Youtube Linkedin
Vprašajte nas karkoli
SLO 🇸🇮
SLO 🇸🇮 ENG 🇬🇧 HR 🇭🇷 DE 🇩🇪 FR 🇫🇷
Posvetujte se
Nis2Compliant.org
Pogovorite se s strokovnjakom

Celotno besedilo Direktive NIS 2

Poglavje 1 – Splošne določbe

  1. Ta direktiva določa ukrepe, katerih cilj je doseči visoko skupno raven kibernetske varnosti po vsej Uniji, da bi izboljšali delovanje notranjega trga.
  2. V ta namen ta direktiva določa:

    • obveznosti, ki od držav članic zahtevajo, da sprejmejo nacionalne strategije kibernetske varnosti in določijo ali ustanovijo pristojne organe, organe za kibernetsko krizno upravljanje, enotne kontaktne točke za kibernetsko varnost (enotne kontaktne točke) in skupine za odzivanje na računalniško varnostne incidente (CSIRT);
    • ukrepi za obvladovanje tveganja kibernetske varnosti in obveznosti poročanja za subjekte vrste iz Priloge I ali II ter za subjekte, opredeljene kot kritični subjekti v skladu z Direktivo (EU) 2022/2557;
    • pravila in obveznosti glede izmenjave informacij o kibernetski varnosti;
    • nadzorne in izvršilne obveznosti držav članic.
 
  1. Ta direktiva se uporablja za javne ali zasebne subjekte vrste iz Priloge I ali II, ki izpolnjujejo pogoje za srednje velika podjetja v skladu s členom 2 Priloge k Priporočilu 2003/361/ES ali presegajo zgornje meje za srednje velika podjetja, določene za v odstavku 1 navedenega člena in ki zagotavljajo svoje storitve ali izvajajo svoje dejavnosti v Uniji.

    Člen 3(4) Priloge k navedenemu priporočilu se ne uporablja za namene te direktive.

  2. Ne glede na njihovo velikost se ta direktiva uporablja tudi za subjekte vrste iz Priloge I ali II, kjer:
    1. storitve izvajajo:
      1. ponudniki javnih elektronskih komunikacijskih omrežij oziroma javno dostopnih elektronskih komunikacijskih storitev;
      2. ponudniki skrbniških storitev;
      3. registri domenskih imen najvišje ravni in ponudniki storitev sistema domenskih imen;
    2. subjekt je edini ponudnik v državi članici storitve, ki je bistvena za vzdrževanje kritičnih družbenih ali gospodarskih dejavnosti;
    3. motnja v storitvi, ki jo zagotavlja subjekt, bi lahko pomembno vplivala na javno varnost, javno varnost ali javno zdravje;
    4. motnja v storitvi, ki jo zagotavlja subjekt, bi lahko povzročila znatno sistemsko tveganje, zlasti za sektorje, kjer bi imela takšna motnja čezmejni učinek;
    5. subjekt je kritičen zaradi svojega posebnega pomena na nacionalni ali regionalni ravni za določen sektor ali vrsto storitve ali za druge soodvisne sektorje v državi članici;
    6. subjekt je subjekt javne uprave:
      1. centralne vlade, kot jo opredeli država članica v skladu z nacionalno zakonodajo; oz
      2. na regionalni ravni, kot jo opredeli država članica v skladu z nacionalno zakonodajo, ki po oceni tveganja zagotavlja storitve, katerih motnje bi lahko pomembno vplivale na kritične družbene ali gospodarske dejavnosti.
  3. Ne glede na njihovo velikost se ta direktiva uporablja za subjekte, opredeljene kot kritični subjekti v skladu z Direktivo (EU) 2022/2557.
  4. Ne glede na njihovo velikost se ta direktiva uporablja za subjekte, ki zagotavljajo storitve registracije domenskih imen.
  5. Države članice lahko določijo, da se ta direktiva uporablja za:
    1. subjekti javne uprave na lokalni ravni;
    2. izobraževalne ustanove, zlasti tam, kjer izvajajo kritično raziskovalno dejavnost.
  6. Ta direktiva ne posega v odgovornost držav članic za varovanje nacionalne varnosti in njihovo pristojnost za varovanje drugih bistvenih državnih funkcij, vključno z zagotavljanjem ozemeljske celovitosti države ter vzdrževanjem javnega reda in miru.
  7. Ta direktiva se ne uporablja za subjekte javne uprave, ki izvajajo svoje dejavnosti na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preprečevanjem, preiskovanjem, odkrivanjem in pregonom kaznivih dejanj.
  8. Države članice lahko izvzamejo določene subjekte, ki izvajajo dejavnosti na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preprečevanjem, preiskovanjem, odkrivanjem in pregonom kaznivih dejanj, ali ki opravljajo storitve izključno subjektom javne uprave iz 7. odstavka tega člena od obveznosti, določenih v 21. člen oz 23 v zvezi s temi dejavnostmi ali storitvami. V takih primerih se nadzorni in izvršilni ukrepi iz poglavja VII ne uporabljajo v zvezi s temi posebnimi dejavnostmi ali storitvami. Kadar subjekti opravljajo dejavnosti ali zagotavljajo storitve izključno vrste iz tega odstavka, se lahko države članice odločijo tudi, da te subjekte oprostijo obveznosti, določenih v členi 3 in 27.
  9. 7. in 8. člen se ne uporabljata, kadar subjekt deluje kot ponudnik skrbniških storitev.
  10. Ta direktiva se ne uporablja za subjekte, ki so jih države članice izvzele iz področja uporabe Uredbe (EU) 2022/2554 v skladu s členom 2(4) navedene uredbe.
  11. Obveznosti, določene v tej direktivi, ne vključujejo posredovanja informacij, katerih razkritje bi bilo v nasprotju z bistvenimi interesi nacionalne varnosti, javne varnosti ali obrambe držav članic.
  12. Ta direktiva se uporablja brez poseganja v Uredbo (EU) 2016/679, Direktivo 2002/58/ES, Direktive 2011/93/EU (27) in 2013/40/EU (28) Evropskega parlamenta in Sveta ter Direktivo (EU) 2022/2557.
  13. Brez poseganja v člen 346 PDEU se informacije, ki so zaupne v skladu s pravili Unije ali nacionalnimi predpisi, kot so pravila o poslovni zaupnosti, izmenjujejo s Komisijo in drugimi ustreznimi organi v skladu s to direktivo le, če je ta izmenjava potrebna za uporabo te direktive. Izmenjane informacije so omejene na tiste, ki so pomembne in sorazmerne z namenom te izmenjave. Z izmenjavo informacij se ohrani zaupnost teh informacij ter zaščitijo varnost in poslovni interesi zadevnih subjektov.
  14. Subjekti, pristojni organi, enotne kontaktne točke in skupine CSIRT obdelujejo osebne podatke v obsegu, ki je potreben za namene te direktive in v skladu z Uredbo (EU) 2016/679, zlasti taka obdelava temelji na členu 6 Uredbe. .

    Obdelava osebnih podatkov v skladu s to direktivo s strani ponudnikov javnih elektronskih komunikacijskih omrežij ali ponudnikov javno dostopnih elektronskih komunikacijskih storitev se izvaja v skladu z zakonodajo Unije o varstvu podatkov in zakonodajo Unije o zasebnosti, zlasti Direktivo 2002/58/ES.

(27) Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji ter nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1).
(28) Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8).
 
  1. Za namene te direktive se naslednji subjekti štejejo za bistvene subjekte:
    1. subjekti vrste iz Priloge I, ki presegajo zgornje meje za srednje velika podjetja iz člena 2(1) Priloge k Priporočilu 2003/361/ES;
    2. kvalificirani ponudniki storitev zaupanja in registri domenskih imen najvišje ravni ter ponudniki storitev DNS, ne glede na njihovo velikost;
    3. ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki se štejejo za srednje velika podjetja v skladu s členom 2 Priloge k Priporočilu 2003/361/ES;
    4. subjekti javne uprave iz točke (f)(i) člena 2(2);
    5. vse druge subjekte vrste iz Priloge I ali II, ki jih država članica opredeli kot bistvene subjekte v skladu s točkami (b) do (e) člena 2(2);
    6. subjekti, opredeljeni kot kritični subjekti v skladu z Direktivo (EU) 2022/2557 iz člena 2(3) te direktive;
    7. če država članica tako določi, subjekte, ki jih je ta država članica pred 16. januarjem 2023 opredelila kot izvajalce bistvenih storitev v skladu z Direktivo (EU) 2016/1148 ali nacionalno zakonodajo.
  2. Za namene te direktive se subjekti vrste iz Priloge I ali II, ki ne izpolnjujejo pogojev za bistvene subjekte v skladu z odstavkom 1 tega člena, štejejo za pomembne subjekte. To vključuje subjekte, ki jih države članice opredelijo kot pomembne subjekte v skladu s točkami (b) do (e) člena 2(2).
  3. Države članice do 17. aprila 2025 sestavijo seznam bistvenih in pomembnih subjektov ter subjektov, ki zagotavljajo storitve registracije domenskih imen. Države članice ta seznam redno pregledajo in po potrebi posodobijo, nato pa vsaj vsaki dve leti.
  4.  Za namen vzpostavitve seznama iz odstavka 3 države članice od subjektov iz navedenega odstavka zahtevajo, da pristojnim organom predložijo vsaj naslednje informacije:
    1. ime subjekta;
    2. naslov in posodobljene kontaktne podatke, vključno z e-poštnimi naslovi, obsegi IP in telefonskimi številkami;
    3. kjer je ustrezno, ustrezni sektor in podsektor iz Priloge I ali II; in
    4. po potrebi seznam držav članic, v katerih opravljajo storitve, ki spadajo v področje uporabe te direktive.

    Subjekti iz odstavka 3 nemudoma, v vsakem primeru pa v dveh tednih od datuma spremembe, sporočijo vse spremembe podrobnosti, predloženih v skladu s prvim pododstavkom tega odstavka.

    Komisija s pomočjo Agencije Evropske unije za kibernetsko varnost (ENISA) brez nepotrebnega odlašanja zagotovi smernice in predloge v zvezi z obveznostmi iz tega odstavka.

    Države članice lahko vzpostavijo nacionalne mehanizme za registracijo subjektov.

  5. Do 17. aprila 2025 in nato vsaki dve leti pristojni organi obvestijo:
    1. Komisiji in skupini za sodelovanje o številu bistvenih in pomembnih subjektov, navedenih v skladu z odstavkom 3 za vsak sektor in podsektor iz Priloge I ali II; in
    2. Komisiji ustrezne informacije o številu bistvenih in pomembnih subjektov, opredeljenih v skladu s točkami (b) do (e) člena 2(2), sektorju in podsektorju iz Priloge I ali II, ki mu pripadajo, vrsti storitve, ki jih opravljajo, in zagotavljanje med tistimi iz točk (b) do (e) člena 2(2), na podlagi katerih so bili identificirani.
  6. Do 17. aprila 2025 in na zahtevo Komisije lahko države članice Komisiji sporočijo imena bistvenih in pomembnih subjektov iz točke (b) odstavka 5.
  1. Kadar sektorski pravni akti Unije od bistvenih ali pomembnih subjektov zahtevajo, da sprejmejo ukrepe za obvladovanje tveganja kibernetske varnosti ali obvestijo o pomembnih incidentih in če so te zahteve po učinku vsaj enakovredne obveznostim iz te direktive, ustrezne določbe te direktive, vključno z določbami o nadzoru in izvrševanju iz poglavja VII, se ne uporabljajo za take subjekte. Kadar sektorski pravni akti Unije ne zajemajo vseh subjektov v določenem sektorju, ki spadajo na področje uporabe te direktive, se ustrezne določbe te direktive še naprej uporabljajo za subjekte, ki jih ti sektorski pravni akti Unije ne zajemajo.
  2. Zahteve iz odstavka 1 tega člena se štejejo za enakovredne obveznostim iz te direktive, če:
    1. ukrepi za obvladovanje tveganja kibernetske varnosti so po učinku vsaj enakovredni tistim iz člena 21(1) in (2); oz
    2. sektorski pravni akt Unije predvideva takojšen dostop, kjer je to primerno, samodejen in neposreden, do obvestil o incidentih skupin CSIRT, pristojnih organov ali enotnih kontaktnih točk v skladu s to direktivo in kadar so zahteve za obveščanje o pomembnih incidentih vsaj enakovredne v učinek na tiste iz člena 23(1) do (6) te direktive.
  3. Komisija do 17. julija 2023 zagotovi smernice, ki pojasnjujejo uporabo odstavkov 1 in 2. Komisija te smernice redno pregleduje. Komisija pri pripravi teh smernic upošteva vse pripombe skupine za sodelovanje in ENISA.
 

Ta direktiva državam članicam ne preprečuje, da sprejmejo ali ohranijo določbe, ki zagotavljajo višjo raven kibernetske varnosti, pod pogojem, da so te določbe skladne z obveznostmi držav članic, določenimi v pravu Unije.

V tej direktivi se uporabljajo naslednje opredelitve:

  1. „omrežni in informacijski sistem“ pomeni:
    1. elektronsko komunikacijsko omrežje, kot je opredeljeno v točki (1) člena 2 Direktive (EU) 2018/1972;
    2. katera koli naprava ali skupina medsebojno povezanih ali sorodnih naprav, od katerih ena ali več v skladu s programom izvaja avtomatsko obdelavo digitalnih podatkov; oz
    3. digitalni podatki, ki jih hranijo, obdelujejo, pridobivajo ali prenašajo elementi iz točk (a) in (b) za namene njihovega delovanja, uporabe, zaščite in vzdrževanja;
  2. „varnost omrežnih in informacijskih sistemov“ pomeni zmožnost omrežnih in informacijskih sistemov, da se pri določeni stopnji zaupanja uprejo vsakemu dogodku, ki bi lahko ogrozil razpoložljivost, pristnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev. ki jih ponujajo ali so dostopni prek teh omrežij in informacijskih sistemov;
  3. „kibernetska varnost“ pomeni kibernetsko varnost, kot je opredeljena v točki (1) člena 2 Uredbe (EU) 2019/881;
  4. „nacionalna strategija kibernetske varnosti“ pomeni skladen okvir države članice, ki zagotavlja strateške cilje in prednostne naloge na področju kibernetske varnosti ter upravljanje za njihovo doseganje v tej državi članici;
  5. „skorajšnja napaka“ pomeni dogodek, ki bi lahko ogrozil razpoložljivost, pristnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih ponujajo ali so dostopne prek omrežnih in informacijskih sistemov, vendar je bilo uspešno preprečeno, da bi se uresničil oz. ki se ni uresničilo;
  6. „incident“ pomeni dogodek, ki ogrozi razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih ponujajo ali so dostopne prek omrežnih in informacijskih sistemov;
  7. „obsežen kibernetski varnostni incident“ pomeni incident, ki povzroči stopnjo motnje, ki presega zmožnost države članice, da se nanjo odzove, ali ki pomembno vpliva na vsaj dve državi članici;
  8. „obravnava incidenta“ pomeni vsa dejanja in postopke, namenjene preprečevanju, odkrivanju, analizi in zajezitvi incidenta ali odzivu nanj in okrevanju po incidentu;
  9. „tveganje“ pomeni možnost izgube ali motnje, ki jo povzroči incident, in ga je treba izraziti kot kombinacijo obsega takšne izgube ali motnje in verjetnosti, da se incident zgodi;
  10. „kibernetska grožnja“ pomeni kibernetsko grožnjo, kot je opredeljena v točki (8) člena 2 Uredbe (EU) 2019/881;
  11. 'pomembna kibernetska grožnja' pomeni kibernetsko grožnjo, za katero se na podlagi njenih tehničnih lastnosti lahko domneva, da lahko resno vpliva na omrežje in informacijske sisteme subjekta ali uporabnike storitev subjekta s povzročitvijo znatnega materialnega oz. nematerialna škoda;
  12. „izdelek IKT“ pomeni izdelek IKT, kot je opredeljen v točki (12) člena 2 Uredbe (EU) 2019/881;
  13. „storitev IKT“ pomeni storitev IKT, kot je opredeljena v točki (13) člena 2 Uredbe (EU) 2019/881;
  14. „postopek IKT“ pomeni postopek IKT, kot je opredeljen v točki (14) člena 2 Uredbe (EU) 2019/881;
  15. „ranljivost“ pomeni šibkost, dovzetnost ali pomanjkljivost izdelkov IKT ali storitev IKT, ki jih lahko izkoristi kibernetska grožnja;
  16. „standard“ pomeni standard, kot je opredeljen v točki (1) člena 2 Uredbe (EU) št. 1025/2012 Evropskega parlamenta in Sveta (29);
  17. „tehnična specifikacija“ pomeni tehnično specifikacijo, kot je opredeljena v točki (4) člena 2 Uredbe (EU) št. 1025/2012;
  18. „internetna izmenjevalna točka“ pomeni omrežno zmogljivost, ki omogoča medsebojno povezovanje več kot dveh neodvisnih omrežij (avtonomnih sistemov), predvsem za namene lažje izmenjave internetnega prometa, ki omogoča medsebojno povezovanje samo za avtonomne sisteme in za katero nobeno ne potrebuje internetnega prometa. prehod med katerim koli parom sodelujočih avtonomnih sistemov za prehod skozi kateri koli tretji avtonomni sistem niti ne spreminja ali kako drugače posega v tak promet;
  19. „sistem domenskih imen“ ali „DNS“ pomeni hierarhični porazdeljeni sistem poimenovanja, ki omogoča identifikacijo internetnih storitev in virov ter napravam končnih uporabnikov omogoča uporabo storitev internetnega usmerjanja in povezljivosti za doseganje teh storitev in virov;
  20. „Ponudnik storitev DNS“ pomeni subjekt, ki zagotavlja:
    1. Javno dostopne rekurzivne storitve razreševanja domenskih imen za internetne končne uporabnike; oz
    2. avtoritativne storitve razreševanja imen domen za uporabo tretjih oseb, z izjemo strežnikov korenskih imen;
  21. „register domenskih imen najvišje ravni“ ali „register imen TLD“ pomeni subjekt, ki mu je bila dodeljena določena TLD in je odgovorna za upravljanje TLD, vključno z registracijo domenskih imen pod TLD, in tehnično delovanje TLD, vključno z delovanje njegovih imenskih strežnikov, vzdrževanje njegovih baz podatkov in distribucijo datotek območja TLD med imenskimi strežniki, ne glede na to, ali katero od teh operacij izvaja subjekt sam ali jih odda zunanjemu izvajalcu, vendar izključuje situacije, ko imena TLD uporablja register samo za lastno uporabo;
  22. „subjekt, ki zagotavlja storitve registracije domenskih imen“ pomeni registrarja ali zastopnika, ki deluje v imenu registrarjev, kot je ponudnik storitev registracije zasebnosti ali proxy ali preprodajalec;
  23. „digitalna storitev“ pomeni storitev, kot je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (30);
  24. „skrbniška storitev“ pomeni skrbniško storitev, kot je opredeljena v točki (16) člena 3 Uredbe (EU) št. 910/2014;
  25. „ponudnik skrbniških storitev“ pomeni ponudnika skrbniških storitev, kot je opredeljen v točki (19) člena 3 Uredbe (EU) št. 910/2014;
  26. „kvalificirana skrbniška storitev“ pomeni kvalificirano skrbniško storitev, kot je opredeljena v točki (17) člena 3 Uredbe (EU) št. 910/2014;
  27. „ponudnik kvalificiranih skrbniških storitev“ pomeni ponudnika kvalificiranih skrbniških storitev, kot je opredeljen v točki (20) člena 3 Uredbe (EU) št. 910/2014;
  28. „spletna tržnica“ pomeni spletno tržnico, kot je opredeljena v točki (n) člena 2 Direktive 2005/29/ES Evropskega parlamenta in Sveta (31);
  29. „spletni iskalnik“ pomeni spletni iskalnik, kot je opredeljen v točki (5) člena 2 Uredbe (EU) 2019/1150 Evropskega parlamenta in Sveta (32);
  30. „storitev računalništva v oblaku“ pomeni digitalno storitev, ki omogoča administracijo na zahtevo in širok dostop na daljavo do razširljivega in elastičnega nabora računalniških virov, ki jih je mogoče deliti, tudi kadar so taki viri porazdeljeni na več lokacijah;
  31. „storitev podatkovnega centra“ pomeni storitev, ki zajema strukture ali skupine struktur, namenjene centralizirani namestitvi, medsebojnemu povezovanju in delovanju IT in omrežne opreme, ki zagotavlja storitve shranjevanja, obdelave in transporta podatkov, skupaj z vsemi objekti in infrastrukturo za distribucijo električne energije in nadzor okolja;
  32. „omrežje za dostavo vsebine“ pomeni omrežje geografsko porazdeljenih strežnikov za zagotavljanje visoke razpoložljivosti, dostopnosti ali hitre dostave digitalnih vsebin in storitev uporabnikom interneta v imenu ponudnikov vsebin in storitev;
  33. „platforma storitev socialnega mreženja“ pomeni platformo, ki končnim uporabnikom omogoča povezovanje, skupno rabo, odkrivanje in medsebojno komunikacijo prek več naprav, zlasti prek klepetov, objav, videoposnetkov in priporočil;
  34. „zastopnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki je izrecno imenovana za delovanje v imenu ponudnika storitev DNS, registra imen TLD, subjekta, ki zagotavlja storitve registracije domenskih imen, ponudnika storitev računalništva v oblaku, ponudnika storitev podatkovnega centra, ponudnik omrežja za dostavo vsebin, ponudnik upravljanih storitev, ponudnik upravljanih varnostnih storitev ali ponudnik spletnega trga, spletnega iskalnika ali platforme storitev socialnega mreženja, ki nima sedeža v Uniji, ki ga lahko naslovi pristojni organ ali skupina CSIRT namesto samega subjekta v zvezi z obveznostmi tega subjekta po tej direktivi;
  35. „subjekt javne uprave“ pomeni subjekt, priznan kot tak v državi članici v skladu z nacionalno zakonodajo, ne vključuje sodstva, parlamentov ali centralnih bank, ki izpolnjuje naslednja merila:
    1. je ustanovljeno za zadovoljevanje potreb v splošnem interesu in nima industrijskega ali komercialnega značaja;
    2. je pravna oseba ali je po zakonu upravičena delovati v imenu drugega subjekta s pravno osebnostjo;
    3. večinoma ga financirajo država, regionalni organi ali drugi subjekti javnega prava, je pod nadzorom upravljanja s strani teh organov ali organov ali ima upravni, upravni ali nadzorni odbor, katerega več kot polovica člane imenuje država, regionalni organi ali drugi subjekti javnega prava;
    4. ima pooblastilo, da na fizične ali pravne osebe naslovi upravne ali regulativne odločitve, ki vplivajo na njihove pravice pri čezmejnem pretoku oseb, blaga, storitev ali kapitala;
  36. „javno elektronsko komunikacijsko omrežje“ pomeni javno elektronsko komunikacijsko omrežje, kot je opredeljeno v točki (8) člena 2 Direktive (EU) 2018/1972;
  37. „elektronska komunikacijska storitev“ pomeni elektronsko komunikacijsko storitev, kot je opredeljena v točki (4) člena 2 Direktive (EU) 2018/1972;
  38. „subjekt“ pomeni fizično ali pravno osebo, ustanovljeno in priznano kot tako v skladu z nacionalno zakonodajo kraja njenega sedeža, ki lahko pod svojim imenom uveljavlja pravice in zanjo veljajo obveznosti;
  39. „ponudnik upravljanih storitev“ pomeni subjekt, ki zagotavlja storitve v zvezi z namestitvijo, upravljanjem, delovanjem ali vzdrževanjem izdelkov IKT, omrežij, infrastrukture, aplikacij ali katerih koli drugih omrežij in informacijskih sistemov, prek pomoči ali aktivne administracije, ki se izvaja v prostorih strank ali na daljavo;
  40. „ponudnik upravljanih varnostnih storitev“ pomeni upravljanega ponudnika storitev, ki izvaja ali zagotavlja pomoč pri dejavnostih v zvezi z obvladovanjem tveganj kibernetske varnosti;
  41. „raziskovalna organizacija“ pomeni subjekt, katerega primarni cilj je izvajanje uporabnih raziskav ali eksperimentalnega razvoja z namenom izkoriščanja rezultatov teh raziskav v komercialne namene, vendar ne vključuje izobraževalnih ustanov.
(29) Uredba (EU) št. 1025/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o evropski standardizaciji, spremembi direktiv Sveta 89/686/EGS in 93/15/EGS ter direktiv 94/9/ES, 94/25/ ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES in 2009/105/ES Evropskega parlamenta in Sveta in razveljavitvi Sklepa Sveta 87/95/EGS in Sklepa št. 1673/2006/ES Evropskega parlamenta in Sveta (UL L 316, 14.11.2012, str. 12).
(30) Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zagotavljanje informacij na področju tehničnih predpisov in pravil o storitvah informacijske družbe (UL L 241, 17. 9. 2015, str. 1).
(31) Direktiva 2005/29/ES Evropskega parlamenta in Sveta z dne 11. maja 2005 o nepoštenih poslovnih praksah podjetij v razmerju do potrošnikov na notranjem trgu in o spremembi Direktive Sveta 84/450/EGS, Direktive 97/7/ES, 98/ 27/ES in 2002/65/ES Evropskega parlamenta in Sveta ter Uredba (ES) št. 2006/2004 Evropskega parlamenta in Sveta („Direktiva o nepoštenih poslovnih praksah“) (UL L 149, 11.6.2005). , str.
(32) Uredba (EU) 2019/1150 Evropskega parlamenta in Sveta z dne 20. junija 2019 o spodbujanju pravičnosti in preglednosti za poslovne uporabnike spletnih posredniških storitev (UL L 186, 11.7.2019, str. 57).

Poglavje 2 – Usklajeni okviri kibernetske varnosti

  1. Vsaka država članica sprejme nacionalno strategijo kibernetske varnosti, ki določa strateške cilje, vire, potrebne za doseganje teh ciljev, ter ustrezne politične in regulativne ukrepe, da bi dosegli in ohranili visoko raven kibernetske varnosti. Nacionalna strategija kibernetske varnosti vključuje:
    1. cilje in prednostne naloge strategije kibernetske varnosti države članice, ki zajema zlasti sektorje iz prilog I in II;
    2. okvir upravljanja za doseganje ciljev in prednostnih nalog iz točke (a) tega odstavka, vključno s politikami iz odstavka 2;
    3. okvir upravljanja, ki pojasnjuje vloge in odgovornosti ustreznih deležnikov na nacionalni ravni, podpira sodelovanje in usklajevanje na nacionalni ravni med pristojnimi organi, enotnimi kontaktnimi točkami in skupinami CSIRT v skladu s to direktivo ter usklajevanje in sodelovanje med tistimi organi in pristojni organi v skladu s sektorskimi pravnimi akti Unije;
    4. mehanizem za identifikacijo ustreznih sredstev in oceno tveganj v tej državi članici;
    5. opredelitev ukrepov, ki zagotavljajo pripravljenost na incidente, odzivnost nanje in okrevanje po njih, vključno s sodelovanjem med javnim in zasebnim sektorjem;
    6. seznam različnih organov in deležnikov, vključenih v izvajanje nacionalne strategije kibernetske varnosti;
    7. okvir politike za okrepljeno usklajevanje med pristojnimi organi v skladu s to direktivo in pristojnimi organi v skladu z Direktivo (EU) 2022/2557 za namene izmenjave informacij o tveganjih, kibernetskih grožnjah in incidentih ter o nekibernetskih tveganjih, grožnjah in incidente in izvajanje nadzornih nalog, kot je primerno;
    8. načrt, vključno s potrebnimi ukrepi, za povečanje splošne ravni ozaveščenosti državljanov o kibernetski varnosti.
  2.  Države članice v okviru nacionalne strategije kibernetske varnosti sprejmejo zlasti politike:
    1. obravnavo kibernetske varnosti v dobavni verigi za izdelke IKT in storitve IKT, ki jih uporabljajo subjekti za zagotavljanje svojih storitev;
    2. o vključitvi in specifikaciji zahtev, povezanih s kibernetsko varnostjo, za izdelke IKT in storitve IKT pri javnih naročilih, vključno v zvezi s certificiranjem kibernetske varnosti, šifriranjem in uporabo odprtokodnih izdelkov kibernetske varnosti;
    3. upravljanje ranljivosti, ki zajema spodbujanje in omogočanje usklajenega razkrivanja ranljivosti v okviru člen 12(1);
    4. v zvezi z ohranjanjem splošne razpoložljivosti, celovitosti in zaupnosti javnega jedra odprtega interneta, vključno s kibernetsko varnostjo podmorskih komunikacijskih kablov, kadar je ustrezno;
    5. spodbujanje razvoja in integracije ustreznih naprednih tehnologij za izvajanje najsodobnejših ukrepov za obvladovanje tveganja kibernetske varnosti;
    6. spodbujanje in razvoj izobraževanja in usposabljanja o kibernetski varnosti, veščin kibernetske varnosti, ozaveščanja ter pobud za raziskave in razvoj ter smernic o dobrih higienskih praksah in nadzoru, namenjenih državljanom, deležnikom in subjektom;
    7. podpora akademskim in raziskovalnim ustanovam za razvoj, izboljšanje in spodbujanje uvajanja orodij za kibernetsko varnost in varne omrežne infrastrukture;
    8. vključno z ustreznimi postopki in ustreznimi orodji za izmenjavo informacij v podporo prostovoljni izmenjavi informacij o kibernetski varnosti med subjekti v skladu s pravom Unije;
    9. krepitev kibernetske odpornosti in izhodišča kibernetske higiene malih in srednje velikih podjetij, zlasti tistih, ki so izključena iz področja uporabe te direktive, z zagotavljanjem lahko dostopnih navodil in pomoči za njihove posebne potrebe;
    10. spodbujanje aktivne kibernetske zaščite.
  3. Države članice o svojih nacionalnih strategijah kibernetske varnosti obvestijo Komisijo v treh mesecih po njihovem sprejetju. Države članice lahko iz takih obvestil izključijo informacije, ki se nanašajo na njihovo nacionalno varnost.
  4. Države članice redno in vsaj vsakih pet let ocenjujejo svoje nacionalne strategije kibernetske varnosti na podlagi ključnih kazalnikov uspešnosti in jih po potrebi posodobijo. ENISA državam članicam na njihovo zahtevo pomaga pri razvoju ali posodobitvi nacionalne strategije kibernetske varnosti in ključnih kazalnikov uspešnosti za oceno te strategije, da se uskladi z zahtevami in obveznostmi iz te direktive.
  1. Vsaka država članica imenuje ali ustanovi enega ali več pristojnih organov, odgovornih za kibernetsko varnost in za nadzorne naloge iz poglavja VII (pristojni organi).
  2. Pristojni organi iz odstavka 1 spremljajo izvajanje te direktive na nacionalni ravni.
  3. Vsaka država članica določi ali vzpostavi enotno kontaktno točko. Kadar država članica imenuje ali ustanovi samo en pristojni organ v skladu z odstavkom 1, je ta pristojni organ tudi enotna kontaktna točka za to državo članico.
  4. Vsaka posamezna kontaktna točka opravlja funkcijo povezovanja za zagotavljanje čezmejnega sodelovanja organov svoje države članice z ustreznimi organi drugih držav članic ter po potrebi s Komisijo in ENISA ter za zagotavljanje medsektorskega sodelovanja. z drugimi pristojnimi organi v svoji državi članici.
  5. Države članice zagotovijo, da imajo njihovi pristojni organi in enotne kontaktne točke ustrezna sredstva za uspešno in uspešno izvajanje nalog, ki so jim dodeljene, in s tem za izpolnjevanje ciljev te direktive.
  6. Vsaka država članica brez nepotrebnega odlašanja uradno obvesti Komisijo o identiteti pristojnega organa iz odstavka 1 in enotne kontaktne točke iz odstavka 3, o nalogah teh organov in o kakršnih koli poznejših spremembah v zvezi s tem. Vsaka država članica objavi identiteto svojega pristojnega organa. Komisija javno objavi seznam enotnih kontaktnih točk.
  1. Vsaka država članica imenuje ali ustanovi enega ali več pristojnih organov, odgovornih za upravljanje obsežnih kibernetskih incidentov in kriz (organi za kibernetsko krizno upravljanje). Države članice zagotovijo, da imajo ti organi ustrezna sredstva za uspešno in uspešno izvajanje nalog, ki so jim dodeljene. Države članice zagotovijo skladnost z obstoječimi okviri za splošno nacionalno krizno upravljanje.
  2. Če država članica imenuje ali ustanovi več kot en organ za kibernetsko krizno upravljanje v skladu z odstavkom 1, jasno navede, kateri od teh organov bo deloval kot koordinator za upravljanje obsežnih kibernetskih incidentov in kriz.
  3. Vsaka država članica opredeli zmogljivosti, sredstva in postopke, ki jih je mogoče uporabiti v primeru krize za namene te direktive.
  4. Vsaka država članica sprejme nacionalni načrt za odzivanje na obsežne kibernetske varnostne incidente in krize, v katerem so določeni cilji in ureditve za upravljanje obsežnih kibernetskih incidentov in kriz. Ta načrt določa zlasti:
    1. cilji nacionalnih ukrepov in dejavnosti pripravljenosti;
    2. naloge in odgovornosti organov za kibernetsko krizno upravljanje;
    3. postopke kibernetskega kriznega upravljanja, vključno z njihovo vključitvijo v splošni nacionalni okvir kriznega upravljanja in kanale za izmenjavo informacij;
    4. nacionalne ukrepe za pripravljenost, vključno z vajami in dejavnostmi usposabljanja;
    5. ustrezne javne in zasebne zainteresirane strani ter vključeno infrastrukturo;
    6. nacionalne postopke in dogovore med ustreznimi nacionalnimi organi in telesi za zagotovitev učinkovitega sodelovanja države članice pri usklajenem upravljanju obsežnih kibernetskih incidentov in kriz na ravni Unije in njegove podpore.
  5. Vsaka država članica v treh mesecih po imenovanju ali ustanovitvi organa za kibernetsko krizno upravljanje iz odstavka 1 obvesti Komisijo o identiteti svojega organa in o vseh njegovih poznejših spremembah. Države članice Komisiji in evropski mreži organizacij za zvezo v kibernetskih krizah (EU-CyCLONe) predložijo ustrezne informacije v zvezi z zahtevami iz odstavka 4 o svojih nacionalnih obsežnih načrtih za kibernetsko varnost in krizno odzivanje v treh mesecih po sprejetju teh načrtov. načrti. Države članice lahko izključijo informacije, kadar in kolikor je taka izključitev potrebna za njihovo nacionalno varnost.
  1. Vsaka država članica imenuje ali ustanovi eno ali več skupin CSIRT. Skupine CSIRT se lahko imenujejo ali ustanovijo v okviru pristojnega organa. Skupine CSIRT izpolnjujejo zahteve iz člen 11(1), zajema vsaj sektorje, podsektorje in vrste subjektov iz prilog I in II ter je odgovoren za obravnavo incidentov v skladu z natančno opredeljenim postopkom.
  2. Države članice zagotovijo, da ima vsaka skupina CSIRT ustrezna sredstva za učinkovito izvajanje svojih nalog, kot je določeno v člen 11(3).
  3. Države članice zagotovijo, da ima vsaka skupina CSIRT na voljo ustrezno, varno in odporno komunikacijsko in informacijsko infrastrukturo, prek katere lahko izmenjuje informacije z bistvenimi in pomembnimi subjekti ter drugimi ustreznimi zainteresiranimi stranmi. V ta namen države članice zagotovijo, da vsaka skupina CSIRT prispeva k uporabi varnih orodij za izmenjavo informacij.
  4. Skupine CSIRT sodelujejo in po potrebi izmenjujejo ustrezne informacije v skladu z 29. člen s sektorskimi ali medsektorskimi skupnostmi bistvenih in pomembnih subjektov.
  5. Skupine CSIRT sodelujejo pri strokovnih pregledih, organiziranih v skladu z 19. člen.
  6. Države članice zagotovijo uspešno, uspešno in varno sodelovanje svojih skupin CSIRT v mreži skupin CSIRT.
  7. Skupine CSIRT lahko vzpostavijo odnose sodelovanja z nacionalnimi ekipami za odzivanje na računalniško varnostne incidente tretjih držav. Kot del takih odnosov sodelovanja države članice olajšajo učinkovito, uspešno in varno izmenjavo informacij z nacionalnimi odzivnimi skupinami za računalniško varnost teh tretjih držav z uporabo ustreznih protokolov za izmenjavo informacij, vključno s protokolom semaforja. Skupine CSIRT lahko izmenjujejo ustrezne informacije z nacionalnimi odzivnimi skupinami za računalniško varnost tretjih držav, vključno z osebnimi podatki v skladu z zakonodajo Unije o varstvu podatkov.
  8. Skupine CSIRT lahko sodelujejo z nacionalnimi odzivnimi skupinami tretjih držav za računalniško varnostne incidente ali enakovrednimi organi tretjih držav, zlasti z namenom zagotavljanja pomoči pri kibernetski varnosti.
  9. Vsaka država članica brez nepotrebnega odlašanja obvesti Komisijo o identiteti skupine CSIRT iz odstavka 1 tega člena in skupine CSIRT, imenovane za koordinatorja v skladu s člen 12(1), njihovih zadevnih nalogah v zvezi z bistvenimi in pomembnimi subjekti ter morebitnih poznejših spremembah le-teh.
  10. Države članice lahko zaprosijo za pomoč ENISA pri razvoju svojih skupin CSIRT.
  1. Skupine CSIRT izpolnjujejo naslednje zahteve:
    1. skupine CSIRT zagotovijo visoko raven razpoložljivosti svojih komunikacijskih kanalov tako, da se izognejo posameznim točkam okvare, in imajo več načinov za vzpostavitev stika z njimi in za stik z drugimi v vsakem trenutku; jasno določijo komunikacijske kanale in z njimi seznanijo volilne skupine in partnerje v sodelovanju;
    2. prostori skupin CSIRT in podporni informacijski sistemi se nahajajo na varovanih mestih;
    3. skupine CSIRT so opremljene z ustreznim sistemom za upravljanje in usmerjanje zahtevkov, zlasti za olajšanje učinkovitih in uspešnih predaj;
    4. skupine CSIRT zagotovijo zaupnost in zanesljivost svojega delovanja;
    5. skupine CSIRT imajo ustrezno osebje, da zagotovijo stalno razpoložljivost svojih storitev, in zagotovijo, da je njihovo osebje ustrezno usposobljeno;
    6. skupine CSIRT so opremljene z redundantnimi sistemi in rezervnim delovnim prostorom, da se zagotovi kontinuiteta njihovih storitev.

    Skupine CSIRT lahko sodelujejo v omrežjih mednarodnega sodelovanja.

  2. Države članice zagotovijo, da imajo njihove skupine CSIRT skupaj tehnične zmogljivosti, potrebne za izvajanje nalog iz odstavka 3. Države članice zagotovijo, da se njihovim skupinam CSIRT dodelijo zadostna sredstva za zagotovitev ustrezne ravni osebja, da se skupinam CSIRT omogoči razvoj. njihove tehnične zmogljivosti.
  3.  Skupine CSIRT imajo naslednje naloge:
    1. spremljanje in analiziranje kibernetskih groženj, ranljivosti in incidentov na nacionalni ravni ter na zahtevo zagotavljanje pomoči zadevnim bistvenim in pomembnim subjektom glede spremljanja v realnem ali skoraj realnem času njihovih omrežij in informacijskih sistemov;
    2. zagotavljanje zgodnjih opozoril, opozoril, objav in širjenje informacij bistvenim in pomembnim zadevnim subjektom ter pristojnim organom in drugim ustreznim deležnikom o kibernetskih grožnjah, ranljivostih in incidentih, če je mogoče v skoraj realnem času;
    3. odzivanje na incidente in zagotavljanje pomoči bistvenim in pomembnim zadevnim subjektom, kjer je primerno;
    4. zbiranje in analiziranje forenzičnih podatkov ter zagotavljanje dinamične analize tveganja in incidentov ter zavedanja o situaciji v zvezi s kibernetsko varnostjo;
    5. zagotavljanje, na zahtevo bistvenega ali pomembnega subjekta, proaktivnega skeniranja omrežja in informacijskih sistemov zadevnega subjekta za odkrivanje ranljivosti s potencialno pomembnim vplivom;
    6. sodelovanje v mreži CSIRT in zagotavljanje medsebojne pomoči v skladu s svojimi zmogljivostmi in kompetencami drugim članom mreže CSIRT na njihovo zahtevo;
    7. kjer je primerno, deluje kot koordinator za namene usklajenega razkritja ranljivosti v skladu z člen 12(1);
    8. prispevanje k uvajanju varnih orodij za izmenjavo informacij v skladu z člen 10(3).

    CSIRT lahko izvajajo proaktivno nevsiljivo skeniranje javno dostopnih omrežij in informacijskih sistemov bistvenih in pomembnih subjektov. Takšno skeniranje se izvede za odkrivanje ranljivih ali nevarno konfiguriranih omrežnih in informacijskih sistemov ter obveščanje zadevnih subjektov. Takšno skeniranje ne sme negativno vplivati na delovanje storitev subjektov.

    Pri izvajanju nalog iz prvega pododstavka lahko skupine CSIRT dajo prednost določenim nalogam na podlagi pristopa, ki temelji na tveganju.

  4. Skupine CSIRT vzpostavijo odnose sodelovanja z ustreznimi zainteresiranimi stranmi v zasebnem sektorju z namenom doseganja ciljev te direktive.
  5. Da bi olajšali sodelovanje iz odstavka 4, skupine CSIRT spodbujajo sprejetje in uporabo skupnih ali standardiziranih praks, klasifikacijskih shem in taksonomij v zvezi z:
    1. postopki obravnave incidentov;
    2. Krizno upravljanje; in
    3. usklajeno razkritje ranljivosti pod člen 12(1).
  1. Vsaka država članica imenuje eno od svojih skupin CSIRT za koordinatorja za namene usklajenega razkrivanja ranljivosti. Skupina CSIRT, imenovana za koordinatorja, deluje kot zaupanja vreden posrednik, ki po potrebi olajša interakcijo med fizično ali pravno osebo, ki poroča o ranljivosti, in proizvajalcem ali ponudnikom potencialno ranljivih izdelkov IKT ali storitev IKT na zahtevo katere koli strani. Naloge skupine CSIRT, imenovane za koordinatorja, vključujejo:
    1. prepoznavanje in vzpostavitev stika z zadevnimi subjekti;
    2. pomoč fizičnim ali pravnim osebam, ki prijavijo ranljivost; in
    3. pogajanje o časovnih poteh razkritja in upravljanje ranljivosti, ki vplivajo na več subjektov.

    Države članice zagotovijo, da lahko fizične ali pravne osebe na zahtevo anonimno prijavijo ranljivost skupini CSIRT, imenovani za koordinatorja. Skupina CSIRT, imenovana za koordinatorja, zagotovi, da se izvajajo skrbni nadaljnji ukrepi v zvezi s prijavljeno ranljivostjo, in zagotovi anonimnost fizične ali pravne osebe, ki prijavi ranljivost. Kadar bi sporočena ranljivost lahko pomembno vplivala na subjekte v več kot eni državi članici, skupina CSIRT, imenovana za koordinatorja vsake zadevne države članice, po potrebi sodeluje z drugimi skupinami CSIRT, imenovanimi za koordinatorje znotraj mreže skupin CSIRT.

  2.  ENISA po posvetovanju s skupino za sodelovanje razvije in vzdržuje evropsko bazo podatkov o ranljivosti. V ta namen ENISA vzpostavi in vzdržuje ustrezne informacijske sisteme, politike in postopke ter sprejme potrebne tehnične in organizacijske ukrepe za zagotovitev varnosti in celovitosti evropske zbirke podatkov o ranljivostih, zlasti z namenom omogočiti subjektom, ne glede na ne glede na to, ali spadajo v področje uporabe te direktive, in njihovi dobavitelji omrežij in informacijskih sistemov, da prostovoljno razkrijejo in registrirajo javno znane ranljivosti v izdelkih ali storitvah IKT. Vsem deležnikom bo omogočen dostop do informacij o ranljivostih v evropski zbirki ranljivosti. Ta zbirka podatkov vključuje:
    1. informacije, ki opisujejo ranljivost;
    2. prizadete izdelke IKT ali storitve IKT in resnost ranljivosti v smislu okoliščin, v katerih se lahko izkorišča;
    3. razpoložljivost povezanih popravkov in, v odsotnosti razpoložljivih popravkov, navodila pristojnih organov ali skupin CSIRT, naslovljena na uporabnike ranljivih izdelkov IKT in storitev IKT, o tem, kako je mogoče zmanjšati tveganja, ki izhajajo iz razkritih ranljivosti.
  1. Kadar so pristojni organi, enotna kontaktna točka in skupine CSIRT iste države članice ločeni, med seboj sodelujejo pri izpolnjevanju obveznosti iz te direktive.
  2. Države članice zagotovijo, da njihove skupine CSIRT ali, kjer je ustrezno, njihovi pristojni organi prejmejo obvestila o pomembnih incidentih v skladu z 23. člen, ter incidenti, kibernetske grožnje in skorajšnje nesreče v skladu z 30. člen.
  3. Države članice zagotovijo, da njihove skupine CSIRT ali, kjer je ustrezno, njihovi pristojni organi obvestijo svoje enotne kontaktne točke o obvestilih o incidentih, kibernetskih grožnjah in skorajšnjih nesrečah, predloženih v skladu s to direktivo.
  4. Za zagotovitev, da se naloge in obveznosti pristojnih organov, enotnih kontaktnih točk in skupin CSIRT izvajajo učinkovito, države članice, kolikor je to mogoče, zagotovijo ustrezno sodelovanje med temi organi in organi kazenskega pregona ter organi za varstvo podatkov. , nacionalni organi v skladu z uredbama (ES) št. 300/2008 in (EU) 2018/1139, nadzorni organi v skladu z Uredbo (EU) št. 910/2014, pristojni organi v skladu z Uredbo (EU) 2022/2554, nacionalni regulativni organi v skladu z Direktivo (EU) 2018/1972, pristojni organi v skladu z Direktivo (EU) 2022/2557 ter pristojni organi v skladu z drugimi sektorskimi pravnimi akti Unije znotraj te države članice.
  5. Države članice zagotovijo, da njihovi pristojni organi v skladu s to direktivo in njihovi pristojni organi v skladu z Direktivo (EU) 2022/2557 redno sodelujejo in izmenjujejo informacije v zvezi z identifikacijo kritičnih subjektov, tveganjih, kibernetskih grožnjah in incidentih. o nekibernetskih tveganjih, grožnjah in incidentih, ki vplivajo na subjekte, ki so opredeljeni kot kritični subjekti v skladu z Direktivo (EU) 2022/2557, ter ukrepih, sprejetih kot odgovor na taka tveganja, grožnje in incidente. Države članice tudi zagotovijo, da si njihovi pristojni organi v skladu s to direktivo in njihovi pristojni organi v skladu z Uredbo (EU) št. 910/2014, Uredbo (EU) 2022/2554 in Direktivo (EU) 2018/1972 redno izmenjujejo ustrezne informacije, vključno z v zvezi z ustreznimi incidenti in kibernetskimi grožnjami.
  6. Države članice poenostavijo poročanje s tehničnimi sredstvi za obvestila iz 23. člen in 30.

Poglavje 3 – Sodelovanje na sindikalni in mednarodni ravni

  1. Da bi podprli in olajšali strateško sodelovanje in izmenjavo informacij med državami članicami ter okrepili zaupanje, je ustanovljena skupina za sodelovanje.
  2. Skupina za sodelovanje opravlja svoje naloge na podlagi dvoletnih delovnih programov iz odstavka 7.
  3. Skupino za sodelovanje sestavljajo predstavniki držav članic, Komisije in ENISA. Evropska služba za zunanje delovanje sodeluje pri dejavnostih skupine za sodelovanje kot opazovalka. Evropski nadzorni organi (ESA) in pristojni organi iz Uredbe (EU) 2022/2554 lahko sodelujejo pri dejavnostih skupine za sodelovanje v skladu s členom 47(1) navedene uredbe.

    Po potrebi lahko skupina za sodelovanje k sodelovanju pri svojem delu povabi Evropski parlament in predstavnike ustreznih zainteresiranih strani.

    Komisija zagotovi sekretariat.

  4. Skupina za sodelovanje ima naslednje naloge:
    1. zagotavljanje smernic pristojnim organom v zvezi s prenosom in izvajanjem te direktive;
    2. zagotoviti smernice pristojnim organom v zvezi z razvojem in izvajanjem politik o usklajenem razkrivanju ranljivosti, kot je navedeno v točki (c) člena 7(2);
    3. za izmenjavo najboljših praks in informacij v zvezi z izvajanjem te direktive, vključno v zvezi s kibernetskimi grožnjami, incidenti, ranljivostmi, skorajšnjimi napakami, pobudami za ozaveščanje, usposabljanjem, vajami in spretnostmi, krepitvijo zmogljivosti, standardi in tehničnimi specifikacijami ter opredelitev bistvenih in pomembnih subjektov v skladu s točkami (b) do (e) člena 2(2);
    4. izmenjati nasvete in sodelovati s Komisijo glede nastajajočih političnih pobud na področju kibernetske varnosti in splošne skladnosti sektorskih zahtev glede kibernetske varnosti;
    5. izmenjava nasvetov in sodelovanje s Komisijo pri osnutkih delegiranih ali izvedbenih aktov, sprejetih v skladu s to direktivo;
    6. izmenjava najboljših praks in informacij z ustreznimi institucijami, organi, uradi in agencijami Unije;
    7. izmenjati mnenja o izvajanju sektorskih pravnih aktov Unije, ki vsebujejo določbe o kibernetski varnosti;
    8. po potrebi razpravlja o poročilih o medsebojnem strokovnem pregledu iz člena 19(9) ter pripravi zaključke in priporočila;
    9. za izvajanje usklajenih ocen varnostnih tveganj kritičnih dobavnih verig v skladu s členom 22(1);
    10. razpravljati o primerih medsebojne pomoči, vključno z izkušnjami in rezultati čezmejnih skupnih nadzornih ukrepov iz člena 37;
    11. na zahtevo ene ali več zadevnih držav članic razpravlja o posebnih zahtevah za medsebojno pomoč iz člena 37;
    12. zagotavljanje strateških smernic mreži skupin CSIRT in EU-CyCLONe glede posebnih nastajajočih vprašanj;
    13. izmenjava mnenj o politiki o nadaljnjih ukrepih po obsežnih kibernetskih incidentih in krizah na podlagi pridobljenih izkušenj mreže CSIRTs in EU-CyCLONe;
    14. prispevati k zmogljivostim kibernetske varnosti po vsej Uniji z omogočanjem izmenjave nacionalnih uradnikov prek programa za krepitev zmogljivosti, ki vključuje osebje pristojnih organov ali skupin CSIRT;
    15. organizirati redne skupne sestanke z ustreznimi zasebnimi deležniki iz vse Unije za razpravo o dejavnostih, ki jih izvaja skupina za sodelovanje, in zbiranje prispevkov o nastajajočih političnih izzivih;
    16. razpravljati o opravljenem delu v zvezi z vajami kibernetske varnosti, vključno z delom ENISA;
    17. za določitev metodologije in organizacijskih vidikov medsebojnih strokovnih pregledov iz člena 19(1) ter za določitev metodologije samoocenjevanja za države članice v skladu s členom 19(5), s pomočjo Komisije in ENISA ter v sodelovanju s Komisijo in ENISA razviti kodekse ravnanja, ki podpirajo delovne metode imenovanih strokovnjakov za kibernetsko varnost v skladu s členom 19(6);
    18. pripraviti poročila za namen pregleda iz člena 40 o izkušnjah, pridobljenih na strateški ravni in med strokovnimi pregledi;
    19. razpravljati in redno izvajati oceno trenutnega stanja kibernetskih groženj ali incidentov, kot je izsiljevalska programska oprema.

    Skupina za sodelovanje predloži poročila iz prvega pododstavka, točke (r), Komisiji, Evropskemu parlamentu in Svetu.

  5. Države članice zagotovijo uspešno, učinkovito in varno sodelovanje svojih predstavnikov v skupini za sodelovanje.
  6. Skupina za sodelovanje lahko od mreže CSIRT zahteva tehnično poročilo o izbranih temah.
  7. Skupina za sodelovanje do 1. februarja 2024 in nato vsaki dve leti pripravi delovni program v zvezi z ukrepi, ki jih je treba sprejeti za izvajanje njenih ciljev in nalog.
  8. Komisija lahko sprejme izvedbene akte, ki določajo postopkovne ureditve, potrebne za delovanje skupine za sodelovanje.

    Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 39(2).

    Komisija izmenjuje nasvete in sodeluje s skupino za sodelovanje pri osnutkih izvedbenih aktov iz prvega pododstavka tega odstavka v skladu s točko (e) odstavka (4).

  9. Skupina za sodelovanje se redno in v vsakem primeru vsaj enkrat letno sestaja s skupino za odpornost kritičnih subjektov, ustanovljeno v skladu z Direktivo (EU) 2022/2557, da bi spodbujala in olajšala strateško sodelovanje in izmenjavo informacij.
  1. Da bi prispevali k razvoju zaupanja in spodbujali hitro in učinkovito operativno sodelovanje med državami članicami, je vzpostavljena mreža nacionalnih skupin CSIRT.
  2. Mrežo skupin CSIRT sestavljajo predstavniki skupin CSIRT, imenovani ali ustanovljeni v skladu s členom 10, in skupina za odzivanje na računalniške nujne primere za institucije, organe in agencije Unije (CERT-EU). Komisija sodeluje v mreži CSIRT kot opazovalka. ENISA zagotovi sekretariat in dejavno pomaga pri sodelovanju med skupinami CSIRT.
  3. Mreža CSIRT ima naslednje naloge:
    1. za izmenjavo informacij o zmogljivostih skupin CSIRT;
    2. olajšati souporabo, prenos in izmenjavo tehnologije ter ustreznih ukrepov, politik, orodij, procesov, najboljših praks in okvirov med skupinami CSIRT;
    3. za izmenjavo ustreznih informacij o incidentih, skorajšnjih nesrečah, kibernetskih grožnjah, tveganjih in ranljivostih;
    4. za izmenjavo informacij v zvezi s publikacijami in priporočili o kibernetski varnosti;
    5. zagotoviti interoperabilnost v zvezi s specifikacijami in protokoli za izmenjavo informacij;
    6. na zahtevo člana mreže CSIRT, ki bi ga lahko incident prizadel, za izmenjavo in razpravo o informacijah v zvezi s tem incidentom in povezanimi kibernetskimi grožnjami, tveganji in ranljivostmi;
    7. na zahtevo člana mreže CSIRT razpravljati in, kjer je mogoče, izvajati usklajen odziv na incident, ki je bil ugotovljen v pristojnosti te države članice;
    8. državam članicam zagotoviti pomoč pri obravnavanju čezmejnih incidentov v skladu s to direktivo;
    9. sodelovanje, izmenjava najboljših praks in zagotavljanje pomoči skupinam CSIRT, imenovanim za koordinatorje v skladu s členom 12(1), v zvezi z upravljanjem usklajenega razkrivanja ranljivosti, ki bi lahko pomembno vplivale na subjekte v več kot eni državi članici;
    10.  razpravljati in opredeliti nadaljnje oblike operativnega sodelovanja, vključno v zvezi z:
      1. kategorije kibernetskih groženj in incidentov;
      2. zgodnja opozorila;
      3. medsebojna pomoč;
      4. načela in ureditve za usklajevanje v odziv na čezmejna tveganja in incidente;
      5. prispevek k nacionalnemu obsežnemu načrtu za kibernetsko varnost in krizno odzivanje iz člena 9(4) na zahtevo države članice;
    11. obveščati skupino za sodelovanje o svojih dejavnostih in nadaljnjih oblikah operativnega sodelovanja, o katerih se razpravlja v skladu s točko (j), in po potrebi zahtevati navodila v zvezi s tem;
    12. pregledovanje vaj kibernetske varnosti, vključno s tistimi, ki jih organizira ENISA;
    13. na zahtevo posamezne skupine CSIRT za razpravo o zmogljivostih in pripravljenosti te skupine CSIRT;
    14. sodelovanje in izmenjava informacij z regionalnimi varnostnimi operativnimi centri (SOC) na ravni Unije, da bi izboljšali skupno obveščenost o razmerah glede incidentov in kibernetskih groženj po vsej Uniji;
    15. po potrebi za razpravo o poročilih o strokovnih pregledih iz člena 19(9);
    16. zagotoviti smernice za lažjo konvergenco operativnih praks v zvezi z uporabo določb tega člena v zvezi z operativnim sodelovanjem.
  4. Do 17. januarja 2025 in nato vsaki dve leti mreža skupin CSIRT za namene pregleda iz člena 40 oceni doseženi napredek v zvezi z operativnim sodelovanjem in sprejme poročilo. Poročilo vsebuje zlasti zaključke in priporočila na podlagi rezultatov strokovnih pregledov iz člena 19, ki se izvajajo v zvezi z nacionalnimi skupinami CSIRT. To poročilo se predloži skupini za sodelovanje.
  5. Mreža CSIRT sprejme svoj poslovnik.
  6. Mreža CSIRT in EU-CyCLONe se dogovorita o postopkovnih ureditvah in sodelujeta na njihovi podlagi.
  1. EU-CyCLONe je ustanovljen za podporo usklajenemu upravljanju obsežnih kibernetskih incidentov in kriz na operativni ravni ter za zagotavljanje redne izmenjave ustreznih informacij med državami članicami in institucijami, organi, uradi in agencijami Unije.
  2. EU-CyCLONe sestavljajo predstavniki organov držav članic za kibernetsko krizno upravljanje ter v primerih, ko potencialni ali trajajoči obsežen kibernetski incident pomembno vpliva ali bo verjetno imel pomemben vpliv na storitve in dejavnosti, ki spadajo v področje uporabe te direktive Komisija. V drugih primerih Komisija sodeluje pri dejavnostih EU-CyCLONe kot opazovalka.

    ENISA zagotavlja sekretariat EU-CyCLONe in podpira varno izmenjavo informacij ter zagotavlja potrebna orodja za podporo sodelovanju med državami članicami pri zagotavljanju varne izmenjave informacij.

    EU-CyCLONe lahko po potrebi povabi predstavnike ustreznih zainteresiranih strani, da sodelujejo pri njegovem delu kot opazovalci.

  3. EU-CyCLONe ima naslednje naloge:
    1. povečati stopnjo pripravljenosti obvladovanja obsežnih kibervarnostnih incidentov in kriz;
    2. razviti skupno zavedanje o razmerah za obsežne incidente in krize na področju kibernetske varnosti;
    3. oceniti posledice in vpliv ustreznih obsežnih kibervarnostnih incidentov in kriz ter predlagati možne ukrepe za ublažitev;
    4. usklajevati upravljanje obsežnih incidentov in kriz na področju kibernetske varnosti ter podpirati odločanje na politični ravni v zvezi s takimi incidenti in krizami;
    5. na zahtevo zadevne države članice razpravlja o nacionalnih obsežnih načrtih za kibernetsko varnost in odziv na krizo iz člena 9(4).
  4. EU-CyCLONE sprejme svoj poslovnik.
  5. EU-CyCLONe redno poroča skupini za sodelovanje o obvladovanju obsežnih kibernetskih incidentov in kriz ter o trendih, pri čemer se osredotoča zlasti na njihov vpliv na bistvene in pomembne subjekte.
  6. EU-CyCLONe sodeluje z mrežo skupin CSIRT na podlagi dogovorjenih postopkovnih dogovorov iz člena 15(6).
  7. Do 17. julija 2024 in nato vsakih 18 mesecev EU-CyCLONe Evropskemu parlamentu in Svetu predloži poročilo z oceno svojega dela.

Unija lahko po potrebi sklene mednarodne sporazume v skladu s členom 218 PDEU s tretjimi državami ali mednarodnimi organizacijami, s čimer omogoči in organizira njihovo sodelovanje pri določenih dejavnostih skupine za sodelovanje, mreže CSIRT in EU-CyCLONe. Takšni sporazumi so v skladu z zakonodajo Unije o varstvu podatkov.

  1. ENISA v sodelovanju s Komisijo in skupino za sodelovanje sprejme dveletno poročilo o stanju kibernetske varnosti v Uniji ter to poročilo predloži in predstavi Evropskemu parlamentu. Poročilo je med drugim na voljo v obliki strojno berljivih podatkov in vključuje naslednje:
    1. oceno tveganja kibernetske varnosti na ravni Unije ob upoštevanju okolja kibernetskih groženj;
    2. oceno razvoja zmogljivosti kibernetske varnosti v javnem in zasebnem sektorju po vsej Uniji;
    3. oceno splošne ravni ozaveščenosti o kibernetski varnosti in kibernetske higiene med državljani in subjekti, vključno z malimi in srednje velikimi podjetji;
    4. zbirno oceno rezultatov strokovnih pregledov iz 19. člen;
    5. zbirno oceno stopnje zrelosti zmogljivosti in virov kibernetske varnosti po vsej Uniji, vključno s tistimi na sektorski ravni, ter obsega, v katerem so nacionalne strategije kibernetske varnosti držav članic usklajene.
  2. Poročilo vključuje posebna politična priporočila z namenom odpravljanja pomanjkljivosti in povečanja ravni kibernetske varnosti po vsej Uniji ter povzetek ugotovitev za določeno obdobje iz poročil EU o tehničnem stanju kibernetske varnosti o incidentih in kibernetskih grožnjah, ki jih je pripravila ENISA v v skladu s členom 7(6) Uredbe (EU) 2019/881.
  3. ENISA v sodelovanju s Komisijo, skupino za sodelovanje in mrežo skupin CSIRT razvije metodologijo, vključno z ustreznimi spremenljivkami, kot so kvantitativni in kvalitativni kazalniki, agregirane ocene iz točke (e) odstavka 1.
  1. Skupina za sodelovanje 17. januarja 2025 s pomočjo Komisije in ENISA ter po potrebi mreže CSIRT vzpostavi metodologijo in organizacijske vidike medsebojnih strokovnih pregledov z namenom učenja iz skupnih izkušenj in krepitve medsebojnega zaupanja. , doseganje visoke skupne ravni kibernetske varnosti ter krepitev zmogljivosti in politik držav članic na področju kibernetske varnosti, potrebnih za izvajanje te direktive. Sodelovanje pri strokovnih pregledih je prostovoljno. Medsebojne strokovne preglede izvajajo strokovnjaki za kibernetsko varnost. Strokovnjake za kibernetsko varnost imenujeta vsaj dve državi članici, ki ni država članica, ki se pregleduje.

    Strokovni pregledi zajemajo vsaj eno od naslednjega:

    1. ravni izvajanja ukrepov za obvladovanje tveganja kibernetske varnosti in obveznosti poročanja iz členov 21 in 23;
    2. stopnjo zmogljivosti, vključno z razpoložljivimi finančnimi, tehničnimi in človeškimi viri, ter učinkovitostjo izvajanja nalog pristojnih organov;
    3. operativne zmogljivosti skupin CSIRT;
    4. stopnjo izvajanja medsebojne pomoči iz 37. člena;
    5. raven izvajanja dogovorov o izmenjavi informacij o kibernetski varnosti iz člena 29;
    6. posebna vprašanja čezmejne ali medsektorske narave.
  2. Metodologija iz odstavka 1 vključuje objektivna, nediskriminatorna, pravična in pregledna merila, na podlagi katerih države članice imenujejo strokovnjake za kibernetsko varnost, ki so upravičeni do izvajanja medsebojnih strokovnih pregledov. Komisija in ENISA sodelujeta kot opazovalca pri strokovnih pregledih.
  3. Države članice lahko opredelijo posebna vprašanja iz točke (f) odstavka 1 za namene strokovnega pregleda.
  4. Pred začetkom strokovnega pregleda iz odstavka 1 države članice obvestijo sodelujoče države članice o njegovem obsegu, vključno s posebnimi vprašanji, opredeljenimi v skladu z odstavkom 3.
  5. Pred začetkom medsebojnega strokovnega pregleda lahko države članice izvedejo samooceno pregledanih vidikov in to samooceno zagotovijo imenovanim strokovnjakom za kibernetsko varnost. Skupina za sodelovanje s pomočjo Komisije in ENISA določi metodologijo za samoocenjevanje držav članic.
  6. Strokovni pregledi vključujejo fizične ali virtualne obiske na kraju samem in izmenjavo informacij zunaj kraja. V skladu z načelom dobrega sodelovanja država članica, ki je predmet strokovnega strokovnega pregleda, imenovanim strokovnjakom za kibernetsko varnost zagotovi informacije, potrebne za oceno, brez poseganja v zakonodajo Unije ali nacionalno zakonodajo v zvezi z varovanjem zaupnih ali tajnih podatkov in varovanjem bistvenih državnih funkcij, kot je nacionalna varnost. Skupina za sodelovanje v sodelovanju s Komisijo in ENISA razvije ustrezne kodekse ravnanja, ki podpirajo delovne metode imenovanih strokovnjakov za kibernetsko varnost. Vse informacije, pridobljene s strokovnim pregledom, se uporabijo izključno za ta namen. Strokovnjaki za kibernetsko varnost, ki sodelujejo pri strokovnem pregledu, tretjim osebam ne smejo razkriti nobenih občutljivih ali zaupnih informacij, pridobljenih med tem strokovnim pregledom.
  7. Ko so predmet strokovnega pregleda, isti vidiki, pregledani v državi članici, ne bodo predmet nadaljnjega strokovnega pregleda v tej državi članici dve leti po zaključku strokovnega pregleda, razen če država članica zahteva drugače ali se po tem dogovori drugače. predlog skupine za sodelovanje.
  8. Države članice zagotovijo, da se vsako tveganje navzkrižja interesov v zvezi z imenovanimi strokovnjaki za kibernetsko varnost razkrije drugim državam članicam, skupini za sodelovanje, Komisiji in ENISA pred začetkom strokovnega pregleda. Država članica, ki je predmet strokovnega strokovnega pregleda, lahko nasprotuje imenovanju določenih strokovnjakov za kibernetsko varnost na podlagi ustrezno utemeljenih razlogov, ki jih sporoči državi članici, ki jih imenuje.
  9. Strokovnjaki za kibernetsko varnost, ki sodelujejo pri medsebojnih strokovnih pregledih, pripravijo poročila o ugotovitvah in zaključkih med strokovnimi pregledi. Države članice, ki so predmet strokovnega strokovnega pregleda, lahko predložijo pripombe na osnutke poročil, ki jih zadevajo, in te pripombe se priložijo poročilom. Poročila vključujejo priporočila za izboljšanje vidikov, zajetih v strokovnem pregledu. Poročila se po potrebi predložijo skupini za sodelovanje in mreži skupin CSIRT. Država članica, ki je predmet strokovnega pregleda, se lahko odloči, da bo svoje poročilo ali njegovo redigirano različico dala na voljo javnosti.
  1. Države članice zagotovijo, da upravljalni organi bistvenih in pomembnih subjektov odobrijo ukrepe za obvladovanje tveganja kibernetske varnosti, ki jih sprejmejo ti subjekti zaradi izpolnjevanja člena 21, nadzorujejo njegovo izvajanje in so lahko odgovorni za kršitve tega člena s strani subjektov.
      Uporaba tega odstavka ne posega v nacionalno zakonodajo v zvezi s pravili o odgovornosti, ki se uporabljajo za javne institucije, kot tudi v odgovornost javnih uslužbencev ter izvoljenih ali imenovanih uradnikov.
  2. Države članice zagotovijo, da se morajo člani upravnih organov bistvenih in pomembnih subjektov udeležiti usposabljanja, ter spodbujajo bistvene in pomembne subjekte, da svojim zaposlenim redno nudijo podobno usposabljanje, da pridobijo dovolj znanja in spretnosti. da jim omogoči prepoznavanje tveganj in oceno praks obvladovanja tveganj kibernetske varnosti ter njihov vpliv na storitve, ki jih zagotavlja subjekt.

Poglavje 4 – Ukrepi za obvladovanje tveganja kibernetske varnosti in obveznosti poročanja

  1. Države članice zagotovijo, da upravljalni organi bistvenih in pomembnih subjektov odobrijo ukrepe za obvladovanje tveganja kibernetske varnosti, ki jih sprejmejo ti subjekti zaradi izpolnjevanja člena 21, nadzorujejo njegovo izvajanje in so lahko odgovorni za kršitve tega člena s strani subjektov.
      Uporaba tega odstavka ne posega v nacionalno zakonodajo v zvezi s pravili o odgovornosti, ki se uporabljajo za javne institucije, kot tudi v odgovornost javnih uslužbencev ter izvoljenih ali imenovanih uradnikov.
  2. Države članice zagotovijo, da se morajo člani upravnih organov bistvenih in pomembnih subjektov udeležiti usposabljanja, ter spodbujajo bistvene in pomembne subjekte, da svojim zaposlenim redno nudijo podobno usposabljanje, da pridobijo dovolj znanja in spretnosti. da jim omogoči prepoznavanje tveganj in oceno praks obvladovanja tveganj kibernetske varnosti ter njihov vpliv na storitve, ki jih zagotavlja subjekt.
  1. Države članice zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih ti subjekti uporabljajo za svoje delovanje ali za zagotavljanje svojih storitev, ter za preprečevanje ali zmanjšati vpliv incidentov na prejemnike njihovih storitev in na druge storitve.

    Ob upoštevanju najsodobnejših in po potrebi ustreznih evropskih in mednarodnih standardov ter stroškov izvajanja ukrepi iz prvega pododstavka zagotavljajo ustrezno raven varnosti omrežij in informacijskih sistemov. na povzročena tveganja. Pri ocenjevanju sorazmernosti teh ukrepov se ustrezno upoštevajo stopnja izpostavljenosti subjekta tveganjem, velikost subjekta in verjetnost pojava incidentov ter njihova resnost, vključno z njihovim družbenim in gospodarskim učinkom.

  2. Ukrepi iz odstavka 1 temeljijo na pristopu vseh nevarnosti, katerega namen je zaščititi omrežne in informacijske sisteme ter fizično okolje teh sistemov pred incidenti in vključujejo vsaj naslednje:
    1. politike analize tveganja in varnosti informacijskega sistema;
    2. obravnavanje incidentov;
    3. neprekinjeno poslovanje, kot je upravljanje varnostnih kopij in obnova po katastrofi ter krizno upravljanje;
    4. varnost dobavne verige, vključno z varnostnimi vidiki v zvezi z odnosi med vsakim subjektom in njegovimi neposrednimi dobavitelji ali ponudniki storitev;
    5. varnost pri pridobivanju, razvoju in vzdrževanju omrežij in informacijskih sistemov, vključno z obravnavanjem ranljivosti in razkritjem;
    6. politike in postopki za ocenjevanje učinkovitosti ukrepov za obvladovanje tveganja kibernetske varnosti;
    7. osnovne prakse kibernetske higiene in usposabljanje o kibernetski varnosti;
    8. politike in postopki v zvezi z uporabo kriptografije in, kjer je primerno, šifriranja;
    9. varnost človeških virov, politike nadzora dostopa in upravljanje sredstev;
    10. uporaba večfaktorske avtentikacije ali rešitev za stalno avtentikacijo, zaščitene glasovne, video in besedilne komunikacije ter zaščitenih komunikacijskih sistemov v sili znotraj subjekta, kjer je to primerno.
  3. Države članice zagotovijo, da subjekti pri odločanju, kateri ukrepi iz točke (d) odstavka 2 tega člena so ustrezni, upoštevajo ranljivosti, značilne za vsakega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost izdelkov in praks kibernetske varnosti. njihovih dobaviteljev in ponudnikov storitev, vključno z njihovimi varnimi razvojnimi postopki. Države članice tudi zagotovijo, da morajo subjekti pri odločanju, kateri ukrepi iz navedene točke so ustrezni, upoštevati rezultate usklajenih ocen varnostnih tveganj kritičnih dobavnih verig, izvedenih v skladu s členom 22(1).
  4. Države članice zagotovijo, da subjekt, ki ugotovi, da ne izpolnjuje ukrepov iz odstavka 2, brez nepotrebnega odlašanja sprejme vse potrebne, ustrezne in sorazmerne korektivne ukrepe.
  5. Komisija do 17. oktobra 2024 sprejme izvedbene akte, ki določajo tehnične in metodološke zahteve za ukrepe iz odstavka 2 v zvezi s ponudniki storitev DNS, registri imen TLD, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, dostavo vsebin ponudniki omrežij, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, ponudniki spletnih tržnic, spletnih iskalnikov in platform storitev socialnega mreženja ter ponudniki storitev zaupanja.

    Komisija lahko sprejme izvedbene akte, ki določajo tehnične in metodološke zahteve ter po potrebi sektorske zahteve za ukrepe iz odstavka 2 v zvezi z bistvenimi in pomembnimi subjekti, razen tistih iz prvega pododstavka tega odstavek.

    Pri pripravi izvedbenih aktov iz prvega in drugega pododstavka tega odstavka Komisija v največji možni meri upošteva evropske in mednarodne standarde ter ustrezne tehnične specifikacije. Komisija si izmenjuje nasvete in sodeluje s skupino za sodelovanje in ENISA pri osnutkih izvedbenih aktov v skladu s točko (e) člena 14(4).

    Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 39(2).

  1. Skupina za sodelovanje lahko v sodelovanju s Komisijo in ENISA izvaja usklajene ocene varnostnega tveganja za posebne kritične storitve IKT, sisteme IKT ali dobavne verige izdelkov IKT, pri čemer upošteva tehnične in, kjer je ustrezno, netehnične dejavnike tveganja.
  2. Komisija po posvetovanju s skupino za sodelovanje in ENISA ter po potrebi z ustreznimi zainteresiranimi stranmi opredeli posebne kritične storitve IKT, sisteme IKT ali izdelke IKT, ki so lahko predmet usklajene ocene varnostnega tveganja iz odstavka 1.
  1. Vsaka država članica zagotovi, da bistveni in pomembni subjekti brez nepotrebnega odlašanja obvestijo svojo skupino CSIRT ali, kjer je ustrezno, svoj pristojni organ v skladu z odstavkom 4 o vsakem incidentu, ki pomembno vpliva na zagotavljanje njihovih storitev, kot je navedeno v odstavku 4. 3 (pomemben dogodek). Kadar je primerno, zadevni subjekti brez nepotrebnega odlašanja obvestijo prejemnike njihovih storitev o pomembnih dogodkih, ki bi lahko negativno vplivali na zagotavljanje teh storitev. Vsaka država članica zagotovi, da ti subjekti med drugim poročajo o kakršnih koli informacijah, ki skupini CSIRT ali, kjer je primerno, pristojnemu organu omogočajo, da ugotovi kakršen koli čezmejni vpliv incidenta. Zgolj dejanje priglasitve priglasitelja ne pomeni povečane odgovornosti.

    Kadar zadevni subjekti obvestijo pristojni organ o pomembnem incidentu v skladu s prvim pododstavkom, država članica zagotovi, da navedeni pristojni organ po prejemu obvestilo posreduje skupini CSIRT.

    V primeru pomembnega čezmejnega ali medsektorskega incidenta države članice zagotovijo, da njihove enotne kontaktne točke pravočasno prejmejo ustrezne informacije, sporočene v skladu z odstavkom 4.

  2. Kadar je primerno, države članice zagotovijo, da bistveni in pomembni subjekti brez nepotrebnega odlašanja sporočijo prejemnikom svojih storitev, ki bi jih lahko prizadela resna kibernetska grožnja, vse ukrepe ali pravna sredstva, ki jih lahko ti prejemniki sprejmejo kot odgovor na to grožnjo. Kadar je primerno, subjekti te prejemnike obvestijo tudi o sami pomembni kibernetski grožnji.
  3. Incident se šteje za pomembnega, če:
    1. je povzročil ali bi lahko povzročil resno motnjo delovanja storitev ali finančno izgubo za zadevni subjekt;
    2. je prizadelo ali bi lahko prizadelo druge fizične ali pravne osebe s povzročitvijo velike materialne ali nematerialne škode.
  4. Države članice zagotovijo, da za namen obveščanja iz odstavka 1 zadevni subjekti skupini CSIRT ali, kjer je primerno, pristojnemu organu predložijo:
    1. brez nepotrebnega odlašanja in v vsakem primeru v 24 urah po tem, ko ste izvedeli za pomemben incident, zgodnje opozorilo, ki po potrebi navaja, ali obstaja sum, da so pomemben incident povzročila nezakonita ali zlonamerna dejanja ali bi lahko imel čezmejno vpliv;
    2. brez nepotrebnega odlašanja in v vsakem primeru v 72 urah po tem, ko ste izvedeli za pomemben incident, obvestilo o incidentu, ki po potrebi posodobi informacije iz točke (a) in navede začetno oceno pomembnega incidenta, vključno z njegovimi resnost in učinek ter, če so na voljo, kazalnike ogroženosti;
    3. na zahtevo skupine CSIRT ali po potrebi pristojnega organa vmesno poročilo o ustreznih posodobitvah stanja;
    4. končno poročilo najpozneje en mesec po predložitvi obvestila o incidentu iz točke (b), vključno z naslednjim:
        1. podroben opis incidenta, vključno z njegovo resnostjo in vplivom;
        2. vrsta grožnje ali glavni vzrok, ki je verjetno sprožil incident;
        3. uporabljeni in tekoči omilitveni ukrepi;
        4. če je primerno, čezmejni vpliv incidenta;
    5. v primeru trajnega incidenta v času predložitve končnega poročila iz točke (d) države članice zagotovijo, da zadevni subjekti takrat predložijo poročilo o napredku in končno poročilo v enem mesecu po njihovi obravnavi incident.

    Z odstopanjem od prvega pododstavka, točka (b), ponudnik skrbniških storitev v zvezi s pomembnimi incidenti, ki vplivajo na zagotavljanje njegovih skrbniških storitev, obvesti skupino CSIRT ali, kjer je primerno, pristojni organ, ne da bi nepotrebnega odlašanja in v vsakem primeru v 24 urah po tem, ko je izvedel za pomemben incident.

  5. CSIRT ali pristojni organ brez nepotrebnega odlašanja in kjer je to mogoče v 24 urah po prejemu zgodnjega opozorila iz točke (a) odstavka 4 zagotovi odgovor priglasitelju, vključno z začetnimi povratnimi informacijami o pomembnem incidentu in, na zahtevo subjekta smernice ali operativni nasveti o izvajanju možnih omilitvenih ukrepov. Če skupina CSIRT ni prvi prejemnik obvestila iz odstavka 1, smernice zagotovi pristojni organ v sodelovanju s skupino CSIRT. CSIRT zagotovi dodatno tehnično podporo, če to zahteva zadevni subjekt. Kadar obstaja sum, da je pomemben incident kriminalne narave, skupina CSIRT ali pristojni organ zagotovi tudi smernice o poročanju pomembnega incidenta organom kazenskega pregona.
  6. Kadar je primerno in zlasti kadar pomemben incident zadeva dve ali več držav članic, skupina CSIRT, pristojni organ ali enotna kontaktna točka brez nepotrebnega odlašanja obvesti druge prizadete države članice in agencijo ENISA o pomembnem incidentu. Takšne informacije vključujejo vrsto informacij, prejetih v skladu z odstavkom 4. Pri tem skupina CSIRT, pristojni organ ali enotna kontaktna točka v skladu z zakonodajo Unije ali nacionalno zakonodajo zaščiti tudi varnost in poslovne interese subjekta. kot zaupnost posredovanih informacij.
  7. Kadar je ozaveščanje javnosti potrebno za preprečitev pomembnega incidenta ali obravnavo tekočega pomembnega incidenta ali če je razkritje pomembnega incidenta sicer v javnem interesu, CSIRT države članice ali, kjer je ustrezno, njen pristojni organ in, kjer je primerno, , skupine CSIRT ali pristojni organi drugih zadevnih držav članic lahko po posvetovanju z zadevnim subjektom obvestijo javnost o pomembnem incidentu ali od subjekta zahtevajo, da to stori.
  8. Na zahtevo skupine CSIRT ali pristojnega organa enotna kontaktna točka posreduje obvestila, prejeta v skladu z odstavkom 1, enotnim kontaktnim točkam drugih prizadetih držav članic.
  9. Enotna kontaktna točka ENISA vsake tri mesece predloži zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o pomembnih incidentih, incidentih, kibernetskih grožnjah in skorajšnjih nesrečah, o katerih je obveščena v skladu z odstavkom 1 tega člena in členom 30. Da bi prispevali za zagotavljanje primerljivih informacij lahko ENISA sprejme tehnične smernice o parametrih informacij, ki jih je treba vključiti v zbirno poročilo. ENISA obvesti skupino za sodelovanje in mrežo skupin CSIRT o svojih ugotovitvah glede prejetih obvestil vsakih šest mesecev.
  10. Skupine CSIRT ali, kjer je ustrezno, pristojni organi pristojnim organom v skladu z Direktivo (EU) 2022/2557 zagotovijo informacije o pomembnih incidentih, incidentih, kibernetskih grožnjah in skorajšnjih nesrečah, o katerih so obveščeni v skladu z odstavkom 1 tega člena in členom 30 do subjekti, opredeljeni kot kritični subjekti v skladu z Direktivo (EU) 2022/2557.
  11. Komisija lahko sprejme izvedbene akte, ki podrobneje določajo vrsto informacij, obliko in postopek priglasitve, predložene v skladu z odstavkom 1 tega člena in členom 30, ter sporočila, predložene v skladu z odstavkom 2 tega člena.

    Komisija bo do 17. oktobra 2024 v zvezi s ponudniki storitev DNS, registri imen TLD, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebin, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev ter ponudniki spletnih tržnicah, spletnih iskalnikih in platformah storitev socialnega mreženja sprejme izvedbene akte, ki podrobneje določajo primere, v katerih se incident šteje za pomembnega, kot je navedeno v odstavku 3. Komisija lahko sprejme take izvedbene akte v zvezi z drugimi bistvenimi in pomembne entitete.

    Komisija si izmenjuje nasvete in sodeluje s skupino za sodelovanje pri osnutkih izvedbenih aktov iz prvega in drugega pododstavka tega odstavka v skladu s točko (e) člena 14(4).

    Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 39(2).

  1. Za dokazovanje skladnosti s posebnimi zahtevami člena 21 lahko države članice od bistvenih in pomembnih subjektov zahtevajo, da uporabljajo določene izdelke IKT, storitve IKT in postopke IKT, ki jih je razvil bistveni ali pomemben subjekt ali jih nabavijo tretje osebe, ki so certificirani v skladu z evropskim certifikacijske sheme za kibernetsko varnost, sprejete v skladu s členom 49 Uredbe (EU) 2019/881. Poleg tega države članice spodbujajo bistvene in pomembne subjekte k uporabi kvalificiranih skrbniških storitev.
  2. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 38 za dopolnitev te direktive z določitvijo, za katere kategorije bistvenih in pomembnih subjektov se zahteva, da uporabljajo nekatere certificirane izdelke IKT, storitve IKT in postopke IKT ali pridobijo certifikat v skladu z Evropska certifikacijska shema za kibernetsko varnost, sprejeta v skladu s členom 49 Uredbe (EU) 2019/881. Ti delegirani akti se sprejmejo, kadar so bile ugotovljene nezadostne ravni kibernetske varnosti, in vključujejo obdobje izvajanja.

    Pred sprejetjem takih delegiranih aktov Komisija izvede oceno učinka in opravi posvetovanja v skladu s členom 56 Uredbe (EU) 2019/881.

  3. Če ni na voljo ustrezne evropske certifikacijske sheme za kibernetsko varnost za namene odstavka 2 tega člena, lahko Komisija po posvetovanju s skupino za sodelovanje in evropsko certifikacijsko skupino za kibernetsko varnost zahteva, da ENISA pripravi kandidatno shemo v skladu s členom 48(2) Uredba (EU) 2019/881.
  1. Za spodbujanje konvergentnega izvajanja člena 21(1) in (2) države članice brez vsiljevanja ali diskriminacije v korist uporabe določene vrste tehnologije spodbujajo uporabo ustreznih evropskih in mednarodnih standardov in tehničnih specifikacij. varnosti omrežij in informacijskih sistemov.
  2. ENISA v sodelovanju z državami članicami in po potrebi po posvetovanju z ustreznimi zainteresiranimi stranmi pripravi nasvete in smernice glede tehničnih področij, ki jih je treba upoštevati v zvezi z odstavkom 1, ter glede že obstoječih standardov, vključno z nacionalnimi standardi, ki bi omogočajo pokritje teh območij.

Poglavje 5 – Pristojnost in registracija

  1. Za subjekte, ki spadajo na področje uporabe te direktive, se šteje, da spadajo pod jurisdikcijo države članice, v kateri imajo sedež, razen v primeru:
    1. ponudniki javnih elektronskih komunikacijskih omrežij ali ponudniki javno dostopnih elektronskih komunikacijskih storitev, za katere se šteje, da spadajo v pristojnost države članice, v kateri opravljajo svoje storitve;
    2. Ponudniki storitev DNS, registri imen TLD, subjekti, ki zagotavljajo storitve registracije domenskih imen, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebine, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, kot tudi ponudniki spletnih tržnic, spletnega iskanja mehanizmov ali platform storitev družabnih omrežij, za katere se šteje, da spadajo v pristojnost države članice, v kateri imajo glavni sedež v Uniji v skladu z odstavkom 2;
    3. subjekti javne uprave, za katere se šteje, da spadajo pod pristojnost države članice, ki jih je ustanovila.
  2. Za namene te direktive se šteje, da ima subjekt iz točke (b) odstavka 1 glavni sedež v Uniji v državi članici, v kateri se pretežno sprejemajo odločitve v zvezi z ukrepi za obvladovanje tveganja kibernetske varnosti. . Če takšne države članice ni mogoče določiti ali če se takšne odločitve ne sprejmejo v Uniji, se šteje, da je glavni sedež v državi članici, v kateri se izvajajo operacije kibernetske varnosti. Če takšne države članice ni mogoče določiti, se šteje, da je glavni sedež v državi članici, v kateri ima zadevni subjekt sedež z največjim številom zaposlenih v Uniji.
  3. Če subjekt iz točke (b) odstavka 1 nima sedeža v Uniji, vendar ponuja storitve v Uniji, imenuje predstavnika v Uniji. Zastopnik ima sedež v eni od tistih držav članic, kjer se storitve ponujajo. Šteje se, da tak subjekt spada pod jurisdikcijo države članice, v kateri ima zastopnik sedež. Če v Uniji ni predstavnika, imenovanega v skladu s tem odstavkom, lahko katera koli država članica, v kateri subjekt opravlja storitve, sproži pravne postopke proti subjektu zaradi kršitve te direktive.
  4. Imenovanje zastopnika s strani subjekta iz točke (b) odstavka 1 ne posega v pravne postopke, ki bi se lahko sprožili proti subjektu samemu.
  5. Države članice, ki so prejele zahtevo za medsebojno pomoč v zvezi s subjektom iz točke (b) odstavka 1, lahko v mejah te zahteve sprejmejo ustrezne nadzorne in izvršilne ukrepe v zvezi z zadevnim subjektom, ki zagotavlja storitve ali ki ima omrežje in informacijski sistem na svojem ozemlju.
  1. ENISA ustvari in vzdržuje register ponudnikov storitev DNS, registrov imen TLD, subjektov, ki zagotavljajo storitve registracije domenskih imen, ponudnikov storitev računalništva v oblaku, ponudnikov storitev podatkovnih centrov, ponudnikov omrežij za dostavo vsebine, ponudnikov upravljanih storitev, ponudnikov upravljanih varnostnih storitev, kot tudi ponudniki spletnih tržnic, spletnih iskalnikov in platform storitev socialnega mreženja na podlagi informacij, prejetih od enotnih kontaktnih točk v skladu z odstavkom 4. ENISA pristojnim organom na zahtevo dovoli dostop do tega registra, medtem ko zagotavljanje zaščite zaupnosti informacij, kjer je primerno.
  2. Države članice od subjektov iz odstavka 1 zahtevajo, da do 17. januarja 2025 pristojnim organom predložijo naslednje informacije:
    1. ime subjekta;
    2. ustrezen sektor, podsektor in vrsto subjekta iz Priloge I ali II, kjer je primerno;
    3. naslov glavnega sedeža subjekta in njegovih drugih pravnih sedežev v Uniji ali, če nima sedeža v Uniji, njegovega predstavnika, imenovanega v skladu s členom 26(3);
    4. posodobljene kontaktne podatke, vključno z e-poštnimi naslovi in telefonskimi številkami subjekta in po potrebi njegovega predstavnika, imenovanega v skladu s členom 26(3);
    5. države članice, v katerih subjekt opravlja storitve; in
    6. razpone IP subjekta.
  3. Države članice zagotovijo, da subjekti iz odstavka 1 nemudoma in v vsakem primeru v treh mesecih od datuma spremembe obvestijo pristojni organ o vseh spremembah informacij, ki so jih predložili v skladu z odstavkom 2.
  4. Po prejemu informacij iz odstavkov 2 in 3, razen tistih iz točke (f) odstavka 2, jih enotna kontaktna točka zadevne države članice brez nepotrebnega odlašanja posreduje ENISI.
  5. Kadar je primerno, se informacije iz odstavkov 2 in 3 tega člena predložijo prek nacionalnega mehanizma iz četrtega pododstavka člena 3(4).
  1. Da bi prispevale k varnosti, stabilnosti in odpornosti DNS, države članice zahtevajo, da registri imen TLD in subjekti, ki zagotavljajo storitve registracije domenskih imen, zbirajo in vzdržujejo točne in popolne podatke o registraciji domenskih imen v namenski zbirki podatkov s potrebno skrbnostjo v skladu z zakonodajo Unije o varstvu podatkov v zvezi s podatki, ki so osebni podatki.
  2. Za namene odstavka 1 države članice zahtevajo, da zbirka podatkov o registraciji domenskih imen vsebuje potrebne informacije za identifikacijo imetnikov domenskih imen in kontaktnih točk, ki upravljajo domenska imena pod vrhnjimi domenami, in vzpostavitev stika z njimi. Te informacije vključujejo:
    1. ime domene;
    2. datum registracije;
    3. ime prijavitelja, kontaktni elektronski naslov in telefonsko številko;
    4. kontaktni e-poštni naslov in telefonsko številko kontaktne točke, ki upravlja ime domene, v primeru, da se razlikujeta od naslova registranta.
  3. Države članice zahtevajo, da imajo registri imen TLD in subjekti, ki zagotavljajo storitve registracije domenskih imen, vzpostavljene politike in postopke, vključno s postopki preverjanja, ki zagotavljajo, da zbirke podatkov iz odstavka 1 vključujejo točne in popolne informacije. Države članice zahtevajo, da so takšne politike in postopki javno dostopni.
  4. Države članice od registrov imen TLD in subjektov, ki zagotavljajo storitve registracije domenskih imen, zahtevajo, da brez nepotrebnega odlašanja po registraciji domenskega imena javno objavijo podatke o registraciji domenskega imena, ki niso osebni podatki.
  5. Države članice zahtevajo, da registri imen vrhnjih domen in subjekti, ki zagotavljajo storitve registracije domenskih imen, zagotovijo dostop do določenih podatkov o registraciji domenskih imen na zakonite in ustrezno utemeljene zahteve zakonitih prosilcev za dostop v skladu z zakonodajo Unije o varstvu podatkov. Države članice zahtevajo, da registri imen TLD in subjekti, ki zagotavljajo storitve registracije domenskih imen, odgovorijo brez nepotrebnega odlašanja in v vsakem primeru v 72 urah po prejemu kakršnih koli zahtev za dostop. Države članice zahtevajo, da so politike in postopki v zvezi z razkritjem takih podatkov javno dostopni.
  6. Skladnost z obveznostmi iz odstavkov 1 do 5 ne sme povzročiti podvajanja zbiranja podatkov o registraciji domenskega imena. V ta namen države članice od registrov imen TLD in subjektov, ki zagotavljajo storitve registracije domenskih imen, zahtevajo medsebojno sodelovanje.

Poglavje 6 – Izmenjava informacij

  1. Države članice zagotovijo, da lahko subjekti, ki spadajo na področje uporabe te direktive, in po potrebi drugi subjekti, ki ne spadajo na področje uporabe te direktive, prostovoljno izmenjujejo ustrezne informacije o kibernetski varnosti med seboj, vključno z informacijami v zvezi s kibernetskimi grožnjami, blizu zgrešitve, ranljivosti, tehnike in postopki, indikatorji ogroženosti, kontradiktorne taktike, informacije o posameznih akterjih groženj, opozorila o kibernetski varnosti in priporočila glede konfiguracije orodij za kibernetsko varnost za odkrivanje kibernetskih napadov, kjer taka izmenjava informacij:
    1. je namenjen preprečevanju, odkrivanju, odzivanju na incidente ali okrevanju po incidentih ali ublažitvi njihovega vpliva;
    2. povečuje raven kibernetske varnosti, zlasti z ozaveščanjem v zvezi s kibernetskimi grožnjami, omejevanjem ali oviranjem zmožnosti širjenja takšnih groženj, podpiranjem vrste obrambnih zmogljivosti, sanacijo in razkrivanjem ranljivosti, tehnikami za odkrivanje groženj, zadrževanjem in preprečevanjem, strategijami ublažitve. ali stopenj odzivanja in obnovitve ali spodbujanje skupnih raziskav kibernetskih groženj med javnimi in zasebnimi subjekti.
  2. Države članice zagotovijo, da izmenjava informacij poteka znotraj skupnosti bistvenih in pomembnih subjektov ter, kjer je ustrezno, njihovih dobaviteljev ali ponudnikov storitev. Takšna izmenjava se izvaja prek dogovorov o izmenjavi informacij o kibernetski varnosti glede na potencialno občutljivo naravo izmenjenih informacij.
  3. Države članice olajšajo vzpostavitev dogovorov o izmenjavi informacij o kibernetski varnosti iz odstavka 2 tega člena. Takšni dogovori lahko določajo operativne elemente, vključno z uporabo namenskih platform IKT in orodij za avtomatizacijo, vsebino in pogoje dogovorov o izmenjavi informacij. Pri določanju podrobnosti o udeležbi javnih organov v takšnih ureditvah lahko države članice določijo pogoje glede informacij, ki jih dajo na voljo pristojni organi ali skupine CSIRT. Države članice nudijo pomoč pri uporabi takšnih ureditev v skladu s svojimi politikami iz člen 7(2), točka (h).
  4. Države članice zagotovijo, da bistveni in pomembni subjekti uradno obvestijo pristojne organe o svoji udeležbi v dogovorih o izmenjavi informacij o kibernetski varnosti iz odstavka 2, ko sklenejo take dogovore, ali, kot je primerno, o svojem umiku iz takšnih dogovorov po umiku. začne veljati.
  5. ENISA zagotovi pomoč pri vzpostavitvi dogovorov o izmenjavi informacij o kibernetski varnosti iz odstavka 2 z izmenjavo najboljših praks in zagotavljanjem smernic.
  1. Države članice zagotovijo, da se poleg obveznosti obveščanja iz člena 23 lahko priglasitve prostovoljno predložijo skupinam CSIRT ali, kjer je primerno, pristojnim organom:
    1. bistvene in pomembne subjekte v zvezi z incidenti, kibernetskimi grožnjami in skorajšnjimi nesrečami;
    2. subjekti, razen tistih iz točke (a), ne glede na to, ali spadajo v področje uporabe te direktive, v zvezi s pomembnimi incidenti, kibernetskimi grožnjami in skorajšnjimi nesrečami.
  2. Države članice obdelajo obvestila iz odstavka 1 tega člena v skladu s postopkom iz člena 23. Države članice lahko dajo prednost obdelavi obveznih obvestil pred prostovoljnimi obvestili.

    Po potrebi skupine CSIRT in po potrebi pristojni organi zagotovijo enotne kontaktne točke z informacijami o obvestilih, prejetih v skladu s tem členom, pri čemer zagotovijo zaupnost in ustrezno zaščito informacij, ki jih zagotovi priglasitelj. Brez poseganja v preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj prostovoljna prijava ne sme povzročiti naložitve nobenih dodatnih obveznosti prijavitelju, ki mu ne bi veljale, če prijave ne bi predložil.

Poglavje 7 – Nadzor in izvrševanje

  1. Države članice zagotovijo, da njihovi pristojni organi učinkovito nadzorujejo in sprejmejo potrebne ukrepe za zagotovitev skladnosti s to direktivo.
  2. Države članice lahko svojim pristojnim organom dovolijo, da prednostno razvrstijo naloge nadzora. Takšna prednostna razvrstitev temelji na pristopu, ki temelji na tveganju. V ta namen lahko pristojni organi pri izvajanju svojih nadzornih nalog iz členov 32 in 33 vzpostavijo nadzorne metodologije, ki omogočajo prednostno razvrščanje takšnih nalog po pristopu, ki temelji na tveganju.
  3. Pristojni organi tesno sodelujejo z nadzornimi organi v skladu z Uredbo (EU) 2016/679, ko obravnavajo incidente, ki povzročijo kršitve varstva osebnih podatkov, brez poseganja v pristojnosti in naloge nadzornih organov v skladu z navedeno uredbo.
  4. Brez poseganja v nacionalne zakonodajne in institucionalne okvire države članice zagotovijo, da imajo pristojni organi pri nadzoru skladnosti subjektov javne uprave s to direktivo in uvedbi izvršilnih ukrepov v zvezi s kršitvami te direktive ustrezna pooblastila za izvajanje take naloge so operativno neodvisne od nadzorovanih subjektov javne uprave. Države članice se lahko odločijo za uvedbo ustreznih, sorazmernih in učinkovitih nadzornih in izvršilnih ukrepov v zvezi s temi subjekti v skladu z nacionalnimi zakonodajnimi in institucionalnimi okviri.
  1. Države članice zagotovijo, da so nadzorni ali izvršilni ukrepi, naloženi bistvenim subjektom v zvezi z obveznostmi, določenimi v tej direktivi, učinkoviti, sorazmerni in odvračilni, ob upoštevanju okoliščin vsakega posameznega primera.
  2. Države članice zagotovijo, da imajo pristojni organi pri izvajanju svojih nadzornih nalog v zvezi z bistvenimi subjekti pooblastila, da za te subjekte zahtevajo vsaj:
    1. inšpekcije na kraju samem in nadzor izven kraja, vključno z naključnimi pregledi, ki jih izvajajo usposobljeni strokovnjaki;
    2. redne in ciljne varnostne revizije, ki jih izvaja neodvisen organ ali pristojni organ;
    3. ad hoc revizije, tudi kadar je to utemeljeno na podlagi pomembnega incidenta ali kršitve te direktive s strani bistvenega subjekta;
    4. varnostne preglede, ki temeljijo na objektivnih, nediskriminatornih, poštenih in preglednih merilih za oceno tveganja, po potrebi v sodelovanju z zadevnim subjektom;
    5. zahteve po informacijah, potrebnih za oceno ukrepov za obvladovanje tveganja kibernetske varnosti, ki jih je sprejel zadevni subjekt, vključno z dokumentiranimi politikami kibernetske varnosti, kot tudi skladnosti z obveznostjo predložitve informacij pristojnim organom v skladu z 27. člen;
    6. zahteve za dostop do podatkov, dokumentov in informacij, potrebnih za opravljanje njihovih nadzorniških nalog;
    7. zahteve za dokaze o izvajanju politik kibernetske varnosti, kot so rezultati varnostnih revizij, ki jih je izvedel kvalificirani revizor, in ustrezni osnovni dokazi.

    Ciljne revizije varnosti iz prvega pododstavka, točka (b), temeljijo na ocenah tveganja, ki jih izvede pristojni organ ali revidirani subjekt, ali na drugih razpoložljivih informacijah v zvezi s tveganjem.

    Rezultati katere koli ciljne varnostne revizije se dajo na voljo pristojnemu organu. Stroške takšne ciljne varnostne revizije, ki jo izvede neodvisni organ, krije revidiran subjekt, razen v ustrezno utemeljenih primerih, ko pristojni organ odloči drugače.

  3. Pristojni organi pri izvajanju svojih pooblastil iz točke (e), (f) ali (g) odstavka 2 navedejo namen zahteve in natančno opredelijo zahtevane informacije.
  4.  Države članice zagotovijo, da imajo njihovi pristojni organi pri izvajanju svojih izvršilnih pooblastil v zvezi z bistvenimi subjekti pooblastila vsaj za:
    1. izdaja opozorila o kršitvah te direktive s strani zadevnih subjektov;
    2. sprejme zavezujoča navodila, tudi v zvezi z ukrepi, potrebnimi za preprečitev ali odpravo incidenta, ter roke za izvajanje teh ukrepov in za poročanje o njihovem izvajanju ali odredbo, s katero od zadevnih subjektov zahteva, da odpravijo ugotovljene pomanjkljivosti oz. kršitve te direktive;
    3. zadevnim subjektom odredi, naj prenehajo z ravnanjem, ki krši to direktivo, in opustijo ponavljanje tega ravnanja;
    4. zadevnim subjektom odredi, naj zagotovijo, da so njihovi ukrepi za obvladovanje tveganja kibernetske varnosti v skladu s členom 21 ali da izpolnijo obveznosti poročanja iz člena 23, na določen način in v določenem roku;
    5. zadevnim subjektom naloži, da obvestijo fizične ali pravne osebe, v zvezi s katerimi opravljajo storitve ali izvajajo dejavnosti, na katere bi lahko vplivala večja kibernetska grožnja, o naravi grožnje ter o morebitnih zaščitnih ali sanacijskih ukrepih, ki lahko sprejete s strani teh fizičnih ali pravnih oseb kot odgovor na to grožnjo;
    6. zadevnim subjektom naloži, da v razumnem roku izvedejo priporočila, dana na podlagi revizije varnosti;
    7. imenuje uradnika za spremljanje z natančno opredeljenimi nalogami za določeno obdobje, da nadzira skladnost zadevnih subjektov s členoma 21 in 23;
    8. zadevnim subjektom odredi, da na določen način objavijo vidike kršitev te direktive;
    9. naloži ali zahteva, da ustrezni organi, sodišča ali razsodišča v skladu z nacionalno zakonodajo naložijo upravno globo v skladu s členom 34 poleg katerega koli ukrepa iz točk (a) do (h) tega odstavka .
  5. Kadar so izvršilni ukrepi, sprejeti v skladu s točkami (a) do (d) in (f) odstavka 4, neučinkoviti, države članice zagotovijo, da imajo njihovi pristojni organi pooblastila za določitev roka, do katerega se od bistvenega subjekta zahteva, da sprejme potrebne ukrepe za odpravo pomanjkljivosti ali za izpolnitev zahtev teh organov. Če se zahtevani ukrep ne izvede v določenem roku, države članice zagotovijo, da so njihovi pristojni organi pooblaščeni, da:
    1. začasno prekine ali zahteva certifikacijski ali avtorizacijski organ ali sodišče ali razsodišče v skladu z nacionalno zakonodajo, da začasno prekine certifikat ali avtorizacijo v zvezi z delom ali vsemi zadevnimi storitvami ali dejavnostmi, ki jih izvaja bistveni subjekt;
    2. zahtevati, da ustrezni organi, sodišča ali razsodišča v skladu z nacionalno zakonodajo začasno prepovejo kateri koli fizični osebi, ki je odgovorna za opravljanje vodstvenih odgovornosti na ravni glavnega izvršnega direktorja ali zakonitega zastopnika v bistvenem subjektu, opravljanje vodstvenih funkcij v tem subjektu.

    Začasne opustitve ali prepovedi, naložene v skladu s tem odstavkom, se uporabljajo le, dokler zadevni subjekt ne sprejme potrebnih ukrepov za odpravo pomanjkljivosti ali izpolnitev zahtev pristojnega organa, za katerega so bili uporabljeni takšni izvršilni ukrepi. Za uvedbo takšnih začasnih opustitev ali prepovedi veljajo ustrezna postopkovna jamstva v skladu s splošnimi načeli prava Unije in Listine, vključno s pravico do učinkovitega pravnega sredstva in poštenega sojenja, domnevo nedolžnosti in pravicami obramba.

    Izvršilni ukrepi iz tega odstavka se ne uporabljajo za subjekte javne uprave, za katere velja ta direktiva.

  6. Države članice zagotovijo, da ima vsaka fizična oseba, ki je odgovorna ali deluje kot zakoniti zastopnik bistvenega subjekta na podlagi pooblastila za zastopanje, pooblastila za sprejemanje odločitev v njegovem imenu ali pooblastila za izvajanje nadzora nad njim, zagotoviti skladnost s to direktivo. Države članice zagotovijo, da je mogoče te fizične osebe obravnavati kot odgovorne za kršitev njihovih dolžnosti zagotavljanja skladnosti s to direktivo.

    Kar zadeva subjekte javne uprave, ta odstavek ne posega v nacionalno zakonodajo v zvezi z odgovornostjo javnih uslužbencev ter izvoljenih ali imenovanih uradnikov.

  7. Pri sprejemanju katerega koli izvršilnega ukrepa iz odstavka 4 ali 5 pristojni organi upoštevajo pravico do obrambe in upoštevajo okoliščine vsakega posameznega primera ter ustrezno upoštevajo najmanj:
    1. resnost kršitve in pomen kršenih določb, med drugim naslednje, ki v vsakem primeru predstavljajo resno kršitev:
      1. ponavljajoče se kršitve;
      2. nezmožnost obveščanja ali odpravljanja pomembnih incidentov;
      3. neodprava pomanjkljivosti po zavezujočih navodilih pristojnih organov;
      4. oviranje revizij ali dejavnosti spremljanja, ki jih odredi pristojni organ po ugotovitvi kršitve;
      5. zagotavljanje lažnih ali skrajno netočnih informacij v zvezi z ukrepi za obvladovanje tveganja kibernetske varnosti ali obveznostmi poročanja iz členov 21 in 23;
    2. trajanje kršitve;
    3. vse ustrezne prejšnje kršitve zadevnega subjekta;
    4. kakršno koli povzročeno materialno ali nematerialno škodo, vključno s kakršno koli finančno ali ekonomsko izgubo, učinki na druge storitve in število prizadetih uporabnikov;
    5. naklep ali malomarnost storilca kršitve;
    6. vse ukrepe, ki jih je subjekt sprejel za preprečitev ali ublažitev materialne ali nematerialne škode;
    7. kakršno koli spoštovanje odobrenih kodeksov ravnanja ali odobrenih mehanizmov certificiranja;
    8. stopnjo sodelovanja odgovornih fizičnih ali pravnih oseb s pristojnimi organi.
  8. Pristojni organi podrobno utemeljijo svoje izvršilne ukrepe. Preden pristojni organi sprejmejo take ukrepe, zadevne subjekte obvestijo o svojih predhodnih ugotovitvah. Tem subjektom tudi omogočijo razumen čas za predložitev pripomb, razen v ustrezno utemeljenih primerih, ko bi bilo sicer ovirano takojšnje ukrepanje za preprečevanje ali odzivanje na incidente.
  9. Države članice zagotovijo, da njihovi pristojni organi v skladu s to direktivo obvestijo ustrezne pristojne organe v isti državi članici v skladu z Direktivo (EU) 2022/2557, ko izvajajo svoja nadzorna in izvršilna pooblastila, katerih namen je zagotoviti skladnost subjekta, opredeljenega kot kritični subjekt v skladu z Direktivo (EU) 2022/2557 s to direktivo. Po potrebi lahko pristojni organi v skladu z Direktivo (EU) 2022/2557 od pristojnih organov v skladu s to direktivo zahtevajo, da izvajajo svoja nadzorna in izvršilna pooblastila v zvezi s subjektom, ki je opredeljen kot kritičen subjekt v skladu z Direktivo (EU) 2022/2557.
  10. Države članice zagotovijo, da njihovi pristojni organi v skladu s to direktivo sodelujejo z ustreznimi pristojnimi organi zadevne države članice v skladu z Uredbo (EU) 2022/2554. Države članice zlasti zagotovijo, da njihovi pristojni organi v skladu s to direktivo obvestijo forum za nadzor, ustanovljen v skladu s členom 32(1) Uredbe (EU) 2022/2554, ko izvajajo svoja nadzorna in izvršilna pooblastila, namenjena zagotavljanju skladnosti bistvenega subjekta, ki je v skladu z 31. členom Uredbe (EU) 2022/2554 imenovan za kritičnega tretjega ponudnika storitev IKT. s to direktivo.
  1. Ko države članice prejmejo dokaze, navedbe ali informacije, da pomemben subjekt domnevno ne ravna v skladu s to direktivo, zlasti členoma 21 in 23, zagotovijo, da pristojni organi po potrebi ukrepajo z naknadnimi nadzornimi ukrepi. Države članice zagotovijo, da so ti ukrepi učinkoviti, sorazmerni in odvračilni, ob upoštevanju okoliščin vsakega posameznega primera.
  2. Države članice zagotovijo, da imajo pristojni organi pri izvajanju svojih nadzornih nalog v zvezi s pomembnimi subjekti pooblastila, da te subjekte podvržejo vsaj:
    1. preglede na kraju samem in izven kraja ex post nadzor, ki ga izvajajo usposobljeni strokovnjaki;
    2. usmerjene varnostne revizije, ki jih izvede neodvisen organ ali pristojni organ;
    3. varnostne preglede, ki temeljijo na objektivnih, nediskriminatornih, poštenih in preglednih merilih za oceno tveganja, po potrebi v sodelovanju z zadevnim subjektom;
    4. zahteve po informacijah, potrebnih za oceno, ex post, ukrepe za obvladovanje tveganja kibernetske varnosti, ki jih je sprejel zadevni subjekt, vključno z dokumentiranimi politikami kibernetske varnosti, kot tudi skladnost z obveznostjo predložitve informacij pristojnim organom v skladu s členom 27;
    5. zahteve za dostop do podatkov, dokumentov in informacij, potrebnih za opravljanje njihovih nadzorniških nalog;
    6. zahteve za dokaze o izvajanju politik kibernetske varnosti, kot so rezultati varnostnih revizij, ki jih je izvedel kvalificirani revizor, in ustrezni osnovni dokazi.

    Ciljne revizije varnosti iz prvega pododstavka, točka (b), temeljijo na ocenah tveganja, ki jih izvede pristojni organ ali revidirani subjekt, ali na drugih razpoložljivih informacijah v zvezi s tveganjem.

    Rezultati katere koli ciljne varnostne revizije se dajo na voljo pristojnemu organu. Stroške takšne ciljne varnostne revizije, ki jo izvede neodvisni organ, krije revidiran subjekt, razen v ustrezno utemeljenih primerih, ko pristojni organ odloči drugače.

  3. Pristojni organi pri izvajanju svojih pooblastil iz točke (d), (e) ali (f) odstavka 2 navedejo namen zahteve in natančno opredelijo zahtevane informacije.
  4. Države članice zagotovijo, da imajo pristojni organi pri izvajanju svojih izvršilnih pooblastil v zvezi s pomembnimi subjekti pooblastila vsaj za:
    1. izdaja opozorila o kršitvah te direktive s strani zadevnih subjektov;
    2. sprejme zavezujoča navodila ali odredbo, s katero od zadevnih subjektov zahteva, da odpravijo ugotovljene pomanjkljivosti ali kršitev te direktive;
    3. zadevnim subjektom odredi, naj prenehajo z ravnanjem, ki krši to direktivo, in opustijo ponavljanje tega ravnanja;
    4. zadevnim subjektom odredi, naj zagotovijo, da so njihovi ukrepi za obvladovanje tveganja kibernetske varnosti v skladu s členom 21 ali da izpolnijo obveznosti poročanja iz člena 23, na določen način in v določenem roku;
    5. zadevnim subjektom naloži, da obvestijo fizične ali pravne osebe, v zvezi s katerimi opravljajo storitve ali izvajajo dejavnosti, na katere bi lahko vplivala večja kibernetska grožnja, o naravi grožnje ter o morebitnih zaščitnih ali sanacijskih ukrepih, ki lahko sprejete s strani teh fizičnih ali pravnih oseb kot odgovor na to grožnjo;
    6. zadevnim subjektom naloži, da v razumnem roku izvedejo priporočila, dana na podlagi revizije varnosti;
    7. zadevnim subjektom odredi, da na določen način objavijo vidike kršitev te direktive;
    8. naloži ali zahteva, da ustrezni organi, sodišča ali razsodišča v skladu z nacionalno zakonodajo naložijo upravno globo v skladu s členom 34 poleg katerega koli ukrepa iz točk (a) do (g) tega odstavka .
  5. Uporablja se člen 32(6), (7) in (8). mutatis mutandis nadzornim in izvršilnim ukrepom iz tega člena za pomembne subjekte.
  6. Države članice zagotovijo, da njihovi pristojni organi v skladu s to direktivo sodelujejo z ustreznimi pristojnimi organi zadevne države članice v skladu z Uredbo (EU) 2022/2554. Države članice zlasti zagotovijo, da njihovi pristojni organi v skladu s to direktivo obvestijo nadzorni forum, ustanovljen v skladu s členom 32(1) Uredbe (EU) 2022/2554, ko izvajajo svoja nadzorna in izvršilna pooblastila, namenjena zagotavljanju skladnosti pomembnega subjekta, ki je v skladu z 31. členom Uredbe (EU) 2022/2554 imenovan za kritičnega tretjega ponudnika storitev IKT. s to direktivo.
  1. Države članice zagotovijo, da so upravne globe, naložene bistvenim in pomembnim subjektom v skladu s tem členom v zvezi s kršitvami te direktive, učinkovite, sorazmerne in odvračilne, ob upoštevanju okoliščin vsakega posameznega primera.
  2. Upravne globe se naložijo poleg katerega koli ukrepa iz točk (a) do (h) člena 32(4), točk (a) do (g) člena 32(5) in člena 33(4) .
  3. Pri odločanju o naložitvi upravne globe in odločanju o njeni višini v vsakem posameznem primeru je treba ustrezno upoštevati vsaj elemente iz člena 32(7).
  4. Države članice zagotovijo, da se bistvenim subjektom v primeru kršitve člena 21 ali 23 v skladu z odstavkoma 2 in 3 tega člena naloži upravna globa v višini največ najmanj 10 000 000 EUR ali največ najmanj 2 % celotnega svetovnega letnega prometa v predhodnem poslovnem letu podjetja, ki mu pripada bistveni subjekt, kar je višje.
  5. Države članice zagotovijo, da se pomembnim subjektom, kadar kršijo člen 21 ali 23, v skladu z odstavkoma 2 in 3 tega člena naložijo upravne globe v višini največ najmanj 7 000 000 EUR ali največ najmanj 1 ,4 % celotnega svetovnega letnega prometa v predhodnem poslovnem letu podjetja, ki mu pripada pomemben subjekt, kar je višje.
  6. Države članice lahko določijo pooblastilo za naložitev periodičnih denarnih kazni, da se bistven ali pomemben subjekt prisili, da preneha s kršitvijo te direktive v skladu s predhodno odločitvijo pristojnega organa.
  7. Brez poseganja v pooblastila pristojnih organov v skladu s členoma 32 in 33 lahko vsaka država članica določi pravila o tem, ali in v kakšnem obsegu se lahko subjektom javne uprave naložijo upravne globe.
  8. Kadar pravni sistem države članice ne predvideva upravnih glob, ta država članica zagotovi, da se ta člen uporablja tako, da globo sproži pristojni organ in jo naložijo pristojna nacionalna sodišča, pri čemer zagotovi, da ta pravna sredstva so učinkovita in imajo enak učinek kot upravne globe, ki jih naložijo pristojni organi. V vsakem primeru morajo biti naložene globe učinkovite, sorazmerne in odvračilne. Država članica do 17. oktobra 2024 uradno obvesti Komisijo o določbah zakonov, ki jih sprejme v skladu s tem odstavkom, in brez odlašanja o vseh naknadnih spremembah zakona ali spremembah, ki vplivajo nanje.
  1. Kadar pristojni organi med nadzorom ali uveljavljanjem ugotovijo, da lahko bistven ali pomemben subjekt krši obveznosti iz členov 21 in 23 te direktive povzroči kršitev varstva osebnih podatkov, kot je opredeljeno v členu 4, točka ( 12) Uredbe (EU) 2016/679, ki jo je treba priglasiti v skladu s členom 33 navedene uredbe, brez nepotrebnega odlašanja obvestijo nadzorne organe iz člena 55 ali 56 navedene uredbe.
  2. Kadar nadzorni organi iz člena 55 ali 56 Uredbe (EU) 2016/679 naložijo upravno globo v skladu s točko (i) člena 58(2) navedene uredbe, pristojni organi ne naložijo upravne globe. v skladu s členom 34 te direktive za kršitev iz odstavka 1 tega člena, ki izhaja iz enakega ravnanja, kot je tisto, ki je bilo predmet upravne globe v skladu s točko (i) člena 58(2) Uredbe (EU) 2016/679. Pristojni organi pa lahko naložijo izvršilne ukrepe iz točk (a) do (h) člena 32(4), točk (a) do (g) člena 32(5), člena 33(4), te direktive.
  3. Kadar ima nadzorni organ, pristojen v skladu z Uredbo (EU) 2016/679, sedež v državi članici, ki ni pristojni organ, pristojni organ obvesti nadzorni organ s sedežem v svoji državi članici o morebitni kršitvi podatkov iz odstavka 1.

Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve nacionalnih ukrepov, sprejetih v skladu s to direktivo, in sprejmejo vse potrebne ukrepe za zagotovitev njihovega izvajanja. Predvidene kazni morajo biti učinkovite, sorazmerne in odvračilne. Države članice do 17. januarja 2025 uradno obvestijo Komisijo o teh pravilih in ukrepih ter jo nemudoma uradno obvestijo o vseh poznejših spremembah, ki vplivajo nanje.

  1. Kadar subjekt opravlja storitve v več kot eni državi članici ali zagotavlja storitve v eni ali več državah članicah in se njegovo omrežje in informacijski sistemi nahajajo v eni ali več drugih državah članicah, pristojni organi zadevnih držav članic sodelujejo in pomagajo drug drugega po potrebi. To sodelovanje vključuje vsaj to, da:
    1. pristojni organi, ki izvajajo nadzorne ali izvršilne ukrepe v državi članici, prek enotne kontaktne točke obvestijo in se posvetujejo s pristojnimi organi v drugih zadevnih državah članicah o sprejetih nadzornih in izvršilnih ukrepih;
    2. pristojni organ lahko od drugega pristojnega organa zahteva, da sprejme nadzorne ali izvršilne ukrepe;
    3. pristojni organ po prejemu utemeljene zahteve drugega pristojnega organa drugemu pristojnemu organu zagotovi medsebojno pomoč, ki je sorazmerna z njegovimi lastnimi sredstvi, tako da se nadzorni ali izvršilni ukrepi lahko izvajajo na učinkovit, učinkovit in dosleden način.

    Medsebojna pomoč iz točke (c) prvega pododstavka lahko zajema zahteve po informacijah in nadzorne ukrepe, vključno z zahtevami za izvajanje inšpekcijskih pregledov na kraju samem ali nadzora zunaj kraja ali ciljno usmerjenih varnostnih revizij. Pristojni organ, na katerega je naslovljena zahteva za pomoč, te zahteve ne zavrne, razen če se ugotovi, da ni pristojen zagotoviti zahtevane pomoči, zahtevana pomoč ni sorazmerna z nadzornimi nalogami pristojnega organa ali zahteva se nanaša na informacije ali vključuje dejavnosti, ki bi bile, če bi bile razkrite ali izvedene, v nasprotju z bistvenimi interesi nacionalne varnosti, javne varnosti ali obrambe države članice. Pred zavrnitvijo take zahteve se pristojni organ posvetuje z drugimi zadevnimi pristojnimi organi ter na zahtevo ene od zadevnih držav članic tudi s Komisijo in ENISA.

  2. Kadar je primerno in ob medsebojnem dogovoru, lahko pristojni organi različnih držav članic izvajajo skupne nadzorne ukrepe.
 

Poglavje 8 – Delegirani in izvedbeni akti

  1. Pooblastilo za sprejemanje delegiranih aktov je podeljeno Komisiji pod pogoji iz tega člena.
  2. Pooblastilo za sprejemanje delegiranih aktov iz člena 24(2) se prenese na Komisijo za obdobje petih let od 16. januarja 2023.
  3. Pooblastilo iz člena 24(2) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila, opredeljen v tem sklepu. Veljati začne dan po objavi sklepa v Uradnem listu Evropske unije ali na poznejši datum, ki je v njem naveden. Ne vpliva na veljavnost že veljavnih delegiranih aktov.
  4. Pred sprejetjem delegiranega akta se Komisija posvetuje s strokovnjaki, ki jih imenuje vsaka država članica v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje.
  5. Takoj ko Komisija sprejme delegirani akt, o tem hkrati uradno obvesti Evropski parlament in Svet.
  6. Delegirani akt, sprejet na podlagi člen 24(2) začne veljati le, če niti Evropski parlament niti Svet ne nasprotujeta v roku dveh mesecev od uradnega obvestila o tem aktu Evropskemu parlamentu in Svetu ali če pred iztekom tega roka Evropski parlament in Svet sta obvestila Komisijo, da ne bosta nasprotovala. To obdobje se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.
  1. Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.
  2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.
  3. Kadar je treba mnenje odbora pridobiti po pisnem postopku, se ta konča brez rezultata, ko se v roku za izdajo mnenja tako odloči predsednik odbora ali tako zahteva član odbora.
 

Poglavje 9 – Končne določbe

Komisija do 17. oktobra 2027 in nato vsakih 36 mesecev pregleda delovanje te direktive ter poroča Evropskemu parlamentu in Svetu. V poročilu se zlasti oceni ustreznost velikosti zadevnih subjektov ter sektorjev, podsektorjev in vrst subjektov iz prilog I in II za delovanje gospodarstva in družbe v zvezi s kibernetsko varnostjo. V ta namen in z namenom nadaljnjega napredka strateškega in operativnega sodelovanja Komisija upošteva poročila skupine za sodelovanje in mreže skupin CSIRT o izkušnjah, pridobljenih na strateški in operativni ravni. Poročilu se po potrebi priloži zakonodajni predlog.

 
  1. Države članice do 17. oktobra 2024 sprejmejo in objavijo ukrepe, potrebne za uskladitev s to direktivo. O tem takoj obvestijo Komisijo.
    Te ukrepe uporabljajo od 18. oktobra 2024.
  2. Države članice se v sprejetih ukrepih iz odstavka 1 sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Načine takega sklicevanja določijo države članice.

V Uredbi (EU) št. 910/2014 se člen 19 črta z učinkom od 18. oktobra 2024.

V Direktivi (EU) 2018/1972 se člena 40 in 41 črtata z učinkom od 18. oktobra 2024.

Direktiva (EU) 2016/1148 se razveljavi z učinkom od 18. oktobra 2024.

Sklicevanja na razveljavljeno direktivo se štejejo za sklicevanja na to direktivo in se berejo v skladu s korelacijsko tabelo iz Priloge III.

Ta direktiva začne veljati dvajseti dan po objavi v Uradni list Evropske unije.

Ta direktiva je naslovljena na države članice.

Priloge

SektorPodsektorVrsta entitete
1.Energija
(a)Elektrika
Elektroenergetska podjetja, kot so opredeljena v točki (57) člena 2 Direktive (EU) 2019/944 Evropskega parlamenta in Sveta (1), ki opravljajo funkcijo „dobave“, kot je opredeljena v točki (57) člena 2 ( 12) navedene direktive
Operaterji distribucijskih sistemov, kot so opredeljeni v točki (29) člena 2 Direktive (EU) 2019/944
Operaterji prenosnih sistemov, kot so opredeljeni v točki (35) člena 2 Direktive (EU) 2019/944
Proizvajalci, kot so opredeljeni v točki (38) člena 2 Direktive (EU) 2019/944
Imenovani operaterji trga z električno energijo, kot so opredeljeni v točki (8) člena 2 Uredbe (EU) 2019/943 Evropskega parlamenta in Sveta (2)
Udeleženci na trgu, kot so opredeljeni v točki (25) člena 2 Uredbe (EU) 2019/943, ki zagotavljajo storitve združevanja, prilagajanja odjema ali shranjevanja energije, kot je opredeljeno v točkah (18), (20) in (59) člena 2 Uredbe (EU) št. Direktiva (EU) 2019/944
Upravljavci polnilnega mesta, ki so odgovorni za upravljanje in delovanje polnilnega mesta, ki zagotavlja storitev polnjenja končnim uporabnikom, tudi v imenu in za račun ponudnika storitev mobilnosti.
(b)Daljinsko ogrevanje in hlajenje
Upravljavci daljinskega ogrevanja ali daljinskega hlajenja, kot so opredeljeni v točki (19) člena 2 Direktive (EU) 2018/2001 Evropskega parlamenta in Sveta
(c)Olje
Upravljavci naftovodov
Upravljavci naprav za proizvodnjo, rafiniranje in obdelavo nafte, skladiščenje in prenos
Osrednji subjekti za skladiščenje, kot so opredeljeni v členu 2(f) Direktive Sveta 2009/119/ES
(d)Plin
Dobavitelji, kot so opredeljeni v točki (8) člena 2 Direktive 2009/73/ES Evropskega parlamenta in Sveta (5)
Operaterji distribucijskih sistemov, kot so opredeljeni v točki (6) člena 2 Direktive 2009/73/ES
Operaterji prenosnih sistemov, kot so opredeljeni v točki (4) člena 2 Direktive 2009/73/ES
Operaterji skladiščnih sistemov, kot so opredeljeni v točki (10) člena 2 Direktive 2009/73/ES
Upravljavci sistemov za UZP, kot so opredeljeni v točki (12) člena 2 Direktive 2009/73/ES
Podjetja plinskega gospodarstva, kot so opredeljena v točki (1) člena 2 Direktive 2009/73/ES
Upravljavci naprav za rafiniranje in obdelavo zemeljskega plina
(e)vodik
Operaterji proizvodnje, shranjevanja in prenosa vodika
2.Transport
(a)zrak
Letalski prevozniki, kot so opredeljeni v točki (4) člena 3 Uredbe (ES) št. 300/2008, ki se uporabljajo v komercialne namene
Upravljavci letališč, kot so opredeljeni v točki (2) člena 2 Direktive 2009/12/ES Evropskega parlamenta in Sveta (6), letališča, kot so opredeljena v točki (1) člena 2 navedene direktive, vključno z osrednja letališča, navedena v oddelku 2 Priloge II k Uredbi (EU) št. 1315/2013 Evropskega parlamenta in Sveta , in subjekti, ki upravljajo pomožne naprave na letališčih
Operaterji nadzora vodenja prometa, ki zagotavljajo storitve kontrole zračnega prometa (ATC), kot je opredeljeno v točki (1) člena 2 Uredbe (ES) št. 549/2004 Evropskega parlamenta in Sveta (8)
(b)Železnica
Upravljavci infrastrukture, kot so opredeljeni v točki (2) člena 3 Direktive 2012/34/EU Evropskega parlamenta in Sveta (9)
Prevozniki v železniškem prometu, kot so opredeljeni v točki (1) člena 3 Direktive 2012/34/EU, vključno z upravljavci objektov za izvajanje železniških storitev, kot so opredeljeni v točki (12) člena 3 te direktive
(c)voda
Podjetja za kopenski, pomorski in obalni potniški in tovorni promet, kot so opredeljena za pomorski promet v Prilogi I k Uredbi (ES) št. 725/2004 Evropskega parlamenta in Sveta (10), razen posameznih plovil, ki jih upravljajo ta podjetja
Upravni organi pristanišč, kot so opredeljeni v točki (1) člena 3 Direktive 2005/65/ES Evropskega parlamenta in Sveta (11), vključno z njihovimi pristaniškimi zmogljivostmi, kot so opredeljene v točki (11) člena 2 Uredba (ES) št. 725/2004 in subjekti, ki upravljajo dela in opremo v pristaniščih
Izvajalci storitev ladijskega prometa (VTS), kot so opredeljeni v točki (o) člena 3 Direktive 2002/59/ES Evropskega parlamenta in Sveta (12)
(d)Cesta
Cestni organi, kot so opredeljeni v točki (12) člena 2 Delegirane uredbe Komisije (EU) 2015/962 (13), pristojni za nadzor upravljanja prometa, razen javnih subjektov, za katere upravljanje prometa ali delovanje inteligentnih prometnih sistemov ni bistveni del njihove splošne dejavnosti
Operaterji inteligentnih transportnih sistemov, kot so opredeljeni v točki (1) člena 4 Direktive 2010/40/EU Evropskega parlamenta in Sveta (14)
3.Bančništvo
 Kreditne institucije, kot so opredeljene v točki (1) člena 4 Uredbe (EU) št. 575/2013 Evropskega parlamenta in Sveta (15)
4.Infrastrukture finančnih trgov
 
Upravljavci mest trgovanja, kot so opredeljeni v točki (24) člena 4 Direktive 2014/65/EU Evropskega parlamenta in Sveta (16)
Centralne nasprotne stranke (CCP), kot so opredeljene v točki (1) člena 2 Uredbe (EU) št. 648/2012 Evropskega parlamenta in Sveta (17)
5.zdravje
 
Izvajalci zdravstvenih storitev, kot so opredeljeni v točki (g) člena 3 Direktive 2011/24/EU Evropskega parlamenta in Sveta (18)
Referenčni laboratoriji EU iz člena 15 Uredbe (EU) 2022/2371 Evropskega parlamenta in Sveta (19)
Subjekti, ki izvajajo raziskovalne in razvojne dejavnosti zdravil, kot so opredeljena v točki (2) člena 1 Direktive 2001/83/ES Evropskega parlamenta in Sveta (20)
Subjekti, ki proizvajajo osnovne farmacevtske izdelke in farmacevtske pripravke iz oddelka C, oddelek 21 NACE Rev. 2
Subjekti, ki proizvajajo medicinske pripomočke, ki se štejejo za kritične v nujnih primerih javnega zdravja (seznam kritičnih pripomočkov za javno zdravje) v smislu člena 22 Uredbe (EU) 2022/123 Evropskega parlamenta in Sveta (21)
6.Pitna voda
 Dobavitelji in distributerji vode, namenjene za prehrano ljudi, kot je opredeljeno v točki (1)(a) člena 2 Direktive (EU) 2020/2184 Evropskega parlamenta in Sveta (22), razen distributerjev, za katere distribucija vode za prehrano ljudi je nebistveni del njihove splošne dejavnosti distribucije drugega blaga in blaga
7.Odpadne vode
 Podjetja, ki zbirajo, odvajajo ali čistijo komunalno odpadno vodo, gospodinjsko odpadno vodo ali industrijsko odpadno vodo, kot je opredeljeno v točkah (1), (2) in (3) člena 2 Direktive Sveta 91/271/EGS [23], razen podjetja, za katera je zbiranje, odstranjevanje ali čiščenje komunalne odpadne vode, gospodinjske odpadne vode ali industrijske odpadne vode nebistveni del njihove splošne dejavnosti
8.Digitalna infrastruktura
 
ponudniki Internet Exchange Point
Ponudniki storitev DNS, razen operaterjev korenskih imenskih strežnikov
Registri imen TLD
Ponudniki storitev računalništva v oblaku
Ponudniki storitev podatkovnih centrov
Ponudniki omrežja za dostavo vsebin
Ponudniki storitev zaupanja
Ponudniki javnih elektronskih komunikacijskih omrežij
Ponudniki javno dostopnih elektronskih komunikacijskih storitev
9.Upravljanje storitev IKT (medpodjetji)
 
Upravljani ponudniki storitev
Upravljani ponudniki varnostnih storitev
10.Javna uprava
 
Subjekti javne uprave centralne vlade, kot jih opredeli država članica v skladu z nacionalno zakonodajo
Subjekti javne uprave na regionalni ravni, kot jih opredeli država članica v skladu z nacionalno zakonodajo
11.Vesolje
 Operaterji zemeljske infrastrukture, ki so v lasti, upravljanju in upravljanju držav članic ali zasebnikov, ki podpirajo zagotavljanje vesoljskih storitev, razen ponudnikov javnih elektronskih komunikacijskih omrežij
(1) Direktiva (EU) 2019/944 Evropskega parlamenta in Sveta z dne 5. junija 2019 o skupnih pravilih notranjega trga z električno energijo in spremembi Direktive 2012/27/EU (UL L 158, 14.6.2019, str. 125).
(2) Uredba (EU) 2019/943 Evropskega parlamenta in Sveta z dne 5. junija 2019 o notranjem trgu z električno energijo (UL L 158, 14.6.2019, str. 54).
(3) Direktiva (EU) 2018/2001 Evropskega parlamenta in Sveta z dne 11. decembra 2018 o spodbujanju rabe energije iz obnovljivih virov (UL L 328, 21.12.2018, str. 82).
(4) Direktiva Sveta 2009/119/ES z dne 14. septembra 2009 o obveznosti držav članic, da vzdržujejo minimalne zaloge surove nafte in/ali naftnih derivatov (UL L 265, 9.10.2009, str. 9).
(5) Direktiva 2009/73/ES Evropskega parlamenta in Sveta z dne 13. julija 2009 o skupnih pravilih notranjega trga z zemeljskim plinom in razveljavitvi Direktive 2003/55/ES (UL L 211, 14.8.2009, str. 94).
(6) Direktiva 2009/12/ES Evropskega parlamenta in Sveta z dne 11. marca 2009 o letaliških pristojbinah (UL L 70, 14.3.2009, str. 11).
(7) Uredba (EU) št. 1315/2013 Evropskega parlamenta in Sveta z dne 11. decembra 2013 o smernicah Unije za razvoj vseevropskega prometnega omrežja in razveljavitvi Sklepa št. 661/2010/EU (UL L 348, 20.12.2013, str. 1).
(8) Uredba (ES) št. 549/2004 Evropskega parlamenta in Sveta z dne 10. marca 2004 o določitvi okvira za vzpostavitev enotnega evropskega neba (okvirna uredba) (UL L 96, 31.3.2004, str. 1).
(9) Direktiva 2012/34/EU Evropskega parlamenta in Sveta z dne 21. novembra 2012 o vzpostavitvi enotnega evropskega železniškega območja (UL L 343, 14.12.2012, str. 32).
(10) Uredba (ES) št. 725/2004 Evropskega parlamenta in Sveta z dne 31. marca 2004 o povečanju varnosti ladij in pristanišč (UL L 129, 29.4.2004, str. 6).
(11) Direktiva 2005/65/ES Evropskega parlamenta in Sveta z dne 26. oktobra 2005 o povečanju varnosti v pristaniščih (UL L 310, 25.11.2005, str. 28).
(12) Direktiva 2002/59/ES Evropskega parlamenta in Sveta z dne 27. junija 2002 o vzpostavitvi sistema spremljanja in obveščanja ladijskega prometa Skupnosti ter o razveljavitvi Direktive Sveta 93/75/EGS (UL L 208, 5.8.2002, str. 10).
(13) Delegirana uredba Komisije (EU) 2015/962 z dne 18. decembra 2014 o dopolnitvi Direktive 2010/40/EU Evropskega parlamenta in Sveta v zvezi z zagotavljanjem storitev prometnih informacij v realnem času po vsej EU (UL L 157, 23.6.2015, str. 21).
(14) Direktiva 2010/40/EU Evropskega parlamenta in Sveta z dne 7. julija 2010 o okviru za uvedbo inteligentnih prometnih sistemov na področju cestnega prometa in za vmesnike z drugimi načini prevoza (UL L 207, 6.8.2010, str. 1).
(15) Uredba (EU) št. 575/2013 Evropskega parlamenta in Sveta z dne 26. junija 2013 o bonitetnih zahtevah za kreditne institucije in spremembi Uredbe (EU) št. 648/2012 (UL L 176, 27.6.2013, str. 1).
(16) Direktiva 2014/65/EU Evropskega parlamenta in Sveta z dne 15. maja 2014 o trgih finančnih instrumentov ter spremembi Direktive 2002/92/ES in Direktive 2011/61/EU (UL L 173, 12.6.2014, str. 349).
(17) Uredba (EU) št. 648/2012 Evropskega parlamenta in Sveta z dne 4. julija 2012 o izvedenih finančnih instrumentih OTC, centralnih nasprotnih strankah in repozitorijih sklenjenih poslov (UL L 201, 27.7.2012, str. 1).
(18) Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).
(19) Uredba (EU) 2022/2371 Evropskega parlamenta in Sveta z dne 23. novembra 2022 o resnih čezmejnih nevarnostih za zdravje in razveljavitvi Sklepa št. 1082/2013/EU (UL L 314, 6.12.2022, str. 26).
(20) Direktiva 2001/83/ES Evropskega parlamenta in Sveta z dne 6. novembra 2001 o zakoniku Skupnosti o zdravilih za uporabo v humani medicini (UL L 311, 28.11.2001, str. 67).
(21) Uredba (EU) 2022/123 Evropskega parlamenta in Sveta z dne 25. januarja 2022 o okrepljeni vlogi Evropske agencije za zdravila pri pripravljenosti in obvladovanju kriz za zdravila in medicinske pripomočke (UL L 20, 31.1.2022, str. 1).
(22) Direktiva (EU) 2020/2184 Evropskega parlamenta in Sveta z dne 16. decembra 2020 o kakovosti vode, namenjene za prehrano ljudi (UL L 435, 23.12.2020, str. 1).
(23) Direktiva Sveta 91/271/EGS z dne 21. maja 1991 o čiščenju komunalne odpadne vode (UL L 135, 30.5.1991, str. 40).
Sektor Podsektor Vrsta entitete
1. Poštne in kurirske storitve
Ponudniki poštnih storitev, kot so opredeljeni v točki (1a) člena 2 Direktive 97/67/ES, vključno s ponudniki kurirskih storitev
2. Ravnanje z odpadki
Podjetja, ki izvajajo ravnanje z odpadki, kot je opredeljeno v točki (9) člena 3 Direktive 2008/98/ES Evropskega parlamenta in Sveta (1), razen podjetij, za katera ravnanje z odpadki ni glavna gospodarska dejavnost
3. Proizvodnja, proizvodnja in distribucija kemikalij
Podjetja, ki se ukvarjajo s proizvodnjo snovi in distribucijo snovi ali zmesi, kot je navedeno v točkah (9) in (14) člena 3 Uredbe (ES) št. 1907/2006 Evropskega parlamenta in Sveta (2) in podjetja, ki proizvajajo izdelke, kot so opredeljeni v točki (3) člena 3 navedene uredbe, iz snovi ali zmesi
4. Proizvodnja, predelava in distribucija hrane
Nosilci živilske dejavnosti, kot so opredeljeni v členu 3(2) Uredbe (ES) št. 178/2002 Evropskega parlamenta in Sveta (3) ki se ukvarjajo z veleprodajo ter industrijsko proizvodnjo in predelavo
5. Proizvodnja
(a) Proizvodnja medicinskih pripomočkov in  in vitro diagnostične medicinske naprave
Subjekti, ki proizvajajo medicinske pripomočke, kot so opredeljeni v točki (1) člena 2 Uredbe (EU) 2017/745 Evropskega parlamenta in Sveta (4), in subjekti proizvodnja  in vitro diagnostični medicinski pripomočki, kot so opredeljeni v točki (2) člena 2 Uredbe (EU) 2017/746 Evropskega parlamenta in Sveta (5) z izjemo subjektov, ki proizvajajo medicinske pripomočke iz pete alinee točke 5 Priloge I te direktive.
(b) Proizvodnja računalniških, elektronskih in optičnih izdelkov
Podjetja, ki opravljajo katero koli gospodarsko dejavnost iz oddelka C, oddelek 26 NACE Rev. 2
(c) Proizvodnja električne opreme
Podjetja, ki opravljajo katero koli gospodarsko dejavnost iz oddelka C, oddelek 27 NACE Rev. 2
(d) Proizvodnja strojev in naprav, dn
Podjetja, ki opravljajo katero koli gospodarsko dejavnost iz oddelka C, oddelek 28 NACE Rev. 2
(e) Proizvodnja motornih vozil, prikolic in polpriklopnikov
Podjetja, ki opravljajo katero koli gospodarsko dejavnost iz oddelka C, oddelek 29 NACE Rev. 2
(f) Proizvodnja drugih transportnih sredstev
Podjetja, ki opravljajo katero koli gospodarsko dejavnost iz oddelka C, oddelek 30 NACE Rev. 2
6. Digitalni ponudniki
Ponudniki spletnih tržnic
Ponudniki spletnih iskalnikov
Ponudniki platform storitev socialnega mreženja
7. Raziskovanje
Raziskovalne organizacije
(1) Direktiva 2008/98/ES Evropskega parlamenta in Sveta z dne 19. novembra 2008 o odpadkih in razveljavitvi nekaterih direktiv (UL L 312, 22.11.2008, str. 3).
(2) Uredba (ES) št. 1907/2006 Evropskega parlamenta in Sveta z dne 18. decembra 2006 o registraciji, evalvaciji, avtorizaciji in omejevanju kemikalij (REACH), ustanovitvi Evropske agencije za kemikalije, spremembi Direktive 1999/45/ES in razveljavitvi Sveta Uredba (EGS) št. 793/93 in Uredba Komisije (ES) št. 1488/94 ter Direktiva Sveta 76/769/EGS in Direktive Komisije 91/155/EGS, 93/67/EGS, 93/105/ES in 2000 /21/ES (UL L 396, 30.12.2006, str. 1).
(3) Uredba (ES) št. 178/2002 Evropskega parlamenta in Sveta z dne 28. januarja 2002 o določitvi splošnih načel in zahtevah živilske zakonodaje, ustanovitvi Evropske agencije za varnost hrane in postopkih v zvezi z varnostjo hrane (UL L 31, 1.2.2002, str. 1).
(4) Uredba (EU) 2017/745 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o medicinskih pripomočkih, spremembi Direktive 2001/83/ES, Uredbe (ES) št. 178/2002 in Uredbe (ES) št. 1223/2009 ter razveljavitvi Direktivi Sveta 90/385/EGS in 93/42/EGS (UL L 117, 5.5.2017, str. 1).
(5) Uredba (EU) 2017/746 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o in vitro diagnostičnih medicinskih pripomočkih ter razveljavitvi Direktive 98/79/ES in Sklepa Komisije 2010/227/EU (UL L 117, 5.5.2017, str. 176).

Ali želite izvedeti več?

Pogovorite se s strokovnjakom za NIS 2

Srečaj se z Mattom in rezerviraj a brezplačno 15 min pokličite spodaj, da boste bolje razumeli, kako uvesti skladnost z NIS 2 v vašem podjetju

Posvetujte se s strokovnjakom

oz

Vprašajte nas karkoli
Linkedin Youtube

O nas.

Ta stran, ki jo je pripravil NIS2Compliant.org, ponuja informacije iz javnih virov o vsem, kar je povezano s prihajajočo direktivo NIS2. Predstavljeno na jasen in jedrnat način za enostavno uporabo.

 

Zavrnitev odgovornosti
Informacije na tem spletnem mestu so namenjene samo izobraževalnim in informativnim namenom. Vsebina ni namenjena nadomestilu za strokovni nasvet ali kakršno koli drugo pravno svetovanje, storitev itd. Skrbniki in sodelavci spletnega mesta ne dajejo nobenih zagotovil ali jamstev glede informacij na spletnem mestu. Vsakršno zanašanje na takšne informacije je torej izključno na lastno odgovornost.

Več informacij:

Viri novic.

Stopite v stik.

Rezervacija 15 min klica

telefon:
00386 41 948 698

E-naslov:
become@nis2compliant.org

Avtorske pravice Nis2Compliant.org