 549/2004 Europskog parlamenta i Vijeća (8)
(b)Željeznica
Upravitelji infrastrukture kako su definirani u članku 3. točki (2) Direktive 2012/34/EU Europskog parlamenta i Vijeća (9)
Željeznički prijevoznici kako je definirano u članku 3. točki (1) Direktive 2012/34/EU, uključujući operatere uslužnih objekata kako je definirano u članku 3. točki (12) te Direktive
(c)Voda
Tvrtke za unutarnji, pomorski i obalni prijevoz putnika i tereta, kako je definirano za pomorski prijevoz u Prilogu I. Uredbi (EZ) br. 725/2004 Europskog parlamenta i Vijeća (10), ne uključujući pojedinačna plovila kojima upravljaju te tvrtke
Upravna tijela luka kako su definirana u članku 3. točki (1) Direktive 2005/65/EZ Europskog parlamenta i Vijeća (11), uključujući njihove lučke objekte kako su definirana u članku 2. točki (11) Uredba (EZ) br. 725/2004 i subjekti koji upravljaju radovima i opremom u lukama
Operateri usluga brodskog prometa (VTS) kako je definirano u članku 3. točki (o) Direktive 2002/59/EZ Europskog parlamenta i Vijeća (12)
(d)cesta
Cestovna tijela kako su definirana u članku 2. točki (12) Delegirane uredbe Komisije (EU) 2015/962 (13) odgovorna za kontrolu upravljanja prometom, isključujući javne subjekte za koje upravljanje prometom ili rad inteligentnih transportnih sustava nije bitan dio njihove opće djelatnosti
Operateri inteligentnih transportnih sustava kako su definirani u članku 4. točki (1) Direktive 2010/40/EU Europskog parlamenta i Vijeća (14)
3.Bankarstvo
 Kreditne institucije kako su definirane u članku 4. točki 1. Uredbe (EU) br. 575/2013 Europskog parlamenta i Vijeća ( 15 )
4.Infrastrukture financijskih tržišta
 
Operateri mjesta trgovanja kako su definirani u članku 4. točki (24) Direktive 2014/65/EU Europskog parlamenta i Vijeća (16)
Središnje druge ugovorne strane (CCP) kako su definirane u članku 2. točki 1. Uredbe (EU) br. 648/2012 Europskog parlamenta i Vijeća (17)
5.Zdravlje
 
Pružatelji zdravstvenih usluga kako su definirani u članku 3. točki (g) Direktive 2011/24/EU Europskog parlamenta i Vijeća (18)
Referentni laboratoriji EU-a iz članka 15. Uredbe (EU) 2022/2371 Europskog parlamenta i Vijeća (19)
Subjekti koji provode aktivnosti istraživanja i razvoja lijekova kako je definirano u članku 1. točki (2) Direktive 2001/83/EZ Europskog parlamenta i Vijeća (20)
Subjekti koji proizvode osnovne farmaceutske proizvode i farmaceutske pripravke iz odjeljka C odjeljak 21 NACE Rev. 2
Subjekti koji proizvode medicinske proizvode koji se smatraju kritičnima tijekom javnozdravstvene nužde (popis kritičnih javnozdravstvenih uređaja) u smislu članka 22. Uredbe (EU) 2022/123 Europskog parlamenta i Vijeća (21)
6.Piti vodu
 Dobavljači i distributeri vode namijenjene za ljudsku potrošnju kako je definirano u članku 2. točki (1)(a) Direktive (EU) 2020/2184 Europskog parlamenta i Vijeća (22), isključujući distributere za koje distribucija vode za ljudsku prehranu nebitan je dio njihove opće aktivnosti distribucije druge robe i dobara
7.Otpadne vode
 Poduzeća koja skupljaju, odlažu ili obrađuju gradsku otpadnu vodu, kućnu otpadnu vodu ili industrijsku otpadnu vodu kako je definirano u članku 2., točkama (1), (2) i (3), Direktive Vijeća 91/271/EEZ (23), isključujući poduzeća kojima je prikupljanje, zbrinjavanje ili obrada komunalnih otpadnih voda, kućnih otpadnih voda ili industrijskih otpadnih voda nebitni dio opće djelatnosti
8.Digitalna infrastruktura
 
Internet Exchange Point provideri
Davatelji DNS usluga, isključujući operatere korijenskih poslužitelja imena
registri naziva TLD
Pružatelji usluga računalstva u oblaku
Pružatelji usluga podatkovnog centra
Pružatelji mreže za isporuku sadržaja
Pružatelji usluga povjerenja
Davatelji javnih elektroničkih komunikacijskih mreža
Pružatelji javno dostupnih elektroničkih komunikacijskih usluga
9.Upravljanje ICT uslugama (business-to-business)
 
Upravljani pružatelji usluga
Upravljani pružatelji sigurnosnih usluga
10.Javna uprava
 
Tijela javne uprave središnjih vlada kako ih definira država članica u skladu s nacionalnim pravom
Tijela javne uprave na regionalnoj razini kako ih definira država članica u skladu s nacionalnim pravom
11.Prostor
 Operateri zemaljske infrastrukture, u vlasništvu, upravljanju i upravljanju država članica ili privatnih strana, koji podržavaju pružanje svemirskih usluga, isključujući pružatelje javnih elektroničkih komunikacijskih mreža
(1) Direktiva (EU) 2019/944 Europskog parlamenta i Vijeća od 5. lipnja 2019. o zajedničkim pravilima za unutarnje tržište električne energije i izmjeni Direktive 2012/27/EU (SL L 158, 14.6.2019., str. 125).
(2) Uredba (EU) 2019/943 Europskog parlamenta i Vijeća od 5. lipnja 2019. o unutarnjem tržištu električne energije (SL L 158, 14.6.2019., str. 54).
(3) Direktiva (EU) 2018/2001 Europskog parlamenta i Vijeća od 11. prosinca 2018. o promicanju korištenja energije iz obnovljivih izvora (SL L 328, 21.12.2018., str. 82).
(4) Direktiva Vijeća 2009/119/EZ od 14. rujna 2009. kojom se državama članicama nameće obveza održavanja minimalnih zaliha sirove nafte i/ili naftnih derivata (SL L 265, 9. listopada 2009., str. 9).
(5) Direktiva 2009/73/EZ Europskog parlamenta i Vijeća od 13. srpnja 2009. o zajedničkim pravilima za unutarnje tržište prirodnog plina i stavljanju izvan snage Direktive 2003/55/EZ (SL L 211, 14.8.2009., str. 94).
(6) Direktiva 2009/12/EZ Europskog parlamenta i Vijeća od 11. ožujka 2009. o pristojbama zračnih luka (SL L 70, 14.3.2009., str. 11).
(7) Uredba (EU) br. 1315/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o smjernicama Unije za razvoj transeuropske prometne mreže i stavljanju izvan snage Odluke br. 661/2010/EU (SL L 348, 20.12.2013., str. 1).
(8) Uredba (EZ) br. 549/2004 Europskog parlamenta i Vijeća od 10. ožujka 2004. o utvrđivanju okvira za stvaranje jedinstvenog europskog neba (Okvirna uredba) (SL L 96, 31.3.2004., str. 1).
(9) Direktiva 2012/34/EU Europskog parlamenta i Vijeća od 21. studenog 2012. o uspostavi jedinstvenog europskog željezničkog područja (SL L 343, 14.12.2012., str. 32).
(10) Uredba (EZ) br. 725/2004 Europskog parlamenta i Vijeća od 31. ožujka 2004. o jačanju sigurnosti brodova i lučkih objekata (SL L 129, 29.4.2004., str. 6).
(11) Direktiva 2005/65/EZ Europskog parlamenta i Vijeća od 26. listopada 2005. o jačanju sigurnosti luka (SL L 310, 25.11.2005., str. 28).
(12) Direktiva 2002/59/EZ Europskog parlamenta i Vijeća od 27. lipnja 2002. o uspostavi sustava praćenja i informiranja prometa plovila Zajednice i stavljanju izvan snage Direktive Vijeća 93/75/EEZ (SL L 208, 5.8.2002., str. 10).
(13) Delegirana uredba Komisije (EU) 2015/962 od 18. prosinca 2014. o dopuni Direktive 2010/40/EU Europskog parlamenta i Vijeća u pogledu pružanja usluga prometnih informacija u stvarnom vremenu diljem EU-a (SL L 157, 23.6.2015., str. 21).
(14) Direktiva 2010/40/EU Europskog parlamenta i Vijeća od 7. srpnja 2010. o okviru za uvođenje inteligentnih prometnih sustava u području cestovnog prometa i za sučelja s drugim načinima prijevoza (SL L 207, 6.8.2010., str. 1).
(15) 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i izmjeni Uredbe (EU) br. 648/2012 (SL L 176, 27.6.2013., str. 1).
(16) Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištima financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (SL L 173, 12.6.2014., str. 349).
(17) Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjim ugovornim stranama i trgovinskim repozitorijima (SL L 201, 27.7.2012., str. 1).
(18) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj zaštiti (SL L 88, 4.4.2011., str. 45).
(19) Uredba (EU) 2022/2371 Europskog parlamenta i Vijeća od 23. studenog 2022. o ozbiljnim prekograničnim prijetnjama zdravlju i stavljanju izvan snage Odluke br. 1082/2013/EU (SL L 314, 6.12.2022., str. 26).
(20) Direktiva 2001/83/EZ Europskog parlamenta i Vijeća od 6. studenog 2001. o kodeksu Zajednice koji se odnosi na lijekove za ljudsku uporabu (SL L 311, 28.11.2001., str. 67).
(21) Uredba (EU) 2022/123 Europskog parlamenta i Vijeća od 25. siječnja 2022. o pojačanoj ulozi Europske agencije za lijekove u pripremi i upravljanju krizama za lijekove i medicinske proizvode (SL L 20, 31.1.2022., str. 1).
(22) Direktiva (EU) 2020/2184 Europskog parlamenta i Vijeća od 16. prosinca 2020. o kakvoći vode namijenjene za ljudsku potrošnju (SL L 435, 23.12.2020., str. 1).
(23) Direktiva Vijeća 91/271/EEZ od 21. svibnja 1991. o pročišćavanju gradskih otpadnih voda (SL L 135, 30.5.1991., str. 40).
Sektor Podsektor Vrsta entiteta
1. Poštanske i kurirske usluge
Pružatelji poštanskih usluga kako su definirani u članku 2. točki (1a) Direktive 97/67/EZ, uključujući pružatelje kurirskih usluga
2. Upravljanje otpadom
Poduzeća koja obavljaju gospodarenje otpadom kako je definirano u članku 3. točki (9) Direktive 2008/98/EZ Europskog parlamenta i Vijeća (1), isključujući poduzetnike kojima gospodarenje otpadom nije glavna gospodarska djelatnost
3. Proizvodnja, proizvodnja i distribucija kemikalija
Poduzeća koja se bave proizvodnjom tvari i distribucijom tvari ili smjesa, kako je navedeno u članku 3. točkama 9. i 14. Uredbe (EZ) br. 1907/2006 Europskog parlamenta i Vijeća (2) i poduzeća koja obavljaju proizvodnju proizvoda, kako je definirano u članku 3. točki (3) te Uredbe, od tvari ili smjesa
4. Proizvodnja, prerada i distribucija hrane
Poslovanje s hranom kako je definirano u članku 3. točki (2) Uredbe (EZ) br. 178/2002 Europskog parlamenta i Vijeća (3) koje se bave veleprodajom te industrijskom proizvodnjom i preradom
5. Proizvodnja
(a) Proizvodnja medicinskih uređaja i  in vitro dijagnostički medicinski uređaji
Subjekti koji proizvode medicinske proizvode kako je definirano u članku 2. točki (1) Uredbe (EU) 2017/745 Europskog parlamenta i Vijeća (4), i entiteti proizvodnja  in vitro dijagnostički medicinski proizvodi kako su definirani u članku 2. točki 2. Uredbe (EU) 2017/746 Europskog parlamenta i Vijeća (5) s izuzetkom subjekata koji proizvode medicinske proizvode iz Priloga I. točke 5. pete alineje ove Direktive
(b) Proizvodnja računalnih, elektroničkih i optičkih proizvoda
Poduzetnici koji obavljaju bilo koju gospodarsku djelatnost iz odjeljka C odjeljka 26 NACE Rev. 2
(c) Proizvodnja električne opreme
Poduzetnici koji obavljaju bilo koju gospodarsku djelatnost iz odjeljka C odjeljka 27 NACE Rev. 2
(d) Proizvodnja strojeva i opreme, d.n
Poduzetnici koji obavljaju bilo koju gospodarsku djelatnost iz odjeljka C odjeljka 28 NACE Rev. 2
(e) Proizvodnja motornih vozila, prikolica i poluprikolica
Poduzetnici koji obavljaju bilo koju gospodarsku djelatnost iz odjeljka C odjeljka 29 NACE Rev. 2
(f) Proizvodnja ostalih prijevoznih sredstava
Poduzeća koja obavljaju bilo koju gospodarsku djelatnost iz odjeljka C odjeljka 30 NACE Rev. 2
6. Digitalni pružatelji usluga
Pružatelji internetskih tržišta
Pružatelji internetskih tražilica
Pružatelji platformi usluga društvenog umrežavanja
7. Istraživanje
Istraživačke organizacije
(1) Direktiva 2008/98/EZ Europskog parlamenta i Vijeća od 19. studenog 2008. o otpadu i stavljanju izvan snage određenih direktiva (SL L 312, 22.11.2008., str. 3).
(2) Uredba (EZ) br. 1907/2006 Europskog parlamenta i Vijeća od 18. prosinca 2006. o registraciji, evaluaciji, autorizaciji i ograničavanju kemikalija (REACH), osnivanju Europske agencije za kemikalije, izmjeni Direktive 1999/45/EZ i stavljanju izvan snage Vijeća Uredba (EEZ) br. 793/93 i Uredba Komisije (EZ) br. 1488/94 kao i Direktiva Vijeća 76/769/EEZ i Direktive Komisije 91/155/EEZ, 93/67/EEZ, 93/105/EZ i 2000. /21/EC (SL L 396, 30. prosinca 2006., str. 1).
(3) Uredba (EZ) br. 178/2002 Europskog parlamenta i Vijeća od 28. siječnja 2002. o utvrđivanju općih načela i zahtjeva zakona o hrani, osnivanju Europske agencije za sigurnost hrane i utvrđivanju postupaka u pitanjima sigurnosti hrane (SL L 31, 1.2.2002., str. 1).
(4) Uredba (EU) 2017/745 Europskog parlamenta i Vijeća od 5. travnja 2017. o medicinskim proizvodima, izmjeni Direktive 2001/83/EZ, Uredbe (EZ) br. 178/2002 i Uredbe (EZ) br. 1223/2009 i stavljanju izvan snage Direktive Vijeća 90/385/EEZ i 93/42/EEZ (SL L 117, 5.5.2017., str. 1).
(5) Uredba (EU) 2017/746 Europskog parlamenta i Vijeća od 5. travnja 2017. o in vitro dijagnostičkim medicinskim proizvodima i stavljanju izvan snage Direktive 98/79/EZ i Odluke Komisije 2010/227/EU (SL L 117, 5.5.2017., str. 176).

Želite li znati više?

Razgovarajte sa NIS 2 stručnjakom

Upoznajte se s Mattom i rezervirajte a besplatno 15-min nazovite u nastavku kako biste bolje razumjeli kako implementirati usklađenost s NIS 2 u svojoj tvrtki

Posavjetujte se sa stručnjakom

ili

Pitajte nas bilo što
Linkedin Youtube

O nama.

Kurirao NIS2Compliant.org, ova stranica pruža informacije iz javnih izvora o svemu što je povezano s nadolazećom NIS2 Direktivom. Predstavljeno na jasan i koncizan način za jednostavno korištenje.

 

Odricanje
Podaci navedeni na ovoj web stranici namijenjeni su samo u obrazovne i informativne svrhe. Sadržaj nije namijenjen da bude zamjena za profesionalni savjet ili bilo koje drugo pravno savjetovanje, uslugu itd. Administratori i suradnici stranice ne daju nikakva zastupanja niti jamstva za informacije na stranici. Svako oslanjanje na takve informacije stoga je isključivo na vlastitu odgovornost.

Više informacija:

Feed vijesti.

Javite se.

Rezervirajte 15 min poziva

Telefon:
00386 41 948 698

Email:
become@nis2compliant.org

Autorska prava Nis2Compliant.org