19.7.2016   

BG

Официален вестник на Европейския съюз

L 194/1

(1)

Мрежите и информационните системи и услуги имат изключително важна роля в обществото. Тяхната надеждност и сигурност са от основно значение за стопанските и обществените дейности и особено за функционирането на вътрешния пазар.

(2)

Мащабите, честотата и въздействието на свързаните със сигурността инциденти се увеличават и представляват крупна заплаха за функционирането на мрежите и информационните системи. Тези системи могат също така да се превърнат в мишена за преднамерени злонамерени действия, имащи за цел да повредят системите или да прекъснат тяхната работа. Подобни инциденти могат да попречат на извършването на стопански дейности, да причинят значителни финансови загуби, да подкопаят доверието на потребителите и да причинят големи вреди на икономиката на Съюза.

(3)

Мрежите и информационните системи, и най-вече интернет, са от основно значение за улесняването на трансграничното движение на стоки, услуги и хора. Поради транснационалния им характер всяко съществено нарушение на тези системи, било то умишлено или неволно и без значение на кое място се извършва, може да засегне отделни държави членки, а и целия Съюз. Ето защо сигурността на мрежите и информационните системи е от основно значение за гладкото функциониране на вътрешния пазар.

(4)

Като се използва значителният напредък, постигнат в рамките на Европейския форум за държавите членки, при насърчаването на дискусиите и обмена на добри практики в политиките, включително разработването на принципи на европейското сътрудничество при киберкризи, следва да бъде създадена група за сътрудничество, състояща се от представители на държавите членки, Комисията и Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA), която да улеснява и подкрепя стратегическото сътрудничество между държавите членки по отношение на сигурността на мрежите и информационни системи. За да бъде ефективна и приобщаваща тази група, е от основно значение всички държави членки да разполагат с минимален капацитет и със стратегия, гарантираща високо ниво на сигурност на мрежите и информационни системи на тяхна територия. Освен това към операторите на основни услуги и доставчиците на цифрови услуги следва да се прилагат изисквания за сигурност и уведомяване, с цел да се насърчи култура на управление на риска и да се гарантира докладването на най-сериозните инциденти.

(5)

Съществуващите способности не са достатъчни, за да се гарантира високо ниво на сигурност на мрежите и информационни системи в Съюза. Нивото на подготвеност на различните държави членки е твърде различно, което води до разпокъсани действия в различните части на Съюза. Това от своя страна е причина нивото на защита на потребителите и предприятията да не е еднакво и подкопава общото ниво на сигурност на мрежите и информационни системи в Съюза. Липсата на общи изисквания за операторите на основни услуги и доставчиците на цифрови услуги на свой ред прави невъзможно създаването на глобален и ефективен механизъм за сътрудничество на равнището на Съюза. Университетите и изследователските центрове имат основно значение за насърчаване на научноизследователската и развойна дейност и иновациите в тези области.

(6)

Поради това ефективният отговор на предизвикателствата пред сигурността на мрежите и информационните системи изисква глобален подход на равнището на Съюза, който да включва общи минимални изисквания за изграждане на капацитет и планиране, обмен на информация, сътрудничество и общи изисквания по отношение на сигурността за операторите на основни услуги и доставчиците на цифрови услуги. Допуска се обаче операторите на основни услуги и доставчиците на цифрови услуги да прилагат мерки за сигурност, които са по-строги от предвидените в настоящата директива.

(7)

За да бъдат обхванати всички съответни инциденти и рискове, настоящата директива следва да се прилага както по отношение на операторите на основни услуги, така и на доставчиците на цифрови услуги. Въпреки това задълженията за операторите на основни услуги и доставчиците на цифрови услуги следва да не се прилагат по отношение на предприятия, предоставящи обществени съобщителни мрежи или обществено достъпни електронни съобщителни услуги по смисъла на Директива 2002/21/ЕО на Европейския парламент и на Съвета (3), към които се прилагат специалните изисквания за сигурност и цялост от същата директива, нито следва да се прилагат по отношение на доставчиците на удостоверителни услуги по смисъла на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета (4), към които се прилагат изискванията за сигурност, предвидени в същия регламент.

(8)

Настоящата директива следва да не засяга възможността всяка държава членка да предприема необходимите мерки, с които да гарантира защитата на основните интереси на своята сигурност, да опазва обществения ред и обществената сигурност и да създава условия за разследването, разкриването и наказателното преследване на престъпления. В съответствие с член 346 от Договора за функционирането на Европейския съюз (ДФЕС) нито една държава членка не може да бъде задължавана да предоставя информация, чието разкриване тя счита за противоречащо на основните интереси на нейната сигурност. В този контекст имат значение Решение 2013/488/ЕС на Съвета (5) и споразуменията за неразкриване на информация или неформалните споразумения за неразкриване на информация, като протокола за обмен на информация с цветен код за поверителност (Traffic Light Protocol).

(9)

Някои стопански сектори са вече регулирани или е възможно да бъдат регулирани в бъдеще посредством правни актове на Съюза, които са специални за конкретния сектор и които включват правила, свързани със сигурността на мрежите и информационните системи. Когато в тези правни актове на Съюза се съдържат разпоредби, налагащи изисквания за сигурност на мрежите и информационните системи или за уведомяването за инциденти, тези разпоредби следва да се прилагат, ако съдържат изисквания, които са най-малкото равностойни по действие на задълженията, съдържащи се в настоящата директива. В такъв случай държавите членки следва да прилагат разпоредбите на тези специални за конкретен сектор правни актове на Съюза, включително онези от тях, които се отнасят за юрисдикцията, и следва да не изпълняват процеса по определяне на операторите на основни услуги, определен в настоящата директива. В този контекст държавите членки следва да представят информация на Комисията относно прилагането на разпоредбите, имащи характера на lex specialis. При определяне дали изискванията за сигурност на мрежите и информационните системи и за уведомяване за инциденти, съдържащи се в специални за конкретен сектор правни актове на Съюза, са равностойни на изискванията по настоящата директива следва да се имат предвид единствено разпоредбите на приложимите правни актове на Съюза и тяхното приложение в държавите членки.

(10)

В сектора на водния транспорт изискванията за сигурност на дружества, кораби, пристанищни съоръжения, пристанища и услуги за корабния трафик, съобразени с правните актове на Съюза, обхващат всички операции, включително радио- и телекомуникационните системи, компютърните системи и мрежите. В част от задължителните процедури, които трябва да бъдат следвани, се включва докладването за всички инциденти, поради което тази част следва да се разглежда като lex specialis, доколкото посочените изисквания са най-малкото равностойни на съответните разпоредби на настоящата директива.

(11)

При определянето на оператори в сектора на водния транспорт държавите членки следва да вземат предвид съществуващи и бъдещи международни кодекси и насоки, изготвени по-специално от Международната морска организация, с оглед осигуряване на съгласуван подход за отделните морски оператори.

(12)

Регулирането и надзорът в секторите на банковото дело и инфраструктурите на финансовите пазари е с висока степен на хармонизация на равнището на Съюза, постигната чрез използването на първичното и вторичното право на Съюза и стандартите, разработени заедно с европейските надзорни органи. В рамките на банковия съюз прилагането и надзорът във връзка с тези изисквания се осигурява чрез единния надзорен механизъм. За държавите членки, които не са част от банковия съюз, това се осигурява от съответните банкови регулатори на държавите членки. В други области на регулиране на финансовия сектор Европейската система за финансов надзор също осигурява висока степен на уеднаквяване и сближаване на надзорните практики. Европейският орган за ценни книжа и пазари също изпълнява функции на пряк надзор за някои субекти, а именно агенциите за кредитен рейтинг и регистрите на транзакции.

(13)

Операционният риск е важна част от пруденциалното регулиране и надзор в областта на банковото дело и инфраструктурите на финансовите пазари. Той обхваща всички операции, включително сигурността, целостта и устойчивостта на мрежите и информационните системи. Изискванията във връзка с тези системи, които често надхвърлят изискванията, предвидени в настоящата директива, са установени в редица правни актове на Съюза, включително: правилата относно достъпа до дейността на кредитните институции и относно пруденциалния надзор върху кредитните институции и инвестиционните посредници и правилата относно пруденциалните изисквания за кредитните институции и инвестиционните посредници, които включват изисквания относно операционния риск; правилата относно пазарите на финансови инструменти, които включват изисквания относно оценката на риска във връзка с инвестиционните посредници и регулираните пазари; правилата относно извънборсовите деривати, централните контрагенти и регистрите на транзакции, които включват изисквания за операционния риск във връзка с централните контрагенти и регистрите на транзакции; и правилата относно подобряването на сетълмента на ценни книжа в Съюза и относно централните депозитари на ценни книжа, които включват изисквания за операционен риск. Освен това изискванията за уведомяване за инциденти са част от нормалните надзорните практики във финансовия сектор и често са включени в наръчници за надзор. Държавите членки следва да вземат предвид посочените правила и изисквания при прилагането на lex specialis.

(14)

Както отбелязва Европейската централна банка в своето становище от 25 юли 2014 г. (6), настоящата директива не засяга възприетия съгласно правото на Съюза режим за надзор от страна на Евросистемата върху платежните системи и системите за сетълмент. За органите, отговарящи за този надзор, би било подходящо да обменят знания и опит по въпросите, свързани със сигурността на мрежите и информационните системи, с компетентните по настоящата директива органи. Същото съображение важи и за държавите, които са извън еврозоната, но са част от Европейската система на централните банки, които упражняват такъв надзор върху платежните системи и системите за сетълмент въз основа на националните им законови и подзаконови разпоредби.

(15)

Онлайн местата за търговия дават възможност на потребители и търговци да сключват онлайн договори за продажба или услуги с търговци и са крайното място за сключването на тези договори. Те следва да не обхващат онлайн услугите, които служат единствено като посредник към услуги на трети лица, чрез които в крайна сметка може да бъде сключен договор. Ето защо те следва да не обхващат онлайн услуги, които сравняват цената на определени продукти или услуги от различни търговци, а после препращат ползвателя към предпочитания търговец за закупуване на продукта. Изчислителните услуги, предоставяни от онлайн мястото за търговия, биха могли да включват обработването на сделки, агрегирането на данни или изготвянето на профил на ползвателите. Магазините за приложения, които работят като онлайн магазини, позволяващи цифровото разпространение на приложения или софтуерни програми от трети лица, следва да бъдат разглеждани като вид онлайн място за търговия.

(16)

Онлайн търсачките позволяват на ползвателя да извършва търсене по принцип във всички уебсайтове въз основа на запитване, независимо от темата. Алтернативно те може да са насочени към уебсайтовете на определен език. Определението за онлайн търсачка, предвидено в настоящата директива, следва да не обхваща функциите за търсене, които са ограничени до съдържанието на конкретен уебсайт, независимо дали тази функция за търсене се предоставя от външна онлайн търсачка. То следва да не обхваща и онлайн услуги, които сравняват цената на определени продукти или услуги от различни търговци, а после препращат ползвателя към предпочитания търговец за закупуване на продукта.

(17)

Компютърните услуги „в облак“ обхващат широк спектър от дейности, които могат да бъдат предоставяни съгласно различни модели. За целите на настоящата директива понятието компютърни услуги „в облак“ включва услуги, които позволяват достъп до променлив по мащаб и еластичен набор от компютърни ресурси, които могат да бъдат ползвани съвместно. Тези „компютърни ресурси“ включват ресурси като мрежи, сървъри или друга инфраструктура, средства за съхранение, приложения и услуги. Понятието „променлив по мащаб“ означава, че компютърните ресурси се предоставят гъвкаво от доставчиците на компютърни услуги „в облак“, независимо от географското местоположение на ресурсите, за да бъдат отразени промените в търсенето. Понятието „еластичен набор“ се използва за описание на компютърните ресурси, които се предоставят и използват в зависимост от търсенето, за да може бързо да се увеличават или намаляват ресурсите, които са на разположение, в зависимост от работното натоварване. Изразът „които могат да бъдат ползвани съвместно“ се използва за описание на компютърните ресурси, които се предоставят на множество ползватели, които имат общ достъп до услугата, но обработването се извършва отделно за всеки ползвател, въпреки че услугата се предоставя от едно и също електронно оборудване.

(18)

Функцията на точките за обмен в интернет (ТОИ) е да свързват мрежи. ТОИ не осигуряват достъп до мрежа, нито служат като транзитен доставчик или превозвач. ТОИ също така не предоставят други услуги, които не са свързани с междумрежови връзки, въпреки че това не изключва възможността операторите на ТОИ да предоставят други услуги, които не са свързани с междумрежови връзки. ТОИ съществуват, за да свързват мрежи, които са технически и организационно разделени. Понятието „автономна система“ се използва за описанието на технически независима мрежа.

(19)

Държавите членки следва да отговарят за определянето на това кои субекти отговарят на критериите от определението за оператор на основни услуги. За да се осигури последователен подход, определението за оператор на основни услуги следва да се прилага съгласувано от всички държави членки. За тази цел в настоящата директива е предвидена оценка на субектите, които извършват дейност в конкретните сектори и подсектори, изготвяне на списък на основните услуги, разглеждане на възможността за въвеждане на общ списък на междусекторните фактори за определяне дали потенциален инцидент би имал значително увреждащо въздействие, процес на консултиране, включващ съответните държави членки, в случай на субекти, които предоставят услуги в повече от една държава членка, и подкрепа за групата за сътрудничество в процеса на идентификация. За да се гарантира точното отражение на евентуалните промени на пазара, списъкът с определени оператори следва да подлежи на редовен преглед от държавите членки и при необходимост да бъде актуализиран. На последно място, държавите членки следва да представят на Комисията необходимата информация, за да може тя да прецени до каква степен тази обща методология е позволила на държавите членки да прилагат единно определение.

(20)

В процеса на определяне на операторите на основни услуги държавите членки следва да направят оценка най-малко за всеки подсектор, посочен в настоящата директива, кои услуги трябва да се считат за основни за поддържането на особено важни обществени и стопански дейности, а също и дали субектите, изброени в секторите и подсекторите, посочени в настоящата директива и предоставящи въпросните услуги, отговарят на критериите за определяне на операторите. При изготвянето на оценката дали даден субект предоставя услуга, която е основна за поддържането на особено важни обществени или стопански дейности, е достатъчно да бъде проверено дали този субект предоставя услуга, която е включена в списъка на основни услуги. Освен това следва да се докаже, че предоставянето на основната услуга зависи от мрежи и информационни системи. На последно място, при изготвянето на оценката дали даден инцидент би имал значително увреждащо въздействие върху предоставянето на услугата държавите членки следва да имат предвид редица междусекторни фактори, както и факторите, които са характерни за конкретния сектор, когато е подходящо.

(21)

За целите на определянето на операторите на основни услуги установяването в държава членка предполага ефективно и действително упражняване на дейност въз основа на стабилни правила. Правната форма на тези правила, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение.

(22)

Възможно е субектите, работещи в секторите и подсекторите, посочени в настоящата директива, да предоставят както основни, така и неосновни услуги. Например, в сектора на въздушния транспорт летищата предоставят услуги, които дадена държава членка би могла да счете за основни, като управление на пистите, но и редица услуги, които може да бъдат счетени за неосновни, като предоставяне на търговски площи. Операторите на основни услуги следва да спазват специалните изисквания за сигурност единствено по отношение на услугите, които се считат за основни. Ето защо за целите на определянето на операторите държавите членки следва да съставят списък на услугите, които се считат за основни.

(23)

Списъкът на услугите следва да съдържа всички услуги, предоставяни на територията на дадена държава членка, които отговарят на изискванията на настоящата директива. Държавите членки следва да могат да допълват съществуващия списък, като включват нови услуги. Списъкът на услугите следва да служи за справка на държавите членки и да им позволява да определят операторите на основни услуги. Неговото предназначение е да бъдат набелязани видовете основни услуги във всеки сектор, посочен в настоящата директива, като по този начин бъдат разграничени от неосновните дейности, за които даден субект, извършващ дейност в даден сектор, може да отговаря. Списъкът на услугите, съставен от всяка държава членка, ще служи за допълнителна информация при оценката на регулаторните практики на всяка държава членка с оглед на гарантирането на цялостна последователност на процеса на идентификация между държавите членки.

(24)

За целите на процеса на идентификация, когато даден субект предоставя основна услуга в две или повече държави членки, тези държави членки следва да провеждат двустранни или многостранни обсъждания помежду си. Целта на този консултативен процес е да подпомогне оценката на влиянието на оператора предвид трансграничното му въздействие, като така се даде възможност на всяка участваща държава членка да изрази своето мнение относно рисковете, свързани с предоставяните услуги. В този процес участващите държави членки следва да отчетат взаимно мненията си и следва да могат да се обърнат за съдействие към групата за сътрудничество.

(25)

В резултат на процеса на идентификация държавите членки следва да приемат национални мерки, за да определят за кои субекти се прилагат задълженията, свързани със сигурността на мрежите и информационните системи. Този резултат би могъл да се постигне чрез приемането на списък на всички оператори на основни услуги или чрез приемането на национални мерки, включително обективни количествени критерии, като например продукция на оператора или брой ползватели, които да позволяват да се определи за кои субекти се прилагат задълженията, свързани със сигурността на мрежите и информационните системи. Националните мерки, независимо дали са съществуващи или се приемат във връзка с настоящата директива, следва да включват всички правни мерки, административни мерки и политики, които позволяват определянето на операторите на основни услуги съгласно настоящата директива.

(26)

За да се укаже значението на определените оператори на основни услуги във връзка със съответния сектор, държавите членки следва да вземат предвид броя и мащаба на операторите, например по отношение на пазарен дял или на произведено или превозено количество, без да са длъжни да разпространяват информация, която би разкрила кои са определените оператори.

(27)

За да определят дали даден инцидент би имал значително увреждащо въздействие върху предоставянето на основна услуга, държавите членки следва да вземат предвид различни фактори, като броя на ползвателите, които разчитат на услугата за лични или професионални цели. Използването на услугата може да бъде пряко, непряко или чрез посредник. При оценяване на възможното въздействие на даден инцидент от гледна точка на неговия мащаб и продължителност върху стопанските и обществените дейности или върху обществената безопасност, държавите членки следва да правят оценка и на времето, което вероятно ще измине, преди прекъсването да започне да оказва отрицателно въздействие.

(28)

В допълнение към междусекторните фактори следва да бъдат взети предвид и характерните за конкретния сектор фактори, за да се определи дали даден инцидент би оказал значително увреждащо въздействие върху предоставянето на основна услуга. По отношение на доставчиците на енергия такива фактори биха могли да включват обема на произведената енергия или нейния дял в национален план; за доставчиците на нефт — дневния обем; за въздушния транспорт, включително летищата и въздушните превозвачи, железопътния транспорт и морските пристанища — дела от националния обем на трафика и броя на пътниците или товарните операции за година; за банковите инфраструктури или инфраструктурите на финансовите пазари — тяхното системно значение въз основа на общите им активи или съотношението между тези активи и БВП; за сектора на здравеопазването — броя на пациентите, обслужени от доставчика на здравни услуги за година; за добива, обработката и доставката на вода — обема и броя на ползвателите, за които е доставена водата, и техния вид, включително например болници, учреждения за обществени услуги, организации или физически лица, както и наличието на алтернативни източници на вода, които да покриват същата географска територия.

(29)

С цел постигане и поддържане на високо ниво на сигурност на мрежите и информационните системи всяка държава членка следва да има национална стратегия относно сигурността на мрежите и информационните системи, в която да са определени стратегическите цели и конкретните действия на политиката, които ще бъдат изпълнявани.

(30)

С оглед на различията в националните структури на управление и с цел да се защитят вече съществуващи секторни правила или надзорните и регулаторни органи на Съюза, както и да се избегне дублирането, държавите членки следва да могат да определят повече от един национален компетентен орган, отговарящ за изпълнение на задачите, свързани със сигурността на мрежите и информационните системи на операторите на основни услуги и доставчиците на цифрови услуги съгласно настоящата директива.

(31)

За да се улесни трансграничното сътрудничество и комуникация и да се осигури възможност за ефективно изпълнение на настоящата директива, е необходимо всяка държава членка, без да се засягат секторните регулаторни правила, да определи национално единно звено за контакт, което да отговаря за координацията на въпросите, свързани със сигурността на мрежите и информационните системи, и за трансграничното сътрудничество на равнището на Съюза. Компетентните органи и единните звена за контакт следва да разполагат с достатъчно технически, финансови и човешки ресурси, за да се гарантира, че са в състояние да изпълняват ефективно и ефикасно възложените им задачи и по този начин да постигат целите на настоящата директива. Тъй като настоящата директива има за цел да подобри функционирането на вътрешния пазар чрез изграждането на доверие, органите на държавите членки трябва да могат да си сътрудничат ефективно със стопанските субекти и да бъдат подходящо структурирани.

(32)

Уведомленията за инцидентите следва да се подават до компетентните органи или до екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС). Единните звена за контакт следва да не получават директно уведомления за инциденти, освен ако не изпълняват и функциите на компетентен орган или ЕРИКС. Даден компетентен орган или ЕРИКС следва обаче да може да възложи на единното звено за контакт задачата да предава уведомленията за инциденти на единните звена за контакт на други засегнати държави членки.

(33)

За да се осигури ефективното предоставяне на информация на държавите членки и Комисията, единното звено за контакт следва да представи на групата за сътрудничество обобщителен доклад, който следва да съдържа информация на анонимна основа, така че да се запази поверителността на уведомленията и самоличността на операторите на основни услуги и доставчиците на цифрови услуги, тъй като информацията относно идентификационните данни на уведомяващия субект не се изисква за обмена на най-добри практики в групата за сътрудничество. Обобщителният доклад следва да съдържа информация относно броя на получените уведомления, както и данни относно характера на инцидентите, за които са подадени уведомления, като например типа на нарушенията на сигурността, тяхната сериозност или продължителност.

(34)

Държавите членки следва да бъдат достатъчно добре подготвени и като технически, и като организационен капацитет да предотвратяват, установяват, реагират и ограничават инцидентите и рисковете в мрежите и информационните системи. Ето защо държавите членки следва да гарантират, че разполагат с добре функциониращи ЕРИКС, известни още като екипи за незабавно реагиране при компютърни инциденти, които да отговарят на основните изисквания за гарантиране на ефективни и съвместими способности за справяне с инциденти и рискове и за осигуряване на ефективно сътрудничество на равнището на Съюза. За да се ползват всички видове оператори на основни услуги и доставчици на цифрови услуги от тези способности и това сътрудничество, държавите членки следва да гарантират, че за всички тези видове има определен ЕРИКС. Предвид значението на международното сътрудничество в областта на киберсигурността, ЕРИКС следва да имат възможността да участват в мрежите за международно сътрудничество в допълнение към участието им в мрежата на ЕРИКС, създадена с настоящата директива.

(35)

Тъй като повечето мрежи и информационни системи се експлоатират от частни субекти, сътрудничеството между публичния и частния сектор е от основно значение. Операторите на основни услуги и доставчиците на цифрови услуги следва да бъдат насърчавани да развиват свои собствени механизми за неформално сътрудничество за гарантиране на сигурността на мрежите и информационните системи. Групата за сътрудничество следва да може да покани съответните конституенти на обсъжданията, когато това е целесъобразно. За ефективното насърчаване на споделянето на информация и най-добри практики е от основно значение да се гарантира, че операторите на основни услуги и доставчиците на цифрови услуги, които се включват в такъв обмен, няма да бъдат ощетени в резултат на сътрудничеството си.

(36)

ENISA следва да оказва подкрепа на държавите членки и Комисията, като предоставя на разположение своите експертни познания и ги консултира, и улеснява обмена на най-добри практики. По-специално Комисията следва, а държавите членки следва да могат да се консултират с ENISA при прилагането на настоящата директива. За изграждането на капацитет и знания сред държавите членки групата за сътрудничество следва да служи и като инструмент за обмен на най-добри практики, за обсъждане на способностите и на подготвеността на държавите членки, за подпомагане на доброволна основа на нейните членове при оценката на националните стратегии относно сигурността на мрежите и информационните системи, изграждането на капацитет и оценката на учения в областта на сигурността на мрежите и информационните системи.

(37)

Когато е целесъобразно, държавите членки следва да могат да използват или да адаптират съществуващите организационни структури или стратегии при прилагането на настоящата директива.

(38)

Съответните задачи на групата за сътрудничество и на ENISA са взаимозависими и се допълват. Като цяло ENISA следва да подпомага групата за сътрудничество в изпълнението на нейните задачи в съответствие с целта на ENISA, установена в Регламент (ЕС) № 526/2013 на Европейския парламент и на Съвета (7), а именно да подпомага институциите, органите, службите и агенциите на Съюза и държавите членки при изпълнението на политиките, необходими за спазването на правните и регулаторните изисквания за сигурност на мрежите и информационните системи съгласно действащите и бъдещите правни актове на Съюза. По-специално ENISA следва да предоставя помощ в онези области, които съответстват на нейните собствени задачи, установени в Регламент (ЕС) № 526/2013, а именно анализиране на стратегии относно сигурността на мрежите и информационните системи, подкрепа за организирането и провеждането на учения на Съюза в областта на сигурността на мрежите и информационните системи и обмен на информация и на най-добри практики в повишаването на осведомеността. ENISA следва също така да участва в разработването на насоки за характерни за конкретния сектор критерии за определяне на значимостта на въздействието на инцидентите.

(39)

С цел да способства за усъвършенствана сигурност на мрежите и информационните системи групата за сътрудничество следва, когато е целесъобразно, да си сътрудничи със съответните институции, органи, служби и агенции на Съюза, за да обменя знания и най-добри практики с тях и да ги консултира по свързани със сигурността въпроси на мрежите и информационните системи, които биха могли да окажат въздействие върху тяхната работа, като спазва съществуващите правила за обмен на класифицирана информация. При сътрудничеството си с правоприлагащите органи по въпроси, свързани със сигурността на мрежите и информационните системи, които биха могли да окажат въздействие върху тяхната работа, групата за сътрудничество следва да се придържа към съществуващите информационни канали и изградените мрежи.

(40)

Информацията относно инцидентите е все по-ценна за широката общественост и предприятията, особено за малките и средните предприятия. В някои случаи тази информация вече се предоставя посредством уебсайтове на национално равнище, на езика на дадена държава, и е насочена главно към инциденти и случаи с национално измерение. Предвид факта, че предприятията работят все по-често на трансгранична основа и гражданите използват онлайн услуги, информацията за инцидентите следва да се предоставя обобщено на равнището на Съюза. Секретариатът на мрежата на ЕРИКС се насърчава да поддържа уебсайт или да създаде специална страница в съществуващ уебсайт, където на широката общественост да се предоставя обща, насочена специално към интересите и нуждите на предприятията информация за големи свързани със сигурността инциденти, засягащи мрежите и информационните системи, които са възникнали на територията на целия Съюз. Участващите в мрежата на ЕРИКС се насърчават да предоставят на доброволна основа информацията, която да бъде публикувана на този уебсайт, без да се включва поверителна информация или информация с чувствителен характер.

(41)

Когато информация се счита за поверителна в съответствие с националните правила и правилата на Съюза относно търговската тайна, следва да се гарантира поверителност при провеждането на дейностите и изпълнението на целите, определени в настоящата директива.

(42)

Ученията, при които в реално време се симулират сценарии на инциденти, са от основно значение за проверка на подготвеността и сътрудничеството на държавите членки във връзка със сигурността на мрежите и информационните системи. Цикълът от учения CyberEurope, координиран от ENISA, с участието на държавите членки, е полезен инструмент за проверка и изготвяне на препоръки за подобряване в бъдеще на действията при инциденти на равнището на Съюза. Като се има предвид, че понастоящем държавите членки не са задължени нито да планират, нито да участват в учения, създаването на мрежата на ЕРИКС съгласно настоящата директива следва да даде възможност на държавите членки да участват в учения въз основа на точно планиране и стратегически решения. Групата за сътрудничество, създадена съгласно настоящата директива, следва да обсъжда стратегическите решения във връзка с ученията, по-специално, но не само, по отношение на тяхната честота и подготовката на сценариите. В съответствие с мандата си ENISA следва да подкрепя организирането и провеждането на учения в целия Съюз, като предоставя своите експертни познания и консултира групата за сътрудничество и мрежата на ЕРИКС.

(43)

С оглед на глобалния характер на свързаните със сигурността проблеми, засягащи мрежите и информационните системи, е необходимо по-тясно международно сътрудничество за повишаване на стандартите за сигурност, за подобряване на обмена на информация и за насърчаване на единен глобален подход по въпросите на сигурността.

(44)

Отговорността по гарантиране на сигурността на мрежите и информационните системи е в голяма степен на операторите на основни услуги и на доставчиците на цифрови услуги. Следва да се насърчава култура на управление на риска, част от която са оценката на риска и изпълнението на мерки за сигурност, съобразени със съществуващите рискове, и тази култура следва да се развива чрез подходящи регулаторни изисквания и доброволни практики от страна на съответните сектори. Постигането на надеждни условия на равнопоставеност също е от основно значение за ефективното функциониране на групата за сътрудничество и мрежата на ЕРИКС при гарантирането на ефективно сътрудничество от страна на всички държави членки.

(45)

Настоящата директива се прилага единствено по отношение на публичните администрации, които са определени за оператори на основни услуги. Следователно държавите членки отговарят за гарантирането на сигурността на мрежите и информационните системи на публичните администрации, които не попадат в обхвата на настоящата директива.

(46)

Мерките за управление на риска включват мерки за набелязване на всякакви рискове от инциденти с цел предотвратяване, разкриване и предприемане на действия при инциденти, както и за тяхното ограничаване. Сигурността на мрежите и информационните системи включва сигурността на данните, които се съхраняват, предават и обработват.

(47)

Компетентните органи следва да запазят способността си да приемат национални насоки за обстоятелствата, при които от операторите на основни услуги се изисква да уведомяват за инциденти.

(48)

Много предприятия в Съюза разчитат на доставчици на цифрови услуги за предоставянето на своите услуги. Тъй като някои цифрови услуги биха могли да бъдат важен ресурс за техните ползватели, включително за операторите на основни услуги, и тъй като е възможно тези ползватели не винаги да разполагат с алтернативи, настоящата директива следва да се прилага и по отношение на доставчиците на такива услуги. Сигурността, непрекъснатостта и надеждността на видовете цифрови услуги, посочени в настоящата директива, са от основно значение за гладкото функциониране на много предприятия. Нарушаването на такава цифрова услуга може да попречи на предоставянето на други услуги, които зависят от нея и по този начин може да окаже въздействие върху основни стопански и обществени дейности в Съюза. Ето защо такива цифрови услуги може да бъдат от основно значение за гладкото функциониране на предприятията, които зависят от тях, и не само това, но и за участието на тези предприятия във вътрешния пазар, както и в трансграничната търговия в Съюза. Доставчиците на цифрови услуги, за които се прилага настоящата директива, са тези, които се счита, че предлагат цифрови услуги, от които все повече зависят много предприятия в Съюза.

(49)

Доставчиците на цифрови услуги следва да гарантират такова ниво на сигурност, което да отговаря на степента на риска за сигурността на цифровите услуги, които предоставят, като се има предвид значението на техните услуги за дейността на други предприятия в Съюза. На практика степента на риска за операторите на основни услуги, които често са от основно значение за поддържането на особено важни обществени и стопански дейности, е по-висока от тази за доставчиците на цифрови услуги. Поради това изискванията по отношение на сигурността за доставчиците на цифрови услуги следва да бъдат по-облекчени. Доставчиците на цифрови услуги следва да запазят правото да вземат мерки по своя преценка за управление на рисковете, които застрашават сигурността на техните мрежи и информационни системи. Поради трансграничния им характер към доставчиците на цифрови услуги следва да се прилага по-хармонизиран подход на равнището на Съюза. Конкретизирането и прилагането на тези мерки следва да бъде улеснено с актове за изпълнение.

(50)

Въпреки че производителите на хардуер и разработчиците на софтуер не са оператори на основни услуги, нито доставчици на цифрови услуги, техните продукти повишават сигурността на мрежите и информационните системи. Поради това те са от важно значение за създаването на условия, позволяващи на операторите на основни услуги и доставчиците на цифрови услуги да обезопасят своите мрежи и информационни системи. За хардуерните и софтуерните продукти вече се прилагат съществуващи правила относно отговорността за продукта.

(51)

Техническите и организационните мерки, наложени на операторите на основни услуги и на доставчиците на цифрови услуги, следва да не изискват проектирането, разработването или производство по определен начин на конкретен търговски продукт на информационните и комуникационните технологии.

(52)

Операторите на основни услуги и доставчиците на цифрови услуги следва да гарантират сигурността на мрежите и информационните системи, които използват. Това са предимно частни мрежи и информационни системи, управлявани от вътрешен ИТ персонал или чиято сигурност е възложена на външни изпълнители. Изискванията за сигурност и уведомяване следва да се прилагат за съответните оператори на основни услуги и доставчици на цифрови услуги без оглед на това дали те извършват вътрешно поддръжката на своите мрежи и информационни системи или я възлагат на външни изпълнители.

(53)

С цел да се избегне налагането на несъразмерна финансова и административна тежест върху операторите на основни услуги и доставчиците на цифрови услуги изискванията следва да бъдат съразмерни с риска, който съществува по отношение на съответната мрежа и информационна система, като се отчитат последните постижения в областта на тези мерки. По отношение на доставчици на цифрови услуги тези изисквания следва да не се прилагат за микро- и малките предприятия.

(54)

Когато публичните администрации в държавите членки използват услуги, предлагани от доставчик на цифрови услуги, по-специално компютърни услуги „в облак“, те може да пожелаят да изискат от доставчиците на тези услуги допълнителни мерки за сигурност, които да надхвърлят обичайно предлаганите от доставчиците на цифрови услуги мерки за сигурност в съответствие с изискванията на настоящата директива. Те следва да могат да направят това чрез налагането на договорни задължения.

(55)

Съдържащите се в настоящата директива определения за онлайн места за търговия, онлайн търсачки и компютърни услуги „в облак“ са предназначени за конкретните цели на настоящата директива и не засягат никакви други актове.

(56)

Настоящата директива не следва да възпрепятства държавите членки да приемат национални мерки, с които да се задължават органите от публичния сектор да осигурят изпълнението на специални изисквания за сигурност, когато възлагат поръчки за компютърни услуги „в облак“. Тези национални мерки следва да се прилагат спрямо съответния орган от публичния сектор, а не спрямо доставчика на компютърни услуги „в облак“.

(57)

Предвид фундаменталните различия между операторите на основни услуги, по-специално тяхната пряка връзка с физическата инфраструктура, и доставчиците на цифрови услуги, по-специално трансграничния им характер, настоящата директива следва да възприеме различен подход по отношение на нивото на хармонизация във връзка с тези две групи субекти. По отношение на операторите на основни услуги държавите членки следва да могат да определят съответните оператори и да налагат по-строги изисквания от предвидените в настоящата директива. Държавите членки не следва да определят доставчици на цифрови услуги, тъй като настоящата директива следва да се прилага за всички доставчици на цифрови услуги, попадащи в нейния обхват. Освен това настоящата директива и приетите съгласно нея актове за изпълнение следва да осигурят висока степен на хармонизация за доставчиците на цифрови услуги по отношение на изискванията за сигурност и уведомяване. Това следва да позволи еднаквото третиране на доставчиците на цифрови услуги в целия Съюз по начин, който е съразмерен с техния характер и със степента на риск, на която може да са изложени.

(58)

Настоящата директива не следва да възпрепятства държавите членки да налагат изисквания за сигурност и уведомяване на субекти, които не са доставчици на цифрови услуги, попадащи в обхвата на настоящата директива, без да се засягат задълженията на държавите членки съгласно правото на Съюза.

(59)

Компетентните органи следва да обръщат необходимото внимание на запазването на неофициалните и ползващи се с доверие канали за обмен на информация. При даването на публичност на докладваните на компетентните органи инциденти следва да се постига нужният баланс между интереса на обществеността да бъде информирана за заплахите и възможните вреди за търговската дейност и репутацията на операторите на основни услуги и доставчиците на цифрови услуги, които докладват за инцидентите. При изпълнението на задълженията за уведомяване компетентните органи и ЕРИКС следва да обръщат особено внимание на необходимостта информацията за уязвимите места на продуктите да остане строго поверителна преди публикуването на съответните корекции по отношение на сигурността.

(60)

Доставчиците на цифрови услуги следва да подлежат на облекчена и ответна последваща надзорна дейност, обоснована от естеството на извършваните от тях услуги и операции. Поради това съответният компетентен орган следва да предприема действия само когато разполага с доказателства, например от самия доставчик на цифрови услуги, от друг компетентен орган, включително от компетентен орган на друга държава членка, или от ползвател на услугата, че доставчик на цифрови услуги не отговаря на изискванията на настоящата директива, по-специално вследствие настъпването на инцидент. Ето защо компетентният орган следва да няма общо задължение да упражнява надзор над доставчиците на цифрови услуги.

(61)

Компетентните органи следва да разполагат с необходимите средства за изпълнение на своите задължения, включително правомощия за получаване на достатъчно информация за оценяване на нивото на сигурност на мрежите и информационните системи.

(62)

Инцидентите може да са резултат от престъпления, предотвратяването, разследването и наказателното преследване на които се подпомага чрез координацията и сътрудничеството между операторите на основни услуги, доставчиците на цифрови услуги, компетентните органи и правоприлагащите органи. Когато съществуват подозрения, че даден инцидент е свързан с тежки престъпления — съобразно правото на Съюза или националното право, държавите членки следва да насърчават операторите на основни услуги и доставчиците на цифрови услуги да докладват инциденти, чийто характер може да бъде свързан с тежки престъпления, на съответните правоприлагащи органи. Когато е целесъобразно, е желателно координацията между компетентните органи и правоприлагащите органи на различни държави членки да бъде улеснявана от Европейския център за борба с киберпрестъпността (EC3) и ENISA.

(63)

В много случаи вследствие на инциденти се засягат лични данни. В този контекст компетентните органи и органите за защита на данните следва да си сътрудничат и да обменят информация относно всички съответни въпроси с цел справяне с нарушенията на сигурността на лични данни, предизвикани от инциденти.

(64)

Юрисдикцията по отношение на доставчиците на цифрови услуги следва да бъде предоставена на държавата членка, в която съответният доставчик на цифрови услуги има основно място на установяване в Съюза, която по принцип съответства на мястото, където се намира главното управление на доставчика в Съюза. Установяването предполага ефективното и действителното упражняване на дейност съгласно стабилни правила. Правната форма на тези правила, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение. Този критерий не следва да зависи от това дали съответните мрежи и информационни системи са физически разположени на определено място; наличието и използването на тези системи не представляват сами по себе си такова основно място на установяване и следователно не са критерии за определяне на основното място на установяване.

(65)

Когато доставчик на цифрови услуги, който не е установен в Съюза, предлага услуги в Съюза, той следва да определи свой представител. За да се установи дали този доставчик на цифрови услуги предлага услуги в Съюза, следва да се установи дали е видно, че този доставчик на цифрови услуги възнамерява да предлага услуги на лица на територията на една или повече държави членки. Сама по себе си достъпността в Съюза на уебсайт на доставчика на цифрови услуги или на негов посредник или на адрес на електронна поща и други данни за контакт или използването на език, който широко се използва в третата държава, в която е установен доставчикът на цифрови услуги, са недостатъчни, за да бъде установено подобно намерение. Въпреки това фактори като използване на език или валута, които широко се използват в една или повече държави членки, с възможност за поръчване на услуги на този друг език, или посочването на потребители или ползватели на територията на Съюза, може да указват, че доставчикът на цифрови услуги възнамерява да предлага услуги в Съюза. Представителят следва да действа от името на доставчика на цифрови услуги, а компетентните органи или ЕРИКС следва да могат да се свържат с представителя. Представителят следва да е определен изрично чрез упълномощаване в писмена форма от доставчика на цифрови услуги да действа от негово име във връзка със задълженията му съгласно настоящата директива, включително за докладването на инциденти.

(66)

Стандартизацията на изискванията за сигурност е процес, движен от пазарни сили. За да гарантират еднообразното прилагане на стандартите за сигурност, държавите членки следва да насърчават съответствието или спазването на посочените стандарти с оглед осигуряването на високо ниво на сигурност на мрежите и информационните системи на равнището на Съюза. ENISA следва да подпомага държавите членки чрез консултации и насоки. За тази цел може да се окаже полезно изготвянето на хармонизирани стандарти, като това следва да е в съответствие с Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета (8).

(67)

Субекти, които попадат извън обхвата на настоящата директива, може да претърпят инциденти, оказващи съществено въздействие върху предоставяните от тях услуги. Когато тези субекти считат, че би било от обществен интерес да уведомят за настъпването на такива инциденти, те следва да могат да го направят на доброволна основа. Подобни сигнали следва да бъдат обработвани от компетентните органи или от ЕРИКС, когато това не представлява несъразмерна или неоправдана тежест за съответните държави членки.

(68)

За да се гарантират еднакви условия за изпълнение на настоящата директива, следва да се предоставят изпълнителни правомощия на Комисията, за да се предвидят процедурните правила, необходими за работата на групата за сътрудничество, и изискванията за сигурност и уведомяване, приложими за доставчиците на цифрови услуги. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (9). При приемането на актове за изпълнение във връзка с процедурните правила, необходими за работата на групата за сътрудничество, Комисията следва да отчита в максимална степен становището на ENISA.

(69)

При приемането на актове за изпълнение относно изискванията за сигурност към доставчиците на цифрови услуги Комисията следва да отчита в максимална степен становището на ENISA и да се консултира с конституентите. Освен това Комисията се насърчава да вземе под внимание следните примери: във връзка със сигурността на системите и съоръженията: физическа и екологична сигурност, сигурност на доставките, контрол на достъпа до мрежите и информационните системи и целостта на мрежите и информационните системи; във връзка с действията при инциденти: процедури за предприемане на действия при инциденти, способности за установяване на инциденти, докладване на инциденти и комуникация; във връзка с управлението на непрекъснатостта на дейностите: стратегия и планове за действие при извънредни ситуации за осигуряване непрекъснатостта на услугата, способности за възстановяване при бедствия; и във връзка с наблюдението, одита и изпитванията: политики за наблюдението и регистрирането, планове за действие при извънредни ситуации, изпитвания на мрежите и информационните системи, оценки на сигурността и наблюдение на съответствието.

(70)

При изпълнението на настоящата директива Комисията следва да поддържа, когато е целесъобразно, връзка със съответните секторни комитети и органи, създадени на равнището на Съюза в областите, обхванати от настоящата директива.

(71)

Комисията следва периодично да прави преглед на настоящата директива, като се консултира с конституентите, по-специално с оглед определянето на необходимостта от изменения с оглед на промените в обществените, политически, технологични или пазарни условия.

(72)

При обмена на информация относно рисковете и инцидентите в рамките на групата за сътрудничество и мрежата на ЕРИКС и спазването на изискванията за уведомяване на националните компетентни органи или ЕРИКС за инциденти може да възникне необходимост от обработването на лични данни. Това обработване следва да се извършва в съответствие с Директива 95/46/EО на Европейския парламент и на Съвета (10) и Регламент (EО) № 45/2001 на Европейския парламент и на Съвета (11). При прилагането на настоящата директива следва да се прилага Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета (12), в зависимост от случая.

(73)

Беше проведена консултация с Европейския надзорен орган по защита на данните в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001, като той прие своето становище на 14 юни 2013 г. (13).

(74)

Тъй като целта на настоящата директива, и именно постигане на високо общо ниво на сигурност на мрежите и информационните системи в Съюза, не може да бъде постигната в достатъчна степен от държавите членки, а поради последиците от действието може да бъде по-добре постигната на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейски съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тази цел.

(75)

Настоящата директива зачита основните права и спазва принципите, признати в Хартата на основните права на Европейския съюз, и по-специално правото на зачитане на личния живот и тайната на съобщенията, защитата на личните данни, свободата на стопанската инициатива, правото на собственост, правото на ефективни правни средства за защита и правото на изслушване. Настоящата директива следва да бъде прилагана в съответствие с посочените права и принципи,

а)

се предвиждат задължения за всички държави членки да приемат национална стратегия относно сигурността на мрежите и информационните системи;

б)

се създава група за сътрудничество с цел подкрепа и улесняване на стратегическото сътрудничество и обмен на информация между държавите членки и изграждане на доверие сред тях;

в)

се създава мрежа на екипите за реагиране при инциденти с компютърната сигурност (наричана по-долу „мрежата на ЕРИКС“) с цел да се способства за изграждане на доверие между държавите членки и да се насърчи бързото и ефективно оперативно сътрудничество;

г)

се установяват изискванията за сигурност и уведомяване за операторите на основни услуги и за доставчиците на цифрови услуги;

д)

се предвиждат задълженията на държавите членки да определят националните компетентни органи, единните звена за контакт и ЕРИКС със задачи, свързани със сигурността на мрежите и информационните системи.

1)

„мрежа и информационна система“ означава:

2)

„сигурност на мрежите и информационните системи“ означава способността на мрежите и информационните системи да издържат — при дадено равнище на увереност — на действия, засягащи отрицателно наличието, истинността, целостта или поверителността на съхранявани, пренасяни или обработвани данни или на свързаните с тях услуги, предлагани от тези мрежи и информационни системи или достъпни чрез тях;

3)

„национална стратегия относно сигурността на мрежите и информационните системи“ означава рамка, включваща стратегически цели и приоритети в областта на сигурността на мрежите и информационните системи на национално равнище;

4)

„оператор на основни услуги“ означава публичен или частен субект от посочените в приложение II категории, който отговаря на критериите, определени в член 5, параграф 2;

5)

„цифрова услуга“ означава услуга по смисъла на член 1, параграф 1, буква б) от Директива (ЕС) № 2015/1535 на Европейския парламент и на Съвета (17) от категориите, изброени в приложение III;

6)

„доставчик на цифрови услуги“ означава юридическо лице, предоставящо цифрова услуга;

7)

„инцидент“ означава събитие, което има реално неблагоприятно въздействие върху сигурността на мрежите и информационните системи;

8)

„действия при инцидент“ означава всички процедури, подпомагащи установяването, анализа и ограничаването на инцидент и реагирането на такъв инцидент;

9)

„риск“ означава разумно установимо обстоятелство или събитие, което може да има неблагоприятно въздействие върху сигурността на мрежите и информационните системи;

10)

„представител“ означава физическо или юридическо лице, установено в Съюза, което е изрично определено да действа от името на доставчик на цифрови услуги, който не е установен в Съюза, и към което националните компетентен орган или ЕРИКС може да се обърне вместо към доставчика на цифрови услуги във връзка със задълженията на доставчика на цифрови услуги по настоящата директива;

11)

„стандарт“ означава стандарт по смисъла на член 2, точка 1 от Регламент (ЕС) № 1025/2012;

12)

„спецификация“ означава техническа спецификация по смисъла на член 2, точка 4 от Регламент (ЕС) № 1025/2012;

13)

„точка за обмен в интернет (ТОИ)“ означава мрежово средство, което дава възможност за свързване на повече от две независими автономни системи, преди всичко с цел улесняване на обмена на интернет трафик; чрез ТОИ се осъществява свързване само на автономни системи; свързването чрез ТОИ не изисква интернет трафикът, преминаващ между които и да е две участващи автономни системи, да преминава през трета автономна система, нито изменя или засяга този трафик по друг начин;

14)

„система за имена на домейни (Domain Name System — DNS)“ означава йерархично разпределена и мрежова система за именуване на домейни, която разпределя заявки за имена на домейни;

15)

„доставчик на DNS услуги“ означава субект, предоставящ DNS услуги по интернет;

16)

„регистър на имена на домейни от първо ниво“ означава субект, който извършва и управлява регистрацията на имената на интернет домейни в специален домейн от първо ниво (top-level domain — TLD);

17)

„онлайн място за търговия“ означава цифрова услуга, която дава на потребители и/или търговци — по смисъла на определенията, съдържащи се съответно в член 4, параграф 1, букви а) и б) от Директива 2013/11/ЕС на Европейския парламент и на Съвета (18) — възможността да сключват договори за онлайн продажби или услуги с търговци или на уебсайта на онлайн мястото за търговия, или на уебсайт на търговеца, използващ електронни услуги, предоставяни от онлайн мястото за търговия;

18)

„онлайн търсачка“ означава цифрова услуга, която дава възможност на ползвателите на интернет да извършват търсене по правило на всички уебсайтове или уебсайтове на даден език въз основа на запитване по всякакви теми под формата на ключова дума, израз или друг вид въведени данни, в отговор на което тя подава интернет връзки, съдържащи информация, свързана с исканото съдържание;

19)

„компютърна услуга „в облак“ означава цифрова услуга, която дава възможност за достъп до променлив по мащаб и еластичен набор от компютърни ресурси, които могат да бъдат ползвани съвместно.

а)

субектът предоставя услуга, която е от основно значение за поддържането на особено важни обществени и/или стопански дейности;

б)

предоставянето на тази услуга зависи от мрежи и информационни системи; и

в)

евентуален инцидент би имал значително увреждащо въздействие върху предоставянето на тази услуга.

а)

националните мерки, които дават възможност за определяне на операторите на основни услуги;

б)

списъка на услугите, посочен в параграф 3;

в)

броят на операторите на основни услуги, определени за всеки сектор, посочен в приложение II, и посочване на тяхното значение във връзка с този сектор;

г)

прагове, когато има такива, за определяне на съответното равнище на доставките спрямо броя на ползвателите, разчитащи на тази услуга, в съответствие с посоченото в член 6, параграф 1, буква а), или значението на конкретния оператор на основни услуги в съответствие с посоченото в член 6, параграф 1, буква е).

а)

броят на ползвателите, разчитащи на услугите, предоставяни от субекта;

б)

зависимостта на други сектори, посочени в приложение II, от услугата, предоставяна от субекта;

в)

въздействието, което инцидентите биха могли да имат от гледна точка на мащаб и продължителност върху стопанските и обществените дейности или обществената безопасност;

г)

пазарния дял на субекта;

д)

географският обхват, що се отнася до областта, която би била засегната от даден инцидент;

е)

значението на субекта за поддържането на достатъчно ниво на услугата, като се взема предвид наличието на други средства за предоставянето на тази услуга.

а)

целите и приоритетите на националната стратегия относно сигурността на мрежите и информационните системи;

б)

управленска рамка за постигане на целите и приоритетите на националната стратегия относно сигурността на мрежите и информационните системи, включително ролите и отговорностите на държавните органи и на съответните други участници;

в)

набелязване на мерки във връзка с подготвеността, реагирането и възстановяването, включително сътрудничеството между публичния и частния сектор;

г)

основна информация за образователните и обучителните програми и програмите за повишаване на осведомеността във връзка с националната стратегия относно сигурността на мрежите и информационните системи;

д)

посочване на плановете за научноизследователска и развойна дейност във връзка с националната стратегия относно сигурността на мрежите и информационните системи;

е)

план за оценка на риска с цел набелязване на рисковете;

ж)

списък на различните участници в изпълнението на националната стратегия относно сигурността на мрежите и информационните системи;

а)

осигуряване на стратегически насоки за дейностите на мрежата на ЕРИКС, създадена съгласно член 12;

б)

обмен на най-добри практики относно обмена на информация, свързана с уведомяването за инциденти, посочено в член 14, параграфи 3 и 5 и член 16, параграфи 3 и 6;

в)

обмен на най-добри практики между държавите членки и, в сътрудничество с ENISA, подпомагане на държавите членки при изграждането на капацитет в областта на сигурността на мрежите и информационните системи;

г)

обсъждане на капацитета и подготвеността на държавите членки и, на доброволна основа, оценка на националните стратегии относно сигурността на мрежите и информационните системи и ефективността на ЕРИКС, и набелязване на най-добри практики;

д)

обмен на информация и най-добри практики в областта на повишаването на осведомеността и обучението;

е)

обмен на информация и най-добри практики в областта на научноизследователската и развойната дейност относно сигурността на мрежите и информационните системи;

ж)

когато е приложимо, обмен на опит по въпроси, свързани със сигурността на мрежите и информационните системи, със съответните институции, органи, служби и агенции на Съюза;

з)

обсъждане на стандартите и спецификациите, посочени в член 19, с представители от съответните европейски организации по стандартизация;

и)

събиране на информация за най-добри практики относно рисковете и инцидентите;

й)

преглед на годишна основа на обобщените доклади, посочени в член 10, параграф 3, втора алинея;

к)

обсъждане на работата, предприета във връзка с ученията в областта на сигурността на мрежите и информационните системи, образователните програми и обучението, включително работата на ENISA;

л)

с помощта на ENISA, обмен на най-добри практики относно определянето на операторите на основни услуги от държавите членки, включително по отношение на трансграничната зависимост, свързана с рисковете и инцидентите;

м)

обсъждане на правилата за докладване на уведомленията за инциденти, посочени в членове 14 и 16.

а)

обмен на информация относно услугите, операциите и способностите за сътрудничество на ЕРИКС;

б)

по искане на представител на ЕРИКС на държава членка, която е възможно да е засегната от инцидент — обмен и обсъждане на нетърговски чувствителна информация, свързана с този инцидент, и съпътстващите го рискове; въпреки това всеки ЕРИКС на държава членка може да откаже да участва в това обсъждане, ако съществува риск да бъде засегнато разследването на инцидента;

в)

обмен и предоставяне на доброволна основа на неповерителна информация относно отделни инциденти;

г)

по искане на представител на ЕРИКС на държава членка — обсъждане и, при възможност, набелязване на координирана реакция на инцидент, констатиран в рамките на юрисдикцията на същата държава членка;

д)

оказване на подкрепа на държавите членки за справяне с трансгранични инциденти въз основа на доброволната им взаимопомощ;

е)

обсъждане, проучване и набелязване на допълнителни форми на оперативно сътрудничество, включително по отношение на:

ж)

информиране на групата за сътрудничество относно дейностите на мрежата на ЕРИКС и допълнителните форми на оперативно сътрудничество, обсъдени в съответствие с буква е), и искане на насоки във връзка с това;

з)

обсъждане на поуките, извлечени от ученията в областта на сигурността на мрежите и информационните системи, включително от организираните от ENISA;

и)

по искане на отделен ЕРИКС — обсъждане на способностите и подготвеността на същия този ЕРИКС;

й)

отправяне на насоки с цел да се улесни сближаването на оперативните практики по отношение на прилагането на разпоредбите на настоящия член във връзка с оперативното сътрудничество.

a)

броят потребители, засегнати от нарушаването на основната услуга;

б)

продължителността на инцидента;

в)

географският обхват по отношение на областта, засегната от инцидента.

а)

информацията, необходима за оценка на сигурността на техните мрежи и информационни системи, включително съществуващи политики за сигурност;

б)

доказателства за ефективното изпълнение на политиките за сигурност, като например резултатите от одит на сигурността, извършван от компетентния орган или от квалифициран одитор, а във втория случай — да предоставят на компетентния орган резултатите от одита, включително доказателствата, на които той се основава.

а)

сигурност на системите и съоръженията;

б)

действия при инциденти;

в)

управление на непрекъснатостта на дейностите;

г)

наблюдение, одит и изпитване;

д)

спазване на международни стандарти.

а)

броят ползватели, засегнати от инцидента, и по-специално ползвателите, които разчитат на услугата за предоставяне на собствените си услуги;

б)

продължителността на инцидента;

в)

географският обхват по отношение на областта, засегната от инцидента;

г)

степента на нарушаване на функционирането на услугата;

д)

степента на въздействие върху стопанските и обществени дейности.

a)

да предоставят информацията, необходима за оценка на сигурността на техните мрежи и информационни системи, включително съществуващи политики за сигурност;

б)

да отстраняват всеки пропуск в изпълнението на изискванията, предвидени в член 16.