(1)

Мрежовите и информационните системи и услуги имат изключително важна роля в обществото. Тяхната надеждност и сигурност са от основно значение за свободата и цялостната сигурност на гражданите на Съюза, както и за стопанските дейности и общественото благополучие и особено за функционирането на вътрешния пазар. [Изм. 1]

(2)

Мащабите , честотата и въздействието на нарочно предизвиканите или случайно настъпили инциденти инцидентите в сигурността и честотата, с която се появяват те, се увеличават и представляват крупна заплаха пред функционирането на мрежите и информационните системи. Тези системи могат също да се превърнат в лесна мишена за нарочно предизвикани злонамерени действия, имащи за цел да навредят на функционирането на системите или да го прекъснат. Подобни инциденти могат да попречат на осъществяването на стопански дейности, да причинят значителни финансови загуби, да подкопаят доверието на потребителите и инвеститорите, да причинят големи вреди на икономиката на Съюза и в крайна сметка да поставят под заплаха благосъстоянието на гражданите на Съюза и способността на държавите членки да се защитават и да гарантират сигурността на критичните инфраструктури . [Изм. 2]

(3)

Като комуникационен инструмент без граници цифровите информационни системи и най-вече интернет играят основна роля за улесняването на трансграничното движение на стоки, услуги и хора. Поради транснационалния характер на тези системи значителните нарушения в дейността им в една държава членка могат да засегнат и други държави членки, както и Съюза като цяло. Устойчивостта и стабилността на мрежите и информационните системи е поради това от основно значение за безпроблемното функциониране на вътрешния пазар.

(3a)

Тъй като често причините за повреди в системата продължават да са неумишлени, като природни бедствия или човешка грешка, инфраструктурата следва да е устойчива както на умишлени, така и на неумишлени нарушения, а операторите на критичната инфраструктура следва да създадат основани на устойчивост системи. [Изм. 3]

(4)

На равнището на Съюза следва да бъде изграден механизъм за сътрудничество, който да дава възможност за обмен на информация и координирано координирана превенция, откриване и отговор във връзка с мрежовата и информационна сигурност („МИС“). За да бъде ефективен и приобщаващ този механизъм, е от основно значение всички държави членки да разполагат с минимален капацитет и със стратегия, гарантираща високо равнище на МИС на тяхна територия. Поне към публичните администрации и операторите на критична информационна определени участници на пазара в областта на информационната инфраструктура следва да се прилагат и минимални изисквания по отношение на сигурността с цел да се насърчава култура на управление на риска и да се гарантира докладването на най-сериозните инциденти. Дружествата, регистрирани за борсова търговия, следва да бъдат насърчавани да оповестяват инцидентите в своите финансови доклади на доброволна основа. Правната рамка следва да се основава на необходимостта от защита на неприкосновеността на личния живот и неприкосновеността на гражданите. Предупредителната информационна мрежа за критичната инфраструктура (ПИМКИ) следва да бъде разширена и да обхване участниците на пазара, обхванати от настоящата директива. [Изм. 4]

(4a)

Докато поради своята обществена мисия публичните администрации следва да полагат дължима грижа в управлението и защитата на собствените си мрежи и информационни системи, настоящата директива следва да се съсредоточи върху критичната инфраструктура, която е от основно значение за поддържането на особено важни икономически и обществени дейности в сферата на енергетиката, транспорта, банковото дело, инфраструктурите на финансовия пазар и здравеопазването. Разработващите софтуер и производителите на хардуер следва да бъдат изключени от приложното поле на настоящата директива. [Изм. 5]

(4б)

Сътрудничеството и координацията между съответните органи на Съюза с върховния представител на Съюза по въпросите на външните работи и политиката на сигурност и заместник-председател на Комисията, натоварен с отговорността за общата външна политика и политика на сигурност и общата политика за сигурност и отбрана, както и с координатора на ЕС за борба с тероризма следва да бъдат гарантирани, когато се счита, че инцидентите със значително въздействие имат външен или терористичен характер. [Изм. 6]

(5)

С цел да бъдат обхванати всички имащи отношение инциденти и рискове настоящата директива следва да се прилага за всички мрежови и информационни системи. Задълженията за публичните администрации и участниците на пазара обаче не следва да се прилагат за предприятията, предоставящи обществени съобщителни мрежи или обществено достъпни електронни съобщителни услуги по смисъла на Директива 2002/21/ЕО на Европейския парламент и на Съвета (3), които са обект на конкретните изисквания за сигурност и цялост, определени в член 13a от посочената Директива, нито към доставчиците на удостоверителни услуги.

(6)

Съществуващият капацитет не е достатъчен, за да гарантира високо равнище на МИС в Съюза. Равнището на готовност на различните държави членки е твърде различно, което води до фрагментираност на подходите в различните части на Съюза. Това от своя страна е причина за нееднаква степен на защита на потребителите и стопанските субекти и подкопава общото ниво на МИС в Съюза. Отсъствието на общи минимални изисквания за публичните администрации и участниците на пазара от своя страна прави невъзможно изграждането на глобален и ефективен механизъм за сътрудничество на равнище Съюза. Университетите и изследователските центрове играят решаваща роля за стимулиране на научноизследователската и развойна дейност и новаторството в тези области и следва да им се предостави достатъчно финансиране. [Изм. 7]

(7)

Поради това ефективният отговор на предизвикателствата пред сигурността на мрежовите и информационните системи изисква глобален подход на равнище Съюза, който да включва общи минимални изисквания за изграждане на капацитет и планиране, развиване на необходимите умения в областта на киберсигурността, обмен на информация и координиране на действията и общи минимални изисквания по отношение на сигурността за всички имащи отношение участници на пазара и публични администрации. Минимални общи стандарти следва да се прилагат в съответствие с подходящи препоръки от страна на групите за координация по отношение на киберсигурността. [Изм. 8]

(8)

Разпоредбите на настоящата директива следва да не засягат възможността всяка държава членка да предприема необходимите мерки, с които да гарантира сигурността на защитата на своите основни интереси в сферата на сигурността, да опазва публичната политика и публичната сигурност и да дава възможност за разследването, разкриването и преследването на престъпления. В съответствие с член 346 от Договора за функционирането на Европейския съюз (ДФЕС) нито една държава членка не може да бъде задължавана да предоставя информация, чието разкриване тя счита за противоречащо на основните интереси на нейната сигурност. Нито една държава членка не е задължена да разкрива класифицирана информация на ЕС съгласно предвиденото в Решение 2011/292/ЕС  (4) , информация, която е предмет на споразумения за неразкриване на информация или неформални споразумения за неразкриване на информация, като например Протокола „Светофар“ (Traffic Light Protocol). [Изм. 9]

(9)

С цел постигане и поддържане на общо високо равнище на сигурност на мрежовите и информационните системи всяка държава членка следва да има национална стратегия за МИС, в която да са определени стратегическите цели и конкретните действия на политиката, които ще бъдат изпълнявани. На национално ниво въз основа на минималните изисквания, посочени в настоящата директива, следва да бъдат разработени планове за сътрудничество за МИС, които да отговарят на основните изисквания, с цел да бъдат постигнати нива на капацитет на отговора, даващи възможност в случай на инциденти за ефективно и ефикасно сътрудничество на национално равнище и на равнище Съюза , като се зачита и защитава неприкосновеността на личния живот и личните данни . Следователно всяка държава членка следва да бъде задължена да отговаря на общите стандарти относно формата на данните и заменяемостта на данните, които се споделят и оценяват. Държавите членки следва да могат да поискат помощ от Европейската агенция за мрежова и информационна сигурност (ENISA) при разработване на своите национални стратегии за МИС въз основа на общ план с минимални изисквания по отношение на стратегията за МИС . [Изм. 10]

(10)

С цел да се осигури възможност за ефективно изпълнение на разпоредбите, приети в съответствие с настоящата директива, във всяка държава членка следва да бъде създаден или определен орган, който да отговоря за координацията на въпросите във връзка с МИС и да бъде център за трансгранично сътрудничество. Тези органи следва да получат достатъчно технически, финансови и човешки ресурси, за да се гарантира, че са в състояние да изпълняват ефективно и ефикасно определените им задачи и по този начин да постигат целите на настоящата директива.

(10a)

С оглед на различията в националните структури на управление и с цел да се защитят вече съществуващи секторни споразумения или надзорни и регулаторни органи на Съюза и за да се избегне дублиране, държавите членки следва да могат да определят повече от един национален компетентен орган, отговарящ за изпълнение на задачите, свързани със сигурността на мрежите и информационните системи на участниците на пазара съгласно настоящата директива. За да се гарантира обаче гладко трансгранично сътрудничество и комуникация, е необходимо всяка държава членка, без да засяга секторните регулаторни споразумения, да определи само едно национално звено за контакт, което да отговаря за трансграничното сътрудничество на равнището на Съюза. Когато това се налага от конституционния ред или от други договорености, дадена държава членка следва да може да определи само един орган, който да изпълнява задачите на компетентния орган и на единичното звено за контакт. Компетентните органи и единичните звена за контакт следва да бъдат граждански органи, които подлежат на пълен демократичен надзор, и не следва да изпълняват никакви задачи в областта на разузнаването, правоприлагането или отбраната или под някаква форма да са организационно свързани с органи, действащи в тези области. [Изм. 11]

(11)

Всички държави членки и участници на пазара следва да бъдат достатъчно добре подготвени и като технически, и като организационен капацитет да предотвратяват, реагират на и ограничават инциденти и рискове в мрежовите и информационните системи по всяко време . Системите за сигурност на публичните администрации следва да бъдат безопасни и да подлежат на демократичен контрол и проверка. Общото необходимо оборудване и капацитет следва да бъдат в съответствие със съвместно договорените технически стандарти, както и със стандартните процедури за работа (СПО). За целта във всички държави членки следва да бъдат създадени добре функциониращи екипи за незабавно реагиране при компютърни инциденти (CERT) , отговарящи на основни изисквания, които да гарантират наличието на ефективен и съвместим капацитет за справяне с инциденти и рискове и да осигуряват ефикасно сътрудничество на равнище Съюза. Тези CERT следва да могат да си взаимодействат въз основа на общите технически стандарти и СПО. С оглед на различните характеристики на съществуващите CERT, които отговарят на различни субективни нужди и участници, държавите членки следва да гарантират, че за всеки един от секторите, включени в списъка на участниците на пазара, посочен в настоящата директива, се предоставят услуги от поне един CERT. По отношение на трансграничното сътрудничество между CERT държавите членки следва да гарантират, че CERT разполагат с достатъчно средства, за да участват в съществуващите вече действащи международни и европейски мрежи за сътрудничество. [Изм. 12]

(12)

Като използват значителния напредък, постигнат в рамките на Европейския форум за държавите членки (ЕФДЧ) при насърчаването на дискусиите и обмена на добри практики в политиките, включително разработването на принципи на европейското сътрудничество при киберкризи, държавите членки и Комисията следва да създадат мрежа, която да им осигурява постоянна комуникация и да оказва подкрепа на тяхното сътрудничество. Този сигурен и ефикасен механизъм за сътрудничество , включващ по целесъобразност участието на участниците на пазара, следва да дава възможност за структуриран и координиран обмен на информация, откриване и отговор на равнище равнището на Съюза. [Изм. 13]

(13)

Европейската агенция за мрежова и информационна сигурност („ENISA“) следва да оказва подкрепа на държавите членки и на Комисията, като предоставя на разположение своите експертни познания и консултации и улеснява обмена на най-добри практики. Комисията и държавите членки по-специално следва да се консултира консултират с ENISA при прилагането на настоящата директива. За да се осигури навременна и ефикасна информация за държавите членки и Комисията, в рамките на мрежата за сътрудничество следва да се подават ранни предупреждения за инциденти и рискове. С цел у държавите членки да бъдат натрупани познания и изграден капацитет мрежата за сътрудничество следва да служи и като инструмент за обмен на най-добри практики, които да подпомагат нейните членове в изграждането на капацитет и да направляват организирането на партньорски проверки и учения за МИС. [Изм. 14]

(13a)

По целесъобразност държавите членки следва да могат да използват или да адаптират съществуващите организационни структури или стратегии при прилагането на разпоредбите на настоящата директива. [Изм. 15]

(14)

Следва да се създаде сигурна инфраструктура за обмен на информация, която да дава възможност за предаване на чувствителна и поверителна информация в мрежата за сътрудничество. Съществуващите структури в рамките на Съюза следва да бъдат изцяло използвани за тази цел. Без да се засяга задължението на държавите членки да уведомяват в мрежата за сътрудничество за инциденти и рискове, чието измерение е от мащабите на Съюза, достъпът до поверителна информация от други държави членки следва да се предоставя само на държави членки, които са доказали, че техните технически, финансови и човешки ресурси и процедури, както и тяхната комуникационна инфраструктура гарантират тяхното ефикасно, ефективно и сигурно участие в мрежата , като използват прозрачни методи . [Изм. 16]

(15)

Тъй като повечето мрежови и информационни системи се експлоатират от частни субекти, сътрудничеството между публичния и частния сектор е от основно значение. Участниците на пазара следва да бъдат насърчавани да развиват свои собствени механизми за неофициално сътрудничество за гарантиране на МИС. Те следва също така да си сътрудничат с публичния сектор и взаимно да обменят информация и най-добри практики , включително реципрочност в размяна размяната на относима информация и оперативна подкрепа , както и анализирана от стратегическа гледна точка информация в случай на инциденти. С цел ефективно насърчаване на споделянето на информация и най-добри практики от основно значение е да се гарантира, че участниците на пазара, които се включват в такава размяна, не са ощетени в резултат на сътрудничеството си. Необходими са достатъчно защитни мерки, за да се гарантира, че подобно сътрудничество няма да изложи тези участници на по-висок риск, свързан със спазването на изискванията, или да доведе до нови задължения съгласно, inter alia, правото в областта на конкуренцията, интелектуалната собственост, защитата на данни или киберпрестъпността, нито ще ги изложи на по-големи рискове във връзка с тяхното функциониране или сигурност. [Изм. 17]

(16)

С цел да се гарантира прозрачност и надлежно информиране на гражданите на ЕС Съюза и участниците на пазара компетентните органи единичните звена за контакт следва да създадат общ уебсайт за целия Съюз , на който да публикуват неповерителна информация относно инциденти рискове , рискове и начини за смекчаване на рисковете и при необходимост да предоставят препоръки за подходящите мерки по поддръжка . Информацията на уебсайта следва да бъде достъпна независимо от използваното устройство. Всички лични данни, публикувани на този уебсайт, следва да се ограничават само до необходимото и да са възможно най-анонимни. [Изм. 18]

(17)

В случаите, когато информация се счита за поверителна в съответствие с националните разпоредби и тези на Съюза относно търговската тайна, се гарантира поверителност при провеждането на дейностите и изпълнението на целите, определени в настоящата директива.

(18)

Въз основа по-специално на националния опит в управлението на кризи и в сътрудничество с ENISA Комисията и държавите членки следва да разработят план на Съюза за сътрудничество за МИС, в който да бъдат определени механизми за сътрудничество , най-добри практики и модели на работа за предотвратяване, откриване, докладване и противопоставяне на рискове и инциденти. Този план следва да бъде надлежно отчитан при работата с ранни предупреждения в мрежата за сътрудничество. [Изм. 19]

(19)

Подаването на ранно предупреждение в мрежата следва да се изисква единствено когато мащабът и тежестта на инцидента или риска са или могат да бъдат от такова значение, че е необходима информация или координация на отговора на равнище Съюза. Ранните предупреждения следва поради това да бъдат ограничени до действителни или потенциални инциденти и рискове, които се разрастват бързо, превишават националния капацитет за отговор или засягат повече от една държава членка. С цел да се осигури възможност за добра оценка в мрежата за сътрудничество следва да се предава всичката информация, имаща отношение към оценката на риска или инцидента. [Изм. 20]

(20)

При получаване на ранно предупреждение и след оценката му компетентните органи единичните звена за контакт следва да постигат съгласие за координиран отговор съгласно плана на Съюза за сътрудничество за МИС. Компетентните органи Единичните звена за контакт, ENISA и Комисията следва да бъдат информирани за мерките, предприети на национално ниво вследствие на координирания отговор. [Изм. 21]

(21)

С оглед на глобалния характер на проблемите в МИС е необходимо по-тясно международно сътрудничество за повишаване на стандартите за сигурност и обмен на информация и насърчаване на общ глобален подход към въпросите на МИС. Всяка рамка за такова международно сътрудничество следва да бъде в съответствие с Директива 95/46/EО на Европейския парламент и на Съвета  (5) и Регламент (EО) № 45/2001 на Европейския парламент и на Съвета  (6) . [Изм. 22]

(22)

Отговорностите за гарантиране на МИС до голяма степен се носят от публичните администрации и участниците на пазара. Следва да се насърчава културата на управление на риска, на тясно сътрудничество и на доверие, част от която са оценката на риска и изпълнението на мерки за сигурност, отговяващи на срещаните рискове рисковете и инцидентите , независимо дали те са предизвикани или случайно настъпили , и тази култура да се развива чрез подходящи регулаторни изисквания и доброволни практики от страна на сектора. Постигането на надеждни еднакви условия също е от основно значение за ефективното функциониране на мрежата за сътрудничество при гарантирането на ефективно сътрудничество от страна на всички държави членки. [Изм. 23]

(23)

В Директива 2002/21/ЕО се изисква предприятията, предоставящи обществени съобщителни мрежи или обществено достъпни електронни съобщителни услуги, да предприемат подходящи мерки за опазване на своята цялост и сигурност и се въвеждат изисквания за уведомяване в случай на нарушаване на сигурността или компрометиране на целостта. В Директива 2002/58/ЕО на Европейския парламент и на Съвета (7) се изисква доставчиците на обществено достъпни електронни съобщителни услуги да предприемат подходящи технически и организационни мерки за опазване на сигурността на своите услуги.

(24)

Обхватът на тези задължения следва да бъде разширен извън сектора на електронните съобщения и да обхване Нарушеното предоставяне на тези основни услуги на информационното общество прави невъзможно предоставянето на други услуги на информационното общество, за които те са основен фактор. Разработващите софтуер и производителите на хардуер не са доставчици на услуги на информационното общество и поради това са изключени. Тези задължения трябва да обхванат и публичните администрации, и операторите на инфраструктура, които разчитат в голяма степен на информационни и комуникационни технологии и са от съществено значение за поддържането на основни икономически или обществени функции, като електро- и газоснабдяване, транспорт, кредитни институции, фондови борси инфраструктури на финансовия пазар и здравеопазване . Нарушаването на дейността на тези мрежови и информационни системи би засегнало вътрешния пазар. Въпреки че обхватът на задълженията, предвидени в настоящата директива, не следва да бъде разширен, за да обхване ключовите доставчици на услуги на информационното общество, определени в Директива 98/34/EО на Европейския Парламент и на Съвета (8), които са в основата на услуги на информационното общество надолу по веригата или на онлайн дейности, като платформи за електронна търговия, портали за плащания в интернет, социални мрежи, машини за търсене, услуги за изчисления в облак като цяло или магазини за приложни програми, тези доставчици биха могли да информират на доброволна основа компетентния орган или единичното звено за контакт за тези инциденти, свързани с мрежовата сигурност, когато считат това за целесъобразно. Компетентният орган или единичното звено за контакт следва при възможност да представи на участниците на пазара, които са го уведомили за инцидента, анализирана от стратегическа гледна точка информация, която ще спомогне за преодоляване на заплахата за сигурността . [Изм. 24]

(24a)

Въпреки че хардуерните и софтуерните доставчици не са участници на пазара, сравними с тези, обхванати от настоящата директива, техните продукти улесняват сигурността на мрежовите и информационните системи. Поради това те имат важна роля за насърчаването на участниците на пазара да обезопасят своите мрежови и информационни инфраструктури. Като се има предвид, че хардуерните и софтуерните продукти вече са предмет на съществуващите правила относно отговорността за продукта, държавите членки следва да гарантират, че тези правила се прилагат. [Изм. 25]

(25)

Техническите и организационните мерки, наложени публичните администрации и участниците на пазара, следва да не изискват проектирането, разработването или производство по определен начин на конкретен търговски продукт на информационните и комуникационните технологии. [Изм. 26]

(26)

Публичните администрации и Участниците на пазара следва да гарантират сигурността на мрежите и системите, които контролират. Това са предимно частни мрежи и системи, управлявани или от вътрешен ИТ персонал, или чиято сигурност е възложена на външни изпълнители. Задълженията във връзка със сигурността и уведомяването следва да се прилагат за съответния участник на пазара и за съответната публична администрация без оглед на това дали те извършват вътрешно поддръжката на своите мрежови и информационни системи или я възлагат на външни изпълнители. [Изм. 27]

(27)

С цел да се избегне налагането на несъразмерна финансова и административна тежест върху малките участници и потребители изискванията следва да бъдат съразмерни с риска, който съществува по отношение на съответната мрежова или информационна система, като се отчитат последните постижения по отношение на подобни мерки. Тези изисквания следва да не се прилагат за микропредприятията.

(28)

Компетентните органи и единичните звена за контакт следва да обръщат необходимото внимание на запазването на неофициалните и ползващи се с доверие канали за споделяне на информация между участниците на пазара и между публичния и частния сектор. Компетентните органи и единичните звена за контакт следва да информират производителите и доставчиците на засегнатите ИКТ продукти и услуги за инциденти със значително въздействие, за които са били уведомени. При даването на публичност на докладваните инциденти компетентните органи и единичните звена за контакт следва да постигат нужния баланс между интереса на обществеността да бъде информирана за заплахите и възможните търговски щети и накърняването на репутацията на публичните администрации и участниците на пазара, които докладват за инцидентите. При изпълнението на задълженията за уведомяване компетентните органи и единичните звена за контакт следва да обръщат особено внимание на необходимостта информацията за уязвимите аспекти на продуктите да бъде запазвана строго поверителна до извършването въвеждането на съответните корекции по отношение на сигурността. Като общо правило единичните звена за контакт не следва да разкриват личните данни на лицата, участващи в инциденти. Единичните звена за контакт следва да разкриват лични данни само когато разкриването на тези данни е необходимо и пропорционално с оглед на преследваната цел. [Изм. 28]

(29)

Компетентните органи следва да разполагат с необходимите средства за изпълнението на своите задължения, включително с правомощия да получават достатъчно информация от участниците на пазара и публичните администрации с цел оценка на нивото на сигурност на мрежовите и информационните системи, измерване на броя, мащаба и обхвата на инцидентите, както и надеждни и комплексни данни за действителните инциденти, които са имали отражение върху работата на мрежовите и информационните системи. [Изм. 29]

(30)

В много случаи инцидентите са предизвикани от престъпни деяния. Престъпният характер на инцидентите може да бъде обект на подозрение, дори ако доказателствата в подкрепа на подобно твърдение не са достатъчно убедителни в самото начало. В подобни случаи съответното сътрудничество между компетентните органи , единичните звена за контакт и правоприлагащите органи , както и сътрудничеството с Европейския център за борба с киберпрестъпността и ENISA следва да бъде част от един ефикасен и комплексен отговор на заплахата от инциденти в сигурността. Утвърждаването на безопасна, сигурна и по-устойчива среда изисква по-специално системно докладване на правоприлагащите органи на инцидентите с предполагаем сериозен престъпен характер. Сериозният престъпен характер на инцидентите следва да се оценява в светлината на законодателството на Съюза относно киберпрестъпността. [Изм. 30]

(31)

В много случаи вследствие на инциденти се компрометират лични данни. Държавите членки и участниците на пазара следва да защитават личните данни, които съхраняват, обработват или изпращат, от случайно или незаконно унищожаване, случайна загуба или промяна и неразрешено или незаконно съхранение, достъп, разкриване или разпространение, както и да гарантират осъществяването на политика за сигурност по отношение на обработката на лични данни. В този контекст компетентните органи , единичните звена за контакт и органите за защита на данните следва да си сътрудничат и да обменят информация относно всички имащи отношение въпроси, включително по целесъобразност с участниците на пазара, с цел справяне с нарушенията на сигурността на лични данни, предизвикани от инциденти, в съответствие с приложимите правила за защита на данните . Държавите членки изпълняват Задължението да уведомяват за инциденти по отношение на сигурността следва да се изпълнява по начин, при който се намалява до минимум административната тежест, в случай че инцидентът във връзка със сигурността представлява и нарушение на сигурността на лични данни съгласно Регламента на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни  (9) . Като поддържа връзка с компетентните органи и органите за защита на данните, което изисква уведомяване в съответствие със законодателство на Съюза за защита на личните данни. ENISA би могла следва да оказва съдействие, като разработва механизми за обмен на информация и образци, чрез които се избягва необходимостта от два образеца за уведомленията. Единният единен образец за уведомленията ще улесни с цел улесняване на докладването на инцидентите, при които са компрометирани лични данни, и като по този начин ще облекчи административната тежест върху бизнеса и публичните администрации. [Изм. 31]

(32)

Стандартизацията на изискванията относно сигурността е процес, движен от пазарни сили , с доброволен характер, който следва да даде възможност на участниците на пазара да използват алтернативни начини за постигане най-малкото на подобни резултати . С цел да гарантират последователно прилагане на стандартите за сигурност държавите членки следва да насърчават съответствието или спазването на посочените оперативно съвместими стандарти с оглед осигуряването на високо ниво на сигурност на равнището на Съюза. За тази цел е необходимо да бъде обмислено прилагането на открити международни стандарти за мрежова информационна сигурност или проектирането на такива инструменти. Друга необходима стъпка напред може да бъде необходимо да бъдат изготвени изготвянето на хармонизирани стандарти, чиято разработка следва да бъде в съответствие с Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета (10). По-специално може да бъде възложено на Европейския институт за стандарти в далекосъобщенията, Европейския комитет за стандартизация и Европейския комитет за електротехническа стандартизация да предложат ефективни и ефикасни отворени стандарти за сигурност на Съюза, при които технологичните предпочитания да бъдат избегнати максимално и които следва да станат по-достъпни за малките и средните участници на пазара. Международните стандарти за киберсигурността следва да бъдат проучени внимателно с цел да се гарантира, че ефективността им не е нарушена и че предоставят необходимата степен на сигурност, като по този начин се гарантира, че съответствието със стандартите за киберсигурността повишава общото ниво на киберсигурност на Съюза, а не обратното. [Изм. 32]

(33)

Комисията следва периодично да прави преглед на настоящата директива след консултации с всички заинтересовани лица , по-специално с оглед да определя необходимостта от изменения в светлината на променящите се обществени, политически, технологични или пазарни условия. [Изм. 33]

(34)

С цел да се даде възможност за правилното функциониране на мрежата за сътрудничество на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 ДФЕС във връзка сопределянето на критериите, на които трябва да отговорят държавите членки, за да им бъде разрешено да участват в общия набор от стандарти за взаимосвързаност и сигурност за сигурната система инфраструктура за обмен на информация, относно по-подробното специфициране на началните събития, водещи до ранни предупреждения, и относно определянето на обстоятелствата, при които се изисква участниците на пазара и публичните администрации да изпращат уведомления за инцидентите. [Изм. 34]

(35)

От особена важност е по време на своята подготвителна си работа Комисията да проведе подходящи консултации, включително на експертно равнище. При подготовката и изготвянето на делегираните актове Комисията следва да осгури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и на Съвета.

(36)

С цел да се осигурят еднакви условия за изпълнението на настоящата директива на Комисията следва да бъдат предоставени правомощия за изпълнение по отношение на сътрудничеството между компетентните органи единичните звена за контакт и Комисията в рамките на мрежата за сътрудничество, достъпа до сигурната инфраструктура за обмен на информация, без да се засягат съществуващите механизми за сътрудничество на национално равнище , по отношение на плана на Съюза за сътрудничество, на МИС и форматите и процедурите, приложими при информирането на обществеността за инциденти, и стандартите и/или техническите спецификации, имащи отношение към МИС уведомяването за инциденти със значително въздействие . Тези правомощия следва да се изпълняват в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (11). [Изм. 35]

(37)

При прилагането на настоящата директива Комисията следва да поддържа според необходимостта връзка със съответните секторни комитети и със съответните органи, създадени на равнище ЕС равнището на Съюза , по-специално в сферата на електронното управление, енергетиката, транспорта и здравеопазването , здравеопазването и отбраната . [Изм. 36]

(38)

Информацията, която даден компетентен орган или дадено единично звено за контакт счита за поверителна, следва да бъде обменяна с Комисията и , съответните й агенции, останалите единични звена за контакт и/или други национални компетентни органи в съответствие с националните разпоредби и тези на Съюза относно търговската тайна само ако подобен обмен е абсолютно необходим за прилагането на настоящата директива. Обменената информация следва да се ограничава до имащата отношение информация и да бъде необходима и пропорционална на целите на подобен обмен и следва да спазва предварително определените критерии за поверителност и сигурност съгласно Решение 2011/292/ЕС, информация, която е предмет на споразумения за неразкриване на информация или неформални споразумения за неразкриване на информация, като например Протокола „Светофар“ (Traffic Light Protocol) . [Изм. 37]

(39)

Обменът на информация относно рисковете и инцидентите в рамките на мрежата за сътрудничество и изпълнението на изискванията за уведомяване на националните компетентни органи или единичните звена за контакт за инциденти може да изисква обработката на лични данни. Подобна обработка на лични данни е необходима, за да се изпълнят целите на обществения интерес, преследвани от настоящата директива, и следователно е законосъобразна съгласно член 7 от Директива 95/46/ЕО. По отношение на тези законни цели тя не представлява непропорционално и неприемливо вмешателство, нарушаващо в същината му правото на защита на личните данни, гарантирано от член 8 от Хартата на основните права на Европейския Съюз. При прилагането на настоящата директива следва да се прилага Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета (12), когато е целесъобразно. Когато институции и органи на Съюза обработват данни, обработката с цел изпълнение на настоящата директива следва да е съобразена с Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета. [Изм. 38]

(40)

Тъй като целта на настоящата директива, а именно да гарантира високо равнище на МИС в Съюза, не може да бъде постигната в достатъчна степен от държавите членки, а поради обхватът или последиците от действието може да бъде по-добре постигната на равнището на Съюза, Съюзът може да приема мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейски съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на посочената цел.

(41)

Настоящата директива зачита основните права и спазва принципите, признати в Хартата на основните права на Европейския съюз, и по-специално правото на зачитане на личния живот и личната кореспонденция, защитата на личните данни, свободата на стопанската инициатива, правото на собственост, правото на ефективни правни средства за защита и на съдебен процес. Настоящата директива трябва да бъде изпълнена в съответствие с тези правила и принципи.

(41a)

Съгласно Съвместната политическа декларация от 28 септември 2011 г. на държавите членки и на Комисията относно обяснителните документи държавите членки са поели ангажимент в обосновани случаи да прилагат към съобщението за своите мерки за транспониране един или повече документи, обясняващи връзката между елементите на дадена директива и съответстващите им части от националните инструменти за транспониране. Законодателят счита, че по отношение на настоящата директива предаването на такива документи е оправдано. [Изм. 39]

(41б)

Европейският надзорен орган по защита на данните беше консултиран в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 и даде своето становище на 14 юни 2013 г. (13),

а)

определят задължения на всички държави членки относно превенцията, действията и отговора във връзка с рискове и инциденти, засягащи мрежи и информационни системи;

б)

създава се механизъм за сътрудничество между държавите членки с цел да се гарантира единното прилагане на настоящата директива в Съюза и, когато е необходимо, координираните , ефикасни и ефективни действия при рискове и инциденти, засягащи мрежи и информационни системи, и отговора на тях с участието на съответните заинтересовани лица ; [Изм. 40]

в)

определят се изисквания за сигурност за участниците на пазара и публичните администрации. [Изм. 41]

(1)

„мрежова и информационна система“ означава:

(2)

„сигурност“ означава способността на мрежа или информационна система да издържа — при дадено равнище на увереност — на инциденти или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхранявани или пренасяни данни или на свързаните с тях услуги, предлагани от или достъпни посредством тази мрежова и информационна система; „сигурност“ включва подходящи технически устройства, решения и процедури на работа, гарантиращи изискванията във връзка със сигурността, посочени в настоящата директива; [Изм. 46]

(3)

„риск“ означава разумно установимо обстоятелство или събитие, което има потенциално неблагоприятно отражение върху сигурността; [Изм. 47]

(4)

„инцидент“ означава обстоятелство или събитие, което има действително неблагоприятно отражение върху сигурността; [Изм. 48]

(5)

„услуга на информационното общество“ означава услуга по смисъла на член 1, точка 2 от Директива 98/34/ЕО; [Изм. 49]

(6)

„план за сътрудничество за МИС“ означава план, в който се определя рамката на институционалните роли, отговорности и процедури с оглед поддържане или възстановяване на работата на мрежи и информационни системи в случай на риск или инцидент, който ги засяга;

(7)

„действия при инцидент“ означава всички процедури в подкрепа на откриването, предотвратяването, анализа, ограничаването и отговора на инцидента; [Изм. 50]

(8)

„участник на пазара“ означава:

(8a)

„инцидент със значително въздействие“ означава инцидент, засягащ сигурността и непрекъснатостта на информационна мрежа или система, който води до сериозно прекъсване на основни икономически или социални функции; [Изм. 53]

(9)

„стандарт“ означава стандарт, посочен в Регламент (ЕС) № 1025/2012;

(10)

„спецификация“ означава спецификация, посочена в Регламент (ЕС) № 1025/2012;

(11)

„доставчик на удостоверителни услуги“ означава физическо или юридическо лице, което доставя каквато и да било електронна услуга, състояща се в създаване, проверка, валидиране, обработка и съхраняване на електронни подписи, електронни печати, електронни времеви печати, електронни документи, услуги по електронно доставяне, удостоверяване на автентичността на уебсайтове, електронни удостоверения, включително удостоверения за електронен подпис и електронен печат;

(11a)

„регулиран пазар“ означава регулиран пазар съгласно определението в член 4, точка 14 от Директива 2004/39/EО на Европейския парламент и на Съвета  (17) ; [Изм. 54]

(11б)

„многостранна търговска система“ (МТС) означава многостранна търговска система съгласно определението в член 4, точка 15 от Директива 2004/39/ЕО; [Изм. 55]

(11в)

„организирана търговска система“ означава многостранна система или механизъм, които не са регулиран пазар, многостранна търговска система или централен контрагент, управлявани от инвестиционен посредник или участник на пазара, в които многобройни интереси на трети лица за покупката и продажбата на облигации, структурирани финансови продукти, квоти за емисии или деривати могат да взаимодействат в системата по начин, който да доведе до сключването на договор за финансови инструменти, в съответствие с дял II от Директива 2004/39/ЕО. [Изм. 56]

а)

определяне на целите и приоритетите на стратегията въз основа на анализ на актуалните рискове и инциденти;

б)

управленска рамка за постигане на стратегическите цели и приоритети, включително ясно определени роли и отговорности на структурите на държавното управление и на останалите имащи отношение действащи лица;

в)

набелязване на основните мерки във връзка с готовността, отговора и възстановяването, включително механизми за сътрудничество между публичния и частния сектор;

г)

основна информация за образователните и обучителните програми и за програмите за повишаване на осведомеността;

д)

планове за научноизследователска и развойна дейност и описание на начина, по който в тях са отразени набелязаните приоритети;

да)

държавите членки може да изискат подкрепа от ENISA за разработване на своите национални стратегии за МИС и националните планове за сътрудничество за МИС въз основа на общ план с минимални изисквания във връзка със стратегията за МИС. [Изм. 57]

а)

план за оценка рамка за управление на риска с цел установяване създаване на методика за установяването, приоритизирането, оценката и обработката на рисковете и оценка , оценката на въздействието на потенциалните инциденти , възможностите за превенция и контрол, както и за определяне на критериите за избор на евентуални мерки за противодействие ; [Изм. 58]

б)

определяне на ролите и отговорностите на различните органи и други действащи лица, участващи в изпълнението на плана рамката ; [Изм. 59]

в)

определяне на процесите за сътрудничество и комуникация, чрез които се гарантират превенцията, откриването, отговорът, отстраняването на смущенията и възстановяването, с модификации в тях в зависимост от степента на тревога;

г)

пътна карта за учения и обучения във връзка с МИС с цел подсилване, валидиране и тестване на плана. Извлечените поуки се документират и включват при актуализациите на плана.

а)

разпространяват ранни предупреждения за рискове и инциденти в съответствие с член 10;

б)

гарантират наличието на координиран отговор в съответствие с член 11;

в)

редовно публикуват на общ уебсайт неповерителна информация относно актуални ранни предупреждения и координирани отговори;

г)

съвместно обсъждат и оценяват по искане на някоя от държавите членки или на Комисията една или няколко национални стратегии за МИС и национални планове за сътрудничество за МИС, посочени в член 5, в рамките на приложното поле на настоящата директива;

д)

съвместно обсъждат и оценяват по искане на някоя от държавите членки или на Комисията ефективността на CERT, по-специално когато на равнище Съюза се провеждат учения за МИС;

е)

си сътрудничат и обменят информация по всички експертен опит относно имащи отношение въпроси във връзка с Европейския център по киберпрестъпността към Европол и с всички останали имащи отношение европейски органи мрежовата и информационната сигурност , по-специално в сферата на защитата на данни, енергетиката, транспорта, банковото дело, фондовите борси финансовите пазари и здравеопазването , с Европейския център по киберпрестъпността към Европол и с други имащи отношение европейски органи ;

еа)

когато е целесъобразно, информират координатора на ЕС за борба с тероризма посредством доклад и могат да поискат помощ при извършването на анализ, подготвителна работа и действия на мрежата за сътрудничество;

ж)

обменят информация и най-добри практики помежду си и с Комисията и се подпомагат взаимно при изграждането на капацитет за МИС;

з)

организират редовно партньорски проверки на капацитета и готовността;

и)

организират учения за МИС на равнище равнището на Съюза и участват, когато това е целесъобразно, в международни учения за МИС;

иа)

включват участниците на пазара, провеждат консултации и където е уместно — обменят информация с участниците на пазара по отношение на рисковете и инцидентите, които засягат техните мрежови и информационни системи;

иб)

в сътрудничество с ENISA разработват насоки за специфични за сектора критерии за уведомяването относно значителни инциденти, в допълнение към параметрите, посочени в член 14, параграф 2, за общо тълкуване, последователно прилагане и съгласувано изпълнение в рамките на Съюза. [Изм. 78]

а)

наличието на сигурна и устойчива комуникационна и информационна инфраструктура на национално равнище, която има обща и оперативна съвместимост със сигурната система за обмен на информация, посочена в член 7, параграф 3, и

б)

наличието на достатъчно технически, финансови и човешки ресурси и адекватни процедури за нейните компетентни органи и CERT, които да дават възможност за ефективно, ефикасно и сигурно участие в сигурната система за обмен на информация по член 6, параграф 3, член 7, параграф 2 и член 7, параграф 3. [Изм. 82]

а)

мащабът им се увеличава бързо или може да се увеличи бързо;

б)

превишават или може да превишат единичното звено за контакт преценява дали рискът или инцидентът потенциално превишава националния капацитет за отговор;

в)

засягат или може да засегнат единичното звено за контакт или Комисията преценяват дали рискът или инцидентът засяга повече от една държава членка. [Изм. 84]

а)

за целите на член 10:

б)

процедурата, която следва координираният отговор съгласно член 11, включително определяне на ролите и отговорностите и на процедурите за сътрудничество;

в)

пътна карта за учения и обучения във връзка с МИС с цел подсилване, валидиране и тестване на плана;

г)

програма за трансфер на знания между държавите членки във връзка с изграждането на капацитетите и ученето от партньорите;

д)

програма за повишаване на осведомеността и за обучение между държавите членки.

а)

броят на потребителите, чиято основна услуга е засегната; [Изм. 98]

б)

продължителността на инцидента; [Изм. 99]

в)

географският обхват по отношение на областта, засегната от инцидента. [Изм. 100]

а)

предоставят информацията, необходима за оценка на сигурността на техните мрежови и информационни системи, включително документирани политики за сигурност;

б)

да преминават предоставят доказателства за ефективното изпълнение на политиките за сигурност, като например резултатите от одит на сигурността, извършван от квалифицирана независима организация или национален орган, и да предоставят резултатите от него доказателствата на компетентния орган или на единното звено за контакт . [Изм. 113]

а)

компетентните органи или единните звена за контакт, в зависимост от случая, имат правомощието да представят достатъчно конкретно искане към участниците на пазара за предоставяне на доказателство за ефективното прилагане на политиките на сигурност, като например резултатите от одита на сигурността, извършен от квалифициран вътрешен одитор, и доказателството да бъде предоставено на компетентния орган или на единното звено за контакт;

б)

когато е необходимо, след предоставяне от страна на участника на пазара на искането, посочено в буква а), компетентният орган или единното звено за контакт може да поиска допълнително доказателство или извършване на допълнителен одит от квалифициран независим орган или национален орган.