om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),

1. Dette direktiv fastsætter foranstaltninger med henblik på at opnå et højt fælles sikkerhedsniveau for net- og informationssystemer i Unionen for at forbedre det indre markeds funktion.

3. De sikkerhedskrav og den underretningspligt, der er fastsat i dette direktiv, anvendes ikke for virksomheder, som er omfattet af kravene i artikel 13a og 13b i direktiv 2002/21/EF, eller for tillidstjenesteudbydere, som er omfattet af kravene i artikel 19 i forordning (EU) nr. 910/2014.

4. Dette direktiv berører ikke Rådets direktiv 2008/114/EF (14) og Europa-Parlamentets og Rådets direktiv 2011/93/EU (15) og 2013/40/EU (16).

5. Oplysninger, der er fortrolige i henhold til EU-regler og nationale regler, som f.eks. regler om forretningshemmeligheder, udveksles med forbehold af artikel 346 i TEUF kun med Kommissionen og andre relevante myndigheder, hvis en sådan udveksling er nødvendig for anvendelsen af dette direktiv. De udvekslede oplysninger begrænses til, hvad der er relevant og forholdsmæssigt under hensyn til formålet med udvekslingen. En sådan udveksling af oplysninger skal sikre de nævnte oplysningers fortrolighed og beskytte sikkerheden og kommercielle interesser hos operatører af væsentlige tjenester og udbydere af digitale tjenester.

6. Dette direktiv berører ikke de tiltag, som iværksættes af medlemsstaterne med henblik på at sikre deres centrale statslige funktioner, navnlig for at værne om den nationale sikkerhed, herunder foranstaltninger til beskyttelse af oplysninger, hvis udbredelse efter medlemsstaternes opfattelse ville stride mod deres væsentlige sikkerhedsinteresser, og opretholde lov og orden, navnlig for at tillade efterforskning, afsløring og retsforfølgelse af strafbare handlinger.

7. Når en sektorspecifik EU-retsakt stiller krav om, at operatører af væsentlige tjenester og udbydere af digitale tjenester enten skal sikre sikkerheden i deres net- og informationssystemer eller underrette om hændelser, forudsat at sådanne krav har mindst samme virkning som forpligtelserne i dette direktiv, anvendes de pågældende bestemmelser i den nævnte sektorspecifikke EU-retsakt.

1. Behandling af personoplysninger i henhold til nærværende direktiv udføres i overensstemmelse med direktiv 95/46/EF.

2. Behandling af personoplysninger i EU-institutioner og -organer i henhold til nærværende direktiv gennemføres i overensstemmelse med forordning (EF) nr. 45/2001.

Uden at dette berører artikel 16, stk. 10, og deres forpligtelser i henhold til EU-retten, kan medlemsstaterne vedtage eller bibeholde bestemmelser, som har til formål at nå et højere sikkerhedsniveau for net- og informationssystemer.

2) »sikkerhed i net- og informationssystemer«: net- og informationssystemers evne til, på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer

3) »national strategi for sikkerheden i net- og informationssystemer«: en ramme for strategiske mål og prioriteter for sikkerheden i net- og informationssystemer på nationalt plan

4) »operatør af væsentlige tjenester«: en offentlig eller privat enhed af en type som omhandlet i bilag II, der opfylder kriterierne i artikel 5, stk. 2

5) »digital tjeneste«: en tjeneste som omhandlet i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 (17), som er af en type, der er opført i bilag III

6) »udbyder af digitale tjenester«: enhver juridisk person, som udbyder en digital tjeneste

7) »hændelse«: enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer

8) »håndtering af hændelser«: alle procedurer til støtte for detektering, analyse og begrænsning af en hændelse samt reaktionen derpå

9) »risiko«: enhver rimeligt identificerbar omstændighed eller begivenhed, der har en potentiel negativ indvirkning på sikkerheden i net- og informationssystemer

10) »repræsentant«: enhver fysisk eller juridisk person, der er etableret i Unionen, og som udtrykkeligt er udpeget til at handle på vegne af en udbyder af digitale tjenester, som ikke er etableret i Unionen, og som en national kompetent myndighed eller en CSIRT kan henvende sig til i stedet for udbyderen af digitale tjenester, for så vidt angår de forpligtelser, der påhviler den nævnte udbyder af digitale tjenester i medfør af dette direktiv

11) »standard«: en standard som omhandlet i artikel 2, nr. 1), i forordning (EU) nr. 1025/2012

12) »specifikation«: en teknisk specifikation som omhandlet i artikel 2, nr. 4), i forordning (EU) nr. 1025/2012

13) »internetudvekslingspunkt (IXP)«: en netfacilitet, som muliggør sammenkobling af mere end to uafhængige autonome systemer, hovedsageligt med henblik på at lette udvekslingen af internettrafik; et IXP leverer kun sammenkobling til autonome systemer; et IXP forudsætter ikke, at internettrafik, som bevæger sig mellem et givent par af deltagende autonome systemer, bevæger sig gennem et eventuelt tredje autonomt system, og det hverken ændrer eller forstyrrer en sådan trafik

14) »domænenavnesystem (DNS)«: et hierarkisk opbygget navnesystem i et net, som behandler forespørgsler vedrørende domænenavne

15) »DNS-tjenesteudbyder«: en enhed, som leverer DNS-tjenester på internettet.

16) »topdomænenavneadministrator«: en enhed, som administrerer og driver registreringen af internetdomænenavne under et særligt topdomæne (TLD)

17) »onlinemarkedsplads«: en digital tjeneste, som giver forbrugere og/eller erhvervsdrivende som defineret i henholdsvis artikel 4, stk. 1, litra a) og b), i Europa-Parlamentets og Rådets direktiv 2013/11/EU (18) mulighed for at indgå aftaler om køb eller tjenester online med erhvervsdrivende enten på onlinemarkedspladsens websted eller på et websted tilhørende en erhvervsdrivende, som anvender computing-tjenester, der udbydes af onlinemarkedspladsen

18) »onlinesøgemaskine«: en digital tjeneste, som giver brugerne mulighed for at foretage søgninger på principielt alle websteder eller websteder på et bestemt sprog på grundlag af en forespørgsel om et hvilket som helst emne ved hjælp af et søgeord, en sætning eller andet input, og som fremviser links, hvor der kan findes oplysninger om det ønskede indhold

19) »cloud computing-tjeneste«: en digital tjeneste, som giver adgang til en skalerbar og elastisk pulje af delbare IT-ressourcer

1. Senest den 9. november 2018 identificerer medlemsstaterne for hver sektor og delsektor, som er omhandlet i bilag II, de operatører af væsentlige tjenester, der er etableret på deres område.

2. De i artikel 4, nr. 4), omhandlede kriterier for identificering af operatører af væsentlige tjenester er følgende:

3. Med henblik på stk. 1 udarbejder hver medlemsstat en liste over de i stk. 2, litra a), omhandlede tjenester.

4. Med henblik på stk. 1 hører disse medlemsstater hinanden, hvis en enhed leverer en tjeneste, der er omhandlet i stk. 2, litra a), i to eller flere medlemsstater. Denne høring skal finde sted, inden der træffes afgørelse om identificering.

5. Medlemsstaterne tager regelmæssigt og mindst hvert andet år efter den 9. maj 2018 listen over identificerede operatører af væsentlige tjenester op til revision og ajourfører den, hvis det er relevant.

6. Samarbejdsgruppens rolle skal i overensstemmelse med de i artikel 11 omhandlede opgaver være at støtte medlemsstaterne i at anvende en ensartet tilgang, når operatører af væsentlige tjenester identificeres.

7. Med henblik på den i artikel 23 omhandlede revision og senest den 9. november 2018 og herefter hvert andet år forelægger medlemsstaterne Kommissionen de oplysninger, som er nødvendige for, at Kommissionen kan vurdere gennemførelsen af dette direktiv, navnlig ensartetheden i medlemsstaternes fremgangsmåder ved identificeringen af operatører af væsentlige tjenester. Disse oplysninger skal som minimum omfatte:

For at bidrage til at levere sammenlignelige oplysninger kan Kommissionen under størst mulig hensyntagen til udtalelsen fra ENISA vedtage passende tekniske retningslinjer for kriterier for de oplysninger, som er omhandlet i dette stykke.

1. Ved fastlæggelsen af betydningen af en forstyrrende virkning, jf. artikel 5, stk. 2, litra c), tager medlemsstaterne som minimum hensyn til følgende tværsektorielle forhold:

2. Med henblik på at fastslå, hvorvidt en hændelse vil have en væsentlig forstyrrende virkning, tager medlemsstaterne endvidere, hvis det er relevant, hensyn til sektorspecifikke forhold.

1. Hver medlemsstat vedtager en national strategi for sikkerheden i net- og informationssystemer, som fastlægger de strategiske mål og passende politiske og lovgivningsmæssige foranstaltninger med henblik på at nå og opretholde et højt sikkerhedsniveau i net- og informationssystemer, og som mindst omfatter de i bilag II omhandlede sektorer og de i bilag III omhandlede tjenester. Den nationale strategi for sikkerheden i net- og informationssystemer skal navnlig behandle følgende emner:

2. Medlemsstaterne kan anmode ENISA om bistand til at udvikle nationale strategier for sikkerhed i net- og informationssystemer.

3. Medlemsstaterne meddeler deres nationale strategier for sikkerhed i net- og informationssystemer til Kommissionen senest tre måneder efter vedtagelsen heraf. Medlemsstaterne kan i forbindelse hermed udelukke elementer i strategien, der vedrører national sikkerhed.

1. Hver medlemsstat udpeger en eller flere nationale kompetente myndigheder for sikkerheden i net- og informationssystemer (»kompetent myndighed«), som mindst omfatter de i bilag II omhandlede sektorer og de i bilag III omhandlede tjenester. Medlemsstaterne kan tildele en eller flere eksisterende myndigheder denne rolle.

2. De kompetente myndigheder fører tilsyn med anvendelsen af dette direktiv på nationalt plan.

3. Hver medlemsstat udpeger et nationalt centralt kontaktpunkt for sikkerheden i net- og informationssystemer (»centralt kontaktpunkt«). Medlemsstaterne kan tildele en eksisterende myndighed denne rolle. Hvis en medlemsstat kun udpeger én kompetent myndighed, fungerer denne kompetente myndighed ligeledes som det centrale kontaktpunkt.

4. Det centrale kontaktpunkt udgør et forbindelsesled til at sikre grænseoverskridende samarbejde mellem medlemsstaternes myndigheder og de relevante myndigheder i andre medlemsstater samt den samarbejdsgruppe, der er omhandlet i artikel 11, og det i artikel 12 omhandlede CSIRT-netværk.

5. Medlemsstaterne sikrer, at de kompetente myndigheder og de centrale kontaktpunkter har tilstrækkelige ressourcer til på en effektiv måde at udføre de opgaver, som de pålægges, og dermed opfylde målene i dette direktiv. Medlemsstaterne sikrer et effektivt og sikkert samarbejde mellem de udpegede repræsentanter i samarbejdsgruppen.

6. De kompetente myndigheder og det centrale kontaktpunkt konsulterer og samarbejder, hvor det er passende og i henhold til national ret, med de relevante nationale retshåndhævende myndigheder og de nationale databeskyttelsesmyndigheder.

7. Hver medlemsstat underretter straks Kommissionen om udpegelsen af den kompetente myndighed og det centrale kontaktpunkt, deres opgaver og enhver senere ændring heraf. Hver medlemsstat offentliggør sin udpegelse af den kompetente myndighed og det centrale kontaktpunkt. Kommissionen offentliggør listen over udpegede centrale kontaktpunkter.

1. Hver medlemsstat udpeger en eller flere CSIRT'er, der skal opfylde kravene i bilag I, punkt 1, og som mindst omfatter de i bilag II omhandlede sektorer og de i bilag III omhandlede tjenester, og som er ansvarlige for at håndtere hændelser og risici i overensstemmelse med en nøje fastlagt proces. En CSIRT kan oprettes som en del af en kompetent myndighed.

2. Medlemsstaterne sikrer, at CSIRT'erne har tilstrækkelige ressourcer til effektivt at udføre deres opgaver som fastlagt i bilag I, punkt 2.

Medlemsstaterne sikrer et effektivt og sikkert samarbejde mellem deres CSIRT'er i det CSIRT-netværk, der er omhandlet i artikel 12.

3. Medlemsstaterne sikrer, at deres CSIRT'er har adgang til en passende, sikker og robust kommunikations- og informationsinfrastruktur på nationalt plan.

4. Medlemsstaterne oplyser Kommissionen om deres CSIRT'ers kompetenceområde og de vigtigste elementer i procedurerne for håndtering af hændelser.

5. Medlemsstaterne kan anmode ENISA om bistand til at udvikle nationale CSIRT'er.

1. Hvis den samme medlemsstats kompetente myndighed, centrale kontaktpunkt og CSIRT er adskilte enheder, samarbejder de med hensyn til opfyldelsen af de forpligtelser, der er fastlagt i dette direktiv.

2. Medlemsstaterne sikrer, at enten de kompetente myndigheder eller CSIRT'erne modtager underretninger om hændelser, som fremsendes i henhold til dette direktiv. Hvis en medlemsstat beslutter, at CSIRT'er ikke skal modtage underretninger, skal CSIRT'erne, i det omfang det er nødvendigt, for at de kan udføre deres opgaver, have adgang til oplysninger om hændelser, der er underrettet af operatører af væsentlige tjenester i henhold til artikel 14, stk. 3 og 5, eller af udbydere af digitale tjenester i henhold til artikel 16, stk. 3 og 6.

3. Medlemsstaterne sikrer, at de kompetente myndigheder eller CSIRT'erne oplyser de centrale kontaktpunkter om underretninger om hændelser fremsendt i henhold til dette direktiv.

Senest den 9. august 2018 og derefter en gang om året forelægger det centrale kontaktpunkt samarbejdsgruppen en sammenfattende rapport om de underretninger, som det har modtaget, herunder antallet af underretninger og arten af de underrettede hændelser, samt de tiltag, der er iværksat i overensstemmelse med artikel 14, stk. 3 og 5, og artikel 16, stk. 3 og 5.

1. For at støtte og lette strategisk samarbejde og udvekslingen af oplysninger mellem medlemsstaterne samt for at skabe tillid samt med henblik på at opnå et højt fælles sikkerhedsniveau i net- og informationssystemer i Unionen oprettes der herved en samarbejdsgruppe.

Samarbejdsgruppen udfører sine opgaver på grundlag af toårige arbejdsprogrammer som omhandlet i stk. 3, andet afsnit.

2. Samarbejdsgruppen består af repræsentanter fra medlemsstaterne, Kommissionen og ENISA.

Samarbejdsgruppen kan, hvis det er relevant, indbyde repræsentanter fra de relevante interessenter til at deltage i arbejdet.

Senest den 9. februar 2018 og derefter hvert andet år udarbejder samarbejdsgruppen et arbejdsprogram vedrørende tiltag, der skal iværksættes for at gennemføre dens mål og opgaver, og som skal være i overensstemmelse med målene i dette direktiv.

4. Med henblik på den i artikel 23 omhandlede revision og senest den 9. august 2018 og derefter hver 18. måned udarbejder samarbejdsgruppen en rapport om de erfaringer, der er gjort med det strategiske samarbejde i medfør af denne artikel.

5. Kommissionen vedtager gennemførelsesretsakter, der fastsætter proceduremæssige ordninger, som er nødvendige for samarbejdsgruppens funktion. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 22, stk. 2.

Med henblik på første afsnit forelægger Kommissionen det første udkast til gennemførelsesretsakt for det i artikel 22, stk. 1, omhandlede udvalg senest den 9. februar 2017.

1. Med henblik på at bidrage til skabelsen af tillid mellem medlemsstaterne og at fremme et hurtigt og effektivt operationelt samarbejde oprettes der herved et netværk af nationale CSIRT'er.

2. CSIRT-netværket består af repræsentanter fra medlemsstaternes CSIRT'er og CERT-EU. Kommissionen deltager i CSIRT-netværket som observatør. ENISA varetager sekretariatsopgaverne og støtter aktivt samarbejdet mellem CSIRT'erne.

4. Med henblik på den i artikel 23 omhandlede revision og senest den 9. august 2018 og derefter hver 18. måned udarbejder CSIRT-netværket en rapport om de erfaringer, der er gjort med det operationelle samarbejde, herunder konklusioner og anbefalinger, i medfør af denne artikel. Rapporten forelægges ligeledes for samarbejdsgruppen.

Unionen kan i overensstemmelse med artikel 218 i TEUF indgå internationale aftaler med tredjelande eller internationale organisationer, som giver disse mulighed for og tilrettelægger deres deltagelse i nogle af samarbejdsgruppens aktiviteter. En sådan aftale skal tage hensyn til behovet for at sikre tilstrækkelig beskyttelse af oplysninger.

SIKKERHED I NET- OG INFORMATIONSSYSTEMER FOR OPERATØRER AF VÆSENTLIGE TJENESTER

1. Medlemsstaterne sikrer, at operatører af væsentlige tjenester træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til risikoen.

2. Medlemsstaterne sikrer, at operatører af væsentlige tjenester træffer passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af sådanne væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.

3. Medlemsstaterne sikrer, at operatører af væsentlige tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT af hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningerne skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen. Underretning gør ikke den underrettende part til genstand for et øget ansvar.

4. Med henblik på at fastlægge omfanget af en hændelses konsekvenser tages navnlig følgende kriterier i betragtning:

5. På grundlag af oplysningerne i den underretning, der er givet af operatøren af væsentlige tjenester, oplyser den kompetente myndighed eller CSIRT den eller de øvrige berørte medlemsstater herom, hvis hændelsen har væsentlige konsekvenser for kontinuiteten i de væsentlige tjenester i denne medlemsstat. I den forbindelse sikrer den kompetente myndighed eller CSIRT i overensstemmelse med EU-retten eller national lovgivning, der er i overensstemmelse med EU-retten, sikkerheden og de kommercielle interesser for operatøren af væsentlige tjenester samt fortrolig behandling af de oplysninger, der er givet i dennes underretning.

Hvis omstændighederne tillader det, leverer den kompetente myndighed eller CSIRT relevante oplysninger til den underrettende operatør af væsentlige tjenester vedrørende opfølgningen af dennes underretning, som f.eks. oplysninger, der kan støtte en effektiv håndtering af hændelsen.

På den kompetente myndigheds eller CSIRT's anmodning videresender de centrale kontaktpunkter de underretninger, der er omhandlet i første afsnit, til centrale kontaktpunkter i andre berørte medlemsstater.

6. Efter høring af den underrettende operatør af væsentlige tjenester kan den kompetente myndighed eller CSIRT'en oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.

7. Kompetente myndigheder, der handler sammen inden for samarbejdsgruppen, kan udarbejde og vedtage retningslinjer om de omstændigheder, hvorunder operatører af væsentlige tjenester har pligt til at underrette om hændelser, herunder om kriterier for fastlæggelse af omfanget af en hændelses konsekvenser som omhandlet i stk. 4.

1. Medlemsstaterne sikrer, at de kompetente myndigheder har de nødvendige beføjelser og midler til at vurdere, hvorvidt operatører af væsentlige tjenester opfylder deres forpligtelser i medfør af artikel 14 og virkningerne heraf på net- og informationssystemers sikkerhed.

2. Medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til at pålægge operatører af væsentlige tjenester at levere:

Når der anmodes om sådanne oplysninger eller sådan dokumentation, angiver de kompetente myndigheder formålet med anmodningen og anfører, hvilke oplysninger der kræves.

3. Efter vurderingen af oplysninger eller resultaterne af sikkerhedsaudit, jf. stk. 2, kan den kompetente myndighed udstede påbud til operatører af væsentlige tjenester for at afhjælpe de påviste mangler.

4. Den kompetente myndighed indgår i et tæt samarbejde med databeskyttelsesmyndigheder, når de håndterer hændelser, som medfører brud på persondatasikkerheden.

1. Medlemsstaterne sikrer, at udbydere af digitale tjenester identificerer og træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i net- og informationssystemer, som de anvender i forbindelse med tjenester, der er omhandlet i bilag III, i Unionen. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til risikoen, under hensyntagen til følgende elementer:

2. Medlemsstaterne sikrer, at udbydere af digitale tjenester træffer foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer, for så vidt angår de tjenester, der er omhandlet i bilag III, og som udbydes i Unionen, for at sikre kontinuiteten i disse tjenester.

3. Medlemsstaterne sikrer, at udbydere af digitale tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT af enhver hændelse, der har betydelige konsekvenser for leveringen af en tjeneste som omhandlet i bilag III, som de udbyder i Unionen. Underretninger skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå betydningen af eventuelle grænseoverskridende konsekvenser. Underretningen gør ikke den underrettende part genstand for et øget ansvar.

4. Med henblik på at fastlægge, om en hændelses konsekvenser er betydelige, tages navnlig følgende kriterier i betragtning:

Forpligtelsen til at underrette om en hændelse finder kun anvendelse, hvis udbyderen af digitale tjenester har adgang til de oplysninger, der er nødvendige for at vurdere en hændelses konsekvenser i henhold til de i første afsnit omhandlede kriterier.

5. Når en operatør af væsentlige tjenester er afhængig af en tredjepartsudbyder af digitale tjenester vedrørende leveringen af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og økonomiske aktiviteter, underretter operatøren af væsentlige tjenester om alle væsentlige konsekvenser for de væsentlige tjenesters kontinuitet som følge af en hændelse, der berører den pågældende udbyder.

6. Hvis det er relevant, og navnlig hvis den hændelse, der er omhandlet i stk. 3, berører to eller flere medlemsstater, informerer den kompetente myndighed eller CSIRT de øvrige berørte medlemsstater. De kompetente myndigheder, CSIRT'erne og de centrale kontaktpunkter sikrer i den forbindelse i overensstemmelse med EU-retten eller national lovgivning, der er i overensstemmelse med EU-retten, den digitale tjenesteudbyders sikkerhed og kommercielle interesser samt fortrolig behandling af de givne oplysninger.

7. Efter høring af udbyderen af de digitale tjenester kan den kompetente myndighed eller CSIRT og, hvis det er relevant, myndighederne eller CSIRT'erne i andre berørte medlemsstater oplyse offentligheden om konkrete hændelser eller kræve, at udbyderen af digitale tjenester gør det, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, eller hvis offentliggørelse af hændelsen i øvrigt er i offentlighedens interesse.

8. Kommissionen vedtager gennemførelsesretsakter for at fastsætte en yderligere specifikation af de elementer, der er omhandlet i nærværende artikels stk. 1, og de kriterier, der er opført i stk. 4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 22, stk. 2, senest den 9. august 2017.

9. Kommissionen kan vedtage gennemførelsesretsakter, der fastsætter formater og procedurer for underretningspligten. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 22, stk. 2.

10. Medlemsstaterne må ikke indføre yderligere sikkerhedskrav eller underretningspligt for udbydere af digitale tjenester, jf. dog artikel 1, stk. 6.

11. Kapitel V finder ikke anvendelse på mikrovirksomheder og små virksomheder som defineret i Kommissionens henstilling 2003/361/EF (19).

1. Medlemsstaterne sikrer, at de kompetente myndigheder om nødvendigt griber ind ved hjælp af efterfølgende tilsynsforanstaltninger, når det kan dokumenteres, at en udbyder af digitale tjenester ikke opfylder kravene i artikel 16. Denne dokumentation kan indgives af en kompetent myndighed i en anden medlemsstat, hvor tjenesten leveres.

2. Med henblik på stk. 1 tillægges de kompetente myndigheder de fornødne beføjelser og midler til at pålægge udbydere af digitale tjenester at:

3. Hvis en udbyder af digitale tjenester har sit hjemsted eller en repræsentant i en medlemsstat, men dets net- og informationssystemer er beliggende i en eller flere andre medlemsstater, samarbejder den kompetente myndighed i den medlemsstat, hvor hjemstedet eller repræsentanten befinder sig, og de kompetente myndigheder i de pågældende andre medlemsstater og bistår hinanden efter behov. En sådan bistand og et sådant samarbejde kan omfatte udveksling af oplysninger mellem de berørte kompetente myndigheder og anmodninger om at gennemføre de tilsynsforanstaltninger, der er omhandlet i stk. 2.

1. Med henblik på dette direktiv anses en udbyder af digitale tjenester for at høre under den medlemsstats jurisdiktion, hvor den har sit hjemsted. En udbyder af digitale tjenester anses for at have sit hjemsted i en medlemsstat, hvis dens hovedkontor er placeret i den pågældende medlemsstat.

2. En udbyder af digitale tjenester, som ikke er etableret i Unionen, men som tilbyder tjenester som omhandlet i bilag III i Unionen, udpeger en repræsentant i Unionen. Repræsentanten skal være etableret i en af de medlemsstater, hvor tjenesterne tilbydes. En udbyder af digitale tjenester anses for at høre under den medlemsstats jurisdiktion, hvor repræsentanten er etableret.

3. Udpegelsen af en repræsentant af udbyderen af digitale tjenester berører ikke eventuelle retlige skridt mod selve udbyderen af digitale tjenester.

1. For at sikre en konvergerende gennemførelse af artikel 14, stk. 1 og 2, og artikel 16, stk. 1 og 2, tilskynder medlemsstaterne til at benytte europæiske eller internationalt anerkendte standarder og specifikationer, der er relevante for sikkerheden i net- og informationssystemer, uden at de påtvinger eller forskelsbehandler til fordel for anvendelse af en bestemt type teknologi.

2. ENISA udarbejder i samarbejde med medlemsstaterne vejledning og retningslinjer om de tekniske områder, der skal overvejes i forbindelse med stk. 1, samt om allerede eksisterende standarder, herunder medlemsstaternes nationale standarder, hvilket vil give mulighed for at dække disse områder.

1. Med forbehold af artikel 3 kan enheder, som ikke er blevet identificeret som operatører af væsentlige tjenester og ikke er udbydere af digitale tjenester, på frivillig basis underrette om hændelser, der har væsentlige konsekvenser for kontinuiteten af de tjenester, som de leverer.

2. Når medlemsstaterne behandler underretninger, handler de efter proceduren i artikel 14. Medlemsstaterne kan prioritere behandling af obligatoriske underretninger før frivillige underretninger. Frivillige underretninger behandles udelukkende, når en sådan behandling ikke udgør en uforholdsmæssig stor eller unødvendig byrde for de berørte medlemsstater.

Frivillig underretning må ikke medføre, at den underrettende enhed pålægges nogen forpligtelser, som den ikke ville være omfattet af, hvis den ikke havde indgivet denne underretning.

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale regler, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver senest den 9. maj 2018 Kommissionen meddelelse om disse regler og foranstaltninger, og underretter den straks om alle senere ændringer, der berører dem.

1. Kommissionen bistås af udvalget for sikkerhed i net- og informationssystemer. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

1. Senest den 9. maj 2019 forelægger Kommissionen Europa-Parlamentet og Rådet en rapport med en vurdering af ensartetheden i medlemsstaternes tilgange i forbindelse med identificeringen af operatører af væsentlige tjenester.

2. Kommissionen tager regelmæssigt dette direktivs funktion op til revision og forelægger en rapport for Europa-Parlamentet og Rådet. Til dette formål og med henblik på yderligere at fremme det strategiske og operationelle samarbejde tager Kommissionen højde for rapporterne fra samarbejdsgruppen og CSIRT-netværket om de erfaringer, der er gjort på strategisk og operationelt plan. I sin revision vurderer Kommissionen også listerne i bilag II og III samt ensartetheden i forbindelse med identificeringen af operatører af væsentlige tjenester og tjenester i de sektorer, der er omhandlet i bilag II. Den første rapport forelægges senest den 9. maj 2021.

1. Uden at det berører artikel 25 og med henblik på at give medlemsstaterne flere muligheder for passende samarbejde under gennemførelsesperioden påbegynder samarbejdsgruppen og CSIRT-netværket deres opgaver, jf. henholdsvis artikel 11, stk. 3, og artikel 12, stk. 3, senest den 9. februar 2017.

2. I perioden fra den 9. februar 2017 til den 9. november 2018 og med henblik på at støtte medlemsstaterne i at anvende en ensartet tilgang, når operatører af væsentlige tjenester identificeres, drøfter samarbejdsgruppen processen, indholdet og typen af nationale foranstaltninger, som gør det muligt at identificere operatører af væsentlige tjenester inden for en bestemt sektor i overensstemmelse med kriterierne i artikel 5 og 6. Efter anmodning fra en medlemsstat drøfter samarbejdsgruppen også denne medlemsstats konkrete udkast til nationale foranstaltninger, som gør det muligt at identificere operatører af væsentlige tjenester inden for en bestemt sektor i overensstemmelse med kriterierne i artikel 5 og 6.

3. Senest den 9. februar 2017 og med henblik på denne artikel sikrer medlemsstaterne en passende repræsentation i samarbejdsgruppen og CSIRT-netværket.

1. Medlemsstaterne vedtager og offentliggør senest den 9. maj 2018 de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen herom.

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for henvisningen.

2. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

(2) Europa-Parlamentets holdning af 13.3.2014 (endnu ikke offentliggjort i EUT) og Rådets førstebehandlingsholdning af 17.5.2016 (endnu ikke offentliggjort i EUT). Europa-Parlamentets holdning af 6.7.2016 (endnu ikke offentliggjort i EUT).

(3) Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) (EFT L 108 af 24.4.2002, s. 33).

(4) Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).

(5) Rådets afgørelse 2013/488/EU af 23. september 2013 om reglerne for sikkerhedsbeskyttelse af EU's klassificerede informationer (EUT L 274 af 15.10.2013, s. 1).

(7) Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 af 21. maj 2013 om Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og om ophævelse af forordning (EF) nr. 460/2004 (EUT L 165 af 18.6.2013, s. 41).

(8) Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).

(9) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(10) Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

(11) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(12) Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).

(14) Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EUT L 345 af 23.12.2008, s. 75).

(15) Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).

(16) Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12. august 2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA (EUT L 218 af 14.8.2013, s. 8).

(17) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).

(18) Europa-Parlamentets og Rådets direktiv 2013/11/EU af 21. maj 2013 om alternativ tvistbilæggelse i forbindelse med tvister på forbrugerområdet og om ændring af forordning (EF) nr. 2006/2004 og direktiv 2009/22/EF (direktiv om ATB på forbrugerområdet) (EUT L 165 af 18.6.2013, s. 63).

(19) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).

BILAG I

KRAV TIL DE ENHEDER, DER HÅNDTERER IT-SIKKERHEDSHÆNDELSER (CSIRT'er), OG DERES OPGAVER

Kravene til CSIRT'er og deres opgaver skal være tilstrækkeligt og klart defineret og understøttet af national politik og/eller regulering. De skal omfatte følgende:

Krav til CSIRT'er:

CSIRT'er skal sikre et højt tilgængelighedsniveau for deres kommunikationstjenester ved at undgå svage punkter (»single points of failure«) og for til enhver tid at have flere muligheder for at blive kontaktet og til at kontakte andre. Desuden skal kommunikationskanalerne være tydeligt angivet og kendt af samarbejdspartnere.

b)	CSIRT'ers lokaler og de underliggende informationssystemer skal være placeret i sikrede områder.

Driftskontinuitet:

i)	CSIRT'er skal være udstyret med et passende system til at administrere og videresende anmodninger, så overdragelser lettes

ii)	CSIRT'er skal have tilstrækkeligt personale til at sikre tilgængelighed døgnet rundt

iii)	CSIRT'er skal råde over en infrastruktur, hvis driftskontinuitet er sikret. Med henblik herpå skal redundante systemer og backuparbejdsområder være til rådighed

d)	CSIRT'er skal, hvis de ønsker det, have mulighed for at deltage i internationale samarbejdsnetværk.

CSIRT'ers opgaver:

CSIRT'ers opgaver skal som minimum omfatte følgende:

i)	monitorering af hændelser på nationalt plan

ii)	tidlig varsling, advarsler, meddelelser og formidling af information til relevante interessenter om risici og hændelser

iii)	at reagere på hændelser

iv)	udarbejdelse af dynamiske risiko- og hændelsesanalyser og situationsrapporter

v)	deltagelse i CSIRT-netværket

b)	CSIRT'er skal etablere et samarbejde med den private sektor.

For at lette samarbejdet fremmer CSIRT'er vedtagelse og anvendelse af fælles eller standardiseret praksis for:

i)	procedurer for håndtering af hændelser og risici

ii)	systemer til klassificering af hændelser, risici og oplysninger.

BILAG II

TYPER AF ENHEDER MED HENBLIK PÅ ARTIKEL 4, NR. 4)

Sektor

Delsektor

Type af enhed

Energi

a)	Elektricitet

—	Elektricitetsvirksomhed som defineret i artikel 2, nr. 35), i Europa-Parlamentets og Rådets direktiv 2009/72/EF (1), der varetager »forsyningen« som defineret i artikel 2, nr. 19), i nævnte direktiv

—	Distributionssystemoperatører som defineret i artikel 2, nr. 6), i direktiv 2009/72/EF

—	Transmissionssystemoperatører som defineret i artikel 2, nr. 4), i direktiv 2009/72/EF

Olie

—	Olierørledningsoperatør

—	Operatører af olieproduktion, raffinaderier og behandlingsanlæg, olielagre og olietransmission

Gas

—	Forsyningsvirksomheder som defineret i artikel 2, nr. 8), i Europa-Parlamentets og Rådets direktiv 2009/73/EF (2)

—	Distributionssystemoperatører som defineret i artikel 2, nr. 6), i direktiv 2009/73/EF

—	Transmissionssystemoperatører som defineret i artikel 2, nr. 4), i direktiv 2009/73/EF

—	Lagersystemoperatører som defineret i artikel 2, nr. 10), i direktiv 2009/73/EF

—	LNG-systemoperatører som defineret i artikel 2, nr. 12), i direktiv 2009/73/EF

—	Naturgasvirksomheder som defineret i artikel 2, nr. 1), i direktiv 2009/73/EF

—	Naturgasoperatør, raffinaderier og behandlingsanlæg

Transport

a)	Lufttransport

—	Luftfartsselskaber som defineret i artikel 3, nr. 4), i Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 (3)

—

Lufthavnsdriftsorganer som defineret i artikel 2, nr. 2), i Europa-Parlamentets og Rådets direktiv 2009/12/EF (4), lufthavne som defineret i artikel 2, nr. 1), i nævnte direktiv, herunder de hovedlufthavne, der er anført i afsnit 2 i bilag II til Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013 (5); og enheder med tilknyttede anlæg i lufthavne

—	Trafikledelses- og kontroloperatører, der udøver flyvekontroltjeneste som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 (6)

b)	Jernbanetransport

—	Infrastrukturforvalter som defineret i artikel 3, nr. 2), i Europa-Parlamentets og Rådets direktiv 2012/34/EU (7)

—	som defineret i artikel 3, nr. 1), i direktiv 2012/34/EU, herunder operatører af servicefaciliteter som defineret i artikel 3, nr. 12), i direktiv 2012/34/EU

Søfart

—	Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand som defineret for søtransport i bilag I til Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 (8), bortset fra de enkelte fartøjer, som drives af disse rederier

—	Havnedriftsorganer som defineret i artikel 3, nr. 1), i Europa-Parlamentets og Rådets direktiv 2005/65/EF (9), herunder deres havnefaciliteter som defineret i artikel 2, nr. 11), i forordning (EF) nr. 725/2004; og enheder, der opererer anlæg og udstyr i havne

—	Skibstrafiktjenesteoperatører som defineret i artikel 3, litra o), i Europa-Parlamentets og Rådets direktiv 2002/59/EF (10)

d)	Vejtransport

—	Vejmyndigheder som defineret i artikel 2, nr. 12), i Kommissionens delegerede forordning (EU) 2015/962 (11), og som er ansvarlige for trafikledelse

—	Operatører af intelligente transportsystemer som defineret i artikel 4, nr. 1), i Europa-Parlamentets og Rådets direktiv 2010/40/EU (12)

Bankvæsen

Kreditinstitutter som defineret i artikel 4, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 (13)

4.	Finansielle markedsinfrastrukturer

—	Markedspladsoperatører som defineret i artikel 4, nr. 24), i Europa-Parlamentets og Rådets direktiv 2014/65/EU (14)

—	Central modpart (CCP) som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 (15)

5.	Sundhedssektoren

Sundhedstjenestemiljøer (herunder hospitaler og private klinikker)

Sundhedstjenesteydere som defineret i artikel 3, litra g), i Europa-Parlamentets og Rådets direktiv 2011/24/EU (16)

6.	Drikkevandsforsyning og distribution

Leverandør og distributør af »drikkevand« som defineret i artikel 2, nr. 1), litra a), i Rådets direktiv 98/83/EF (17) bortset fra distributører, for hvem distribution af drikkevand kun er en del af deres generelle aktivitet med distribution af andre råvarer og varer, der ikke anses som væsentlige tjenester.

7.	Digital infrastruktur

—

IXP'er

—	DNS-tjenesteudbyder

—	TLD-navneadministratorer

(1) Europa-Parlamentets og Rådets direktiv 2009/72/EF af 13. juli 2009 om fælles regler for det indre marked for elektricitet og om ophævelse af direktiv 2003/54/EF (EUT L 211 af 14.8.2009, s. 55).

(2) Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF (EUT L 211 af 14.8.2009, s. 94).

(3) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).

(4) Europa-Parlamentets og Rådets direktiv 2009/12/EF af 11. marts 2009 om lufthavnsafgifter (EUT L 70 af 14.3.2009, s. 11).

(5) Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013 af 11. december 2013 om Unionens retningslinjer for udvikling af det transeuropæiske transportnet og om ophævelse af afgørelse nr. 661/2010/EU (EUT L 348 af 20.12.2013, s. 1).

(6) Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 af 10. marts 2004 om rammerne for oprettelse af et fælles europæisk luftrum (»rammeforordningen«) (EUT L 96 af 31.3.2004, s. 1).

(7) Europa-Parlamentets og Rådets direktiv 2012/34/EU af 21. november 2012 om oprettelse af et fælles europæisk jernbaneområde (EUT L 343 af 14.12.2012, s. 32).

(8) Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter (EUT L 129 af 29.4.2004, s. 6).

(9) Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring (EUT L 310 af 25.11.2005, s. 28).

(10) Europa-Parlamentets og Rådets direktiv 2002/59/EF af 27. juni 2002 om oprettelse af et trafikovervågnings- og trafikinformationssystem for skibsfarten i Fællesskabet og om ophævelse af Rådets direktiv 93/75/EØF (EFT L 208 af 5.8.2002, s. 10).

(11) Kommissionens delegerede forordning (EU) 2015/962 af 18. december 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2010/40/EU for så vidt angår tilrådighedsstillelse af EU-dækkende tidstro trafikinformationstjenester (EUT L 157 af 23.6.2015, s. 21).

(12) Europa-Parlamentets og Rådets direktiv 2010/40/EU af 7. juli 2010 om rammerne for indførelse af intelligente transportsystemer på vejtransportområdet og for grænsefladerne til andre transportformer (EUT L 207 af 6.8.2010, s. 1).

(13) Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).

(14) Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).

(15) Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).

(16) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(17) Rådets direktiv 98/83/EF af 3. november 1998 om kvaliteten af drikkevand (EFT L 330 af 5.12.1998, s. 32).