14.9.2023 |
DA |
Den Europæiske Unions Tidende |
C 324/2 |
MEDDELELSE FRA KOMMISSIONEN
Kommissionens retningslinjer for anvendelsen af artikel 3, stk. 4, i direktiv (EU) 2022/2555 (NIS 2-direktivet)
(2023/C 324/02)
1.
I henhold til artikel 3, stk. 4, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet) (1) skal Kommissionen med bistand fra Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) uden unødigt ophold fastlægge retningslinjer og skabeloner vedrørende de forpligtelser, der er fastsat i nævnte bestemmelse. Artikel 3, stk. 4, i direktiv (EU) 2022/2555 henviser til artikel 3, stk. 3, i nævnte direktiv, som pålægger medlemsstaterne at udarbejde en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, senest den 17. april 2025. Medlemsstaterne reviderer og, hvor det er relevant, ajourfører derefter listen med jævne mellemrum, mindst hvert andet år.
2.
Med henblik på at opstille listen over væsentlige og vigtige enheder bør medlemsstaterne kræve, at enhederne som minimum indsender følgende oplysninger til de kompetente myndigheder: navn, adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på enheden og, hvor det er relevant, den relevante sektor og delsektor, der er omhandlet i bilagene, samt, hvor det er relevant, en liste over de medlemsstater, hvor de leverer tjenesteydelser, der er omfattet af direktivets anvendelsesområde. Bilag I til disse retningslinjer indeholder en skabelon til indsamling af disse oplysninger med henblik på udarbejdelse af listen.
3.
For at lette oprettelsen og ajourføringen af listen over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, fastsættes det i artikel 3, stk. 4, i direktiv (EU) 2022/2555, at medlemsstaterne bør kunne oprette nationale mekanismer, så enheder kan registrere sig selv (2).
4.
I henhold til artikel 3, stk. 5, i direktiv (EU) 2022/2555 skal medlemsstaterne senest den 17. april 2025 og derefter hvert andet år som minimum underrette Kommissionen og samarbejdsgruppen om antallet af væsentlige og vigtige enheder, der er anført i henhold til artikel 3, stk. 3, i nævnte direktiv, for hver sektor og delsektor, der er omhandlet i direktivets bilag I og II. Medlemsstaterne skal også meddele Kommissionen relevante oplysninger om antallet af væsentlige og vigtige enheder, der er identificeret i henhold til artikel 2, stk. 2, litra b)-e), i direktiv (EU) 2022/2555, den sektor og delsektor, som de tilhører, den type tjeneste, de leverer, og den levering, i henhold til hvilken de blev identificeret. I betragtning 19 i præamblen til direktiv (EU) 2022/2555 forklares det, at medlemsstaterne opfordres til at udveksle oplysninger med Kommissionen om væsentlige og vigtige enheder og, i tilfælde af en omfattende cybersikkerhedshændelse, relevante oplysninger såsom navnet på den berørte enhed.
5.
Ud over den liste, som medlemsstaterne har opstillet i henhold til artikel 3, stk. 3, i direktiv (EU) 2022/2555, bør medlemsstaterne i overensstemmelse med artikel 27, stk. 2, i nævnte direktiv også kræve, at visse typer enheder som omhandlet i direktivets artikel 27, stk. 1, indsender følgende oplysninger til de kompetente myndigheder senest den 17. januar 2025: enhedens navn, den relevante sektor, delsektor og type enhed som omhandlet i bilag I eller II til direktivet, hvis det er relevant, adressen på enhedens hovedvirksomhed og dens andre retlige virksomheder i Unionen eller, hvis den ikke er etableret i Unionen, på dens repræsentant, der er udpeget i henhold til direktivets artikel 26, stk. 3, ajourførte kontaktoplysninger, herunder e-mailadresser og telefonnumre på enheden og, hvis det er relevant, dens repræsentant udpeget i henhold til direktivets artikel 26, stk. 3, de medlemsstater, hvor enheden leverer tjenester og virksomhedens IP-intervaller. I henhold til artikel 27, stk. 3, i direktiv (EU) 2022/2555 pålægger medlemsstaterne de enheder, der er omhandlet i direktivets artikel 27, stk. 1, straks og under alle omstændigheder senest tre måneder efter datoen for ændringen at underrette den kompetente myndighed om eventuelle ændringer i de oplysninger, de har indgivet i henhold til direktivets artikel 27, stk. 2.
6.
I henhold til artikel 27, stk. 5, i direktiv (EU) 2022/2555 skal de oplysninger, der er omhandlet i direktivets artikel 27, stk. 2 og 3, indgives gennem den nationale mekanisme, der er omhandlet i direktivets artikel 3, stk. 4, hvor det er relevant. For at opnå større administrativ effektivitet omfatter den skabelon, der er vedlagt som bilag til disse retningslinjer, derfor også anmodninger om oplysninger, der er nødvendige med henblik på både artikel 3, stk. 3, og artikel 27, stk. 2, i direktiv (EU) 2022/2555. Denne skabelon er oprettet med bistand fra ENISA.
(1) EUT L 333 af 27.12.2022, s. 80.
(2) Jf. også betragtning 18 i præamblen til direktiv (EU) 2022/2555.
TILLÆG
Skabelon til de oplysninger, der kræves til den liste, som er omhandlet i artikel 3, stk. 3, og artikel 27, stk. 2, i direktiv (EU) 2022/2555
1.
Aktivitetssektor i henhold til direktiv (EU) 2022/2555
Bilag I — |
sektorer af særlig kritisk betydning
|
Bilag II — |
Andre kritiske sektorer
|
2.
Enhedens navn
3.
Hvis enheden er omhandlet i artikel 27, stk. 1, i direktiv (EU) 2022/2555 (DNS-tjenesteudbyder, topdomænenavnsregister, enhed, der leverer domænenavnsregistreringstjenester, udbyder af cloudcomputingtjenester, datacentertjenesteudbyder, udbyder af indholdsdistributionsnetværk, udbyder af administrerede tjenester, udbydere af administrerede sikkerhedstjenester samt udbyder af onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester), har enheden da sit hovedforretningssted i EU i denne medlemsstat, eller hvis enheden ikke er lovligt etableret i EU, sin repræsentant i denne medlemsstat?
4.
Adressen på enhedens forretningssted i denne medlemsstat. Hvis enheden er omhandlet i artikel 27, stk. 1, i direktiv (EU) 2022/2555, adressen på enhedens hovedforretningssted, hvis den er beliggende i denne medlemsstat, samt dens andre retlige forretningssteder i EU. Hvis der ikke er nogen virksomhed, adressen på den repræsentant i EU, der er udpeget i overensstemmelse med artikel 26, stk. 3, i direktiv (EU) 2022/2555, hvis repræsentanten befinder sig i denne medlemsstat.
5.
Ajourførte kontaktoplysninger, herunder e-mailadresser og telefonnumre i denne medlemsstat.
6.
IP-intervaller for enheden i denne medlemsstat
7.
Hvis enheden er omhandlet i artikel 27, stk. 1, i direktiv (EU) 2022/2555, en liste over medlemsstater, hvor enheden leverer tjenester, der er omfattet af nævnte direktiv.