16.6.2016   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 218/31

1.

Η Επιτροπή υπέβαλε πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για την εξασφάλιση κοινού υψηλού επιπέδου ασφαλείας δικτύων και πληροφοριών σε ολόκληρη την Ένωση (στο εξής αναφερόμενη ως «η οδηγία») στις 12 Φεβρουαρίου 2013, με νομική βάση το άρθρο 114 της ΣΛΕΕ.

2.

Η Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και η Επιτροπή των Περιφερειών γνωμοδότησαν στις 22 Μαΐου 2013 και στις 3-4 Ιουλίου 2013 αντίστοιχα.

3.

Το Ευρωπαϊκό Κοινοβούλιο ενέκρινε το σχετικό νομοθετικό ψήφισμα σε πρώτη ανάγνωση στις 13 Μαρτίου 2014 (1), εγκρίνοντας 138 τροπολογίες.

4.

Το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο άρχισαν διαπραγματεύσεις με σκοπό να καταλήξουν έγκαιρα σε συμφωνία σε δεύτερη ανάγνωση τον Οκτώβριο του 2014. Οι διαπραγματεύσεις ολοκληρώθηκαν επιτυχώς στις 7 Δεκεμβρίου 2015 με την επίτευξη προσωρινής συμφωνίας επί συμβιβαστικού κειμένου από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.

5.

Στις 18 Δεκεμβρίου 2015 η Επιτροπή των Μόνιμων Αντιπροσώπων επιβεβαίωσε το συμβιβαστικό κείμενο της οδηγίας, όπως είχε συμφωνηθεί από τα δύο θεσμικά όργανα.

6.

Στις 28 Ιανουαρίου 2016 η πρόεδρος της Επιτροπής «Εσωτερική Αγορά και Προστασία των Καταναλωτών» (IMCO) του Ευρωπαϊκού Κοινοβουλίου απηύθυνε επιστολή στον πρόεδρο της Επιτροπής των Μόνιμων Αντιπροσώπων όπου δηλώνει ότι, εφόσον το Συμβούλιο διαβιβάσει επισήμως στο Ευρωπαϊκό Κοινοβούλιο τη θέση του όπως συμφωνήθηκε, με την επιφύλαξη νομικού και γλωσσικού ελέγχου, θα προτείνει στην ολομέλεια να γίνει η θέση του Συμβουλίου δεκτή χωρίς τροπολογίες κατά τη δεύτερη ανάγνωση του Κοινοβουλίου.

7.

Στις 29 Φεβρουαρίου 2016, το Συμβούλιο επιβεβαίωσε την πολιτική του συμφωνία για το συμβιβαστικό κείμενο της οδηγίας.

8.

Από την έκβαση των διαπραγματεύσεων προκύπτει ότι η οδηγία θεσπίζει μέτρα με σκοπό την επίτευξη υψηλού κοινού επιπέδου ασφάλειας δικτύων και συστημάτων πληροφοριών εντός της Ένωσης, με σκοπό την καλύτερη λειτουργία της εσωτερικής αγοράς.

9.

Μετά την ψηφοφορία της ολομέλειας, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο διεξήγαγαν διαπραγματεύσεις με σκοπό να καταλήξουν σε συμφωνία σε δεύτερη ανάγνωση βάσει της θέσης του Συμβουλίου σε πρώτη ανάγνωση, την οποία ενέκρινε το Κοινοβούλιο χωρίς αλλαγές. Το κείμενο της θέσης του Συμβουλίου σε πρώτη ανάγνωση αποτυπώνει πλήρως τον συμβιβασμό που επιτεύχθηκε από τους δύο συννομοθέτες.

10.

Τα κυριότερα σημεία του συμβιβασμού που επιτεύχθηκε με το Ευρωπαϊκό Κοινοβούλιο περιγράφονται κατωτέρω:

11.

Βάσει του συμβιβασμού, τα κράτη μέλη έχουν ορισμένες υποχρεώσεις όσον αφορά τις εθνικές τους ικανότητες ασφάλειας στον κυβερνοχώρο. Πρώτον, τα κράτη μέλη οφείλουν να θεσπίζουν εθνική στρατηγική που να καθορίζει τους στρατηγικούς στόχους και τα κατάλληλα στρατηγικά και κανονιστικά μέτρα με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου ασφάλειας των δικτύων και των συστημάτων πληροφοριών.

12.

Δεύτερον, τα κράτη μέλη πρέπει να ορίσουν μία ή περισσότερες εθνικές αρμόδιες αρχές σχετικά με την ασφάλεια των δικτύων και των συστημάτων πληροφοριών για την παρακολούθηση της εφαρμογής της οδηγίας σε εθνικό επίπεδο.

13.

Τρίτον, τα κράτη μέλη οφείλουν επίσης να ορίσουν εθνικό ενιαίο κέντρο επαφής για την ασφάλεια των δικτύων και των συστημάτων πληροφοριών που θα ασκεί καθήκοντα συνδέσμου για την εξασφάλιση της διασυνοριακής συνεργασίας των αρχών του κράτους μέλους μεταξύ τους, καθώς και με τις αρμόδιες αρχές άλλων κρατών μελών και την ομάδα συνεργασίας και το δίκτυο ΟΠΣΑΥ. Το ενιαίο σημείο επαφής θα υποβάλει επίσης στην ομάδα συνεργασίας ετήσια αναφορά σχετικά με τις κοινοποιήσεις που έχει λάβει.

14.

Τέλος, τα κράτη μέλη θα ορίσουν μία ή περισσότερες ομάδες παρέμβασης για συμβάντα που αφορούν την ασφάλεια υπολογιστών («ΟΠΣΑΥ») που θα είναι υπεύθυνες για τον χειρισμό συμβάντων και κινδύνων. Το συμβιβαστικό κείμενο προβλέπει τις υποχρεώσεις και τα καθήκοντα των ΟΠΣΑΥ στο παράρτημα Ι.

15.

Βάσει του συμβιβαστικού κειμένου συγκροτείται ομάδα συνεργασίας με σκοπό την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας μεταξύ των κρατών μελών, την ανάπτυξη της αξιοπιστίας και της εμπιστοσύνης, καθώς και την επίτευξη κοινού υψηλού επιπέδου ασφάλειας δικτύων και συστημάτων πληροφοριών στην Ένωση. Η ομάδα αυτή θα απαρτίζεται από εκπροσώπους των κρατών μελών, της Επιτροπής και του Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών («ENISA») και θα έχει συγκεκριμένα καθήκοντα που απαριθμούνται στο κείμενο, όπως η ανταλλαγή βέλτιστων πρακτικών και πληροφοριών σχετικά με διάφορα θέματα ή η συζήτηση περί των ικανοτήτων και της ετοιμότητας των κρατών μελών.

16.

Επιπλέον, το συμβιβαστικό κείμενο προβλέπει τη δημιουργία δικτύου των εθνικών ΟΠΣΑΥ με σκοπό τη συμβολή στην ανάπτυξη της αξιοπιστίας και της εμπιστοσύνης μεταξύ των κρατών μελών και την προώθηση της ταχείας και αποτελεσματικής επιχειρησιακής συνεργασίας. Το δίκτυο θα απαρτίζεται από εκπροσώπους των ΟΠΣΑΥ των κρατών μελών και την CERT-EU και η Επιτροπή θα συμμετέχει στο δίκτυο με καθεστώς παρατηρητή. Ο ENISA θα παρέχει γραμματειακή υποστήριξη και θα στηρίζει ενεργά τη συνεργασία μεταξύ των ΟΠΣΑΥ. Το κείμενο προβλέπει κατάλογο των καθηκόντων που θα εκτελεί το δίκτυο, όπως ανταλλαγή πληροφοριών σχετικά με υπηρεσίες, επιχειρήσεις και ικανότητες συνεργασίας ΟΠΣΑΥ, στήριξη των κρατών μελών στην αντιμετώπιση διασυνοριακών συμβάντων ή, υπό ορισμένες προϋποθέσεις, ανταλλαγή και ανάλυση πληροφοριών που αφορούν συμβάντα και κινδύνους που συνδέονται με αυτά.

17.

Η οδηγία ορίζει ορισμένες υποχρεώσεις για δύο κατηγορίες παραγόντων της αγοράς: τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών.

18.

Το παράρτημα II της οδηγίας απαριθμεί μια σειρά τομέων που είναι σημαντικοί για την κοινωνία και την οικονομία, όπως η ενέργεια, οι μεταφορές, ο τραπεζικός τομέας, οι υποδομές της χρηματοπιστωτικής αγοράς, η υγεία, η προμήθεια και διανομή πόσιμου νερού και η ψηφιακή υποδομή. Στο πλαίσιο των εν λόγω τομέων, τα κράτη μέλη θα προσδιορίσουν τους φορείς βασικών υπηρεσιών, βάσει συγκεκριμένων κριτηρίων που ορίζονται στην οδηγία.

19.

Το παράρτημα ΙΙΙ της οδηγίας απαριθμεί τρεις τύπους ψηφιακών υπηρεσιών, οι πάροχοι των οποίων θα πρέπει να συμμορφώνονται με τις απαιτήσεις της οδηγίας: τις διαδικτυακές αγορές, τις διαδικτυακές μηχανές αναζήτησης και τις υπηρεσίες νεφοϋπολογιστικής. Όλοι οι πάροχοι ψηφιακών υπηρεσιών που προσφέρουν τις αναφερόμενες υπηρεσίες θα πρέπει να συμμορφώνονται με τις απαιτήσεις της οδηγίας με εξαίρεση τις πολύ μικρές και τις μικρές επιχειρήσεις.

20.

Οι παράγοντες της αγοράς και των δύο κατηγοριών θα πρέπει να λαμβάνουν οργανωτικά και τεχνικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και των συστημάτων πληροφοριών και για την πρόληψη και τις λιγότερες δυνατές επιπτώσεις των συμβάντων που απειλούν την ασφάλεια των συστημάτων αυτών. Επιπλέον, τα περιστατικά που έχουν επιπτώσεις ενός ορισμένου επιπέδου στις εν λόγω υπηρεσίες θα πρέπει να κοινοποιούνται στις αρμόδιες εθνικές αρχές ή στις ΟΠΣΑΥ. Η οδηγία προβλέπει τα κριτήρια για τον καθορισμό του επιπέδου των επιπτώσεων τέτοιων περιστατικών.

21.

Η οδηγία υιοθετεί διαφορετική προσέγγιση όσον αφορά τις δύο κατηγορίες παραγόντων. Οι απαιτήσεις ασφάλειας και κοινοποίησης για τους παρόχους ψηφιακών υπηρεσιών είναι μικρότερες απ' ό,τι για τους φορείς εκμετάλλευσης βασικών υπηρεσιών, αντικατοπτρίζοντας το βαθμό κινδύνου που συνεπάγεται για την κοινωνία και την οικονομία η διατάραξη των υπηρεσιών τους. Επιπλέον, λαμβάνοντας υπόψη ότι οι πάροχοι ψηφιακών υπηρεσιών συχνά δραστηριοποιούνται σε πολλά κράτη μέλη και για να εξασφαλιστεί υψηλό επίπεδο εναρμόνισης, η οδηγία απαγορεύει στα κράτη μέλη να επιβάλλουν περαιτέρω απαιτήσεις ασφάλειας και κοινοποίησης για τους παρόχους αυτούς.

22.

Το συμβιβαστικό κείμενο προβλέπει επίσης ότι οι οντότητες που δεν έχουν χαρακτηριστεί ως φορείς εκμετάλλευσης βασικών υπηρεσιών και δεν είναι πάροχοι ψηφιακών υπηρεσιών μπορούν να κοινοποιούν ορισμένα συμβάντα σε προαιρετική βάση.

23.

Τα κράτη μέλη θα πρέπει να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο εντός 21 μηνών από την ημερομηνία έναρξης ισχύος της και θα έχουν στη διάθεσή τους έξι επιπλέον μήνες για τον προσδιορισμό των οικείων φορέων εκμετάλλευσης βασικών υπηρεσιών.

24.

Η θέση του Συμβουλίου αποτυπώνει πλήρως το συμβιβασμό που επιτεύχθηκε κατά τις διαπραγματεύσεις μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, με τη συναίνεση της Επιτροπής. Η εν λόγω συμβιβαστική λύση επιβεβαιώνεται με επιστολή που έστειλε η πρόεδρος της επιτροπής IMCO στον πρόεδρο της Επιτροπής των Μόνιμων Αντιπροσώπων στις 28 Ιανουαρίου 2016.