(1)

Attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem, uz kuriem attiecas Direktīvas (ES) 2022/2555 3. pants (“attiecīgās vienības”), šīs regulas mērķis ir noteikt Direktīvas (ES) 2022/2555 21. panta 2. punktā minēto pasākumu tehniskās un metodiskās prasības un precizēt gadījumus, kad incidents būtu uzskatāms par būtisku, kā noteikts Direktīvas (ES) 2022/2555 23. panta 3. punktā.

(2)

Ņemot vērā uzticamības pakalpojumu sniedzēju darbību pārrobežu raksturu un lai tiem nodrošinātu saskaņotu satvaru, šajā regulā attiecībā uz uzticamības pakalpojumu sniedzējiem būtu ne tikai jānosaka kiberdrošības risku pārvaldības pasākumu tehniskās un metodiskās prasības, bet arī jāprecizē gadījumi, kad incidentu uzskata par būtisku.

(3)

Saskaņā ar Direktīvas (ES) 2022/2555 21. panta 5. punkta trešo daļu šīs regulas pielikumā izklāstīto kiberdrošības risku pārvaldības pasākumu tehnisko un metodisko prasību pamatā ir Eiropas un starptautiskie standarti, piemēram, ISO/IEC 27001, ISO/IEC 27002 un ETSI EN 319401, un tehniskās specifikācijas, piemēram, CEN/TS 18026:2024, kas attiecas uz tīklu un informācijas sistēmu drošību.

(4)

Attiecībā uz šīs regulas pielikumā izklāstīto kiberdrošības risku pārvaldības pasākumu tehnisko un metodisko prasību īstenošanu un piemērošanu – atbilstīgi proporcionalitātes principam šīs regulas pielikumā izklāstīto kiberdrošības risku pārvaldības pasākumu tehnisko un metodisko prasību ievērošanā būtu pienācīgi jāņem vērā attiecīgo vienību atšķirīgā eksponētība riskam, piemēram, attiecīgās vienības kritiskums, riski, kam tā eksponēta, attiecīgās vienības lielums un struktūra, kā arī incidentu rašanās varbūtība un smagums, ieskaitot to sabiedrisko un ekonomisko ietekmi.

(5)

Saskaņā ar proporcionalitātes principu, ja attiecīgās vienības sava lieluma dēļ nevar īstenot dažas kiberdrošības risku pārvaldības pasākumu tehniskās un metodiskās prasības, minētajām vienībām vajadzētu būt iespējai veikt citus kompensējošus pasākumus, kas ir piemēroti minēto prasību mērķa sasniegšanai. Piemēram, nosakot lomas, pienākumus un pilnvaras, lai panāktu tīklu un informācijas sistēmu drošību attiecīgajā vienībā, mikrovienībām var būt grūtības nošķirt konfliktējošus pienākumus un konfliktējošas atbildības jomas. Šādām vienībām vajadzētu būt iespējai apsvērt kompensējošus pasākumus, piemēram, mērķorientētu pārraudzību, ko veic vienības vadība, vai pastiprinātu uzraudzību un reģistrēšanu.

(6)

Dažas no šīs regulas pielikumā izklāstītajām tehniskajām un metodiskajām prasībām attiecīgajām vienībām būtu jāpiemēro atbilstošā gadījumā, attiecīgā gadījumā vai cik iespējams. Ja attiecīgā vienība uzskata, ka konkrētas tehniskās un metodiskās prasības, kas paredzētas šīs regulas pielikumā, nav atbilstoši vai nav iespējams piemērot vai tās uz vienību neattiecas, attiecīgajai vienībai būtu saprotami jādokumentē sava uzskata pamatojums. Valstu kompetentās iestādes, veicot uzraudzību, var ņemt vērā atbilstošo laiku, kas attiecīgajām vienībām vajadzīgs, lai īstenotu kiberdrošības risku pārvaldības pasākumu tehniskās un metodiskās prasības.

(7)

ENISA vai valstu kompetentās iestādes saskaņā ar Direktīvu (ES) 2022/2555 var sniegt norādījumus, lai palīdzētu attiecīgajām vienībām identificēt, analizēt un novērtēt riskus nolūkā īstenot tehniskās un metodiskās prasības attiecībā uz atbilstīga risku pārvaldības satvara izveidi un uzturēšanu. Šādi norādījumi jo īpaši var ietvert valsts un nozaru riska novērtējumus, kā arī riska novērtējumus, kas attiecas uz noteikta veida vienību. Norādījumos var iekļaut arī instrumentus vai veidnes risku pārvaldības satvara izveidei attiecīgo vienību līmenī. Satvari, norādījumi vai citi mehānismi, kas paredzēti dalībvalstu tiesību aktos, kā arī attiecīgie Eiropas un starptautiskie standarti, var arī palīdzēt attiecīgajām struktūrām pierādīt atbilstību šai regulai. Turklāt ENISA vai valstu kompetentās iestādes saskaņā ar Direktīvu (ES) 2022/2555 var palīdzēt attiecīgajām vienībām apzināt un īstenot piemērotus risinājumus šādos riska novērtējumos identificēto risku atrisināšanai. Tādiem norādījumiem nav jāskar attiecīgo vienību pienākums identificēt un dokumentēt riskus, kas apdraud tīklu un informācijas sistēmu drošību, un attiecīgo vienību pienākumu īstenot šīs regulas pielikumā izklāstītās kiberdrošības risku pārvaldības pasākumu tehniskās un metodiskās prasības atbilstīgi savām vajadzībām un resursiem.

(8)

Saistībā ar tīkla drošības pasākumiem, kas attiecas uz i) pāreju uz jaunākās paaudzes tīkla slāņa sakaru protokoliem, ii) starptautiski saskaņotu, sadarbspējīgu un mūsdienīgu e-pasta komunikācijas standartu ieviešanu un iii) paraugprakses piemērošanu attiecībā uz DNS drošību un interneta maršrutēšanas drošību un maršrutēšanas higiēnu, rodas īpašas grūtības labāko pieejamo standartu un izvēršanas metožu apzināšanā. Lai pēc iespējas drīzāk panāktu vienādi augstu kiberdrošības līmeni visos tīklos, Komisijai ar Eiropas Savienības Kiberdrošības aģentūras (ENISA) palīdzību un sadarbībā ar kompetentajām iestādēm, nozari, arī telesakaru nozari, un citām ieinteresētajām personām būtu jāatbalsta tāda daudzpusēja ieinteresēto personu foruma izveide, kura uzdevums būtu apzināt šādus labākos pieejamos standartus un izvēršanas metodes. Tādiem dažādu ieinteresēto personu kopīgi sagatavotiem norādījumiem nav jāskar attiecīgo vienību pienākums īstenot šīs regulas pielikumā izklāstītās kiberdrošības risku pārvaldības pasākumu tehniskās un metodiskās prasības.

(9)

Saskaņā ar Direktīvas (ES) 2022/2555 21. panta 2. punkta a) apakšpunktu būtiskām un svarīgām vienībām jābūt ne tikai riska analīzes rīcībpolitikai, bet arī informācijas sistēmu drošības rīcībpolitikai. Šajā nolūkā attiecīgajām vienībām būtu jāizstrādā tīklu un informācijas sistēmu drošības rīcībpolitika, kā arī tematiskā rīcībpolitika, piemēram, piekļuves kontroles rīcībpolitika, kam jābūt saskaņotai ar tīklu un informācijas sistēmu drošības rīcībpolitiku. Tīklu un informācijas sistēmu drošības rīcībpolitikai jābūt augstākā līmeņa dokumentam, kurā izklāstīta attiecīgo vienību vispārējā pieeja tīklu un informācijas sistēmu drošībai, un tā būtu jāapstiprina attiecīgo vienību vadības struktūrām. Tematiskā rīcībpolitika būtu jāapstiprina pienācīgā vadības līmenī. Rīcībpolitikā būtu jānosaka rādītāji un pasākumi, kas paredzēti, lai uzraudzītu tās īstenošanu un attiecīgo vienību tīklu un informācijas drošības pašreizējo brieduma līmeni, jo īpaši, lai vadības struktūrām būtu vieglāk pārraudzīt kiberdrošības risku pārvaldības pasākumu īstenošanu.

(10)

Šīs regulas pielikumā noteikto tehnisko un metodisko prasību piemērošanā ar terminu “lietotājs” jāsaprot visas juridiskās un fiziskās personas, kurām ir piekļuve vienības tīklu un informācijas sistēmām.

(11)

Lai identificētu un novērstu riskus, kas apdraud tīklu un informācijas sistēmu drošību, attiecīgajām vienībām būtu jāizveido un jāuztur atbilstošs risku pārvaldības satvars. Attiecīgajām vienībām risku pārvaldības satvara ietvaros būtu jāizstrādā, jāīsteno un jāuzrauga risku risināšanas plāns. Attiecīgās vienības var izmantot risku risināšanas plānu, lai apzinātu risku risināšanas iespējas un pasākumus un noteiktu to prioritātes. Galvenās risku risināšanas iespējas ir riska nepieļaušana, mazināšana vai – izņēmuma gadījumos – pieņemšana. Izvēloties riska risināšanas iespējas, jāņem vērā attiecīgās vienības veiktās riska novērtēšanas rezultāti un jāievēro attiecīgās vienības rīcībpolitika tīklu un informācijas sistēmu drošības jomā. Lai izvēlētās risku risināšanas iespējas īstenotu praksē, attiecīgajām vienībām būtu jāveic piemēroti risku risināšanas pasākumi.

(12)

Lai atklātu notikumus, gandrīz notikušus notikumus un incidentus, attiecīgajām vienībām būtu jāuzrauga savas tīklu un informācijas sistēmas un būtu jāveic notikumu, gandrīz notikušo notikumu un incidentu izvērtēšanas darbības. Minētajiem pasākumiem vajadzētu būt tādiem, kas ļautu savlaicīgi atklāt tīklā balstītus uzbrukumus, pamatojoties uz anomāliem ienākošo un izejošo datplūsmu modeļiem, un pakalpojumatteices uzbrukumus.

(13)

Kad attiecīgās vienības veic ietekmes uz darījumdarbību analīzi, tās tiek mudinātas veikt visaptverošu analīzi, attiecīgā gadījumā nosakot maksimālo pieļaujamo dīkstāves laiku, atgūšanas laika mērķus, atgūšanas punkta mērķus un pakalpojumu sniegšanas mērķus.

(14)

Lai mazinātu riskus, kas izriet no attiecīgās vienības piegādes ķēdes un attiecībām ar tās piegādātājiem, attiecīgajām vienībām būtu jāpieņem piegādes ķēdes drošības rīcībpolitika, kas reglamentē to attiecības ar to tiešajiem piegādātājiem un pakalpojumu sniedzējiem. Šīm vienībām līgumos ar saviem tiešajiem piegādātājiem vai pakalpojumu sniedzējiem būtu jāiekļauj atbilstīgas drošības klauzulas, piemēram, būtu jāpieprasa atbilstošā gadījumā veikt kiberdrošības risku pārvaldības pasākumus saskaņā ar Direktīvas (ES) 2022/2555 21. panta 2. punktu vai izpildīt citas līdzīgas juridiskās prasības.

(15)

Attiecīgajām vienībām būtu regulāri jāveic drošības testi, pamatojoties uz īpašu rīcībpolitiku un procedūrām, lai pārbaudītu, vai kiberdrošības risku pārvaldības pasākumi tiek īstenoti un darbojas pienācīgi. Drošības testus var veikt konkrētām tīklu un informācijas sistēmām vai attiecīgajai vienībai kopumā, un tie var ietvert automatizētus vai manuālus testus, ielaušanās testus, vājo vietu skenēšanu, statiskos un dinamiskos lietojumprogrammu drošības testus, konfigurācijas testus vai drošības revīzijas. Attiecīgās vienības var veikt savu tīklu un informācijas sistēmu drošības testus to uzstādīšanas laikā, pēc infrastruktūras vai lietojumprogrammu modernizācijas vai modifikācijām, ko tās uzskata par būtiskām, vai pēc uzturēšanas darbībām. Drošības testu konstatējumi būtu jāņem vērā attiecīgo vienību rīcībpolitikā un procedūrās, lai novērtētu kiberdrošības risku pārvaldības pasākumu efektivitāti, kā arī neatkarīgā to tīklu un informācijas drošības rīcībpolitikas pārskatīšanā.

(16)

Lai izvairītos no būtiskiem traucējumiem un kaitējuma, ko rada tīklu un informācijas sistēmās pastāvošu nenovērstu vājo vietu izmantošana, attiecīgajām vienībām būtu jānosaka un jāpiemēro atbilstīgas drošības ielāpu pārvaldības procedūras, kas ir saskaņotas ar attiecīgo vienību izmaiņu pārvaldības, vājo vietu pārvaldības, risku pārvaldības un citām attiecīgām procedūrām. Attiecīgajām vienībām būtu jāveic ar saviem resursiem samērīgi pasākumi, lai nodrošinātu, ka drošības ielāpi nerada vēl vairāk vājo vietu vai nestabilitātes. Drošības ielāpu piemērošanas izraisītas plānotas pakalpojumu nepieejamības gadījumā attiecīgās vienības tiek mudinātas iepriekš pienācīgi informēt klientus.

(17)

Attiecīgajām vienībām būtu jāpārvalda riski, kas izriet no IKT produktu vai IKT pakalpojumu ieguves no piegādātājiem vai pakalpojumu sniedzējiem, un būtu jāgūst pārliecība, ka IKT produktiem vai IKT pakalpojumiem, kurus paredzēts iegūt, piemīt noteikts kiberdrošības aizsardzības līmenis, piemēram, jāpārliecinās, ka tiem ir Eiropas kiberdrošības sertifikāti un IKT produktu vai IKT pakalpojumu ES atbilstības apliecinājumi, kuri izdoti saskaņā ar Eiropas kiberdrošības sertifikācijas shēmu, kas pieņemta saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2019/881 (2) 49. pantu. Ja attiecīgās vienības nosaka drošības prasības, kas piemērojamas IKT produktiem, kurus paredzēts iegūt, tām jāņem vērā kiberdrošības pamatprasības, kas noteiktas Eiropas Parlamenta un Padomes regulā par horizontālajām kiberdrošības prasībām attiecībā uz produktiem ar digitāliem elementiem.

(18)

Lai aizsargātos pret kiberdraudiem un palīdzētu novērst un ierobežot datu aizsardzības pārkāpumus, attiecīgajām vienībām būtu jāīsteno tīkla drošības risinājumi. Tipiski tīkla drošības risinājumi ietver ugunsmūru izmantošanu ar mērķi aizsargāt attiecīgo vienību iekšējos tīklus, savienojumu un pakalpojumu pieejamības ierobežošanu gadījumos, kad savienojumi un piekļuve ir absolūti nepieciešami, virtuālu privāto tīklu izmantošanu attālinātai piekļuvei un pakalpojumu sniedzēju savienojumu atļaušanu tikai pēc atļaujas pieprasījuma un uz noteiktu laiku, piemēram, uz uzturēšanas darbības laiku.

(19)

Lai aizsargātu attiecīgo vienību tīklus un to informācijas sistēmas pret ļaunprogrammatūru un neatļautu programmatūru, minētajām vienībām būtu jāīsteno kontroles pasākumi, ar ko novērš vai atklāj neatļautas programmatūras izmantošanu, un atbilstošā gadījumā būtu jāizmanto atklāšanas un reaģēšanas programmatūra. Attiecīgajām vienībām būtu arī jāapsver iespēja īstenot pasākumus ar mērķi līdz minimumam samazināt uzbrukumu tvērumu, samazināt vājās vietas, ko var izmantot uzbrucēji, kontrolēt lietojumprogrammu izpildi galapunktos un izmantot e-pasta un tīmekļa lietojumprogrammu filtrus, lai samazinātu eksponētību ļaunprātīgam saturam.

(20)

Saskaņā ar Direktīvas (ES) 2022/2555 21. panta 2. punkta g) apakšpunktu dalībvalstīm ir jānodrošina, ka būtiskas un svarīgas vienības īsteno kiberhigiēnas pamatpraksi un apmācību kiberdrošības jomā. Kiberhigiēnas pamatprakse var ietvert nulles uzticības principus, programmatūras atjauninājumus, ierīču konfigurāciju, tīkla segmentēšanu, identitātes un piekļuves pārvaldību vai lietotāju izpratni, darbinieku apmācības organizēšanu un izpratnes uzlabošanu par kiberdraudiem, pikšķerēšanu vai sociālās inženierijas paņēmieniem. Kiberhigiēnas prakse ir iekļauta dažādās šīs regulas pielikumā izklāstītajās kiberdrošības risku pārvaldības pasākumu tehniskajās un metodiskajās prasībās. Attiecībā uz lietotāju kiberhigiēnas pamatpraksi attiecīgajām vienībām būtu jāapsver tāda prakse kā tīra galda un ekrāna politika, daudzfaktoru autentifikācijas un citu autentifikācijas līdzekļu izmantošana, e-pasta droša izmantošana un tīmekļa droša pārlūkošana, aizsardzība pret pikšķerēšanu un sociālo inženieriju, kā arī attālinātā darba droša prakse.

(21)

Lai novērstu neatļautu piekļuvi attiecīgo vienību aktīviem, attiecīgajām vienībām būtu jāizstrādā un jāīsteno tematiska rīcībpolitika par personu piekļuvi un tīklu un informācijas sistēmu, piemēram, lietojumprogrammu, piekļuvi.

(22)

Lai izvairītos no tā, ka darbinieki var ļaunprātīgi izmantot, piemēram, piekļuves tiesības attiecīgajā vienībā, lai kaitētu un nodarītu bojājumus, attiecīgajām vienībām būtu jāapsver atbilstīgi ar darbiniekiem saistītās drošības pārvaldības pasākumi un jāuzlabo darbinieku izpratne par šādiem riskiem. Attiecīgajām vienībām būtu jāizveido, jāpaziņo un jāuztur disciplinārs process, saskaņā ar kuru izskata attiecīgo vienību tīklu un informācijas sistēmu drošības rīcībpolitikas pārkāpumus un kurš var būt iestrādāts citos attiecīgo vienību izveidotos disciplināros procesos. Attiecīgo vienību darbinieku un attiecīgā gadījumā tiešo piegādātāju un pakalpojumu sniedzēju iepriekšējās darbības pārbaudēm jāpalīdz sasniegt mērķi nodrošināt cilvēkresursu drošību attiecīgajās vienībās, un tās var ietvert tādus pasākumus kā personai piespriesto kriminālsodu vai iepriekšējo profesionālo pienākumu pārbaudes atkarībā no personas pienākumiem attiecīgajā vienībā un atbilstoši attiecīgās vienības rīcībpolitikai tīklu un informācijas sistēmu drošības jomā.

(23)

Daudzfaktoru autentifikācija var uzlabot vienību kiberdrošību, un vienībām par to būtu jādomā jo īpaši tad, ja lietotāji piekļūst tīklu un informācijas sistēmām attālināti vai ja tie piekļūst sensitīvai informācijai vai privileģētiem kontiem un sistēmas administrēšanas kontiem. Daudzfaktoru autentifikāciju var kombinēt ar citiem paņēmieniem, lai īpašos apstākļos pieprasītu papildu faktorus, pamatojoties uz iepriekš noteiktiem noteikumiem un modeļiem, piemēram, ja notiek piekļuve no neierastas vietas vai neierastas ierīces vai neierastā laikā.

(24)

Attiecīgajām vienībām būtu jāpārvalda un jāaizsargā savi vērtīgie aktīvi, izmantojot pārdomātu aktīvu pārvaldību, un tai vajadzētu būt par pamatu arī risku analīzei un darbības nepārtrauktības pārvaldībai. Attiecīgajām vienībām būtu jāpārvalda gan materiālie, gan nemateriālie aktīvi un būtu jāizveido aktīvu inventarizācijas pārskats, jāpiešķir aktīviem noteikts klasifikācijas līmenis, attiecīgi jārīkojas ar aktīviem un tie jāizseko, kā arī jāveic pasākumi ar mērķi aizsargāt aktīvus visā to aprites ciklā.

(25)

Aktīvu pārvaldībai būtu jāietver aktīvu klasifikācija pēc to veida, sensitivitātes, riska līmeņa un drošības prasībām, kā arī atbilstīgu kontroles un citu pasākumu piemērošana ar mērķi nodrošināt to pieejamību, integritāti, konfidencialitāti un autentiskumu. Klasificējot aktīvus pēc riska līmeņa, attiecīgajām vienībām vajadzētu būt iespējai piemērot atbilstīgus drošības un kontroles pasākumus aktīvu aizsardzībai, piemēram, šifrēšanu, piekļuves kontroli, arī perimetra, fizisko un loģisko piekļuves kontroli, dublēšanu, reģistrāciju un uzraudzību, glabāšanu un likvidēšanu. Veicot ietekmes uz darījumdarbību analīzi, attiecīgās vienības var noteikt klasifikācijas līmeni, pamatojoties uz aktīvu darbības traucējumu ietekmi uz vienībām. Visiem vienību darbiniekiem, kuri rīkojas ar aktīviem, būtu jāpārzina rīkošanās ar aktīviem rīcībpolitika un norādījumi.

(26)

Aktīvu inventarizācijas pārskata detalizācijas pakāpei vajadzētu būt atbilstīgai attiecīgo vienību vajadzībām. Visaptverošs aktīvu inventarizācijas pārskats varētu attiecībā uz katru aktīvu ietvert vismaz šādu informāciju: unikāls identifikators, aktīva īpašnieks, aktīva apraksts, aktīva atrašanās vieta, aktīva veids, aktīvā apstrādātās informācijas veids un klasifikācija, aktīva pēdējā atjauninājuma vai ielāpa datums, riska novērtējumā iekļautā aktīva klasifikācija un aktīva kalpošanas laika beigas. Identificējot aktīva īpašnieku, attiecīgajām vienībām būtu arī jāidentificē persona, kas atbild par attiecīgā aktīva aizsardzību.

(27)

Sadalot un organizējot ar kiberdrošību saistītās lomas, pienākumus un pilnvaras, būtu jāizveido saskaņota kiberdrošības pārvaldības un īstenošanas struktūra attiecīgajās vienībās, kā arī būtu jānodrošina efektīva saziņa incidentu gadījumā. Nosakot un uzticot ar konkrētām lomām saistītus pienākumus, attiecīgajām vienībām būtu jāapsver tādas lomas kā galvenais informācijas drošības speciālists, informācijas drošības speciālists, incidentu risināšanas speciālists un revidents vai līdzvērtīgas lomas. Attiecīgās vienības var uzticēt lomas un pienākumus ārējām personām, piemēram, trešām personām, kas sniedz IKT pakalpojumus.

(28)

Saskaņā ar Direktīvas (ES) 2022/2555 21. panta 2. punktu kiberdrošības risku pārvaldības pasākumu pamatā jābūt visu apdraudējumu pieejai, kuras mērķis ir aizsargāt tīklu un informācijas sistēmas un šo sistēmu fizisko vidi no tādiem notikumiem kā zādzība, ugunsgrēks, plūdi, telesakaru vai elektroapgādes pārtraukumi vai pret tādu neatļautu fizisku piekļuvi būtiskās vai svarīgās vienības informācijai un informācijas apstrādes iekārtām un pret tādiem to bojājumiem un traucējumiem, kas varētu apdraudēt glabāto, pārsūtīto vai apstrādāto datu pieejamību, autentiskumu, integritāti vai konfidencialitāti vai tīklu un informācijas sistēmu piedāvāto vai ar to starpniecību pieejamo pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti. Tāpēc kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām būtu jāattiecas arī uz tīklu un informācijas sistēmu fizisko un vides drošību, iekļaujot pasākumus šādu sistēmu aizsardzībai pret sistēmas traucējumiem, cilvēka kļūdām, ļaunprātīgām darbībām vai dabas parādībām. Citi fizisku un vides apdraudējumu piemēri var būt zemestrīces, sprādzieni, sabotāža, iekšnieku draudi, nekārtības, kas vērstas pret sabiedrisko kārtību, toksiskie atkritumi un emisijas vidē. Atbalsta komunālās infrastruktūras atteices vai traucējumu izraisīta tīklu un informācijas sistēmu zuduma, bojājumu, apdraudējumu vai to darbību pārtraukuma novēršanai būtu jāpalīdz sasniegt mērķi nodrošināt attiecīgo vienību darbības nepārtrauktību. Turklāt aizsardzībai pret fiziskiem un vides apdraudējumiem būtu jāveicina tīklu un informācijas sistēmu uzturēšanas drošība attiecīgajās vienībās.

(29)

Attiecīgajām vienībām jāizstrādā un jāīsteno aizsardzības pasākumi pret fiziskiem un vides apdraudējumiem, jānosaka minimālās un maksimālās kontroles robežvērtības fiziskiem un vides apdraudējumiem un jāmonitorē vides parametri. Piemēram, tām jāapsver iespēja uzstādīt sistēmas, ar ko agrīnā posmā konstatēt to teritoriju applūšanu, kurās atrodas tīklu un informācijas sistēmas. Attiecībā uz ugunsbīstamību attiecīgajām vienībām būtu jāapsver atsevišķa ugunsdrošības nodalījuma izveide datu centram, ugunsizturīgu materiālu izmantošana, temperatūras un mitruma monitoringa sensoru izmantošana, ēkas pieslēgšana ugunsgrēka signalizācijas sistēmai ar automātisku paziņošanu vietējai ugunsdzēsības nodaļai, kā arī agrīnas ugunsgrēka atklāšanas un dzēšanas sistēmu ieviešana. Attiecīgajām vienībām būtu arī jārīko regulāras ugunsgrēka mācību trauksmes un ugunsdrošības pārbaudes. Turklāt, lai nodrošinātu energoapgādi, attiecīgajām vienībām būtu jāapsver pārsprieguma aizsardzība un atbilstīga avārijas elektroapgāde saskaņā ar attiecīgajiem standartiem. Tā kā pārkaršana apdraud tīklu un informācijas sistēmu pieejamību, attiecīgās vienības, jo īpaši datu centru pakalpojumu sniedzēji, varētu apsvērt atbilstīgu nepārtrauktas darbības un rezerves gaisa kondicionēšanas sistēmu izveidi.

(30)

Šajā regulā ir sīkāk jāprecizē gadījumi, kad incidents būtu uzskatāms par būtisku Direktīvas (ES) 2022/2555 23. panta 3. punkta nozīmē. Kritērijiem jābūt tādiem, lai attiecīgās vienības varētu novērtēt, vai incidents ir būtisks, lai par to ziņotu saskaņā ar Direktīvu (ES) 2022/2555. Turklāt šajā regulā noteiktie kritēriji būtu jāuzskata par izsmeļošiem, neskarot Direktīvas (ES) 2022/2555 5. pantu. Šajā regulā ir precizēti gadījumi, kad incidents būtu uzskatāms par būtisku, – ir noteikti gan vispārēji gadījumi, gan uz noteiktiem vienību veidiem attiecināmi gadījumi.

(31)

Saskaņā ar Direktīvas (ES) 2022/2555 23. panta 4. punktu attiecīgajām vienībām vajadzētu būt pienākumam paziņot par būtiskiem incidentiem minētajā noteikumā norādītajos termiņos. Minētie paziņošanas termiņi sākas no brīža, kad vienība uzzina par šādiem būtiskiem incidentiem. Tātad attiecīgajai vienībai ir jāziņo par incidentiem, ko tā sākotnēji novērtējusi kā tādus, kas varētu izraisīt smagus pakalpojumu darbības traucējumus vai finansiālus zaudējumus šai vienībai vai ietekmēt citas fiziskas vai juridiskas personas, izraisot ievērojamu materiālu vai nemateriālu kaitējumu. Tāpēc, kad attiecīgā vienība ir atklājusi aizdomīgu notikumu vai trešā persona, piemēram, fiziska persona, klients, vienība, iestāde, mediju organizācija vai cits avots, tai ir darījusi zināmu iespējamu incidentu, attiecīgajai vienībai būtu savlaicīgi jānovērtē aizdomīgais notikums, lai noteiktu, vai tas ir incidents, un, ja tas ir incidents, noteiktu tā veidu un smagumu. Tātad ir jāuzskata, ka attiecīgā vienība ir “uzzinājusi” par būtisko incidentu tad, kad pēc šāda sākotnējā novērtējuma šī vienība ir guvusi pietiekamu pārliecību par to, ka ir noticis būtisks incidents.

(32)

Lai noteiktu, vai incidents ir būtisks, attiecīgajām vienībām attiecīgā gadījumā būtu jānosaka incidenta skarto lietotāju skaits, ņemot vērā komerciālos klientus un galalietotājus, ar kuriem attiecīgajām vienībām ir līgumattiecības, kā arī fiziskas un juridiskas personas, kas ir saistītas ar komerciālajiem klientiem. Ja attiecīgā vienība nevar aprēķināt skarto lietotāju skaitu, tad, lai aprēķinātu incidenta skarto lietotāju kopējo skaitu, būtu jāņem vērā attiecīgās vienības aplēse par iespējamo maksimālo skarto lietotāju skaitu. Ar uzticamības pakalpojumu saistīta incidenta būtiskums būtu jānosaka, ņemot vērā ne tikai lietotāju skaitu, bet arī atkarīgo pušu skaitu, jo būtisks ar uzticamības pakalpojumu saistīts incidents var ietekmēt arī tās, radot gan darbības traucējumus, gan arī materiālu vai nemateriālu kaitējumu. Tāpēc uzticamības pakalpojumu sniedzējiem, nosakot incidenta būtiskumu, būtu attiecīgā gadījumā jāņem vērā arī atkarīgo pušu skaits. Šajā nolūkā ar atkarīgajām pusēm būtu jāsaprot fiziskas vai juridiskas personas, kas paļaujas uz uzticamības pakalpojumu.

(33)

Uzturēšanas darbības, kuru rezultātā pakalpojumu pieejamība ir ierobežota vai tie nav pieejami, nebūtu jāuzskata par būtiskiem incidentiem, ja pakalpojuma pieejamība ir ierobežota vai pakalpojumi nav pieejami plānotas uzturēšanas darbības dēļ. Par būtiskiem incidentiem nebūtu jāuzskata arī gadījumi, kad pakalpojums nav pieejams plānotu pārtraukumu dēļ, piemēram, uz iepriekšēju līgumisku vienošanos balstītu pārtraukumu vai nepieejamības dēļ.

(34)

Pakalpojuma pieejamību ietekmējoša incidenta ilgums būtu jāmēra no brīža, kad pakalpojuma pienācīga sniegšana kļūst traucēta, līdz atgūšanās brīdim. Ja attiecīgā vienība nevar noteikt traucējumu sākuma laiku, incidenta ilgums būtu jāmēra no incidenta atklāšanas brīža vai no brīža, kad incidents reģistrēts tīkla vai sistēmas žurnālos vai citos datu avotos, atkarībā no tā, kurš datums ir agrāks.

(35)

Pakalpojuma pilnīga nepieejamība būtu jāmēra no brīža, kad pakalpojums kļūst pilnīgi nepieejams lietotājiem, līdz brīdim, kad regulārās aktivitātes vai darbības ir atjaunotas tādā pakalpojumu līmenī, kāds tika nodrošināts pirms incidenta. Ja attiecīgā vienība nevar noteikt, kad ir sākusies pakalpojuma pilnīga nepieejamība, nepieejamība būtu jāmēra no brīža, kad vienība to konstatējusi.

(36)

Lai noteiktu incidenta rezultātā radušos tiešos finansiālos zaudējumus, attiecīgajām vienībām būtu jāņem vērā visi finansiālie zaudējumi, kas tām radušies incidenta rezultātā, piemēram, programmatūras, aparatūras vai infrastruktūras nomaiņas vai pārvietošanas izmaksas, personāla izmaksas, to skaitā izmaksas, kas saistītas ar personāla nomaiņu vai pārcelšanu, papildu darbinieku pieņemšanu darbā, samaksu par virsstundu darbu un zaudēto vai vājināto prasmju atgūšanu, maksas par līgumsaistību neievērošanu, klientu zaudējumu atlīdzināšanas un kompensēšanas izmaksas, zaudējumi, kas radušies, negūstot ieņēmumus, izmaksas saistībā ar iekšējo un ārējo komunikāciju, konsultāciju izmaksas, to skaitā izmaksas, kas saistītas ar juridiskajām konsultācijām, tiesu ekspertīzes pakalpojumiem un koriģēšanas pakalpojumiem, un citas ar incidentu saistītās izmaksas. Tomēr par incidenta radītiem finansiāliem zaudējumiem nevajadzētu uzskatīt administratīvos naudas sodus, kā arī izmaksas, kas ir nepieciešamas uzņēmuma ikdienas darbībai, to skaitā infrastruktūras, aprīkojuma, aparatūras un programmatūras vispārējās uzturēšanas izmaksas, personāla prasmju atjaunināšanas izmaksas, iekšējās vai ārējās izmaksas darījumdarbības uzlabošanai pēc incidenta, to skaitā modernizācijas, uzlabojumu un riska novērtēšanas iniciatīvu izmaksas, kā arī apdrošināšanas prēmijas. Attiecīgajām vienībām finansiālo zaudējumu summas būtu jāaprēķina, pamatojoties uz pieejamajiem datiem, un, ja finansiālo zaudējumu faktiskās summas nav iespējams noteikt, vienībām būtu jāveic šo summu aplēses.

(37)

Attiecīgajām vienībām vajadzētu būt arī pienākumam ziņot par incidentiem, kas ir izraisījuši vai spēj izraisīt fizisku personu nāvi vai būtisku kaitējumu fizisku personu veselībai, jo šādi incidenti ir īpaši nopietni gadījumi, kad rodas ievērojams materiāls vai nemateriāls kaitējums. Piemēram, incidents, kas skar attiecīgo vienību, var izraisīt veselības aprūpes vai neatliekamās palīdzības dienestu nepieejamību vai datu konfidencialitātes vai integritātes zudumu, kas ietekmē fizisku personu veselību. Lai noteiktu, vai incidents ir radījis vai spēj radīt būtisku kaitējumu fiziskas personas veselībai, attiecīgajām vienībām būtu jāņem vērā, vai incidents ir izraisījis vai spēj izraisīt smagus savainojumus un veselības traucējumus. Šajā nolūkā nevajadzētu prasīt attiecīgajām vienībām vākt papildu informāciju, kas tām nav pieejama.

(38)

Būtu jāuzskata, ka pieejamība ir ierobežota sevišķi tad, kad attiecīgās vienības sniegtais pakalpojums ir būtiski lēnāks par vidējo atbildes laiku vai nav pieejama visa pakalpojuma funkcionalitāte. Ja iespējams, lai novērtētu atbildes laika kavējumu, būtu jāizmanto objektīvi kritēriji, pamatojoties uz attiecīgo vienību sniegto pakalpojumu vidējo atbildes laiku. Pakalpojuma funkcionalitāte var būt, piemēram, tērzēšanas funkcionalitāte vai attēlu meklēšanas funkcionalitāte.

(39)

Sekmīga varbūtēji ļaunprātīga un neatļauta piekļuve attiecīgās vienības tīklu un informācijas sistēmām jāuzskata par būtisku incidentu, ja tāda piekļuve spēj izraisīt smagus darbības traucējumus. Piemēram, ja kiberdraudu radītājs iepriekš iekļūst attiecīgās vienības tīklu un informācijas sistēmās, lai nākotnē izraisītu pakalpojumu traucējumus, incidents būtu jāuzskata par būtisku.

(40)

Atkārtoti incidenti, kurus savā starpā saista tas, ka tiem, domājams, ir viens un tas pats pamatcēlonis, un kuri katrs atsevišķi neatbilst būtiska incidenta kritērijiem, kopā būtu jāuzskata par būtisku incidentu ar noteikumu, ka tie kopā atbilst finansiālo zaudējumu kritērijam un ka tie ir notikuši vismaz divas reizes sešu mēnešu laikā. Šādi atkārtoti incidenti var liecināt par būtiskiem trūkumiem un vājajām vietām attiecīgās vienības kiberdrošības risku pārvaldības procedūrās un tās kiberdrošības brieduma līmenī. Turklāt šādi atkārtoti incidenti attiecīgajai vienībai spēj radīt būtiskus finansiālus zaudējumus.

(41)

Komisija ir apmainījusies ar padomiem un sadarbojusies ar sadarbības grupu un ENISA par īstenošanas akta projektu saskaņā ar Direktīvas (ES) 2022/2555 21. panta 5. punktu un 23. panta 11. punktu.

(42)

Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (3) 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2024. gada 1. septembrī sniedza atzinumu.

(43)

Šajā regulā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi ar Direktīvas (ES) 2022/2555 39. pantu izveidotā komiteja,

a)

tie ir notikuši vismaz divas reizes sešu mēnešu laikā;

b)

tiem, domājams, ir viens un tas pats pamatcēlonis;

c)

tie kopā atbilst 3. panta 1. punkta a) apakšpunktā noteiktajiem kritērijiem.

a)

rekursīvs vai autoritatīvs domēnu nosaukumu atrises pakalpojums ir pilnīgi nepieejams ilgāk par 30 minūtēm;

b)

laikposmā, kas pārsniedz vienu stundu, rekursīva vai autoritatīva domēnu nosaukumu atrises pakalpojuma vidējais atbildes laiks uz DNS pieprasījumiem ir ilgāks par 10 sekundēm;

c)

ir apdraudēta ar autoritatīvā domēnu nosaukumu atrises pakalpojuma sniegšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums, izņemot gadījumus, kad nepareizas konfigurācijas dēļ pareizi nav dati par mazāk nekā 1 000 domēnu nosaukumiem, ko pārvalda DNS pakalpojuma sniedzējs, nepārsniedzot 1 % no DNS pakalpojuma sniedzēja pārvaldītajiem domēnu nosaukumiem.

a)

autoritatīvs domēnu nosaukumu atrises pakalpojums ir pilnīgi nepieejams;

b)

laikposmā, kas pārsniedz vienu stundu, autoritatīva domēnu nosaukumu atrises pakalpojuma vidējais laiks atbildei uz DNS pieprasījumiem ir ilgāks par 10 sekundēm;

c)

ir apdraudēta ar TLD tehnisko darbību saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums.

a)

sniegtais mākoņdatošanas pakalpojums ir pilnīgi nepieejams ilgāk par 30 minūtēm;

b)

pakalpojumu sniedzēja mākoņdatošanas pakalpojuma pieejamība ir ierobežota vairāk nekā 5 % mākoņdatošanas pakalpojuma lietotāju Savienībā vai vairāk nekā 1 miljonam mākoņdatošanas pakalpojumu lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks, – uz laiku, kas pārsniedz vienu stundu;

c)

varbūtēji ļaunprātīgas rīcības rezultātā ir apdraudēta ar mākoņdatošanas pakalpojuma sniegšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums;

d)

ir apdraudēta ar mākoņdatošanas pakalpojuma sniegšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums, ietekmējot vairāk nekā 5 % mākoņdatošanas pakalpojuma lietotāju Savienībā vai vairāk nekā 1 miljonu mākoņdatošanas pakalpojuma lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks.

a)

datu centra pakalpojums, ko nodrošina pakalpojumu sniedzēja ekspluatēts datu centrs, ir pilnīgi nepieejams;

b)

pakalpojumu sniedzēja ekspluatēta datu centra nodrošināta datu centra pakalpojuma pieejamība ir ierobežota ilgāk nekā vienu stundu;

c)

varbūtēji ļaunprātīgas rīcības rezultātā ir apdraudēta ar datu centra pakalpojuma sniegšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums;

d)

ir apdraudēta fiziska piekļuve pakalpojumu sniedzēja ekspluatētam datu centram.

a)

satura piegādes tīkls ir pilnīgi nepieejams ilgāk par 30 minūtēm;

b)

satura piegādes tīkla pieejamība ir ierobežota vairāk nekā 5 % satura piegādes tīkla lietotāju Savienībā vai vairāk nekā 1 miljonam satura piegādes tīkla lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks, – uz laiku, kas pārsniedz vienu stundu;

c)

varbūtēji ļaunprātīgas rīcības rezultātā ir apdraudēta ar satura piegādes tīkla nodrošināšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums;

d)

ir apdraudēta ar satura piegādes tīkla nodrošināšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums, ietekmējot vairāk nekā 5 % satura piegādes tīkla lietotāju Savienībā vai vairāk nekā 1 miljonu satura piegādes tīkla lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks.

a)

pārvaldīts pakalpojums vai pārvaldīts drošības pakalpojums ir pilnīgi nepieejams ilgāk par 30 minūtēm;

b)

pārvaldīta pakalpojuma vai pārvaldīta drošības pakalpojuma pieejamība ir ierobežota vairāk nekā 5 % pakalpojuma lietotāju Savienībā vai vairāk nekā 1 miljonam pakalpojuma lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks, – uz laiku, kas pārsniedz vienu stundu;

c)

iespējamas ļaunprātīgas rīcības rezultātā ir apdraudēta ar pārvaldīta pakalpojuma vai pārvaldīta drošības pakalpojuma sniegšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums;

d)

ir apdraudēta ar pārvaldīta pakalpojuma vai pārvaldīta drošības pakalpojuma sniegšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums, ietekmējot vairāk nekā 5 % pārvaldīta pakalpojuma vai pārvaldīta drošības pakalpojuma lietotāju Savienībā vai vairāk nekā 1 miljonu pakalpojuma lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks.

a)

tiešsaistes tirdzniecības vieta ir pilnīgi nepieejama vairāk nekā 5 % tiešsaistes tirdzniecības vietas lietotāju Savienībā vai vairāk nekā vienam miljonam tiešsaistes tirdzniecības vietas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks;

b)

tiešsaistes tirdzniecības vietas ierobežota pieejamība ietekmē vairāk nekā 5 % tiešsaistes tirdzniecības vietas lietotāju Savienībā vai vairāk nekā vienu miljonu tiešsaistes tirdzniecības vietas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks;

c)

varbūtēji ļaunprātīgas rīcības rezultātā ir apdraudēta ar tiešsaistes tirdzniecības vietas nodrošināšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums;

d)

ir apdraudēta ar tiešsaistes tirdzniecības vietas nodrošināšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums, ietekmējot vairāk nekā 5 % tiešsaistes tirdzniecības vietas lietotāju Savienībā vai vairāk nekā vienu miljonu tiešsaistes tirdzniecības vietas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks.

a)

tiešsaistes meklētājprogramma ir pilnīgi nepieejama vairāk nekā 5 % tiešsaistes meklētājprogrammas lietotāju Savienībā vai vairāk nekā vienam miljonam tiešsaistes meklētājprogrammas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks;

b)

tiešsaistes meklētājprogrammas ierobežota pieejamība ietekmē vairāk nekā 5 % tiešsaistes meklētājprogrammas lietotāju Savienībā vai vairāk nekā vienu miljonu tiešsaistes meklētājprogrammas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks;

c)

varbūtēji ļaunprātīgas rīcības rezultātā ir apdraudēta ar tiešsaistes meklētājprogrammas nodrošināšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums;

d)

ir apdraudēta ar tiešsaistes meklētājprogrammas nodrošināšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums, ietekmējot vairāk nekā 5 % tiešsaistes meklētājprogrammas lietotāju Savienībā vai vairāk nekā vienu miljonu tiešsaistes meklētājprogrammas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks.

a)

sociālās tīklošanās pakalpojumu platforma ir pilnīgi nepieejama vairāk nekā 5 % sociālās tīklošanās pakalpojumu platformas lietotāju Savienībā vai vairāk nekā vienam miljonam sociālās tīklošanās pakalpojumu platformas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks;

b)

sociālās tīklošanās pakalpojumu platformas ierobežota pieejamība ietekmē vairāk nekā 5 % sociālās tīklošanās pakalpojumu platformas lietotāju Savienībā vai vairāk nekā vienu miljonu sociālās tīklošanās pakalpojumu platformas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks;

c)

varbūtēji ļaunprātīgas rīcības rezultātā ir apdraudēta ar sociālās tīklošanās pakalpojumu platformas nodrošināšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums;

d)

ir apdraudēta ar sociālās tīklošanās pakalpojumu platformas nodrošināšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums, ietekmējot vairāk nekā 5 % sociālās tīklošanās pakalpojumu platformas lietotāju Savienībā vai vairāk nekā vienu miljonu sociālās tīklošanās pakalpojumu platformas lietotāju Savienībā – atkarībā no tā, kurš skaits ir mazāks.

a)

uzticamības pakalpojums ir pilnīgi nepieejams ilgāk par 20 minūtēm;

b)

uzticamības pakalpojums nav pieejams lietotājiem vai atkarīgajām pusēm ilgāk par vienu stundu kalendārajā nedēļā;

c)

uzticamības pakalpojuma ierobežota pieejamība ietekmē vairāk nekā 1 % lietotāju vai atkarīgo pušu Savienībā vai vairāk nekā 200 000 lietotāju vai atkarīgo pušu Savienībā – atkarībā no tā, kurš skaits ir mazāks;

d)

ir apdraudēta fiziska piekļuve zonai, kur atrodas tīklu un informācijas sistēmas un kurām var piekļūt tikai uzticams uzticamības pakalpojumu sniedzēja personāls, vai šādas fiziskas piekļuves aizsardzība;

e)

ir apdraudēta ar uzticamības pakalpojuma sniegšanu saistīto glabāto, pārsūtīto vai apstrādāto datu integritāte, konfidencialitāte vai autentiskums, ietekmējot vairāk nekā 0,1 % uzticamības pakalpojuma lietotāju vai atkarīgo pušu Savienībā vai vairāk nekā 100 uzticamības pakalpojuma lietotāju vai atkarīgo pušu Savienībā – atkarībā no tā, kurš skaits ir mazāks.