14.9.2023   

BG

Официален вестник на Европейския съюз

C 324/2


СЪОБЩЕНИЕ НА КОМИСИЯТА

Насоки на Комисията за прилагане на член 3, параграф 4 от Директива (ЕС) 2022/2555 (Директива МИС 2)

(2023/C 324/02)

1.   

По силата на член 3, параграф 4 от Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза (Директива МИС 2), (1) Комисията, със съдействието на Агенцията на Европейския съюз за киберсигурност (ENISA), предоставя без ненужно забавяне насоки и образци по отношение на задълженията, определени в посочената разпоредба. Член 3, параграф 4 от Директива (ЕС) 2022/2555 се отнася до член 3, параграф 3 от посочената директива, в който се изисква до 17 април 2025 г. държавите членки да изготвят списък на съществените и важните субекти, както и на субектите, предоставящи услуги по регистрация на имена на домейни. Държавите членки трябва да извършват преглед на списъка и по целесъобразност да го актуализират редовно и най-малко на всеки две години след това.

2.   

За целите на съставянето на списъка на съществените и важните субекти държавите членки следва да изискват от субектите да предоставят на компетентните органи най-малко следната информация: наименованието, адреса и актуалните данни за връзка, включително адресите на електронна поща, IP обхватите и телефонните номера на субекта и когато е приложимо, съответния сектор и подсектор, посочен в приложенията, както и когато е приложимо списък на държавите членки, в които те предоставят услуги, попадащи в обхвата на директивата. В приложение I към настоящите насоки се съдържа образец за събиране на тази информация за целите на съставянето на списъка.

3.   

За да се улесни съставянето и актуализирането на списъка на съществените и важните субекти, както и на субектите, предоставящи услуги по регистрация на имена на домейни, в член 3, параграф 4 от Директива (ЕС) 2022/2555 се предвижда, че държавите членки следва да могат да установят национални механизми, чрез които субектите да се регистрират (2).

4.   

Съгласно член 3, параграф 5 от Директива (ЕС) 2022/2555 до 17 април 2025 г. и на всеки две години след това държавите членки трябва да уведомят Комисията и групата за сътрудничество най-малко относно броя на съществените и важните субекти, изброени в съответствие с член 3, параграф 3 от посочената директива, за всеки сектор и подсектор, посочени в приложения I и II към директивата. Държавите членки трябва също така да уведомяват Комисията относно относимата информация за броя на съществените и важните субекти, определени съгласно член 2, параграф 2, букви б)—д) от Директива (ЕС) 2022/2555, за сектора и подсектора, към който принадлежат, за вида на услуга, която предоставят и за разпоредбата, съгласно която са били определени. В съображение 19 от преамбюла на Директива (ЕС) 2022/2555 се пояснява, че държавите членки се насърчават да обменят с Комисията информация относно съществените и важните субекти, а в случай на мащабен киберинцидент — относимата информация, като например наименованието на съответния субект.

5.   

В допълнение към списъка, съставен от държавите членки съгласно член 3, параграф 3 от Директива (ЕС) 2022/2555, държавите членки, в съответствие с член 27, параграф 2 от посочената директива, следва също така да изискват от някои видове субекти, посочени в член 27, параграф 1 от директивата, да представят на компетентните органи следната информация до 17 януари 2025 г.: наименованието на субекта; съответния сектор, подсектор и вид на субекта, както е посочено в приложение I или II към директивата, когато е приложимо; адреса на основното място на установяване и на останалите законови места на установяване на субекта в Съюза или, при липсата на място на установяване в Съюза, на неговия представител, определен съгласно член 26, параграф 3 от директивата; актуални данни за контакт, включително адреси на електронна поща и телефонни номера на субекта и, когато е приложимо, на неговия представител, определен съгласно член 26, параграф 3 от директивата; държавите членки, в които субектът предоставя услуги; както и IP обхватите на субекта. Съгласно член 27, параграф 3 от Директива (ЕС) 2022/2555 държавите членки изискват от субектите, посочени в член 27, параграф 1 от директивата, да уведомяват компетентния орган без забавяне за всякакви промени в изпратената от тях информация съгласно член 27, параграф 2 от директивата, и при всички положения в рамките на три месеца от датата на промяната.

6.   

Съгласно член 27, параграф 5 от Директива (ЕС) 2022/2555 информацията, посочена в член 27, параграфи 2 и 3 от посочената директива, се представя чрез националния механизъм, посочен в член 3, параграф 4 от директивата, когато е приложимо. Затова за постигането на по-голяма административна ефективност, образецът, приложен като приложение към настоящите насоки, включва също така искания за информация, изисквана за целите както на член 3, параграф 3, така и на член 27, параграф 2 от Директива (ЕС) 2022/2555. Образецът е създаден със съдействието на ENISA.


(1)   ОВ L 333, 27.12.2022 г., стр. 80.

(2)  Вж. също съображение 18 от преамбюла на Директива (ЕС) 2022/2555.


Допълнение

Образец за информацията, която се изисква по отношение на списъка, посочен в член 3, параграф 3 и член 27, параграф 2 от Директива (ЕС) 2022/2555

1.   

Сектор на дейност съгласно Директива (ЕС) 2022/2555

Приложение I —

сектори с висока степен на критичност

Енергетика

Електроенергия

Електроенергийни предприятия

Оператор на разпределителна система

Оператор на преносна система

Производители

Номиниран оператор на пазара на електроенергия

Участници на пазара, предоставящи услуги за агрегиране, оптимизация на потреблението или съхраняване на енергия.

Оператори на зарядна точка, отговарящи за управлението и експлоатацията на зарядна точка, която предоставя услуга за зареждане с електроенергия на крайни ползватели, включително от името и за сметка на доставчик на услуги за мобилност

Оператори на районни отоплителни и охладителни системи

Нефт

Оператори на нефтопроводи

Оператори на съоръжения за добив, рафиниране и преработка, съхранение и пренос на нефт

Централни структури за управление на запасите

Природен газ

Предприятия за доставка

Оператори на разпределителна система

Оператори на преносна система

Оператори на система за съхранение

Оператори на система за ВПГ

Предприятия за природен газ

Оператори на съоръжения за рафиниране и преработка на природен газ

Оператори в областта на производството, съхранението и преноса на водород

Транспорт

Въздушен

Въздушни превозвачи

Управляващи летища органи

Оператори по контрола на управлението на въздушното движение, осъществяващи обслужване по контрол на въздушното движение (КВД)

Железопътен

Управители на инфраструктура

Железопътни предприятия, включително оператори на обслужващи съоръжения

Воден

Дружества за вътрешен, морски и крайбрежен пътнически и товарен воден транспорт, с изключение на корабите, експлоатирани от тези предприятия

Управителни органи, включително техните пристанищни съоръжения и субекти, извършващи строителни работи и експлоатиращи оборудване на територията на пристанищата

Оператори на служби по морския трафик (СМТ)

Автомобилен

Пътни органи, които отговарят за контрола на управлението на движението, с изключение на публичните субекти, за които управлението на трафика или експлоатацията на интелигентни транспортни системи са несъществена част от общата им дейност

Оператори на интелигентни транспортни системи

Здравеопазване

Доставчици на здравни грижи

Референтни лаборатории на ЕС

Субекти, извършващи научноизследователска и развойна дейност в областта на лекарствените продукти

Субекти, произвеждащи основни фармацевтични продукти и препарати, съгласно определението в раздел В, разделение 21 на NACE Rev. 2

Субекти, произвеждащи медицински изделия, които се считат за критично важни при извънредни ситуации в областта на общественото здраве („списък на критично важните медицински изделия при извънредни ситуации в областта на общественото здраве“)

Питейна вода — доставчици и дистрибутори на води, предназначени за консумация от човека, с изключение на дистрибуторите, за които дистрибуцията на вода за консумация от човека е несъществена част от общата им дейност по дистрибуция на други стоки и продукти

Отпадъчни води — предприятия, които събират, обезвреждат или пречистват градски, битови или промишлени отпадъчни води, с изключение на предприятията, за които събирането, обезвреждането или пречистването на градски, битови или промишлени отпадъчни води е несъществена част от тяхната обща дейност

Цифрова инфраструктура

Доставчици на точки за обмен в интернет

Доставчици на DNS услуги

Регистри на имената на домейни от първо ниво

Доставчици на услуги за изчисления „в облак“

Доставчици на услуги на центрове за данни

Доставчици на мрежи за доставка на съдържание

Доставчици на удостоверителни услуги

Доставчици на обществени електронни съобщителни мрежи

Доставчици на обществено достъпни електронни съобщителни услуги

Управление на услуги в областта на ИКТ (между предприятия)

Доставчици на управлявани услуги

Доставчици на управлявани услуги за сигурност

Публична администрация

Органи на публичната администрация на централното държавно управление

Органи на публичната администрация на регионално равнище

Космическо пространство — оператори на наземна инфраструктура, притежавана, управлявана и експлоатирана от държавите членки или от частни лица, която подпомага предоставянето на космически услуги, с изключение на доставчиците на обществени електронни съобщителни мрежи

Приложение II —

други критични сектори

Пощенски и куриерски услуги

Управление на отпадъците — предприятия, извършващи управление на отпадъците, с изключение на предприятия, за които управлението на отпадъците не е основна икономическа дейност

Производство, изготвяне и дистрибуция на химикали — предприятия, извършващи производство на вещества и дистрибуция на вещества, и предприятия, извършващи производство на изделия от вещества или смеси

Производство, преработка и разпространение на храни — предприятия за производство на храни, които се занимават с дистрибуция на едро и индустриално производство и преработване

Производство

Производство на медицински изделия и медицински изделия за инвитро диагностика

Производство на компютри, електронни и оптични продукти

Производство на електрически съоръжения

Производство на машини и оборудване, некласифицирани другаде

Производство на моторни превозни средства, ремаркета и полуремаркета

Производство на друго транспортно оборудване

Доставчици на цифрови услуги

Доставчици на онлайн места за търговия

Доставчици на онлайн търсачки

Доставчици на платформи на услуги за социални мрежи

Научноизследователски организации

Субекти, които не са включени в приложенията

Субекти, предоставящи услуги за регистрация на имена на домейни

Други субекти, установени като критични субекти съгласно Директива (ЕС) 2022/2557

Субекти, установени като оператори на основни услуги в съответствие с националното право

2.   

Наименование на организацията

3.   

В случай че субектът се посочва в член 27, параграф 1 от Директива (ЕС) 2022/2555 (доставчик на DNS услуги, регистър на имена на домейни от първо ниво, субект, предоставящ услуги за регистриране на имена на домейни, доставчик на компютърни услуги „в облак“, доставчик на услуги на центровете за данни, доставчик на мрежи за предоставяне на съдържание, доставчик на управлявани услуги, доставчик на управлявани услуги за сигурност, както и доставчик на онлайн места за търговия, на онлайн търсачки и на платформи на услуги за социалните мрежи), има ли субектът основно място на установяване в ЕС в тази държава членка или, в случай че няма законно място на установяване в ЕС, има ли свой представител в тази държава членка?

4.   

Адрес на мястото на установяване на субекта в държавата членка. Ако субектът се посочва в член 27, параграф 1 от Директива (ЕС) 2022/2555, адресът на основното място на установяване на субекта, ако то се намира в държавата членка, както и неговите останали законови места на установяване в ЕС. В случай че не съществува място на установяване, адресът на представителя в ЕС, посочен в съответствие с член 26, параграф 3 от Директива (ЕС) 2022/2555, ако представителят се намира в държавата членка.

5.   

Актуални данни за контакт, включително адреси на електронна поща и телефонни номера в държавата членка.

6.   

IP обхвати на субекта за държавата членка

7.   

Ако субектът се посочва в член 27, параграф 1 от Директива (ЕС) 2022/2555, списък на държавите членки, в които субектът предоставя услуги в обхвата на посочената директива.