19.7.2016   

FI

Euroopan unionin virallinen lehti

L 194/1

(1)

Verkko- ja tietojärjestelmillä ja -palveluilla on elintärkeä tehtävä yhteiskunnassa. Niiden luotettavuus ja turvallisuus ovat olennaisen tärkeitä talouden ja yhteiskunnan toiminnoille ja erityisesti sisämarkkinoiden toiminnalle.

(2)

Turvapoikkeamien laajuus, esiintymistiheys ja vaikutukset kasvavat ja muodostavat merkittävän uhan verkko- ja tietojärjestelmien toiminnalle. Nämä järjestelmät voivat myös joutua sellaisten tahallisten haitallisten toimien kohteeksi, joiden tarkoituksena on vahingoittaa tai häiritä järjestelmien toimintaa. Tällaiset poikkeamat voivat haitata taloudellisen toiminnan harjoittamista, aiheuttaa huomattavia taloudellisia tappioita, heikentää käyttäjien luottamusta ja aiheuttaa merkittävää vahinkoa unionin taloudelle.

(3)

Verkko- ja tietojärjestelmät, ja ensisijaisesti internet, helpottavat olennaisesti tavaroiden, palvelujen ja ihmisten liikkumista rajojen yli. Tämän ylikansallisen luonteen vuoksi näiden järjestelmien merkittävät häiriöt, olivatpa ne tahallisia tai tahattomia ja riippumatta siitä, missä ne tapahtuvat, voivat vaikuttaa yksittäisiin jäsenvaltioihin ja koko unioniin. Verkko- ja tietojärjestelmien turvallisuus on sen vuoksi olennaisen tärkeää sisämarkkinoiden moitteettomalle toiminnalle.

(4)

Euroopan jäsenvaltiofoorumilla on viety merkittävästi eteenpäin keskustelua ja tiedonvaihtoa hyvistä toimintapoliittisista käytännöistä, mukaan lukien periaatteiden kehittäminen eurooppalaiselle kyberkriisejä koskevalle yhteistyölle; tämän pohjalta olisi perustettava jäsenvaltioiden edustajista, komissiosta ja Euroopan unionin verkko- ja tietoturvavirastosta (ENISA) muodostuva yhteistyöryhmä tukemaan ja helpottamaan jäsenvaltioiden välistä strategista yhteistyötä verkko- ja tietojärjestelmien turvallisuuden alalla. Jotta tämä ryhmä olisi tehokas ja kaikkien jäsenvaltioiden käytettävissä, on olennaisen tärkeää, että kaikilla jäsenvaltioilla on vähimmäisvalmiudet ja strategia, joilla varmistetaan korkeatasoinen verkko- ja tietojärjestelmien turvallisuus niiden alueella. Lisäksi turvallisuus- ja ilmoitusvaatimuksia olisi sovellettava keskeisten palvelujen tarjoajiin ja digitaalisen palvelun tarjoajiin, jotta voidaan edistää riskinhallintakulttuuria ja varmistaa raportointi vakavimmista poikkeamista.

(5)

Nykyiset valmiudet eivät riitä varmistamaan korkeatasoista verkko- ja tietojärjestelmien turvallisuutta unionissa. Jäsenvaltioiden varautumisen tasot ovat hyvin erilaisia, mikä on johtanut hajanaisiin lähestymistapoihin eri puolilla unionia. Tämä johtaa kuluttajien ja yritysten epätasaiseen suojaan sekä heikentää yleistä verkko- ja tietojärjestelmien turvallisuuden tasoa unionissa. Keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia koskevien yhteisten vaatimusten puuttuminen puolestaan merkitsee sitä, ettei unionin tasolla ole mahdollista luoda kokonaisvaltaista ja tuloksellista yhteistyömekanismia. Yliopistoilla ja tutkimuskeskuksilla on ratkaiseva rooli tutkimuksen, kehityksen ja innovoinnin vauhdittamisessa näillä aloilla.

(6)

Tehokas reagointi verkko- ja tietojärjestelmien turvallisuuden asettamiin haasteisiin edellyttää sen vuoksi unionin tason kokonaisvaltaista lähestymistapaa, joka kattaa valmiuksien luomista ja suunnittelua koskevat yhteiset vähimmäisvaatimukset, tiedonvaihdon, yhteistyön sekä yhteiset turvallisuusvaatimukset keskeisten palvelujen tarjoajille ja digitaalisen palvelun tarjoajille. Keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia ei kuitenkaan estetä panemasta täytäntöön turvallisuustoimenpiteitä, jotka ovat tiukempia kuin tässä direktiivissä säädetyt.

(7)

Jotta tämä direktiivi kattaisi kaikki merkitykselliset poikkeamat ja riskit, sitä olisi sovellettava sekä keskeisten palvelujen tarjoajiin että digitaalisen palvelun tarjoajiin. Keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia koskevia velvollisuuksia ei kuitenkaan olisi sovellettava Euroopan parlamentin ja neuvoston direktiivissä 2002/21/EY (3) tarkoitettuihin yleisiä viestintäverkkoja tai yleisesti saatavilla olevia sähköisiä viestintäpalveluja tarjoaviin yrityksiin, joihin sovelletaan mainitussa direktiivissä vahvistettuja erityisiä turvallisuutta ja eheyttä koskevia vaatimuksia, eikä niitä olisi sovellettava Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 (4) tarkoitettuihin luottamuspalvelun tarjoajiin, joihin sovelletaan mainitussa asetuksessa vahvistettuja turvallisuusvaatimuksia.

(8)

Tämä direktiivi ei saisi rajoittaa kunkin jäsenvaltion mahdollisuutta toteuttaa tarvittavat toimenpiteet, joilla varmistetaan sen keskeisten turvallisuusetujen suojelu, taataan yleinen järjestys ja turvallisuus sekä mahdollistetaan rikosten tutkiminen, selvittäminen ja syytteeseenpano. Euroopan unionin toiminnasta tehdyn sopimuksen 346 artiklan mukaisesti mitään jäsenvaltiota ei ole velvoitettava antamaan tietoja, joiden ilmaisemisen se katsoo olevan keskeisten turvallisuusetujensa vastaista. Tässä yhteydessä ovat merkityksellisiä neuvoston päätös 2013/488/EU (5) sekä salassapitosopimukset tai epäviralliset salassapitosopimukset, kuten Traffic Light Protocol -käsittelyluokitus.

(9)

Tiettyjä talouden aloja säännellään jo tai voidaan säännellä tulevaisuudessa alakohtaisilla unionin säädöksillä, joihin sisältyy verkko- ja tietojärjestelmien turvallisuuteen liittyviä sääntöjä. Kun tällaisiin unionin säädöksiin sisältyy säännöksiä, joilla asetetaan verkko- ja tietojärjestelmien turvallisuutta tai poikkeamien ilmoittamisia koskevia vaatimuksia, näitä säännöksiä olisi sovellettava, jos ne sisältävät vaatimuksia, jotka ovat vaikutukseltaan vähintään vastaavia kuin tähän direktiiviin sisältyvät velvollisuudet. Jäsenvaltioiden olisi sitten sovellettava tällaisten alakohtaisten unionin säädösten säännöksiä, myös tuomioistuimen toimivaltaan liittyviä säännöksiä, eikä niiden olisi suoritettava tässä direktiivissä määriteltyjen keskeisten palvelujen tarjoajien määrittämisprosessia. Jäsenvaltioiden olisi annettava tässä yhteydessä tietoja komissiolle tällaisten erityissäännösten (lex specialis) soveltamisesta. Määritettäessä, vastaavatko alakohtaisiin unionin säädöksiin sisältyvät verkko- ja tietojärjestelmien turvallisuutta ja poikkeamien ilmoittamista koskevat vaatimukset tähän direktiiviin sisältyviä vaatimuksia, olisi otettava huomioon ainoastaan asiaankuuluvien unionin säädösten säännökset ja niiden soveltaminen jäsenvaltioissa.

(10)

Vesiliikenteen alalla yhtiöitä, aluksia, satamarakenteita, satamia ja alusliikennepalveluja koskevat unionin säädösten mukaiset turvallisuusvaatimukset koskevat kaikkea toimintaa, mukaan lukien radio- ja televiestintäjärjestelmät, tietokonejärjestelmät ja verkot. Osaan noudatettavista pakollisista menettelyistä sisältyy kaikkien poikkeamien raportointi, joten niiden olisi katsottava olevan erityissäännöksiä (lex specialis), siltä osin kuin kyseiset vaatimukset ovat vähintään vastaavia kuin tämän direktiivin vastaavat säännökset.

(11)

Määrittäessään vesiliikenteen alan palvelujen tarjoajia jäsenvaltioiden olisi otettava huomioon erityisesti Kansainvälisen merenkulkujärjestön kehittämät olemassa olevat ja tulevat kansainväliset säännöstöt ja suuntaviivat, jotta yksittäisiin meriliikenteen palvelujen tarjoajiin voidaan soveltaa johdonmukaista lähestymistapaa.

(12)

Pankkialan ja finanssimarkkinoiden infrastruktuurien alan sääntely ja valvonta on erittäin yhdenmukaistettua unionin tasolla unionin primaari- ja sekundaarioikeuden soveltamisen sekä yhdessä Euroopan valvontaviranomaisten kanssa kehitettyjen standardien käyttämisen myötä. Näiden vaatimusten soveltaminen ja valvonta varmistetaan pankkiunionissa yhteisellä valvontamekanismilla. Niissä jäsenvaltioissa, jotka eivät ole osa pankkiunionia, tämä varmistetaan jäsenvaltioiden asiaankuuluvien pankkialan sääntelyviranomaisten avulla. Rahoitusalan sääntelyn muilla aloilla myös Euroopan finanssivalvojien järjestelmä varmistaa valvontakäytäntöjen yhdenmukaisuuden ja yhtenäisyyden korkean tason. Myös Euroopan arvopaperimarkkinaviranomaisella on suora valvontarooli tiettyjen toimijoiden eli luottoluokituslaitosten ja kauppatietorekisterien osalta.

(13)

Operatiivinen riski on keskeinen osa vakavaraisuussääntelyä ja -valvontaa pankkialalla ja finanssimarkkinoiden infrastruktuurien alalla. Se kattaa kaikki toiminnot, mukaan lukien verkko- ja tietojärjestelmien turvallisuuden, eheyden ja häiriönsietokyvyn. Näitä järjestelmiä koskevat vaatimukset, jotka ovat usein tiukempia kuin tämän direktiivin nojalla säädetyt vaatimukset, on vahvistettu useissa unionin säädöksissä, mukaan lukien: säännöt oikeudesta harjoittaa luottolaitostoimintaa sekä luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvalvonnasta ja säännöt luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvaatimuksista, joihin sisältyy operatiivista riskiä koskevia vaatimuksia; säännöt rahoitusvälineiden markkinoista, joihin sisältyy sijoituspalveluyritysten ja säänneltyjen markkinoiden riskinarviointia koskevia vaatimuksia; säännöt OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä, joihin sisältyy keskusvastapuolten ja kauppatietorekisterien operatiivista riskiä koskevia vaatimuksia; ja säännöt arvopaperikaupan selvitysjärjestelmän parantamisesta unionissa sekä arvopaperikeskuksista, joihin sisältyy operatiivista riskiä koskevia vaatimuksia. Lisäksi poikkeamien ilmoittamista koskevat vaatimukset ovat osa rahoitusalan tavanomaista valvontakäytäntöä, ja ne sisältyvät usein valvontaohjeisiin. Jäsenvaltioiden olisi otettava nämä säännöt ja vaatimukset huomioon soveltaessaan erityissäännöksiä (lex specialis).

(14)

Kuten Euroopan keskuspankki totesi 25 päivänä heinäkuuta 2014 antamassaan lausunnossa (6), tämä direktiivi ei vaikuta unionin oikeuden mukaiseen eurojärjestelmän harjoittamaan maksu- ja selvitysjärjestelmien yleisvalvontaan. Tällaisesta yleisvalvonnasta vastaavien viranomaisten olisi aiheellista vaihtaa kokemuksia verkko- ja tietojärjestelmien turvallisuuteen liittyvistä asioista tämän direktiivin mukaisten toimivaltaisten viranomaisten kanssa. Tämä pätee myös Euroopan keskuspankkijärjestelmän euroalueen ulkopuolisiin jäseniin, jotka harjoittavat tällaista maksu- ja selvitysjärjestelmien yleisvalvontaa kansallisten lakien ja asetusten nojalla.

(15)

Verkossa toimiva markkinapaikka mahdollistaa sen, että kuluttajat ja elinkeinonharjoittajat voivat tehdä verkossa kauppa- tai palvelusopimuksia elinkeinonharjoittajien kanssa, ja se on lopullinen määräpaikka tällaisten sopimusten tekemiseksi. Sen ei pitäisi kattaa verkkopalveluja, joita käytetään vain välittäjänä kolmannen osapuolen palveluihin, joiden kautta sopimus voidaan lopulta tehdä. Sen ei pitäisi näin ollen kattaa verkkopalveluja, joissa vertaillaan eri elinkeinonharjoittajien tiettyjen tuotteiden tai palvelujen hintoja ja sen jälkeen ohjataan käyttäjä valitun elinkeinonharjoittajan palveluun tuotteen ostamiseksi. Verkossa toimivan markkinapaikan tarjoamiin tietojenkäsittelypalveluihin voivat sisältyä maksutapahtumien käsittely, tietojen yhdistäminen tai käyttäjien profilointi. Sovelluskauppojen, jotka toimivat kolmansien osapuolien tarjoamien sovellusten tai ohjelmistojen digitaalisen jakelun mahdollistavina verkkokauppoina, on katsottava olevan yhdentyyppisiä verkossa toimivia markkinapaikkoja.

(16)

Verkossa toimiva hakukone antaa käyttäjälle mahdollisuuden tehdä hakuja periaatteessa kaikilta verkkosivustoilta mitä tahansa aihetta koskevan kyselyn perusteella. Se voidaan vaihtoehtoisesti kohdistaa tietynkielisille verkkosivustoille. Verkossa toimivaa hakukonetta koskevan, tässä direktiivissä säädetyn määritelmän ei olisi katettava hakutoimintoja, jotka rajoittuvat tietyn verkkosivuston sisältöön, riippumatta siitä, tarjoaako hakutoiminnon ulkoinen hakukone. Sen ei olisi liioin katettava verkkopalveluja, joissa vertaillaan eri elinkeinonharjoittajien tiettyjen tuotteiden tai palvelujen hintoja ja sen jälkeen ohjataan käyttäjä valitun elinkeinonharjoittajan palveluun tuotteen ostamiseksi.

(17)

Pilvipalvelut kattavat laajan kirjon toimintoja, joita voidaan tarjota erilaisten mallien mukaisesti. Tätä direktiiviä sovellettaessa ilmaisu ”pilvipalvelut” kattaa palvelut, jotka mahdollistavat pääsyn skaalautuvaan ja mukautuvaan joukkoon jaettavissa olevia tietoteknisiä resursseja. Näihin tietoteknisiin resursseihin sisältyy verkkojen, palvelinten tai muun infrastruktuurin, tallentamisen, sovellusten ja palvelujen kaltaisia resursseja. Termi ”skaalautuva” viittaa tietoteknisiin resursseihin, joita pilvipalvelujen tarjoaja jakaa joustavasti resurssien maantieteellisestä sijainnista riippumatta kysynnän vaihtelujen käsittelemiseksi. Termiä ”mukautuva joukko” käytetään kuvailemaan niitä tietoteknisiä resursseja, joita tarjotaan ja annetaan käyttöön kysynnän mukaan, jotta käytettävissä olevia resursseja voidaan lisätä ja vähentää nopeasti työtaakan mukaan. Termiä ”jaettavissa oleva” käytetään kuvailemaan niitä tietoteknisiä resursseja, joita tarjotaan useille käyttäjille, joilla on yhteinen pääsy palveluun, mutta jossa käsittely kuitenkin tapahtuu erikseen kunkin käyttäjän osalta, vaikka palvelua tarjotaan samasta sähköisestä laitteistosta.

(18)

Internetin yhdysliikennepisteen (internet exchange point, IXP) tehtävänä on yhdistää verkkoja toisiinsa. IXP ei anna pääsyä verkkoon eikä toimi transit-yhteyksien tarjoajana tai välittäjänä. IXP ei liioin tarjoa muita, yhteenliittämiseen liittymättömiä palveluja, vaikka tämä ei estä sitä, että IXP tarjoaa siihen liittymättömiä palveluja. IXP:n tarkoituksena on yhdistää toisiinsa verkkoja, jotka ovat teknisesti ja organisatorisesti erillisiä. Termiä ”autonominen järjestelmä” käytetään kuvaamaan teknisesti erillistä verkkoa.

(19)

Jäsenvaltioiden olisi vastattava sen määrittämisestä, mitkä toimijat täyttävät keskeisten palvelujen tarjoajan määritelmän kriteerit. Johdonmukaisen lähestymistavan varmistamiseksi kaikkien jäsenvaltioiden olisi sovellettava yhdenmukaisesti keskeisten palvelujen tarjoajan määritelmää. Tätä varten tässä direktiivissä säädetään tiettyjen toimialojen ja niiden osa-alueiden toimijoiden arvioimisesta, keskeisten palvelujen luettelon laatimisesta, toimialojen välisiä tekijöitä koskevan yhteisen luettelon tarkastelusta sen määrittämiseksi, olisiko mahdollisella poikkeamalla merkittävää haitallista vaikutusta, asiaankuuluvat jäsenvaltiot osallistavasta kuulemisprosessista tapauksissa, joissa toimijat tarjoavat palveluja useammassa kuin yhdessä jäsenvaltiossa, sekä yhteistyöryhmän tuesta määritysprosessissa. Jotta voidaan varmistaa markkinoiden mahdollisten muutosten asianmukainen huomioon ottaminen, jäsenvaltioiden olisi säännöllisesti tarkistettava määritettyjen palveluntarjoajien luettelo ja tarvittaessa saatettava se ajan tasalle. Lopuksi jäsenvaltioiden olisi toimitettava komissiolle tiedot, jotka tarvitaan sen arvioimiseksi, missä määrin tämä yhteinen menettelytapa on mahdollistanut määritelmän yhdenmukaisen soveltamisen jäsenvaltioissa.

(20)

Määritettäessä keskeisten palvelujen tarjoajia jäsenvaltioiden olisi arvioitava vähintään kunkin tässä direktiivissä tarkoitetun toimialan osa-alueen osalta, mitä palveluja on pidettävä keskeisinä yhteiskunnan ja talouden kriittisten toimintojen ylläpitämiseksi ja täyttävätkö tässä direktiivissä tarkoitetuilla toimialoilla ja toimialojen osa-alueilla luetellut ja noita palveluja tarjoavat toimijat palveluntarjoajien määrittämisen kriteerit. Arvioitaessa sitä, tarjoaako toimija yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeistä palvelua, on riittävää tarkastella, tarjoaako kyseinen toimija palvelua, joka sisältyy keskeisten palvelujen luetteloon. Lisäksi olisi osoitettava, että keskeisen palvelun tarjoaminen on riippuvaista verkko- ja tietojärjestelmistä. Lopuksi arvioitaessa sitä, olisiko poikkeamalla merkittävää haitallista vaikutusta palvelun tarjoamiseen, jäsenvaltioiden olisi otettava huomioon useita toimialojen välisiä tekijöitä ja tarvittaessa myös toimialakohtaisia tekijöitä.

(21)

Keskeisten palvelujen tarjoajia määritettäessä sijoittautuminen jäsenvaltioon edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa. Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike tai tytäryhtiö, jolla on oikeushenkilöys, ei ole tältä osin ratkaisevaa merkitystä.

(22)

On mahdollista, että tässä direktiivissä tarkoitettujen toimialojen ja niiden osa-alueiden toimijat tarjoavat sekä keskeisiä että muita kuin keskeisiä palveluja. Esimerkiksi lentoliikenteen alalla lentoasemat tarjoavat palveluja, joiden jäsenvaltio voi katsoa olevan keskeisiä, kuten kiitoratojen hallinnointia, mutta myös useita palveluja, joiden voidaan katsoa olevan muita kuin keskeisiä, kuten ostostilojen tarjoamista. Keskeisten palvelujen tarjoajiin olisi sovellettava erityisiä turvallisuusvaatimuksia ainoastaan keskeisiksi katsottujen palvelujen osalta. Palvelujen tarjoajien määrittämiseksi jäsenvaltioiden olisi näin ollen laadittava luettelo palveluista, joiden katsotaan olevan keskeisiä.

(23)

Palvelujen luettelon olisi sisällettävä kaikki tietyn jäsenvaltion alueella tarjottavat palvelut, jotka täyttävät tämän direktiivin mukaiset vaatimukset. Jäsenvaltioiden olisi voitava täydentää olemassa olevaa luetteloa sisällyttämällä siihen uusia palveluja. Jäsenvaltioiden olisi käytettävä palvelujen luetteloa viitekohtana määritettäessä keskeisten palvelujen tarjoajia. Luettelon tarkoituksena on määrittää tässä direktiivissä tarkoitettujen toimialojen keskeisten palvelujen tyypit erottaen ne näin muista kuin keskeisistä toiminnoista, joista tietyn toimialan toimija saattaa olla vastuussa. Kunkin jäsenvaltion laatimaa palvelujen luetteloa käytettäisiin yhtenä keinona arvioitaessa kunkin jäsenvaltion sääntelykäytäntöä, jotta voidaan varmistaa määrittämisprosessin yleinen yhdenmukaisuustaso jäsenvaltioiden kesken.

(24)

Kun toimija tarjoaa keskeistä palvelua kahdessa tai useammassa jäsenvaltiossa, näiden jäsenvaltioiden olisi käytävä keskenään kahden- tai monenvälisiä keskusteluja. Tämän kuulemisprosessin tarkoituksena on auttaa niitä arvioimaan, onko palvelujen tarjoaja kriittisessä asemassa rajat ylittävien vaikutusten suhteen, jolloin kullakin asianomaisella jäsenvaltiolla on mahdollisuus esittää näkemyksensä tarjottuihin palveluihin liittyvistä riskeistä. Asianomaisten jäsenvaltioiden olisi otettava tässä prosessissa huomioon toistensa näkemykset, ja niiden olisi voitava pyytää yhteistyöryhmän apua tältä osin.

(25)

Määrittämisprosessin tuloksena jäsenvaltioiden olisi hyväksyttävä kansallisia toimenpiteitä sen määrittämiseksi, mihin toimijoihin sovelletaan verkko- ja tietojärjestelmien turvallisuutta koskevia velvollisuuksia. Tämä tulos voitaisiin saavuttaa hyväksymällä luettelo, jossa luetellaan kaikki keskeisten palvelujen tarjoajat, tai hyväksymällä kansallisia toimenpiteitä, mukaan lukien objektiiviset määrällisesti ilmaistavat kriteerit, kuten palvelujen tarjoajan tuotantomäärä tai käyttäjien määrä, joiden avulla voidaan määrittää, mihin toimijoihin sovelletaan verkko- ja tietojärjestelmien turvallisuutta koskevia velvollisuuksia. Kansallisten toimenpiteiden, riippumatta siitä, ovatko ne jo olemassa vai hyväksytäänkö ne tämän direktiivin puitteissa, olisi sisällettävä kaikki oikeudelliset toimenpiteet, hallinnolliset toimenpiteet ja toimintapolitiikat, joiden avulla voidaan määrittää keskeisten palvelujen tarjoajat tämän direktiivin mukaisesti.

(26)

Osoittaakseen keskeisten palvelujen määritettyjen tarjoajien merkityksen kyseessä olevalla toimialalla jäsenvaltioiden olisi otettava huomioon näiden palveluntarjoajien lukumäärä ja koko, esimerkiksi markkinaosuuden taikka tuotettujen tai välitettyjen määrien suhteen, ilman että niille asetetaan velvollisuutta paljastaa tietoja, joista ilmenisi, mitkä ovat määritettyjä palveluntarjoajia.

(27)

Sen määrittämiseksi, olisiko poikkeamalla merkittävä haitallinen vaikutus keskeisen palvelun tarjoamiseen, jäsenvaltioiden olisi otettava huomioon useita eri tekijöitä, kuten niiden käyttäjien lukumäärä, jotka ovat riippuvaisia kyseisestä palvelusta henkilökohtaisten tai ammatillisten tarkoitusten vuoksi. Kyseisen palvelun käyttö voi olla suoraa, epäsuoraa tai välityksen kautta tapahtuvaa. Arvioidessaan vaikutusta, joka poikkeamalla voisi vakavuutensa ja kestonsa perusteella olla talouden ja yhteiskunnan toimintoihin tai yleiseen turvallisuuteen, jäsenvaltioiden olisi arvioitava myös aika, joka todennäköisesti kuluu, ennen kuin palvelun keskeytymisellä alkaisi olla kielteinen vaikutus.

(28)

Toimialojen välisten tekijöiden lisäksi olisi otettava huomioon myös toimialakohtaisia tekijöitä määritettäessä sitä, olisiko poikkeamalla merkittävä haitallinen vaikutus keskeisen palvelun tarjoamiseen. Energiantoimittajien osalta tällaisiin tekijöihin voisi sisältyä tuotetun kansallisen energian määrä tai osuus siitä; öljyntoimittajien osalta päiväkohtainen määrä; lentoliikenteen, mukaan lukien lentoasemat ja lentoliikenteen harjoittajat, sekä rautatieliikenteen ja merisatamien osalta osuus kansallisesta liikennemäärästä ja matkustajien tai rahtikuljetusten lukumäärä vuodessa; pankkialan tai finanssimarkkinoiden infrastruktuurien osalta niiden järjestelmäkohtainen merkitys perustuen kokonaisvaroihin tai näiden kokonaisvarojen ja bruttokansantuotteen suhteeseen; terveydenhuoltoalan osalta palvelun tarjoajan hoidossa olevien potilaiden lukumäärä vuodessa; veden tuotannon, käsittelyn ja toimittamisen osalta vesimäärä sekä käyttäjien lukumäärä ja tyypit, mukaan lukien esimerkiksi sairaalat, julkiset palveluorganisaatiot tai henkilöt, sekä vaihtoehtoisten veden lähteiden olemassaolo saman maantieteellisen alueen kattamiseksi.

(29)

Korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden saavuttamiseksi ja ylläpitämiseksi kullakin jäsenvaltiolla olisi oltava verkko- ja tietojärjestelmien turvallisuutta koskeva kansallinen strategia, jossa määritellään strategiset tavoitteet ja toteutettavat konkreettiset politiikkatoimet.

(30)

Koska kansallisissa hallintorakenteissa on eroja ja jotta taataan jo olemassa olevien toimialakohtaisten järjestelyjen tai unionin valvonta- ja sääntelyelinten säilyttäminen ja vältetään päällekkäisyyksiä, jäsenvaltioiden olisi voitava nimetä useampi kuin yksi kansallinen toimivaltainen viranomainen, joka vastaa keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien verkko- ja tietojärjestelmien turvallisuuteen liittyvien tehtävien hoitamisesta tämän direktiivin mukaisesti.

(31)

Rajat ylittävän yhteistyön ja viestinnän helpottamiseksi ja jotta tämä direktiivi voitaisiin panna tehokkaasti täytäntöön, on välttämätöntä, että kukin jäsenvaltio nimeää kansallisen keskitetyn yhteyspisteen, joka vastaa verkko- ja tietojärjestelmien turvallisuuteen liittyvien asioiden koordinoinnista sekä rajat ylittävästä yhteistyöstä unionin tasolla, sanotun kuitenkaan vaikuttamatta toimialakohtaisiin sääntelyjärjestelyihin. Toimivaltaisilla viranomaisilla ja keskitetyillä yhteyspisteillä olisi oltava riittävät tekniset ja taloudelliset resurssit sekä henkilöresurssit, jotta ne voivat toteuttaa niille osoitetut tehtävät tehokkaasti ja tuloksekkaasti ja siten saavuttaa tämän direktiivin tavoitteet. Koska tällä direktiivillä pyritään parantamaan sisämarkkinoiden toimintaa luomalla luottamusta ja luotettavuutta, jäsenvaltioiden elinten on voitava tehdä tehokasta yhteistyötä talouden toimijoiden kanssa ja niiden rakenteen on oltava tähän soveltuva.

(32)

Toimivaltaisten viranomaisten tai tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (computer security incident response teams, jäljempänä ’CSIRT-toimijat’) olisi saatava ilmoitukset poikkeamista. Keskitettyjen yhteyspisteiden ei pitäisi saada suoraan ilmoituksia poikkeamista, elleivät ne toimi myös toimivaltaisena viranomaisena tai CSIRT-toimijana. Toimivaltaisen viranomaisen tai CSIRT-toimijan olisi kuitenkin voitava antaa keskitetylle yhteyspisteelle tehtäväksi toimittaa poikkeamia koskevia ilmoituksia muiden asiaan liittyvien jäsenvaltioiden keskitetyille yhteyspisteille.

(33)

Jotta voidaan varmistaa toimiva tiedottaminen jäsenvaltioille ja komissiolle, keskitetyn yhteyspisteen olisi toimitettava yhteistyöryhmälle tiivistelmäraportti, joka olisi muutettava nimettömään muotoon ilmoitusten luottamuksellisuuden sekä keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien identiteetin suojaamiseksi, koska ilmoittavien toimijoiden identiteettiä koskevat tiedot eivät ole tarpeen parhaiden käytäntöjen vaihtamiseksi yhteistyöryhmässä. Tiivistelmäraportin olisi sisällettävä tiedot vastaanotettujen ilmoitusten lukumäärästä sekä maininta ilmoitettujen poikkeamien luonteesta, kuten turvallisuusloukkausten tyypit, niiden vakavuus tai niiden kesto.

(34)

Jäsenvaltioilla olisi oltava käytössään riittävät sekä tekniset että organisatoriset valmiudet, jotta voidaan ehkäistä ja havaita verkko- ja tietojärjestelmien poikkeamia ja riskejä, reagoida niihin ja lieventää niiden vaikutuksia. Jäsenvaltioiden olisi näin ollen varmistettava, että niillä on hyvin toimivat ja olennaiset vaatimukset täyttävät CSIRT-toimijat, toiselta nimeltään CERT-toimijat (computer emergency response teams eli tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvät ryhmät), jotta voidaan taata toimivat ja yhteensopivat valmiudet poikkeamien ja riskien varalta sekä varmistaa tehokas yhteistyö unionin tasolla. Jotta kaikentyyppiset keskeisten palvelujen tarjoajat ja digitaalisen palvelun tarjoajat voisivat hyötyä tällaisista valmiuksista ja yhteistyöstä, jäsenvaltioiden olisi varmistettava, että kaikki tyypit kuuluvat nimetyn CSIRT-toimijan piiriin. Kun otetaan huomioon kyberturvallisuutta koskevan kansainvälisen yhteistyön tärkeys, CSIRT-toimijoiden olisi voitava osallistua kansainvälisiin yhteistyöverkostoihin tällä direktiivillä perustetun CSIRT-verkoston lisäksi.

(35)

Koska useimmat verkko- ja tietojärjestelmät ovat yksityisten ylläpitämiä, julkisen ja yksityisen sektorin välinen yhteistyö on olennaisen tärkeää. Keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia olisi kannustettava kehittämään omia epävirallisia yhteistyömekanismejaan verkko- ja tietoturvajärjestelmien turvallisuuden varmistamiseksi. Yhteistyöryhmän olisi tarvittaessa voitava kutsua asiaankuuluvia sidosryhmiä keskusteluihin. Jotta voidaan tehokkaasti kannustaa tiedon ja parhaiden käytäntöjen jakamiseen, on välttämätöntä varmistaa, etteivät tällaisiin keskusteluihin osallistuvat keskeisten palvelujen tarjoajat ja digitaalisen palvelun tarjoajat joudu yhteistyönsä vuoksi epäsuotuisaan asemaan.

(36)

ENISAn olisi avustettava jäsenvaltioita ja komissiota tarjoamalla asiantuntemusta ja neuvontaa sekä helpottamalla parhaiden käytäntöjen vaihtamista. Erityisesti tätä direktiiviä sovellettaessa komission olisi kuultava ja jäsenvaltioiden olisi voitava kuulla ENISAa. Jäsenvaltioiden valmiuksien ja tietämyksen kehittämiseksi yhteistyöryhmän olisi myös toimittava välineenä, jonka avulla vaihdetaan parhaita käytäntöjä, keskustellaan jäsenvaltioiden toiminta- ja varautumiskyvystä sekä vapaaehtoisuuteen perustuen avustetaan sen jäseniä verkko- ja tietojärjestelmien turvallisuutta koskevien kansallisten strategioiden arvioimisessa, valmiuksien kehittämisessä sekä verkko- ja tietoturvajärjestelmien turvallisuutta koskevien harjoitusten arvioinnissa.

(37)

Jäsenvaltioiden olisi voitava tarvittaessa käyttää tai mukauttaa olemassa olevia organisaatiorakenteita tai strategioita tätä direktiiviä soveltaessaan.

(38)

Yhteistyöryhmän tehtävät ja ENISAn tehtävät ovat toisistaan riippuvaisia ja toisiaan täydentäviä. ENISAn olisi yleisesti avustettava yhteistyöryhmää sen tehtävien suorittamisessa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 526/2013 (7) säädetyn ENISAn tavoitteen mukaisesti, joka on auttaa unionin toimielimiä, elimiä, laitoksia ja virastoja sekä jäsenvaltioita panemaan täytäntöön toimintapolitiikat, joita tarvitaan nykyisissä ja tulevissa unionin säädöksissä asetettujen, verkko- ja tietojärjestelmien turvallisuuteen liittyvien lakisääteisten ja sääntelyllisten vaatimusten täyttämiseksi. ENISAn olisi erityisesti annettava apua aloilla, jotka vastaavat sen omia tehtäviä, jotka vahvistetaan asetuksessa (EU) N:o 526/2013 ja joita ovat verkko- ja tietojärjestelmien turvallisuutta koskevien strategioiden analysointi, verkko- ja tietojärjestelmien turvallisuutta koskevien unionin harjoitusten järjestämisen ja toteutuksen tukeminen sekä valistusta ja koulutusta koskevien tietojen ja parhaiden käytäntöjen vaihtaminen. ENISAn olisi osallistuttava myös niiden suuntaviivojen kehittämiseen, jotka koskevat toimialakohtaisia kriteerejä poikkeaman vaikutuksen merkityksen määrittämiseksi.

(39)

Verkko- ja tietojärjestelmien korkeatasoisen turvallisuuden edistämiseksi yhteistyöryhmän olisi tarvittaessa tehtävä yhteistyötä asiaankuuluvien unionin toimielinten, elinten, laitosten ja virastojen kanssa vaihtaakseen taitotietoa ja parhaita käytäntöjä sekä antaakseen neuvoja verkko- ja tietojärjestelmien turvallisuuteen liittyvistä seikoista, joilla voi olla vaikutusta niiden työskentelyyn, noudattaen samalla jakelultaan rajoitettujen tietojen vaihtamista koskevia olemassa olevia järjestelyjä. Tehdessään lainvalvontaviranomaisten kanssa yhteistyötä verkko- ja tietojärjestelmien turvallisuuteen liittyvissä kysymyksissä, joilla voi olla vaikutusta niiden työskentelyyn, yhteistyöryhmän olisi käytettävä olemassa olevia tiedonvaihtokanavia ja vakiintuneita verkostoja.

(40)

Poikkeamia koskevat tiedot ovat yhä arvokkaampia suurelle yleisölle ja yrityksille, erityisesti pienille ja keskisuurille yrityksille. Joissain tapauksissa tällaisia tietoja esitetään jo verkkosivustoilla kansallisella tasolla tietyn maan kielellä ja keskittyen pääasiassa poikkeamiin ja tapahtumiin, joilla on kansallista merkitystä. Koska yritysten toiminta on yhä useammin rajat ylittävää ja kansalaiset käyttävät verkkopalveluja, poikkeamia koskevat tiedot olisi annettava yhdistellyssä muodossa unionin tasolla. CSIRT-verkoston sihteeristöä kannustetaan ylläpitämään verkkosivustoa tai olemassa olevalla verkkosivustolla erityistä sivua, jossa yleisön käyttöön annetaan unionissa tapahtuneita merkittäviä poikkeamia koskevaa yleistä tietoa, jossa kiinnitetään erityistä huomiota yritysten etuihin ja tarpeisiin. CSIRT-verkostoon osallistuvia CSIRT-toimijoita kannustetaan tarjoamaan tietoja julkaistavaksi tällä verkkosivustolla vapaaehtoisuuteen perustuen sisällyttämättä mukaan luottamuksellisia tai arkaluonteisia tietoja.

(41)

Jos tietoja pidetään luottamuksellisina liikesalaisuuksia koskevien unionin ja kansallisten sääntöjen mukaisesti, tällainen luottamuksellisuus olisi varmistettava tässä direktiivissä säädettyjen toimien ja tavoitteiden toteuttamisen yhteydessä.

(42)

Harjoitukset, joissa simuloidaan reaaliaikaisia poikkeamaskenaarioita, ovat olennaisen tärkeitä jäsenvaltioiden varautumiskyvyn ja yhteistyön testaamiseksi verkko- ja tietojärjestelmien turvallisuuden osalta. CyberEurope-harjoitussykli, jota ENISA koordinoi jäsenvaltioiden kanssa, on hyödyllinen väline testaukseen ja suositusten laatimiseen siitä, miten poikkeamien käsittelyä unionin tasolla olisi ajan kuluessa parannettava. Ottaen huomioon, että jäsenvaltioilla ei ole tällä hetkellä mitään velvollisuutta suunnitella harjoituksia tai osallistua niihin, CSIRT-verkoston perustamisen tämän direktiivin nojalla olisi mahdollistettava se, että jäsenvaltiot voivat osallistua harjoituksiin täsmällisen suunnittelun ja strategisten valintojen pohjalta. Tämän direktiivin nojalla perustetun yhteistyöryhmän olisi keskusteltava harjoituksia koskevista strategisista päätöksistä, jotka koskevat erityisesti, vaikkakaan eivät yksinomaan, harjoitusten säännöllisyyttä ja skenaarioiden suunnittelua. ENISAn olisi toimeksiantonsa mukaisesti tuettava unionin laajuisten harjoitusten järjestämistä ja toteuttamista tarjoamalla asiantuntemustaan ja neuvojaan yhteistyöryhmälle ja CSIRT-verkostolle.

(43)

Verkko- ja tietojärjestelmiin vaikuttavien turvallisuusongelmien maailmanlaajuisen luonteen vuoksi tarvitaan tiiviimpää kansainvälistä yhteistyötä, jolla voidaan parantaa turvallisuusstandardeja ja tiedonvaihtoa sekä edistää yhteistä maailmanlaajuista lähestymistapaa turvallisuuskysymyksiin.

(44)

Vastuu verkko- ja tietojärjestelmien turvallisuuden varmistamisesta lankeaa suurelta osin keskeisten palvelujen tarjoajille ja digitaalisen palvelun tarjoajille. Riskinhallintakulttuuria, johon sisältyy riskinarviointi ja riskeihin suhteutettujen turvallisuustoimenpiteiden toteuttaminen, olisi edistettävä ja kehitettävä asianmukaisten sääntelyvaatimusten ja toimialojen vapaaehtoisten käytäntöjen kautta. Luotettavien ja tasavertaisten toimintaedellytysten luominen on myös olennaista yhteistyöryhmän ja CSIRT-verkoston tehokkaan toiminnan kannalta, jotta voidaan varmistaa tuloksellinen yhteistyö kaikkien jäsenvaltioiden taholta.

(45)

Tätä direktiiviä sovelletaan ainoastaan niihin julkishallintoihin, jotka on määritetty keskeisten palvelujen tarjoajiksi. Jäsenvaltioiden tehtävänä on näin ollen varmistaa niiden julkishallintojen verkko- ja tietojärjestelmien turvallisuus, jotka eivät kuulu tämän direktiivin soveltamisalaan.

(46)

Riskinhallintatoimenpiteisiin sisältyvät toimenpiteet, joilla tunnistetaan mahdolliset poikkeamien riskit, estetään, havaitaan ja käsitellään poikkeamat ja lievennetään niiden vaikutusta. Verkko- ja tietojärjestelmien turvallisuus käsittää tallennettujen, siirrettyjen ja käsiteltyjen tietojen turvallisuuden.

(47)

Toimivaltaisten viranomaisten olisi edelleen voitava hyväksyä kansallisia suuntaviivoja olosuhteista, joissa keskeisten palvelujen tarjoajien edellytetään ilmoittavan poikkeamista.

(48)

Monet unionin yritykset ovat riippuvaisia digitaalisen palvelun tarjoajista palvelujensa tarjoamiseksi. Koska jotkin digitaaliset palvelut voivat olla merkittävä resurssi käyttäjilleen, keskeisten palvelujen tarjoajat mukaan lukien, ja koska tällaisilla käyttäjillä ei kenties aina ole käytettävissään vaihtoehtoja, tätä direktiiviä olisi sovellettava myös tällaisten palvelujen tarjoajiin. Tässä direktiivissä tarkoitettujen digitaalisten palvelujen tyyppien turvallisuus, jatkuvuus ja luotettavuus ovat olennaisen tärkeitä useiden yritysten moitteettomalle toiminnalle. Tällaisen digitaalisen palvelun häiriö voisi estää muiden siitä riippuvaisten palvelujen tarjoamisen, ja sillä voisi näin olla vaikutus keskeisiin talouden ja yhteiskunnan toimintoihin unionissa. Tällaiset digitaaliset palvelut saattavat siis olla ratkaisevan tärkeitä niistä riippuvaisten yritysten moitteettomalle toiminnalle sekä tällaisten yritysten osallistumiselle sisämarkkinoihin ja rajat ylittävään kauppaan unionin alueella. Tämän direktiivin soveltamisalaan kuuluvia digitaalisen palvelun tarjoajia ovat ne, joiden katsotaan tarjoavan digitaalisia palveluja, joista monet unionin yritykset ovat lisääntyvässä määrin riippuvaisia.

(49)

Digitaalisen palvelun tarjoajien olisi varmistettava turvallisuuden taso, joka on oikeassa suhteessa niiden tarjoamien digitaalisten palvelujen turvallisuuteen kohdistuvan riskin suuruuteen, ottaen huomioon niiden palvelujen merkitys muiden yritysten toiminnalle unionissa. Käytännössä riskin suuruus on keskeisten palvelujen tarjoajille korkeampi kuin digitaalisen palvelun tarjoajille, koska keskeiset palvelut ovat usein olennaisia yhteiskunnan ja talouden kriittisten toimintojen ylläpitämiseksi. Näin ollen digitaalisen palvelun tarjoajia koskevien turvallisuusvaatimusten olisi oltava löyhempiä. Digitaalisen palvelun tarjoajilla olisi oltava vapaus toteuttaa toimenpiteet, jotka ne katsovat aiheellisiksi verkko- ja tietojärjestelmiensä turvallisuuteen kohdistuvien riskien hallitsemiseksi. Rajat ylittävän luonteensa vuoksi digitaalisen palvelun tarjoajiin olisi sovellettava yhdenmukaistetumpaa lähestymistapaa unionin tasolla. Tällaisten toimenpiteiden määrittämistä ja täytäntöönpanoa olisi helpotettava täytäntöönpanosäädöksillä.

(50)

Laitteiden valmistajat ja ohjelmistojen kehittäjät eivät ole keskeisten palvelujen tarjoajia eivätkä digitaalisen palvelun tarjoajia, mutta niiden tuotteet lisäävät verkko- ja tietojärjestelmien turvallisuutta. Niillä on tämän vuoksi merkittävä rooli sen mahdollistamisessa, että keskeisten palvelujen tarjoajat ja digitaalisen palvelun tarjoajat voivat turvata verkko- ja tietojärjestelmänsä. Tällaisiin laite- ja ohjelmistotuotteisiin sovelletaan jo tuotevastuuta koskevia olemassa olevia sääntöjä.

(51)

Keskeisten palvelujen tarjoajille ja digitaalisen palvelun tarjoajille määrättävät tekniset ja organisatoriset toimenpiteet eivät saisi edellyttää jonkin tietyn kaupallisen tieto- ja viestintäteknologiatuotteen suunnittelua, kehittämistä tai valmistamista tietyllä tavalla.

(52)

Keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien olisi varmistettava käyttämiensä verkko- ja tietojärjestelmien turvallisuus. Näitä ovat ensisijaisesti yksityiset verkko- ja tietojärjestelmät, joita hallinnoi niiden oma tietotekninen henkilöstö tai joiden tietoturvahallinto on ulkoistettu. Turvallisuus- ja ilmoitusvaatimuksia olisi sovellettava asiaankuuluviin keskeisten palvelujen tarjoajiin ja digitaalisen palvelun tarjoajiin riippumatta siitä, huolehtivatko ne verkko- ja tietojärjestelmiensä ylläpidosta sisäisesti vai ulkoistavatko ne sen.

(53)

Jotta keskeisten palvelujen tarjoajille ja digitaalisen palvelun tarjoajille ei aiheutuisi suhteetonta taloudellista ja hallinnollista rasitetta, vaatimusten olisi oltava oikeassa suhteessa kulloisenkin verkko- ja tietojärjestelmän aiheuttamaan riskiin ottaen huomioon tällaisiin toimenpiteisiin käytettävä uusin tekniikka. Kun kyse on digitaalisen palvelun tarjoajista, näitä vaatimuksia ei olisi sovellettava mikroyrityksiin ja pieniin yrityksiin.

(54)

Kun jäsenvaltioiden julkishallinnot käyttävät digitaalisen palvelun tarjoajien tarjoamia palveluja, erityisesti pilvipalveluja, ne saattavat haluta edellyttää tällaisten palvelujen tarjoajilta ylimääräisiä turvallisuustoimenpiteitä niiden toimenpiteiden lisäksi, joita digitaalisen palvelun tarjoajat tavanomaisesti tarjoaisivat tämän direktiivin vaatimusten mukaisesti. Niiden olisi voitava tehdä niin sopimusvelvoitteita käyttäen.

(55)

Tässä direktiivissä vahvistetut verkossa toimivien markkinapaikkojen, verkossa toimivien hakukoneiden ja pilvipalvelujen määritelmät on tarkoitettu nimenomaisesti tätä direktiiviä varten, eivätkä ne rajoita muiden välineiden soveltamista.

(56)

Tämän direktiivin ei olisi estettävä jäsenvaltioita hyväksymästä kansallisia toimenpiteitä, joilla vaaditaan julkisen sektorin elimiä varmistamaan erityiset turvallisuusvaatimukset, kun ne tekevät hankintasopimuksia pilvipalveluista. Tällaisia kansallisia toimenpiteitä olisi sovellettava kyseiseen julkisen sektorin elimeen eikä pilvipalvelujen tarjoajaan.

(57)

Koska keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien välillä on perustavanlaatuisia eroja, kun otetaan huomioon erityisesti edellisten suora yhteys fyysiseen infrastruktuuriin ja jälkimmäisten rajat ylittävä luonne, tässä direktiivissä olisi sovellettava eriytettyä lähestymistapaa näihin kahteen toimijaryhmään liittyvään yhdenmukaistamisen tasoon. Keskeisten palvelujen tarjoajien osalta jäsenvaltioiden olisi voitava määrittää asiaankuuluvat palvelujen tarjoajat ja määrätä vaatimuksia, jotka ovat tiukempia kuin tässä direktiivissä säädetyt. Jäsenvaltioiden ei olisi määritettävä digitaalisen palvelun tarjoajia, koska tätä direktiiviä olisi sovellettava kaikkiin sen soveltamisalaan kuuluviin digitaalisen palvelun tarjoajiin. Lisäksi tällä direktiivillä ja sen nojalla hyväksytyillä täytäntöönpanosäädöksillä olisi varmistettava digitaalisen palvelun tarjoajia koskeva korkea yhdenmukaistamisen taso turvallisuus- ja ilmoitusvaatimusten osalta. Tämän olisi mahdollistettava digitaalisen palvelun tarjoajien yhdenmukainen kohtelu koko unionissa tavalla, joka on oikeasuhteinen niiden luonteeseen ja niihin mahdollisesti kohdistuvan riskin suuruuteen nähden.

(58)

Tämän direktiivin ei olisi estettävä jäsenvaltioita asettamasta turvallisuus- ja ilmoitusvaatimuksia toimijoille, jotka eivät ole tämän direktiivin soveltamisalaan kuuluvia digitaalisen palvelun tarjoajia, sanotun kuitenkaan rajoittamatta unionin oikeuden mukaisia jäsenvaltioiden velvollisuuksia.

(59)

Toimivaltaisten viranomaisten olisi kiinnitettävä asianmukaista huomiota epävirallisten ja luotettavien tiedonjakokanavien säilyttämiseen. Toimivaltaisille viranomaisille raportoitujen poikkeamien julkistamisessa olisi otettava asianmukaisesti ja tasapainoisesti huomioon yleisön yleinen etu saada tietoa uhista sekä toisaalta poikkeamista raportoivien keskeisten palvelujen tarjoajien ja digitaalisen palvelun tarjoajien mahdollinen maineen vahingoittuminen ja niille mahdollisesti koituva taloudellinen vahinko. Ilmoitusvelvollisuuksien täytäntöönpanossa toimivaltaisten viranomaisten ja CSIRT-toimijoiden olisi kiinnitettävä erityistä huomiota tarpeeseen pitää tuotteiden haavoittuvuutta koskevat tiedot tiukasti luottamuksellisina ennen asiaankuuluvien turvallisuuspäivitysten julkistamista.

(60)

Digitaalisen palvelun tarjoajiin olisi sovellettava kevyitä ja reaktiivisia jälkikäteen toteutettavia valvontatoimia, jotka ovat perusteltavissa niiden palvelujen ja toiminnan luonteella. Asianomaisen toimivaltaisen viranomaisen olisi näin ollen ryhdyttävä toimiin ainoastaan silloin, kun sille esitetään näyttöä esimerkiksi digitaalisen palvelun tarjoajan itsensä, toisen toimivaltaisen viranomaisen, mukaan lukien toisen jäsenvaltion toimivaltainen viranomainen, tai palvelun käyttäjän toimesta siitä, että digitaalisen palvelun tarjoaja ei noudata tämän direktiivin vaatimuksia, etenkin poikkeaman jo tapahduttua. Toimivaltaisella viranomaisella ei siis pitäisi olla yleistä velvoitetta valvoa digitaalisen palvelun tarjoajia.

(61)

Toimivaltaisilla viranomaisilla olisi oltava tarvittavat keinot suorittaa tehtävänsä, mukaan lukien toimivalta saada riittävät tiedot arvioidakseen verkko- ja tietojärjestelmien turvallisuuden tason.

(62)

Poikkeamat saattavat olla seurausta rikollisesta toiminnasta, jonka torjumista, tutkimista ja syytteeseenpanoa tuetaan keskeisten palvelujen tarjoajien, digitaalisen palvelun tarjoajien, toimivaltaisten viranomaisten ja lainvalvontaviranomaisten välisellä koordinoinnilla ja yhteistyöllä. Jos epäillään, että poikkeama liittyy unionin tai kansallisen oikeuden mukaiseen vakavaan rikolliseen toimintaan, jäsenvaltioiden olisi kannustettava keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia raportoimaan asiaankuuluville lainvalvontaviranomaisille poikkeamista, joiden epäillään olevan vakavaan rikollisuuteen liittyviä. On toivottavaa, että Euroopan verkkorikostorjuntakeskus (EC3) ja ENISA helpottavat tarvittaessa eri jäsenvaltioiden toimivaltaisten viranomaisten ja lainvalvontaviranomaisten välistä koordinointia.

(63)

Poikkeamat vaarantavat monissa tapauksissa henkilötietoja. Toimivaltaisten viranomaisten ja tietosuojaviranomaisten olisi tässä yhteydessä tehtävä yhteistyötä ja vaihdettava tietoja kaikista asiaankuuluvista seikoista, jotta voidaan puuttua poikkeamista johtuviin henkilötietojen tietoturvaloukkauksiin.

(64)

Digitaalisen palvelun tarjoajia koskeva lainkäyttövalta olisi annettava sille jäsenvaltiolle, jossa asianomaisella digitaalisen palvelun tarjoajalla on pääasiallinen toimipaikkansa unionissa, joka periaatteessa vastaa paikkaa, jossa palvelun tarjoajalla on kotipaikkansa unionissa. Sijoittautuminen edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa. Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike tai tytäryhtiö, jolla on oikeushenkilöys, ei ole tältä osin ratkaisevaa merkitystä. Tämän kriteerin ei pitäisi olla riippuvainen siitä, sijaitsevatko verkko- ja tietojärjestelmät fyysisesti tietyssä paikassa; tällaisten järjestelmien olemassaolo ja käyttö eivät itsessään muodosta tällaista pääasiallista toimipaikkaa, eivätkä ne näin ollen ole kriteerejä pääasiallisen toimipaikan määrittämiseksi.

(65)

Jos digitaalisen palvelun tarjoaja, joka ei ole sijoittautunut unioniin, tarjoaa palveluja unionissa, sen olisi nimettävä edustaja. Jotta voidaan määrittää, tarjoaako tällainen digitaalisen palvelun tarjoaja palveluja unionissa, olisi varmistettava, onko ilmeistä, että digitaalisen palvelun tarjoaja aikoo tarjota palveluja henkilöille yhdessä tai useammassa jäsenvaltiossa. Pelkkä digitaalisen palvelun tarjoajan tai välittäjän verkkosivuston tai sähköpostiosoitteen ja muiden yhteystietojen saatavuus unionissa taikka se, että käytetään siinä kolmannessa maassa, johon digitaalisen palvelun tarjoaja on sijoittautunut, yleisesti käytettävää kieltä, ei riitä tällaisen aikomuksen varmistamiseksi. Sellaiset seikat, kuten yhdessä tai useammassa jäsenvaltiossa yleisesti käytettävän kielen tai rahayksikön käyttö ja mahdollisuus tilata palveluja kyseisellä muulla kielellä tai maininta unionissa olevista asiakkaista tai käyttäjistä, voivat kuitenkin osoittaa olevan ilmeistä, että digitaalisen palvelun tarjoaja aikoo tarjota palveluja unionissa. Edustajan olisi toimittava digitaalisen palvelun tarjoajan puolesta, ja toimivaltaisten viranomaisten tai CSIRT-toimijoiden olisi voitava ottaa yhteyttä edustajaan. Edustaja olisi nimenomaisesti nimettävä digitaalisen palvelun tarjoajan antamalla kirjallisella valtuutuksella hoitamaan tämän puolesta tämän direktiivin mukaiset velvollisuudet, mukaan lukien poikkeamista raportointi.

(66)

Turvallisuusvaatimusten standardointi tapahtuu markkinavetoisesti. Turvallisuusstandardien johdonmukaisen soveltamisen varmistamiseksi jäsenvaltioiden olisi edistettävä tiettyjen standardien noudattamista tai standardienmukaisuutta, jotta voidaan varmistaa verkko- ja tietojärjestelmien turvallisuuden korkea taso unionissa. ENISAn olisi avustettava jäsenvaltioita neuvoin ja suuntaviivoin. Tätä varten voi olla hyödyllistä laatia yhdenmukaistettuja standardeja, mikä olisi tehtävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 (8) mukaisesti.

(67)

Tämän direktiivin soveltamisalaan kuulumattomat toimijat voivat havaita poikkeamia, joilla on merkittävä vaikutus niiden tarjoamiin palveluihin. Kun tällaiset toimijat katsovat, että on yleisen edun mukaista ilmoittaa tällaisten poikkeamien esiintymisestä, niiden olisi voitava tehdä niin vapaaehtoisesti. Toimivaltaisen viranomaisen tai CSIRT-toimijan olisi käsiteltävä tällaiset ilmoitukset, jos tällainen käsittely ei muodosta kohtuutonta tai aiheetonta rasitetta kyseessä oleville jäsenvaltioille.

(68)

Jotta voidaan varmistaa tämän direktiivin yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa vahvistaa yhteistyöryhmän toimintaa varten tarvittavat menettelytapajärjestelyt sekä digitaalisen palvelun tarjoajiin sovellettavat turvallisuus- ja ilmoitusvaatimukset. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (9) mukaisesti. Hyväksyessään yhteistyöryhmän toimintaa varten tarvittavia menettelytapajärjestelyjä koskevia täytäntöönpanosäädöksiä komission olisi otettava mahdollisimman tarkasti huomioon ENISAn lausunto.

(69)

Kun komissio hyväksyy täytäntöönpanosäädöksiä digitaalisen palvelun tarjoajia koskevista turvallisuusvaatimuksista, sen olisi otettava mahdollisimman tarkasti huomioon ENISAn lausunto sekä kuultava asianomaisia sidosryhmiä. Lisäksi komissiota kannustetaan ottamaan huomioon seuraavat esimerkit: järjestelmien ja tilojen turvallisuuden osalta: fyysinen turvallisuus ja ympäristön turvallisuus, toimitusvarmuus, verkko- ja tietojärjestelmiin pääsyn valvonta sekä verkko- ja tietojärjestelmien eheys; poikkeamien käsittelyn osalta: poikkeamien käsittelymenettelyt, poikkeamien havaitsemisvalmius, poikkeamista raportoiminen ja tiedottaminen; liiketoiminnan jatkuvuuden hallinnan osalta: palvelun jatkuvuutta koskeva strategia ja varautumissuunnitelmat, palautumisvalmiudet; ja seurannan, tarkastusten ja testausten osalta: seuranta- ja lokinpitomenettelyt, varautumissuunnitelmien läpiviennit, verkko- ja tietojärjestelmien testaus, turvallisuusarvioinnit ja vaatimustenmukaisuuden seuranta.

(70)

Tätä direktiiviä täytäntöönpantaessa komission olisi pidettävä tarpeen mukaan yhteyttä asiaankuuluviin toimialakohtaisiin komiteoihin ja asiaankuuluviin elimiin, jotka on perustettu unionin tasolla tämän direktiivin soveltamisalaan kuuluvilla aloilla.

(71)

Komission olisi tarkasteltava tätä direktiiviä säännöllisin väliajoin uudelleen asianomaisia sidosryhmiä kuullen, erityisesti yhteiskunnan, politiikan, tekniikan ja markkinaolojen kehitykseen perustuvien muutostarpeiden selvittämiseksi.

(72)

Riskejä ja poikkeamia koskevien tietojen jakaminen yhteistyöryhmässä ja CSIRT-verkostossa sekä poikkeamista kansallisille toimivaltaisille viranomaisille tai CSIRT-toimijoille ilmoittamista koskevien vaatimusten noudattaminen saattaa edellyttää henkilötietojen käsittelyä. Tällaisessa käsittelyssä olisi noudatettava Euroopan parlamentin ja neuvoston direktiiviä 95/46/EY (10) sekä Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 (11). Tätä direktiiviä sovellettaessa olisi soveltuvin osin sovellettava Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1049/2001 (12).

(73)

Euroopan tietosuojavaltuutettua kuultiin asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti, ja hän antoi lausunnon 14 päivänä kesäkuuta 2013 (13).

(74)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän direktiivin tavoitetta eli yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden saavuttamista unionissa, vaan se voidaan toiminnan vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä direktiivissä ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi.

(75)

Tässä direktiivissä kunnioitetaan Euroopan unionin perusoikeuskirjassa tunnustettuja perusoikeuksia ja noudatetaan siinä tunnustettuja periaatteita, erityisesti oikeutta yksityiselämän ja viestien kunnioittamiseen, henkilötietojen suojaa, elinkeinovapautta, omistusoikeutta, oikeutta tehokkaisiin oikeussuojakeinoihin tuomioistuimessa ja oikeutta tulla kuulluksi. Tämä direktiivi olisi pantava täytäntöön näiden oikeuksien ja periaatteiden mukaisesti,

a)

säädetään kaikkien jäsenvaltioiden velvollisuuksista hyväksyä verkko- ja tietojärjestelmien turvallisuutta koskeva kansallinen strategia;

b)

luodaan yhteistyöryhmä tukemaan ja helpottamaan strategista yhteistyötä ja tiedonvaihtoa jäsenvaltioiden kesken sekä kehittämään luottamusta ja luotettavuutta niiden keskuudessa;

c)

luodaan tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (computer security incident response teams) verkosto, jäljempänä ’CSIRT-verkosto’, edistämään luottamuksen ja luotettavuuden kehittämistä jäsenvaltioiden välillä sekä edistämään ripeää ja tehokasta operatiivista yhteistyötä;

d)

otetaan käyttöön keskeisten palvelujen tarjoajia sekä digitaalisen palvelun tarjoajia koskevat turvallisuus- ja ilmoitusvaatimukset;

e)

säädetään jäsenvaltioiden velvollisuuksista nimetä kansalliset toimivaltaiset viranomaiset, keskitetyt yhteyspisteet ja CSIRT-toimijat, joiden tehtävät liittyvät verkko- ja tietojärjestelmien turvallisuuteen.

1)

’verkko- ja tietojärjestelmällä’

2)

’verkko- ja tietojärjestelmien turvallisuudella’ verkko- ja tietojärjestelmien kykyä suojautua tietyllä varmuudella toimilta, jotka vaarantavat tallennettujen tai siirrettyjen tai käsiteltyjen tietojen taikka muiden kyseisissä verkko- ja tietojärjestelmissä tarjottujen tai niiden välityksellä saatavilla olevien palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden;

3)

’verkko- ja tietojärjestelmien turvallisuutta koskevalla kansallisella strategialla’ kehystä, jossa esitetään verkko- ja tietojärjestelmien turvallisuutta koskevat kansallisen tason strategiset tavoitteet ja painopisteet;

4)

’keskeisten palvelujen tarjoajalla’ julkista tai yksityistä toimijaa, joka on liitteessä II tarkoitettua tyyppiä ja täyttää 5 artiklan 2 kohdassa säädetyt kriteerit;

5)

’digitaalisella palvelulla’ Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (17) 1 artiklan 1 kohdan b alakohdassa tarkoitettua palvelua, joka on liitteessä III lueteltua tyyppiä;

6)

’digitaalisen palvelun tarjoajalla’ oikeushenkilöä, joka tarjoaa digitaalista palvelua;

7)

’poikkeamalla’ mitä tahansa tapahtumaa, joka tosiasiassa vaikuttaa haitallisesti verkko- ja tietojärjestelmien turvallisuuteen;

8)

’poikkeamien käsittelyllä’ kaikkia menettelyjä, jotka tukevat poikkeaman havaitsemista, analyysia ja sen vaikutusten rajoittamista sekä siihen reagointia;

9)

’riskillä’ mitä tahansa kohtuullisesti tunnistettavissa olevaa tilannetta tai tapahtumaa, joka saattaa vaikuttaa haitallisesti verkko- ja tietojärjestelmien turvallisuuteen;

10)

’edustajalla’ unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, joka on nimenomaisesti nimetty toimimaan sellaisen digitaalisen palvelun tarjoajan puolesta, joka ei ole sijoittautunut unioniin; kansallinen toimivaltainen viranomainen tai CSIRT-toimija voi ottaa yhteyttä tällaiseen edustajaan digitaalisen palvelun tarjoajan sijasta kyseisen digitaalisen palvelun tarjoajan tämän direktiivin mukaisten velvollisuuksien osalta;

11)

’standardilla’ asetuksen (EU) N:o 1025/2012 2 artiklan 1 kohdassa tarkoitettua standardia;

12)

’eritelmällä’ asetuksen (EU) N:o 1025/2012 2 artiklan 4 kohdassa tarkoitettua teknistä eritelmää;

13)

’internetin yhdysliikennepisteellä (IXP)’ verkkoinfrastruktuurin osaa, joka mahdollistaa useamman kuin kahden riippumattoman autonomisen järjestelmän yhdistämisen pääasiassa internetliikenteen välittämisen helpottamiseksi; IXP tarjoaa yhteenliittämistä ainoastaan autonomisille järjestelmille; IXP ei edellytä minkään yhteenliittämänsä kahden autonomisen järjestelmän väliseltä internetliikenteeltä kulkemista minkään kolmannen autonomisen järjestelmän kautta, eikä se muuta tällaista liikennettä tai muutoin puutu siihen;

14)

’nimipalvelulla’ hajautettua hierarkkista verkon nimijärjestelmää, joka käsittelee nimipalvelukyselyjä;

15)

’nimipalvelujen tarjoajalla’ toimijaa, joka tarjoaa nimipalveluja internetissä;

16)

’aluetunnusrekisterillä’ toimijaa, joka hallinnoi ja hoitaa internetin verkkotunnusten rekisteröintiä tietyn aluetunnuksen puitteissa;

17)

’verkossa toimivalla markkinapaikalla’ digitaalista palvelua, joka antaa Euroopan parlamentin ja neuvoston direktiivin 2013/11/EU (18) 4 artiklan 1 kohdan a alakohdassa määritellyille kuluttajille ja/tai kyseisen direktiivin 4 artiklan 1 kohdan b alakohdassa määritellyille elinkeinonharjoittajille mahdollisuuden tehdä verkossa kauppa- tai palvelusopimuksia elinkeinonharjoittajien kanssa joko verkossa toimivan markkinapaikan verkkosivustolla tai elinkeinonharjoittajan verkkosivustolla, joka käyttää verkossa toimivan markkinapaikan tarjoamia tietojenkäsittelypalveluja;

18)

’verkossa toimivalla hakukoneella’ digitaalista palvelua, joka antaa käyttäjille mahdollisuuden tehdä hakuja periaatteessa kaikilta verkkosivustoilta tai tietynkielisiltä verkkosivustoilta mitä tahansa aihetta koskevan hakusanan, lausekkeen tai muun tiedon muodossa tehdyn kyselyn perusteella ja joka antaa tulokseksi linkkejä, joista voi saada pyydettyyn sisältöön liittyvää tietoa;

19)

’pilvipalvelulla’ digitaalista palvelua, joka mahdollistaa pääsyn skaalautuvaan ja mukautuvaan joukkoon jaettavissa olevia tietoteknisiä resursseja.

a)

toimija tarjoaa palvelua, joka on keskeinen yhteiskunnan ja/tai talouden kriittisten toimintojen ylläpitämiseksi;

b)

kyseisen palvelun tarjoaminen on riippuvainen verkko- ja tietojärjestelmistä; ja

c)

poikkeamalla olisi merkittäviä haitallisia vaikutuksia kyseisen palvelun tarjoamiseen.

a)

kansalliset toimenpiteet, joiden avulla keskeisten palvelujen tarjoajat voidaan määrittää;

b)

edellä 3 kohdassa tarkoitettu luettelo palveluista;

c)

kunkin liitteessä II tarkoitetun toimialan osalta määritettyjen keskeisten palvelujen tarjoajien lukumäärä ja tiedot niiden merkityksestä kyseessä olevan alanosalta;

d)

kynnysarvot, jos sellaisia on olemassa, asiaankuuluvan toimitustason määrittämiseksi 6 artiklan 1 kohdan a alakohdassa tarkoitetun kyseisestä palvelusta riippuvaisten käyttäjien lukumäärän perusteella tai 6 artiklan 1 kohdan f alakohdassa tarkoitetun kyseisen keskeisten palvelujen tarjoajan merkityksen perusteella.

a)

asianomaisen toimijan tarjoamasta palvelusta riippuvaisten käyttäjien lukumäärä;

b)

muiden liitteessä II tarkoitettujen toimialojen riippuvaisuus kyseisen toimijan tarjoamasta palvelusta;

c)

vaikutus, joka poikkeamilla voisi olla vakavuutensa ja kestonsa perusteella talouden ja yhteiskunnan toimintoihin tai yleiseen turvallisuuteen;

d)

kyseisen toimijan markkinaosuus;

e)

maantieteellinen levinneisyys alueella, johon poikkeama saattaa vaikuttaa;

f)

toimijan merkitys palvelun riittävän tason ylläpitämisessä ottaen huomioon kyseisen palvelun tarjoamista koskevien vaihtoehtoisten keinojen saatavuus.

a)

verkko- ja tietojärjestelmien turvallisuutta koskevan kansallisen strategian tavoitteet ja painopisteet;

b)

ohjauskehys verkko- ja tietojärjestelmien turvallisuutta koskevan kansallisen strategian tavoitteiden ja painopisteiden saavuttamiseksi, mukaan lukien valtion elinten ja muiden asiaankuuluvien toimijoiden tehtävät ja vastuut;

c)

varautumiskykyyn, reagointiin ja toimintakunnon palauttamiseen liittyvien toimenpiteiden yksilöinti, mukaan lukien julkisen ja yksityisen sektorin välinen yhteistyö;

d)

tiedot verkko- ja tietojärjestelmien turvallisuutta koskevaan kansalliseen strategiaan liittyvistä opetus-, valistus- ja koulutusohjelmista;

e)

tiedot verkko- ja tietojärjestelmien turvallisuutta koskevaan kansalliseen strategiaan liittyvistä tutkimus- ja kehityssuunnitelmista;

f)

riskinarviointisuunnitelma riskien yksilöimiseksi;

g)

luettelo verkko- ja tietojärjestelmien turvallisuutta koskevan kansallisen strategian täytäntöönpanoon osallistuvista eri toimijoista.

a)

strategisen ohjeistuksen antaminen 12 artiklan nojalla perustetun CSIRT-verkoston toimia varten;

b)

parhaiden käytäntöjen vaihtaminen 14 artiklan 3 ja 5 kohdassa sekä 16 artiklan 3 ja 6 kohdassa tarkoitettuun poikkeamien ilmoittamiseen liittyvästä tiedonvaihdosta;

c)

parhaiden käytäntöjen vaihtaminen jäsenvaltioiden välillä ja jäsenvaltioiden avustaminen yhteistyössä ENISAn kanssa valmiuksien kehittämisessä verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi;

d)

keskusteleminen jäsenvaltioiden valmiuksista ja varautumiskyvystä sekä vapaaehtoisuuteen perustuva verkko- ja tietojärjestelmien turvallisuutta koskevien kansallisten strategioiden ja CSIRT-toimijoiden tehokkuuden arvioiminen sekä parhaiden käytäntöjen määrittäminen;

e)

tietojen ja parhaiden käytäntöjen vaihtaminen valistuksesta ja koulutuksesta;

f)

tietojen ja parhaiden käytäntöjen vaihtaminen verkko- ja tietojärjestelmien turvallisuutta koskevasta tutkimuksesta ja kehityksestä;

g)

tarvittaessa kokemusten vaihtaminen verkko- ja tietojärjestelmien turvallisuutta koskevista kysymyksistä asiaankuuluvien unionin toimielinten, elinten, virastojen ja laitosten kanssa;

h)

keskusteleminen 19 artiklassa tarkoitetuista standardeista ja eritelmistä asiaankuuluvien eurooppalaisten standardointiorganisaatioiden edustajien kanssa;

i)

tiedon kerääminen riskejä ja poikkeamia koskevista parhaista käytännöistä;

j)

edellä 10 artiklan 3 kohdan toisessa alakohdassa tarkoitettujen tiivistelmäraporttien tarkasteleminen vuosittain;

k)

keskusteleminen toteutetuista toimista, jotka koskevat verkko- ja tietojärjestelmien turvallisuutta koskevia harjoituksia, opetusohjelmia ja koulutusta, mukaan lukien ENISAn toteuttamat toimet;

l)

parhaiden käytäntöjen vaihtaminen ENISAn avustuksella jäsenvaltioiden toteuttamasta keskeisten palvelujen tarjoajien määrittämisestä, myös rajat ylittävien riippuvuussuhteiden osalta, siltä osin kuin kyse on riskeistä ja poikkeamista;

m)

keskusteleminen järjestelyistä, jotka koskevat raportointia 14 ja 16 artiklassa tarkoitetuista poikkeamia koskevista ilmoituksista.

a)

tietojen vaihtaminen CSIRT-toimijoiden palveluista, toiminnoista ja yhteistyövalmiuksista;

b)

poikkeamaa ja siihen liittyviä riskejä koskevien muiden kuin kaupallisesti arkaluonteisten tietojen vaihtaminen ja niistä keskusteleminen sellaisen jäsenvaltion, johon kyseinen poikkeama mahdollisesti vaikuttaa, CSIRT-toimijan edustajan pyynnöstä; minkä tahansa jäsenvaltion CSIRT-toimija voi kuitenkin kieltäytyä osallistumasta tällaiseen keskusteluun, jos on olemassa riski siitä, että poikkeaman tutkimiselle aiheutuu haittaa;

c)

yksittäisiä poikkeamia koskevien ei-luottamuksellisten tietojen vaihtaminen ja niiden saataville asettaminen vapaaehtoisuuteen perustuen;

d)

jäsenvaltion lainkäyttöalueella tunnistetusta poikkeamasta keskusteleminen ja mahdollisuuksien mukaan tällaista poikkeamaa koskevan koordinoidun vastauksen määrittäminen kyseisen jäsenvaltion CSIRT-toimijan edustajan pyynnöstä;

e)

jäsenvaltioiden tukeminen rajat ylittävien poikkeamien käsittelyssä niiden vapaaehtoisen keskinäisen avunannon pohjalta;

f)

muista operatiivisen yhteistyön muodoista keskusteleminen sekä niiden tarkasteleminen ja määrittäminen, myös seuraavien osalta:

g)

tiedottaminen yhteistyöryhmälle CSIRT-verkoston toimista ja f alakohdan nojalla keskustelluista muista operatiivisen yhteistyön muodoista ja niitä koskevan ohjeistuksen pyytäminen;

h)

keskusteleminen verkko- ja tietojärjestelmien turvallisuutta koskevista harjoituksista saaduista kokemuksista, mukaan lukien ENISAn järjestämistä tällaisista harjoituksista saadut kokemukset;

i)

keskusteleminen yksittäisen CSIRT-toimijan valmiuksista ja varautumiskyvystä kyseisen CSIRT-toimijan pyynnöstä;

j)

suuntaviivojen laatiminen operatiivisten käytäntöjen lähentämisen helpottamiseksi siltä osin kuin kyse on operatiivista yhteistyötä koskevien tämän artiklan säännösten soveltamisesta.

a)

niiden käyttäjien lukumäärä, joihin keskeisen palvelun häiriö vaikuttaa;

b)

poikkeaman kesto;

c)

maantieteellinen levinneisyys alueella, johon poikkeama vaikuttaa.

a)

antamaan tiedot, jotka tarvitaan niiden verkko- ja tietojärjestelmien turvallisuuden arvioimiseksi, mukaan lukien todennettavassa muodossa olevat turvallisuusohjeet;

b)

esittämään näyttöä turvallisuusohjeiden tosiasiallisesta täytäntöönpanosta, kuten toimivaltaisen viranomaisen tai pätevän tarkastajan suorittaman turvallisuustarkastuksen tulokset, ja viimeksi mainitussa tapauksessa antamaan turvallisuustarkastuksen tulokset, mukaan lukien niitä tukeva näyttö, toimivaltaisen viranomaisen käyttöön.

a)

järjestelmien ja tilojen turvallisuus;

b)

poikkeamien käsittely;

c)

liiketoiminnan jatkuvuuden hallinta;

d)

seuranta, tarkastukset ja testaukset;

e)

kansainvälisten standardien noudattaminen.

a)

niiden käyttäjien lukumäärä, joihin poikkeama vaikuttaa, erityisesti niiden käyttäjien lukumäärä, jotka ovat riippuvaisia kyseessä olevasta palvelusta omien palvelujensa tarjoamiseksi;

b)

poikkeaman kesto;

c)

maantieteellinen levinneisyys alueella, johon poikkeama vaikuttaa;

d)

palvelun toiminnan häiriön laajuus;

e)

talouden ja yhteiskunnan toimintoihin kohdistuvan vaikutuksen laajuus.

a)

antavat niiden verkko- ja tietojärjestelmien turvallisuuden arvioimiseksi tarvittavat tiedot, mukaan lukien todennettavassa muodossa olevat turvallisuusohjeet;

b)

korjaavat mahdolliset puutteet 16 artiklassa säädettyjen vaatimusten täyttämisessä.