This document is an excerpt from the EUR-Lex website
Document 52019DC0546
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL assessing the consistency of the approaches taken by Member States in the identification of operators of essential services in accordance with Article 23(1) of Directive 2016/1148/EU on security of network and information systems
ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА за оценка на последователността на подходите, предприети от държавите членки при определянето на оператори на основни услуги, в съответствие с член 23, параграф 1 от Директива (EС) 2016/1148 относно сигурността на мрежите и информационните системи
ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА за оценка на последователността на подходите, предприети от държавите членки при определянето на оператори на основни услуги, в съответствие с член 23, параграф 1 от Директива (EС) 2016/1148 относно сигурността на мрежите и информационните системи
COM/2019/546 final
ЕВРОПЕЙСКА КОМИСИЯ
Брюксел, 28.10.2019
COM(2019) 546 final
ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА
за оценка на последователността на подходите, предприети от държавите членки при определянето на оператори на основни услуги, в съответствие с член 23, параграф 1 от Директива (EС) 2016/1148 относно сигурността на мрежите и информационните системи
1.Въведение
Директива (EС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза 1 (Директивата за МИС) е първият инструмент на вътрешния пазар, насочен към подобряване на устойчивостта на ЕС срещу рискове, свързани с киберсигурността. Директивата се основава на член 114 от Договора за функционирането на Европейския съюз и цели осигуряване на непрекъснатост на услугите, позволяващи доброто функциониране на икономиката и обществото на Съюза. С оглед на това с директивата се въвеждат конкретни мерки за изграждане на капацитет за киберсигурност в ЕС и смекчаване на нарастващите заплахи за мрежите и информационните системи, използвани за предоставяне на основни услуги в ключови сектори.
След като Директивата за МИС влезе в сила през август 2016 г., държавите членки трябваше да приемат в срок до 9 май 2018 г. 2 национални мерки за спазване на нейните разпоредби. С директивата се насърчава култура на управление на риска сред дружествата или другите субекти, предоставящи основни услуги, определени съгласно член 5 като „оператори на основни услуги“ (ООУ). Операторите, които попадат в обхвата на директивата, следва да предприемат подходящи и пропорционални технически и организационни мерки за управление на рисковете, свързани със сигурността на техните мрежи и информационни системи, и да уведомяват компетентните органи за сериозни инциденти.
Съзаконодателите са делегирали прилагането на Директивата за МИС на държавите членки, които следва да определят основните услуги и операторите на основни услуги на своите територии. По тази причина държавите членки следва да докладват на Комисията за резултатите от процеса на определяне на операторите в съответствие с член 5, параграф 7 от директивата. За да се постигне координирано отчитане, както Комисията 3 , така и групата за сътрудничество, създадена въз основа на разпоредбите на директивата 4 , предоставиха насоки на държавите членки относно процеса на определяне на операторите.
В съответствие с член 23, параграф 1 в настоящия доклад се оценява последователността на подходите, предприети от държавите членки при определянето на ООУ. Тъй като последователността на определянето на ООУ и рискът от фрагментиране на вътрешния пазар в тази област са тясно свързани, в настоящия доклад ще бъде включена и една по-широкообхватна оценка на Директивата за МИС съгласно член 23, параграф 2, в който се предвижда Комисията периодично да прави преглед на цялостното действие на директивата, както и оценка на списъка на секторите и подсекторите, в които е необходимо да бъдат определени операторите на основни услуги и видовете цифрови услуги, обхванати от директивата. Първите доклади във връзка с това следва да бъдат представени до 9 май 2021 г.
1.1Цел на доклада
Поради важната си роля за икономиката и обществото като цяло операторите на основни услуги трябва да покажат особено висока степен на устойчивост срещу киберинциденти. В тази връзка последователният подход при определянето на ООУ от държавите членки е важен по няколко причини:
1.Намаляване на рисковете, свързани с трансграничната зависимост:
Непоследователността при определянето на важните оператори, предоставящи трансгранични услуги, може да доведе до неравномерно ниво на киберустойчивост в различните държави членки, което повишава риска при един трансграничен инцидент да бъдат причинени щети върху критична инфраструктура или загуба на човешки животи 5 . Например операторите на преносни енергийни системи или регистрите на домейни от първо ниво, които са част от списъка на категориите субекти в приложение II, са сред лицата, които се възползват максимално от вътрешния пазар чрез предоставяне на трансгранични услуги на потребителите и предприятията. Именно затова прилагането на последователен подход при определянето на такива доставчици в Съюза би могло да допринесе за предотвратяване на разпространението на киберзаплахи на вътрешния пазар 6 .
2.Гарантиране на условия на равнопоставеност за операторите на вътрешния пазар:
Съгласно Директивата за МИС държавите членки трябва да установят изисквания за операторите на основни услуги по отношение на сигурността и процедурите за уведомяване за инциденти. Тъй като в директивата се следва подход на минимална хармонизация по отношение на операторите на основни услуги, държавите членки могат да налагат на операторите изисквания, които са по-строги от предвидените в директивата. Макар тези мерки да допринасят за повишаване на устойчивостта на държавите членки, те могат да бъдат свързани с допълнителни регулаторни разходи за съответните оператори. Следователно е важно операторите, предоставящи сходни услуги със сходно значение, да бъдат третирани по сходен начин в регулаторно отношение.
3.Намаляване на риска от различни тълкувания на директивата:
Директивата е разработена по такъв начин, че държавите членки да имат свобода на действие при избора на съответните субекти с цел отчитане на националните особености. Същевременно този подход увеличава риска от различно прилагане на разпоредбите на директивата и може евентуално да доведе до несъответствия в мерките, приети от държавите членки. Това е особено важно за дружествата, които действат в няколко страни и поради това трябва да отговарят на регулаторните изисквания на повече от една държава членка.
4.Извършване на обстоен преглед на нивото на киберустойчивост в ЕС:
Операторите на основни услуги подлежат на надзор, чиято цел е проверка на ефективното прилагане на политиките за сигурност и докладване на значими инциденти. Надзорът благоприятства развитието на по-добро публично-частно сътрудничество, което води до формирането на споделени знания за готовността в областта на киберсигурността в дадена държава членка. Благодарение на групата за сътрудничество споделянето на национален опит, в това число и на информация относно инциденти, за които са постъпили уведомления 7 , може да бъде обобщено на равнище ЕС и да допринесе за по-точна оценка на основните заплахи и нужди. Въпреки това, за да бъде ефективен, подобен обмен на информация следва да се основава на общо разбиране за това кои субекти следва да бъдат определени като оператори на основни услуги.
1.2Процедура за определяне съгласно Директивата за МИС
В приложение II от Директивата за МИС е предоставен списък на седем сектора и съответните им подсектори, както и на категориите субекти, които се използват при процеса на определяне ( таблица 1 ). Съгласно член 5, параграф 3 държавите членки следва да съставят списък на основните услуги въз основа на тези сектори, подсектори и категории субекти. Държавите членки могат да надхвърлят обхвата на приложение II и да извършат процедурата за определяне в допълнителни сектори и подсектори, като приложат подхода на минимална хармонизация на директивата.
|
Сектор |
Подсектор |
|
1. Енергетика |
a) Електроенергия |
|
б) Нефт |
|
|
в) Природен газ |
|
|
2. Транспорт |
a) Въздушен транспорт |
|
б) Железопътен транспорт |
|
|
в) Воден транспорт |
|
|
г) Автомобилен транспорт |
|
|
3. Банково дело |
|
|
4. Инфраструктури на финансовия пазар |
|
|
5. Здравеопазване |
|
|
6. Доставка и снабдяване с питейна вода |
|
|
7. Цифрови инфраструктури |
|
Таблица 1: Сектори и подсектори, посочени в приложение II към Директивата за МИС
В член 5, параграф 2 се установяват три критерия, които държавите членки следва да използват за определяне на операторите на основни услуги:
1.Съответният субект следва да предоставя услуга, която е от основно значение за поддържането на особено важни обществени и/или стопански дейности. За тази цел националните компетентни органи правят справка в своите предварително изготвени списъци на основни услуги.
2.Предоставената услуга следва да зависи от мрежите и информационните системи.
3.Евентуалният инцидент следва да има значително увреждащо въздействие върху предоставянето на съответната услуга. В член 6 се уточнява, че значимостта на инцидента се оценява, като се използват валидни за всички сектори фактори, а когато е целесъобразно, и фактори, характерни за съответния сектор 8 .
Освен това въз основа на член 5, параграф 4 от директивата държавите членки следва да провеждат консултации помежду си, ако установят, че потенциален оператор на основни услуги предоставя услуги в повече от една държава членка. Тази задължителна процедура има за цел да помогне на държавите членки да оценят потенциалното въздействие на киберинцидент, засягащ субекти, опериращи през границите, както и да действа като предпазна мярка за дружествата, засегнати от процедурата в различните държави членки.
1.3Методология на доклада
Резултатите от доклада се основават на оценка, извършена между ноември 2018 г. и септември 2019 г. Много държави членки не предоставиха на Комисията навреме информацията, необходима за изготвяне на настоящия доклад. По тази причина приемането на доклада трябваше да бъде отложено след 9 май 2019 г. — датата на приемане, предвидена в член 23, параграф 1 от Директивата за МИС. Данните бяха събрани по различни начини: информация, предоставена от държавите членки въз основа на изготвен от ENISA стандартизиран образец, стандартизирани интервюта с избрани национални органи и срещи на групата за сътрудничество, включително проведен на 19 март 2019 г. семинар по темата.
Въз основа на събраната информация в доклада се оценява доколко последователни са подходите за определяне, избрани от различните държави членки, като за целта се прави:
1.сравнение на различните методологии за определяне, избрани от националните органи;
2.проучване на списъците на основни услуги и на праговете, избрани от държавите членки;
3.анализ на броя на операторите на основни услуги във всяка държава членка.
В доклада също така се оценява как са приложени разпоредбите на директивата спрямо процедурата за консултации относно трансграничните услуги (член 5, параграф 4) и принципът lex specialis (член 1, параграф 7). В доклада се прави фактически анализ на процеса на определяне, извършен от държавите членки, придружен от предварителни заключения и открити въпроси за допълнителен размисъл.
1.4Налични данни
Съгласно разпоредбите на Директивата за МИС държавите членки следва да предоставят на Комисията само ограничен набор от данни. Например националните органи не са длъжни да посочват имената на определените оператори, което затруднява службите на Комисията при сравняването на резултатите от процеса на определяне по отношение на пълнотата на списъка и въздействието върху еднакви по размер дружества, принадлежащи към един и същ сектор.
Съгласно член 5, параграф 7 всички държави членки трябваше да предоставят необходимите данни за този доклад не по-късно от 9 ноември 2018 г. До тази дата обаче само 15 страни бяха предоставили основни данни (вж. приложената таблица в раздел 4.1). Въпреки многократните напомняния от страна на Комисията останаха значителни пропуски в данните. По тази причина на 26 юли 2019 г. Комисията изпрати официални писма до 6 държави членки 9 , като ги прикани да представят липсващите данни в срок от два месеца.
Към датата на публикуване на настоящия доклад 23 държави членки са представили всички необходими данни съгласно член 5, параграф 7: България, Хърватия, Кипър, Чешката република, Германия, Дания, Естония, Гърция, Испания, Финландия, Франция, Ирландия, Италия, Литва, Люксембург, Латвия, Малта, Нидерландия, Полша, Португалия, Швеция, Словакия и Обединеното кралство. Останалите 5 държави членки (Австрия, Белгия, Унгария, Румъния и Словения) предоставиха единствено частични данни относно определянето на националните ООУ, тъй като не са успели да завършат процеса на определяне навреме преди публикуването на настоящия доклад.
2.Определяне на ООУ в държавите членки
С Директивата за МИС се установява рамка за определяне на ООУ, чрез която на държавите членки се предоставя възможността по своя преценка да вземат предвид националните си особености. В резултат на това установените от държавите членки практики за определяне на операторите са изключително разнообразни.
2.1Методологии, използвани от държавите членки
Държавите членки са разработили различни методологии за определяне на операторите, като се възползват изцяло от гъвкавостта, предоставена от Директивата за МИС. Един от елементите, влияещи върху националните методологии, беше наличието на рамка, например Директива 2008/114/ЕО на Съвета относно критичните инфраструктури 10 или други национални разпоредби относно „оператори от жизненоважно значение“. В такива случаи държавите членки използваха своя предишен опит като отправна точка и включиха в съществуващите методологии спецификите, свързани с Директивата за МИС.
Разликите в националните методологии попадат в следните основни категории: основни услуги, използване на прагове, степен на централизация, органи, отговарящи за определянето на операторите и за оценка на зависимостта от мрежите и информационните системи. Основните услуги и праговете бяха анализирани в отделни раздели поради значението им за оценката на последователността при определянето на ООУ. Останалите критерии са разгледани в настоящия раздел.
Степен на централизация
Повечето държави членки са избрали да делегират на секторните органи (министерства, агенции и т.н.) част от функциите по вземането на решения относно различни елементи от процеса на определяне на операторите. Степента на децентрализация варира в отделните случаи, като повечето държави членки са определили един орган, който отговаря за предоставянето на насоки на секторните органи и за консолидирането на информацията. Някои страни обаче решиха процесът за определянето на операторите да бъде съсредоточен в един орган. Има и случаи с изключително висока степен на децентрализация, при които секторните органи са отговорни за разработването на собствени методологии.
Много държави членки внимателно претеглиха различните аспекти на институционалната уредба на определянето на ООУ. Избягването на конфликти на интереси е посочено от органите като едно от предимствата на централизираното определяне: очевидно операторите не са много склонни да разкриват съответната информация на секторните регулатори, тъй като се опасяват, че тя може да бъде използвана и за други регулаторни цели.
От друга страна, чрез децентрализираните подходи се насърчава диалогът между компетентните органи по отношение на МИС (както тези в областта на киберсигурността, така и секторните органи), което им помага да определят по-добре последиците от зависимостите, валидни за всички сектори. Освен това секторните органи обикновено имат по-задълбочени познания за секторите от водещите органи.
Процедура за определяне (сравнение на низходящ и възходящ подход)
Друго важно разграничение може да бъде направено между държавите членки, в които процесът на определяне се провежда от публични органи (низходящ подход), и държавите членки, в които пазарните оператори трябва сами да проверяват дали отговарят на изискванията за оператори на основни услуги (т.нар. определяне чрез възходящ подход или самоопределяне). За да има ефективни резултати от последния подход, държавите членки следва да определят санкции, които са достатъчно високи, за да оказват възпиращо действие върху укриващите информация оператори, както е предвидено в член 21 от Директивата за МИС. В повечето случаи процесът на определяне е чрез низходящ подход. На практика обаче органите често разчитат на някои елементи на самооценка, например въпросници, които следва да бъдат попълнени от потенциалните оператори на основни услуги.
Ако правилата и праговете, регулиращи определянето на ООУ, са явни и прозрачни, резултатите и от двата подхода на определяне — низходящ и възходящ — следва да бъдат сходни. Следователно изборът на единия или другия подход по принцип не би трябвало да има никакво въздействие върху последователността.
Оценка на зависимостта от мрежите
Както е обяснено в раздел 1.2, като част от процедурата за определяне на ООУ държавите членки следва да оценят зависимостта на оператора от мрежите и информационните системи съгласно член 5, параграф 2, буква б). Когато прилагат тези критерии, много държави членки смятат зависимостта от мрежите и информационните системи за даденост в днешната цифрова икономика. Въпреки това някои органи са избрали по-сложни практики, например изготвяне на подробни оценки или изискване за самооценка на степента на зависимост на операторите.
2.2Определяне на услугите
В съображение 23 от Директивата за МИС изрично се посочва, че списъците на основни услуги ще служат за информация при „оценката на регулаторните практики на всяка държава членка с оглед на гарантирането на цялостна последователност“. Тъй като списъците на основни услуги, съставени от държавите членки, служат като основа за определянето на операторите, разликите в определените услуги могат да доведат до непоследователно определяне на операторите в държавите членки, особено ако конкретни услуги, предоставяни във всички страни, са определени само от някои държави членки.
Броят на определените от държавите членки услуги съгласно приложение II към Директивата за МИС, които са докладвани на Комисията, се различава значително в различните държави членки (броят за отделните държави членки може да се намери в приложението в раздел 4.2). При средно 35 услуги за държава членка, броят на определените услуги варира от 12 до 87, както е показано във фигура 1 . Макар при по-големите държави членки да се наблюдава изразена тенденция за определяне на повече услуги в сравнение с по-малките държави членки, изглежда няма изразена зависимост между големината на държавите членки и броя на определените услуги. Това може да се очаква, тъй като на практика потребителите и дружествата обикновено имат достъп до едни и същи видове услуги във всички държави членки, независимо от големината на страната.
Фигура 1: Общ брой основни услуги, определени от държавите членки
Броят на определените услуги варира не само на равнище държави членки като цяло, но и при по-внимателен преглед на секторите и подсекторите. Например определените услуги в банковия сектор са между 1 и 21. Както е показано на фигура 2 , в повечето сектори и подсектори обхватът на определените услуги се различава значително в отделните страни.
Фигура 2: Брой услуги, определени от държавите членки във всеки сектор и подсектор. Всяка точка представлява броя на определените услуги от дадена държава членка в съответния (под)сектор 11 .
До известна степен числата, представени на фигура 2 , отразяват различните методологични подходи, избрани от страните. Например някои държави членки са избрали по-задълбочен подход при определянето на услуги в сравнение с други държави членки, което води до по-голям брой услуги в тези държави членки. Данните, които Комисията е получила от държавите членки, обаче ясно показват, че разликите в броя са резултат и от несъответствия в подходите, избрани от държавите членки, както показват примерите за подсекторите електроенергия и железопътен транспорт:
|
Естония
|
Португалия |
Дания |
България
|
||
|
Доставка на електроенергия |
Оператори на разпределителната система |
Разпределение на електроенергия |
Разпределение на електроенергия |
||
|
Осигуряване на функционирането и поддържането на електроенергийната разпределителна система |
|||||
|
Оператор на преносна система |
Пренос на електроенергия |
Пренос на електроенергия |
|||
|
Експлоатация, поддръжка и развитие на електропреносна система |
|||||
|
Производство на електроенергия |
Производство на електроенергия |
|||
|
|
Пазар на електроенергия |
Таблица 2: Илюстративни примери за подходи, избрани от държавите членки при определянето на основни услуги в електроенергийния подсектор
В таблица 2 се сравняват някои от начините, по които държавите членки са определили основните услуги в електроенергийния подсектор. Някои страни (като Естония) са избрали много общ подход, който позволява принципно да бъде определен всеки оператор, който те считат за основен в електроенергийния подсектор. Други страни (като Португалия, Дания и България) прилагат много по-задълбочен метод. Например България е съставила изключително подробен списък с услуги, включващ дори услуга, която не е посочена в приложение II (пазари на електроенергия). Португалия и Дания обаче следват подробен подход, при който са избрали да не включват някои услуги, които другите страни са включили. Това би могло да доведе до неравнопоставени условия за операторите на основни услуги в рамките на вътрешния пазар.
Пропуските по отношение на последователността, като посочените в таблица 2 , са резултат от различното национално прилагане на Директивата за МИС, а при секторите, които не попадат в обхвата на приложение II (като пазарите на електроенергия), са следствие от подхода на минимална хармонизация. Следователно пропуските по отношение на последователността не означават непременно, че държавите членки, които не са определили дадена услуга, не са приложили правилно разпоредбите на директивата.
В таблица 3 са представени подходите, избрани от четири страни спрямо подсектора на железопътния транспорт. Докато Франция е съставила много подробен и изчерпателен списък на услугите, които са от съществено значение за функционирането на железопътния транспорт, останалите три страни са избрали само малка подгрупа от тези услуги. По отношение на Полша не е напълно ясно кои услуги попадат в категориите „товарен железопътен транспорт“ и „пътнически железопътен транспорт“. Техните обозначения са толкова общи, че могат със същия успех да включват и някои от услугите, определени от Франция като „контрол и управление на железопътното движение“. Струва си да се напомни, че Комисията няма на разположение средства за допълнително проучване на подобни случаи: с Директивата за МИС не се изисква от националните органи да разкриват по-подробна информация.
|
Финландия |
Франция |
Ирландия |
Полша |
|||
|
Управление на държавната инфраструктура |
Поддръжка на инфраструктура |
Управители на инфраструктура |
|
|||
|
Поддръжка на подвижния състав |
|
|
|||
|
Услуги по управление на движението |
Контрол и управление на железопътното движение |
|
Изготвяне на разписания на влаковете |
|||
|
Товари и опасни материали |
Железопътни предприятия |
Товарен железопътен транспорт |
|||
|
Пътнически транспорт |
Пътнически железопътен транспорт |
||||
|
Услуги, свързани с метро, трамвай и полуметро (включително подземни комуникации) |
|
||||
|
Железопътни услуги |
|
|
Таблица 3: Илюстративни примери за подходи, избрани от държавите членки при определянето на основни услуги в подсектора на железопътния транспорт
Държавите членки, включени в таблица 2 и таблица 3 , бяха избрани само за илюстративни цели и поради това, че техните методологични подходи позволяват по-лесно сравнение. Повечето от останалите държави членки са избрали сходни услуги и поради това при тях се наблюдават сходни „пропуски по отношение на последователността“. В действителност „пропуски по отношение на последователността“ като тези в подсекторите за електроенергия и железопътен транспорт се срещат във всички държави членки и в секторите, включени в приложение II към директивата. Голяма част от тази непоследователност произтича от услуги, определени само в някои, но не и във всички държави членки. Пълният списък на услугите в подсекторите за електроенергия и железопътен транспорт, обхващащи всички държави членки, може да бъде намерен в приложението към настоящия доклад.
2.3Прагове
Въпреки че повечето държави членки прилагат прагове за определяне на ООУ, ролята на тези прагове варира в различните страни. При определянето на праговете, валидни за всички сектори, е възможно да се разчита на:
·един количествен фактор (например брой ползватели, разчитащи на услугата), за да се определи дали даден субект трябва да се счита за ООУ по отношение на дадена услуга;
·по-голям набор от количествени фактори (например брой ползватели, разчитащи на услугата, плюс пазарен дял);
·комбинация от количествени и качествени фактори.
Освен това в допълнение към праговете, валидни за всички сектори, директивата позволява на държавите членки да прилагат и такива, специфични за сектора. По този начин националните органи получават повече свобода в процеса на определяне, за да отчитат националните и секторните особености. Същевременно се създава много сложна комбинация от прагове, което може да окаже отрицателно въздействие върху общата последователност при определянето на оператори на основни услуги.
Пример за това разнообразие от подходи е даден в таблица 4 . Той показва, че праговете, избрани от държавите членки в сектора на цифровата инфраструктура, не се различават само в количествено (например в Германия доставчиците на DNS се определят като оператори на основни услуги, ако управляват поне 250 000 домейна, докато определеният от Полша праг е едва 100 000 домейна), но също и в качествено отношение (например „брой свързани автономни системи“ спрямо „пазарен дял“).
Последователно избраните количествени прагове сами по себе си не гарантират пълно съответствие между националните подходи. Като се има предвид фактът, че праговете в някои държави членки са само един от критериите, използвани за определяне на ООУ, резултатите от процеса на определяне все още могат да бъдат много различни, дори при наличието на подобни прагове. Например, някои държави членки използват сложни системи за оценка с няколко фактора, които се вписват в една формула 12 . Такива фактори могат например да включват зависимостта на субекта от мрежите и от информационните системи или от някои от факторите, посочени в член 6, параграф 1 от Директивата за МИС. Освен това някои държави членки изобщо не използват прагове или използват само прагове в предварителната фаза на оценката. Тези съображения са валидни за всички сектори, включени в приложение II, а не само за сектора на цифровата инфраструктура.
Установяването на подходящ праг може да представлява предизвикателство, особено когато става въпрос за сектори, които се характеризират с наличието на множество малки оператори. Пример за такова разнообразие са многобройните малки здравни заведения (например клиники или спешни медицински служби), предоставящи основни услуги на сравнително малък брой ползватели. Ако достъпът до тези заведения бъде обаче затруднен вследствие на инцидент в сферата на киберсигурността, може да се стигне до загуба на живот на пациенти. Друг проблем възниква, когато функционирането на веригите за доставки зависи от услугите, предоставяни от операторите, които представляват малки, но въпреки това съществени връзки във веригата (например в сектори като логистика 13 ). Като възможно решение на този проблем една от държавите членки проучва използването на критерии, свързани с важността или критичността на предоставяната услуга.
|
Страна |
Точка за обмен в интернет (ТОИ). |
DNS доставчици |
Регистри на домейни от първо ниво |
|
Използване предимно на прагове, специфични за сектора |
|||
|
AT |
свързани автономни системи
|
DNS преобразуватели: 88 000 ползватели;
|
50 000 домейна |
|
DE |
свързани автономни системи
|
DNS преобразуватели: 100 000 ползватели; Оториз. DNS: 250 000 домейна |
(услугата не е определена) |
|
DK |
ср. дневен обем данни > 200 gbit/s |
DNS преобразуватели: 100 000 ползватели; Оториз. DNS: 100 000 домейна |
500 000 домейна |
|
EE |
(услугата не е определена) |
(услугата не е определена) |
Регистър на TLD в страната |
|
FI |
(услугата не е определена) |
(услугата не е определена) |
Регистри на TLD в страната и в регионите |
|
FR |
(няма официален праг) |
(няма официален праг) |
(няма официален праг) |
|
HR |
свързани членове > 15 |
Услуга за DNS за TLD в страната |
Регистър на TLD в страната |
|
IE |
(прагът е неизвестен) |
DNS преобразуватели: 100 m заявки/24 ч. Оториз. DNS: 50 000 домейна |
Регистър на TLD в страната |
|
MT |
25 % пазарен дял в ЕС |
DNS преобразуватели: 78 000 искания/дневно Оториз. DNS: 7 800 домейна |
750 000 искания/ден |
|
PL |
свързани автономни системи
|
Оториз. DNS: 100 000 домейна |
Регистри на TLD за най-малко 100 000 абоната |
|
SE |
(услугата не е определена) |
DNS преобразуватели: 100 000 ползватели; Оториз. DNS: 25 000 домейна |
250 000 домейна |
|
SK |
Автономна система (AS), свързваща поне две други AS с 2 Gbps |
DNS преобразуватели: 3 m заявки/24 ч. Оториз. DNS: > 1 000 домейна |
Регистър на TLD |
|
UK |
пазарен дял > 50 % или
|
DNS преобразуватели: 2 000 000 клиенти/ден;
|
регистри на TLD ≥ 2 милиарда заявки на ден |
|
Използване на прагове, валидни за всички сектори |
|||
|
CY |
50 000 ползватели или
|
50 000 ползватели или
|
50 000 ползватели или
|
|
LT |
жители > 145 000 |
жители > 145 000 |
жители > 145 000 |
|
LU |
100 % пазарен дял |
13 500 договора |
100 % пазарен дял |
Таблица 4: Прагове, избрани от 16 държави членки в сектора на цифровата инфраструктура
2.4Брой на определените оператори
Списъкът на основните услуги и праговете са най-важните фактори за последователно определяне на ООУ. В предишните раздели бе показано, че и в двата случая държавите членки са прилагали разпоредбите на Директивата за МИС по различни начини, допускайки, че може да се стигне до проблем с последователността, когато впоследствие трябва да се определят операторите на основни услуги. В този раздел ще бъде сравнен броят на определените оператори в секторите и подсекторите от приложение II в държавите членки.
Фигура 3: Оператори на основни услуги, определени от държавите членки във всички сектори от приложение II (за 100 000 жители, извънредните стойности и липсващите данни са пропуснати за по-голяма яснота)
Общият брой оператори на основни услуги, докладвани на Комисията от държавите членки, варира от 20 до 10 897, при средно 633 оператори за държава членка (стойностите за всички държави членки могат да бъдат намерени в раздел 4.2 от приложението към настоящия доклад). Като цяло има ясна положителна връзка между големината на дадена страна и броя на определените оператори. Това обаче не обяснява в достатъчна степен съществените разлики в бройките, докладвани от държавите членки. За да се отчете връзката между големината и населението, във фигура 3 се сравнява броят на определените оператори на основни услуги в държавите членки за 100 000 жители. Тук се посочва, че подходите, предприети от държавите членки за определяне на операторите, дават много различни резултати.
При по-задълбоченото проучване на секторите и подсекторите се разкриват значителни различия между държавите членки по отношение на определения брой във всички сектори, обхванати от приложение II ( фигура 4 ). Например в енергийния сектор броят започва от 0,3 оператора и достига до 29 оператора за 1 000 000 жители. Числата в банковия сектор варират от 0,07 оператора до 51 оператора за 1 000 000 жители (без да се вземат предвид държавите членки, които не са определили нито един оператор на основни услуги в този сектор).
Фигура 4: Брой оператори на основни услуги, определени от 25 държави членки във всеки сектор и подсектор (за 1 000 000 жители, в логаритмична скала, извънредните стойности са пропуснати за по-голяма яснота). Всяка точка представлява броя на определените оператори на основни услуги от дадена държава членка в съответния (под)сектор 14 .
2.5Прилагане на директивата в сектори, различни от включените в приложение II
Проучване на предоставените данни разкрива, че 11 от 28-те държави членки са определили основни услуги в сектори, които не попадат в обхвата на приложение II към директивата. 7 от тези 11 държави членки са определили общо 157 ООУ, предоставящи услуги, които не са обхванати от видовете субекти в приложение II.
|
Допълнителен сектор |
Примери за субекти |
Брой държави членки |
|
Информационни инфраструктури |
Центрове за данни, сървърни ферми |
5 |
|
Финансови услуги (субекти, които не са изброени в приложение II) |
Застрахователни и презастрахователни дружества |
4 |
|
Държавни услуги |
Електронни услуги за граждани |
4 |
|
Топлинна енергия |
Производители и доставчици на топлинна енергия |
3 |
|
Отпадъчни води |
Съоръжения за събиране и пречистване на отпадни води |
3 |
|
Логистика |
Пощенски услуги |
2 |
|
Хранителни продукти |
Производители на храни, места за търговия |
2 |
|
Околна среда |
Обезвреждане на опасни отпадъци |
2 |
|
Услуги, свързани с националната сигурност/услуги при спешни случаи |
112, управление на кризи |
2 |
|
Химическа промишленост |
Доставчици и производители на вещества |
2 |
|
Социални услуги |
Субекти, които отговарят за социалните помощи |
1 |
|
Образование |
Органи, които отговарят за националните изпити |
1 |
|
Обществено хранене |
Управление на дистрибуцията |
1 |
|
Вода |
Хидравлични конструкции |
1 |
Таблица 5: Сектори, избрани от държавите членки в допълнение към изброените в приложение II
Информационните инфраструктури (определени от пет държави членки), финансовите услуги, предоставяни от субекти, които не са изброени в приложение II (определени от четири държави членки), и услугите в сектор „Държавно управление“ (определени от четири държави членки) са най-популярните категории ( таблица 5 ).
Като се има предвид колко важна е киберустойчивостта за функционирането на икономиката и обществото като цяло, редица държави членки са решили да използват възможността да обхванат сектори, различни от посочените в приложение II. Фактът, че няколко държави членки са избрали да прилагат Директивата за МИС в допълнителни сектори, поражда въпроса дали настоящият обхват на приложение II е подходящ за постигане на целта за защита на всички особено важни за обществото и икономиката оператори в Съюза.
2.6Процедурата за трансгранични консултации
В член 5, параграф 4 от Директивата за МИС се изисква държавите членки да започнат консултации помежду си, преди да вземат окончателно решение за определянето на оператори, предоставящи услуги в повече от една държава членка. През юли 2018 г. групата за сътрудничество издаде референтен документ, за да помогне на държавите членки да провеждат подходящи трансгранични консултации 15 .
Според получената информация много малко национални органи са решили да се свържат със своите колеги в други държави членки, а само две държави членки са се свързали с други държави членки за подробни консултации. Освен това само няколко държави членки са посочили, че понякога са се обръщали към други органи. Въпреки голямото значение на трансграничните услуги за вътрешния пазар повечето държави членки, които са се свързали с други държави членки, са направили това само за много ограничен брой оператори. Въпреки ограниченото използване на процедурата от държавите членки много национални органи са изразили интерес към процеса на трансгранични консултации и считат това за важен елемент от рамката за определяне в областта на МИС. В действителност няколко държави членки са изразили загриженост, че без ефективни трансгранични консултации операторите могат да бъдат принудени да се справят с множество различни регулаторни изисквания или да бъдат поставени в неравностойно положение спрямо други оператори на основни услуги, действащи на пазара в страни, чиито разпоредби на са толкова стриктни.
Съвместно с националните органи Комисията установи няколко причини, поради които процедурата за консултации засега не се използва по предназначение:
·в много държави членки определянето на ООУ е отнело повече време от очакваното. Следователно онези, извършили първи определянето, не са били в състояние да се консултират с тези страни.
·Липсата на сигурни канали за прехвърляне на информация: някои държави членки изразиха нежелание да комуникират със своите колеги, защото считат имената на операторите за класифицирана информация.
·Значителният брой съществуващи трансгранични зависимости, което доведе до необходимостта от връзка със значителен брой засегнати държави членки, особено в случая на общоевропейски оператори.
·Липсата на общо разбиране на целите и обхвата на трансграничните консултации: докато някои държави членки разглеждат това като инструмент за взаимно информиране относно определянето на ООУ с трансгранично въздействие, други виждат целта на тези консултации в приравняването на праговете и на регулаторните изисквания. В съображение 24 от директивата се посочва, че консултациите представляват най-вече процедура за съвместна оценка на влиянието на оператора за целите на процеса на определяне.
·Друг проблем възниква, когато две държави членки се обърнат към друга държава членка по отношение на един оператор. В такъв случай въпросната държава членка може да не е в състояние да съгласува правилата си едновременно с двете държави. За тази цел в съображение 24 се предвиждат многостранни обсъждания. Важно е държавите членки да използват тази възможност, за да се гарантира последователност.
2.7Отчитане на принципа lex specialis в процеса на определяне
Комисията установи известна степен на непоследователност между държавите членки по отношение на прилагането на принципа lex specialis. Това е причина за несъгласувано прилагане на директивата, което доведе, от една страна, до определяне на оператори на основни услуги в сектори, в които се прилагат специфични за секторите правила, а от друга — до определяне на недостатъчен брой оператори в някои сектори от приложение II.
В член 1, параграф 3 се предвижда, че Директивата за МИС не се прилага за предприятия, които са предмет на изискванията на Рамковата директива за далекосъобщенията 16 . Изглежда обаче някои държави членки са определили оператори, предоставящи услуги, които всъщност трябва да бъдат регулирани съгласно Рамковата директива за далекосъобщенията, като например интернет достъп и телефонни услуги.
Освен това съгласно член 1, параграф 7 разпоредбите на Директивата за МИС относно изискванията за сигурност и уведомяването за инциденти не се прилагат за оператори, които вече са регулирани от специфични за сектора законодателни актове на Съюза, установяващи задължения с поне равностоен ефект.
Макар повечето държави членки да са определили оператори на основни услуги в секторите на банковото дело и на финансовите пазари, няколко държави членки не са определили оператори на основни услуги, твърдейки, че операторите предоставят услуги, попадащи в обхвата на leges speciales.
Комисията все още е в процес на събиране на подробна информация за прилагането на принципа lex specialis съгласно Директивата за МИС. В момента тя провежда задълбочени проверки на националното законодателство и държавни посещения, за да оцени текущото ниво на транспониране и прилагане на директивата, включително по отношение на разпоредбите lex specialis. Въз основа на това Комисията възнамерява да продължи обсъждането на принципа lex specialis в групата за сътрудничество с оглед постигане на по-добро съответствие между държавите членки.
3.Заключения
В настоящия доклад се оценяват избраните от държавите членки подходи за определяне на ООУ съгласно Директивата за МИС. Целта му е да се оцени степента на последователност между практиките на държавите членки с оглед на възможното въздействие на настоящата рамка върху функционирането на вътрешния пазар и управлението на рисковете, свързани с киберзависимостта.
В извършения анализ се посочва, че Директивата за МИС е послужила като катализатор в много държави членки, проправяйки пътя за реални промени в институционалните и регулаторните условия по отношение на киберсигурността. Освен това задължението за определяне на оператори на основни услуги е предизвикало цялостна оценка на рисковете, свързани с операторите, които извършват критични дейности, и със съвременните мрежи и информационни системи в почти всички държави членки. Това може като цяло да се счита за постижение на Съюза в съответствие с целите на директивата.
За целите на настоящия доклад Комисията проучи националните методологии за определяне, услугите, считани от националните органи за основни, праговете за определяне и броя на операторите на основни услуги, определени в различните обхванати от директивата сектори:
·Държавите членки са разработили разнообразни методологии по отношение както на цялостния подход за определяне на ООУ (раздел 2.1), така и на определянето на основни услуги и на прагове. Това може да окаже отрицателно въздействие върху последователното прилагане на разпоредбите за МИС в Съюза с възможни последици за доброто функциониране на вътрешния пазар и ефективното справяне с киберзависимостите.
·Освен това изглежда, че държавите членки тълкуват по различен начин какво представлява основна услуга съгласно Директивата за МИС и затова прилагат различни степени на подробност (вж. Раздел 2.2). Това затруднява сравняването на списъците с основни услуги. Съществува също така риск приложното поле на директивата да бъде фрагментирано, тъй като някои оператори са изложени на допълнително регулиране (защото са били определени от съответната държава членка), докато други, които предоставят сходни услуги, остават изключени от приложното поле (защото не са определени). За да се отстранят тези несъответствия, са необходими допълнителни усилия на държавите членки на базата на натрупания опит за съставяне на по-хармонизиран списък на основните услуги.
·Освен това в самия доклад също са посочени значителни несъответствия в начина, по който държавите членки прилагат праговете (раздел 2.3). За решаване на този проблем може да помогне по-нататъшното привеждане на праговете в съответствие с изискванията на равнище ЕС. Работата по привеждането може да бъде извършена например чрез секторни работни направления в рамките на групата за сътрудничество, като се вземат предвид националните особености, като специалните изисквания на малките държави членки.
·Някои страни са използвали възможността да определят основни услуги в допълнителни сектори или подсектори, извън обхванатите от приложение II, като този факт подчертава, че има и други сектори, които са потенциално уязвими към киберинциденти и които не са взети предвид в Директивата за МИС (раздел 2.5). Определянето на оператори на основни услуги в сектори като информационна инфраструктура и финансови услуги, които не са сред субектите, изброени в приложение II, както и услугите в сектор „Държавно управление“ могат да подобрят киберустойчивостта на организациите в тези отрасли. Ако обаче само част от държавите членки определят оператори на основни услуги в такива сектори, това би могло да има отрицателни последици за вътрешния пазар и за условията на равнопоставеност, които той следва да гарантира.
Множеството методологии и най-добри практики, които националните органи са разработили, са от особено значение и следва да бъдат взети под внимание в бъдеще, например в работата на групата за сътрудничество и продължаващото определяне на оператори на основни услуги от държавите членки. Настоящото ниво на многообразие обаче може да има отрицателно въздействие върху постигането на целите на директивата.
Комисията прави предварителното заключение, че макар с Директивата за МИС да е започнат основен процес за разширяване и подобряване на практиките за управление на риска на операторите в секторите от критично значение, в Съюза е налице значителна степен на фрагментиране по отношение на определянето на ООУ. Това се дължи отчасти на предвиденото в директивата, а също и на различните методологии за прилагане, използвани от държавите членки.
Държавите членки трябва да се стремят да прилагат разпоредбите на Директивата за МИС по възможно най-последователен начин, като използват пълноценно указанията, разработени от Комисията и групата за сътрудничество. Поради това Комисията определи няколко национални действия, които биха могли да помогнат за облекчаване на изтъкнатите в настоящия доклад проблеми:
·Много държави членки не са завършили процеса на определяне на ООУ в рамките на срока, определен от директивата. Освен това към датата на публикуване на настоящия доклад 23 държави членки са представили всички необходими данни съгласно член 5, параграф 7. Останалите 5 държави членки са предоставили частична информация. Комисията настоятелно призовава националните органи, отговорни за определянето, да завършат процеса възможно най-бързо и да предадат необходимата информация на Комисията в най-кратки срокове.
·Компетентните органи следва редовно да преглеждат своите списъци с основни услуги и да гарантират, че всички съществуващи основни услуги са определени, така че да се намали броят „пропуски по отношение на последователността“ за основните услуги на вътрешния пазар.
·Държавите членки следва да установят по-активно взаимодействие помежду си, за да изравнят праговете, когато това е възможно, особено в секторите със силно трансгранично измерение, като транспорт или енергетика. Това може да бъде постигнато чрез процедурата за трансгранични консултации, предвидена в член 5, параграф 4 от Директивата за МИС, но също и чрез по-добро използване на съществуващите структури на групата за сътрудничество.
·Националните органи трябва да се консултират помежду си, за да гарантират, че на вътрешния пазар трансграничните оператори са изправени пред сходни изисквания за сигурност и докладване на инциденти. Освен това държавите членки следва да се свържат с такива оператори, за да съберат повече информация относно регулаторните различия. Повишената киберустойчивост не следва да се постига за сметка на регулаторно фрагментиране. Когато е необходимо държавите членки следва също да участват в многостранни дискусии, както е предвидено в съображение 24 от Директивата за МИС.
В допълнение към националните действия съществуват редица мерки, които могат да бъдат предприети на равнището на Съюза и които биха довели до по-голяма последователност. Комисията ще започне дискусии за подобряване на неравномерните и понякога фрагментирани условия на определяне на ООУ. Някои от възможните мерки са:
·Ролята на групата за сътрудничество във връзка с МИС следва да бъде засилена, за да се насърчи общото разбиране за прилагането на директивата по един по-последователен начин. За тази цел Комисията ще предложи съществуващото специално работно направление за определянето на ООУ да преразгледа в кратък срок своите насоки за по-добро справяне със съществуващите несъответствия. Групата за сътрудничество следва също да проучи създаването на допълнителни секторни работни направления 17 с оглед увеличаване на съгласуваността между държавите членки и използването на специално създаден комуникационен инструмент за подобряване на сътрудничеството в рамките на групата.
·Много малко държави членки използват понастоящем процедурата за трансгранични консултации, когато определят операторите, които предоставят основни услуги в повече от една държава членка. За да засили обменът на информация, групата за сътрудничество следва да преразгледа своя референтен документ за условията на процеса на консултации в случаи с трансгранично въздействие и да постигне съгласие за последователно тълкуване на обхвата, целите и процедурите на тази дейност. Същевременно Комисията ще разгледа начините, които дават възможност за сигурен обмен на информация между компетентните органи.
·Изглежда има известна степен на несъответствие в прилагането на разпоредбите на директивата относно lex specialis сред държавите членки. Следователно Комисията ще използва структурите на групата за сътрудничество, за да обсъди случаите, при които принципът lex specialis може би е приложен неправилно.
Действията, предприети на равнището на Съюза, следва да гарантират съгласувана рамка, като се вземат предвид както секторните мерки, предвиждащи конкретни или по-високи изисквания към киберсигурността, така и останалото европейско законодателство.
4.Приложения
4.1Преглед на наличните данни по държави членки
|
Държава членка |
Дата на подаване |
Списък на услугите |
Брой на операторите на основни услуги |
Прагове |
|
AT |
Закъсняло подаване |
Получен |
ЛИПСВА |
Получен |
|
BE |
Закъсняло подаване |
Получен |
ЛИПСВА |
ЛИПСВА |
|
BG |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
CY |
Подаване в срок |
Получен |
Получен |
Получен |
|
CZ |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
DE |
Подаване в срок |
Получен |
Получен |
Получен |
|
DK |
Подаване в срок |
Получен |
Получен |
Получен |
|
EE |
Подаване в срок |
Получен |
Получен |
Получен |
|
EL |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
ES |
Подаване в срок |
Получен |
Получен |
Получен |
|
FI |
Подаване в срок |
Получен |
Получен |
Получен |
|
FR |
Подаване в срок |
Получен |
Получен |
Няма официални прагове |
|
HR |
Подаване в срок |
Получен |
Получен |
Получен |
|
HU |
Подаване в срок |
Получен отчасти |
Получен отчасти |
Получен отчасти |
|
IE |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
IT |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
LT |
Подаване в срок |
Получен |
Получен |
Получен |
|
LU |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
LV |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
MT |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
NL |
Закъсняло подаване |
Получен |
Получен |
Получен |
|
PL |
Подаване в срок |
Получен |
Получен |
Получен |
|
PT |
Подаване в срок |
Получен |
Получен |
Получен |
|
RO |
Закъсняло подаване |
Получен |
Получен отчасти |
ЛИПСВА |
|
SE |
Подаване в срок |
Получен |
Получен |
Получен |
|
SI |
Закъсняло подаване |
Получен |
ЛИПСВА |
Получен |
|
SK |
Подаване в срок |
Получен |
Получен |
Получен |
|
UK |
Подаване в срок |
Получен |
Получен |
Получен |
4.2Брой на услугите и операторите на основни услуги, определени от всяка държава членка
|
Държава членка |
Определени оператори на основни услуги |
Услуги съгласно приложение II |
Допълнителни услуги |
|
AT |
0 |
46 |
0 |
|
BE |
0 |
31 |
0 |
|
BG |
185 |
30 |
3 |
|
CY |
20 |
29 |
17 |
|
CZ |
50 |
31 |
12 |
|
DE |
573 |
15 |
12 |
|
DK |
128 |
39 |
0 |
|
EE |
137 |
18 |
6 |
|
EL |
67 |
30 |
0 |
|
ES |
132 |
55 |
18 |
|
FI |
10897 18 |
20 |
0 |
|
FR |
127 |
70 |
20 |
|
HR |
85 |
49 |
2 |
|
HU |
42 |
12 |
0 |
|
IE |
64 |
26 |
0 |
|
IT |
553 |
37 |
0 |
|
LT |
22 |
37 |
0 |
|
LU |
49 |
21 |
0 |
|
LV |
66 |
18 |
0 |
|
MT |
36 |
29 |
2 |
|
NL |
42 |
12 |
0 |
|
PL |
142 |
87 |
0 |
|
PT |
1250 |
26 |
0 |
|
RO |
86 |
77 |
0 |
|
SE |
326 |
27 |
0 |
|
SI |
0 |
34 |
2 |
|
SK |
273 |
28 |
7 |
|
UK |
470 |
34 |
0 |
4.3Услуги, определени от държавите членки в електроенергийния подсектор
|
Държава членка |
Определени услуги |
|
AT |
̶Съоръжения за производство на електроенергия ̶Системи за управление в производствени съоръжения ̶Разпределителни мрежи ̶Преносни мрежи |
|
BE |
̶Производствени, транспортни и разпределителни дружества ̶Разпределение на електроенергия ̶Пренос на електроенергия |
|
BG |
̶Производство на електроенергия ̶Пренос на електроенергия ̶Експлоатация, поддръжка и развитие на електропреносна система ̶Разпределение на електроенергия ̶Осигуряване на функционирането и поддържането на електроенергийната разпределителна система ̶Пазар на електроенергия |
|
CY |
̶Производство/Доставка ̶Разпространение/Пренос ̶Услуги на електроенергийния пазар |
|
CZ |
̶Производство на електроенергия ̶Продажба на електроенергия ̶Експлоатация на електропреносната система ̶Експлоатация на електроразпределителната система |
|
DE |
̶Електрозахранване |
|
DK |
̶Пренос на електроенергия ̶Разпределение на електроенергия ̶Производство на електроенергия |
|
EE |
̶Доставка на електроенергия |
|
EL |
̶Доставка на електроенергия ̶Разпределение на електроенергия ̶Пренос на електроенергия |
|
ES |
̶Производство на електроенергия ̶Пренос на електроенергия ̶Разпределение на електроенергия ̶Центрове за експлоатация и управление на електрически системи |
|
FI |
̶Услуги по пренос ̶Разпределение на електроенергия в разпределителната мрежа ̶Електроснабдяване чрез разпределителни мрежи за високо напрежение |
|
FR |
̶Продажба или препродажба на електроенергия на едро и на крайни клиенти ̶Разпределение на електроенергия ̶Пренос на електроенергия |
|
HR |
̶Производство на електроенергия ̶Пренос на електроенергия ̶Разпределение на електроенергия |
|
HU |
̶Електроенергия |
|
IE |
̶Оператори на разпределителната система ̶Електроенергийни предприятия ̶Оператори на преносната система |
|
IT |
̶Производство ̶Търговия ̶Пренос ̶Разпределение |
|
LT |
̶Производство на електроенергия ̶Пренос на електроенергия ̶Разпределение на електроенергия ̶Доставка на електроенергия |
|
LU |
̶Доставка на електроенергия ̶Разпределение на електроенергия ̶Пренос на електроенергия |
|
LV |
̶Производство на електроенергия ̶Разпределение на електроенергия ̶Пренос на електроенергия |
|
MT |
̶Доставка на електроенергия на потребители ̶Пренос и/или разпределение на електроенергия на потребители ̶Производство на електроенергия за потребители |
|
NL |
̶Пренос и разпределение на електроенергия |
|
PL |
̶Производство на електроенергия ̶Пренос на електроенергия ̶Разпределение на електроенергия ̶Търговия с електроенергия ̶Акумулиране на електроенергия ̶Услуги за осигуряване на качеството и за управление на енергийната инфраструктура |
|
PT |
̶Оператори на разпределителна система ̶Оператори на преносната система |
|
RO |
̶Производство на електроенергия ̶Доставка на електроенергия на потребители ̶Експлоатация на централизирани пазари на електроенергия ̶Пренос на електрическа енергия ̶Експлоатация на електроенергийна система ̶Разпределение на електроенергия |
|
SE |
̶Оператор на преносна система ̶Оператор на разпределителна система ̶Производство ̶Търговия на едро |
|
SI |
̶Производство на електроенергия във ВЕЦ ̶Производство на електроенергия в ТЕЦ, атомни централи ̶Пренос на електроенергия ̶Разпределение на електроенергия ̶Търговия с електрическа енергия |
|
SK |
̶Електроенергийни дружества ̶Оператор на преносна система ̶Оператор на разпределителна система |
|
UK |
̶Доставка на електроенергия ̶Пренос на електроенергия ̶Разпределение на електроенергия |
4.4Услуги, определени от държавите членки в подсектора на железопътния транспорт
|
Държава членка |
Определени услуги |
|
AT |
̶Железопътна инфраструктура ̶Железопътен превоз на товари ̶Железопътен превоз на пътници ̶Железопътни гари |
|
BE |
̶Управители на инфраструктура ̶Железопътни предприятия |
|
BG |
̶Доставка, поддръжка и управление на сервизни съоръжения ̶Железопътен транспорт от железопътни превозвачи ̶Услуги по управление на железопътния транспорт |
|
CY |
Няма определяне в този подсектор |
|
CZ |
̶Железопътна експлоатация ̶Експлоатация на железопътен транспорт или сервизно съоръжение |
|
DE |
̶Железопътен транспорт |
|
DK |
̶Управление на железопътна инфраструктура ̶Железопътен транспорт |
|
EE |
̶Управител на железопътна инфраструктура ̶Услуги в областта на железопътния транспорт |
|
EL |
̶Управление на железопътна инфраструктура ̶Железопътни услуги |
|
ES |
̶Услуги по управление на железопътния транспорт ̶Управление на железопътния транспорт ̶Услуги в областта на железопътната мрежа ̶Управление на информацията и телекомуникациите в железопътния транспорт |
|
FI |
̶Управление на държавната инфраструктура ̶Услуги по управление на движението |
|
FR |
̶Железопътни услуги ̶Контрол и управление на железопътното движение ̶Поддръжка на инфраструктура ̶Товари и опасни материали ̶Пътнически транспорт ̶Поддръжка на подвижния състав ̶Услуги, свързани с метро, трамвай и полуметро (включително подземни комуникации) |
|
HR |
̶Управление и поддържане на железопътната инфраструктура, включително управление на движението и подсистемата за контрол, управление и сигнализация ̶Услуги в областта на железопътния транспорт на стоки и/или пътници ̶Управление на сервизни съоръжения и предоставяне на услуги в сервизни съоръжения ̶Предоставяне на допълнителни услуги, необходими за железопътния транспорт на товари или пътници |
|
HU |
Няма определяне в този подсектор |
|
IE |
̶Управители на инфраструктура ̶Железопътни предприятия |
|
IT |
Няма определяне в този подсектор |
|
LT |
̶Превоз на пътници и багаж с железопътен транспорт ̶Услуги в областта на товарния железопътен транспорт ̶Услуги в областта на развитието, управлението и поддръжката на железопътната инфраструктура |
|
LU |
̶Управление на железопътна инфраструктура ̶Товарен и пътнически железопътен транспорт |
|
LV |
Не е приложимо |
|
MT |
Не е приложимо |
|
NL |
Няма определяне в този подсектор |
|
PL |
̶Изготвяне на разписания на влаковете ̶Пътнически железопътен транспорт ̶Товарен железопътен транспорт |
|
PT |
̶Управители на инфраструктура по смисъла на член 3, точка 2 от Директива 2012/34/ЕС на Европейския парламент и на Съвета. ̶Железопътни предприятия по смисъла на член 3, точка 1 от Директива 2012/34/ЕС, включително оператори на обслужващи съоръжения по смисъла на член 3, точка 12 от Директива 2012/34/ЕС. |
|
RO |
̶Контрол и управление на движението ̶Товарен транспорт ̶Превоз на опасни товари ̶Пътнически транспорт ̶Услуги, свързани с метро, трамвай и полуметро ̶Поддръжка на железопътната инфраструктура ̶Поддръжка на подвижния състав |
|
SE |
̶Управление на инфраструктурата ̶PAX транспорт ̶Превоз на товари |
|
SI |
̶Пътнически железопътен транспорт, междуселищен ̶Товарен железопътен транспорт ̶Сервизни дейности, свързани със сухопътния транспорт (експлоатация на гари и др.) |
|
SK |
̶Оператори на инфраструктура ̶Железопътни дружества |
|
UK |
̶Железопътни услуги ̶Високоскоростни железопътни услуги ̶Услуги, свързани с метро, трамваи и полуметро (включително подземни комуникации) ̶Международни железопътни услуги |
ОВ L 194, 19.7.2016 г., стр. 1.
До септември 2019 г. всички 28 държави членки изпратиха уведомление за пълно транспониране.
Съобщение на Комисията до Европейския парламент и Съвета: Максимално оползотворяване на МИС — за ефективно прилагане на Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза, COM(2017) 476.
Групата за сътрудничество във връзка с МИС, която се състои от държави членки, Комисията и ENISA (Агенцията на Европейския съюз за мрежова и информационна сигурност), създаде отделно работно направление с цел обмен на информация и на най-добри практики между държавите членки относно определянето на ООУ.
Например през май 2017 г. WannaCry — зловреден софтуер за изнудване на основата на криптиращ компютърен червей, се разпространи само за един ден в над 150 страни и зарази около 200 000 компютъра.
Според групата за сътрудничество във връзка с МИС отвореността на вътрешния пазар на услуги може да доведе до „трансгранични рискове и зависимости, които съществено засягат наличието, целостта и поверителността на тези услуги“.
Съгласно член 10, параграф 3 от Директивата за МИС всяка година държавите членки представят на групата обобщен доклад за получените уведомления за инциденти.
Примери за валидни за всички сектори фактори са броят на ползвателите, които разчитат на дадена услуга, или пазарният дял на субекта. Примери за характерни за сектора фактори са броят на автономните системи, свързани към точка за интернет обмен (ТОИ), или годишният брой на транзакциите на финансовата институция.
Австрия, Белгия, Гърция, Унгария, Румъния и Словения.
Директива 2008/114/ЕО на Съвета от 8 декември 2008 година относно установяването и означаването на европейски критични инфраструктури и оценката на необходимостта от подобряване на тяхната защита. Целта на директивата е да бъде засилена защитата на критичните инфраструктури в секторите на енергетиката и транспорта.
Идентичните точки са нанесени една върху друга. Поради това не всички 28 точки са видими върху графиката. Например 17 държави членки са определили точно три основни услуги във връзка с цифровите инфраструктури.
Например една държава членка е разработила седем фактора (четири от т.нар. „фактори, зависещи от оператора“ и три от т.нар. „фактори, зависещи от въздействието“), които участват в една единствена формула. Ако крайната стойност на изчислението надхвърли определен праг, въпросният оператор се признава за оператор на основни услуги.
Секторът на логистиката не е обхванат от приложение II към Директивата за МИС.
Идентичните точки са нанесени една върху друга. Поради това не всички 25 точки са видими върху графиката. Например Дания и Нидерландия са определили по 0,35 оператори за 1 000 000 жители в подсектора на въздушния транспорт.
Определяне на оператори на основни услуги – Референтен документ за условията на процеса на консултации в случаи с трансгранично въздействие, Публикация на групата за сътрудничество 07/2018 г.
Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март 2002 г. относно общата регулаторна рамка за електронните съобщителни мрежи и услуги.
Работни направления за енергийните и за цифровите инфраструктури бяха създадени през юни 2018 г. и юли 2019 г.
Поради методологията за определяне, използвана от Финландия в здравния сектор, броят на операторите на основни услуги е много голям.
