EUROPA-KOMMISSIONEN

Bruxelles, den 16.12.2020

COM(2020) 829 final

2020/0365(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om kritiske enheders modstandsdygtighed

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

·Forslagets begrundelse og formål

·Sammenhæng med de gældende regler på samme område

Dette forslag afspejler prioriteterne i Kommissionens strategi for EU's sikkerhedsunion 11 , hvor man opfordrer til en revideret tilgang til kritisk infrastrukturs modstandsdygtighed, som i højere grad afspejler det nuværende og forventede fremtidige risikolandskab, den stadig tættere indbyrdes afhængighed mellem forskellige sektorer og også de stadig mere indbyrdes afhængige relationer mellem fysiske og digitale infrastrukturer.

Det foreslåede direktiv erstatter direktivet om europæisk kritisk infrastruktur samt redegør for og bygger på andre eksisterende og planlagte instrumenter. Forslaget til direktiv udgør en betydelig ændring i forhold til direktivet om europæisk kritisk infrastruktur, som kun gælder for energi- og transportsektoren, udelukkende fokuserer på beskyttelsesforanstaltninger og fastsætter en procedure for identifikation og udpegelse af europæisk kritisk infrastruktur gennem grænseoverskridende dialog. For det første vil det foreslåede direktiv have et langt bredere anvendelsesområde, der dækker ti sektorer, nemlig energi, transport, bankvæsen, finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning og rummet. For det andet fastsættes i direktivet en procedure, hvorefter medlemsstaterne kan identificere kritiske enheder ved hjælp af fælles kriterier på grundlag af en national risikovurdering. For det tredje fastsættes med forslaget forpligtelser for medlemsstaterne og de kritiske enheder, som de udpeger, herunder enheder med særlig europæisk betydning, dvs. kritiske enheder, der leverer væsentlige tjenester til eller i mere end en tredjedel af medlemsstaterne, og som vil være underlagt specifikt tilsyn.

Hvor det er relevant, vil Kommissionen yde de kompetente myndigheder og kritiske enheder bistand med at opfylde deres forpligtelser i henhold til direktivet. Desuden vil gruppen for kritiske enheders modstandsdygtighed, som er en ekspertgruppe i Kommissionen, der er underlagt de horisontale rammer, som gælder for sådanne grupper, rådgive Kommissionen og fremme strategisk samarbejde og udveksling af oplysninger. Endelig er det også nødvendigt at samarbejde med partnerlande, da den indbyrdes afhængighed ikke stopper ved EU's ydre grænser. Det foreslåede direktiv giver mulighed for et sådant samarbejde, f.eks. i forbindelse med risikovurderinger.

Sammenhæng med Unionens politik på andre områder

Det foreslåede direktiv har tydelige forbindelser og er i overensstemmelse med andre sektorspecifikke og tværsektorielle EU-initiativer om bl.a. klimasikring, civilbeskyttelse, udenlandske direkte investeringer, cybersikkerhed og gældende EU-ret om finansielle tjenesteydelser. Navnlig er forslaget nøje afstemt med og skaber tæt synergi med det foreslåede NIS 2-direktiv, der har til formål at øge informations- og kommunikationsteknologiens (IKT) modstandsdygtighed over for alle farer for så vidt angår "væsentlige enheder" og "vigtige enheder", der opfylder specifikke tærskler i en lang række sektorer. Dette forslag til direktiv om kritiske enheders modstandsdygtighed har til formål at sikre, at kompetente myndigheder, der er udpeget i henhold til dette direktiv, og de myndigheder, der er udpeget i henhold til det foreslåede NIS 2-direktiv, træffer supplerende foranstaltninger og udveksler oplysninger efter behov vedrørende cyberrelateret og ikkecyberrelateret modstandsdygtighed, og at særligt kritiske enheder i de sektorer, der anses for at være "væsentlige" i henhold til det foreslåede NIS 2-direktiv, også er underlagt mere generelle forpligtelser til at håndtere risici, som ikke er cyberrelaterede. Den fysiske sikkerhed i net- og informationssystemer for enheder i den digitale infrastruktursektor behandles indgående i forslaget til NIS 2-direktiv som en del af disse enheders forpligtelser med hensyn til risikostyring og rapportering vedrørende cybersikkerhed. Desuden bygger forslaget på gældende EU-ret om finansielle tjenesteydelser, som fastsætter omfattende krav til finansielle enheder med hensyn til styring af operationelle risici og sikring af forretningskontinuitet. Enheder, der vedrører sektorerne for digital infrastruktur, bankvirksomhed og finansiel infrastruktur, bør derfor behandles som enheder svarende til kritiske enheder i henhold til dette direktiv med hensyn til medlemsstaternes forpligtelser og aktiviteter, mens dette direktiv ikke vil medføre yderligere forpligtelser for disse enheder.

Forslaget tager også højde for andre sektorspecifikke og tværsektorielle initiativer vedrørende f.eks. civilbeskyttelse, katastroferisikobegrænsning og tilpasning til klimaændringer. Desuden anerkendes det i forslaget, at eksisterende EU-lovgivning i visse tilfælde pålægger enheder forpligtelser til at imødegå visse risici ved hjælp af beskyttelsesforanstaltninger. I sådanne tilfælde, f.eks. vedrørende luftfartssikkerhed eller sikkerhed til søs, bør de kritiske enheder beskrive disse foranstaltninger i deres planer for modstandsdygtighed. Det foreslåede direktiv gælder desuden med forbehold af anvendelsen af konkurrencereglerne som fastsat i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

·Retsgrundlag

·Nærhedsprincippet

·Proportionalitetsprincippet

·Valg af retsakt

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

·Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning

Direktivet om europæisk kritisk infrastruktur var i 2019 genstand for en evaluering med henblik på at vurdere gennemførelsen af direktivet med hensyn til dets relevans, sammenhæng, virkningsfuldhed, effektivitet, EU-merværdi og bæredygtighed 12 .

Evalueringen viste, at konteksten har ændret sig betydeligt, siden direktivet trådte i kraft. På baggrund af disse ændringer blev det konstateret, at direktivet kun havde delvis relevans. Evalueringen viste, at direktivet generelt var i overensstemmelse med relevant europæisk sektorlovgivning og -politik på internationalt plan, men det blev kun anset for at være delvis effektivt, idet nogle af dets bestemmelser havde generel karakter. Det blev konstateret, at direktivet havde skabt EU-merværdi, for så vidt som det skabte resultater (dvs. en fælles ramme for beskyttelse af europæisk kritisk infrastruktur), som hverken nationale eller andre europæiske initiativer ellers kunne have opnået uden at iværksætte meget længerevarende, dyrere og mindre veldefinerede processer. Når det er sagt, blev det konstateret, at visse bestemmelser har haft begrænset merværdi for mange medlemsstater.

Med hensyn til bæredygtighed forventedes visse virkninger af direktivet (f.eks. grænseoverskridende drøftelser, rapporteringskrav) at ophøre, hvis direktivet blev ophævet og ikke erstattet. Evalueringen viste, at der fortsat er støtte fra medlemsstaternes side til, at EU engagerer sig i bestræbelserne på at styrke kritisk infrastrukturs modstandsdygtighed, og at der hersker en vis bekymring for, at en decideret ophævelse af direktivet kan have negative virkninger på dette område, navnlig på beskyttelsen af udpegede europæiske kritiske infrastrukturer. Medlemsstaterne var ivrige efter at sikre, at Unionens engagement på området fortsat overholder nærhedsprincippet, støtter foranstaltninger på nationalt plan og fremmer grænseoverskridende samarbejde, herunder med tredjelande.

·Høringer af interesserede parter

·Indhentning og brug af ekspertbistand

·Konsekvensanalyse

–Løsningsmodel 1: Bibeholdelse af det eksisterende direktiv om europæisk kritisk infrastruktur ledsaget af frivillige foranstaltninger inden for rammerne af det eksisterende EPCIP-program

–Løsningsmodel 2: Revision af det eksisterende direktiv om europæisk kritisk infrastruktur, så det dækker de samme sektorer som det eksisterende NIS-direktiv og fokuserer mere på modstandsdygtighed. Det nye direktiv om europæisk kritisk infrastruktur vil medføre ændringer i den eksisterende proces for udpegning af europæisk kritisk infrastruktur på tværs af grænserne, herunder nye udpegelseskriterier, og nye krav til medlemsstater og operatører

–Løsningsmodel 3: Erstatning af det eksisterende direktiv om europæisk kritisk infrastruktur med et nyt instrument, der har til formål at øge modstandsdygtigheden hos kritiske enheder i de sektorer, der betragtes som væsentlige i det foreslåede NIS 2-direktiv. Under denne løsningsmodel vil man fastsætte minimumskrav for medlemsstater og kritiske enheder, der er identificeret i henhold til den nye ramme. Der vil blive indført en procedure for identifikation af kritiske enheder, der tilbyder tjenester til eller i flere EU-medlemsstater om ikke alle. Gennemførelsen af lovgivningen vil blive støttet af et særligt videncenter i Kommissionen.

–Løsningsmodel 4: Erstatning af det eksisterende direktiv om europæisk kritisk infrastruktur med et nyt instrument, der har til formål at øge modstandsdygtigheden hos kritiske enheder i de sektorer, der betragtes som væsentlige i det foreslåede NIS 2-direktiv, samt en mere væsentlig rolle for Kommissionen med hensyn til at identificere kritiske enheder og oprettelse af et særligt EU-agentur med ansvar for kritisk infrastrukturs modstandsdygtighed (som vil påtage sig rollerne og ansvarsområderne for videncentret, der er foreslået i den foregående løsningsmodel).

·Målrettet regulering og forenkling

·Grundlæggende rettigheder

4.VIRKNINGER FOR BUDGETTET

–Kommissionens støtteaktiviteter, herunder personale, projekter, undersøgelser og støtteaktiviteter

–Rådgivende missioner tilrettelagt af Kommissionen

–Regelmæssige møder i gruppen for kritiske enheders modstandsdygtighed, komitologiudvalget og andre møder.

5.ANDRE FORHOLD

·Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

Gennemførelsen af det foreslåede direktiv vil blive evalueret senest fire et halvt år efter dets ikrafttræden, hvorefter Kommissionen vil forelægge en rapport for Europa-Parlamentet og Rådet. I denne rapport vil det blive vurderet, i hvilket omfang medlemsstaterne har truffet de nødvendige foranstaltninger for at efterkomme direktivet. Kommissionen vil senest seks år efter direktivets ikrafttræden forelægge Europa-Parlamentet og Rådet en rapport med en vurdering af direktivets virkning og merværdi.

·Nærmere redegørelse for de enkelte bestemmelser i forslaget

Genstand, anvendelsesområde og definitioner (artikel 1-2)

I artikel 1 fastsættes direktivets genstand og anvendelsesområde, hvor medlemsstaterne forpligtes til at træffe visse foranstaltninger med henblik på at sikre levering i det indre marked af tjenester, der er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter, navnlig med henblik på at identificere kritiske enheder og sætte dem i stand til at opfylde specifikke forpligtelser, der har til formål at øge deres modstandsdygtighed og forbedre deres evne til at levere disse tjenester i det indre marked. I direktivet fastsættes også regler for tilsyn med og håndhævelse over for kritiske enheder samt specifikt tilsyn med kritiske enheder, der anses for at være af særlig europæisk betydning. I artikel 1 forklares også forholdet mellem direktivet og andre relevante EU-retsakter og betingelserne for udveksling af oplysninger, der er fortrolige i henhold til EU-bestemmelser og nationale bestemmelser, med Kommissionen og andre relevante myndigheder. Artikel 2 indeholder en liste over definitioner, der finder anvendelse.

Nationale rammer for kritiske enheders modstandsdygtighed (artikel 3-9)

Artikel 3 indeholder en bestemmelse om, at medlemsstaterne skal vedtage en strategi for styrkelse af kritiske enheders modstandsdygtighed, en beskrivelse af de elementer, den bør indeholde, en forklaring af, at den bør ajourføres regelmæssigt og om nødvendigt, og en bestemmelse om, at medlemsstaterne skal meddele Kommissionen deres strategier og eventuelle ajourføringer af deres strategier. I artikel 4 fastsættes, at de kompetente myndigheder skal udarbejde en liste over væsentlige tjenester og regelmæssigt foretage en vurdering af alle relevante risici, der kan påvirke leveringen af disse væsentlige tjenester, med henblik på at identificere kritiske enheder. Denne vurdering skal tage højde for de risikovurderinger, der er foretaget i overensstemmelse med andre relevante EU-retsakter, de risici, der opstår som følge af afhængigheden mellem specifikke sektorer, og tilgængelige oplysninger om hændelser. Medlemsstaterne sikrer, at relevante elementer af risikovurderingen stilles til rådighed for kritiske enheder, og at data om de identificerede risikotyper og resultaterne af deres risikovurderinger regelmæssigt stilles til rådighed for Kommissionen.

I henhold til artikel 5 skal medlemsstaterne identificere kritiske enheder i specifikke sektorer og delsektorer. Identifikationsprocessen bør tage højde for resultaterne af risikovurderingen og anvende specifikke kriterier. Medlemsstaterne skal opstille en liste over kritiske enheder, som om nødvendigt ajourføres regelmæssigt. Kritiske enheder skal underrettes behørigt om deres identifikation og de forpligtelser, som dette medfører. De kompetente myndigheder, der er ansvarlige for gennemførelsen af direktivet, skal underrette de kompetente myndigheder, som er ansvarlige for gennemførelsen af NIS 2-direktivet, om identifikationen af kritiske enheder. Hvis en enhed er blevet identificeret som kritisk af to eller flere medlemsstater, indgår medlemsstaterne i samråd med hinanden med henblik på at mindske byrden på den kritiske enhed. Hvis kritiske enheder leverer tjenester til eller i mere end en tredjedel af medlemsstaterne, skal den pågældende medlemsstat underrette Kommissionen om identiteten af disse kritiske enheder.

I artikel 6 defineres begrebet "væsentlig forstyrrende virkning", jf. artikel 5, stk. 2, og det kræves, at medlemsstaterne forelægger Kommissionen visse former for oplysninger vedrørende de kritiske enheder, som de identificerer, og hvordan de blev identificeret. I artikel 6 gives Kommissionen også beføjelse til efter høring af gruppen for kritiske enheders modstandsdygtighed at vedtage relevante retningslinjer.

I artikel 7 fastsættes det, at medlemsstaterne bør identificere enheder i sektorerne for bankvæsen, finansiel markedsinfrastruktur og digital infrastruktur, der kun skal behandles som svarende til kritiske enheder med henblik på kapitel II. Disse enheder bør underrettes om, at de er blevet identificeret.

I artikel 8 fastsættes det, at hver medlemsstat udpeger og sikrer, at der stilles tilstrækkelige ressourcer til rådighed for en eller flere kompetente myndigheder, der er ansvarlige for den korrekte anvendelse af direktivet på nationalt plan, samt et centralt kontaktpunkt, som har til opgave at sikre grænseoverskridende samarbejde. Det centrale kontaktpunkt forelægger regelmæssigt Kommissionen en sammenfattende rapport om anmeldelser af hændelser. Ifølge artikel 8 skal de kompetente myndigheder, der er ansvarlige for anvendelsen af direktivet, samarbejde med andre relevante nationale myndigheder, herunder de kompetente myndigheder, der er udpeget i henhold til NIS 2-direktivet. I artikel 9 fastsættes det, at medlemsstaterne skal yde støtte til kritiske enheder for at sikre deres modstandsdygtighed og fremme samarbejdet og den frivillige udveksling af oplysninger og god praksis mellem kompetente myndigheder og kritiske enheder.

Kritiske enheders modstandsdygtighed (artikel 10-13)

I henhold til artikel 10 skal kritiske enheder regelmæssigt vurdere alle relevante risici på grundlag af nationale risikovurderinger og andre relevante informationskilder. I artikel 11 fastsættes det, at kritiske enheder skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed, og sikre, at disse foranstaltninger er beskrevet i en plan for modstandsdygtighed eller i et eller flere tilsvarende dokumenter. Medlemsstaterne kan anmode Kommissionen om at tilrettelægge rådgivende missioner for at yde rådgivning til kritiske enheder i forbindelse med opfyldelsen af deres forpligtelser. I artikel 11 gives Kommissionen også beføjelse til om nødvendigt at vedtage delegerede retsakter og gennemførelsesretsakter.

I henhold til artikel 12 skal medlemsstaterne sikre, at kritiske enheder kan indgive anmodninger om baggrundskontrol af personer, der henhører eller kan komme til at henhøre under visse specifikke kategorier af personale, og at disse anmodninger skal vurderes hurtigt af de myndigheder, der er ansvarlige for at foretage en sådan baggrundskontrol. I artiklen beskrives formålet med, omfanget og indholdet af baggrundskontrollen, som alle skal være i overensstemmelse med den generelle forordning om databeskyttelse.

I henhold til artikel 13 skal medlemsstaterne sikre, at kritiske enheder underretter den kompetente myndighed om hændelser, der i væsentlig grad forstyrrer eller har potentiale til i væsentlig grad at forstyrre deres aktiviteter. De kompetente myndigheder giver derefter den meddelende kritiske enhed relevante opfølgende oplysninger. Via det centrale kontaktpunkt underretter de kompetente myndigheder også de centrale kontaktpunkter i andre berørte medlemsstater, hvis hændelsen har eller kan have grænseoverskridende virkninger i en eller flere andre medlemsstater.

Specifikt tilsyn med kritiske enheder af særlig europæisk betydning (artikel 14-15)

I artikel 14 defineres kritiske enheder af særlig europæisk betydning som enheder, der er blevet identificeret som kritiske enheder, og som leverer væsentlige tjenester til eller i mere end en tredjedel af medlemsstaterne. Når Kommissionen har modtaget en meddelelse i henhold til artikel 5, stk. 6, underretter den den pågældende enhed om, at den anses for at være en kritisk enhed af særlig europæisk betydning, de forpligtelser, dette medfører, og datoen, fra hvilken disse forpligtelser begynder at finde anvendelse. I artikel 15 beskrives de specifikke tilsynsordninger, der gælder for kritiske enheder af særlig europæisk betydning, som efter anmodning indebærer, at værtsmedlemsstater giver Kommissionen og gruppen for kritiske enheders modstandsdygtighed oplysninger om risikovurderingen i henhold til artikel 10 og de foranstaltninger, der er truffet i overensstemmelse med artikel 11, samt eventuelle tilsyns- eller håndhævelsesforanstaltninger. I artikel 15 fastsættes også, at Kommissionen kan tilrettelægge rådgivende missioner for at vurdere de foranstaltninger, der er iværksat af specifikke kritiske enheder af særlig europæisk betydning. På grundlag af en analyse af resultaterne af den rådgivende mission foretaget af gruppen for kritiske enheders modstandsdygtighed meddeler Kommissionen den medlemsstat, hvor enhedens infrastruktur er beliggende, sine synspunkter om, hvorvidt enheden opfylder sine forpligtelser, og, hvis det er relevant, hvilke foranstaltninger der kan træffes for at forbedre enhedens modstandsdygtighed. I artiklen beskrives sammensætningen, tilrettelæggelsen og finansieringen af de rådgivende missioner. Det fastsættes også, at Kommissionen skal vedtage en gennemførelsesretsakt med regler for de proceduremæssige ordninger for gennemførelse af og udarbejdelse af rapporter om rådgivende missioner.

Samarbejde og rapportering (artikel 16-17)

I artikel 16 beskrives den rolle og de opgaver, som gruppen for kritiske enheders modstandsdygtighed, der består af repræsentanter for medlemsstaterne og Kommissionen, skal varetage. Den støtter Kommissionen og letter det strategiske samarbejde og muligheden for information. Det forklares i artiklen, at Kommissionen vedtager gennemførelsesretsakter, hvori der fastlægges proceduremæssige ordninger, som er nødvendige for gruppen for kritiske enheders modstandsdygtigheds funktion. I henhold til artikel 17 skal Kommissionen, hvor det er relevant, bistå medlemsstater og kritiske enheder med at opfylde deres forpligtelser i henhold til direktivet og supplere medlemsstaternes aktiviteter som omhandlet i artikel 9.

Tilsyn og håndhævelse (artikel 18-19)

I henhold til artikel 18 har medlemsstaterne visse beføjelser, midler og ansvarsområder til at sikre gennemførelsen og håndhævelsen af direktivet. Medlemsstaterne sikrer, at en kompetent myndighed, når den vurderer en kritisk enheds overholdelse af reglerne, underretter de kompetente myndigheder i den berørte medlemsstat, der er udpeget i henhold til NIS 2-direktivet, og kan anmode disse myndigheder om at vurdere en sådan enheds cybersikkerhed og bør samarbejde og udveksle oplysninger med henblik herpå. I henhold til artikel 19 skal medlemsstaterne i overensstemmelse med mangeårig praksis fastsætte bestemmelser om sanktioner for overtrædelser og træffe alle nødvendige foranstaltninger for at sikre, at de iværksættes.

Afsluttende bestemmelser (artikel 20-26)

I henhold til artikel 20 bistås Kommissionen af et udvalg som omhandlet i forordning (EU) nr. 182/2011. Dette er en standardartikel. Artikel 21 tillægger Kommissionen beføjelse til at vedtage delegerede retsakter på de betingelser, der er fastsat i artiklen. Dette er også en standardartikel. I artikel 22 fastsættes det, at Kommissionen forelægger en rapport for Europa-Parlamentet og Rådet med en vurdering af, i hvilket omfang medlemsstaterne har truffet de foranstaltninger, der er nødvendige for at efterleve dette direktiv. Europa-Parlamentet og Rådet skal regelmæssigt forelægges en rapport med en vurdering af direktivets virkninger og merværdi, og af, hvorvidt direktivets anvendelsesområde bør udvides til andre sektorer eller delsektorer, herunder fødevareproduktions-, forarbejdnings- og distributionssektoren.

I artikel 23 fastsættes det, at Direktiv 2008/114/EU ophæves med virkning fra datoen for direktivets ikrafttræden. I henhold til artikel 24 skal medlemsstaterne inden for den fastsatte frist vedtage og offentliggøre de love og administrative bestemmelser, der er nødvendige for at efterkomme direktivet, og underrette Kommissionen herom. Teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv, meddeles Kommissionen. I artikel 25 fastsættes, at direktivet træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende. I artikel 26 bestemmes det, at direktivet er rettet til medlemsstaterne.

2020/0365 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om kritiske enheders modstandsdygtighed

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR ––

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 14 ,

under henvisning til udtalelse fra Regionsudvalget 15 ,

efter den almindelige lovgivningsprocedure 16 , og

ud fra følgende betragtninger:

(1)Rådets direktiv 2008/114/EF 17 indeholder bestemmelser om en procedure for udpegning af europæisk kritisk infrastruktur i energi- og transportsektoren, hvis afbrydelse eller ødelæggelse ville få betydelige grænseoverskridende konsekvenser for mindst to medlemsstater. Direktivet fokuserede udelukkende på beskyttelsen af sådanne infrastrukturer. Evalueringen af direktiv 2008/114/EF, der blev foretaget i 2019 18 , viste imidlertid, at på grund af den stadig mere indbyrdes forbundne og grænseoverskridende karakter af operationer, der anvender kritisk infrastruktur, er beskyttelsesforanstaltninger vedrørende individuelle aktiver i sig selv utilstrækkelige til at forhindre alle afbrydelser. Det er derfor nødvendigt at ændre tilgangen til sikring af kritiske enheders modstandsdygtighed, dvs. deres evne til at afbøde, absorbere, tilpasse sig til og komme på fode igen efter hændelser, der potentielt kan afbryde den kritiske enheds aktiviteter.

(2)På trods af eksisterende foranstaltninger på EU-plan 19 og nationalt plan, der har til formål at støtte beskyttelsen af kritisk infrastruktur i Unionen, er de enheder, der driver disse infrastrukturer, ikke tilstrækkeligt udstyret til at håndtere nuværende og forventede fremtidige risici for deres drift, som kan føre til afbrydelser i leveringen af tjenester, der er afgørende for udførelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter. Dette skyldes et dynamisk trusselsbillede med en voksende terrortrussel og voksende indbyrdes afhængighed mellem infrastrukturer og sektorer samt en øget fysisk risiko som følge af naturkatastrofer og klimaændringer, der øger hyppigheden og omfanget af ekstreme vejrforhold og medfører langsigtede ændringer i det gennemsnitlige klima, som kan reducere kapaciteten og effektiviteten af visse infrastrukturtyper, hvis der ikke er truffet foranstaltninger til at sikre modstandsdygtighed eller klimatilpasning. Desuden anerkendes relevante sektorer og typer af enheder ikke konsekvent som kritiske i alle medlemsstater.

(3)Denne voksende indbyrdes afhængighed er resultatet af et stadig mere grænseoverskridende og indbyrdes afhængigt net af tjenester, der anvender centrale infrastrukturer i hele Unionen inden for sektorerne energi, transport, bankvæsen, finansmarkedsinfrastruktur, digital infrastruktur, drikkevand og spildevand, sundhed, visse aspekter af den offentlige forvaltning samt rummet, for så vidt angår levering af visse tjenester afhængigt af jordbaserede infrastrukturer, der ejes, forvaltes og drives enten af medlemsstaterne eller af private parter, og som derfor ikke dækker infrastrukturer, der ejes, forvaltes eller drives af eller på vegne af Unionen som led i Unionens rumprogrammer. Disse indbyrdes afhængighedsforhold betyder, at enhver afbrydelse, selv en, der oprindeligt var begrænset til én enhed eller én sektor, kan have kaskadevirkninger mere generelt, hvilket potentielt kan føre til vidtrækkende og langvarige negative virkninger for leveringen af tjenester i hele det indre marked. Covid-19-pandemien har vist, at vores stadig mere indbyrdes afhængige samfund er sårbare over for risici med lav sandsynlighed.

(4)De enheder, der er involveret i leveringen af væsentlige tjenester, er i stigende grad underlagt forskellige krav i henhold til medlemsstaternes lovgivning. Det forhold, at nogle medlemsstater har mindre strenge sikkerhedskrav til disse enheder, risikerer ikke kun at have en negativ indvirkning på opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter i hele Unionen, men fører også til hindringer for et velfungerende indre marked. Enheder af samme type betragtes som kritiske i nogle medlemsstater, men ikke i andre, og de enheder, der er identificeret som kritiske, er underlagt forskellige krav i de forskellige medlemsstater. Dette medfører yderligere og unødvendige administrative byrder for virksomheder, der opererer på tværs af grænserne, navnlig for virksomheder, der er aktive i medlemsstater med strengere krav.

(5)Det er derfor nødvendigt at fastsætte harmoniserede minimumsregler for at sikre leveringen af væsentlige tjenester i det indre marked og styrke kritiske enheders modstandsdygtighed.

(6)For at nå dette mål bør medlemsstaterne identificere kritiske enheder, der bør være underlagt specifikke krav og tilsyn, men også yde særlig støtte og vejledning med henblik på at opnå en høj grad af modstandsdygtighed over for alle relevante risici.

(7)Visse økonomiske sektorer såsom energi og transport er allerede reguleret eller kan reguleres i fremtiden gennem sektorspecifikke EU-retsakter, der indeholder regler vedrørende visse aspekter af modstandsdygtigheden hos enheder, som opererer inden for disse sektorer. For at håndtere modstandsdygtigheden hos de enheder, der er afgørende for et velfungerende indre marked, på en omfattende måde bør disse sektorspecifikke foranstaltninger suppleres af de foranstaltninger, der er fastsat i dette direktiv, og som skaber en overordnet ramme, der tager højde for kritiske enheders modstandsdygtighed over for alle farer, dvs. naturlige og menneskeskabte, utilsigtede og forsætlige.

(8)I betragtning af cybersikkerhedens betydning for kritiske enheders modstandsdygtighed og af hensyn til konsekvensen er der behov for en sammenhængende tilgang mellem dette direktiv og Europa-Parlamentets og Rådets direktiv (EU) XX/YY 20 [forslag til direktiv om foranstaltninger, der skal sikre et højt fælles cybersikkerhedsniveau i hele Unionen (i det følgende benævnt "NIS 2-direktivet")], hvor det er muligt. I betragtning af cyberrisicienes øgede hyppighed og særlige karakteristika pålægger NIS 2-direktivet en lang række enheder omfattende krav for at sikre deres cybersikkerhed. Da cybersikkerhed behandles tilstrækkeligt i NIS 2-direktivet, bør de spørgsmål, der er omfattet af det, udelukkes fra dette direktivs anvendelsesområde, uden at dette berører den særlige ordning for enheder i sektoren for digital infrastruktur.

(9)Hvis bestemmelser i andre EU-retsakter kræver, at kritiske enheder vurderer relevante risici, træffer foranstaltninger for at sikre deres modstandsdygtighed eller anmelder hændelser, og disse krav som minimum svarer til de tilsvarende forpligtelser i dette direktiv, bør de relevante bestemmelser i dette direktiv ikke finde anvendelse for at undgå dobbeltarbejde og unødvendige byrder. I så fald bør de relevante bestemmelser i sådanne andre retsakter finde anvendelse. Hvis de relevante bestemmelser i dette direktiv ikke finder anvendelse, bør dets bestemmelser om tilsyn og håndhævelse heller ikke finde anvendelse. Medlemsstaterne bør ikke desto mindre medtage alle de sektorer, der er opført i bilaget, i deres strategi for styrkelse af kritiske enheders modstandsdygtighed, risikovurderingen og støtteforanstaltningerne i henhold til kapitel II og være i stand til at identificere kritiske enheder i de sektorer, hvor de gældende betingelser er opfyldt, under hensyntagen til den særlige ordning for enheder i banksektoren, den finansielle markedsinfrastruktur og den digitale infrastruktursektor.

(10)Med henblik på at sikre en samlet tilgang til kritiske enheders modstandsdygtighed bør hver medlemsstat have en strategi, der fastsætter de mål og politiske foranstaltninger, der skal gennemføres. For at opnå dette bør medlemsstaterne sikre, at deres cybersikkerhedsstrategier skaber en politisk ramme for øget koordinering mellem den kompetente myndighed i henhold til dette direktiv og NIS 2-direktivet i forbindelse med udveksling af oplysninger om hændelser og cybertrusler og udøvelse af tilsynsopgaver.

(11)Medlemsstaternes foranstaltninger til at identificere og bidrage til at sikre kritiske enheders modstandsdygtighed bør følge en risikobaseret tilgang, hvor indsatsen målrettes mod de enheder, der er mest relevante for udførelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter. For at sikre en sådan målrettet tilgang bør hver medlemsstat inden for en harmoniseret ramme foretage en vurdering af alle relevante naturlige og menneskeskabte risici, der kan påvirke leveringen af væsentlige tjenester, herunder ulykker, naturkatastrofer, folkesundhedskriser såsom pandemier og antagonistiske trusler, herunder terrorhandlinger. Når medlemsstaterne foretager disse risikovurderinger, bør de tage hensyn til andre generelle eller sektorspecifikke risikovurderinger, der er foretaget i henhold til andre EU-retsakter, og tage hensyn til afhængigheden mellem sektorer, herunder fra andre medlemsstater og tredjelande. Resultaterne af risikovurderingen bør anvendes i processen med at identificere kritiske enheder og hjælpe disse enheder med at opfylde kravene til modstandsdygtighed i dette direktiv.

(12)For at sikre, at alle relevante enheder er omfattet af disse krav, og for at mindske forskellene i denne henseende er det vigtigt at fastsætte harmoniserede regler, der muliggør en konsekvent identifikation af kritiske enheder i hele Unionen, samtidig med at medlemsstaterne får mulighed for at afspejle særlige nationale forhold. Der bør derfor fastsættes kriterier for identifikation af kritiske enheder. Af hensyn til effektivitet, virkningsfuldhed, konsekvens og retssikkerhed bør der også fastsættes passende regler for underretning og samarbejde vedrørende en sådan identifikation samt de retlige konsekvenser af den. For at gøre det muligt for Kommissionen at vurdere, om dette direktiv anvendes korrekt, bør medlemsstaterne på en måde, der er så detaljeret og specifik som muligt, forelægge Kommissionen relevante oplysninger og under alle omstændigheder en liste over væsentlige tjenester, antallet af kritiske enheder, som er identificeret for hver sektor og delsektor, der er omhandlet i bilaget, og de væsentlige tjenester, som hver enhed leverer, samt eventuelle anvendte tærskler.

(13)Der bør også fastsættes kriterier til bestemmelse af betydningen af en forstyrrende virkning som følge af sådanne hændelser. Disse kriterier bør være baseret på kriterierne i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 21 for at udnytte medlemsstaternes indsats for at identificere disse operatører og de erfaringer, der er gjort i den forbindelse.

(14)Enheder, der vedrører sektoren for digital infrastruktur, er i det væsentlige baseret på net- og informationssystemer og falder ind under anvendelsesområdet for NIS 2-direktivet, som omhandler den fysiske sikkerhed for sådanne systemer som en del af deres forpligtelser med hensyn til risikostyring og rapportering vedrørende cybersikkerhed. Da disse spørgsmål er omfattet af NIS 2-direktivet, finder forpligtelserne i dette direktiv ikke anvendelse på sådanne enheder. I betragtning af den betydning, som tjenester, der leveres af enheder i den digitale infrastruktursektor, har for leveringen af andre væsentlige tjenester, bør medlemsstaterne på grundlag af kriterierne og ved anvendelse af proceduren i dette direktiv med de fornødne ændringer identificere enheder vedrørende sektoren for digital infrastruktur, der kun bør behandles som svarende til kritiske enheder med henblik på kapitel II, herunder bestemmelsen om medlemsstaternes støtte til at styrke disse enheders modstandsdygtighed. Sådanne enheder bør derfor ikke være underlagt de forpligtelser, der er fastsat i kapitel III-VI. Eftersom de i kapitel II fastsatte forpligtelser for kritiske enheder til at give visse oplysninger til de kompetente myndigheder vedrører anvendelsen af kapitel III og IV, bør disse enheder heller ikke være omfattet af disse forpligtelser.

(15)I gældende EU-ret om finansielle tjenesteydelser fastsættes der omfattende krav til finansielle enheder om at håndtere alle risici, de står over for, herunder operationelle risici, og sikre forretningskontinuitet. Dette omfatter Europa-Parlamentets og Rådets forordning (EF) nr. 648/2012 22 , Europa-Parlamentets og Rådets forordning (EF) 2014/65/EU 23 og Europa-Parlamentets og Rådets forordning (EF) nr. 600/2014 24 samt Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 25 og Europa-Parlamentets og Rådets Direktiv 2013/36/EU 26 . Kommissionen har for nylig foreslået at supplere denne ramme med Europa-Parlamentets og Rådets forordning XX/YYYY [forslag til forordning om digital operationel modstandsdygtighed i den finansielle sektor (i det følgende benævnt "DORA-forordningen") 27 ], som fastsætter krav til finansielle virksomheder om at styre IKT-risici, herunder beskyttelse af fysiske IKT-infrastrukturer. Eftersom modstandsdygtigheden hos de enheder, der er opført i punkt 3 og 4 i bilaget, er fuldt ud omfattet af gældende EU-ret om finansielle tjenesteydelser, bør disse enheder også behandles som svarende til kritiske enheder med henblik på kapitel II i dette direktiv. For at sikre en konsekvent anvendelse af reglerne om operationel risiko og digital modstandsdygtighed i den finansielle sektor bør medlemsstaternes støtte til forbedring af den samlede modstandsdygtighed hos finansielle enheder svarende til kritiske enheder sikres af de myndigheder, der er udpeget i henhold til artikel 41 i [DORA-forordningen], og med forbehold af de procedurer, der er fastsat i denne lovgivning, på en fuldt ud harmoniseret måde.

(16)Medlemsstaterne bør udpege myndigheder, der har kompetence til at føre tilsyn med anvendelsen af og om nødvendigt håndhæve reglerne i dette direktiv, og sikre, at disse myndigheder har tilstrækkelige beføjelser og ressourcer. I betragtning af forskellene i de nationale forvaltningsstrukturer og for at beskytte allerede eksisterende sektorspecifikke ordninger eller tilsyns- og reguleringsorganer på EU-plan og for at undgå overlapning bør medlemsstaterne kunne udpege mere end én kompetent myndighed. I så fald bør de dog klart afgrænse de berørte myndigheders respektive opgaver og sikre, at de samarbejder gnidningsløst og effektivt. Alle kompetente myndigheder bør også samarbejde mere generelt med andre relevante myndigheder, både på nationalt plan og EU-plan.

(17)For at lette grænseoverskridende samarbejde og kommunikation og muliggøre en effektiv gennemførelse af dette direktiv bør hver medlemsstat, uden at dette berører sektorspecifikke EU-retlige krav, inden for en af de myndigheder, den har udpeget som kompetent myndighed i henhold til dette direktiv, udpege et centralt kontaktpunkt med ansvar for at koordinere spørgsmål vedrørende kritiske enheders modstandsdygtighed og grænseoverskridende samarbejde på EU-plan i denne henseende.

(18)Eftersom enheder, der er identificeret som kritiske enheder, og identificerede enheder i sektoren for digital infrastruktur, der skal behandles som ækvivalente i henhold til dette direktiv, er underlagt cybersikkerhedskravene i NIS 2-direktivet, bør de kompetente myndigheder, der er udpeget i henhold til de to direktiver, samarbejde, navnlig i forbindelse med cybersikkerhedsrisici og -hændelser, der påvirker disse enheder.

(19)Medlemsstaterne bør støtte kritiske enheder i at styrke deres modstandsdygtighed i overensstemmelse med deres forpligtelser i henhold til dette direktiv, uden at dette berører enhedernes eget retlige ansvar for at sikre en sådan overholdelse. Medlemsstaterne kan navnlig udvikle vejledningsmaterialer og -metoder, støtte tilrettelæggelsen af øvelser for at teste deres modstandsdygtighed og tilbyde uddannelse til personale i kritiske enheder. I betragtning af den indbyrdes afhængighed mellem enheder og sektorer bør medlemsstaterne desuden indføre redskaber til udveksling af oplysninger til støtte for frivillig udveksling af oplysninger mellem kritiske enheder, uden at dette berører anvendelsen af konkurrencereglerne i traktaten om Den Europæiske Unions funktionsmåde.

(20)For at kunne sikre deres modstandsdygtighed bør kritiske enheder have en omfattende forståelse af alle relevante risici, som de er eksponeret for, og analysere disse risici. Med henblik herpå bør de foretage risikovurderinger, når det er nødvendigt i lyset af deres særlige omstændigheder og udviklingen i disse risici, dog under alle omstændigheder hvert fjerde år. Kritiske enheders risikovurderinger bør baseres på den risikovurdering, som medlemsstaterne har foretaget.

(21)Kritiske enheder bør træffe organisatoriske og tekniske foranstaltninger, der er passende og står i et rimeligt forhold til de risici, de står over for, for at forebygge, modstå, afbøde, absorbere, tilpasse sig og komme på fode igen efter en hændelse. Selv om kritiske enheder bør træffe foranstaltninger på alle de punkter, der er anført i dette direktiv, bør detaljerne og omfanget af foranstaltningerne afspejle de forskellige risici, som hver enhed har identificeret som led i sin risikovurdering, og de særlige forhold, der gør sig gældende for en sådan enhed, på en hensigtsmæssig og forholdsmæssig måde.

(22)Af hensyn til effektiviteten og ansvarligheden bør kritiske enheder beskrive disse foranstaltninger med en detaljeringsgrad for i tilstrækkelig grad at nå disse mål, under hensyntagen til de identificerede risici, i en plan for modstandsdygtighed eller i et eller flere dokumenter, der svarer til en plan for modstandsdygtighed, og anvende denne plan i praksis. Et sådant tilsvarende dokument eller sådanne tilsvarende dokumenter kan udarbejdes i overensstemmelse med krav og standarder, der er udviklet i forbindelse med internationale aftaler om fysisk beskyttelse, som medlemsstaterne er parter i, herunder konventionen om fysisk beskyttelse af nukleare materialer og nukleare anlæg, alt efter hvad der er relevant.

(23)I Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 28 , Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 29 og Europa-Parlamentets og Rådets direktiv 2005/65/EF 30 fastsættes krav til enheder i luftfarts- og søtransportsektoren med henblik på at forebygge hændelser forårsaget af ulovlige handlinger og modstå og afbøde følgerne af sådanne hændelser. Selv om de foranstaltninger, der kræves i dette direktiv, er bredere med hensyn til de risici, der skal håndteres, og de typer af foranstaltninger, der skal træffes, bør kritiske enheder i disse sektorer i deres plan for modstandsdygtighed eller tilsvarende dokumenter afspejle de foranstaltninger, der er truffet i henhold til disse andre EU-retsakter. Desuden kan kritiske enheder, når de gennemfører modstandsdygtighedsforanstaltninger i henhold til dette direktiv, overveje at henvise til ikkebindende retningslinjer og dokumenter om god praksis, der er udarbejdet under sektorspecifikke arbejdsgange, såsom EU's sikkerhedsplatform for jernbanepassagerer 31 .

(24)Risikoen for, at ansatte i kritiske enheder misbruger f.eks. deres adgangsret inden for enhedens organisation til at skade og forvolde skade, giver anledning til stigende bekymring. Denne risiko forværres af det voksende fænomen med radikalisering, der fører til voldelig ekstremisme og terrorisme. Det er derfor nødvendigt at give kritiske enheder mulighed for at anmode om baggrundskontrol af personer, der tilhører specifikke kategorier af dens personale, og sikre, at disse anmodninger vurderes hurtigt af de relevante myndigheder i overensstemmelse med de gældende EU-regler og national ret, herunder om beskyttelse af personoplysninger.

(25)Kritiske enheder bør, så snart det med rimelighed er muligt under de givne omstændigheder, underrette medlemsstaternes kompetente myndigheder om hændelser, der i væsentlig grad forstyrrer eller har potentiale til i væsentlig grad at forstyrre deres aktiviteter. Underretningen bør gøre det muligt for de kompetente myndigheder at reagere hurtigt og hensigtsmæssigt på hændelser og danne sig et samlet overblik over de samlede risici, som kritiske enheder står over for. Med henblik herpå bør der fastlægges en procedure for anmeldelse af visse hændelser, og der bør fastsættes parametre for at fastslå, hvornår den faktiske eller potentielle forstyrrelse er væsentlig, og hændelserne derfor skal anmeldes. I betragtning af de potentielle grænseoverskridende virkninger af sådanne forstyrrelser bør der indføres en procedure for, at medlemsstaterne kan underrette andre berørte medlemsstater via centrale kontaktpunkter.

(26)Selv om kritiske enheder generelt opererer som en del af et stadig mere sammenkoblet net af tjenester og infrastrukturer og ofte leverer væsentlige tjenester i mere end én medlemsstat, er nogle af disse enheder af særlig betydning for Unionen, fordi de leverer væsentlige tjenester til et stort antal medlemsstater og derfor kræver specifikt tilsyn på EU-plan. Der bør derfor fastsættes regler for det specifikke tilsyn med sådanne kritiske enheder af særlig europæisk betydning. Disse regler berører ikke reglerne om tilsyn og håndhævelse i dette direktiv.

(27)Hvis en medlemsstat mener, at der er behov for yderligere oplysninger for at kunne rådgive en kritisk enhed om opfyldelse af dens forpligtelser i henhold til kapitel III eller vurdere, om en kritisk enhed af særlig europæisk betydning opfylder disse forpligtelser, bør Kommissionen efter aftale med den medlemsstat, hvor den pågældende enheds infrastruktur er beliggende, tilrettelægge en rådgivende mission for at vurdere de foranstaltninger, som den pågældende enhed har iværksat. For at sikre, at sådanne rådgivende missioner gennemføres korrekt, bør der fastsættes supplerende regler, navnlig for deres tilrettelæggelse og gennemførelse, den opfølgning, der skal foretages, og forpligtelserne for de berørte kritiske enheder af særlig europæisk betydning. De rådgivende missioner bør, uden at det berører behovet for, at den medlemsstat, hvor den rådgivende mission gennemføres, og den berørte enhed overholder reglerne i dette direktiv, gennemføres i henhold til de detaljerede regler i den pågældende medlemsstats lovgivning, f.eks. om de præcise betingelser, der skal opfyldes for at få adgang til relevante lokaler eller dokumenter, og om domstolsprøvelse. Der kan, hvor det er relevant, anmodes om specifik ekspertbistand til sådanne missioner via katastrofeberedskabskoordinationscentret.

(28)For at støtte Kommissionen og lette strategisk samarbejde og udveksling af oplysninger, herunder bedste praksis, om spørgsmål vedrørende dette direktiv bør der nedsættes en gruppe for kritiske enheders modstandsdygtighed, som er en ekspertgruppe under Kommissionen. Medlemsstaterne bør bestræbe sig på at sikre et effektivt samarbejde mellem de udpegede repræsentanter for deres kompetente myndigheder i gruppen for kritiske enheders modstandsdygtighed. Gruppen bør begynde at udføre sine opgaver seks måneder efter dette direktivs ikrafttræden for at tilvejebringe yderligere midler til passende samarbejde i løbet af gennemførelsesperioden for dette direktiv.

(29)For at nå målene i dette direktiv, og uden at dette berører medlemsstaternes og kritiske enheders retlige ansvar for at sikre, at de respektive forpligtelser, der er fastsat heri, overholdes, bør Kommissionen, når den finder det hensigtsmæssigt, gennemføre visse støtteaktiviteter med henblik på at lette overholdelsen af disse forpligtelser. Når Kommissionen yder støtte til medlemsstaterne og kritiske enheder i forbindelse med gennemførelsen af forpligtelserne i henhold til dette direktiv, bør den tage udgangspunkt i eksisterende strukturer og værktøjer såsom dem under EU-civilbeskyttelsesmekanismen og det europæiske netværk af referencecentre for beskyttelse af kritisk infrastruktur.

(30)Medlemsstaterne bør sikre, at deres kompetente myndigheder har visse specifikke beføjelser til at sikre en korrekt anvendelse og håndhævelse af dette direktiv i forbindelse med kritiske enheder, når disse enheder hører under deres jurisdiktion som fastsat i dette direktiv. Disse beføjelser bør navnlig omfatte beføjelse til at gennemføre inspektioner, tilsyn og revision, kræve, at kritiske enheder fremlægger oplysninger og dokumentation vedrørende de foranstaltninger, de har truffet for at opfylde deres forpligtelser, og om nødvendigt udstede påbud for at afhjælpe konstaterede overtrædelser. Når medlemsstaterne udsteder sådanne påbud, bør de ikke kræve foranstaltninger, der går ud over, hvad der er nødvendigt og rimeligt for at sikre, at den pågældende kritiske enhed overholder kravene, navnlig under hensyntagen til overtrædelsens alvor og den kritiske enheds økonomiske formåen. Mere generelt bør disse beføjelser ledsages af passende og effektive garantier, der fastsættes i national ret i overensstemmelse med kravene i Den Europæiske Unions charter om grundlæggende rettigheder. Ved vurderingen af, om en kritisk enhed overholder sine forpligtelser i henhold til dette direktiv, bør de kompetente myndigheder, der er udpeget i henhold til dette direktiv, kunne anmode de kompetente myndigheder, som er udpeget i henhold til NIS 2-direktivet, om at vurdere disse enheders cybersikkerhed. Disse kompetente myndigheder bør samarbejde og udveksle oplysninger med henblik herpå.

(31)For at tage hensyn til nye risici, teknologiske udviklinger eller særlige forhold i en eller flere af sektorerne bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om Den Europæiske Unions funktionsmåde for at supplere de modstandsdygtighedsforanstaltninger, som kritiske enheder skal træffe, ved yderligere at specificere nogle af eller alle disse foranstaltninger. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning 32 . For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelsen af delegerede retsakter.

(32)For at sikre ensartede betingelser for gennemførelsen af dette direktiv tillægges Kommissionen gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 33 .

(33)Målene for dette direktiv, nemlig at sikre levering på det indre marked af tjenester, der er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter, og at øge modstandsdygtigheden hos kritiske enheder, som leverer sådanne tjenester, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af foranstaltningens virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå disse mål.

(34)Direktiv 2008/114/EF bør derfor ophæves —

VEDTAGET DETTE DIREKTIV:

KAPITEL I
Genstand, anvendelsesområde og definitioner

Artikel 1
Genstand og anvendelsesområde

1.Ved nærværende direktiv

(a)fastsættes forpligtelser for medlemsstaterne til at træffe visse foranstaltninger med henblik på at sikre levering på det indre marked af tjenester, der er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter, navnlig med henblik på at identificere kritiske enheder og enheder, der skal behandles som ligestillede i visse henseender, og sætte dem i stand til at opfylde deres forpligtelser

(b)fastsættes forpligtelser for kritiske enheder med henblik på at øge deres modstandsdygtighed og forbedre deres evne til at levere disse tjenester på det indre marked

(c)fastsættes regler for tilsyn med og håndhævelse over for kritiske enheder samt specifikt tilsyn med kritiske enheder, der anses for at være af særlig europæisk betydning.

2.Dette direktiv finder ikke anvendelse på spørgsmål, der er omfattet af direktiv (EU) XX/YY [forslag til direktiv om foranstaltninger, der skal sikre et højt fælles cybersikkerhedsniveau i hele Unionen ("NIS 2-direktivet")], jf. dog artikel 7.

3.Hvis bestemmelser i sektorspecifikke EU-retsakter kræver, at kritiske enheder træffer foranstaltninger som fastsat i kapitel III, og hvis disse krav som minimum svarer til de forpligtelser, der er fastsat i dette direktiv, finder de relevante bestemmelser i dette direktiv, herunder bestemmelsen om tilsyn og håndhævelse i kapitel VI, ikke anvendelse.

4.Oplysninger, der er fortrolige i henhold til EU-regler og nationale regler, som f.eks. regler om forretningshemmeligheder, udveksles med forbehold af artikel 346 i TEUF kun med Kommissionen og andre relevante myndigheder, hvis en sådan udveksling er nødvendig for anvendelsen af dette direktiv. De udvekslede oplysninger begrænses til, hvad der er relevant og forholdsmæssigt under hensyn til formålet med udvekslingen. Udvekslingen af oplysninger sikrer de nævnte oplysningers fortrolighed og beskytter sikkerheden og de kommercielle interesser hos kritiske enheder.

Artikel 2
Definitioner

I dette direktiv forstås ved:

(1)"kritisk enhed": en offentlig eller privat enhed af den type, der er omhandlet i bilaget, og som er blevet identificeret som sådan af en medlemsstat i overensstemmelse med artikel 5

(2)"modstandsdygtighed": evnen til at forebygge, modstå, afbøde, absorbere, tilpasse sig til og komme på fode igen efter en hændelse, der afbryder eller har potentiale til at afbryde en kritisk enheds drift

(3)"hændelse": enhver begivenhed, der har potentiale til at afbryde eller afbryder den kritiske enheds drift

(4) "infrastruktur": et aktiv, et system eller en del heraf, som er nødvendigt for levering af en væsentlig tjeneste

(5) "væsentlig tjeneste": en tjeneste, der er væsentlig for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter

(6)"risiko": enhver omstændighed eller begivenhed, der har en potentiel negativ indvirkning på kritiske enheders modstandsdygtighed

(7)"risikovurdering": en metode til at bestemme arten og omfanget af en risiko ved at analysere potentielle trusler og farer samt evaluere eksisterende sårbarhedsforhold, der kan afbryde den kritiske enheds drift.

KAPITEL II
Nationale rammer for kritiske enheders modstandsdygtighed

Artikel 3
Strategi for kritiske enheders modstandsdygtighed

1.Hver medlemsstat vedtager senest den [tre år efter dette direktivs ikrafttræden] en strategi til styrkelse af kritiske enheders modstandsdygtighed. Denne strategi skal indeholde strategiske mål og politiske foranstaltninger med henblik på at opnå og opretholde en høj grad af modstandsdygtighed hos disse kritiske enheder og som minimum omfatte de sektorer, der er omhandlet i bilaget.

2.Strategien skal som minimum indeholde følgende elementer:

(a)strategiske mål og prioriteter med henblik på at styrke kritiske enheders overordnede modstandsdygtighed under hensyntagen til den indbyrdes afhængighed på tværs af grænser og sektorer

(b)en forvaltningsramme for at nå de strategiske mål og prioriteter, herunder en beskrivelse af roller og ansvarsområder for de forskellige myndigheder, kritiske enheder og andre parter, der er involveret i gennemførelsen af strategien

(c)en beskrivelse af de foranstaltninger, der er nødvendige for at øge kritiske enheders samlede modstandsdygtighed, herunder en national risikovurdering, identifikation af kritiske enheder og enheder svarende til kritiske enheder, og de foranstaltninger til støtte for kritiske enheder, der træffes i overensstemmelse med dette kapitel

(d)en politisk ramme for øget koordinering mellem de kompetente myndigheder i henhold til artikel 8 i dette direktiv og i henhold til [NIS 2-direktivet] med henblik på udveksling af oplysninger om hændelser og cybertrusler samt udøvelse af tilsynsopgaver.

Strategien ajourføres, når det er nødvendigt, og mindst hvert fjerde år.

3.Medlemsstaterne meddeler deres strategier og eventuelle ajourføringer af deres strategier til Kommissionen senest tre måneder efter vedtagelsen heraf.

Artikel 4
Medlemsstaternes risikovurdering

1.De kompetente myndigheder, der er udpeget i henhold til artikel 8, udarbejder en liste over væsentlige tjenester i de sektorer, der er omhandlet i bilaget. De foretager senest den [tre år efter dette direktivs ikrafttræden] og efterfølgende, når det er nødvendigt, og mindst hvert fjerde år en vurdering af alle relevante risici, der kan påvirke leveringen af disse væsentlige tjenester, med henblik på at identificere kritiske enheder i overensstemmelse med artikel 5, stk. 1, og på at bistå disse kritiske enheder med at træffe foranstaltninger i henhold til artikel 11.

Ved risikovurderingen tages der højde for alle relevante naturlige og menneskeskabte risici, herunder ulykker, naturkatastrofer, folkesundhedskriser, antagonistiske trusler, herunder terrorhandlinger i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2017/541 34 .

2.Ved udførelsen af risikovurderingen tager medlemsstaterne som minimum hensyn til:

(a)den generelle risikovurdering, som udføres i henhold til artikel 6, stk. 1, i Europa-Parlamentets og Rådets af afgørelse nr. 1313/2013 35  

(b)andre relevante risikovurderinger, der udføres i overensstemmelse med kravene i de relevante sektorspecifikke EU-retsakter, herunder Europa-Parlamentets og Rådets forordning (EU) 2019/941 36 og Europa-Parlamentets og Rådets forordning (EU) 2017/1938 37

(c)eventuelle risici som følge af afhængigheden mellem de sektorer, der er omhandlet i bilaget, herunder fra andre medlemsstater og tredjelande, og den indvirkning, som en afbrydelse i en sektor kan have på andre sektorer

(d)eventuelle oplysninger om hændelser, der er anmeldt i overensstemmelse med artikel 13.

Med henblik på første afsnit, litra c), samarbejder medlemsstaterne med de kompetente myndigheder i andre medlemsstater og tredjelande, alt efter hvad der er relevant.

3.Medlemsstaterne stiller de relevante elementer af den i stk. 1 omhandlede risikovurdering til rådighed for de kritiske enheder, som de identificerede i overensstemmelse med artikel 5, med henblik på at bistå disse kritiske enheder med at udføre deres risikovurdering i henhold til artikel 10 og træffe foranstaltninger til at sikre deres modstandsdygtighed i henhold til artikel 11.

4.Hver medlemsstat forsyner Kommissionen med data om de identificerede risikotyper og resultaterne af risikovurderingerne pr. sektor og delsektor, jf. bilaget, senest den [tre år efter dette direktivs ikrafttræden] og derefter, når det er nødvendigt, og mindst hvert fjerde år.

5.Kommissionen kan i samarbejde med medlemsstaterne udvikle en frivillig fælles indberetningsmodel med henblik på at overholde stk. 4.

Artikel 5
Identifikation af kritiske enheder

1.Senest den [tre år og tre måneder efter dette direktivs ikrafttræden ] identificerer medlemsstaterne for hver sektor og delsektor, der er omhandlet i bilaget, bortset fra punkt 3, 4 og 8 heri, de kritiske enheder.

2.Når medlemsstaterne identificerer kritiske enheder i henhold til stk. 1, tager de hensyn til resultaterne af risikovurderingen, jf. artikel 4, og anvender følgende kriterier:

(a)enheden leverer en eller flere væsentlige tjenester

(b)(leveringen af den pågældende tjeneste afhænger af den infrastruktur, der er beliggende i medlemsstaten) og

(c)en hændelse vil have betydelige forstyrrende virkninger for leveringen af tjenesten eller andre væsentlige tjenester i de sektorer, der er omhandlet i bilaget, og som er afhængige af tjenesten.

3.Hver medlemsstat opstiller en liste over de identificerede kritiske enheder og sikrer, at disse kritiske enheder underrettes om deres identifikation som kritiske enheder inden for en måned efter denne identifikation, og underretter dem om deres forpligtelser, jf. kapitel II og III, og om den dato, fra hvilken bestemmelserne i disse kapitler finder anvendelse på dem.

For de berørte kritiske enheder finder bestemmelserne i dette kapitel anvendelse fra datoen for meddelelsen, og bestemmelserne i kapitel III finder anvendelse fra seks måneder efter denne dato.

4.Medlemsstaterne sikrer, at deres kompetente myndigheder, som er udpeget i henhold til artikel 8 i dette direktiv, underretter de kompetente myndigheder, som medlemsstaterne har udpeget i henhold til artikel 8 i [NIS 2-direktivet], om identiteten af de kritiske enheder, som de har identificeret i henhold til denne artikel, senest en måned efter denne identifikation.

5.Efter den i stk. 3 omhandlede underretning sikrer medlemsstaterne, at kritiske enheder giver de kompetente myndigheder, der er udpeget i henhold til artikel 8 i dette direktiv, oplysninger om, hvorvidt de er blevet identificeret som en kritisk enhed i en eller flere andre medlemsstater. Hvis en enhed er blevet identificeret som kritisk af to eller flere medlemsstater, indgår disse medlemsstater i samråd med hinanden med henblik på at mindske byrden for den kritiske enhed for så vidt angår forpligtelserne i henhold til kapitel III.

6.Med henblik på kapitel IV sikrer medlemsstaterne, at kritiske enheder efter den i stk. 3 omhandlede underretning giver de kompetente myndigheder, der er udpeget i henhold til artikel 8 i dette direktiv, oplysninger om, hvorvidt de leverer væsentlige tjenester til eller i mere end en tredjedel af medlemsstaterne. Hvis dette er tilfældet, underretter den pågældende medlemsstat uden unødig forsinkelse Kommissionen om identiteten af disse kritiske enheder.

7.Medlemsstaterne reviderer og ajourfører om nødvendigt og under alle omstændigheder mindst hvert fjerde år listen over identificerede kritiske enheder.

Hvis disse ajourføringer fører til identifikation af yderligere kritiske enheder, finder stk. 3, 4, 5 og 6 anvendelse. Medlemsstaterne sikrer desuden, at enheder, der ikke længere identificeres som kritiske enheder i henhold til en sådan ajourføring, får meddelelse herom og underrettes om, at de ikke længere er omfattet af forpligtelserne i henhold til kapitel III fra modtagelsen af disse oplysninger.

Artikel 6
Væsentlig forstyrrende virkning

1.Ved fastlæggelsen af betydningen af en forstyrrende virkning, jf. artikel 5, stk. 2, litra c), tager medlemsstaterne som minimum hensyn til følgende kriterier:

(a)antal brugere, der er afhængige af de tjenester, som udbydes af enheden

(b)andre sektorers, jf. bilaget, afhængighed af den pågældende tjeneste

(c)de konsekvenser, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet og den offentlige sikkerhed

(d)virksomhedens markedsandel på markedet for sådanne tjenester

(e)det geografiske område, der kan blive berørt af en hændelse, herunder eventuelle grænseoverskridende virkninger

(f)enhedens betydning med henblik på at opretholde et tilstrækkeligt tjenesteniveau under hensyntagen til tilgængelige alternative måder til levering af denne tjeneste.

2.Medlemsstaterne sender senest den [tre år og tre måneder efter dette direktivs ikrafttræden] Kommissionen følgende oplysninger:

(a)den i artikel 4, stk. 1, nævnte liste over tjenester

(b)antallet af identificerede kritiske enheder for hver sektor og delsektor, der er omhandlet i bilaget, og den eller de tjenesteydelser, der er omhandlet i artikel 4, stk. 1, som hver enhed leverer

(c)eventuelle tærskler, der anvendes til at specificere et eller flere af kriterierne i stk. 1.

De forelægger efterfølgende disse oplysninger, når det er nødvendigt, og mindst hvert fjerde år.

3.Kommissionen kan efter høring af gruppen for kritiske enheders modstandsdygtighed vedtage retningslinjer for at lette anvendelsen af kriterierne i stk. 1 under hensyntagen til de i stk. 2 omhandlede oplysninger.

Artikel 7
Enheder svarende til kritiske enheder i henhold til dette kapitel

1. For så vidt angår de sektorer, der er omhandlet i punkt 3, 4 og 8 i bilaget, identificerer medlemsstaterne senest den [tre år og tre måneder efter dette direktivs ikrafttræden] de enheder, der skal behandles som svarende til kritiske enheder med henblik på dette kapitel. De anvender bestemmelserne i artikel 3, artikel 4, artikel 5, stk. 1-4 og stk. 7, og artikel 9 på disse enheder.

2. For så vidt angår enheder i de sektorer, der er omhandlet i punkt 3 og 4 i bilaget, som er identificeret i henhold til stk. 1, sikrer medlemsstaterne med henblik på anvendelsen af artikel 8, stk. 1, at de myndigheder, der er udpeget som kompetente myndigheder, er de kompetente myndigheder, som er udpeget i henhold til artikel 41 i [DORA-forordningen].

3. Medlemsstaterne sikrer, at de i stk. 1 omhandlede enheder uden unødig forsinkelse underrettes om deres identifikation som enheder som omhandlet i denne artikel.

Artikel 8
Kompetente myndigheder og centralt kontaktpunkt

1.Hver medlemsstat udpeger en eller flere kompetente myndigheder, der er ansvarlige for korrekt anvendelse og om nødvendigt håndhævelse af reglerne i dette direktiv på nationalt plan ("kompetent myndighed"). Medlemsstaterne kan udpege en eller flere eksisterende myndigheder.

Hvis de udpeger mere end én myndighed, skal de klart angive de berørte myndigheders respektive opgaver og sikre, at de samarbejder effektivt for at udføre deres opgaver i henhold til dette direktiv, herunder med hensyn til udpegelsen af det centrale kontaktpunkt og dets aktiviteter, jf. stk. 2.

2.Hver medlemsstat udpeger inden for rammerne af den kompetente myndighed et centralt kontaktpunkt til at varetage en forbindelsesfunktion for at sikre grænseoverskridende samarbejde med kompetente myndigheder i andre medlemsstater og med gruppen for kritiske enheders modstandsdygtighed, jf. artikel 16 ("centralt kontaktpunkt").

3.Senest den [tre år og seks måneder efter dette direktivs ikrafttræden] og derefter hvert år forelægger de centrale kontaktpunkter en sammenfattende rapport for Kommissionen og for gruppen for kritiske enheders modstandsdygtighed om de modtagne underretninger, herunder antallet af underretninger, arten af anmeldte hændelser og de foranstaltninger, der er truffet i overensstemmelse med artikel 13, stk. 3.

4.Hver medlemsstat sikrer, at den kompetente myndighed, herunder det centrale kontaktpunkt, der er udpeget inden for denne, har beføjelser og tilstrækkelige finansielle, menneskelige og tekniske ressourcer til på en virkningsfuld og effektiv måde at udføre de opgaver, den har fået pålagt.

5.Medlemsstaterne sikrer, at deres kompetente myndigheder, når det er hensigtsmæssigt og i overensstemmelse med EU-retten og national ret, hører og samarbejder med andre relevante nationale myndigheder, navnlig dem, der er ansvarlige for civilbeskyttelse, retshåndhævelse og beskyttelse af personoplysninger, samt med relevante interesserede parter, herunder kritiske enheder.

6.Medlemsstaterne sikrer, at deres kompetente myndigheder, der er udpeget i henhold til denne artikel, samarbejder med kompetente myndigheder, der er udpeget i henhold til [NIS 2-direktivet], om cybersikkerhedsrisici og cyberhændelser, som påvirker kritiske enheder, samt de foranstaltninger, der træffes af kompetente myndigheder, der er udpeget i henhold til [NIS 2-direktivet], og som er relevante for kritiske enheder.

7.Hver medlemsstat underretter Kommissionen om udpegelsen af den kompetente myndighed og det centrale kontaktpunkt senest tre måneder efter udpegelsen, herunder deres præcise opgaver og ansvarsområder i henhold til dette direktiv, deres kontaktoplysninger og eventuelle efterfølgende ændringer heraf. Hver medlemsstat offentliggør sin udpegelse af den kompetente myndighed og det centrale kontaktpunkt.

8.Kommissionen offentliggør listen over medlemsstaternes centrale kontaktpunkter.

Artikel 9
Medlemsstaternes støtte til kritiske enheder

1.Medlemsstaterne støtter kritiske enheder i deres bestræbelser på at øge deres modstandsdygtighed. Denne støtte kan omfatte udvikling af vejledningsmaterialer og -metoder, støtte til tilrettelæggelse af øvelser med henblik på at teste deres modstandsdygtighed og uddannelse af personale i kritiske enheder.

2.Medlemsstaterne sikrer, at de kompetente myndigheder samarbejder og udveksler oplysninger og god praksis med kritiske enheder i de sektorer, der er omhandlet i bilaget.

3.Medlemsstaterne indfører værktøjer til udveksling af oplysninger til støtte for frivillig udveksling af oplysninger mellem kritiske enheder i forbindelse med spørgsmål, der er omfattet af dette direktiv, i overensstemmelse med EU-retten og national ret om navnlig konkurrence og beskyttelse af personoplysninger.

Kapitel III
Kritiske enheders modstandsdygtighed

Artikel 10
Kritiske enheders risikovurdering

Medlemsstaterne sikrer, at kritiske enheder senest seks måneder efter modtagelsen af den i artikel 5, stk. 3, omhandlede underretning og efterfølgende, når det er nødvendigt, og mindst hvert fjerde år på grundlag af medlemsstaternes risikovurderinger og andre relevante informationskilder vurderer alle relevante risici, der kan forstyrre deres drift.

Risikovurderingen tager højde for alle relevante risici, der er omhandlet i artikel 4, stk. 1, og som kan føre til afbrydelse af leveringen af væsentlige tjenester. Den tager hensyn til andre sektorers eventuelle afhængighed af den væsentlige tjeneste, der leveres af den kritiske enhed, herunder i nabomedlemsstater og tredjelande, hvor det er relevant, og den indvirkning, som en afbrydelse af leveringen af væsentlige tjenester i en eller flere af disse sektorer kan have på den væsentlige tjeneste, der leveres af den kritiske enhed.

Artikel 11
Foranstaltninger til sikring af kritiske enheders modstandsdygtighed

1.Medlemsstaterne sikrer, at kritiske enheder træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed, herunder foranstaltninger, der er nødvendige for at:

(a)forebygge hændelser, herunder gennem foranstaltninger til nedbringelse af katastroferisici og klimatilpasning

(b)sikre tilstrækkelig fysisk beskyttelse af følsomme områder, faciliteter og anden infrastruktur, herunder hegn, barrierer, værktøjer og rutiner til overvågning af perimetre samt detektionsudstyr og adgangskontrol

(c)modstå og afbøde følgerne af hændelser, herunder gennemførelsen af risiko- og krisestyringsprocedurer samt protokoller og varslingsrutiner

(d)sikre genopretning efter hændelser, herunder foranstaltninger vedrørende forretningskontinuitet og identifikation af alternative forsyningskæder

(e)sikre passende sikkerhedsstyring for medarbejderne, herunder ved at fastsætte kategorier af personale, der udøver kritiske funktioner, fastlægge adgangsrettigheder til følsomme områder, faciliteter og anden infrastruktur og til følsomme oplysninger samt identificere specifikke personalekategorier med henblik på artikel 12

(f)øge bevidstheden blandt det relevante personale om de foranstaltninger, der er omhandlet i litra a)-e).

2.Medlemsstaterne sikrer, at kritiske enheder har indført og anvender en plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter med en detaljeret beskrivelse af foranstaltningerne i henhold til stk. 1. Hvis kritiske enheder har truffet foranstaltninger i henhold til forpligtelser i andre EU-retsakter, som også er relevante for de foranstaltninger, der er omhandlet i stk. 1, beskriver de også disse foranstaltninger i planen for modstandsdygtighed eller et eller flere tilsvarende dokumenter.

3.Efter anmodning fra den medlemsstat, der identificerede den kritiske enhed, og med samtykke fra den berørte kritiske enhed tilrettelægger Kommissionen rådgivende missioner i overensstemmelse med de ordninger, som er fastsat i artikel 15, stk. 4, 5, 7 og 8, for at rådgive den pågældende kritiske enhed om opfyldelsen af dens forpligtelser i henhold til kapitel III. Den rådgivende mission aflægger rapport til Kommissionen, den pågældende medlemsstat og den berørte kritiske enhed om sine resultater.

4.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 21 med henblik på at supplere stk. 1 ved at fastsætte detaljerede regler, der præciserer nogle af eller alle de foranstaltninger, der skal træffes i henhold til nævnte stykke. Den vedtager disse delegerede retsakter i det omfang, det er nødvendigt for en effektiv og konsekvent anvendelse af nævnte stykke i overensstemmelse med målene for dette direktiv, under hensyntagen til enhver relevant udvikling inden for risici, teknologi eller levering af de pågældende tjenester samt til eventuelle særlige forhold vedrørende bestemte sektorer og typer af enheder.

5.Kommissionen vedtager gennemførelsesretsakter med henblik på at fastsætte de nødvendige tekniske og metodiske specifikationer vedrørende anvendelsen af de i stk. 1 omhandlede foranstaltninger. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 20, stk. 2.

Artikel 12
Baggrundskontrol

1.Medlemsstaterne sikrer, at kritiske enheder kan indgive anmodninger om baggrundskontrol af personer, der tilhører visse specifikke kategorier af deres personale, herunder personer, de overvejer at ansætte i stillinger inden for disse kategorier, og at disse anmodninger hurtigt vurderes af de myndigheder, der er kompetente til at foretage en sådan baggrundskontrol.

2.I overensstemmelse med gældende EU-ret og national ret, herunder Europa-Parlamentets og Rådets forordning (EU) 2016/679 38 skal en baggrundskontrol som omhandlet i stk. 1:

(a)fastslå en persons identitet på grundlag af dokumentation

(b)omfatte alle strafferegistre i mindst de foregående fem år og i højst ti år om lovovertrædelser, der er relevante for ansættelse i en bestemt stilling, i den eller de medlemsstater, hvor den pågældende person er statsborger, og i en af de medlemsstater eller tredjelande, hvor vedkommende har bopæl i den pågældende periode

(c)omfatte tidligere beskæftigelse, uddannelse og eventuelle huller i uddannelse eller beskæftigelse i den pågældendes CV i mindst de foregående fem år og i højst ti år.

For så vidt angår første afsnit, litra b), sikrer medlemsstaterne, at deres myndigheder, der har kompetence til at foretage baggrundskontrol, indhenter oplysninger om strafferegistre fra andre medlemsstater gennem ECRIS i overensstemmelse med procedurerne i Rådets rammeafgørelse 2009/315/RIA og, hvor det er relevant, Europa-Parlamentets og Rådets forordning (EU) 2019/816 39 . De centrale myndigheder, jf. artikel 3 i nævnte rammeafgørelse og artikel 3, stk. 5, i nævnte forordning, besvarer anmodninger om sådanne oplysninger senest 10 arbejdsdage efter modtagelsen af anmodningen.

3.I overensstemmelse med gældende EU-ret og national ret, herunder forordning (EU) 2016/679, sikrer hver medlemsstat, at en baggrundskontrol som omhandlet i stk. 1 også kan udvides på grundlag af en behørigt begrundet anmodning fra den kritiske enhed for at trække på efterretninger og alle andre tilgængelige objektive oplysninger, som måtte være nødvendige for at fastslå, om den pågældende person er egnet til at beklæde den stilling, for hvilken den kritiske enhed har anmodet om en udvidet baggrundskontrol.

Artikel 13
Underretning om hændelser

1.Medlemsstaterne sikrer, at kritiske enheder uden unødig forsinkelse underretter den kompetente myndighed om hændelser, der i væsentlig grad forstyrrer eller har potentiale til i væsentlig grad at forstyrre deres drift. Underretninger skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder med henblik på at fastslå hændelsens eventuelle grænseoverskridende virkninger. Underretningen medfører ikke et øget ansvar for den kritiske enhed.

2.Med henblik på at fastlægge omfanget af en hændelses konsekvenser tages navnlig følgende kriterier i betragtning:

(a)antallet af brugere, der berøres af forstyrrelsen eller den potentielle forstyrrelse af den væsentlige tjeneste

(b)varigheden af forstyrrelsen eller den forventede varighed af en potentiel forstyrrelse

(c)det geografiske område, der er berørt af forstyrrelsen eller den potentielle forstyrrelse.

3.På grundlag af oplysningerne i underretningen fra den kritiske enhed underretter den kompetente myndighed via sit centrale kontaktpunkt det centrale kontaktpunkt i andre berørte medlemsstater, hvis hændelsen har eller kan have en væsentlig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester i en eller flere andre medlemsstater.

I den forbindelse behandler de centrale kontaktpunkter i overensstemmelse med EU-retten eller national lovgivning, der er i overensstemmelse med EU-retten, oplysningerne på en måde, der respekterer oplysningernes fortrolighed og beskytter den pågældende kritiske enheds sikkerhed og kommercielle interesser.  

4.Så snart den kompetente myndighed er blevet underrettet i overensstemmelse med stk. 1, giver den den kritiske enhed, der har underrettet den, relevante oplysninger om opfølgningen af underretningen, herunder oplysninger, som kan understøtte den kritiske enheds effektive reaktion på hændelsen.

Kapitel IV
Specifikt tilsyn med kritiske enheder af særlig europæisk betydning

Artikel 14
Kritiske enheder af særlig europæisk betydning

1.Kritiske enheder af særlig europæisk betydning er underlagt specifikt tilsyn i overensstemmelse med dette kapitel.

2.En enhed betragtes som en kritisk enhed af særlig europæisk betydning, når den er blevet identificeret som en kritisk enhed og leverer væsentlige tjenester til eller i mere end en tredjedel af medlemsstaterne og som sådan er blevet anmeldt til Kommissionen i henhold til henholdsvis artikel 5, stk. 1 og 6.

3.Kommissionen underretter hurtigst muligt efter modtagelsen af underretningen i henhold til artikel 5, stk. 6, den berørte enhed om, at den anses for at være en kritisk enhed af særlig europæisk betydning, og underretter enheden om dens forpligtelser i henhold til dette kapitel og om, fra hvilken dato disse forpligtelser finder anvendelse på enheden.

Bestemmelserne i dette kapitel finder anvendelse på den kritiske enhed af særlig europæisk betydning fra datoen for modtagelsen af denne meddelelse.

Artikel 15
Specifikt tilsyn

1.Efter anmodning fra en eller flere medlemsstater eller fra Kommissionen underretter den medlemsstat, hvor infrastrukturen i den kritiske enhed af særlig europæisk betydning befinder sig, sammen med den pågældende enhed Kommissionen og gruppen for kritiske enheders modstandsdygtighed om resultatet af den risikovurdering, der er foretaget i henhold til artikel 10, og de foranstaltninger, der er truffet i henhold til artikel 11.

Den pågældende medlemsstat underretter også uden unødig forsinkelse Kommissionen og gruppen for kritiske enheders modstandsdygtighed om eventuelle tilsyns- eller håndhævelsesforanstaltninger, herunder vurderinger af overholdelse eller udstedte påbud, som dens kompetente myndighed har truffet i henhold til artikel 18 og 19 over for den pågældende enhed.

2.Efter anmodning fra en eller flere medlemsstater eller på eget initiativ og efter aftale med den medlemsstat, hvor infrastrukturen i den kritiske enhed af særlig europæisk betydning befinder sig, tilrettelægger Kommissionen en rådgivende mission for at vurdere, hvilke foranstaltninger den pågældende enhed har truffet for at opfylde sine forpligtelser i henhold til kapitel III. Om nødvendigt kan de rådgivende missioner anmode om særlig ekspertise inden for katastroferisikostyring gennem katastrofeberedskabskoordinationscentret.

3.Den rådgivende mission rapporterer sine resultater til Kommissionen, gruppen for kritiske enheders modstandsdygtighed og den kritiske enhed af særlig europæisk betydning senest tre måneder efter afslutningen af den rådgivende mission.

Gruppen for kritiske enheders modstandsdygtighed analyserer rapporten og rådgiver om nødvendigt Kommissionen om, hvorvidt den kritiske enhed af særlig europæisk betydning opfylder sine forpligtelser i henhold til kapitel III, og, hvis det er relevant, hvilke foranstaltninger der kan træffes for at forbedre enhedens modstandsdygtighed.

Kommissionen underretter på grundlag af denne rådgivning den medlemsstat, hvor enhedens infrastruktur er beliggende, gruppen for kritiske enheders modstandsdygtighed og enheden om sin holdning til, hvorvidt enheden opfylder sine forpligtelser i henhold til kapitel III, og, hvis det er relevant, hvilke foranstaltninger der kan træffes for at forbedre enhedens modstandsdygtighed.

Den pågældende medlemsstat tager behørigt hensyn til disse synspunkter og forelægger Kommissionen og gruppen for kritiske enheders modstandsdygtighed oplysninger om de foranstaltninger, den har truffet i henhold til meddelelsen.

4.Hver rådgivende mission består af eksperter fra medlemsstaterne og repræsentanter for Kommissionen. Medlemsstaterne kan foreslå kandidater til at deltage i en rådgivende mission. Kommissionen udvælger og udnævner medlemmerne af hver rådgivende mission i overensstemmelse med deres faglige kapacitet og sikrer en geografisk afbalanceret repræsentation blandt medlemsstaterne. Kommissionen afholder omkostningerne i forbindelse med deltagelsen i den rådgivende mission.

Kommissionen tilrettelægger programmet for en rådgivende mission i samråd med medlemmerne af den specifikke rådgivende mission og efter aftale med den medlemsstat, hvor infrastrukturen i den kritiske enhed eller den kritiske enhed af europæisk betydning befinder sig.

5.Kommissionen vedtager en gennemførelsesretsakt, der fastsætter regler om de proceduremæssige ordninger for gennemførelse af og rapporter om rådgivende missioner. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 20, stk. 2.

6.Medlemsstaterne sikrer, at den kritiske enhed af særlig europæisk betydning giver den rådgivende mission adgang til alle de oplysninger, systemer og faciliteter, der vedrører leveringen af dens væsentlige tjenester, og som er nødvendige for udførelsen af dens opgaver.

7.Den rådgivende mission gennemføres i overensstemmelse med gældende national ret i den medlemsstat, hvor infrastrukturen er beliggende.

8.Ved tilrettelæggelsen af de rådgivende missioner tager Kommissionen hensyn til rapporterne om eventuelle inspektioner udført af Kommissionen i henhold til forordning (EF) nr. 300/2008 og forordning (EF) nr. 725/2004 og til rapporterne om enhver overvågning, som Kommissionen har foretaget i henhold til direktiv 2005/65/EF vedrørende den kritiske enhed eller den kritiske enhed af særlig europæisk betydning, alt efter hvad der er relevant.

Kapitel V
Samarbejde og rapportering

Artikel 16
Gruppen for kritiske enheders modstandsdygtighed

1.Der oprettes en gruppe for kritiske enheders modstandsdygtighed med virkning fra den [seks måneder efter dette direktivs ikrafttræden]. Den støtter Kommissionen og letter det strategiske samarbejde og udvekslingen af oplysninger om spørgsmål vedrørende dette direktiv.

2.Gruppen for kritiske enheders modstandsdygtighed består af repræsentanter for medlemsstaterne og Kommissionen. Hvis det er relevant for udførelsen af dens opgaver, kan gruppen for kritiske enheders modstandsdygtighed indbyde repræsentanter for interesserede parter til at deltage i dens arbejde.

Kommissionens repræsentant er formand for gruppen for kritiske enheders modstandsdygtighed.

3.Gruppen for kritiske enheders modstandsdygtighed har følgende opgaver:

(a)at bistå Kommissionen med at hjælpe medlemsstaterne med at styrke deres kapacitet til at bidrage til at sikre kritiske enheders modstandsdygtighed i overensstemmelse med dette direktiv

(b)at evaluere strategierne for modstandsdygtigheden i de i artikel 3 omhandlede kritiske enheder og identificere bedste praksis med hensyn til disse strategier

(c)at lette udvekslingen af bedste praksis med hensyn til medlemsstaternes identifikation af kritiske enheder i overensstemmelse med artikel 5, herunder i forbindelse med grænseoverskridende afhængighed og med hensyn til risici og hændelser

(d)efter anmodning at bidrage til udarbejdelsen af de i artikel 6, stk. 3, omhandlede retningslinjer og eventuelle delegerede retsakter og gennemførelsesretsakter i henhold til dette direktiv

(e)årligt at gennemgå de i artikel 8, stk. 3, omhandlede sammenfattende rapporter

(f)at udveksle bedste praksis om udveksling af oplysninger vedrørende anmeldelse af hændelser, jf. artikel 13

(g)at analysere og rådgive om rapporter fra rådgivende missioner i overensstemmelse med artikel 15, stk. 3

(h)at udveksle oplysninger og bedste praksis om forskning og udvikling i forbindelse med kritiske enheders modstandsdygtighed i henhold til dette direktiv

(i)hvis det er relevant, at udveksle oplysninger om forhold vedrørende kritiske enheders modstandsdygtighed med Unionens relevante institutioner, organer, kontorer og agenturer.

4.Senest den [24 måneder efter dette direktivs ikrafttræden] og derefter hvert andet år udarbejder gruppen for kritiske enheders modstandsdygtighed et arbejdsprogram vedrørende tiltag, der skal iværksættes for at gennemføre dens mål og opgaver, og som skal være i overensstemmelse med målene i dette direktiv.

5.Gruppen for kritiske enheders modstandsdygtighed mødes regelmæssigt og mindst en gang om året med samarbejdsgruppen, der er nedsat i henhold til [NIS 2-direktivet] for at fremme strategisk samarbejde og udveksling af oplysninger.  

6.Kommissionen vedtager gennemførelsesretsakter, hvori der fastlægges proceduremæssige ordninger, som er nødvendige for gruppen for kritiske enheders modstandsdygtigheds funktion. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 20, stk. 2.

7.Kommissionen forelægger gruppen for kritiske enheders modstandsdygtighed en sammenfattende rapport om de oplysninger, som medlemsstaterne har indgivet i henhold til artikel 3, stk. 3, og artikel 4, stk. 4, senest den [tre år og seks måneder efter dette direktivs ikrafttræden] og derefter, når det er nødvendigt, og mindst hvert fjerde år.

Artikel 17
Kommissionens støtte til kompetente myndigheder og kritiske enheder

1.Kommissionen støtter, hvor det er relevant, medlemsstaterne og kritiske enheder i opfyldelsen af deres forpligtelser i henhold til dette direktiv, navnlig ved at udarbejde en oversigt på EU-plan over grænseoverskridende og tværsektorielle risici i forbindelse med leveringen af væsentlige tjenester, tilrettelægge de i artikel 11, stk. 3, og artikel 15, stk. 3, omhandlede rådgivende missioner og lette udvekslingen af oplysninger mellem eksperter i hele Unionen.

2.Kommissionen supplerer medlemsstaternes aktiviteter som omhandlet i artikel 9 ved at udvikle bedste praksis og metoder og ved at udvikle grænseoverskridende uddannelsesaktiviteter og øvelser for at afprøve kritiske enheders modstandsdygtighed.

Kapitel VI
TILSYN OG HÅNDHÆVELSE

Artikel 18
Gennemførelse og håndhævelse

1.Med henblik på at vurdere, om de enheder, som medlemsstaterne har udpeget som kritiske enheder i henhold til artikel 5, overholder forpligtelserne i henhold til dette direktiv, sikrer de, at de kompetente myndigheder har beføjelser og midler til at:

(a)foretage inspektioner på stedet af de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med kritiske enheders foranstaltninger i henhold til artikel 11

(b)gennemføre eller kræve revision af disse enheder.

2.Medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til, hvor det er nødvendigt for udførelsen af deres opgaver i henhold til dette direktiv, at kræve, at de enheder, som de har udpeget som kritiske enheder i henhold til stk. 5, inden for en rimelig tidsfrist, der fastsættes af disse myndigheder, fremlægger:

(a)de oplysninger, der er nødvendige for at vurdere, om de foranstaltninger, der træffes af dem for at sikre deres modstandsdygtighed, opfylder kravene i artikel 11

(b)dokumentation for den faktiske gennemførelse af disse foranstaltninger, herunder resultaterne af en revision udført af en uafhængig og kvalificeret uafhængig revisor udvalgt af denne enhed og udført for dennes regning.

Når der anmodes om disse oplysninger, angiver de kompetente myndigheder formålet med kravet og anfører, hvilke oplysninger der kræves.

3.Uden at det berører muligheden for at pålægge sanktioner i overensstemmelse med artikel 19, kan de kompetente myndigheder efter de i stk. 1 omhandlede tilsynsforanstaltninger eller vurderingen af de i stk. 2 omhandlede oplysninger pålægge de berørte kritiske enheder at træffe de nødvendige og forholdsmæssige foranstaltninger for at afhjælpe enhver konstateret overtrædelse af dette direktiv inden for en rimelig frist, der fastsættes af disse myndigheder, og give disse myndigheder oplysninger om de trufne foranstaltninger. Disse påbud skal navnlig tage hensyn til overtrædelsens grovhed.

4.Medlemsstaterne sikrer, at de i stk. 1, 2 og 3 omhandlede beføjelser kun kan udøves med forbehold af de fornødne garantier. Disse garantier skal navnlig sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og legitime interesser beskyttes behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive retsmidler ved en uafhængig domstol.

5.Medlemsstaterne sikrer, at en kompetent myndighed, når den vurderer en kritisk enheds regeloverholdelse i henhold til denne artikel, underretter de kompetente myndigheder i den berørte medlemsstat, der er udpeget i henhold til [NIS 2-direktivet], og kan anmode disse myndigheder om at vurdere en sådan enheds cybersikkerhed samt samarbejde og udveksle oplysninger med henblik herpå.

Artikel 19
Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale regler, som er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre, at de gennemføres. Sanktionerne skal være effektive, forholdsmæssige og have afskrækkende virkning. Medlemsstaterne giver senest den [to år efter dette direktiv ikrafttræden] Kommissionen meddelelse om disse bestemmelser og meddeler omgående senere ændringer af betydning for bestemmelserne.

Kapitel VII
AFSLUTTENDE BESTEMMELSER

Artikel 20
Udvalgsprocedure

1.Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

Artikel 21
Udøvelse af de delegerede beføjelser

1.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter på de i denne artikel anførte betingelser.

2.Beføjelsen til at vedtage delegerede retsakter, jf. artikel 11, stk. 4, tillægges Kommissionen for en periode på fem år fra datoen for dette direktivs ikrafttræden eller enhver anden dato fastsat af medlovgiverne.

3.Den i artikel 11, stk. 4, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

4.Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5.Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

6.En delegeret retsakt vedtaget i henhold til artikel 11, stk. 4, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 22
Rapporter og revision

Kommissionen forelægger senest den [54 måneder år efter dette direktivs ikrafttræden] Europa-Parlamentet og Rådet en rapport, hvori det vurderes, hvorvidt medlemsstaterne har truffet de nødvendige foranstaltninger med henblik på at efterleve dette direktiv.

Kommissionen tager regelmæssigt dette direktivs funktion op til revision og forelægger en rapport for Europa-Parlamentet og Rådet. Rapporten vurderer navnlig dette direktivs virkning og merværdi med hensyn til at sikre kritiske enheders modstandsdygtighed, og hvorvidt direktivets anvendelsesområde bør udvides til at omfatte andre sektorer eller delsektorer. Den første rapport forelægges senest den [seks år efter dette direktivs ikrafttræden] og vurderer navnlig, om direktivets anvendelsesområde bør udvides til at omfatte sektoren for produktion, forarbejdning og distribution af fødevarer.

Artikel 23
Ophævelse af direktiv 2008/114/EF

Direktiv 2008/114/EU ophæves med virkning fra den [datoen for dette direktivs ikrafttræden].

Artikel 24
Gennemførelse

1.Medlemsstaterne vedtager og offentliggør senest den [18 måneder efter dette direktivs ikrafttræden] de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen disse love og bestemmelser.

De anvender disse love og bestemmelser fra den [to år efter direktivets ikrafttræden + en dag].

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

2.Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 25
Ikrafttræden

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 26
Adressater

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den […].

FINANSIERINGSOVERSIGT

1.FORSLAGETS/INITIATIVETS RAMME 

1.1.Forslagets/initiativets betegnelse

1.2.Berørt(e) politikområde(r) 

Sikkerhed

1.3.Forslaget/initiativet vedrører: 

◻ en ny foranstaltning 

◻ en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende foranstaltning 40  

☑ en forlængelse af en eksisterende foranstaltning 

◻ en sammenlægning eller omlægning af en eller flere foranstaltninger til en ny/anden foranstaltning 

1.4.Mål

1.4.1.Generelle mål

1.4.2.Specifikke mål

1.4.3.Forventede resultater og virkninger

Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgruppen.

1.4.4.Resultatindikatorer

Angiv indikatorerne til overvågning af fremskridt og resultater.

1.5.Forslagets/initiativets begrundelse 

1.5.1.Krav, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for gennemførelse af initiativet

1.5.2.Merværdi ved en indsats fra EU's side (f.eks. koordineringsfordele, retssikkerhed, større effektivitet eller komplementaritet). Ved "merværdien ved en indsats fra EU's side" forstås her merværdien af EU's intervention i forhold til den værdi, som medlemsstaterne ville have skabt enkeltvis.

1.5.3.Erfaringer fra lignende foranstaltninger

1.5.4.Sammenhæng med den flerårige finansielle ramme og eventuelle synergivirkninger med andre relevante instrumenter

1.6.Forslagets/initiativets varighed og finansielle virkninger

◻ begrænset varighed

◻    gældende fra [DD/MM]YYYY til [DD/MM]YYYY

◻    Finansielle virkninger fra YYYY til YYYY for forpligtelsesbevillinger og fra YYYY til YYYY for betalingsbevillinger.

☑ ubegrænset varighed

·Iværksættelse med en indkøringsperiode fra 2021 til 2027,

·derefter gennemførelse i fuldt omfang.

1.7.Påtænkt(e) forvaltningsmetode(r) 41  

☑ Direkte forvaltning ved Kommissionen

☑ i dens tjenestegrene, herunder ved dens personale i EU's delegationer

◻    i gennemførelsesorganer

☑ Delt forvaltning i samarbejde med medlemsstaterne

◻ Indirekte forvaltning ved at overlade budgetgennemførelsesopgaver til:

◻ tredjelande eller organer, som tredjelande har udpeget

◻ internationale organisationer og deres organer (angives nærmere)

◻ Den Europæiske Investeringsbank og Den Europæiske Investeringsfond

◻ de organer, der er omhandlet i finansforordningens artikel 70 og 71

◻ offentligretlige organer

◻ privatretlige organer, der har fået overdraget samfundsopgaver, forudsat at de stiller tilstrækkelige finansielle garantier

◻ privatretlige organer, undergivet lovgivningen i en medlemsstat, som har fået overdraget gennemførelsen af et offentlig-privat partnerskab, og som stiller tilstrækkelige finansielle garantier

◻ personer, der har fået overdraget gennemførelsen af specifikke aktioner i den fælles udenrigs- og sikkerhedspolitik i henhold til afsnit V i traktaten om Den Europæiske Union, og som er udpeget i den relevante basisretsakt.

Hvis der angives flere forvaltningsmetoder, gives der en nærmere forklaring i afsnittet "Bemærkninger".

Bemærkninger

2.FORVALTNINGSFORANSTALTNINGER 

2.1.Bestemmelser om kontrol og rapportering 

Angiv hyppighed og betingelser.

2.2.Forvaltnings- og kontrolsystem(er) 

2.2.1.Begrundelse for den/de påtænkte forvaltningsmetode(r), finansieringsmekanisme(r), betalingsvilkår og kontrolstrategi

2.2.2.Oplysninger om de udpegede risici og det/de interne kontrolsystem(er), der etableres for at afbøde dem

2.2.3.Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet (forholdet mellem kontrolomkostningerne og værdien af de forvaltede midler) samt vurdering af den forventede risiko for fejl (ved betaling og ved afslutning) 

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder 

Angiv eksisterende eller påtænkte forebyggelses- og beskyttelsesforanstaltninger, f.eks. fra strategien til bekæmpelse af svig.

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER 

3.1.Berørt(e) udgiftspost(er) på budgettet og udgiftsområde(r) i den flerårige finansielle ramme 

(1) Nye budgetposter

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

Bemærkning:

Det bør bemærkes, at de bevillinger, der anmodes om i forbindelse med forslaget, er omfattet af de bevillinger, der allerede er afsat i den finansieringsoversigt, som ligger til grund for forordningen for Fonden for Intern Sikkerhed.

Der anmodes om yderligere menneskelige ressourcer i forbindelse med dette lovgivningsforslag.

3.2.Forslagets anslåede finansielle virkninger for bevillingerne 

3.2.1.Sammenfatning af de anslåede virkninger for aktionsbevillingerne 

◻    Forslaget/initiativet medfører ikke anvendelse af aktionsbevillinger

☑    Forslaget/initiativet medfører anvendelse af aktionsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

GD: HOME				2021	2022	2023	2024	2025	2026	2027	Efter 2027	I ALT
•Aktionsbevillinger
Budgetpost 12 02 01 Fonden for Intern Sikkerhed	Forpligtelser	(1a)		0,124	4,348	5,570	6,720	7,020	7,020	7,020		37,822
	Betalinger	(2a)		0,540	4,323	5,357	5,403	5,403	5,403	5,403	5,989	37,822
Administrationsbevillinger finansieret     over bevillingsrammen for særprogrammer 45
Budgetpost		(3)
Bevillinger I ALT til GD HOME	Forpligtelser	=1a+1b +3		0,124	4,348	5,570	6,720	7,020	7,020	7,020		37,822
	Betalinger	=2a+2b +3		0,540	4,323	5,357	5,403	5,403	5,403	5,403	5,989	37,822

Hvis flere driftsmæssige udgiftsområder påvirkes af forslaget/initiativet, indsættes der et tilsvarende afsnit for hvert udgiftsområde

Dette afsnit skal udfyldes ved hjælp af de "administrative budgetoplysninger", der først skal indføres i bilaget til finansieringsoversigten (bilag V til de interne regler), som uploades til DECIDE med henblik på høring af andre tjenestegrene.

i mio. EUR (tre decimaler)

Bevillinger I ALT under UDGIFTSOMRÅDE 7 i den flerårige finansielle ramme

(Forpligtelser i alt = Betalinger i alt)

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,151

i mio. EUR (tre decimaler)

3.2.2.Anslåede resultater finansieret med aktionsbevillinger Forpligtelsesbevillinger i mio. (tre decimaler)

3.2.3.Sammenfatning af de anslåede virkninger for administrationsbevillingerne 

◻    Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger

☑    Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

Uden for UDGIFTSOMRÅDE 7 46  i den flerårige finansielle ramme
Menneskelige ressourcer
Other expenditure af administrativ art
Subtotal uden for UDGIFTSOMRÅDE 7 of the multiannual financial framework

I ALT

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,188

Bevillingerne til menneskelige ressourcer og andre administrationsudgifter vil blive dækket ved hjælp af de bevillinger, der i forvejen er afsat til generaldirektoratets forvaltning af aktionen, og/eller ved intern omfordeling i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

3.2.3.1.Anslået behov for menneskelige ressourcer

◻    Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer

☑    Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som anført herunder:

Overslag angives i årsværk

XX angiver det berørte politikområde eller budgetafsnit.

Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet allerede har afsat til aktionen, og/eller interne rokader i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

Opgavebeskrivelse:

3.2.4.Forenelighed med indeværende flerårige finansielle ramme 

Forslaget/initiativet:

☑    kan finansieres fuldt ud gennem omfordeling inden for det relevante udgiftsområde i den flerårige finansielle ramme (FFR).

◻    kræver anvendelse af den uudnyttede margen under det relevante udgiftsområde i FFR og/eller anvendelse af særlige instrumenter som fastlagt i FFR-forordningen.

◻    kræver, at der foretages en revision af FFR.

3.2.5.Tredjemands bidrag til finansieringen 

Forslaget/initiativet:

☑    indeholder ikke bestemmelser om samfinansiering med tredjemand

◻    indeholder bestemmelser om samfinansiering, jf. følgende overslag:

Bevillinger i mio. EUR (tre decimaler)

3.3.Anslåede virkninger for indtægterne 

☑    Forslaget/initiativet har ingen finansielle virkninger for indtægterne

◻    Forslaget/initiativet har følgende finansielle virkninger:

◻    for egne indtægter

◻    for andre indtægter

Angiv, om indtægterne er formålsbestemte ◻    

i mio. EUR (tre decimaler)

For indtægter, der er formålsbestemte, angives det, hvilke af budgettets udgiftsposter der påvirkes.

Andre bemærkninger (f.eks. om hvilken metode/formel der er benyttet til at beregne virkningerne for indtægterne).

(1)    Rådets konklusioner af 10. december 2019 om supplerende tiltag for at styrke modstandsdygtigheden og imødegå hybride trusler (14972/19).

(2)    Beslutning om resultater og henstillinger fra Europa-Parlamentets Særlige Udvalg om Terrorisme (2018/2044 (INI)).

(3)    Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.

(4)    COM(2020) 605.

(5)    COM(2020) 795.

(6)    Meddelelse fra Kommissionen om et europæisk program for beskyttelse af kritisk infrastruktur (COM(2006) 786).

(7)    Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre.

(8)    Meddelelse fra Kommissionen om en EU-strategi for tilpasning til klimaændringer (COM(2013) 216 final). Europa-Parlamentets og Rådets afgørelse nr. 1313/2013/EU af 17. december 2013 om en EU-civilbeskyttelsesmekanisme, forordning 2019/452 om et regelsæt for screening af udenlandske direkte investeringer i Unionen, direktiv 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.

(9)    Overview of natural and man-made disaster risks the European Union may face (oversigt over de natur- og menneskeskabte katastroferisici, som Den Europæiske Union kan stå over for) (SWD(2020) 330).

(10)    SWD(2019) 308.

(11)    Meddelelse fra Kommissionen om strategien for EU's sikkerhedsunion (COM(2020) 605).

(12)    SWD(2019) 310.

(13)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (EUT L 119 af 4.5.2016, s. 1).

(14)    EUT C , , s. .

(15)    EUT C […], […], s. […].

(16)    Europa-Parlamentets […] og Rådets holdning […].

(17)    Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EUT L 345 af 23.12.2008, s. 75).

(18)    SWD(2019) 308.

(19)    Det europæiske program for beskyttelse af kritisk infrastruktur (EPCIP).

(20)    [Henvisning til NIS 2-direktivet, når det er vedtaget.]

(21)    Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).

(22)    Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).

(23)    Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).

(24)    Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af forordning (EU) nr. 648/2012 (EUT L 173 af 12.6.2014, s. 84).

(25)    Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).

(26)    Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).

(27)    Forslag til Europa-Parlamentets og Rådets forordning om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 og (EU) nr. 909/2014 (COM(2020) 595).

(28)    Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97/72 af 9.4.2008, s. 72).

(29)    Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter (EUT L 129 af 29.4.2004, s. 6).

(30)    Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring (EUT L 310 af 25.11.2005, s. 28).

(31)    Kommissionens afgørelse af 29. juni 2018 om oprettelse af EU's sikkerhedsplatform for jernbanepassagerer C/2018/4014.

(32)    EUT L 123 af 12.5 2016, s. 1.

(33)    Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(34)    Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme og om erstatning af Rådets rammeafgørelse 2002/475/RIA og ændring af Rådets afgørelse 2005/671/RIA (EUT L 88 af 31.3.2017, s. 6).

(35)    Europa-Parlamentets og Rådets afgørelse nr. 1313/2013/EU af 17. december 2013 om en EU-civilbeskyttelsesmekanisme (EUT L 347 af 20.12.2013, s. 924).

(36)    Europa-Parlamentets og Rådets forordning (EU) 2019/941 af 5. juni 2019 om risikoberedskab i elsektoren og om ophævelse af direktiv 2005/89/EF (EUT L 158 af 14.6.2019, s. 1).

(37)    Europa-Parlamentets og Rådets forordning (EU) 2017/1938 af 25. oktober 2017 om foranstaltninger til opretholdelse af gasforsyningssikkerheden og ophævelse af forordning (EU) nr. 994/2010 (EUT L 280 af 28.10.2017, s. 1).

(38)    EUT L 119 af 4.5 2016, s. 1.

(39)    EUT L 135 af 22.5 2019, s. 1.

(40)    Jf. finansforordningens artikel 58, stk. 2, litra a) hhv. b).

(41)    Forklaringer vedrørende forvaltningsmetoder og henvisninger til finansforordningen findes på webstedet BudgWeb: https://myintracomm.ec.europa.eu/budgweb/DA/man/budgmanag/Pages/budgmanag.aspx  

(42)    OB = opdelte bevillinger/IOB = ikke-opdelte bevillinger.

(43)    EFTA: Den Europæiske Frihandelssammenslutning.

(44)    Kandidatlande og, efter omstændighederne, potentielle kandidatlande på Vestbalkan.

(45)    Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.

(46)    Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.

(47)    KA = kontraktansatte, LA: lokalt ansatte, UNE: udstationerede nationale eksperter, V: vikarer, JED: junioreksperter ved delegationerne.

(48)    Delloft for eksternt personale under aktionsbevillingerne (tidligere BA-poster).

(49)    År n er det år, hvor gennemførelsen af forslaget/initiativet begynder. I stedet for "n" indsættes det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også for de følgende år.

(50)    Med hensyn til EU's traditionelle egne indtægter (told og sukkerafgifter) opgives beløbene netto, dvs. bruttobeløb, hvorfra der er trukket opkrævningsomkostninger på 20 %.

EUROPA-KOMMISSIONEN

Bruxelles, den 16.12.2020

COM(2020) 829 final

BILAG

til forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om kritiske enheders modstandsdygtighed

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

BILAG

Sektorer, delsektorer og typer af enheder

Sektor	Delsektor	Type af enhed
1. Energi	a) Elektricitet	––    Elektricitetsvirksomheder som omhandlet i artikel 2, nr. 57), i Europa-Parlamentets og Rådets direktiv 2009/944 1 , der varetager "levering" som omhandlet i artikel 2, nr. 12), i nævnte direktiv
		––    Distributionssystemoperatører som omhandlet i artikel 2, nr. 29), i direktiv (EU) 2019/944
		––    Transmissionssystemoperatører som omhandlet i artikel 2, nr. 35), i direktiv (EU) 2019/944
		––    Producenter som omhandlet i artikel 2, nr. 38), i direktiv (EU) 2019/944
		— Udpegede elektricitetsmarkedsoperatører som omhandlet i artikel 2, nr. 8), i forordning (EU) 2019/943 2
		— Markedsdeltagere på elektricitetsmarkedet som omhandlet i artikel 2, nr. 25), i forordning (EU) 2019/943, der leverer aggregering, fleksibelt elforbrug eller energilagringstjenester som omhandlet i artikel 2, nr. 18), 20) og 59), i direktiv (EU) 2019/944
	b) Fjernvarme og fjernkøling	––    Fjernvarme og fjernkøling som omhandlet i artikel 2, nr. 19), i direktiv (EU) 2018/2001 3 om fremme af anvendelsen af energi fra vedvarende energikilder
	c) Olie	––    Olierørledningsoperatører
		––    Operatører af olieproduktion, raffinaderier og behandlingsanlæg, olielagre og olietransmission
		––    Centrale lagerenheder for olie som omhandlet i artikel 2, litra f), i Rådets direktiv 2009/119/EF 4
	d) Gas	––    Forsyningsvirksomheder som omhandlet i artikel 2, nr. 8), i direktiv 2009/73/EF 5
		––    Distributionssystemoperatører som omhandlet i artikel 2, nr. 6), i direktiv (EU) 2009/73/EF
		––    Transmissionssystemoperatører som omhandlet i artikel 2, nr. 4), i direktiv (EU) 2009/73/EF
		––    Lagersystemoperatører som omhandlet i artikel 2, nr. 10), i direktiv (EU) 2009/73/EF
		––    LNG-systemoperatører som omhandlet i artikel 2, nr. 12), i direktiv (EU) 2009/73/EF
		––    Naturgasvirksomheder som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2009/73/EF
		––    Naturgasoperatører, raffinaderier og behandlingsanlæg
	e) Brint	— Operatører inden for brintproduktion, -lagring og -transmission
2. Transport	a) Luft	––    Luftfartsselskaber som omhandlet i artikel 3, nr. 4), i forordning (EF) nr. 300/2008 6
		––    Lufthavnsdriftsorganer som omhandlet i artikel 2, nr. 2), i Europa-Parlamentets og Rådets direktiv 2009/12/EF 7 , lufthavne som omhandlet i artikel 2, nr. 1), i nævnte direktiv, herunder de hovedlufthavne, der er anført i bilag II, afsnit 2, til forordning (EU) nr. 1315/2013 8 , og enheder med tilknyttede anlæg i lufthavne
		––    Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester som omhandlet i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 9
	b) Jernbane	––    Infrastrukturforvaltere som omhandlet i artikel 3, nr. 2), i direktiv 2012/34/EU 10
		––    Jernbanevirksomheder som omhandlet i artikel 3, nr. 1), i direktiv 2012/34/EU, herunder operatører af servicefaciliteter som omhandlet i artikel 3, nr. 12), i direktiv 2012/34/EU
	c) Vand	––    Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand i form af søtransport som omhandlet i bilag I til Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 11 , bortset fra de enkelte fartøjer, som drives af disse rederier
		––    Driftsorganer for havne som omhandlet i artikel 3, nr. 1), i Europa-Parlamentets og Rådets direktiv 2005/65/EF 12 , herunder deres havnefaciliteter som omhandlet i artikel 2, nr. 11), i forordning (EF) nr. 725/2004, og enheder, der driver anlæg og udstyr i havne
		––    Operatører af skibstrafiktjenester som omhandlet i artikel 3, litra o), i Europa-Parlamentets og Rådets direktiv 2002/59/EF 13
	d) Vejtransport	––    Vejmyndigheder som omhandlet i artikel 2, nr. 12), i Kommissionens delegerede forordning (EU) 2015/962 14 , der er ansvarlige for trafikledelse
		––    Operatører af intelligente transportsystemer, jf. artikel 4, nr. 1), i direktiv 2010/40/EU 15
3. Bankvirksomhed		Kreditinstitutter som omhandlet i artikel 4, nr. 1), i forordning (EU) nr. 575/2013 16
4. Finansielle markedsinfrastrukturer		––    Operatører af markedspladser som omhandlet i artikel 4, nr. 24), i direktiv 2014/65/EU 17
		––    Centrale modparter (CCP) som omhandlet i artikel 2, nr. 1), i forordning (EU) nr. 648/2012 18
5. Sundhed		––    Sundhedstjenesteydere som omhandlet i artikel 3, litra g), i direktiv 2011/24/EU 19
		––    EU-referencelaboratorier som omhandlet i artikel 15 i forordning [XX] om alvorlige grænseoverskridende sundhedstrusler 20
		––    Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler som omhandlet i artikel 1, nr. 2), i direktiv 2001/83/EF 21
		––    Enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater som omhandlet i hovedafdeling C, hovedgruppe 21, i NACE rev. 2
		––    Enheder, der fremstiller medicinsk udstyr, der betragtes som kritisk under en folkesundhedskrise ("listen over kritisk folkesundhedsudstyr"), jf. artikel 20 i forordning XXXX 22
6. Drikkevand		Leverandører og distributører af "drikkevand" som omhandlet i artikel 2, nr. 1), litra a), i Rådets direktiv 98/83/EF 23 bortset fra distributører, for hvem distribution af drikkevand kun er en del af deres generelle aktivitet med distribution af andre råvarer og varer, der ikke anses som væsentlige eller vigtige tjenester
7. Spildevand		Virksomheder, der indsamler, bortskaffer eller behandler byspildevand, husspildevand og industrispildevand som omhandlet i artikel 2, nr. 1)-3), i Rådets direktiv 91/271/EØF 24
8. Digital infrastruktur		––    Udbydere af internetudvekslingspunkter [jf. artikel 4, nr. X), i NIS 2-direktivet]
		––    DNS-tjenesteudbydere [jf. artikel 4, nr. X), i NIS 2-direktivet]
		––    Topdomænenavneregistraturer [jf. artikel 4, nr. X), i NIS 2-direktivet]
		––    Udbydere af cloud computing-tjenester [jf. artikel 4, nr. (X), i NIS 2-direktivet]
		— Udbydere af datacentertjenester [jf. artikel 4, nr. X), i NIS 2-direktivet]
		––    Udbydere af indholdsleveringsnetværk [jf. artikel 4, nr. X), i NIS 2-direktivet]
		––    Tillidstjenesteudbydere som omhandlet i artikel 3, nr. 19), i forordning (EU) nr. 910/2014 25
		––    Udbydere af offentlige elektroniske kommunikationsnet som omhandlet i artikel 2, nr. 8), i direktiv (EU) 2018/1972 26 eller udbydere af elektroniske kommunikationstjenester i den betydning, der fremgår af artikel 2, nr. 4), i direktiv (EU) 2018/1972, for så vidt deres tjenester er offentligt tilgængelige
9. Offentlig forvaltning		––    Centralregeringers offentlige forvaltningsinstanser, [jf. artikel 4, nr. X), i NIS 2-direktivet]
		––    Offentlige forvaltningsinstanser [jf. artikel 4, litra X), i NIS 2-direktivet] i NUTS 1-regioner, der er opført i bilag I til forordning (EF) nr. 1059/2003 27
		––    Offentlige forvaltningsinstanser [jf. artikel 4, litra X), i NIS 2-direktivet] i NUTS 2-regioner, der er opført i bilag I til forordning (EF) nr. 1059/2003
10. Rummet		––    Operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet i den betydning, der fremgår af artikel 2, nr. 8), i direktiv 2018/1972/EU

(1)    Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ophævelse af direktiv 2012/27/EU (EUT L 158 af 14.6.2019, s. 125).

(2)    Europa-Parlamentets og Rådets forordning (EU) 2019/943 om det indre marked for elektricitet (EUT L 158 af 14.6.2019, s. 54).

(3)    Europa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11. december 2018 om fremme af anvendelsen af energi fra vedvarende energikilder (EUT L 328 af 21.12.2018, s. 82).

(4)    Rådets direktiv 2009/119/EF af 14. september 2009 om forpligtelse for medlemsstaterne til at holde minimumslagre af råolie og/eller olieprodukter (EUT L 265 af 9.10.2009, s. 9).

(5)    Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF (EUT L 211 af 14.8.2009, s. 94).

(6)    Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).

(7)    Europa-Parlamentets og Rådets direktiv 2009/12/EF af 11. marts 2009 om lufthavnsafgifter (EUT L 70 af 14.3.2009, s. 11).

(8)    Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013 af 11. december 2013 om Unionens retningslinjer for udvikling af det transeuropæiske transportnet og om ophævelse af afgørelse nr. 661/2010/EU (EUT L 348 af 20.12.2013, s. 1).

(9)    Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 af 10. marts 2004 om rammerne for oprettelse af et fælles europæisk luftrum ("rammeforordningen") (EUT L 96 af 31.3.2004, s. 1).

(10)    Europa-Parlamentets og Rådets direktiv 2012/34/EU af 21. november 2012 om oprettelse af et fælles europæisk jernbaneområde (EUT L 343 af 14.12.2012, s. 32).

(11)    Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter (EUT L 129 af 29.4.2004, s. 6).

(12)    Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring (EUT L 310 af 25.11.2005, s. 28).

(13)    Europa-Parlamentets og Rådets direktiv 2002/59/EF af 27. juni 2002 om oprettelse af et trafikovervågnings- og trafikinformationssystem for skibsfarten i Fællesskabet og om ophævelse af Rådets direktiv 93/75/EØF (EFT L 208 af 5.8.2002, s. 10).

(14)    Kommissionens delegerede forordning (EU) 2015/962 af 18. december 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2010/40/EU for så vidt angår tilrådighedsstillelse af EU-dækkende tidstro trafikinformationstjenester (EUT L 157 af 23.6.2015, s. 21).

(15)    Europa-Parlamentets og Rådets direktiv 2010/40/EU af 7. juli 2010 om rammerne for indførelse af intelligente transportsystemer på vejtransportområdet og for grænsefladerne til andre transportformer (EUT L 207 af 6.8.2010, s. 1).

(16)    Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).

(17)    Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).

(18)    Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).

(19)    Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(20)    [Europa-Parlamentets og Rådets forordning om alvorlige grænseoverskridende sundhedstrusler og om ophævelse af afgørelse nr. 1082/2013/EU, henvisning ajourføres, når forslaget COM(2020) 727 final er vedtaget].

(21)    Europa-Parlamentets og Rådets direktiv 2001/83/EF af 6. november 2001 om oprettelse af en fællesskabskodeks for humanmedicinske lægemidler (EFT L 311 af 28.11.2001, s. 67).

(22)    [Forordning om styrkelse af Det Europæiske Lægemiddelagenturs rolle i forbindelse med kriseberedskab og krisestyring med hensyn til lægemidler og medicinsk udstyr [COM(2020) 725 final] reference, når forslaget er ajourført].

(23)    Rådets direktiv 98/83/EF af 3. november 1998 om kvaliteten af drikkevand (EFT L 330 af 5.12.1998, s. 32).

(24)    Rådets direktiv 91/271/EØF af 21. maj 1991 om rensning af byspildevand (EFT L 135 af 30.5.1991, s. 40).

(25)    Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).

(26)    Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation (EUT L 321 af 17.12.2018, s. 36).

(27)    Europa-Parlamentets og Rådets forordning (EF) nr. 1059/2003 af 26. maj 2003 om indførelse af en fælles nomenklatur for regionale enheder (NUTS) (EUT L 154 af 21.6.2003, s. 1).