(1)

Cílem směrnice Evropského parlamentu a Rady (EU) 2016/1148 (4) bylo rozvíjet schopnosti v oblasti kybernetické bezpečnosti v Unii, zmírňovat hrozby pro sítě a informační systémy užívané k poskytování základních služeb v klíčových odvětvích a zajišťovat kontinuitu takových služeb v případě incidentů, a přispívat tak k bezpečnosti Unie a k účinnému fungování jejího hospodářství a společnosti.

(2)

Od vstupu směrnice (EU) 2016/1148 v platnost bylo ve zvyšování úrovně kybernetické odolnosti Unie dosaženo významného pokroku. Z přezkumu uvedené směrnice vyplynulo, že posloužila jako katalyzátor institucionálního a regulačního přístupu ke kybernetické bezpečnosti v Unii a současně připravila půdu pro významnou změnu v myšlení. Uvedená směrnice zajistila dokončení národních rámců pro bezpečnost sítí a informačních systémů stanovením národních strategií pro bezpečnost sítí a informačních systémů a stanovením vnitrostátních schopností a prováděním regulačních opatření pokrývajících základní infrastruktury a subjekty určené každým členským státem. Směrnice (EU) 2016/1148 rovněž přispěla ke spolupráci na úrovni Unie vytvořením skupiny pro spolupráci a sítě vnitrostátních bezpečnostních týmů typu CSIRT. I přes tyto úspěchy odhalil přezkum směrnice (EU) 2016/1148 přirozené nedostatky, které jí brání v účinném řešení současných a vznikajících výzev v oblasti kybernetické bezpečnosti.

(3)

S rychlou digitální transformací a vzájemnou propojeností společnosti, včetně přeshraniční výměny, se sítě a informační systémy staly ústředním prvkem každodenního života. Tento vývoj vedl k prudkému rozšíření prostředí kybernetických hrozeb a přináší nové výzvy, které vyžadují přizpůsobené, koordinované a inovativní reakce ve všech členských státech. Počet, rozsah, sofistikovanost, četnost výskytu a dopad incidentů narůstají a představují značnou hrozbu pro fungování sítí a informačních systémů. V důsledku toho mohou incidenty brzdit provádění hospodářských činností na vnitřním trhu, způsobovat finanční ztráty, narušovat důvěru uživatelů a způsobovat velké škody hospodářství a společnosti Unie. Připravenost a účinnost v oblasti kybernetické bezpečnosti jsou dnes proto pro řádné fungování vnitřního trhu důležitější než kdy předtím. Kybernetická bezpečnost je navíc klíčovým faktorem, který mnoha kritickým odvětvím umožňuje úspěšně podstoupit digitální transformaci a plně využívat hospodářských, sociálních a udržitelných přínosů digitalizace.

(4)

Právním základem směrnice (EU) 2016/1148 byl článek 114 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“), jehož cílem je vytvoření a fungování vnitřního trhu posílením opatření ke sbližování vnitrostátních předpisů. Požadavky kybernetické bezpečnosti kladené na subjekty poskytující služby nebo vykonávající hospodářsky významné činnosti se mezi členskými státy značně liší co do druhů požadavků, míry jejich podrobnosti a způsobu dohledu. Tyto rozdíly jsou spojeny s dalšími náklady a vytvářejí obtíže pro subjekty, které nabízejí přeshraničně zboží nebo služby. Požadavky, jež ukládá jeden členský stát a které se liší od požadavků, jež ukládá jiný členský stát, nebo jsou s nimi dokonce v rozporu, mohou tyto přeshraniční činnosti podstatně ovlivnit. Dále je pravděpodobné, že možná neadekvátní koncepce nebo provádění požadavků na kybernetickou bezpečnost v jednom členském státě může mít důsledky pro úroveň kybernetické bezpečnosti jiných členských států, zejména vzhledem k intenzitě přeshraniční výměny. Z přezkumu směrnice (EU) 2016/1148 vyplynuly velké rozdíly v jejím provádění členskými státy, a to i ve vztahu k její oblasti působnosti, jejíž vymezení bylo do značné míry ponecháno na uvážení členských států. Směrnice (EU) 2016/1148 rovněž dávala členským státům velmi široký prostor pro uvážení, pokud jde o provedení povinností v oblasti bezpečnosti a oznamování incidentů, které v ní byly stanoveny. Tyto povinnosti byly proto na úrovni členských států provedeny výrazně odlišnými způsoby. Podobné rozdíly existují v provádění ustanovení směrnice (EU) 2016/1148 týkající se dohledu a vymáhání.

(5)

Všechny tyto rozdíly vyvolávají roztříštěnost vnitřního trhu a mohou mít škodlivý účinek na jeho fungování s tím, že ovlivňují zejména přeshraniční poskytování služeb a úroveň kybernetické odolnosti v důsledku uplatňování odlišných opatření. Tyto rozdíly by v konečném důsledku mohly vést k větší zranitelnosti některých členských států vůči kybernetickým hrozbám, které se mohou rozšířit na celou Unii. Cílem této směrnice je takové značné rozdíly mezi členskými státy odstranit, zejména stanovením minimálních pravidel upravujících fungování koordinovaného regulačního rámce, stanovením mechanismů účinné spolupráce příslušných orgánů v každém členském státě, aktualizací seznamu odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a zavedením účinných nápravných a donucovacích opatření, jež jsou pro účinné vymáhání těchto povinností klíčové. Směrnice (EU) 2016/1148 by proto měla být zrušena a nahrazena touto směrnicí.

(6)

Se zrušením směrnice (EU) 2016/1148 by měla být oblast působnosti podle odvětví rozšířena na větší část ekonomiky, aby bylo zajištěno komplexní pokrytí odvětví a služeb, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu. Cílem této směrnice je zejména odstranit nedostatky v souvislosti s rozlišováním mezi provozovateli základních služeb a poskytovateli digitálních služeb, které se ukázalo jako zastaralé, neboť nezohledňuje důležitost odvětví nebo služeb z hlediska společenských a hospodářských činností na vnitřním trhu.

(7)

Podle směrnice (EU) 2016/1148 byly členské státy odpovědné za určení subjektů, které splňují kritéria pro zařazení mezi provozovatele základních služeb. S cílem odstranit značné rozdíly mezi členskými státy v tomto ohledu a zajistit právní jistotu pro všechny příslušné subjekty, pokud jde o opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti, by mělo být stanoveno jednotné kritérium, které určí subjekty, jež do oblasti působnosti této směrnice spadají. Toto kritérium by mělo spočívat v uplatnění pravidla velikostního omezení, podle kterého by do oblasti působnosti této směrnice spadaly všechny subjekty, které lze považovat za střední podniky podle článku 2 přílohy doporučení Komise 2003/361/ES (5), nebo které překračují stropy, jež jsou pro střední podniky stanoveny v odstavci 1 uvedeného článku a které působí v odvětvích nebo poskytují druhy služeb nebo vykonávají činnosti, na něž se vztahuje tato směrnice. Členské státy by měly rovněž stanovit, že do oblasti působnosti této směrnice spadají některé malé podniky a mikropodniky ve smyslu čl. 2 odst. 2 a 3 uvedené přílohy, které splňují zvláštní kritéria poukazující na klíčovou úlohu pro společnost, ekonomiku, nebo pro konkrétní odvětví či druhy služeb.

(8)

Vynětí subjektů veřejné správy z oblasti působnosti této směrnice by se mělo týkat subjektů, jež vykonávají svou činnost převážně v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů. Z oblasti působnosti této směrnice by však neměly být vyňaty subjekty veřejné správy, jejichž činnost s těmito oblastmi souvisí pouze okrajově. Subjekty s regulační pravomocí se pro účely této směrnice za subjekty vykonávající činnost v oblasti vymáhání práva nepovažují, a tudíž z oblasti působnosti této směrnice z tohoto důvodu vyňaty nejsou. Subjekty veřejné správy, které jsou zřízeny společně se třetí zemí v souladu s mezinárodní dohodou, jsou z oblasti působnosti této směrnice vyňaty. Tato směrnice se nevztahuje na diplomatické a konzulární mise členských států ve třetích zemích ani na jejich sítě a informační systémy, pokud jsou tyto systémy umístěny v prostorách mise nebo jsou provozovány pro uživatele ve třetí zemi.

(9)

Členské státy by měly být schopny přijmout nezbytná opatření, aby zajistily ochranu základních zájmů národní bezpečnosti, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily prevenci, vyšetřování, odhalování a stíhání trestných činů. Za tímto účelem by členské státy měly mít možnost vyjmout konkrétní subjekty, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany, nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíháním trestných činů, v souvislosti s uvedenými činnostmi z určitých povinností stanovených v této směrnici. Pokud subjekt poskytuje služby výhradně subjektu veřejné správy, který je vyňat z oblasti působnosti této směrnice, měly by mít členské státy možnost vyjmout uvedený subjekt z určitých povinností stanovených v této směrnici, pokud jde o tyto služby. Žádný členský stát by navíc neměl být povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho národní bezpečnosti, veřejné bezpečnosti či obrany. V uvedených souvislostech by měly být zohledněny vnitrostátní a unijní pravidla o ochraně utajovaných informací, dohody o zachování důvěrnosti údajů, nebo neformální dohody o zachování důvěrnosti, jako je například tzv. „TLP protokol“ (Traffic Light Protocol). TLP protokol je třeba chápat jako prostředek poskytování informací o jakýchkoli omezeních, pokud jde o další šíření informací. Používá se téměř ve všech týmech pro reakce na počítačové bezpečnostní incidenty (dále jen „týmy CSIRT“) a některých střediscích pro sdílení a analýzu informací.

(10)

I když se tato směrnice vztahuje na subjekty vykonávající činnosti v oblasti výroby elektřiny v jaderných elektrárnách, některé z těchto činnosti mohou nicméně souviset s národní bezpečností. V takovém případě by měl být členský stát schopen vykonávat svou odpovědnost za ochranu národní bezpečnosti, pokud jde o tyto činnosti, včetně činností v rámci jaderného hodnotového řetězce, v souladu se Smlouvami.

(11)

Některé subjekty vykonávají činnost v oblastech národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů, a zároveň poskytují služby vytvářející důvěru. Poskytovatelé služeb vytvářejících důvěru, kteří spadají do oblasti působnosti nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (6), by měli spadat i do oblasti působnosti této směrnice, aby byla zajištěna stejná úroveň bezpečnostních požadavků a dohledu, jaká byla stanovena v uvedeném nařízení pro poskytovatele služeb vytvářejících důvěru. V souladu s tím, že některé konkrétní služby jsou vyňaty z působnosti nařízení (EU) č. 910/2014, by se tato směrnice neměla vztahovat na poskytování služeb vytvářejících důvěru, které jsou používány výhradně v rámci uzavřených systémů vyplývajících z vnitrostátního práva nebo z dohod mezi určeným okruhem účastníků.

(12)

Poskytovatelé poštovních služeb ve smyslu směrnice Evropského parlamentu a Rady 97/67/ES (7), včetně poskytovatelů kurýrních doručovacích služeb, by měli této směrnici podléhat, pokud poskytují alespoň jeden z kroků v poštovním řetězci, zejména výběr, třídění, přepravu nebo dodání poštovních zásilek, včetně služeb souvisejících s vyzvedáváním, a současně by měla být zohledněna míra jejich závislosti na sítích a informačních systémech. Přepravní služby, které nejsou poskytovány ve spojení s některým z těchto kroků, by měly být vyňaty z oblasti působnosti poštovních služeb.

(13)

Jelikož kybernetické hrozby jsou stále intenzivnější a důmyslnější, měly by se členské státy snažit zajistit, aby subjekty, které jsou vyňaty z oblasti působnosti této směrnice, dosáhly vysoké úrovně kybernetické bezpečnosti, a měly by podporovat provádění rovnocenných opatření k řízení kybernetických bezpečnostních rizik, která zohledňují citlivou povahu těchto subjektů.

(14)

Na zpracování osobních údajů podle této směrnice se uplatní právo Unie v oblasti ochrany údajů a právo Unie v oblasti ochrany soukromí. Touto směrnicí není zejména dotčeno nařízení Evropského parlamentu a Rady (EU) 2016/679/ES (8) a směrnice Evropského parlamentu a Rady 2002/58/ES (9). Touto směrnicí by proto neměly být mimo jiné dotčeny úkoly a pravomoci orgánů příslušných ke sledování souladu s platným právem Unie v oblasti ochrany údajů a právem Unie v oblasti ochrany soukromí.

(15)

Subjekty spadající do oblasti působnosti této směrnice pro účely dodržování opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností by měly být zařazeny do dvou kategorií: základní subjekty a důležité subjekty, s přihlédnutím k míře kritické důležitosti, pokud jde o odvětví nebo druh služby, kterou poskytují, a také k jejich velikosti. V této souvislosti by se v případě potřeby měla náležitě zohlednit veškerá relevantní odvětvová posouzení rizik nebo pokyny příslušných orgánů. Dohledové a donucovací režimy pro tyto dvě kategorie subjektů by se měly odlišovat, aby byla zajištěna spravedlivá vyváženost mezi požadavky a povinnostmi založenými na riziku na jedné straně a správní zátěží vyplývající z dohledu nad dodržováním směrnice na druhé straně.

(16)

Má-li se zabránit tomu, aby subjekty, které mají partnerské podniky nebo které jsou přidruženými podniky, byly považovány za základní nebo důležité subjekty, kde by to bylo nepřiměřené, mohou členské státy při uplatňování čl. 6 odst. 2 přílohy doporučení 2003/361/ES zohlednit míru nezávislosti, v níž se subjekt ve vztahu ke svým partnerským nebo přidruženým podnikům nachází. Členské státy mohou zejména zohlednit skutečnost, že subjekt je na svém partnerovi nebo přidružených podnicích nezávislý z hlediska sítě a informačních systémů, které tento subjekt používá při poskytování svých služeb, a pokud jde o služby, které tento subjekt poskytuje. Členské státy pak mohou mít v příslušném případě za to, že takový subjekt nesplňuje kritéria pro střední podnik podle článku 2 přílohy doporučení 2003/361/ES nebo nepřekračuje stropy pro střední podniky stanovené v odstavci 1 uvedeného článku, jestliže by se po zohlednění stupně nezávislosti uvedeného subjektu tento subjekt nepovažoval za subjekt, který je středním podnikem nebo za subjekt, který tyto stropy překračuje, pokud by se zohlednily pouze jeho vlastní údaje. Povinnosti, které směrnice stanovuje partnerským a přidruženým podnikům, které do oblasti působnosti této směrnice spadají, zůstávají nedotčeny.

(17)

Členské státy by měly mít možnost rozhodnout, že subjekty určené před vstupem této směrnice v platnost jako provozovatelé základních služeb podle směrnice (EU) 2016/1148 mají být považovány za základní subjekty.

(18)

Má-li být zajištěn jasný přehled o subjektech spadajících do oblasti působnosti této směrnice, měly by členské státy vytvořit seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Za tímto účelem by členské státy měly od subjektů vyžadovat, aby příslušným orgánům předkládaly alespoň následující informace: název, adresu a aktuální kontaktní údaje, a to i e-mailové adresy, rozsah IP adres a telefonní čísla, případně i s uvedením příslušného odvětví a pododvětví podle příloh, a v příslušných případech i seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice. Komise by bez zbytečného odkladu měla za tímto účelem za pomoci Agentury Evropské unie pro kybernetickou bezpečnost (dále jen „ENISA“) poskytnout pokyny a šablony týkající se povinnosti předkládat informace. Pro snazší sestavování a aktualizaci seznamu základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén by měly mít členské státy možnost zavést vnitrostátní mechanismy pro registraci těchto subjektů. Existují-li registry na vnitrostátní úrovni, mohou členské státy rozhodnout o vhodných mechanismech k určení subjektů, které do oblasti působnosti této směrnice spadají.

(19)

Odpovědností členských států by mělo být předložit Komisi alespoň počet základních a důležitých subjektů pro každé odvětví a pododvětví uvedené v přílohách a také příslušné informace o počtu určených subjektů, o tom, na základě kterého z postupů stanovených v této směrnici byly určeny, a o typu služby, již poskytují. Členské státy se vyzývají k výměně informací s Komisí o základních a důležitých subjektech a v případě rozsáhlého incidentu v oblasti kybernetické bezpečnosti také k výměně příslušných informací, například názvu dotčeného subjektu.

(20)

Komise by měla ve spolupráci se skupinou pro spolupráci a po konzultaci s relevantními zúčastněnými stranami poskytnout pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky za účelem posouzení toho, zda spadají do působnosti této směrnice. Komise by rovněž měla zajistit, že budou mikropodnikům a malým podnikům spadajícím do oblasti působnosti této směrnice poskytovány vhodné pokyny. V této souvislosti by Komise s pomocí členských států měla mikropodnikům a malým podnikům poskytovat informace.

(21)

Komise může vydat pokyny s cílem pomoci členským státům provádět ustanovení této směrnice týkající se oblasti působnosti a vyhodnotit přiměřenost opatření, jež mají být podle této směrnice přijata, zejména pokud jde o subjekty s komplexními obchodními modely nebo podmínkami provozu, kdy určitý subjekt může současně splňovat kritéria stanovená pro základní i důležité subjekty nebo současně vykonávat činnosti, z nichž některé spadají do oblasti působnosti této směrnice, a některé jsou z ní vyňaty.

(22)

Tato směrnice stanoví základ pro opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti napříč odvětvími, jež spadají do oblasti její působnosti. Budou-li v zájmu zajištění vysoké úrovně kybernetické bezpečnosti v celé Unii považovány za nezbytné další odvětvové právní akty Unie týkající se opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností, měla by Komise posoudit, zda by mohla být taková další ustanovení stanovena v prováděcím aktu podle této směrnici, aby se zabránilo roztříštěnosti ustanovení o kybernetické bezpečnosti v rámci právních aktů Unie. V případě, že by tento prováděcí akt nebyl pro uvedený účel vhodný, mohly by k zajištění vysoké úrovně kybernetické bezpečnosti v celé Unii přispět odvětvové právní akty Unie při plném zohlednění specifik a složitosti dotčených odvětví. Tato směrnice za tímto účelem nebrání přijetí dalších odvětvových právních aktů Unie týkajících se opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností, které řádně zohlední potřebu komplexního a soudržného rámce pro kybernetickou bezpečnost. Touto směrnicí nejsou dotčeny stávající prováděcí pravomoci, jež byly Komisi svěřeny v řadě odvětví, včetně odvětví dopravy a energetiky.

(23)

Pokud odvětvový právní akt Unie obsahuje ustanovení, jež vyžadují, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik nebo aby oznamovaly významné incidenty, a pokud je účinek těchto opatření alespoň rovnocenný účinku povinností stanovených v této směrnici, měla by se tato ustanovení, včetně těch o dohledu a vymáhání, na uvedené subjekty vztahovat. Pokud se odvětvový právní akt Unie nevztahuje na všechny subjekty v konkrétním odvětví, jež náleží do oblasti působnosti této směrnice, měla by se na subjekty, na něž se uvedený akt nevztahuje, vztahovat i nadále příslušná ustanovení této směrnice.

(24)

Pokud ustanovení odvětvového právního aktu Unie vyžadují, aby základní nebo důležité subjekty dodržovaly oznamovací povinnosti, jejichž účinky jsou přinejmenším rovnocenné jako u povinností stanovených v této směrnici, měla by být při vyřizování oznámení o incidentech zajištěna soudržnost a účinnost. Za tímto účelem by ustanovení o oznamování incidentů odvětvového unijního právního aktu měla týmům CSIRT, příslušným orgánům nebo jednotným kontaktním místům pro kybernetickou bezpečnost (dále jen „jednotná kontaktní místa“) podle této směrnice poskytnout k oznámením o incidentech, jež byla učiněna v souladu s odvětvovým právním aktem Unie, okamžitý přístup. Tento okamžitý přístup lze zajistit zejména tak, že oznámení o incidentech budou týmu CSIRT, příslušnému orgánu nebo jednotnému kontaktnímu místu podle této směrnice předávána bez zbytečného odkladu. Členské státy by měly v příslušných případech zavést mechanismus automatického a přímého oznamování, který zajistí při vyřizování těchto oznámení o incidentech systematické a okamžité sdílení informací s týmy CSIRT, příslušnými orgány nebo jednotnými kontaktními místy. Pro zjednodušení oznamování a zavedení mechanismu automatického a přímého oznamování by členské státy mohly v souladu s odvětvovým právním aktem Unie využít jednotné kontaktní místo.

(25)

Odvětvové právní akty Unie, které stanovují opatření k řízení kybernetických bezpečnostních rizik nebo oznamovací povinnosti, jež mají přinejmenším rovnocenný účinek jako ty, které jsou stanoveny v této směrnici, by mohly stanovit, že příslušné orgány podle těchto aktů vykonávají své dohledové a vymáhací pravomoci ve vztahu k těmto opatřením nebo povinnostem za pomoci příslušných orgánů ve smyslu této směrnice. Dotčené příslušné orgány by za tímto účelem mohly uzavřít ujednání o spolupráci. Tato ujednání o spolupráci mohou mimo jiné stanovit postupy týkající se koordinace činností v oblasti dohledu, včetně postupů šetření a kontrol na místě v souladu s vnitrostátním právem a mechanismu pro výměnu příslušných informací o dohledu a vymáhání mezi příslušnými orgány, a to i pokud jde o přístup ke kybernetickým údajům, které si vyžádaly příslušné orgány ve smyslu této směrnice.

(26)

Pokud odvětvové právní akty Unie vyžadují nebo motivují subjekty k oznamování významných kybernetických hrozeb, měly by členské státy rovněž podporovat sdílení informací o významných kybernetických hrozbách s týmy CSIRT, příslušnými orgány nebo jednotnými kontaktními místy ve smyslu této směrnice, aby byly tyto orgány o bezpečnostních hrozbách na kybernetické scéně lépe informovány a mohly účinně a včas reagovat v případě, že se významné kybernetické hrozby naplní.

(27)

Budoucí odvětvové právní akty Unie by měly náležitě zohledňovat definice a rámec pro dohled a vymáhání stanovené v této směrnici.

(28)

Nařízení Evropského parlamentu a Rady (EU) 2022/2554 (10) by mělo být považováno za odvětvový právní akt Unie ve vztahu k této směrnici, pokud jde o finanční subjekty. Ustanovení nařízení (EU) 2022/2554, která se týkají řízení rizik v oblasti informačních a komunikačních technologií (dále jen „IKT“), řešení incidentů souvisejících s IKT, a zejména oznamování incidentů, jakož i ustanovení týkající se testování digitální provozní odolnosti, ujednání o sdílení informací a rizik v oblasti IKT spojených s třetími stranami by měla platit místo ustanovení stanovených v této směrnici. Členské státy by proto neměly uplatňovat ustanovení této směrnice o řízení kybernetických bezpečnostních rizik a o oznamovacích povinnostech, a o dohledu a vymáhání vůči finančním subjektům, na něž se vztahuje nařízení (EU) 2022/2554. Zároveň je důležité zachovat s finančním odvětvím silný vztah a výměnu informací podle této směrnice. Za tím účelem nařízení (EU) 2022/2554 umožňuje, aby se evropské orgány dohledu a příslušné orgány podle uvedeného nařízení účastnily činností skupiny pro spolupráci a aby si vyměňovaly informace a spolupracovaly s jednotnými kontaktními místy, jakož i s týmy CSIRT a příslušnými orgány podle této směrnice. Příslušné orgány podle nařízení (EU) 2022/2554 by měly předávat rovněž údaje o významných incidentech týkajících se IKT a o významných kybernetických hrozbách týmům CSIRT, příslušným orgánům nebo jednotným kontaktním místům podle této směrnice. Toho lze dosáhnout poskytnutím okamžitého přístupu k oznámením o incidentu a jejich postoupením buď přímo, nebo prostřednictvím jednotného kontaktního místa. Členské státy by kromě toho měly odvětví financí nadále zahrnovat do svých strategií kybernetické bezpečnosti a týmy CSIRT mohou zahrnout finanční odvětví do svých činností.

(29)

Má-li se zabránit rozdílům v povinnostech v oblasti kybernetické bezpečnosti uložených subjektům v odvětví letectví nebo jejich zdvojování, měly by vnitrostátní orgány podle nařízení Evropského parlamentu a Rady (ES) č. 300/2008 (11) a (EU) 2018/1139 (12) a příslušné orgány podle této směrnice spolupracovat při provádění opatření k řízení kybernetických bezpečnostních rizik a dohledu nad dodržováním těchto opatření na vnitrostátní úrovni. Soulad subjektu s bezpečnostními požadavky stanovenými v nařízeních (ES) č. 300/2008 a (EU) 2018/1139 a v příslušných aktech v přenesené pravomoci a prováděcích aktech přijatých podle uvedených nařízení by mohly příslušné orgány podle této směrnice považovat za soulad s odpovídajícími požadavky stanovenými v této směrnici.

(30)

Vzhledem ke vzájemným vazbám mezi kybernetickou bezpečností a fyzickou bezpečností subjektů by měl být zajištěn soudržný přístup ke směrnici Evropského parlamentu a Rady (EU) 2022/2557 (13) a k této směrnici. Za tímto účelem by subjekty, které jsou určeny jakožto kritické subjekty podle směrnice (EU) 2022/2557, měly být považovány za základní subjekty podle této směrnice. Mimoto by každý členský stát měl zajistit, aby jeho národní strategie kybernetické bezpečnosti stanovila rámec politik pro posílení koordinace uvnitř uvedeného členského státu mezi jeho příslušnými orgány podle této směrnice a podle směrnice (EU) 2022/2557 v souvislosti se sdílením informací o rizicích, kybernetických hrozbách a incidentech a o jiných než kybernetických rizicích, hrozbách a incidentech a při výkonu úkolů dohledu. Příslušné orgány podle této směrnice a orgány příslušné podle směrnice (EU) 2022/2557 by měly spolupracovat a vyměňovat si informace bez zbytečného odkladu, zejména ve vztahu k určení kritických subjektů, rizik, kybernetických hrozeb a incidentů, jakož i ohledně jiných než kybernetických rizik, hrozeb nebo incidentů dotýkajících se kritických subjektů, včetně opatření v oblasti kybernetické bezpečnosti a fyzických opatření přijatých kritickými subjekty a výsledků činností v oblasti dohledu prováděných s ohledem na tyto subjekty.

V zájmu zefektivnění činností v oblasti dohledu mezi příslušnými orgány podle této směrnice a podle směrnice (EU) 2022/2557 a v zájmu minimalizace administrativní zátěže pro dotčené subjekty by uvedené příslušné orgány dále měly usilovat o harmonizaci šablon pro oznamování incidentů a postupů v oblasti dohledu. Příslušné orgány podle směrnice (EU) 2022/2557 by případně měly mít možnost požádat příslušné orgány podle této směrnice, aby vykonávaly své dohledové a vymáhací pravomoci ve vztahu k subjektu, který je určen jakožto kritický subjekt podle směrnice (EU) 2022/2557. Příslušné orgány podle této směrnice a podle směrnice (EU) 2022/2022/2557 by za tímto účelem měly, pokud možno v reálném čase, spolupracovat a vyměňovat si informace.

(31)

Subjekty patřící do odvětví digitální infrastruktury jsou v zásadě založeny na sítích a informačních systémech, a proto by povinnosti uložené uvedeným subjektům touto směrnicí měly komplexně řešit fyzickou bezpečnost těchto systémů v rámci jejich opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností. Jelikož se na tyto záležitosti vztahuje tato směrnice, povinnosti stanovené v kapitolách III, IV a VI směrnice (EU) 2022/2557 se na tyto subjekty nevztahují.

(32)

Podpora a ochrana spolehlivého, odolného a bezpečného systému jmen domén jsou klíčovými faktory pro zachování integrity internetu a jsou nezbytné pro jeho nepřetržitý a stabilní provoz, na kterém závisí digitální ekonomika a společnost. Tato směrnice by se proto měla vztahovat na registry domén nejvyšší úrovně a provozovatele systému překladu jmen domén (dále jen „provozovatel DNS“) považované za subjekty poskytující veřejně dostupné rekurzívní služby pro překlad jmen domén pro koncové uživatele internetu nebo autoritativní služby pro překlad jmen domén pro použití třetími stranami. Tato směrnice by se neměla vztahovat na kořenové jmenné servery.

(33)

Služby cloud computingu by měly zahrnovat digitální služby, které umožňují správu na vyžádání a široký dálkový přístup k rozšiřitelnému a přizpůsobitelnému úložišti distribuovaných výpočetních zdrojů, které je možno sdílet, včetně případů, kdy tyto zdroje mají několik různých umístění. Výpočetní zdroje zahrnují zdroje, jako jsou sítě, servery nebo jiná infrastruktura, operační systémy, software, úložiště, aplikace a služby. Modely služeb cloud computingu zahrnují mimo jiné infrastrukturu jako službu (IaaS), platformu jako službu (PaaS), software jako službu (SaaS) a síť jako službu (NaaA). Modely zavádění cloud computingu by měly zahrnovat soukromý, komunitní, veřejný a hybridní cloud. Služby a modely zavádění cloud computingu mají tentýž význam jako podmínky poskytování služeb a modely zavádění definované podle normy ISO/IEC 17788:2014. Schopnost uživatele cloud computingu jednostranně vlastními silami využívat výpočetní potenciál, jako je výpočetní čas serveru nebo ukládání na síti, bez jakékoli interakce poskytovatele služeb cloud computingu s člověkem, by bylo možné popsat jako správu na vyžádání.

Pojem „široký dálkový přístup“ se používá k popsání toho, že cloudová kapacita je poskytována po síti a přístup k ní se uskutečňuje prostřednictvím mechanismu podporujícího použití heterogenních platforem s tenkými nebo tlustými klienty, včetně mobilních telefonů, tabletů, laptopů a pracovních stanic. Pojem „rozšiřitelný“ poukazuje na skutečnost, že v zájmu pokrytí nerovnoměrné poptávky jsou výpočetní zdroje přidělovány poskytovatelem cloudových služeb flexibilně, bez ohledu na zeměpisnou polohu zdrojů. Pojem „přizpůsobitelné úložiště“ označuje skutečnost, že výpočetní zdroje jsou poskytovány a uvolňovány na základě poptávky, aby bylo možno urychleně zvyšovat i snižovat dostupné zdroje se zřetelem na zatížení. Pojmem „které je možno sdílet“ se rozumí, že tyto výpočetní zdroje jsou poskytovány vícero uživatelům, kteří k dané službě sdílejí společný přístup, avšak zpracování probíhá pro každého uživatele odděleně, byť je služba poskytována z téhož elektronického zařízení. Pojem „distribuovaný“ označuje ty výpočetní zdroje, které se nacházejí na různých sítově propojených počítačích nebo zařízeních a které mezi sebou komunikují a koordinují prostřednictvím předávání zpráv.

(34)

Vzhledem ke vzniku inovativních technologií a nových obchodních modelů se předpokládá, že v reakci na vyvíjející se potřeby zákazníků se na vnitřním trhu objeví nové služby cloud computingu a modely zavádění. V této souvislosti lze služby cloud computingu poskytovat ve vysoce distribuované podobě, ještě blíže k místu, kde jsou data generována nebo shromažďována, a přejít tak od tradičního modelu k vysoce distribuovanému modelu (tzv. „edge computing“).

(35)

Služby, jež nabízejí poskytovatelé služeb datových center, nemusí být vždy poskytovány ve formě služeb cloud computingu. Datová centra tedy ne vždy tvoří součást infrastruktury cloud computingu. Aby bylo možné řídit všechna rizika pro bezpečnost sítí a informačních systémů, měla by se tato směrnice vztahovat také na poskytovatele služeb datových center, které nejsou službami cloud computingu. Pro účely této směrnice by pojem „služba datových center“ měl zahrnovat poskytování služby, která zahrnuje struktury nebo skupiny struktur určené pro centralizované úpravy, vzájemné propojení a provozování informačních technologií a síťových zařízení poskytujících služby ukládání, zpracování a přenos dat spolu se všemi zařízeními a infrastrukturami pro rozvod energie a kontrolu životního prostředí. Pojem „služba datových center“ by se neměl vztahovat na interní, firemní datová centra vlastněná a provozovaná pro vlastní potřebu dotčeného subjektu.

(36)

Výzkumné činnosti hrají klíčovou úlohu při vývoji nových produktů a procesů. Mnohé z těchto činností provádějí subjekty, které výsledky svého výzkumu sdílejí, šíří nebo využívají pro komerční účely. Tyto subjekty proto mohou být důležitými hráči v hodnotových řetězcích, což činí bezpečnost jejich sítí a informačních systémů nedílnou součástí celkové kybernetické bezpečnosti vnitřního trhu. Výzkumné organizace by měly být chápány tak, že zahrnují subjekty, které se v podstatné části svých činností zaměřují na provádění aplikovaného výzkumu nebo experimentálního vývoje ve smyslu manuálu Frascati z roku 2015 vypracovaného Organizací pro hospodářskou spolupráci a rozvoj: pokyny pro shromažďování a vykazování údajů o výzkumu a experimentálním vývoji za účelem využití jejich výsledků pro komerční účely, jako jsou výroba nebo vývoj produktu nebo procesu, poskytování služby, nebo jejich uvádění na trh.

(37)

Rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích, jako jsou energetika, doprava, digitální infrastruktura, pitná voda, odpadní voda, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejího vesmírného programu. Tyto vzájemné závislosti znamenají, že jakékoli narušení, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Vystupňované kybernetické útoky během pandemie COVID-19 prokázaly zranitelnost stále více vzájemně závislých společností vůči rizikům s nízkou pravděpodobností.

(38)

Vzhledem k odlišnostem jednotlivých vnitrostátních správních struktur a s cílem podpořit již existující odvětvová opatření nebo kontrolní a regulační orgány Unie by členské státy měly mít možnost určit nebo zřídit jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost a úkoly dohledu podle této směrnice.

(39)

Pro usnadnění přeshraniční spolupráce a komunikace mezi orgány a za účelem účinného provedení této směrnice je nezbytné, aby každý členský stát určil jednotné kontaktní místo odpovědné za koordinaci záležitostí souvisejících s bezpečností sítí a informačních systémů a přeshraniční spoluprací na úrovni Unie.

(40)

Jednotná kontaktní místa by měla zajistit účinnou přeshraniční spolupráci s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA. Jednotná kontaktní místa by proto měla být pověřena postoupením oznámení o významných incidentech s přeshraničním dopadem jednotným kontaktním místům jiných dotčených členských států na žádost týmu CSIRT nebo příslušného orgánu. Na vnitrostátní úrovni by jednotná kontaktní místa měla zajišťovat hladkou meziodvětvovou spolupráci s ostatními příslušnými orgány. Jednotným kontaktním místům by mohly být také zasílány příslušné informace o incidentech týkajících se finančních subjektů od příslušných orgánů podle nařízení (EU) 2022/2554, které by tato místa měla být schopna případně zasílat týmům CSIRT nebo příslušným orgánům podle této směrnice.

(41)

Členské státy by měly být náležitě vybaveny jak po technické, tak po organizační stránce, aby mohly incidentům a rizikům předcházet, odhalovat je, reagovat na ně, a zmírňovat jejich dopad. Členské státy by proto měly zřídit nebo určit jeden nebo více týmů CSIRT ve smyslu této směrnice a zajistit, aby měly odpovídající zdroje a technické kapacity. Týmy CSIRT by měly splňovat požadavky stanovené v této směrnici tak, aby zaručily efektivní a kompatibilní schopnosti řešit incidenty a rizika a zajistily účinnou spolupráci na úrovni Unie. Členské státy by měly mít možnost určit jako týmy CSIRT stávající týmy pro reakci na počítačové hrozby (dále jen „CERT“). V zájmu posílení důvěry mezi subjekty a týmy CSIRT v případech, kdy je tým CSIRT součástí příslušného orgánu, by členské státy měly mít možnost zvážit funkční oddělení operativních úkolů plněných týmy CSIRT, zejména v souvislosti se sdílením informací a podporou poskytovanou subjektům, od činností příslušných orgánů v oblasti dohledu.

(42)

Týmy CSIRT jsou pověřeny řešením incidentů. To zahrnuje zpracování velkého objemu údajů, které jsou někdy citlivé. Členské státy by měly zajistit, že týmy CSIRT budou mít infrastrukturu pro sdílení a zpracování informací, jakož i dobře vybavené pracovníky, což zajistí důvěrnost a důvěryhodnost jejich operací. Týmy CSIRT by v tomto ohledu rovněž mohly přijmout kodexy chování.

(43)

Pokud jde o osobní údaje, týmům CSIRT by mělo být umožněno, aby v souladu s nařízením (EU) 2016/679 na žádost základního nebo důležitého subjektu aktivně skenovaly sítě a informační systémy, které tento subjekt používá k poskytování svých služeb. Členské státy by se měly v příslušných případech zaměřit na to, aby všem odvětvovým týmům CSIRT zajistily stejné technické podmínky. Členské státy by měly mít možnost si při vytváření svých týmů CSIRT vyžádat pomoc agentury ENISA.

(44)

Týmy CSIRT by měly být na žádost základního nebo důležitého subjektu schopny sledovat veškerá jeho aktiva orientovaná na internet, a to jak na místě, tak mimo něj, aby určily, pochopily a řídily celková organizační rizika tohoto subjektu, pokud jde o nově zjištěné ohrožení dodavatelského řetězce nebo kritické zranitelnosti. Subjekt by měl být vyzván, aby tým CSIRT informoval o tom, zda provozuje rozhraní pro privilegovanou správu, neboť by to mohlo ovlivnit rychlost provádění zmírňujících opatření.

(45)

S ohledem na význam mezinárodní spolupráce na poli kybernetické bezpečnosti by týmy CSIRT měly mít možnost účastnit se kromě sítě CSIRT zřízené touto směrnicí také sítí pro mezinárodní spolupráci. Týmy CSIRT a příslušné orgány by proto pro účely plnění svých úkolů měly mít možnost vyměňovat si informace, včetně osobních údajů, s vnitrostátními týmy CSIRT nebo příslušnými orgány třetích zemí, pokud jsou splněny podmínky pro předávání osobních údajů do třetích zemí podle práva Unie v oblasti ochrany údajů, mimo jiné podmínky stanovené v článku 49 nařízení (EU) 2016/679.

(46)

Je zásadní, aby byly zajištěny odpovídající zdroje pro dosažení cílů této směrnice a k tomu, aby mohly příslušné orgány a týmy CSIRT plnit úkoly, jež jsou v ní stanoveny. Členské státy mohou na vnitrostátní úrovni zavést mechanismus financování k pokrytí nezbytných výdajů pro plnění úkolů veřejných subjektů odpovědných za kybernetickou bezpečnost v daném členském státě podle této směrnice. Tento mechanismus by měl být v souladu s právem Unie, měl by být přiměřený a nediskriminační a měl by zohledňovat různé přístupy k poskytování bezpečných služeb.

(47)

Síť CSIRT by měla i nadále přispívat k posilování důvěry a k podpoře rychlé a účinné operativní spolupráce mezi členskými státy. Za účelem posílení operativní spolupráce na úrovni Unie by síť CSIRT měla zvážit přizvání institucí a agentur Unie zapojených do politiky kybernetické bezpečnosti, jako je Europol, k účasti na své činnosti.

(48)

Za účelem dosažení a udržení vysoké úrovně kybernetické bezpečnosti by národní strategie kybernetické bezpečnosti požadované touto směrnicí měly sestávat ze soudržných rámců se strategickými cíli a prioritami v oblasti kybernetické bezpečnosti a správy za účelem jejich dosažení. Tyto strategie se mohou skládat z jednoho nebo více legislativních či nelegislativních nástrojů.

(49)

Politiky v oblasti kybernetické hygieny poskytují základy pro ochranu infrastruktury sítí a informačních systémů, hardwaru, softwaru a bezpečnosti aplikací on-line a údajů o podnicích nebo o koncových uživatelích, na něž se subjekty spoléhají. Politiky v oblasti kybernetické hygieny zahrnující společný základní soubor postupů, včetně aktualizace softwaru a hardwaru, změny hesel, řízení nových instalací, omezení přístupových účtů na úrovni administrátorů a zálohování údajů, zprostředkovávají proaktivní rámec připravenosti a celkové bezpečnosti a ochrany v případě incidentů nebo kybernetických hrozeb. Agentura ENISA by měla sledovat a analyzovat politiky členských států v oblasti kybernetické hygieny.

(50)

Povědomí o kybernetické bezpečnosti a kybernetická hygiena mají zásadní význam pro zvýšení úrovně kybernetické bezpečnosti v Unii, zejména s ohledem na rostoucí počet připojených zařízení, která jsou stále častěji při kybernetických útocích využívána. Je třeba vyvinout úsilí o zvýšení celkového povědomí o rizicích spojených s těmito zařízeními, zatímco posouzení provedená na úrovni Unie by navíc mohla pomoci zajistit společné chápání těchto rizik v rámci vnitřního trhu.

(51)

Členské státy by měly podporovat využívání jakékoli inovativní technologie, včetně umělé inteligence, jež by mohla zkvalitnit odhalování a prevenci kybernetických útoků a umožnit účinnější přesměrování zdrojů na řešení kybernetických útoků. Členské státy by proto měly ve svých národních strategiích kybernetické bezpečnosti podporovat činnosti v oblasti výzkumu a vývoje, jejímž cílem je usnadnit používání těchto technologií, zejména těch, které se týkají automatizovaných nebo poloautomatizovaných nástrojů v oblasti kybernetické bezpečnosti, a případně sdílení údajů potřebných pro zaškolení uživatelů těchto technologií a pro jejich zdokonalování. Používání jakékoli inovativní technologie, včetně umělé inteligence, by mělo být v souladu s právem Unie v oblasti ochrany údajů, včetně zásad ochrany údajů, minimalizace údajů, spravedlnosti a transparentnosti a bezpečnosti údajů, a to i pokud jde o nejmodernější metody šifrování. Požadavky na záměrnou a standardní ochranu údajů, jak jsou stanoveny v nařízení (EU) 2016/679, je třeba využít v plné míře.

(52)

Nástroje a aplikace kybernetické bezpečnosti s otevřeným zdrojovým kódem mohou přispívat k vyšší míře otevřenosti a mohou mít pozitivní dopad na účinnost průmyslové inovace. Otevřené normy usnadňují interoperabilitu mezi bezpečnostními nástroji a přispívají k bezpečnosti odvětvových zúčastněných stran. Nástroje a aplikace kybernetické bezpečnosti s otevřeným zdrojovým kódem mohou podpořit širší komunitu vývojářů, a umožnit tak diverzifikaci dodavatelů. Otevřený zdrojový kód může vést k větší transparentnosti při ověřování nástrojů souvisejících s kybernetickou bezpečností a k postupu odhalování zranitelností řízeném komunitou. Členské státy by proto měly mít možnost podporovat používání softwaru s otevřeným zdrojovým kódem a otevřených standardů tím, že budou provádět politiky spojené s využíváním otevřených dat a otevřených zdrojů v rámci koncepce „bezpečnost prostřednictvím transparentnosti“. Politiky, které podporují zavádění a udržitelné využívání nástrojů kybernetické bezpečnosti s otevřeným zdrojovým kódem, mají zvláštní význam pro malé a střední podniky, které se potýkají se značnými realizačními náklady, jež by bylo možné minimalizovat snížením potřeby specifických aplikací nebo nástrojů.

(53)

Veřejné služby jsou stále více propojeny s digitálními sítěmi ve městech kvůli zvyšování kvality městských dopravních sítí, modernizaci zásobování vodou a zařízení na likvidaci odpadu a zvyšování účinnosti osvětlení a vytápění budov. Tyto digitalizované veřejné služby mohou být snadným terčem kybernetických útoků a bude-li takový útok úspěšný, hrozí, že občané budou v důsledku propojenosti těchto služeb poškozeni ve velkém měřítku. Členské státy by měly v rámci své národní strategie kybernetické bezpečnosti vypracovat politiku, která se bude zabývat rozvojem těchto propojených nebo inteligentních měst a možnými dopady na společnost.

(54)

V posledních letech čelila Unie exponenciálnímu nárůstu ransomwarových útoků, při nichž malware zašifruje údaje a systémy a za odblokování požaduje platbu výkupného. Rostoucí četnost a závažnost ransomwarových útoků může být dána několika faktory, jako jsou například různé vzorce útoků, nezákonné obchodní modely založené na „ransomware jako službě“ a kryptoměnách, požadavky na výkupné či nárůst útoků v dodavatelském řetězci. Členské státy by měly v rámci svých národních strategií kybernetické bezpečnosti vypracovat politiku, která bude nárůst ransomwarových útoků řešit.

(55)

Partnerství veřejného a soukromého sektoru v oblasti kybernetické bezpečnosti mohou poskytnout vhodný rámec pro výměnu znalostí, sdílení osvědčených postupů a nastolení společné úrovně porozumění mezi zúčastněnými stranami. Členské státy by měly podporovat politiky na podporu vytváření partnerství veřejného a soukromého sektoru specificky zaměřených na kybernetickou bezpečnost. Tyto politiky by měly mimo jiné jasně specifikovat svou působnost a zúčastněné strany, model řízení, dostupné možnosti financování a interakci mezi zúčastněnými stranami ve vztahu k partnerství veřejného a soukromého sektoru. Partnerství veřejného a soukromého sektoru mohou využít odborné znalosti subjektů ze soukromého sektoru na pomoc příslušným orgánům při vývoji nejmodernějších služeb a procesů, včetně výměny informací, včasného varování, nácviků reakce při kybernetických hrozbách a incidentech, krizového řízení a plánování odolnosti.

(56)

Členské státy by se měly ve svých národních strategiích kybernetické bezpečnosti zabývat tím, jaké specifické potřeby mají v oblasti kybernetické bezpečnosti malé a střední podniky. Malé a střední podniky mají v celé Unii významný podíl na průmyslovém a obchodním trhu a často mají problém přizpůsobit se novým obchodním postupům v propojenějším světě a digitálnímu prostředí, kdy zaměstnanci pracují z domova a obchodní činnost stále častěji probíhá on-line. Některé malé a střední podniky čelí v oblasti kybernetické bezpečnosti specifickým výzvám, v souvislosti s nimiž by měly obdržet pokyny a pomoc: nemají například o kybernetické bezpečnosti dostatečné povědomí, jejich systémy IT nejsou dostatečně zabezpečeny pro vzdálený přístup, mají v souvislosti s kybernetickou bezpečností vysoké náklady a jsou ve větším ohrožení, například vůči ransomwarovému útoku. Malé a střední podniky se čím dál častěji stávají terčem útoků skrze dodavatelský řetězec, a to kvůli tomu, že jejich opatření k řízení kybernetických bezpečnostních rizik a zvládání útoků jsou méně důkladná a že na bezpečnostní záležitosti mají k dispozici méně zdrojů. Tyto útoky skrze dodavatelský řetězec mají dopad nejen na malé a střední podniky a jejich izolovanou činnost, ale mohou mít také kaskádový účinek v rámci rozsáhlejších útoků na subjekty, kterým poskytují své služby. Členské státy by měly prostřednictvím svých národních strategií kybernetické bezpečnosti pomoci malým a středním podnikům řešit výzvy, jimž ve svých dodavatelských řetězcích čelí. Členské státy by měly mít kontaktní místo pro malé a střední podniky na vnitrostátní nebo regionální úrovni, které bude poskytovat malým a středním podnikům pokyny a pomoc, nebo je za účelem poskytnutí pokynů a pomoci v otázkách kybernetické bezpečnosti nasměruje k patřičným subjektům. Členské státy se rovněž vybízí k tomu, aby mikropodnikům a malým podnikům, které nemají příslušné kapacity, poskytovaly služby, jako je konfigurace internetových stránek a vedení protokolů.

(57)

Členské státy by měly v rámci svých národních strategií pro kybernetickou bezpečnost přijmout politiky na podporu aktivní kybernetické ochrany, které budou součástí širší obranné strategie. Aktivní kybernetická ochrana nefunguje reaktivně, ale zajišťuje aktivní prevenci, odhalování, sledování, analýzu a zmírňování případů narušení bezpečnosti sítě v kombinaci s využitím funkcí v síti, která je předmětem útoku, i mimo ni. V rámci této ochrany by mohly členské státy nabízet určitým způsobilým subjektům bezplatné služby nebo nástroje, včetně samoobslužných kontrol, detekčních nástrojů a služeb chránících před zneužitím korporátních značek a identity (takedown service). Pro jednotný postup v úsilí o úspěšnou prevenci, odhalování, řešení a blokování útoků proti sítím a informačním systémům je zásadně důležitá možnost rychle a automaticky sdílet a chápat údaje a analýzy týkající se hrozeb, varování v souvislosti s kybernetickými aktivitami a opatření reakce. Aktivní kybernetická ochrana spočívá na obranné strategii, která vylučuje útočná opatření.

(58)

Využití zranitelností v sítích a informačních systémech může způsobit vážná narušení a škody, a rychlé určení a náprava těchto zranitelností je proto důležitým faktorem při snižování rizik. Subjekty, které sítě a informační systémy vyvíjejí nebo spravují, by proto měly stanovit vhodné postupy k řešení zranitelností, jakmile jsou zjištěny. Jelikož zranitelnosti jsou často zjištěny a odhaleny třetími stranami, výrobce nebo poskytovatel produktů IKT nebo služeb IKT by měl rovněž zavést nezbytné postupy pro získávání informací o zranitelnosti od třetích stran. Vodítko pro řešení zranitelnosti a zveřejňování zranitelností v této souvislosti poskytují mezinárodní normy ISO/IEC 30111 a ISO/IEC 29147. Pro účely usnadnění dobrovolného rámce pro zveřejňování informací o zranitelnostech je zvláště důležité posílení koordinace mezi fyzickými a právnickými osobami oznamujícími incidenty a výrobci nebo poskytovateli produktů IKT nebo služeb IKT. Koordinované zveřejňování zranitelností specifikuje strukturovaný proces, jehož prostřednictvím jsou zranitelnosti oznámeny výrobci nebo poskytovateli potenciálně zranitelných produktů IKT nebo služeb IKT takovým způsobem, který mu umožní diagnostikovat a odstranit zranitelnost dříve, než budou podrobné informace o ní sděleny třetím stranám nebo veřejnosti. Koordinované zveřejňování zranitelností by také mělo zahrnovat koordinaci mezi fyzickou a právnickou osobou oznamující incidenty a výrobcem nebo poskytovatelem potenciálně zranitelných produktů IKT nebo služeb IKT, pokud jde o načasování odstranění zranitelností a jejich zveřejnění.

(59)

Komise, agentura ENISA a členské státy by měly i nadále podporovat sbližování s mezinárodními normami a stávajícími odvětvovými osvědčenými postupy v oblasti řízení kybernetických bezpečnostních rizik, například v oblastech posuzování bezpečnosti dodavatelského řetězce, sdílení informací a zveřejňování zranitelností.

(60)

Členské státy by měly ve spolupráci s agenturou ENISA přijmout opatření k usnadnění koordinovaného zveřejňování zranitelností zavedením příslušné vnitrostátní politiky. V rámci své vnitrostátní politiky by členské státy měly usilovat o to, aby se v souladu s vnitrostátním právem v co největší míře zabývaly výzvami, jimž čelí objevovatelé zranitelností, kteří se touto problematikou zabývají, a to i pokud jde o jejich možné vystavení trestní odpovědnosti. Vzhledem k tomu, že fyzické a právnické osoby, které provádějí výzkum týkající se zranitelností, by v některých členských státech mohly být vystaveny trestní a občanskoprávní odpovědnosti, členské státy se vybízejí, aby přijaly pokyny týkající se nemožnosti stíhat osoby provádějících výzkum bezpečnosti informací a vyloučení vzniku občanskoprávní odpovědnosti v souvislosti s jejich činnostmi.

(61)

Členské státy by měly určit jeden ze svých týmů CSIRT jakožto koordinátora, který v případě potřeby převezme úlohu důvěryhodného zprostředkovatele mezi oznamujícími fyzickými či právnickými osobami a výrobci nebo poskytovateli produktů IKT či služeb IKT, u nichž je pravděpodobné, že budou zranitelností dotčeny. Mezi úkoly týmu CSIRT, který byl určen jakožto koordinátor, by měla patřit identifikace a kontaktování dotčených subjektů, pomoc fyzickým nebo právnickým osobám oznamujícím zranitelnost, jednání o lhůtách pro zveřejnění a řešení zranitelností, které mají dopad na více subjektů (vícestranné koordinované zveřejňování zranitelností). Pokud by oznámená zranitelnost mohla mít významný dopad na subjekty ve více než jednom členském státě, měly by týmy CSIRT určené jakožto koordinátoři v rámci sítě CSIRT případně spolupracovat.

(62)

Přístup ke správným a včasným informacím o zranitelnostech dotýkajících se produktů IKT a služeb IKT přispívá k zesílenému řízení kybernetických bezpečnostních rizik. Zdroje veřejně přístupných informací o zranitelnostech jsou důležitým nástrojem pro subjekty a uživatele jejich služeb, ale i pro příslušné orgány a týmy CSIRT. Z tohoto důvodu by agentura ENISA měla zavést Evropskou databázi zranitelností, kde subjekty bez ohledu na to, zda se na ně tato směrnice vztahuje, a jejich dodavatelé sítí a informačních systémů a příslušné orgány a týmy CSIRT mohou veřejně známé zranitelnosti na základě dobrovolnosti zveřejňovat a zaznamenávat, aby uživatelům umožnili přijímat vhodná opatření ke zmírnění dopadů. Smyslem této databáze je řešit výzvy spojené s riziky příznačnými pro unijní subjekty. Agentura ENISA by nadto měla zavést vhodný postup pro zveřejňování informací, který poskytne subjektům čas k přijetí opatření zmírňujících jejich zranitelnosti, a uplatňovat nejmodernější opatření k řízení kybernetických bezpečnostních rizik a strojově čitelné datové soubory a odpovídající rozhraní. V zájmu podpory kultury zveřejňování zranitelností by odhalení nemělo způsobovat oznamující fyzické nebo právnické osobě žádnou újmu.

(63)

Ačkoli podobné registry nebo databáze zranitelností existují, jsou hostovány a spravovány subjekty, které nejsou usazeny v Unii. Evropská databáze zranitelností spravovaná agenturou ENISA by poskytla lepší transparentnost procesu odhalování předtím, než je zranitelnost zveřejněna, a odolnost v případě narušení nebo přerušení poskytování podobných služeb. S cílem v co největší možné míře zabránit zdvojení úsilí a usilovat o komplementaritu by agentura ENISA měla zkoumat možnost uzavření strukturovaných dohod o spolupráci s podobnými registry nebo databázemi spadajícími do jurisdikce třetích zemí. Agentura ENISA by měla zejména prozkoumat možnost úzké spolupráce s provozovateli systému společných zranitelností a expozic (CVE).

(64)

Skupina pro spolupráci by měla podporovat a usnadňovat strategickou spolupráci a výměnu informací, jakož i posilovat důvěru mezi členskými státy. Skupina pro spolupráci by měla každé dva roky přijmout pracovní program. Pracovní program by měl zahrnovat opatření, která má skupina pro spolupráci podniknout ke splnění svých cílů a úkolů. Časový rámec pro přijetí prvního programu podle této směrnice by měl být sladěn s časovým rámcem posledního pracovního programu stanoveného na základě směrnice (EU) 2016/1148, aby se zabránilo možnému přerušení práce skupiny pro spolupráci.

(65)

Při vypracování pokynů by skupina pro spolupráci měla důsledně: mapovat vnitrostátní řešení a zkušenosti, posuzovat dopad výstupů skupiny pro spolupráci na přístupy členských států, diskutovat o problémech spojených s prováděním a formulovat konkrétní doporučení, zejména pokud jde o usnadnění sladění při provádění této směrnice mezi členskými státy, která je třeba zohlednit prostřednictvím lepšího provádění stávajících pravidel. V zájmu podpory slaďování řešení v oblasti kybernetické bezpečnosti uplatňovaných v jednotlivých odvětvích v celé Unii by skupina pro spolupráci mohla rovněž mapovat vnitrostátní řešení. To je obzvláště důležité pro odvětví, která jsou ze své povahy mezinárodní nebo přeshraniční.

(66)

Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik a přitom brát v úvahu dostupnost zdrojů. Mohla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou pro spolupráci a shromažďování údajů a vstupů týkajících se vznikajících politických výzev. Kromě toho by skupina pro spolupráci měla pravidelně provádět hodnocení aktuálního stavu kybernetických hrozeb nebo incidentů, například v souvislosti s ransomware. S cílem posílit spolupráci na úrovni Unie by skupina pro spolupráci měla zvážit, že k účasti na své činnosti přizve příslušné orgány, instituce a jiné subjekty Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako jsou Evropský parlament, Europol, Evropský sbor pro ochranu osobních údajů, Agentura Evropské unie pro bezpečnost letectví, zřízená nařízením (EU) 2018/1139, a Agentura Evropské unie pro Kosmický program, zřízená nařízením Evropského parlamentu a Rady (EU) 2021/696 (14).

(67)

Za účelem zlepšení spolupráce a posílení důvěry mezi členskými státy by měly příslušné orgány a týmy CSIRT mít možnost účastnit se výměnných programů pro úředníky z jiných členských států, a to ve zvláštním rámci a případně pod podmínkou požadavku bezpečnostní prověrky úředníků účastnících se těchto výměnných programů, s cílem zlepšit spolupráci a posílit důvěru mezi členskými státy. Příslušné orgány by měly přijmout nezbytná opatření, jež umožní úředníkům z jiných členských států účinně se zapojit do činností hostitelského příslušného orgánu nebo hostitelského týmu CSIRT.

(68)

Členské státy by měly přispět k vytvoření rámce EU pro reakci na kybernetické bezpečnostní krize uvedeného v doporučení Komise (EU) 2017/1584 (15) prostřednictvím stávajících sítí pro spolupráci, zejména Evropské sítě styčných organizací pro řešení kybernetických krizí (dále jen „síť EU-CyCLONe“), sítě CSIRT a skupiny pro spolupráci. Sítě EU-CyCLONe a CSIRT by měly spolupracovat na základě procesních opatření, jež vymezí podrobnosti této spolupráce, a zamezit zdvojování činnosti. Jednací řád sítě EU-CyCLONe by měl dále vymezit podmínky, za nichž by měla uvedená síť fungovat, včetně úloh této sítě, způsobů spolupráce, interakcí s jinými relevantními subjekty a šablon pro sdílení informací, jakož i způsobů komunikace. Pokud jde o krizové řízení na úrovni Unie, měly by příslušné strany vycházet z opatření pro integrovanou politickou reakci na krize podle prováděcího rozhodnutí Rady (EU) 2018/1993 (16) (opatření IPRK). Komise by za tímto účelem měla využít proces meziodvětvové koordinace na vysoké úrovni v krizových situacích ARGUS. Pokud má krize významný externí rozměr nebo se týká společné bezpečnostní a obranné politiky, měl by být aktivován mechanismus Evropské služby pro vnější činnost pro reakce na krize.

(69)

V souladu s přílohou doporučení (EU) 2017/1584 by rozsáhlý kybernetický bezpečnostní incident měl označovat incident, který způsobuje narušení přesahující schopnost členského státu na něj reagovat nebo incident, který má významný dopad na alespoň dva členské státy. V závislosti na jejich příčině a dopadu mohou rozsáhlé kybernetické bezpečnostní incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu nebo budou představovat vážná rizika pro veřejnou bezpečnost a ochranu subjektů nebo občanů v několika členských státech nebo v Unii jako celku. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a jiné subjekty Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii.

(70)

Rozsáhlé kybernetické bezpečnostní incidenty a krize na úrovni Unie vyžadují koordinovanou činnost k zajištění rychlé a účinné reakce z důvodu vysokého stupně vzájemné závislosti mezi jednotlivými odvětvími a členskými státy. Dostupnost sítí a informačních systémů odolných vůči kybernetickým útokům a dostupnost, důvěrnost a integrita dat mají zásadní význam pro bezpečnost Unie a pro ochranu jejích občanů, podniků a institucí před incidenty a kybernetickými hrozbami, jakož i pro posílení důvěry jednotlivců a organizací ve schopnost Unie prosazovat a chránit globální, otevřený, svobodný, stabilní a bezpečný kyberprostor založený na lidských právech, základních svobodách, demokracii a právním státu.

(71)

Síť EU-CyCLONe by měla působit jako prostředník mezi technickou a politickou úrovní při rozsáhlých kybernetických bezpečnostních incidentech a krizích a měla by posilovat spolupráci na operační úrovni a podporovat rozhodování na politické úrovni. Ve spolupráci s Komisí a s ohledem na pravomoc Komise v oblasti řešení krizí by měla síť EU-CyCLONe vycházet ze zjištění sítě CSIRT a využívat své vlastní schopnosti k vypracování analýzy dopadů rozsáhlých kybernetických bezpečnostních incidentů a krizí.

(72)

Kybernetické útoky jsou přeshraniční povahy a významný incident může narušit a poškodit kritickou informační infrastrukturu, na níž závisí hladké fungování vnitřního trhu. Doporučení (EU) 2017/1584 se zabývá úlohou všech příslušných aktérů. Kromě toho je Komise v rámci mechanismu civilní ochrany Unie zřízeného rozhodnutím Evropského parlamentu a Rady č. 1313/2013/EU (17) odpovědná za obecná opatření v oblasti připravenosti, včetně řízení Střediska pro koordinaci odezvy na mimořádné události a společného komunikačního a informačního systému pro mimořádné události, udržování a dalšího rozvoje situačního povědomí a schopnosti analýzy a vytvoření a řízení schopnosti mobilizovat a vyslat odborné týmy v případě žádosti členského státu nebo třetí země o pomoc. Komise je rovněž odpovědná za poskytování analytických zpráv pro opatření IPRK podle prováděcího rozhodnutí (EU) 2018/1993, a to i pokud jde o povědomí o situaci a připravenost v oblasti kybernetické bezpečnosti, jakož i za povědomí o situaci a reakci na krize v oblasti zemědělství, nepříznivých povětrnostních podmínek, mapování a prognóz konfliktů, systémů včasného varování v případě přírodních katastrof, mimořádných situací v oblasti zdraví, dozoru nad nakažlivými chorobami, zdraví rostlin, chemických incidentů, bezpečnosti potravin a krmiv, zdraví zvířat, migrace, cel, jaderných a radiologických mimořádných situací a v energetické oblasti.

(73)

Unie může ve vhodných případech v souladu s článkem 218 Smlouvy o fungování EU uzavírat mezinárodní dohody s třetími zeměmi nebo mezinárodními organizacemi, které umožní a upraví jejich účast na některých činnostech skupiny pro spolupráci a sítě CSIRT a sítě EU-CyCLONe. Takové dohody by měly zajistit zájmy Unie a odpovídající ochranu údajů. Tím by nemělo být dotčeno právo členských států spolupracovat s třetími zeměmi na řízení zranitelností a řízení kybernetických bezpečnostních rizik, což usnadňuje podávání zpráv a obecné sdílení informací v souladu s právem Unie.

(74)

V zájmu usnadnění účinného provádění této směrnice, s ohledem mimo jiné na řešení zranitelností, opatření k řízení kybernetických bezpečnostních rizik, oznamovací povinnosti a ujednání o sdílení informací o kybernetické bezpečnosti, mohou členské státy spolupracovat se třetími zeměmi a provádět činnosti, které jsou pro tento účel považovány za vhodné, včetně výměny informací o kybernetických hrozbách, incidentech, zranitelnostech, nástrojích a metodách, taktice, technikách a postupech, připravenosti a cvičeních pro řešení kybernetických bezpečnostních krizí, školení, budování důvěry a strukturovaných ujednáních o sdílení informací.

(75)

Měla by být zavedena vzájemná hodnocení, díky nimž by bylo možné poučit se ze sdílených zkušeností, posílit vzájemnou důvěru a dosáhnout vysoké společné úrovně kybernetické bezpečnosti. Vzájemná hodnocení mohou přinést cenné poznatky a doporučení, posílit celkové schopnosti v oblasti kybernetické bezpečnosti, vytvořit další funkční způsob, jak sdílet osvědčené postupy mezi členskými státy, a přispět ke zvýšení úrovně vyspělosti členských států v oblasti kybernetické bezpečnosti. Kromě toho by vzájemná hodnocení měla zohledňovat výsledky obdobných mechanismů, například systému vzájemného hodnocení sítě CSIRT, a měla by vytvářet přidanou hodnotu a zamezit zdvojování činností. Zavedením vzájemných hodnocení by nemělo být dotčeno unijní ani vnitrostátní právo o ochraně důvěrných nebo utajovaných informací.

(76)

Skupina pro spolupráci by měla pro členské státy vypracovat metodiku sebehodnocení, jejímž cílem bude pokrýt takové faktory, jako jsou úroveň provádění opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností, úroveň schopností a účinnost plnění úkolů příslušných orgánů, provozní schopnosti týmů CSIRT, úroveň poskytování vzájemné pomoci, úroveň provádění ujednání o sdílení informací o kybernetické bezpečnosti nebo zvláštní přeshraniční či meziodvětvové otázky. Členské státy by měly být nabádány k tomu, aby sebehodnocení prováděly pravidelně a výsledky svého sebehodnocení předkládaly a projednávaly ve skupině pro spolupráci.

(77)

Povinnost zajistit bezpečnost sítě a informačního systému mají do značné míry základní a důležité subjekty. Měla by být prosazována a rozvíjena kultura řízení rizik zahrnující posuzování rizik a provádění opatření k řízení kybernetických bezpečnostních rizik úměrných hrozícím rizikům.

(78)

Opatření k řízení kybernetických bezpečnostních rizik by měla zohledňovat míru závislosti základního nebo důležitého subjektu na sítích a informačních systémech a zahrnovat opatření pro určení veškerých rizik incidentů, předcházení incidentům, jejich odhalování, reakce na ně, zotavení se z nich a zmírňování jejich dopadu. Bezpečnost sítí a informačních systémů by měla zahrnovat bezpečnost uchovávaných, předávaných a zpracovávaných údajů. Opatření k řízení kybernetických bezpečnostních rizik by měla zajišťovat systémovou analýzu zohledňující lidský faktor s cílem získat úplný obraz o bezpečnosti sítě a informačního systému.

(79)

Vzhledem k tomu, že hrozby pro bezpečnost sítí a informačních systémů mohou být různého původu, opatření k řízení kybernetických bezpečnostních rizik by měla být založena na přístupu zohledňujícím všechna rizika, jehož cílem je chránit sítě a informační systémy a jejich fyzické prostředí před událostmi, jako jsou krádež, požár, povodeň, výpadky telekomunikací nebo elektrického proudu, nebo před neoprávněným fyzickým přístupem k informacím a zařízením pro zpracování informací základního nebo důležitého subjektu a jejich poškozením a zásahům do nich, jež by mohly narušit dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které tyto sítě a informační systémy nabízejí nebo které jsou jejich prostřednictvím přístupné. Opatření k řízení kybernetických bezpečnostních rizik by proto měla rovněž řešit fyzickou a environmentální bezpečnost sítí a informačních systémů tím, že budou zahrnovat opatření na ochranu těchto systémů před selháním systému, lidskou chybou, zlovolnými činy nebo přírodními jevy v souladu s evropskými a mezinárodními normami, jako jsou normy obsažené v řadě ISO/IEC 27000. V tomto ohledu by se základní a důležité subjekty měly v rámci svých opatření k řízení kybernetických bezpečnostních rizik zabývat rovněž bezpečností lidských zdrojů a zavést vhodné politiky kontroly přístupu. Tato opatření by měla být v souladu se směrnicí (EU) 2022/2557.

(80)

Za účelem prokázání souladu s opatřeními k řízení kybernetických bezpečnostních rizik a v případě neexistence vhodných evropských systémů certifikace kybernetické bezpečnosti přijatých v souladu s nařízením Evropského parlamentu a Rady (EU) 2019/881 (18) by členské státy měly za konzultací se skupinou pro spolupráci a Evropskou skupinou pro certifikaci kybernetické bezpečnosti podporovat používání příslušných evropských a mezinárodních norem ze strany základních a důležitých subjektů nebo požadovat, aby subjekty používaly certifikované produkty IKT, služby IKT a procesy IKT.

(81)

Aby se zabránilo nepřiměřené finanční a administrativní zátěži pro základní a důležité subjekty, měla by být opatření k řízení kybernetických bezpečnostních rizik úměrná rizikům, kterým jsou dotčená síť a informační systém vystaveny, s přihlédnutím k aktuálnímu stavu těchto opatření a případně k příslušným evropským a mezinárodním normám, jakož i k nákladům na jejich provádění.

(82)

Opatření k řízení kybernetických bezpečnostních rizik by měla být úměrná míře vystavení základního nebo důležitého subjektu rizikům a společenskému a ekonomickému dopadu, který by měl incident. Při zavádění opatření k řízení kybernetických bezpečnostních rizik přizpůsobených pro základní a důležité subjekty by měla být náležitě zohledněna rozdílná expozice základních a důležitých subjektů rizikům, jako je kritičnost subjektu, rizika, včetně společenských rizik, jimž je vystaven, velikost subjektu a pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského a ekonomického dopadu.

(83)

Základní a důležité subjekty by měly zajistit bezpečnost sítí a informačních systémů, které užívají ve svých činnostech. Jedná se především o soukromé síťové a informační systémy, jež jsou buď řízeny interními pracovníky IT základních a důležitých subjektů, nebo jejichž bezpečnost zajišťuje externí dodavatel. Opatření k řízení kybernetických bezpečnostních rizik a povinnosti týkající se oznamování podle této směrnice by měly pro příslušné základní a důležité subjekty platit bez ohledu na to, zda správu svých sítí a informačních systémů provádějí tyto subjekty interně, nebo k tomu využívají externího dodavatele.

(84)

S ohledem na jejich přeshraniční povahu by provozovatelé DNS, registry domén nejvyšší úrovně, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, poskytovatelé on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatelé služeb vytvářejících důvěru měli podléhat vysokému stupni harmonizace na úrovni Unie. Provádění opatření k řízení kybernetických bezpečnostních rizik ve vztahu k těmto subjektům by proto mělo být usnadněno prováděcím aktem.

(85)

Řešení rizik vyplývajících z dodavatelského řetězce subjektu nebo jeho vztahů s dodavateli, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo poskytovatelé řízených bezpečnostních služeb a vydavatelé softwaru, je zvlášť důležité vzhledem k počtu incidentů, v jejichž případě se subjekty staly obětí kybernetických útoků a pachatelé byli schopni narušit bezpečnost sítí a informačních systémů daného subjektu tím, že využili zranitelností v produktech a službách třetí strany. Základní a důležité subjekty by proto měly posoudit a zohlednit celkovou kvalitu a odolnost produktů a služeb, opatření v oblasti kybernetické bezpečnosti, která zahrnují, a postupů kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů k zajištění bezpečného vývoje. Základní a důležité subjekty by měly být zejména vybízeny, aby začlenily opatření k řízení kybernetických bezpečnostních rizik do smluvních ujednání se svými přímými dodavateli a poskytovateli služeb. Uvedené subjekty by mohly přihlížet k rizikům, jež mají původ u dodavatelů a poskytovatelů služeb dalších úrovní.

(86)

Mezi poskytovateli služeb mají zvlášť důležitou úlohu v pomoci subjektům v jejich úsilí o předcházení incidentům, při jejich odhalování, reakci na ně nebo zotavení se z nich poskytovatelé řízených bezpečnostních služeb v oblastech jako reakce na incidenty, penetrační testování, bezpečnostní audity a konzultační činnost. Poskytovatelé řízených bezpečnostních služeb se však také sami stali terčem kybernetických útoků a vzhledem k jejich úzkému začlenění do provozu subjektů představují zvláštní riziko. Základní a důležité subjekty by proto měly při výběru poskytovatele řízených bezpečnostních služeb postupovat s větší péčí.

(87)

Příslušné orgány mohou v rámci svých úkolů v oblasti dohledu rovněž využívat služeb kybernetické bezpečnosti, jako jsou bezpečnostní audity, penetrační testování nebo reakce na incidenty.

(88)

Základní a důležité subjekty by rovněž měly řešit rizika vyplývající z jejich interakcí a vztahů s jinými zúčastněnými stranami v rámci širšího ekosystému, včetně boje proti průmyslové špionáži a ochrany obchodního tajemství. Uvedené subjekty by zejména měly přijetím vhodných opatření zajistit, že jejich spolupráce s akademickými a výzkumnými institucemi probíhá v souladu s jejich politikami kybernetické bezpečnosti a řídí se osvědčenými postupy, pokud jde o bezpečný přístup a šíření informací obecně a ochranu duševního vlastnictví zvláště. Podobně by základní a důležité subjekty, jsou-li závislé na službách transformace dat a analýzy dat poskytovaných třetími stranami, vzhledem k důležitosti a hodnotě dat pro jejich činnost měly přijmout veškerá vhodná opatření k řízení kybernetických bezpečnostních rizik.

(89)

Základní a důležité subjekty by měly přijmout širokou škálu základních postupů v oblasti kybernetické hygieny, k nimž patří architektura nulové důvěry, aktualizace softwaru, konfigurace zařízení, segmentace sítě, řízení identity a přístupu nebo povědomí uživatelů, měly by pořádat školení pro své zaměstnance a zvyšovat povědomí o kybernetických hrozbách, phishingu či technikách sociálního inženýrství. Uvedené subjekty by dále měly hodnotit své vlastní schopnosti v oblasti kybernetické bezpečnosti a případně usilovat o integraci technologií zvyšujících kybernetickou bezpečnost, jako jsou umělá inteligence nebo systémy strojového učení, s cílem posílit své schopnosti a bezpečnost sítí a informačních systémů.

(90)

Aby bylo možné dále řešit klíčová rizika dodavatelského řetězce a pomoci základním a důležitým subjektům působícím v odvětvích, na něž se vztahuje tato směrnice, náležitě řídit dodavatelský řetězec a rizika související s dodavateli, měla by skupina pro spolupráci ve spolupráci s Komisí a agenturou ENISA a případně po konzultaci s příslušnými zúčastněnými stranami, včetně průmyslu, provádět koordinovaná posouzení bezpečnostních rizik kritických dodavatelských řetězců, která byla provedena pro sítě 5G v souladu s doporučením Komise (EU) 2019/534 (19), s cílem určit kritické služby IKT, systémy IKT nebo produkty IKT, relevantní hrozby a zranitelnosti pro jednotlivá odvětví. Uvedená koordinovaná posouzení bezpečnostních rizik by měla určit opatření, plány zmírňování a osvědčené postupy ve vztahu ke kritickým závislostem, potenciálním jediným bodům selhání, hrozbám, zranitelnostem a dalším rizikům spojeným s dodavatelským řetězcem a měla by prozkoumat způsoby, jak základní a důležité subjekty dále podněcovat, aby je šířeji přijímaly. Potenciální netechnické rizikové faktory, jako je nepatřičný vliv třetí země na dodavatele a poskytovatele služeb, zejména v případě alternativních modelů správy, zahrnují skryté zranitelnosti nebo „zadní vrátka“ a možné systémové narušení dodávek, zejména v případě technologické závislosti nebo závislosti na poskytovateli.

(91)

Koordinovaná posouzení bezpečnostních rizik kritických dodavatelských řetězců by s ohledem na charakteristické rysy dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory včetně faktorů vymezených v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro kybernetickou bezpečnost sítí 5G v EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení bezpečnostních rizik, by měla být vzata v úvahu tato kritéria: i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby IKT, systémy IKT a produkty IKT a jsou na nich závislé; ii) relevantnost konkrétních služeb IKT, systémů IKT nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; iii) dostupnost alternativních služeb IKT, systémů IKT nebo produktů IKT; iv) odolnost celého dodavatelského řetězce služeb IKT, systémů IKT nebo produktů IKT během jejich životního cyklu vůči narušení a v) u vznikajících služeb IKT, systémů IKT nebo produktů IKT jejich budoucí význam pro činnost subjektů. Zvláštní důraz je třeba dále klást na služby IKT, systémy IKT nebo produkty IKT, které podléhají specifickým požadavkům ze třetích zemí.

(92)

S cílem zjednodušit povinnosti ukládané poskytovatelům veřejných sítí elektronické komunikace nebo veřejně dostupných služeb elektronické komunikace a poskytovatelům služeb vytvářejících důvěru a které se týkají bezpečnosti jejich sítí a informačních systémů a s cílem umožnit těmto subjektům a příslušným orgánům podle směrnice Evropského parlamentu a Rady (EU) 2018/1972 (20), nebo podle nařízení (EU) č. 910/2014, využívat právní rámec stanovený touto směrnicí, včetně určení týmu CSIRT odpovědného za řešení incidentů a účasti dotčených příslušných orgánů na činnostech skupiny pro spolupráci a sítě CSIRT, by tyto subjekty měly spadat do oblasti působnosti této směrnice. Příslušná ustanovení v nařízení (EU) č. 910/2014 a směrnici (EU) 2018/1972, které na tyto druhy subjektů kladou požadavky týkající se bezpečnosti a oznamování, by proto měla být zrušena. Pravidly týkajícími se oznamovacích povinností stanovenými v této směrnici by nemělo být dotčeno nařízení (EU) 2016/679 ani směrnice 2002/58/ES.

(93)

Povinnosti k zajištění kybernetické bezpečnosti stanovené v této směrnici by měly být považovány za doplňkové k požadavkům kladeným na poskytovatele služeb vytvářejících důvěru podle nařízení (EU) č. 910/2014. Od poskytovatelů služeb vytvářejících důvěru by mělo být vyžadováno, aby přijali veškerá vhodná a přiměřená opatření k řízení rizik spojených s jejich službami, a to i ve vztahu k zákazníkům a spoléhajícím se třetím stranám, a aby oznamovali incidenty podle této směrnice. Tyto povinnosti k zajištění kybernetické bezpečnosti a povinnosti týkající se oznamování by se rovněž měly týkat fyzické ochrany poskytovaných služeb. Nadále platí požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru stanovené v článku 24 nařízení (EU) č. 910/2014.

(94)

Členské státy mohou orgánům dohledu podle nařízení (EU) č. 910/2014 svěřit úlohu příslušných orgánů pro služby vytvářející důvěru s cílem zajistit pokračování stávajících postupů a využít znalostí a zkušeností získaných při uplatňování uvedeného nařízení. V takových případech by měly příslušné orgány podle této směrnice úzce a včas s těmito orgány dohledu spolupracovat formou výměny příslušných informací s cílem zajistit účinný dohled nad poskytovateli služeb vytvářejících důvěru a jejich dodržováním požadavků stanovených v této směrnici a nařízení (EU) č. 910/2014. Síť CSIRT nebo příslušný orgán podle této směrnice by měly v příslušných případech neprodleně informovat orgán dohledu podle nařízení (EU) č. 910/2014 o všech oznámených významných kybernetických hrozbách nebo incidentech s dopadem na služby vytvářející důvěru, jakož i o jakémkoli porušení této směrnice poskytovatelem služeb vytvářejících důvěru. Pro účely oznamování mohou členské státy případně využít jednotného kontaktního místa zřízeného za účelem dosažení společného a automatického oznamování incidentů jak orgánu dohledu podle nařízení (EU) č. 910/2014, tak týmu CSIRT nebo příslušnému orgánu podle této směrnice.

(95)

Pokud je to vhodné a s cílem zabránit zbytečným narušením, by při provádění této směrnice měly být zohledněny stávající vnitrostátní pokyny přijaté pro provedení pravidel týkajících se bezpečnostních opatření stanovených v článcích 40 a 41 směrnice (EU) 2018/1972, a to na základě znalostí a dovedností již získaných podle směrnice (EU) 2018/1972, pokud jde o bezpečnostní opatření a oznamování incidentů. Agentura ENISA může rovněž pro poskytovatele veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací vypracovat pokyny týkající se bezpečnostních požadavků a povinností týkajících se oznamování s cílem usnadnit harmonizaci a přechod a minimalizovat narušení. Členské státy mohou úlohu příslušných orgánů pro elektronické komunikace svěřit vnitrostátním regulačním orgánům podle směrnice (EU) 2018/1972 s cílem zajistit pokračování stávajících postupů a využít znalostí a zkušeností získaných v důsledku provádění uvedené směrnice.

(96)

Vzhledem k rostoucímu významu interpersonálních komunikačních služeb nezávislých na číslech ve smyslu směrnice (EU) 2018/1972 je nutné zajistit, aby i tyto služby podléhaly odpovídajícím bezpečnostním požadavkům v souladu s jejich zvláštní povahou a ekonomickým významem. Vzhledem k tomu, že se oblast útoku stále rozrůstá, interpersonální komunikační služby nezávislé na číslech, jako jsou služby zasílání zpráv, se stávají rozšířenými vektory útoků. Útočníci využívají platformy ke komunikaci, při níž se snaží nalákat oběti, aby otevřely napadené internetové stránky, tím se zvyšuje pravděpodobnost incidentů spojených s využíváním osobních údajů, což má pak důsledky pro bezpečnost sítí a informačních systémů. Provozovatelé interpersonálních komunikačních služeb nezávislých na číslech by měli zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Vzhledem k tomu, že poskytovatelé interpersonálních komunikačních služeb nezávislých na číslech obvykle nevykonávají skutečnou kontrolu nad přenosem signálů v sítích, lze míru rizika pro tyto služby v některých ohledech považovat za nižší než v případě tradičních služeb elektronických komunikací. Totéž platí o interpersonálních komunikačních službách podle směrnice (EU) 2018/1972, které využívají čísla a nevykonávají skutečnou kontrolu nad přenosem signálů.

(97)

Vnitřní trh více než kdy předtím spoléhá na fungování internetu. Na službách poskytovaných po internetu jsou závislé služby prakticky všech základních a důležitých subjektů. V zájmu zajištění hladkého poskytování služeb poskytovaných základními a důležitými subjekty je důležité, aby všichni poskytovatelé veřejných sítí elektronických komunikací zavedli vhodná opatření k řízení kybernetických bezpečnostních rizik a oznamovali související významné incidenty. Členské státy by měly zajistit zachování bezpečnosti veřejných sítí elektronických komunikací a ochranu jejich životně důležitých bezpečnostních zájmů před sabotáží a špionáží. Vzhledem k tomu, že mezinárodní propojení posiluje a urychluje konkurenceschopnou digitalizaci Unie a jejího hospodářství, incidenty postihující podmořské komunikační kabely by měly být hlášeny týmu CSIRT nebo případně příslušnému orgánu. Národní strategie kybernetické bezpečnosti by měla v příslušných případech zohledňovat kybernetickou bezpečnost podmořských komunikačních kabelů a zahrnovat mapování potenciálních kybernetických bezpečnostních rizik a zmírňující opatření k zajištění nejvyšší úrovně jejich ochrany.

(98)

V zájmu zajištění bezpečnosti veřejných sítí elektronických komunikací a veřejně dostupných služeb elektronických komunikací by mělo být podporováno používání šifrovacích technologií, zejména šifrování mezi koncovými body, jakož i bezpečnostních koncepcí zaměřených na data, jako jsou kartografie, segmentace, označování, přístupová politika a správa přístupu, a rozhodnutí o automatizovaném přístupu. Je-li to nezbytné, mělo by být používání šifrování, zejména šifrování mezi koncovými body, povinné pro poskytovatele veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací v souladu se zásadami bezpečnosti a soukromí již od návrhu a standardně pro účely této směrnice. Použití šifrování mezi koncovými body by mělo být v souladu s pravomocemi členských států zajistit ochranu podstatných zájmů své bezpečnosti a veřejné bezpečnosti a umožnit prevenci, vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. To by však nemělo oslabit šifrování mezi koncovými body, které je zásadní technologií pro účinnou ochranu údajů a soukromí a bezpečnost komunikací.

(99)

V zájmu zajištění bezpečnosti a zabránění zneužívání a manipulaci s veřejnými sítěmi elektronických komunikací a veřejně dostupnými službami elektronických komunikací je třeba podporovat používání interoperabilních standardů bezpečného směrování, jež zajistí integritu a spolehlivost směrovacích funkcí v celém ekosystému poskytovatelů služeb přístupu k internetu.

(100)

V zájmu zajištění funkčnosti a integrity internetu a podpory bezpečnosti a odolnosti systému jmen domén by měly být příslušné zúčastněné strany, včetně subjektů soukromého sektoru v Unii, poskytovatelů veřejně dostupných služeb elektronických komunikací, zejména poskytovatelů služeb přístupu k internetu, a poskytovatelů internetových vyhledávačů vybízeny k přijetí strategie diverzifikace řešení systému jmen domén. Členské státy by nadto měly podporovat rozvoj a používání veřejné a bezpečné evropské služby resolverů systému jmen domén.

(101)

Tato směrnice stanoví vícefázový přístup k oznamování významných incidentů, tak aby bylo dosaženo správné rovnováhy mezi rychlým oznamováním, které pomáhá snížit potenciální šíření významných incidentů a umožňuje základním a důležitým subjektům žádat o podporu, na jedné straně a podrobným oznamováním, které čerpá cenná poučení z jednotlivých incidentů a s postupem času zvyšuje kybernetickou odolnost jednotlivých subjektů a celých odvětví, na straně druhé. V tomto ohledu by tato směrnice měla zahrnovat oznamování incidentů, které by na základě prvotního posouzení provedeného dotčeným subjektem mohly uvedenému subjektu způsobit závažné provozní narušení služeb nebo finanční ztrátu nebo postihnout jiné fyzické nebo právnické osoby tím, že by jim způsobily značnou hmotnou nebo nehmotnou újmu. Při tomto prvotním posouzení by měly být mimo jiné zohledněny dotčené sítě a informační systémy, a zejména jejich význam při poskytování služeb subjektu, závažnost a technické charakteristiky kybernetické hrozby a veškeré související zranitelnosti, které jsou využívány, jakož i zkušenosti subjektu s podobnými incidenty. Ukazatele, jako jsou rozsah, v jakém je ovlivněno fungování služby, doba trvání incidentu nebo počet dotčených příjemců služeb, by mohly hrát důležitou úlohu při určování toho, zda je provozní narušení služby závažné.

(102)

Pokud se základní nebo důležité subjekty dozvědí o významném incidentu, měly by mít povinnost bez zbytečného odkladu a v každém případě do 24 hodin podat včasné varování. Po tomto včasném varování by mělo následovat oznámení incidentu. Dotčené subjekty by měly oznámení o incidentu podat bez zbytečného odkladu a v každém případě do 72 hodin od okamžiku, kdy se o významném incidentu dozvěděly, zejména s cílem aktualizovat informace předložené prostřednictvím včasného varování a uvést prvotní posouzení významného incidentu, včetně jeho závažnosti a dopadu, jakož i indikátory narušení, jsou-li k dispozici. Nejpozději jeden měsíc po oznámení incidentu by měla být předložena závěrečná zpráva. Včasné varování by mělo zahrnovat pouze informace nezbytné k tomu, aby se tým CSIRT nebo případně příslušný orgán dozvěděly o významném incidentu a aby dotčený subjekt mohl v případě potřeby požádat o pomoc. Toto včasné varování by mělo případně uvádět, zda existuje podezření, že významný incident byl způsoben nezákonným nebo svévolným zásahem, a zda je pravděpodobné, že bude mít přeshraniční dopad. Členské státy by měly zajistit, aby povinnost podat toto včasné varování nebo následné oznámení incidentu neodváděla zdroje oznamujícího subjektu od činností souvisejících s řešením incidentu, které by měly být upřednostněny, aby se zabránilo tomu, že kvůli povinnosti oznamování incidentů dojde buď k odvádění zdrojů z řešení reakce na významný incident, nebo se jinak naruší úsilí subjektů v tomto ohledu. V případě, že v okamžiku, kdy by měla být předložena závěrečná zpráva, incident stále trvá, členské státy zajistí, aby dotčené subjekty v uvedené lhůtě předložily zprávu o pokroku a poté nejpozději jeden měsíc po vyřešení významného incidentu závěrečnou zprávu.

(103)

V příslušných případech by základní a důležité subjekty měly příjemcům svých služeb bez zbytečného odkladu sdělit veškerá opatření nebo nápravná opatření, která mohou přijmout ke zmírnění výsledných rizik vyplývajících z významné kybernetické hrozby. Uvedené subjekty by měly podle potřeby, a zejména, když je pravděpodobné, že se významná kybernetická hrozba naplní, rovněž informovat příjemce své služby o samotné hrozbě. Požadavek na informování těchto příjemců o významných kybernetických hrozbách by se měl splnit s vynaložením maximálního úsilí, ale tyto subjekty by neměl zbavovat povinnosti přijmout na vlastní náklady přiměřená a okamžitá opatření s cílem zamezit těmto hrozbám nebo je odstranit a obnovit běžnou úroveň bezpečnosti služby. Tyto informace o významných kybernetických hrozbách by měly být příjemcům služby poskytovány zdarma a měly by být formulovány ve snadno srozumitelném jazyce.

(104)

Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací by měli zavádět bezpečnostní prvky standardně a záměrně a příjemce svých služeb informovat o významných kybernetických hrozbách a o opatřeních, která mohou přijmout, aby chránili bezpečnost svých zařízení a své komunikace, například použitím specifických druhů softwaru nebo šifrovacích technologií.

(105)

Proaktivní přístup ke kybernetickým hrozbám je zásadní složkou opatření k řízení kybernetických bezpečnostních rizik, jenž by měl příslušným orgánům umožnit účinně předcházet tomu, aby kybernetické hrozby přerostly do incidentů, jež mohou způsobit značnou hmotnou či nehmotnou újmu. Za tímto účelem má ohlašování kybernetických hrozeb klíčový význam. S tímto záměrem jsou subjekty motivovány k dobrovolnému podávání zpráv o kybernetických hrozbách.

(106)

Aby se zjednodušilo oznamování informací požadovaných podle této směrnice a snížila administrativní zátěž subjektů, měly by členské státy pro předkládání relevantních informací, jež se mají oznamovat, poskytnout technické prostředky, jako jsou jednotné kontaktní místo, automatizované systémy, on-line formuláře, uživatelsky přívětivá rozhraní, šablony a specializované platformy pro využívání ze strany subjektů bez ohledu na to, zda se na ně tato směrnice vztahuje. Finanční prostředky Unie na podporu provádění této směrnice, zejména v rámci programu Digitální Evropa zavedeného nařízením Evropského parlamentu a Rady (EU) 2021/694 (21), by mohly zahrnovat podporu pro jednotná kontaktní místa. Subjekty jsou navíc často v situaci, kdy je konkrétní incident vzhledem k jeho povaze třeba v důsledku oznamovacích povinností uvedených v různých právních nástrojích ohlásit různým orgánům. Takové případy vytvářejí další administrativní zátěž a mohou také vést k nejasnostem, pokud jde o formát a postupy takových oznámení. Je-li zřízeno jednotné kontaktní místo, členské státy se rovněž vybízejí, aby toto jednotné kontaktní místo používaly pro oznamování bezpečnostních incidentů požadovaných podle jiných právních předpisů Unie, jako je nařízení (EU) 2016/679 a směrnice 2002/58/ES. Používáním tohoto jednotného kontaktního místa pro oznamování bezpečnostních incidentů podle nařízení (EU) 2016/679 a směrnice 2002/58/ES by nemělo být dotčeno uplatňování ustanovení nařízení (EU) 2016/679 a směrnice 2002/58/ES, zejména těch, která se týkají nezávislosti orgánů v nich uvedených. Agentura ENISA ve spolupráci se skupinou pro spolupráci vypracuje a neustále zdokonaluje společné šablony oznamování prostřednictvím pokynů, které zjednoduší a zefektivní informace, jež mají být oznamovány podle právních předpisů Unie, a sníží administrativní zátěž pro oznamující subjekty.

(107)

Existuje-li podezření, že určitý incident souvisí se závažnou trestnou činností podle unijního nebo vnitrostátního práva, měly by členské státy motivovat základní a důležité subjekty, aby na základě platných pravidel trestního řízení v souladu s právem Unie donucovacím orgánům z vlastního podnětu oznamovaly incidenty, v jejichž souvislosti existuje podezření o spáchání závažné trestné činnosti. V případě potřeby, a aniž jsou dotčena pravidla ochrany osobních údajů platná pro Europol, je žádoucí, aby koordinaci mezi příslušnými orgány a donucovacími orgány v různých členských státech usnadnily Evropské centrum pro boj proti kyberkriminalitě (EC3) a agentura ENISA.

(108)

V důsledku incidentů je v mnoha případech ohrožena ochrana osobních údajů. V této souvislosti by příslušné orgány měly spolupracovat a vyměňovat si informace o všech relevantních záležitostech s orgány uvedenými v nařízení (EU) 2016/679 a směrnici 2002/58/ES.

(109)

Udržování přesných a úplných databází registračních údajů jmen domén (údajů WHOIS) a poskytování zákonného přístupu k těmto údajům má zásadní význam pro zajištění bezpečnosti, stability a odolnosti systému jmen domén, což na druhé straně přispívá k vyšší společné úrovni kybernetické bezpečnosti v celé Unii. Za tímto konkrétním účelem by registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén měly být povinny zpracovávat určité údaje nezbytné k dosažení tohoto účelu. Takové zpracování by mělo představovat právní povinnost ve smyslu čl. 6 odst. 1 písm. c) nařízení (EU) 2016/679. Touto povinností není dotčena možnost shromažďovat údaje o registraci jmen domén pro jiné účely, například na základě smluvních ujednání nebo právních požadavků stanovených v jiných unijních nebo vnitrostátních právních předpisech. Cílem této povinnosti je dosáhnout úplnosti a přesnosti souboru registračních údajů a neměla by vést k vícenásobnému shromažďování stejných údajů. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén by měly vzájemně spolupracovat, aby se zabránilo zdvojování tohoto úkolu.

(110)

Dostupnost údajů o registraci jmen domén pro oprávněné žadatele o přístup a včasný přístup k uvedeným údajům má zásadní význam pro prevenci zneužívání systému překladu jmen domén a boj proti němu a pro prevenci a odhalování incidentů a reakci na ně. Oprávněnými žadateli o přístup se mají rozumět jakákoli fyzická nebo právnická osoba, která podává žádost podle unijního nebo vnitrostátního práva. Mezi tyto orgány mohou náležet orgány příslušné podle této směrnice a orgány, které jsou podle unijního nebo vnitrostátního práva příslušné pro prevenci, vyšetřování, odhalování či stíhání trestných činů, a skupiny CERT nebo týmy CSIRT. Registry jmen domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén by měly mít povinnost umožnit oprávněným žadatelům o přístup zákonný přístup ke konkrétním údajům o registraci jmen domén, které jsou nezbytné pro účely žádosti o přístup, v souladu s právem Unie a vnitrostátním právem. K žádosti oprávněných žadatelů o přístup by mělo být přiloženo odůvodnění umožňující posoudit nezbytnost přístupu k údajům.

(111)

S cílem zajistit dostupnost přesných a úplných údajů o registraci jmen domén by registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén měly shromažďovat údaje o registraci jmen domén a zaručovat integritu a dostupnost těchto údajů. Registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén by zejména měly stanovit politiky a postupy pro shromažďování a uchovávání přesných a úplných registračních údajů doménového jména a rovněž zamezit uvádění nesprávných registračních údajů a opravovat je v souladu s právem Unie v oblasti ochrany údajů. Tyto politiky a postupy by měly v co největší míře zohledňovat normy vypracované řídícími strukturami s mnoha zúčastněnými stranami na mezinárodní úrovni. Registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén by měly přijmout a zavést přiměřené postupy pro ověřování údajů souvisejících s registrací jmen domén. Tyto postupy by měly odrážet osvědčené postupy používané v daném odvětví a pokud možno pokrok dosažený v oblasti elektronické identifikace. Mezi příklady ověřovacích postupů mohou patřit kontroly ex ante prováděné v době registrace a kontroly ex post prováděné po registraci. Registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén by měly zejména ověřit alespoň jeden způsob kontaktu žadatele o registraci.

(112)

Registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén by měly mít v souladu s body odůvodnění nařízení (EU) 2016/679 povinnost zveřejňovat takové údaje o registraci jmen domén, na které se nevztahuje oblast působnosti práva Unie v oblasti ochrany údajů, jako jsou údaje týkající se právnických osob. V případě právnických osob by registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén měly zveřejnit alespoň název žadatele o registraci a jeho kontaktní telefonní číslo. Kontaktní e-mailová adresa by měla být rovněž zveřejněna za předpokladu, že neobsahuje žádné osobní údaje, jako je tomu v případě používání e-mailových přezdívek nebo funkčních účtů. Registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén by také měly v souladu s právem Unie v oblasti ochrany údajů umožnit oprávněným žadatelům o přístup zákonný přístup ke konkrétním údajům o registraci domén týkajícím se fyzických osob. Členské státy by měly požadovat, aby registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén reagovaly bez zbytečného odkladu na žádosti o zveřejnění údajů o registraci jmen domén oprávněných žadatelů o přístup. Registry domén nejvyšší úrovně a subjekty poskytující služby registrace jmen domén by měly stanovit postupy a procesy pro zveřejňování a zpřístupnění registračních údajů, včetně dohod o úrovni služeb k vyřizování žádostí o přístup od oprávněných žadatelů o přístup. Tyto politiky a postupy by měly v co největší míře zohledňovat veškeré pokyny a normy vypracované správními strukturami mnoha zúčastněných stran na mezinárodní úrovni. Postup poskytování přístupu by mohl také obsahovat užívání rozhraní, portálu nebo jiných technických nástrojů k zajištění účinného systému žádostí o registrační údaje a přístupu k těmto údajům S cílem podpořit harmonizované postupy na celém vnitřním trhu může Komise, aniž jsou dotčeny pravomoci Evropské rady pro ochranu údajů, poskytnout pokyny týkající se těchto postupů, které pokud možno zohlední normy vypracované správními strukturami mnoha zúčastněných stran na mezinárodní úrovni. Členské státy by měly zajistit, aby všechny druhy přístupu k osobním i neosobním údajům o registraci jmen domén byly bezplatné.

(113)

Subjekty spadající do oblasti působnosti této směrnice by měly být považovány za subjekty podléhající pravomoci členského státu, v němž jsou usazeny. Avšak u poskytovatelů veřejných sítí elektronických komunikací nebo poskytovatelů veřejně dostupných služeb elektronických komunikací by se mělo mít za to, že podléhají pravomoci členského státu, v němž poskytují své služby. Provozovatelé DNS, registry domén nejvyšší úrovně, subjekty poskytující služby registrace jmen domén, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé řízených služeb, poskytovatelé řízených bezpečnostních služeb, poskytovatelé on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí by se měli považovat za spadající pod pravomoc členského státu, ve kterém mají hlavní provozovnu v Unii. Subjekty veřejné správy by měly spadat do pravomoci členského státu, který je zřídil. Poskytuje-li subjekt služby nebo je usazen ve více než jednom členském státě, měl by podléhat samostatné a souběžné pravomoci každého z těchto členských států. Příslušné orgány těchto členských států by měly spolupracovat, poskytovat si navzájem pomoc a v případě potřeby provádět společné akce v oblasti dohledu. Pokud členské státy vykonávají pravomoc, neměly by za stejné jednání ukládat donucující opatření ani sankce více než jednou v souladu se zásadou zákazu dvojího trestání.

(114)

S cílem zohlednit přeshraniční povahu služeb a činností provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených bezpečnostních služeb, poskytovatelů internetových tržišť, internetových vyhledávačů a služeb platforem sociálních sítí by měl mít pravomoc nad těmito subjekty pouze jeden členský stát. Pravomoc by měl mít ten členský stát, v němž má dotčený subjekt v rámci Unie hlavní provozovnu. Kritérium provozovny pro účely této směrnice předpokládá účinný výkon činnosti prostřednictvím stálých struktur. Právní forma takových struktur, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem. To, zda je toto kritérium splněno, by nemělo záviset na tom, zda se sítě a informační systémy fyzicky nacházejí na daném místě; sama přítomnost a samotné používání takových sítí a systémů nejsou podstatou hlavní provozovny, a tudíž ani nejsou rozhodujícími kritérii pro její určení. Mělo by se mít za to, že hlavní provozovna se nachází v členském státě, kde jsou v Unii převážně přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. To bude obvykle odpovídat místu, kde se nachází ústřední správa subjektu v Unii. Nelze-li takový členský stát určit nebo nejsou-li tato rozhodnutí přijímána v Unii, mělo by se mít se za to, že hlavní provozovna je v členském státě, v němž jsou prováděny operace v oblasti kybernetické bezpečnosti. Nelze-li takový členský stát určit, mělo by se mít za to, že hlavní provozovna se nachází v členském státě, v němž má subjekt provozovnu s nejvyšším počtem zaměstnanců v Unii. Pokud jsou služby prováděny skupinou podniků, měla by se za hlavní provozovnu skupiny podniků považovat hlavní provozovna řídícího podniku.

(115)

Pokud je veřejně přístupná rekurzivní služba systému pro překlad jmen domén poskytována poskytovatelem veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací pouze jako součást služby přístupu k internetu, měl by být daný subjekt považován za subjekt spadající do pravomoci všech členských států, v nichž jsou jeho služby poskytovány.

(116)

Pokud provozovatel DNS, registr domén nejvyšší úrovně, subjekt poskytující služby registrace jmen domén, poskytovatel služeb cloud computingu, poskytovatel služeb datového centra, poskytovatel sítě pro doručování obsahu, poskytovatel řízených služeb, poskytovatel řízených bezpečnostních služeb, poskytovatel on-line tržišť, poskytovatel internetových vyhledávačů, nebo poskytovatel služeb platforem sociálních sítí, který není usazen v Unii, nabízí služby v Unii, měl by určit svého zástupce v Unii. Aby bylo možno určit, zda takový subjekt nabízí služby v rámci Unie, mělo by být ověřeno, zda má tento subjekt v úmyslu nabízet služby osobám v jednom nebo více členských státech. Pouhá dostupnost internetových stránek subjektu nebo jeho zprostředkovatele v Unii nebo dostupnost e-mailové adresy nebo dalších kontaktních údajů nebo používání jazyka obecně používaného ve třetí zemi, v níž je subjekt usazen, by k ověření tohoto úmyslu postačovat neměla. Avšak faktory jako používání jazyka nebo měny obecně používaných v jednom nebo více členských státech, spolu s možností objednat služby v tomto jazyce, nebo zmínka o zákaznících či uživatelích nacházejících se v Unii by mohly být zjevným dokladem o tom, že subjekt má v úmyslu nabízet služby v rámci Unie. Zástupce by měl jednat jménem subjektu a příslušné orgány nebo týmy CSIRT by měly mít možnost se na něj obrátit. Zástupce by měl být výslovně písemně pověřen subjektem, aby mohl jednat jeho jménem v otázkách jeho povinností stanovených v této směrnici, včetně oznamování incidentů.

(117)

Aby byl zajištěn jasný přehled provozovatelů DNS, registrů domén nejvyšší úrovně, subjektů poskytujících služby registrace jmen domén, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center, poskytovatelů sítí pro doručování obsahu, poskytovatelů řízených služeb, poskytovatelů řízených bezpečnostních služeb, poskytovatelů on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí, které poskytují služby v celé Unii spadající do oblasti působnosti této směrnice, měla by agentura ENISA vytvořit a vést registr těchto subjektů na základě informací, jež obdrží členské státy, případně prostřednictvím vnitrostátních mechanismů zřízených k tomu, aby se subjekty registrovaly samy. Jednotná kontaktní místa by měla předávat agentuře ENISA tyto informace a jejich veškeré změny. V zájmu zajištění přesnosti a úplnosti informací, které by měly být v tomto registru zahrnuty, by členské státy měly agentuře ENISA předložit informace o těchto subjektech, jež mají k dispozici ve svých vnitrostátních registrech. Agentura ENISA a členské státy by měly přijmout opatření s cílem usnadnit interoperabilitu těchto registrů a současně zajistit ochranu důvěrných nebo utajovaných informací. Agentura ENISA by měla zavést vhodné protokoly pro klasifikaci informací a řízení rizik s cílem zajistit bezpečnost a důvěrnost zpřístupněných informací, přičemž přístup k těmto informacím, jejich uchovávání a přenos by měla omezit na zamýšlené uživatele.

(118)

Pokud jsou podle této směrnice vyměňovány, oznamovány nebo jinak sdíleny informace, které jsou v souladu s unijním nebo vnitrostátním právem v utajovaném režimu, měla by se použít odpovídající pravidla o nakládání s utajovanými informacemi. Kromě toho by agentura ENISA měla mít infrastrukturu a zavedené postupy a pravidla pro nakládání s citlivými a utajovanými informacemi v souladu s platnými bezpečnostními předpisy na ochranu utajovaných informací EU.

(119)

S tím, jak se kybernetické hrozby stávají stále složitějšími a sofistikovanějšími, účinná opatření v oblasti odhalování těchto hrozeb a jejich prevence závisejí do značné míry na pravidelném sdílení zpravodajských informací o hrozbách a zranitelnosti mezi subjekty. Sdílení informací přispívá k lepšímu povědomí o kybernetických hrozbách, což následně posiluje schopnost subjektů předcházet tomu, že tyto hrozby přerostou v incidenty, a umožňuje subjektům lépe zachycovat dopady incidentů a efektivněji se zotavovat. Jelikož na úrovni Unie příslušné pokyny neexistují, takovému sdílení zpravodajských informací, zdá se, brání různé faktory, zejména nejistota ohledně slučitelnosti s pravidly hospodářské soutěže a pravidly odpovědnosti.

(120)

Členské státy by měly subjekty motivovat a pomáhat jim k tomu, aby společně využívaly svých individuálních znalostí a praktických zkušeností na strategické, taktické a operativní úrovni s cílem zlepšit své schopnosti předcházet incidentům, odhalovat je, reagovat na ně, zotavovat se z nich nebo zmírňovat jejich dopad. Je proto nezbytné umožnit na úrovni Unie vznik dobrovolných ujednání o sdílení informací o kybernetické bezpečnosti. Členské státy by za tímto účelem měly aktivně podporovat a motivovat subjekty, jako jsou subjekty zaměřené na poskytování služeb a výzkumu v oblasti kybernetické bezpečnosti, a relevantní subjekty, jež nespadají do oblasti působnosti této směrnice, aby se účastnily takovýchto opatření ujednání o sdílení informací o kybernetické bezpečnosti. Tato ujednání by měla být zavedena v souladu s pravidly Unie v oblasti hospodářské soutěže a právními předpisy Unie v oblasti ochrany údajů.

(121)

Zpracování osobních údajů v rozsahu nutném a přiměřeném pro zajištění bezpečnosti sítí a informačních systémů ze strany základních a důležitých subjektů by mohlo být považováno za zákonné na základě toho, že takové zpracování splňuje právní povinnost, která se vztahuje na správce, v souladu s požadavky čl. 6 odst. 1 písm. c) a čl. 6 odst. 3 nařízení (EU) 2016/679. Zpracování osobních údajů by mohlo být rovněž nezbytné pro oprávněné zájmy základních a důležitých subjektů, jakož i poskytovatelů bezpečnostních technologií a služeb jednajících jménem těchto subjektů podle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679, včetně případů, kdy je takové zpracování nezbytné pro ujednání o sdílení informací o kybernetické bezpečnosti nebo dobrovolné oznamování příslušných informací v souladu s touto směrnicí. Opatření týkající se prevence, odhalování, identifikace, zamezení šíření, analýzy incidentů a reakce na incidenty, opatření ke zvyšování povědomí o konkrétních kybernetických hrozbách, výměny informací v rámci nápravy zranitelností a jejich koordinovaného zveřejňování, a také dobrovolné výměny informací o těchto incidentech, kybernetických hrozbách a zranitelnostech, indikátorech narušení, taktice, technikách a postupech, varováních v oblasti kybernetické bezpečnosti a konfiguračních nástrojích by mohla vyžadovat zpracovávání určitých kategorií osobních údajů, například IP adres, jednotných adres zdroje (URL), jmen domén, e-mailových adres a, odhalují-li osobní údaje, časových razítek. Zpracování osobních údajů příslušnými orgány, jednotnými kontaktními místy a týmy CSIRT by mohlo představovat právní povinnost nebo by mohlo být považováno za nezbytné pro plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce údajů podle čl. 6 odst. 1 písm. c) nebo e) a čl. 6 odst. 3 nařízení (EU) 2016/679, nebo pro sledování oprávněného zájmu základních a důležitých subjektů, jak je uvedeno v čl. 6 odst. 1 písm. f) uvedeného nařízení.. Kromě toho by vnitrostátní právo mohlo stanovit pravidla, která příslušným orgánům, jednotným kontaktním místům a týmům CSIRT v rozsahu, který je nezbytný a přiměřený pro účely zajištění bezpečnosti sítí a informačních systémů základních a důležitých subjektů, umožní zpracovávat zvláštní kategorie osobních údajů v souladu s článkem 9 nařízení (EU) 2016/679, zejména stanovením vhodných a konkrétních opatření na ochranu základních práv a zájmů fyzických osob, včetně technických omezení opakovaného použití těchto údajů a používání nejmodernějších bezpečnostních opatření a opatření na ochranu soukromí, jako je pseudonymizace nebo šifrování, pokud může anonymizace mít významný vliv na sledovaný účel.

(122)

S cílem posílit pravomoci a opatření v oblasti dohledu, které pomáhají zajistit účinný soulad s předpisy, by tato směrnice měla stanovit minimální seznam opatření a prostředků dohledu, jejichž prostřednictvím mohou příslušné orgány uskutečňovat dohled nad základními a důležitými subjekty. Tato směrnice by kromě toho měla zavést rozlišení režimů dohledu mezi základními a důležitými subjekty s cílem zajistit spravedlivou rovnováhu povinností těchto subjektů a povinností příslušných orgánů. Základní subjekty by tak měly podléhat komplexnímu režimu dohledu ex ante a ex post, zatímco důležité subjekty by měly podléhat mírnému režimu dohledu pouze ex post. Důležité subjekty by tedy neměly mít povinnost systematicky dokumentovat soulad s opatřeními k řízení kybernetických bezpečnostních rizik, zatímco příslušné orgány by měly provádět reaktivní ex post přístup k dohledu a neměly by tedy mít obecnou povinnost dohlížet na tyto subjekty. Dohled ex post nad důležitými subjekty může být zahájen na základě důkazů, indicií či informací, které byly příslušným orgánům oznámeny a o nichž mají tyto orgány za to, že nasvědčují možnému porušení této směrnice. Mohlo by se například jednat o takový druh důkazů, indicií nebo informací, jaký příslušným orgánům poskytují jiné orgány, subjekty, občané, sdělovací prostředky nebo jiné zdroje, nebo by se mohlo jednat o veřejně dostupné informace či o důkazy, indicie nebo informace, které by mohly vyplynout z jiných činností prováděných příslušnými orgány při plnění jejich úkolů.

(123)

Provádění dohledu příslušnými orgány by nemělo zbytečně omezovat obchodní činnost dotčeného subjektu. Pokud příslušné orgány vykonávají úkoly v oblasti dohledu ve vztahu k základním subjektům, včetně kontrol na místě a externího dohledu, vyšetřování porušení této směrnice, a provádějí bezpečnostní audity nebo bezpečnostní prověrky, měly by minimalizovat dopad na obchodní činnosti dotčeného subjektu.

(124)

Pokud jde o výkon dohledu ex ante, příslušné orgány by měly mít možnost rozhodnout o stanovení priorit při přiměřeném použití opatření a prostředků dohledu, jež mají k dispozici. To znamená, že příslušné orgány mohou o tomto stanovení priorit rozhodnout na základě metodik dohledu, které by se měly řídit přístupem založeným na posouzení rizik. Konkrétně by tyto metodiky mohly zahrnovat kritéria nebo referenční hodnoty pro zařazení základních subjektů do kategorií podle rizika a odpovídající opatření a prostředky dohledu doporučené pro jednotlivé kategorie podle rizika, jako jsou využití, četnost nebo druhy kontrol na místě, cílené bezpečnostní audity či bezpečnostní prověrky, druhy informací, jež mají být vyžadovány, a míra podrobnosti těchto informací. Tyto metodiky dohledu by mohly být rovněž doplněny o pracovní programy a pravidelně posuzovány a přezkoumávány, a to i pokud jde o aspekty, jako jsou přidělování zdrojů a potřeby v této oblasti. Pokud jde o subjekty veřejné správy, měly by být pravomoci dohledu vykonávány v souladu s vnitrostátními právními předpisy a institucionálními rámci.

(125)

Příslušné orgány by měly zajistit, aby jejich úkoly v oblasti dohledu nad základními a důležitými subjekty vykonávali vyškolení odborníci, kteří by měli mít nezbytné dovednosti k plnění těchto úkolů, zejména pro provádění kontrol na místě a externího dohledu, včetně zjišťování nedostatků v databázích, hardwaru, firewallech, šifrování a sítích. Tyto kontroly a tento dohled by měly být prováděny objektivně.

(126)

V řádně odůvodněných případech, kdy si je příslušný orgán vědom podstatné kybernetické hrozby nebo bezprostředního rizika, měl by mít možnost okamžitě přijmout rozhodnutí o výkonu opatření, aby předešel incidentu nebo na něj reagoval.

(127)

K zajištění účinného vymáhání by měl být stanoven minimální seznam pravomocí v oblasti vymáhání, jež lze uplatnit v případě porušení opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností, jež stanoví tato směrnice, čímž se vytvoří jasný a jednotný rámec pro takové vymáhání v celé Unii. Náležitá pozornost by měla být věnována povaze, závažnosti a době trvání porušení této směrnice, způsobené hmotné či nehmotné újmě, úmyslné nebo nedbalostní povaze porušení, opatřením přijatým za účelem zamezení nebo zmenšení způsobené hmotné či nehmotné újmy, míře odpovědnosti nebo jakémukoli relevantnímu porušení v minulosti, míře spolupráce s příslušným orgánem a jakýmkoli jiným přitěžujícím nebo polehčujícím okolnostem. Opatření v oblasti vymáhání, včetně správních pokut, by měla být přiměřená a jejich uložení by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv Evropské unie (dále jen „Listina“), včetně práva na účinnou nápravu a spravedlivý proces, presumpce neviny a práva na obhajobu.

(128)

Tato směrnice nevyžaduje, aby členské státy stanovily trestní nebo občanskoprávní odpovědnost fyzických osob, které nesou odpovědnost za zajištění dodržování této směrnice subjektem v souvislosti s újmou, kterou utrpěly třetí strany v důsledku porušení této směrnice.

(129)

S cílem zajistit účinné prosazování povinností stanovených v této směrnici by každý příslušný orgán měl mít pravomoc ukládat správní pokuty nebo požadovat uložení správních pokut.

(130)

Pro účely uložení správní pokuty základnímu nebo důležitému subjektu, který je podnikem, by měl být podnik chápán ve smyslu článků 101 a 102 Smlouvy o fungování EU. Je-li správní pokuta uložena osobě, která není podnikem, měl by příslušný orgán při rozhodování o odpovídající výši pokuty zohlednit obecnou úroveň příjmů v daném členském státě, jakož i ekonomickou situaci dané osoby. Mělo by být ponecháno na členských státech, aby určily, zda a v jaké míře by měly správním pokutám podléhat orgány veřejné správy. Uložením správní pokuty není dotčeno uplatnění jiných pravomocí příslušných orgánů nebo jiných sankcí stanovených ve vnitrostátních pravidlech provádějících tuto směrnici.

(131)

Členským státům by mělo být umožněno, aby stanovily pravidla týkající se trestních sankcí za porušení vnitrostátních pravidel provádějících tuto směrnici. Uložení trestních sankcí za porušení těchto vnitrostátních pravidel a souvisejících správních sankcí by však nemělo vést k porušení zásady ne bis in idem, jak ji vykládá Soudní dvůr Evropské unie.

(132)

Nejsou-li správní sankce harmonizovány touto směrnicí nebo v případě potřeby v jiných případech, jako při závažném porušení této směrnice, měly by členské státy zavést systém, který zajistí uložení účinných, přiměřených a odrazujících sankcí. Povaha těchto sankcí a skutečnost, zda se jedná o trestní nebo správní sankce, by měla být stanovena vnitrostátním právem.

(133)

Aby se dále posílila účinnost a odrazující účinek opatření v oblasti vymáhání, jež jsou uplatňována v případě porušení této směrnice, měly by být příslušné orgány oprávněny dočasně pozastavit certifikace nebo povolení týkající se části nebo všech relevantních služeb, jež poskytuje základní subjekt, nebo činností, jež vykonává, nebo požádat o jejich dočasné pozastavení, a požadovat uložení dočasného zákazu výkonu řídicích funkcí jakékoliv fyzické osobě, která má odpovědnost za výkon řídicích funkcí na úrovni výkonného ředitele nebo zákonného zástupce. Vzhledem k jejich závažnosti a dopadu na činnost subjektů a v konečném důsledku na uživatele by tato dočasná pozastavení nebo tyto zákazy měly být uplatňovány pouze úměrně závažnosti porušení a s ohledem na okolnosti každého jednotlivého případu, včetně úmyslné nebo nedbalostní povahy porušení, a úměrně k jakýmkoli opatřením přijatým k zamezení nebo zmírnění způsobené hmotné či nehmotné újmy. Tato dočasná pozastavení nebo tyto dočasné zákazy by se měly používat jen jako krajní prostředek, což znamená pouze po vyčerpání ostatních relevantních donucovacích opatření, jež stanoví tato směrnice, a pouze do té doby, než dotčený subjekt přijme nezbytná opatření k nápravě nedostatků nebo k dosažení souladu s požadavky příslušného orgánu, kvůli kterým byla uložena tato dočasná pozastavení nebo tyto dočasné zákazy. Uložení takových dočasných pozastavení nebo zákazů by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listinou, včetně práva na účinnou nápravu a na spravedlivý proces, presumpce neviny a práva na obhajobu.

(134)

Za účelem zajištění toho, že subjekty budou plnit své povinnosti stanovené v této směrnici, by členské státy měly spolupracovat a měly by si být vzájemně nápomocny, pokud jde o opatření v oblasti dohledu a vymáhání, zejména pokud některý subjekt poskytuje služby ve více než jednom členském státě nebo pokud se jeho sítě a informační systémy nacházejí v jiném členském státě, než ve kterém poskytuje služby. Při poskytování pomoci by dožádaný příslušný orgán měl přijmout opatření v oblasti dohledu a vymáhání v souladu s vnitrostátním právem. V zájmu zajištění hladkého fungování vzájemné pomoci podle této směrnice by měly příslušné orgány využívat skupinu pro spolupráci jako fórum pro projednávání případů a konkrétních žádostí o pomoc.

(135)

V zájmu zajištění účinného dohledu a vymáhání, zejména v situaci s přeshraničním rozměrem, by členský stát, který obdržel žádost o vzájemnou pomoc, měl v rozsahu dané žádosti přijmout vhodná opatření v oblasti dohledu a vymáhání ve vztahu k subjektu, jehož se uvedená žádost týká a který na území takového členského státu poskytuje služby nebo má na jeho území svou síť a informační systém.

(136)

Tato směrnice by měla stanovit pravidla spolupráce mezi příslušnými orgány a dozorovými úřady na základě nařízení (EU) 2016/679 pro řešení případů porušení této směrnice souvisejících s osobními údaji.

(137)

Cílem této směrnice by mělo být zajistit vysokou míru odpovědnosti za opatření k řízení kybernetických bezpečnostních rizik a v oblasti oznamovacích povinností na úrovni základních a důležitých subjektů. Řídící orgány základních a důležitých subjektů by proto měly schválit opatření k řízení kybernetických bezpečnostních rizik a dohlížet na jejich provádění.

(138)

Za účelem zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Unii na základě této směrnice by Komisi měla být svěřena pravomoc přijmout akty v souladu s článkem 290 Smlouvy o fungování EU, pokud jde o doplnění této směrnice upřesněním kategorií základních a důležitých subjektů, které mají být povinny používat určité certifikované produkty IKT, služby IKT a procesy IKT nebo získat osvědčení podle některého evropského systému certifikace kybernetické bezpečnosti. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (22). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na setkání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(139)

Za účelem zajištění jednotných podmínek k provedení této směrnice by Komisi měly být svěřeny prováděcí pravomoci ke stanovení procesních opatření nezbytných pro fungování skupiny pro spolupráci a technických a metodických, jakož i odvětvových požadavků týkajících se opatření k řízení kybernetických bezpečnostních rizik, a k dalšímu upřesnění druhu informací, formátu a postupu oznamování incidentů, kybernetických hrozeb a významných událostí, a upřesnění komunikace o významných kybernetických hrozbách, jakož i případů, kdy je třeba považovat incident za významný. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (23).

(140)

Komise by měla provádět pravidelný přezkum této směrnice po konzultaci se zúčastněnými stranami, zejména pokud jde o rozhodnutí, zda je vhodné navrhnout změny s ohledem na měnící se společenské, politické, technologické nebo tržní podmínky. V rámci přezkumů by Komise měla posoudit, jaký význam mají velikost dotčených subjektů a odvětví, pododvětví a druhy subjektu uvedené v přílohách této směrnice pro fungování hospodářství a společnosti v souvislosti s kybernetickou bezpečností. Komise by měla mimo jiné posoudit, zda by poskytovatelé, na které se vztahuje oblast působnosti této směrnice a již jsou označeni jakožto velmi velké on-line platformy ve smyslu článku 33 nařízení Evropského parlamentu a Rady (EU) 2022/2065 (24), mohli být podle této směrnice označeni za základní subjekty.

(141)

Tato směrnice vytváří nové úkoly pro agenturu ENISA, čímž posiluje její úlohu, a může vést rovněž k požadavku, aby agentura ENISA plnila své stávající úkoly, které jí nyní stanoví nařízení (EU) 2019/881, na vyšší úrovni než dříve. S cílem zajistit, aby agentura ENISA měla potřebné finanční a lidské zdroje pro stávající a nové úkoly a aby splňovala veškeré vyšší úrovně plnění těchto úkolů vyplývající z její posílené úlohy, by měl být odpovídajícím způsobem navýšen její rozpočet. V zájmu zajištění účinného využívání zdrojů by navíc měla být agentuře ENISA poskytnuta větší flexibilita tak, aby mohla interně přidělovat zdroje za účelem účinného vykonávání svých úkolů a plnění očekávání.

(142)

Jelikož cíle této směrnice, totiž dosažení vysoké společné úrovně kybernetické bezpečnosti v celé Unii, nemůže být dosaženo uspokojivě členskými státy, ale spíše jej z důvodu účinků této směrnice může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení tohoto cíle.

(143)

Tato směrnice dodržuje základní práva a ctí zásady uznané Listinou, zejména právo na respektování soukromého života a komunikace, právo na ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces, presumpci neviny a právo na obhajobu. Právo na účinnou právní ochranu se vztahuje i na příjemce služeb poskytovaných základními a důležitými subjekty. Tato směrnice by měla být prováděna v souladu s těmito právy a zásadami.

(144)

V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (25) byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 11. března 2021 (26),