This document is an excerpt from the EUR-Lex website
Document 52026PC0013
Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Directive (EU) 2022/2555 as regards simplification measures and alignment with the [Proposal for the Cybersecurity Act 2]
Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY, kterou se mění směrnice (EU) 2022/2555, pokud jde o zjednodušující opatření a sladění s [návrhem aktu o kybernetické bezpečnosti 2]
Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY, kterou se mění směrnice (EU) 2022/2555, pokud jde o zjednodušující opatření a sladění s [návrhem aktu o kybernetické bezpečnosti 2]
COM/2026/13 final
EVROPSKÁ KOMISE
Ve Štrasburku dne 20.1.2026
COM(2026) 13 final
2026/0012(COD)
Návrh
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY,
kterou se mění směrnice (EU) 2022/2555, pokud jde o zjednodušující opatření a sladění s [návrhem aktu o kybernetické bezpečnosti 2]
(Text s významem pro EHP)
{SWD(2026) 11-12}
{SEC(2026) 11}
DŮVODOVÁ ZPRÁVA
1.SOUVISLOSTI NÁVRHU
•Odůvodnění a cíle návrhu
Tento návrh je součástí balíčku opatření, jejichž cílem je sladit rámec pro kybernetickou bezpečnost Unie s potřebami zúčastněných stran ve stále sofistikovanějším prostředí kybernetických hrozeb a složité geopolitické realitě. Základní a důležité subjekty z kritických odvětví se stále častěji stávají terčem kybernetických útoků 1 , zatímco aktéři hrozeb zaměřených na státy využívají nové technologie, jako je umělá inteligence, k dalšímu rozšiřování a optimalizaci svých útoků. V této souvislosti je odolnost kritické infrastruktury vůči kybernetickým hrozbám považována za strategický pilíř našich demokracií a hospodářské bezpečnosti Unie. Strategie unie připravenosti 2 i Evropská strategie vnitřní bezpečnosti (ProtectEU) 3 stanovily kybernetickou bezpečnost jako ústřední prvek agendy odolnosti Unie. Podobně sdělení o posílení hospodářské bezpečnosti EU 4 označuje za prioritní cíle, v nichž hrají zásadní roli účinná opatření v oblasti kybernetické bezpečnosti, zamezení přístupu k citlivým informacím a údajům, který by mohl ohrozit hospodářskou bezpečnost EU, a předcházení narušením kritické infrastruktury Unie, která mají vliv na hospodářství EU, a zmírňování jejich následků. Kromě toho Draghiho zpráva zdůraznila potřebu zvýšit bezpečnost a omezit závislosti jako jednu z hlavních oblastí, v nichž je třeba v Unii jednat 5 . Ve svém sdělení „Evropa jednodušší a rychlejší“ 6 Komise oznámila, že se zavazuje provádět ambiciózní program na podporu inovativních politik zaměřených na budoucnost, které posílí konkurenceschopnost Unie a sníží regulační zátěž pro občany, podniky a správní orgány, přičemž při prosazování hodnot EU zachová nejvyšší standardy.
V této souvislosti si tento návrh směrnice, kterou se mění směrnice (EU) 2022/2555, pokud jde o zjednodušující opatření a sladění s [návrhem nařízení Evropského parlamentu a Rady o Agentuře Evropské unie pro kybernetickou bezpečnost (ENISA), evropském rámci pro certifikaci kybernetické bezpečnosti a o bezpečnosti dodavatelského řetězce IKT a o zrušení nařízení (EU) 2019/881 (akt o kybernetické bezpečnosti 2)], klade za cíl řešit problém složitosti a rozmanitosti politik souvisejících s kybernetickou bezpečností, které mají dopad na kybernetickou pozici Unie, a to zejména zavedením vyjasňujících ustanovení a usnadněním dodržování předpisů pro regulované subjekty.
Cíl této směrnice by měl být považován za součást zastřešujících cílů balíčku revize aktu o kybernetické bezpečnosti, který zahrnuje návrh nařízení Evropského parlamentu a Rady o Agentuře Evropské unie pro kybernetickou bezpečnost (ENISA), evropském rámci pro certifikaci kybernetické bezpečnosti, o bezpečnosti dodavatelského řetězce IKT a o zrušení nařízení (EU) 2019/881. Cílem návrhu tohoto nařízení je řešit: i) nesoulad mezi rámcem politiky kybernetické bezpečnosti Unie a potřebami zúčastněných stran v prostředí hrozeb, které je stále více nepřátelské; ii) oddalované provádění evropského rámce pro certifikaci kybernetické bezpečnosti; iii) složitost a rozmanitost politik souvisejících s kybernetickou bezpečností, které mají dopad na kybernetickou pozici Unie; a iv) zvyšující se bezpečnostní rizika dodavatelských řetězců ICT. Pokud jde o složitost a rozmanitost politik souvisejících s kybernetickou bezpečností, které mají dopad na kybernetickou pozici Unie, balíček revize aktu o kybernetické bezpečnosti (jako součást reformy evropského rámce pro certifikaci kybernetické bezpečnosti) navrhuje podpořit certifikaci jako nástroj zajištění souladu s předpisy pro podniky a umožnit vytvoření schématu pro kybernetickou pozici subjektů s cílem snížit náklady na zajištění souladu s předpisy pro subjekty, na které se vztahuje směrnice NIS 2 a další příslušné právní předpisy Unie v oblasti kybernetické bezpečnosti. Tento přístup významně zjednoduší regulační povinnosti subjektů, na které se vztahuje větší počet požadavků v oblasti dodržování předpisů, a zajistí efektivnější využívání zdrojů všech vnitrostátních orgánů.
V důvodové zprávě k návrhu nařízení o aktu o kybernetické bezpečnosti 2 jsou uvedeny klíčové otázky, z nichž návrh vychází, jakož i související konkrétní cíle. Návrh směrnice se bude zabývat specifickým cílem 4 (SPC 4) podle posouzení dopadů revize aktu o kybernetické bezpečnosti, tj. vytvořit mechanismy a podmínky, které usnadní dodržování požadavků na kybernetickou bezpečnost, a zajistit tak, aby jejich provádění bylo soudržnější a účinnější. Cílené změny směrnice NIS 2 mají zjednodušit dodržování a zajistit efektivní a soudržné provádění konkrétních aspektů rámce pro kybernetickou bezpečnost, a to i pokud jde o oblast působnosti, definice, hlášení ransomwaru a dozor nad subjekty poskytujícími přeshraniční služby.
Návrh směrnice, kterou se mění směrnice (EU) 2022/2555, pokud jde o zjednodušující opatření a sladění s [aktem o kybernetické bezpečnosti 2], spadá do působnosti Programu pro účelnost a účinnost právních předpisů (REFIT). Společně s revizí aktu o kybernetické bezpečnosti výrazně přispívá ke zvýšení srozumitelnosti, odstranění neefektivních prvků a sladění postupů napříč právními rámci. Přispívá k řádnému fungování vnitřního trhu a zároveň zajišťuje bezpečnost a strategickou autonomii Unie.
•Soulad s platnými předpisy v této oblasti politiky
Unie rozšířila své právní a politické prostředky přijetím řady právních nástrojů a opatření politiky: i) směrnice NIS 2 slouží k posílení kybernetické bezpečnosti kritické infrastruktury; ii) opatření týkající se fyzické bezpečnosti jsou definována v „sesterské směrnici“, konkrétně ve směrnici o odolnosti kritických subjektů; iii) akt o kybernetické odolnosti zvyšuje kybernetickou bezpečnost produktů; iv) nařízení o kybernetické solidaritě buduje kapacity reakce na úrovni celé EU; v) kybernetický plán EU 7 podporuje spolupráci v oblasti řešení krizí na úrovni EU; vi) soubor opatření EU pro kybernetickou bezpečnost sítí 5G (sada nástrojů 5G) podporuje kybernetickou bezpečnost v sítích 5G; vii) evropský akční plán pro kybernetickou bezpečnost nemocnic a poskytovatelů zdravotní péče 8 pomáhá zvýšit kybernetickou bezpečnost těchto subjektů a viii) Akademie dovedností v oblasti kybernetické bezpečnosti 9 se zabývá narůstajícím problémem nedostatku talentů v oblasti kybernetické bezpečnosti.
Výše uvedený právní rámec pro kybernetickou bezpečnost byl doplněn odvětvovými právními předpisy, tj. nařízením o digitální provozní odolnosti finančního sektoru (nařízením DORA), kodexem sítě s odvětvovými pravidly pro aspekty kybernetické bezpečnosti přeshraničních toků elektřiny pro pododvětví elektroenergetiky, pravidly pro bezpečnost informací (část IS 10 ) pro pododvětví letecké dopravy.
Tento návrh směrnice, stejně jako návrh nařízení, který doprovází, je součástí širšího souboru právních a politických iniciativ přijatých Unií s cílem zvýšit odolnost subjektů vůči bezpečnostním a kybernetickým hrozbám. Zaměřuje se na cílené změny směrnice NIS 2, které mají mimo jiné vyjasnit některé aspekty týkající se oblasti působnosti, definic a pravidel příslušnosti, snížit zátěž v oblasti dohledu nad základními a důležitými subjekty a usnadnit dohled nad přeshraničními subjekty posílením úlohy agentury ENISA při podpoře operativní spolupráce. Kromě toho tento návrh společně s návrhem nařízení vytváří silnou synergii vyplývající z vývoje certifikace kybernetické pozice pro účely směrnice NIS 2 a potenciálně i pro usnadnění dodržování dalších příslušných právních předpisů Unie, jako je obecné nařízení o ochraně údajů (GDPR), aniž by byly dotčeny jejich specifické požadavky na certifikaci. Tato zjednodušující opatření mají potenciál snížit administrativní zátěž a uvolnit zdroje pro posílení provozní připravenosti subjektů v kritických odvětvích Unie v oblasti kybernetické bezpečnosti.
•Soulad s ostatními politikami Unie
Tento návrh zpřísňuje bezpečnostní požadavky na subjekty poskytující podnikatelské peněženky podle návrhu nařízení Evropského parlamentu a Rady o zřízení evropských podnikatelských peněženek 11 . Kromě toho Komise zajistí soulad s připravovanými iniciativami, jako je akt o digitálních sítích. Tento návrh je v souladu s návrhem nařízení o zjednodušení digitálního právního rámce (souhrnný balíček pro digitální oblast), který obsahuje mimo jiné změny směrnice NIS 2 a dalších právních aktů Unie. Souhrnný balíček pro digitální oblast navrhuje usnadnit plnění požadavků na podávání zpráv v oblasti kybernetické bezpečnosti, mimo jiné podle směrnice NIS 2, a to podáváním zpráv prostřednictvím jednotného kontaktního místa pro hlášení incidentů, které má zřídit a spravovat agentura ENISA. Tento návrh je také v souladu s návrhem nařízení Evropského parlamentu a Rady o bezpečnosti, odolnosti a udržitelnosti kosmických činností v Unii 12 .
Kromě toho je v souladu i se zprávou Maria Draghiho o budoucnosti evropské konkurenceschopnosti, jak bylo zdůrazněno výše.
2.PRÁVNÍ ZÁKLAD, SUBSIDIARITA A PROPORCIONALITA
•Právní základ
Právním základem tohoto návrhu je článek 114 Smlouvy o fungování Evropské unie (dále jen „SFEU“), jehož cílem je vytvoření a fungování vnitřního trhu posílením opatření ke sbližování vnitrostátních předpisů. Tímto návrhem se mění směrnice (EU) 2022/2555, která byla přijata podle článku 114 SFEU.
•Subsidiarita (v případě nevýlučné pravomoci)
Zásada subsidiarity vyžaduje posouzení nezbytnosti a přidané hodnoty opatření na úrovni EU. Soulad se zásadou subsidiarity v této oblasti byl uznán již při přijímání směrnice (EU) 2022/2555, kterou tento návrh pozměňuje.
Tento návrh usnadňuje dodržování právních předpisů Unie v oblasti kybernetické bezpečnosti, snižuje náklady na dodržování předpisů a právní nejistotu dotčených subjektů, usnadňuje dodržování požadavků na kybernetickou bezpečnost a zvyšuje míru tohoto dodržování. Přispívá také k vyrovnání podmínek přístupu k dohledu a kontrolám dodržování předpisů ve všech členských státech.
•Proporcionalita
Pravidla navrhovaná v této směrnici nepřekračují rámec toho, co je nezbytné pro uspokojivé dosažení specifických cílů. Předpokládané sladění a zefektivnění oblasti působnosti, bezpečnostních opatření a povinností podávání zpráv souvisí s požadavky členských států a podniků na zlepšení stávajícího rámce.
•Volba nástroje
Návrh změní stávající směrnici NIS 2 a dále zjednoduší povinnosti uložené podnikům, čímž zajistí vyšší úroveň harmonizace v celé Unii. Výběr právního nástroje pro tento návrh je v souladu s nástrojem právního textu, který mění, tj. se směrnicí NIS 2. Tento návrh vychází z cíle směrnice NIS 2 poskytnout členským státům flexibilitu potřebnou k zohlednění vnitrostátních specifik.
3.VÝSLEDKY HODNOCENÍ EX POST, KONZULTACÍ SE ZÚČASTNĚNÝMI STRANAMI A POSOUZNÍ DOPADŮ
•Hodnocení ex post / kontroly účelnosti platných právních předpisů
Viz důvodová zpráva k [návrhu aktu o kybernetické bezpečnosti 2].
•Konzultace se zúčastněnými stranami
Viz důvodová zpráva k [návrhu aktu o kybernetické bezpečnosti 2].
•Sběr a využití výsledků odborných konzultací
Viz důvodová zpráva k [návrhu aktu o kybernetické bezpečnosti 2].
•Posouzení dopadů
Viz důvodová zpráva a zpráva o posouzení dopadů, která je přiložena k [návrhu aktu o kybernetické bezpečnosti 2].
•Účelnost právních předpisů a zjednodušení
Viz důvodová zpráva k [návrhu aktu o kybernetické bezpečnosti 2].
•Základní práva
Viz důvodová zpráva k [návrhu aktu o kybernetické bezpečnosti 2].
4.ROZPOČTOVÉ DŮSLEDKY
Viz legislativní a finanční výkaz v [návrhu aktu o kybernetické bezpečnosti 2].
5.OSTATNÍ PRVKY
•Plány provádění a způsob monitorování, hodnocení a podávání zpráv
Podle článku 40 směrnice NIS 2 Komise každých 36 měsíců přezkoumá fungování směrnice a podá zprávu Evropskému parlamentu a Radě.
•Podrobné vysvětlení konkrétních ustanovení návrhu
Cílem návrhu je usnadnit dodržování povinností v oblasti kybernetické bezpečnosti a uvolnit zdroje pro posílení provozní připravenosti subjektů v kritických odvětvích Unie v oblasti kybernetické bezpečnosti.
Návrh zavádí cílené změny směrnice NIS 2 s cílem zjednodušit konkrétní aspekty rámce kybernetické bezpečnosti, zvýšit právní jistotu a harmonizovat provádění.
Aby se subjektům a dodavatelům usnadnilo prokazování souladu se směrnicí NIS 2, budou moci subjekty, na něž se vztahuje směrnice NIS 2, v souladu s návrhem nařízení, který tento návrh doprovází, získat certifikáty v rámci organizačních schémat certifikace kybernetické bezpečnosti vytvořených v rámci evropského rámce pro certifikaci kybernetické bezpečnosti.
Aby se dále usnadnilo dodržování opatření pro řízení rizik v oblasti kybernetické bezpečnosti u subjektů působících ve více zemích, které podléhají dohledu příslušných orgánů z několika členských států, je agentuře ENISA svěřena nová úloha spočívající v podpoře členských států při dohledu nad těmito subjekty, usnadňování vzájemné pomoci a vytváření lepšího přehledu o subjektech, na které se vztahuje směrnice NIS 2.
Kromě toho návrh předpokládá, že Komise přijme pokyny k uplatňování požadavků na bezpečnost dodavatelského řetězce, které subjekty spadající do oblasti působnosti směrnice NIS 2 přenášejí na své dodavatele, aby byla zajištěna právní jistota a zabránilo se neoprávněnému přenášení povinností na subjekty, na které se směrnice NIS 2 nevztahuje.
Další cílené změny směrnice NIS 2 zahrnují:
·vyjasnění oblasti působnosti a definic,
·vynětí provozovatelů DNS, kteří jsou mikropodniky a malými podniky, z oblasti působnosti směrnice,
·zavedení maximální harmonizace prováděcích aktů podle čl. 21 odst. 5 (upřesnění opatření pro řízení rizik v oblasti kybernetické bezpečnosti) s cílem usnadnit subjektům dodržování předpisů a orgánům dohled,
·zavedení nové kategorie malých podniků se střední tržní kapitalizací v souladu s doporučením Komise z roku 2025 o definici malých podniků se střední tržní kapitalizací18; subjekty, které jsou považovány za malé podniky se střední tržní kapitalizací, mají být označeny jako důležité subjekty, což sníží jejich zátěž spojenou s dodržováním předpisů a zátěž příslušných orgánů spojenou s dohledem,
·požadavek, aby členské státy přijaly politiky pro přechod na postkvantovou kryptografii (PQC) jako součást své národní strategie kybernetické bezpečnosti a
·zavedení harmonizovaného shromažďování údajů o ransomwarových útocích.
2026/0012 (COD)
Návrh
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY,
kterou se mění směrnice (EU) 2022/2555, pokud jde o zjednodušující opatření a sladění s [návrhem aktu o kybernetické bezpečnosti 2]
(Text s významem pro EHP)
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,
s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 114 této smlouvy,
s ohledem na návrh Evropské komise,
po postoupení návrhu legislativního aktu vnitrostátním parlamentům,
s ohledem na stanovisko Evropského hospodářského a sociálního výboru 13 ,
s ohledem na stanovisko Výboru regionů 14 ,
v souladu s řádným legislativním postupem,
vzhledem k těmto důvodům:
(1)Směrnice Evropského parlamentu a Rady (EU) 2022/2555 15 stanoví opatření, jejichž účelem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci Unie s cílem zlepšit fungování vnitřního trhu. Od vstupu směrnice (EU) 2022/2555 v platnost bylo ve zvyšování úrovně kybernetické odolnosti Unie dosaženo pokroku. Současně se při provádění směrnice členskými státy objevily určité problémy, mimo jiné v souvislosti s oblastí působnosti směrnice, prováděním povinností v oblasti řízení rizik kybernetické bezpečnosti a hlášení incidentů a s dohledem nad přeshraničními subjekty. V návaznosti na [návrh aktu o kybernetické bezpečnosti 2] by měly být provedeny cílené změny směrnice (EU) 2022/2555, které by tyto problémy řešily zjednodušením konkrétních aspektů s cílem zvýšit právní jistotu a zajistit jednotné provádění směrnice (EU) 2022/2555.
(2)Aby se snížila zátěž subjektů spojená s dodržováním předpisů a zátěž příslušných orgánů v oblasti dohledu, měla by být ve směrnici (EU) 2022/2555 zavedena nová kategorie malých podniků se střední tržní kapitalizací v souladu s doporučením Komise (EU) 2025/1099 16 . Subjekty, jejichž druh je uveden v příloze I směrnice (EU) 2022/2555 a jsou považovány za malé podniky se střední tržní kapitalizací, by měly být zpravidla určeny za důležité subjekty. Dále by se v zájmu podpory cíle Komise snížit administrativní náklady o 25 % celkově a o 35 % pro malé a střední podniky mělo na provozovatele DNS vztahovat obecné pravidlo velikostního omezení stanovené ve směrnici (EU) 2022/2555, podle kterého do oblasti působnosti směrnice (EU) 2022/2555 spadají všechny subjekty, které lze považovat za střední podniky podle článku 2 přílohy doporučení Komise 2003/361/ES 17 nebo které překračují stropy, jež jsou pro střední podniky stanoveny v odstavci 1 uvedeného článku.
(3)Během provádění směrnice (EU) 2022/2555 se vyskytly problémy při výkladu ustanovení týkajících se její oblasti působnosti. Proto by měla být vyjasněna některá ustanovení související s oblastí působnosti, která se týkají poskytovatelů zdravotní péče, výrobců elektřiny, vodíkových podniků a subjektů v chemickém odvětví, aby byla zajištěna právní jistota a snížena zátěž spojená s dodržováním předpisů pro subjekty i pro vnitrostátní orgány.
(4)V zájmu zajištění proporcionality, pokud jde o výrobce elektřiny ve smyslu čl. 2 bodu 38 směrnice Evropského parlamentu a Rady (EU) 2019/944 18 , by za základní nebo důležité subjekty podle směrnice (EU) 2022/2555 měli být považováni pouze ti výrobci elektřiny, jejichž celková výrobní kapacita je vyšší než 1 MW, pokud splňují pravidlo velikostního omezení. To by mělo zahrnovat výrobce elektřiny, u nichž kapacita jednoho zařízení na výrobu elektřiny přesahuje 1 MW, jakož i výrobce elektřiny, kteří provozují několik výrobních zařízení, která mají celkově výrobní kapacitu vyšší než 1 MW. Takový přístup umožňuje najít rovnováhu mezi potřebou zachytit ty subjekty, u nichž by zásah do jejich sítě a informačního systému mohl znamenat ztrátu, nemožnost kontroly nebo vnější kontrolu výrobní kapacity, která je sama o sobě významná pro bezpečnost a stabilitu elektrizační soustavy, a potřebou neklást na podniky nepřiměřenou administrativní zátěž podle směrnice (EU) 2022/2555.
(5)Evropské peněženky digitální identity podle nařízení Evropského parlamentu a Rady (EU) č. 910/2014 19 jsou základní součástí digitální infrastruktury Unie, která umožňuje bezpečnou identifikaci a autentizaci a výměnu elektronických dokumentů, včetně elektronických potvrzení atributů. Vzhledem k jejich zásadní úloze pro veřejnost a pro poskytování veřejných i soukromých služeb by jakýkoli incident v oblasti kybernetické bezpečnosti, který by tyto peněženky postihl, mohl mít značný dopad. Aby poskytovatelé evropských peněženek digitální identity zajistili poskytování svých služeb, měli by mít povinnost zavést vhodná technická, provozní a organizační opatření pro řízení rizik kybernetické bezpečnosti, předcházení incidentům a reakci na ně a spolupracovat s příslušnými orgány v souladu se směrnicí (EU) 2022/2555. Měli by proto být bez ohledu na svou velikost zahrnuti mezi subjekty, na které se uvedená směrnice vztahuje, a měli by být zařazeni mezi základní subjekty. Evropské podnikatelské peněženky nabízejí podobné funkce a služby přizpůsobené potřebám hospodářských subjektů a orgánů veřejného sektoru, přičemž vycházejí z rámce EU pro digitální identitu, a mají stejně kritický význam pro bezpečnost a integritu digitální ekonomiky. Na poskytovatele evropských podnikatelských peněženek zřízených v souladu s [návrhem nařízení o zřízení evropských podnikatelských peněženek] 20 by se proto měly vztahovat stejné požadavky a povinnosti v oblasti kybernetické bezpečnosti jako na poskytovatele evropských peněženek digitální identity, aby byla zajištěna jednotná a vysoká úroveň bezpečnosti v celém ekosystému digitální identity.
(6)Podmořská infrastruktura pro přenos dat zahrnuje nejen kabely, ale také veškerou infrastrukturu související s jejich provozem. Tato infrastruktura obsahuje pozemní stanice a pozemní části podmořského kabelu, které jsou k nim připojeny, například pozemní trasy od šachty na pláži k pozemní stanici, datovému centru nebo přístupovému bodu. Podmořskou infrastrukturu pro přenos dat obvykle provozují subjekty, na které se směrnice (EU) 2022/2555 již vztahuje, včetně poskytovatelů veřejných sítí a služeb elektronických komunikací nebo poskytovatelů služeb cloud computingu. Podmořskou infrastrukturu pro přenos dat však mohou provozovat i jiné druhy subjektů, které v současné době nespadají do oblasti působnosti směrnice (EU) 2022/2555, jako v případě podmořské infrastruktury pro přenos dat, kterou provozují poskytovatelé sítí elektronických komunikací, které nejsou veřejné, nebo subjekty, které zcela nebo zčásti pronajímají provozování podmořské infrastruktury pro přenos dat poskytovatelům veřejných sítí elektronických komunikací. Vzhledem k rostoucím rizikům, která hrozí podmořské infrastruktuře pro přenos dat, a v důsledku toho k vysoce kritickému významu této infrastruktury je nutné zajistit, aby se směrnice (EU) 2022/2555 vztahovala na všechny typy provozovatelů podmořské infrastruktury pro přenos dat. Na ostatní námořní kritické infrastruktury, jako jsou podmořské elektrické kabely a plynovody, vodíková potrubí a ropovody, se obvykle směrnice (EU) 2022/2555 již vztahuje, neboť je provozují provozovatelé přenosových soustav v pododvětvích elektřiny, plynu, vodíku a ropy.
(7)Aby subjekty poskytující služby napříč několika členskými státy mohly využívat soudržnější a méně zatěžující přístupy dohledu na celém vnitřním trhu, měly by mít možnost prokázat splnění konkrétních nebo všech povinností v oblasti řízení rizik kybernetické bezpečnosti stanovených ve směrnici (EU) 2022/2555, a to získáním certifikátu kybernetické pozice v rámci evropského schématu certifikace kybernetické bezpečnosti. K vývoji takového systému přispěje přijetí prováděcích aktů týkajících se technických, metodických i odvětvových požadavků na opatření k řízení rizik v oblasti kybernetické bezpečnosti podle směrnice (EU) 2022/2555, které vycházejí z maximální harmonizace.
(8)Vzhledem k neustále rostoucí závislosti naší společnosti a hospodářství na digitálních technologiích je nutné přijmout zmírňující opatření proti hrozbě založené na využití kvantové technologie. Možnost útoků typu „harvest now – decrypt later“ (sbírej teď, dešifruj později), k nimž pravděpodobně dochází již nyní, a budoucí rizika vyvolaná kvantovými útoky zaměřenými na falšování podpisů, jakož i plánované zastarávání některých implementací algoritmů a úplné vyřazení současných kryptografických algoritmů s veřejným klíčem zvyšují naléhavost zahájení opatření pro přechod na postkvantovou kryptografii (PQC). Členské státy by proto měly být povinny přijmout politiky pro přechod na postkvantovou kryptografii jako součást své národní strategie kybernetické bezpečnosti. Tyto politiky by měly usnadnit urychlení strategického plánování a vytvoření podpůrných opatření a nástrojů pro posouzení expozice kryptografických aktiv rizikům, která představují kvantové počítače. Dále by měly pomáhat při vytváření plánu přechodu a při zkouškách zavádění postkvantové kryptografie v digitálních aplikacích a sítích a současně podporovat vznik a zavádění formálně ověřených a vyhodnocených evropských řešení postkvantové kryptografie, která budou v souladu s rámcem dodržování předpisů u produktů a služeb. Tyto politiky by měly být v souladu s milníky stanovenými v právních aktech a politikách Unie, jakož i s dokumenty přijatými skupinou pro spolupráci v oblasti bezpečnosti sítí a informací, zejména s koordinovaným prováděcím plánem přechodu na postkvantovou kryptografii, který skupina pro spolupráci v oblasti bezpečnosti sítí a informací přijala v červnu 2025, a dosáhnout tak přechodu na postkvantovou kryptografii do roku 2030 pro případy kritického použití a do roku 2035 pro případy použití střední a nižší úrovně.
(9)Podle čl. 21 odst. 2 písm. d) směrnice (EU) 2022/2555 musí základní a důležité subjekty zajistit odpovídající úroveň bezpečnosti ve svém dodavatelském řetězci. V praxi tato povinnost vedla mnoho subjektů k tomu, že od svých dodavatelů vyžadovaly rozsáhlé informace prostřednictvím různorodých dotazníků, formátů a postupů. Jakkoli je cílem těchto žádostí podpořit náležitou péči a řízení rizik, pro dodavatele základních a významných subjektů mohou také představovat značnou administrativní zátěž, zejména pokud je třeba podobné informace poskytovat opakovaně v různých formách. Aby se tato zátěž zmírnila a podpořil se jednotný, přiměřený a účinný přístup k posuzování bezpečnosti dodavatelského řetězce, měla by Komise vypracovat pokyny, které doporučí náležitou míru podrobnosti, strukturu a formát takových žádostí o informace. Tyto pokyny by měly usnadnit harmonizaci, omezit zbytečné duplicity a podpořit subjekty i jejich dodavatele v účinném plnění jejich povinností podle směrnice (EU) 2022/2555.
(10)Ransomwarové útoky, při nichž malware zašifruje data a systémy a za jejich uvolnění požaduje výkupné, jsou stále jednou z hlavních hrozeb pro základní a důležité subjekty. Harmonizace a zlepšení shromažďování údajů o ransomwarových útocích od postižených základních a důležitých subjektů by poskytly poznatky týmům pro reakce na počítačové bezpečnostní incidenty (dále také „CSIRT“) a vnitrostátním orgánům a umožnily by jim zajistit, aby budoucí zásahy proti ransomwaru byly přiměřené a účinné, podpořit subjekty při zvyšování jejich odolnosti a předcházení budoucím útokům a shromáždit zpravodajské informace a důkazy, které donucovací orgány potřebují k rozbití a likvidaci gangů využívajících ransomware a potrestání jejich členů. Vzhledem k potenciálně citlivé povaze informací, které mají být sdíleny v souvislosti s ransomwarovými útoky, zejména zda subjekt zaplatil výkupné, a pokud ano, jakou částku a komu, by tyto informace měly být poskytovány pouze týmům CSIRT nebo případně příslušným orgánům na jejich žádost. Pro účely takové výměny informací se základním a důležitým subjektům doporučuje, aby jmenovaly osobu, která bude působit jako kontaktní místo a zajistí důvěrnost a důvěryhodnost výměny informací. V rámci mezinárodní iniciativy pro boj proti ransomwaru Unie schválila nezávazné mezinárodní politické prohlášení, podle něhož by příslušné instituce spadající do oblasti pravomoci zúčastněných vlád členských států neměly platit výkupné požadované vyděrači.
(11)Plnění povinností oznamovat příslušné informace o incidentech spojených s ransomwarem by nemělo vést k uložení dalších povinností podle směrnice (EU) 2022/2555, které by se na určitý subjekt nevztahovaly, pokud by informace neoznámil. Za tímto účelem by se členské státy měly v rámci svého vnitrostátního právního řádu zabývat možnými riziky vyplývajícími ze zvýšené odpovědnosti spojené s oznamováním příslušných informací o incidentech s ransomwarem.
(12)Vzhledem k přeshraničnímu rozměru mnoha základních a významných subjektů na celém vnitřním trhu a k potřebě zajistit soudržnost a podpořit sbližování a účinnost přístupů v oblasti dohledu by agentura ENISA měla být nápomocna členským státům při poskytování vzájemné pomoci základním a významným subjektům, které poskytují služby ve více než jednom členském státě nebo které poskytují služby v jednom či více členských státech a mají své sítě a informační systémy umístěny v jednom či více jiných členských státech. Za tímto účelem by členské státy měly poskytnout dodatečné informace do registru subjektů vedeného agenturou ENISA. Na základě informací obsažených v registru základních a významných subjektů by agentura ENISA měla provést komplexní analýzu přeshraničních rizik v oblasti kybernetické bezpečnosti týkajících se základních a významných subjektů. Analýza by měla vycházet z metodiky vypracované společně s Komisí a skupinou pro spolupráci v oblasti bezpečnosti sítí a informací. Tato metodika by mohla zohledňovat míru, v níž základní a důležité subjekty využívají své služby na širokém přeshraničním základě, spoléhají se na přeshraniční služby, jsou vystaveny riziku koncentrace dodavatelského řetězce, mohou být identifikovány jako zdroj rizika koncentrace dodavatelského řetězce, jsou vystaveny incidentům, které by mohly mít významné rušivé účinky na přeshraniční služby, nebo v níž při poskytování svých služeb využívají síťové a informační systémy, které se nacházejí v různých členských státech a mimo Unii. Na základě zprávy o analýze rizik by agentura ENISA měla relevantním příslušným orgánům doporučit, aby zřídily společné kontrolní týmy na podporu dohledu nad subjekty s vyšší mírou rizika pro hladké fungování vnitřního trhu v případě incidentů, a na žádost příslušných orgánů by jim měla být nápomocna při provádění společných opatření v oblasti dohledu.
(13)Jelikož cíle této směrnice, totiž zjednodušení prováděcích opatření pro vysokou společnou úroveň kybernetické bezpečnosti v celé Unii, nemůže být dosaženo uspokojivě členskými státy, ale spíše jej z důvodu účinků této směrnice může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je pro dosažení tohoto cíle nezbytné.
(14)V souladu s čl. 42 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2018/1725 21 proběhla konzultace s evropským inspektorem ochrany údajů a evropským sborem pro ochranu osobních údajů, který vydal společné stanovisko dne [datum],
PŘIJALY TUTO SMĚRNICI:
Článek 1
Změny směrnice (EU) 2022/2555
Směrnice (EU) 2022/2555 se mění takto:
1)Článek 2 se mění takto:
a)v odstavci 2 se písmeno a) mění takto:
i) bod iii) se nahrazuje tímto:
„iii) „registry domén nejvyšší úrovně;“;
ii) doplňují se nové body iv) a v), které znějí:
„iv) poskytovateli evropských peněženek digitální identity podle nařízení (EU) č. 910/2014;
v) poskytovateli evropských podnikatelských peněženek zřízených v souladu s nařízením (EU) […]*;
_______
* „Nařízení (EU) […] [návrh nařízení o zřízení evropských podnikatelských peněženek].“;
b)doplňuje se nový odstavec 3a, který zní:
„3a. Bez ohledu na jejich velikost se tato směrnice použije na subjekty určené jakožto vlastníci, správci a provozovatelé strategické infrastruktury dvojího užití podle nařízení (EU) […]**.
_________
** „Nařízení (EU) […] [návrh nařízení Evropského parlamentu a Rady, kterým se zřizuje rámec pro opatření usnadňující přepravu vojenského vybavení, zboží a personálu v celé Unii].“
2)Článek 3 se mění takto:
a)odstavec 1 se nahrazuje tímto:
i) písmena a) a b) se nahrazují tímto:
„a) subjekty, jejichž druh je uveden v příloze I, které překračují stropy pro malé podniky se střední tržní kapitalizací;
b) kvalifikovaní poskytovatelé služeb vytvářejících důvěru, poskytovatelé evropských peněženek digitální identity, poskytovatelé evropských podnikatelských peněženek a registry domén nejvyšší úrovně bez ohledu na jejich velikost;“;
ii) doplňuje se nové písmeno h), které zní:
„h) subjekty určené jakožto vlastníci, správci a provozovatelé strategické infrastruktury dvojího užití podle nařízení (EU) [...] [návrh nařízení Evropského parlamentu a Rady, kterým se zřizuje rámec pro opatření usnadňující přepravu vojenského vybavení, zboží a personálu v celé Unii].“;
b)v odstavci 4 se první pododstavec nahrazuje tímto:
„Pro účely stanovení seznamu uvedeného v odstavci 3 členské státy vyžadují, aby subjekty zmíněné v uvedeném odstavci příslušným orgánům předložily alespoň tyto informace:
a) název subjektu;
b) případně příslušné odvětví, pododvětví a druh subjektu podle přílohy I nebo II;
c) adresu subjektu nebo případně adresu hlavní provozovny subjektu a jeho dalších provozoven v Unii nebo, není-li subjekt v Unii usazen, zástupce subjektu určeného podle čl. 26 odst. 3;
d) aktuální kontaktní údaje, včetně e-mailových adres, telefonních čísel, jedinečného identifikátoru, případně digitálních adres evropské podnikatelské peněženky subjektu a případně jeho zástupce určeného podle čl. 26 odst. 3;
e) členské státy, v nichž subjekt poskytuje své služby;
f) IP adresy subjektu.“
3)Článek 5 se nahrazuje tímto:
„Článek 5
Minimální harmonizace
Aniž je dotčen čl. 21 odst. 5 pátý pododstavec, tato směrnice nebrání členským státům v tom, aby přijímaly nebo ponechaly v platnosti ustanovení zajišťující vyšší úroveň kybernetické bezpečnosti, jsou-li tato ustanovení v souladu s jejich povinnostmi stanovenými v právu Unie.“
4)V článku 6
se doplňují nové body 42 a 43, které znějí:
„(42) „malými podniky se střední tržní kapitalizací“ podniky ve smyslu přílohy doporučení Komise (EU) 2025/1099***;
(43) „podmořskou infrastrukturou pro přenos dat“ podmořské kabely pro přenos dat, související infrastruktura a další zařízení nebo prvky spojené s přenosem dat.
__________
*** Doporučení Komise (EU) 2025/1099 ze dne 21. května 2025 o definici malých podniků se střední tržní kapitalizací (Úř. věst. L, 2025/1099, 28.5.2025, ELI: http://data.europa.eu/eli/reco/2025/1099/oj).“
5)V čl. 7 odst. 2 se doplňuje nové písmeno k), které zní:
„k) pro přechod na postkvantovou kryptografii s přihlédnutím k harmonogramům přechodu a příslušným požadavkům stanoveným v použitelných právních aktech a politikách Unie.“
6)V čl. 15 odst. 2 se první věta nahrazuje tímto:
„Síť CSIRT tvoří zástupci týmů CSIRT určených nebo zřízených podle článku 10, zástupci týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU) a agentura ENISA.“
7)V článku 21 se odstavec 5 se mění takto:
a)druhý pododstavec se nahrazuje tímto:
„Komise může přijmout prováděcí akty, kterými stanoví technické, metodické a případně odvětvové požadavky, pokud jde o opatření uvedená v odstavci 2, přičemž tyto požadavky se týkají jiných základních a důležitých subjektů než těch, které jsou uvedeny v prvním pododstavci tohoto odstavce. Komise pravidelně posuzuje, zda mají být prováděcí akty uvedené v tomto pododstavci přijaty pro konkrétní odvětví nebo druhy subjektů s cílem zlepšit fungování vnitřního trhu. Při přípravě těchto posouzení se Komise zaměří zejména na přeshraniční povahu odvětví nebo druhy subjektů a provede otevřený, transparentní a inkluzivní postup konzultací s příslušnými zúčastněnými stranami a členskými státy.“;
b)doplňuje se nový pátý pododstavec, který zní:
„Pokud Komise přijme prováděcí akty uvedené v prvním a druhém pododstavci tohoto odstavce, členské státy neukládají subjektům, na které se vztahují tyto prováděcí akty, žádné další technické nebo metodické požadavky týkající se opatření uvedených v čl. 21 odst. 2 směrnice (EU) 2022/2555.“
8)V článku 23 se doplňují nové odstavce 12 a 13, které znějí:
„12. Při přijímání prováděcího aktu podle odst. 11 prvního pododstavce Komise zahrne požadavky, aby byly v souvislosti s ransomwarovými útoky podle odstavce 1 předloženy tyto informace:
a)zda subjekt odhalil ransomwarový útok;
b)vektor útoku týkající se daného ransomwarového útoku;
c) zda byla provedena zmírňující opatření.
13. Členské státy zajistí, aby v případě závažného incidentu způsobeného ransomwarovým útokem dotčené subjekty informovaly na žádost týmu CSIRT nebo případně příslušného orgánu prostřednictvím komunikačního kanálu, který poskytne tým CSIRT nebo případně příslušný orgán:
a)zda subjekt obdržel žádost o výkupné a případně od koho;
b)zda bylo výkupné zaplaceno, a pokud ano, v jaké výši, jakým platebním prostředkem a kterému příjemci nebo přijímající straně, včetně případného poskytovatele kryptoaktiv a služeb souvisejících s kryptoaktivy.“
9)V článku 24 se doplňují nové odstavce 4, 5 a 6, které znějí:
„4. K prokázání souladu s článkem 21 mohou členské státy požadovat, aby základní a důležité subjekty získaly certifikát kybernetické pozice v rámci evropského schématu certifikace kybernetické bezpečnosti přijatého podle článku 75 nařízení (EU) XXX/XXX **** [návrh aktu o kybernetické bezpečnosti 2].
5. Pokud je kybernetická pozice základního nebo významného subjektu certifikována v rámci evropského schématu certifikace kybernetické bezpečnosti přijatého podle článku 74 nařízení (EU) XXX/XXX**** [návrh aktu o kybernetické bezpečnosti 2] a pokud certifikát prokazuje soulad s požadavky stanovenými v prováděcím aktu přijatém podle čl. 21 odst. 5 této směrnice nebo ve vnitrostátním právním předpisu, kterým se provádí čl. 21 odst. 1 a 2 této směrnice ve vnitrostátním právu, příslušné orgány nepodrobí subjekt dodatečným opatřením podle čl. 32 odst. 2 písm. b), případně čl. 33 odst. 2 písm. b), pokud jde o požadavky, na které vztahuje certifikát.
6. Certifikací podle odstavce 4 není dotčena povinnost základního nebo významného subjektu dodržovat tuto směrnici.
_____________
**** Nařízení (EU) XXX/XXX [návrh aktu o kybernetické bezpečnosti 2].“
10)Článek 26 se mění takto:
a)v odstavci 1 se doplňuje nové písmeno d), které zní:
„d) letečtí dopravci, u nichž se má za to, že spadají do jurisdikce členského státu, jehož příslušný orgán vydávající licence udělil subjektu provozní licenci podle nařízení Evropského parlamentu a Rady (ES) č. 1008/2008*****, nebo pokud provozní licence nebo rovnocenná licence nebyla udělena v souladu s uvedeným nařízením, u nichž se má za to, že spadají do jurisdikce členského státu, v němž mají hlavní provozovnu v Unii podle odstavce 2.
______________
**** Nařízení Evropského parlamentu a Rady (ES) č. 1008/2008 ze dne 24. září 2008 o společných pravidlech pro provozování leteckých služeb ve Společenství (Úř. věst. L 293, 31.10.2008, s. 3, ELI: http://data.europa.eu/eli/reg/2008/1008/oj).“;
b)odstavec 3 se nahrazuje tímto:
„3. Jestliže základní nebo důležitý subjekt není v Unii usazen, ale nabízí v Unii služby, určí svého zástupce v Unii. Tento zástupce musí být usazen v jednom z členských států, v němž jsou služby nabízeny. Má se za to, že tento subjekt podléhá pravomoci členského státu místa usazení zástupce. Pokud je takový subjekt subjektem uvedeným v odst. 1 písm. a), má se za to, že spadá do pravomoci členského státu, ve kterém poskytuje své služby. Neexistuje-li zástupce v Unii určený podle tohoto odstavce, může právní kroky proti subjektu za porušení této směrnice podniknout kterýkoli členský stát, v němž tento subjekt poskytuje služby.“
11)Článek 27 se mění takto:
a)odstavec 1 se nahrazuje tímto:
„1. Agentura ENISA na základě informací získaných od jednotných kontaktních míst v souladu s odstavcem 4 vytvoří a vede registr základních a důležitých subjektů a subjektů poskytujících služby registrace jmen domén. Agentura ENISA na požádání umožní příslušným orgánům přístup k informacím týkajícím se provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, jakož i poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a leteckých dopravců, které jsou uloženy v tomto registru, přičemž v příslušných případech zajistí ochranu důvěrnosti informací.“;
b)odstavec 2 se zrušuje;
c)odstavce 3, 4 a 5 se nahrazují tímto:
„3. Členské státy zajistí, aby základní a důležité subjekty oznámily příslušnému orgánu všechny změny informací, které předložily podle čl. 3 odst. 4, a to bezodkladně, nejpozději však do dvou týdnů od data změny.
4. Po obdržení informací podle čl. 3 odst. 4 jednotné kontaktní místo dotčeného členského státu postoupí bez zbytečného odkladu tyto informace agentuře ENISA.
5. V příslušném případě se informace uvedené v čl. 3 odst. 4 prvním pododstavci předloží prostřednictvím vnitrostátního mechanismu uvedeného v čl. 3 odst. 4 čtvrtém pododstavci.“
12)Vkládá se nový článek 37a, který zní:
„Článek 37a
Úloha agentury ENISA v oblasti vzájemné pomoci
1. Agentura ENISA je členským státům nápomocna při provádění vzájemné pomoci ve smyslu článku 37 a pomáhá usnadňovat procesy této spolupráce pro základní a důležité subjekty, které poskytují služby ve více než jednom členském státě nebo které poskytují služby v jednom či více členských státech a mají své sítě a informační systémy umístěny v jednom či více jiných členských státech.
2. Pro účely stanovené v odstavci 1 provede agentura ENISA do … [15 měsíců ode dne vstupu tohoto nařízení v platnost] komplexní analýzu přeshraničních kybernetických bezpečnostních rizik týkajících se základních a významných subjektů, které poskytují služby ve více než jednom členském státě nebo které poskytují služby v jednom či více členských státech a mají své sítě a informační systémy umístěny v jednom či více jiných členských státech. Analýza vyhodnotí rozsah možných přeshraničních důsledků a důsledků pro vnitřní trh, které vyplývají z incidentů s dopadem na takové základní a důležité subjekty. Pro účely této analýzy vypracuje agentura ENISA ve spolupráci s Komisí a skupinou pro spolupráci metodiku. Na základě analýzy sestaví agentura ENISA komplexní zprávu o posouzení přeshraničních rizik v oblasti kybernetické bezpečnosti, která se každoročně aktualizuje.
3. Na základě komplexní zprávy o posouzení přeshraničních rizik v oblasti kybernetické bezpečnosti agentura ENISA:
a)dle potřeby doporučí relevantním příslušným orgánům, aby zřídily společné kontrolní týmy na podporu dohledu nad konkrétními subjekty;
b)vypracuje pokyny pro společná opatření v oblasti dohledu;
c)na žádost příslušných orgánů dotčených členských států stanoví praktická ujednání týkající se provádění společných opatření v oblasti dohledu;
d)na žádost příslušných orgánů dotčených členských států a v závislosti na svých vlastních zdrojích a úměrně k těmto zdrojům se účastní společných opatření v oblasti dohledu;
e)na žádost příslušných orgánů dotčených členských států je nápomocna při posuzování úrovně provádění opatření k řízení kybernetických bezpečnostních rizik stanovených v článku 21 ze strany základního nebo významného subjektu.
4. Pro účely odst. 3 písm. e) tohoto článku poskytnou příslušné orgány dotčených členských států agentuře ENISA, pokud jej mají k dispozici, seznam opatření k řízení kybernetických bezpečnostních rizik přijatých základním nebo významným subjektem v souladu s článkem 21, seznam provedených opatření v oblasti dohledu nebo vymáhání, jakož i příslušnou dokumentaci včetně důkazů o provádění politik v oblasti kybernetické bezpečnosti, jako jsou výsledky bezpečnostních auditů, které příslušné orgány ve vztahu k danému subjektu provedly podle článků 32 a 33.
5. Pokud členský stát obdrží vzájemnou pomoc podle čl. 37 odst. 1 prvního pododstavce písm. c), jednotné kontaktní místo informuje agenturu ENISA o tom, že byla poskytnuta vzájemná pomoc. Jednotné kontaktní místo případně uvede, který přeshraniční incident podle čl. 23 odst. 6 souvisel s případem vzájemné pomoci.“
13)Přílohy I a II se mění v souladu s přílohou této směrnice.
Článek 2
Provedení ve vnitrostátním právu
1.Do … [12 měsíců ode dne vstupu této směrnice v platnost] členské státy přijmou a zveřejní opatření nezbytná pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.
Začnou tato opatření uplatňovat ode dne … [jeden den ode dne uvedeného v prvním pododstavci].
2.Opatření uvedená v odst. 1 přijatá členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.
Článek 3
Vstup v platnost
Tato směrnice vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Článek 4
Určení
Tato směrnice je určena členským státům.
Ve Štrasburku dne
Za Evropský parlament Za Radu
předsedkyně předseda/předsedkyně
[...] [...]
EVROPSKÁ KOMISE
Ve Štrasburku dne 20.1.2026
COM(2026) 13 final
PŘÍLOHA
NÁVRHU SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY,
kterou se mění směrnice (EU) 2022/2555, pokud jde o zjednodušující opatření a sladění s [návrhem aktu o kybernetické bezpečnosti 2]
PŘÍLOHA
ZMĚNY PŘÍLOH I A II SMĚRNICE (EU) 2022/2555
1.Příloha I se mění takto:
a)v bodě 1 písm. a) se čtvrtá odrážka ve třetím sloupci nahrazuje tímto:
„— Výrobci ve smyslu čl. 2 bodu 38 směrnice Evropského parlamentu a Rady (EU) 2019/944*, s výjimkou výrobců, jejichž celková výrobní kapacita nepřesahuje 1 MW
__________
* Směrnice Evropského parlamentu a Rady (EU) 2019/944 ze dne 5. června 2019 o společných pravidlech pro vnitřní trh s elektřinou a o změně směrnice 2012/27/EU (Úř. věst. L 158, 14.6.2019, s. 125, ELI: http://data.europa.eu/eli/dir/2019/944/oj .).“;
b)v bodě 1 písm. e) se text ve třetím sloupci nahrazuje tímto:
„— vodíkové podniky ve smyslu čl. 2 bodu 14 směrnice Evropského parlamentu a Rady (EU) 2024/1788**, které vykonávají funkci „výroby“ pro komerční účely
— provozovatelé zařízení pro skladování vodíku ve smyslu čl. 2 bodu 6 směrnice (EU) 2024/1788
— provozovatelé vodíkové přepravní sítě ve smyslu čl. 2 bodu 26 směrnice (EU) 2024/1788
__________
** Směrnice Evropského parlamentu a Rady (EU) 2024/1788 ze dne 13. června 2024 o společných pravidlech pro vnitřní trh s plynem z obnovitelných zdrojů, se zemním plynem a s vodíkem a o změně směrnice (EU) 2023/1791 a zrušení směrnice 2009/73/ES (Úř. věst. L, 2024/1788, 15.7.2024, ELI: http://data.europa.eu/eli/dir/2024/1788/oj).“;
c)v bodě 2 písm. d) se druhá odrážka ve třetím sloupci nahrazuje tímto:
„ — poskytovatelé služeb inteligentních dopravních systémů ve smyslu čl. 4 bodu 5 směrnice Evropského parlamentu a Rady 2010/40/EU***
__________
*** Směrnice Evropského parlamentu a Rady 2010/40/EU ze dne 7. července 2010 o rámci pro zavedení inteligentních dopravních systémů v oblasti silniční dopravy a pro rozhraní s jinými druhy dopravy (Úř. věst. L 207, 6.8.2010, s. 1, ELI: http://data.europa.eu/eli/dir/2010/40/oj ).“;
d)v bodě 5 se první odrážka ve třetím sloupci nahrazuje tímto:
„— poskytovatelé zdravotní péče ve smyslu čl. 3 písm. g) směrnice Evropského parlamentu a Rady 2011/24/EU****, s výjimkou poskytovatelů služeb, na které se směrnice 2011/24/EU nevztahuje podle čl. 1 odst. 3 písm. a) uvedené směrnice
__________
****Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45, ELI: http://data.europa.eu/eli/dir/2011/24/oj ).“;
e)v bodě 8 třetím sloupci se doplňují nové odrážky, které zní:
„— poskytovatelé evropských peněženek digitální identity podle čl. 5a odst. 2 nařízení (EU) č. 910/2014
— poskytovatelé evropských podnikatelských peněženek podle nařízení (EU) […] [Úř. věst., vložit odkaz na nařízení Evropského parlamentu a Rady, kterým se zřizují evropské podnikatelské peněženky]
— provozovatelé podmořské infrastruktury pro přenos dat, pokud nejsou zahrnuti jako jiný druh subjektu“;
2.v příloze II se bod 3 mění takto:
a)text v prvním sloupci se nahrazuje tímto:
„3. Výroba a produkce chemických látek“;
b)text ve třetím sloupci se nahrazuje tímto:
„— podniky provádějící výrobu látek podle čl. 3 bodu 9 nařízení Evropského parlamentu a Rady (ES) č. 1907/2006*****, pokud se na podnik vztahuje obecná povinnost registrace látek samotných nebo obsažených ve směsích podle článku 6 nařízení (ES) č. 1907/2006
— podniky provádějící výrobu předmětů ve smyslu čl. 3 bodu 3 nařízení (ES) č. 1907/2006 z látek nebo směsí, pokud se na podnik vztahuje povinnost oznamovat látky v předmětech podle čl. 7 odst. 2 nařízení (ES) č. 1907/2006
_________
***** Nařízení Evropského parlamentu a Rady (ES) č. 1907/2006 ze dne 18. prosince 2006 o registraci, hodnocení, povolování a omezování chemických látek, o zřízení Evropské agentury pro chemické látky, o změně směrnice 1999/45/ES a o zrušení nařízení Rady (EHS) č. 793/93, nařízení Komise (ES) č. 1488/94, směrnice Rady 76/769/EHS a směrnic Komise 91/155/EHS, 93/67/EHS, 93/105/ES a 2000/21/ES (Úř. věst. L 396, 30.12.2006, s. 1, ELI: http://data.europa.eu/eli/reg/2006/1907/oj).“