(1)

I den digitale tidsalder understøtter informations- og kommunikationsteknologi (IKT) komplekse systemer, der anvendes i forbindelse med hverdagsaktiviteter. Den holder vores økonomier i gang i centrale sektorer, herunder den finansielle sektor, og fremmer det indre markeds funktion. Øget digitalisering og indbyrdes forbundethed forstærker også IKT-risiko, der gør samfundet som helhed og især det finansielle system mere sårbart over for cybertrusler eller IKT-forstyrrelser. Universel brug af IKT-systemer og en høj grad af digitalisering og konnektivitet er i dag vigtige kendetegn ved alle aktiviteter i Unionens finansielle enheder, men der skal gøres mere ved deres digitale modstandsdygtighed, og den skal integreres i deres bredere operationelle rammer.

(2)

Brugen af IKT har i de seneste årtier indtaget en så central rolle inden for levering af finansielle tjenesteydelser, at den i dag har fået kritisk betydning for driften af typiske daglige funktioner i alle finansielle enheder. Digitalisering omfatter nu f.eks. betalinger, som i stigende grad er gået fra kontanter og papirbaserede metoder til brugen af digitale løsninger, samt clearing og afvikling af værdipapirer, elektronisk og algoritmisk handel, låntagning og finansiering, peer-to-peer-finansiering, kreditvurdering, behandling af skadesanmeldelser og back office-funktioner. Forsikringssektoren har også forandret sig med brugen af IKT, fra fremkomsten af forsikringsformidlere, der tilbyder deres tjenester online ved anvendelse af InsurTech, til digital tegning af forsikring. Finansiering er ikke kun blevet overvejende digital i hele sektoren, men digitalisering har også uddybet den indbyrdes forbundethed og afhængighed inden for den finansielle sektor og med og af tredjeparters infrastruktur og tredjepartsudbydere af tjenester.

(3)

Det Europæiske Udvalg for Systemiske Risici (ESRB) bekræftede på ny i en rapport fra 2020 om systemiske cyberrisici, hvordan det eksisterende høje niveau af indbyrdes forbundethed blandt finansielle enheder, finansielle markeder og finansielle markedsinfrastrukturer, og navnlig deres IKT-systemers indbyrdes forbundethed, kan udgøre en systemisk sårbarhed, fordi lokaliserede cyberhændelser hurtigt kan sprede sig fra én af de ca. 22 000 finansielle enheder i Unionen til hele det finansielle system, uhindret af geografiske grænser. Alvorlige IKT-overtrædelser i den finansielle sektor har ikke kun virkninger for finansielle enheder isoleret set. De baner også vejen for udbredelsen af lokaliserede sårbarheder på tværs af de finansielle transmissionskanaler og udløser potentielt negative konsekvenser for stabiliteten i Unionens finansielle system såsom skabelse af likviditetsudstrømning og et generelt tab af tillid og tiltro til finansielle markeder.

(4)

I de seneste år har politiske beslutningstagere, lovgivere og standardiseringsorganer på internationalt plan, EU-plan og nationalt plan sat fokus på IKT-risiko i et forsøg på at øge den digitale modstandsdygtighed, fastsætte standarder og koordinere det regulerings- og tilsynsmæssige arbejde. På internationalt plan sigter Baselkomitéen for Banktilsyn, Udvalget om Betalings- og Markedsinfrastrukturer, Rådet for Finansiel Stabilitet, the Financial Stability Institute samt G7 og G20 mod at udstyre kompetente myndigheder og markedsoperatører på tværs af forskellige jurisdiktioner med værktøjer, der skal styrke deres finansielle systemers modstandsdygtighed. Dette arbejde har også været drevet af behovet for at tage behørigt hensyn til IKT-risiko i forbindelse med et stærkt indbyrdes forbundet globalt finansielt system og for at tilstræbe større sammenhæng i relevant bedste praksis.

(5)

Til trods for målrettede politiske og lovgivningsmæssige initiativer på EU-plan og nationalt plan udgør IKT-risiko fortsat en udfordring for den operationelle modstandsdygtighed, præstation og stabilitet i Unionens finansielle system. De reformer, der fulgte efter den finansielle krise i 2008 styrkede primært den finansielle modstandsdygtighed i Unionens finansielle sektor og sigtede mod at bevare Unionens konkurrenceevne og stabilitet set fra et økonomisk, tilsyns- og markedsadfærdsmæssigt perspektiv. Selv om IKT-sikkerhed og digital modstandsdygtighed er led i den operationelle risiko, har der været mindre fokus herpå i den reguleringsmæssige dagsorden efter den finansielle krise, og de er kun blevet udviklet på nogle områder inden for Unionens politik for finansielle tjenesteydelser og reguleringsmæssige rammer eller kun i nogle få medlemsstater.

(6)

I Kommissionens meddelelse af 8. marts 2018 med titlen »Fintechhandlingsplan for en mere konkurrencedygtig og innovativ finanssektor i Europa« fremhævedes den afgørende betydning af at gøre Unionens finansielle sektor mere modstandsdygtig, herunder set fra et operationelt perspektiv, for at sikre dens teknologiske sikkerhed, og at den fungerer godt, at den hurtigt kan genoprettes efter IKT-overtrædelser og -hændelser, hvilket i sidste ende gør det muligt at udbyde finansielle tjenesteydelser på en effektiv og gnidningsfri måde i hele Unionen, herunder i situationer med stresspåvirkning, samtidig med at forbrugernes og markedets tiltro og tillid bevares.

(7)

I april 2019 udsendte Den Europæiske Tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed) (EBA), der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 (4), Den Europæiske Tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger) (»EIOPA«), der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 (5), og Den Europæiske Tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed) (»ESMA«), der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 (6), (samlet betegnet som »europæiske tilsynsmyndigheder« eller »ESA'er«) i fællesskab teknisk rådgivning, hvori de opfordrede til en sammenhængende tilgang til IKT-risiko inden for finansiering og henstillede til på en forholdsmæssigt afpasset måde at styrke den digitale operationelle modstandsdygtighed i sektoren for finansielle tjenesteydelser gennem et sektorspecifikt EU-initiativ.

(8)

Unionens finansielle sektor er reguleret af et fælles regelsæt og underlagt et europæisk finanstilsynssystem. Ikke desto mindre er bestemmelserne om håndtering af digital operationel modstandsdygtighed og IKT-sikkerhed endnu ikke harmoniseret fuldt ud eller konsekvent, og det til trods for, at digital operationel modstandsdygtighed er afgørende for at sikre finansiel stabilitet og markedsintegritet i den digitale tidsalder og ikke er mindre vigtig end f.eks. fælles standarder for tilsyn og markedsadfærd. Det fælles regelsæt og tilsynssystemet bør derfor udvikles med henblik på også at omfatte digital operationel modstandsdygtighed ved at styrke mandatet for de kompetente myndigheder, så de får mulighed for at føre tilsyn med IKT-risikostyring i den finansielle sektor med henblik på at beskytte det indre markeds integritet og effektivitet og for at fremme, at det fungerer efter sin hensigt.

(9)

Lovgivningsmæssige forskelle og uensartede nationale regulerings- eller tilsynsmæssige tilgange med hensyn til IKT-risiko udløser hindringer for et velfungerende indre marked for finansielle tjenesteydelser, som hæmmer en problemfri udøvelse af den frie etableringsret og af retten til fri udveksling af tjenesteydelser for finansielle enheder, som har aktiviteter på et grænseoverskridende grundlag. Konkurrencen mellem samme type af finansielle enheder, som har aktiviteter i forskellige medlemsstater, kan også blive fordrejet. Dette gælder navnlig for områder, hvor EU-harmonisering har været meget begrænset, såsom test af digital operationel modstandsdygtighed, eller ikkeeksisterende, såsom overvågning af IKT-tredjepartsrisici. Forskelle, der skyldes en påtænkt udvikling på nationalt plan, vil kunne udløse yderligere hindringer for et velfungerende indre marked til skade for markedsdeltagere og den finansielle stabilitet.

(10)

Da bestemmelser vedrørende IKT-risiko kun delvis er blevet behandlet på EU-plan, er der på nuværende tidspunkt huller eller overlapninger på vigtige områder, f.eks. indberetning af IKT-relaterede hændelser og test af digital operationel modstandsdygtighed og uoverensstemmelser som følge af nye divergerende nationale regler eller omkostningsineffektiv anvendelse af overlappende regler. Dette er særligt skadeligt for en IKT-intensiv bruger som den finansielle sektor, da teknologiske risici er grænseoverskridende, og den finansielle sektor udbyder sine tjenesteydelser på et bredt grænseoverskridende grundlag inden for og uden for Unionen. Individuelle finansielle enheder, som har aktiviteter på et grænseoverskridende grundlag, eller som er indehavere af flere tilladelser (f.eks. kan én finansiel enhed have tilladelser til henholdsvis at udøve bankvirksomhed, udøve virksomhed som investeringsselskab og betalingsinstitut, som hver især er meddelt af en forskellig kompetent myndighed i en eller flere medlemsstater), står over for operationelle udfordringer i forbindelse med at imødegå IKT-risiko og afbøde negative virkninger af IKT-hændelser på egen hånd og på en sammenhængende omkostningseffektiv måde.

(11)

Da det fælles regelsæt ikke er blevet ledsaget af en omfattende IKT-ramme eller ramme for operationel risiko, er der behov for yderligere harmonisering af centrale krav til digital operationel modstandsdygtighed for alle finansielle enheder. De IKT-kapaciteter og den samlede modstandsdygtighed, som finansielle enheder med udgangspunkt i disse centrale krav skal udvikle for at modstå operationelle driftstop, vil bidrage til at bevare stabiliteten og integriteten på Unionens finansielle markeder og dermed bidrage til at sikre et højt beskyttelsesniveau for investorer og forbrugere i Unionen. Da denne forordning har til formål at bidrage til et velfungerende indre marked, bør den bygge på bestemmelserne i artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF) som fortolket i overensstemmelse med EU-Domstolens (Domstolens) faste praksis.

(12)

Denne forordning har til formål at konsolidere og opgradere kravene til IKT-risiko som en del af kravene til operationel risiko, som hidtil er blevet behandlet separat i forskellige EU-retsakter. Disse retsakter omfattede hovedkategorierne af finansiel risiko (f.eks. kreditrisiko, markedsrisiko, modpartskreditrisiko og likviditetsrisiko, risiko forbundet med markedsadfærd), men på tidspunktet for deres vedtagelse tacklede de ikke alle de komponenter, der indgår i operationel modstandsdygtighed, på fyldestgørende vis. I reglerne om operationel risiko blev der, da de blev yderligere udviklet i de pågældende EU-retsakter, ofte foretrukket en traditionel kvantitativ tilgang til risikohåndtering (dvs. ved at fastsætte et kapitalkrav til at dække IKT-risiko) frem for målrettede kvalitative regler for beskyttelses-, detektions-, inddæmnings-, genopretnings- og reparationskapaciteter som værn mod IKT-relaterede hændelser eller for indberetningskapaciteter og digitale testkapaciteter. Disse retsakter skulle primært omfatte og ajourføre væsentlige regler om tilsyn, markedsintegritet eller -adfærd. Ved at konsolidere og opgradere de forskellige regler om IKT-risici bør alle bestemmelser om digital risiko i den finansielle sektor for første gang blive samlet på en konsekvent måde i én enkelt lovgivningsmæssig retsakt. Denne forordning udfylder derfor hullerne eller afhjælper uoverensstemmelserne i nogle af de nævnte tidligere retsakter, herunder med hensyn til den heri anvendte terminologi, og henviser eksplicit til IKT-risiko gennem målrettede regler om kapaciteter til IKT-risikostyring, indberetning af hændelser, test af operationel modstandsdygtighed, samt overvågning af IKT-tredjepartsrisiko. Denne forordning bør således også øge bevidstheden om IKT-risiko og anerkende, at IKT-hændelser og manglende operationel modstandsdygtighed potentielt kan udgøre en fare for finansielle enheders soliditet.

(13)

Finansielle enheder bør følge samme tilgang og samme principbaserede regler ved behandling af IKT-risiko under hensyntagen til deres størrelse og samlede risikoprofil samt karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer. Konsekvens bidrager til at øge tilliden til det finansielle system og bevare dets stabilitet, navnlig i tider med høj afhængighed af IKT-systemer, platforme og infrastrukturer, hvilket medfører øgede digitale risici. Overholdelse af en grundlæggende cyberhygiejne bør også hindre, at økonomien påføres store omkostninger ved at minimere virkningerne af og omkostningerne i forbindelse med IKT-forstyrrelser.

(14)

En forordning hjælper med at mindske reguleringsmæssig kompleksitet, fremmer tilsynsmæssig konvergens og øger retssikkerheden og bidrager også til at begrænse overholdelsesomkostningerne, navnlig for finansielle enheder, der har aktiviteter på tværs af grænserne, og til at mindske konkurrenceforvridninger. Valget af en forordning med henblik på oprettelse af en fælles ramme for digital operationel modstandsdygtighed i finansielle enheder er derfor den mest hensigtsmæssige metode til at sikre en homogen og sammenhængende anvendelse af alle de komponenter, der indgår i IKT-risikostyring i Unionens finansielle sektor.

(15)

Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (7) var den første horisontale ramme for cybersikkerhed, der blev vedtaget på EU-plan, som også finder anvendelse på tre typer af finansielle enheder, nemlig kreditinstitutter, markedspladser og centrale modparter. Eftersom direktiv (EU) 2016/1148 fastsatte en mekanisme til identifikation på nationalt plan af operatører af væsentlige tjenester, var det imidlertid kun visse kreditinstitutter, markedspladser og centrale modparter, der blev udpeget af medlemsstaterne, og som blev medtaget under dets anvendelsesområde i praksis, og som derfor skal overholde de heri fastsatte krav til IKT-risici og indberetning af hændelser. Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (8) fastsætter et ensartet kriterium til bestemmelse af de enheder, der er omfattet af dets anvendelsesområde (størrelsesloftet), samtidig med at anvendelsesområdet stadig omfatter de tre typer finansielle enheder.

(16)

Da denne forordning øger niveauet af harmonisering af de forskellige komponenter, der indgår i digital modstandsdygtighed, ved at indføre krav til IKT-risikostyring og indberetning af IKT-relaterede hændelser, som er strengere i forhold til de krav, der er fastlagt i den nuværende EU-ret om finansielle tjenesteydelser, udgør dette højere niveau imidlertid ligeledes en øget harmonisering i sammenligning med de krav, der er fastlagt i direktiv (EU) 2022/2555. Derfor udgør denne forordning lex specialis i forhold til direktiv (EU) 2022/2555. Det er samtidig yderst vigtigt at bevare en tæt forbindelse mellem cybersikkerhedsrammen for den finansielle sektor og Unionens horisontale ramme for cybersikkerhed, som i øjeblikket fastsat i direktiv (EU) 2022/2555, for at sikre sammenhæng med de strategier om cybersikkerhed, som medlemsstaterne har vedtaget, og for at give de finansielle tilsynsmyndigheder mulighed for at få kendskab til cyberhændelser, der har virkninger for de øvrige sektorer, som er omfattet af nævnte direktiv.

(17)

I overensstemmelse med artikel 4, stk. 2, i traktaten om Den Europæiske Union og med forbehold af Domstolens prøvelse bør denne forordning ikke berøre medlemsstaternes ansvar for så vidt angår centrale statslige funktioner vedrørende offentlig sikkerhed, forsvar og beskyttelse af den nationale sikkerhed f.eks. i forbindelse med forelæggelse af oplysninger, der ville være i strid med beskyttelsen af den nationale sikkerhed.

(18)

For at muliggøre tværsektoriel læring og for effektivt at udnytte andre sektorers erfaringer med håndtering af cybertrusler bør de finansielle enheder, der er omhandlet i direktiv (EU) 2022/2555, fortsat indgå i nævnte direktivs »økosystem« (f.eks. samarbejdsgruppen og enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er)). ESA'er og nationale kompetente myndigheder bør have mulighed for at deltage i de strategiske politiske drøftelser og det tekniske arbejde i samarbejdsgruppen i henhold til nævnte direktiv og for at udveksle oplysninger og samarbejde yderligere med de centrale kontaktpunkter, der er udpeget eller oprettet i overensstemmelse med nævnte direktiv. De kompetente myndigheder i henhold til denne forordning bør også rådføre sig med og samarbejde med CSIRT'erne. De kompetente myndigheder bør også kunne anmode om teknisk rådgivning hos de kompetente myndigheder, der er udpeget eller oprettet i overensstemmelse med henhold til direktiv (EU) 2022/2555, og etablere samarbejdsordninger, der har til formål at sikre effektive og hurtigt reagerende koordineringsmekanismer.

(19)

I betragtning af de stærke indbyrdes forbindelser mellem finansielle enheders digitale modstandsdygtighed og fysiske modstandsdygtighed er det nødvendigt med en sammenhængende tilgang i denne forordning og i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 (9) til kritiske enheders modstandsdygtighed. Eftersom finansielle enheders fysiske modstandsdygtighed behandles omfattende af forpligtelserne med hensyn til IKT-risikostyring og IKT-indberetning i denne forordning, bør forpligtelserne i kapitel III og IV i direktiv (EU) 2022/2557 ikke finde anvendelse på finansielle enheder, der er omfattet af nævnte direktivs anvendelsesområde.

(20)

Udbydere af cloudcomputingtjenester er én kategori af digital infrastruktur, som er omfattet af direktiv (EU) 2022/2555 Den EU-tilsynsramme (»tilsynsramme«), der fastlægges ved denne forordning, finder anvendelse på alle kritiske tredjepartsudbydere af IKT-tjenester, herunder udbydere af cloudcomputingtjenester, når de udbyder IKT-tjenester til finansielle enheder, og bør betragtes som et supplement til tilsynet gennemført i henhold til direktiv (EU) 2022/2555 Derudover bør den tilsynsramme, der fastlægges ved denne forordning, omfatte udbydere af cloudcomputingtjenester i fravær af en horisontal EU-ramme om oprettelse af en digital tilsynsmyndighed.

(21)

For at bevare den fulde kontrol med IKT-risiko er det nødvendigt, at finansielle enheder har omfattende kapaciteter, der muliggør en stærk og effektiv IKT-risikostyring, og specifikke mekanismer og politikker med henblik på håndtering af alle IKT-relaterede hændelser og indberetning af større IKT-relaterede hændelser. På samme måde bør finansielle enheder indføre politikker for test af IKT-systemer, -kontroller og -processer samt for håndtering af IKT-tredjepartsrisici. Standarden for digital operationel modstandsdygtighed for finansielle enheder bør højnes, samtidig med at der også skabes mulighed for en forholdsmæssigt afpasset anvendelse af krav til visse finansielle enheder, især mikrovirksomheder, og finansielle enheder, der er omfattet af en forenklet ramme for IKT-risikostyring. For at muliggøre et effektivt tilsyn med arbejdsmarkedsrelaterede pensionskasser, der er forholdsmæssigt og imødekommer behovet for at mindske de administrative byrder for de kompetente myndigheder, bør de relevante nationale tilsynsmæssige rammer med hensyn til sådanne finansielle enheder tage højde for deres størrelse og samlede risikoprofil samt karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, selv hvis de relevante tærskler i artikel 5 i Europa-Parlamentets og Rådets direktiv (EU) 2016/2341 (10) overskrides. Navnlig bør tilsynsaktiviteterne primært fokusere på behovet for at imødegå alvorlige risici i forbindelse med IKT-risikostyring i en bestemt enhed.

Kompetente myndigheder bør også fastholde en årvågen, men forholdsmæssig, tilgang til tilsynet med arbejdsmarkedsrelaterede pensionskasser, som i overensstemmelse med artikel 31 i direktiv (EU) 2016/2341 outsourcer en betydelig del af deres centrale forretningsområder såsom kapitalforvaltning, aktuarmæssig beregning, regnskab og dataforvaltning til tjenesteydere.

(22)

Tærskler og klassificeringssystemer vedrørende indberetning af IKT-relaterede hændelser varierer væsentligt på nationalt plan. Der kan sandsynligvis opnås enighed gennem det relevante arbejde, der udføres af Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2019/881 (11), og samarbejdsgruppen i henhold til direktiv (EU) 2022/2555, men der findes stadig, eller der kan opstå divergerende tilgange til fastsættelse af tærskler og anvendelse af klassificeringssystemer for de resterende finansielle enheder. På grund af disse forskelle er der flere krav, som de finansielle enheder skal overholde, navnlig når de har aktiviteter på tværs af flere medlemsstater, og når de er del af en finansiel koncern. Disse forskelle kan desuden potentielt hindre indførelsen af yderligere ensartede eller centraliserede EU-mekanismer, der fremskynder indberetningsprocessen og understøtter en hurtig og problemfri informationsudveksling mellem kompetente myndigheder, hvilket er yderst vigtigt for imødegåelsen af IKT-risikoen i tilfælde af storstilede angreb med potentielle systemiske konsekvenser til følge.

(23)

For at mindske den administrative byrde og mulige overlappende indberetningsforpligtelser for visse finansielle enheder bør kravet om indberetning af hændelser i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 (12) ikke længere finde anvendelse på betalingstjenesteudbydere, der er omfattet af denne forordnings anvendelsesområde. Derfor bør kreditinstitutter, e-pengeinstitutter, betalingsinstitutter og kontooplysningstjenesteudbydere som omhandlet i nævnte direktivs artikel 33, stk. 1, fra datoen for denne forordnings anvendelse i henhold til denne forordning indberette alle de operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, som tidligere blev indberettet i henhold til nævnte direktiv, uanset om sådanne hændelser er IKT-relaterede.

(24)

For at sætte kompetente myndigheder i stand til at opfylde tilsynsmæssige roller ved at opnå et fuldstændigt overblik over IKT-relaterede hændelsers karakter, frekvens, betydning og virkninger og for at styrke informationsudvekslingen mellem relevante offentlige myndigheder, herunder retshåndhævende myndigheder og afviklingsmyndigheder, bør denne forordning fastlægge en robust ordning for indberetning af IKT-relaterede hændelser, hvorved de relevante krav afhjælper nuværende mangler i retten om finansielle tjenesteydelser og fjerne eksisterende overlapninger og dobbeltbestemmelser for at mindske omkostningerne. Det er afgørende at harmonisere ordningen for indberetning af IKT-relaterede hændelser ved at kræve, at alle finansielle enheder indberetter til deres kompetente myndigheder gennem en enkelt strømlinet ramme som fastsat i denne forordning. ESA'erne bør desuden tillægges beføjelse til yderligere at præcisere relevante elementer vedrørende rammen for indberetning af IKT-relaterede hændelser, f.eks. klassificeringssystemer, tidsrammer, datasæt, modeller og gældende tærskler. For at sikre fuld overensstemmelse med direktiv (EU) 2022/2555 bør de finansielle enheder have mulighed for på frivillig basis at underrette den relevante kompetente myndighed om væsentlige cybertrusler, når de anser cybertruslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.

(25)

Krav til test af digital operationel modstandsdygtighed er blevet udviklet i visse finansielle delsektorer og udgør rammer, der ikke altid er fuldt afstemt. Dette fører potentielt til en fordobling af omkostninger for grænseoverskridende finansielle enheder, og gør den gensidige anerkendelse af resultaterne af test af digital operationel modstandsdygtighed kompleks, hvilket igen kan fragmentere det indre marked.

(26)

Når IKT-test ikke er påkrævet, vil sårbarheder ikke blive detekteret, hvilket medfører, at en finansiel enhed udsættes for en IKT-risiko, og i sidste ende skaber en højere risiko for stabiliteten og integriteten i den finansielle sektor. Uden en indsats på EU-plan vil test af digital operationel modstandsdygtighed fortsat være inkonsekvent og mangle en ordning for gensidig anerkendelse af IKT-testresultater på tværs af de forskellige jurisdiktioner. Da det er usandsynligt, at andre finansielle delsektorer vil indgå sådanne testordninger i et meningsfuldt omfang, vil de desuden gå glip af de potentielle fordele ved en testramme med hensyn til detektion af IKT-sårbarheder og -risici, og test af forsvarskapaciteter og driftsstabilitet, der bidrager til at øge tiltroen blandt kunder, leverandører og forretningspartnere. For at afhjælpe disse overlapninger, forskelle og huller er det nødvendigt at fastlægge regler for en koordineret testordning og dermed lette den gensidige anerkendelse af avancerede test for finansielle enheder, der opfylder kriterierne i denne forordning.

(27)

Finansielle enheders afhængighed af brugen af IKT-tjenester skyldes delvist deres behov for at tilpasse sig en ny konkurrencepræget digital og global økonomi og for at fremme deres forretningseffektivitet og imødekomme forbrugerefterspørgslen. Karakteren og omfanget af denne afhængighed har løbende udviklet sig gennem de senere år og har drevet omkostningsreduktionen inden for finansiel formidling, muliggjort ekspansion og skalerbarhed af virksomheder i forbindelse med udrulningen af finansielle aktiviteter og stillet en bred vifte af IKT-værktøjer til styring af komplekse interne processer til rådighed.

(28)

Den vidtgående anvendelse af IKT-tjenester dokumenteres ved komplekse kontraktlige ordninger, i forbindelse med hvilke finansielle enheder ofte støder på vanskeligheder med at forhandle kontraktvilkår, der er tilpasset til de tilsynsmæssige standarder eller andre forskriftsmæssige krav, som de er omfattet af, eller på anden måde med at håndhæve specifikke rettigheder, f.eks. adgangs- eller revisionsrettigheder, selv hvis sidstnævnte er fastsat i deres kontraktlige ordninger. Mange af disse kontraktlige ordninger indeholder desuden ikke tilstrækkelige garantier for en fuldgyldig overvågning af underentrepriseforhold hvorved den finansielle enhed berøves sin evne til at vurdere de dertil knyttede risici. Dertil kommer, at sådanne kontraktlige ordninger ikke altid i tilstrækkeligt omfang tager højde for individuelle eller specifikke behov blandt aktører i den finansielle sektor, da tredjepartsudbydere af IKT-tjenester ofte udbyder standardiserede tjenester til forskellige kundetyper.

(29)

Selv om EU-retten vedrørende finansielle tjenesteydelser indeholder visse generelle regler om outsourcing, er overvågningen af den kontraktlige dimension ikke fuldt ud forankret i EU-retten. I mangel af klare og skræddersyede EU-standarder, som finder anvendelse på de kontraktlige ordninger, der indgås med tredjepartsudbydere af IKT-tjenester, er der ikke på fyldestgørende vis taget højde for den eksterne kilde til IKT-risiko. Derfor er det nødvendigt at fastsætte visse centrale principper, der skal fungere som rettesnor for finansielle enheders styring af IKT-tredjepartsrisici, som er af særlig betydning, når finansielle enheder benytter tredjepartsudbydere af IKT-tjenester til at støtte deres kritiske eller vigtige funktioner. Disse principper bør ledsages af et sæt centrale kontraktlige rettigheder i forhold til flere elementer af opfyldelse og opsigelse af kontraktlige ordninger med henblik på at yde visse minimumsgarantier for at styrke finansielle enheders evne til effektivt at overvåge alle IKT-risici, der opstår hos tredjepartstjenesteudbydere. Disse principper supplerer den sektorspecifikke ret, der finder anvendelse på outsourcing.

(30)

I dag er det tydeligt, at der er en vis mangel på homogenitet og konvergens i forbindelse med overvågningen af IKT-tredjepartsrisiko og afhængighed af IKT-tredjeparter. På trods af bestræbelser på at tackle outsourcing såsom EBA's retningslinjer om outsourcing fra 2019 og ESMA's retningslinjer for outsourcing til udbydere af cloudtjenester fra 2021, tages der i EU-retten ikke i tilstrækkelig grad højde for den bredere problematik, der er forbundet med imødegåelse af systemisk risiko, som kan udløses af den finansielle sektors eksponering for et begrænset antal kritiske tredjepartsudbydere af IKT-tjenester. Manglen på regler på EU-plan forværres af manglen på nationale regler om mandater og værktøjer, som giver nationale tilsynsmyndigheder mulighed for at opnå en god forståelse for afhængigheden af IKT-tredjeparter og foretage en tilstrækkelig overvågning af risici, der opstår som følge af koncentrationer af afhængighed af IKT-tredjeparter.

(31)

I betragtning af den potentielle systemiske risiko, som øget anvendelse af outsourcing og koncentration af IKT-tredjepartsafhængighed medfører, og henset til de nationale mekanismers utilstrækkelighed med hensyn til at give finansielle tilsynsmyndigheder tilstrækkelige værktøjer til at kvantificere, kvalificere og afhjælpe konsekvenserne af IKT-risiko, der opstår hos kritiske tredjepartsudbydere af IKT-tjenester, er det nødvendigt at fastlægge en passende tilsynsramme, som gør det muligt at foretage løbende overvågning af aktiviteter hos tredjepartsudbydere af IKT-tjenester, som er kritiske tredjepartsudbydere af IKT-tjenester til finansielle enheder, samtidig med at det sikres, at fortroligheden og sikkerheden for andre kunder end finansielle enheder bevares. Selv om koncernintern levering af IKT-tjenester indebærer specifikke risici og fordele, bør denne ikke automatisk anses for at være mindre risikofyldt end levering af IKT-tjenester fra udbydere uden for en finansiel koncern, og den bør derfor være omfattet af den samme reguleringsmæssige ramme. Når IKT-tjenester leveres inden for samme finansielle koncern, kan finansielle enheder imidlertid have en højere grad af kontrol med koncerninterne udbydere, hvilket der bør tages hensyn til i den samlede risikovurdering.

(32)

I takt med at IKT-risiko bliver mere og mere komplekse og sofistikerede, afhænger gode foranstaltninger til detektion og forebyggelse af IKT-risiko i høj grad af regelmæssig udveksling mellem finansielle enheder af trussels- og sårbarhedsefterretninger. Informationsudveksling bidrager til at skabe øget bevidsthed om cybertrusler. Dette styrker også finansielle enheders evne til at forhindre cybertrusler i at blive faktiske IKT-relaterede hændelser og sætter finansielle enheder i stand til mere effektivt at inddæmme virkningen af IKT-relaterede hændelser og til at foretage hurtigere genopretning. I fravær af vejledning på EU-plan synes flere faktorer at have hæmmet en sådan udveksling af efterretninger, især usikkerhed omkring foreneligheden med databeskyttelsesregler, antitrustregler og regler om ansvar.

(33)

Dertil kommer, at tvivl med hensyn til, hvilken type oplysninger der kan udveksles med en anden markedsdeltager eller med ikketilsynsmyndigheder (f.eks. ENISA, med henblik på analytisk input, eller Europol, med henblik på retshåndhævelse), medfører, at nyttige oplysninger tilbageholdes. Omfanget og kvaliteten af informationsudvekslingen er derfor fortsat begrænset og fragmenteret, da de relevante udvekslinger mest er lokale (gennem nationale initiativer), og da der på EU-plan ikke findes nogen konsekvente ordninger for informationsudveksling, som er skræddersyet til behovene i et integreret finansielt system. Det er derfor vigtigt at styrke disse kommunikationskanaler.

(34)

Finansielle enheder bør tilskyndes til indbyrdes at udveksle oplysninger og efterretninger om cybertrusler og til i fællesskab at udnytte deres individuelle viden og praktiske erfaring på strategisk, taktisk og operationelt plan til at styrke deres kapaciteter til i tilstrækkeligt omfang at vurdere, overvåge, forsvare sig mod og sætte ind over for cybertrusler ved at deltage i ordninger for informationsudveksling. Det er derfor nødvendigt at muliggøre indførelsen på EU-plan af mekanismer med henblik på frivillige ordninger for informationsudveksling, som, når de gennemføres i pålidelige miljøer, vil hjælpe den finansielle sektor til at forebygge og i fællesskab sætte ind over for cybertrusler ved hurtigt at begrænse spredningen af IKT-risici og hindre potentiel afsmitning på tværs af de finansielle kanaler. Disse mekanismer bør overholde de gældende regler i Unionens konkurrenceret, der fremgår af Kommissionens meddelelse af 14. januar 2011 med titlen »Retningslinjer for anvendelsen af artikel 101 i traktaten om Den Europæiske Unions funktionsmåde på horisontale samarbejdsaftaler«, og Unionens databeskyttelsesregler, navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/679 (13). De bør fungere på grundlag af et eller flere af de retsgrundlag, der er fastsat i artikel 6 i nævnte forordning, f.eks. i forbindelse med behandling af personoplysninger, som er nødvendig for, at den dataansvarlige eller tredjemand kan forfølge en legitim interesse, jf. nævnte forordnings artikel 6, stk. 1, litra f), samt i forbindelse med behandling af personoplysninger, der er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, og som er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. henholdsvis artikel 6, stk. 1, litra c) og e), i nævnte forordning.

(35)

For at opretholde et højt niveau af digital operationel modstandsdygtighed i hele den finansielle sektor og samtidig holde trit med den teknologiske udvikling bør denne forordning imødegå risici, der hidrører fra alle typer IKT-tjenester. Med henblik herpå bør definitionen af IKT-tjenester i forbindelse med denne forordning forstås bredt og omfatte digitale tjenester og datatjenester, der løbende leveres gennem IKT-systemer til én eller flere interne eller eksterne brugere. Denne definition bør f.eks. omfatte såkaldte »over the top«-tjenester, som falder ind under kategorien elektroniske kommunikationstjenester. Den bør kun udelukke den begrænsede kategori af traditionelle analoge telefonitjenester, der kan betegnes som offentlige telefonnettjenester med omkobling (PSTN), fastnettjenester, traditionel telefoni (POTS) eller fastnettelefontjenester.

(36)

Til trods for den brede dækning, der påtænkes i denne forordning, bør der ved anvendelse af reglerne om digital operationel modstandsdygtighed tages hensyn til de væsentlige forskelle mellem finansielle enheder med hensyn til deres størrelse og samlede risikoprofil. Som et overordnet princip bør de finansielle enheder, når de fordeler ressourcer og kapaciteter til gennemførelsen af rammen for IKT-risikostyring, nøje afveje deres IKT-relaterede behov i forhold til deres størrelse og samlede risikoprofil og karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, mens de kompetente myndigheder fortsat bør vurdere og gennemgå tilgangen til en sådan fordeling.

(37)

Kontooplysningstjenesteudbydere som omhandlet i artikel 33, stk. 1, i direktiv (EU) 2015/2366 er udtrykkeligt omfattet af nærværende forordnings anvendelsesområde under hensyntagen til deres aktiviteters særlige karakter og de dermed forbundne risici. Desuden er e-pengeinstitutter og betalingsinstitutter, der er undtaget i henhold til artikel 9, stk. 1, i Europa-Parlamentets og Rådets direktiv 2009/110/EF (14) og artikel 32, stk. 1, i direktiv (EU) 2015/2366, omfattet af nærværende forordnings anvendelsesområde, selv om de ikke er blevet meddelt tilladelse i henhold til direktiv 2009/110/EF til at udstede elektroniske penge, eller de ikke er blevet meddelt tilladelse i henhold til direktiv (EU) 2015/2366 til at udbyde og gennemføre betalingstjenester. Postgirokontorer som omhandlet i artikel 2, stk. 5, nr. 3), i Europa-Parlamentets og Rådets direktiv 2013/36/EU (15) er imidlertid ikke omfattet af nærværende forordnings anvendelsesområde. Den kompetente myndighed for betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og kontooplysningstjenesteudbydere, jf. artikel 33, stk. 1, i direktiv (EU) 2015/2366, bør være den kompetente myndighed, der er udpeget i henhold til artikel 22 i direktiv (EU) 2015/2366.

(38)

Da større finansielle enheder kan have adgang til flere ressourcer og hurtigt kan afsætte midler til at udvikle forvaltningsstrukturer og indføre forskellige virksomhedsstrategier, er det kun finansielle enheder, der ikke er mikrovirksomheder i denne forordnings forstand, som skal pålægges at indføre mere komplekse forvaltningsordninger. Sådanne enheder er bedre rustet til at indføre særlige ledelsesfunktioner med henblik på tilsynsordninger med tredjepartsudbydere af IKT-tjenester eller til at varetage krisestyring, til at tilrettelægge deres egen IKT-risikostyring efter modellen med tre forsvarslinjer eller til at etablere en intern model for risikostyring og kontrol og til at underkaste deres ramme for IKT-risikostyring intern revision.

(39)

Nogle finansielle enheder drager fordel af undtagelser eller er underlagt en meget lempelig reguleringsmæssig ramme i henhold til den relevante sektorspecifikke EU-ret. Sådanne finansielle enheder omfatter forvaltere af alternative investeringsfonde som omhandlet i artikel 3, stk. 2, i Europa-Parlamentets og Rådets direktiv 2011/61/EU (16), forsikrings- og genforsikringsselskaber som omhandlet i artikel 4 i Europa-Parlamentets og Rådets direktiv 2009/138/EF (17) og arbejdsmarkedsrelaterede pensionskasser, der forvalter pensionsordninger, som tilsammen ikke har mere end 15 medlemmer i alt. I lyset af disse undtagelser ville det ikke være rimeligt at medtage sådanne finansielle enheder i denne forordnings anvendelsesområde. Desuden anerkender denne forordning de særlige forhold, der gør sig gældende for markedsstrukturen for forsikringsformidling, med det resultat, at forsikringsformidlere, genforsikringsformidlere og accessoriske forsikringsformidlere, der kan betegnes som mikrovirksomheder eller som små eller mellemstore virksomheder, ikke bør være omfattet af denne forordning.

(40)

Da enheder, der er omhandlet i artikel 2, stk. 5, nr. 4)-23), i direktiv 2013/36/EU, er udelukket fra nævnte direktivs anvendelsesområde, bør medlemsstaterne derfor kunne vælge at undtage sådanne enheder, der er beliggende på deres respektive områder, fra denne forordnings anvendelse.

(41)

For at tilpasse denne forordning til anvendelsesområdet for Europa-Parlamentets og Rådets direktiv 2014/65/EU (18) bør de fysiske og juridiske personer, der er omhandlet i artikel 2 og 3 i nævnte direktiv, og som må yde investeringsservice uden at skulle indhente tilladelse i henhold til direktiv 2014/65/EU, ligeledes udelukkes fra denne forordnings anvendelsesområde. I henhold til artikel 2 i direktiv 2014/65/EU er enheder, der betragtes som finansielle enheder med henblik på denne forordning, f.eks. værdipapircentraler, institutter for kollektiv investering eller forsikrings- og genforsikringsselskaber, dog også undtaget fra nævnte direktivs anvendelsesområde. Undtagelsen fra denne forordnings anvendelsesområde for de personer og enheder, der er omhandlet i artikel 2 og 3 i nævnte direktiv, bør ikke omfatte disse værdipapircentraler, institutter for kollektiv investering eller forsikrings- og genforsikringsselskaber.

(42)

I henhold til sektorspecifik EU-ret er nogle finansielle enheder underlagt lempeligere krav eller undtagelser som følge af deres størrelse eller de tjenester, de leverer. Denne kategori af finansielle enheder omfatter små og ikke indbyrdes forbundne investeringsselskaber, små arbejdsmarkedsrelaterede pensionskasser, som den pågældende medlemsstat kan udelukke fra anvendelsesområdet for direktiv (EU) 2016/2341 på de betingelser, der er fastsat i artikel 5 i nævnte direktiv, og som forvalter pensionsordninger, som tilsammen ikke har mere end 100 medlemmer i alt, samt institutter, der er fritaget i henhold til direktiv 2013/36/EU. I overensstemmelse med proportionalitetsprincippet og for at bevare ånden i den sektorspecifikke EU-ret er det derfor også hensigtsmæssigt at underlægge disse finansielle enheder en forenklet ramme for IKT-risikostyring i henhold til denne forordning. Den forholdsmæssige karakter af rammen for IKT-risikostyring, der omfatter disse finansielle enheder, bør ikke ændres af de reguleringsmæssige tekniske standarder, der skal udvikles af ESA'erne. I overensstemmelse med proportionalitetsprincippet er det desuden hensigtsmæssigt også at underlægge betalingsinstitutter som omhandlet i artikel 32, stk. 1, i direktiv (EU) 2015/2366 og e-pengeinstitutter som omhandlet i artikel 9 i direktiv 2009/110/EF, der er undtaget i overensstemmelse med national ret, der gennemfører disse EU-retsakter, en forenklet ramme for IKT-risikostyring i henhold til denne forordning, hvorimod betalingsinstitutter og e-pengeinstitutter, som ikke er blevet undtaget i overensstemmelse med deres respektive nationale ret, der gennemfører sektorspecifik EU-ret, bør overholde den generelle ramme, der er fastsat ved denne forordning.

(43)

Tilsvarende bør finansielle enheder, der betragtes som mikrovirksomheder eller er underlagt den forenklede ramme for IKT-risikostyring i henhold til denne forordning, ikke være forpligtet til at oprette en overvågningsfunktion for deres ordninger indgået med tredjepartsudbydere af IKT-tjenester vedrørende brugen af IKT-tjenester eller at udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation, at overdrage ansvaret for styring af og tilsyn med IKT-risiko til en kontrolfunktion og sikre, at en sådan kontrolfunktion har en passende grad af uafhængighed for at undgå interessekonflikter, mindst én gang om året at dokumentere og gennemgå rammen for IKT-risikostyring, regelmæssigt at underkaste rammen for IKT-risikostyring intern revision, at foretage tilbundsgående vurderinger efter større ændringer i deres net- og informationssysteminfrastrukturer og -processer, regelmæssigt at foretage risikoanalyser af legacy-IKT-systemer, at underkaste gennemførelsen af planerne for IKT-indsats og -genopretning uafhængig intern revisionsgennemgang, at have en krisestyringsfunktion, at udvide test af driftsstabiliteten samt indsats- og genopretningsplaner til at dække overgangsscenarier mellem den primære IKT-infrastruktur og redundante faciliteter, efter deres anmodning at indberette et skøn over de samlede årlige omkostninger og tab som følge af større IKT-relaterede hændelser til de kompetente myndigheder, at opretholde redundante IKT-kapaciteter, at informere nationale kompetente myndigheder om gennemførte ændringer efter gennemgange af IKT-relaterede hændelser, løbende at overvåge relevant teknologisk udvikling, at etablere et omfattende program for test af digital operationel modstandsdygtighed som en integreret del af den ramme for IKT-risikostyring, der er fastsat i denne forordning, eller at vedtage og regelmæssigt gennemgå en strategi for IKT-tredjepartsrisiko. Desuden bør mikrovirksomheder kun være forpligtet til at vurdere behovet for at opretholde sådanne redundante IKT-kapaciteter på grundlag af deres risikoprofil. Mikrovirksomheder bør drage fordel af en mere fleksibel ordning for så vidt angår programmer for test af digital operationel modstandsdygtighed. Når de skal tage stilling til typen og hyppigheden af de test, der skal foretages, bør de skabe en passende balance mellem målet om at opretholde en høj digital operationel modstandsdygtighed og de tilgængelige ressourcer og deres samlede risikoprofil. Mikrovirksomheder og finansielle enheder, der er underlagt den forenklede ramme for IKT-risikostyring i henhold til denne forordning, bør undtages fra kravet om at foretage avancerede test af IKT-værktøjer, -systemer og -processer baseret på trusselsbaserede penetrationstest (TLPT), da kun finansielle enheder, der opfylder kriterierne i denne forordning, bør pålægges at foretage en sådan test. I lyset af deres begrænsede kapaciteter bør mikrovirksomheder kunne aftale med tredjepartsudbyderen af IKT-tjenester, at den finansielle enheds ret til adgang, inspektion og revision delegeres til en uafhængig tredjepart, der udpeges af tredjepartsudbyderen af IKT-tjenester, forudsat at den pågældende finansielle enhed til enhver tid kan anmode den respektive uafhængige tredjepart om alle relevante oplysninger og garantier vedrørende de resultater, som tredjepartsudbyderen af IKT-tjenester opnår.

(44)

Da kun de finansielle enheder, der er udpeget med henblik på avanceret test af digital modstandsdygtighed, bør pålægges at foretage trusselsbaserede penetrationstest, bør de administrative processer og finansielle omkostninger, som gennemførelsen af sådanne test indebærer, afholdes af en lille procentdel af finansielle enheder.

(45)

For at sikre fuld tilpasning af og generel konsekvens mellem finansielle enheders virksomhedsstrategier på den ene side og gennemførelse af IKT-risikostyring på den anden side bør de finansielle enheders ledelsesorganer pålægges fortsat at indtage en central og aktiv rolle i styringen og tilpasningen af rammen for IKT-risikostyring og den samlede strategi for digital operationel modstandsdygtighed. Den tilgang, som ledelsesorganer skal anlægge, bør ikke kun fokusere på midlerne til at sikre modstandsdygtighed i IKT-systemer, men bør også omfatte mennesker og processer gennem en række politikker, som på hvert virksomhedsniveau og for alt personale fremmer stor bevidsthed om cybersikkerhed og et tilsagn om at overholde en streng cyberhygiejne på alle niveauer. Ledelsesorganets endelige ansvar for styringen af en finansiel enheds IKT-risiko bør være det overordnede princip i denne omfattende tilgang, der skal udmøntes yderligere i ledelsesorganets fortsatte indsats for at føre kontrol med overvågningen af IKT-risikostyring.

(46)

Desuden går princippet om ledelsesorganets fulde og endelige ansvar for styringen af den finansielle enheds IKT-risiko hånd i hånd med behovet for at sikre et vist niveau af IKT-relaterede investeringer og et samlet budget for den pågældende finansielle enhed, der gør det muligt for den finansielle enhed at opnå et højt niveau af digital operationel modstandsdygtighed.

(47)

Med inspiration fra relevant bedste praksis og relevante retningslinjer, henstillinger eller tilgange på internationalt og nationalt plan samt på sektorplan vedrørende styring af cyberrisici fremmer denne forordning et sæt principper, der letter den samlede struktur for IKT-risikostyring. Så længe de hovedkapaciteter, som finansielle enheder indfører, håndterer de forskellige funktioner inden for IKT-risikostyring (identifikation, beskyttelse og forebyggelse, detektion, indsats og genopretning, læring og udvikling og kommunikation), som er omhandlet i denne forordning, bør det derfor stå finansielle enheder frit for at anvende modeller for IKT-risikostyring, som er udformet eller kategoriseret på en anden måde.

(48)

For at holde trit med et cybertrusselsbillede i udvikling bør finansielle enheder opretholde opdaterede IKT-systemer, der er pålidelige og egnede til ikke kun at garantere den databehandling, der er nødvendig for deres tjenester, men også for at sikre tilstrækkelig teknologisk modstandsdygtighed, så de i tilstrækkelig grad kan tackle yderligere behandlingsrelaterede behov som følge af stressede markedsforhold eller andre vanskelige situationer.

(49)

Effektive planer for driftsstabilitet og genopretningsplaner er nødvendige for, at finansielle enheder omgående og hurtigt kan finde en løsning på IKT-relaterede hændelser, navnlig cyberangreb, ved at begrænse skaden og prioritere genoptagelsen af aktiviteter og genopretningstiltag i overensstemmelse med deres politikker for sikkerhedskopiering. En sådan genoptagelse bør dog på ingen måde bringe net- og informationssystemernes integritet og sikkerhed eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data i fare.

(50)

Om end denne forordning giver finansielle enheder mulighed for at fastsætte deres mål for genopretningstid og genopretningspunkt på en fleksibel måde og dermed fastsætte sådanne mål under fuld hensyntagen til de relevante funktioners karakter og kritiske betydning og eventuelle specifikke forretningsmæssige behov, bør den ikke desto mindre kræve, at de foretager en vurdering af den potentielle samlede indvirkning på markedseffektiviteten, når sådanne mål fastsættes.

(51)

Bagmændene bag cyberangreb har tendens til at søge at opnå finansielle gevinster direkte fra kilden og dermed udsætte finansielle enheder for væsentlige konsekvenser. For at forhindre, at IKT-systemer mister deres integritet eller bliver utilgængelige, og dermed undgå brud på datasikkerheden og skade på fysisk IKT-infrastruktur, bør finansielle enheders indberetning af større IKT-relaterede hændelser forbedres og strømlines væsentligt. Indberetningen af IKT-relaterede hændelser bør harmoniseres ved at indføre et krav om, at alle finansielle enheder foretager indberetning direkte til deres relevante kompetente myndigheder. Hvis en finansiel enhed er underlagt tilsyn ved mere end én national kompetent myndighed, bør medlemsstaterne udpege en fælles kompetent myndighed som modtager af en sådan indberetning. Kreditinstitutter, der er klassificeret som signifikante i henhold til artikel 6, stk. 4, i Rådets forordning (EU) nr. 1024/2013 (19) , bør indsende en sådan indberetning til de kompetente nationale myndigheder, som efterfølgende bør fremsende indberetningen til Den Europæiske Centralbank (ECB).

(52)

Den direkte indberetning bør give finansielle tilsynsmyndigheder mulighed for at have øjeblikkelig adgang til oplysninger om større IKT-relaterede hændelser. Finansielle tilsynsmyndigheder bør til gengæld videreformidle detaljerne om større IKT-relaterede hændelser til offentlige ikkefinansielle myndigheder (såsom kompetente myndigheder og centrale kontaktpunkter i henhold til direktiv (EU) 2022/2555, nationale databeskyttelsesmyndigheder og til retshåndhævende myndigheder ved større IKT-relaterede hændelser af kriminel karakter) for at øge sådanne myndigheders kendskab til sådanne hændelser og, for så vidt angår CSIRT'er, for at fremme hurtig bistand, der kan ydes til finansielle enheder, alt efter hvad der er relevant. Medlemsstaterne bør desuden kunne bestemme, at de finansielle enheder selv bør give sådanne oplysninger til offentlige myndigheder uden for området for finansielle tjenesteydelser. Disse informationsstrømme bør give finansielle enheder mulighed for hurtigt at drage fordel af alle relevante tekniske input, rådgivning om afhjælpende foranstaltninger og efterfølgende opfølgning fra sådanne myndigheders side. Oplysningerne om større IKT-relaterede hændelser bør sendes begge veje: De finansielle tilsynsmyndigheder bør give al nødvendig feedback eller vejledning til den finansielle enhed, mens ESA'erne bør dele anonymiserede data om cybertrusler og sårbarheder forbundet med en hændelse, for at bidrage til det bredere kollektive forsvar.

(53)

Selv om alle finansielle enheder bør pålægges at foretage indberetning af hændelser, forventes dette krav ikke at påvirke dem alle på samme måde. Relevante væsentlighedstærskler samt rapporteringsfrister bør således tilpasses behørigt i forbindelse med delegerede retsakter baseret på de reguleringsmæssige tekniske standarder, der skal udvikles af ESA'erne, med henblik på kun at dække større IKT-relaterede hændelser. Desuden bør der tages hensyn til de særlige forhold, der gør sig gældende for finansielle enheder, når der fastsættes tidsfrister for indberetningsforpligtelser.

(54)

Denne forordning bør fastsætte et krav om, at kreditinstitutter, betalingsinstitutter, kontooplysningstjenesteudbydere og e-pengeinstitutter indberetter alle operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, som tidligere blev indberettet i henhold til direktiv (EU) 2015/2366, uanset hændelsens IKT-karakter.

(55)

ESA'erne bør have til opgave at vurdere den praktiske mulighed og betingelserne for en mulig centralisering af indberetninger af IKT-relaterede hændelser på EU-niveau. En sådan centralisering kunne bestå af et fælles EU-knudepunkt for indberetning af større IKT-relaterede hændelser, som enten direkte modtager de relevante indberetninger og automatisk underretter nationale kompetente myndigheder, eller som blot centraliserer relevante indberetninger, som de nationale kompetente myndigheder har indgivet, og dermed varetager en koordinatorrolle. ESA'erne bør i samråd med ECB og ENISA have til opgave at udarbejde en fælles rapport, hvori det undersøges, om det er praktisk muligt at oprette et fælles EU-knudepunkt.

(56)

For at opnå et højt niveau af digital operationel modstandsdygtighed og skabe overensstemmelse med både de relevante internationale standarder (f.eks. G7 Fundamental Elements for Threat-Led Penetration Testing) og de rammer, der anvendes i Unionen, f.eks. TIBER-EU, bør finansielle enheder regelmæssigt teste deres IKT-systemer og medarbejdere med IKT-relaterede ansvar med hensyn til effektiviteten af deres forebyggelses-, detektions-, indsats- og genopretningskapaciteter for at afsløre og afhjælpe potentielle IKT-sårbarheder. For at afspejle de forskelle, der eksisterer på tværs af og inden for de forskellige finansielle delsektorer, for så vidt angår de finansielle enheders niveau af cybersikkerhedsberedskab, bør test omfatte en bred vifte af værktøjer og tiltag, der spænder lige fra vurderingen af grundlæggende krav (f.eks. sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerhed, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest eller end-to-end-test) til mere avancerede test ved hjælp af TLPT. En sådan avanceret test bør kun kræves af finansielle enheder, der set fra et IKT-perspektiv er modne nok til at kunne gennemføre den på en rimelig måde. Den test af digital operationel modstandsdygtighed, der kræves i henhold til denne forordning, bør således være mere krævende for de finansielle enheder, der opfylder kriterierne i denne forordning (f.eks. store, systemiske og IKT-modne kreditinstitutter, børser, værdipapircentraler og centrale modparter) end for andre finansielle enheder. Samtidig bør test af digital operationel modstandsdygtighed ved hjælp af TLPT være mere relevant for finansielle enheder, der opererer inden for centrale delsektorer for finansielle tjenesteydelser, og som spiller en systemisk rolle (f.eks. betalinger, bankvirksomhed samt clearing og afvikling), og mindre relevant for andre delsektorer (f.eks. kapitalforvaltere og kreditvurderingsbureauer).

(57)

Finansielle enheder, der er involveret i grænseoverskridende aktiviteter, og som udøver den frie etableringsret eller retten til fri udveksling af tjenesteydelser i Unionen, bør opfylde et fælles sæt avancerede testkrav (dvs. TLPT) i deres hjemland, som bør inkludere IKT-infrastrukturerne i alle de jurisdiktioner, hvori den grænseoverskridende finansielle koncern opererer inden for Unionen, hvorved det for sådanne grænseoverskridende finansielle koncerners vedkommende gøres muligt kun at pådrage sig IKT-relaterede testomkostninger i én jurisdiktion.

(58)

For at trække på den ekspertise, som visse kompetente myndigheder allerede har erhvervet, navnlig med hensyn til gennemførelse af TIBER-EU-rammen, bør denne forordning gøre det muligt for medlemsstater at udpege en fælles offentlig myndighed som ansvarlig i den finansielle sektor på nationalt plan for alle TLPT-spørgsmål eller for kompetente myndigheder, i mangel af en sådan udpegelse, at uddelegere udøvelsen af TLPT-relaterede opgaver til en anden national finansiel kompetent myndighed.

(59)

Da denne forordning ikke stiller krav om, at finansielle enheder skal lade alle kritiske eller vigtige funktioner være omfattet af en enkelt trusselsbaseret penetrationstest, bør finansielle enheder frit kunne afgøre, hvilke og hvor mange kritiske eller vigtige funktioner der bør være omfattet af en sådan test.

(60)

Samlede test som omhandlet i denne forordning, der indebærer deltagelse af flere finansielle enheder i en TLPT, og for hvilke en tredjepartsudbyder af IKT-tjenester direkte kan indgå kontraktlige ordninger med en ekstern tester, bør kun tillades, hvis kvaliteten eller sikkerheden af de tjenester, som tredjepartsudbyderen af IKT-tjenester leverer til kunder, der er enheder, som falder uden for denne forordnings anvendelsesområde, eller fortroligheden af data forbundet med sådanne tjenester, med rimelighed kan forventes at blive negativt påvirket. Samlede test bør også være omfattet af garantier (ledelse af én udpeget finansiel enhed, kalibrering af antallet af deltagende finansielle enheder) for at sikre en streng testøvelse for de involverede finansielle enheder, som opfylder målene for TLPT i henhold til denne forordning.

(61)

For at udnytte de interne ressourcer, der er til rådighed på virksomhedsniveau, bør denne forordning gøre det muligt at anvende interne testere med henblik på at foretage TLPT under forudsætning af tilsynsmæssig godkendelse, fravær af interessekonflikter og af regelmæssige skift af anvendelsen af interne og eksterne testere (hver tredje test), samtidig med at det også kræves, at formidleren af trusselsefterretninger i TLPT'en altid skal være ekstern i forhold til den finansielle enhed. Ansvaret for at gennemføre TLPT bør forblive fuldt ud hos den finansielle enhed. Erklæringer fra myndigheder bør udelukkende have til formål at opnå gensidig anerkendelse og bør ikke udelukke eventuelle opfølgende foranstaltninger, der er nødvendige for at imødegå den IKT-risiko, som den finansielle enhed er udsat for, og de bør heller ikke betragtes som en tilsynsmæssig godkendelse af en finansiel enheds kapacitet til IKT-risikostyring og -risikoafbødning.

(62)

For at sikre en forsvarlig overvågning af IKT-tredjepartsrisiko i den finansielle sektor er det nødvendigt at fastlægge en række principbaserede regler, der skal fungere som rettesnor for finansielle enheder, når de overvåger risici i forbindelse med funktioner, der outsources til tredjepartsudbydere af IKT-tjenester, navnlig for IKT-tjenester, der understøtter kritiske eller vigtige funktioner, og mere generelt i forbindelse med afhængighed af alle IKT-tredjeparter.

(63)

For at tage højde for kompleksiteten af de forskellige kilder til IKT-risiko og samtidig tage hensyn til de mange forskellige udbydere af teknologiske løsninger, der muliggør en gnidningsløs levering af finansielle tjenesteydelser, bør denne forordning omfatte en bred vifte af tredjepartsudbydere af IKT-tjenester, herunder udbydere af cloudcomputingtjenester, software, dataanalysetjenester og udbydere af datacentertjenester. Da finansielle enheder på effektiv og sammenhængende vis bør identificere og styre alle typer risici, herunder i forbindelse med IKT-tjenester indkøbt inden for en finansiel koncern, bør det ligeledes præciseres, at virksomheder, der er en del af en finansiel koncern og hovedsagelig leverer IKT-tjenester til deres modervirksomhed eller til dattervirksomheder eller filialer af deres modervirksomhed, samt finansielle enheder, der leverer IKT-tjenester til andre finansielle enheder, også bør betragtes som tredjepartsudbydere af IKT-tjenester i henhold til denne forordning. Endelig, i lyset af udviklingen på betalingstjenestemarkedet, der bliver stadig mere afhængigt af komplekse tekniske løsninger, og i betragtning af nye typer betalingstjenester og betalingsrelaterede løsninger, bør deltagere i økosystemet for betalingstjenester, der leverer betalingsbehandlingsaktiviteter eller driver betalingsinfrastrukturer, også betragtes som tredjepartsudbydere af IKT-tjenester i henhold til denne forordning, bortset fra centralbanker, når de driver betalings- eller værdipapirafviklingssystemer, og offentlige myndigheder, når de leverer IKT-relaterede tjenester i forbindelse med udførelsen af statslige funktioner.

(64)

En finansiel enhed bør til enhver tid fortsat være fuldt ansvarlig for opfyldelsen af sine forpligtelser i henhold til denne forordning. Finansielle enheder bør anvende en forholdsmæssigt afpasset tilgang til overvågningen af de risici, som opstår hos tredjepartsudbydere af IKT-tjenester, under behørig hensyntagen til karakteren, omfanget, kompleksiteten og betydningen af deres IKT-relaterede afhængighed eller tjenesternes kritiske karakter eller betydning, processer eller funktioner, der er omfattet af de kontraktlige ordninger, og i sidste ende på grundlag af en omhyggelig vurdering af en eventuel potentiel indvirkning på kvaliteten af finansielle tjenesteydelser og deres stabilitet på individuelt plan og koncernplan, alt efter hvad der er relevant.

(65)

Udførelsen af en sådan overvågning bør følge en strategisk tilgang til IKT-tredjepartsrisiko, der formaliseres ved, at den finansielle enheds ledelsesorgan vedtager en særlig strategi for IKT-tredjepartsrisiko, som tager udgangspunkt i en løbende screening af enhver afhængighed af IKT-tredjeparter. For at øge den tilsynsmæssige bevidsthed om afhængighed af IKT-tredjeparter og med henblik på yderligere at understøtte arbejdet i forbindelse med den tilsynsramme, der oprettes ved denne forordning, bør alle finansielle enheder forpligtes til at opretholde et register over oplysninger med alle kontraktlige ordninger om brugen af IKT-tjenester, der leveres af tredjepartsudbydere af IKT-tjenester. Finansielle tilsynsmyndigheder bør have mulighed for at anmode om det fulde register eller anmode om specifikke afsnit heraf og dermed indhente væsentlige oplysninger med henblik på at opnå en bredere forståelse af finansielle enheders IKT-afhængighed.

(66)

En grundig analyse forud for kontraktindgåelsen bør understøtte og gå forud for den formelle indgåelse af kontraktlige ordninger, navnlig ved at fokusere på elementer såsom den kritiske karakter eller betydningen af de tjenester, der understøttes af den påtænkte IKT-kontrakt, de nødvendige tilsynsmæssige godkendelser eller andre betingelser, den mulige koncentrationsrisiko, der er forbundet hermed, samt anvendelse af due diligence i processen med udvælgelse og vurdering af tredjepartsudbydere af IKT-tjenester og vurdering af potentielle interessekonflikter. I forbindelse med kontraktlige ordninger vedrørende kritiske eller vigtige funktioner bør finansielle enheder tage hensyn til tredjepartsudbydere af IKT-tjenesters brug af de seneste og højeste informationssikkerhedsstandarder. Opsigelse af kontraktlige ordninger kan som minimum være foranlediget af en række omstændigheder, der påviser mangler hos tredjepartsudbyderen af IKT-tjenester, navnlig væsentlige overtrædelser af love eller kontraktvilkår, omstændigheder, der afslører en potentiel ændring i udførelsen af de funktioner, der er fastsat i de kontraktlige ordninger, tegn på svagheder hos tredjepartsudbyderen af IKT-tjenester i dens samlede IKT-risikostyring eller omstændigheder, der tyder på, at den relevante kompetente myndighed ikke er i stand til at føre effektivt tilsyn med den finansielle enhed.

(67)

For at tackle de systemiske virkninger af den koncentrationsrisiko, der er forbundet med IKT-tredjeparter, fremmer denne forordning en afbalanceret løsning ved at anlægge en fleksibel og gradvis tilgang til en sådan koncentrationsrisiko, da indførelsen af ufleksible lofter eller strenge begrænsninger kan hindre udøvelsen af virksomhed og begrænse kontraktfriheden. Finansielle enheder bør foretage en grundig vurdering af deres påtænkte kontraktlige ordninger for at identificere sandsynligheden for, at sådanne risici opstår, herunder ved hjælp af tilbundsgående analyser af underentrepriseordninger, navnlig når de er indgået med tredjepartsudbydere af IKT-tjenester med hjemsted i et tredjeland. På nuværende tidspunkt og med henblik på at finde en rimelig balance mellem nødvendigheden af at bevare kontraktfriheden og af at sikre den finansielle stabilitet anses det ikke for hensigtsmæssigt at fastsætte regler om strenge lofter og begrænsninger for eksponeringen for IKT-tredjeparter. I forbindelse med tilsynsrammen bør en ledende tilsynsførende, der er udpeget i henhold til denne forordning, for så vidt angår kritiske tredjepartsudbydere af IKT-tjenester være særligt opmærksom på at opnå fuld forståelse for omfanget af den indbyrdes afhængighed, identificere specifikke tilfælde, hvor en høj koncentrationsgrad af kritiske tredjepartsudbydere af IKT-tjenester i Unionen sandsynligvis vil lægge pres på stabiliteten og integriteten i Unionens finansielle system, og opretholde en dialog med kritiske tredjepartsudbydere af IKT-tjenester, hvor en sådan specifik risiko er identificeret.

(68)

For regelmæssigt at vurdere og overvåge evnen hos en tredjepartsudbyder af IKT-tjenester til sikkert at levere tjenester til en finansiel enhed, uden at dette har negative virkninger for en finansiel enheds digitale operationelle modstandsdygtighed, bør flere centrale kontraktlige elementer med tredjepartsudbydere af IKT-tjenester harmoniseres. En sådan harmonisering bør omfatte minimumsområder, som er afgørende for, at den finansielle enhed kan foretage en fuld overvågning af de risici, der kan opstå fra tredjepartsudbyderen af IKT-tjenester, set i lyset af en finansiel enheds behov for at sikre sin digitale modstandsdygtighed, da den er dybt afhængig af de modtagne IKT-tjenesters stabilitet, funktionalitet, tilgængelighed og sikkerhed.

(69)

Når finansielle enheder og tredjepartsudbydere af IKT-tjenester genforhandler kontraktlige ordninger med henblik på at opnå overensstemmelse med kravene i denne forordning, bør de sikre, at de centrale kontraktbestemmelser som fastsat i denne forordning er omfattet.

(70)

Definitionen af »kritisk eller vigtig funktion« i denne forordning omfatter de »kritiske funktioner« som defineret i artikel 2, stk. 1, nr. 35), i Europa-Parlamentets og Rådets direktiv 2014/59/EU (20). Funktioner, der anses for at være kritiske i henhold til direktiv 2014/59/EU, er derfor medtaget i definitionen af kritiske funktioner i henhold til denne forordning.

(71)

Uanset den kritiske karakter eller vigtigheden af den funktion, der understøttes af IKT-tjenesterne, bør kontraktlige ordninger navnlig indeholde en specifikation bestående af de komplette beskrivelser af funktioner og tjenester, af steder, hvor sådanne funktioner leveres, og hvor der skal behandles data, samt beskrivelser af serviceniveauet. Andre væsentlige elementer for at muliggøre en finansiel enheds overvågning af IKT-tredjepartsrisiko er: kontraktlige bestemmelser, der præciserer, hvordan adgangen, tilgængeligheden, integriteten, sikkerheden og beskyttelsen af personoplysninger sikres af tredjepartsudbyderen af IKT-tjenester, bestemmelser, der fastsætter de relevante garantier for at muliggøre adgang, genopretning og returnering af data i tilfælde af insolvens eller afvikling eller i tilfælde af, at tredjepartsudbyderen af IKT-tjenester afbryder sine forretningsaktiviteter, samt bestemmelser, der kræver, at tredjepartsudbyderen af IKT-tjenester yder bistand i tilfælde af IKT-hændelser i forbindelse med de leverede tjenester, uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, bestemmelser om forpligtelsen for tredjepartsudbyderen af IKT-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, samt bestemmelser om opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger.

(72)

Ud over sådanne kontraktlige bestemmelser og med henblik på at sikre, at finansielle enheder fortsat har fuld kontrol over alle udviklingstendenser på tredjepartsniveau, som risikerer at forringe deres IKT-sikkerhed, bør kontrakterne om levering af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, også indeholde følgende: en fuldstændig beskrivelse af serviceniveauer med præcise kvantitative og kvalitative præstationsmål, således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes; de relevante opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af IKT-tjenester i tilfælde af udviklingstendenser, som har en potentiel væsentlig indvirkning på evnen hos tredjepartsudbyderen af IKT-tjenester til effektivt at levere de respektive IKT-tjenester; et krav til tredjepartsudbyderen af IKT-tjenester om at gennemføre og teste forretningsberedskabsplaner og indføre IKT-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver mulighed for sikker levering af tjenester, og om at deltage og samarbejde fuldt ud i den TLPT, der udføres af den finansielle enhed.

(73)

Kontrakter om levering af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, bør også indeholde bestemmelser, der giver den finansielle enhed eller en udpeget tredjepart ret til adgang, inspektion og revision og ret til at tage kopier som afgørende instrumenter i de finansielle enheders løbende overvågning af de resultater, som tredjepartsudbyderen af IKT-tjenester opnår, kombineret med tjenesteudbyderens fulde samarbejde i forbindelse med inspektioner. Tilsvarende bør den finansielle enheds kompetente myndighed på grundlag af underretninger have ret til at inspicere og foretage revision af tredjepartsudbyderen af IKT-tjenester, med forbehold af beskyttelsen af fortrolige oplysninger.

(74)

Sådanne kontraktlige ordninger bør også indeholde særlige exitstrategier for navnlig at muliggøre obligatoriske overgangsperioder, i løbet af hvilke tredjepartsudbydere af IKT-tjenester fortsat bør levere de relevante tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed, eller at give sidstnævnte mulighed for effektivt at skifte til anvendelsen af andre tredjepartsudbydere af IKT-tjenester, eller alternativt at skifte til interne løsninger, der stemmer overens med den leverede IKT-tjenestes kompleksitet. Desuden bør finansielle enheder, der er omfattet af direktiv 2014/59/EU, sikre, at de relevante kontrakter for IKT-tjenester er robuste og kan håndhæves fuldt ud i tilfælde af afvikling af de pågældende finansielle enheder. I overensstemmelse med afviklingsmyndighedernes forventninger bør disse finansielle enheder derfor sikre, at de relevante kontrakter for IKT-tjenester er modstandsdygtige over for afvikling. Så længe disse finansielle enheder fortsat opfylder deres betalingsforpligtelser, bør de bl.a. sikre, at de relevante kontrakter for IKT-tjenester indeholder bestemmelser om, at omstrukturering eller afvikling ikke medfører opsigelse, suspension eller ændring.

(75)

Desuden kan den frivillige anvendelse af de standardkontraktbestemmelser, der er udviklet af offentlige myndigheder eller EU-institutioner, navnlig anvendelsen af kontraktbestemmelser udviklet af Kommissionen for cloudcomputingtjenester, give de finansielle enheder og tredjepartsudbydere af IKT-tjenester yderligere tryghed ved at øge deres retssikkerhedsniveau med hensyn til anvendelsen af cloudcomputingtjenester i den finansielle sektor, i fuld overensstemmelse med de krav og forventninger, der er fastsat i EU-retten om finansielle tjenesteydelser. Udarbejdelsen af standardkontraktbestemmelser bygger på de foranstaltninger, der allerede var påtænkt i fintechhandlingsplanen fra 2018, der bekendtgjorde, at Kommissionen har til hensigt at tilskynde til og fremme udarbejdelsen af standardkontraktbestemmelser for finansielle enheders anvendelse af cloudcomputingtjenester og i den forbindelse trække på indsatsen blandt tværsektorielle interessenter på området for cloudcomputingtjenester, som Kommissionen har fremmet gennem inddragelse af den finansielle sektor.

(76)

Med henblik på at fremme konvergens og effektivitet i forbindelse med tilsynsmæssige tilgange til håndtering af IKT-tredjepartsrisiko i den finansielle sektor samt for at styrke den digitale operationelle modstandsdygtighed i finansielle enheder, der er afhængige af kritiske tredjepartsudbydere af IKT-tjenester for levering af de IKT-tjenester, der understøtter leveringen af finansielle tjenesteydelser, og dermed bidrage til at bevare stabiliteten i Unionens finansielle system og integriteten i det indre marked for finansielle tjenesteydelser, bør kritiske tredjepartsudbydere af IKT-tjenester være omfattet af en EU-tilsynsramme. Selv om oprettelsen af tilsynsrammen er begrundet i merværdien af at træffe foranstaltninger på EU-plan, og i kraft af den iboende rolle og de særlige forhold, der gør sig gældende for brugen af IKT-tjenester i forbindelse med levering af finansielle tjenesteydelser, bør det samtidig erindres, at denne løsning kun forekommer hensigtsmæssig inden for rammerne af denne forordning, der specifikt omhandler digital operationel modstandsdygtighed i den finansielle sektor. En sådan tilsynsramme bør imidlertid ikke betragtes som en ny model for EU-tilsyn inden for finansielle tjenesteydelser og aktiviteter.

(77)

Tilsynsrammen bør kun finde anvendelse på kritiske tredjepartsudbydere af IKT-tjenester. Der bør derfor være en udpegelsesmekanisme for at tage hensyn til omfanget og karakteren af den finansielle sektors afhængighed af sådanne tredjepartsudbydere af IKT-tjenester. Denne mekanisme bør indebære et sæt kvantitative og kvalitative kriterier til fastsættelse af parametre for kritisk karakter som grundlag for medtagelse i tilsynsrammen. For at sikre nøjagtigheden af denne vurdering og uanset tredjepartsudbyderen af IKT-tjenesters virksomhedsstruktur bør sådanne kriterier, hvis der er tale om en tredjepartsudbyder af IKT-tjenester, der er en del af en større koncern, tage hensyn til hele koncernstrukturen for tredjepartsudbyderen af IKT-tjenester. På den ene side bør kritiske tredjepartsudbydere af IKT-tjenester, som ikke automatisk udpeges i medfør af disse kriterier, have mulighed for at deltage i tilsynsrammen på frivillig basis, men på den anden side bør tredjepartsudbydere af IKT-tjenester, der allerede er omfattet af tilsynsrammer, som understøtter udførelsen af Det Europæiske System af Centralbankers opgaver som omhandlet i artikel 127, stk. 2, i TEUF, undtages.

(78)

Tilsvarende bør finansielle enheder, der leverer IKT-tjenester til andre finansielle enheder, selv om de tilhører kategorien af tredjepartsudbydere af IKT-tjenester i henhold til denne forordning, også undtages fra tilsynsrammen, da de allerede er underlagt tilsynsmekanismer, der er oprettet ved den relevante EU-ret om finansielle tjenesteydelser. Hvor det er relevant, bør de kompetente myndigheder i forbindelse med deres tilsynsaktiviteter tage hensyn til den IKT-risiko, som finansielle enheder, der leverer IKT-tjenester, udgør for finansielle enheder. På grund af de eksisterende risikoovervågningsmekanismer på koncernniveau bør den samme undtagelse ligeledes indføres for tredjepartsudbydere af IKT-tjenester, der hovedsageligt leverer tjenester til enheder i deres egen koncern. Tredjepartsudbydere af IKT-tjenester, der udelukkende leverer IKT-tjenester i én medlemsstat til finansielle enheder, der kun er aktive i den pågældende medlemsstat, bør også undtages fra udpegelsesmekanismen på grund af deres begrænsede aktiviteter og manglende grænseoverskridende virkninger.

(79)

Den digitale omstilling, der er sket inden for finansielle tjenesteydelser, har medført en hidtil uset grad af anvendelse og afhængighed af IKT-tjenester. Eftersom det er blevet utænkeligt at levere finansielle tjenesteydelser uden brug af cloudcomputingtjenester, softwareløsninger og datarelaterede tjenester, er Unionens finansielle økosystem blevet uløseligt forbundet med visse IKT-tjenester, der leveres af leverandører af IKT-tjenester. Nogle af disse leverandører, som er innovatorer i udviklingen og anvendelsen af IKT-baserede teknologier, spiller en væsentlig rolle i leveringen af finansielle tjenesteydelser eller er blevet integreret i værdikæden for finansielle tjenesteydelser. De er således blevet afgørende for stabiliteten og integriteten af Unionens finansielle system. Denne udbredte afhængighed af tjenester, der leveres af kritiske tredjepartsudbydere af IKT-tjenester, kombineret med den indbyrdes afhængighed mellem forskellige markedsoperatørers informationssystemer skaber en direkte og potentielt alvorlig risiko for Unionens system for finansielle tjenesteydelser og for kontinuiteten i leveringen af finansielle tjenesteydelser, hvis kritiske tredjepartsudbydere af IKT-tjenester påvirkes af operationelle forstyrrelser eller større cyberhændelser. Cyberhændelser har en markant evne til at vokse og sprede sig i hele det finansielle system i betydeligt hurtigere tempo end andre typer risici, der overvåges i den finansielle sektor, og kan brede sig over sektorer og geografiske grænser. De har potentiale til at udvikle sig til en systemisk krise, hvor tilliden til det finansielle system udhules på grund af forstyrrelser af funktioner, der understøtter realøkonomien, eller til betydelige finansielle tab, der når et niveau, som det finansielle system ikke kan holde til, eller som kræver anvendelse af omfattende foranstaltninger til at absorbere chok. For at forhindre, at disse scenarier finder sted og derved bringer den finansielle stabilitet og integritet i Unionen i fare, er det afgørende at sikre konvergens i tilsynspraksis vedrørende IKT-tredjepartsrisiko inden for finansiering, navnlig gennem nye regler, der giver Unionen mulighed for at føre tilsyn med kritiske tredjepartsudbydere af IKT-tjenester.

(80)

Tilsynsrammen afhænger i høj grad af graden af samarbejde mellem den ledende tilsynsførende og den kritiske tredjepartsudbyder af IKT-tjenester, der til finansielle enheder leverer tjenester, som påvirker leveringen af finansielle tjenesteydelser. Et vellykket tilsyn er bl.a. baseret på den ledende tilsynsførendes evne til effektivt at gennemføre overvågningsmissioner og inspektioner for at vurdere de regler, kontroller og processer, der anvendes af de kritiske tredjepartsudbydere af IKT-tjenester, samt for at vurdere deres aktiviteters potentielle kumulative indvirkning på den finansielle stabilitet og det finansielle systems integritet. Samtidig er det afgørende, at kritiske tredjepartsudbydere af IKT-tjenester følger den ledende tilsynsførendes henstillinger og imødekommer dennes betænkeligheder. Eftersom manglende samarbejde fra en kritisk tredjepartsudbyder af IKT-tjenester, der leverer tjenester, som påvirker leveringen af finansielle tjenesteydelser, f.eks. afslag på at give adgang til sine lokaler eller indgive oplysninger, i sidste ende vil fratage den ledende tilsynsførende sine afgørende værktøjer for at vurdere IKT-tredjepartsrisiko og kan have en negativ indvirkning på den finansielle stabilitet og det finansielle systems integritet, er det nødvendigt også at indføre en passende sanktionsordning.

(81)

På denne baggrund bør det sikres, at den ledende tilsynsførendes behov for at kunne pålægge tvangsbøder for at tvinge kritiske tredjepartsudbydere af IKT-tjenester til at efterleve de gennemsigtigheds- og adgangsrelaterede forpligtelser, der er fastsat i denne forordning, ikke bringes i fare på grund af de vanskeligheder, som håndhævelsen af disse tvangsbøder giver anledning til over for kritiske tredjepartsudbydere af IKT-tjenester med hjemsted i tredjelande. For at sikre, at sådanne sanktioner kan håndhæves, og for at muliggøre en hurtig indførelse af procedurer, der opretholder de kritiske tredjepartsudbydere af IKT-tjenesters ret til forsvar i forbindelse med udpegelsesmekanismen og udstedelsen af henstillinger, bør disse kritiske tredjepartsudbydere af IKT-tjenester, der leverer tjenester til finansielle enheder, som påvirker leveringen af finansielle tjenesteydelser, være forpligtet til at opretholde en passende forretningsmæssig tilstedeværelse i Unionen. På grund af tilsynets karakter og manglen på sammenlignelige ordninger i andre jurisdiktioner er der ingen egnede alternative mekanismer til at nå dette mål gennem et effektivt samarbejde med finansielle tilsynsmyndigheder i tredjelande om overvågning af virkningen af de digitale operationelle risici hidrørende fra de systemiske tredjepartsudbydere af IKT-tjenester, som betragtes som kritiske tredjepartsudbydere af IKT-tjenester med hjemsted i tredjelande. For at fortsætte leveringen af IKT-tjenester til finansielle enheder i Unionen bør en tredjepartsudbyder af IKT-tjenester med hjemsted i tredjelande, der er udpeget som kritisk i overensstemmelse med denne forordning, derfor senest 12 måneder efter udpegelsen træffe alle nødvendige foranstaltninger for at sikre sin registrering som selskab i Unionen ved at oprette en dattervirksomhed som defineret i gældende EU-ret, nemlig i Europa-Parlamentets og Rådets direktiv 2013/34/EU (21).

(82)

Kravet om at oprette en dattervirksomhed i Unionen bør ikke forhindre den kritiske tredjepartsudbyder af IKT-tjenester i at levere IKT-tjenester og dertil knyttet teknisk support fra faciliteter og infrastruktur beliggende uden for Unionen. Denne forordning pålægger ikke en datalokaliseringsforpligtelse, da den ikke kræver, at datalagring eller -behandling skal finde sted i Unionen.

(83)

Kritiske tredjepartsudbydere af IKT-tjenester bør kunne levere IKT-tjenester fra et hvilket som helst sted i verden og derfor ikke nødvendigvis eller ikke kun fra lokaler beliggende i Unionen. Tilsynsaktiviteter bør først gennemføres på lokaler beliggende i Unionen og ved at interagere med enheder, der er beliggende i Unionen, herunder de dattervirksomheder, der er etableret af kritiske tredjepartsudbydere af IKT-tjenester i henhold til denne forordning. Sådanne tiltag inden for Unionen kan imidlertid være utilstrækkelige til, at den ledende tilsynsførende fuldt ud og effektivt kan varetage sine opgaver i henhold til denne forordning. Den ledende tilsynsførende bør derfor også kunne udøve sine relevante tilsynsbeføjelser i tredjelande. Udøvelsen af disse beføjelser i tredjelande bør gøre det muligt for den ledende tilsynsførende at undersøge de faciliteter, hvorfra IKT-tjenesterne eller de tekniske supporttjenester faktisk leveres eller forvaltes af den kritiske tredjepartsudbyder af IKT-tjenester, og bør give den ledende tilsynsførende en omfattende og operationel forståelse af IKT-risikostyringen ved den kritiske tredjepartsudbyder af IKT-tjenester. Den ledende tilsynsførendes mulighed for som et EU-agentur at udøve beføjelser uden for Unionens område bør være behørigt afgrænset af relevante betingelser, navnlig samtykke fra den berørte kritiske tredjepartsudbyder af IKT-tjenester. Tilsvarende bør de relevante myndigheder i tredjelandet underrettes om og ikke have gjort indsigelse mod den ledende tilsynsførendes udøvelse af aktiviteter på deres eget område. For at sikre en effektiv gennemførelse, og uden at det berører EU-institutionernes og medlemsstaternes respektive beføjelser, er det imidlertid også nødvendigt, at sådanne beføjelser er fuldt forankret i indgåelsen af administrative samarbejdsordninger med de relevante myndigheder i det berørte tredjeland. Denne forordning bør derfor give ESA'erne mulighed for at indgå administrative samarbejdsordninger med de relevante myndigheder i tredjelande, som ikke derudover bør skabe retlige forpligtelser for Unionen og dens medlemsstater.

(84)

For at lette kommunikationen med den ledende tilsynsførende og sikre passende repræsentation bør kritiske tredjepartsudbydere af IKT-tjenester, som indgår i en koncern, udpege én juridisk person som deres koordinationspunkt.

(85)

Tilsynsrammen bør ikke berøre medlemsstaternes beføjelser til at gennemføre deres egne tilsyns- eller overvågningsmissioner i forhold til tredjepartsudbydere af IKT-tjenester, som ikke er udpeget som kritiske i henhold til denne forordning, men som anses for at være vigtige på nationalt plan.

(86)

For at sikre effekten af den institutionelle flerlagsarkitektur på området for finansielle tjenesteydelser bør Det Fælles Udvalg af ESA'er fortsat sikre samlet koordinering på tværs af sektorer af alle forhold, der vedrører IKT-risiko, i overensstemmelse med dets opgaver vedrørende cybersikkerhed. Det bør få støtte fra et nyt underudvalg (»tilsynsforummet«), der udfører det forberedende arbejde både med henblik på individuelle afgørelser rettet mod kritiske tredjepartsudbydere af IKT-tjenester og med henblik på udstedelse af kollektive henstillinger, navnlig i forbindelse med benchmarking af tilsynsprogrammerne for kritiske tredjepartsudbydere af IKT-tjenester, og fastlæggelse af bedste praksis for håndtering af spørgsmål vedrørende IKT-koncentrationsrisiko.

(87)

For at sikre et passende og effektivt tilsyn på EU-plan med kritiske tredjepartsudbydere af IKT-tjenester, fastsættes det i denne forordning, at enhver af de tre ESA'er kan udpeges som en ledende tilsynsførende. Den individuelle tildeling af en kritisk tredjepartsudbyder af IKT-tjenester til en af de tre ESA'er bør være resultatet af en vurdering af, hvilke finansielle enheder der overvejende opererer i de finansielle sektorer, som den pågældende ESA har ansvaret for. Denne tilgang bør føre til en afbalanceret fordeling af opgaver og ansvarsområder mellem de tre ESA'er i forbindelse med udøvelsen af tilsynsfunktionerne og bør gøre bedst mulig brug af de menneskelige ressourcer og den tekniske ekspertise, der er til rådighed i hver af de tre ESA'er.

(88)

Ledende tilsynsførende bør tildeles de nødvendige beføjelser til at foretage undersøgelser, gennemføre inspektioner på stedet og eksterne inspektioner i lokaler og på steder hos kritiske tredjepartsudbydere af IKT-tjenesters og indhente fuldstændige og ajourførte oplysninger. Disse beføjelser bør sætte den ledende tilsynsførende i stand til at opnå en reel indsigt i typen, omfanget og virkningerne af den IKT-tredjepartsrisiko, der berører finansielle enheder og i sidste ende Unionens finansielle system. Overdragelse af hovedansvaret for tilsynsrollen til ESA'erne udgør en forudsætning for at forstå og håndtere den systemiske dimension af IKT-risiko inden for finansiering. Den indvirkning, som kritiske tredjepartsudbydere af IKT-tjenester har på Unionens finansielle sektor, og de potentielle problematikker, der skyldes den deraf følgende IKT-koncentrationsrisiko, kræver en kollektiv tilgang på EU-plan. Samtidig gennemførelse af flere revisioner og adgangsrettigheder, der udføres separat af en lang række kompetente myndigheder med begrænset eller ingen indbyrdes koordinering, vil forhindre de finansielle tilsynsmyndigheder i at få et fuldstændigt og omfattende overblik over IKT-tredjepartsrisiko i Unionen, samtidig med at der også skabes redundans, byrder og kompleksitet for kritiske tredjepartsudbydere af IKT-tjenester, hvis de er genstand for mange overvågnings- og inspektionsanmodninger.

(89)

Da udpegelsen som kritisk har en betydelig indvirkning, bør denne forordning sikre, at rettighederne for kritiske tredjepartsudbydere af IKT-tjenester overholdes i hele gennemførelsen af tilsynsrammen. Inden sådanne udbydere udpeges som kritiske, bør de f.eks. have ret til at indgive en begrundet erklæring til den ledende tilsynsførende med alle relevante oplysninger med henblik på vurderingen i forbindelse med deres udpegelse. Eftersom den ledende tilsynsførende bør have beføjelse til at fremsætte henstillinger vedrørende IKT-risiko og passende afhjælpende foranstaltninger dertil, hvilket omfatter beføjelsen til at gøre indsigelse mod visse kontraktlige ordninger, som i sidste ende påvirker stabiliteten i den finansielle enhed eller det finansielle system, bør kritiske tredjepartsudbydere af IKT-tjenester også have mulighed for inden færdiggørelsen af disse henstillinger at fremlægge redegørelser for den forventede virkning af de løsninger, der påtænkes i henstillingen, for kunder, som er enheder, der ikke er omfattet af denne forordnings anvendelsesområde, og for at udarbejde løsninger til at afbøde risici. Kritiske tredjepartsudbydere af IKT-tjenester, der er uenige i henstillingerne, bør indgive en begrundet redegørelse for deres hensigt om ikke at tilslutte sig henstillingen. Hvis en sådan begrundet redegørelse ikke indgives, eller hvis den anses for at være utilstrækkelig, bør den ledende tilsynsførende udsende en offentlig meddelelse, der kort beskriver den manglende overholdelse.

(90)

De kompetente myndigheder bør på behørig vis medtage opgaven med at kontrollere den indholdsmæssige overholdelse af henstillinger, som er udstedt af den ledende tilsynsførende, i deres funktioner med hensyn til tilsyn med finansielle enheder. De kompetente myndigheder bør kunne kræve, at finansielle enheder træffer yderligere foranstaltninger for at imødegå de risici, der er konstateret i den ledende tilsynsførendes henstillinger, og bør i rette tid udstede underretninger herom. Hvis den ledende tilsynsførende retter henstillinger til kritiske tredjepartsudbydere af IKT-tjenester, der er underlagt tilsyn i henhold til direktiv (EU) 2022/2555, bør de kompetente myndigheder på frivillig basis og inden vedtagelsen af yderligere foranstaltninger kunne høre de kompetente myndigheder i henhold til nævnte direktiv for at fremme en koordineret tilgang til håndteringen af de pågældende kritiske tredjepartsudbydere af IKT-tjenester.

(91)

Udøvelsen af tilsynet bør styres af tre operationelle principper, der har til formål at sikre: a) tæt koordinering mellem ESA'erne i deres rolle som ledende tilsynsførende gennem et fælles tilsynsnetværk, b) overensstemmelse med den ramme, der er fastlagt ved direktiv (EU) 2022/2555 (gennem en frivillig høring af organer i henhold til nævnte direktiv, for at undgå overlapning af foranstaltninger rettet mod kritiske tredjepartsudbydere af IKT-tjenester), og c) anvendelse af omhu for at minimere den potentielle risiko for forstyrrelser af tjenester, der leveres af kritiske tredjepartsudbydere af IKT-tjenester til kunder, der er enheder, som ikke er omfattet af denne forordnings anvendelsesområde.

(92)

Tilsynsrammen bør ikke erstatte eller på nogen måde eller for nogen dels vedkommende træde i stedet for kravet til de finansielle enheder om selv at forvalte de risici, der er forbundet med brugen af tredjepartsudbydere af IKT-tjenester, herunder deres forpligtelse til at opretholde en løbende overvågning af kontraktlige ordninger, der indgås med kritiske tredjepartsudbydere af IKT-tjenester. Ligeledes bør tilsynsrammen ikke berøre finansielle enheders fulde ansvar for at overholde og opfylde alle de retlige forpligtelser, der er fastsat i denne forordning og i den relevante finansielle tjenesteydelsesret.

(93)

For at undgå dobbeltbestemmelser og overlapninger bør de kompetente myndigheder afholde sig fra individuelt at træffe foranstaltninger, der har til formål at overvåge risici hos den kritiske tredjepartsudbyder af IKT-tjenester, og bør i den forbindelse basere sig på den relevante ledende tilsynsførendes vurdering. Alle foranstaltninger bør under alle omstændigheder koordineres og vedtages på forhånd med den ledende tilsynsførende som led i udførelsen af opgaver i tilsynsrammen.

(94)

For at fremme konvergens på internationalt plan vedrørende brug af bedste praksis for gennemgangen og overvågningen af den digitale risikostyring, der foretages af tredjepartsudbydere af IKT-tjenester, bør ESA'erne opfordres til at indgå samarbejdsordninger med relevante tilsyns- og reguleringsmyndigheder i tredjelande.

(95)

Med henblik på at udnytte de specifikke kompetencer, tekniske færdigheder og ekspertisen blandt personale, der er specialiseret i operationel risiko og IKT-risiko hos de kompetente myndigheder, de tre ESA'er og, på frivillig basis, de kompetente myndigheder i henhold til direktiv (EU) 2022/2555, bør den ledende tilsynsførende trække på national tilsynskapacitet og -viden og oprette særlige undersøgelsesteams for hver kritisk tredjepartsudbyder af IKT-tjenester, samle tværfaglige teams til støtte for forberedelsen og udførelsen af tilsynsaktiviteter, herunder generelle undersøgelser og inspektioner hos kritiske tredjepartsudbydere af IKT-tjenester, samt med henblik på enhver nødvendig opfølgning heraf.

(96)

Om end omkostninger som følge af tilsynsopgaver vil blive fuldt ud finansieret af gebyrer, der opkræves af kritiske tredjepartsudbydere af IKT-tjenester, vil ESA'erne dog sandsynligvis inden starten af tilsynsrammen pådrage sig omkostninger for gennemførelsen af særlige IKT-systemer, der understøtter det kommende tilsyn, eftersom der på forhånd vil skulle udvikles og deployeres særlige IKT-systemer. Denne forordning indeholder derfor bestemmelser om en hybrid finansieringsmodel, hvorved tilsynsrammen som sådan vil blive fuldt ud finansieret af gebyrer, mens udviklingen af ESA'ernes IKT-systemer vil blive finansieret af bidrag fra Unionen og de nationale kompetente myndigheder.

(97)

De kompetente myndigheder bør have alle de påkrævede tilsyns-, undersøgelses- og sanktionsbeføjelser, således at de kan sikre, at de udfører deres opgaver i henhold til denne forordning korrekt. De bør i princippet offentliggøre meddelelser om de administrative sanktioner, de pålægger. Da finansielle enheder og tredjepartsudbydere af IKT-tjenester kan have hjemsted i forskellige medlemsstater og være underlagt forskellige kompetente myndigheders tilsyn, bør anvendelsen af denne forordning lettes, dels af et tæt samarbejde blandt de relevante kompetente myndigheder, herunder ECB for så vidt angår specifikke opgaver, som den er tillagt ved Rådets forordning (EU) nr. 1024/2013, dels af høring af ESA'erne gennem gensidig informationsudveksling og levering af bistand i forbindelse med relevante tilsynsaktiviteter.

(98)

For yderligere at kvantificere og kvalificere kriterierne for udpegelsen af tredjepartsudbydere af IKT-tjenester som kritiske og harmonisere tilsynsgebyrerne bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF for at supplere denne forordning for så vidt angår yderligere præcisering af de systemiske virkninger, som et svigt eller et operationelt driftstop foretaget af en tredjepartsudbyder af IKT-tjenester kan få for de finansielle enheder, den leverer IKT-tjenester til, antallet af globale systemisk vigtige institutter (G-SII'er) eller andre systemisk vigtige institutter (O-SII'er), som er afhængige af den pågældende tredjepartsudbyder af IKT-tjenester, antallet af tredjepartsudbydere af IKT-tjenester, der er aktive på et givet marked, omkostningerne forbundet med at migrere data og IKT-arbejdsbyrden til andre tredjepartsudbydere af IKT-tjenester samt omfanget af tilsynsgebyrerne og den måde, hvorpå de skal betales. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (22). For at sikre lige deltagelse i forberedelsen af delegerede retsakter bør Europa-Parlamentet og Rådet navnlig modtage alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter bør have systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.

(99)

Reguleringsmæssige tekniske standarder bør sikre en konsekvent harmonisering af kravene i denne forordning. ESA'erne bør i deres egenskab af organer med højt specialiseret faglig kompetence udarbejde udkast til reguleringsmæssige tekniske standarder, som ikke indebærer politikbeslutninger, med henblik på forelæggelse for Kommissionen. Der bør udarbejdes reguleringsmæssige tekniske standarder på områderne IKT-risikostyring, indberetning af større IKT-relaterede hændelser, test samt i forbindelse med centrale krav med henblik på en forsvarlig overvågning af IKT-tredjepartsrisiko. Kommissionen og ESA'erne bør sikre, at disse standarder og krav kan anvendes af alle finansielle enheder på en måde, der står i rimeligt forhold til deres størrelse og samlede risikoprofil samt karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer. Kommissionen bør tillægges beføjelse til at vedtage sådanne reguleringsmæssige tekniske standarder ved hjælp af delegerede retsakter i henhold til artikel 290 i TEUF og i overensstemmelse med artikel 10-14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

(100)

For at gøre det lettere at sammenligne indberetninger af større IKT-relaterede hændelser og større operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser samt sikre gennemsigtighed med hensyn til kontraktlige ordninger for brugen af IKT-tjenester, der leveres af tredjepartsudbydere af IKT-tjenester, bør ESA'erne udarbejde udkast til gennemførelsesmæssige tekniske standarder, der fastlægger standardiserede modeller, formularer og procedurer, således at finansielle enheder kan indberette en større IKT-relateret hændelse og en større operationel eller sikkerhedsmæssig betalingsrelateret hændelse, samt standardiserede modeller for registret over oplysninger. Når ESA'erne udarbejder disse standarder, bør de tage hensyn til den finansielle enheds størrelse og samlede risikoprofil samt karakteren, omfanget og kompleksiteten af dens tjenester, aktiviteter og operationer. Kommissionen bør tillægges beføjelse til at vedtage sådanne gennemførelsesmæssige tekniske standarder ved hjælp af gennemførelsesretsakter i henhold til artikel 291 i TEUF og i overensstemmelse med artikel 15 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

(101)

Da der allerede er fastsat yderligere krav ved delegerede retsakter og gennemførelsesretsakter baseret på de reguleringsmæssige og gennemførelsesmæssige tekniske standarder i Europa-Parlamentets og Rådets forordning (EF) nr. 1060/2009 (23), (EU) nr. 648/2012 (24), (EU) nr. 600/2014 (25) og (EU) nr. 909/2014 (26), bør ESA'erne bemyndiges til enten individuelt eller i fællesskab via Det Fælles Udvalg at forelægge reguleringsmæssige og gennemførelsesmæssige tekniske standarder for Kommissionen med henblik på vedtagelse af delegerede retsakter og gennemførelsesretsakter om overførsel og ajourføring af eksisterende regler for IKT-risikostyring.

(102)

Eftersom denne forordning sammen med Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 (27) for at sikre fuld sammenhæng indebærer en konsolidering af bestemmelserne om IKT-risikostyring i forskellige forordninger og direktiver i gældende EU-ret vedrørende finansielle tjenesteydelser, herunder forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 og (EU) nr. 909/2014 og Europa-Parlamentets og Rådets forordning (EU) 2016/1011 (28), bør nævnte forordninger ændres for at præcisere, at de gældende IKT-risikorelaterede bestemmelser er fastsat i nærværende forordning.

(103)

Derfor bør anvendelsesområdet for de relevante artikler vedrørende operationel risiko, i henhold til hvilke de beføjelser, der er fastsat i forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011, gav mandat til vedtagelsen af delegerede retsakter og gennemførelsesretsakter, indskrænkes med henblik på at overføre alle de bestemmelser om aspekterne vedrørende digital operationel modstandsdygtighed, som i dag indgår i nævnte forordninger, til nærværende forordning.

(104)

Den potentielle systemiske cyberrisiko, der er forbundet med anvendelsen af IKT-infrastrukturer, som muliggør drift af betalingssystemer og levering af betalingsbehandlingsaktiviteter, bør håndteres behørigt på EU-plan gennem harmoniserede regler om digital modstandsdygtighed. Kommissionen bør derfor hurtigt vurdere behovet for at gennemgå denne forordnings anvendelsesområde og samtidig tilpasse en sådan gennemgang til resultatet af den omfattende gennemgang, der er omhandlet i direktiv (EU) 2015/2366. Talrige storstilede angreb har det seneste årti vist, hvordan betalingssystemer er blevet eksponeret for cybertrusler. Med en central placering i betalingstjenestekæden og stærke indbyrdes forbindelser til det finansielle system som helhed har betalingssystemer og betalingsbehandlingsaktiviteter fået afgørende betydning for, at Unionens finansielle markeder kan fungere. Cyberangreb på sådanne systemer kan forårsage alvorlige operationelle driftsforstyrrelser med direkte konsekvenser for centrale økonomiske funktioner såsom lettelse af betalinger og indirekte virkninger for dermed forbundne økonomiske processer. Indtil der er indført en harmoniseret ordning og tilsyn med operatører af betalingssystemer og behandlingsenheder på EU-plan, kan medlemsstaterne med henblik på at anvende lignende markedspraksisser lade sig inspirere af de krav til digital operationel modstandsdygtighed, der er fastsat i denne forordning, når de anvender regler på operatører af betalingssystemer og behandlingsenheder, der er underlagt tilsyn i deres egne jurisdiktioner.

(105)

Målet for denne forordning, nemlig at opnå et højt niveau af digital operationel modstandsdygtighed for regulerede finansielle enheder, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, fordi det kræver harmonisering af flere forskellige regler i EU-retten og national ret, men kan på grund af dens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål.

(106)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (29) og afgav en udtalelse den 10. maj 2021 (30) —

(1)

Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (4) tog sigte på at opbygge cybersikkerhedskapaciteter i hele Unionen, afbøde trusler mod net- og informationssystemer, der anvendes til at levere væsentlige tjenester i nøglesektorer, og sikre kontinuiteten af sådanne tjenester, når de står over for hændelser, og dermed bidrage til Unionens sikkerhed og til, at dens økonomi og samfund kan fungere effektivt.

(2)

Siden ikrafttrædelsen af direktiv (EU) 2016/1148 er der gjort betydelige fremskridt med hensyn til at øge Unionens niveau af cyberrobusthed. Evalueringen af nævnte direktiv har vist, at det har fungeret som katalysator for den institutionelle og lovgivningsmæssige tilgang til cybersikkerhed i Unionen og har banet vejen for en betydelig holdningsændring. Nævnte direktiv har sikret færdiggørelsen af nationale rammer for sikkerheden i net- og informationssystemer ved at fastlægge nationale strategier for sikkerheden i net- og informationssystemer og etablere nationale kapaciteter og ved at gennemføre lovgivningsmæssige foranstaltninger, der omfatter væsentlige infrastrukturer og enheder, som hver medlemsstat har identificeret. Direktiv (EU) 2016/1148 har også bidraget til samarbejdet på EU-plan gennem oprettelsen af samarbejdsgruppen og netværket af nationale enheder, der håndterer IT-sikkerhedshændelser. Uanset disse resultater har evalueringen af direktiv (EU) 2016/1148 afsløret iboende mangler, der forhindrer det i effektivt at tackle aktuelle og nye cybersikkerhedsudfordringer.

(3)

Net- og informationssystemer har udviklet sig til et centralt element i hverdagen med den hurtige digitale omstilling og forbundethed i samfundet, herunder i forbindelse med grænseoverskridende udvekslinger. Denne udvikling har ført til en udvidelse af antallet og typen af cybertrusler og skabt nye udfordringer, som kræver tilpassede, koordinerede og innovative svar i alle medlemsstater. Antallet, omfanget, den avancerede karakter, hyppigheden og virkningen af hændelser er stigende og udgør en alvorlig trussel mod net- og informationssystemernes funktion. Som følge heraf kan hændelser hindre udøvelsen af økonomiske aktiviteter i det indre marked, medføre økonomiske tab, underminere brugernes tillid og forårsage store skader på Unionens økonomi og samfund. Cybersikkerhedsberedskab og -effektivitet er derfor mere afgørende for et velfungerende indre marked end nogensinde før. Cybersikkerhed er desuden en vigtig katalysator for, at mange kritiske sektorer kan tage den digitale omstilling til sig med et positivt resultat og fuldt ud kan udnytte de økonomiske, sociale og bæredygtige fordele ved digitalisering.

(4)

Retsgrundlaget for direktiv (EU) 2016/1148 var artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF), hvis formål er det indre markeds oprettelse og funktion ved at styrke foranstaltninger til indbyrdes tilnærmelse af de nationale regler. De cybersikkerhedskrav, der pålægges enheder, som leverer tjenester eller som udfører aktiviteter, der er økonomisk betydningsfulde, varierer betydeligt fra medlemsstat til medlemsstat med hensyn til typen af krav, detaljeringsgrad og tilsynsmetode. Disse forskelle medfører yderligere omkostninger og skaber vanskeligheder for enheder, der udbyder varer eller tjenester på tværs af grænserne. Krav, der stilles af en medlemsstat, og som er forskellige fra eller endog i konflikt med dem, der er pålagt af en anden medlemsstat, kan påvirke sådanne grænseoverskridende aktiviteter i væsentlig grad. Desuden har muligheden for en utilstrækkelig udformning eller gennemførelse af cybersikkerhedskravene i én medlemsstat sandsynligvis konsekvenser for cybersikkerhedsniveauet i andre medlemsstater, navnlig i betragtning af intensiteten af grænseoverskridende udvekslinger. Evalueringen af direktiv (EU) 2016/1148 har vist, at der er store forskelle i medlemsstaternes gennemførelse af det, herunder med hensyn til dets anvendelsesområde, hvis afgrænsning i vid udstrækning blev overladt til medlemsstaternes skøn. Direktiv (EU) 2016/1148 gav også medlemsstaterne meget vide skønsbeføjelser med hensyn til gennemførelsen af de sikkerheds- og hændelsesrapporteringsforpligtelser, der er fastsat deri. Disse forpligtelser blev derfor gennemført på vidt forskellige måder på nationalt plan. Der er lignende forskelle i gennemførelsen af bestemmelserne i direktiv (EU) 2016/1148 om tilsyn og håndhævelse.

(5)

Alle disse forskelle medfører en fragmentering af det indre marked og kan have en negativ indvirkning på dets funktion og navnlig påvirke den grænseoverskridende levering af tjenester og cyberrobustheden som følge af anvendelsen af forskellige foranstaltninger. Disse forskelle kan i sidste ende føre til, at visse medlemsstater har en højere sårbarhed over for cybertrusler, hvilket potentielt kan have afsmittende virkninger i hele Unionen. Dette direktiv sigter mod at fjerne sådanne store forskelle mellem medlemsstaterne, navnlig ved at fastsætte minimumsregler for, hvordan en koordineret reguleringsramme fungerer, ved at fastlægge mekanismer for effektivt samarbejde mellem de ansvarlige myndigheder i hver medlemsstat, ved at ajourføre listen over sektorer og aktiviteter, der er omfattet af cybersikkerhedsforpligtelser, og ved at tilvejebringe effektive retsmidler og håndhævelsesforanstaltninger, der er afgørende for effektiv håndhævelse af disse forpligtelser. Derfor bør direktiv (EU) 2016/1148 ophæves og erstattes af nærværende direktiv.

(6)

Med ophævelsen af direktiv (EU) 2016/1148 bør anvendelsesområdet for de enkelte sektorer udvides til at omfatte en større del af økonomien for at give en omfattende dækning af sektorer og tjenester af vital betydning for vigtige samfundsmæssige og økonomiske aktiviteter i det indre marked. Nærværende direktiv sigter navnlig mod at afhjælpe manglerne i differentieringen mellem operatører af væsentlige tjenester og udbydere af digitale tjenester, som har vist sig at være forældet, da den ikke afspejler sektorernes eller tjenesternes betydning for de samfundsmæssige og økonomiske aktiviteter i det indre marked.

(7)

I henhold til direktiv (EU) 2016/1148 havde medlemsstaterne ansvaret for at identificere de enheder, der opfyldte kriterierne for at blive betragtet som operatører af væsentlige tjenester. For at fjerne de store forskelle mellem medlemsstaterne i denne henseende og garantere retssikkerhed for så vidt angår foranstaltningerne til styring af cybersikkerhedsrisici og rapporteringsforpligtelserne for alle relevante enheder bør der fastsættes et ensartet kriterium for, hvilke enheder der er omfattet af nærværende direktivs anvendelsesområde. Dette kriterium bør bestå i anvendelsen af en regel om størrelsesloft, ifølge hvilken alle enheder, der udgør mellemstore virksomheder i henhold til artikel 2 i bilaget til Kommissionens henstilling 2003/361/EF (5), eller overskrider tærsklerne for mellemstore virksomheder fastsat i nævnte artikels stk. 1, og som opererer inden for de sektorer og leverer de typer tjenester eller udfører de aktiviteter, der er omfattet af nærværende direktiv, er omfattet af dets anvendelsesområde. Medlemsstaterne bør også sørge for, at visse små virksomheder og mikrovirksomheder, som defineret i nævnte bilags artikel 2, stk. 2 og 3, der opfylder specifikke kriterier, der tyder på en central rolle for samfundet eller økonomien eller bestemte sektorer eller typer af tjenester, omfattes af nærværende direktivs anvendelsesområde.

(8)

Udelukkelsen af offentlige forvaltningsenheder fra dette direktivs anvendelsesområde bør gælde for enheder, hvis aktiviteter hovedsagelig udføres inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Offentlige forvaltningsenheder, hvis aktiviteter kun er marginalt forbundet med disse områder, bør dog ikke udelukkes fra dette direktivs anvendelsesområde. Med henblik på dette direktiv anses enheder med reguleringsbeføjelser ikke for at udføre aktiviteter inden for retshåndhævelse, og de er derfor ikke på dette grundlag udelukket fra dette direktivs anvendelsesområde. Offentlige forvaltningsenheder, der er etableret i fællesskab med et tredjeland i overensstemmelse med en international aftale, er udelukket fra dette direktivs anvendelsesområde. Dette direktiv finder ikke anvendelse på medlemsstaternes diplomatiske og konsulære missioner i tredjelande eller på deres net- og informationssystemer, for så vidt sådanne systemer befinder sig i missionens lokaler eller drives for brugere i et tredjeland.

(9)

Medlemsstaterne bør kunne træffe de nødvendige foranstaltninger for at sikre beskyttelsen af væsentlige nationale sikkerhedsinteresser, opretholde den offentlige orden og sikkerhed samt tillade forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Med henblik herpå bør medlemsstater kunne undtage specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, fra visse forpligtelser, der er fastsat i dette direktiv, for så vidt angår disse aktiviteter. Hvor en enhed udelukkende leverer tjenester til en offentlig forvaltningsenhed, der er udelukket fra dette direktivs anvendelsesområde, bør medlemsstater kunne undtage denne enhed fra visse forpligtelser, der er fastsat i dette direktiv, for så vidt angår disse tjenester. Endvidere bør ingen medlemsstat være forpligtet til at meddele oplysninger, hvis videregivelse efter dens opfattelse ville stride mod dens væsentlige interesser med hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Nationale regler eller EU-regler om beskyttelse af fortrolige oplysninger, hemmeligholdelsesaftaler og uformelle hemmeligholdelsesaftaler, f.eks. Traffic Light Protocol, bør tages i betragtning i denne sammenhæng. Traffic Light Protocol skal forstås som et middel til at informere om eventuelle begrænsninger for så vidt angår den videre spredning af oplysninger. Den anvendes i næsten alle enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), og i nogle informationsanalyse- og informationsdelingscentre.

(10)

Selv om dette direktiv finder anvendelse på enheder, der beskæftiger sig med produktion af elektricitet fra kernekraftværker, kan nogle af disse aktiviteter være knyttet til den nationale sikkerhed. Hvor det er tilfældet, bør en medlemsstat kunne udøve sit ansvar for at beskytte sin nationale sikkerhed med hensyn til disse aktiviteter, herunder aktiviteter inden for den nukleare værdikæde, i overensstemmelse med traktaterne.

(11)

Nogle enheder udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, og leverer samtidig tillidstjenester. Tillidstjenesteudbydere, der er omfattet af anvendelsesområdet for Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 (6), bør være omfattet af dette direktivs anvendelsesområde for at sikre samme niveau af sikkerhedskrav og tilsyn som det, der tidligere var fastsat i nævnte forordning, for så vidt angår tillidstjenesteudbydere. I overensstemmelse med udelukkelsen af visse specifikke tjenester fra forordning (EU) nr. 910/2014 bør dette direktiv ikke finde anvendelse på levering af tillidstjenester, der udelukkende anvendes i lukkede systemer i henhold til national ret eller aftaler mellem et defineret sæt deltagere.

(12)

Postbefordrende virksomheder som defineret i Europa-Parlamentets og Rådets direktiv 97/67/EF (7), herunder udbydere af kurertjenester, bør være omfattet af nærværende direktiv, hvis de leverer mindst ét led i postbefordringskæden, navnlig indsamling, sortering, transport eller omdeling, herunder afhentning, samtidig med at der tages hensyn til omfanget af deres afhængighed af net- og informationssystemer. Transporttjenester, der ikke udføres i forbindelse med et af disse trin, bør udelukkes fra anvendelsesområdet for posttjenester.

(13)

I betragtning af intensiveringen og den stadig mere sofistikerede karakter af cybertrusler bør medlemsstaterne bestræbe sig på at sikre, at enheder, der er udelukket fra dette direktivs anvendelsesområde, opnår et højt cybersikkerhedsniveau, og på at støtte gennemførelsen af tilsvarende foranstaltninger til styring af cybersikkerhedsrisici, der afspejler disse enheders følsomme karakter.

(14)

EU-retten om databeskyttelse og privatlivets fred finder anvendelse på enhver behandling af personoplysninger i henhold til dette direktiv. Navnlig berører dette direktiv ikke Europa-Parlamentets og Rådets direktiv (EU) 2016/679 (8) og Europa-Parlamentets og Rådets direktiv 2002/58/EF (9). Nærværende direktiv bør derfor ikke berøre bl.a. de opgaver og beføjelser, der påhviler de myndigheder, der har kompetence til at overvåge overholdelsen af gældende EU-ret om databeskyttelse og om privatlivets fred.

(15)

Enheder, der er omfattet af dette direktiv med henblik på overholdelse af foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser, bør inddeles i to kategorier, væsentlige enheder og vigtige enheder, der afspejler, i hvilket omfang de er kritiske for så vidt angår deres sektor eller den type tjenester, de leverer, samt deres størrelse. I den henseende bør der tages behørigt hensyn til eventuelle relevante sektorspecifikke risikovurderinger eller vejledning fra de kompetente myndigheder, hvor det er relevant. Tilsyns- og håndhævelsesordningerne for disse to kategorier af enheder bør differentieres for at sikre en fair balance mellem risikobaserede krav og forpligtelser på den ene side og den administrative byrde, der følger af tilsynet med overholdelsen, på den anden side.

(16)

For at undgå, at enheder, der har partnervirksomheder eller er tilknyttede virksomheder, betragtes som væsentlige eller vigtige enheder, hvor dette ville være uforholdsmæssigt, kan medlemsstaterne tage hensyn til den grad af uafhængighed, som en enhed har i forhold til sine partnervirksomheder eller tilknyttede virksomheder, når artikel 6, stk. 2, i bilaget til henstilling 2003/361/EF anvendes. Medlemsstaterne kan navnlig tage hensyn til, at en enhed er uafhængig af sine partnervirksomheder eller tilknyttede virksomheder med hensyn til de net- og informationssystemer, som enheden anvender i forbindelse med leveringen af sine tjenester, og med hensyn til de tjenester, som enheden leverer. På dette grundlag kan medlemsstaterne, hvor det er hensigtsmæssigt, anse en sådan enhed for ikke at udgøre en mellemstor virksomhed i henhold til artikel 2, i bilaget til henstilling 2003/361/EF, eller for ikke at overskride tærsklerne for en mellemstor virksomhed fastsat i nævnte artikels stk. 1, hvis den pågældende enhed i betragtning af dennes grad af uafhængighed ikke ville være blevet anset for at udgøre en mellemstor virksomhed eller at overskride disse tærskler, hvis kun dens egne data var blevet taget i betragtning. Dette berører ikke forpligtelserne fastsat i dette direktiv for partnervirksomheder og tilknyttede virksomheder, som er omfattet af dette direktivs anvendelsesområde.

(17)

Medlemsstaterne bør kunne bestemme, at enheder, der inden dette direktivs ikrafttræden er identificeret som operatører af væsentlige tjenester i overensstemmelse med direktiv (EU) 2016/1148, skal betragtes som væsentlige enheder.

(18)

For at sikre et klart overblik over de enheder, der er omfattet af dette direktivs anvendelsesområde, bør medlemsstaterne udarbejde en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester. Med henblik herpå bør medlemsstaterne kræve, at enheder mindst indgiver følgende oplysninger til de kompetente myndigheder: navn, adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre for enheden, og i givet fald den relevante sektor og delsektor omhandlet i bilagene samt i givet fald en liste over de medlemsstater, hvor de leverer tjenester, der er omfattet af dette direktivs anvendelsesområde. Med henblik herpå bør Kommissionen med bistand fra Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) uden unødigt ophold fastlægge retningslinjer og skabeloner vedrørende forpligtelsen til at indgive oplysninger. For at lette udarbejdelsen og ajourføringen af listen over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, bør medlemsstaterne kunne indføre nationale mekanismer, hvorigennem enheder kan registrere sig selv. Hvor der findes registre på nationalt plan, kan medlemsstaterne træffe afgørelse om passende mekanismer, der gør det muligt at identificere enheder, der er omfattet af dette direktivs anvendelsesområde.

(19)

Medlemsstaterne bør være ansvarlige for mindst at oplyse Kommissionen om antallet af væsentlige og vigtige enheder for hver sektor og delsektor omhandlet i bilagene, samt give relevante oplysninger om antallet af identificerede enheder og den bestemmelse blandt dem, der er fastsat i dette direktiv, på grundlag af hvilken de blev identificeret og den type tjeneste de leverer. Medlemsstaterne opfordres til at udveksle oplysninger med Kommissionen om væsentlige og vigtige enheder og, i tilfælde af en omfattende cybersikkerhedshændelse, relevante oplysninger såsom navnet på den berørte enhed.

(20)

Kommissionen bør i samarbejde med samarbejdsgruppen og efter høring af de relevante interessenter fastlægge retningslinjer for gennemførelsen af de kriterier, der gælder for mikrovirksomheder og små virksomheder, for vurderingen af, om de er omfattet af dette direktivs anvendelsesområde. Kommissionen bør også sikre, at der gives passende vejledning til mikrovirksomheder og små virksomheder, som hører under dette direktivs anvendelsesområde. Kommissionen bør med bistand fra medlemsstaterne stille oplysninger til rådighed for mikrovirksomheder og små virksomheder i denne henseende.

(21)

Kommissionen vil kunne yde vejledning med henblik på at bistå medlemsstaterne med gennemførelse af dette direktivs bestemmelser om anvendelsesområde og evaluering af proportionaliteten af de foranstaltninger, der skal træffes i henhold til dette direktiv, navnlig for så vidt angår enheder med komplekse forretningsmodeller eller driftsmiljøer, hvorved en enhed samtidig kunne opfylde de kriterier, der er tildelt både væsentlige og vigtige enheder, eller samtidig kunne udføre aktiviteter, hvoraf nogle falder inden for og nogle uden for dette direktivs anvendelsesområde.

(22)

Dette direktiv fastsætter referencescenariet for foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser på tværs af de sektorer, der er omfattet af dets anvendelsesområde. For at undgå fragmentering af EU-retsakters cybersikkerhedsbestemmelser bør Kommissionen, hvor yderligere sektorspecifikke EU-retsakter vedrørende foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser vedrørende cybersikkerhed anses for nødvendige for at sikre et højt cybersikkerhedsniveau i hele Unionen, vurdere, hvorvidt sådanne yderligere bestemmelser vil kunne fastsættes i en gennemførelsesretsakt til dette direktiv. Er sådan en gennemførelsesretsakt ikke egnede til dette formål, vil sektorspecifikke EU-retsakter kunne bidrage til at sikre et højt cybersikkerhedsniveau i hele Unionen, samtidig med at der fuldt ud tages hensyn til de berørte sektorers specificiteter og kompleksiteter. Med henblik herpå er dette direktiv ikke til hinder for, at der vedtages yderligere sektorspecifikke EU-retsakter, der omhandler foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser, der tager behørigt hensyn til behovet for en omfattende og sammenhængende ramme for cybersikkerhed. Dette direktiv berører ikke de eksisterende gennemførelsesbeføjelser, der er tillagt Kommissionen inden for en række sektorer, herunder transport og energi.

(23)

Hvor en sektorspecifik EU-retsakt indeholder bestemmelser, der kræver, at væsentlige eller vigtige enheder træffer foranstaltninger til styring af cybersikkerhedsrisici eller underretter om væsentlige hændelser, og hvor disse krav har en virkning, der mindst svarer til de forpligtelser, der er fastsat i dette direktiv, bør de pågældende bestemmelser, herunder om tilsyn og håndhævelse, finde anvendelse på sådanne enheder. Hvis en sektorspecifik EU-retsakt ikke omfatter alle enheder i en specifik sektor, der er omfattet af dette direktivs anvendelsesområde, bør de relevante bestemmelser i dette direktiv fortsat finde anvendelse på de enheder, der ikke er omfattet af nævnte retsakt.

(24)

Hvor bestemmelser i en sektorspecifik EU-retsakt kræver, at væsentlige eller vigtige enheder overholder rapporteringsforpligtelser med en virkning, der mindst svarer til de rapporteringsforpligtelser, der er fastsat i dette direktiv, bør der sikres sammenhæng og effektivitet i håndteringen af hændelsesunderretninger. Med henblik herpå bør bestemmelserne vedrørende hændelsesunderretninger i den sektorspecifikke EU-retsakt give CSIRT'erne, de kompetente myndigheder eller de centrale kontaktpunkter for cybersikkerhed (det centrale kontaktpunkt) i henhold til dette direktiv øjeblikkelig adgang til de hændelsesunderretninger, der indgives i overensstemmelse med den sektorspecifikke EU-retsakt. En sådan øjeblikkelig adgang kan navnlig sikres, hvis hændelsesunderretninger uden unødigt ophold sendes til CSIRT'en, den kompetente myndighed eller det centrale kontaktpunkt i henhold til dette direktiv. Medlemsstaterne bør, hvor det er hensigtsmæssigt, indføre en automatisk og direkte rapporteringsmekanisme, der sikrer systematisk og øjeblikkelig udveksling af oplysninger med CSIRT'er, de kompetente myndigheder eller de centrale kontaktpunkter vedrørende håndtering af sådanne hændelsesunderretninger. Med henblik på at forenkle rapporteringen og gennemføre den automatiske og direkte rapporteringsmekanisme vil medlemsstaterne i overensstemmelse med den sektorspecifikke EU-retsakt kunne anvende et enkelt indgangspunkt.

(25)

Sektorspecifikke EU-retsakter, der kræver foranstaltninger til styring af cybersikkerhedsrisici eller rapporteringsforpligtelser med en virkning, der mindst svarer til dem, der er fastsat i dette direktiv, vil kunne fastsætte, at de kompetente myndigheder i henhold til sådanne retsakter udøver deres tilsyns- og håndhævelsesbeføjelser i forbindelse med sådanne foranstaltninger eller forpligtelser med bistand fra de kompetente myndigheder i henhold til dette direktiv. De berørte kompetente myndigheder vil kunne etablere samarbejdsordninger med henblik herpå. Sådanne samarbejdsordninger vil bl.a. kunne præcisere procedurerne for koordinering af tilsynsaktiviteter, herunder procedurerne for undersøgelser og kontrol på stedet i overensstemmelse med national ret og en mekanisme for udveksling af relevante oplysninger om tilsyn og håndhævelse mellem de kompetente myndigheder, herunder adgang til cyberrelaterede oplysninger, som de kompetente myndigheder i henhold til dette direktiv anmoder om.

(26)

Hvor sektorspecifikke EU-retsakter kræver eller skaber incitamenter for enheder til at underrette om væsentlige cybertrusler, bør medlemsstaterne også tilskynde til udveksling af væsentlige cybertrusler med CSIRT'erne, de kompetente myndigheder eller de centrale kontaktpunkter i henhold til dette direktiv for at sikre, at disse organer i højere grad er opmærksomme på cybertrusselsbilledet, og for at sætte dem i stand til at reagere effektivt og rettidigt, såfremt de væsentlige cybertrusler bliver til virkelighed.

(27)

Fremtidige sektorspecifikke EU-retsakter bør tage behørigt hensyn til de definitioner og tilsyns- og håndhævelsesrammer, der er fastsat i dette direktiv.

(28)

Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (10) bør betragtes som en sektorspecifik EU-retsakt i forbindelse med dette direktiv for så vidt angår finansielle enheder. Bestemmelserne i forordning (EU) 2022/2554 om risikostyring inden for informations- og kommunikationsteknologi (IKT), styring af IKT-relaterede hændelser og navnlig indberetning af større IKT-relaterede hændelser, samt om test af digital operationel modstandsdygtighed, ordninger for udveksling af oplysninger og IKT-tredjepartsrisiko bør finde anvendelse i stedet for bestemmelserne i dette direktiv. Medlemsstaterne bør derfor ikke anvende bestemmelserne i dette direktiv om risikostyrings- og rapporterings forpligtelser vedrørende cybersikkerhed samt tilsyn og håndhævelse på finansielle enheder, der er omfattet af forordning (EU) 2022/2554. Samtidig er det vigtigt at opretholde stærke forbindelser og udveksle oplysninger med den finansielle sektor i henhold til dette direktiv. Med henblik herpå giver forordning (EU) 2022/2554 de europæiske tilsynsmyndigheder (ESA'erne) og de kompetente myndigheder i henhold til nævnte forordning mulighed for at deltage i samarbejdsgruppens aktiviteter samt udveksle oplysninger og samarbejde med de centrale kontaktpunkter såvel som CSIRT'erne og de kompetente myndigheder i henhold til dette direktiv. De kompetente myndigheder i henhold til forordning (EU) 2022/2554 bør også fremsende oplysninger om større IKT-relaterede hændelser og, hvor det er relevant, væsentlige cybertrusler til CSIRT'erne, de kompetente myndigheder eller de centrale kontaktpunkter i henhold til dette direktiv. Dette kan opnås ved at sikre øjeblikkelig adgang til hændelsesunderretninger og videresende af dem enten direkte eller via et enkelt indgangspunkt. Desuden bør medlemsstaterne fortsat medtage den finansielle sektor i deres cybersikkerhedsstrategier, og CSIRT'er kan dække den finansielle sektor i deres aktiviteter.

(29)

For at undgå huller mellem eller overlapning af cybersikkerhedsforpligtelser, der pålægges enheder i luftfartssektoren, bør nationale myndigheder i henhold til Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 (11) og (EU) 2018/1139 (12), og de kompetente myndigheder i henhold til dette direktiv samarbejde om gennemførelsen af foranstaltninger til styring af cybersikkerhedsrisici og tilsynet med overholdelsen af disse foranstaltninger på nationalt plan. En enheds overholdelse af sikkerhedskravene i forordning (EF) nr. 300/2008 og (EU) 2018/1139 og i de relevante delegerede retsakter og gennemførelsesretsakter, der er vedtaget i henhold til nævnte forordninger, vil af de kompetente myndigheder i henhold til dette direktiv kunne anses for at udgøre opfyldelse af de tilsvarende krav, der er fastsat i dette direktiv.

(30)

I betragtning af de indbyrdes forbindelser mellem cybersikkerhed og enheders fysiske sikkerhed bør der sikres en sammenhængende tilgang mellem Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 (13) og nærværende direktiv. Med henblik herpå bør enheder identificeret som kritiske enheder i henhold til direktiv (EU) 2022/2557 betragtes som væsentlige enheder i henhold til nærværende direktiv. Endvidere bør hver medlemsstat sikre, at dens nationale cybersikkerhedsstrategi skaber en politisk ramme for øget koordinering i nævnte medlemsstat mellem dens kompetente myndigheder i henhold til nærværende direktiv og dem i henhold til direktiv (EU) 2022/2557 i forbindelse med udveksling af oplysninger om risici, cybertrusler og hændelser samt om ikke-cyberrelaterede risici, trusler og hændelser samt om udøvelse af tilsynsopgaver. De kompetente myndigheder i henhold til nærværende direktiv og de i henhold til direktiv (EU) 2022/2557 bør samarbejde og udveksle oplysninger uden unødigt ophold, navnlig vedrørende identifikation af kritiske enheder, om risici, cybertrusler og hændelser samt om ikke-cyberrelaterede risici, trusler og hændelser, der påvirker kritiske enheder, herunder cybersikkerhedsforanstaltninger og fysiske foranstaltninger, der træffes af kritiske enheder, såvel som resultaterne af tilsynsaktiviteter, der udføres med hensyn til sådanne enheder.

For at strømline tilsynsaktiviteterne mellem de kompetente myndigheder i henhold til nærværende direktiv og i henhold til direktiv (EU) 2022/2557 og for at mindske den administrative byrde mest muligt for de berørte enheder bør disse kompetente myndigheder desuden bestræbe sig på at harmonisere modeller til hændelsesunderretning og tilsynsprocesser. Hvor det er hensigtsmæssigt, bør de kompetente myndigheder i henhold til direktiv (EU) 2022/2557 kunne anmode de kompetente myndigheder i henhold til nærværende direktiv om at udøve deres tilsyns- og håndhævelsesbeføjelser med hensyn til en enhed, som er identificeret som en kritisk enhed i henhold til direktiv (EU) 2022/2557. De kompetente myndigheder i henhold til nærværende direktiv og de i henhold til direktiv (EU) 2022/2557 bør samarbejde og udveksle oplysninger, om muligt i realtid, med henblik herpå.

(31)

Enheder, der tilhører sektoren for digital infrastruktur, er i det væsentlige baseret på net- og informationssystemer, og derfor bør de forpligtelser, der pålægges disse enheder i medfør af dette direktiv, på en omfattende måde omhandle sådanne systemers fysiske sikkerhed som led i deres foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser. Da disse spørgsmål er omfattet af dette direktiv, finder forpligtelserne i kapitel III, IV og VI i direktiv (EU) 2022/2557 ikke anvendelse på sådanne enheder.

(32)

Opretholdelse og bevarelse af et pålideligt, modstandsdygtigt og sikkert domænenavnesystem (DNS) er afgørende faktorer for at bevare internettets integritet og er afgørende for dets fortsatte og stabile drift, som den digitale økonomi og det digitale samfund afhænger af. Derfor bør dette direktiv finde anvendelse på topdomænenavneadministratorer og DNS-tjenesteudbydere, der skal forstås som enheder, der leverer offentligt tilgængelige rekursive domænenavnsoversættelsestjenester til internetslutbrugere eller autoritative domænenavnsoversættelsestjenester til tredjepartsbrug. Dette direktiv bør ikke finde anvendelse på rodnavneservere.

(33)

Cloudcomputingtjenester bør omfatte digitale tjenester, der giver mulighed for on demand-administration og bred fjernadgang til en skalerbar og elastisk pulje af delbare computerressourcer, herunder hvor sådanne ressourcer er fordelt mellem flere lokaliteter. Computerressourcer omfatter ressourcer såsom netværk, servere og anden infrastruktur, operativsystemer, software, lagring, applikationer og tjenester. Tjenestemodellerne for cloudcomputing omfatter bl.a. infrastruktur som en service (IaaS), platform som en service (PaaS), software som en service (SaaS) og netværk som en service (NaaS). Ibrugtagningsmodellerne for cloudcomputing bør omfatte privat, samfundsmæssig, offentlig og hybrid cloud. Cloudcomputingtjeneste- og ibrugtagningsmodellerne har samme betydning som de tjeneste- og ibrugtagningsmodeller, der er defineret i ISO/IEC 17788: 2014-standarden. Cloudcomputing-brugerens mulighed for ensidigt selvforsynende databehandlingskapacitet såsom servertid eller netlagring uden nogen menneskelig interaktion fra udbyderen af cloudcomputingtjenesters side kan beskrives som on demand-administration.

Udtrykket »bred fjernadgang« anvendes til at beskrive, at cloudkapaciteten leveres over nettet og tilgås gennem mekanismer, der fremmer brugen af heterogene tynde eller tykke klientplatforme, herunder mobiltelefoner, tablets, bærbare computere og arbejdsstationer. Udtrykket »skalerbar« henviser til databehandlingsressourcer, der fordeles fleksibelt af udbyderen af cloudcomputingtjenester, uanset ressourcernes geografiske placering, med henblik på at håndtere udsving i efterspørgslen. Udtrykket »elastisk pulje« bruges til at beskrive IT-ressourcer, der tilvejebringes og stilles til rådighed alt efter efterspørgslen for hurtigt at øge eller mindske de tilgængelige ressourcer alt efter arbejdsbyrden. Udtrykket »delbar« bruges til at beskrive IT-ressourcer, der leveres til flere brugere, som deler en fælles adgang til tjenesten, men hvor databehandlingen foretages særskilt for hver bruger, selv om tjenesten leveres fra samme elektroniske udstyr. Udtrykket »distribueret« anvendes til at beskrive databehandlingsressourcer, der befinder sig på forskellige netforbundne computere eller enheder, og som kommunikerer og koordinerer indbyrdes ved at sende meddelelser.

(34)

I lyset af fremkomsten af innovative teknologier og nye forretningsmodeller forventes nye cloudcomputingtjeneste- og ibrugtagningsmodeller at dukke op på markedet som reaktion på nye kundebehov. I den forbindelse kan cloudcomputingtjenester leveres i en meget distribueret form, endnu tættere på de steder, hvor dataene genereres eller indsamles, hvorved man bevæger sig væk fra den traditionelle model og i retning af en meget distribueret model (»edge computing«).

(35)

Tjenester, der udbydes af datacentertjenesteudbydere, leveres ikke altid i form af cloudcomputingtjenester. Datacentre udgør derfor ikke altid en del af cloudcomputing-infrastrukturen. For at styre alle de risici, der er forbundet med sikkerheden i net- og informationssystemer, bør dette direktiv derfor omfatte udbydere af datacentertjenester, som ikke er cloudcomputingtjenester. I dette direktiv bør begrebet »datacentertjeneste« omfatte levering af en tjeneste, der omfatter strukturer eller grupper af strukturer, der er beregnet til central opbevaring, sammenkobling og drift af informationsteknologi (IT) og netværksudstyr, der leverer datalagrings-, -behandlings- og -transporttjenester, samt alle faciliteter og infrastrukturer til energidistribution og miljøkontrol. Begrebet »datacentertjeneste« bør ikke finde anvendelse på interne datacentre, der ejes og drives af den berørte enhed til dets egne formål.

(36)

Forskningsaktiviteter spiller en central rolle i udviklingen af nye produkter og processer. Mange af disse aktiviteter udføres af enheder, der deler, udbreder eller udnytter resultaterne af deres forskning til kommercielle formål. Disse enheder kan derfor være vigtige led i værdikæder, hvilket gør sikkerheden af deres net- og informationssystemer til en integreret del af det indre markeds overordnede cybersikkerhed. Begrebet »forskningsorganisationer« bør forstås som omfattende enheder, der primært beskæftiger sig med anvendt forskning eller udvikling i den i Organisationen for Økonomisk Samarbejde og Udviklings Frascati-manual fra 2015 (»Guidelines for Collecting and Reporting Data on Research and Experimental Development«) anvendte betydning med henblik på at udnytte resultaterne heraf til kommercielle formål såsom fremstilling eller udvikling af et produkt eller proces, levering af en tjeneste eller markedsføringen heraf.

(37)

Den voksende indbyrdes afhængighed er resultatet af et stadig mere grænseoverskridende og indbyrdes afhængigt net af tjenester, der anvender centrale infrastrukturer i hele Unionen inden for sektorer såsom energi, transport, digital infrastruktur, drikkevand og spildevand, sundhed, visse aspekter af offentlig forvaltning samt rummet, for så vidt angår levering af visse tjenester, der er afhængige af jordbaserede infrastrukturer, som ejes, forvaltes og drives enten af medlemsstaterne eller af private parter, men ikke infrastruktur, der ejes, forvaltes eller drives af eller på vegne af Unionen som en del af dens rumprogram. Disse indbyrdes afhængighedsforhold betyder, at enhver afbrydelse, selv en, der oprindeligt var begrænset til én enhed eller én sektor, kan have kaskadevirkninger mere generelt, hvilket potentielt kan føre til vidtrækkende og langvarige negative virkninger for leveringen af tjenester i hele det indre marked. De intensiverede cyberangreb under covid-19-pandemien har vist stadig mere indbyrdes afhængige samfunds sårbarhed over for risici med lav sandsynlighed.

(38)

I betragtning af forskellene i de nationale forvaltningsstrukturer og for at beskytte allerede eksisterende sektorspecifikke ordninger eller Unionens tilsyns- og kontrolorganer bør medlemsstaterne kunne udpege eller oprette én eller flere nationale kompetente myndigheder med ansvar for cybersikkerhed og for tilsynsopgaverne i henhold til dette direktiv.

(39)

For at lette grænseoverskridende samarbejde og kommunikation mellem myndigheder og muliggøre en effektiv gennemførelse af dette direktiv er det nødvendigt, at hver medlemsstat udpeger et centralt kontaktpunkt med ansvar for koordinering af spørgsmål vedrørende sikkerheden i net- og informationssystemer og grænseoverskridende samarbejde på EU-plan.

(40)

De centrale kontaktpunkter bør sikre et effektivt grænseoverskridende samarbejde med andre medlemsstaters relevante myndigheder og, hvor det er relevant, med Kommissionen og ENISA. De centrale kontaktpunkter bør derfor efter anmodning fra CSIRT'en eller den kompetente myndighed have til opgave at videresende underretninger om væsentlige hændelser med grænseoverskridende virkninger til de centrale kontaktpunkter i andre berørte medlemsstater. På nationalt plan bør de centrale kontaktpunkter muliggøre et gnidningsløst tværsektorielt samarbejde med andre kompetente myndigheder. De centrale kontaktpunkter kan også være adressaterne for relevante oplysninger om hændelser vedrørende finansielle enheder fra de kompetente myndigheder i henhold til forordning (EU) 2022/2554, som de i givet fald bør kunne fremsende til CSIRT'erne eller de kompetente myndigheder i henhold til dette direktiv.

(41)

Medlemsstaterne bør være tilstrækkelig udstyret med både teknisk og organisatorisk kapacitet til at forebygge, opdage, reagere på og reetablere sig efter hændelser og risici og afbøde deres virkninger. Medlemsstaterne bør derfor oprette eller udpege en eller flere CSIRT'er i henhold til dette direktiv og sikre, at de har tilstrækkelige ressourcer og tekniske kapaciteter. CSIRT'erne bør opfylde kravene, der er fastsat i dette direktiv, med henblik på at sikre effektive og kompatible kapaciteter til at håndtere hændelser og risici og til at sikre et effektivt samarbejde på EU-plan. Medlemsstaterne bør kunne udpege eksisterende IT-beredskabsenheder (CERT'er) som CSIRT'er. Med henblik på at styrke tillidsforholdet mellem enhederne og CSIRT'erne bør medlemsstaterne, hvor en CSIRT er en del af en kompetent myndighed, kunne overveje en funktionel adskillelse mellem CSIRT'ernes operationelle opgaver, navnlig i forbindelse med udveksling af oplysninger og støtte til enhederne, og de kompetente myndigheders tilsynsaktiviteter.

(42)

CSIRT'erne har til opgave at håndtere hændelser. Dette omfatter behandling af store mængder til tider følsomme oplysninger. Medlemsstaterne bør sikre, at CSIRT'erne har en infrastruktur til udveksling og behandling af oplysninger samt veludstyrede medarbejdere, hvilket sikrer fortroligheden og pålideligheden af deres operationer. CSIRT'erne vil også kunne vedtage adfærdskodekser i den henseende.

(43)

For så vidt angår personoplysninger bør CSIRT'erne i overensstemmelse med forordning (EU) 2016/679 efter anmodning fra en væsentlig eller vigtig enhed være i stand til at foretage en proaktiv scanning af de net- og informationssystemer, der anvendes til levering af enhedens tjenester. I givet fald bør medlemsstaterne tilstræbe at sikre et ensartet niveau af teknisk kapacitet for alle sektorspecifikke CSIRT'er. Medlemsstaterne bør kunne anmode ENISA om bistand til at udvikle deres CSIRT'er.

(44)

CSIRT'erne bør være i stand til på anmodning fra en væsentlig eller vigtig enhed at overvåge de af enhedens aktiver, der har internetopkobling, både i og uden for enhedens lokaler, for at kortlægge, forstå og styre enhedens samlede organisatoriske risici hvad angår nyopdagede trusler fra forsyningskæden eller kritiske sårbarheder. Enheden bør tilskyndes til at meddele CSIRT'en, hvorvidt den driver en privilegeret forvaltningsgrænseflade, da dette vil kunne påvirke hastigheden af gennemførelsen af afbødende foranstaltninger.

(45)

I betragtning af betydningen af internationalt samarbejde om cybersikkerhed bør CSIRT'erne kunne deltage i internationale samarbejdsnetværk i tillæg til det CSIRT-netværk, der oprettes ved dette direktiv. Med henblik på udførelsen af deres opgaver bør CSIRT'erne og de kompetente myndigheder derfor kunne udveksle oplysninger, herunder personoplysninger, med nationale enheder i tredjelande, der håndterer IT-sikkerhedshændelser, eller tredjelandes kompetente myndigheder, forudsat at betingelserne i henhold til EU-databeskyttelsesretten for overførsel af personoplysninger til tredjelande, bl.a. betingelserne i artikel 49 i forordning (EU) 2016/679, er opfyldt.

(46)

Det er afgørende at sikre tilstrækkelige ressourcer til at opfylde målene i dette direktiv og gøre det muligt for de kompetente myndigheder og CSIRT'erne udføre opgaverne heri. Medlemsstaterne kan på nationalt plan indføre en finansieringsmekanisme til dækning af de nødvendige udgifter i forbindelse med udførelsen af opgaver, der påhviler offentlige enheder med ansvar for cybersikkerhed i medlemsstaten i henhold til dette direktiv. En sådan mekanisme bør overholde EU-retten og bør være forholdsmæssig og ikkediskriminerende og bør tage hensyn til forskellige tilgange til levering af sikre tjenester.

(47)

CSIRT-netværket bør fortsat bidrage til at styrke fortroligheden og tilliden og til at fremme hurtigt og effektivt operationelt samarbejde mellem medlemsstaterne. For at styrke det operationelle samarbejde på EU-plan bør CSIRT-netværket overveje at indbyde EU-organer og -agenturer, der er involveret i cybersikkerhedspolitikken, såsom Europol, til at deltage i sit arbejde.

(48)

Med henblik på at opnå og opretholde et højt cybersikkerhedsniveau bør de nationale cybersikkerhedsstrategier, der kræves i henhold til dette direktiv, bestå af sammenhængende rammer med strategiske mål og prioriteter på cybersikkerhedsområdet og den styring, der skal til for at nå dem. Disse strategier kan bestå af et eller flere lovgivningsmæssige eller ikkelovgivningsmæssige instrumenter.

(49)

Cyberhygiejnepolitikker danner grundlaget for beskyttelse af net- og informationssysteminfrastrukturer, sikkerheden af hardware, software og onlineapplikationer samt virksomheds- eller slutbrugerdata, som enhederne er afhængige af. Cyberhygiejnepolitikker med et fælles grundsæt af praksisser, herunder software- og hardwareopdateringer, ændringer af passwords, styring af nye installeringer, begrænsning af adgangskonti på administratorniveau og backup af data, fremmer en proaktiv ramme for beredskab og generel sikkerhed i tilfælde af hændelser eller cybertrusler. ENISA bør overvåge og analysere medlemsstaternes cyberhygiejne politikker.

(50)

Bevidsthed om cybersikkerhed og cyberhygiejne er afgørende for at forbedre cybersikkerhedsniveauet i Unionen, navnlig i lyset af det stigende antal forbundne enheder, der i stigende grad anvendes til cyberangreb. Der bør gøres en indsats for at øge den generelle bevidsthed om risici i forbindelse med sådant udstyr, mens vurderinger på EU-plan vil kunne bidrage til at sikre en fælles forståelse af sådanne risici inden for det indre marked.

(51)

Medlemsstaterne bør tilskynde til anvendelse af enhver form for innovativ teknologi, herunder kunstig intelligens, hvis anvendelse kan forbedre opdagelsen og forebyggelsen af cyberangreb og gøre det muligt at omdirigere ressourcer til cyberangreb mere effektivt. Medlemsstaterne bør derfor i deres nationale cybersikkerhedsstrategi tilskynde til aktiviteter inden for forskning og udvikling for at lette anvendelsen af sådanne teknologier, navnlig dem, der vedrører automatiserede eller halvautomatiske værktøjer inden for cybersikkerhed, og, hvor det er relevant, deling af data, der er nødvendige for at uddanne brugerne af en sådan teknologi og forbedre den. Anvendelsen af enhver innovativ teknologi, herunder kunstig intelligens, bør overholde EU-databeskyttelsesretten, herunder databeskyttelsesprincipperne om datanøjagtighed, dataminimering, rimelighed og gennemsigtighed samt datasikkerhed såsom kryptering på det aktuelle teknologiske stade. Kravene om databeskyttelse gennem design og gennem standardindstillinger, der er fastsat i forordning (EU) 2016/679, bør udnyttes fuldt ud.

(52)

Open source-cybersikkerhedsværktøjer og -applikationer kan bidrage til en højere grad af åbenhed og kan have en positiv indvirkning på effektiviteten af industriel innovation. Åbne standarder fremmer interoperabiliteten mellem sikkerhedsværktøjer, hvilket gavner industrielle interessenters sikkerhed. Open source-cybersikkerhedsværktøjer og -applikationer kan fungere som løftestang for det bredere udviklersamfund og give mulighed for leverandørdiversificering. Open source kan føre til en mere gennemsigtig proces for kontrol af cybersikkerhedsrelaterede værktøjer og en brugerdrevet proces for opdagelse af sårbarheder. Medlemsstaterne bør derfor kunne fremme anvendelsen af open source-software og åbne standarder ved at føre politikker vedrørende brugen af åbne data og open source som en del af konceptet »sikkerhed gennem gennemsigtighed«. Politikker, der fremmer indførelse og bæredygtig anvendelse af open source-cybersikkerhedsværktøjer, er af særlig betydning for små og mellemstore virksomheder, der står med høje gennemførelsesomkostninger, som kan reduceres ved at mindske behovet for bestemte applikationer eller værktøjer.

(53)

Forsyningsselskaberne er i stigende grad forbundet med digitale netværk i byerne med henblik på at forbedre byernes transportnet, opgradere vandforsynings- og affaldsbortskaffelsesfaciliteter og øge effektiviteten af belysning og opvarmning af bygninger. Disse digitaliserede forsyningsvirksomheder er sårbare over for cyberangreb og risikerer i tilfælde af et vellykket cyberangreb at skade borgerne i stor skala på grund af deres indbyrdes forbundethed. Medlemsstaterne bør som led i deres nationale cybersikkerhedsstrategi udvikle en politik, der tager højde for udviklingen af sådanne forbundne eller intelligente byer og deres potentielle indvirkning på samfundet.

(54)

I de senere år har Unionen oplevet en eksponentiel stigning i antallet af ransomwareangreb, hvor malware krypterer data og systemer og kræver betaling af løsepenge for at dekryptere dem. Den stigende hyppighed og alvor af ransomware-angreb kan være drevet af flere faktorer såsom forskellige angrebsmønstre, kriminelle forretningsmodeller omkring »ransomware som en service« og kryptovalutaer, krav om løsepenge og stigningen i angreb i forsyningskæden. Medlemsstaterne bør som led i deres nationale cybersikkerhedsstrategi udvikle en politik til håndtering af stigningen i antallet af ransomware-angreb.

(55)

Offentlig-private partnerskaber (OPP'er) inden for cybersikkerhed kan skabe en passende ramme for udveksling af viden, deling af bedste praksis og etablering af et fælles forståelsesniveau blandt interessenter. Medlemsstaterne bør fremme politikker til støtte for oprettelsen af cybersikkerhedsspecifikke OPP'er. Disse politikker bør bl.a. klarlægge anvendelsesområdet og de involverede interessenter, styringsmodellen, de tilgængelige finansieringsmuligheder og samspillet mellem de deltagende interessenter med hensyn til OPP'er. OPP'er kan udnytte ekspertisen i enheder inden for den private sektor med henblik på at bistå de kompetente myndigheder i udviklingen af tjenester og processer på det aktuelle teknologiske stade, herunder udveksling af oplysninger, tidlig varsling, cybertrussels- og -hændelsesøvelser, krisestyring og planlægning af modstandsdygtighed.

(56)

Medlemsstaterne bør i deres nationale cybersikkerhedsstrategier tackle små og mellemstore virksomheders specifikke cybersikkerhedsbehov. Små og mellemstore virksomheder udgør på tværs af Unionen en stor procentdel af industri- og forretningsmarkedet og kæmper ofte med at tilpasse sig nye forretningspraksisser i en mere forbundet verden og til det digitale miljø, hvor medarbejdere arbejder hjemmefra, og forretning i stigende grad drives online. Nogle små og mellemstore virksomheder står over for specifikke cybersikkerhedsudfordringer, såsom ringe cyberbevidsthed, manglende IT-sikkerhed i forbindelse med fjernarbejde, de store omkostninger forbundet med cybersikkerhedsløsninger og et øget trusselsniveau, som f.eks. ransomware, som de bør modtage vejledning i og assistance til. Små og mellemstore virksomheder er i stigende grad mål for angreb i forsyningskæden på grund af deres mindre strenge foranstaltninger til styring af cybersikkerhedsrisici og angrebsstyring, samt det faktum at de har begrænsede sikkerhedsressourcer. Sådanne angreb i forsyningskæden har ikke kun indvirkning på små og mellemstore virksomheder og deres aktiviteter isoleret set, men kan også have en kaskadevirkning på større angreb på enheder, som de leverede varer til. Medlemsstaterne bør gennem deres nationale cybersikkerhedsstrategier hjælpe små og mellemstore virksomheder med at tackle de udfordringer, de står over for i deres forsyningskæder. Medlemsstaterne bør have et kontaktpunkt for små og mellemstore virksomheder på nationalt eller regionalt plan, som enten yder vejledning og bistand til små og mellemstore virksomheder eller retter dem mod de relevante organer med henblik på vejledning og bistand med hensyn til cybersikkerhedsrelaterede spørgsmål. Medlemsstaterne tilskyndes også til at tilbyde tjenester såsom webstedskonfigurering og muliggørelse af logning til mikrovirksomheder og små virksomheder, der mangler disse kapaciteter.

(57)

Medlemsstaterne bør som led i deres nationale cybersikkerhedsstrategier vedtage politikker til fremme af aktiv cyberbeskyttelse som led i en bredere defensiv strategi. Snarere end at svare reaktivt består aktiv cyberbeskyttelse i forebyggelse, opdagelse, overvågning, analyse og afbødning af brud på netsikkerheden på en aktiv måde kombineret med anvendelse af kapaciteter i og uden for det net, der angribes. Dette vil kunne omfatte medlemsstater, der tilbyder gratis tjenester eller værktøjer til visse enheder, herunder selvbetjeningskontrol, opdagelsesværktøjer og fjernelsestjenester. Evnen til hurtigt og automatisk at udveksle og forstå trusselsoplysninger og -analyser, cyberaktivitetsalarmer og reaktionsforanstaltninger er helt afgørende for at muliggøre en forenet indsats med hensyn til på vellykket vis at forebygge, opdage, imødegå og blokere angreb på net- og informationssystemer. Aktiv cyberbeskyttelse er baseret på en defensiv strategi, der udelukker offensive foranstaltninger.

(58)

Eftersom udnyttelsen af sårbarheder i net- og informationssystemer kan forårsage betydelige forstyrrelser og skader, er hurtig identifikation og afhjælpning af sådanne sårbarheder en vigtig faktor med hensyn til at reducere risici. Enheder, der udvikler eller administrerer net- og informationssystemer, bør derfor indføre passende procedurer til håndtering af sårbarheder, når de opdages. Da sårbarheder ofte opdages og offentliggøres af tredjeparter, bør producenten eller udbyderen af IKT-produkter eller -tjenester også indføre de nødvendige procedurer for at modtage sårbarhedsoplysninger fra tredjeparter. I den forbindelse indeholder de internationale standarder ISO/IEC 30111 og ISO/IEC 29147 vejledning om henholdsvis håndtering af sårbarheder og offentliggørelse af sårbarheder. Styrkelse af koordineringen mellem de underrettende fysiske og juridiske personer og producenter eller udbydere af IKT-produkter eller -tjenester er særlig vigtig med henblik på at lette den frivillige ramme for offentliggørelse af sårbarheder. Koordineret offentliggørelse af sårbarheder angiver en struktureret proces, hvorigennem sårbarheder rapporteres til producenten eller leverandøren af potentielt sårbare IKT-produkter eller -tjenester på en måde, der gør det muligt for den at diagnosticere og afhjælpe sårbarheden, inden detaljerede sårbarhedsoplysninger offentliggøres for tredjeparter eller offentligheden. Koordineret offentliggørelse af sårbarheder bør også omfatte koordinering mellem den rapporterende fysiske eller juridiske person og producenten eller leverandøren af de potentielt sårbare IKT-produkter eller -tjenester med hensyn til tidspunktet for afhjælpning og offentliggørelse af sårbarheder.

(59)

Kommissionen, ENISA og medlemsstaterne bør fortsat fremme tilpasning til internationale standarder og industriens eksisterende bedste praksis på området for styring af cybersikkerhedsrisici, f.eks. inden for sikkerhedsvurderinger af forsyningskæden, udveksling af oplysninger og offentliggørelse af sårbarheder.

(60)

Medlemsstaterne bør i samarbejde med ENISA træffe foranstaltninger til at fremme koordineret offentliggørelse af sårbarheder ved at fastlægge en relevant national politik. Som led i deres nationale politik bør medlemsstaterne så vidt muligt tackle de udfordringer, som sårbarhedsforskere står over for, herunder deres potentielle strafansvar, i overensstemmelse med nationale ret. Eftersom fysiske og juridiske personer, der forsker i sårbarheder, i nogle medlemsstater vil kunne blive udsat for strafferetligt og civilretligt ansvar, opfordres medlemsstaterne til at vedtage retningslinjer for ikke-retsforfølgelse af informationssikkerhedsforskere og en fritagelse for civilretligt ansvar for deres aktiviteter.

(61)

Medlemsstaterne bør udpege en af deres CSIRT'er som koordinator med henblik på at fungere som betroet formidler mellem de rapporterende fysiske eller juridiske personer og producenterne eller udbyderne af IKT-produkter eller -tjenester, som sandsynligvis vil blive berørt af sårbarheden, hvor det er nødvendigt. Den CSIRT, der er udpeget som koordinator, bør bl.a. have til opgave at identificere og kontakte de berørte enheder, at bistå de fysiske eller juridiske personer, der rapporterer en sårbarhed, at forhandle tidsfrister for offentliggørelse og at håndtere sårbarheder, der påvirker flere enheder (koordineret offentliggørelse af sårbarheder med flere parter). Hvor den rapporterede sårbarhed vil kunne have væsentlig indvirkning på enheder i mere end én medlemsstat, bør de CSIRT'er, der er udpeget som koordinatorer, i givet fald samarbejde inden for CSIRT-netværket.

(62)

Adgang til korrekte og rettidige oplysninger om sårbarheder, der påvirker IKT-produkter og -tjenester, bidrager til en forbedret styring af cybersikkerhedsrisici. Kilder til offentligt tilgængelige oplysninger om sårbarheder er et vigtigt redskab for enhederne og for brugerne af deres tjenester, men også for de kompetente myndigheder og CSIRT'erne. Derfor bør ENISA oprette en europæisk sårbarhedsdatabase, hvor enheder, uanset om de er omfattet af dette direktiv, og deres leverandører af net- og informationssystemer samt de kompetente myndigheder og CSIRT'erne på frivillig basis kan offentliggøre og registrere offentligt kendte sårbarheder med henblik på at give brugerne mulighed for at træffe passende afbødende foranstaltninger. Formålet med denne database er at tackle de unikke udfordringer, som risiciene udgør for enheder i Unionen. ENISA bør desuden fastlægge en passende procedure for offentliggørelsesprocessen for at give enhederne tid til at træffe afbødende foranstaltninger med hensyn til deres sårbarhed og anvende foranstaltninger på det aktuelle teknologiske stade til styring af cybersikkerhedsrisici samt maskinlæsbare datasæt og tilhørende grænseflader. For at fremme en kultur med offentliggørelse af sårbarheder bør offentliggørelse ikke have nogen negativ effekt for den rapporterende fysiske eller juridiske person.

(63)

Selv om der findes lignende sårbarhedsregistre eller -databaser, hostes og vedligeholdes disse af enheder, der ikke er etableret i Unionen. En europæisk sårbarhedsdatabase, der vedligeholdes af ENISA, vil give større gennemsigtighed med hensyn til offentliggørelsesprocessen, inden sårbarheden offentliggøres, og modstandsdygtighed i tilfælde af en forstyrrelse eller en afbrydelse af leveringen af tilsvarende tjenester. For i videst muligt omfang at undgå dobbeltarbejde og tilstræbe komplementaritet bør ENISA undersøge muligheden for at indgå strukturerede samarbejdsaftaler med lignende registre eller databaser, der henhører under tredjelandes jurisdiktioner. ENISA bør navnlig undersøge muligheden for et tæt samarbejde med operatørerne af det fælles sårbarheds- og eksponeringssystem (CVE).

(64)

Samarbejdsgruppen bør støtte og lette strategisk samarbejde og udvekslingen af oplysninger samt styrke tilliden og fortroligheden blandt medlemsstaterne. Samarbejdsgruppen bør udarbejde et arbejdsprogram hvert andet år. Arbejdsprogrammet bør omfatte de foranstaltninger, som samarbejdsgruppen skal gennemføre for at nå sine mål og udføre sine opgaver. Tidsrammen for fastlæggelsen af det første arbejdsprogram i henhold til dette direktiv bør tilpasses tidsrammen for det sidste arbejdsprogram, der blev fastlagt i henhold til direktiv (EU) 2016/1148, for at undgå potentielle forstyrrelser af samarbejdsgruppens arbejde.

(65)

Når samarbejdsgruppen udarbejder vejledningsdokumenter, bør den konsekvent kortlægge nationale løsninger og erfaringer, vurdere virkningen af samarbejdsgruppens resultater på nationale tilgange, drøfte gennemførelsesudfordringer og formulere specifikke anbefalinger, navnlig om at lette harmonisering af gennemførelsen af dette direktiv blandt medlemsstaterne, som skal håndteres gennem bedre gennemførelse af eksisterende regler. Samarbejdsgruppen vil også kunne kortlægge de nationale løsninger for at fremme foreneligheden af de cybersikkerhedsløsninger, der anvendes i hver enkelt specifik sektor i hele Unionen. Dette er særligt relevant for sektorer med en international eller grænseoverskridende karakter.

(66)

Samarbejdsgruppen bør fortsat være et fleksibelt forum og være i stand til at reagere på skiftende og nye politiske prioriteter og udfordringer, samtidig med at der tages hensyn til de disponible ressourcer. Den vil kunne tilrettelægge regelmæssige fælles møder med relevante private interessenter fra hele Unionen for at drøfte samarbejdsgruppens aktiviteter og indsamle data og input om nye politiske udfordringer. Derudover bør samarbejdsgruppen foretage en regelmæssig vurdering af situationen med hensyn til cybertrusler eller hændelser såsom ransomware. For at styrke samarbejdet på EU-plan bør samarbejdsgruppen overveje at indbyde de relevante EU-institutioner, -organer, -kontorer og -agenturer, der er involveret i cybersikkerhedspolitikken, såsom Europa-Parlamentet, Europol, Det Europæiske Databeskyttelsesråd, Den Europæiske Unions Luftfartssikkerhedsagentur, oprettet ved forordning (EU) 2018/1139, og Den Europæiske Unions Agentur for Rumprogrammet, oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2021/696 (14), til at deltage i sit arbejde.

(67)

De kompetente myndigheder og CSIRT'erne bør kunne deltage i udvekslingsordninger for embedsmænd fra andre medlemsstater inden for specifikke rammer og i givet faldmed forbehold for den påkrævede sikkerhedsgodkendelse af embedsmænd, der deltager i sådanne udvekslingsordninger, med henblik på at forbedre samarbejdet og styrke tilliden medlemsstaterne imellem. De kompetente myndigheder bør træffe de foranstaltninger, der er nødvendige for at sætte embedsmænd fra andre medlemsstater i stand til at spille en effektiv rolle i den kompetente myndigheds eller CSIRT-værtens aktiviteter.

(68)

Medlemsstaterne bør bidrage til oprettelsen af EU-krisereaktionsrammen for cybersikkerhed som fastsat i Kommissionens henstilling (EU) 2017/1584 (15) gennem de eksisterende samarbejdsnetværk, navnlig det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe), CSIRT-netværket og samarbejdsgruppen. EU-CyCLONe og CSIRT-netværket bør samarbejde på grundlag af proceduremæssige ordninger, der fastlægger den nærmere udformning af dette samarbejde, og undgå dobbeltarbejde. EU-CyCLONe's forretningsorden bør yderligere præcisere, hvordan dette netværk bør fungere, herunder netværkets roller, metoder for samarbejde, interaktion med andre relevante aktører og skabeloner for udveksling af oplysninger samt kommunikationsmidler. Med hensyn til krisestyring på EU-plan bør de relevante parter støtte sig til EU's integrerede ordninger for politisk kriserespons i henhold til Rådets gennemførelsesafgørelse (EU) 2018/1993 (16) (IPCR-ordningerne). Kommissionen bør anvende den tværsektorielle krisekoordinationsproces på højt niveau, ARGUS, til dette formål. Hvis krisen har en vigtig ekstern dimension eller berører den fælles sikkerheds- og forsvarspolitik, bør EU-Udenrigstjenestens krisereaktionsmekanisme aktiveres.

(69)

I overensstemmelse med bilaget til henstilling (EU) 2017/1584 bør en omfattende cybersikkerhedshændelse forstås som en hændelse, der forårsager en forstyrrelse på et niveau, der overstiger en medlemsstats kapacitet til at reagere på den, eller som har en betydelig indvirkning på mindst to medlemsstater. Alt efter årsag og virkning kan omfattende cybersikkerhedshændelser eskalere og udvikle sig til fuldgyldige kriser, der forhindrer det indre markeds korrekte funktion eller udgør alvorlige risici for den offentlige sikkerhed for enheder eller borgere i flere medlemsstater eller for Unionen som helhed. I betragtning af sådanne begivenheders vidtrækkende omfang og i de fleste tilfælde grænseoverskridende karakter bør medlemsstaterne og de relevante EU-institutioner, -organer, -kontorer og -agenturer samarbejde på teknisk, operationelt og politisk plan for at koordinere indsatsen i hele Unionen.

(70)

Omfattende cybersikkerhedshændelser og kriser på EU-plan kræver en koordineret indsats for at sikre en hurtig og effektiv reaktion på grund af den store indbyrdes afhængighed mellem sektorer og medlemsstater. Tilgængeligheden af cybermodstandsdygtige net- og informationssystemer og tilgængeligheden, fortroligheden og integriteten af data er afgørende for Unionens sikkerhed og for beskyttelsen af dens borgere, virksomheder og institutioner mod hændelser og cybertrusler samt for at øge enkeltpersoners og organisationers tillid til Unionens evne til at fremme og beskytte et globalt, åbent, frit, stabilt og sikkert cyberspace baseret på menneskerettigheder, grundlæggende frihedsrettigheder, demokrati og retsstatsprincippet.

(71)

EU-CyCLONe bør fungere som en formidler mellem det tekniske og det politiske niveau under omfattende cybersikkerhedshændelser og kriser og bør styrke samarbejdet på operationelt plan og støtte beslutningstagningen på politisk plan. I samarbejde med Kommissionen og under hensyntagen til Kommissionens kompetence på krisestyringsområdet bør EU-CyCLONe bygge videre på CSIRT-netværkets resultater og anvende sin egen kapacitet til at udarbejde konsekvensanalyser af omfattende cybersikkerhedshændelser og kriser.

(72)

Cyberangreb er af grænseoverskridende karakter, og en væsentlig hændelse kan forstyrre og skade kritiske informationsinfrastrukturer, som det indre markeds funktion afhænger af. Henstilling (EU) 2017/1584 omhandler alle relevante aktørers rolle. Desuden er Kommissionen inden for rammerne af EU-civilbeskyttelsesmekanismen, der blev oprettet ved Europa-Parlamentets og Rådets afgørelse 1313/2013/EU (17), ansvarlig for generelle beredskabstiltag, herunder forvaltning af katastrofeberedskabskoordinationscentret og det fælles varslings- og informationssystem, opretholdelse og videreudvikling af situationsbevidsthed og analysekapacitet, og tilvejebringelse og forvaltning af kapaciteten til at mobilisere og udsende eksperthold i tilfælde af en anmodning om bistand fra en medlemsstat eller et tredjeland. Kommissionen er også ansvarlig for at udarbejde analytiske rapporter om IPCR-ordningerne i henhold til gennemførelsesafgørelse (EU) 2018/1993, herunder i forbindelse med situationsbevidsthed og beredskab vedrørende cybersikkerhed samt for situationsbevidsthed og kriserespons inden for landbrug, ugunstige vejrforhold, konfliktkortlægning og -prognoser, systemer for tidlig varsling i forbindelse med naturkatastrofer, sundhedskriser, overvågning af infektionssygdomme, plantesundhed, kemiske hændelser, fødevare- og fodersikkerhed, dyresundhed, migration, told, nukleare og radiologiske kriser og energi.

(73)

Unionen kan, hvor det er hensigtsmæssigt, i overensstemmelse med artikel 218 i TEUF indgå internationale aftaler med tredjelande eller internationale organisationer, som giver mulighed for og tilrettelægger disses deltagelse i bestemte aktiviteter, der foretages af samarbejdsgruppen, CSIRT-netværket og EU-CyCLONe. Sådanne aftaler bør sikre Unionens interesser og tilstrækkelig databeskyttelse. Dette bør ikke udelukke medlemsstaternes ret til at samarbejde med tredjelande om håndtering af sårbarheder og styring af cybersikkerhedsrisici og lette rapportering og generel udveksling af oplysninger i overensstemmelse med EU-retten.

(74)

For at lette en effektiv gennemførelse af dette direktiv, herunder med hensyn til håndtering af sårbarheder, foranstaltninger til styring af cybersikkerhedsrisici, rapporteringsforpligtelser og ordninger for udveksling af cybersikkerhedsoplysninger, kan medlemsstaterne samarbejde med tredjelande og gennemføre aktiviteter, der anses for hensigtsmæssige til dette formål, herunder udveksling af oplysninger om cybertrusler, hændelser, sårbarheder, værktøjer og metoder, taktikker, teknikker og procedurer, beredskab og øvelser i forbindelse med styring af cybersikkerhedskriser, uddannelse, tillidsskabende tiltag og strukturerede ordninger til udveksling af oplysninger.

(75)

Der bør indføres peerevalueringer for at gøre det lettere at lære af fælles erfaringer, styrke gensidig tillid og opnå et højt fælles cybersikkerhedsniveau. Peerevalueringer kan føre til værdifuld indsigt og anbefalinger, der kan styrke de overordnede cybersikkerhedskapaciteter, skabe en ny funktionel kanal for udveksling af bedste praksis på tværs af medlemsstaterne og bidrage til at højne medlemsstaternes modenhedsniveauer for så vidt angår cybersikkerhed. Desuden bør peerevalueringer tage hensyn til resultaterne af lignende mekanismer, såsom CSIRT-netværkets peerevalueringssystem, og bør tilføre merværdi og undgå dobbeltarbejde. Gennemførelsen af peerevalueringer bør ikke berøre EU-retten eller national ret om beskyttelse af fortrolige eller klassificerede oplysninger.

(76)

Samarbejdsgruppen bør fastlægge en selvevalueringsmetode for medlemsstaterne med henblik på at dække faktorer såsom graden af gennemførelse af foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser, kapacitetsniveauet og effektiviteten af udførelsen af de kompetente myndigheders opgaver, CSIRT'ernes operationelle kapacitet, graden af gennemførelse af gensidig bistand, graden af gennemførelse af ordningerne for udveksling af cybersikkerhedsoplysninger eller specifikke spørgsmål af grænseoverskridende eller tværsektoriel karakter. Medlemsstaterne bør tilskyndes til at foretage selvevalueringer regelmæssigt og til at fremlægge og drøfte resultaterne heraf i samarbejdsgruppen.

(77)

Ansvaret for at sikre sikkerheden i net- og informationssystemer ligger i vid udstrækning hos væsentlige og vigtige enheder. En risikostyringskultur, der indbefatter risikovurderinger og gennemførelse af foranstaltninger til styring af cybersikkerhedsrisici, som står i forhold til de foreliggende risici, bør fremmes og udvikles.

(78)

Foranstaltningerne til styring af cybersikkerhedsrisici bør tage hensyn til den væsentlige eller vigtige enheds grad af afhængighed af net- og informationssystemer og omfatte foranstaltninger til at identificere alle risici for hændelser, til at forebygge, opdage, reagere på og reetablere sig efter hændelser og til at afbøde deres indvirkning. Sikkerheden i net- og informationssystemer bør omfatte lagrede, overførte og behandlede datas sikkerhed. Foranstaltningerne til styring af cybersikkerhedsrisici bør omfatte en systemisk analyse, som tager højde for den menneskelige faktor, for at få et fuldstændigt billede af sikkerheden af net- og informationssystemet.

(79)

Da trusler mod sikkerheden i net- og informationssystemer kan have forskellig oprindelse, bør foranstaltninger til styring af cybersikkerhedsrisici bygge på en tilgang, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod enhver begivenhed såsom tyveri, brand, oversvømmelse, telekommunikations- eller strømsvigt, eller uautoriseret fysisk adgang til, beskadigelse af eller indgreb i en væsentlig eller vigtig enheds informations- og informationsbehandlingsfaciliteter, som kan kompromittere tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemerne. Foranstaltningerne til styring af cybersikkerhedsrisici bør derfor også adressere den fysiske og miljømæssige sikkerhed i net- og informationssystemerne ved at inkludere foranstaltninger til beskyttelse af sådanne systemer mod systemsvigt, menneskelige fejl, ondsindede handlinger eller naturfænomener i overensstemmelse med europæiske og internationale standarder såsom dem, der indgår i ISO/IEC 27000-serien. Væsentlige og vigtige enheder bør med henblik herpå som led i deres foranstaltninger til styring af cybersikkerhedsrisici også adressere sikkerheden vedrørende menneskelige ressourcer og indføre passende adgangskontrolpolitikker. Disse foranstaltninger bør være forenelige med direktiv (EU) 2022/2557.

(80)

Med henblik på at påvise overensstemmelse med foranstaltninger til styring af cybersikkerhedsrisici og i mangel af passende europæiske cybersikkerhedscertificeringsordninger vedtaget i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2019/881 (18) bør medlemsstaterne i samråd med samarbejdsgruppen og Den Europæiske Cybersikkerhedscertificeringsgruppe fremme væsentlige og vigtige enheders anvendelse af relevante europæiske og internationale standarder eller kan eventuelt kræve, at enhederne anvender certificerede IKT-produkter, -tjenester og -processer.

(81)

Med henblik på at undgå, at operatører af væsentlige og vigtige enheder pålægges en uforholdsmæssig stor økonomisk og administrativ byrde, bør foranstaltninger til styring af cybersikkerhedsrisici stå i et rimeligt forhold til den risiko, det pågældende net- og informationssystem er udsat for, under hensyntagen til sådanne foranstaltningers aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder samt omkostningerne ved deres gennemførelse.

(82)

Foranstaltninger til styring af cybersikkerhedsrisici bør stå i et passende forhold til graden af de væsentlige eller vigtige enheders risikoeksponering og til den samfundsmæssige og økonomiske indvirkning, som en hændelse ville have. Ved fastlæggelsen af foranstaltninger til styring af cybersikkerhedsrisici, der er tilpasset væsentlige og vigtige enheder, bør der tages behørigt hensyn til væsentlige og vigtige enheders forskellige risikoeksponering, herunder enhedens kritiske betydning, de risici, herunder samfundsmæssige risici, som den er eksponeret for, enhedens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige og økonomiske indvirkning.

(83)

Væsentlige og vigtige enheder bør garantere sikkerheden af de net- og informationssystemer, som de anvender i forbindelse med deres aktiviteter. Disse systemer er primært private net- og informationssystemer, der forvaltes af de væsentlige og vigtige enheders interne IT-personale, eller hvis sikkerhed er blevet outsourcet. De foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser, der er fastsat i dette direktiv, bør finde anvendelse på de relevante væsentlige og vigtige enheder, uanset om disse enheder selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf.

(84)

DNS-tjenesteudbydere, topdomænenavneadministratorer og udbydere af cloudcomputingtjenester, af datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af onlinemarkedspladser, af onlinesøgemaskiner, af platforme for sociale netværkstjenester og af tillidstjenester bør i betragtning af deres grænseoverskridende karakter være underlagt en høj grad af harmonisering på EU-plan. Gennemførelsen af foranstaltninger til styring af cybersikkerhedsrisici med hensyn til disse enheder bør derfor lettes ved hjælp af en gennemførelsesretsakt.

(85)

Håndtering af risici, der stammer fra en enheds forsyningskæde og dens forhold til sine leverandører såsom udbydere af datalagrings- og databehandlingstjenester eller udbydere af administrerede sikkerhedstjenester og softwareudgivere, er særlig vigtig i betragtning af udbredelsen af hændelser, hvor enheder har været udsat for cyberangreb, og hvor ondsindede gerningspersoner har været i stand til at kompromittere sikkerheden af en enheds net- og informationssystemer ved at udnytte sårbarheder, der påvirker tredjepartsprodukter og -tjenester. Væsentlige og vigtige enheder bør derfor vurdere og tage hensyn til den generelle kvalitet og modstandsdygtighed af produkter og tjenester, de heri integrerede foranstaltninger til styring af cybersikkerhedsrisici og deres leverandørers og tjenesteudbyderes cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Væsentlige og vigtige enheder bør navnlig tilskyndes til at indarbejde foranstaltninger til styring af cybersikkerhedsrisici i kontraktlige arrangementer med deres direkte leverandører og tjenesteudbydere. Disse enheder kunne overveje risici hidrørende fra leverandører og tjenesteudbydere i andre led.

(86)

Blandt tjenesteudbydere spiller udbydere af administrerede sikkerhedstjenester på områder såsom reaktion på hændelser, penetrationstest, sikkerhedsaudits og konsulentbistand en særlig vigtig rolle med hensyn til at bistå enheder i deres bestræbelser på at forebygge, opdage, reagere på eller reetablere sig efter hændelser. Udbydere af administrerede sikkerhedstjenester har imidlertid også selv været mål for cyberangreb og udgør på grund af deres høje grad af integration i enheders operationer en særlig risiko. Væsentlige og vigtige enheder bør derfor udvise forøget omhu ved udvælgelsen af en udbyder af administrerede sikkerhedstjenester.

(87)

De kompetente myndigheder kan i forbindelse med deres tilsynsopgaver også drage fordel af cybersikkerhedstjenester såsom sikkerhedsaudits, penetrationstest eller reaktion på hændelser.

(88)

Væsentlige og vigtige enheder bør også tage højde for risici hidrørende fra deres samspil og relationer med andre interessenter inden for et bredere økosystem, herunder i forbindelse med bekæmpelse af industrispionage og beskyttelse af forretningshemmeligheder. Navnlig bør disse enheder træffe passende foranstaltninger til at sikre, at deres samarbejde med akademiske institutioner og forskningsinstitutioner finder sted i overensstemmelse med deres cybersikkerhedspolitikker og følger god praksis med hensyn til sikker adgang til og formidling af oplysninger generelt og beskyttelse af intellektuel ejendom i særdeleshed. På samme måde bør væsentlige og vigtige enheder i betragtning af datas betydning og værdi for deres aktiviteter træffe alle passende foranstaltninger til styring af cybersikkerhedsrisici, når disse enheder benytter sig af datatransformations- og dataanalysetjenester fra tredjeparter.

(89)

Væsentlige og vigtige enheder bør indføre en bred vifte af grundlæggende cyberhygiejnepraksisser såsom »zero trust«-principper, softwareopdateringer, enhedskonfiguration, netværkssegmentering, identitets- og adgangsstyring eller brugerbevidsthed, arrangere kurser for deres personale og højne bevidstheden om cybertrusler, phishing og social engineering-teknikker. Disse enheder bør desuden evaluere deres egne cybersikkerhedskapaciteter og, hvor det er hensigtsmæssigt, stræbe efter at integrere cybersikkerhedsforstærkende teknologier, såsom systemer baseret på kunstig intelligens eller maskinlæring, for at forstærke deres kapaciteter og sikkerheden i net- og informationssystemerne.

(90)

For yderligere at håndtere centrale risici i forsyningskæden og bistå væsentlige og vigtige enheder, der opererer i sektorer, som er omfattet af dette direktiv, med at håndtere forsyningskæde- og leverandørrelaterede risici på en hensigtsmæssig måde, bør samarbejdsgruppen, i samarbejde med Kommissionen og ENISA og, hvor det er hensigtsmæssigt, efter høring af relevante interessenter, herunder fra industrien, foretage koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder som dem, der er foretaget for 5G-net efter Kommissionens henstilling (EU) 2019/534 (19), med henblik på inden for hver enkelt sektor at identificere de kritiske IKT-tjenester, -systemer eller -produkter, relevante trusler og sårbarheder Sådanne koordinerede sikkerhedsrisikovurderinger bør identificere foranstaltninger, afbødningsplaner og bedste praksisser for modvirkning af kritiske afhængigheder, potentielle enkelte fejlpunkter, trusler, sårbarheder og andre risici knyttet til forsyningskæden og bør undersøge, hvordan væsentlige og vigtige enheder yderligere kan tilskyndes til at indføre disse. Potentielle ikketekniske risikofaktorer såsom et tredjelands utilbørlige påvirkning af leverandører og tjenesteudbydere, navnlig i forbindelse med alternative styringsmodeller, omfatter skjulte sårbarheder eller bagdøre og potentielle systemiske forsyningsforstyrrelser, navnlig i tilfælde af teknologisk fastlåsning eller udbyderafhængighed.

(91)

Ved koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder bør der i lyset af kendetegnene ved den pågældende sektor tages hensyn til både tekniske og, hvor det er relevant, ikketekniske faktorer, herunder dem, der er defineret i henstilling (EU) 2019/534, i den EU- koordinerede risikovurdering af cybersikkerheden af 5G-net og i EU-værktøjskassen til 5G-cybersikkerhed, som samarbejdsgruppen er nået til enighed om. For at identificere de forsyningskæder, der bør gøres til genstand for en koordineret sikkerhedsrisikovurdering, bør følgende kriterier tages i betragtning: i) i hvilket omfang væsentlige og vigtige enheder anvender og er afhængige af specifikke kritiske IKT-tjenester, -systemer eller -produkter, ii) relevansen af specifikke kritiske IKT-tjenester, -systemer eller -produkter til udførelse af kritiske eller følsomme funktioner, herunder behandling af personoplysninger, iii) tilgængeligheden af alternative IKT-tjenester, -systemer eller -produkter, iv) modstandsdygtigheden af den samlede forsyningskæde for IKT-tjenester, -systemer eller -produkter i hele deres livscyklus over for forstyrrelser og v) for nye IKT-tjenester, -systemer eller -produkter, deres potentielle fremtidige betydning for enhedernes aktiviteter. Endvidere bør der lægges særlig vægt på IKT-tjenester, -systemer eller -produkter, der er underlagt specifikke krav hidrørende fra tredjelande.

(92)

For at strømline de forpligtelser, der pålægges udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester og tillidstjenesteudbydere med hensyn til sikkerheden af deres net- og informationssystemer, og for at gøre det muligt for de pågældende enheder og de kompetente myndigheder, i henhold til henholdsvis Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 (20) og forordning (EU) nr. 910/2014, at drage fordel af de retlige rammer, der er fastsat i dette direktiv, herunder udpegelsen af en CSIRT med ansvar for håndteringen af hændelser, deltagelsen af de berørte kompetente myndigheder i samarbejdsgruppens aktiviteter og CSIRT-netværket, bør de pågældende enheder være omfattet af dette direktivs anvendelsesområde. De tilsvarende bestemmelser i forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 vedrørende indførelse af sikkerhedskrav og underretningspligt for disse typer enheder bør derfor udgå. Reglerne om rapporteringsforpligtelser, der er fastsat i nærværende direktiv, bør ikke berøre forordning (EU) 2016/679 og direktiv 2002/58/EF.

(93)

Cybersikkerhedsforpligtelserne, der er fastsat i dette direktiv, bør betragtes som et supplement til de krav, der pålægges tillidstjenesteudbydere i henhold til forordning (EU) nr. 910/2014. Tillidstjenesteudbydere bør være forpligtet til at træffe alle passende og forholdsmæssige foranstaltninger for at styre de risici, der er forbundet med deres tjenester, herunder i forhold til kunder og tilknyttede tredjeparter, og til at rapportere hændelser i henhold til dette direktiv. Sådanne cybersikkerheds- og rapporteringsforpligtelser bør også vedrøre den fysiske beskyttelse af de udbudte tjenester. Kravene til kvalificerede tillidstjenesteudbydere i artikel 24 i forordning (EU) nr. 910/2014 finder fortsat anvendelse.

(94)

Medlemsstaterne kan tildele rollen som de kompetente myndigheder for tillidstjenester til de i forordning (EU) nr. 910/2014 omhandlede tilsynsorganer for at sikre videreførelsen af den nuværende praksis og bygge videre på den viden og erfaring, der er opnået i forbindelse med anvendelsen af nævnte forordning. I sådanne tilfælde bør de kompetente myndigheder i henhold til dette direktiv arbejde tæt sammen med disse tilsynsorganer ved rettidigt at udveksle relevante oplysninger for at sikre effektivt tilsyn med tillidstjenesteudbyderne og sikre deres overholdelse af kravene i dette direktiv og i forordning (EU) nr. 910/2014. I givet fald bør CSIRT'en eller den kompetente myndighed i henhold til dette direktiv straks informere tilsynsorganet i henhold til forordning (EU) nr. 910/2014 om enhver underretning om en væsentlig cybertrussel eller hændelse, der berører tillidstjenester samt om ethvert tilfælde af en tillidstjenesteudbyders overtrædelser af dette direktiv. Medlemsstaterne kan i rapporteringsøjemed i givet fald anvende det enkelte indgangspunkt, der er oprettet for at opnå en fælles og automatisk rapportering af hændelser til både tilsynsorganet i henhold til forordning (EU) nr. 910/2014 og CSIRT eller den kompetente myndighed i henhold til dette direktiv.

(95)

Hvor det er hensigtsmæssigt og for at undgå unødige forstyrrelser, bør eksisterende nationale retningslinjer der er vedtaget med henblik på gennemførelse af reglerne vedrørende sikkerhedsforanstaltninger i artikel 40 og 41 i direktiv (EU) 2018/1972, tages i betragtning ved gennemførelsen af nærværende direktiv, så der kan bygges videre på den viden og de færdigheder, der allerede er erhvervet i forbindelse med direktiv (EU) 2018/1972 med hensyn til sikkerhedsforanstaltninger og hændelsesunderretninger. ENISA kan også udvikle vejledning om sikkerhedskrav og om rapporteringsforpligtelser for udbydere af offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester for at lette harmonisering og omstilling og minimere forstyrrelser. Medlemsstaterne kan tildele de nationale tilsynsmyndigheder rollen som de kompetente myndigheder for elektronisk kommunikation i henhold til direktiv (EU) 2018/1972 for at sikre videreførelsen af den nuværende praksis og bygge videre på den viden og erfaring, der er opnået som et resultat af gennemførelsen af nævnte direktiv.

(96)

I betragtning af den stigende betydning af nummeruafhængige interpersonelle kommunikationstjenester som defineret i direktiv (EU) 2018/1972 er det nødvendigt at sikre, at sådanne tjenester også er omfattet af passende sikkerhedskrav i lyset af deres særlige karakter og økonomiske betydning. Eftersom angrebsfladen bliver stadig større, bliver nummeruafhængige interpersonelle kommunikationstjenester såsom meddelelsestjenester stadig mere udbredte angrebsvektorer. Ondsindede gerningspersoner anvender platforme til at kommunikere med og lokke ofre til at gå ind på kompromitterede websider, hvilket øger sandsynligheden for hændelser, der involverer udnyttelse af personoplysninger og, som følge deraf, sikkerheden i net- og informationssystemer. Udbydere af nummeruafhængige interpersonelle kommunikationstjenester bør sikre et sikkerhedsniveau i net- og informationssystemer, der står i forhold til risiciene. Da udbydere af nummeruafhængige interpersonelle kommunikationstjenester normalt ikke udøver egentlig kontrol over transmissionen af signaler via net, kan risikoniveauet for sådanne tjenester i visse henseender anses for at være lavere end for traditionelle elektroniske kommunikationstjenester. Det samme gælder interpersonelle kommunikationstjenester, som defineret i direktiv (EU) 2018/1972, der anvender numre, og som ikke udøver faktisk kontrol over signaltransmission.

(97)

Det indre marked er mere end nogensinde afhængigt af internettets funktionsdygtighed. Næsten alle væsentlige og vigtige enheders tjenester er afhængige af tjenester, der leveres over internettet. For at sikre en problemfri levering af tjenester, der udbydes af væsentlige og vigtige enheder, er det vigtigt, at alle udbydere af offentlige elektroniske kommunikationsnet har indført passende foranstaltninger til styring af cybersikkerhedsrisici og rapporterer om væsentlige hændelser i forbindelse hermed. Medlemsstaterne bør sørge for, at sikkerheden af de offentlige elektroniske kommunikationsnet opretholdes, og at deres vitale sikkerhedsinteresser beskyttes mod sabotage og spionage. Eftersom international konnektivitet styrker og fremskynder den konkurrencedygtige digitalisering af Unionen og dens økonomi, bør hændelser, der påvirker undersøiske kommunikationskabler, rapporteres til CSIRT eller i givet fald til den kompetente myndighed. Den nationale cybersikkerhedsstrategi bør, hvor det er relevant, tage hensyn til undersøiske kommunikationskablers cybersikkerhed og omfatte en kortlægning af potentielle cybersikkerhedsrisici og afbødende foranstaltninger for at sikre dem det højeste beskyttelsesniveau.

(98)

For at beskytte sikkerheden af offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester bør brugen af krypteringsteknologier, navnlig end-to-end-kryptering samt datacentrerede sikkerhedskoncepter såsom kartografi, segmentering, tagging, adgangspolitik og adgangsstyring samt automatiserede adgangsbeslutninger fremmes. Om nødvendigt bør anvendelsen af kryptering, navnlig end-to-end-kryptering, være obligatorisk for udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester i overensstemmelse med principperne om sikkerhed og privatlivsbeskyttelse gennem standardindstillinger og gennem design med henblik på dette direktiv. Brugen af end-to-end-kryptering bør forliges med medlemsstaternes beføjelser til at sikre beskyttelsen af deres væsentlige sikkerhedsinteresser og offentlig sikkerhed og til at tillade forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger i overensstemmelse med EU-retten. Dette bør dog ikke svække end-to-end-kryptering, som er en teknologi af kritisk betydning for den effektive data- og privatlivsbeskyttelse og for kommunikationssikkerheden.

(99)

For at beskytte sikkerheden af og forhindre misbrug af og manipulation med offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester bør brugen af sikre routingstandarder fremmes for at sikre integriteten og robustheden af routingfunktionerne i hele økosystemet af udbydere af internetadgangstjenester.

(100)

For at beskytte internettets funktionalitet og integritet og fremme DNS'ens sikkerhed og modstandsdygtighed bør relevante interessenter, herunder enheder i Unionens private sektor, udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, navnlig udbydere af internetadgangstjenester, og udbydere af onlinesøgemaskiner tilskyndes til at vedtage en diversificeringsstrategi for DNS-oversættelse. Endvidere bør medlemsstaterne tilskynde til udvikling og brug af en offentlig og sikker europæisk DNS-oversættelsestjeneste.

(101)

I dette direktiv fastlægges en flertrinstilgang for underretning om væsentlige hændelser med henblik på at finde den rette balance mellem på den ene side hurtig underretning, der bidrager til at afbøde den potentielle spredning af væsentlige hændelser og giver væsentlige og vigtige enheder mulighed for at søge assistance, og på den anden side dybdegående underretning, der gør det muligt at høste værdifulde erfaringer af individuelle hændelser og over tid forbedre individuelle virksomheders og hele sektorers cyberrobusthed. Direktivet bør i den henseende omfatte underretning om hændelser, som ud fra en indledende vurdering foretaget af den berørte enhed kunne forårsage alvorlige driftsmæssige forstyrrelser af tjenesterne eller økonomiske tab for denne enhed eller forvolde betydelig materiel eller immateriel skade for andre fysiske eller juridiske personer. En sådan indledende vurdering bør bl.a. tage i betragtning de berørte net- og informationssystemer, navnlig deres betydning for leveringen af enhedens tjenester, alvoren og de tekniske karakteristika af en cybertrussel, eventuelle underliggende sårbarheder, der udnyttes, samt enhedens erfaring med tilsvarende hændelser. Indikatorer såsom graden af påvirkning af tjenestens funktionsdygtighed, varigheden af en hændelse eller antallet af berørte tjenestemodtagere vil kunne spille en vigtig rolle med hensyn til at fastslå, om den driftsmæssige forstyrrelse af tjenesten er alvorlig.

(102)

Hvor væsentlige og vigtige enheder bliver opmærksomme på en væsentlig hændelse, bør de være forpligtet til at indgive en tidlig varsling uden unødigt ophold og under alle omstændigheder inden for 24 timer. Denne tidlige varsling bør efterfølges af en hændelsesunderretning. De pågældende enheder bør indgive en hændelsesunderretning uden unødigt ophold og under alle omstændigheder inden for 72 timer efter, at have fået kendskab til den væsentlige hændelse, navnlig med henblik på at ajourføre de oplysninger, der blev indgivet ved den tidlige varsling, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning, samt kompromitteringsindikatorer, hvor sådanne foreligger. En endelig rapport bør indgives senest en måned efter hændelsesunderretningen. Den tidlige varsling bør kun indeholde de oplysninger, der er nødvendige for at gøre CSIRT'en eller i givet fald den kompetente myndighed opmærksom på den væsentlige hændelse og give den pågældende enhed mulighed for om nødvendigt at søge assistance. En sådan tidlige varsling bør, hvis det er relevant, angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger, og om den sandsynligvis vil have grænseoverskridende virkninger. Medlemsstaterne bør sikre, at forpligtelsen til at indgive den tidlige varsling eller den efterfølgende hændelsesunderretning ikke medfører, at den underrettende enhed bruger færre ressourcer på aktiviteter vedrørende håndtering af hændelser, idet disse bør prioriteres, så det forhindres, at forpligtelser vedrørende hændelsesrapportering enten omdirigerer ressourcer fra håndtering af væsentlige hændelser eller på anden måde kompromitterer enhedens indsats i denne henseende. I tilfælde af, at en hændelse pågår på tidspunktet for indgivelsen af den endelige rapport, bør medlemsstaterne sikre, at berørte enheder forelægger en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter deres håndtering af den væsentlige hændelse.

(103)

De væsentlige og vigtige enheder bør i givet fald og uden unødigt ophold underrette deres tjenestemodtagere om enhver foranstaltning eller modforholdsregel, de kan træffe for at afbøde risici fra en væsentlig cybertrussel. Disse enheder bør, hvor det er hensigtsmæssigt, og navnlig hvor den væsentlige cybertrussel sandsynligvis vil materialisere sig, også informere deres tjenestemodtagere om selve truslen. Kravet om at informere modtagerne om væsentlige cybertrusler bør opfyldes efter bedste evne, men bør ikke fritage disse enheder for forpligtelsen til for egen regning at træffe passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver trussel af denne art og genoprette tjenestens normale sikkerhedsniveau. Sådanne oplysninger om væsentlige cybertrusler bør stilles gratis til rådighed for modtagerne i et let forståeligt sprog.

(104)

Udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester bør indføre sikkerhed gennem design og gennem standardindstillinger samt informere deres tjenestemodtagere om væsentlige cybertrusler og om de foranstaltninger, de kan træffe for at beskytte deres enheder og kommunikation, f.eks. ved at anvende bestemte typer software eller krypteringsteknologier.