EVROPSKÁ KOMISE

V Bruselu dne 16.12.2020

COM(2020) 829 final

2020/0365(COD)

Návrh

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

o posílení odolnosti kritických subjektů

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

DŮVODOVÁ ZPRÁVA

1.SOUVISLOSTI NÁVRHU

·Odůvodnění a cíle návrhu

·Soulad s platnými předpisy v této oblasti politiky

Tento návrh zohledňuje priority Komise obsažené ve strategii bezpečnostní unie EU 11 , která požaduje revidovaný přístup, pokud jde o odolnost kritické infrastruktury, který lépe odráží současné a očekávané budoucí rizikové prostředí, stále těsnější vzájemné závislosti mezi různými odvětvími a také stále více vzájemně závislé vztahy mezi fyzickými a digitálními infrastrukturami.

Navrhovaná směrnice nahrazuje směrnici o EKI a zohledňuje další stávající a předpokládané nástroje a vychází z nich. Navrhovaná směrnice představuje podstatnou změnu ve srovnání se směrnicí o EKI, která se vztahuje pouze na odvětví energetiky a dopravy, zaměřuje se výhradně na ochranná opatření a stanoví postup pro určení a označení evropských kritických infrastruktur prostřednictvím přeshraničního dialogu. Navrhovaná směrnice by především měla mít mnohem širší působnost napříč odvětvími, zahrnující deset odvětví, konkrétně energetiku, dopravu, bankovnictví, infrastrukturu finančního trhu, zdraví, pitnou vodu, odpadní vodu, digitální infrastrukturu, veřejnou správu a vesmírný program. Zadruhé stanoví směrnice postup pro členské státy za účelem určení kritických subjektů pomocí společných kritérií na základě vnitrostátního posouzení rizik. Zatřetí stanoví návrh povinností členských států a jimi určených kritických subjektů včetně subjektů se zvláštním evropským významem, tj. kritických subjektů, které poskytují základní služby do více než jedné třetiny členských států nebo ve více než jedné třetině členských států, které by podléhaly zvláštnímu dozoru.

Komise by případně poskytla příslušným orgánům a kritickým subjektům podporu při plnění jejich povinností podle této směrnice. Skupina pro posílení odolnosti kritických subjektů, což je expertní skupina Komise podléhající horizontálnímu rámci, který se na tyto skupiny vztahuje, by navíc poskytovala Komisi poradenství a podporovala strategickou spolupráci a výměnu informací. A konečně, protože vzájemná závislost nekončí na vnějších hranicích EU, je rovněž nezbytná spolupráce s partnerskými zeměmi. Navrhovaná směrnice možnost takové spolupráce stanoví, například v oblasti posouzení rizik.

Soulad s ostatními politikami Unie

Navrhovaná směrnice má zjevné vazby na další iniciativy EU v rámci jiných odvětví a napříč nimi a je s nimi v souladu. Tyto iniciativy se týkají mimo jiné posilování odolnosti vůči klimatickým změnám, civilní ochrany, přímých zahraničních investic (PZI), kybernetické bezpečnosti a acquis v oblasti finančních služeb. Návrh je zejména úzce provázán a vytváří úzkou synergii s navrhovanou směrnicí o bezpečnosti sítí a informací 2, jejímž cílem je posílit odolnost informačních a komunikačních technologií (IKT) „zásadních subjektů“ a „důležitých subjektů“, které splňují konkrétní mezní hodnoty ve velkém počtu odvětví, a to proti všem rizikům. Cílem tohoto návrhu směrnice o posílení odolnosti kritických subjektů je zajistit, aby příslušné orgány určené podle této směrnice a orgány určené podle navrhované směrnice o bezpečnosti sítí a informací 2 přijaly doplňková opatření a v případě potřeby si vyměňovaly informace týkající se kybernetické i nekybernetické odolnosti a aby se na zvláště kritické subjekty v odvětvích, které se považují za „zásadní“ podle navrhované směrnice o bezpečnosti sítí a informací 2 rovněž vztahovaly obecnější povinnosti, které souvisí s posilováním odolnosti, jejichž cílem je řešení nekybernetických rizik. Fyzická bezpečnost sítí a informačních systémů subjektů v odvětví digitální infrastruktury je komplexně řešena v navrhované směrnici o bezpečnosti sítí a informací 2 jako součást povinností těchto subjektů v oblasti řízení kybernetických bezpečnostních rizik a oznamovacích povinností. Návrh dále vychází ze stávajícího acquis v oblasti finančních služeb, které stanoví komplexní požadavky na finanční subjekty za účelem řešení provozních rizik a zajištění kontinuity činnosti. Se subjekty souvisejícími s digitální infrastrukturou, bankovnictvím a finanční infrastrukturou by se proto mělo pro účely povinností a činností členských států zacházet jako se subjekty rovnocennými kritickým subjektům podle této směrnice, přičemž by tato směrnice těmto subjektům další povinnosti neukládala.

Návrh zohledňuje i další iniciativy v rámci jiných odvětví a napříč nimi, týkající se např. civilní ochrany, snižování rizika katastrof a přizpůsobování se změně klimatu. Návrh dále uznává, že v určitých případech stávající právní předpisy EU ukládají subjektům povinnost řešit určitá rizika prostřednictvím ochranných opatření. V takových případech, např. pokud jde o leteckou nebo námořní bezpečnost, by měly kritické subjekty popsat tato opatření ve svých plánech odolnosti. Navrhovanou směrnicí není dále dotčeno uplatňování pravidel hospodářské soutěže stanovených ve Smlouvě o fungování Evropské unie (SFEU).

2.PRÁVNÍ ZÁKLAD, SUBSIDIARITA A PROPORCIONALITA

·Právní základ

·Subsidiarita

·Proporcionalita

·Volba nástroje

3.VÝSLEDKY HODNOCENÍ EX-POST, KONZULTACÍ SE ZÚČASTNĚNÝMI STRANAMI A POSOUZENÍ DOPADŮ

·Hodnocení ex-post / kontrola účelnosti platných právních předpisů

Směrnice o evropské kritické infrastruktuře (EKI) byla v roce 2019 předmětem hodnocení zaměřeného na posouzení provádění směrnice z hlediska její relevance, soudržnosti, účinnosti, účelnosti, přidané hodnoty EU a udržitelnosti 12 .

V hodnocení se zjistilo, že se souvislosti od vstupu směrnice v platnost značně změnily. S ohledem na tyto změny bylo shledáno, že směrnice má jen částečnou relevanci. I když bylo v hodnocení zjištěno, že směrnice je obecně v souladu s příslušnými evropskými odvětvovými právními předpisy a politikou na mezinárodní úrovni, vzhledem k obecnosti některých jejích ustanovení se ukázalo, že je pouze částečně účinná. Bylo shledáno, že směrnice přinesla přidanou hodnotu EU, protože dosáhla výsledků (tj. společného rámce pro ochranu EKI), kterých by jinak nemohly dosáhnout ani národní, ani jiné evropské iniciativy, aniž by zahájily mnohem delší, nákladnější a méně přesně definované procesy. Zároveň však bylo zjištěno, že některá ustanovení měla pro mnoho členských států jen omezenou přidanou hodnotu.

Pokud jde o udržitelnost, očekávalo se, že určité účinky vzniklé na základě směrnice (např. přeshraniční jednání, povinnost podávat hlášení o incidentech) zaniknou, pokud bude směrnice zrušena a nebude nahrazena. V rámci hodnocení bylo dále zjištěno, že členské státy nadále podporují zapojení EU do úsilí o posílení odolnosti kritické infrastruktury a že existují určité obavy, že přímé zrušení směrnice by mohlo mít v této oblasti nepříznivé dopady, zejména na ochranu určených EKI. Členské státy usilovaly o zajištění toho, aby Unie v dané oblasti nadále působila v souladu se zásadou subsidiarity, podporovala opatření na vnitrostátní úrovni a usnadňovala přeshraniční spolupráci, a to i se třetími zeměmi.

·Konzultace se zúčastněnými stranami

·Shromažďování a využívání odborných poznatků

·Posouzení dopadů

–Možnost č. 1: Zachování stávající směrnice o EKI, která by byla doprovozena dobrovolnými opatřeními v rámci stávajícího Evropského programu OKI.

–Možnost č. 2: Revize stávající směrnice o EKI s cílem pokrýt stejná odvětví jako stávající směrnice o bezpečnosti sítí a informací a více se zaměřit na posílení odolnosti. Nová směrnice o EKI by přinesla změny ve stávajícím procesu přeshraničního určení EKI, včetně nových kritérií pro určení a nových požadavků na členské státy a provozovatele.

–Možnost č. 3: Nahrazení stávající směrnice o EKI novým nástrojem zaměřeným na posílení odolnosti kritických subjektů v odvětvích, která navrhovaná směrnice o bezpečnosti sítí a informací 2 považuje za zásadní. Tato možnost by stanovila minimální požadavky na členské státy a kritické subjekty určené podle nového rámce. Byl by stanoven postup pro určení kritických subjektů nabízejících služby v několika nebo do několika členských států, případně do všech členských států EU. Provádění právních předpisů by podporovalo specializované znalostní centrum v rámci Komise.

–Možnost č. 4: Nahrazení stávající směrnice o EKI novým nástrojem zaměřeným na posílení odolnosti kritických subjektů v odvětvích, která navrhovaná směrnice o bezpečnosti sítí a informací 2 považuje za zásadní, významnější úloha Komise při určení kritických subjektů a vytvoření specializované agentury EU odpovědné za posílení odolnosti kritické infrastruktury (která by převzala roli a odpovědnost, které mělo mít centrum znalostí navrhované v rámci předchozí možnosti).

·Účelnost právních předpisů a zjednodušování

·Základní práva

4.ROZPOČTOVÉ DŮSLEDKY

–podpůrné činnosti Komise, včetně personálního zajištění, projektů, studií a podpůrných činností,

–poradní mise organizované Komisí,

–pravidelná zasedání skupiny pro posílení odolnosti kritických subjektů, výboru komitologie a další zasedání.

5.OSTATNÍ PRVKY

·Plány provádění a způsoby monitorování, hodnocení a podávání zpráv

Provádění navrhované směrnice bude přezkoumáno do čtyř a půl let od jejího vstupu v platnost, poté Komise předloží zprávu Evropskému parlamentu a Radě. Tato zpráva zhodnotí rozsah, v jakém členské státy přijaly opatření nezbytná k dosažení souladu s touto směrnicí. Zprávu hodnotící dopad a přidanou hodnotu směrnice předloží Komise Evropskému parlamentu a Radě do šesti let po vstupu této směrnice v platnost.

·Podrobné vysvětlení konkrétních ustanovení návrhu

Předmět, působnost a definice (články 1 až 2)

Článek 1 stanoví předmět a oblast působnosti směrnice, která stanoví povinnosti členských států přijmout určitá opatření zaměřená na zajištění poskytování služeb, které jsou zásadní pro zachování nejdůležitějších společenských funkcí nebo hospodářských činností na vnitřním trhu, zejména určit kritické subjekty a umožnit jim splnit konkrétní povinnosti zaměřené na posílení jejich odolnosti a zlepšení jejich schopnosti poskytovat tyto služby na vnitřním trhu. Směrnice rovněž stanoví pravidla pro dohled a vymáhání ve vztahu ke kritickým subjektům a zvláštní dozor nad kritickými subjekty, které jsou považovány na evropské úrovni za zvláště významné. Článek 1 rovněž objasňuje vztah mezi směrnicí a dalšími příslušnými právními akty Unie a podmínky, za nichž se s Komisí a dalšími příslušnými orgány vyměňují informace, které jsou podle pravidel Unie a vnitrostátních pravidel důvěrné. Článek 2 uvádí seznam definic, které se v rámci směrnice uplatní.

Vnitrostátní rámce pro posílení odolnosti kritických subjektů (články 3 až 9)

Článek 3 stanoví, že členské státy přijmou strategii pro posílení odolnosti kritických subjektů, popisuje prvky, které by měla obsahovat, objasňuje, že by měla být pravidelně a v případě potřeby aktualizována, a stanoví, že členské státy o svých strategiích a veškerých aktualizacích těchto strategií informuje Komisi. Článek 4 stanoví, že příslušné orgány za účelem určení kritických subjektů vypracují seznam základních služeb a pravidelně provádějí posouzení všech příslušných rizik, která mohou mít vliv na poskytování těchto základních služeb. Toto posouzení zohlední posouzení rizik provedená v souladu s jinými příslušnými právními akty Unie, rizika vyplývající ze závislostí mezi konkrétními odvětvími a dostupné informace o incidentech. Členské státy zajistí, aby byly kritickým subjektům zpřístupněny příslušné prvky posouzení rizik a aby byly Komisi pravidelně poskytovány údaje o typech zjištěných rizik a výsledcích jejich posouzení rizik.

Článek 5 stanoví, že členské státy určí kritické subjekty v konkrétních odvětvích a pododvětvích. Postup určování by měl zohledňovat výsledky posouzení rizik a uplatňovat konkrétní kritéria. Členské státy vytvoří seznam kritických subjektů, který se pravidelně a v případě potřeby aktualizuje. Kritické subjekty musí být o svém určení a povinnostech, které z toho vyplývají, řádně informovány. Příslušné orgány odpovědné za provádění směrnice oznámí příslušným orgánům odpovědným za provádění směrnice o bezpečnosti sítí a informací 2 určení kritických subjektů. Pokud je subjekt určen jako kritický dvěma nebo více členskými státy, zahájí členské státy vzájemné konzultace s cílem snížit zátěž pro tento kritický subjekt. Pokud kritické subjekty poskytují služby do více než jedné třetiny členských států nebo ve více než jedné třetině členských států, informuje dotyčný členský stát Komisi o totožnosti těchto kritických subjektů.

Článek 6 vymezuje pojem „významné narušení“ podle článku 5 odst. 2 a požaduje, aby členské státy předložily Komisi určité formy informací týkajících se kritických subjektů, které určily, a toho, jak byly určeny. Článek 6 rovněž zmocňuje Komisi, aby po konzultaci se skupinou pro posílení odolnosti kritických subjektů přijala příslušné pokyny.

Článek 7 stanoví, že by členské státy měly určit subjekty v odvětví bankovnictví, infrastruktury finančního trhu a digitální infrastruktury, které mají být považovány za rovnocenné kritickým subjektům pouze pro účely kapitoly II. Tyto subjekty by měly být o svém určení informovány.

Článek 8 stanoví, že každý členský stát vymezí a zajistí, aby jednomu nebo více příslušným orgánům odpovědným za správné uplatňování směrnice na vnitrostátní úrovni byly poskytnuty odpovídající zdroje, a dále určí jednotné kontaktní místo pověřené zajišťováním přeshraniční spolupráce. Jednotné kontaktní místo Komisi pravidelně předkládá souhrnnou zprávu o hlášení incidentů. Článek 8 vyžaduje, aby příslušné orgány odpovědné za uplatňování směrnice spolupracovaly s dalšími příslušnými vnitrostátními orgány, včetně příslušných orgánů určených podle směrnice o bezpečnosti sítí a informací 2. Článek 9 stanoví, že členské státy poskytnou kritickým subjektům podporu při zajišťování jejich odolnosti a usnadní spolupráci a dobrovolnou výměnu informací a osvědčených postupů mezi příslušnými orgány a kritickými subjekty.

Odolnost kritických subjektů (články 10 až 13)

Článek 10 stanoví, že kritické subjekty pravidelně posuzují všechna příslušná rizika na základě vnitrostátních posouzení rizik a dalších příslušných zdrojů informací. Článek 11 stanoví, že kritické subjekty přijmou vhodná a přiměřená technická a organizační opatření k zajištění své odolnosti a zajistí, aby tato opatření byla popsána v plánu odolnosti nebo rovnocenném dokumentu či dokumentech. Členské státy mohou požádat Komisi, aby uspořádala poradní mise, které by kritickým subjektům při plnění jejich povinností poskytovaly poradenství. Článek 11 rovněž zmocňuje Komisi, aby v případě potřeby přijímala akty v přenesené pravomoci a prováděcí akty.

Článek 12 stanoví, že členské státy zajistí, aby kritické subjekty mohly podávat žádosti o ověření spolehlivosti u osob, které spadají nebo by mohly spadat do určitých konkrétních kategorií zaměstnanců, a aby tyto žádosti byly rychle posouzeny orgány odpovědnými za provádění těchto ověření spolehlivosti. Článek popisuje účel, rozsah a obsah těchto ověření spolehlivosti, které musí být v souladu s obecným nařízením o ochraně údajů.

Článek 13 stanoví, že členské státy zajistí, aby kritické subjekty informovaly příslušný orgán o incidentech, které významně narušují nebo mohou významně narušit jejich provoz. Příslušné orgány zase poskytnou oznamujícímu kritickému subjektu příslušné následné informace. Prostřednictvím jednotného kontaktního místa informují příslušné orgány rovněž jednotná kontaktní místa v jiných zasažených členských státech v případě, že incident má nebo může mít přeshraniční dopady v jednom nebo více jiných členských státech.

Zvláštní dozor nad kritickými subjekty zvláštního evropského významu (články 14 až 15)

Článek 14 vymezuje kritické subjekty zvláštního evropského významu jako subjekty, které byly určeny jako kritické subjekty a které poskytují základní služby do více než jedné třetiny členských států nebo ve více než jedné třetině členských států. Po obdržení oznámení podle článku 5 odst. 6 informuje Komise dotyčný subjekt, že je považován za kritický subjekt zvláštního evropského významu, o povinnostech, které z této skutečnosti plynou, a o datu, od kterého tyto povinnosti začnou platit. Článek 15 popisuje ujednání o zvláštním dozoru vztahující se na kritické subjekty zvláštního evropského významu, mezi něž patří, že hostitelské členské státy na žádost poskytnou Komisi a skupině pro posílení odolnosti kritických subjektů informace týkající se posouzení rizik podle článku 10 a opatření přijatých v souladu s článkem 11, jakož i o veškerých opatřeních v oblasti dohledu nebo vymáhání. Článek 15 rovněž stanoví, že Komise může uspořádat poradní mise k posouzení opatření zavedených konkrétními kritickými subjekty zvláštního evropského významu. Na základě analýzy zjištění poradní mise skupinou pro posílení odolnosti kritických subjektů sdělí Komise své názory členskému státu, ve kterém se nachází infrastruktura subjektu, ohledně toho, zda tento subjekt plní své povinnosti, a případně jaká by mohla být přijata opatření k posílení odolnosti subjektu. Článek popisuje složení, organizaci a financování poradních misí. Rovněž stanoví, že Komise přijme prováděcí akt, kterým se stanoví pravidla týkající se procesních opatření pro provádění a zprávy poradních misí.

Spolupráce a předkládání zpráv (články 16 až 17)

Článek 16 popisuje úlohu a úkoly skupiny pro posílení odolnosti kritických subjektů, která je složena ze zástupců členských států a Komise. Skupina podporuje Komisi a usnadňuje strategickou spolupráci a výměnu informací. Tento článek objasňuje, že Komise může přijmout prováděcí akty, které stanoví procesní opatření nezbytná pro fungování skupiny pro posílení odolnosti kritických subjektů. Článek 17 stanoví, že Komise v případě potřeby podpoří členské státy a kritické subjekty při plnění jejich povinností podle této směrnice a doplňuje činnosti členských států uvedené v článku 9.

Dohled a vymáhání (článek 18 až 19)

Článek 18 stanoví, že při zajišťování provádění a vymáhání směrnice mají členské státy určité pravomoci, prostředky a povinnosti. Členské státy zajistí, že poté, co příslušný orgán posoudí, zda kritický subjekt dodržuje předpisy, informuje o tom příslušné orgány dotčeného členského státu určené podle směrnice o bezpečnosti sítí a informací 2 a může tyto orgány požádat o posouzení kybernetické bezpečnosti tohoto subjektu. Orgány by za tímto účelem měly spolupracovat a vyměňovat si informace. Článek 19 stanoví, že v souladu s dlouhodobou praxí členské státy zavedou pravidla pro ukládání sankcí za porušení předpisů a přijmou veškerá opatření nezbytná k zajištění jejich provádění.

Závěrečná ustanovení (články 20 až 26)

Článek 20 stanoví, že Komisi je nápomocen výbor ve smyslu nařízení (EU) č. 182/2011. Toto je standardní článek. Článek 21 svěřuje Komisi pravomoc přijímat akty v přenesené pravomoci za podmínek stanovených v tomto článku. I to je standardní článek. Článek 22 stanoví, že Komise předloží Evropskému parlamentu a Radě zprávu, v níž posoudí, do jaké míry členské státy přijaly opatření nezbytná pro dosažení souladu s touto směrnicí. Zpráva, která posuzuje dopad a přidanou hodnotu směrnice a to, zda by měla být oblast působnosti směrnice rozšířena na další odvětví nebo pododvětví, včetně odvětví výroby, zpracování a distribuce potravin, musí být pravidelně předkládána Evropskému parlamentu a Radě.

Článek 23 stanoví, že se směrnice 2008/114/ES zrušuje s účinkem ode dne vstupu této směrnice v platnost. Článek 24 stanoví, že členské státy ve stanovené lhůtě přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí a uvědomí o nich Komisi. Znění hlavních ustanovení vnitrostátních právních předpisů, které přijmou v oblasti působnosti této směrnice, sdělí Komisi. Článek 25 stanoví, že tato směrnice vstoupí v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie. Článek 26 stanoví, že tato směrnice je určena členským státům.

2020/0365 (COD)

Návrh

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

o posílení odolnosti kritických subjektů

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 114 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru 14 ,

s ohledem na stanovisko Výboru regionů 15 ,

v souladu s řádným legislativním postupem 16 ,

vzhledem k těmto důvodům:

(1)Směrnice Rady 2008/114/ES 17 stanoví postup pro určování evropských kritických infrastruktur v odvětví energetiky a dopravy, jejichž narušení nebo zničení by mělo závažný přeshraniční dopad na nejméně dva členské státy. Uvedená směrnice se zaměřila výlučně na ochranu těchto infrastruktur. Z hodnocení směrnice 2008/114/ES provedeného v roce 2019 18 však vyplynulo, že vzhledem ke stále více propojené a přeshraniční povaze činností využívajících kritickou infrastrukturu nejsou ochranná opatření týkající se jednotlivého majetku sama o sobě dostatečná k tomu, aby zabránila vzniku veškerých narušení. Proto je nutné změnit přístup směrem k zajištění odolnosti kritických subjektů, tj. k zajištění jejich schopnosti zmírnit a absorbovat incidenty, které mohou narušit provoz kritických subjektů, těmto incidentům se přizpůsobit a zotavit se z nich.

(2)Navzdory stávajícím opatřením na úrovni Unie 19 a na vnitrostátní úrovni zaměřeným na podporu ochrany kritických infrastruktur v Unii nejsou subjekty provozující tyto infrastruktury dostatečně vybavené k řešení stávajících a předpokládaných budoucích rizik pro jejich provoz, které mohou vést k narušení poskytování služeb, které jsou zásadní pro výkon nejdůležitějších společenských funkcí nebo hospodářských činností. Je to způsobeno dynamickým vývojem v oblasti hrozeb s vyvíjející se teroristickou hrozbou a narůstající vzájemnou závislostí mezi infrastrukturami a odvětvími, jakož i zvýšeným fyzickým rizikem, pokud jde o přírodní katastrofy a změny klimatu, což zvyšuje frekvenci a rozsah extrémních povětrnostních jevů a přináší dlouhodobé změny průměrného klimatu, které mohou snížit kapacitu a účinnost určitých typů infrastruktury, pokud nebudou zavedena opatření pro posílení odolnosti nebo přizpůsobení se změně klimatu. Příslušná odvětví a typy subjektů nejsou navíc shodně uznávány jako kritické ve všech členských státech.

(3)Tato narůstající vzájemná závislost je výsledkem stále častější přeshraniční a vzájemně závislé sítě poskytování služeb využívající klíčové infrastruktury v celé Unii v odvětvích energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, digitální infrastruktury, pitné a odpadní vody, zdraví, určitých aspektů veřejné správy, jakož i v oblasti vesmírného programu, pokud jde o poskytování určitých služeb závislých na pozemních infrastrukturách, které jsou vlastněny, spravovány a provozovány buď členskými státy, nebo soukromými subjekty, a tudíž se nevztahují na infrastruktury vlastněné, spravované nebo provozované Unií nebo jejím jménem v rámci jejích vesmírných programů. Tyto vzájemné závislosti znamenají, že jakékoli narušení, dokonce i když se původně omezilo na jeden subjekt nebo jedno odvětví, může mít v širším měřítku kaskádové účinky, což může mít za následek dalekosáhlé a dlouhodobé nepříznivé dopady na poskytování služeb na vnitřním trhu. Pandemie COVID-19 ukázala zranitelnost našich stále více vzájemně závislých společností vůči rizikům s nízkou pravděpodobností.

(4)Na subjekty zapojené do poskytování základních služeb se stále více vztahují odlišné požadavky stanovené právními předpisy členských států. Skutečnost, že některé členské státy mají na tyto subjekty méně přísné bezpečnostní požadavky, nejen že může mít nepříznivý dopad na zachování nejdůležitějších společenských funkcí nebo hospodářských činností v celé Unii, ale také vede k překážkám řádného fungování vnitřního trhu. Podobné typy subjektů jsou v některých členských státech považovány za kritické, v jiných nikoli, a na ty, které jsou označeny jako kritické, se v různých členských státech vztahují odlišné požadavky. To má za následek další a zbytečnou administrativní zátěž pro společnosti působící přeshraničně, zejména pro společnosti působící v členských státech s přísnějšími požadavky.

(5)Je proto nezbytné stanovit minimální harmonizovaná pravidla, která zajistí poskytování základních služeb na vnitřním trhu a posílí odolnost kritických subjektů.

(6)K dosažení tohoto cíle by členské státy měly určit kritické subjekty, které by měly podléhat zvláštním požadavkům a dozoru, ale také získat zvláštní podporu a vedení zaměřené na dosažení vysoké úrovně odolnosti vůči všem příslušným rizikům.

(7)Některá odvětví hospodářství, jako je energetika a doprava, již jsou nebo v budoucnu mohou být regulována odvětvovými právními akty Unie, které obsahují pravidla týkající se určitých aspektů odolnosti subjektů působících v těchto odvětvích. Aby bylo možné komplexně řešit odolnost subjektů, které jsou zásadní pro řádné fungování vnitřního trhu, měla by být tato odvětvová opatření doplněna opatřeními stanovenými v této směrnici, jež tvoří zastřešující rámec, který řeší posílení odolnosti kritických subjektů vůči všem nebezpečím, a to jak přírodním, tak způsobeným člověkem, náhodným i úmyslným.

(8)Vzhledem k důležitosti kybernetické bezpečnosti pro odolnost kritických subjektů a v zájmu konzistentnosti je ucelený přístup mezi touto směrnicí a směrnicí Evropského parlamentu a Rady (EU) XX/YY 20 [navrhovaná směrnice o opatřeních týkajících se vysoké společné úrovně kybernetické bezpečnosti v celé Unii; (dále jen „směrnice o bezpečnosti sítí a informací 2“)] nezbytný, kdekoli je to možné. Vzhledem k vyšší frekvenci a zvláštním rysům kybernetických rizik stanoví směrnice o bezpečnosti sítí a informací 2 komplexní požadavky na velkou skupinu subjektů za účelem zajištění jejich kybernetické bezpečnosti. Vzhledem k tomu, že kybernetická bezpečnost je dostatečně řešena ve směrnici o bezpečnosti sítí a informací 2, měly by být záležitosti, na které se vztahuje, vyloučeny z oblasti působnosti této směrnice, aniž by byl dotčen zvláštní režim pro subjekty v odvětví digitální infrastruktury.

(9)Pokud ustanovení jiných právních aktů Unie vyžadují, aby kritické subjekty vyhodnotily příslušná rizika, přijaly opatření k zajištění své odolnosti nebo ohlásily incidenty, a tyto požadavky jsou přinejmenším rovnocenné odpovídajícím povinnostem stanoveným v této směrnici, neměla by se příslušná ustanovení této směrnice uplatnit, aby se zabránilo duplicitě a zbytečné zátěži. V takovém případě by se měla použít příslušná ustanovení těchto jiných právních aktů. Pokud se nepoužijí příslušná ustanovení této směrnice, neměla by se použít ani její ustanovení o dohledu a vymáhání. Členské státy by nicméně měly do své strategie pro posílení odolnosti kritických subjektů, posouzení rizik a podpůrných opatření podle kapitoly II zahrnout všechna odvětví uvedená v příloze a být schopna určit kritické subjekty v odvětvích, kde byly příslušné podmínky splněny, s přihlédnutím ke konkrétnímu režimu pro subjekty v bankovnictví, infrastruktuře finančních trhů a digitální infrastruktuře.

(10)S cílem zajistit komplexní přístup k posílení odolnosti kritických subjektů by každý členský stát měl mít strategii stanovující cíle a politická opatření, která mají být provedena. Za tímto účelem by členské státy měly zajistit, aby jejich strategie v oblasti kybernetické bezpečnosti poskytovaly politický rámec pro lepší koordinaci mezi příslušným orgánem podle této směrnice a směrnice o bezpečnosti sítí a informací 2 v souvislosti se sdílením informací o incidentech a kybernetických hrozbách a při výkonu úkolů dohledu.

(11)Opatření členských států zaměřená na určení a pomoc při zajišťování odolnosti kritických subjektů by se měla řídit přístupem založeným na analýze rizik, který je zaměřen na úsilí subjektů, která jsou pro výkon nejdůležitějších společenských funkcí nebo hospodářských činností nejpodstatnější. V zájmu zajištění takového cíleného přístupu by měl každý členský stát v harmonizovaném rámci provést posouzení všech příslušných přírodních rizik a rizik způsobených člověkem, která mohou poskytování základních služeb ovlivnit, včetně havárií, přírodních katastrof, mimořádných událostí v oblasti veřejného zdraví, jako je pandemie, a nepřátelských hrozeb, včetně teroristických trestných činů. Při provádění těchto posouzení rizik by členské státy měly vzít v úvahu další obecné nebo odvětvové posouzení rizik provedené podle jiných právních aktů Unie a měly by zohlednit závislosti mezi odvětvími, mimo jiné i z jiných členských států a třetích zemí. Výsledky posouzení rizik by měly být použity v rámci postupu určování kritických subjektů a jako pomoc těmto subjektům při plnění požadavků této směrnice na posílení odolnosti.

(12)Aby bylo zajištěno, že se tyto požadavky vztahují na všechny příslušné subjekty, a aby se v tomto ohledu omezily rozdíly, je důležité stanovit harmonizovaná pravidla umožňující jednotné určování kritických subjektů v celé Unii a zároveň umožnit členským státům zohlednit vnitrostátní specifika. Měla by být proto stanovena kritéria pro určení kritických subjektů. V zájmu účinnosti, účelnosti, jednotnosti a právní jistoty by měla být stanovena příslušná pravidla pro hlášení incidentů a spolupráci týkající se určování a právních důsledků takového určování. Aby mohla Komise posoudit správné uplatňování této směrnice, měly by jí členské státy poskytnout co nejpodrobnějším a nejkonkrétnějším způsobem příslušné informace a v každém případě seznam základních služeb, počet kritických subjektů určených pro každé odvětví a pododvětví uvedené v příloze a základní službu nebo služby, které každý subjekt poskytuje, a uplatněné mezní hodnoty.

(13)Měla by být rovněž stanovena kritéria pro určení závažnosti narušení vyvolaného takovými incidenty. Tato kritéria by měla vycházet z kritérií stanovených ve směrnici Evropského parlamentu a Rady (EU) 2016/1148 21 , aby bylo možné využít úsilí vynaloženého členskými státy na určení těchto subjektů a zkušeností získaných v tomto ohledu.

(14)Subjekty spadající do odvětví digitální infrastruktury jsou v zásadě založeny na síťových a informačních systémech a spadají do oblasti působnosti směrnice o bezpečnosti sítí a informací 2, která v rámci jejich povinností týkající se řízení rizik v oblasti kybernetické bezpečnosti a povinností hlásit incidenty řeší fyzickou bezpečnost těchto systémů. Jelikož se na tyto záležitosti vztahuje směrnice o bezpečnosti sítí a informací 2, povinnosti uvedené v této směrnici se na tyto subjekty nevztahují. Vzhledem k významu služeb poskytovaných subjekty v odvětví digitální infrastruktury pro poskytování dalších základních služeb by však členské státy měly na základě kritérií a obdobně s použitím postupu stanoveného v této směrnici určit subjekty v odvětví digitální infrastruktury, které by měly být považovány za rovnocenné kritickým subjektům pouze pro účely kapitoly II, včetně ustanovení o podpoře členských států při posilování odolnosti těchto subjektů. Na tyto subjekty by se zároveň neměly vztahovat povinnosti stanovené v kapitolách III až VI. Jelikož povinnosti kritických subjektů poskytovat příslušným orgánům určité informace stanovené v kapitole II souvisí s použitím kapitol III a IV, neměly by se na tyto subjekty vztahovat ani tyto povinnosti.

(15)Acquis EU v oblasti finančních služeb stanoví komplexní požadavky na finanční subjekty, a to za účelem řešení všech rizik, jimž čelí, včetně provozních rizik a zajištění kontinuity činnosti. To zahrnuje nařízení Evropského parlamentu a Rady (EU) č. 648/2012 22 , směrnici Evropského parlamentu a Rady 2014/65/EU 23 a nařízení Evropského parlamentu a Rady (EU) č. 600/2014 24 , jakož i nařízení Evropského parlamentu a Rady (EU) č. 575/2013 25 a směrnici Evropského parlamentu a Rady 2013/36/EU 26 . Komise nedávno navrhla doplnit tento rámec nařízením Evropského parlamentu a Rady XX/RRRR [navrhované nařízení o digitální provozní odolnosti pro finanční odvětví (dále jen „nařízení DORA“) 27 ], které stanoví požadavky na finanční společnosti za účelem řízení rizik IKT, včetně ochrany fyzických infrastruktur IKT. Vzhledem k tomu, že odolnost subjektů uvedených v bodech 3 a 4 přílohy je komplexně pokryta acquis EU v oblasti finančních služeb, mělo by se s těmito subjekty zacházet jako s rovnocennými kritickým subjektům pouze pro účely kapitoly II této směrnice. Aby bylo zajištěno důsledné uplatňování pravidel týkajících se provozního rizika a digitální odolnosti ve finančním odvětví, měly by orgány určené podle článku 41 [nařízení DORA] a s výhradou postupů stanovených v těchto právních předpisech plně harmonizovaným způsobem zajistit podporu členských států při posilování celkové odolnosti finančních subjektů rovnocenných kritickým subjektům.

(16)Členské státy by měly určit orgány příslušné k dohledu nad uplatňováním této směrnice a v případě nutnosti k prosazování jejích pravidel a zajistit, aby tyto orgány měly odpovídající zmocnění a zdroje. S ohledem na rozdíly ve vnitrostátních řídících strukturách a v zájmu ochrany již existujících odvětvových ujednání nebo kontrolních a regulačních orgánů Unie a za účelem zamezení duplicitě by členské státy měly mít možnost určit více než jeden příslušný orgán. V takovém případě by však měly jasně vymezit příslušné úkoly dotčených orgánů a zajistit jejich hladkou a účinnou spolupráci. Všechny příslušné orgány by rovněž měly obecněji spolupracovat s dalšími příslušnými orgány, a to jak na vnitrostátní úrovni, tak na úrovni Unie.

(17)Aby se usnadnila přeshraniční spolupráce a komunikace a umožnilo se účinné provádění této směrnice, měl by každý členský stát, aniž by byly dotčeny právní požadavky Unie v rámci odvětví, určit v rámci jednoho z orgánů, které určil jako příslušný orgán podle této směrnice, jednotné kontaktní místo odpovědné za koordinaci záležitostí souvisejících s odolností kritických subjektů a přeshraniční spoluprací v tomto ohledu na úrovni Unie.

(18)Vzhledem k tomu, že podle směrnice o bezpečnosti sítí a informací 2 podléhají subjekty určené jako kritické subjekty, jakož i určené subjekty v odvětví digitální infrastruktury, které mají být podle této směrnice považovány za rovnocenné, požadavkům na kybernetickou bezpečnost podle směrnice o bezpečnosti sítí a informací 2, měly by příslušné orgány určené podle těchto dvou směrnic spolupracovat, a to zejména ve vztahu k rizikům kybernetické bezpečnosti a incidentům majícím na tyto subjekty dopad.

(19)Členské státy by měly podporovat kritické subjekty při posilování jejich odolnosti v souladu s jejich povinnostmi podle této směrnice, aniž je dotčena jejich vlastní právní odpovědnost za zajištění tohoto dodržování. Členské státy by mohly zejména vypracovat poradenské materiály a metodiky, podporovat organizaci cvičení sloužícího k otestování jejich odolnosti a zaměstnancům kritických subjektů poskytovat školení. Vzhledem k vzájemné provázanosti mezi subjekty a odvětvími by navíc členské státy měly zavést nástroje pro sdílení informací na podporu dobrovolného sdílení informací mezi kritickými subjekty, aniž je dotčeno uplatňování pravidel hospodářské soutěže stanovených ve Smlouvě o fungování Evropské unie.

(20)Kritické subjekty by měly za účelem zajištění své odolnosti mít komplexní povědomí o všech příslušných rizicích, jimž jsou vystavovány, a tato rizika analyzovat. Za tímto účelem by měly provádět posouzení rizik, kdykoli je to nutné s ohledem na jejich konkrétní situaci a vývoj těchto rizik, avšak v každopádně každé čtyři roky. Posouzení rizik kritickými subjekty by mělo vycházet z posouzení rizik provedeného členskými státy.

(21)Kritické subjekty by měly přijmout organizační a technická opatření, která jsou vhodná a přiměřená rizikům, jimž čelí, aby zamezily incidentům, odolávaly jim, zmírňovaly je, absorbovaly je, přizpůsobily se jim a zotavily se z nich. Přestože by kritické subjekty měly přijmout opatření ke všem bodům uvedeným v této směrnici, podrobnosti a rozsah opatření by měly vhodným a přiměřeným způsobem odrážet různá rizika, která každý subjekt zjistil v rámci svého posouzení rizik, a zvláštnosti tohoto subjektu.

(22)V zájmu účinnosti a odpovědnosti by kritické subjekty měly tato opatření popsat v plánu odolnosti nebo v dokumentu či dokumentech, které jsou rovnocenné plánu odolnosti, a to dostatečně podrobně a s ohledem na zjištěná rizika, s cílem těchto cílů dosáhnout a tento plán uplatnit v praxi. Takový rovnocenný dokument nebo dokumenty mohou být vypracovány v souladu s požadavky a normami vytvořenými v souvislosti s mezinárodními dohodami o fyzické ochraně, jejichž stranami jsou členské státy, včetně případně Úmluvy o fyzické ochraně jaderného materiálu a jaderných zařízení.

(23)Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 28 , nařízení Evropského parlamentu a Rady (ES) č. 725/2004 29 a směrnice Evropského parlamentu a Rady 2005/65/ES 30 stanoví požadavky použitelné na subjekty v odvětví letectví a námořní dopravy za účelem předcházení incidentům způsobených protiprávními činy a odolávání a zmírňování následků těchto incidentů. Opatření požadovaná v této směrnici jsou sice širší, pokud jde o řešená rizika a typy opatření, která mají být přijata, ale kritické subjekty v těchto odvětvích by měly ve svém plánu odolnosti nebo v rovnocenných dokumentech zohlednit opatření přijatá na základě těchto jiných právních aktů Unie. Při provádění opatření na posílení odolnosti podle této směrnice mohou navíc kritické subjekty přihlédnout k nezávazným pokynům a dokumentům o osvědčených postupech vypracovaným v rámci odvětvových pracovních postupů, jako je platforma EU pro bezpečnost cestujících v železniční dopravě 31 . 

(24)Riziko, že zaměstnanci kritických subjektů zneužijí například svá přístupová práva v rámci organizace subjektu k poškození a způsobení škody, vzbuzuje stále větší obavy. Toto riziko umocňuje rostoucí fenomén radikalizace vedoucí k násilnému extremismu a terorismu. Je proto nezbytné umožnit kritickým subjektům požadovat ověření spolehlivosti u osob spadajících do konkrétních kategorií jejich zaměstnanců a zajistit, aby tyto žádosti byly rychle posouzeny příslušnými orgány v souladu s platnými pravidly unijního a vnitrostátního práva, včetně práva na ochranu osobních údajů.

(25)Kritické subjekty by měly co nejdříve za daných okolností hlásit příslušným orgánům členských států incidenty, které významně narušují nebo mohou významně narušit jejich provoz. Hlášení by mělo příslušným orgánům umožnit rychle a adekvátně reagovat na incidenty a mít komplexní přehled o celkových rizicích, kterým kritické subjekty čelí. Za tímto účelem by měl být stanoven postup pro hlášení určitých incidentů a měly by být stanoveny parametry pro určení, kdy je skutečné nebo potenciální narušení významné, a incidenty by proto měly být hlášeny. Vzhledem k možným přeshraničním dopadům těchto narušení by měl být stanoven postup, v rámci kterého by členské státy informovaly ostatní dotčené členské státy prostřednictvím jednotných kontaktních míst.

(26)Zatímco kritické subjekty obecně fungují jako součást stále více propojené sítě v oblasti poskytování služeb a infrastruktur a často poskytují základní služby ve více než jednom členském státě, některé z těchto subjektů mají pro Unii zvláštní význam, protože poskytují základní služby velkému počtu členských států, a proto vyžadují zvláštní dozor na úrovni Unie. Měla by proto být stanovena pravidla pro zvláštní dohled nad těmito kritickými subjekty zvláštního evropského významu. Těmito pravidly nejsou dotčena pravidla pro dohled a vymáhání stanovená v této směrnici.

(27)Pokud se kterýkoli členský stát domnívá, že jsou nezbytné další informace za účelem poskytnutí poradenství kritickému subjektu v rámci plnění jeho povinností podle kapitoly III nebo posouzení dodržování těchto povinností kritickým subjektem zvláštního evropského významu, Komise se souhlasem členského státu, ve kterém je infrastruktura tohoto subjektu umístěna, uspořádá poradní misi, která posoudí opatření zavedená tímto subjektem. Aby bylo zajištěno řádné konání těchto poradních misí, měla by být stanovena doplňková pravidla, týkající se zejména jejich organizace a řízení, následných opatření a povinností dotčených kritických subjektů zvláštního evropského významu. Aniž je dotčena potřeba, aby členský stát, v němž je poradní mise uspořádána, a dotčený subjekt dodržovaly pravidla této směrnice, měly by se poradní mise řídit podrobnými pravidly právních předpisů daného členského státu, například o přesných podmínkách, které je třeba splnit za účelem získání přístupu k příslušným prostorám nebo dokumentům, a o soudní ochraně. Konkrétní odborné znalosti potřebné pro tyto mise by mohly být případně požadovány prostřednictvím Střediska pro koordinaci odezvy na mimořádné události.

(28)S cílem podpořit Komisi a usnadnit strategickou spolupráci a výměnu informací, včetně osvědčených postupů, ohledně otázek týkajících se této směrnice, by měla být zřízena skupina pro posílení odolnosti kritických subjektů, což je expertní skupina Komise. Členské státy by se měly ve skupině pro posílení odolnosti kritických subjektů snažit zajistit účinnou a účelnou spolupráci určených zástupců svých příslušných orgánů. Skupina by měla začít plnit své úkoly šest měsíců po vstupu této směrnice v platnost, aby poskytla další prostředky pro vhodnou spolupráci během období provádění této směrnice.

(29)Za účelem dosažení cílů této směrnice, a aniž je dotčena právní odpovědnost členských států a kritických subjektů za zajištění dodržování jejich příslušných povinností stanovených v této směrnici, by měla Komise, pokud to považuje za vhodné, zahájit určité podpůrné činnosti zaměřené na usnadnění plnění těchto povinností. Při poskytování podpory členským státům a kritickým subjektům při plnění povinností podle této směrnice by Komise měla stavět na stávajících strukturách a nástrojích, např. v rámci mechanismu civilní ochrany Unie a Evropské referenční sítě pro ochranu kritické infrastruktury.

(30)Členské státy by měly zajistit, aby jejich příslušné orgány měly ve vztahu ke kritickým subjektům určité zvláštní pravomoci pro řádné uplatňování a prosazování této směrnice, pokud tyto subjekty spadají do jejich působnosti stanovené v této směrnici. Mezi tyto pravomoci by měla patřit zejména pravomoc provádět inspekce, dohled a audity, vyžadovat, aby kritické subjekty poskytly informace a důkazy o opatřeních, která přijaly za účelem splnění svých povinností, a v případě potřeby vydávat příkazy k nápravě zjištěných porušení těchto povinností. Při vydávání těchto příkazů by členské státy neměly vyžadovat opatření, která jdou nad rámec toho, co je nezbytné a přiměřené k zajištění toho, aby dotčený kritický subjekt dodržoval pravidla uvedená v této směrnici, přičemž vezme v úvahu zejména závažnost porušení a hospodářskou kapacitu kritického subjektu. Obecněji by tyto pravomoci měly být doprovázeny vhodnými a účinnými zárukami, které budou upřesněny ve vnitrostátním právu v souladu s požadavky vyplývajícími z Listiny základních práv Evropské unie. Při posuzování dodržování povinností kritického subjektu podle této směrnice by příslušné orgány určené podle této směrnice měly mít možnost požádat příslušné orgány určené podle směrnice o bezpečnosti sítí a informací 2 o posouzení kybernetické bezpečnosti těchto subjektů. Tyto příslušné orgány by za tímto účelem měly spolupracovat a vyměňovat si informace.

(31)S cílem zohlednit nová rizika, technologický rozvoj nebo zvláštnosti jednoho nebo více odvětví by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie, která doplní opatření pro posílení odolnosti, která mají kritické subjekty přijmout, prostřednictvím další specifikace některých nebo veškerých těchto opatření. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů 32 . Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a tito odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(32)V zájmu zajištění jednotných podmínek provádění této směrnice by měly být Komisi svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 33 .

(33)Jelikož cíle této směrnice, konkrétně zajištění poskytování služeb nezbytných pro zachování nejdůležitějších společenských funkcí nebo hospodářských činností na vnitřním trhu a posílení odolnosti kritických subjektů poskytujících tyto služby, nemůže být uspokojivě dosaženo členskými státy, ale spíše jich z důvodu účinků této směrnice může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku 5 nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení těchto cílů.

(34)Směrnice 2008/114/ES by proto měla být zrušena,

PŘIJALY TUTO SMĚRNICI:

Kapitola I
Předmět, oblast působnosti a definice

Článek 1
Předmět a oblast působnosti

1.Tato směrnice:

a)stanovuje povinnosti členských států přijmout určitá opatření zaměřená na zajištění poskytování služeb nezbytných pro zachování nejdůležitějších společenských funkcí nebo hospodářských činností na vnitřním trhu, zejména určit kritické subjekty a subjekty, které mají být v určitých ohledech považovány za rovnocenné kritickým, a umožnit jim splnit své povinnosti;

b)zavádí povinnosti pro kritické subjekty zaměřené na posílení jejich odolnosti a zlepšení jejich schopnosti poskytovat tyto služby na vnitřním trhu;

c)ve vztahu ke kritickým subjektům zavádí pravidla pro dohled a vymáhání a zvláštní dozor nad kritickými subjekty, které jsou považovány za subjekty se zvláštním evropským významem.

2.Tato směrnice se nevztahuje na záležitosti, na které se vztahuje směrnice (EU) XX/YY [navrhovaná směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii; („Směrnice o bezpečnosti sítí a informací 2“)], aniž je dotčen článek 7.

3.Pokud ustanovení odvětvových právních aktů Unie vyžadují, aby kritické subjekty přijaly opatření stanovená v kapitole III, a pokud jsou tyto požadavky alespoň rovnocenné povinnostem stanoveným v této směrnici, příslušná ustanovení této směrnice se nepoužijí, včetně ustanovení o dohledu a vymáhání stanovených v kapitole VI.

4.Aniž je dotčen článek 346 Smlouvy o fungování EU, informace, které jsou důvěrné podle unijních a vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Komisí a jinými příslušnými orgány pouze v případě, že je taková výměna nutná pro účely této směrnice. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu takové výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy kritických subjektů.

Článek 2
Definice

Pro účely této směrnice se rozumí:

1)„kritickým subjektem“ veřejný nebo soukromý subjekt, jehož druh je uveden v příloze, který jako takový byl členským státem určen v souladu s článkem 5;

2)„odolností“ schopnost předcházet incidentům, které narušují nebo mohou narušit provoz kritického subjektu, odolávat jim, zmírňovat je, absorbovat je, přizpůsobit se jim a zotavit se z nich;

3)„incidentem“ jakákoli událost, která může narušit nebo která narušuje činnost kritického subjektu;

4) „infrastrukturou“ majetek, systém nebo jeho část, které jsou nezbytné pro dodání základní služby;

5) „základní službou“ služba, která je zásadní pro zachování nejdůležitějších společenských funkcí nebo hospodářských činností;

6)„rizikem“ jakákoli přiměřeně rozpoznatelná okolnost nebo událost, která by mohla mít nepříznivý dopad na odolnost kritických subjektů;

7)„posouzením rizika“ metodika k určení povahy a rozsahu rizika analýzou možných hrozeb a nebezpečí a hodnocením stávajících podmínek zranitelnosti, které by mohly narušit činnost kritického subjektu.

Kapitola II
Vnitrostátní rámce pro posílení odolnosti kritických subjektů

Článek 3
Strategie pro posílení odolnosti kritických subjektů

1.Každý členský stát přijme do [tří let po vstupu této směrnice v platnost] strategii pro posílení odolnosti kritických subjektů. Tato strategie stanoví strategické cíle a politická opatření s cílem dosáhnout vysoké úrovně odolnosti těchto kritických subjektů a zachovat ji a pokrýt alespoň odvětví uvedená v příloze.

2.Tato strategie bude obsahovat alespoň tyto prvky:

a)strategické cíle a priority za účelem posílení celkové odolnosti kritických subjektů s přihlédnutím k přeshraniční vzájemné přeshraniční a meziodvětvové závislosti;

b)správní rámec pro naplnění cílů a priorit, včetně popisu úlohy a povinností různých orgánů, kritických subjektů a dalších stran zapojených do provádění této strategie;

c)popis opatření nezbytných k posílení celkové odolnosti kritických subjektů, včetně vnitrostátního posouzení rizik, určení kritických subjektů a subjektů rovnocenných kritickým subjektům, a opatření na podporu kritických subjektů přijatá v souladu s touto kapitolou;

d)politický rámec pro posílenou koordinaci mezi příslušnými orgány určenými podle článku 8 této směrnice a podle [směrnice o bezpečnosti sítí a informací 2] pro účely sdílení informací o incidentech a kybernetických hrozbách a výkonu úkolů v oblasti dohledu.

Strategie se podle potřeby aktualizuje, nejméně však každé čtyři roky.

3.Členské státy oznámí své vnitrostátní strategie a aktualizace těchto strategií Komisi do tří měsíců od jejich přijetí.

Článek 4
Posouzení rizik členskými státy

1.Příslušné orgány určené podle článku 8 vypracují seznam základních služeb v odvětvích uvedených v příloze. Do [tří let po vstupu této směrnice v platnost], v případě potřeby a nejméně každé čtyři roky provedou posouzení všech příslušných rizik, která mohou mít dopad na poskytování těchto základních služeb, s cílem určit kritické subjekty v souladu s článkem 5 odst. 1 a pomoci těmto kritickým subjektům při přijímání opatření podle článku 11.

Posouzení rizik zohlední všechna příslušná přírodní a člověkem způsobená rizika, včetně havárií, přírodních katastrof, mimořádných událostí v oblasti veřejného zdraví, nepřátelských hrozeb, včetně teroristických trestných činů podle směrnice Evropského parlamentu a Rady (EU) 2017/541 34 .

2.Při provádění posouzení rizik vezmou členské státy v úvahu alespoň:

a)obecné posouzení rizik provedené podle čl. 6 odst. 1 rozhodnutí Evropského parlamentu a Rady č. 1313/2013/EU 35 ;

b)další příslušná posouzení rizik prováděná v souladu s požadavky příslušných odvětvových právních aktů Unie, včetně nařízení Evropského parlamentu a Rady (EU) 2019/941 36 a nařízení Evropského parlamentu a Rady (EU) 2017/1938 Parlamentu a Rady 37 ;

c)veškerá rizika vyplývající z meziodvětvových závislostí uvedených v příloze, včetně rizik pocházejících z jiných členských států a třetích zemí, a dopad, který může narušení v jednom odvětví mít na ostatní odvětví;

d)veškeré informace o incidentech ohlášených v souladu s článkem 13.

Pro účely prvního pododstavce písm. c) členské státy případně spolupracují s příslušnými orgány jiných členských států a třetích zemí.

3.Členské státy zpřístupní příslušné prvky posouzení rizik uvedené v odstavci 1 kritickým subjektům, které určily v souladu s článkem 5, aby těmto kritickým subjektům pomohly při provádění posouzení rizik podle článku 10 a při přijímání opatření k zajištění jejich odolnosti podle článku 11.

4.Každý členský stát poskytne Komisi údaje o druzích zjištěných rizik a výsledcích posouzení rizik pro jednotlivá odvětví a pododvětví uvedená v příloze do [tří let po vstupu této směrnice v platnost] a následně, pokud je to nezbytné a nejméně každé čtyři roky.

5.Komise může ve spolupráci s členskými státy vytvořit dobrovolný společný vzor hlášení pro účely dodržování odstavce 4.

Článek 5
Určení kritických subjektů

1.Do [tří let a tří měsíců po vstupu této směrnice v platnost] členské státy určí kritické subjekty pro každé odvětví a pododvětví uvedené v příloze, s výjimkou bodů 3, 4 a 8 této směrnice.

2.Při určování kritických subjektů podle odstavce 1 členské státy zohlední výsledky posouzení rizik podle článku 4 a použijí tato kritéria:

a)subjekt poskytuje jednu nebo více základních služeb;

b)poskytování této služby závisí na infrastruktuře umístěné v členském státě; a

c)incident by významně narušil poskytování služby nebo jiných základních služeb v odvětvích uvedených v příloze, která na službě závisí.

3.Každý členský stát vytvoří seznam určených kritických subjektů a zajistí, aby tyto kritické subjekty byly informovány o svém určení jako kritických subjektů do jednoho měsíce od tohoto určení, přičemž budou rovněž informovány o svých povinnostech podle kapitol II a III a o datu, od kterého se na ně ustanovení těchto kapitol vztahují.

Na dotčené kritické subjekty se ustanovení této kapitoly použijí ode dne oznámení a ustanovení kapitoly III se na ně začnou vztahovat šest měsíců po tomto datu.

4.Členské státy zajistí, aby jejich příslušné orgány určené podle článku 8 této směrnice informovaly příslušné orgány, které členské státy určily v souladu s článkem 8 [směrnice o bezpečnosti sítí a informací 2], o totožnosti kritických subjektů, které určily podle tohoto článku, a to do jednoho měsíce od tohoto určení.

5.Po oznámení uvedeném v odstavci 3 členské státy zajistí, aby kritické subjekty poskytly svým příslušným orgánům určeným podle článku 8 této směrnice informaci o tom, zda byly určeny jako kritický subjekt v jednom nebo více jiných členských státech. Pokud je subjekt určen jako kritický dvěma nebo více členskými státy, zahájí tyto členské státy vzájemné konzultace s cílem snížit zátěž pro kritický subjekt, pokud jde o povinnosti podle kapitoly III.

6.Pro účely kapitoly IV členské státy zajistí, aby kritické subjekty po oznámení uvedeném v odstavci 3 poskytly svým příslušným orgánům určeným podle článku 8 této směrnice informace o tom, zda poskytují základní služby do více než jedné třetiny členských států nebo tyto služby poskytují ve více než jedné třetině členských států. Je-li tomu tak, informuje dotčený členský stát bez zbytečného odkladu Komisi o totožnosti těchto kritických subjektů.

7.Členské státy v případě potřeby a v každém případě nejméně každé čtyři roky přezkoumají a případně aktualizují seznam určených kritických subjektů.

Pokud tyto aktualizace vedou k určení dalších kritických subjektů, použijí se odstavce 3, 4, 5 a 6. Kromě toho členské státy zajistí, aby subjekty, které již na základě takové aktualizace nejsou určeny jako kritické subjekty, byly o tom informovány a rovněž byly informovány o tom, že od oznámení takové informace se na ně již nevztahují povinnosti podle kapitoly III.

Článek 6
Významné narušení

1.Při určování významnosti narušení podle článku 5 odst. 2 písm. c) členské státy zváží tyto okolnosti:

a)počet uživatelů, kteří jsou závislí na službě poskytované daným subjektem;

b)závislost dalších odvětví podle přílohy II na této službě;

c)možný dopad incidentů, pokud jde o jejich intenzitu a délku trvání, na ekonomické a společenské činnosti, na životní prostředí nebo na veřejnou bezpečnost;

d)podíl tohoto subjektu na trhu s takovýmito službami;

e)zeměpisnou oblast, která by mohla být incidentem ovlivněna, včetně případných přeshraničních dopadů;

f)důležitost subjektu, pokud jde o udržování dostatečné úrovně dané služby, s přihlédnutím k dostupnosti alternativních způsobů zajištění této služby.

2.Členské státy předloží Komisi do [tří let a tří měsíců po vstupu této směrnice v platnost] tyto informace:

a)seznam služeb uvedených v čl. 4 odst. 1;

b)počet kritických subjektů určených pro každé odvětví a pododvětví uvedené v příloze a službu nebo služby uvedené v čl. 4 odst. 1, které každý subjekt poskytuje;

c)případné mezní hodnoty použité k upřesnění jednoho nebo více kritérií v odstavci 1.

Následně tyto informace v případě potřeby předloží, nejméně však každé čtyři roky.

3.Komise může po konzultaci se skupinou pro posílení odolnosti kritických subjektů přijmout pokyny k usnadnění uplatňování kritérií uvedených v odstavci 1 s přihlédnutím k informacím uvedeným v odstavci 2.

Článek 7
Subjekty rovnocenné kritickým subjektům podle této kapitoly

1. Pokud jde o odvětví uvedená v bodech 3, 4 a 8 přílohy, členské státy do [tří let a tří měsíců po vstupu této směrnice v platnost] určí subjekty, které se budou pro účely této kapitoly považovat za rovnocenné kritickým subjektům. U těchto subjektů se použijí ustanovení článků 3, 4, článku 5 odst. 1 až 4 a 7 a článku 9.

2. Pokud jde o subjekty v odvětvích uvedených v bodech 3 a 4 přílohy určených podle odstavce 1, členské státy zajistí, aby pro účely použití čl. 8 odst. 1 orgány určené jako příslušné orgány byly příslušné orgány určené podle článku 41 [nařízení DORA].

3. Členské státy zajistí, aby subjekty uvedené v odstavci 1 byly bez zbytečného odkladu informovány o svém určení jako subjekty uvedené v tomto článku.

Článek 8
Příslušné orgány a jednotné kontaktní místo

1.Každý členský stát určí jeden nebo více příslušných orgánů odpovědných za správné uplatňování této směrnice na vnitrostátní úrovni a v případě potřeby vymáhání pravidel v této směrnici uvedených (dále jen „příslušný orgán“). Členské státy mohou určit stávající orgán nebo orgány.

Pokud určí více než jeden orgán, musí jasně stanovit příslušné úkoly dotčených orgánů a zajistit, aby účinně spolupracovaly při plnění svých úkolů podle této směrnice, a to i pokud jde o určení a činnosti jednotného kontaktního místa uvedeného v odstavci 2.

2.Každý členský stát určí v rámci příslušného orgánu jednotné kontaktní místo pro výkon styčné funkce k zajištění přeshraniční spolupráce s příslušnými orgány jiných členských států a se skupinou pro posílení odolnosti kritických subjektů uvedené v článku 16 (dále jen „jednotné kontaktní místo“).

3.Do [tří let a šesti měsíců po vstupu této směrnice v platnost] a poté každý rok předloží jednotná kontaktní místa souhrnnou zprávu Komisi a skupině pro posílení odolnosti kritických subjektů o přijatých oznámeních, včetně počtu oznámení, povahy hlášených incidentů a opatření přijatých v souladu s čl. 13 odst. 3.

4.Každý členský stát zajistí, aby příslušný orgán, včetně určeného jednotného kontaktního místa, měl pravomoci a odpovídající finanční, lidské a technické zdroje k účinnému a účelnému plnění úkolů, které mu byly přiděleny.

5.Členské státy zajistí, aby jejich příslušné orgány, kdykoli je to vhodné, v souladu s právem Unie a vnitrostátními právními předpisy konzultovaly a spolupracovaly s dalšími příslušnými vnitrostátními orgány, zejména s těmi, které odpovídají za civilní ochranu, vymáhání práva a ochranu osobních údajů, jakož i s příslušnými zúčastněnými stranami, včetně kritických subjektů.

6.Členské státy zajistí, aby jejich příslušné orgány určené podle tohoto článku spolupracovaly s příslušnými orgány určenými podle [směrnice o bezpečnosti sítí a informací 2] ohledně kybernetických bezpečnostních rizik a kybernetických incidentech ovlivňujících kritické subjekty, jakož i o opatřeních přijatých příslušnými orgány určenými podle [směrnice o bezpečnosti sítí a informací 2], které jsou pro kritické subjekty relevantní.

7.Každý členský stát oznámí Komisi určení příslušného orgánu a jednotného kontaktního místa do tří měsíců od tohoto určení, včetně jejich přesných úkolů a povinností podle této směrnice, jejich kontaktních údajů a veškerých následných změn. Každý členský stát zveřejní určení příslušného orgánu a jednotného kontaktního místa.

8.Komise zveřejní seznam jednotných kontaktních míst členských států.

Článek 9
Podpora členských států kritickým subjektům

1.Členské státy podpoří kritické subjekty při posilování jejich odolnosti. Tato podpora může zahrnovat vypracování poradenských materiálů a metodik, podporu organizace cvičení sloužícího k otestování jejich odolnosti a zaměstnancům kritických subjektů poskytovat školení.

2.Členské státy zajistí, aby příslušné orgány spolupracovaly a vyměňovaly si informace a osvědčené postupy s kritickými subjekty v odvětvích uvedených v příloze.

3.Členské státy zavedou nástroje pro sdílení informací na podporu dobrovolného sdílení informací mezi kritickými subjekty v souvislosti se záležitostmi, na něž se vztahuje tato směrnice, v souladu s unijními a vnitrostátními právními předpisy týkajícími se zejména hospodářské soutěže a ochrany osobních údajů.

Kapitola III
Posílení odolnosti kritických subjektů

Článek 10
Posouzení rizik kritickými subjekty

Členské státy zajistí, aby kritické subjekty do šesti měsíců po obdržení oznámení podle článku 5 odst. 3 a následně v případě potřeby, nejméně však každé čtyři roky, na základě posouzení rizik členských států a dalších příslušných zdrojů informací posoudily všechna příslušná rizika, která mohou narušit jejich provoz.

Posouzení rizik zohlední všechna příslušná rizika uvedená v čl. 4 odst. 1, která by mohla vést k narušení poskytování základních služeb. Zohlední i případnou závislost jiných odvětví uvedených v příloze na základní službě poskytované kritickým subjektem, včetně odvětví v sousedních členských státech a případně třetích zemích, a dopad, který narušení poskytování základních služeb v jednom nebo více z těchto odvětví může mít na základní službu poskytovanou kritickým subjektem.

Článek 11
Opatření k zajištění posílení odolnosti kritických subjektů

1.Členské státy zajistí, aby kritické subjekty přijaly vhodná a přiměřená technická a organizační opatření k zajištění posílení své odolnosti, včetně opatření nezbytných za účelem:

a)předcházení vzniku incidentů, mimo jiné prostřednictvím snižování rizika katastrof a opatření na přizpůsobení se změně klimatu;

b)zajištění přiměřené fyzické ochrany citlivých oblastí, zařízení a další infrastruktury, včetně oplocení, bariér, nástrojů a postupů pro monitorování hranic objektu, jakož i detekčních zařízení a kontrol přístupu;

c)odolávání a zmírňování důsledků incidentů, včetně provádění postupů a protokolů pro řízení rizik a krizí a výstražných postupů;

d)zotavení se z incidentů, včetně opatření pro zajištění kontinuity činnosti a určení alternativních dodavatelských řetězců;

e)zajištění přiměřeného řízení bezpečnosti zaměstnanců, mimo jiné stanovením kategorií zaměstnanců vykonávajících zásadní funkce, stanovením přístupových práv k citlivým oblastem, zařízením a jiné infrastruktuře a citlivým informacím, jakož i určením konkrétních kategorií zaměstnanců s ohledem na článek 12;

f)zvyšování povědomí příslušných pracovníků o opatřeních uvedených v písmenech a) až e).

2.Členské státy zajistí, aby kritické subjekty zavedly a používaly plán odolnosti nebo rovnocenný dokument či dokumenty, kde budou podrobně popsána opatření podle odstavce 1. Pokud kritické subjekty přijaly opatření na základě povinností obsažených v jiných právních aktech Unie, které jsou rovněž relevantní pro opatření uvedená v odstavci 1, popíší tato opatření rovněž v plánu odolnosti nebo rovnocenném dokumentu či dokumentech.

3.Na žádost členského státu, který určil kritický subjekt, a se souhlasem dotčeného kritického subjektu uspořádá Komise v souladu s opatřeními stanovenými v článku 15 odst. 4, 5, 7 a 8 poradní mise za účelem poskytování poradenství dotčenému kritickému subjektu při plnění jeho povinností podle kapitoly III. Poradní mise oznámí svá zjištění Komisi, danému členskému státu a dotčenému kritickému subjektu.

4.Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 21, doplňující odstavec 1, ve kterých stanoví podrobná pravidla upřesňující některá nebo všechna opatření, která mají být přijata podle uvedeného odstavce. Tyto akty v přenesené pravomoci přijme, je-li to nezbytné pro účinné a jednotné uplatňování uvedeného odstavce v souladu s cíli této směrnice, s ohledem na veškerý příslušný vývoj, pokud jde o rizika, technologie nebo poskytování dotčených služeb, jakož i na jakékoli zvláštnosti týkající se konkrétních odvětví a druhů subjektů.

5.Komise přijme prováděcí akty s cílem stanovit nezbytné technické a metodické specifikace týkající se uplatňování opatření uvedených v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle článku 20 odst. 2.

Článek 12
Ověření spolehlivosti

1.Členské státy zajistí, aby kritické subjekty mohly podávat žádosti o ověření spolehlivosti u osob, které spadají do určitých konkrétních kategorií jejich zaměstnanců, včetně osob, u kterých se zvažuje, že budou přijaty na pozice spadající do těchto kategorií, a aby tyto žádosti byly urychleně posouzeny orgány příslušnými k provádění takovýchto ověření spolehlivosti.

2.V souladu s příslušnými právními předpisy Unie a vnitrostátními právními předpisy, včetně nařízení Evropského parlamentu a Rady (EU) 2016/679/EU  38 , se v rámci ověření spolehlivosti uvedeného v odstavci 1:

a)určí totožnost dotčené osoby na základě písemných dokladů;

b)uvedou případné záznamy v rejstříku trestů nejméně za posledních pět let a nejvýše deset let týkající se trestných činů souvisejících s náborem na konkrétní pozici v členském státě nebo členských státech, jejichž je tato osoba státním příslušníkem, a v kterémkoli z členských států nebo třetí zemi, kde má během tohoto období pobyt;

c)uvede předchozí zaměstnání, vzdělání a případné mezery ve vzdělání nebo zaměstnání v životopisu osoby za posledních nejméně pět let a nejvýše deset let.

Pokud jde o písm. b) prvního pododstavce, členské státy zajistí, aby jejich orgány příslušné k provádění ověření spolehlivosti získaly informace z rejstříku trestů z jiných členských států prostřednictvím systému ECRIS v souladu s postupy stanovenými v rámcovém rozhodnutí Rady 2009/315/SVV a případně nařízení Evropského parlamentu a Rady (EU) 2019/816 39 . Ústřední orgány uvedené v článku 3 uvedené v rámcovém rozhodnutí a v článku 3 odst. 5 uvedeného nařízení poskytnou odpovědi na žádosti o tyto informace do 10 pracovních dnů ode dne obdržení takové žádosti.

3.V souladu s platnými právními předpisy Unie a vnitrostátními právními předpisy, včetně nařízení (EU) 2016/679, každý členský stát zajistí, aby bylo možné na základě řádně odůvodněné žádosti kritického subjektu rozšířit ověření spolehlivosti uvedené v odstavci 1 tak, aby bylo možné čerpat ze zpravodajských informací a veškerých dalších dostupných objektivních informací, které mohou být nezbytné k rozhodnutí, zda je dotyčná osoba vhodná pro práci na pozici, ve vztahu k níž kritický subjekt požádal o podrobnější ověření spolehlivosti.

Článek 13
Hlášení o incidentech

1.Členské státy zajistí, aby kritické subjekty informovaly příslušný orgán o incidentech, které významně narušují nebo mohou významně narušit jejich provoz. Hlášení musí obsahovat veškeré dostupné informace nezbytné k tomu, aby příslušný orgán mohl pochopit povahu, příčinu a možné důsledky incidentu, a to i za účelem stanovení případného přeshraničního dopadu incidentu. Takové hlášení nezakládá u kritického subjektu vyšší míru právní odpovědnosti.

2.K určení závažnosti narušení nebo možného narušení provozu kritického subjektu v důsledku incidentu je třeba vzít v úvahu zejména tyto parametry:

a)počet uživatelů postižených narušením nebo možným narušením;

b)doba trvání narušení nebo předpokládaná doba trvání možného narušení;

c)zeměpisná oblast ovlivněná narušením nebo možným narušením.

3.Na základě informací poskytnutých v hlášení kritickým subjektem informuje příslušný orgán prostřednictvím svého jednotného kontaktního místa jednotná kontaktní místa ostatních dotčených členských států, pokud incident má nebo může mít významný dopad na kritické subjekty a kontinuitu poskytování základních služeb v jednom nebo více ostatních členských státech.

Při tom jednotná kontaktní místa v souladu s právními předpisy Unie nebo vnitrostátními právními předpisy, které jsou v souladu s právem Unie, zacházejí s informacemi způsobem, který respektuje jejich důvěrnost a chrání bezpečnost a obchodní zájmy dotčeného kritického subjektu.  

4.Příslušný orgán co nejdříve po obdržení hlášení poskytne v souladu s odstavcem 1 kritickému subjektu, který hlášení podal, příslušné informace týkající se následných opatření k takovému hlášení, včetně informací, které by mohly pomoci kritickému subjektu na incident účinně reagovat.

Kapitola IV
Zvláštní dozor nad kritickými subjekty zvláštního evropského významu

Článek 14
Kritické subjekty zvláštního evropského významu

1.Kritické subjekty zvláštního evropského významu podléhají zvláštnímu dozoru v souladu s touto kapitolou.

2.Subjekt se považuje za kritický subjekt se zvláštním evropským významem, pokud byl určen jako kritický subjekt a poskytuje základní služby do více než jedné třetiny členských států nebo ve více než jedné třetině členských států a byl jako takový oznámen Komisi podle článku 5 odst. 1, resp. odst. 6.

3.Komise bez zbytečného odkladu po obdržení oznámení podle článku 5 odst. 6 informuje dotčený subjekt, že je považován za kritický subjekt zvláštního evropského významu, přičemž ho rovněž informuje o povinnostech, které z toho plynou, a o datu, od kterého tyto povinnosti začnou platit.

Ustanovení této kapitoly se na dotčený kritický subjekt zvláštního evropského významu vztahují od data obdržení tohoto oznámení.

Článek 15
Zvláštní dozor

1.Na žádost jednoho nebo více členských států nebo Komise informuje členský stát, v němž se nachází infrastruktura kritického subjektu zvláštního evropského významu, společně s tímto subjektem Komisi a skupinu pro posílení odolnosti kritických subjektů o výsledku posouzení rizik provedené podle článku 10 a opatření přijatých v souladu s článkem 11.

Uvedený členský stát rovněž bez zbytečného odkladu informuje Komisi a skupinu pro posílení odolnosti kritických subjektů o veškerých opatřeních v oblasti dohledu nebo vymáhání, včetně veškerých posouzení dodržování předpisů nebo vydaných příkazů, které jeho příslušný orgán v souvislosti s tímto subjektem podle článků 18 a 19 přijal.

2.Na žádost jednoho nebo více členských států nebo z vlastního podnětu a po dohodě s členským státem, ve kterém se nachází infrastruktura kritického subjektu zvláštního evropského významu, uspořádá Komise poradní misi k posouzení opatření, která tento subjekt přijal k plnění svých povinností podle kapitoly III. V případě potřeby si poradní mise mohou vyžádat konkrétní odbornou expertízu v oblasti řízení rizik katastrof prostřednictvím Střediska pro koordinaci odezvy na mimořádné události.

3.Poradní mise oznámí svá zjištění Komisi, skupině pro posílení odolnosti kritických subjektů a dotčenému kritickému subjektu zvláštního evropského významu do tří měsíců od ukončení poradní mise.

Skupina pro posílení odolnosti kritických subjektů zprávu analyzuje (a v případě potřeby poskytne Komisi radu), zda kritický subjekt zvláštního evropského významu plní své povinnosti podle kapitoly III, a případně jaká opatření by mohla být přijata k posílení odolnosti tohoto subjektu.

Komise na základě tohoto doporučení sdělí své názory členskému státu, v němž se nachází infrastruktura daného subjektu, skupině pro posílení odolnosti kritických subjektů a tomuto subjektu ohledně toho, zda tento subjekt plní své povinnosti podle kapitoly III, a případně jaká opatření by mohla být přijata k posílení odolnosti tohoto subjektu.

Uvedený členský stát tyto názory náležitě zohlední a poskytne Komisi a skupině pro posílení odolnosti kritických subjektů informace o veškerých opatřeních, která přijal na základě tohoto sdělení.

4.Každá poradní mise se skládá z odborníků z členských států a zástupců Komise. Členské státy mohou navrhnout kandidáty na členy poradní mise. Komise vybírá a jmenuje členy každé poradní mise podle jejich odborné způsobilosti a zajišťuje zeměpisně vyvážené zastoupení mezi členskými státy. Náklady spojené s účastí v poradní misi nese Komise.

Komise organizuje program poradní mise po konzultaci s členy konkrétní poradní mise a po dohodě s členským státem, kde se nachází infrastruktura dotčeného kritického subjektu nebo kritického subjektu zvláštního evropského významu.

5.Komise přijme prováděcí akt, kterým se stanoví pravidla týkající se procesních opatření pro provádění a zprávy poradních misí. Tyto prováděcí akty se přijímají přezkumným postupem podle článku 20 odst. 2.

6.Členské státy zajistí, aby dotčený kritický subjekt zvláštního evropského významu poskytl poradní misi přístup ke všem informacím, systémům a zařízením souvisejícím s poskytováním jeho základních služeb nezbytných pro plnění jeho úkolů.

7.Poradní mise se koná v souladu s příslušnými vnitrostátními právními předpisy členského státu, ve kterém se tato infrastruktura nachází.

8.Při uspořádání poradních misí zohlední Komise zprávy o případných inspekcích prováděných Komisí podle nařízení (ES) 300/2008 a nařízení (ES) 725/2004 a zprávy o případném monitorování prováděném Komisí podle směrnice 2005/65/ES v souvislosti s kritickým subjektem nebo kritickým subjektem zvláštního evropského významu.

Kapitola V
Spolupráce a předkládání zpráv

Článek 16
Skupina pro posílení odolnosti kritických subjektů

1.Skupina pro posílení odolnosti kritických subjektů je zřízena s účinkem od [šest měsíců po vstupu této směrnice v platnost]. Podporuje Komisi a usnadňuje strategickou spolupráci a výměnu informací o otázkách týkajících se této směrnice.

2.Skupina pro posílení odolnosti kritických subjektů je složena ze zástupců členských států a Komise. Je-li to pro plnění jejích úkolů relevantní, může skupina pro posílení odolnosti kritických subjektů vyzvat zástupce zúčastněných stran k účasti na své práci.

Skupině pro posílení odolnosti kritických subjektů předsedá zástupce Komise.

3.Skupina pro posílení odolnosti kritických subjektů má tyto úkoly:

a)podporuje Komisi v rámci pomoci členským státům při posilování jejich kapacity přispívat k zajištění odolnosti kritických subjektů v souladu s touto směrnicí;

b)hodnotí strategie pro posílení odolnosti kritických subjektů uvedené v článku 3 a stanoví ve vztahu k těmto strategiím osvědčené postupy;

c)usnadňuje výměnu osvědčených postupů, pokud jde o určení kritických subjektů členskými státy v souladu s článkem 5, a to i v souvislosti s přeshraničními závislostmi a ohledně rizik a incidentů;

d)na žádost přispívá k přípravě pokynů uvedených v článku 6 odst. 3 a případných aktů v přenesené pravomoci a prováděcích aktů podle této směrnice;

e)každoročně posuzuje souhrnné zprávy uvedené v článku 8 odst. 3;

f)zajišťuje výměnu osvědčených postupů týkající se výměny informací souvisejících s hlášením incidentů uvedených v článku 13;

g)analyzuje zprávy poradních misí a poskytuje k nim rady v souladu s článkem 15 odst. 3;

h)zajišťuje výměnu informací a osvědčených postupů v oblasti výzkumu a vývoje, pokud jde o posilování odolnosti kritických subjektů v souladu s touto směrnicí;

i)v náležitých případech zajišťuje výměnu informací v záležitostech týkajících se posilování odolnosti kritických subjektů s příslušnými orgány, institucemi, úřady a agenturami Unie.

4.Do [24 měsíců po vstupu této směrnice v platnost] a poté každé dva roky stanoví skupina pro posílení odolnosti kritických subjektů pracovní program zahrnující opatření, která mají být přijata pro účely plnění jejích cílů a úkolů a která odpovídají cílům a požadavkům této směrnice.

5.Skupina pro posílení odolnosti kritických subjektů se pravidelně a nejméně jednou ročně schází se skupinou pro spolupráci zřízenou podle [směrnice o bezpečnosti sítí a programů 2], aby podpořila strategickou spolupráci a výměnu informací.  

6.Komise může přijmout prováděcí akty, kterými stanoví procesní pravidla nezbytná pro fungování skupiny pro posílení odolnosti kritických subjektů. Tyto prováděcí akty se přijímají přezkumným postupem podle článku 20 odst. 2.

7.Komise poskytne skupině pro posílení odolnosti kritických subjektů souhrnnou zprávu o informacích poskytnutých členskými státy podle článku 3 odst. 3 a článku 4 odst. 4 do [tří let a šesti měsíců po vstupu této směrnice v platnost] a následně podle potřeby, alespoň však každé čtyři roky.

Článek 17
Podpora Komise příslušným orgánům a kritickým subjektům

1.Tam, kde je to vhodné, Komise podporuje členské státy a kritické subjekty při plnění jejich povinností podle této směrnice, zejména vypracováním přehledu na úrovni Unie týkajícího se přeshraničních a meziodvětvových rizik pro poskytování základních služeb, organizování poradních misí uvedených v článku 11 odst. 3 a článku 15 odst. 3 a usnadnění výměny informací mezi odborníky v celé Unii.

2.Komise doplní činnosti členských států uvedené v článku 9 tím, že vypracuje osvědčené postupy a metodiky a zavede přeshraniční vzdělávací činnosti a cvičení sloužící k otestování odolnosti kritických subjektů.

Kapitola VI
DOHLED A VYMÁHÁNÍ

Článek 18
Provádění a vymáhání

1.Za účelem posouzení, zda subjekty, které členské státy označily jako kritické subjekty podle článku 5, dodržují povinnosti uvedené v této směrnici, členské státy zajistí, aby příslušné orgány měly pravomoci a prostředky k:

a)provádění kontrol na místě v prostorách, které kritický subjekt používá k poskytování svých základních služeb, a dohledu nad opatřeními kritických subjektů podle článku 11;

b)provádění nebo nařízení auditů ve vztahu k těmto subjektům.

2.Členské státy zajistí, aby příslušné orgány měly pravomoci a prostředky požadovat, je-li to pro plnění jejich úkolů podle této směrnice nezbytné, aby subjekty, které určily jako kritické subjekty podle odstavce 5, poskytly v přiměřené lhůtě stanovené těmito orgány:

a)informace nezbytné k posouzení, zda opatření přijatá těmito subjekty k zajištění jejich odolnosti splňují požadavky článku 11;

b)důkazy o účinném provádění těchto opatření, včetně výsledků auditu provedeného nezávislým a kvalifikovaným auditorem, kterého daný subjekt vybere a provede na své náklady.

Pokud příslušný orgán žádá o poskytnutí těchto informací, uvede účel svého požadavku a upřesní informace, které jsou požadovány.

3.Aniž je dotčena možnost ukládat sankce v souladu s článkem 19, mohou příslušné orgány na základě opatření v oblasti dohledu uvedených v odstavci 1 nebo na základě posouzení informací uvedených v odstavci 2 uložit dotčeným kritickým subjektům přijetí nezbytných a přiměřených opatření k nápravě případného zjištěného porušení této směrnice v přiměřené lhůtě stanovené těmito orgány a poskytnout těmto orgánům informace o přijatých opatřeních. Tato nařízení zohlední zejména závažnost porušení.

4.Členský stát zajistí, aby pravomoci stanovené v odstavcích 1, 2 a 3 mohly být vykonávány pouze za předpokladu odpovídajících záruk. Tyto záruky zaručí zejména to, aby takový výkon probíhal objektivně, transparentně a přiměřeně a aby byla náležitě chráněna práva a oprávněné zájmy dotčených kritických subjektů, včetně jejich práv být vyslechnut, práva na obhajobu a práva na účinnou právní ochranu před nezávislým soudem.

5.Členské státy zajistí, že když příslušný orgán v souladu s tímto článkem posoudí, zda kritický subjekt dodržuje předpisy, informuje o tom příslušné orgány dotčeného členského státu určené podle [směrnice o bezpečnosti sítí a informací 2] a může tyto orgány požádat o posouzení kybernetické bezpečnosti tohoto subjektu, přičemž by za tímto účelem měly spolupracovat a vyměňovat si informace.

Článek 19
Sankce

Členské státy stanoví sankce za porušení vnitrostátních ustanovení přijatých podle této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy sdělí tato ustanovení Komisi nejpozději do [dvou let od vstupu této směrnice v platnost] a neprodleně ji uvědomí o všech následných změnách, které se jich týkají.

Kapitola VII
ZÁVĚREČNÁ USTANOVENÍ

Článek 20
Postup projednávání ve výboru

1.Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

Článek 21
Výkon přenesené pravomoci

1.Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

2.Pravomoc přijímat akty v přenesené pravomoci uvedené v článku 11 odst. 4 je svěřena Komisi na dobu pěti let od data vstupu této směrnice v platnost či jiného data stanoveného spolunormotvůrci.

3.Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v článku 11 odst. 4 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm blíže určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4.Před přijetím aktu v přenesené pravomoci Komise povede konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.

5.Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

6.Akt v přenesené pravomoci přijatý podle článku 11 odst. 4 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

Článek 22
Předkládání zpráv a přezkum

Do [54 měsíců po vstupu této směrnice v platnost] Komise předloží Evropskému parlamentu a Radě zprávu, v níž posoudí, do jaké míry členské státy přijaly opatření nezbytná pro dosažení souladu s touto směrnicí.

Komise pravidelně přezkoumává fungování této směrnice a podává zprávu Evropskému parlamentu a Radě. Ve zprávě zejména posoudí dopad a přidanou hodnotu této směrnice na zajištění odolnosti kritických subjektů a to, zda by měla být oblast působnosti směrnice rozšířena i na další odvětví nebo pododvětví. První zpráva bude předložena do [šesti let po vstupu této směrnice v platnost] a bude zejména hodnotit, zda by oblast působnosti této směrnice měla být rozšířena tak, aby zahrnovala odvětví výroby, zpracování a distribuce potravin.

Článek 23
Zrušení směrnice 2008/114/ES

Směrnice 2008/114/ES se zrušuje s účinkem ode [dne vstupu tohoto nařízení v platnost].

Článek 24
Provedení ve vnitrostátním právu

1.Členské státy přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí do [18 měsíců po vstupu této směrnice v platnost]. Neprodleně sdělí Komisi jejich znění.

Tyto předpisy se použijí od [dva roky a jeden den po vstupu této směrnice v platnost].

Tyto předpisy přijaté členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.

2.Členské státy sdělí Komisi znění hlavních ustanovení vnitrostátních právních předpisů, které přijmou v oblasti působnosti této směrnice.

Článek 25
Vstup v platnost

Tato směrnice vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Článek 26
Určení

Tato směrnice je určena členským státům.

V Bruselu dne

LEGISLATIVNÍ FINANČNÍ VÝKAZ

1.RÁMEC NÁVRHU/PODNĚTU 

1.1.Název návrhu/podnětu

1.2.Příslušné oblasti politik 

Bezpečnost

1.3.Návrh/podnět se týká: 

◻ nové akce 

◻ nové akce následující po pilotním projektu / přípravné akci 40  

☑ prodloužení stávající akce 

◻ sloučení jedné či více akcí v jinou/novou akci nebo přesměrování jedné či více akcí na jinou/novou akci 

1.4.Cíle

1.4.1.Obecné cíle

1.4.2.Specifické cíle

1.4.3.Očekávané výsledky a dopady

Upřesněte účinky, které by návrh/podnět měl mít na příjemce / cílové skupiny.

1.4.4.Ukazatele výkonnosti

Upřesněte ukazatele pro sledování pokroku a dosažených výsledků.

1.5.Odůvodnění návrhu/podnětu 

1.5.1.Požadavky, které mají být splněny v krátkodobém nebo dlouhodobém horizontu, včetně podrobného harmonogramu pro zahajovací fázi provádění podnětu

1.5.2.Přidaná hodnota ze zapojení Unie (může být důsledkem různých faktorů, např. přínosů z koordinace, právní jistoty, vyšší účinnosti nebo doplňkovosti). Pro účely tohoto bodu se „přidanou hodnotou ze zapojení Unie“ rozumí hodnota plynoucí ze zásahu Unie, jež doplňuje hodnotu, která by jinak vznikla činností samotných členských států.

1.5.3.Závěry vyvozené z podobných zkušeností v minulosti

1.5.4.Slučitelnost s víceletým finančním rámcem a možné synergie s dalšími vhodnými nástroji

1.6.Doba trvání a finanční dopad návrhu/podnětu

◻ Časově omezená doba trvání

◻    s platností od [DD.MM.]RRRR do [DD.MM.]RRRR

◻    finanční dopad od RRRR do RRRR u prostředků na závazky a od RRRR do RRRR u prostředků na platby.

☑ Časově neomezená doba trvání

·Provádění s obdobím rozběhu od roku 2021 do roku 2027,

·poté plné fungování.

1.7.Předpokládaný způsob řízení 41  

☑ Přímé řízení Komisí

☑ prostřednictvím jejích útvarů, včetně jejích zaměstnanců v delegacích Unie,

◻    prostřednictvím výkonných agentur.

☑ Sdílené řízení s členskými státy

◻ Nepřímé řízení, při kterém jsou úkoly souvisejícími s plněním rozpočtu pověřeny:

◻ třetí země nebo subjekty určené těmito zeměmi,

◻ mezinárodní organizace a jejich agentury (upřesněte),

◻ EIB a Evropský investiční fond,

◻ subjekty uvedené v článcích 70 a 71 finančního nařízení,

◻ veřejnoprávní subjekty,

◻ soukromoprávní subjekty pověřené výkonem veřejné služby v rozsahu, v jakém poskytují dostatečné finanční záruky,

◻ soukromoprávní subjekty členského státu pověřené uskutečňováním partnerství soukromého a veřejného sektoru a poskytující dostatečné finanční záruky,

◻ osoby pověřené prováděním specifických akcí v rámci společné zahraniční a bezpečnostní politiky podle hlavy V Smlouvy o EU a určené v příslušném základním právním aktu.

Pokud vyberete více způsobů řízení, upřesněte je v části „Poznámky“.

Poznámky

2.SPRÁVNÍ OPATŘENÍ 

2.1.Pravidla pro sledování a podávání zpráv 

Upřesněte četnost a podmínky.

2.2.Systémy řízení a kontroly 

2.2.1.Odůvodnění navrhovaných způsobů řízení, mechanismů provádění financování, způsobů plateb a kontrolní strategie

2.2.2.Informace o zjištěných rizicích a systémech vnitřní kontroly zřízených k jejich zmírnění

2.2.3.Odhad a odůvodnění nákladové efektivnosti kontrol (poměr „náklady na kontroly ÷ hodnota souvisejících spravovaných finančních prostředků“) a posouzení očekávané míry rizika výskytu chyb (při platbě a při uzávěrce) 

2.3.Opatření k zamezení podvodů a nesrovnalostí 

Upřesněte stávající či předpokládaná preventivní a ochranná opatření, např. opatření uvedená ve strategii pro boj proti podvodům.

3.ODHADOVANÝ FINANČNÍ DOPAD NÁVRHU/PODNĚTU 

3.1.Okruhy víceletého finančního rámce a dotčené výdajové rozpočtové položky 

1) Nové rozpočtové položky

V pořadí okruhů víceletého finančního rámce a rozpočtových položek.

Poznámky:

Je třeba poznamenat, že prostředky požadované v souvislosti s návrhem jsou pokryty prostředky již stanovenými v legislativním finančním výkazu k nařízení o ISF.

V souvislosti s tímto legislativním návrhem jsou požadovány další finanční a lidské zdroje.

3.2.Odhadovaný finanční dopad návrhu na prostředky 

3.2.1.Odhadovaný souhrnný dopad na operační prostředky 

◻    Návrh/podnět nevyžaduje využití operačních prostředků.

☑Návrh/podnět vyžaduje využití operačních prostředků, jak je vysvětleno dále:

v milionech EUR (zaokrouhleno na tři desetinná místa)

Pokud je návrhem/podnětem dotčen více než jeden operační okruh, zopakuje se výše uvedený oddíl:

Tento oddíl se vyplní pomocí „rozpočtových údajů správní povahy“, jež se nejprve uvedou v příloze legislativního finančního výkazu (příloha V interních pravidel), která se pro účely konzultace mezi útvary vloží do aplikace DECIDE.

v milionech EUR (zaokrouhleno na tři desetinná místa)

v milionech EUR (zaokrouhleno na tři desetinná místa)

3.2.2.Odhadovaný výstup financovaný z operačních prostředků Prostředky na závazky v milionech EUR (zaokrouhleno na tři desetinná místa)

3.2.3.Odhadovaný souhrnný dopad na správní prostředky 

◻        Návrh/podnět nevyžaduje využití prostředků správní povahy.

☑    Návrh/podnět vyžaduje využití prostředků správní povahy, jak je vysvětleno dále:

v milionech EUR (zaokrouhleno na tři desetinná místa)

Potřebné prostředky na oblast lidských zdrojů a na ostatní výdaje správní povahy budou pokryty z prostředků GŘ, které jsou již vyčleněny na řízení akce a/nebo byly vnitřně přerozděleny v rámci GŘ a případně doplněny z dodatečného přídělu, který lze řídícímu GŘ poskytnout v rámci ročního přidělování a s ohledem na rozpočtová omezení.

3.2.3.1.Odhadované potřeby v oblasti lidských zdrojů

◻    Návrh/podnět nevyžaduje využití lidských zdrojů.

☑    Návrh/podnět vyžaduje využití lidských zdrojů, jak je vysvětleno dále:

Odhad vyjádřete v přepočtu na plné pracovní úvazky

XX je oblast politiky nebo dotčená hlava rozpočtu.

Potřeby v oblasti lidských zdrojů budou pokryty zaměstnanci GŘ, kteří jsou již pověřeni řízením akce a/nebo byli převedeni v rámci GŘ, případně společně s dalšími příděly, které lze řídicímu GŘ poskytnout v rámci ročního přidělování a s ohledem na rozpočtová omezení.

Popis úkolů:

3.2.4.Slučitelnost se stávajícím víceletým finančním rámcem 

Návrh/podnět:

☑    může být v plném rozsahu financován přerozdělením prostředků v rámci příslušného okruhu víceletého finančního rámce (VFR).

◻    vyžaduje použití nepřiděleného rozpětí v rámci příslušného okruhu VFR a/nebo použití zvláštních nástrojů definovaných v nařízení o VFR.

◻    vyžaduje revizi VFR.

3.2.5.Příspěvky třetích stran 

Návrh/podnět:

☑    nepočítá se spolufinancováním od třetích stran.

◻    počítá se spolufinancováním od třetích stran podle následujícího odhadu:

Prostředky v milionech EUR (zaokrouhleno na tři desetinná místa)

3.3.Odhadovaný dopad na příjmy 

☑    Návrh/podnět nemá žádný finanční dopad na příjmy.

◻    Návrh/podnět má tento finanční dopad:

◻    na vlastní zdroje

◻    na jiné příjmy

uveďte, zda je příjem účelově vázán na výdajové položky◻    

v milionech EUR (zaokrouhleno na tři desetinná místa)

U účelově vázaných příjmů upřesněte dotčené výdajové rozpočtové položky.

Jiné poznámky (např. způsob/vzorec výpočtu dopadu na příjmy nebo jiné údaje).

(1)    Závěry Rady ze dne 10. prosince 2019 o dalším úsilí za účelem posílení odolnosti a boje proti hybridním hrozbám (14972/19).

(2)    Zpráva o závěrech a doporučeních zvláštního výboru Evropského parlamentu pro terorismus (2018/2044(INI)).

(3)    Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.

(4)    COM(2020) 605.

(5)    COM(2020) 795.

(6)    Sdělení Komise o Evropském programu na ochranu kritické infrastruktury. KOM(2006) 786.

(7)    Směrnice Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu.

(8)    Sdělení Komise o strategii EU pro přizpůsobení se změně klimatu COM(2013) 216, rozhodnutí Evropského parlamentu a Rady č. 1313/2013/EU ze dne 17. prosince 2013 o mechanismu civilní ochrany Unie, nařízení Evropského parlamentu a Rady (EU) 2019/452, kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie, směrnice 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.

(9)    Overview of natural and man-made disaster risks the European Union may face (Přehled přírodních nebezpečí a nebezpečí způsobená člověkem, kterým by Evropská unie mohla čelit). Pracovní dokument útvarů Komise SWD(2020) 330.

(10)    SWD(2019) 308.

(11)    Sdělení Komise o strategii bezpečnostní unie EU. COM(2020) 605.

(12)    SWD(2019) 310.

(13)    Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.

(14)    Úř. věst. C , , s. .

(15)    Úř. věst. C […], […],s. […].

(16)    Postoj Evropského parlamentu […] a Rady[…].

(17)    Směrnice Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu (Úř. věst. L 345, 23.12.2008, s.75).

(18)    SWD(2019) 308.

(19)    Evropský program na ochranu kritické infrastruktury (Evropský program OKI).

(20)    [Odkaz na směrnici o bezpečnosti sítí a informací 2, jakmile bude přijata.]

(21)    Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst.L 194, 19.7.2016, s. 1).

(22)    Nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů (Úř. věst. L 201, 27.7.2012, s. 1).

(23)    Směrnice Evropského parlamentu a Rady 2014/65/EU ze dne 15. května 2014 o trzích finančních nástrojů a o změně směrnic 2002/92/ES a 2011/61/EU (Úř. věst. L 173, 12.6.2014, s. 349).

(24)    Nařízení Evropského parlamentu a Rady (EU) č. 600/2014 ze dne 15. května 2014 o trzích finančních nástrojů a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 173, 12.6.2014, s. 84).

(25)    Nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a investiční podniky a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 176, 27.6.2013, s. 1).

(26)    Směrnice Evropského parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a 2006/49/ES (Úř. věst. L 176, 27.6.2013, s. 338).

(27)    Návrh nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014 (COM(2020) 595).

(28)    Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy a o zrušení nařízení (ES) č. 2320/2002 (Úř. věst. L 97/72, 9.4.2008, s. 72).

(29)    Nařízení Evropského parlamentu a Rady (ES) č. 725/2004 ze dne 31. března 2004 o zvýšení bezpečnosti lodí a přístavních zařízení (Úř. věst. L 129, 29.4.2004, s. 6.).

(30)    Směrnice Evropského parlamentu a Rady 2005/65/ES ze dne 26. října 2005 o zvýšení zabezpečení přístavů (Úř. věst. L 310, 25.11.2005, s. 28).

(31)    Rozhodnutí Komise ze dne 29. června 2018 o zřízení platformy EU pro bezpečnost cestujících v železniční dopravě C/2018/4014.

(32)    Úř. věst. L 123, 12.5.2016, s. 1.

(33)    Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(34)    Směrnice Evropského parlamentu a Rady (EU) 2017/541 ze dne 15. března 2017 o boji proti terorismu, kterou se nahrazuje rámcové rozhodnutí Rady 2002/475/SVV a mění rozhodnutí Rady 2005/671/SVV (Úř. věst. L 88, 31.3.2017, s. 6).

(35)    Rozhodnutí Evropského parlamentu a Rady č. 1313/2013/EU ze dne 17. prosince 2013 o mechanismu civilní ochrany Unie (Úř. věst. L 347, 20.12.2013, s. 924).

(36)    Nařízení Evropského parlamentu a Rady (EU) 2019/941 ze dne středa 5. června 2019 o rizikové připravenosti v odvětví elektroenergetiky a o zrušení směrnice 2005/89/ES (Úř. věst. L 158, 14.6.2019, s. 1).

(37)    Nařízení Evropského parlamentu a Rady (EU) 2017/1938 ze dne 25. října 2017 o opatřeních na zajištění bezpečnosti dodávek zemního plynu a o zrušení nařízení (EU) č. 994/2010 (Úř. věst. L 280, 28.10.2017, s. 1).

(38)    Úř. věst. L 119, 4.5.2016, s. 1.

(39)    Úř. věst. L 135, 22.5.2019. s. 1.

(40)    Uvedené v čl. 58 odst. 2 písm. a) nebo b) finančního nařízení.

(41)    Vysvětlení způsobů řízení spolu s odkazem na finanční nařízení jsou k dispozici na stránkách BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  

(42)    RP = rozlišené prostředky / NRP = nerozlišené prostředky.

(43)    ESVO: Evropské sdružení volného obchodu.

(44)    Kandidátské země a případně potenciální kandidáti ze západního Balkánu.

(45)    Technická a/nebo administrativní pomoc a výdaje na podporu provádění programů a/nebo akcí EU (bývalé položky „BA“), nepřímý výzkum, přímý výzkum.

(46)    Technická a/nebo administrativní pomoc a výdaje na podporu provádění programů a/nebo akcí EU (bývalé položky „BA“), nepřímý výzkum, přímý výzkum.

(47)    SZ = smluvní zaměstnanec; MZ = místní zaměstnanec; VNO = vyslaný národní odborník; ZAP = zaměstnanec agentury práce; MOD = mladý odborník při delegaci.

(48)    Dílčí strop na externí zaměstnance financované z operačních prostředků (bývalé položky „BA“).

(49)    Rokem N se rozumí rok, kdy se návrh/podnět začíná provádět. Výraz „N“ nahraďte předpokládaným prvním rokem provádění (například 2021). Totéž proveďte u let následujících.

(50)    Pokud jde o tradiční vlastní zdroje (cla, dávky z cukru), je třeba uvést čisté částky, tj. hrubé částky po odečtení 20 % nákladů na výběr.

EVROPSKÁ KOMISE

V Bruselu dne 16.12.2020

COM(2020) 829 final

PŘÍLOHA

návrhu

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

o posílení odolnosti kritických subjektů

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

PŘÍLOHA

Odvětví, pododvětví a druhy subjektů

(1)    Směrnice Evropského parlamentu a Rady (EU) 2019/944 ze dne 5. června 2019 o společných pravidlech pro vnitřní trh s elektřinou a o změně směrnice 2012/27/EU (Úř. věst. L 158, 14.6.2019, s. 125

(2)    Nařízení Evropského parlamentu a Rady (EU) 2019/943 o vnitřním trhu s elektřinou (Úř. věst. L 158, 14.6.2019, s. 54).

(3)    Směrnice Evropského parlamentu a Rady (EU) 2018/2001 ze dne 11. prosince 2018 o podpoře využívání energie z obnovitelných zdrojů (Úř. věst. L 328, 21.12.2018, s. 82).

(4)    Směrnice Rady 2009/119/ES ze dne 14. září 2009, kterou se členským státům ukládá povinnost udržovat minimální zásoby ropy nebo ropných produktů (Úř. věst. L 265, 9.10.2009, s.9).

(5)    Směrnice Evropského parlamentu a Rady 2009/73/ES ze dne 13. července 2009 o společných pravidlech pro vnitřní trh se zemním plynem a o zrušení směrnice 2003/55/ES (Úř. věst. L 211, 14.8.2009, s. 94).

(6)    Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy a o zrušení nařízení (ES) č. 2320/2002 (Úř. věst. L 97, 9.4.2008, s. 72).

(7)    Směrnice Evropského parlamentu a Rady 2009/12/ES ze dne 11. března 2009 o letištních poplatcích (Úř. věst. L 70, 14.3.2009, s.11).

(8)    Nařízení Evropského parlamentu a Rady (EU) č. 1315/2013 ze dne 11. prosince 2013 o hlavních směrech Unie pro rozvoj transevropské dopravní sítě a o zrušení rozhodnutí č. 661/2010/EU (Úř. věst. L 348, 20.12.2013, s. 1).

(9)    Nařízení Evropského parlamentu a Rady (ES) č. 549/2004 ze dne 10. března 2004, kterým se stanoví rámec pro vytvoření jednotného evropského nebe (rámcové nařízení) (Úř. věst. L 96, 31.3.2004, s. 1).

(10)    Směrnice Evropského parlamentu a Rady 2012/34/EU ze dne 21. listopadu 2012 o vytvoření jednotného evropského železničního prostoru (Úř. věst. L 343, 14.12.2012, s. 32).

(11)    Nařízení Evropského parlamentu a Rady (ES) č. 725/2004 ze dne 31. března 2004 o zvýšení bezpečnosti lodí a přístavních zařízení (Úř. věst. L 129, 29.4.2004, s.6).

(12)    Směrnice Evropského parlamentu a Rady 2005/65/ES ze dne 26. října 2005 o zvýšení zabezpečení přístavů (Úř. věst. L 310, 25.11.2005, s. 28).

(13)    Směrnice Evropského parlamentu a Rady 2002/59/ES ze dne 27. června 2002, kterou se stanoví kontrolní a informační systém Společenství pro provoz plavidel a kterou se zrušuje směrnice Rady 93/75/EHS (Úř. věst. L 208, 5.8.2002, s. 10).

(14)    Nařízení Komise v přenesené pravomoci (EU) 2015/962 ze dne 18. prosince 2014, kterým se doplňuje směrnice Evropského parlamentu a Rady 2010/40/EU, pokud jde o poskytování informačních služeb o dopravním provozu v reálném čase v celé EU (Úř. věst. L 157, 23.6.2015, s. 21).

(15)    Směrnice Evropského parlamentu a Rady 2010/40/EU ze dne 7. července 2010 o rámci pro zavedení inteligentních dopravních systémů v oblasti silniční dopravy a pro rozhraní s jinými druhy dopravy (Úř. věst. L 207, 6.8.2010, s. 1).

(16)    Nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a investiční podniky a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 176, 27.6.2013, s. 1).

(17)    Směrnice Evropského parlamentu a Rady 2014/65/EU ze dne 15. května 2014 o trzích finančních nástrojů a o změně směrnic 2002/92/ES a 2011/61/EU (Úř. věst. L 173, 12.6.2014, s. 349).

(18)    Nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů (Úř. věst. L 201, 27.7.2012, s. 1).

(19)    Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).

(20)    [Nařízení Evropského parlamentu a Rady o vážných přeshraničních zdravotních hrozbách a o zrušení rozhodnutí 1082/2013/EU, odkaz bude doplněn, jakmile bude návrh COM(2020) 727 final přijat].

(21)    Směrnice Evropského parlamentu a Rady 2001/83/ES ze dne 6. listopadu 2001 o kodexu Společenství týkajícím se humánních léčivých přípravků (Úř. věst. L 311, 28.11.2001, s.67).

(22)    [Nařízení o posílené úloze Evropské agentury pro léčivé přípravky při připravenosti na krize a jejich řešení týkající se léčivých přípravků a zdravotnických prostředků COM(2020) 725 final] odkaz po aktualizaci návrhu].

(23)    směrnice Rady 98/83/ES ze dne 3. listopadu 1998 o jakosti vody určené k lidské spotřebě (Úř. věst. L 330, 5.12.1998, s. 32).

(24)    Směrnice Rady 91/271/EHS ze dne 21. května 1991 o čištění městských odpadních vod (Úř. věst. L 135, 30.5.1991, s. 40).

(25)    Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s.73).

(26)    Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace (Úř. věst. L 321, 17.12.2018, s. 36).

(27)    Nařízení Evropského parlamentu a Rady (ES) č. 1059/2003 ze dne 26. května 2003 o zavedení společné klasifikace územních statistických jednotek (NUTS) (Úř. věst. L 154, 21.6.2003, s. 1).