19.7.2016   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 194/1

(1)

Tīklu un informācijas sistēmām un pakalpojumiem ir liela nozīme sabiedrībā. To uzticamība un drošība ir būtiska ekonomiskās un sabiedriskās darbībās un jo īpaši iekšējā tirgus darbībā.

(2)

Drošības incidentu apmērs, biežums un ietekme pieaug un rada būtiskus draudus tīklu un informācijas sistēmu darbībai. Minētās sistēmas var arī kļūt par mērķi tīšām kaitnieciskām darbībām, kas vērstas uz sistēmu darbības bojāšanu vai apturēšanu. Šādi incidenti var kavēt ekonomisku darbību veikšanu, radīt ievērojamus finansiālus zaudējumus, apdraudēt lietotāju uzticēšanos un radīt lielu kaitējumu Savienības ekonomikai.

(3)

Tīklu un informācijas sistēmām un galvenokārt internetam ir būtiska nozīme, veicinot preču un pakalpojumu brīvu apriti un personu brīvu pārvietošanos pāri robežām. Minētā transnacionālā rakstura dēļ šo sistēmu būtiski traucējumi neatkarīgi no tā, vai tie ir tīši vai netīši un kur tie notiek, var ietekmēt dalībvalstis atsevišķi un Savienību kopumā. Tāpēc tīklu un informācijas sistēmu drošībai ir būtiska nozīme iekšējā tirgus netraucētas darbības nodrošināšanā.

(4)

Balstoties uz Dalībvalstu Eiropas forumā panākto ievērojamo progresu diskusiju un politikas paraugprakses apmaiņas veicināšanā, tostarp principu izstrādē attiecībā uz Eiropas sadarbību kiberkrīžu jomā, būtu jāizveido sadarbības grupa, kurā darbotos dalībvalstu pārstāvji, Komisija un Eiropas Savienības Tīklu un informācijas drošības aģentūra (ENISA), lai atbalstītu un sekmētu stratēģisku sadarbību starp dalībvalstīm attiecībā uz tīklu un informācijas sistēmu drošību. Lai minētā grupa būtu efektīva un iekļaujoša, ir svarīgi, lai visām dalībvalstīm būtu minimālās spējas un stratēģija, kas nodrošina augsta līmeņa tīklu un informācijas sistēmu drošību to teritorijā. Turklāt drošības un paziņošanas prasības būtu jāattiecina uz pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, lai veicinātu riska pārvaldības kultūru un nodrošinātu ziņošanu par nopietnākajiem incidentiem.

(5)

Esošās spējas nav pietiekamas, lai Savienībā nodrošinātu augsta līmeņa tīklu un informācijas sistēmu drošību. Dalībvalstīm ir ļoti atšķirīgu līmeņu sagatavotība, kas novedis pie tā, ka Eiropas Savienībā pastāv atšķirīgas pieejas. Tā rezultātā Savienībā rodas nevienlīdzīgs patērētāju un uzņēmumu aizsardzības līmenis un tiek pazemināts tīklu un informācijas sistēmu drošības kopējais līmenis. Savukārt kopīgu prasību trūkums saistībā ar pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem padara neiespējamu efektīva vispārēja sadarbības mehānisma izveidi Savienības līmenī. Minēto jomu pētniecības, izstrādes un inovācijas stimulēšanā izšķiroša nozīme ir augstskolām un pētniecības centriem.

(6)

Tāpēc, lai efektīvi reaģētu uz tīklu un informācijas sistēmu drošības problēmām, ir nepieciešama Savienības līmeņa vispārēja pieeja, kurā iekļautas kopīgas minimālās prasības attiecībā uz spēju veidošanu un plānošanu, informācijas apmaiņa, sadarbība un kopīgas drošības prasības pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem. Tomēr pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem netiek liegts īstenot drošības pasākumus, kas ir stingrāki nekā šajā direktīvā paredzētie.

(7)

Lai aptvertu visus attiecīgos incidentus un riskus, šī direktīva būtu jāpiemēro gan pamatpakalpojumu sniedzējiem, gan digitālo pakalpojumu sniedzējiem. Tomēr pamatpakalpojumu sniedzēju un digitālo pakalpojumu sniedzēju pienākumi nebūtu jāattiecina uz uzņēmumiem, kas nodrošina publisko komunikāciju tīklus vai sniedz publiski pieejamus elektronisko komunikāciju pakalpojumus Eiropas Parlamenta un Padomes Direktīvas 2002/21/EK (3) nozīmē, uz kuriem attiecas īpašas drošības un integritātes prasības, kas noteiktas minētajā direktīvā, un minētie pienākumi nebūtu jāattiecina arī uz uzticamības pakalpojumu sniedzējiem Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 (4) nozīmē, uz kuriem attiecas drošības prasības, kas noteiktas minētajā regulā.

(8)

Šai direktīvai nebūtu jāskar iespēja katrai dalībvalstij veikt vajadzīgos pasākumus, lai nodrošinātu savu būtisko drošības interešu aizsardzību, sabiedrisko kārtību un sabiedrības drošību, ļautu izmeklēt un atklāt noziedzīgus nodarījumus un sodīt par tiem. Saskaņā ar Līguma par Eiropas Savienības (LESD) 346. pantu dalībvalstīm nav jāsniedz informācija, kuras izpaušanu tās atzīst par būtisku savas drošības interešu apdraudējumu. Šajā kontekstā svarīgs ir Padomes Lēmums 2013/488/ES (5) un vienošanās par informācijas neizpaušanu vai neformālas vienošanās par informācijas neizpaušanu, piemēram, Gaismas signālu protokols.

(9)

Konkrētas ekonomikas nozares jau tiek regulētas vai varētu turpmāk tikt regulētas ar Savienības tiesību aktiem, kas attiecināmi uz konkrētu nozari un kas ietver noteikumus, kuri ir saistīti ar tīklu un informācijas sistēmu drošību. Ja minētajos Savienības tiesību aktos ir noteikumi, kas paredz prasības attiecībā uz tīklu un informācijas sistēmu drošību vai paziņojumiem par incidentiem, minētie noteikumi būtu jāpiemēro, ja tie ietver prasības, kuras ietekmes ziņā ir vismaz līdzvērtīgas šajā direktīvā ietvertajiem pienākumiem. Dalībvalstīm tādā gadījumā būtu jāpiemēro šāda uz konkrētu nozari attiecināma Savienības tiesību akta noteikumi, tostarp noteikumi attiecībā uz jurisdikciju, un nebūtu jāveic šajā direktīvā definētais pamatpakalpojumu sniedzēju identifikācijas process. Šajā kontekstā dalībvalstīm būtu jāsniedz Komisijai informācija par lex specialis noteikuma piemērošanu. Nosakot to, vai uz konkrētu nozari attiecināmajos Savienības tiesību aktos ietvertās prasības, kuras saistītas ar tīklu un informācijas sistēmu drošību un/vai incidentu paziņošanu, ir līdzvērtīgas tām, kas ietvertas šajā direktīvā, būtu jāņem vērā vienīgi atbilstīgo Savienības tiesību aktu noteikumi un to piemērošana dalībvalstīs.

(10)

Ūdens transporta nozarē drošības prasības uzņēmumiem, kuģiem, ostas iekārtām, ostām un kuģu satiksmes pakalpojumiem saskaņā ar Savienības tiesību aktiem attiecas uz visām darbībām, tostarp radio un telekomunikāciju sistēmām, datorsistēmām un tīkliem. Daļa no obligātajām procedūrām, kas jāievēro, ietver ziņošanu par visiem incidentiem, un tādēļ tās būtu jāuzskata par lex specialis, ciktāl minētās prasības ir vismaz līdzvērtīgas attiecīgajiem šīs direktīvas noteikumiem.

(11)

Identificējot pakalpojumu sniedzējus ūdens transporta nozarē, dalībvalstīm būtu jāņem vērā esošie un turpmākie starptautiskie kodeksi un pamatnostādnes, ko jo īpaši izstrādājusi Starptautiskā Jūrniecības organizācija, lai sniegtu individuāliem jūrniecības nozares pakalpojumu sniedzējiem saskaņotu pieeju.

(12)

Regulējums un uzraudzība banku un finanšu tirgus infrastruktūru nozarēs ir ļoti saskaņota Savienības līmenī, izmantojot Savienības primāros un sekundāros tiesību aktus un standartus, kas izstrādāti kopā ar Eiropas uzraudzības iestādēm. Banku savienībā minēto prasību piemērošanu un uzraudzību nodrošina vienotais uzraudzības mehānisms. Dalībvalstīs, kuras nav banku savienībā, to nodrošina attiecīgie dalībvalstu banku regulatori. Citās finanšu nozares regulējuma jomās Eiropas Finanšu uzraudzības sistēma arī nodrošina augstu uzraudzības prakses kopīguma un konverģences līmeni. Eiropas Vērtspapīru un tirgu iestādei arī ir tieša uzraudzības loma attiecībā uz konkrētām vienībām, proti, kredītreitingu aģentūrām un darījumu reģistriem.

(13)

Operacionālais risks ir būtiska prudenciālā regulējuma un uzraudzības daļa banku un finanšu tirgu infrastruktūru nozarēs. Tas attiecas uz visām darbībām, tostarp tīklu un informācijas sistēmu drošību, integritāti un noturību. Attiecībā uz šīm sistēmām izvirzītās prasības, kas bieži pārsniedz prasības, kas paredzētas saskaņā ar šo direktīvu, ir izklāstītas vairākos Savienības tiesību aktos, tostarp: noteikumos par piekļuvi kredītiestāžu darbībai un kredītiestāžu un ieguldījumu brokeru sabiedrību prudenciālo uzraudzību un noteikumos par prudenciālajām prasībām attiecībā uz kredītiestādēm un ieguldījumu brokeru sabiedrībām, kas ietver prasības par operacionālo risku; noteikumos par finanšu instrumentu tirgiem, kas ietver prasības par riska izvērtējumu ieguldījumu brokeru sabiedrībām un regulētiem tirgiem; noteikumos par ārpusbiržas atvasinātajiem instrumentiem, centrālajiem darījumu partneriem un darījumu reģistriem, kas ietver prasības par operacionālo risku centrālajiem darījumu partneriem un darījumu reģistriem, un noteikumos par vērtspapīru norēķinu uzlabošanu Savienībā un centrālajiem vērtspapīru depozitārijiem, kas ietver prasības par operacionālo risku. Turklāt prasības par incidentu paziņošanu ir daļa no parastās uzraudzības prakses finanšu nozarē un bieži tiek iekļautas uzraudzības rokasgrāmatās. Dalībvalstīm būtu jāapsver minētie noteikumi un prasības, kad tās piemēro lex specialis.

(14)

Kā Eiropas Centrālā banka norādījusi savā 2014. gada 25. jūlija atzinumā (6), šī direktīva neskar saskaņā ar Savienības tiesību aktiem pastāvošo Eurosistēmas maksājumu un norēķinu sistēmu uzraudzības režīmu. Iestādēm, kas ir atbildīgas par šādu uzraudzību, būtu lietderīgi jautājumos, kas attiecas uz tīklu un informācijas sistēmu drošību, veikt pieredzes apmaiņu ar kompetentajām iestādēm saskaņā ar šo direktīvu. Tādi paši apsvērumi attiecas uz Eiropas Centrālo banku sistēmas loceklēm, kas nav eurozonas locekles un veic šādu maksājumu un norēķinu sistēmu uzraudzību, pamatojoties uz valsts normatīvajiem aktiem.

(15)

Tiešsaistes tirdzniecības vieta ļauj patērētājiem un tirgotājiem slēgt tiešsaistes pārdošanas vai pakalpojumu līgumus ar tirgotājiem, un tā ir galīgais pakalpojums minēto līgumu noslēgšanai. Tajā nebūtu jāietver tiešsaistes pakalpojumi, kas ir tikai starpposms uz kādas trešās personas pakalpojumiem, caur kuriem beidzot var noslēgt līgumu. Tādēļ tajā nebūtu jāietver tiešsaistes pakalpojumi, kuri salīdzina konkrētu produktu vai pakalpojumu cenas, ko piedāvā dažādi tirgotāji, un pēc tam novirza lietotāju pie izvēlētā tirgotāja produkta iegādei. Tiešsaistes tirdzniecības vietā sniegtajos datošanas pakalpojumos var iekļaut transakciju apstrādi, datu apkopošanu vai lietotāju profilēšanu. Lietotņu veikali, kuri darbojas kā tiešsaistes veikali, kas ļauj digitāli izplatīt trešo personu lietotnes vai programmatūras, jāuzskata par tiešsaistes tirdzniecības vietas veidu.

(16)

Tiešsaistes meklētājprogramma ļauj lietotājam veikt meklējumus principā visās tīmekļa vietnēs, pamatojoties uz vaicājumu par jebkādu tematu. To var arī koncentrēt uz tīmekļa vietnēm konkrētā valodā. Šajā direktīvā sniegtajā tiešsaistes meklētājprogrammas definīcijā nebūtu jāietver meklēšanas funkcijas, kas attiecas vienīgi uz konkrētas tīmekļa vietnes saturu, neatkarīgi no tā, vai meklēšanas funkciju nodrošina ārēja meklētājprogramma. Tajā nebūtu jāietver arī tiešsaistes pakalpojumi, kas salīdzina konkrētu produktu vai pakalpojumu cenas, kuras piedāvā dažādi tirgotāji, un pēc tam novirza lietotāju pie izvēlētā tirgotāja produkta iegādei.

(17)

Mākoņdatošanas pakalpojumi ietver plašu darbību klāstu, kuras var veikt saskaņā ar dažādiem modeļiem. Šajā direktīvā termins “mākoņdatošanas pakalpojumi” ir pakalpojumi, kas ļauj piekļūt mērogojamam un elastīgam kopīgojamu datošanas resursu pūlam. Minētie datošanas resursi ietver tādus resursus kā tīkli, serveri vai cita infrastruktūra, glabāšana, lietotnes un pakalpojumi. Termins “mērogojams” attiecas uz datošanas resursiem, kurus mākoņpakalpojuma sniedzējs elastīgi piešķir neatkarīgi no resursu ģeogrāfiskās atrašanās vietas, lai risinātu pieprasījuma svārstības. Termins “elastīgs pūls” ir izmantots, lai aprakstītu tos datošanas resursus, kuri tiek nodrošināti un atbrīvoti saskaņā ar pieprasījumu, lai pieejamos resursus ātri palielinātu un samazinātu atkarībā no noslodzes. Termins “kopīgojami” ir izmantots, lai aprakstītu tos datošanas resursus, kas tiek sniegti daudziem lietotājiem, kuriem ir kopīga piekļuve pakalpojumam, bet apstrāde notiek katram lietotājam atsevišķi, kaut arī pakalpojums tiek sniegts no vienas un tās pašas elektroniskās iekārtas.

(18)

Interneta plūsmu apmaiņas punkta (IPAP) funkcija ir savstarpēji savienot tīklus. IPAP nesniedz piekļuvi tīklam, nedz arī darbojas kā tranzīta nodrošinātājs vai nesējs. IPAP arī nesniedz citus pakalpojumus, kas nav saistīti ar starpsavienojumu, kaut arī tas neliedz IPAP operatoram sniegt nesaistītus pakalpojumus. IPAP pastāv, lai savstarpēji savienotu tīklus, kas ir tehniski un organizatoriski nodalīti. Termins “autonoma sistēma” tiek lietots, lai aprakstītu tehniski atsevišķu tīklu.

(19)

Dalībvalstīm vajadzētu būt atbildīgām par noteikšanu, kuras vienības atbilst pamatpakalpojumu sniedzēja definīcijas kritērijiem. Lai nodrošinātu konsekventu pieeju, pamatpakalpojumu sniedzēja definīcija būtu saskanīgi jāpiemēro visās dalībvalstīs. Minētajā nolūkā šī direktīva paredz, ka tiek izvērtētas vienības, kas darbojas konkrētās nozarēs un apakšnozarēs, tiek izveidots pamatpakalpojumu saraksts, tiek ņemts vērā starpnozaru faktoru kopējs saraksts, lai noteiktu, vai iespējamam incidentam būtu ievērojama traucējoša ietekme, tiek veikta apspriešanās, kurā tiek iesaistītas attiecīgās dalībvalstis, ja vienības sniedz pakalpojumus vairāk nekā vienā dalībvalstī, un identifikācijas procesā atbalstu sniedz sadarbības grupa. Lai nodrošinātu, ka tiek pareizi ņemtas vērā iespējamās izmaiņas tirgū, dalībvalstīm būtu regulāri jāpārskata un vajadzības gadījumā jāatjaunina identificēto pakalpojumu sniedzēju saraksts. Visbeidzot, dalībvalstīm būtu jāsniedz Komisijai informācija, kas vajadzīga, lai izvērtētu, cik lielā mērā šī kopīgā metodoloģija ir ļāvusi dalībvalstīm konsekventi piemērot definīciju.

(20)

Pamatpakalpojumu sniedzēju identifikācijas procesā dalībvalstīm būtu jāizvērtē vismaz attiecībā uz katru šajā direktīvā minēto apakšnozari, kuri pakalpojumi ir uzskatāmi par būtiskiem īpaši svarīgu sabiedrisku un ekonomisku darbību nodrošināšanai, un vai vienības, kas uzskaitītas šajā direktīvā minētajās nozarēs un apakšnozarēs un kas sniedz minētos pakalpojumus, atbilst pakalpojumu sniedzēju identifikācijas kritērijiem. Izvērtējot, vai vienība sniedz pakalpojumu, kas ir būtisks īpaši svarīgu sabiedrisku vai ekonomisku darbību nodrošināšanai, pietiek pārbaudīt, vai minētā vienība sniedz pakalpojumu, kas ir iekļauts pamatpakalpojumu sarakstā. Turklāt būtu jāpierāda, ka pamatpakalpojumu sniegšana ir atkarīga no tīklu un informācijas sistēmām. Visbeidzot, izvērtējot, vai incidents varētu būtiski traucēt pakalpojuma sniegšanu, dalībvalstīm būtu jāņem vērā vairāki starpnozaru faktori, kā arī attiecīgā gadījumā – konkrētās nozares faktori.

(21)

Pamatpakalpojumu sniedzēju identifikācijas nolūkā uzņēmējdarbības veikšana dalībvalstī nozīmē efektīvu un faktisku darbību, ko veic pastāvīga vienība. Šādas vienības juridiskā forma neatkarīgi no tā, vai tā ir filiāle vai meitasuzņēmums ar juridiskas personas statusu, šajā sakarā nav noteicošais faktors.

(22)

Ir iespējams, ka vienības, kas darbojas šajā direktīvā minētajās nozarēs un apakšnozarēs, sniedz gan pamatpakalpojumus, gan pakalpojumus, kas nav pamatpakalpojumi. Piemēram, gaisa pārvadājumu nozarē lidostas sniedz pakalpojumus, kurus dalībvalsts varētu uzskatīt par pamatpakalpojumiem, piemēram, pārvaldīt skrejceļus, bet arī vairākus pakalpojumus, kas varētu netikt uzskatīti par pamatpakalpojumiem, piemēram, nodrošināt iepirkšanās zonas. Īpašas prasības drošības jomā uz pamatpakalpojumu sniedzējiem būtu jāattiecina tikai saistībā ar tiem pakalpojumiem, kurus uzskata par pamatpakalpojumiem. Lai identificētu pakalpojumu sniedzējus, dalībvalstīm tādēļ būtu jānosaka to pakalpojumu saraksts, kurus uzskata par pamatpakalpojumiem.

(23)

Pakalpojumu sarakstā būtu jāiekļauj visi pakalpojumi, ko sniedz attiecīgās dalībvalsts teritorijā un kas atbilst šīs direktīvas prasībām. Dalībvalstīm vajadzētu spēt papildināt esošo sarakstu, iekļaujot jaunus pakalpojumus. Pakalpojumu sarakstam būtu jākalpo par atsauces punktu dalībvalstīm, ļaujot identificēt pamatpakalpojumu sniedzējus. Tā nolūks ir identificēt pamatpakalpojumu veidus ikvienā konkrētā nozarē, kas minēta šajā direktīvā, tādējādi nošķirot tos no darbībām, kuras nav pamatdarbības un par kurām varētu būt atbildīga vienība, kas darbojas ikvienā konkrētajā nozarē. Katras dalībvalsts sastādītais pakalpojumu saraksts sniegtu turpmāku ieguldījumu katras dalībvalsts regulatīvās prakses izvērtēšanā, lai nodrošinātu identifikācijas procesa vispārēju saskaņotību dalībvalstu starpā.

(24)

Identifikācijas procesa nolūkos, ja vienība sniedz pamatpakalpojumu divās vai vairāk dalībvalstīs, minētajām dalībvalstīm būtu savā starpā jāiesaistās divpusējās vai daudzpusējās diskusijās. Šis apspriešanās process ir paredzēts, lai palīdzētu tām izvērtēt pakalpojumu sniedzēja būtiskumu, ņemot vērā pārrobežu ietekmi, tādējādi ļaujot katrai iesaistītajai dalībvalstij paust viedokļus par riskiem, kas saistīti ar sniegtajiem pakalpojumiem. Šajā procesā attiecīgajām dalībvalstīm būtu jāņem vērā citai citas viedokļi un būtu jāspēj šajā sakarā lūgt sadarbības grupas palīdzību.

(25)

Identifikācijas procesa rezultātā dalībvalstīm būtu jāpieņem valsts pasākumi, lai noteiktu, uz kurām vienībām attiecas pienākumi saistībā ar tīklu un informācijas sistēmu drošību. Šo rezultātu varētu sasniegt, pieņemot sarakstu, kurā uzskaitīti visi pamatpakalpojumu sniedzēji, vai pieņemot valsts pasākumus, tostarp objektīvus izmērāmus kritērijus, tādus kā pakalpojumu sniedzēja darbības rezultāts vai lietotāju skaits, kas ļauj noteikt, uz kurām vienībām attiecas pienākumi saistībā ar tīklu un informācijas sistēmu drošību. Valsts pasākumiem, jau esošiem vai šīs direktīvas sakarā pieņemtiem, vajadzētu ietvert visus juridiskos pasākumus, administratīvos pasākumus un politikas nostādnes, kas ļauj identificēt pamatpakalpojumu sniedzējus saskaņā ar šo direktīvu.

(26)

Lai sniegtu norādi par identificēto pamatpakalpojumu sniedzēju nozīmi attiecībā uz konkrēto nozari, dalībvalstīm būtu jāņem vērā minēto pakalpojumu sniedzēju skaits un apmērs, kas izpaužas, piemēram, kā tirgus daļa vai saražotais vai sniegtais apjoms, bet tām nebūtu pienākuma izpaust informāciju, kas atklātu, kuri pakalpojumu sniedzēji ir identificēti.

(27)

Lai noteiktu, vai incidentam būtu traucējošā ietekme uz pamatpakalpojuma sniegšanu, dalībvalstīm būtu jāņem vērā vairāki dažādi faktori, tādi kā lietotāju skaits, kuri izmanto konkrēto pakalpojumu privātos vai profesionālos nolūkos. Minēto pakalpojumu var izmantot tieši, netieši vai ar starpniecību. Izvērtējot to, kāda varētu būt incidenta ietekme uz ekonomiskām un sabiedriskām darbībām vai sabiedrisko drošību tā pakāpes un ilguma ziņā, dalībvalstīm būtu jāizvērtē arī tas, cik ilgā laikā varētu sākt izpausties traucējuma negatīvā ietekme.

(28)

Papildus starpnozaru faktoriem būtu jāņem vērā arī konkrētās nozares faktori, Lai noteiktu, vai incidents būtiski traucētu kāda pamatpakalpojuma sniegšanu. Attiecībā uz enerģijas piegādātājiem šādi faktori varētu ietvert apjomu vai daļu no valstī saražotās enerģijas; attiecībā uz naftas piegādātājiem – apjomu dienā; attiecībā uz gaisa transportu, tostarp lidostām un gaisa pārvadātājiem, dzelzceļa transportu un jūras ostām – daļu valsts satiksmes apjomā un pasažieru skaitu vai kravas pārvadājumu darbības gadā; attiecībā uz banku vai finanšu tirgu infrastruktūrām – to sistēmisko nozīmīgumu, balstoties uz aktīvu kopsummu vai minētās aktīvu kopsummas attiecību pret IKP; attiecībā uz veselības aprūpes nozari – pacientu skaitu, ko pakalpojumu sniedzējs aprūpē gadā; attiecībā uz ūdens ieguvi, attīrīšanu un apgādi – apjomu un lietotāju, kuriem tas piegādāts, skaitu un veidus, tostarp, piemēram, slimnīcas, valsts pārvalde, organizācijas vai indivīdi, un to, vai tajā pašā ģeogrāfiskajā apvidū pastāv alternatīvi ūdens avoti.

(29)

Lai panāktu un uzturētu augsta līmeņa tīklu un informācijas sistēmu drošību, katrai dalībvalstij būtu vajadzīga valsts tīklu un informācijas sistēmu drošības stratēģija, kurā noteikti stratēģiskie mērķi un konkrēti politikas pasākumi, kas jāīsteno.

(30)

Ņemot vērā atšķirības valstu pārvaldes struktūrās un lai garantētu jau esošo nozaru noteikumu izpildi vai aizsargātu Savienības pašreizējās uzraudzības un regulējošās struktūras, kā arī lai izvairītos no dublēšanās, dalībvalstīm vajadzētu spēt izraudzīties vairāk nekā vienu valsts kompetento iestādi, kas ir atbildīga par to, lai saskaņā ar šo direktīvu pildītu uzdevumus saistībā ar pamatpakalpojumu sniedzēju un digitālo pakalpojumu sniedzēju tīklu un informācijas sistēmu drošību.

(31)

Lai veicinātu pārrobežu sadarbību un saziņu un lai varētu efektīvi īsteno šo direktīvu, katrai dalībvalstij, neskarot nozaru reglamentējošos noteikumus, vajadzētu izraudzīties valsts vienoto kontaktpunktu, kas atbildētu par to jautājumu koordināciju, kuri saistīti ar tīklu un informācijas sistēmu drošību un nodrošināšanu Savienības līmenī. Kompetentajām iestādēm un vienotajiem kontaktpunktiem vajadzētu būt pietiekamiem tehniskajiem, finanšu un cilvēkresursiem, lai nodrošinātu, ka tie efektīvi un produktīvi var veikt tiem uzticētos uzdevumus un tādējādi sasniegt šīs direktīvas mērķus. Tā kā šīs direktīvas mērķis ir uzlabot iekšējā tirgus darbību, radot uzticību un paļāvību, dalībvalstu struktūrām vajadzētu spēt efektīvi sadarboties ar ekonomikas dalībniekiem, un tām vajadzētu būt attiecīgi strukturētām.

(32)

Kompetentajām iestādēm vai datordrošības incidentu reaģēšanas vienībām (“CSIRT”) būtu jāsaņem paziņojumi par incidentiem. Vienotajiem kontaktpunktiem nebūtu tieši jāsaņem paziņojumi par incidentiem, ja vien tie vienlaikus nedarbojas arī kā kompetentā iestāde vai CSIRT. Tomēr kompetentajai iestādei vai CSIRT būtu jāuzdod vienotajam kontaktpunktam nosūtīt paziņojumus par incidentiem citu skarto dalībvalstu vienotajiem kontaktpunktiem.

(33)

Lai nodrošinātu efektīvu informācijas sniegšanu dalībvalstīm un Komisijai, vienotajam kontaktpunktam būtu jāiesniedz kopsavilkuma ziņojums sadarbības grupai, un tas būtu jāanonimizē, lai saglabātu paziņojumu un pamatpakalpojumu sniedzēju un digitālo pakalpojumu sniedzēju identitātes konfidencialitāti, jo paraugprakses apmaiņai sadarbības grupā nav nepieciešama informācija par paziņojošo vienību identitāti. Kopsavilkuma ziņojumā būtu jāiekļauj informācija par saņemto paziņojumu skaitu, kā arī norāde par paziņoto incidentu raksturu, piemēram, drošības pārkāpumu veidiem, to smagumu vai ilgumu.

(34)

Visās dalībvalstīs vajadzētu būt atbilstīgam aprīkojumam gan tehnisko, gan organizatorisko spēju ziņā, lai novērstu un atklātu tīklu un informācijas sistēmu incidentus un riskus, reaģētu uz tiem un tos mazinātu. Tāpēc dalībvalstīm būtu jānodrošina, ka tajās ir labi funkcionējošas, pamatprasībām atbilstīgas CSIRT, kas tiek dēvētas arī par datorapdraudējumu reaģēšanas vienībām (“CERT”), lai nodrošinātu efektīvas un saderīgas spējas incidentu risināšanai un risku novēršanai un efektīvas sadarbības nodrošināšanai Savienības līmenī. Lai visu veidu pamatpakalpojumu sniedzēji un digitālo pakalpojumu sniedzēji gūtu labumu no šādām spējām un sadarbības, dalībvalstīm būtu jānodrošina, ka izraudzītā CSIRT aptver visus veidus. Ņemot vērā to, cik svarīga ir starptautiskā sadarbība kiberdrošības jomā, CSIRT vajadzētu spēt piedalīties starptautiskos sadarbības tīklos papildus CSIRT tīklam, ko izveido ar šo direktīvu.

(35)

Tā kā tīklu un informācijas sistēmu lielākā daļa tiek apsaimniekota privāti, būtiska ir publiskā un privātā sektora sadarbība. Pamatpakalpojumu sniedzēji un digitālo pakalpojumu sniedzēji būtu jāmudina izmantot savus neformālās sadarbības mehānismus, lai nodrošinātu tīklu un informācijas sistēmu drošību. Sadarbības grupai vajadzētu spēt attiecīgā gadījumā uzaicināt uz diskusijām attiecīgās ieinteresētās personas. Lai efektīvi veicinātu informācijas un paraugprakses apmaiņu, ir būtiski nodrošināt, lai pamatpakalpojumu sniedzēji un digitālo pakalpojumu sniedzēji, kuri piedalās šādās apmaiņās, šādas sadarbības rezultātā nenonāktu nelabvēlīgā stāvoklī.

(36)

ENISA būtu jāpalīdz dalībvalstīm un Komisijai, sniedzot savas specializētās zināšanas un padomus un sekmējot paraugprakses apmaiņu. Konkrēti, piemērojot šo direktīvu, Komisijai būtu jāapspriežas un dalībvalstīm vajadzētu spēt apspriesties ar ENISA. Lai veidotu dalībvalstu spējas un vairotu to zināšanas, sadarbības grupai būtu arī jādarbojas kā instrumentam paraugprakses apmaiņai, diskusijām par dalībvalstu spējām un gatavību un uz brīvprātības pamata jāpalīdz tās locekļiem izvērtēt valstu tīklu un informācijas sistēmu drošības stratēģijas, veidot spējas un novērtēt mācības saistībā ar tīklu un informācijas sistēmu drošību.

(37)

Piemērojot šo direktīvu, dalībvalstīm attiecīgā gadījumā būtu jāspēj izmantot vai pielāgot pašreizējās organizatoriskās struktūras vai stratēģijas.

(38)

Sadarbības grupas un ENISA attiecīgie uzdevumi ir savstarpēji atkarīgi un cits citu papildina. Kopumā ENISA būtu jāpalīdz sadarbības grupai pildīt tās uzdevumus, ievērojot ENISA mērķi, kas izklāstīts Eiropas Parlamenta un Padomes Regulā (ES) Nr. 526/2013 (7), proti,–palīdzēt Savienības iestādēm, struktūrām, birojiem un aģentūrām un dalībvalstīm īstenot politiku, kas vajadzīga, lai ievērotu normatīvo un administratīvo aktu prasības par tīklu un informācijas sistēmu drošību, kuras noteiktas pašreizējos un turpmākos Savienības tiesību aktos. Jo īpaši ENISA būtu jāsniedz palīdzība tajās jomās, kuras atbilst tās pašas uzdevumiem, kā izklāstīts Regulā (ES) Nr. 526/2013, proti, analizēt tīklu un informācijas sistēmu drošības stratēģijas, atbalstīt Savienības mācību saistībā ar tīklu un informācijas sistēmu drošību organizēšanu un veikšanu, un veikt informācijas un paraugprakses apmaiņu par informētības uzlabošanu un apmācību. ENISA būtu arī jāiesaista pamatnostādņu izstrādē par konkrētai nozarei paredzētiem kritērijiem, pēc kuriem nosaka incidenta ietekmes būtiskumu.

(39)

Lai veicinātu tīklu un informācijas sistēmu drošības uzlabojumus, sadarbības grupai attiecīgā gadījumā būtu jāsadarbojas ar attiecīgām Savienības iestādēm, struktūrām, birojiem un aģentūrām, lai veiktu zinātības un paraugprakses apmaiņu un sniegtu padomus par tīklu un informācijas sistēmu drošības aspektiem, kas varētu ietekmēt to darbu, vienlaikus ievērojot esošo ierobežotas pieejamības informācijas apmaiņas kārtību. Sadarbojoties ar tiesībaizsardzības iestādēm attiecībā uz tīklu un informācijas sistēmu drošības aspektiem, kas varētu ietekmēt viņu darbu, sadarbības grupai būtu jāņem vērā pastāvošie informācijas kanāli un izveidotie tīkli.

(40)

Informācija par incidentiem kļūst arvien nozīmīgāka plašai sabiedrībai un uzņēmumiem, jo īpaši maziem un vidējiem uzņēmumiem. Dažos gadījumos šāda informācija jau tiek sniegta ar tīmekļa vietņu starpniecību valsts līmenī, konkrētās valsts valodā un galvenokārt koncentrējoties uz incidentiem un starpgadījumiem, kam piemīt valsts dimensija. Ņemot vērā to, ka uzņēmumi arvien vairāk veic pārrobežu darbību un pilsoņi arvien vairāk izmanto tiešsaistes pakalpojumus, informācija par incidentiem būtu jāsniedz apkopotā veidā Savienības līmenī. CSIRT tīkla sekretariāts tiek mudināts uzturēt tīmekļa vietni vai uzturēt īpašu lapu jau esošā tīmekļa vietnē, kurā plašai sabiedrībai tiek nodota vispārīga informācija par būtiskiem incidentiem, kas notikuši visā Savienībā īpaši koncentrējoties uz uzņēmumu interesēm un vajadzībām. CSIRT, kuras piedalās CSIRT tīklā, tiek aicinātas brīvprātīgi sniegt informāciju publicēšanai minētajā tīmekļa vietnē, neiekļaujot konfidenciālu vai sensitīvu informāciju.

(41)

Ja informācija tiek uzskatīta par konfidenciālu saskaņā ar Savienības un valsts noteikumiem par darījumdarbības konfidencialitāti, šāda konfidencialitāte būtu jānodrošina, veicot šajā direktīvā noteiktos pasākumus un īstenojot tajā izvirzītos mērķus.

(42)

Dalībvalstu gatavības un sadarbības testēšanā attiecībā uz tīklu un informācijas sistēmu drošību būtiska nozīme ir mācībām, kurās modelē reāllaika incidentu scenārijus. CyberEurope mācību cikls, kuru koordinē ENISA, piedaloties dalībvalstīm, ir noderīgs rīks, lai veiktu testus un izstrādātu ieteikumus par to, kā laika gaitā Savienības līmenī būtu rūpīgāk jāreaģē uz incidentiem. Ņemot vērā to, ka pašlaik dalībvalstīm nav pienākuma plānot mācības vai tajās piedalīties, CSIRT tīkla izveidei saskaņā ar šo direktīvu vajadzētu radīt iespēju dalībvalstīm piedalīties mācībās, pamatojoties uz rūpīgu plānošanu un stratēģisku izvēli. Saskaņā ar šo direktīvu izveidotās sadarbības grupai būtu jāapspriež stratēģiski lēmumi par mācībām, jo īpaši, bet ne tikai, par mācību regularitāti un scenāriju izstrādi. ENISA būtu saskaņā ar savām pilnvarām jāatbalsta Savienības mēroga mācību organizēšana un veikšana, sniedzot specializētās zināšanas un padomus sadarbības grupai un CSIRT tīklam.

(43)

Ņemot vērā drošības problēmu, kas ietekmē tīklus un informācijas sistēmas, globālo raksturu, ir ciešāk jāsadarbojas starptautiskā līmenī, lai uzlabotu drošības standartus un informācijas apmaiņu un veicinātu vienotu vispārēju pieeju drošības jautājumiem.

(44)

Tīklu un informācijas sistēmu drošības nodrošināšanas pienākumi lielā mērā ir pamatpakalpojumu sniedzēju un digitālo pakalpojumu sniedzēju uzdevums. Būtu jāattīsta un jāpopularizē riska pārvaldības kultūra, kas ietver riska izvērtējumu un faktiskajiem riskiem atbilstīgu drošības pasākumu īstenošanu, un tas būtu jādara, izmantojot atbilstīgas regulatīvas prasības un brīvprātīgu nozares praksi. Vienlīdzīgu un uzticamu konkurences apstākļu radīšana arī ir būtiska sadarbības grupas un CSIRT tīkla efektīvai darbībai, lai nodrošinātu visu dalībvalstu efektīvu sadarbību.

(45)

Šo direktīvu piemēro vienīgi tām valsts pārvaldes iestādēm, kas ir identificētas kā pamatpakalpojumu sniedzēji. Tādēļ dalībvalstu pienākums ir nodrošināt to valsts pārvaldes iestāžu tīklu un informācijas sistēmu drošību, uz kurām neattiecas šīs direktīvas darbības joma.

(46)

Riska pārvaldības pasākumi ietver pasākumus nolūkā identificēt visus incidentu riskus, novērst, atklāt incidentus un reaģēt uz tiem, un mazināt to ietekmi. Tīklu un informācijas sistēmu drošība ietver glabāto, pārsūtīto un apstrādāto datu drošību.

(47)

Kompetentajām iestādēm būtu jāsaglabā spēja pieņemt valsts pamatnostādnes par apstākļiem, kādos pamatpakalpojumu sniedzējiem tiek prasīts paziņot par incidentiem.

(48)

Daudzi uzņēmumi Savienībā pakalpojumu sniegšanā izmanto digitālo pakalpojumu sniedzējus. Tā kā daži digitālie pakalpojumi varētu būt svarīgs resurss to lietotājiem, tostarp pamatpakalpojumu sniedzējiem, un tā kā šādiem lietotājiem ne vienmēr varētu būt pieejamas alternatīvas, šī direktīva būtu jāpiemēro arī šādu pakalpojumu sniedzējiem. Šajā direktīvā minēto digitālo pakalpojumu veidu drošība, nepārtrauktība un uzticamība ir būtiska daudzu uzņēmumu netraucētai darbībai. Šāda digitāla pakalpojuma traucējums varētu liegt citu pakalpojumu sniegšanu, kuros to izmanto, un tādējādi tas varētu ietekmēt būtiskas ekonomiskas un sabiedriskas darbības Savienībā. Šādi digitāli pakalpojumi tādēļ varētu būt īpaši svarīgi to uzņēmumu netraucētai darbībai, kuri ir no tiem atkarīgi, un vēl jo vairāk šādu uzņēmumu dalībai iekšējā tirgū un pārrobežu tirdzniecībai Savienībā. Tie digitālo pakalpojumu sniedzēji, uz kuriem attiecas šī direktīva, ir tie, par kuriem tiek uzskatīts, ka tie piedāvā digitālos pakalpojumus, ko arvien vairāk izmanto daudzi uzņēmumi Savienībā.

(49)

Digitālo pakalpojumu sniedzējiem būtu jānodrošina drošības līmenis, kas ir samērīgs ar to riska pakāpi, kāda tiek radīta viņu sniegto digitālo pakalpojumu drošībai, ņemot vērā to, cik viņu pakalpojumi ir svarīgi citu uzņēmumu darbībām Savienībā. Praksē riska pakāpe pamatpakalpojumu sniedzējiem, kuru pakalpojumi bieži ir būtiski īpaši svarīgu sabiedrisku un ekonomisku darbību nodrošināšanai, būs augstāka nekā digitālo pakalpojumu sniedzējiem. Tādēļ drošības prasībām, kuras attiecas uz digitālo pakalpojumu sniedzējiem, vajadzētu būt mazākām. Digitālo pakalpojumu sniedzējiem būtu jāsaglabā rīcības brīvība veikt pasākumus, kurus tie uzskata par piemērotiem, lai pārvaldītu riskus, kas tiek radīti to tīklu un informācijas sistēmu drošībai. Uz digitālo pakalpojumu sniedzējiem to pārrobežu rakstura dēļ būtu jāattiecina saskaņotāka pieeja Savienības līmenī. Ar īstenošanas aktiem būtu jāveicina šādu pasākumu konkretizēšana un īstenošana.

(50)

Kaut gan datortehnikas ražotāji un programmatūru izstrādātāji nav ne pamatpakalpojumu, ne digitālo pakalpojumu sniedzēji, to produkti pastiprina tīklu un informācijas sistēmu drošību. Tādējādi tiem ir svarīga loma, palīdzot pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem nodrošināt drošu tīklu un informācijas sistēmas. Uz šādiem datortehnikas un programmatūras produktiem jau attiecas pastāvošie noteikumi par produktu uzticamību.

(51)

Tehniskiem un organizatoriskiem pasākumiem, kas noteikti pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, nebūtu jāsatur prasība, ka konkrēta komercinformācija un komunikāciju tehnoloģijas produkts jākonstruē, jāizstrādā vai jāražo kādā konkrētā veidā.

(52)

Pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem būtu jānodrošina to izmantoto tīklu un informācijas sistēmu drošība. Tās galvenokārt ir privātas tīklu un informācijas sistēmas, ko pārvalda iekšējais IT personāls vai kuru drošība tiek nodrošināta, izmantojot ārpakalpojumus. Drošības un paziņošanas prasībām būtu jāattiecas uz attiecīgiem pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem neatkarīgi no tā, vai tie veic savu tīklu un informācijas sistēmu uzturēšanu iekšēji vai izmanto ārpakalpojumus.

(53)

Lai izvairītos no nesamērīga finansiāla un administratīva sloga radīšanas pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, prasībām vajadzētu būt samērīgām ar risku, ko rada attiecīgā tīklu un informācijas sistēma, ņemot vērā jaunākos sasniegumus saistībā ar šādiem pasākumiem. Digitālo pakalpojumu sniedzēju gadījumā minētās prasības nebūtu jāpiemēro mikrouzņēmumiem un maziem uzņēmumiem.

(54)

Ja dalībvalstu valsts pārvaldes iestādes izmanto pakalpojumus, ko piedāvā digitālo pakalpojumu sniedzēji, jo īpaši mākoņdatošanas pakalpojumus, tās varētu vēlēties pieprasīt no šādu pakalpojumu sniedzējiem papildu drošības pasākumus, kas pārsniedz tos, ko digitālo pakalpojumu sniedzēji parasti piedāvātu saskaņā ar šīs direktīvas prasībām. Tām būtu jāspēj to darīt, izmantojot līgumiskas saistības.

(55)

Šajā direktīvā tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un mākoņdatošanas pakalpojumu definīcijas tiek lietotas konkrēti šīs direktīvas mērķiem, un tās neskar citus instrumentus.

(56)

Šai direktīvai nebūtu jākavē dalībvalstis pieņemt valsts pasākumus, ar kuriem publiskā sektora struktūrām tiktu prasīts garantēt īpašas drošības prasības, kad tās slēdz līgumu par mākoņdatošanas pakalpojumiem. Jebkuri šādi valsts pasākumi būtu jāpiemēro attiecīgajai publiskā sektora struktūrai, nevis mākoņdatošanas pakalpojumu sniedzējam.

(57)

Ņemot vērā būtiskās atšķirības starp pamatpakalpojumu sniedzējiem, jo īpaši to tiešo saikni ar fizisko infrastruktūru, un digitālo pakalpojumu sniedzējiem, jo īpaši to pārrobežu raksturu, šajā direktīvā būtu jāizmanto diferencēta pieeja attiecībā uz saskaņošanas līmeni abām minētajām vienību grupām. Attiecībā uz pamatpakalpojumu sniedzējiem dalībvalstīm vajadzētu būt iespējai identificēt attiecīgos pakalpojumu sniedzējus un noteikt stingrākas prasības nekā tās, kuras paredzētas direktīvā. Dalībvalstīm nebūtu jāidentificē digitālo pakalpojumu sniedzēji, jo šo direktīvu būtu jāpiemēro visiem digitālo pakalpojumu sniedzējiem tās darbības jomā. Turklāt ar šo direktīvu un īstenošanas aktiem, ko pieņem saskaņā ar to, attiecībā uz digitālo pakalpojumu sniedzējiem būtu jānodrošina augstāks saskaņošanas līmenis drošības un paziņošanas prasību jomā. Minētajam būtu jādod iespēja digitālo pakalpojumu sniedzējiem saņemt vienādu attieksmi visā Savienībā samērīgi to raksturam un riska pakāpei, ar kādu tie varētu saskarties.

(58)

Ar šo direktīvu nebūtu jākavē dalībvalstis šīs direktīvas darbības jomā noteikt drošības un paziņošanas prasības vienībām, kas nav digitālo pakalpojumu sniedzēji, neskarot dalībvalstu saistības saskaņā ar Savienības tiesību aktiem.

(59)

Kompetentajām iestādēm būtu jāpievērš pienācīga uzmanība neformālu un uzticamu informācijas apmaiņas kanālu saglabāšanai. Kad incidenti, par kuriem ziņots kompetentajām iestādēm, tiek publiskoti, būtu jāatrod atbilstīgs līdzsvars starp sabiedrības interesēm būt informētai par draudiem un iespējamu kaitējumu reputācijai un komerciālu kaitējumu pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, kuri ziņo par incidentiem. Īstenojot ziņošanas pienākumus, kompetentajām iestādēm un CSIRT būtu jāpievērš īpaša uzmanība nepieciešamībai saglabāt stingru konfidencialitāti attiecībā uz informāciju par produktu vājajām vietām, pirms tiek publiskota informācija par atbilstīgiem drošības uzlabojumiem.

(60)

Digitālo pakalpojumu sniedzējiem būtu jāpiemēro atturīgas un reaģējošas ex post uzraudzības darbības, kuras attaisno to sniegto pakalpojumu un darbību būtība. Tādēļ attiecīgajai kompetentajai iestādei būtu jārīkojas tikai tad, kad tai ir sniegti pierādījumi (piemēram, tos ir sniedzis pats digitālo pakalpojumu sniedzējs, cita kompetentā iestāde, tostarp citas dalībvalsts kompetentā iestāde, vai pakalpojuma lietotājs), ka digitālo pakalpojumu sniedzējs neatbilst šīs direktīvas prasībām, jo īpaši pēc tam, kad ir noticis incidents. Tāpēc kompetentajai iestādei nevajadzētu būt vispārējam pienākumam uzraudzīt digitālo pakalpojumu sniedzējus.

(61)

Kompetento iestāžu rīcībā vajadzētu būt nepieciešamajiem līdzekļiem to pienākumu veikšanai, tostarp pilnvarām saņemt pietiekamu informāciju, lai izvērtētu tīklu un informācijas sistēmu drošības līmeni.

(62)

Incidenti var notikt noziedzīgu darbību rezultātā, kuru novēršanu, izmeklēšanu un sodīšanu par tām sekmē koordinācija un sadarbība starp pamatpakalpojumu sniedzējiem, digitālo pakalpojumu sniedzējiem, kompetentajām iestādēm un tiesībaizsardzības iestādēm. Ja ir aizdomas, ka incidents ir saistīts ar smagām noziedzīgām darbībām, kas noteiktas Savienības vai valsts tiesību aktos, dalībvalstīm būtu jāmudina pamatpakalpojumu sniedzēji un digitālo pakalpojumu sniedzēji pašiem ziņot attiecīgajām tiesībaizsardzības iestādēm par incidentiem, kam varētu būt smagas noziedzības raksturs. Attiecīgā gadījumā vēlams, lai koordināciju starp dažādu dalībvalstu kompetentajām iestādēm un tiesībaizsardzības iestādēm sekmētu Eiropas Kibernoziedzības apkarošanas centrs (EC3) un ENISA.

(63)

Incidentu dēļ daudzos gadījumos tiek kompromitēti personas dati. Šajā sakarā kompetentajām iestādēm un datu aizsardzības iestādēm būtu jāsadarbojas un jāapmainās ar informāciju visos attiecīgos jautājumos, lai novērstu jebkurus personas datu aizsardzības pārkāpumus, kas rodas incidentu dēļ.

(64)

Jurisdikcija attiecībā uz digitālo pakalpojumu sniedzējiem būtu jānosaka dalībvalstij, kurā attiecīgajam digitālo pakalpojumu sniedzējam ir galvenā uzņēmējdarbības vieta Savienībā, kas principā ir turpat, kur ir pakalpojumu sniedzēja galvenā biroja atrašanās vieta Savienībā. Uzņēmējdarbības veikšana nozīmē efektīvu un faktisku darbību, ko veic pastāvīga vienība. Šādas vienības juridiskā forma neatkarīgi no tā, vai tā ir filiāle vai meitasuzņēmums ar juridiskas personas statusu, šajā sakarā nav noteicošais faktors. Šim kritērijam nevajadzētu būt atkarīgam no tā, vai tīklu un informācijas sistēmas fiziski atrodas konkrētajā vietā; šādu sistēmu atrašanās un izmantošana pati par sevi nav galvenā uzņēmējdarbības vieta, un tādēļ tie nav kritēriji galvenās uzņēmējdarbības vietas noteikšanai.

(65)

Ja digitālo pakalpojumu sniedzējs, kurš neveic uzņēmējdarbību Savienībā, piedāvā pakalpojumus Savienībā, tam būtu jāieceļ pārstāvis. Lai noteiktu, vai šāds digitālo pakalpojumu sniedzējs piedāvā pakalpojumus Savienībā, būtu jāpārliecinās, vai ir acīmredzami tas, ka digitālo pakalpojumu sniedzējs plāno piedāvāt pakalpojumus personām vienā vai vairākās dalībvalstīs. Lai pārliecinātos par šādu nodomu, nepietiek tikai ar to vien, ka Savienībā ir pieejama digitālo pakalpojumu sniedzēja vai starpnieka tīmekļa vietne vai e-pasta adrese un cita kontaktinformācija, vai ka tiek izmantota valoda, ko parasti izmanto trešā valstī, kurā digitālo pakalpojumu sniedzējs veic uzņēmējdarbību. Tomēr tādi faktori kā, piemēram, valoda, ko izmanto, vai valūta, ko parasti izmanto vienā vai vairākās dalībvalstīs, piedāvājot pasūtīt pakalpojumus šajā citā valodā, vai Savienībā esošu klientu vai lietotāju pieminēšana var liecināt par to, ka digitālo pakalpojumu sniedzējs plāno piedāvāt pakalpojumus Savienībā. Pārstāvim būtu jārīkojas digitālo pakalpojumu sniedzēja vārdā, un kompetentajām iestādēm vai CSIRT vajadzētu būt iespējai sazināties ar pārstāvi. Pārstāvis būtu jāieceļ nepārprotami ar digitālo pakalpojumu sniedzēja rakstisku pilnvarojumu rīkoties tā vārdā attiecībā uz tā pienākumiem saskaņā ar šo direktīvu, tostarp attiecībā uz ziņošanu par incidentiem.

(66)

Drošības prasību standartizācija ir tirgus virzīts process. Lai nodrošinātu drošības standartu vienveidīgu piemērošanu, dalībvalstīm būtu jāveicina atbilstība konkrētiem standartiem, lai nodrošinātu augstu tīklu un informācijas sistēmu drošības līmeni Savienības līmenī. ENISA būtu jāpalīdz dalībvalstīm, sniedzot padomus un pamatnostādnes. Šajā nolūkā varētu būt lietderīgi izstrādāt saskaņotus standartus, kas būtu jādara saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1025/2012 (8).

(67)

Vienības, uz kurām neattiecas šīs direktīvas darbības joma, var saskarties ar incidentiem, kuriem ir būtiska ietekme uz to sniegtajiem pakalpojumiem. Ja minētās vienības uzskata, ka sabiedrības interesēs ir paziņot par to, ka ir notikuši šādi incidenti, tām vajadzētu būt iespējai to brīvprātīgi darīt. Šādi paziņojumi būtu jāapstrādā kompetentajai iestādei vai CSIRT, ja šāda apstrāde nerada nesamērīgu vai nepamatotu slogu attiecīgajām dalībvalstīm.

(68)

Lai nodrošinātu vienādus šīs direktīvas īstenošanas nosacījumus, īstenošanas pilnvaras būtu jāuztic Komisijai, lai noteiktu procesuālo kārtību, kas nepieciešama sadarbības grupas darbībai, un drošības un paziņošanas prasības, kas piemērojamas digitālo pakalpojumu sniedzējiem. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (9). Pieņemot īstenošanas aktus attiecībā uz procesuālo kārtību, kas nepieciešama sadarbības grupas darbībai, Komisijai būtu vislielākā mērā jāņem vērā ENISA atzinums.

(69)

Pieņemot īstenošanas aktus par drošības prasībām digitālo pakalpojumu sniedzējiem, Komisijai būtu vislielākā mērā jāņem vērā ENISA atzinums un būtu jāapspriežas ar ieinteresētajām personām. Turklāt Komisija tiek mudināta ņemt vērā šādus piemērus: attiecībā uz sistēmu un iekārtu drošību – fiziskā un vides drošība, piegādes drošība, piekļuves kontrole tīklu un informācijas sistēmām un tīklu un informācijas sistēmu integritāte; attiecībā uz incidentu risināšanu – incidentu risināšanas procedūras, incidentu atklāšanas spējas, ziņojumu sniegšana un komunikācija par incidentiem; attiecībā uz darbības nepārtrauktības pārvaldību – pakalpojuma nepārtrauktības stratēģija un ārkārtas rīcības plāni, negadījuma seku novēršanas spējas; un attiecībā uz uzraudzību, revīziju un testēšanu – uzraudzības un reģistrēšanas politika, mācību ārkārtas rīcības plāni, tīklu un informācijas sistēmu testēšana, drošības izvērtējumi un atbilstības uzraudzība.

(70)

Īstenojot šo direktīvu, Komisijai būtu attiecīgā gadījumā jāsazinās ar attiecīgām nozaru komitejām un attiecīgām struktūrām, kas izveidotas Savienības līmenī jomās, uz ko attiecas šī direktīva.

(71)

Komisijai, apspriežoties ar visām ieinteresētajām personām, būtu periodiski jāpārskata šī direktīva, jo īpaši, lai noteiktu izmaiņu veikšanas nepieciešamību, ņemot vērā izmaiņas sociālajos, politiskajos, tehnoloģiskajos vai tirgus apstākļos.

(72)

Lai nodrošinātu informācijas apmaiņu par riskiem un incidentiem sadarbības grupā un CSIRT tīklā un atbilstību prasībām paziņot par incidentiem valsts kompetentajām iestādēm vai CSIRT, varētu būt nepieciešama personas datu apstrāde. Šādai apstrādei vajadzētu būt saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (10) un Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (11). Piemērojot šo direktīvu, pēc vajadzības būtu jāpiemēro Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (12).

(73)

Saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2013. gada 14. jūnijā sniedza atzinumu (13).

(74)

Ņemot vērā to, ka šīs direktīvas mērķi, proti, panākt kopēju augsta līmeņa tīklu un informācijas sistēmu drošību Savienībā, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet rīcības ietekmes dēļ to var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā direktīvā paredz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai.

(75)

Šajā direktīvā ir respektētas pamattiesības un ievēroti principi, kas atzīti Eiropas Savienības Pamattiesību hartā, jo īpaši tiesības uz privātās dzīves un saziņas neaizskaramību, tiesības uz personas datu aizsardzību, darījumdarbības brīvība, tiesības uz īpašumu, tiesības uz efektīvu tiesību aizsardzību un tiesības tikt uzklausītam. Šī direktīva būtu jāīsteno saskaņā ar minētajām tiesībām un principiem,

a)

paredz pienākumus visām dalībvalstīm pieņemt valsts stratēģiju tīklu un informācijas sistēmu drošībai;

b)

izveido sadarbības grupu, lai atbalstītu un sekmētu stratēģisko sadarbību un informācijas apmaiņu starp dalībvalstīm un attīstītu uzticēšanos un paļāvību starp tām;

c)

izveido datordrošības incidentu reaģēšanas vienību tīklu (“CSIRT tīkls”), lai palīdzētu attīstīt uzticēšanos un paļāvību starp dalībvalstīm un veicinātu ātru un efektīvu operatīvo sadarbību;

d)

nosaka drošības un paziņošanas prasības pamatpakalpojumu un digitālo pakalpojumu sniedzējiem;

e)

paredz dalībvalstu pienākumus izraudzīties valsts kompetentās iestādes, vienotus kontaktpunktus un CSIRT, uzticot tiem uzdevumus saistībā ar tīklu un informācijas sistēmu drošību.

1)

“tīklu un informācijas sistēma” ir:

2)

“tīklu un informācijas sistēmu drošība” ir tīklu un informācijas sistēmu spēja noteiktā uzticamības līmenī pretoties jebkurām darbībām, kas apdraud glabājamo vai pārraidāmo, vai apstrādājamo datu pieejamību, autentiskumu, integritāti vai konfidencialitāti vai minēto tīklu un informācijas sistēmu piedāvātos vai ar to starpniecību pieejamos saistītos pakalpojumus;

3)

“valsts stratēģija par tīklu un informācijas sistēmu drošību” ir sistēma, kurā paredz stratēģiskos mērķus un prioritātes attiecībā uz tīklu un informācijas sistēmu drošību valsts līmenī;

4)

“pamatpakalpojumu sniedzējs” ir tāda veida publiska vai privāta vienība, kā minēts II pielikumā, un kas atbilst 5. panta 2. punktā noteiktajiem kritērijiem;

5)

“digitālais pakalpojums” ir tāda veida pakalpojums Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (17) 1. panta 1. punkta b) apakšpunkta nozīmē, kā uzskaitīts III pielikumā;

6)

“digitālā pakalpojuma sniedzējs” ir jebkura juridiska persona, kas sniedz digitālo pakalpojumu;

7)

“incidents” ir jebkāds notikums, kas faktiski nelabvēlīgi ietekmē tīklu un informācijas sistēmu drošību;

8)

“incidenta risināšana” ir visas procedūras, kas ļauj atklāt incidentu, veikt tā analīzi, to ierobežot un reaģēt uz to;

9)

“risks” ir jebkāds racionāli identificējams apstāklis vai notikums, kas var nelabvēlīgi ietekmēt tīklu un informācijas sistēmu drošību;

10)

“pārstāvis” ir jebkura fiziska vai juridiska persona, kura veic uzņēmējdarbību Savienībā un ir nepārprotami izraudzīta rīkoties tāda digitālo pakalpojumu sniedzēja vārdā, kas neveic uzņēmējdarbību Savienībā, un pie kuras digitālo pakalpojumu sniedzēja vietā var vērsties valsts kompetentā iestāde vai CSIRT, attiecībā uz minētā digitālo pakalpojumu sniedzēja pienākumiem saskaņā ar šo direktīvu;

11)

“standarts” ir standarts Regulas (ES) Nr. 1025/2012 2. panta 1. punkta nozīmē;

12)

“specifikācija” ir tehniskā specifikācija Regulas (ES) Nr. 1025/2012 2. panta 4. punkta nozīmē;

13)

“interneta plūsmu apmaiņas punkts (IPAP)” ir tīkla iekārta, kas ļauj nodrošināt vairāk nekā divu neatkarīgu autonomu sistēmu starpsavienojumu galvenokārt nolūkā atvieglot interneta datplūsmas apmaiņu; IPAP nodrošina starpsavienojumu tikai autonomām sistēmām; IPAP nav nepieciešams, lai interneta datplūsma starp jebkurām divām iesaistītām autonomām sistēmām izietu cauri jebkurai trešai autonomai sistēmai; tas arī nemaina vai citādi neietekmē šādu datplūsmu;

14)

“domēnu nosaukumu sistēma (DNS)” ir hierarhiska sadalīta nosaukumu sistēma tīklā, kura nosūta vaicājumus attiecībā uz domēnu nosaukumiem;

15)

“DNS pakalpojumu sniedzējs” ir vienība, kas sniedz DNS pakalpojumus internetā;

16)

“augstākā līmeņa domēnu nosaukumu reģistrs” ir vienība, kas pārvalda un veic interneta domēnu nosaukumu reģistrāciju zem konkrēta augstākā līmeņa domēna (TLD).

17)

“tiešsaistes tirdzniecības vieta” ir digitālais pakalpojums, kas ļauj patērētājiem un/vai tirgotājiem, kuri definēti attiecīgi Eiropas Parlamenta un Padomes Direktīvas 2013/11/ES (18) 4. panta 1. punkta a) un b) apakšpunktā, noslēgt tiešsaistes pirkuma vai pakalpojumu līgumus ar tirgotājiem vai nu tiešsaistes tirdzniecības vietas tīmekļa vietnē, vai tirgotāja tīmekļa vietnē, kurā izmanto datošanas pakalpojumus, ko sniedz tiešsaistes tirdzniecības vieta;

18)

“tiešsaistes meklētājprogramma” ir digitālais pakalpojums, kas ļauj lietotājiem veikt meklējumus principā visās tīmekļa vietnēs vai tīmekļa vietnēs konkrētā valodā, pamatojoties uz vaicājumu par jebkādu tematu atslēgvārda, frāzes vai citu ievaddatu veidā, un sniedz saites, kurās var atrast informāciju saistībā ar prasīto saturu;

19)

“mākoņdatošanas pakalpojums” ir digitāls pakalpojums, kas dod iespēju piekļūt mērogojamam un elastīgam kopīgojamu datošanas resursu pūlam.

a)

vienība sniedz pakalpojumu, kas ir būtisks īpaši svarīgu sabiedrisku un/vai ekonomisku darbību nodrošināšanai;

b)

minētā pakalpojuma sniegšana ir atkarīga no tīklu un informācijas sistēmām; un

c)

incidentam būtu būtiska traucējoša ietekme uz minētā pakalpojuma sniegšanu.

a)

valsts pasākumus, kas ļauj identificēt pamatpakalpojumu sniedzējus;

b)

pakalpojumu sarakstu, kas minēts 3. punktā;

c)

identificēto pamatpakalpojumu sniedzēju skaitu katrai II pielikumā minētajai nozarei un norādi par to nozīmīgumu attiecībā uz minēto nozari;

d)

robežvērtības, ja tādas pastāv, lai noteiktu attiecīgo piedāvājuma līmeni, atsaucoties uz to lietotāju skaitu, kuri izmanto minēto pakalpojumu, kā minēts 6. panta 1. panta a) apakšpunktā, vai uz minētā konkrētā pamatpakalpojumu sniedzēja nozīmīgumu, kā minēts 6. panta 1. punkta f) apakšpunktā.

a)

to lietotāju skaits, kuri izmanto attiecīgās vienības sniegtos pakalpojumus;

b)

citu II pielikumā minēto nozaru atkarība no minētās vienības sniegtā pakalpojuma;

c)

ietekme, kas incidentiem pakāpes un ilguma ziņā varētu būt uz ekonomiskām un sabiedriskām darbībām vai sabiedrisko drošību;

d)

minētās vienības tirgus daļa;

e)

ģeogrāfiskā izplatība attiecībā uz vidi, ko varētu skart incidents;

f)

vienības nozīmīgums pietiekama pakalpojumu līmeņa uzturēšanai, ņemot vērā alternatīvu līdzekļu pieejamību minētā pakalpojuma sniegšanai.

a)

valsts tīklu un informācijas sistēmu drošības stratēģijas mērķi un prioritātes;

b)

pārvaldības sistēma, lai sasniegtu valsts tīklu un informācijas sistēmu drošības stratēģijas mērķus un prioritātes, tostarp valdības struktūru un citu attiecīgo dalībnieku funkcijas un pienākumi;

c)

tādu pasākumu apzināšana, kas attiecas uz sagatavotību, reaģēšanu un atkopi, tostarp sadarbību starp publisko un privāto sektoru;

d)

norāde par izglītības, informētības uzlabošanas un apmācības programmām, kas attiecas uz tīklu un informācijas sistēmu drošības stratēģiju;

e)

norāde par pētniecības un attīstības plāniem, kas attiecas uz tīklu un informācijas sistēmu drošības stratēģiju;

f)

riska izvērtējuma plāns, lai apzinātu riskus;

g)

saraksts ar dažādiem dalībniekiem, kas iesaistīti tīklu un informācijas sistēmu drošības stratēģijas īstenošanā.

a)

sniegt stratēģiskas norādes saskaņā ar 12. pantu izveidotā CSIRT tīkla darbībai;

b)

apmainīties ar paraugpraksi saistībā ar tās informācijas apmaiņu, kas saistīta ar 14. panta 3. un 5. punktā un 16. panta 3. un 6. punktā minēto paziņojumu par incidentu;

c)

veikt paraugprakses apmaiņu starp dalībvalstīm un sadarbībā ar ENISA palīdzēt dalībvalstīm spēju veidošanā, lai nodrošinātu tīklu un informācijas sistēmu drošību;

d)

apspriest dalībvalstu spējas un sagatavotību un uz brīvprātības pamata izvērtēt valstu tīklu un informācijas sistēmu drošības stratēģijas un CSIRT efektivitāti, un apzināt paraugpraksi;

e)

apmainīties ar informāciju un paraugpraksi saistībā ar informētības uzlabošanu un apmācību;

f)

apmainīties ar informāciju un paraugpraksi saistībā ar pētījumiem par tīklu un informācijas sistēmu drošību un tās pilnveidošanu;

g)

attiecīgā gadījumā apmainīties ar pieredzi jautājumos, kas attiecas uz tīklu un informācijas sistēmu drošību, ar attiecīgajām Savienības iestādēm, struktūrām, birojiem un aģentūrām;

h)

apspriest 19. pantā minētos standartus un specifikācijas ar pārstāvjiem no attiecīgajām Eiropas standartizācijas organizācijām;

i)

vākt paraugprakses informāciju par riskiem un incidentiem;

j)

reizi gadā izskatīt kopsavilkuma ziņojumus, kas minēti 10. panta 3. punkta otrajā daļā;

k)

apspriest veikto darbu attiecībā uz mācībām saistībā ar tīklu un informācijas sistēmu drošību, izglītības programmām un apmācību, tostarp darbu, ko veic ENISA;

l)

ar ENISA palīdzību apmainīties ar paraugpraksi saistībā ar dalībvalstu veikto pamatpakalpojumu sniedzēju identifikāciju, tostarp attiecībā uz pārrobežu atkarību saistībā ar riskiem un incidentiem;

m)

apspriest kārtību ziņošanai par paziņojumiem par incidentiem, kā minēts 14. un 16. pantā.

a)

apmainīties ar informāciju par CSIRT pakalpojumiem, operācijām un sadarbības spējām;

b)

pēc tās dalībvalsts CSIRT pārstāvja lūguma, kuru, iespējams, skāris incidents, apmainīties ar un apspriest informāciju, kas nav komerciāli sensitīva un kas saistīta ar minēto incidentu, kā arī saistītos riskus; tomēr jebkuras dalībvalsts CSIRT var atteikties sniegt informāciju minētajās apspriedēs, ja pastāv risks, ka tas var kaitēt incidenta izmeklēšanai;

c)

apmainīties ar un uz brīvprātības pamata darīt pieejamu nekonfidenciālu informāciju attiecībā uz atsevišķiem incidentiem;

d)

pēc dalībvalsts CSIRT pārstāvja lūguma apspriest un, ja iespējams, apzināt saskaņotu reaģēšanu uz incidentu, kas ir identificēts tās pašas dalībvalsts jurisdikcijā;

e)

nodrošināt dalībvalstīm atbalstu pārrobežu incidentu risināšanā, pamatojoties uz to brīvprātīgu savstarpējo palīdzību;

f)

apspriest, izpētīt un apzināt operatīvās sadarbības turpmākos veidus, tostarp attiecībā uz:

g)

informēt sadarbības grupu par savām darbībām un par operatīvās sadarbības turpmākajiem veidiem, kas apspriesti, ievērojot f) apakšpunktu, un lūgt norādījumus attiecībā uz tiem;

h)

apspriest pieredzi, kas gūta mācībās saistībā ar tīklu un informācijas sistēmu drošību, tostarp tajās, ko organizējusi ENISA;

i)

pēc atsevišķas CSIRT pieprasījuma apspriest minētās CSIRT spējas un sagatavotību;

j)

izdot pamatnostādnes, lai atvieglotu operatīvās prakses konverģenci saistībā ar šā panta noteikumu piemērošanu attiecībā uz operatīvo sadarbību.

a)

pamatpakalpojuma traucējumu skarto lietotāju skaits;

b)

incidenta ilgums;

c)

ģeogrāfiskā izplatība attiecībā uz incidenta skarto vidi.

a)

informāciju, kas vajadzīga to tīklu un informācijas sistēmu drošības izvērtēšanai, tostarp informēt par dokumentētu drošības politiku;

b)

pierādījumus par efektīvu drošības politikas īstenošanu, piemēram, tādas drošības revīzijas rezultātus, ko veic kompetentā iestāde vai kvalificēts revidents, un – kvalificēta revidenta gadījumā – tās rezultātus, tostarp pamatā esošos pierādījumus, darīt pieejamus kompetentajai iestādei.

a)

sistēmu un iekārtu drošība;

b)

incidentu risināšana;

c)

darījumdarbības nepārtrauktības pārvaldība;

d)

uzraudzība, revīzijas un pārbaudes;

e)

atbilstība starptautiskajiem standartiem.

a)

incidenta skarto lietotāju – jo īpaši to, kuri attiecīgo pakalpojumu izmanto paši savu pakalpojumu sniegšanai, – skaitu;

b)

incidenta ilgumu;

c)

ģeogrāfisko izplatību attiecībā uz incidenta skarto vidi;

d)

to, cik lielā mērā tiek traucēta pakalpojuma darbība;

e)

to, cik lielā mērā tiek ietekmētas ekonomiskās un sabiedriskās darbības.

a)

sniegt informāciju, kas vajadzīga to tīklu un informācijas sistēmu drošības izvērtēšanai, tostarp informēt par dokumentētu drošības politiku;

b)

labot jebkādu 16. pantā noteikto prasību neizpildi.