16.6.2016   

SL

Uradni list Evropske unije

C 218/1

(1)

Omrežja in informacijski sistemi ter storitve imajo ključno vlogo v družbi. Njihova zanesljivost in varnost sta bistveni za gospodarske in družbene dejavnosti ter zlasti za delovanje notranjega trga.

(2)

Obseg, pogostost in posledice varnostnih incidentov so vse večji ter pomenijo veliko grožnjo delovanju omrežij in informacijskih sistemov. Ti sistemi lahko postanejo tudi tarča namernih škodljivih dejanj, katerih namen je povzročitev škode ali prekinitev delovanja sistemov. Takšni incidenti lahko ovirajo gospodarske dejavnosti, ustvarjajo znatne finančne izgube, slabijo zaupanje uporabnikov in povzročajo veliko škodo gospodarstvu Unije.

(3)

Omrežja in informacijski sistemi, zlasti internet, imajo bistveno vlogo pri zagotavljanju lažjega čezmejnega pretoka blaga, storitev in ljudi. Zaradi te transnacionalne razsežnosti lahko namerne ali nenamerne znatne prekinitve delovanja teh sistemov, ne glede na to, kje se zgodijo, vplivajo na posamezne države članice in Unijo kot celoto. Varnost omrežij in informacijskih sistemov je zato bistvena za nemoteno delovanje notranjega trga.

(4)

Na podlagi vidnega napredka, ki ga je Evropski forum držav članic dosegel pri razpravah in izmenjavi dobrih političnih praks, vključno z oblikovanjem načel za evropsko sodelovanje pri kibernetskih krizah, bi bilo treba ustanoviti skupino za sodelovanje, sestavljeno iz predstavnikov držav članic, Komisije in Agencije Evropske unije za varnost omrežij in informacij (v nadaljnjem besedilu: agencija ENISA), da se podpre in zagotovi lažje strateško sodelovanje med državami članicami na področju varnosti omrežij in informacijskih sistemov. Za učinkovito in vključujoče delovanje te skupine morajo imeti vse države članice minimalne zmogljivosti in strategijo za zagotavljanje visoke ravni varnosti omrežij in informacijskih sistemov na svojem ozemlju. Poleg tega bi morale za izvajalce bistvenih storitev in ponudnike digitalnih storitev veljati varnostne zahteve in zahteve za priglasitev, da bi se spodbudila kultura obvladovanja tveganja in zagotovilo poročanje o najresnejših incidentih.

(5)

Obstoječe zmogljivosti ne zadostujejo za zagotavljanje visoke ravni varnosti omrežij in informacijskih sistemov v Uniji. Raven pripravljenosti držav članic je zelo različna, zato se tudi pristopi po Uniji med seboj močno razlikujejo. Zaradi tega je raven varstva potrošnikov in podjetij različna, prizadeta pa je tudi celotna raven varnosti omrežij in informacijskih sistemov v Uniji. Pomanjkanje skupnih zahtev za izvajalce bistvenih storitev in ponudnike digitalnih storitev obenem onemogoča vzpostavitev globalnega in učinkovitega mehanizma za sodelovanje na ravni Unije. Univerze in raziskovalni centri igrajo odločilno vlogo pri spodbujanju raziskav, razvoja in inovacij na teh področjih.

(6)

Za učinkovito odzivanje na izzive na področju varnosti omrežij in informacijskih sistemov je zato potreben globalni pristop na ravni Unije, ki bo obsegal skupne minimalne zahteve za vzpostavitev in načrtovanje zmogljivosti, izmenjavo informacij ter sodelovanje in skupne varnostne zahteve za izvajalce bistvenih storitev in ponudnike digitalnih storitev. Vendar izvajalcem bistvenih storitev in ponudnikom digitalnih storitev nič ne preprečuje, da izvajajo varnostne ukrepe, ki so strožji od tistih, ki so določeni v tej direktivi.

(7)

Da bi bili zajeti vsi ustrezni incidenti in tveganja, bi se morala ta direktiva uporabljati tako za izvajalce bistvenih storitev kot tudi ponudnike digitalnih storitev. Vendar se obveznosti izvajalcev bistvenih storitev in ponudnikov digitalnih storitev ne bi smele uporabljati za podjetja, ki zagotavljajo javna komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve v smislu Direktive 2002/21/ES Evropskega parlamenta in Sveta (3), za katera veljajo posebne zahteve glede varnosti in celovitosti, določene v navedeni direktivi; prav tako se ne bi smele uporabljati za ponudnike storitev zaupanja v smislu Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta (4), za katere veljajo varnostne zahteve iz navedene uredbe.

(8)

Ta direktiva ne bi smela posegati v možnost vsake države članice, da sprejme potrebne ukrepe, s katerimi zavaruje bistvene interese svoje varnosti, zaščiti javni red in javno varnost ter omogoči preiskovanje, odkrivanje in pregon kaznivih dejanj. V skladu s členom 346 Pogodbe o delovanju Evropske unije (PDEU) nobena država članica ni dolžna dajati informacij, za katere meni, da bi bilo njihovo razkritje v nasprotju z bistvenimi interesi njene varnosti. V tem smislu so pomembni Sklep Sveta 2013/488/EU (5) in sporazumi o nerazkritju informacij ali neuradni sporazumi o nerazkritju informacij, kot je semaforski protokol (Traffic Light Protocol).

(9)

Sektorski pravni akti Unije, ki vsebujejo pravila o varnosti omrežij in informacijskih sistemov, že urejajo ali pa morda še bodo urejali nekatere sektorje ekonomije. Kadar ti pravni akti Unije vsebujejo določbe, ki uvajajo zahteve glede varnosti omrežij in informacijskih sistemov ali priglasitve incidentov, bi se morale te določbe uporabljati, če vsebujejo zahteve, ki so po učinku najmanj enake obveznostim iz te direktive. V tem primeru bi morale države članice uporabljati določbe iz sektorskih pravnih aktov Unije, tudi tiste, ki se nanašajo na pristojnost, in ne bi smele izvesti postopka določitve izvajalcev bistvenih storitev, kot je določeno v tej direktivi. V zvezi s tem bi morale države članice Komisijo obvestiti o uporabi takih določb lex specialis. Pri ugotavljanju, ali so zahteve glede varnosti omrežij in informacijskih sistemov in priglasitve incidentov iz sektorskih pravnih aktov Unije enakovredne zahtevam iz te direktive, bi bilo treba upoštevati samo določbe ustreznih pravnih aktov Unije in njihovo uporabo v državah članicah.

(10)

Varnostne zahteve iz pravnih aktov Unije v sektorju vodnega prometa, ki veljajo za podjetja, ladje, pristaniško infrastrukturo, pristanišča in storitve ladijskega prometa, se nanašajo na vse dejavnosti, med drugim na radijske in telekomunikacijske sisteme, računalniške sisteme in omrežja. Med obvezne postopke, ki jih je treba izpolnjevati, sodi priglasitev vseh incidentov, ki bi zato morala šteti za lex specialis, če so te zahteve najmanj enakovredne ustreznim zahtevam iz te direktive.

(11)

Države članice bi morale pri določanju izvajalcev v sektorju vodnega prometa upoštevati obstoječe in prihodnje mednarodne zakonike in smernice, zlasti tiste, ki jih je oblikovala Mednarodna pomorska organizacija, da se posameznim izvajalcem v pomorskem sektorju zagotovi usklajen pristop.

(12)

Urejanje in nadzor v bančnem sektorju in sektorju infrastruktur finančnega trga sta na ravni Unije že visoko harmonizirana v okviru primarnega in sekundarnega prava Unije, pa tudi standardov, oblikovanih v sodelovanju z evropskimi nadzornimi organi. Uporaba in nadzor teh zahtev sta v okviru bančne unije zagotovljena z enotnim mehanizmom nadzora. Za države članice, ki niso del bančne unije, ju zagotavljajo ustrezni bančni regulativni organi držav članic. Na drugih področjih urejanja finančnega sektorja pa Evropski sistem finančnega nadzora prav tako zagotavlja visoko stopnjo enakosti in konvergence nadzornih praks. Tudi Evropski organ za vrednostne papirje in trge ima neposredno nadzorno vlogo nad določenimi subjekti, in sicer bonitetnimi agencijami in repozitoriji sklenjenih poslov.

(13)

Operativno tveganje je ključen del bonitetne ureditve in nadzora v bančnem sektorju in sektorju infrastruktur finančnega trga. Zajema vse dejavnosti, vključno z varnostjo, celovitostjo in odpornostjo omrežij in informacijskih sistemov. Zahteve glede teh sistemov, ki so pogosto strožje od zahtev iz te direktive, so določene v številnih pravnih aktih Unije, vključno s: pravili o dostopu do dejavnosti kreditnih institucij in bonitetnem nadzoru kreditnih institucij in investicijskih podjetij ter pravili o bonitetnih zahtevah za kreditne institucije in investicijska podjetja, ki vključujejo zahteve glede operativnega tveganja; pravili o trgih finančnih instrumentov, ki vključujejo zahteve glede ocene tveganja za investicijska podjetja in regulirane trge; pravili o izvedenih finančnih instrumentih OTC, centralnih nasprotnih strankah in repozitorijih sklenjenih poslov, ki vsebujejo zahteve glede operativnega tveganja za centralne nasprotne stranke in repozitorije sklenjenih poslov; in pravili o izboljšanju ureditve poravnav vrednostnih papirjev v Uniji in o centralnih depotnih družbah, ki vsebujejo zahteve glede operativnega tveganja. Poleg tega so zahteve za priglasitev incidentov del običajne nadzorne prakse v finančnem sektorju in pogosto vključene v priročnike o nadzoru. Navedena pravila in zahteve bi države članice morale upoštevati pri izvajanju lex specialis.

(14)

Evropska centralna banka je v mnenju z dne 25. julija 2014 (6) navedla, da ta direktiva ne posega v ureditev po pravu Unije, vzpostavljeno za nadzor, ki ga Eurosistem opravlja nad plačilnimi sistemi in sistemi poravnave. Primerno bi bilo, da organi, pristojni za tovrsten nadzor, in pristojni organi iz te direktive izmenjavajo izkušnje o zadevah glede varnosti omrežij in informacijskih sistemov. Enako velja za članice Evropskega sistema centralnih bank, ki niso del Eurosistema, vendar nadzorujejo plačilne sisteme in sisteme poravnave na podlagi nacionalnega prava in predpisov.

(15)

Spletna tržnica potrošnikom in trgovcem omogoča sklepanje pogodb o spletni prodaji in pogodb o spletnih storitvah s trgovci, ki so v okviru nje tudi dokončno sklenjene. Vanjo ne bi smele biti vključene spletne storitve, ki služijo le kot posrednik do storitev tretjih strani, prek katerih se nazadnje pogodba lahko sklene. Zato ne bi smela vključevati spletnih storitev, ki primerjajo cene določenih izdelkov ali storitev različnih trgovcev in nato uporabnika preusmerjajo k izbranemu trgovcu za nakup izdelka. Računalniške storitve, ki jih zagotavlja spletna tržnica, lahko vključujejo obdelavo transakcij, zbiranje podatkov ali profiliranje uporabnikov. Trgovine z aplikacijami, ki delujejo kot spletne trgovine in omogočajo digitalno distribucijo aplikacij ali programske opreme tretjih strani, štejejo za vrsto spletne tržnice.

(16)

Spletni iskalnik uporabniku omogoča iskanje po načeloma vseh spletiščih na podlagi poizvedbe v zvezi s katero koli temo. Lahko pa se osredotoči tudi na iskanje po spletiščih v določenem jeziku. Opredelitev pojma spletnega iskalnika iz te direktive ne bi smela obsegati funkcij iskanja, ki so omejene na vsebino določenega spletišča, ne glede na to, ali funkcijo iskanja zagotavlja zunanji iskalnik. Obsegati ne bi smela niti spletnih storitev, ki primerjajo cene določenih izdelkov ali storitev različnih trgovcev in nato uporabnika preusmerjajo k izbranemu trgovcu za nakup izdelka.

(17)

Storitve računalništva v oblaku zajemajo raznolike dejavnosti, ki jih je mogoče zagotavljati po različnih modelih. V tej direktivi izraz „storitve računalništva v oblaku“ zajema storitve, ki omogočajo dostop do prožnega in po obsegu prilagodljivega nabora deljivih računalniških virov. Ti „računalniški viri“ obsegajo vire, kot so omrežja, strežniki ali druga infrastruktura, shranjevanje, aplikacije in storitve. Izraz „prožen“ se nanaša na računalniške vire, ki jih ponudnik storitev v oblaku prilagodljivo dodeljuje, ne glede na geografsko lokacijo virov, da bi se tako lahko odzvali na spremembe v povpraševanju. Izraz „prilagodljiv nabor“ opisuje take računalniške vire, ki se zagotavljajo in sproščajo glede na povpraševanje, da bi se tako število razpoložljivih virov hitro povečalo ali zmanjšalo odvisno od delovne obremenitve. Izraz „deljiv“ opisuje take računalniške vire, ki se zagotavljajo več uporabnikom, ki si delijo isti dostop do storitve, vendar se obdelava za vsakega uporabnika opravi ločeno, čeprav storitev opravlja ista elektronska oprema.

(18)

Stičišče omrežij medsebojno povezuje omrežja. Stičišče omrežij ne zagotavlja dostopa do omrežja oziroma ni ponudnik ali nosilec prenosa. Prav tako stičišče omrežij ne zagotavlja drugih storitev, ki se ne nanašajo na medsebojno povezljivost,čeprav to izvajalcu stičišča omrežij ne preprečuje nudenja teh drugih storitev. Stičišče omrežij medsebojno povezuje tehnično in organizacijsko ločena omrežja. Izraz „avtonomni sistem“ opisuje tehnično samostojno omrežje.

(19)

Države članice bi morale biti pristojne, da določijo, kateri subjekti izpolnjujejo merila iz opredelitve pojma izvajalec bistvenih storitev. Da bi zagotovili usklajen pristop, bi morale vse države članice skladno uporabljati opredelitev pojma izvajalec bistvenih storitev. V ta namen ta direktiva določa oceno subjektov, delujočih v določenih sektorjih in podsektorjih,, pripravo seznama bistvenih storitev, razmislek o skupnem seznamu medsektorskih dejavnikov za ugotavljanje, ali bi imel incident pomemben negativen vpliv, postopek posvetovanja, pri katerem sodelujejo ustrezne države članice v primeru subjektov, ki storitve ponujajo v več kot eni državi članici, in podporo skupine za sodelovanje pri določanju izvajalcev bistvenih storitev. Države članice bi morale redno pregledovati in po potrebi posodabljati seznam izvajalcev, ki so bili določeni, da bi bile morebitne spremembe na trgu tako točno odražene. Nazadnje, države članice bi morale Komisiji poslati informacije, potrebne za oceno, v kakšnem obsegu je skupna metodologija pripomogla k skladni uporabi te opredelitve pojma v državah članicah.

(20)

Države članice bi morale pri določanju izvajalcev bistvenih storitev vsaj za vsak podsektor iz te direktive oceniti, katere storitve morajo šteti za bistvene za ohranitev ključnih družbenih in gospodarskih dejavnosti ter ali subjekti, ki so bili uvrščeni na seznam sektorjev in podsektorjev iz te direktive ter ponujajo te storitve, izpolnjujejo merila za določitev izvajalcev. Pri oceni, ali subjekt ponuja storitev, ki je bistvena za ohranitev ključnih družbenih ali gospodarskih dejavnosti, je dovolj, da se preuči, ali ta subjekt ponuja storitev, ki je vključena na seznam bistvenih storitev. Dokazati bi bilo tudi treba, da je zagotavljanje bistvene storitve odvisno od omrežij in informacijskih sistemov. Nazadnje, bi države članice morale pri oceni, ali bi incident pomembno negativno vplival na zagotavljanje storitve, upoštevati več medsektorskih dejavnikov ter po potrebi tudi dejavnike, značilne za posamezni sektor.

(21)

Za namene določitve izvajalcev bistvenih storitev pomeni sedež v državi članici učinkovito in dejansko izvajanje dejavnosti na podlagi stabilnih ureditev. Pravna oblika takih ureditev, bodisi prek podružnice ali prek odvisne družbe, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

(22)

Možno je, da subjekti v sektorjih in podsektorjih iz direktive zagotavljajo tako bistvene storitve, kakor tudi druge storitve, ki ne štejejo za bistvene. Na primer, v sektorju zračnega prometa letališča zagotavljajo storitve, ki jih država članica lahko šteje za bistvene, kot je upravljanje vzletno-pristajalnih stez, pa tudi številne storitve, ki lahko ne štejejo za bistvene, kot je zagotavljanje nakupovalnih površin. Za izvajalce bistvenih storitev bi morale veljati posebne varnostne zahteve, vendar le za tiste storitve, ki štejejo za bistvene. Države članice bi za namen določitve izvajalcev bistvenih storitev zato morale sestaviti seznam storitev, ki štejejo za bistvene.

(23)

Na seznam storitev bi morale biti uvrščene vse storitve, ki se zagotavljajo na ozemlju določene države članice in izpolnjujejo zahteve iz te direktive. Državam članicam bi moralo biti omogočeno, da obstoječi seznam dopolnijo z vključitvijo novih storitev. Države članice bi morale seznam storitev uporabljati kot referenčno točko pri določanju izvajalcev bistvenih storitev. Na podlagi seznama se določijo vrste bistvenih storitev v katerem koli sektorju iz te direktive, ki se jih tako loči od nebistvenih dejavnosti, za katere je lahko pristojen kateri koli subjekt v katerem koli sektorju. Seznam storitev, ki ga sestavi vsaka država članica, bi služil kot dodatni element za oceno regulativne prakse vsake države članice, da bi tako zagotovili splošno raven usklajenosti postopka določitve izvajalcev bistvenih storitev med državami članicami.

(24)

Kadar subjekt zagotavlja bistveno storitev v dveh ali več državah članicah, bi se zadevne države članice za namene postopka določitve izvajalcev bistvenih storitev morale medsebojno dvo- ali večstransko posvetovati. Ta postopek posvetovanja je državam članicam v pomoč pri oceni kritične narave izvajalca z vidika čezmejnega učinka, in tako vsaki vpleteni državi članici omogoči predstavitev stališč glede tveganj, povezanih s storitvami, ki se zagotavljajo. Zadevne države članice bi morale pri tem postopku upoštevati mnenja ena druge in bi morale imeti možnost, da v zvezi s tem zaprosijo za pomoč skupine za sodelovanje.

(25)

Države članice bi morale po zaključenem postopku določitve izvajalcev bistvenih storitev sprejeti nacionalne ukrepe za določitev, za katere subjekte veljajo obveznosti v zvezi z varnostjo omrežij in informacijskih sistemov. V ta namen bi lahko sprejele seznam vseh izvajalcev bistvenih storitev ali nacionalne ukrepe, vključno z objektivnimi količinsko opredeljivimi merili, kot sta obseg produkcije izvajalca ali število uporabnikov, na podlagi katerih je mogoče določiti, za katere subjekte veljajo obveznosti v zvezi z varnostjo omrežij in informacijskih sistemov. Nacionalni ukrepi, ne glede na to, ali že obstajajo ali so bili sprejeti v okviru te direktive, bi morali zajemati vse pravne ukrepe ter upravne ukrepe in politike, ki omogočajo določitev izvajalcev bistvenih storitev v skladu s to direktivo.

(26)

Da bi se za zadevni sektor odrazil pomen izvajalcev bistvenih storitev, ki so bili določeni, bi morale države članice upoštevati število in velikost teh izvajalcev, na primer glede na tržni delež ali proizvedene ali prenesene količine, ne da bi morale pri tem razkriti informacije, iz katerih bi bilo mogoče razbrati, katere izvajalce so določile.

(27)

Države članice bi pri ugotavljanju, ali bi incident pomembno negativno vplival na zagotavljanje bistvene storitve, morale upoštevati več različnih faktorjev, kot je število uporabnikov, ki so od storitve odvisni pri zasebnih ali poslovnih namenih. Zadevna storitev se lahko uporablja neposredno, posredno ali s posredovanjem. Države članice bi morale pri oceni morebitnega vpliva, ki bi ga incident glede na svoj obseg in trajanje lahko imel na ekonomske in družbene dejavnosti ali javno varnost, oceniti, koliko časa bo verjetno poteklo, preden bi prekinitev povzročila negativne posledice.

(28)

Za namen ugotavljanja, ali bi incident pomembno negativno vplival na zagotavljanje storitve, bi bilo treba poleg medsektorskih dejavnikov upoštevati tudi dejavnike, značilne za posamezni sektor. Kar zadeva dobavitelje energije, bi ti dejavniki lahko vključevali količino ali delež ustvarjene električne energije na nacionalni ravni; za dobavitelje nafte količino na dan; za zračni promet, vključno z letališči in letalskimi prevozniki, železniški promet in morska pristanišča delež nacionalnega prometa in število potnikov ali tovornih operacij na leto; za bančni sektor ali infrastrukture finančnega trga njihov sistemski pomen glede na skupna sredstva ali razmerje med temi skupnimi sredstvi in BDP; za zdravstveni sektor število bolnikov v oskrbi ponudnika na leto; za sektor pridobivanja in čiščenja vode ter preskrbe z njo obseg, število in vrste uporabnikov, ki se oskrbujejo z vodo, vključno na primer z bolnicami, javnimi službami, organizacijami ali posamezniki, ter obstoj nadometnih virov vode, ki oskrbujejo isto geografsko območje.

(29)

Da bi dosegli in ohranjali visoko raven varnosti omrežij in informacijskih sistemov, bi morala vsaka država članica imeti nacionalno strategijo za varnost omrežij in informacijskih sistemov, v kateri bi določila strateške cilje in konkretne ukrepe politik, ki jih je treba izvesti.

(30)

Glede na razlike v nacionalnih strukturah upravljanja in zaradi varovanja že obstoječih sektorskih dogovorov ali nadzornih in regulativnih organov Unije ter da bi se izognili podvajanju, bi države članice morale imeti možnost imenovati več kot en pristojni nacionalni organ, odgovoren za izvajanje nalog, povezanih z varnostjo omrežij in informacijskih sistemov izvajalcev bistvenih storitev in ponudnikov digitalnih storitev po tej direktivi.

(31)

Za zagotavljanje lažjega čezmejnega sodelovanja in komunikacije ter za učinkovito izvajanje te direktive je nujno, da vsaka država članica brez poseganja v sektorske regulativne ureditve imenuje nacionalno enotno kontaktno točko, odgovorno za usklajevanje vprašanj v zvezi z varnostjo omrežij in informacijskih sistemov ter za čezmejno sodelovanje na ravni Unije. Pristojni organi in enotne kontaktne točke bi morali imeti ustrezne tehnične, finančne in človeške vire, da bi lahko uspešno in učinkovito opravljali dodeljene naloge ter tako dosegli cilje te direktive. Ker je namen te direktive z ustvarjanjem zaupanja izboljšati delovanje notranjega trga, je treba organom držav članic omogočiti učinkovito sodelovanje z ekonomskimi akterji in jih ustrezno strukturirati.

(32)

Pristojni organi ali skupine za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT) bi morali prejemati priglasitve incidentov. Enotne kontaktne točke ne bi smele neposredno prejemati priglasitev incidentov, razen če niso istočasno v vlogi pristojnega organa ali skupine CSIRT. Kljub temu pa bi pristojni organ ali skupina CSIRT morala imeti možnost, da enotni kontaktni točki naložita, da priglasitve incidentov pošlje enotnim kontaktnim točkam drugih držav članic, na katere je incident vplival.

(33)

Da bi bile države članice in Komisija dobro obveščene, bi morala enotna kontakta točka poslati skupini za sodelovanje zbirno poročilo, podatki v tem zbirnem poročilu pa bi morali biti anonimizirani, da se ohranita zaupnost priglasitev ter identiteta izvajalcev bistvenih storitev in ponudnikov digitalnih storitev, saj informacije o identiteti subjektov priglasiteljev niso potrebne za izmenjavo najboljših praks v skupini za sodelovanje. V zbirnem poročilu bi morale biti navedene informacije o številu prejetih priglasitev in narava priglašenih incidentov, kot so vrsta, resnost ali trajanje kršitev varnosti.

(34)

Države članice bi morale imeti ustrezne tehnične in organizacijske zmogljivosti za preprečevanje, odkrivanje in ublažitev incidentov in tveganj v omrežjih in informacijskih sistemih ter za odzivanje nanje. Zato bi morale države članice zagotoviti, da imajo dobro delujoče skupine CSIRT, znane tudi kot skupine za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT), ki izpolnjujejo osnovne zahteve, da bi se tako zajamčile učinkovite in združljive zmogljivosti za obvladovanje incidentov in tveganj in zagotovilo učinkovito sodelovanje na ravni Unije. Da bi te zmogljivosti in sodelovanje lahko koristili vsem vrstam izvajalcev bistvenih storitev in ponudnikov digitalnih storitev, bi morale države članice zagotoviti, da je za vsako vrsto odgovorna ena od določenih skupin CSIRT. Mednarodno sodelovanje na področju kibernetske varnosti je pomembno, zato bi morali skupinam CSIRT poleg sodelovanja v mreži skupin CSIRT, vzpostavljeni s to direktivo, omogočiti sodelovanje tudi v mrežah mednarodnega sodelovanja.

(35)

Večino omrežij in informacijskih sistemov upravljajo zasebna podjetja, zato je sodelovanje med javnim in zasebnim sektorjem bistvenega pomena. Izvajalce bistvenih storitev in ponudnike digitalnih storitev bi bilo treba spodbujati, da za zagotavljanje varnosti omrežij in informacijskih sistemov vzpostavijo lastne neformalne mehanizme sodelovanja. Skupini za sodelovanje bi morali omogočiti, da k posvetovanjem po potrebi pritegne zadevne deležnike. Za uspešno spodbujanje izmenjave informacij in najboljših praks je treba zagotoviti, da izvajalci bistvenih storitev in ponudniki digitalnih storitev, ki pri njej sodelujejo, zaradi tega sodelovanja ne bodo v slabšem položaju.

(36)

ENISA bi morala državam članicam in Komisiji pomagati s strokovnim znanjem in nasveti ter zagotavljati lažjo izmenjavo najboljših praks. Pri uporabi te direktive bi se Komisija morala posvetovati z ENISA, to možnost pa bi morale imeti tudi države članice. Da bi države članice razvile zmogljivosti in pridobile znanje, bi morala biti skupina za sodelovanje tudi forum za izmenjavo najboljših praks ter razpravo o zmogljivostih in pripravljenosti držav članic, poleg tega pa bi morala na prostovoljni osnovi pomagati svojim članom pri oceni nacionalnih strategij s področja varnosti omrežij in informacijskih sistemov, pri razvoju zmogljivosti in pri oceni vaj v zvezi z varnostjo omrežij in informacijskih sistemov.

(37)

Kjer je to primerno, bi morali državam članicam omogočiti, da pri uporabi te direktive uporabijo ali prilagodijo obstoječe organizacijske strukture ali strategije.

(38)

Zadevne naloge skupine za sodelovanje in agencija ENISA so soodvisne in se medsebojno dopolnjujejo. Na splošno bi ENISA morala skupini za sodelovanje pomagati pri opravljanju nalog, in sicer v skladu s ciljem ENISA, določenim v Uredbi (EU) št. 526/2013 Evropskega parlamenta in Sveta (7), da pomaga institucijam, organom, uradom in agencijam Unije ter državam članicam pri izvajanju politik, potrebnih za izpolnjevanje pravnih in regulativnih zahtev v zvezi z varnostjo omrežij in informacijskih sistemov v veljavnih in prihodnjih pravnih aktih Unije. ENISA bi morala pomagati zlasti na področjih, ki se prekrivajo z njenimi nalogami, kot so določene v Uredbi (EU) št. 526/2013, to je analiza strategij s področja varnosti omrežij in informacijskih sistemov, pomoč pri organizaciji in izvedbi vaj v zvezi z varnostjo omrežij in informacijskih sistemov na ravni Unije ter izmenjava informacij in najboljših praks o ozaveščanju in usposabljanju. Sodelovati bi morala tudi pri razvoju smernic za merila, značilna za posamezni sektor, namenjena določitvi, kako pomemben je vpliv incidenta.

(39)

Za spodbujanje večje varnosti omrežij in informacijskih sistemov bi morala skupina za sodelovanje po potrebi sodelovati z zadevnimi institucijami, organi, uradi in agencijami Unije, da bi z njimi izmenjavala znanje in najboljše prakse ter jim svetovala o varnostnih vidikih omrežij in informacijskih sistemov, ki bi lahko vplivali na njihovo delo, pri tem pa ravnati v skladu z obstoječimi ureditvami za izmenjavo zaupnih informacij. Pri sodelovanju z organi kazenskega pregona v zvezi z varnostnimi vidiki omrežij in informacijskih sistemov, ki bi lahko vplivali na njihovo delo, bi morala uporabljati obstoječe informacijske poti in vzpostavljena omrežja.

(40)

Informacije o incidentih so vse bolj dragocene za širšo javnost in podjetja, zlasti mala in srednja podjetja. Na nacionalni ravni so v nekaterih primerih že dostopne na spletu v jeziku posamezne države ter zlasti navajajo incidente in pojave z nacionalno razsežnostjo. Ker podjetja vse pogosteje poslujejo prek meja, državljani pa uporabljajo spletne storitve, bi bilo treba informacije o incidentih zagotavljati v zbirni obliki na ravni Unije. Sekretariat mreže skupin CSIRT naj vzdržuje spletno mesto oziroma na obstoječem spletnem mestu gosti namensko stran, na kateri so širši javnosti na voljo splošne informacije o večjih incidentih, ki so se zgodili v Uniji, pri čemer je posebna pozornost namenjena interesom in potrebam podjetij. Skupine CSIRT, ki sodelujejo v mreži skupin CSIRT, naj na prostovoljni osnovi prispevajo informacije za objavo na tem spletnem mestu, ki pa ne obsegajo tajnih ali občutljivih informacij.

(41)

Če informacije štejejo za zaupne v skladu s predpisi Unije in nacionalnimi predpisi o poslovni tajnosti, bi bilo to zaupnost treba zagotoviti pri izvajanju dejavnosti in izpolnjevanju ciljev te direktive.

(42)

Vaje, ki simulirajo različne scenarije incidentov v realnem času, so nujne za preskus pripravljenosti in sodelovanja držav članic glede varnosti omrežij in informacijskih sistemov. Sklop vaj, imenovan CyberEurope, ki jih je usklajevala ENISA in v katerih so sodelovale države članice, je koristno orodje za preskušanje in pripravo priporočil o možnostih izboljšanja obvladovanja incidentov na ravni Unije. Ker države članice trenutno niso zavezane niti, da vaje načrtujejo niti da v njih sodelujejo, bi vzpostavitev mreže skupin CSIRT po tej direktivi državam članicam morala omogočiti sodelovanje v vajah na podlagi natančnega načrtovanja in strateških izbir. Skupina za sodelovanje, ustanovljena po tej direktivi, bi morala obravnavati strateške odločitve glede vaj zlasti, vendar ne izključno, kar zadeva rednost vaj in načrtovanje scenarijev. ENISA bi morala v skladu s svojim mandatom podpreti organizacijo in izvedbo vaj na ravni Unije ter v ta namen skupini za sodelovanje in mreži skupin CSIRT zagotoviti strokovno znanje in jima svetovati.

(43)

Zaradi globalne narave varnostne problematike, ki zadeva omrežja in informacijske sisteme, je potrebno tesnejše mednarodno sodelovanje, da se izboljšajo varnostni standardi in okrepi izmenjava informacij ter spodbudi skupen globalen pristop do varnostnih vprašanj.

(44)

Za zagotavljanje varnosti omrežij in informacijskih sistemov so v veliki meri odgovorni izvajalci bistvenih storitev in ponudniki digitalnih storitev. Z ustreznimi regulativnimi zahtevami in prostovoljnimi sektorskimi praksami bi bilo treba spodbujati in razvijati kulturo obvladovanja tveganja, ki vključuje oceno tveganja in izvajanje ustreznih varnostnih ukrepov za zadevna tveganja. Za učinkovito delovanje skupine za sodelovanje in mreže skupin CSIRT je bistvena tudi vzpostavitev zanesljivih enakih konkurenčnih pogojev, da se zagotovi učinkovito sodelovanje vseh držav članic.

(45)

Ta direktiva se uporablja le za tiste javne uprave, ki so opredeljene kot izvajalci bistvenih storitev. Države članice so zato odgovorne za zagotavljanje varnosti omrežij in informacijskih sistemov javnih uprav, ki ne sodijo v področje uporabe te direktive.

(46)

Med ukrepe za obvladovanje tveganj spadajo ukrepi za prepoznavanje tveganj incidentov, preprečevanje in odkrivanje incidentov ter njihovo obvladovanje, in ukrepi za ublažitev njihovih učinkov. Varnost omrežij in informacijskih sistemov obsega varnost shranjenih, prenesenih in obdelanih podatkov.

(47)

Pristojnim organom bi morali tudi v prihodnje omogočiti, da sprejmejo nacionalne smernice glede okoliščin, v katerih morajo izvajalci bistvenih storitev priglasiti incidente.

(48)

Številna podjetja v Uniji so pri zagotavljanju storitev odvisna od ponudnikov digitalnih storitev. Ker bi bile nekatere digitalne storitve lahko pomembno sredstvo za uporabnike, vključno z izvajalci bistvenih storitev, in ker ti uporabniki morda nimajo vedno na voljo drugih enakovrednih možnosti, bi se morala ta direktiva uporabljati tudi za ponudnike takšnih storitev. Varnost, neprekinjenost in zanesljivost vrste digitalnih storitev iz te direktive so ključni za nemoteno delovanje številnih podjetij. Prekinitev take digitalne storitve bi lahko preprečila zagotavljanje drugih storitev, ki so od nje odvisne, in bi tako lahko vplivala na ključne ekonomske in družbene dejavnosti v Uniji. Take digitalne storitve bi tako lahko bile ključnega pomena za nemoteno delovanje podjetij, ki so od njih odvisna, ter zlasti za udeležbo teh podjetij na notranjem trgu in čezmejno trgovino v Uniji. Ta direktiva se uporablja za tiste ponudnike digitalnih storitev, za katere se šteje, da ponujajo digitalne storitve, od katerih so številna podjetja v Uniji vse bolj odvisna.

(49)

Ponudniki digitalnih storitev bi morali zagotavljati raven varnosti, ki ustreza stopnji tveganja za varnost digitalnih storitev, ki jih zagotavljajo, in pomenu njihovih storitev za dejavnosti drugih podjetij v Uniji. Stopnja tveganja za izvajalce bistvenih storitev, ki so pogosto bistvene za ohranjanje ključnih družbenih in gospodarskih dejavnosti, je v praksi višja od stopnje tveganja za ponudnike digitalnih storitev. Zato bi morale biti varnostne zahteve za ponudnike digitalnih storitev manj stroge. Ponudnikom digitalnih storitev bi morali omogočiti, da se sami odločijo za sprejetje ukrepov, ki se jim zdijo primerni za obvladovanje tveganj, ki ogrožajo varnost njihovih omrežij in informacijskih sistemov. Zaradi čezmejne narave ponudnikov digitalnih storitev, bi se moral zanje uporabljati bolj usklajen pristop na ravni Unije. Z izvedbenimi akti bi morali zagotoviti lažjo določitev in izvajanje tovrstnih ukrepov.

(50)

Čeprav proizvajalci strojne in razvijalci programske opreme niso izvajalci bistvenih storitev ali ponudniki digitalnih storitev, njihovi izdelki krepijo varnost omrežij in informacijskih sistemov. Izvajalcem bistvenih storitev in ponudnikom digitalnih storitev zato pomembno pomagajo pri varstvu njihovih omrežij in informacijskih sistemov. Za to strojno in programsko opremo se že uporabljajo obstoječi predpisi o odgovornosti za izdelek.

(51)

S tehničnimi in organizacijskimi ukrepi, naloženimi izvajalcem bistvenih storitev in ponudnikom digitalnih storitev, ne bi smeli predpisovati, da se določen komercialni izdelek informacijske in komunikacijske tehnologije oblikuje, razvije ali proizvede na določen način.

(52)

Izvajalci bistvenih storitev in ponudniki digitalnih storitev bi morali zagotavljati varnost omrežij in informacijskih sistemov, ki jih uporabljajo. To so predvsem zasebna omrežja in informacijski sistemi, ki jih upravlja njihovo notranje osebje za IT ali pa za njihovo varnost skrbi zunanji izvajalec. Zahteve glede varnosti in priglasitve bi morali za zadevne izvajalce bistvenih storitev in ponudnike digitalnih storitev veljati ne glede na to, ali omrežja in informacijske sisteme vzdržujejo sami ali njihov zunanji izvajalec.

(53)

Da ne bi bili izvajalci bistvenih storitev in ponudniki digitalnih storitev nesorazmerno finančno in upravno obremenjeni, bi morale biti zahteve sorazmerne s tveganjem, ki ga predstavlja zadevno omrežje in informacijski sistem, pri čemer bi bilo treba upoštevati zadnje stanje tehnike takih ukrepov. V primeru ponudnikov digitalnih storitev se te zahteve ne bi smele uporabljati za mikro in mala podjetja.

(54)

Kadar javne uprave držav članic uporabljajo storitve ponudnikov digitalnih storitev, zlasti storitve računalništva v oblaku, bi morda hotele od ponudnikov teh storitev zahtevati, naj poleg ukrepov, ki jih ponudniki digitalnih storitev običajno zagotavljajo v skladu s to direktivo, sprejmejo dodatne varnostne ukrepe. Zato bi jim bilo treba omogočiti, da to storijo s pogodbenimi obveznostmi.

(55)

Opredelitve pojmov spletna tržnica, spletni iskalnik in storitve računalništva v oblaku so v tej direktivi določene za poseben namen te direktive in ne posegajo v druge instrumente.

(56)

Ta direktiva državam članicam ne bi smela preprečevati sprejetja nacionalnih ukrepov, na podlagi katerih morajo organi javnega sektorja zagotoviti specifične varnostne zahteve v okviru pogodb za storitve računalništva v oblaku. Vsi ti nacionalni ukrepi bi se morali uporabljati za zadevni organ javnega sektorja in ne za ponudnika storitev računalništva v oblaku.

(57)

Zaradi temeljnih razlik med izvajalci bistvenih storitev, zlasti njihove neposredne povezanosti s fizično infrastrukturo, in ponudniki digitalnih storitev, zlasti njihove čezmejne narave, bi morali v tej direktivi sprejeti ločen pristop do stopnje harmonizacije za obe skupini subjektov. Kar zadeva izvajalce bistvenih storitev, bi morali državam članicam omogočiti, da določijo zadevne izvajalce in naložijo strožje zahteve od tistih v tej direktivi. Države članice ne bi smele določiti ponudnikov digitalnih storitev, saj bi se morala ta direktiva uporabljati za vse ponudnike digitalnih storitev, ki sodijo v njeno področje uporabe. Kar zadeva varnostne zahteve in zahteve glede priglasitve, bi morali ta direktiva in izvedbeni akti, sprejeti na njeni podlagi, zagotoviti tudi visoko stopnjo harmonizacije za ponudnike digitalnih storitev. To bi moralo omogočiti enotno obravnavo ponudnikov digitalnih storitev v Uniji, sorazmerno z njihovo naravo in stopnjo tveganja, ki bi mu lahko bili izpostavljeni.

(58)

Brez poseganja v obveznosti, ki jih imajo države članice na podlagi prava Unije, ta direktiva državam članicam ne bi smela preprečiti, da varnostne zahteve in zahteve glede priglasitve uvedejo za subjekte, ki niso ponudniki digitalnih storitev s področja uporabe te direktive.

(59)

Pristojni organi bi morali ustrezno pozornost nameniti ohranjanju neformalnih in zanesljivih poti za izmenjavo informacij. Pri obveščanju javnosti o incidentih, priglašenih pristojnim organom, bi bilo treba najti ravnotežje med interesom javnosti, da je obveščena o nevarnostih, na eni strani, ter morebitno škodo za ugled in poslovanje izvajalcev bistvenih storitev in ponudnikov digitalnih storitev, ki priglasijo incidente, na drugi strani. Pri izvajanju obveznosti priglasitve bi morali pristojni organi in skupine CSIRT posebno pozorno paziti, da informacije o ranljivosti izdelka ostanejo strogo zaupne, dokler se varnost znova ne vzpostavi.

(60)

Pri ponudnikih digitalnih storitev bi se morale ob upoštevanju narave njihovih storitev in postopkov izvajati blage ter odzivne naknadne nadzorne dejavnosti. Zadevni pristojni organ bi moral zato ukrepati – zlasti takrat, ko se je incident že zgodil – le na podlagi predloženih dokazov, ki mu jih na primer predloži sam ponudnik digitalne storitve, drug pristojni organ, vključno s pristojnim organom druge države članice, ali uporabnik storitve, da ponudnik digitalne storitve ne ravna v skladu z zahtevami iz te direktive. Pristojni organ torej ne bi smel biti splošno obvezan, da nadzoruje ponudnike digitalnih storitev.

(61)

Pristojni organi bi morali imeti potrebna sredstva za opravljanje svojih nalog, vključno s pooblastili za pridobivanje zadostnih informacij za oceno ravni varnosti omrežij in informacijskih sistemov.

(62)

Incidenti so lahko posledica kriminalnih dejavnosti, ki se preprečujejo, preiskujejo in preganjajo z usklajevanjem in sodelovanjem med izvajalci bistvenih storitev, ponudniki digitalnih storitev, pristojnimi organi in organi kazenskega pregona. V primeru suma, da je incident povezan s hudimi kaznivimi dejanji po pravu Unije ali nacionalnem pravu, bi morale države članice izvajalce bistvenih storitev in ponudnike digitalnih storitev spodbujati, da incident, za katerega sumijo, da je hudo kaznivo dejanje, prijavijo ustreznim organom kazenskega pregona. Kjer je to ustrezno, je priporočljivo, da Evropski center za boj proti kibernetski kriminaliteti (EC3) in ENISA zagotavljata lažje usklajevanje med pristojnimi organi in organi kazenskega pregona različnih držav članic.

(63)

V številnih primerih je zaradi incidentov ogrožena varnost osebnih podatkov. Zato bi morali pristojni organi in organi za varstvo podatkov pri odpravljanju kršitev varnosti osebnih podatkov, nastalih zaradi incidentov, med seboj sodelovati in si izmenjevati pomembne informacije.

(64)

Pristojnost glede ponudnikov digitalnih storitev bi morali podeliti državi članici, v kateri ima ponudnik digitalnih storitev glavni sedež v Uniji, ki je načeloma tista država članica, kjer je glavna uprava ponudnika v Uniji. Sedež pomeni, da se dejavnost izvaja dejansko in učinkovito na podlagi stabilnih ureditev. Pravna oblika takih ureditev, bodisi prek podružnice ali odvisne družbe, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik. To merilo ne bi smelo biti odvisno od tega, ali so omrežja in informacijski sistemi fizično locirani na tistem mestu; prisotnost in uporaba teh sistemov sami po sebi ne pomenita tega glavnega sedeža in zato nista merili za ugotavljanje glavnega sedeža.

(65)

Ponudnik digitalnih storitev brez sedeža v Uniji, ki nudi storitve v Uniji, bi moral določiti predstavnika. Da bi ugotovili, ali tak ponudnik digitalnih storitev le-te nudi v Uniji, bi bilo treba preveriti, ali je jasno, da namerava ponudnik digitalnih storitev svoje storitve nuditi posameznikom v eni ali več državah članicah. Sama dostopnost spletnega mesta ponudnika digitalnih storitev ali spletnega mesta posrednika v Uniji ali elektronskega naslova in drugih kontaktnih podatkov ali uporaba jezika, ki se običajno uporablja v tretji državi, v kateri ima ponudnik digitalnih storitev sedež, ne zadošča za določitev takšne namere. Vendar se lahko z dejavniki, kot so uporaba jezika ali valute, ki se običajno uporablja v eni ali več državah članicah, z možnostjo naročanja storitev v tem drugem jeziku ali navedba strank ali uporabnikov, ki so v Uniji, jasno pokaže, da namerava ponudnik digitalnih storitev nuditi storitve v Uniji. Predstavnik bi moral delovati v imenu ponudnika digitalnih storitev, pristojni organi ali skupine CSIRT pa bi morali imeti možnost, da navežejo stik s predstavnikom. Ponudnik digitalnih storitev bi moral predstavnika pisno izrecno določiti, da v njegovem imenu izvaja njegove obveznosti na podlagi te direktive, vključno s priglasitvijo incidentov.

(66)

Standardizacija varnostnih zahtev je proces, ki ga narekuje trg. Za zagotovitev usklajene uporabe varnostnih standardov bi morale države članice spodbujati uporabo ali upoštevanje določenih standardov ter tako zagotoviti visoko raven varnosti omrežij in informacijskih sistemov na ravni Unije. ENISA bi morala državam članicam pomagati s svetovanjem in smernicami. V ta namen bi bilo morda v pomoč, če bi oblikovali harmonizirane standarde, kar bi morali storiti v skladu z Uredbo (EU) št. 1025/2012 Evropskega parlamenta in Sveta (8).

(67)

Subjektom, ki ne sodijo na področje uporabe te direktive, se lahko zgodijo incidenti, ki pomembno vplivajo na storitve, ki jih ponujajo. Kadar ti subjekti menijo, da je priglasitev pojava takšnih incidentov v javnem interesu, bi jim bilo treba omogočiti, da to storijo prostovoljno. Te priglasitve bi morali obdelati ustrezni organi držav članic ali CSIRT, kadar takšna obdelava za zadevne države članice ne predstavlja nesorazmernega ali neupravičenega bremena.

(68)

Za zagotovitev enotnih pogojev za izvajanje te direktive bi bilo treba na Komisijo prenesti izvedbena pooblastila za določitev postopkovnih ureditev, potrebnih za delovanje skupine za sodelovanje, ter zahtev glede varnosti in priglasitve, ki se uporabljajo za ponudnike digitalnih storitev. Navedena pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (9). Komisija bi morala pri sprejemanju izvedbenih aktov o postopkovnih ureditvah, potrebnih za delovanje skupine za sodelovanje, v največji možni meri upoštevati mnenje ENISA.

(69)

Komisija bi morala pri sprejemanju izvedbenih aktov o varnostnih zahtevah za ponudnike digitalnih storitev v največji možni meri upoštevati mnenje ENISA in se posvetovati z zainteresiranimi deležniki. Komisija bi tudi morala upoštevati naslednje primere: glede varnosti sistemov in infrastrukture: fizično in okoljsko varnost, zanesljivost oskrbe, nadzor dostopa do omrežij in informacijskih sistemov ter celovitost omrežij in informacijskih sistemov; glede obvladovanja incidentov: postopke za obvladovanje incidentov, zmogljivost zaznavanja incidentov, poročanje in obveščanje o incidentih; glede upravljanja neprekinjenega poslovanja: strategijo za neprekinjenost storitve in načrte izrednih ukrepov, sanacijske zmogljivosti po incidentih; in glede spremljanja, revidiranja in preskušanja: politike spremljanja in vodenja evidenc, izvajanje načrtov izrednih ukrepov, preskušanje omrežij in informacijskih sistemov, ocene varnosti in spremljanje skladnosti.

(70)

Pri izvajanju te direktive bi se Komisija morala po potrebi povezati z ustreznimi sektorskimi odbori in organi, ustanovljenimi na ravni Unije na področjih, zajetih v tej direktivi.

(71)

Komisija bi morala redno v posvetovanju z zainteresiranimi deležniki pregledovati to direktivo, zlasti da bi ugotovila, ali jo je treba prilagoditi spremenjenim družbenim, političnim, tehnološkim ali tržnim razmeram.

(72)

Za izmenjavo informacij o tveganjih in incidentih v skupini za sodelovanje in mreži skupin CSIRT ter za izpolnjevanje zahtev za priglasitev incidentov pristojnim nacionalnim organom ali skupini CSIRT bi lahko bila potrebna obdelava osebnih podatkov. Taka obdelava bi morala potekati v skladu z Direktivo 95/46/ES Evropskega parlamenta in Sveta (10) in Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta (11). Pri izvajanju te direktive bi se morala po potrebi uporabljati Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 (12).

(73)

V skladu s členom 28(2) Uredbe (ES) št. 45/2001 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je svoje mnenje podal dne 14. junija 2013 (13).

(74)

Ker cilja te direktive, in sicer zagotavljanja visoke skupne ravni varnosti omrežij in informacijskih sistemov v Uniji, države članice ne morejo zadovoljivo doseči, temveč se zaradi učinkov ukrepov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenega cilja.

(75)

Ta direktiva upošteva temeljne pravice in načela Listine Evropske unije o temeljnih pravicah, zlasti pravico do spoštovanja zasebnega življenja in komunikacij, varstvo osebnih podatkov, svobodo podjetniške pobude, lastninsko pravico, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča in pravico podati izjavo. To direktivo bi bilo treba izvajati v skladu s temi pravicami in načeli –

(a)

določa obveznosti vseh držav članic, da sprejmejo nacionalne strategije za varnost omrežij in informacijskih sistemov;

(b)

vzpostavlja skupino za sodelovanje, da bi podprli in zagotovili lažje strateško sodelovanje in izmenjavo informacij med državami članicami ter okrepili zaupanje med njimi;

(c)

vzpostavlja mrežo skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: mreža skupin CSIRT), da bi prispevali h krepitvi zaupanja med državami članicami ter spodbudili hitro in učinkovito operativno sodelovanje;

(d)

določa varnostne zahteve in zahteve glede priglasitve za izvajalce bistvenih storitev in za ponudnike digitalnih storitev;

(e)

določa obveznosti držav članic glede določitve pristojnih nacionalnih organov, enotnih kontaktnih točk in skupin CSIRT, katerih naloge so povezane z varnostjo omrežij in informacijskih sistemov.

(1)

„omrežje in informacijski sistem“ pomeni:

(2)

„varnost omrežij in informacijskih sistemov“ pomeni zmožnost omrežij in informacijskih sistemov, da na določeni ravni zaupanja preprečijo vse dogodke, ki ogrožajo razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali pripadajočih storitev, ki jih navedena omrežja in informacijski sistemi zagotavljajo ali so prek njih dostopne;

(3)

„nacionalna strategija za varnost omrežij in informacijskih sistemov“ pomeni okvir s strateškimi cilji in prednostnimi nalogami na področju varnosti omrežij in informacijskih sistemov na nacionalni ravni;

(4)

„izvajalec bistvenih storitev“ pomeni javni ali zasebni subjekt, ki spada med vrste iz Priloge II in izpolnjuje merila, določena v členu 5(2);

(5)

„digitalna storitev“ pomeni storitev v smislu točke (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (17), ki spada med vrste storitev iz Priloge III;

(6)

„ponudnik digitalnih storitev“ pomeni vsako pravno osebo, ki zagotavlja digitalno storitev;

(7)

„incident“ pomeni vsak dogodek, ki ima dejanski negativen učinek na varnost omrežij in informacijskih sistemov;

(8)

„obvladovanje incidentov“ pomeni vse postopke, ki podpirajo odkrivanje, analizo in zajezitev incidentov ter odzivanje nanje;

(9)

„tveganje“ pomeni vsako razumno določljivo okoliščino ali dogodek, ki ima lahko negativen učinek na varnost omrežja in informacijskih sistemov;

(10)

„predstavnik“ pomeni vsako fizično ali pravno osebo s sedežem v Uniji, ki je izrecno določena, da deluje v imenu ponudnika digitalnih storitev, ki nima sedeža v Uniji, in s katero lahko nacionalni pristojni organ ali skupina CSIRT vzpostavi stik namesto s ponudnikom digitalnih storitev, kar zadeva obveznosti tega ponudnika digitalnih storitev na podlagi te direktive;

(11)

„standard“ pomeni standard v smislu točke (1) člena 2 Uredbe (EU) št. 1025/2012;

(12)

„specifikacija“ pomeni tehnično specifikacijo v smislu točke (4) člena 2 Uredbe (EU) št. 1025/2012;

(13)

„stičišče omrežij“ pomeni omrežno zmogljivost, ki omogoča medsebojno povezavo več kot dveh neodvisnih avtonomnih sistemov, predvsem zaradi izmenjave internetnega prometa; stičišče omrežij zagotavlja medsebojno povezavo le avtonomnih sistemov; stičišče omrežij omogoča izmenjavo internetnega prometa med katerima koli sodelujočima avtonomnima sistemoma, brez prehoda prek tretjega avtonomnega sistema, prav tako pa ne spreminja takšnega prometa ali kako drugače posega vanj;

(14)

„sistem domenskih imen“ pomeni hierarhičen porazdeljen sistem dodeljevanja imen v omrežju, ki posreduje poizvedbe za domenska imena;

(15)

„ponudnik storitev sistema domenskih imen“ pomeni subjekt, ki zagotavlja storitve sistema domenskih imen na internetu;

(16)

„register domenskih imen najvišje ravni“ pomeni subjekt, ki upravlja in izvaja registracijo imen internetnih domen v okviru določene domene najvišje ravni.

(17)

„spletna tržnica“ pomeni digitalno storitev, ki omogoča potrošnikom in/ali trgovcem, kot so opredeljeni v točki (a) oziroma točki (b) člena 4(1) Direktive 2013/11/EU Evropskega parlamenta in Sveta (18), da na spletišču spletne tržnice ali spletišču trgovca, ki uporablja računalniške storitve spletne tržnice, s trgovci sklenejo pogodbe o spletni prodaji ali pogodbe o spletnih storitvah;

(18)

„spletni iskalnik“ pomeni digitalno storitev, ki uporabnikom na podlagi poizvedbe na katero koli temo v obliki ključne besede, fraze ali drugega vnosa omogoča iskanje po načeloma vseh spletiščih ali spletiščih v določenem jeziku, ponudi pa povezave do strani z informacijami o zahtevani vsebini;

(19)

„storitev računalništva v oblaku“ pomeni digitalno storitev, ki omogoča dostop do prožnega in po obsegu prilagodljivega nabora deljivih računalniških virov;

(a)

subjekt zagotavlja storitev, ki je bistvena za ohranitev ključnih družbenih in/ali gospodarskih dejavnosti;

(b)

zagotavljanje te storitve je odvisno od omrežij in informacijskih sistemov; ter

(c)

incident bi imel pomemben negativen vpliv na zagotavljanje te storitve.

(a)

nacionalne ukrepe, ki omogočajo določitev izvajalcev bistvenih storitev;

(b)

seznam storitev iz odstavka 3;

(c)

število izvajalcev bistvenih storitev, določenih za vsak sektor iz Priloge II, in navedbo njihovega pomena za ta sektor;

(d)

prage, kadar obstajajo, za določitev ustrezne ravni opravljanja storitev glede na število uporabnikov, ki so odvisni od te storitve, kot je določeno v točki (a) člena 6(1), ali glede na pomen zadevnega izvajalca bistvenih storitev, kot je določeno v točki (f) člena 6(1).

(a)

število uporabnikov, ki so odvisni od storitve zadevnega subjekta;

(b)

odvisnost drugih sektorjev iz Priloge II od storitve tega subjekta;

(c)

stopnjo in trajanje vpliva, ki bi ga incidenti lahko imeli na gospodarske in družbene dejavnosti ali javno varnost;

(d)

tržni delež tega subjekta;

(e)

geografsko razširjenost, kar zadeva območje, ki bi ga incident lahko prizadel;

(f)

pomen subjekta za ohranitev zadostne ravni storitve ob upoštevanju razpoložljivosti alternativnih načinov za zagotavljanje zadevne storitve.

(a)

cilji in prednostne naloge nacionalne strategije za varnost omrežij in informacijskih sistemov;

(b)

okvir upravljanja za dosego ciljev in prednostnih nalog nacionalne strategije za varnost omrežij in informacijskih sistemov, vključno z vlogami in odgovornostmi vladnih organov in drugih ustreznih akterjev;

(c)

opredelitev ukrepov v zvezi z pripravljenostjo, odzivanjem in ponovno vzpostavitvijo, vključno s sodelovanjem med javnim in zasebnim sektorjem;

(d)

opredelitev programov izobraževanja, ozaveščanja in usposabljanja v zvezi z nacionalno strategijo za varnost omrežij in informacijskih sistemov;

(e)

opredelitev načrtov raziskav in razvoja v zvezi z nacionalno strategijo za varnost omrežij in informacijskih sistemov;

(f)

načrt ocene tveganja za prepoznavanje tveganj;

(g)

seznam različnih akterjev, vključenih v izvajanje nacionalne strategije za varnost omrežij in informacijskih sistemov.

(a)

strateško usmerja dejavnosti mreže skupin CSIRT, vzpostavljene na podlagi člena 12;

(b)

izmenjuje najboljše prakse glede izmenjave informacij v zvezi s priglasitvijo incidentov iz člena 14(3) in (5) ter člena 16(3) in (6);

(c)

izmenjuje najboljše prakse med državami članicami in v sodelovanju z ENISA državam članicam pomaga pri krepitvi zmogljivosti za zagotavljanje varnosti omrežij in informacijskih sistemov;

(d)

obravnava zmogljivosti in pripravljenost držav članic ter na prostovoljni osnovi ocenjuje nacionalne strategije za vast omrežij in informacijskih sistemov in učinkovitost skupin CSIRT, pri tem pa določa najboljše prakse;

(e)

izmenjuje informacije in najboljše prakse o ozaveščanju in usposabljanju;

(f)

izmenjuje informacije in najboljše prakse o raziskavah in razvoju v zvezi z varnostjo omrežij in informacijskih sistemov;

(g)

z ustreznimi institucijami, organi, uradi in agencijami Unije po potrebi izmenjuje izkušnje o vprašanjih v zvezi z varnostjo omrežij in informacijskih sistemov;

(h)

s predstavniki ustreznih evropskih organizacij za standardizacijo razpravlja o standardih in specifikacijah iz člena 19;

(i)

zbira informacije o najboljših praksah v zvezi s tveganji in incidenti;

(j)

vsako leto preuči zbirna poročila iz drugega pododstavka člena 10(3);

(k)

obravnava delo glede vaj v zvezi z varnostjo omrežij in informacijskih sistemov, izobraževalnih programov in usposabljanj, tudi delo ENISA;

(l)

s pomočjo ENISA izmenjuje najboljše prakse glede tega, kako države članice določajo izvajalce bistvenih storitev, tudi glede čezmejnih odvisnosti v zvezi s tveganji in incidenti;

(m)

obravnava načine za poročanje o priglasitvah incidentov iz členov 14 in 16.

(a)

izmenjuje informacije o storitvah, dejavnostih in zmogljivostih za sodelovanje skupin CSIRT;

(b)

na prošnjo predstavnika skupine CSIRT iz države članice, na katero bi lahko vplival določen incident, izmenjuje in obravnava poslovno neobčutljive informacije o incidentu in z njim povezanih tveganjih; vendar lahko vsaka skupina CSIRT države članice zavrne, da bi prispevala k tej obravnavi, če bi to lahko negativno vplivalo na preiskavo incidenta;

(c)

na prostovoljni osnovi izmenjuje in daje na voljo nezaupne informacije v zvezi s posameznimi incidenti;

(d)

na prošnjo predstavnika skupine CSIRT države članice obravnava in po možnosti opredeli usklajen odziv na incident, ki je v pristojnosti te iste države članice;

(e)

državam članicam zagotavlja podporo pri obravnavi čezmejnih incidentov na podlagi njihove prostovoljne medsebojne pomoči;

(f)

obravnava, preučuje in določa nadaljnje oblike operativnega sodelovanja, tudi glede:

(g)

skupino za sodelovanje obvešča o svojih dejavnostih in nadaljnjih oblikah operativnega sodelovanja, obravnavanih v skladu s točko (f), ter zaprosi za usmeritve v zvezi s tem;

(h)

obravnava izkušnje, pridobljene pri vajah v zvezi z varnostjo omrežij in informacijskih sistemov, tudi tistih, ki jih organizira ENISA;

(i)

na prošnjo posamezne skupine CSIRT obravnava njene zmogljivosti in pripravljenost;

(j)

izdaja smernice, da olajša konvergenco operativnih praks glede uporabe določb tega člena v zvezi z operativnim sodelovanjem.

(a)

število uporabnikov, ki jih je prizadela motnja pri zagotavljanju bistvene storitve;

(b)

trajanje incidenta;

(c)

geografska razširjenost, kar zadeva območje, na katerega vpliva incident.

(a)

informacije, potrebne za oceno varnosti njihovih omrežij in informacijskih sistemov, vključno z dokumentiranimi varnostnimi pravili;

(b)

dokaze o učinkovitem izvajanju varnostnih pravil, na primer rezultate pregleda varnosti, ki ga izvede pristojni organ ali kvalificiran revizor, pri čemer dajo v primeru pregleda s strani kvalificiranega revizorja rezultate, vključno z ustreznimi dokazi, na voljo pristojnemu organu.

(a)

varnost sistemov in zmogljivosti;

(b)

obvladovanje incidentov;

(c)

upravljanje neprekinjenega poslovanja;

(d)

spremljanje, revidiranje in preizkušanje;

(e)

skladnost z mednarodnimi standardi.

(a)

število uporabnikov, na katere vpliva incident, zlasti uporabnikov, ki so odvisni od storitve pri zagotavljanju lastnih storitev;

(b)

trajanje incidenta;

(c)

geografska razširjenost, kar zadeva območje, na katerega vpliva incident;

(d)

v kakšnem obsegu je moteno delovanje storitve;

(e)

obseg vpliva na gospodarske in družbene dejavnosti.

(a)

predložijo informacije, potrebne za oceno varnosti njihovega omrežja in informacijskih sistemov, vključno z dokumentiranimi varnostnimi pravili;

(b)

odpravijo vsakršno neizpolnjevanje zahtev iz člena 16.