(1)

Syftet med Europaparlamentets och rådets direktiv (EU) 2016/1148 (4) var att bygga upp cybersäkerhetskapaciteten i hela unionen, begränsa hoten mot nätverks- och informationssystem som används för att tillhandahålla samhällsviktiga tjänster i centrala sektorer och säkerställa kontinuiteten i sådana tjänster när de utsätts för incidenter, och därigenom bidra till unionens säkerhet och till att dess ekonomi och samhälle kan fungera effektivt.

(2)

Sedan direktiv (EU) 2016/1148 trädde i kraft har betydande framsteg gjorts med att öka unionens nivå av cyberresiliens. Översynen av det direktivet har visat att det har fungerat som katalysator för den institutionella och lagstiftningsmässiga strategin för cybersäkerhet i unionen och har banat väg för en betydande attitydförändring. Direktivet har säkerställt fullbordandet av nationella ramar för säkerhet i nätverks- och informationssystem genom att fastställa nationella strategier för säkerhet i nätverks- och informationssystem och inrätta nationell kapacitet och genom att genomföra lagstiftningsåtgärder som omfattar väsentliga infrastrukturer och entiteter som identifierats av varje medlemsstat. Direktiv (EU) 2016/1148 har också bidragit till samarbete på unionsnivå genom inrättandet av samarbetsgruppen samt nätverket av nationella it-incidentcentrum. Trots dessa framsteg har översynen av direktiv (EU) 2016/1148 avslöjat inneboende brister som hindrar det från att effektivt hantera befintliga och framväxande utmaningar på cybersäkerhetsområdet.

(3)

Nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet i och med den snabba digitala omställningen och sammankopplingen av samhället, vilket även gäller vid gränsöverskridande utbyten. Denna utveckling har lett till en utvidgad cyberhotbild, som medfört nya utmaningar som kräver anpassade, samordnade och innovativa svarsåtgärder i alla medlemsstater. Incidenter, som blir allt fler och mer omfattande, sofistikerade och vanliga och får allt större inverkan, utgör ett allvarligt hot mot nätverks- och informationssystemens funktion. Därför kan sådana incidenter hindra utövandet av ekonomisk verksamhet på den inre marknaden, generera ekonomisk förlust, undergräva användarnas förtroende och orsaka allvarlig skada för unionens ekonomi och samhälle. Beredskap och ändamålsenlighet på cybersäkerhetsområdet är därför nu viktigare än någonsin för att den inre marknaden ska fungera väl. Cybersäkerhet är dessutom en viktig förutsättning för att många kritiska sektorer ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar.

(4)

Den rättsliga grunden för direktiv (EU) 2016/1148 var artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), vars mål är att upprätta den inre marknaden och säkerställa dess funktion genom att förbättra åtgärderna för tillnärmning av nationella regler. De cybersäkerhetskrav som åläggs entiteter som tillhandahåller tjänster eller utför verksamhet som är ekonomiskt betydelsefull varierar avsevärt mellan medlemsstaterna vad gäller typen av krav, kravens utförlighet och tillsynsmetoden. Dessa skillnader medför extra kostnader och gör det svårt för entiteterna att erbjuda varor och tjänster över gränserna. Krav som ställs av en medlemsstat och som skiljer sig från, eller till och med står i strid med, krav som ställs av en annan medlemsstat kan väsentligt påverka sådan gränsöverskridande verksamhet. Det är dessutom sannolikt att otillräckligt utformade eller genomförda cybersäkerhetskrav i en medlemsstat kommer att få återverkningar för cybersäkerhetsnivån i andra medlemsstater, särskilt med tanke på det intensiva utbytet över gränserna. Översynen av direktiv (EU) 2016/1148 har visat på stora skillnader i medlemsstaternas genomförande, även vad gäller dess tillämpningsområde, då avgränsningen av detta i stor utsträckning har överlåtits på medlemsstaterna. Direktiv (EU) 2016/1148 gav också medlemsstaterna mycket stort utrymme för skönsmässig bedömning vad gäller genomförandet av de säkerhets- och incidentrapporteringsskyldigheter som fastställs i det. Dessa skyldigheter genomfördes därför på väsentligt skilda sätt på nationell nivå. Det finns liknande skillnader i genomförandet av bestämmelserna om tillsyn och efterlevnadskontroll i direktiv (EU) 2016/1148.

(5)

Alla dessa skillnader medför en fragmentering av den inre marknaden och kan ha en skadlig inverkan på dess funktion, vilket påverkar i synnerhet tillhandahållandet av tjänster över gränserna och nivån av cyberresiliens till följd av tillämpningen av ett spektrum av åtgärder. Dessa skillnader kan till sist leda till att vissa medlemsstater har större sårbarhet för cyberhot, med potentiella spridningseffekter i hela unionen. Direktivets mål är att undanröja dessa stora skillnader mellan medlemsstaterna, särskilt genom att föreskriva minimiregler för ett fungerande samordnat regelverk genom att fastställa mekanismer för effektivt samarbete mellan de ansvariga myndigheterna i varje medlemsstat, genom att uppdatera förteckningen över sektorer och verksamheter som omfattas av skyldigheter vad gäller cybersäkerhet och genom att föreskriva effektiva rättsmedel och efterlevnadskontrollåtgärder, vilket är centralt för att upprätthålla en effektiv kontroll av att dessa skyldigheter efterlevs. Därför bör direktiv (EU) 2016/1148 upphävas och ersättas av det här direktivet.

(6)

I och med upphävandet av direktiv (EU) 2016/1148 bör tillämpningsområdet med avseende på olika sektorer utvidgas till en större del av ekonomin så att den ger en omfattande täckning av sektorer och tjänster som är av avgörande betydelse för viktiga samhälleliga och ekonomiska verksamheter på den inre marknaden. I synnerhet syftar det här direktivet till att åtgärda bristerna i fråga om differentieringen mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, vilken har visat sig vara inaktuell eftersom den inte speglar den betydelse som dessa sektorer och tjänster har för samhälleliga och ekonomiska verksamheter på den inre marknaden.

(7)

Enligt direktiv (EU) 2016/1148 hade medlemsstaterna ansvaret för att identifiera de entiteter som uppfyllde kriterierna för att klassificeras som leverantörer av samhällsviktiga tjänster. För att undanröja de stora skillnaderna mellan medlemsstaterna i detta avseende och säkerställa rättslig säkerhet vad gäller riskhanteringsåtgärderna för cybersäkerhet och rapporteringsskyldigheterna för alla relevanta entiteter, bör det fastställas ett enhetligt kriterium för vilka entiteter som ska omfattas av tillämpningsområdet för detta direktiv. Kriteriet bör bestå i tillämpningen av en storleksbaserad regel som innebär att alla entiteter som betraktas som medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG (5), eller överstiger de trösklar för medelstora företag som fastställs i punkt 1 i den artikeln, och som är verksamma i de sektorer och tillhandahåller de typer av tjänster eller bedriver de verksamheter som omfattas av det här direktivet också omfattas av tillämpningsområdet för det här direktivet. Medlemsstaterna bör även föreskriva att vissa små företag och mikroföretag, enligt definitionen i artikel 2.2 och 2.3 i den bilagan, som uppfyller specifika kriterier som visar deras nyckelroll för samhället, ekonomin eller för särskilda sektorer eller typer av tjänster ska omfattas av tillämpningsområdet för det här direktivet.

(8)

Undantaget för offentliga förvaltningsentiteter från detta direktivs tillämpningsområde bör omfatta entiteter vars verksamhet till övervägande del bedrivs på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet verksamhet som rör utredning, förebyggande, upptäckt och lagföring av brott. Offentliga förvaltningsentiteter vars verksamhet endast marginellt hänför sig till dessa områden bör dock inte vara undantagna från direktivets tillämpningsområde. Vid tillämpningen av detta direktiv anses entiteter med tillsynsbefogenheter inte bedriva verksamhet på brottsbekämpningsområdet, och de är därför inte undantagna från tillämpningsområdet för detta direktiv. Offentliga förvaltningsentiteter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal är undantagna från detta direktivs tillämpningsområde. Detta direktiv är inte tillämpligt på medlemsstaters diplomatiska och konsulära beskickningar i tredjeländer eller på deras nätverks- och informationssystem, såvida dessa system är belägna inom beskickningen eller drivs för användare i ett tredjeland.

(9)

Medlemsstaterna bör kunna vidta de åtgärder som är nödvändiga för att skydda väsentliga nationella säkerhetsintressen, upprätthålla allmän ordning och säkerhet och möjliggöra förebyggande, utredning, upptäckt och lagföring av brott. I detta syfte bör medlemsstaterna kunna undanta särskilda entiteter som bedriver verksamhet på områdena, nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott, från vissa skyldigheter i detta direktiv med avseende på sådan verksamhet. Om en entitet tillhandahåller tjänster uteslutande för en offentlig förvaltningsentitet som är undantagen från detta direktivs tillämpningsområde bör medlemsstaterna kunna undanta den entiteten från vissa skyldigheter enligt detta direktiv med avseende på dessa tjänster. Vidare bör ingen medlemsstat vara skyldig att lämna information vars avslöjande skulle strida mot dess väsentliga intressen i fråga om nationell säkerhet, allmän säkerhet eller försvar. Unionsregler eller nationella regler till skydd för säkerhetsskyddsklassificerade uppgifter, sekretessavtal samt informella sekretessavtal såsom Traffic Light Protocol bör beaktas i detta sammanhang. Traffic Light Protocol bör ses som ett medel för att informera om eventuella begränsningar i vidarespridningen av information. Det används inom nästan alla enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) och av vissa informations- och analyscentraler.

(10)

Även om detta direktiv tillämpas på entiteter som bedriver verksamhet inom produktion av el från kärnkraftverk kan viss verksamhet vara kopplad till den nationella säkerheten. När så är fallet bör en medlemsstat kunna utöva sitt ansvar för att skydda den nationella säkerheten i samband med sådan verksamhet, inklusive verksamhet inom kärnenergins värdekedja, i enlighet med fördragen.

(11)

Vissa entiteter bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott, samtidigt som de även tillhandahåller betrodda tjänster. Tillhandahållare av betrodda tjänster som omfattas av Europaparlamentets och rådets förordning (EU) nr 910/2014 (6) bör omfattas av detta direktiv för att säkerställa samma nivå på säkerhetskraven och tillsynen som den som tidigare fastställdes i den förordningen vad gäller tillhandahållare av betrodda tjänster. I överensstämmelse med undantaget för vissa specifika tjänster från förordning (EU) nr 910/2014 bör detta direktiv inte vara tillämpligt på tillhandahållande av betrodda tjänster som på grund av nationell rätt eller avtal mellan en avgränsad grupp deltagare endast används inom slutna system.

(12)

Tillhandahållare av posttjänster enligt definitionen i Europaparlamentets och rådets direktiv 97/67/EG (7), inklusive tillhandahållare av budtjänster, bör omfattas av detta direktiv om de tillhandahåller minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, samtidig som hänsyn tas till den grad i vilken de är beroende av nätverks- och informationssystem. Transporttjänster som inte utförs i samband med något av dessa led bör vara undantagna från tillämpningsområdet för posttjänster.

(13)

Med tanke på att cyberhoten intensifieras och blir alltmer sofistikerade bör medlemsstaterna sträva efter att säkerställa att entiteter som är undantagna från detta direktivs tillämpningsområde uppnår en hög cybersäkerhetsnivå och stödja tillämpningen av likvärdiga riskhanteringsåtgärder för cybersäkerhet som speglar dessa entiteters känsliga natur.

(14)

Unionens dataskyddslagstiftning och integritetslagstiftning är tillämplig på all behandling av personuppgifter inom ramen för detta direktiv. I synnerhet påverkar detta direktiv inte tillämpningen av Europaparlamentets och rådets förordning (EU) 2016/679 (8) och Europaparlamentets och rådets direktiv 2002/58/EG (9). Därför bör detta direktiv inte påverka exempelvis uppgifterna och befogenheterna för de myndigheter som är behöriga att övervaka efterlevnaden av unionens tillämpliga dataskyddslagstiftning och integritetslagstiftning.

(15)

De entiteter som omfattas av tillämpningsområdet för detta direktiv med avseende på efterlevnad av riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter bör indelas i två kategorier, väsentliga entiteter och viktiga entiteter, vilket speglar i vilken mån de är av kritisk betydelse med avseende på sektor eller de typer av tjänster de tillhandahåller samt deras storlek. I detta avseende bör vederbörlig hänsyn i förekommande fall tas till eventuella relevanta sektorsspecifika riskbedömningar eller vägledning från de behöriga myndigheterna. Tillsyns- och efterlevnadskontrollsystemen för dessa båda kategorier av entiteter bör differentieras för att säkerställa en rättvis balans mellan riskbaserade krav och skyldigheter å ena sidan och den administrativa börda som följer av tillsynen av efterlevnaden å den andra.

(16)

För att undvika att entiteter som har partnerföretag eller som är anknutna företag betraktas som väsentliga eller viktiga entiteter när detta vore oproportionellt kan medlemsstaterna ta hänsyn till vilken grad av oberoende som entiteten åtnjuter i förhållande till sin partner eller de anknutna företagen vid tillämpningen av artikel 6.2 i bilagan till rekommendation 2003/361/EG. I synnerhet kan medlemsstaterna ta hänsyn till att en entitet är oberoende av sin partner eller de anknutna företagen med avseende på de nätverks- och informationssystem som entiteten använder vid tillhandahållandet av sina tjänster och med avseende på de tjänster som entiteten tillhandahåller. På grundval av detta kan medlemsstaterna när det är lämpligt anse att en sådan entitet inte betraktas som ett medelstort företag enligt artikel 2 i bilagan till rekommendation 2003/361/EG, eller inte överstiger de trösklar för ett medelstort företag som fastställs i punkt 1 i den artikeln, om entiteten, med hänsyn tagen till dess grad av oberoende, inte skulle ha ansetts betraktas som ett medelstort företag eller överstiga dessa trösklar om bara dess egna data hade tagits i beaktande. Detta påverkar inte skyldigheterna enligt detta direktiv för partnerföretag och anknutna företag som omfattas av direktivets tillämpningsområde.

(17)

Medlemsstaterna bör kunna besluta att entiteter som före detta direktivs ikraftträdande har identifierats som leverantörer av samhällsviktiga tjänster i enlighet med direktiv (EU) 2016/1148 ska betraktas som väsentliga entiteter.

(18)

För att skapa en tydlig överblick över entiteter som omfattas av detta direktivs tillämpningsområde bör medlemsstaterna upprätta en förteckning över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster. I detta syfte bör medlemsstaterna ålägga entiteter att till de behöriga myndigheterna lämna åtminstone följande information: namn, adress och aktuella kontaktuppgifter, inklusive entitetens e-postadresser, IP-adressintervall och telefonnummer, och i tillämpliga fall den relevanta sektor och delsektor som avses i de bilagorna samt i tillämpliga fall en förteckning över de medlemsstater där de tillhandahåller tjänster som omfattas av detta direktivs tillämpningsområde. I detta syfte bör kommissionen, med bistånd från Europeiska unionens cybersäkerhetsbyrå (Enisa), utan onödigt dröjsmål tillhandahålla riktlinjer och mallar avseende skyldigheten att lämna information. I syfte att underlätta upprättandet och uppdateringen av förteckningen över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster bör medlemsstaterna kunna fastställa nationella mekanismer för att entiteter ska kunna registrera sig själva. Om det finns register på nationell nivå kan medlemsstaterna besluta om lämpliga mekanismer som gör det möjligt att identifiera entiteter som omfattas av detta direktiv.

(19)

Medlemsstaterna bör ansvara för att förse kommissionen åtminstone med uppgifter om antalet väsentliga och viktiga entiteter för varje sektor och delsektor enligt bilagorna samt relevant information om antalet identifierade entiteter och den bestämmelse i detta direktiv på vars grundval dessa identifierats, och den typ av tjänster de tillhandahåller. Medlemsstaterna uppmuntras att utbyta information med kommissionen om väsentliga och viktiga entiteter och, i händelse av en storskalig cybersäkerhetsincident, relevant information såsom den berörda entitetens namn.

(20)

Kommissionen bör, i samarbete med samarbetsgruppen och efter samråd med relevanta intressenter, tillhandahålla riktlinjer om genomförandet av de kriterier som ska tillämpas på mikroföretag och små företag för att bedöma om de omfattas av detta direktiv. Kommissionen bör även säkerställa att mikroföretag och små företag som omfattas av detta direktiv får lämplig vägledning. Kommissionen bör, med bistånd från medlemsstaterna, göra information tillgänglig för mikroföretag och små företag i detta avseende.

(21)

Kommissionen kan tillhandahålla vägledning för att bistå medlemsstaterna med att genomföra bestämmelserna i detta direktiv om tillämpningsområde och med att utvärdera proportionaliteten i de åtgärder som ska vidtas i enlighet med direktivet, särskilt vad gäller entiteter med komplexa affärsmodeller eller driftsmiljöer, varvid en entitet samtidigt kan uppfylla kriterierna för både väsentliga och viktiga entiteter eller samtidigt kan bedriva viss verksamhet som omfattas av, och viss verksamhet som är undantagen från, detta direktiv.

(22)

I detta direktiv fastställs referensscenariot för riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter i alla sektorer som omfattas av dess tillämpningsområde. För att undvika fragmentering av cybersäkerhetsbestämmelserna i unionsrättsakter bör kommissionen, när ytterligare sektorsspecifika unionsrättsakter om riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter anses nödvändiga för att säkerställa en hög cybersäkerhetsnivå i hela unionen, bedöma om sådana ytterligare bestämmelser kan fastställas i en genomförandeakt inom ramen för detta direktiv. Om en sådan genomförandeakt inte är lämplig för detta ändamål skulle sektorsspecifika unionsrättsakter kunna bidra till att säkerställa en hög cybersäkerhetsnivå i hela unionen, samtidigt som de berörda sektorernas särdrag och komplexitet beaktas fullt ut. Därför hindrar detta direktiv inte antagandet av ytterligare sektorsspecifika unionsrättsakter innehållande riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter som tar vederbörlig hänsyn till behovet av en övergripande och konsekvent cybersäkerhetsram. Detta direktiv påverkar inte de befintliga genomförandebefogenheter som har tilldelats kommissionen med avseende på ett antal sektorer, däribland transport och energi.

(23)

Om en sektorsspecifik unionsrättsakt innehåller bestämmelser som föreskriver att väsentliga eller viktiga entiteter ska anta riskhanteringsåtgärder för cybersäkerhet eller anmäla betydande incidenter, och om dessa krav har minst samma verkan som de skyldigheter som fastställs i detta direktiv, bör de bestämmelserna, inbegripet om tillsyn och efterlevnadskontroll, tillämpas på sådana entiteter. Om en sektorsspecifik unionsrättsakt inte omfattar alla entiteter inom en viss sektor som omfattas av detta direktivs tillämpningsområde bör de relevanta bestämmelserna i detta direktiv fortsätta att tillämpas på de entiteter som inte omfattas av den rättsakten.

(24)

Om bestämmelserna i en sektorsspecifik unionsrättsakt föreskriver att väsentliga eller viktiga entiteter ska uppfylla rapporteringskrav som har minst samma verkan som rapporteringsskyldigheterna enligt detta direktiv bör samstämdhet och ändamålsenlighet säkerställas vid hanteringen av incidentanmälningar. I detta syfte bör den sektorsspecifika unionsrättsaktens bestämmelser om incidentanmälan föreskriva att CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna för cybersäkerhet (de gemensamma kontaktpunkterna) enligt detta direktiv ska ha omedelbar tillgång till de incidentanmälningar som lämnats in i enlighet med den sektorsspecifika unionsrättsakten. I synnerhet kan sådan omedelbar tillgång säkerställas om incidentanmälningar vidarebefordras utan onödigt dröjsmål till CSIRT-enheten, den behöriga myndigheten eller den gemensamma kontaktpunkten enligt detta direktiv. När det är lämpligt bör medlemsstaterna införa en automatisk och direkt rapporteringsmekanism som säkerställer systematisk och omedelbar informationsdelning med CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna angående hanteringen av sådana incidentanmälningar. I syfte att förenkla rapporteringen och genomföra den automatiska och direkta rapporteringsmekanismen kan medlemsstaterna, i enlighet med den sektorsspecifika unionsrättsakten, använda en gemensam kontaktpunkt.

(25)

Sektorsspecifika unionsrättsakter som föreskriver riskhanteringsåtgärder för cybersäkerhet eller rapporteringsskyldigheter som minst har samma verkan som de som fastställs i detta direktiv kan föreskriva att behöriga myndigheter inom ramen för de rättsakterna utövar sina tillsyns- och efterlevnadskontrollbefogenheter avseende sådana åtgärder eller skyldigheter med bistånd av de behöriga myndigheterna enligt detta direktiv. De berörda behöriga myndigheterna kan upprätta samarbetsarrangemang för detta ändamål. Sådana samarbetsarrangemang kan bland annat specificera förfarandena för samordning av tillsynsverksamheten, inbegripet förfarandena för utredningar och för inspektioner på plats i enlighet med nationell rätt och en mekanism för utbyte av relevant information om tillsyn och efterlevnadskontroll mellan de behöriga myndigheterna, inklusive tillgång till cyberrelaterad information som begärts av de behöriga myndigheterna enligt detta direktiv.

(26)

Om sektorsspecifika unionsrättsakter innehåller skyldigheter eller incitament för entiteter att anmäla betydande cyberhot bör medlemsstaterna även uppmuntra till informationsdelning om betydande cyberhot med CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt detta direktiv för att öka dessa organs medvetenhet om cyberhotbilden och göra det möjligt för dem att reagera ändamålsenligt och i lämplig tid om de betydande cyberhoten skulle bli verklighet.

(27)

Framtida sektorsspecifika unionsrättsakter bör ta vederbörlig hänsyn till de definitioner och den ram för tillsyn och efterlevnadskontroll som fastställs i detta direktiv.

(28)

Europaparlamentets och rådets förordning (EU) 2022/2554 (10) bör betraktas som en sektorsspecifik unionsrättsakt vid tillämpning av detta direktiv med avseende på finansiella entiteter. Bestämmelserna i förordning (EU) 2022/2554 avseende riskhanteringsåtgärder för informations- och kommunikationsteknik (IKT), hantering av IKT-relaterade incidenter, särskilt rapportering om större IKT-relaterade incidenter, samt avseende testning av digital operativ motståndskraft, arrangemang för informationsutbyte och IKT-tredjepartsrisk bör tillämpas i stället för dem som fastställs i detta direktiv. Medlemsstaterna bör därför inte tillämpa detta direktivs bestämmelser om riskhanterings- och rapporteringsskyldigheter beträffande cybersäkerhet och om tillsyn och efterlevnadskontroll på finansiella entiteter som omfattas av förordning (EU) 2022/2554. Det är samtidigt viktigt att upprätthålla starka förbindelser och informationsutbyte med finanssektorn inom ramen för detta direktiv. Därför gör förordning (EU) 2022/2554 det möjligt för de europeiska tillsynsmyndigheterna och de behöriga myndigheterna enligt den förordningen att delta i samarbetsgruppens verksamhet och att utbyta information och samarbeta med de gemensamma kontaktpunkterna och med CSIRT-enheterna och de behöriga myndigheterna enligt detta direktiv. De behöriga myndigheterna enligt förordning (EU) 2022/2554 ++ bör även översända uppgifter om större IKT-relaterade incidenter och, i förekommande fall, betydande cyberhot till CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt detta direktiv. Detta kan ske genom att ge omedelbar tillgång till incidentanmälningar, och antingen vidarebefordra dem direkt eller genom en gemensam kontaktpunkt. Vidare bör medlemsstaterna fortsätta att inkludera finanssektorn i sina strategier för cybersäkerhet, och CSIRT-enheterna kan inbegripa finanssektorn i sin verksamhet.

(29)

För att undvika luckor eller överlappning mellan de cybersäkerhetsskyldigheter som åläggs entiteter inom luftfartssektorn bör de nationella myndigheterna enligt Europaparlamentets och rådets förordningar (EG) nr 300/2008 (11) och (EU) 2018/1139 (12) och de behöriga myndigheterna enligt detta direktiv samarbeta när det gäller genomförandet av riskhanteringsåtgärder för cybersäkerhet och tillsynen av efterlevnaden av de åtgärderna på nationell nivå. En entitets efterlevnad av de säkerhetskrav som fastställs i förordningarna (EG) nr 300/2008 och (EU) 2018/1139 och i relevanta delegerade akter och genomförandeakter som antagits i enlighet med de förordningarna kan av de behöriga myndigheterna enligt detta direktiv anses utgöra efterlevnad av motsvarande krav som fastställs i detta direktiv.

(30)

Med tanke på kopplingarna mellan cybersäkerhet och entiteters fysiska säkerhet bör man säkerställa samstämmighet mellan Europaparlamentets och rådets direktiv (EU) 2022/2557 (13) och det här direktivet. För att uppnå detta bör entiteter som identifieras som kritiska entiteter enligt direktiv (EU) 2022/2557 anses vara väsentliga entiteter enligt det här direktivet. Vidare bör varje medlemsstat säkerställa att dess nationella strategi för cybersäkerhet tillhandahåller en politisk ram för ökad samordning inom den medlemsstaten mellan dess behöriga myndigheter enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2557 när det gäller informationsutbyte om risker, cyberhot och incidenter, liksom om icke-cyberrelaterade risker, hot och incidenter, samt utövande av tillsynsuppgifter. De behöriga myndigheterna enligt det här direktivet och direktiv (EU) 2022/2557 bör samarbeta och utbyta information utan onödigt dröjsmål, särskilt när det gäller identifiering av kritiska entiteter, risker, cyberhot och incidenter samt när det gäller icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska entiteter, inbegripet cybersäkerhetsåtgärder och fysiska åtgärder som vidtas av kritiska entiteter samt resultaten av den tillsynsverksamhet som bedrivs med avseende på sådana entiteter.

För att effektivisera tillsynsverksamheten mellan de behöriga myndigheterna enligt det här direktivet och direktiv (EU) 2022/2557 och för att minimera den administrativa bördan för de berörda entiteterna bör de behöriga myndigheterna dessutom sträva efter att harmonisera mallarna för incidentanmälningar och tillsynsförfaranden. När så är lämpligt bör behöriga myndigheter enligt direktiv (EU) 2022/2557 kunna begära att behöriga myndigheter enligt det här direktivet utövar sina befogenheter med avseende på tillsyn och efterlevnadskontroll gentemot en entitet som identifieras som en kritisk entitet enligt direktiv (EU) 2022/2557. Det här direktivet och direktiv (EU) 2022/2557 bör, om möjligt i realtid, samarbeta och utbyta information i detta syfte.

(31)

Entiteter som tillhör sektorn för digital infrastruktur är i huvudsak baserade på nätverks- och informationssystem, och därför bör de skyldigheter som åläggs dessa entiteter genom det här direktivet på ett övergripande sätt omfatta den fysiska säkerheten i sådana system som en del av deras riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter. Eftersom dessa frågor omfattas av det här direktivet är de skyldigheter som fastställs i kapitlen III, IV och VI i direktiv (EU) 2022/2557 inte tillämpliga på sådana entiteter.

(32)

Att upprätthålla och bevara ett tillförlitligt, resilient och säkert domännamnssystem (DNS) är viktiga faktorer för att upprätthålla internets integritet och är avgörande för en kontinuerlig och stabil drift, vilket den digitala ekonomin och samhället är beroende av. Därför bör detta direktiv vara tillämpligt på registreringsenheter för toppdomäner och leverantörer av DNS-tjänster, som bör förstås som entiteter som tillhandahåller allmänt tillgängliga rekursiva tjänster för att lösa domännamnsfrågor för internetslutanvändare eller auktoritativa tjänster för att lösa domännamnsfrågor för tredjepartsanvändning. Detta direktiv bör inte vara tillämpligt på rotnamnsservrar.

(33)

Molntjänster bör omfatta digitala tjänster som möjliggör administration av beställtjänster och bred fjärråtkomst till en skalbar och elastisk pool av delbara och distribuerade dataresurser, även när sådana resurser är distribuerade på flera platser. Beräkningsresurser omfattar resurser såsom nätverk, servrar eller annan infrastruktur, operativsystem, programvara, lagring, applikationer och tjänster. Tjänstemodellerna för molntjänster omfattar bland annat infrastruktur som en tjänst, plattform som en tjänst, program som en tjänst och nätverk som en tjänst. Distribueringsmodellerna för molntjänster bör omfatta privat moln, gemensamt moln, offentligt moln och hybridmoln. Molntjänste- och distribueringsmodellerna har samma innebörd som termerna tjänste- och distribueringsmodeller som definieras i standarden ISO/IEC 17788:2014. Molnanvändarens kapacitet att ensidigt, självständigt tillhandahålla datorkapacitet, såsom servertid eller nätlagring, utan någon mänsklig medverkan från leverantören av molntjänster, kan beskrivas som beställtjänster.

Termen bred fjärråtkomst används för att beskriva att molnkapaciteten tillhandahålls över nätet och nås genom mekanismer som främjar användning av heterogena tunna eller tjocka klientplattformar, däribland mobiltelefoner, surfplattor, bärbara datorer och arbetsstationer. Termen skalbar avser beräkningsresurser som leverantören av molntjänster fördelar på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. Termen elastisk pool används för att beskriva beräkningsresurser som tillhandahålls och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan. Termen delbar används för att beskriva beräkningsresurser som tillhandahålls flera användare som delar en gemensam åtkomst till tjänsten där behandlingen genomförs separat för varje användare, även om tjänsten tillhandahålls från samma elektroniska utrustning. Termen distribuerad används för att beskriva beräkningsresurser som finns på olika nätverksanslutna datorer eller enheter och som kommunicerar och samordnar sig sinsemellan genom meddelandepassning.

(34)

Med tanke på framväxten av innovativ teknik och nya affärsmodeller förväntas nya molntjänste- och distribueringsmodeller uppstå på den inre marknaden som svar på kundernas föränderliga behov. I detta sammanhang kan molntjänster levereras i en mycket distribuerad form, ännu närmare den plats där data genereras eller samlas in, och därmed övergå från den traditionella modellen till en mycket distribuerad modell (edge computing).

(35)

Tjänster som erbjuds av leverantörer av datacentraltjänster tillhandahålls inte alltid i form av molntjänster. Därför ingår inte datacentraler alltid i en molninfrastruktur. För att hantera alla risker för säkerheten i nätverks- och informationssystem bör detta direktiv därför omfatta leverantörer av datacentraltjänster som inte är molntjänster. Vid tillämpningen av detta direktiv bör termen datacentraltjänst omfatta strukturer, eller grupper av strukturer, avsedda för centraliserad inkvartering, sammankoppling och drift av it- och nätutrustning som tillhandahåller datalagrings-, databehandlings- och datatransporttjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll. Termen datacentraltjänst bör inte vara tillämplig på interna datacentraler som ägs och drivs av den berörda entiteten för egen räkning.

(36)

Forskningsverksamhet spelar en nyckelroll i utvecklingen av nya produkter och processer. Mycket av den verksamheten genomförs av entiteter som delar, sprider eller utnyttjar resultaten av sin forskning i kommersiella syften. Dessa entiteter kan därför vara viktiga aktörer i värdekedjor, vilket gör säkerheten i deras nätverks- och informationssystem till en integrerad del av den övergripande cybersäkerheten på den inre marknaden. Forskningsorganisationer bör anses inbegripa entiteter som riktar in större delen av sin verksamhet på tillämpad forskning eller experimentell utveckling i den mening som avses i ”Frascatimanualen 2015: Riktlinjer för insamling och rapportering av uppgifter om forskning och experimentell utveckling” från Organisationen för ekonomiskt samarbete och utveckling, i syfte att utnyttja sina resultat i kommersiella syften, såsom tillverkning eller utveckling av en produkt eller process, tillhandahållande av en tjänst, eller marknadsföring därav.

(37)

De växande ömsesidiga beroendeförhållandena är resultatet av ett allt mer gränsöverskridande nätverk av tillhandahållande av tjänster, med ett inbördes beroende, som använder central infrastruktur över hela unionen inom sektorer såsom energi, transport, digital infrastruktur, dricks- och avloppsvatten, hälso- och sjukvård, vissa aspekter av offentlig förvaltning, samt rymden i den mån tillhandahållandet av vissa tjänster som är beroende av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter berörs; därför omfattas inte infrastruktur som ägs, förvaltas eller drivs av unionen eller på unionens vägnar som en del av dess rymdprogram. Dessa beroendeförhållanden innebär att alla störningar, även sådana som inledningsvis är begränsade till en entitet eller sektor, kan få dominoeffekter i vidare bemärkelse, vilket kan leda till långtgående och långvariga effekter på tillhandahållandet av tjänster på hela den inre marknaden. De intensifierade cyberattackerna under covid-19-pandemin har visat sårbarheten hos alltmer av varandra beroende samhällena är för risker med låg sannolikhet.

(38)

Mot bakgrund av skillnaderna i nationella förvaltningsstrukturer, och för att skydda befintliga sektorsspecifika arrangemang eller unionens tillsyns- och regleringsorgan, bör medlemsstaterna kunna utse eller inrätta en eller flera behöriga myndigheter med ansvar för cybersäkerhet och för tillsynsuppgifterna enligt detta direktiv.

(39)

För att underlätta gränsöverskridande samarbete och kommunikation mellan myndigheter och för att göra det möjligt att genomföra detta direktiv på ett effektivt sätt måste varje medlemsstat utse en gemensam kontaktpunkt med ansvar för samordningen av frågor angående säkerhet i nätverks- och informationssystem och gränsöverskridande samarbete på unionsnivå.

(40)

De gemensamma kontaktpunkterna bör säkerställa effektivt gränsöverskridande samarbete med relevanta myndigheter i en annan medlemsstat och, när det är lämpligt, med kommissionen och Enisa. De gemensamma kontaktpunkterna bör därför ges i uppgift att vidarebefordra underrättelser om betydande incidenter med gränsöverskridande verkningar till de gemensamma kontaktpunkterna i andra berörda medlemsstater på begäran av CSIRT-enheten eller den behöriga myndigheten. På nationell nivå bör de gemensamma kontaktpunkterna möjliggöra smidigt sektorsövergripande samarbete med andra behöriga myndigheter. De gemensamma kontaktpunkterna kan också vara mottagare av relevant information om incidenter rörande finansiella entiteter från de behöriga myndigheterna enligt förordning (EU) 2022/2554, som de bör kunna vidarebefordra till CSIRT-enheterna eller de behöriga myndigheterna enligt detta direktiv, beroende på vad som är lämpligt.

(41)

Medlemsstaterna bör ha både den tekniska och organisatoriska kapacitet som krävs för att förebygga, upptäcka, vidta åtgärder mot och begränsa incidenter och risker. Medlemsstaterna bör därför inrätta eller utse en eller flera CSIRT-enheter enligt detta direktiv och säkerställa att de har tillräckligt med resurser och teknisk kapacitet. CSIRT-enheterna bör uppfylla kraven enligt detta direktiv i syfte att garantera effektiv och kompatibel kapacitet att hantera incidenter och risker och säkerställa ett effektivt samarbete på unionsnivå. Medlemsstaterna bör kunna utse befintliga incidenthanteringsorganisationer (Cert) till CSIRT-enheter. För att stärka förtroendeförhållandet mellan entiteterna och CSIRT-enheterna bör medlemsstaterna, när en CSIRT-enhet är en del av de behörig myndighet, kunna överväga funktionell åtskillnad mellan de operativa uppgifter som utförs av CSIRT-enheterna, särskilt när det gäller informationsutbyte och bistånd till entiteterna, och de behöriga myndigheternas tillsynsverksamhet.

(42)

CSIRT-enheterna ansvarar för incidenthantering. Detta omfattar behandling av stora mängder ibland känsliga uppgifter. Medlemsstaterna bör säkerställa att CSIRT-enheterna har en infrastruktur för utbyte och behandling av information, samt väl rustad personal, som säkerställer verksamhetens konfidentialitet och trovärdighet. CSIRT-enheterna kan även anta uppförandekoder i detta avseende.

(43)

Vad gäller personuppgifter bör CSIRT-enheterna, i enlighet med förordning (EU) 2016/679, på begäran av en väsentlig eller viktig entitet tillhandahålla en proaktiv skanning av de nätverks- och informationssystem som används för att tillhandahålla entitetens tjänster. När det är tillämpligt bör medlemsstaterna sträva efter att säkerställa en lika hög nivå av teknisk kapacitet hos alla sektorsspecifika CSIRT-enheter. Medlemsstaterna bör kunna begära Enisas bistånd vid inrättandet av sina CSIRT-enheter.

(44)

CSIRT-enheter bör ha förmåga att, på en väsentlig eller viktig entitets begäran, övervaka entitetens internettillvända tillgångar, både inom och utanför lokalerna, för att identifiera, förstå och hantera entitetens övergripande organisatoriska risker med avseende på nyligen identifierade kompromisser i leveranskedjan eller kritiska sårbarheter. Entiteten bör uppmuntras att meddela CSIRT-enheten om den har ett privilegierat hanteringsgränssnitt, då detta kan påverka hur snabbt begränsningsåtgärder kan vidtas.

(45)

Med tanke på vikten av internationellt samarbete på området cybersäkerhet bör CSIRT-enheterna kunna delta i internationella samarbetsnätverk utöver det CSIRT-nätverk som inrättas genom detta direktiv. För att utföra sina uppgifter bör CSIRT-enheterna och de behöriga myndigheterna därför kunna utbyta information, inklusive personuppgifter, med de nationella enheterna för hantering av it-säkerhetsincidenter eller behöriga myndigheter i tredjeländer, förutsatt att villkoren i unionens dataskyddslagstiftning för överföring av personuppgifter till tredjeländer är uppfyllda, bland annat villkoren i artikel 49 i förordning (EU) 2016/679.

(46)

Det är angeläget att säkerställa tillräckliga resurser för att uppnå målen för detta direktiv och göra det möjligt för de behöriga myndigheterna och CSIRT-enheterna att utföra de uppgifter som fastställs i detta direktiv. Medlemsstaterna kan på nationell nivå införa en finansieringsmekanism för att täcka de nödvändiga utgifterna i samband med att offentliga entiteter med ansvar för cybersäkerheten i medlemsstaterna utför sina uppgifter i enlighet med detta direktiv. En sådan mekanism bör vara förenlig med unionsrätten samt proportionell och icke-diskriminerande och bör beakta olika tillvägagångssätt för att tillhandahålla säkra tjänster.

(47)

CSIRT-nätverket bör fortsätta att bidra till att stärka förtroendet och tilliten och främja snabbt och effektivt operativt samarbete mellan medlemsstaterna. För att stärka det operativa samarbetet på unionsnivå bör CSIRT-nätverket överväga att bjuda in unionsorgan och -byråer som arbetar med frågor som rör cybersäkerhetspolitiken, såsom Europol, att delta i dess arbete.

(48)

För att uppnå och behålla en hög cybersäkerhetsnivå bör de nationella strategier för cybersäkerhet som krävs enligt detta direktiv bestå av enhetliga ramar med strategiska mål och prioriteringar på cybersäkerhetsområdet samt en styrningsram för att uppnå dem. Dessa strategier kan bestå av ett eller flera instrument av lagstiftningskaraktär eller annan karaktär.

(49)

Riktlinjer för cyberhygien utgör grunden för att skydda nätverks- och informationssystemens infrastruktur, maskinvara, programvara och säkerhet för onlinetillämpningar samt affärs- eller slutanvändardata som entiteter förlitar sig på. Riktlinjer för cyberhygien som omfattar en gemensam grundläggande uppsättning rutiner, bland annat uppdateringar av programvara och maskinvara, byte av lösenord, hantering av nya installationer, begränsning av användarkonton på administratörsnivå och säkerhetskopiering av data, möjliggör en proaktiv ram för beredskap samt övergripande säkerhet och trygghet i händelse av incidenter eller cyberhot. Enisa bör övervaka och analysera medlemsstaternas riktlinjer för cyberhygien.

(50)

Medvetenhet om cybersäkerhet och cyberhygien är av väsentlig betydelse för att stärka cybersäkerheten inom unionen, särskilt mot bakgrund av det ökande antalet uppkopplade enheter som i tilltagande grad används vid cyberattacker. Ansträngningar bör göras för att öka den allmänna medvetenheten om risker kopplade till sådana enheter, samtidigt som bedömningar på unionsnivå kan bidra till att säkerställa samsyn i fråga om sådana risker på den inre marknaden.

(51)

Medlemsstaterna bör uppmuntra användningen av all innovativ teknik, däribland artificiell intelligens, som kan förbättra upptäckten och förebyggandet av cyberattacker och göra det möjligt att styra över resurser till cyberattacker på ett effektivare sätt. Medlemsstaterna bör därför i sin nationella strategi för cybersäkerhet uppmuntra forsknings- och utvecklingsverksamhet för att underlätta användningen av sådan teknik, särskilt sådan som avser automatiserade eller halvautomatiserade cybersäkerhetsverktyg, och i förekommande fall utbyte av data som behövs för att utbilda användarna av sådan teknik och förbättra den. Användningen av innovativ teknik, däribland artificiell intelligens, bör vara förenlig med unionens dataskyddslagstiftning, däribland dataskyddsprinciperna om uppgifternas korrekthet, uppgiftsminimering, rättvisa och transparens samt datasäkerhet, såsom avancerad krypteringsteknik. Kraven på inbyggt dataskydd och dataskydd som standard enligt förordning (EU) 2016/679 bör utnyttjas till fullo.

(52)

Cybersäkerhetsverktyg och applikationer med öppen källkod kan bidra till en högre grad av öppenhet och inverka positivt på effektiviteten i industriell innovation. Öppna standarder främjar interoperabilitet mellan säkerhetsverktyg, vilket gynnar säkerheten för berörda parter inom industrin. Cybersäkerhetsverktyg och applikationer med öppen källkod kan dra nytta av utvecklargemenskapen i stort och möjliggöra diversifiering av leverantörer. Öppen källkod kan leda till en mer transparent verifieringsprocess för cybersäkerhetsrelaterade verktyg och till en gemenskapsdriven process för att upptäcka sårbarheter. Medlemsstaterna bör därför kunna främja användningen av programvara med öppen källkod och öppna standarder genom att tillämpa riktlinjer för användning av öppna data och öppen källkod som ett led i säkerhet genom transparens. Riktlinjer som främjar införande och hållbar användning av cybersäkerhetsverktyg med öppen källkod är särskilt viktig för små och medelstora företag som har stora genomförandekostnader som kan minimeras om behovet av specifika applikationer eller verktyg minskades.

(53)

Allmännyttiga tjänster är alltmer uppkopplade mot digitala nätverk i städer i syfte att förbättra städernas transportnät, uppgradera anläggningar för vattenförsörjning och avfallshantering och effektivisera belysning och uppvärmning i byggnader. Dessa digitaliserade allmännyttiga tjänster är sårbara för cyberattacker och riskerar i händelse av en lyckad cyberattack att vålla medborgarna omfattande skada på grund av att de är sammankopplade. Medlemsstaterna bör, som ett led i sin nationella strategi för cybersäkerhet, ta fram riktlinjer som hanterar utvecklingen av sådana sammankopplade eller smarta städer, och deras potentiella inverkan på samhället.

(54)

På senare år har unionen upplevt en exponentiell ökning av attacker genom utpressningsprogram där sabotageprogram krypterar data och system och kräver en lösensumma för att låsa upp dem. Att attacker genom utpressningsprogram blir vanligare och allvarligare kan bero på flera faktorer, såsom olika attackmönster, kriminella affärsmodeller som kretsar kring ”utpressningsprogram som service” och kryptovalutor, krav på lösensumma och ökat antal attacker i leveranskedjan. Medlemsstaterna bör ta fram riktlinjer för att hantera det ökande antalet utpressningsattacker som ett led i sin nationella strategi för cybersäkerhet.

(55)

Offentlig-privata partnerskap inom cybersäkerhet kan utgöra en lämplig ram för kunskapsutbyte, utbyte av bästa praxis och utveckling av samsyn bland berörda parter. Medlemsstaterna bör främja riktlinjer som stöder inrättande av cybersäkerhetsspecifika offentlig-privata partnerskap. Sådana riktlinjer bör bland annat klargöra tillämpningsområdet och de berörda aktörerna, styrningsmodellen, de tillgängliga finansieringsalternativen och samspelet mellan deltagande aktörer i samband med offentlig-privata partnerskap. Offentlig-privata partnerskap kan dra nytta av expertisen hos privata entiteter för att bistå behöriga myndigheter vid utvecklingen av avancerade tjänster och processer med informationsutbyte, tidiga varningar, cyberhots- och incidentövningar, krishantering och resiliensplanering.

(56)

Medlemsstaterna bör i sina nationella strategier för cybersäkerhet ta itu med små och medelstora företags särskilda cybersäkerhetsbehov. Små och medelstora företag står, i hela unionen, för en stor andel av industri- och affärsmarknaden och har ofta svårt att anpassa sig till nya affärsmetoder i en mer uppkopplad värld, och till den digitala miljön, med anställda som arbetar hemifrån och en verksamhet som i allt högre grad bedrivs online. Vissa små och medelstora företag upplever särskilda cybersäkerhetsutmaningar, såsom låg cybermedvetenhet, bristande it-säkerhet på distans, höga kostnader för cybersäkerhetslösningar och en förhöjd hotnivå, t.ex. genom utpressningsprogram, och bör för detta få vägledning och bistånd. Små och medelstora företag blir i allt högre grad måltavlor för attacker i leveranskedjan på grund av att de har mindre strikta åtgärder för hantering av cybersäkerhetsrisker och attacker och på grund av det faktum att de har begränsade säkerhetsresurser. Sådana attacker i leveranskedjan påverkar inte bara små och medelstora företag och deras verksamhet isolerat utan kan också få en dominoeffekt i fråga om större attacker mot entiteter som de levererat till. Medlemsstaterna bör genom sina nationella strategier för cybersäkerhet hjälpa små och medelstora företag att ta itu med utmaningarna i sina leveranskedjor. Medlemsstaterna bör ha en kontaktpunkt för små och medelstora företag på nationell eller regional nivå som antingen ger vägledning och bistånd till små och medelstora företag eller hänvisar dem till lämpliga organ för vägledning och bistånd i cybersäkerhetsrelaterade frågor. Medlemsstaterna uppmanas även att erbjuda tjänster såsom konfiguration av webbplatser och möjliggörande av loggning för mikroföretag och små företag som saknar sådan kapacitet.

(57)

Inom ramen för sina nationella strategier för cybersäkerhet bör medlemsstaterna anta riktlinjer för främjande av ett aktivt cyberskydd som ett led i en vidare försvarsstrategi. I stället för reaktiva insatser innebär ett aktivt cyberskydd förebyggande, upptäckt, övervakning, analys och begränsning av överträdelser av nätverkssäkerheten, i kombination med användning av kapacitet som satts in inom och utanför det angripna nätverket. Detta kan bland annat innebära att medlemsstaterna erbjuder vissa entiteter kostnadsfria tjänster eller verktyg, t.ex. självbetjäningskontroller, upptäcktsverktyg och borttagningstjänster. Förmågan att snabbt och automatiskt utbyta och förstå information om och analyser av hot, varningar om cyberverksamhet samt motåtgärder är avgörande för att med förenade ansträngningar lyckas förebygga, upptäcka, hantera och blockera attacker mot nätverks- och informationssystem. Ett aktivt cyberskydd bygger på en defensiv strategi som utesluter offensiva åtgärder.

(58)

Eftersom utnyttjandet av sårbarheter i nätverks- och informationssystem kan orsaka betydande störningar och skada, är snabb identifiering och snabbt åtgärdande av sådana sårbarheter en viktig faktor för att minska risken. Entiteter som utvecklar eller administrerar nätverks- och informationssystem bör därför inrätta lämpliga förfaranden för att hantera sårbarheter när de upptäcks. Eftersom sårbarheter ofta upptäcks och meddelas av tredjeparter, bör tillverkaren eller leverantören av IKT-produkter eller IKT-tjänster även införa nödvändiga förfaranden för att motta sårbarhetsinformation från tredjeparter. I detta avseende ger de internationella standarderna ISO/IEC 30111 och ISO/IEC 29147 vägledning om sårbarhetshantering och om delgivning av information om sårbarheter. En stärkt samordning mellan rapporterande fysiska och juridiska personer och tillverkare eller leverantörer av IKT-produkter eller IKT-tjänster är särskilt viktig för att underlätta den frivilliga ramen för delgivning av information om sårbarheter. Samordnad delgivning av information om sårbarheter specificerar en strukturerad process genom vilken sårbarheter rapporteras till tillverkaren eller leverantören av de potentiellt sårbara IKT-produkterna eller IKT-tjänsterna på ett sätt som gör det möjligt för denne att diagnostisera och åtgärda sårbarheten innan detaljerad information om sårbarheten meddelas tredjeparter eller allmänheten. Samordnad delgivning av information om sårbarheter bör även inbegripa samordning mellan den rapporterande fysiska eller juridiska personen och tillverkaren eller leverantören av de potentiellt sårbara IKT-produkterna eller IKT-tjänsterna vad gäller tidpunkten för åtgärdandet och offentliggörandet av sårbarheter.

(59)

Kommissionen, Enisa och medlemsstaterna bör fortsätta att främja anpassningar till internationella standarder och befintlig bästa branschpraxis inom hantering av cybersäkerhetrisker, exempelvis inom säkerhetsbedömningar i leveranskedjan, informationsutbyte och delgivning av information om sårbarheter.

(60)

Medlemsstaterna bör, i samarbete med Enisa, vidta åtgärder för att underlätta samordnad delgivning av information om sårbarheter genom att fastställa en relevant nationell policy. Som ett led i den nationella policyn bör medlemsstaterna sträva efter att i största möjliga utsträckning ta itu med de utmaningar som sårbarhetsforskare ställs inför, inbegripet deras potentiella utsatthet för straffrättsligt ansvar, i enlighet med nationell rätt. Med tanke på att fysiska och juridiska personer som forskar om sårbarheter kan riskera straff- och civilrättsligt ansvar i vissa medlemsstater uppmuntras medlemsstaterna att anta riktlinjer för icke-lagföring av forskare i informationssäkerhet och befrielse från civilrättsligt ansvar för deras verksamhet.

(61)

Medlemsstaterna bör utse en av sina CSIRT-enheter till samordnare, som bör fungera som betrodd mellanhand mellan rapporterande fysiska eller juridiska personer och tillverkare eller leverantörer av IKT-produkter eller IKT-tjänster som sannolikt kommer att påverkas av sårbarheten, när detta är nödvändigt. Den CSIRT-enhet som utsetts till samordnare bör bland annat ha i uppgift att identifiera och kontakta de berörda entiteterna, bistå de fysiska eller juridiska personer som rapporterar en sårbarhet, förhandla om tidsfrister för delgivning av information och hantera sårbarheter som påverkar flera entiteter (samordnad delgivning av information om sårbarheter omfattande flera parter). Om den rapporterade sårbarheten kan ha en betydande påverkan på entiteter i fler än en medlemsstat bör de CSIRT-enheter som utsetts till samordnare samarbeta inom CSIRT-nätverket när så är lämpligt.

(62)

Tillträde till korrekt information i lämplig tid om sårbarheter som påverkar IKT-produkter och IKT-tjänster bidrar till en förbättrad riskhantering på cybersäkerhetsområdet. Källor till offentligt tillgänglig information om sårbarheter är ett viktigt verktyg för entiteterna och användarna av deras tjänster, men även för behöriga myndigheter och CSIRT-enheter. Av denna anledning bör Enisa upprätta en europeisk sårbarhetsdatabas där entiteter, oberoende av om de omfattas av tillämpningsområdet för detta direktiv, och deras leverantörer av nätverks- och informationssystem, samt de behöriga myndigheterna och CSIRT-enheterna på frivillig basis kan meddela information om och registrera allmänt kända sårbarheter för att möjliggöra för användarna att vidta lämpliga riskreducerande åtgärder. Syftet med databasen är att hantera de unika utmaningar som risker innebär för entiteter i unionen. Vidare bör Enisa inrätta ett lämpligt förfarande för offentliggörandet för att ge entiteterna tid att vidta riskreducerande åtgärder när det gäller deras sårbarheter och använda avancerade riskhanteringsåtgärder på cybersäkerhetsområdet samt maskinläsbara dataset och motsvarande gränssnitt. För att uppmuntra en kultur där information lämnas om sårbarheter bör informationslämnande inte få negativa effekter för den rapporterande fysiska eller juridiska personen.

(63)

Även om liknande sårbarhetsregister eller -databaser finns, förvaltas och underhålls de av entiteter som inte är etablerade i unionen. En europeisk sårbarhetsdatabas som underhålls av Enisa skulle ge förbättrad insyn i processen för offentliggörande innan sårbarheten meddelas offentligt samt motståndskraft i händelse av en störning eller ett avbrott i tillhandahållandet av liknande tjänster. För att i möjligaste mån undvika dubbelarbete och eftersträva komplementaritet bör Enisa undersöka möjligheten att ingå avtal om strukturerat samarbete med liknande register eller databaser som omfattas av ett tredjelands jurisdiktion. Enisa bör särskilt undersöka möjligheten till ett nära samarbete med operatörerna av systemet för gemensamma sårbarheter och exponeringar (Common Vulnerabilities and Exposures – CVE).

(64)

Samarbetsgruppen bör stödja och underlätta strategiskt samarbete och informationsutbyte samt stärka förtroendet och tilliten mellan medlemsstaterna. Samarbetsgruppen bör upprätta ett arbetsprogram vartannat år. Arbetsprogrammet bör omfatta de åtgärder som samarbetsgruppen ska vidta för att genomföra sina mål och uppgifter. Tidsramen för att inrätta det första arbetsprogrammet enligt detta direktiv bör anpassas till tidsramen för det senaste arbetsprogram som inrättats enligt direktiv (EU) 2016/1148 i syfte att undvika potentiella avbrott i samarbetsgruppens arbete.

(65)

Vid utarbetandet av vägledningsdokument bör samarbetsgruppen konsekvent kartlägga nationella lösningar och erfarenheter, bedöma hur samarbetsgruppens resultat påverkar nationella strategier, diskutera utmaningar i samband med genomförandet och formulera särskilda rekommendationer, särskilt om hur ett samordnat införlivande av direktivet kan underlättas bland medlemsstaterna, som bör beaktas genom ett bättre genomförande av befintliga bestämmelser. Samarbetsgruppen skulle även kunna kartlägga de nationella lösningarna för att främja kompatibiliteten mellan de cybersäkerhetslösningar som tillämpas inom varje specifik sektor i unionen. Detta är särskilt relevant för sektorer av internationell eller gränsöverskridande karaktär.

(66)

Samarbetsgruppen bör förbli ett flexibelt forum och kunna reagera på föränderliga och nya politiska prioriteringar och utmaningar samtidigt som tillgången till resurser beaktas. Den kan anordna regelbundna gemensamma möten med relevanta privata intressenter från hela unionen för att diskutera samarbetsgruppens verksamhet och inhämta uppgifter och synpunkter avseende framväxande politiska frågor. Dessutom bör samarbetsgruppen göra en regelbunden bedömning av läget när det gäller cyberhot eller incidenter, såsom utpressningsprogram. För att stärka samarbetet på unionsnivå bör samarbetsgruppen överväga att bjuda in relevanta unionsinstitutioner, -organ, -kontor och -byråer som arbetar med frågor som rör cybersäkerhetspolitiken, såsom Europaparlamentet, Europol, Europeiska dataskyddsstyrelsen, Europeiska unionens byrå för luftfartssäkerhet, som inrättats genom förordning (EU) 2018/1139, och Europeiska unionens rymdprogrambyrå, som inrättats genom Europaparlamentets och rådets förordning (EU) 2021/696 (14), att delta i dess arbete.

(67)

De behöriga myndigheterna och CSIRT-enheterna bör kunna delta i utbytesprogram för tjänstemän från andra medlemsstater inom en särskild ram och, i tillämpliga fall, efter det erforderliga säkerhetsgodkännandet för tjänstemän som deltar i sådana utbytesprogram, i syfte att förbättra samarbetet och stärka tilliten mellan medlemsstaterna. De behöriga myndigheterna bör vidta nödvändiga åtgärder för att tjänstemän från andra medlemsstater ska kunna spela en faktisk roll i verksamheten inom den behöriga värdmyndigheten eller CSIRT-värdenheten.

(68)

Medlemsstaterna bör bidra till inrättandet av en EU-ram för hantering av cyberkriser enligt kommissionens rekommendation (EU) 2017/1584 (15) genom de befintliga samarbetsnätverken, särskilt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), CSIRT-nätverket och samarbetsgruppen. EU- CyCLONe och CSIRT-nätverket bör samarbeta på grundval av förfaranden som specificerar detaljerna för detta samarbete och undvika dubbelarbete. Arbetsordningen för EU-CyCLONe bör ytterligare specificera de arrangemang enligt vilka det nätverket ska fungera, däribland nätverkets roller, samarbetsformer, samverkan med andra relevanta aktörer och mallar för informationsutbyte, samt kommunikationsmedel. För krishantering på unionsnivå bör berörda parter stödja sig på EU-arrangemangen för integrerad politisk krishantering enligt rådets genomförandebeslut (EU) 2018/1993 (16) (IPCR-arrangemang). Kommissionen bör använda Argus-förfarandet för gränsöverskridande krissamordning på hög nivå för detta ändamål. Om krisen har en yttre dimension eller en dimension som rör den gemensamma säkerhets- och försvarspolitiken (GSFP) och denna dimension är betydande, bör Europeiska utrikestjänstens krishanteringsmekanism aktiveras.

(69)

I enlighet med bilagan till rekommendation (EU) 2017/1584 bör en storskalig incident anses vara en cybersäkerhetsincident som orsakar störningar som är så omfattande att en medlemsstat inte kan hantera dem eller som har en betydande påverkan på minst två medlemsstater. Beroende på orsak och verkan kan storskaliga cybersäkerhetsincidenter eskalera och förvandlas till fullt utvecklade kriser som hindrar den inre marknaden från att fungera korrekt eller som allvarligt hotar den allmänna tryggheten och säkerheten för entiteter eller medborgare i flera medlemsstater eller i unionen som helhet. Med beaktande av sådana incidenters stora omfattning och, i de flesta fall, gränsöverskridande karaktär, bör medlemsstater och relevanta unionsinstitutioner, -organ, -kontor och -byråer samarbeta på teknisk, operativ och politisk nivå i syfte att på lämpligt sätt samordna insatserna i hela unionen.

(70)

Storskaliga cybersäkerhetsincidenter och kriser på unionsnivå kräver samordnade åtgärder för att säkerställa snabba och effektiva insatser på grund av den höga graden av ömsesidigt beroende mellan sektorer och medlemsstater. Tillgången till cyberresilienta nätverks- och informationssystem och uppgifternas tillgänglighet, konfidentialitet och riktighet är av vital betydelse för unionens säkerhet och skyddet av dess medborgare, företag och institutioner mot incidenter och cyberhot och för att stärka människors och organisationers tilltro till unionens förmåga att främja och skydda en global, öppen, fri, stabil och säker cyberrymd som bygger på mänskliga rättigheter, grundläggande friheter, demokrati och rättsstatliga principer.

(71)

EU-CyCLONe bör fungera som mellanhand mellan den tekniska och politiska nivån under storskaliga cybersäkerhetsincidenter och kriser och bör stärka samarbetet på operativ nivå och stödja beslutsfattandet på politisk nivå. I samarbete med kommissionen, och med beaktande av kommissionens behörighet inom krishantering, bör EU-CyCLONe ta fasta på CSIRT-nätverkets slutsatser och använda sin egen kapacitet för att göra en konsekvensanalys av storskaliga cybersäkerhetsincidenter och kriser.

(72)

Cyberattacker är av en gränsöverskridande natur, och en betydande incident kan störa och skada kritisk informationsinfrastruktur som en välfungerande inre marknad är beroende av. Rekommendation (EU) 2017/1584 tar upp alla relevanta aktörers roller. Vidare är kommissionen inom ramen för unionens civilskyddsmekanism, som inrättats genom Europaparlamentets och rådets beslut nr 1313/2013/EU (17), ansvarig för allmänna beredskapsåtgärder, bland annat för att förvalta centrumet för samordning av katastrofberedskap och det gemensamma kommunikations- och informationssystemet för olyckor, upprätthålla och vidareutveckla situationsmedvetenhet och analyskapacitet samt upprätta och förvalta kapacitet att mobilisera och sända ut expertgrupper vid förfrågan om bistånd från en medlemsstat eller ett tredjeland. Kommissionen är även ansvarig för tillhandahållande av analytiska rapporter inför IPCR-arrangemang enligt genomförandebeslut (EU) 2018/1993, bland annat med avseende på situationsmedvetenhet och beredskap på cybersäkerhetsområdet, samt för situationsmedvetenhet och krishantering på områdena jordbruk, ogynnsamma väderförhållanden, kartläggning av och prognoser för konflikter, system för tidig varning vid naturkatastrofer, hälsokriser, övervakning av infektionssjukdomar, växtskydd, kemiska incidenter, livsmedels- och fodersäkerhet, djurhälsa, migration, tull, nukleära och radiologiska nödsituationer och energi.

(73)

Unionen kan när det är lämpligt ingå internationella avtal, i enlighet med artikel 218 i EUF-fördraget, med tredjeländer eller internationella organisationer och därvid tillåta och organisera deras deltagande i särskild verksamhet inom samarbetsgruppen, CSIRT-nätverket och EU-CyCLONe. Sådana avtal bör säkerställa unionens intressen och ändamålsenligt skydd av uppgifter. Detta bör inte utesluta medlemsstaternas rätt att samarbeta med tredjeländer om hantering av sårbarheter och riskhantering på cybersäkerhetsområdet och därvid underlätta rapportering och allmänt informationsutbyte i enlighet med unionsrätten.

(74)

För att underlätta ett effektivt genomförande av detta direktiv i fråga om bland annat hantering av sårbarheter, riskhanteringsåtgärder för cybersäkerhet, rapporteringsskyldigheter och arrangemang för informationsutbyte om cybersäkerhet kan medlemsstaterna samarbeta med tredjeländer och bedriva verksamhet som anses lämplig för detta ändamål, bland annat informationsutbyte om cyberhot, incidenter, sårbarheter, verktyg, metoder, taktik, tekniker och förfaranden, beredskap och övningar för cybersäkerhetskrishantering, utbildning, förtroendeskapande åtgärder och arrangemang för ett strukturerat informationsutbyte.

(75)

Sakkunnigbedömningar bör införas i syfte att dra lärdom av delade erfarenheter, stärka det ömsesidiga förtroendet och uppnå en hög gemensam cybersäkerhetsnivå. Sakkunnigbedömningarna kan leda till värdefulla insikter och rekommendationer som kan stärka den övergripande cybersäkerhetskapaciteten, skapa ytterligare en funktionell väg för utbyte av bästa praxis mellan medlemsstater och bidra till att förbättra medlemsstaternas mognadsnivå inom cybersäkerhet. Vidare bör sakkunnigbedömningarna beakta resultaten av liknande mekanismer, såsom systemet för sakkunnigbedömning inom ramen för CSIRT-nätverket, samt tillföra mervärde och undvika dubbelarbete. Genomförandet av sakkunnigbedömningarna bör inte påverka tillämpningen av unionsrätt eller nationell rätt om skydd av konfidentiella eller säkerhetsskyddsklassificerade uppgifter.

(76)

Samarbetsgruppen bör fastställa en självbedömningsmetod för medlemsstaterna för att täcka in faktorer såsom genomförandenivån för riskhanteringsåtgärderna för cybersäkerhet och rapporteringsskyldigheterna, kapacitetsnivån och effektiviteten i utförandet av de behöriga myndigheternas uppgifter, CSIRT-enheternas operativa kapacitet, genomförandenivån för det ömsesidiga biståndet, genomförandenivån för arrangemangen för informationsutbyte om cybersäkerhet eller särskilda frågor av gränsöverskridande eller sektorsövergripande karaktär. Medlemsstaterna bör uppmuntras att regelbundet genomföra självbedömningar och att presentera och diskutera resultaten av sina självbedömningar i samarbetsgruppen.

(77)

Ansvaret för att säkerställa säkerheten i nätverks- och informationssystemen vilar i hög grad på väsentliga och viktiga entiteter. En riskhanteringskultur som inbegriper riskbedömningar och genomförande av riskhanteringsåtgärder för cybersäkerhet som är anpassade till riskerna bör främjas och utvecklas.

(78)

Riskhanteringsåtgärder för cybersäkerhet bör ta hänsyn till i vilken grad den väsentliga eller viktiga entiteten är beroende av nätverks- och informationssystem och omfatta åtgärder för att identifiera eventuella incidentrisker, för att förebygga, upptäcka, hantera och återhämta sig från incidenter och för att begränsa deras inverkan. Säkerheten i nätverks- och informationssystem bör omfatta lagrade, överförda och behandlade uppgifters säkerhet. Riskhanteringsåtgärder för cybersäkerhet bör föreskriva systemanalys, med beaktande av den mänskliga faktorn, för att få en fullständig bild av nätverks- och informationssystemets säkerhet.

(79)

Eftersom hot mot säkerheten i nätverks- och informationssystem kan ha olika ursprung bör riskhanteringsåtgärder för cybersäkerhet bygga på en allriskansats som syftar till att skydda nätverks- och informationssystem och dessa systems fysiska miljö mot händelser såsom stöld, brand, översvämning, telekommunikations- eller elavbrott eller obehörig fysisk åtkomst till och skada eller störning på en väsentlig eller viktig entitets information och informationsbehandlingsresurser, som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem. Riskhanteringsåtgärderna för cybersäkerhet bör därför också omfatta den fysiska säkerheten och miljösäkerheten i nätverks- och informationssystem genom att inbegripa åtgärder för att skydda sådana system mot systemfel, mänskliga misstag, avsiktligt skadliga handlingar eller naturfenomen i överensstämmelse med europeiska och internationella standarder, såsom de som ingår i ISO/IEC 27000-serien. I detta avseende bör väsentliga och viktiga entiteter som ett led i sina riskhanteringsåtgärder för cybersäkerhet också ägna sig åt personalsäkerhet och inrätta lämpliga strategier för åtkomstkontroll. Dessa åtgärder bör vara förenliga med direktiv (EU) 2022/2557.

(80)

För att påvisa efterlevnaden av riskhanteringsåtgärder för cybersäkerhet, och i frånvaro av lämpliga europeiska ordningar för cybersäkerhetscertifiering som antagits i enlighet med Europaparlamentets och rådets förordning (EU) 2019/881 (18), bör medlemsstaterna efter samråd med samarbetsgruppen och den europeiska gruppen för cybersäkerhetscertifiering främja användningen av relevanta europeiska och internationella standarder bland väsentliga och viktiga entiteter, eller så får de ålägga entiteter att använda certifierade IKT-produkter, IKT-tjänster och IKT-processer.

(81)

För att undvika oproportionella finansiella och administrativa bördor för väsentliga och viktiga entiteter bör riskhanteringsåtgärderna för cybersäkerhet stå i proportion till riskerna för det berörda nätverks- och informationssystemet, med beaktande av teknikens ståndpunkt i fråga om sådana åtgärder, och i förekommande fall relevanta europeiska och internationella standarder, samt kostnaden för deras genomförande.

(82)

Riskhanteringsåtgärder för cybersäkerhet bör stå i proportion till den väsentliga eller viktiga entitetens grad av exponering för risker och samhälleliga och ekonomiska konsekvenser som en incident skulle få. Vid fastställandet av riskhanteringsåtgärder för cybersäkerhet som är anpassade till väsentliga och viktiga entiteter bör vederbörlig hänsyn tas till väsentliga och viktiga entiteters olika riskexponering, t.ex. hur kritisk entiteten är, vilka risker, inklusive samhällsrisker, som den är exponerad för, hur stor entiteten är, hur sannolikt det är med incidenter och hur allvarliga de är, inklusive deras samhälleliga och ekonomiska konsekvenser.

(83)

Väsentliga och viktiga entiteter bör säkerställa säkerheten i de nätverks- och informationssystem som de använder i sin verksamhet. Det rör sig framför allt om privata nätverks- och informationssystem som antingen förvaltas av de väsentliga och viktiga entiteternas interna it-personal eller vilkas säkerhet har lagts ut på entreprenad. De riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter som fastställs i detta direktiv bör tillämpas på de relevanta väsentliga och viktiga entiteterna oavsett om dessa entiteter underhåller sina nätverks- och informationssystem internt eller lägger ut underhållet på entreprenad.

(84)

Med beaktande av deras gränsöverskridande karaktär bör leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster samt tillhandahållare av betrodda tjänster omfattas av en hög nivå av harmonisering på unionsnivå. Genomförandet av riskhanteringsåtgärder för cybersäkerhet vad gäller dessa entiteter bör därför underlättas genom en genomförandeakt.

(85)

Det är särskilt viktigt att hantera risker som härrör från en entitets leveranskedja och dess förhållande till sina leverantörer, såsom leverantörer av datalagrings- och databehandlingstjänster eller leverantörer av hanterade säkerhetstjänster och programredigerare, med tanke på förekomsten av incidenter där entiteter har varit föremål för cyberattacker och där inkräktare med avsikt att vålla skada har kunnat äventyra säkerheten i en entitets nätverks- och informationssystem genom att utnyttja sårbarheter som påverkar tredje parts produkter och tjänster. Väsentliga och viktiga entiteter bör därför bedöma och beakta den övergripande kvaliteten och resiliensen hos produkter och tjänster och de riskhanteringsåtgärder för cybersäkerhet som är inbyggda i dem samt cybersäkerhetspraxis hos sina leverantörer och tjänsteleverantörer, inbegripet deras förfaranden för säker utveckling. Väsentliga och viktiga entiteter bör framför allt uppmuntras att införliva riskhanteringsåtgärder för cybersäkerhet i avtal med sina direkta leverantörer och tjänsteleverantörer. Dessa entiteter kan beakta risker som härrör från leverantörer och tjänsteleverantörer på andra nivåer.

(86)

Bland tjänsteleverantörerna har leverantörer av hanterade säkerhetstjänster på områden som incidenthantering, penetrationstester, säkerhetsrevisioner och konsulttjänster en särskilt viktig roll när det gäller att bistå entiteter i deras arbete med att förebygga, upptäcka, reagera på eller återhämta sig från incidenter. Leverantörer av hanterade säkerhetstjänster har dock också själva varit mål för cyberattacker, och eftersom de är nära integrerade i entiteternas verksamhet utgör de en särskild risk. Väsentliga och viktiga entiteter bör därför visa större noggrannhet vid valet av en leverantör av hanterade säkerhetstjänster.

(87)

De behöriga myndigheterna kan också inom ramen för sina tillsynsuppgifter dra nytta av cybersäkerhetstjänster såsom säkerhetsrevisioner, penetrationstester eller incidenthantering.

(88)

Väsentliga och viktiga entiteter bör också hantera risker som härrör från deras samverkan och förbindelser med andra intressenter inom ett vidare ekosystem, bland annat med avseende på att motverka industrispionage och skydda företagshemligheter. I synnerhet bör dessa entiteter vidta lämpliga åtgärder för att säkerställa att deras samarbete med akademiska institutioner och forskningsinstitut sker i linje med deras cybersäkerhetstrategier och följer god praxis när det gäller säker tillgång till och spridning av information i allmänhet och skydd av immateriella rättigheter i synnerhet. Likaså bör de väsentliga och viktiga entiteterna, med tanke på hur viktiga och värdefulla data är för deras verksamhet, vidta alla lämpliga riskhanteringsåtgärder för cybersäkerhet när de förlitar sig på dataomvandlings- och dataanalystjänster från tredje parter.

(89)

Väsentliga och viktiga entiteter bör anta ett brett spektrum av grundläggande cyberhygienrutiner, såsom nollförtroende-principer, programuppdateringar, enhetskonfiguration, nätverkssegmentering, identitets- och åtkomsthantering eller användarmedvetenhet, anordna utbildning för sin personal och öka medvetenheten om cyberhot, nätfiske eller sociala manipuleringstekniker. Vidare bör dessa entiteter utvärdera sin egen cybersäkerhetskapacitet och när det är lämpligt fortsätta att integrera teknik för ökad cybersäkerhet, såsom artificiell intelligens eller maskininlärningssystem, för att förbättra sin kapacitet och säkerheten i nätverks- och informationssystemen.

(90)

För att ytterligare hantera centrala risker i leveranskedjan och bistå väsentliga och viktiga entiteter som är verksamma i sektorer som omfattas av detta direktiv att på lämpligt sätt hantera risker i leveranskedjan och leverantörsrelaterade risker bör samarbetsgruppen, i samarbete med kommissionen och Enisa, och när så är lämpligt efter samråd med relevanta intressenter, även från industrin, utföra samordnade säkerhetsriskbedömningar av kritiska leveranskedjor, vilket redan gjorts för 5G-nät efter kommissionens rekommendation (EU) 2019/534 (19), i syfte att per sektor identifiera kritiska IKT-tjänster, IKT-system eller IKT-produkter, relevanta hot och sårbarheter. Sådana samordnade säkerhetsriskbedömningar bör fastställa åtgärder, riskreduceringsplaner och bästa praxis för att motverka kritiska beroenden, potentiella felkritiska systemdelar, hot, sårbarheter och andra risker kopplade till leveranskedjan och bör undersöka olika sätt att ytterligare uppmuntra en bredare användning av dessa från väsentliga och viktiga entiteters sida. Potentiella icke-tekniska riskfaktorer, såsom otillbörlig påverkan från ett tredjeland på leverantörer och tjänsteleverantörer, särskilt i samband med alternativa styrningsmodeller, inbegriper dolda sårbarheter eller bakdörrar och potentiella systemiska leveransstörningar, särskilt i samband med teknikinlåsning eller leverantörsberoende.

(91)

De samordnade säkerhetsriskbedömningarna av kritiska leveranskedjor bör, mot bakgrund av den berörda sektorns särdrag, ta hänsyn till både tekniska och när så är lämpligt icke-tekniska faktorer, inbegripet de som anges i rekommendation (EU) 2019/534, i EU:s samordnade riskbedömning av cybersäkerheten för 5G-nät och i EU:s verktygslåda för 5G-cybersäkerhet som samarbetsgruppen enats om. För att identifiera de leveranskedjor som bör bli föremål för en samordnad säkerhetsriskbedömning bör följande kriterier beaktas: i) i vilken utsträckning väsentliga och viktiga entiteter använder och förlitar sig på specifika kritiska IKT-tjänster, IKT-system eller IKT-produkter, ii) specifika kritiska IKT-tjänsters, IKT-systems eller IKT-produkters relevans för att utföra kritiska eller känsliga funktioner, inbegripet behandling av personuppgifter, iii) tillgången till alternativa IKT-tjänster, IKT-system eller IKT-produkter, iv) motståndskraften i hela leveranskedjan för IKT-tjänster, IKT-system eller IKT-produkter under deras livscykel mot störningar, och v) för framväxande IKT-tjänster, IKT-system eller IKT-produkter, deras potentiella framtida betydelse för entiteternas verksamhet. Vidare bör särskild tonvikt läggas vid IKT-tjänster, IKT-system eller IKT-produkter som omfattas av särskilda krav som härrör från tredjeländer.

(92)

För att rationalisera de skyldigheter som åläggs tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, och tillhandahållare av betrodda tjänster, med anknytning till säkerheten i deras nätverks- och informationssystem, samt för att göra det möjligt för dessa entiteter och de behöriga myndigheterna enligt Europaparlamentets och rådets direktiv (EU) 2018/1972 (20) respektive förordning (EU) nr 910/2014 att dra nytta av den rättsliga ram som inrättas genom detta direktiv, inbegripet utnämning av en CSIRT-enhet med ansvar för risk- och incidenthantering och deltagande av berörda behöriga myndigheter i samarbetsgruppens och CSIRT-nätverkets verksamhet, bör dessa entiteter omfattas av tillämpningsområdet för detta direktiv. De motsvarande bestämmelser som anges i förordning (EU) nr 910/2014 och i direktiv (EU) 2018/1972och som gäller införande av säkerhets- och anmälningskrav för dessa typer av entiteter bör därför utgå. De regler om rapporteringsskyldigheter som fastställs i det här direktivet bör inte påverka tillämpningen av förordning (EU) 2016/679 och direktiv 2002/58/EG.

(93)

De cybersäkerhetsskyldigheter som fastställs i detta direktiv bör anses komplettera de krav som åläggs tillhandahållare av betrodda tjänster enligt förordning (EU) nr 910/2014. Tillhandahållare av betrodda tjänster bör vara skyldiga att vidta alla lämpliga och proportionella åtgärder för att hantera riskerna för sina tjänster, även med avseende på kunder och tredje parter som förlitar sig på dessa tjänster, och att rapportera incidenter enligt detta direktiv. Sådana cybersäkerhets- och rapporteringsskyldigheter bör även avse det fysiska skyddet av de tjänster som tillhandahålls. De krav för kvalificerade tillhandahållare av betrodda tjänster som fastställs i artikel 24 i förordning (EU) nr 910/2014 bör fortsätta att vara tillämpliga.

(94)

Medlemsstaterna kan utse tillsynsorganen enligt förordning (EU) nr 910/2014 till behöriga myndigheter för betrodda tjänster för att säkerställa att nuvarande praxis upprätthålls och för att ta fasta på den kunskap och erfarenhet som förvärvats genom tillämpningen av den förordningen. I detta fall bör de behöriga myndigheterna enligt detta direktiv samarbeta nära och i lämplig tid med dessa tillsynsorgan genom att utbyta relevant information i syfte att säkerställa att tillsynen är effektiv och att tillhandahållare av betrodda tjänster uppfyller kraven i detta direktiv och i förordning (EU) nr 910/2014. I förekommande fall bör CSIRT-enheten eller den behöriga myndigheten enligt detta direktiv omedelbart informera tillsynsorganet enligt förordning (EU) nr 910/2014 om eventuella betydande cyberhot eller incidenter som anmälts och som påverkar betrodda tjänster samt ifall en tillhandahållare av betrodda tjänster bryter mot detta direktiv. Medlemsstaterna kan för rapporteringsändamål i förekommande fall använda den gemensamma kontaktpunkt som inrättats för att uppnå en gemensam och automatisk rapportering av incidenter till både tillsynsorganet enligt förordning (EU) nr 910/2014 och CSIRT-enheten eller den behöriga myndigheten enligt detta direktiv.

(95)

När så är lämpligt och för att undvika onödiga störningar bör befintliga nationella riktlinjer som antagits för att införliva bestämmelserna om säkerhetsåtgärder i artiklarna 40 och 41 i direktiv (EU) 2018/1972 beaktas vid införlivandet av det här direktivet för att ta fasta på den kunskap och kompetens som redan förvärvats inom ramen för direktiv (EU) 2018/1972 avseende säkerhetsåtgärder och incidentunderrättelser. Enisa kan också ta fram vägledning om säkerhetskrav och rapporteringsskyldigheter för tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster för att underlätta harmonisering och övergång och minimera störningar. Medlemsstaterna kan utse de nationella regleringsmyndigheterna till behöriga myndigheter för elektronisk kommunikation enligt direktiv (EU) 2018/1972 för att säkerställa att nuvarande praxis upprätthålls och för att ta fasta på den kunskap och erfarenhet som förvärvats som en följd av genomförandet av det direktivet.

(96)

Mot bakgrund av den ökande betydelsen av nummeroberoende interpersonella kommunikationstjänster enligt definitionen i direktiv (EU) 2018/1972 är det nödvändigt att säkerställa att sådana tjänster också omfattas av lämpliga säkerhetskrav med tanke på deras särskilda karaktär och ekonomiska betydelse. I takt med att attackytan fortsätter att växa blir nummeroberoende interpersonella kommunikationstjänster, såsom meddelandetjänster, utbredda attackvektorer. Inkräktare med uppsåt att vålla skada använder plattformar för att kommunicera och locka offer att öppna komprometterade webbsidor, vilket ökar sannolikheten för incidenter som involverar utnyttjande av personuppgifter och i förlängningen säkerhet i nätverks- och informationssystemen. Tillhandahållare av nummeroberoende interpersonella kommunikationstjänster bör säkerställa en säkerhetsnivå i nätverks- och informationssystemen som är lämplig i förhållande till de föreliggande riskerna. Eftersom tillhandahållare av nummeroberoende interpersonella kommunikationstjänster i allmänhet inte utövar faktisk kontroll över överföringen av signaler via nät kan graden av risk för sådana tjänster i vissa avseenden anses lägre än för traditionella elektroniska kommunikationstjänster. Detsamma gäller för interpersonella kommunikationstjänster enligt definitionen i direktiv (EU) 2018/1972 som använder nummer och som inte utövar faktisk kontroll över signalöverföringen.

(97)

Den inre marknaden är mer beroende av ett fungerande internet än någonsin. Tjänster från nästan alla väsentliga och viktiga entiteter är beroende av tjänster som tillhandahålls via internet. För att säkerställa ett smidigt tillhandahållande av tjänster som levereras av väsentliga och viktiga entiteter är det viktigt att alla tillhandahållare av allmänna elektroniska kommunikationsnät har infört lämpliga riskhanteringsåtgärder för cybersäkerhet och rapporterar betydande incidenter i samband med dessa. Medlemsstaterna bör säkerställa att säkerheten i de allmänna elektroniska kommunikationsnäten upprätthålls och att deras vitala säkerhetsintressen skyddas mot sabotage och spionage. Eftersom internationell konnektivitet förstärker och påskyndar en konkurrenskraftig digitalisering av unionen och dess ekonomi bör incidenter som påverkar undervattenskablar rapporteras till CSIRT-enheten eller i förekommande fall den behöriga myndigheten. Den nationella strategin för cybersäkerhet bör när så är relevant beakta cybersäkerheten för undervattenskablar och inbegripa kartläggning av potentiella cybersäkerhetsrisker och riskreduceringsåtgärder för att säkerställa högsta skyddsnivå för dem.

(98)

För att trygga säkerheten för allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster bör användningen av krypteringsteknik främjas, särskilt totalsträckskryptering samt datacentrerade säkerhetskoncept, såsom kartografi, segmentering, taggning, åtkomstpolicy och åtkomsthantering samt automatiserade beslut om åtkomst. Vid behov bör användningen av kryptering, särskilt totalsträckskryptering, vara obligatorisk för tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster i enlighet med principerna om automatisk och inbyggd säkerhet och automatiskt och inbyggt integritetsskydd vid tillämpningen av detta direktiv. Användningen av totalsträckskryptering bör förenas med medlemsstaternas befogenheter att säkerställa skyddet av sina väsentliga säkerhetsintressen och sin allmänna säkerhet och att möjliggöra förebyggande, utredning, upptäckt och lagföring av brott i enlighet med unionsrätten. Detta bör dock inte försvaga totalsträckskrypteringen, som är en kritisk teknik för ett effektivt dataskydd, integritet och kommunikationssäkerhet.

(99)

I syfte att trygga säkerheten för, och förebygga missbruk och manipulering av, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster bör användningen av säkra dirigeringsstandarder främjas för att säkerställa dirigeringsfunktionernas integritet och robusthet längs hela ekosystemet av internetåtkomstleverantörer.

(100)

I syfte att skydda internets funktion och integritet och främja domännamnssystemets säkerhet och resiliens bör relevanta intressenter, däribland privata unionsentiteter, tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster, särskilt internetåtkomstleverantörer, och leverantörer av sökmotorer uppmuntras att anta en strategi för diversifiering av DNS-uppslagning. Vidare bör medlemsstaterna uppmuntra utvecklingen och användningen av en allmän och säker europeisk DNS-resolvertjänst.

(101)

I detta direktiv fastställs en flerstegsstrategi för rapportering av betydande incidenter för att hitta rätt balans mellan, å ena sidan, snabb rapportering som bidrar till att begränsa den potentiella spridningen av betydande incidenter och gör det möjligt för väsentliga och viktiga entiteter att söka bistånd och, å andra sidan, ingående rapportering som drar värdefulla lärdomar av enskilda incidenter och med tiden förbättrar cyberresiliensen hos enskilda entiteter och hela sektorer. I detta avseende bör detta direktiv omfatta rapportering av incidenter som, baserat på en första bedömning som utförts av den berörda entiteten, kan orsaka allvarliga störningar i tjänsterna eller ekonomiska förluster för den berörda entiteten eller påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada. En sådan inledande bedömning bör bland annat ta hänsyn till de drabbade nätverks- och informationssystemen, särskilt deras betydelse för tillhandahållandet av entitetens tjänster, allvaret i och de tekniska egenskaperna hos cyberhotet och eventuella underliggande sårbarheter som utnyttjas, samt entitetens erfarenhet av liknande incidenter. Indikatorer såsom i vilken utsträckning tjänstens funktion påverkas, hur länge incidenten pågår eller hur många tjänstemottagare som drabbas kan spela en viktig roll när man fastställer om tjänstens driftsstörning är allvarlig.

(102)

Om väsentliga eller viktiga entiteter får kännedom om en betydande incident bör de vara skyldiga att lämna in en tidig varning utan onödigt dröjsmål och under alla omständigheter inom 24 timmar. Denna tidiga varning bör åtföljas av en incidentanmälan. De berörda entiteterna bör lämna in en incidentanmälan utan onödigt dröjsmål och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten, särskilt i syfte att uppdatera den information som lämnats via den tidiga varningen och göra en inledande bedömning av den betydande incidenten, inbegripet dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer. En slutrapport bör lämnas in senast en månad efter incidentunderrättelsen. Den tidiga varningen bör endast innehålla den information som är nödvändig för att göra CSIRT-enheten, eller i förekommande fall den behöriga myndigheten, medveten om den betydande incidenten och ge den berörda entiteten möjlighet att vid behov söka bistånd. Den tidiga varningen bör i tillämpliga fall ange om den betydande incidenten misstänks vara orsakad av olagliga eller avsiktligt skadliga handlingar och om det är troligt att den kommer att få gränsöverskridande verkningar. Medlemsstaterna bör säkerställa att skyldigheten att lämna in den tidiga varningen, eller den efterföljande incidentunderrättelsen, inte avleder den underrättande entitetens resurser från verksamheter i samband med incidenthantering som bör prioriteras, i syfte att förhindra att skyldigheterna att rapportera incidenter antingen avleder resurser från hantering av betydande incidenter eller på annat sätt undergräver entitetens ansträngningar i detta avseende. I händelse av en pågående incident vid den tidpunkt då slutrapporten lämnas in bör medlemsstaterna säkerställa att berörda entiteter tillhandahåller en lägesrapport vid den tidpunkten och en slutrapport inom en månad efter det att de hanterat den betydande incidenten.

(103)

I tillämpliga fall bör väsentliga och viktiga entiteter utan dröjsmål underrätta sina tjänstemottagare om eventuella åtgärder eller avhjälpande arrangemang som dessa kan genomföra för att begränsa de risker som följer av ett betydande cyberhot. När så är lämpligt, och i synnerhet om det är sannolikt att det betydande cyberhotet kommer att förverkligas, bör dessa entiteter även informera sina tjänstemottagare om själva hotet. Kravet på att informera dessa mottagare om betydande cyberhot bör uppfyllas efter bästa förmåga men bör inte befria entiteter från skyldigheten att på egen bekostnad vidta lämpliga och omedelbara åtgärder för att förebygga eller avhjälpa sådana hot och återställa tjänstens normala säkerhetsnivå. Sådan information om betydande cyberhot bör tillhandahållas tjänstemottagarna kostnadsfritt och vara formulerad på ett lättbegripligt sätt.

(104)

Tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster bör tillämpa inbyggd säkerhet och säkerhet som standard och informera sina tjänstemottagare om betydande cyberhot och om åtgärder dessa kan vidta för att skydda säkerheten för sina enheter och sin kommunikation, t.ex. genom att använda särskilda typer av programvara eller krypteringsteknik.

(105)

En proaktiv strategi mot cyberhot är en viktig del av riskhanteringsåtgärderna för cybersäkerhet som bör göra det möjligt för de behöriga myndigheterna att effektivt förhindra att cyberhot blir incidenter som kan vålla betydande materiell eller immateriell skada. Det är därför av avgörande vikt att cyberhot anmäls. I detta syfte uppmuntras entiteter att rapportera cyberhot på frivillig basis.

(106)

För att förenkla rapporteringen av information som krävs enligt detta direktiv och för att minska den administrativa bördan för entiteter bör medlemsstaterna tillhandahålla tekniska hjälpmedel såsom en gemensam kontaktpunkt, automatiserade system, onlineformulär, användarvänliga gränssnitt, mallar och särskilda plattformar för entiteter, oberoende av om de omfattas av tillämpningsområdet för detta direktiv, som de kan använda för att lämna in den relevanta information som ska rapporteras. Unionsfinansiering till stöd för genomförandet av detta direktiv, särskilt inom programmet för ett digitalt Europa, som inrättats genom Europaparlamentets och rådets förordning (EU) 2021/694 (21), kan inkludera stöd till gemensamma kontaktpunkter. Vidare befinner sig entiteter ofta i en situation där en viss incident på grund av sina särdrag måste rapporteras till flera olika myndigheter till följd av underrättelseskyldigheter enligt olika rättsliga instrument. Sådana fall skapar ytterligare administrativa bördor och kan också leda till osäkerhet om format och förfaranden för sådana underrättelser. Om en gemensam kontaktpunkt inrättas, uppmuntras medlemsstaterna även att använda denna gemensamma kontaktpunkt för underrättelser om säkerhetsincidenter enligt annan unionsrätt, såsom förordning (EU) 2016/679 och direktiv 2002/58/EG. Användningen av en sådan gemensam kontaktpunkt för att rapportera säkerhetsincidenter enligt förordning (EU) 2016/679 och direktiv 2002/58/EG bör inte påverka tillämpningen av bestämmelserna i förordning (EU) 2016/679 och direktiv 2002/58/EG, särskilt de som rör den oberoende ställningen för de myndigheter som avses i dessa. Enisa bör i samarbete med samarbetsgruppen utarbeta gemensamma mallar för underrättelser med hjälp av riktlinjer för att förenkla och rationalisera den information som ska rapporteras enligt unionsrätten och minska den administrativa bördan för de underrättande entiteterna.

(107)

Om en incident misstänks ha samband med allvarlig brottslig verksamhet enligt unionsrätt eller nationell rätt, bör medlemsstaterna uppmuntra väsentliga och viktiga entiteter att, på grundval av tillämpliga straffrättsliga bestämmelser i enlighet med unionsrätten, rapportera incidenter som misstänks vara av allvarlig brottslig art till de relevanta rättsvårdande myndigheterna. Där så är lämpligt, och utan att det påverkar de bestämmelser om skydd av personuppgifter som gäller för Europol, är det önskvärt att samordning mellan behöriga myndigheter och rättsvårdande myndigheter i olika medlemsstater underlättas av Europeiska it-brottcentrumet (EC3) och Enisa.

(108)

Säkerheten för personuppgifter undergrävs ofta till följd av incidenter. I detta sammanhang bör de behöriga myndigheterna samarbeta och utbyta information om alla relevanta frågor med de myndigheter som avses i förordning (EU) 2016/679 och direktiv 2002/58/EG.

(109)

Att upprätthålla korrekta och fullständiga databaser med registreringsuppgifter för domännamn (WHOIS-data) och ge laglig åtkomst till sådana uppgifter är avgörande för att säkerställa domännamnssystemets säkerhet, stabilitet och resiliens, vilket i sin tur bidrar till en hög gemensam nivå av cybersäkerhet i hela unionen. För detta specifika ändamål bör registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster vara skyldiga att behandla vissa uppgifter som är nödvändiga för detta. Sådan behandling bör vara en rättslig förpliktelse i den mening som avses i artikel 6.1 c i förordning (EU) 2016/679. Denna förpliktelse bör inte påverka möjligheten att samla in registreringsuppgifter för domännamn för andra ändamål, exempelvis på grundval av avtal eller rättsliga skyldigheter som fastställs i annan unionsrätt eller nationell rätt. Denna förpliktelse syftar till att erhålla en fullständig och korrekt uppsättning registreringsuppgifter och bör inte resultera i att samma uppgifter samlas in flera gånger. Registreringsenheterna för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör samarbeta med varandra för att undvika dubbelarbete.

(110)

Tillgänglighet avseende, och åtkomst i lämplig tid till, domännamnsregistreringsuppgifter för legitima åtkomstsökande är avgörande för att förebygga och bekämpa missbruk av domännamnssystem och för att förebygga, upptäcka och reagera på incidenter. Legitima åtkomstsökande bör tolkas som varje fysisk eller juridisk person som gör en begäran i enlighet med unionsrätten eller nationell rätt. Det kan inbegripa myndigheter som är behöriga enligt detta direktiv och sådana som enligt unionsrätten eller nationell rätt är behöriga i fråga om förebyggande, utredning, upptäckt eller lagföring av brott, samt Cert eller CSIRT-enheter. Registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör vara skyldiga att möjliggöra för legitima åtkomstsökande att få laglig åtkomst till specifika domännamnsregistreringsuppgifter som är nödvändiga för åtkomstbegärans syfte, i enlighet med unionsrätten och nationell rätt. Begäran från legitima åtkomstsökande bör åtföljas av en motivering som gör det möjligt att bedöma nödvändigheten av att få åtkomst till uppgifterna.

(111)

För att säkerställa tillgången till korrekta och fullständiga registreringsuppgifter för domännamn bör registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster samla in registreringsuppgifter för domännamn och garantera deras integritet och tillgänglighet. I synnerhet bör registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster fastställa policyer och förfaranden för insamling och lagring av korrekta och fullständiga registreringsuppgifter för domännamn samt för att förhindra och korrigera felaktiga registreringsuppgifter i enlighet med unionens dataskyddslagstiftning. Dessa policyer och förfaranden bör så långt det är möjligt beakta de standarder som utvecklats av flerpartsförvaltningsstrukturerna på internationell nivå. Registreringsenheterna för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör anta och genomföra proportionella förfaranden för att verifiera registreringsuppgifterna för domännamn. Dessa förfaranden bör spegla bästa branschpraxis och, så långt det är möjligt, de framsteg som gjorts inom elektronisk identifiering. Exempel på verifieringsförfaranden kan vara förhandskontroller som görs i samband med registreringen och efterhandskontroller som görs efter registreringen. Registreringsenheterna för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör, i synnerhet, verifiera minst ett av registrantens kontaktsätt.

(112)

Registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör vara skyldiga att offentliggöra domännamnsregistreringsuppgifter som inte omfattas av unionens dataskyddslagstiftning, till exempel uppgifter som rör juridiska personer, i överensstämmelse med ingressen till förordning (EU) 2016/679. När det gäller juridiska personer bör registreringsenheterna för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster offentliggöra åtminstone registrantens namn och telefonnummer. E-postadressen bör också offentliggöras förutsatt att den inte innehåller några personuppgifter, såsom när det gäller e-postalias eller funktionsbrevlådor. Registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör också möjliggöra för legitima åtkomstsökande att få laglig åtkomst till specifika domännamnsregistreringsuppgifter som rör fysiska personer, i enlighet med unionens dataskyddslagstiftning. Medlemsstaterna bör ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att utan onödigt dröjsmål besvara ansökningar om utlämnande av registreringsuppgifter för domännamn från legitima åtkomstsökande. Registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör fastställa policyer och förfaranden för offentliggörande och utlämnande av registreringsuppgifter, inbegripet servicenivåavtal för att hantera ansökningar om åtkomst från legitima åtkomstsökande. Dessa policyer och förfaranden bör så långt det är möjligt beakta eventuell vägledning och de standarder som utvecklats av flerpartsförvaltningsstrukturerna på internationell nivå. Åtkomstförfarandet kan också omfatta användning av ett gränssnitt, en portal eller annat tekniskt verktyg som ett effektivt system för att begära och få tillgång till registreringsuppgifter. I syfte att främja harmoniserad praxis på hela den inre marknaden kan kommissionen, utan att det påverkar Europeiska dataskyddsstyrelsens befogenheter, tillhandahålla riktlinjer för sådana förfaranden, som i möjligaste mån beaktar de standarder som utvecklats av flerpartsförvaltningsstrukturerna på internationell nivå. Medlemsstaterna bör säkerställa att alla typer av åtkomst till registreringsuppgifter för domännamn, både personuppgifter och icke-personuppgifter, är kostnadsfria.

(113)

Entiteter som omfattas av detta direktivs tillämpningsområde bör anses omfattas av jurisdiktionen i den medlemsstat där de är etablerade. Tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster bör dock anses omfattas av jurisdiktionen i den medlemsstat där de tillhandahåller sina tjänster. Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster bör anses omfattas av jurisdiktionen i den medlemsstat där de har sitt huvudsakliga etableringsställe i unionen. Offentliga förvaltningsentiteter bör anses omfattas av jurisdiktionen i den medlemsstat som inrättat dem. Om entiteten tillhandahåller tjänster eller är etablerad i mer än en medlemsstat bör den omfattas av dessa medlemsstaters separata och parallella jurisdiktioner samtidigt. De behöriga myndigheterna i dessa medlemsstater bör samarbeta, ge varandra ömsesidigt bistånd och när det är lämpligt genomföra gemensamma tillsynsåtgärder. När medlemsstater utövar jurisdiktion bör de inte påföra efterlevnadskontrollåtgärder eller sanktioner mer än en gång för samma beteende, i överensstämmelse med principen ne bis in idem.

(114)

För att ta hänsyn till den gränsöverskridande karaktären hos de tjänster och den verksamhet som utförs av leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster bör endast en medlemsstat ha jurisdiktion över dessa entiteter. Jurisdiktion bör tilldelas den medlemsstat där den berörda entiteten har sitt huvudsakliga etableringsställe i unionen. Kriteriet för etableringsställe i detta direktiv förutsätter att verksamhet faktiskt bedrivs genom en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende. Huruvida kriteriet är uppfyllt bör inte vara beroende av om nätverks- och informationssystemen är fysiskt belägna på en viss plats. Förekomsten och användningen av sådana system utgör inte i sig en sådan huvudsaklig etablering och är därför inte avgörande kriterier för att fastställa det huvudsakliga etableringsstället. Det huvudsakliga etableringsstället bör anses ligga i den medlemsstat där besluten om åtgärder för att hantera cybersäkerhetsrisker i huvudsak fattas i unionen. Detta motsvarar vanligtvis platsen för entiteternas huvudkontor i unionen. Om en sådan medlemsstat inte kan fastställas eller om sådana beslut inte fattas i unionen bör det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där cybersäkerhetsoperationer utförs. Om en sådan medlemsstat inte kan fastställas bör det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där entiteten har etableringsstället med flest anställda i unionen. Om tjänsterna utförs av en koncern bör det kontrollerande företagets huvudsakliga etableringsställe betraktas som koncernens huvudsakliga etableringsställe.

(115)

När en allmänt tillgänglig rekursiv DNS-tjänst tillhandahålls av en tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster endast som en del av internetanslutningstjänsten, bör entiteten anses omfattas av jurisdiktionen i alla de medlemsstater där dess tjänster tillhandahålls.

(116)

Om en leverantör av DNS-tjänster, en registreringsenhet för toppdomäner, en entitet som tillhandahåller domännamnsregistreringstjänster, en leverantör av molntjänster, en leverantör av datacentraltjänster, en leverantör av nätverk för leverans av innehåll, driftsentreprenad, en leverantör av hanterade säkerhetstjänster eller en leverantör av en marknadsplats online, en sökmotor eller en plattform för sociala nätverkstjänster, vilken inte är etablerad i unionen, erbjuder tjänster inom unionen bör den utse en företrädare i unionen. I syfte att fastställa om en sådan entitet erbjuder tjänster inom unionen bör det kontrolleras om entiteten planerar att erbjuda tjänster till personer i en eller flera medlemsstater. Enbart den omständigheten att en entitets eller en mellanhands webbplats eller en e-postadress eller andra kontaktuppgifter är tillgängliga i unionen, eller att ett språk används som allmänt används i det tredjeland där entiteten är etablerad, bör inte betraktas som tillräcklig för att fastställa en sådan avsikt. Emellertid kan faktorer som att det används ett visst språk eller en viss valuta som allmänt används i en eller flera medlemsstater med möjligheten att beställa tjänster på det språket, eller att kunder eller användare i unionen omnämns, göra det uppenbart att entiteten planerar att erbjuda tjänster inom unionen. Företrädaren bör agera på entitetens vägnar, och det bör vara möjligt för de behöriga myndigheterna eller CSIRT-enheterna att vända sig till företrädaren. Företrädaren bör utses uttryckligen genom en skriftlig fullmakt från entiteten att agera på dess vägnar med avseende på dess skyldigheter enligt detta direktiv, inklusive incidentrapportering.

(117)

För att säkerställa en tydlig överblick över leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster, vilka tillhandahåller tjänster i unionen som omfattas av detta direktivs tillämpningsområde, bör Enisa skapa och upprätthålla ett register över sådana entiteter på grundval av information från medlemsstaterna, i förekommande fall via nationella mekanismer som inrättats för entiteter att registrera sig. De gemensamma kontaktpunkterna bör till Enisa vidarebefordra informationen och eventuella ändringar av densamma. För att säkerställa att den information som ska ingå i registret är korrekt och fullständig kan medlemsstaterna till Enisa lämna in den information som finns tillgänglig i nationella register om dessa entiteter. Enisa och medlemsstaterna bör vidta åtgärder för att underlätta kompatibilitet mellan sådana register, samtidigt som skydd av konfidentiell eller säkerhetsskyddsklassificerade uppgifter säkerställs. Enisa bör införa lämplig klassificering av information och förvaltningsprotokoll för att säkerställa den utlämnade informationens säkerhet och konfidentialitet och begränsa åtkomsten till samt lagringen och överföringen av sådan information till de avsedda användarna.

(118)

Om uppgifter som är säkerhetsskyddsklassificerade enligt unionsrätt eller nationell rätt utbyts, rapporteras eller på annat sätt delas enligt detta direktiv, bör motsvarande regler för hantering av säkerhetsskyddsklassificerade uppgifter tillämpas. Vidare bör Enisa ha infrastruktur, förfaranden och regler för att hantera känsliga och säkerhetsskyddsklassificerade uppgifter i enlighet med tillämpliga säkerhetsregler för skydd av säkerhetsskyddsklassificerade EU-uppgifter.

(119)

I och med att cyberhoten blir mer komplexa och sofistikerade är god upptäckt av sådana hot och förebyggande åtgärder mot dem i stor utsträckning beroende av ett regelbundet utbyte av underrättelser om hot och sårbarhet mellan entiteter. Informationsutbyte bidrar till ökad medvetenhet om cyberhot, vilket i sin tur ökar entiteternas förmåga att förhindra att hot blir till incidenter och gör det möjligt för entiteterna att bättre begränsa effekterna av incidenter och återhämta sig mer effektivt. I avsaknad av vägledning på unionsnivå verkar olika faktorer ha hindrat sådant utbyte av underrättelser, särskilt osäkerheten om förenligheten med konkurrens- och ansvarsreglerna.

(120)

Entiteter bör uppmuntras och bistås av medlemsstaterna för att kollektivt utnyttja sina individuella kunskaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt förebygga, upptäcka, reagera på eller återhämta sig från incidenter eller begränsa deras verkningar. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av arrangemang för frivilligt informationsutbyte om cybersäkerhet. I detta syfte bör medlemsstaterna aktivt bistå och uppmuntra entiteter, såsom de som erbjuder cybersäkerhetstjänster och forskning, samt relevanta entiteter som inte omfattas av detta direktiv, att delta i sådana arrangemang för informationsutbyte om cybersäkerhet. Dessa arrangemang bör fastställas i enlighet med unionens konkurrensregler och unionens dataskyddslagstiftning.

(121)

Behandling av personuppgifter i den utsträckning som är nödvändig och proportionell för att säkerställa säkerhet i nätverks- och informationssystem genom väsentliga och viktiga entiteter kan anses vara laglig på grund av att sådan behandling är förenlig med en rättslig förpliktelse som åvilar den personuppgiftsansvarige i enlighet med kraven i artikel 6.1 c och artikel 6.3 i förordning (EU) 2016/679. Behandling av personuppgifter kan även vara nödvändig på grund av berättigade intressen hos väsentliga och viktiga entiteter, samt tillhandahållare av säkerhetsteknik och säkerhetstjänster som agerar på dessa entiteters vägnar, i enlighet med artikel 6.1 f i förordning (EU) 2016/679, bland annat när sådan behandling är nödvändig för arrangemang för informationsutbyte om cybersäkerhet eller frivillig underrättelse om relevant information i enlighet med detta direktiv. Åtgärder som rör förebyggande, upptäckt, identifiering, begränsning, analys och hantering av incidenter, åtgärder för att öka medvetenheten om specifika cyberhot, informationsutbyte i samband med avhjälpande av sårbarheter och samordnat meddelande av sårbarhetsinformation, frivilligt informationsutbyte om sådana incidenter samt cyberhot och sårbarheter, angreppsindikatorer, taktik, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurationsverktyg kan kräva behandling av vissa kategorier av personuppgifter, såsom ip-adresser, webbadresser (URL), domännamn, e-postadresser och tidsstämplar, när dessa avslöjar personuppgifter. Personuppgiftsbehandling av behöriga myndigheter, gemensamma kontaktpunkter och CSIRT-enheter kan utgöra en rättslig förpliktelse eller anses vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den ansvariges myndighetsutövning i enlighet med artikel 6.1 c eller e och artikel 6.3 i förordning (EU) 2016/679 eller på grund av ett berättigat intresse hos de väsentliga och viktiga entiteterna enligt vad som avses i artikel 6.1 f i den förordningen. Vidare kan nationell rätt innehålla bestämmelser som tillåter att behöriga myndigheter, gemensamma kontaktpunkter och CSIRT-enheter, i den utsträckning som är nödvändig och proportionell för att säkerställa säkerhet i nätverks- och informationssystem hos väsentliga och viktiga entiteter, behandlar särskilda kategorier av personuppgifter i enlighet med artikel 9 i förordning (EU) 2016/679, särskilt genom att föreskriva lämpliga och särskilda åtgärder för att skydda fysiska personers grundläggande rättigheter och intressen, däribland tekniska begränsningar för vidareutnyttjande av sådana uppgifter samt användning av moderna säkerhetsåtgärder och integritetsbevarande åtgärder, såsom pseudonymisering, eller kryptering där anonymisering avsevärt kan påverka det eftersträvade ändamålet.

(122)

För att stärka de tillsynsbefogenheter och tillsynsåtgärder som bidrar till att säkerställa ett effektivt fullgörande av skyldigheter bör detta direktiv innehålla en minimiförteckning över tillsynsåtgärder och tillsynsmedel genom vilka behöriga myndigheter kan utöva tillsyn över väsentliga och viktiga entiteter. Dessutom bör detta direktiv fastställa en differentiering av tillsynssystemet mellan väsentliga och viktiga entiteter i syfte att säkerställa en rättvis balans vad gäller skyldigheterna för dessa entiteter och de behöriga myndigheterna. Väsentliga entiteter bör därför omfattas av ett heltäckande tillsynssystem med förhandstillsyn och efterhandstillsyn, medan viktiga entiteter bör omfattas av enklare tillsyn, endast i efterhand. Viktiga entiteter bör därför inte vara skyldiga att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna för cybersäkerhet, medan de behöriga myndigheterna bör tillämpa en reaktiv efterhandstillsyn och därmed inte ha någon allmän skyldighet att utöva tillsyn över dessa entiteter. Efterhandstillsynen av viktiga entiteter kan utlösas av bevis, indikationer eller uppgifter som har kommit till de behöriga myndigheternas kännedom och som enligt dessa myndigheter tyder på potentiella överträdelser av detta direktiv. Sådana bevis, indikationer eller uppgifter kan exempelvis vara av den typ som de behöriga myndigheterna mottar från andra myndigheter, entiteter, medborgare, medier eller andra källor eller offentligt tillgänglig information eller härröra från annan verksamhet som de behöriga myndigheterna bedriver i samband med fullgörandet av sina uppgifter.

(123)

Behöriga myndigheters utförande av tillsynsuppgifter bör inte i onödan hämma den berörda entitetens affärsverksamhet. När behöriga myndigheter utför sina tillsynsuppgifter avseende väsentliga entiteter, bland annat genom inspektioner på plats och distansbaserad tillsyn, utredning av överträdelser av detta direktiv, säkerhetsrevisioner eller säkerhetsskanningar, bör de minimera konsekvenserna för den berörda entitetens affärsverksamhet.

(124)

Vid genomförandet av förhandstillsyn bör de behöriga myndigheterna kunna besluta att prioritera användningen av de tillsynsåtgärder och tillsynsmedel som står till deras förfogande på ett proportionellt sätt. Detta innebär att de behöriga myndigheterna kan besluta om en sådan prioritering på grundval av tillsynsmetoder som bör bygga på en riskbaserad ansats. Mer specifikt kan sådana metoder omfatta kriterier eller riktmärken för klassificering av väsentliga entiteter i riskkategorier och motsvarande tillsynsåtgärder och tillsynsmedel som rekommenderas per riskkategori, såsom användning av frekvens för eller typ av inspektion på plats, riktade säkerhetsrevisioner eller säkerhetsskanningar, vilken typ av information som ska begäras och detaljnivån på denna information. Sådana tillsynsmetoder skulle även kunna åtföljas av arbetsprogram och utvärderas och ses över regelbundet, inklusive med avseende på aspekter som resursfördelning och resursbehov. När det gäller offentliga förvaltningsentiteter bör tillsynsbefogenheterna utövas i överensstämmelse med nationella lagstiftningsmässiga och institutionella ramar.

(125)

De behöriga myndigheterna bör säkerställa att deras tillsynsuppgifter med avseende på väsentliga och viktiga entiteter utförs av utbildad personal, som bör ha de nödvändiga färdigheterna för att utföra dessa uppgifter, särskilt i fråga om att genomföra inspektioner på plats och distansbaserad tillsyn, bland annat identifiering av svagheter i databaser, maskinvara, brandväggar, kryptering och nätverk. Inspektionerna och tillsynen bör utföras på ett objektivt sätt.

(126)

I vederbörligen motiverade fall bör den behöriga myndigheten, när den fått kännedom om ett betydande cyberhot eller en överhängande risk, kunna fatta omedelbara beslut om efterlevnadskontroll i syfte att förhindra eller reagera på en incident.

(127)

För att efterlevnadskontrollen ska bli effektiv bör det fastställas en minimiförteckning över efterlevnadskontrollbefogenheter som kan utövas för brott mot de riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter som föreskrivs i detta direktiv, med en tydlig och konsekvent ram för sådan efterlevnadskontroll i hela unionen. Vederbörlig hänsyn bör tas till arten, allvarlighetsgraden och varaktigheten av överträdelsen av detta direktiv, de materiella eller immateriella skador som orsakats, om överträdelsen var avsiktlig eller berodde på försumlighet, åtgärder som vidtagits för att förhindra eller begränsa de materiella eller immateriella skadorna, graden av ansvar eller relevanta tidigare överträdelser, graden av samarbete med den behöriga myndigheten och andra försvårande eller förmildrande omständigheter. Efterlevnadskontrollåtgärderna, inklusive administrativa sanktionsavgifter, bör vara proportionella och påförandet av dem bör omfattas av lämpliga rättssäkerhetsgarantier i enlighet med de allmänna principerna i unionsrätten och Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), inbegripet rätten till ett effektivt rättsmedel och till en opartisk domstol, oskuldspresumtion och rätten till försvar.

(128)

Detta direktiv ålägger inte medlemsstaterna att föreskriva att fysiska personer med ansvar för att säkerställa att en entitet efterlever direktivet ska omfattas av straffrättsligt eller civilrättsligt ansvar för skada som åsamkats tredjeparter till följd av en överträdelse av direktivet.

(129)

För att säkerställa en effektiv efterlevnadskontroll av de skyldigheter som fastställs i detta direktiv bör varje behörig myndighet ha befogenhet att påföra eller begära påförande av administrativa sanktionsavgifter.

(130)

Om en administrativ sanktionsavgift påförs en väsentlig eller viktig entitet som är ett företag, bör ett företag i detta sammanhang anses vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om en administrativ sanktionsavgift påförs en person som inte är ett företag, bör den behöriga myndigheten ta hänsyn till den allmänna inkomstnivån i medlemsstaten och personens ekonomiska situation när den överväger lämplig sanktionsavgift. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av administrativa sanktionsavgifter. Föreläggande av en administrativ sanktionsavgift påverkar inte de behöriga myndigheternas tillämpning av andra befogenheter eller andra sanktioner som fastställs i de nationella bestämmelser som införlivar detta direktiv.

(131)

Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av de nationella bestämmelser som införlivar detta direktiv. Påförandet av straffrättsliga påföljder för överträdelser av sådana nationella bestämmelser och relaterade administrativa sanktioner bör dock inte medföra ett åsidosättande av principen ne bis in idem enligt Europeiska unionens domstols tolkning.

(132)

När detta direktiv inte harmoniserar administrativa sanktioner eller när så är nödvändigt i andra fall, till exempel i händelse av en allvarlig överträdelse av detta direktiv, bör medlemsstaterna genomföra ett system med effektiva, proportionella och avskräckande sanktioner. Dessa påföljders art, och frågan om de är straffrättsliga eller administrativa, bör fastställas i nationell rätt.

(133)

För att de sanktioner som är tillämpliga på överträdelser av efterlevnadskontrollåtgärder detta direktiv ska bli mer effektiva och avskräckande bör de behöriga myndigheterna ges befogenhet att tillfälligt upphäva eller begära tillfälligt upphävande av en certifiering eller auktorisation för en del av eller alla relevanta tjänster som tillhandahålls av en väsentlig entitet samt begära införande av ett tillfälligt förbud för en fysisk person som har ledningsansvar på nivån för verkställande direktör eller juridiskt ombud att utöva ledande funktioner. Med tanke på deras stränghet och påverkan på entiteternas verksamheter och i sista hand på användarna bör sådana tillfälliga upphävanden eller förbud endast tillämpas proportionellt mot överträdelsens allvarlighetsgrad och med beaktande av omständigheterna i varje enskilt fall, inbegripet om överträdelsen var avsiktlig eller berodde på försumlighet, samt åtgärder som vidtagits för att förhindra eller begränsa de materiella eller immateriella skadorna. Sådana tillfälliga upphävanden eller förbud bör endast tillämpas som sista utväg, dvs. först efter det att de andra relevanta åtgärder för efterlevnadskontroll som fastställs i detta direktiv har uttömts, och endast fram till dess att den berörda entiteten vidtar nödvändiga åtgärder för att avhjälpa de brister eller uppfylla de krav från den behöriga myndigheten för vilka de tillfälliga upphävandena eller förbuden tillämpades. Införandet av sådana tillfälliga upphävanden eller förbud bör omfattas av lämpliga rättssäkerhetsgarantier i enlighet med de allmänna principerna i unionsrätten och stadgan, inbegripet rätten till ett effektivt rättsmedel och till en opartisk domstol, oskuldspresumtion och rätten till försvar.

(134)

För att säkerställa att entiteter fullgör sina skyldigheter enligt detta direktiv bör medlemsstaterna samarbeta med och bistå varandra med avseende på tillsyns- och efterlevnadskontrollåtgärder, särskilt om en entitet tillhandahåller tjänster i mer än en medlemsstat eller om dess nätverks- och informationssystem är belägna i en annan medlemsstat än den där den tillhandahåller tjänster. När den tillfrågade behöriga myndigheten tillhandahåller bistånd bör den vidta åtgärder för tillsyns- och efterlevnadskontrollåtgärder i enlighet med nationell rätt. För att säkerställa ett välfungerande ömsesidigt bistånd enligt detta direktiv bör de behöriga myndigheterna använda samarbetsgruppen som ett forum där de kan diskutera fall och enskilda biståndsansökningar.

(135)

För att säkerställa effektiv tillsyn och efterlevnadskontroll, framför allt i en situation med en gränsöverskridande dimension, bör de medlemsstater som har mottagit en begäran om ömsesidigt bistånd, inom ramen för begäran, vidta lämpliga tillsyns- och efterlevnadskontrollåtgärder med avseende på den entitet som är föremålet för den begäran och som tillhandahåller tjänster eller som har ett nätverks- och informationssystem inom den medlemsstatens territorium.

(136)

Detta direktiv bör fastställa regler för samarbete mellan de behöriga myndigheterna och tillsynsmyndigheterna enligt förordning (EU) 2016/679 för att hantera överträdelser av detta direktiv som rör personuppgifter.

(137)

Detta direktiv bör syfta till att säkerställa en hög ansvarsnivå för riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter för väsentliga och viktiga entiteter. Därför bör ledningsorganen för väsentliga och viktiga entiteter godkänna riskåtgärderna för cybersäkerhet och övervaka deras genomförande.

(138)

För att säkerställa en hög gemensam cybersäkerhetsnivå i unionen på grundval av detta direktiv bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen med avseende på att komplettera detta direktiv genom att ange vilka kategorier av väsentliga och viktiga entiteter som ska vara skyldiga att använda vissa certifierade IKT-produkter, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en europeisk ordning för cybersäkerhetscertifiering. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (22). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(139)

För att säkerställa enhetliga villkor för genomförandet av detta direktiv bör kommissionen tilldelas genomförandebefogenheter för att fastställa de förfaranden som krävs för samarbetsgruppens verksamhet och de tekniska och metodologiska kraven samt sektorskraven avseende riskhanteringsåtgärder för cybersäkerhet, samt ytterligare precisera typen av information samt formatet och förfarandet för underrättelser om incidenter, cyberhot och tillbud och för kommunikation om betydande cyberhot, samt i vilka fall en incident ska betraktas som betydande. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (23).

(140)

Detta direktiv bör med jämna mellanrum ses över av kommissionen i samråd med berörda parter, främst i syfte att avgöra huruvida det är lämpligt att föreslå ändringar med hänsyn till samhällsutvecklingen, den politiska utvecklingen, den tekniska utvecklingen eller ändrade marknadsvillkor. Som en del av de översynerna bör kommissionen bedöma vilken relevans de berörda entiteternas storlek och de sektorer, delsektorer och typer av entiteter som avses i bilagorna till detta direktiv har för ekonomins och samhällets funktion när det gäller cybersäkerhet. Kommissionen bör bland annat bedöma huruvida leverantörer som omfattas av tillämpningsområdet för detta direktiv vilka klassificeras som mycket stora onlineplattformar i den mening som avses i artikel 33 i Europaparlamentets och rådets förordning (EU) 2022/2065 (24) kan identifieras som väsentliga entiteter enligt detta direktiv.

(141)

Detta direktiv skapar nya uppgifter för Enisa och stärker därigenom dess roll, och kan också leda till att Enisa tvingas utföra sina befintliga uppgifter enligt förordning (EU) 2019/881 på en högre nivå än tidigare. För att säkerställa att Enisa har de ekonomiska resurser och den personal som krävs för att utföra befintliga och nya uppgifter och uppnå en eventuellt högre nivå på genomförandet av dessa uppgifter till följd av dess utökade roll, bör dess budget ökas i motsvarande grad. För att säkerställa en effektiv resursanvändning bör Enisa dessutom ges större flexibilitet när det gäller möjligheten att fördela resurser internt, i syfte att kunna utföra sina uppgifter och infria förväntningarna på ett ändamålsenligt sätt.

(142)

Eftersom målet för detta direktiv, nämligen att uppnå en hög gemensam cybersäkerhetsnivå i unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå detta mål.

(143)

Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i stadgan, i synnerhet rätten till respekt för privatliv och kommunikationer, skydd av personuppgifter, näringsfriheten, rätten till egendom, rätten till ett effektivt rättsmedel och till en opartisk domstol, oskuldspresumtion och rätten till försvar. Rätten till ett effektivt rättsmedel inbegriper mottagarna av tjänster som tillhandahålls av väsentliga och viktiga entiteter. Detta direktiv bör genomföras i enlighet med dessa rättigheter och principer.

(144)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (25) och avgav ett yttrande den 11 mars 2021 (26).