14.9.2023   

DA

Den Europæiske Unions Tidende

C 324/2

MEDDELELSE FRA KOMMISSIONEN

Kommissionens retningslinjer for anvendelsen af artikel 3, stk. 4, i direktiv (EU) 2022/2555 (NIS 2-direktivet)

(2023/C 324/02)

1.   

I henhold til artikel 3, stk. 4, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet) (1) skal Kommissionen med bistand fra Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) uden unødigt ophold fastlægge retningslinjer og skabeloner vedrørende de forpligtelser, der er fastsat i nævnte bestemmelse. Artikel 3, stk. 4, i direktiv (EU) 2022/2555 henviser til artikel 3, stk. 3, i nævnte direktiv, som pålægger medlemsstaterne at udarbejde en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, senest den 17. april 2025. Medlemsstaterne reviderer og, hvor det er relevant, ajourfører derefter listen med jævne mellemrum, mindst hvert andet år.

2.   

Med henblik på at opstille listen over væsentlige og vigtige enheder bør medlemsstaterne kræve, at enhederne som minimum indsender følgende oplysninger til de kompetente myndigheder: navn, adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på enheden og, hvor det er relevant, den relevante sektor og delsektor, der er omhandlet i bilagene, samt, hvor det er relevant, en liste over de medlemsstater, hvor de leverer tjenesteydelser, der er omfattet af direktivets anvendelsesområde. Bilag I til disse retningslinjer indeholder en skabelon til indsamling af disse oplysninger med henblik på udarbejdelse af listen.

3.   

For at lette oprettelsen og ajourføringen af listen over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, fastsættes det i artikel 3, stk. 4, i direktiv (EU) 2022/2555, at medlemsstaterne bør kunne oprette nationale mekanismer, så enheder kan registrere sig selv (2).

4.   

I henhold til artikel 3, stk. 5, i direktiv (EU) 2022/2555 skal medlemsstaterne senest den 17. april 2025 og derefter hvert andet år som minimum underrette Kommissionen og samarbejdsgruppen om antallet af væsentlige og vigtige enheder, der er anført i henhold til artikel 3, stk. 3, i nævnte direktiv, for hver sektor og delsektor, der er omhandlet i direktivets bilag I og II. Medlemsstaterne skal også meddele Kommissionen relevante oplysninger om antallet af væsentlige og vigtige enheder, der er identificeret i henhold til artikel 2, stk. 2, litra b)-e), i direktiv (EU) 2022/2555, den sektor og delsektor, som de tilhører, den type tjeneste, de leverer, og den levering, i henhold til hvilken de blev identificeret. I betragtning 19 i præamblen til direktiv (EU) 2022/2555 forklares det, at medlemsstaterne opfordres til at udveksle oplysninger med Kommissionen om væsentlige og vigtige enheder og, i tilfælde af en omfattende cybersikkerhedshændelse, relevante oplysninger såsom navnet på den berørte enhed.

5.   

Ud over den liste, som medlemsstaterne har opstillet i henhold til artikel 3, stk. 3, i direktiv (EU) 2022/2555, bør medlemsstaterne i overensstemmelse med artikel 27, stk. 2, i nævnte direktiv også kræve, at visse typer enheder som omhandlet i direktivets artikel 27, stk. 1, indsender følgende oplysninger til de kompetente myndigheder senest den 17. januar 2025: enhedens navn, den relevante sektor, delsektor og type enhed som omhandlet i bilag I eller II til direktivet, hvis det er relevant, adressen på enhedens hovedvirksomhed og dens andre retlige virksomheder i Unionen eller, hvis den ikke er etableret i Unionen, på dens repræsentant, der er udpeget i henhold til direktivets artikel 26, stk. 3, ajourførte kontaktoplysninger, herunder e-mailadresser og telefonnumre på enheden og, hvis det er relevant, dens repræsentant udpeget i henhold til direktivets artikel 26, stk. 3, de medlemsstater, hvor enheden leverer tjenester og virksomhedens IP-intervaller. I henhold til artikel 27, stk. 3, i direktiv (EU) 2022/2555 pålægger medlemsstaterne de enheder, der er omhandlet i direktivets artikel 27, stk. 1, straks og under alle omstændigheder senest tre måneder efter datoen for ændringen at underrette den kompetente myndighed om eventuelle ændringer i de oplysninger, de har indgivet i henhold til direktivets artikel 27, stk. 2.

6.   

I henhold til artikel 27, stk. 5, i direktiv (EU) 2022/2555 skal de oplysninger, der er omhandlet i direktivets artikel 27, stk. 2 og 3, indgives gennem den nationale mekanisme, der er omhandlet i direktivets artikel 3, stk. 4, hvor det er relevant. For at opnå større administrativ effektivitet omfatter den skabelon, der er vedlagt som bilag til disse retningslinjer, derfor også anmodninger om oplysninger, der er nødvendige med henblik på både artikel 3, stk. 3, og artikel 27, stk. 2, i direktiv (EU) 2022/2555. Denne skabelon er oprettet med bistand fra ENISA.

(1)   EUT L 333 af 27.12.2022, s. 80.

(2)  Jf. også betragtning 18 i præamblen til direktiv (EU) 2022/2555.

TILLÆG

Skabelon til de oplysninger, der kræves til den liste, som er omhandlet i artikel 3, stk. 3, og artikel 27, stk. 2, i direktiv (EU) 2022/2555

1.   

Aktivitetssektor i henhold til direktiv (EU) 2022/2555

Bilag I —

sektorer af særlig kritisk betydning

Energi

Elektricitet

Elektricitetsvirksomhed

Distributionssystemoperatør

Transmissionssystemoperatør

Producenter

Udpegede elektricitetsmarkedsoperatører

Markedsdeltagere, der leverer tjenester vedrørende aggregering, fleksibelt elforbrug eller energilagring

Operatører af ladestationer, der er ansvarlige for forvaltningen og driften af en ladestation, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne

Operatører af fjernvarme eller fjernkøling

Olie

Olierørledningsoperatører

Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission

Centrale lagerenheder

Gas

Forsyningsvirksomheder

Distributionssystemoperatører

Transmissionssystemoperatører

Lagersystemoperatører

LNG-systemoperatører

Naturgasvirksomheder

Operatører af naturgasraffinaderier og -behandlingsanlæg

Operatører inden for brintproduktion, -lagring og -transmission

Transport

Luft

Luftfartsselskaber

Lufthavnsdriftsorganer

Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester

Jernbane

Infrastrukturforvaltere

Jernbanevirksomheder, herunder operatører af servicefaciliteter

Vand

Virksomheder, der udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand, bortset fra de enkelte fartøjer, som drives af disse rederier

Driftsorganer, herunder deres havnefaciliteter og enheder, der opererer anlæg og udstyr i havne

Operatører af skibstrafiktjenester

Vej

Vejmyndigheder, der er ansvarlige for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikkevæsentlig del af deres generelle aktivitet

Operatører af intelligente transportsystemer

Sundhed

Sundhedstjenesteydere

EU-referencelaboratorier

Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler

Enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater som omhandlet i hovedafdeling C, hovedgruppe 21, i NACE rev. 2

Enheder, som fremstiller medicinsk udstyr, den anser for at være kritisk under en folkesundhedsmæssig krisesituation (liste over kritisk medicinsk udstyr til folkesundhedsmæssige krisesituationer)

Drikkevand — Leverandører og distributører af drikkevand, bortset fra distributører, for hvilke distribution af drikkevand er en ikkevæsentlig del af deres generelle aktivitet med distribution af andre råvarer og varer

Spildevand — Virksomheder, der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand, bortset fra virksomheder, for hvilke indsamling, bortskaffelse eller behandling af byspildevand, husspildevand eller industrispildevand er en ikkevæsentlig del af deres generelle aktivitet

Digital infrastruktur

Udbydere af internetudvekslingspunkter

DNS-tjenesteudbydere

Topdomænenavneadministratorer

Udbydere af cloudcomputingtjenester

Udbydere af datacentertjenester

Udbydere af indholdsdistributionsnetværk

Tillidstjenesteudbydere

Udbydere af offentlige elektroniske kommunikationsnet

Udbydere af offentlige elektroniske kommunikationstjenester

Forvaltning af IKT-tjenester (business-to-business)

Udbydere af administrerede tjenester

Udbydere af administrerede sikkerhedstjenester

Offentlig forvaltning

Offentlige forvaltningsenheder under den centrale forvaltning

Offentlige forvaltningsenheder på regionalt plan

Rummet — Operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet.

Bilag II —

Andre kritiske sektorer

Post- og kurertjenester

Affaldshåndtering — Virksomheder, der varetager affaldshåndtering, bortset fra virksomheder, for hvilke affaldshåndtering ikke er deres vigtigste økonomiske aktivitet

Fremstilling, produktion og distribution af kemikalier — Virksomheder, der beskæftiger sig med fremstilling af stoffer og distribution af stoffer eller blandinger, og virksomheder, der beskæftiger sig med produktion af artikler ud af stoffer eller blandinger

Produktion, tilvirkning og distribution af fødevarer — Fødevarevirksomheder, der beskæftiger sig med engrosdistribution og industriel produktion og tilvirkning

Fremstilling

Fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik

Fremstilling af computere og elektroniske og optiske produkter

Fremstilling af elektrisk udstyr

Fremstilling af maskiner og udstyr i.a.n.

Fremstilling af motorkøretøjer, påhængsvogne og sættevogne

Fremstilling af andre transportmidler

Digitale udbydere

Udbydere af onlinemarkedspladser

Udbydere af onlinesøgemaskiner

Udbydere af platforme for sociale netværkstjenester

Forskningsorganisationer
Enheder, der ikke er opført i bilagene

Enheder, der leverer domænenavnsregistreringstjenester

Andre enheder, der er identificeret som kritiske enheder i henhold til direktiv (EU) 2022/2557

Enheder, der er identificeret som operatører af væsentlige tjenester i overensstemmelse med national ret

2.   

Enhedens navn

3.   

Hvis enheden er omhandlet i artikel 27, stk. 1, i direktiv (EU) 2022/2555 (DNS-tjenesteudbyder, topdomænenavnsregister, enhed, der leverer domænenavnsregistreringstjenester, udbyder af cloudcomputingtjenester, datacentertjenesteudbyder, udbyder af indholdsdistributionsnetværk, udbyder af administrerede tjenester, udbydere af administrerede sikkerhedstjenester samt udbyder af onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester), har enheden da sit hovedforretningssted i EU i denne medlemsstat, eller hvis enheden ikke er lovligt etableret i EU, sin repræsentant i denne medlemsstat?

4.   

Adressen på enhedens forretningssted i denne medlemsstat. Hvis enheden er omhandlet i artikel 27, stk. 1, i direktiv (EU) 2022/2555, adressen på enhedens hovedforretningssted, hvis den er beliggende i denne medlemsstat, samt dens andre retlige forretningssteder i EU. Hvis der ikke er nogen virksomhed, adressen på den repræsentant i EU, der er udpeget i overensstemmelse med artikel 26, stk. 3, i direktiv (EU) 2022/2555, hvis repræsentanten befinder sig i denne medlemsstat.

5.   

Ajourførte kontaktoplysninger, herunder e-mailadresser og telefonnumre i denne medlemsstat.

6.   

IP-intervaller for enheden i denne medlemsstat

7.   

Hvis enheden er omhandlet i artikel 27, stk. 1, i direktiv (EU) 2022/2555, en liste over medlemsstater, hvor enheden leverer tjenester, der er omfattet af nævnte direktiv.