This document is an excerpt from the EUR-Lex website
Document 32016L1148
Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union
Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση
Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση
ΕΕ L 194 της 19.7.2016, p. 1–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
No longer in force, Date of end of validity: 17/10/2024; καταργήθηκε από 32022L2555
19.7.2016 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 194/1 |
ΟΔΗΓΊΑ (EE) 2016/1148 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ
της 6ης Ιουλίου 2016
σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση
ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης και ιδίως το άρθρο 114,
Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,
Μετά τη διαβίβαση του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,
Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής (1),
Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία (2),
Εκτιμώντας τα ακόλουθα:
(1) |
Τα συστήματα και οι υπηρεσίες δικτύων και πληροφοριών διαδραματίζουν ζωτικό ρόλο στην κοινωνία. Η αξιοπιστία και η ασφάλειά τους είναι ουσιώδους σημασίας για τις οικονομικές και κοινωνικές δραστηριότητες, και ιδίως για τη λειτουργία της εσωτερικής αγοράς. |
(2) |
Το μέγεθος, η συχνότητα και ο αντίκτυπος των συμβάντων ασφάλειας αυξάνονται και συνιστούν μείζονα απειλή για τη λειτουργία των συστημάτων δικτύου και πληροφοριών. Τα συστήματα αυτά μπορούν επίσης να αποτελέσουν στόχο σκόπιμων επιζήμιων ενεργειών που έχουν σκοπό να προκαλέσουν βλάβες στα συστήματα ή να διακόψουν τη λειτουργία τους. Τέτοια συμβάντα μπορούν να παρεμποδίσουν την άσκηση οικονομικών δραστηριοτήτων, να προκαλέσουν σημαντικές οικονομικές ζημίες, να υπονομεύσουν την εμπιστοσύνη των χρηστών και να προκαλέσουν σημαντική ζημία στην οικονομία της Ένωσης. |
(3) |
Τα συστήματα δικτύου και πληροφοριών, και κυρίως το διαδίκτυο, διαδραματίζουν ένα ουσιώδη ρόλο στη διευκόλυνση της διασυνοριακής κυκλοφορίας αγαθών, υπηρεσιών και προσώπων. Λόγω του διακρατικού τους χαρακτήρα, ενδεχόμενη σημαντική διατάραξη των συστημάτων αυτών, εσκεμμένη ή μη και ανεξαρτήτως του τόπου όπου εκδηλώνεται, μπορεί να επηρεάσει ατομικά κράτη μέλη και την Ένωση στο σύνολό της. Η ασφάλεια των συστημάτων δικτύου και πληροφοριών είναι επομένως ουσιώδης για την ομαλή λειτουργία της εσωτερικής αγοράς. |
(4) |
Αξιοποιώντας τη σημαντική πρόοδο που έχει σημειωθεί στο πλαίσιο του ευρωπαϊκού φόρουμ των κρατών μελών ως προς την προώθηση συζητήσεων και ανταλλαγών όσον αφορά ορθές πολιτικές πρακτικές, συμπεριλαμβανομένης της εκπόνησης αρχών όσον αφορά την ευρωπαϊκή συνεργασία για την αντιμετώπιση της κρίσης στον κυβερνοχώρο, θα πρέπει να συσταθεί ομάδα συνεργασίας αποτελούμενη από αντιπροσώπους των κρατών μελών από την Επιτροπή και από τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών («ENISA») για την υποστήριξη και διευκόλυνση της στρατηγικής συνεργασίας μεταξύ των κρατών μελών όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Για να είναι αποτελεσματική η εν λόγω ομάδα και να μην υπάρχουν αποκλεισμοί, είναι σημαντικό όλα τα κράτη μέλη να διαθέτουν ένα ελάχιστο επίπεδο ικανοτήτων καθώς και μια στρατηγική που θα εξασφαλίζει υψηλό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών στην επικράτειά τους. Επιπλέον, θα πρέπει να επιβληθούν απαιτήσεις ασφάλειας και κοινοποίησης στους φορείς εκμετάλλευσης βασικών υπηρεσιών και στους παρόχους ψηφιακών υπηρεσιών, με σκοπό την προαγωγή νοοτροπίας διαχείρισης κινδύνου και τη διασφάλιση της κοινοποίησης των σοβαρότερων συμβάντων. |
(5) |
Οι υφιστάμενες ικανότητες δεν επαρκούν για να εξασφαλιστεί υψηλό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών εντός της Ένωσης. Τα κράτη μέλη έχουν πολύ διαφορετικά επίπεδα ετοιμότητας, που έχουν οδηγήσει στον κατακερματισμό προσεγγίσεων στην Ένωση. Αυτό οδηγεί σε άνισο επίπεδο προστασίας καταναλωτών και επιχειρήσεων και υπονομεύει το συνολικό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών εντός της Ένωσης. Η απουσία κοινών απαιτήσεων για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών καθιστά εξάλλου αδύνατο να συσταθεί ένας καθολικός και αποτελεσματικός μηχανισμός συνεργασίας σε επίπεδο Ένωσης. Τα πανεπιστήμια και τα ερευνητικά κέντρα διαδραματίζουν καθοριστικό ρόλο στην προαγωγή της έρευνας, της ανάπτυξης και της καινοτομίας στους συγκεκριμένους τομείς. |
(6) |
Η αποτελεσματική αντιμετώπιση των προκλήσεων ασφάλειας των συστημάτων δικτύου και πληροφοριών απαιτεί, συνεπώς, μια σφαιρική προσέγγιση σε επίπεδο Ένωσης που να καλύπτει κοινές ελάχιστες ικανές απαιτήσεις δημιουργίας και σχεδιασμού,την ανταλλαγή πληροφοριών, τη συνεργασία και τις κοινές απαιτήσεις ασφάλειας για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών. Ωστόσο, οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών έχουν τη δυνατότητα να εφαρμόζουν μέτρα ασφάλειας αυστηρότερα από τα προβλεπόμενα δυνάμει της παρούσας οδηγίας. |
(7) |
Για να καλυφθούν όλα τα σχετικά συμβάντα και οι σχετικοί κίνδυνοι, η παρούσα οδηγία θα πρέπει να εφαρμόζεται τόσο στους φορείς εκμετάλλευσης βασικών υπηρεσιών όσο και στους παρόχους ψηφιακών υπηρεσιών. Ωστόσο, οι υποχρεώσεις των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών δεν θα πρέπει, να εφαρμόζονται στις επιχειρήσεις παροχής δημόσιων δικτύων επικοινωνιών ή στις υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό, κατά την έννοια της οδηγίας 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), οι οποίες υπόκεινται στις ειδικές απαιτήσεις ακεραιότητας και ασφάλειας που ορίζονται στην εν λόγω οδηγία, ούτε θα πρέπει να εφαρμόζονται σε παρόχους υπηρεσιών εμπιστοσύνης κατά την έννοια του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4), οι οποίοι υπάγονται στις απαιτήσεις ασφάλειας που προβλέπονται στον εν λόγω κανονισμό. |
(8) |
Η παρούσα οδηγία δεν θα πρέπει να θίγει τη δυνατότητα για κάθε κράτος μέλος να λαμβάνει τα αναγκαία μέτρα για την προστασία των ουσιωδών συμφερόντων της ασφάλειάς του, τη διαφύλαξη της δημόσιας τάξης και ασφάλειας, καθώς και τη διερεύνηση, ανίχνευση και δίωξη ποινικών αδικημάτων. Σύμφωνα με το άρθρο 346 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), κανένα κράτος μέλος δεν πρέπει να υποχρεώνεται να παρέχει πληροφορίες, τη διάδοση των οποίων θεωρεί αντίθετη προς ουσιώδη συμφέροντα ασφάλειάς του. Σημαντικές στο πλαίσιο αυτό είναι η απόφαση 2013/488/ΕΕ του Συμβουλίου (5), και οι συμφωνίες εμπιστευτικότητας ή οι ανεπίσημες συμφωνίες εμπιστευτικότητας, όπως το πρωτόκολλο για την ανταλλαγή πληροφοριών «Traffic Light Protocol». |
(9) |
Ορισμένοι τομείς της οικονομίας ρυθμίζονται ήδη ή μπορεί να ρυθμιστούν στο μέλλον από τομεακές νομικές πράξεις της Ένωσης που περιλαμβάνουν κανόνες σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Στις περιπτώσεις που οι εν λόγω νομικές πράξεις της Ένωσης περιέχουν διατάξεις για την επιβολή απαιτήσεων όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών ή τις κοινοποιήσεις συμβάντων, οι εν λόγω διατάξεις θα πρέπει να εφαρμόζονται εάν περιέχουν απαιτήσεις οι οποίες είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που περιέχονται στην παρούσα οδηγία. Τα κράτη μέλη θα πρέπει να εφαρμόζουν τις διατάξεις των εν λόγω τομεακών νομικών πράξεων της Ένωσης, συμπεριλαμβανομένων εκείνων που αφορούν τη δικαιοδοσία, και δεν θα πρέπει να διεξάγουν τη διαδικασία προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσίες που ορίζεται στην παρούσα οδηγία. Στο πλαίσιο αυτό, τα κράτη μέλη θα πρέπει να παρέχουν στην Επιτροπή πληροφορίες σχετικά με την εφαρμογή τέτοιων διατάξεων περί lex specialis. Προκειμένου να καθοριστεί αν οι απαιτήσεις σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών και την κοινοποίηση συμβάντων που περιέχονται σε τομεακές νομικές πράξεις της Ένωσης είναι ισοδύναμες με εκείνες που περιέχονται στην παρούσα οδηγία, θα πρέπει να λαμβάνονται υπόψη μόνον οι διατάξεις των σχετικών νομικών πράξεων της Ένωσης και η εφαρμογή τους στα κράτη μέλη. |
(10) |
Στον τομέα των πλωτών μεταφορών, οι απαιτήσεις ασφάλειας για τις εταιρίες, τα πλοία, τις λιμενικές εγκαταστάσεις, τους λιμένες και οι υπηρεσίες κυκλοφορίας σκαφών οι οποίες προβλέπονται σε ενωσιακές νομικές πράξεις καλύπτουν όλες τις δραστηριότητες, συμπεριλαμβανομένων των συστημάτων ραδιοεπικοινωνιών και τηλεπικοινωνιών, των υπολογιστικών συστημάτων και των δικτύων. Ορισμένες από τις υποχρεωτικές διαδικασίες που πρέπει να ακολουθούνται περιλαμβάνουν την κοινοποίηση όλων των συμβάντων και θα πρέπει ως εκ τούτου να θεωρούνται lex specialis, εφόσον οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες με τις αντίστοιχες διατάξεις της παρούσας οδηγίας. |
(11) |
Κατά τον προσδιορισμό των φορέων εκμετάλλευσης στον τομέα των πλωτών μεταφορών, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη υφιστάμενους και μελλοντικούς διεθνείς κώδικες και κατευθυντήριες γραμμές που αναπτύσσονται ιδίως από τον Διεθνή Ναυτιλιακό Οργανισμό, ώστε να παρέχεται συνεκτική προσέγγιση στους φορείς εκμετάλλευσης του τομέα της ναυτιλίας. |
(12) |
Η κανονιστική ρύθμιση και η εποπτεία στους τομείς των τραπεζών και των υποδομών χρηματοπιστωτικών αγορών είναι εξόχως εναρμονισμένες σε επίπεδο Ένωσης χάρη στη χρήση του πρωτογενούς και δευτερογενούς δικαίου της Ένωσης και προτύπων που έχουν αναπτυχθεί από κοινού με τις ευρωπαϊκές εποπτικές αρχές. Στο πλαίσιο της τραπεζικής ένωσης, η εφαρμογή και η εποπτεία των εν λόγω απαιτήσεων διασφαλίζονται από τον ενιαίο εποπτικό μηχανισμό. Για τα κράτη μέλη που δεν συμμετέχουν στην τραπεζική ένωση, διασφαλίζονται από τις σχετικές τραπεζικές ρυθμιστικές αρχές τους. Υψηλός βαθμός ομοιομορφίας και σύγκλισης των εποπτικών πρακτικών διασφαλίζεται και σε άλλους τομείς ρύθμισης του χρηματοπιστωτικού τομέα από το Ευρωπαϊκό Σύστημα Χρηματοπιστωτικής Εποπτείας. Εξάλλου, η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών έχει άμεσο εποπτικό ρόλο για ορισμένες οντότητες, ήτοι για οργανισμούς αξιολόγησης πιστοληπτικής ικανότητας και αρχεία καταγραφής συναλλαγών. |
(13) |
Ο λειτουργικός κίνδυνος αποτελεί κρίσιμη συνιστώσα της προληπτικής ρύθμισης και εποπτείας στους τομείς των τραπεζών και των υποδομών χρηματοπιστωτικών αγορών. Καλύπτει όλες τις δραστηριότητες, συμπεριλαμβανομένης της ασφάλειας, της ακεραιότητας και της ανθεκτικότητας των συστημάτων δικτύου και πληροφοριών. Οι απαιτήσεις για τα εν λόγω συστήματα, οι οποίες συχνά υπερβαίνουν τις απαιτήσεις που προβλέπονται στην παρούσα οδηγία, ορίζονται σε διάφορες νομικές πράξεις της Ένωσης, όπως, μεταξύ άλλων: στους κανόνες για την πρόσβαση στη δραστηριότητα πιστωτικών ιδρυμάτων και την προληπτική εποπτεία πιστωτικών ιδρυμάτων και επιχειρήσεων επενδύσεων και στους κανόνες σχετικά με τις απαιτήσεις προληπτικής εποπτείας για πιστωτικά ιδρύματα και επιχειρήσεις επενδύσεων, όπου περιλαμβάνονται απαιτήσεις όσον αφορά τον λειτουργικό κίνδυνο· στους κανόνες για τις αγορές χρηματοπιστωτικών μέσων, όπου περιλαμβάνονται απαιτήσεις σχετικά με την αξιολόγηση του κινδύνου για τις επιχειρήσεις επενδύσεων και τις ρυθμιζόμενες αγορές· στους κανόνες για τα εξωχρηματιστηριακά παράγωγα, τους κεντρικούς αντισυμβαλλομένους και τα αρχεία καταγραφής συναλλαγών, όπου περιλαμβάνονται απαιτήσεις όσον αφορά τον λειτουργικό κίνδυνο για τους κεντρικούς αντισυμβαλλομένους και τα αρχεία καταγραφής συναλλαγών· και στους κανόνες για τη βελτίωση του διακανονισμού αξιογράφων στην Ένωση και για τα κεντρικά αποθετήρια τίτλων, όπου περιλαμβάνονται απαιτήσεις όσον αφορά τον λειτουργικό κίνδυνο. Επιπλέον, οι απαιτήσεις για τη κοινοποίηση συμβάντων, αποτελούν μέρος συνήθων πρακτικών εποπτείας στον χρηματοπιστωτικό τομέα, οι οποίες συμπεριλαμβάνονται επίσης συχνά σε εγχειρίδια εποπτείας.. Τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη τους εν λόγω κανόνες και απαιτήσεις κατά την εφαρμογή του lex specialis. |
(14) |
Όπως επισημαίνεται από την Ευρωπαϊκή Κεντρική Τράπεζα στη γνώμη που εξέδωσε στις 25 Ιουλίου 2014 (6), η παρούσα οδηγία δεν θίγει το προβλεπόμενο από το ενωσιακό δίκαιο καθεστώς για την επίβλεψη των συστημάτων πληρωμών και διακανονισμού από το Ευρωσύστημα. Θα ήταν σκόπιμη η ανταλλαγή εμπειριών για θέματα ασφάλειας συστημάτων δικτύου και πληροφοριών μεταξύ των αρχών που είναι υπεύθυνες για την επίβλεψη αυτή και των αρχών που είναι αρμόδιες δυνάμει της παρούσας οδηγίας. Το ίδιο ισχύει για τα εκτός ζώνης ευρώ μέλη του Ευρωπαϊκού Συστήματος Κεντρικών Τραπεζών που είναι αρμόδια για την επίβλεψη συστημάτων πληρωμών και διακανονισμού βάσει εθνικών νόμων και κανονισμών. |
(15) |
Οι επιγραμμικές αγορές επιτρέπουν στους καταναλωτές και στους εμπόρους να συνάπτουν επιγραμμικές συμβάσεις πώλησης ή παροχής υπηρεσιών με εμπόρους, και αποτελούν τον τελικό προορισμό για τη σύναψη των εν λόγω συμβάσεων. Δεν θα πρέπει να περιλαμβάνουν επιγραμμικές υπηρεσίες που λειτουργούν μόνον ως μεσάζοντες για υπηρεσίες τρίτων μέσω των οποίων είναι δυνατόν να συναφθεί τελικά η σύμβαση. Ως εκ τούτου, δεν θα πρέπει να περιλαμβάνονται οι επιγραμμικές υπηρεσίες που συγκρίνουν την τιμή συγκεκριμένων προϊόντων ή υπηρεσιών από διαφορετικούς εμπόρους και στη συνέχεια ανακατευθύνουν το χρήστη στον προτιμώμενο έμπορο για την αγορά του προϊόντος. Οι υπηρεσίες που παρέχονται από την επιγραμμική αγορά μπορεί να περιλαμβάνουν την επεξεργασία συναλλαγών, τη συγκέντρωση δεδομένων ή τη δημιουργία προφίλ χρηστών. Καταστήματα ηλεκτρονικών εφαρμογών που λειτουργούν ως επιγραμμικά καταστήματα για την ψηφιακή διανομή εφαρμογών ή προγραμμάτων λογισμικού τρίτων νοούνται ως είδος επιγραμμικής αγοράς. |
(16) |
Μια επιγραμμική μηχανή αναζήτησης επιτρέπει στον χρήστη να εκτελεί αναζητήσεις, κατ' αρχήν, σε όλους τους ιστοχώρους βάσει ερωτήματος για οποιοδήποτε θέμα. Μπορεί εναλλακτικά να επικεντρώνεται σε ιστοχώρους σε μια συγκεκριμένη γλώσσα. Ο ορισμός της επιγραμμικής αναζήτησης που περιέχεται στην παρούσα οδηγία δεν θα πρέπει να καλύπτει λειτουργίες αναζήτησης που περιορίζονται στο περιεχόμενο συγκεκριμένου ιστοχώρου, ανεξαρτήτως του αν η λειτουργία αναζήτησης παρέχεται από εξωτερική μηχανή αναζήτησης. Ούτε θα πρέπει να καλύπτει τις επιγραμμικές υπηρεσίες που συγκρίνουν την τιμή συγκεκριμένων προϊόντων ή υπηρεσιών από διαφορετικούς εμπόρους και στη συνέχεια ανακατευθύνουν το χρήστη στον προτιμώμενο έμπορο για την αγορά του προϊόντος. |
(17) |
Οι υπηρεσίες νεφοϋπολογιστικής καλύπτουν ευρύ φάσμα δραστηριοτήτων και η παροχή τους γίνεται με βάση διαφορετικά μοντέλα. Για τους σκοπούς της παρούσας οδηγίας, ο όρος «υπηρεσίες νεφοϋπολογιστικής» καλύπτει τις υπηρεσίες που επιτρέπουν την πρόσβαση σε κλιμακοθετήσιμο και ελαστικό σύνολο κοινόχρηστων υπολογιστικών πόρων. Οι εν λόγω υπολογιστικοί πόροι περιλαμβάνουν πόρους όπως δίκτυα, διακομιστές ή άλλες υποδομές, αποθήκευση, εφαρμογές και υπηρεσίες. Ο όρος «κλιμακοθετήσιμο» αναφέρεται σε υπολογιστικούς πόρους που κατανέμονται με ευελιξία από τον πάροχο των υπηρεσιών νεφοϋπολογιστικής, ανεξαρτήτως της γεωγραφικής θέσης των πόρων, προκειμένου να αντιμετωπιστούν διακυμάνσεις στη ζήτηση. Ο όρος «ελαστικό σύνολο» χρησιμοποιείται για να περιγράψει εκείνους τους υπολογιστικούς πόρους που διατίθενται και απελευθερώνονται ανάλογα με τη ζήτηση προκειμένου να καταστεί δυνατή η ταχεία αύξηση και μείωση των διαθέσιμων πόρων ανάλογα με τον φόρτο εργασίας. Ο όρος «κοινόχρηστοι» χρησιμοποιείται για να περιγράψει εκείνους τους υπολογιστικούς πόρους που παρέχονται σε πολλούς χρήστες που διαθέτουν από κοινού την πρόσβαση στην υπηρεσία, αλλά η επεξεργασία εκτελείται χωριστά για κάθε χρήστη, παρόλο που η υπηρεσία παρέχεται από τον ίδιο ηλεκτρονικό εξοπλισμό. |
(18) |
Η λειτουργία ενός σημείου ανταλλαγής κίνησης διαδικτύου (Internet Exchange Point — IXP) είναι η διασύνδεση δικτύων. Ένα IXP δεν παρέχει πρόσβαση στο δίκτυο ούτε ενεργεί ως πάροχος ή φορέας διαβατικών υπηρεσιών. Επίσης, ένα IXP δεν παρέχει άλλες υπηρεσίες μη σχετιζόμενες με τη διασύνδεση, ωστόσο αυτό δεν σημαίνει ότι ένας φορέας εκμετάλλευσης IXP δεν μπορεί να παρέχει και μη σχετιζόμενες υπηρεσίες. Ένα IXP αποσκοπεί στη διασύνδεση δικτύων που είναι διακριτά από τεχνικής και οργανωτικής άποψης. Ο όρος «αυτόνομο σύστημα» χρησιμοποιείται για να περιγράψει ένα τεχνικά αυτοδύναμο δίκτυο. |
(19) |
Τα κράτη μέλη θα πρέπει να φέρουν την ευθύνη του προσδιορισμού των οντοτήτων που πληρούν τα κριτήρια του ορισμού του φορέα εκμετάλλευσης βασικών υπηρεσιών. Προκειμένου να εξασφαλιστεί η υιοθέτηση συνεκτικής προσέγγισης, ο ορισμός του φορέα εκμετάλλευσης βασικών υπηρεσιών θα πρέπει να εφαρμόζεται με συνέπεια από όλα τα κράτη μέλη. Για τον σκοπό αυτό, η παρούσα οδηγία προβλέπει την αξιολόγηση των οντοτήτων που δραστηριοποιούνται στους συγκεκριμένους τομείς και υποτομείς, την κατάρτιση καταλόγου βασικών υπηρεσιών, την εξέταση ενός κοινού καταλόγου διατομεακών παραγόντων ώστε να κρίνεται κατά πόσον ένα δυνητικό συμβάν θα είχε ως αποτέλεσμα σοβαρή διατάραξη, μια διαδικασία διαβούλευσης με τη συμμετοχή των σχετικών κρατών μελών στην περίπτωση οντοτήτων που παρέχουν υπηρεσίες σε περισσότερα από ένα κράτη μέλη, και την υποστήριξη της ομάδας συνεργασίας στη διαδικασία προσδιορισμού. Προκειμένου να διασφαλίζεται η ορθή συνεκτίμηση τυχόν αλλαγών που συμβαίνουν στην αγορά, ο κατάλογος των προσδιορισμένων φορέων εκμετάλλευσης θα πρέπει να αναθεωρείται τακτικά από τα κράτη μέλη και να επικαιροποιείται όταν απαιτείται. Τέλος, τα κράτη μέλη θα πρέπει να υποβάλλουν στην Επιτροπή τις πληροφορίες που είναι απαραίτητες για την αξιολόγηση του βαθμού στον οποίο η εν λόγω κοινή μεθοδολογία, επέτρεψε τη συνεκτική εφαρμογή του ορισμού από τα κράτη μέλη. |
(20) |
Κατά τη διαδικασία προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσιών, τα κράτη μέλη θα πρέπει να αξιολογούν, τουλάχιστον για κάθε υποτομέα που αναφέρεται στην παρούσα οδηγία, ποιες υπηρεσίες πρέπει να θεωρούνται ουσιώδεις για τη διατήρηση κρίσιμων κοινωνικών και οικονομικών δραστηριοτήτων και αν οι οντότητες που απαριθμούνται στους τομείς και υποτομείς που αναφέρονται στην παρούσα οδηγία και παρέχουν τις υπηρεσίες αυτές πληρούν τα κριτήρια για τον προσδιορισμό των φορέων εκμετάλλευσης. Προκειμένου να αξιολογηθεί κατά πόσον μια οντότητα παρέχει υπηρεσία η οποία είναι ουσιώδη για τη διατήρηση των κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων, αρκεί να εξεταστεί αν ή εν λόγω οντότητα παρέχει βασική υπηρεσία που περιλαμβάνεται στον κατάλογο των βασικών υπηρεσιών. Επιπλέον, θα πρέπει να αποδεικνύεται ότι η παροχή της βασικής υπηρεσίας εξαρτάται από συστήματα δικτύου και πληροφοριών. Τέλος, κατά την αξιολόγηση του κατά πόσον ένα συμβάν θα είχε ως συνέπεια μια σοβαρή διατάραξη που θα επηρέαζε την παροχή της υπηρεσίας, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη διάφορους διατομεακούς παράγοντες, καθώς και, ανάλογα με την περίπτωση, παράγοντες που αφορούν συγκεκριμένους κλάδους. |
(21) |
Για τους σκοπούς του προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσιών, η εγκατάσταση σε ένα κράτος μέλος προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερών σχημάτων. Η νομική μορφή των σχημάτων αυτών, είτε μέσω παραρτήματος είτε μέσω θυγατρικής με νομική προσωπικότητα, δεν αποτελεί εν προκειμένω τον καθοριστικό παράγοντα. |
(22) |
Ενδέχεται οι οντότητες που δραστηριοποιούνται στους τομείς και τους υποτομείς που αναφέρονται στην παρούσα οδηγία να παρέχουν τόσο βασικές όσο και μη βασικές υπηρεσίες. Για παράδειγμα, στον τομέα των αεροπορικών μεταφορών, οι φορείς εκμετάλλευσης αερολιμένων παρέχουν υπηρεσίες που θα μπορούσαν να θεωρηθούν βασικές από ένα κράτος μέλος, όπως η διαχείριση των τροχοδρόμων, αλλά και μια σειρά υπηρεσιών που θα μπορούσαν να θεωρηθούν μη βασικές, όπως η διάθεση εμπορικών καταστημάτων. Οι φορείς εκμετάλλευσης βασικών υπηρεσιών θα πρέπει να υπόκεινται σε συγκεκριμένες απαιτήσεις ασφάλειας μόνον όσον αφορά τις υπηρεσίες που θεωρούνται βασικές. Για τους σκοπούς του προσδιορισμού των φορέων, τα κράτη μέλη θα πρέπει συνεπώς να καταρτίζουν κατάλογο των υπηρεσιών που θεωρούνται βασικές. |
(23) |
Ο κατάλογος των υπηρεσιών θα πρέπει να περιλαμβάνει όλες τις υπηρεσίες που παρέχονται εντός της επικράτειας ενός κράτους μέλους και οι οποίες πληρούν τις απαιτήσεις της παρούσας οδηγίας. Τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να συμπληρώσουν τον υφιστάμενο κατάλογο, συμπεριλαμβάνοντας τις νέες υπηρεσίες. Ο κατάλογος των υπηρεσιών θα πρέπει να χρησιμεύει ως σημείο αναφοράς για τα κράτη μέλη για τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών. Αποσκοπεί στον προσδιορισμό των ειδών βασικών υπηρεσιών κάθε δεδομένου τομέα που αναφέρεται στην παρούσα οδηγία ώστε να γίνεται η διάκριση μεταξύ αυτών και των μη βασικών δραστηριοτήτων για τις οποίες είναι ενδεχομένως υπεύθυνη μια οντότητα που δραστηριοποιείται στον εν λόγω τομέα. Ο κατάλογος των υπηρεσιών που καταρτίζεται από κάθε κράτος μέλος θα λαμβάνεται επίσης υπόψη κατά την αξιολόγηση της ρυθμιστικής πρακτικής κάθε κράτους μέλους με στόχο τη διασφάλιση του γενικότερου επιπέδου συνεκτικότητας της διαδικασίας προσδιορισμού στο σύνολο των κρατών μελών. |
(24) |
Στο πλαίσιο της διαδικασίας προσδιορισμού, αν μία οντότητα παρέχει βασική υπηρεσία σε δύο ή περισσότερα κράτη μέλη, τα εν λόγω κράτη μέλη θα πρέπει να προβαίνουν σε διμερείς ή πολυμερείς διαβουλεύσεις μεταξύ τους. Η εν λόγω διαδικασία διαβούλευσης έχει στόχο να βοηθήσει τα κράτη μέλη στο να αξιολογήσουν την κρίσιμη φύση του φορέα εκμετάλλευσης ως προς τον διασυνοριακό αντίκτυπο επιτρέποντας σε κάθε εμπλεκόμενο κράτος μέλος να υποβάλει τις απόψεις του σχετικά με τους κινδύνους που σχετίζονται με τις παρεχόμενες υπηρεσίες. Κάθε εμπλεκόμενο κράτος μέλος θα πρέπει να λαμβάνει υπόψη τις απόψεις του έτερου εμπλεκόμενου κράτους μέλους στη διαδικασία αυτή, και θα πρέπει να έχει τη δυνατότητα να ζητήσει τη συνδρομή της ομάδας συνεργασίας σε αυτό το πλαίσιο. |
(25) |
Ως αποτέλεσμα της διαδικασίας προσδιορισμού, τα κράτη μέλη θα πρέπει να θεσπίζουν εθνικά μέτρα για τον καθορισμό των οντοτήτων που υπόκεινται σε υποχρεώσεις σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών. Αυτό το αποτέλεσμα θα μπορούσε να επιτευχθεί με τη θέσπιση καταλόγου όλων των φορέων εκμετάλλευσης βασικών υπηρεσιών ή με τη θέσπιση εθνικών μέτρων, συμπεριλαμβανομένων αντικειμενικών ποσοτικοποιήσιμων κριτηρίων, όπως η παραγωγή του φορέα εκμετάλλευσης ή ο αριθμός χρηστών, βάσει των οποίων θα ήταν δυνατόν να προσδιοριστούν οι οντότητες που υπόκεινται σε υποχρεώσεις σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών. Τα εθνικά μέτρα είτε βρίσκονται ήδη σε ισχύ είτε θεσπίζονται στο πλαίσιο της παρούσας οδηγίας, θα πρέπει να περιλαμβάνουν όλα τα νομικά μέτρα, τα διοικητικά μέτρα και τις πολιτικές για τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών δυνάμει της παρούσας οδηγίας. |
(26) |
Προκειμένου να δοθεί μια ένδειξη της σημασίας για κάθε τομέα, των προσδιορισμένων φορέων εκμετάλλευσης των βασικών υπηρεσιών, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη τον αριθμό και το μέγεθος των εν λόγω φορέων, για παράδειγμα σε όρους μεριδίου της αγοράς ή από την άποψη της παραγόμενης ή μεταφερόμενης ποσότητας, χωρίς να υποχρεούνται να δημοσιοποιούν πληροφορίες που θα αποκάλυπταν ποιοι φορείς έχουν προσδιοριστεί. |
(27) |
Προκειμένου να κριθεί αν ένα συμβάν θα μπορούσε να προκαλέσει σοβαρή διατάραξη της παροχής μιας υπηρεσίας, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη διάφορους παράγοντες, όπως τον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία που παρέχεται από την οντότητα για προσωπικούς ή επαγγελματικούς σκοπούς. Η χρήση της εν λόγω υπηρεσίας μπορεί να είναι άμεση, έμμεση ή με διαμεσολάβηση. Κατά την εκτίμηση του αντίκτυπου που θα μπορούσε να έχει ένα συμβάν, από άποψη βαθμού και διάρκειας, στις οικονομικές και κοινωνικές δραστηριότητες ή στη δημόσια ασφάλεια, τα κράτη μέλη θα πρέπει επίσης να εκτιμούν τον χρόνο που αναμένεται να μεσολαβήσει πριν η διακοπή της παροχής να αρχίσει να έχει αρνητικό αντίκτυπο. |
(28) |
Θα πρέπει να λαμβάνονται υπόψη, εκτός από τους διατομεακούς παράγοντες, και παράγοντες που αφορούν συγκεκριμένους κλάδους, προκειμένου να κριθεί αν ένα συμβάν θα μπορούσε να προκαλέσει σοβαρή διατάραξη της παροχής μιας υπηρεσίας. Όσον αφορά τους προμηθευτές ενέργειας, οι παράγοντες αυτοί θα μπορούσαν να περιλαμβάνουν τον όγκο ή το μερίδιο στην παραγόμενη ενέργεια σε εθνικό επίπεδο· για τους προμηθευτές πετρελαίου, τον ημερήσιο όγκο· για τις αεροπορικές μεταφορές, συμπεριλαμβανομένων των αερολιμένων και των αερομεταφορέων, τις σιδηροδρομικές μεταφορές και τους θαλάσσιους λιμένες, το μερίδιο στον όγκο διακίνησης επιβατών σε εθνικό επίπεδο και τον αριθμό επιβατών ή μεταφορών φορτίου ανά έτος· για τις τράπεζες ή τις υποδομές χρηματοπιστωτικής αγοράς, τη συστημική τους σημασία με βάση το συνολικό ενεργητικό ή τον λόγο συνολικού ενεργητικού προς ΑΕΠ· για τον τομέα της υγείας, τον αριθμό των ασθενών που λαμβάνουν τις υπηρεσίες υγείας του παρόχου ανά έτος· για την παραγωγή, μεταποίηση και παροχή νερού, τον όγκο και τον αριθμό καθώς και τα είδη των χρηστών συμπεριλαμβανομένων, για παράδειγμα, νοσοκομείων, δημόσιων υπηρεσιών, οργανισμών, ή ιδιωτών, και την ύπαρξη εναλλακτικών πηγών νερού που καλύπτουν την ίδια γεωγραφική περιοχή. |
(29) |
Για την επίτευξη και τη διατήρηση υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών, κάθε κράτος μέλος θα πρέπει να διαθέτει εθνική στρατηγική ασφάλειας συστημάτων δικτύου και πληροφοριών που να καθορίζει τους στρατηγικούς στόχους και τις συγκεκριμένες δράσεις πολιτικής που πρέπει να εφαρμοστούν. |
(30) |
Με δεδομένες τις διαφορές των εθνικών δομών διακυβέρνησης και προκειμένου να διασφαλιστούν οι ήδη υφιστάμενες τομεακές ρυθμίσεις ή οι εποπτικοί και ρυθμιστικοί φορείς της Ένωσης, καθώς και προς αποφυγή αλληλοεπικαλύψεων, τα κράτη μέλη θα πρέπει να είναι σε θέση να ορίζουν περισσότερες από μία αρμόδιες εθνικές αρχές για την εκτέλεση των καθηκόντων που συνδέονται με την ασφάλεια των συστημάτων δικτύου και πληροφοριών των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών δυνάμει της παρούσας οδηγίας. |
(31) |
Για τη διευκόλυνση της διασυνοριακής συνεργασίας και επικοινωνίας και για να καταστεί δυνατή η αποτελεσματική υλοποίηση της παρούσας οδηγίας, είναι ανάγκη κάθε κράτος μέλος να ορίζει, με την επιφύλαξη επιμέρους τομεακών κανονιστικών ρυθμίσεων, ένα εθνικό ενιαίο κέντρο επαφής υπεύθυνο για τον συντονισμό θεμάτων σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών και με τη διασυνοριακή συνεργασία σε επίπεδο Ένωσης. Οι αρμόδιες αρχές και τα ενιαία κέντρα επαφής θα πρέπει να έχουν επαρκείς τεχνικούς, οικονομικούς και ανθρώπινους πόρους, ώστε να εξασφαλίζεται ότι θα μπορούν να εκτελούν αποτελεσματικά και αποδοτικά τα καθήκοντα που τους ανατίθενται και να επιτυγχάνουν, με τον τρόπο αυτό, τους στόχους της παρούσας οδηγίας. Δεδομένου ότι η παρούσα οδηγία αποσκοπεί στη βελτίωση της λειτουργίας της εσωτερικής αγοράς με τη δημιουργία εμπιστοσύνης και αξιοπιστίας, οι φορείς των κρατών μελών πρέπει να είναι σε θέση να συνεργάζονται αποτελεσματικά με τους οικονομικούς φορείς και να διαθέτουν τη δέουσα δομή. |
(32) |
Οι αρμόδιες αρχές ή οι ομάδες απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (Computer Security Incident Response Teams — CSIRT) θα πρέπει να λαμβάνουν τις κοινοποιήσεις των συμβάντων. Τα ενιαία κέντρα επαφής δεν θα πρέπει να λαμβάνουν άμεσα τις κοινοποιήσεις των συμβάντων, εκτός εάν διαθέτουν επίσης την ιδιότητα της αρμόδιας αρχής ή της CSIRT. Θα πρέπει, ωστόσο, μια αρμόδια αρχή ή CSIRT να μπορεί να αναθέσει στο ενιαίο κέντρο επαφής να διαβιβάζει τις κοινοποιήσεις συμβάντων στα ενιαία κέντρα επαφής άλλων επηρεαζόμενων κρατών μελών. |
(33) |
Προκειμένου να διασφαλίζεται η αποτελεσματική ενημέρωση των κρατών μελών και της Επιτροπής, θα πρέπει να υποβάλλεται συνοπτική έκθεση από το ενιαίο κέντρο επαφής στην ομάδα συνεργασίας η οποία θα πρέπει να είναι ανωνυμοποιημένη, προκειμένου να διαφυλάσσεται το απόρρητο των κοινοποιήσεων και η ταυτότητα των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών, καθώς οι πληροφορίες που αφορούν την ταυτότητα της κοινοποιούσας οντότητας δεν είναι απαραίτητες για την ανταλλαγή βέλτιστων πρακτικών εντός της ομάδας συνεργασίας. Η συνοπτική έκθεση θα πρέπει να περιλαμβάνει στοιχεία σχετικά με τον αριθμό των κοινοποιήσεων που παρελήφθησαν καθώς και ένδειξη σχετικά με τη φύση των κοινοποιημένων συμβάντων, π.χ. τους τύπους των παραβιάσεων ασφάλειας και τη σοβαρότητά ή τη διάρκειά τους. |
(34) |
Τα κράτη μέλη θα πρέπει να διαθέτουν τον κατάλληλο εξοπλισμό, τόσο σε τεχνικές όσο και σε οργανωτικές ικανότητες, για την πρόληψη, τον εντοπισμό, την αντιμετώπιση και τον μετριασμό συμβάντων και κινδύνων σε συστήματα δικτύου και πληροφοριών. Τα κράτη μέλη θα πρέπει επομένως να εξασφαλίζουν ότι διαθέτουν εύρυθμα λειτουργούσες CSIRT, γνωστές επίσης ως «ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική» (Computer Emergency Response Teams — CERT), που να συμμορφώνονται με τις βασικές απαιτήσεις για την ύπαρξη αποτελεσματικών και συμβατών ικανοτήτων αντιμετώπισης συμβάντων και κινδύνων και για τη διασφάλιση αποτελεσματικής συνεργασίας σε ενωσιακό επίπεδο. Προκειμένου όλα τα είδη φορέων εκμετάλλευσης βασικών υπηρεσιών και παρόχων ψηφιακών υπηρεσιών να επωφελούνται από τις ικανότητες και τη συνεργασία που αναφέρονται παραπάνω, τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι όλα τα είδη φορέων καλύπτονται από ορισθείσα CSIRT. Δεδομένης της σημασίας της διεθνούς συνεργασίας για την ασφάλεια στον κυβερνοχώρο, οι CSIRT θα πρέπει να έχουν τη δυνατότητα να συμμετέχουν σε διεθνή δίκτυα συνεργασίας πέραν του δικτύου CSIRT που θεσπίζεται με την παρούσα οδηγία. |
(35) |
Καθώς τα περισσότερα συστήματα δικτύου και πληροφοριών είναι ιδιωτικά, η συνεργασία μεταξύ του ιδιωτικού και του δημόσιου τομέα έχει ουσιώδη σημασία. Οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να παροτρύνονται να διατηρούν τους δικούς τους άτυπους μηχανισμούς συνεργασίας για την εξασφάλιση της ασφάλειας των συστημάτων δικτύου και πληροφοριών. Η ομάδα συνεργασίας θα πρέπει να είναι σε θέση να καλεί τους αρμόδιους φορείς στις συζητήσεις κατά περίπτωση. Προκειμένου να ενθαρρυνθεί αποτελεσματικά η ανταλλαγή πληροφοριών και βέλτιστων πρακτικών, είναι αναγκαίο να εξασφαλίζεται ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών που συμμετέχουν σε αυτές τις ανταλλαγές, δεν είναι σε μειονεκτική θέση λόγω της συνεργασίας τους. |
(36) |
Ο ENISA θα πρέπει να στηρίζει τα κράτη μέλη και την Επιτροπή, παρέχοντας την εμπειρογνωμοσύνη και τις συμβουλές του, καθώς και διευκολύνοντας την ανταλλαγή βέλτιστων πρακτικών. Ειδικότερα, κατά την εφαρμογή της παρούσας οδηγίας, η Επιτροπή θα πρέπει να συμβουλεύεται τον ENISA, τον οποίο θα πρέπει επίσης να μπορούν να συμβουλεύονται και τα κράτη μέλη. Για την ανάπτυξη ικανοτήτων και γνώσεων στα κράτη μέλη, η ομάδα συνεργασίας θα πρέπει επίσης να λειτουργεί ως μέσο ανταλλαγής βέλτιστων πρακτικών, ως χώρος συζήτησης σχετικά με τις ικανότητες και την ετοιμότητα των κρατών μελών και, σε εθελούσια βάση, ως φορέας υποστήριξης των μελών της κατά την αξιολόγηση των εθνικών στρατηγικών σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών, για την ανάπτυξη ικανοτήτων και κατά την αξιολόγηση ασκήσεων σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών. |
(37) |
Όποτε κρίνεται σκόπιμο, τα κράτη μέλη θα πρέπει να μπορούν να χρησιμοποιούν ή να προσαρμόζουν υφιστάμενες οργανωτικές δομές ή στρατηγικές κατά την εφαρμογή της παρούσας οδηγίας. |
(38) |
Τα αντίστοιχα καθήκοντα της ομάδας συνεργασίας και του ENISA είναι αλληλένδετα και συμπληρωματικά. Εν γένει, ο ENISA θα πρέπει να επικουρεί την ομάδα συνεργασίας κατά την εκτέλεση των καθηκόντων της, σύμφωνα με τον στόχο του ENISA που ορίζεται στον κανονισμό (ΕΕ) αριθ. 526/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7), ήτοι να επικουρεί τα θεσμικά και λοιπά όργανα, τις υπηρεσίες και τους οργανισμούς της Ένωσης και τα κράτη μέλη στην υλοποίηση των πολιτικών που απαιτούνται για την εκπλήρωση των νομικών και ρυθμιστικών απαιτήσεων σχετικά με την ασφάλεια των δικτύων και των πληροφοριών, τόσο στις ισχύουσες όσο και στις μελλοντικές νομικές πράξεις της Ένωσης. Ειδικότερα, ο ENISA θα πρέπει να παρέχει συνδρομή στους τομείς που αντιστοιχούν στα δικά του καθήκοντα, όπως ορίζονται στον κανονισμό (ΕΕ) αριθ. 526/2013, ήτοι στην ανάλυση στρατηγικών ασφάλειας δικτύων και πληροφοριών, την υποστήριξη της οργάνωσης και της διεξαγωγής ασκήσεων σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών της Ένωσης, και την ανταλλαγή πληροφοριών και βέλτιστων πρακτικών σχετικά με την ευαισθητοποίηση και την κατάρτιση. Ο ENISA θα πρέπει επίσης να συμμετέχει στην εκπόνηση κατευθυντήριων γραμμών για τα ειδικά κριτήρια ανά τομέα βάσει των οποίων καθορίζεται η σοβαρότητα από τον αντίκτυπο ενός συμβάντος. |
(39) |
Για την προώθηση προηγμένης ασφάλειας των συστημάτων δικτύου και πληροφοριών η ομάδα συνεργασίας θα πρέπει, κατά περίπτωση, να συνεργάζεται με τα αρμόδια θεσμικά και λοιπά όργανα ή οργανισμούς της Ένωσης, να ανταλλάσσει τεχνογνωσία και βέλτιστες πρακτικές και να παρέχει συμβουλές για πτυχές της ασφάλειας συστημάτων δικτύου και πληροφοριών που μπορεί να έχουν επιπτώσεις στο έργο τους, σεβόμενη τις ισχύουσες ρυθμίσεις σχετικά με την ανταλλαγή εμπιστευτικών πληροφοριών. Στο πλαίσιο συνεργασίας με αρχές επιβολής του νόμου για θέματα ασφάλειας συστημάτων δικτύου και πληροφοριών τα οποία ενδέχεται να έχουν αντίκτυπο στο έργο τους, η ομάδα συνεργασίας θα πρέπει να σέβεται τους υπάρχοντες διαύλους πληροφοριών και τα υφιστάμενα δίκτυα. |
(40) |
Οι πληροφορίες σχετικά με συμβάντα αποκτούν ολοένα μεγαλύτερη χρησιμότητα για τους πολίτες και τις επιχειρήσεις, ιδίως τις μικρές και μεσαίες επιχειρήσεις. Σε ορισμένες περιπτώσεις, οι πληροφορίες αυτές παρέχονται ήδη μέσω ιστοχώρων σε εθνικό επίπεδο, στη γλώσσα της εκάστοτε χώρας και με έμφαση κυρίως σε περιστατικά και συμβάντα με εθνική διάσταση. Δεδομένου ότι οι επιχειρήσεις λειτουργούν ολοένα περισσότερο διασυνοριακά και οι πολίτες χρησιμοποιούν επιγραμμικές υπηρεσίες, οι πληροφορίες σχετικά με τα συμβάντα θα πρέπει να παρέχονται σε συγκεντρωτική μορφή σε επίπεδο Ένωσης. Η γραμματεία του δικτύου CSIRT ενθαρρύνεται να δημιουργήσει ιστοχώρο ή να φιλοξενήσει μια ειδική σελίδα σε ήδη υπάρχοντα ιστοχώρο όπου να διατίθενται στο ευρύ κοινό γενικές πληροφορίες σχετικά με μείζονα συμβάντα ασφάλειας που έχουν λάβει χώρα ανά την Ένωση, με ιδιαίτερη έμφαση στα συμφέροντα και τις ανάγκες των επιχειρήσεων. Οι CSIRT που συμμετέχουν στο δίκτυο CSIRT ενθαρρύνονται να παρέχουν σε εθελούσια βάση τις πληροφορίες που θα δημοσιεύονται στον εν λόγω ιστοχώρο, χωρίς να περιλαμβάνουν απόρρητες ή ευαίσθητες πληροφορίες. |
(41) |
Εάν οι πληροφορίες θεωρούνται απόρρητες σύμφωνα με τους ενωσιακούς και εθνικούς κανόνες περί επιχειρηματικού απορρήτου, το απόρρητο θα πρέπει να διασφαλίζεται κατά την άσκηση των δραστηριοτήτων και την εκπλήρωση των στόχων που θέτει η παρούσα οδηγία. |
(42) |
Οι ασκήσεις που προσομοιώνουν σενάρια συμβάντων σε πραγματικό χρόνο, είναι αναγκαίες για τη δοκιμή της ετοιμότητας και της συνεργασίας των κρατών μελών, όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ο κύκλος ασκήσεων Cybereurope, που συντονίζει ο ENISA με τη συμμετοχή των κρατών μελών, είναι ένα χρήσιμο εργαλείο δοκιμών και εκπόνησης συστάσεων για τον τρόπο με τον οποίο θα πρέπει να βελτιωθούν μελλοντικά οι παρεμβάσεις για την αντιμετώπιση συμβάντων σε επίπεδο Ένωσης. Λαμβάνοντας υπόψη ότι, επί του παρόντος, τα κράτη μέλη δεν υποχρεούνται να προγραμματίσουν ασκήσεις ή να συμμετάσχουν σε αυτές, η δημιουργία δικτύου CSIRT δυνάμει της παρούσας οδηγίας θα επιτρέψει στα κράτη μέλη να συμμετέχουν σε ασκήσεις βάσει συγκεκριμένου προγραμματισμού και στρατηγικών επιλογών. Η ομάδα συνεργασίας που θεσπίζεται με την παρούσα οδηγία θα πρέπει να συζητά τις στρατηγικές αποφάσεις σχετικά με τις ασκήσεις, ιδίως, αλλά όχι αποκλειστικά, όσον αφορά τη συχνότητα των ασκήσεων και τον σχεδιασμό των σεναρίων. Ο ENISA θα πρέπει, στο πλαίσιο της εντολής του, να υποστηρίζει τη διοργάνωση και τη διεξαγωγή ασκήσεων σε επίπεδο Ένωσης παρέχοντας εμπειρογνωμοσύνη και συμβουλές στην ομάδα συνεργασίας και στο δίκτυο CSIRT. |
(43) |
Δεδομένου του παγκόσμιου χαρακτήρα των προβλημάτων ασφάλειας που επηρεάζουν τα συστήματα δικτύου και πληροφοριών, υπάρχει ανάγκη στενότερης διεθνούς συνεργασίας για τη βελτίωση των προτύπων ασφάλειας και της ανταλλαγής πληροφοριών, καθώς και για την προώθηση κοινής σφαιρικής προσέγγισης των θεμάτων ασφάλειας. |
(44) |
Η ευθύνη για την εξασφάλιση της ασφάλειας των συστημάτων δικτύου και πληροφοριών εναπόκειται σε μεγάλο βαθμό στους φορείς εκμετάλλευσης βασικών υπηρεσιών και στους παρόχους ψηφιακών υπηρεσιών. Θα πρέπει να προωθηθεί και να αναπτυχθεί με κατάλληλες κανονιστικές απαιτήσεις και εθελούσιες κλαδικές πρακτικές μια νοοτροπία διαχείρισης κινδύνου, που να περιλαμβάνει εκτίμηση του κινδύνου και εφαρμογή μέτρων ασφάλειας προσαρμοσμένων στους εκάστοτε κινδύνους. Η εξασφάλιση αξιόπιστων ίσων όρων ανταγωνισμού είναι επίσης απαραίτητη για την αποτελεσματική λειτουργία του δικτύου συνεργασίας και του δικτύου CSIRT ώστε να εξασφαλιστεί αποτελεσματική συνεργασία από όλα τα κράτη μέλη. |
(45) |
Η παρούσα οδηγία εφαρμόζεται μόνο σε εκείνους τους φορείς δημόσιας διοίκησης οι οποίοι έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών υπηρεσιών. Αποτελεί, επομένως, ευθύνη των κρατών μελών να εξασφαλίσουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που ανήκουν σε φορείς δημόσιας διοίκησης οι οποίοι δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. |
(46) |
Τα μέτρα για τη διαχείριση του κινδύνου περιλαμβάνουν μέτρα για τον εντοπισμό των τυχόν κινδύνων συμβάντων καθώς και μέτρα για την πρόληψη, την ανίχνευση και την αντιμετώπιση συμβάντων και για τον μετριασμό του αντίκτυπού τους. Η ασφάλεια των συστημάτων δικτύου και πληροφοριών περιλαμβάνει την ασφάλεια των δεδομένων που αποθηκεύονται, μεταδίδονται και υφίστανται επεξεργασία. |
(47) |
Οι αρμόδιες αρχές θα πρέπει να διατηρήσουν τη δυνατότητα να εγκρίνουν εθνικές κατευθυντήριες γραμμές σχετικά με τις περιστάσεις στις οποίες οι φορείς εκμετάλλευσης βασικών υπηρεσιών είναι υποχρεωμένοι να κοινοποιούν συμβάντα. |
(48) |
Πολλές επιχειρήσεις στην Ένωση βασίζονται σε παρόχους ψηφιακών υπηρεσιών για την παροχή των υπηρεσιών τους. Καθώς ορισμένες ψηφιακές υπηρεσίες ενδέχεται να συνιστούν σημαντικό πόρο για τους χρήστες τους, συμπεριλαμβανομένων των φορέων εκμετάλλευσης βασικών υπηρεσιών, και καθώς οι χρήστες αυτοί ενδέχεται να μην διαθέτουν πάντα εναλλακτικές λύσεις, η παρούσα οδηγία θα πρέπει να εφαρμόζεται και στους παρόχους αυτών των υπηρεσιών. Η ασφάλεια, η συνέχεια και η αξιοπιστία του είδους των ψηφιακών υπηρεσιών που αναφέρονται στην παρούσα οδηγία είναι καθοριστικής σημασίας για την ομαλή λειτουργία πολλών επιχειρήσεων. Τυχόν διατάραξη αυτής της ψηφιακής υπηρεσίας θα μπορούσε να εμποδίσει την παροχή άλλων υπηρεσιών που βασίζονται σε αυτήν και, ως εκ τούτου, να έχει επιπτώσεις σε βασικές οικονομικές και κοινωνικές δραστηριότητες στην Ένωση. Οι εν λόγω ψηφιακές υπηρεσίες μπορεί συνεπώς να είναι ζωτικής σημασίας για την ομαλή λειτουργία των επιχειρήσεων που εξαρτώνται από αυτές και επιπλέον για τη συμμετοχή αυτών των επιχειρήσεων στην εσωτερική αγορά και το διασυνοριακό εμπόριο σε ολόκληρη την Ένωση. Οι εν λόγω πάροχοι ψηφιακών υπηρεσιών που υπόκεινται στην παρούσα οδηγία είναι όσοι θεωρείται ότι παρέχουν ψηφιακές υπηρεσίες στις οποίες βασίζονται πολλές επιχειρήσεις της Ένωσης ολοένα και περισσότερο. |
(49) |
Οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να διασφαλίζουν επίπεδο ασφάλειας ανάλογο με τον βαθμό του κινδύνου για την ασφάλεια των υπηρεσιών που παρέχουν, δεδομένης της σημασίας των ψηφιακών υπηρεσιών τους για τις δραστηριότητες άλλων επιχειρήσεων στο εσωτερικό της Ένωσης. Στην πράξη, ο βαθμός κινδύνου για τους φορείς εκμετάλλευσης βασικών υπηρεσιών, οι οποίες είναι συχνά ουσιώδεις για τη διατήρηση κρίσιμων κοινωνικών και οικονομικών δραστηριοτήτων, είναι υψηλότερος από ό,τι για τους παρόχους ψηφιακών υπηρεσιών. Ως εκ τούτου, οι απαιτήσεις ασφάλειας για τους παρόχους ψηφιακών υπηρεσιών θα πρέπει να είναι λιγότερο αυστηρές. Οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να έχουν τη δυνατότητα να λαμβάνουν τα μέτρα που θεωρούν κατάλληλα για τη διαχείριση των κινδύνων που απειλούν την ασφάλεια των δικτύων και των συστημάτων πληροφοριών τους. Λόγω του διασυνοριακού χαρακτήρα τους, οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να υπόκεινται σε μια πιο εναρμονισμένη προσέγγιση σε ενωσιακό επίπεδο. Η έκδοση εκτελεστικών πράξεων θα πρέπει να διευκολύνει την εξειδίκευση και την εφαρμογή αυτών των μέτρων. |
(50) |
Μολονότι οι κατασκευαστές υλισμικού και οι σχεδιαστές λογισμικού δεν είναι φορείς εκμετάλλευσης βασικών υπηρεσιών, ούτε πάροχοι ψηφιακών υπηρεσιών, τα προϊόντα τους ενισχύουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ως εκ τούτου, διαδραματίζουν σημαντικό ρόλο καθώς επιτρέπουν στους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών να καθιστούν ασφαλή τα συστήματα δικτύου και πληροφοριών τους. Τα εν λόγω προϊόντα υλισμικού και λογισμικού υπόκεινται ήδη σε ισχύοντες κανόνες σχετικά με την ευθύνη για τα προϊόντα. |
(51) |
Τα τεχνικά και οργανωτικά μέτρα που επιβάλλονται σε φορείς εκμετάλλευσης βασικών υπηρεσιών και σε παρόχους ψηφιακών υπηρεσιών δεν θα πρέπει να συνεπάγονται υποχρέωση σχεδιασμού, ανάπτυξης ή παραγωγής συγκεκριμένων εμπορικών προϊόντων τεχνολογίας πληροφοριών και επικοινωνιών με συγκεκριμένο τρόπο. |
(52) |
Οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να εγγυώνται την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν. Κατά κύριο λόγο πρόκειται για ιδιωτικά συστήματα δικτύου και πληροφοριών τα οποία διαχειρίζεται το εσωτερικά απασχολούμενο προσωπικό πληροφορικής ή των οποίων η ασφάλεια έχει ανατεθεί σε τρίτους. Οι απαιτήσεις κοινοποίησης και ασφάλειας θα πρέπει να εφαρμόζονται στους σχετικούς φορείς εκμετάλλευσης βασικών υπηρεσιών και παρόχους ψηφιακών υπηρεσιών, ανεξάρτητα από το αν εκτελούν τη συντήρηση των δικτύων και των συστημάτων πληροφοριών τους εσωτερικά ή αν την αναθέτουν σε τρίτους. |
(53) |
Για την αποφυγή δυσανάλογης οικονομικής και διοικητικής επιβάρυνσης των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών, οι απαιτήσεις θα πρέπει να είναι ανάλογες προς τον κίνδυνο που ενέχει το σχετικό σύστημα δικτύου και πληροφοριών, λαμβανομένων υπόψη των πλέον πρόσφατων τεχνικών δυνατοτήτων όσον αφορά τα σχετικά μέτρα. Σε περίπτωση παρόχων ψηφιακών υπηρεσιών, οι απαιτήσεις αυτές δεν θα πρέπει να εφαρμόζονται στις πολύ μικρές και τις μικρές επιχειρήσεις. |
(54) |
Όταν φορείς δημόσιας διοίκησης των κρατών μελών χρησιμοποιούν υπηρεσίες που προσφέρονται από παρόχους ψηφιακών υπηρεσιών, ιδίως υπηρεσίες νεφοϋπολογιστικής, μπορούν να απαιτούν πρόσθετα μέτρα ασφάλειας από τους παρόχους των υπηρεσιών αυτών, επιπλέον όσων θα προέβλεπαν κανονικά οι πάροχοι ψηφιακών υπηρεσιών σε συμμόρφωση με τις απαιτήσεις της παρούσας οδηγίας. Τούτο θα πρέπει να μπορεί να γίνεται μέσω συμβατικών υποχρεώσεων. |
(55) |
Οι ορισμοί των επιγραμμικών αγορών, των επιγραμμικών μηχανών αναζήτησης και των υπηρεσιών νεφοϋπολογιστικής στην παρούσα οδηγία παρέχονται αποκλειστικά για την παρούσα οδηγία και χωρίς να θίγονται άλλες νομικές πράξεις. |
(56) |
Η παρούσα οδηγία δεν θα πρέπει να εμποδίζει τα κράτη μέλη να θεσπίζουν εθνικά μέτρα που να απαιτούν από τους φορείς του δημόσιου τομέα να εξασφαλίζουν ειδικές απαιτήσεις ασφάλειας όταν συνάπτουν συμβάσεις υπηρεσιών νεφοϋπολογιστικής. Κάθε τέτοιο εθνικό μέτρο θα πρέπει να εφαρμόζεται στον οικείο φορέα του δημόσιου τομέα και όχι στον πάροχο των υπηρεσιών νεφοϋπολογιστικής. |
(57) |
Λαμβάνοντας υπόψη τις θεμελιώδεις διαφορές μεταξύ των φορέων εκμετάλλευσης βασικών υπηρεσιών (ιδίως την άμεση σχέση τους με την υλική υποδομή) και των παρόχων ψηφιακών υπηρεσιών (ιδίως τον διασυνοριακό χαρακτήρα τους), η παρούσα οδηγία θα πρέπει να ακολουθήσει διαφοροποιημένη προσέγγιση όσον αφορά το επίπεδο εναρμόνισης για τις δύο αυτές ομάδες οντοτήτων. Όσον αφορά τους φορείς εκμετάλλευσης βασικών υπηρεσιών, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να προσδιορίζουν τους σχετικούς φορείς και να επιβάλλουν αυστηρότερες απαιτήσεις από αυτές που προβλέπονται στην παρούσα οδηγία. Τα κράτη μέλη δεν θα πρέπει να προσδιορίζουν παρόχους ψηφιακών υπηρεσιών, καθώς η παρούσα οδηγία θα πρέπει να εφαρμόζεται σε όλους τους παρόχους ψηφιακών υπηρεσιών που εμπίπτουν στο πεδίο εφαρμογής της. Επιπλέον, η παρούσα οδηγία και οι εκτελεστικές πράξεις που εκδίδονται δυνάμει αυτής θα πρέπει να εξασφαλίζουν υψηλό επίπεδο εναρμόνισης για τους παρόχους ψηφιακών υπηρεσιών όσον αφορά τις απαιτήσεις ασφάλειας και κοινοποίησης. Αυτό θα πρέπει να επιτρέπει την ομοιόμορφη αντιμετώπιση των παρόχων ψηφιακών υπηρεσιών σε ολόκληρη την Ένωση, κατά τρόπο αναλογικό προς τη φύση τους και τη σοβαρότητα του κινδύνου που μπορεί να αντιμετωπίσουν. |
(58) |
Η παρούσα οδηγία δεν θα πρέπει να εμποδίζει τα κράτη μέλη να επιβάλλουν απαιτήσεις ασφάλειας και κοινοποίησης σε οντότητες που δεν είναι πάροχοι ψηφιακών υπηρεσιών εμπίπτοντες στο πεδίο εφαρμογής της παρούσας οδηγίας, με την επιφύλαξη των υποχρεώσεων των κρατών μελών δυνάμει του ενωσιακού δικαίου. |
(59) |
Οι αρμόδιες αρχές θα πρέπει να δίνουν τη δέουσα προσοχή στη διατήρηση άτυπων και αξιόπιστων διαύλων ανταλλαγής πληροφοριών. Κατά τη δημοσιοποίηση συμβάντων που κοινοποιούνται στις αρμόδιες αρχές πρέπει να αντισταθμίζονται δεόντως αφενός το συμφέρον του κοινού να ενημερώνεται σχετικά με απειλές για πιθανή προσβολή της φήμης και η εμπορική ζημία των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών που κοινοποιούν συμβάντα. Κατά την εφαρμογή των υποχρεώσεων κοινοποίησης, οι αρμόδιες αρχές και οι CSIRT θα πρέπει να δίνουν ιδιαίτερη προσοχή στην ανάγκη να διατηρείται αυστηρά το απόρρητο των πληροφοριών όσον αφορά τα τρωτά σημεία των προϊόντων πριν από την έκδοση των κατάλληλων επιδιορθώσεων ασφάλειας. |
(60) |
Οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να υπόκεινται σε ήπιες και αντενεργές εκ των υστέρων εποπτικές δραστηριότητες, δικαιολογούμενες από τη φύση των υπηρεσιών και των δραστηριοτήτων τους. Ως εκ τούτου, η οικεία αρμόδια αρχή θα πρέπει να αναλαμβάνει δράση μόνο όταν λαμβάνει στοιχεία (για παράδειγμα από τον ίδιο τον πάροχο ψηφιακών υπηρεσιών, από άλλη αρμόδια αρχή, συμπεριλαμβανομένης αρμόδιας αρχής άλλου κράτους μέλους, ή από χρήστη της υπηρεσίας) που δείχνουν ότι ένας πάροχος ψηφιακών υπηρεσιών δεν συμμορφώνεται με τις απαιτήσεις της παρούσας οδηγίας, ιδίως αφού έχει λάβει χώρα ένα συμβάν. Ως εκ τούτου, η αρμόδια αρχή δεν θα πρέπει να φέρει γενική υποχρέωση εποπτείας των παρόχων ψηφιακών υπηρεσιών. |
(61) |
Οι αρμόδιες αρχές θα πρέπει να διαθέτουν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους, συμπεριλαμβανομένων εξουσιών απόκτησης επαρκών πληροφοριών για την αξιολόγηση του επιπέδου ασφάλειας συστημάτων δικτύου και πληροφοριών. |
(62) |
Τα συμβάντα μπορεί να είναι αποτέλεσμα εγκληματικών δραστηριοτήτων, στην πρόληψη, τη διερεύνηση και τη δίωξη των οποίων συμβάλλουν ο συντονισμός και η συνεργασία μεταξύ φορέων εκμετάλλευσης βασικών υπηρεσιών, παρόχων ψηφιακών υπηρεσιών, αρμόδιων αρχών και αρχών επιβολής του νόμου. Όταν υπάρχει υπόνοια ότι ένα συμβάν σχετίζεται με σοβαρές εγκληματικές δραστηριότητες δυνάμει ενωσιακής ή εθνικής νομοθεσίας, τα κράτη μέλη θα πρέπει να παροτρύνουν τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών να κοινοποιούν οι ίδιοι στις αρμόδιες αρχές επιβολής του νόμου συμβάντα εικαζόμενης σοβαρής εγκληματικής φύσεως. Κατά περίπτωση, είναι επιθυμητό να διευκολύνεται ο συντονισμός μεταξύ των αρμοδίων αρχών και των αρχών επιβολής του νόμου των διαφόρων κρατών μελών από το Ευρωπαϊκό Κέντρο για τα Εγκλήματα στον Κυβερνοχώρο (EC3) και τον ENISA. |
(63) |
Σε πολλές περιπτώσεις τα συμβάντα έχουν ως αποτέλεσμα την έκθεση δεδομένων προσωπικού χαρακτήρα σε κίνδυνο. Στο πλαίσιο αυτό, οι αρμόδιες αρχές και οι αρχές προστασίας δεδομένων πρέπει να συνεργάζονται και να ανταλλάσσουν πληροφορίες για όλα τα συναφή θέματα με σκοπό την αντιμετώπιση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα οι οποίες οφείλονται σε συμβάντα. |
(64) |
Η δικαιοδοσία όσον αφορά τους παρόχους ψηφιακών υπηρεσιών θα πρέπει να ανατίθεται στο κράτος μέλος στο οποίο ο οικείος πάροχος ψηφιακών υπηρεσιών έχει την κύρια εγκατάστασή του στην Ένωση, η οποία κατ' αρχήν αντιστοιχεί στον τόπο όπου ο πάροχος έχει την έδρα του στην Ένωση. Η εγκατάσταση προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερών σχημάτων. Η νομική μορφή των σχημάτων αυτών, είτε μέσω παραρτήματος είτε μέσω θυγατρικής με νομική προσωπικότητα, δεν αποτελεί εν προκειμένω τον καθοριστικό παράγοντα. Το κριτήριο αυτό δεν θα πρέπει να εξαρτάται από το κατά πόσον τα συστήματα δικτύου και πληροφοριών βρίσκονται στον δεδομένο τόπο αυτό· η παρουσία και η χρήση τέτοιων συστημάτων δεν συνιστούν από μόνες τους βασική εγκατάσταση και συνεπώς δεν είναι κριτήρια για τον καθορισμό της βασικής εγκατάστασης. |
(65) |
Σε περίπτωση που πάροχος ψηφιακών υπηρεσιών μη εγκατεστημένος στην Ένωση προσφέρει υπηρεσίες εντός της Ένωσης, πρέπει να ορίζει αντιπρόσωπο. Για να προσδιοριστεί κατά πόσον ένας πάροχος ψηφιακών υπηρεσιών προσφέρει υπηρεσίες εντός της Ένωσης, θα πρέπει να εξακριβώνεται αν είναι προφανές ότι ο εν λόγω πάροχος ψηφιακών υπηρεσιών σκοπεύει να προσφέρει υπηρεσίες σε πρόσωπα σε ένα η περισσότερα κράτη μέλη. Η προσβασιμότητα εντός της Ένωσης του ιστοχώρου του παρόχου ψηφιακών υπηρεσιών ή μεσάζοντα ή διεύθυνσης ηλεκτρονικού ταχυδρομείου και άλλων στοιχείων επικοινωνίας, ή η χρήση γλώσσας που χρησιμοποιείται γενικά στην τρίτη χώρα όπου είναι εγκατεστημένος ο πάροχος ψηφιακών υπηρεσιών δεν αρκούν από μόνες τους για να εξακριβωθεί τέτοια πρόθεση. Ωστόσο, άλλοι παράγοντες όπως η χρήση γλώσσας ή νομίσματος που χρησιμοποιείται γενικά σε ένα ή περισσότερα κράτη μέλη με δυνατότητα παραγγελίας υπηρεσιών σε αυτή την άλλη γλώσσα ή οι αναφορές σε καταναλωτές ή χρήστες που βρίσκονται στην Ένωση μπορούν να καθιστούν προφανή την πρόθεση του παρόχου ψηφιακών υπηρεσιών να προσφέρει υπηρεσίες εντός της Ένωσης. Ο αντιπρόσωπος πρέπει να ενεργεί εξ ονόματος του παρόχου ψηφιακών υπηρεσιών και οι αρμόδιες αρχές ή οι CSIRT θα πρέπει έχουν τη δυνατότητα να έρχονται σε επαφή με αυτόν. Ο αντιπρόσωπος θα πρέπει να ορίζεται ρητώς με γραπτή εντολή του παρόχου ψηφιακών υπηρεσιών να ενεργεί εξ ονόματός του τελευταίου όσον αφορά τις υποχρεώσεις του που απορρέουν από την παρούσα οδηγία, συμπεριλαμβανομένης της κοινοποίησης συμβάντων. |
(66) |
Η τυποποίηση των απαιτήσεων ασφάλειας είναι διαδικασία καθοδηγούμενη από την αγορά. Για να εξασφαλιστεί συγκλίνουσα εφαρμογή των προτύπων ασφάλειας, τα κράτη μέλη πρέπει να ενθαρρύνουν την τήρηση καθορισμένων προτύπων ή τη συμμόρφωση με καθορισμένα πρότυπα, με σκοπό την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών σε ενωσιακό επίπεδο. Ο ENISA θα πρέπει να βοηθά τα κράτη μέλη παρέχοντας συμβουλές και κατευθυντήριες γραμμές. Για τον σκοπό αυτό, θα ήταν ενδεχομένως χρήσιμη η κατάρτιση εναρμονισμένων προτύπων κατά τρόπο σύμφωνο με τον κανονισμό (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8). |
(67) |
Είναι πιθανόν οντότητες εκτός του πεδίου εφαρμογής της παρούσας οδηγίας να αντιμετωπίσουν συμβάντα με σοβαρό αντίκτυπο στις υπηρεσίες που προσφέρουν. Σε περίπτωση που οι εν λόγω οντότητες θεωρούν ότι είναι προς το δημόσιο συμφέρον να κοινοποιήσουν την επέλευση των συμβάντων αυτών, θα πρέπει να μπορούν να το πράττουν σε εθελούσια βάση. Οι εθελούσιες κοινοποιήσεις θα πρέπει να υποβάλλονται σε επεξεργασία από την αρμόδια αρχή ή την CSIRT μόνον εφόσον η επεξεργασία αυτή δεν συνιστά δυσανάλογη ή περιττή επιβάρυνση για τα οικεία κράτη μέλη. |
(68) |
Για την εξασφάλιση ενιαίων όρων εφαρμογής της παρούσας οδηγίας, θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή, ώστε να καθορίζει τις διαδικαστικές ρυθμίσεις που απαιτούνται για τη λειτουργία της ομάδας συνεργασίας και τις απαιτήσεις ασφάλειας και κοινοποίησης που ισχύουν για τους παρόχους ψηφιακών υπηρεσιών. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9). Κατά την έκδοση εκτελεστικών πράξεων που σχετίζονται με τις διαδικαστικές ρυθμίσεις που απαιτούνται για τη λειτουργία της ομάδας συνεργασίας, η Επιτροπή θα πρέπει να λαμβάνει ιδιαίτερα υπόψη τη γνώμη του ENISA. |
(69) |
Κατά την έκδοση εκτελεστικών πράξεων σχετικά με τις απαιτήσεις ασφάλειας για τους παρόχους ψηφιακών υπηρεσιών, η Επιτροπή θα πρέπει να λαμβάνει ιδιαίτερα υπόψη της τη γνώμη του ENISA και να ζητά τη γνώμη των ενδιαφερόμενων μερών. Επιπροσθέτως, η Επιτροπή παροτρύνεται να λαμβάνει υπόψη τα ακόλουθα παραδείγματα: σε ό,τι αφορά την ασφάλεια των συστημάτων και των εγκαταστάσεων: την υλική και περιβαλλοντική ασφάλεια, την ασφάλεια του εφοδιασμού, τον έλεγχο της πρόσβασης στα συστήματα δικτύου και πληροφοριών και την ακεραιότητά τους· σε ό,τι αφορά τη διαχείριση συμβάντων: τις διαδικασίες διαχείρισης συμβάντων, την ικανότητα εντοπισμού συμβάντων, την κοινοποίηση συμβάντων και την επικοινωνία· σε ό,τι αφορά τη διαχείριση της επιχειρηματικής συνέχειας: τη στρατηγική για τη συνέχεια της παροχής υπηρεσιών και τα σχέδια αντιμετώπισης απρόοπτων καταστάσεων, τις ικανότητες ανάκαμψης μετά από καταστροφές· και σε ό,τι αφορά την παρακολούθηση, την επιθεώρηση και τις δοκιμές: τις πολιτικές για την παρακολούθηση και την καταγραφή, τα σχέδια άσκησης για την αντιμετώπιση απρόοπτων καταστάσεων, τις δοκιμές συστημάτων δικτύου και πληροφοριών, τις εκτιμήσεις ασφάλειας και την παρακολούθηση της συμμόρφωσης. |
(70) |
Κατά την εφαρμογή της παρούσας οδηγίας, η Επιτροπή πρέπει να πραγματοποιεί τις δέουσες επαφές με τις σχετικές τομεακές επιτροπές και τους σχετικούς οργανισμούς που λειτουργούν σε επίπεδο Ένωσης στους τομείς που καλύπτονται από την παρούσα οδηγία. |
(71) |
Η Επιτροπή θα πρέπει να επανεξετάζει περιοδικά την παρούσα οδηγία, σε διαβούλευση με τους ενδιαφερομένους, ιδίως προκειμένου να εξακριβώνεται αν απαιτείται τροποποίησή της υπό το πρίσμα της μεταβολής συνθηκών στην κοινωνία, την πολιτική, την τεχνολογία ή τις αγορές. |
(72) |
Για την ανταλλαγή πληροφοριών όσον αφορά κινδύνους και συμβάντα εντός της ομάδας συνεργασίας και του δικτύου CSIRT και για τη συμμόρφωση με τις απαιτήσεις κοινοποίησης συμβάντων στις εθνικές αρμόδιες αρχές ή στην CSIRT είναι πιθανόν να απαιτείται επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η εν λόγω επεξεργασία πρέπει να είναι σύμφωνη με την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10) και τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11). Κατά την εφαρμογή της παρούσας οδηγίας, εφαρμόζεται ανάλογα με την περίπτωση ο κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12). |
(73) |
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, του οποίου η γνώμη ζητήθηκε σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001, εξέδωσε γνωμοδότηση στις 14 Ιουνίου 2013 (13). |
(74) |
Δεδομένου ότι ο στόχος της παρούσας οδηγίας, ήτοι η επίτευξη υψηλού ενιαίου επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών στην Ένωση, δεν μπορεί να επιτευχθεί ικανοποιητικά από τα κράτη μέλη αλλά μπορεί, λόγω των επιπτώσεων της δράσης, να επιτευχθεί καλύτερα σε ενωσιακό επίπεδο, η Ένωση μπορεί να λάβει μέτρα, σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας του ιδίου άρθρου, η παρούσα οδηγία δεν υπερβαίνει τα αναγκαία για την επίτευξη του στόχου αυτού. |
(75) |
Η παρούσα οδηγία σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται από τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, ιδιαίτερα δε το δικαίωμα στον σεβασμό της ιδιωτικής ζωής και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την επιχειρηματική ελευθερία, το δικαίωμα ιδιοκτησίας, το δικαίωμα πραγματικής προσφυγής ενώπιον δικαστηρίου και το δικαίωμα ακρόασης. Η παρούσα οδηγία θα πρέπει να εφαρμόζεται σύμφωνα με τα δικαιώματα και τις αρχές αυτές, |
ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:
ΚΕΦΑΛΑΙΟ I
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Η παρούσα οδηγία θεσπίζει μέτρα για την επίτευξη υψηλού κοινού επιπέδου ασφάλειας συστημάτων δικτύου και πληροφοριών εντός της Ένωσης, με σκοπό την καλύτερη λειτουργία της εσωτερικής αγοράς.
2. Για τον σκοπό αυτό, η οδηγία:
α) |
προβλέπει τις υποχρεώσεις να θεσπιστεί εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών από όλα τα κράτη μέλη· |
β) |
δημιουργεί ομάδα συνεργασίας με σκοπό την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών, καθώς και την ανάπτυξη της εμπιστοσύνης και της αξιοπιστίας μεταξύ τους· |
γ) |
δημιουργεί δίκτυο ομάδων απόκρισης συμβάντων που αφορούν την ασφάλεια των υπολογιστών («δίκτυο CSIRT»), προκειμένου να συμβάλει στην ανάπτυξη της της αξιοπιστίας και εμπιστοσύνης μεταξύ των κρατών μελών και να προωθήσει την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία· |
δ) |
θεσπίζει απαιτήσεις ασφάλειας και κοινοποίησης για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και για τους παρόχους ψηφιακών υπηρεσιών· |
ε) |
προβλέπει τις υποχρεώσεις των κρατών μελών να ορίζουν εθνικές αρμόδιες αρχές, ενιαία κέντρα επαφής και CSIRT με καθήκοντα σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών. |
3. Οι απαιτήσεις ασφάλειας και κοινοποίησης που προβλέπονται στην παρούσα οδηγία δεν εφαρμόζονται σε επιχειρήσεις που υπόκεινται στις απαιτήσεις των άρθρων 13α και 13β της οδηγίας 2002/21/ΕΚ ή σε παρόχους υπηρεσιών εμπιστοσύνης που υπόκεινται στις απαιτήσεις του άρθρου 19 του κανονισμού (ΕΕ) αριθ. 910/2014.
4. Η παρούσα οδηγία εφαρμόζεται με την επιφύλαξη της οδηγίας 2008/114/ΕΚ του Συμβουλίου (14) και των οδηγιών 2011/93/ΕΕ (15) και 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (16).
5. Με την επιφύλαξη του άρθρου 346 ΣΛΕΕ, πληροφορίες που είναι απόρρητες σύμφωνα με ενωσιακούς και εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές μόνον εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή της παρούσας οδηγίας. Οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής. Η εν λόγω ανταλλαγή πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών.
6. Η παρούσα οδηγία δεν θίγει τα μέτρα που λαμβάνουν τα κράτη μέλη για τη διαφύλαξη των ουσιωδών κρατικών λειτουργιών τους και ιδίως για τη διαφύλαξη της εθνικής ασφάλειας, συμπεριλαμβανομένων των μέτρων για την προστασία πληροφοριών των οποίων τη διάδοση τα κράτη μέλη θεωρούν αντίθετη προς τα ουσιώδη συμφέροντα ασφάλειάς τους, καθώς και για τη διατήρηση του νόμου και της τάξης και ιδίως για τη διευκόλυνση της διερεύνησης, ανίχνευσης και δίωξης ποινικών αδικημάτων.
7. Σε περίπτωση που μία τομεακή νομική πράξη της Ένωσης απαιτεί από τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή τους παρόχους ψηφιακών υπηρεσιών είτε να εξασφαλίζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών τους είτε να κοινοποιούν συμβάντα με την προϋπόθεση ότι οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που θεσπίζονται στην παρούσα οδηγία, θα εφαρμόζονται οι διατάξεις της εν λόγω τομεακής νομικής πράξης της Ένωσης.
Άρθρο 2
Επεξεργασία δεδομένων προσωπικού χαρακτήρα
1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει της παρούσας οδηγίας διενεργείται σύμφωνα με την οδηγία 95/46/ΕΚ.
2. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης δυνάμει της παρούσας οδηγίας διενεργείται σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 45/2001.
Άρθρο 3
Ελάχιστη εναρμόνιση
Με την επιφύλαξη του άρθρου 16 παράγραφος 10 και των υποχρεώσεων τους που απορρέουν από το δίκαιο της Ένωσης, τα κράτη μέλη μπορούν να θεσπίζουν ή να διατηρούν διατάξεις με στόχο την επίτευξη υψηλότερου επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών.
Άρθρο 4
Ορισμοί
Για τους σκοπούς της παρούσας οδηγίας, εφαρμόζονται οι ακόλουθοι ορισμοί:
1) «σύστημα δικτύου και πληροφοριών»:
α) |
ένα δίκτυο ηλεκτρονικών επικοινωνιών κατά την έννοια του άρθρου 2 στοιχείο α) της οδηγίας 2002/21/ΕΚ· |
β) |
κάθε συσκευή ή ομάδα διασυνδεδεμένων ή σχετιζόμενων συσκευών από τις οποίες μία ή περισσότερες εκτελούν, βάσει προγράμματος, αυτόματη επεξεργασία ψηφιακών δεδομένων· ή |
γ) |
ψηφιακά δεδομένα που αποθηκεύονται, υποβάλλονται σε επεξεργασία, ανακτώνται ή μεταδίδονται από στοιχεία που καλύπτονται στα σημεία α) και β) για τους σκοπούς της λειτουργίας, χρήσης, προστασίας και συντήρησής τους· |
2) «ασφάλεια συστημάτων δικτύου και πληροφοριών»: η ικανότητα συστημάτων δικτύου και πληροφοριών να ανθίστανται, σε δεδομένο βαθμό αξιοπιστίας, σε ενέργειες που πλήττουν τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των συναφών υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω των εν λόγω συστημάτων δικτύου και πληροφοριών·
3) «εθνική στρατηγική για την ασφάλεια συστημάτων δικτύου και πληροφοριών»: πλαίσιο το οποίο παρέχει στρατηγικούς στόχους και προτεραιότητες για την ασφάλεια συστημάτων δικτύου και πληροφορικών σε εθνικό επίπεδο·
4) «φορέας εκμετάλλευσης βασικών υπηρεσιών»: δημόσια ή ιδιωτική οντότητα είδους αναφερόμενου στο παράρτημα ΙΙ η οποία πληροί τα κριτήρια που ορίζονται στο άρθρο 5 παράγραφος 2·
5) «ψηφιακή υπηρεσία»: υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (17) η οποία είναι είδους αναφερόμενου στο παράρτημα III·
6) «πάροχος ψηφιακών υπηρεσιών»: νομικό πρόσωπο που παρέχει ψηφιακή υπηρεσία·
7) «συμβάν»: κάθε γεγονός που έχει στη πραγματικότητα μια δυσμενή επίπτωση στην ασφάλεια συστημάτων δικτύου και πληροφοριών·
8) «χειρισμός συμβάντων»: το σύνολο των διαδικασιών που υποστηρίζουν τον εντοπισμό, την ανάλυση, και την ανάσχεση ενός συμβάντος και την παρέμβαση για την αντιμετώπιση του·
9) «κίνδυνος»: κάθε εύλογα διαπιστώσιμη περίσταση ή γεγονός με δυνητική δυσμενή επίπτωση στην ασφάλεια συστημάτων δικτύου και πληροφοριών·
10) «αντιπρόσωπος»: κάθε φυσικό ή νομικό πρόσωπο εγκαταστημένο στην Ένωση και ρητώς ορισθέν να ενεργεί εξ ονόματος παρόχου ψηφιακών υπηρεσιών μη εγκατεστημένου στην Ένωση, στο οποίο μπορεί να απευθύνεται η εθνική αρμόδια αρχή ή η CSIRT αντί του παρόχου ψηφιακών υπηρεσιών όσον αφορά τις υποχρεώσεις αυτού δυνάμει της παρούσας οδηγίας·
11) «πρότυπο»: πρότυπο κατά την έννοια του άρθρου 2 σημείο 1 του κανονισμού (ΕΕ) αριθ. 1025/2012·
12) «προδιαγραφή»: τεχνική προδιαγραφή κατά την έννοια του άρθρου 2 σημείο 4 του κανονισμού (ΕΕ) αριθ. 1025/2012·
13) «σημείο ανταλλαγής κίνησης διαδικτύου (Internet Exchange Point — IXP)»: δικτυακή υποδομή που επιτρέπει τη διασύνδεση περισσότερων από δύο ανεξάρτητων αυτόνομων συστημάτων, κυρίως με σκοπό τη διευκόλυνση της ανταλλαγής κίνησης διαδικτύου και η οποία διασυνδέει μόνον αυτόνομα συστήματα· το IXP δεν αναγκάζει την κίνηση διαδικτύου που διέρχεται μεταξύ ζεύγους συμμετεχόντων αυτόνομων συστημάτων να διέλθει από τρίτο αυτόνομο σύστημα ούτε την τροποποιεί ούτε παρεμβαίνει με άλλον τρόπο σε αυτήν·
14) «σύστημα ονομάτων χώρου (Domain Name System — DNS)»: ιεραρχικό κατανεμημένο σύστημα ονοματοδοσίας εντός ενός δικτύου το οποίο εκτελεί παραπομπές αιτημάτων για ονόματα τομέων·
15) «πάροχος υπηρεσιών συστήματος ονομάτων χώρου»: οντότητα που παρέχει υπηρεσίες συστήματος ονομάτων χώρου στο διαδίκτυο
16) «μητρώο ονομάτων χώρου ανωτάτου επιπέδου»: οντότητα που διαχειρίζεται και εκμεταλλεύεται την καταχώριση ονομάτων διαδικτυακών χώρων εντός συγκεκριμένου χώρου ανωτάτου επιπέδου (TLD)·
17) «επιγραμμική αγορά»: ψηφιακή υπηρεσία που επιτρέπει σε καταναλωτές και/ή εμπόρους, όπως ορίζονται αντιστοίχως στο άρθρο 4 παράγραφος 1 στοιχείο α) και στο άρθρο 4 παράγραφος 1 στοιχείο β) της οδηγίας 2013/11/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (18), να συνάπτουν επιγραμμικές συμβάσεις πώλησης ή παροχής υπηρεσιών με εμπόρους είτε στον ιστοχώρο της επιγραμμικής αγοράς είτε σε ιστοχώρο εμπόρου που χρησιμοποιεί υπηρεσίες υπολογιστικής παρεχόμενες από την επιγραμμική αγορά·
18) «επιγραμμική μηχανή αναζήτησης»: ψηφιακή υπηρεσία που επιτρέπει στους χρήστες να εκτελούν αναζητήσεις κατ' αρχήν σε όλους τους ιστοχώρους ή σε ιστοχώρους συγκεκριμένης γλώσσας βάσει ερωτήματος για οποιοδήποτε θέμα, με τη μορφή λέξης-κλειδιού, φράσης ή άλλων δεδομένων, και επιστρέφει ως αποτέλεσμα συνδέσμους όπου μπορεί κανείς να βρει πληροφορίες σχετικές με το περιεχόμενο που έχει ζητηθεί·
19) «υπηρεσία νεφοϋπολογιστικής»: ψηφιακή υπηρεσία που επιτρέπει την πρόσβαση σε κλιμακοθετήσιμο και ελαστικό σύνολο κοινόχρηστων υπολογιστικών πόρων·
Άρθρο 5
Προσδιορισμός φορέων εκμετάλλευσης βασικών υπηρεσιών
1. Έως τις 9 Νοεμβρίου 2018, τα κράτη μέλη προσδιορίζουν για κάθε τομέα και υποτομέα που αναφέρεται στο παράρτημα ΙΙ τους φορείς εκμετάλλευσης βασικών υπηρεσιών που είναι εγκατεστημένοι στην επικράτειά τους.
2. Τα κριτήρια για τον προσδιορισμό φορέων εκμετάλλευσης βασικών υπηρεσιών που αναφέρονται στο άρθρο 4 σημείο 4 είναι τα εξής:
α) |
η οντότητα που παρέχει υπηρεσία ουσιώδη για τη διατήρηση κρίσιμων κοινωνικών και/ή οικονομικών δραστηριοτήτων· |
β) |
η παροχή της υπηρεσίας αυτής στηρίζεται σε συστήματα δικτύου και πληροφοριών· και |
γ) |
τυχόν συμβάν θα προκαλούσε σοβαρή διατάραξη της παροχής της εν λόγω υπηρεσίας. |
3. Για τους σκοπούς της παραγράφου 1, κάθε κράτος μέλος καταρτίζει κατάλογο των υπηρεσιών που αναφέρονται στην παράγραφο 2.
4. Για τους σκοπούς της παραγράφου 1, όταν μία οντότητα παρέχει σε δύο ή περισσότερα κράτη μέλη υπηρεσία που αναφέρεται στην παράγραφο 2, τα εν λόγω κράτη μέλη προβαίνουν σε διαβούλευση μεταξύ τους. Η εν λόγω διαβούλευση πραγματοποιείται πριν από τη λήψη απόφασης για τον προσδιορισμό.
5. Σε τακτική βάση και τουλάχιστον ανά διετία μετά τις 9 Μαΐου 2018, τα κράτη μέλη επανεξετάζουν και, εφόσον απαιτείται, επικαιροποιούν τον κατάλογο των προσδιορισμένων φορέων εκμετάλλευσης βασικών υπηρεσιών.
6. Ο ρόλος της ομάδας συνεργασίας είναι, σύμφωνα με τα καθήκοντα που αναφέρονται στο άρθρο 11, να παρέχει στήριξη στα κράτη μέλη ώστε να ακολουθούν συνεκτική προσέγγιση στη διαδικασία προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσιών.
7. Για τους σκοπούς της επανεξέτασης που αναφέρεται στο άρθρο 23 και έως τις 9 Νοεμβρίου 2018, καθώς και ανά διετία στη συνέχεια, τα κράτη μέλη υποβάλλουν στην Επιτροπή τις πληροφορίες που είναι αναγκαίες για να αξιολογήσει την εφαρμογή της παρούσας οδηγίας, ιδίως τη συνοχή των προσεγγίσεων των κρατών μελών όσον αφορά τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών. Στις πληροφορίες αυτές περιλαμβάνονται τουλάχιστον τα εξής:
α) |
τα εθνικά μέτρα που επιτρέπουν τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών· |
β) |
ο κατάλογος των υπηρεσιών που αναφέρεται στην παράγραφο 3· |
γ) |
ο αριθμός των φορέων εκμετάλλευσης βασικών υπηρεσιών που έχουν προσδιοριστεί για κάθε τομέα που περιλαμβάνεται στο παράρτημα ΙΙ και αναφορά της σημασίας τους σε σχέση με τον εν λόγω τομέα· |
δ) |
κατώτατα όρια, εφόσον υπάρχουν, για τον προσδιορισμό του σχετικού επιπέδου παροχής με αναφορά στον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία αυτή όπως αναφέρεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή της σημασίας του συγκεκριμένου φορέα εκμετάλλευσης βασικών υπηρεσιών όπως αναφέρεται στο άρθρο 6 παράγραφος 1 στοιχείο στ). |
Προκειμένου να συνεισφέρει στην παροχή συγκρίσιμων πληροφοριών, η Επιτροπή, λαμβάνοντας ιδιαίτερα υπόψη τη γνώμη του ENISA, μπορεί να εγκρίνει κατάλληλες τεχνικές κατευθυντήριες γραμμές σχετικά με τις παραμέτρους για τις πληροφορίες που αναφέρονται στην παρούσα παράγραφο.
Άρθρο 6
Σοβαρή διατάραξη
1. Κατά τον προσδιορισμό της σοβαρότητας διατάραξης που αναφέρεται στο άρθρο 5 παράγραφος 2 στοιχείο γ), τα κράτη μέλη θα λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους διατομεακούς παράγοντες:
α) |
τον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία που παρέχεται από την οικεία οντότητα· |
β) |
την εξάρτηση άλλων τομέων που αναφέρονται στο παράρτημα II από την υπηρεσία που παρέχεται από την εν λόγω οντότητα· |
γ) |
τον αντίκτυπο που θα μπορούσαν να έχουν τα συμβάντα, από άποψη βαθμού και διάρκειας, σε οικονομικές και κοινωνικές δραστηριότητες ή στη δημόσια ασφάλεια· |
δ) |
το μερίδιο αγοράς της εν λόγω οντότητας· |
ε) |
το γεωγραφικό εύρος της περιοχής που θα μπορούσε να επηρεαστεί από ένα συμβάν· |
στ) |
τη σημασία του φορέα για τη διατήρηση επαρκούς επιπέδου της υπηρεσίας, λαμβανομένων υπόψη των διαθέσιμων εναλλακτικών μέσων για την παροχή της εν λόγω υπηρεσίας. |
2. Για να προσδιοριστεί κατά πόσον ένα συμβάν θα μπορούσε να προκαλέσει σοβαρή διατάραξη, τα κράτη μέλη λαμβάνουν επίσης υπόψη, ανάλογα με την περίπτωση, παράγοντες που αφορούν συγκεκριμένους τομείς.
ΚΕΦΑΛΑΙΟ II
ΕΘΝΙΚΑ ΠΛΑΙΣΙΑ ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΣΥΣΤΗΜΑΤΩΝ ΔΙΚΤΥΟΥ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ
Άρθρο 7
Εθνική στρατηγική για την ασφάλεια συστημάτων δικτύου και πληροφοριών
1. Κάθε κράτος μέλος θεσπίζει εθνική στρατηγική για την ασφάλεια συστημάτων δικτύου και πληροφοριών στην οποία καθορίζονται οι στρατηγικοί στόχοι και κατάλληλα μέτρα πολιτικής και κανονιστικής ρύθμισης με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου ασφάλειας συστημάτων δικτύου και πληροφοριών και που καλύπτονται τουλάχιστον οι τομείς που αναφέρονται στο παράρτημα II και οι υπηρεσίες που αναφέρονται στο παράρτημα III. Η εθνική στρατηγική για την ασφάλεια συστημάτων δικτύου και πληροφοριών θα καλύπτει ιδίως τα ακόλουθα θέματα:
α) |
τους στόχους και τις προτεραιότητες της εθνικής στρατηγικής για την ασφάλεια συστημάτων δικτύου και πληροφοριών· |
β) |
το πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων της εθνικής στρατηγικής για την ασφάλεια συστημάτων δικτύων και πληροφοριών, συμπεριλαμβανομένων του ρόλου και των αρμοδιοτήτων των κυβερνητικών οργάνων και των λοιπών αρμόδιων φορέων· |
γ) |
τον προσδιορισμό των μέτρων ετοιμότητας, παρέμβασης και αποκατάστασης, συμπεριλαμβανομένης της συνεργασίας ανάμεσα στο δημόσιο και ιδιωτικό τομέα· |
δ) |
αναφορά των προγραμμάτων εκπαίδευσης, ευαισθητοποίησης και κατάρτισης σε σχέση με την εθνική στρατηγική ασφάλειας δικτύων και συστημάτων πληροφοριών· |
ε) |
αναφορά των σχεδίων έρευνας και ανάπτυξης σχετικά με την εθνική στρατηγική ασφάλειας συστημάτων δικτύου και πληροφοριών· |
στ) |
σχέδιο εκτίμησης κινδύνου για τον προσδιορισμό κινδύνων· |
ζ) |
κατάλογο των διαφόρων φορέων που εμπλέκονται στην υλοποίηση της εθνικής στρατηγικής ασφάλειας συστημάτων δικτύου και πληροφοριών. |
2. Τα κράτη μέλη μπορούν να ζητήσουν τη συνδρομή του ENISA για την ανάπτυξη των εθνικών στρατηγικών ασφάλειας συστημάτων δικτύου και πληροφοριών.
3. Τα κράτη μέλη κοινοποιούν την εθνική στρατηγική τους για την ασφάλεια συστημάτων δικτύου και πληροφοριών στην Επιτροπή εντός τριών μηνών από την έγκρισή της. Τα κράτη μέλη μπορούν να εξαιρούν από την κοινοποίηση αυτή στοιχεία της στρατηγικής που συνδέονται με την εθνική ασφάλεια.
Άρθρο 8
Εθνικές αρμόδιες αρχές και ενιαίο κέντρο επαφής
1. Κάθε κράτος μέλος ορίζει μία ή περισσότερες εθνικές αρμόδιες αρχές για την ασφάλεια των συστημάτων δικτύου και πληροφοριών («η αρμόδια αρχή»), που καλύπτουν τουλάχιστον τους τομείς που αναφέρονται στο παράρτημα II και τις υπηρεσίες που αναφέρονται στο παράρτημα III. Τα κράτη μέλη μπορούν να αναθέτουν το ρόλο αυτόν σε υφιστάμενη αρχή ή αρχές.
2. Οι αρμόδιες αρχές παρακολουθούν την εφαρμογή της παρούσας οδηγίας σε εθνικό επίπεδο.
3. Κάθε κράτος μέλος ορίζει ένα εθνικό ενιαίο κέντρο επαφής για την ασφάλεια των συστημάτων δικτύου και πληροφοριών («ενιαίο κέντρο επαφής»). Τα κράτη μέλη μπορούν να αναθέτουν τον ρόλο αυτόν σε υφιστάμενη αρχή. Σε περίπτωση που κράτος μέλος ορίσει μόνο μία αρμόδια αρχή, η εν λόγω αρμόδια αρχή αποτελεί και το ενιαίο κέντρο επαφής.
4. Το ενιαίο κέντρο επαφής ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας των αρχών των κρατών μελών καθώς και με τις αρμόδιες αρχές άλλων κρατών μελών και την ομάδα συνεργασίας που αναφέρεται στο άρθρο 11 και το δίκτυο CSIRT που αναφέρεται στο άρθρο 12.
5. Τα κράτη μέλη διασφαλίζουν ότι οι αρμόδιες αρχές και τα ενιαία κέντρα επαφής διαθέτουν επαρκείς πόρους για να επιτελούν αποτελεσματικά και αποδοτικά τα καθήκοντα που τους ανατίθενται και να επιτυγχάνουν, με τον τρόπο αυτό, τους στόχους της παρούσας οδηγίας. Τα κράτη μέλη μεριμνούν για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία των αντιπροσώπων που ορίζονται στο πλαίσιο της ομάδας συνεργασίας.
6. Κατά περίπτωση και σύμφωνα με το εθνικό δίκαιο, οι αρμόδιες αρχές και το ενιαίο κέντρο επαφής διαβουλεύονται και συνεργάζονται με τις αρμόδιες εθνικές αρχές επιβολής του νόμου και τις εθνικές αρχές προστασίας δεδομένων.
7. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή, χωρίς καθυστέρηση, τον ορισμό της αρμόδιας αρχής και του ενιαίου κέντρου επαφής, τα καθήκοντά τους καθώς και κάθε μεταγενέστερη σχετική τροποποίηση. Κάθε κράτος μέλος δημοσιοποιεί τον ορισμό της αρμόδιας αρχής και του ενιαίου κέντρου επαφής. Η Επιτροπή δημοσιεύει τον κατάλογο των ενιαίων κέντρων επαφής που έχουν οριστεί.
Άρθρο 9
Ομάδες απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (CSIRT)
1. Κάθε κράτος μέλος ορίζει μία ή περισσότερες CSIRT, οι οποίες είναι σύμφωνες προς τις απαιτήσεις που αναφέρονται στο παράρτημα Ι σημείο 1, καλύπτουν τουλάχιστον τους τομείς που αναφέρονται στο παράρτημα II και τις υπηρεσίες που αναφέρονται στο παράρτημα ΙΙΙ, και είναι υπεύθυνες για τον χειρισμό κινδύνων και συμβάντων βάσει επακριβώς καθορισμένης διαδικασίας. Η CSIRT μπορεί να συγκροτηθεί εντός της αρμόδιας αρχής.
2. Τα κράτη μέλη εξασφαλίζουν ότι οι CSIRT διαθέτουν επαρκείς πόρους για την αποτελεσματική εκτέλεση των καθηκόντων τους που περιγράφονται στο παράρτημα Ι σημείο 2.
Τα κράτη μέλη μεριμνούν για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία των CSIRT τους στο πλαίσιο του δικτύου CSIRT που αναφέρεται στο άρθρο 12.
3. Τα κράτη μέλη μεριμνούν ώστε οι CSIRT του να έχουν πρόσβαση σε μια κατάλληλη, ασφαλή και ανθεκτική υποδομή επικοινωνιών και πληροφοριών σε εθνικό επίπεδο.
4. Τα κράτη μέλη ενημερώνουν την Επιτροπή σχετικά με την εντολή καθώς και σχετικά με τα βασικά στοιχεία της διαδικασίας χειρισμού συμβάντων από τις CSIRT τους.
5. Τα κράτη μέλη μπορούν να ζητούν τη συνδρομή του ENISA για την ανάπτυξη των εθνικών CSIRT.
Άρθρο 10
Συνεργασία σε εθνικό επίπεδο
1. Εφόσον αυτά είναι διαφορετικά, η αρμόδια αρχή, το ενιαίο κέντρο επαφής και οι CSIRT του ίδιου κράτους μέλους συνεργάζονται ως προς την τήρηση των υποχρεώσεων που προβλέπονται στην παρούσα οδηγία.
2. Τα κράτη μέλη εξασφαλίζουν ότι είτε οι αρμόδιες αρχές ή οι CSIRT λαμβάνουν τις κοινοποιήσεις συμβάντων που υποβάλλονται σύμφωνα με την παρούσα οδηγία. Σε περίπτωση που κράτος μέλος αποφασίσει ότι οι CSIRT δεν λαμβάνουν κοινοποιήσεις, χορηγείται στις CSIRT, στον βαθμό που είναι αναγκαίο για την εκπλήρωση των καθηκόντων τους, πρόσβαση σε δεδομένα σχετικά με συμβάντα που κοινοποιούνται από φορείς εκμετάλλευσης βασικών υπηρεσιών, σύμφωνα με το άρθρο 14 παράγραφοι 3 και 5 ή από παρόχους ψηφιακών υπηρεσιών, σύμφωνα με το άρθρο 16 παράγραφοι 3 και 6.
3. Τα κράτη μέλη διασφαλίζουν ότι οι αρμόδιες αρχές ή οι CSIRT ενημερώνουν τα ενιαία κέντρα επαφής σχετικά με κοινοποιήσεις συμβάντων που υποβάλλονται σύμφωνα με την παρούσα οδηγία.
Έως τις 9 Αυγούστου 2018, και στη συνέχεια κάθε έτος, το ενιαίο κέντρο επαφής υποβάλλει στην ομάδα συνεργασίας συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου του αριθμού των κοινοποιήσεων και της φύσης των κοινοποιημένων συμβάντων, καθώς και τα μέτρα που έχουν ληφθεί σύμφωνα με το άρθρο 14 παράγραφοι 3 και 5 και το άρθρο 16 παράγραφοι 3 και 6.
ΚΕΦΑΛΑΙΟ III
ΣΥΝΕΡΓΑΣΙΑ
Άρθρο 11
Ομάδα συνεργασίας
1. Συγκροτείται ομάδα συνεργασίας με σκοπό την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών, και την ανάπτυξη της αξιοπιστίας και της εμπιστοσύνης, καθώς και την επίτευξη ενός κοινού υψηλού επιπέδου ασφάλειας συστημάτων δικτύου και πληροφοριών στην Ένωση.
Η ομάδα συνεργασίας εκτελεί τα καθήκοντά της βάσει διετών προγραμμάτων εργασιών όπως αναφέρονται στην παράγραφο 3 δεύτερο εδάφιο.
2. Η ομάδα συνεργασίας απαρτίζεται από αντιπροσώπους των κρατών μελών, την Επιτροπής και τον ENISA.
Ανάλογα με την περίπτωση, η ομάδα συνεργασίας μπορεί να καλεί αντιπροσώπους των ενδιαφερόμενων φορέων για να συμμετάσχουν στις εργασίες της.
Η Επιτροπή παρέχει τη γραμματειακή υποστήριξη.
3. Η ομάδα συνεργασίας έχει τα εξής καθήκοντα:
α) |
παρέχει στρατηγική καθοδήγηση για τις δραστηριότητες του δικτύου CSIRT που έχει συσταθεί δυνάμει του άρθρο 12· |
β) |
ανταλλάσσει βέλτιστες πρακτικές για την ανταλλαγή πληροφοριών που αφορούν την κοινοποίηση συμβάντων που αναφέρεται στο άρθρο 14 παράγραφοι 3 και 5 και στο άρθρο 16 παράγραφοι 3 και 6· |
γ) |
ανταλλάσσει βέλτιστες πρακτικές μεταξύ των κρατών μελών και, σε συνεργασία με τον ENISA, επικουρεί τα κράτη μέλη στην ανάπτυξη ικανοτήτων στον τομέα της ασφάλειας συστημάτων δικτύου και πληροφοριών· |
δ) |
συζητεί τις δυνατότητες και την ετοιμότητα των κρατών μελών και, σε εθελούσια βάση, αξιολογεί τις εθνικές στρατηγικές ασφάλειας συστημάτων δικτύου και πληροφοριών και την αποτελεσματικότητα των CSIRT, και προσδιορίζει βέλτιστες πρακτικές· |
ε) |
ανταλλάσσει πληροφορίες και βέλτιστες πρακτικές όσον αφορά την ευαισθητοποίηση και την κατάρτιση· |
στ) |
ανταλλάσσει πληροφορίες και βέλτιστες πρακτικές για την έρευνα και την ανάπτυξη σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών· |
ζ) |
κατά περίπτωση, ανταλλάσσει εμπειρίες για θέματα ασφάλειας συστημάτων δικτύου και πληροφοριών με τα αρμόδια θεσμικά και λοιπά όργανα της Ένωσης και με τους αρμόδιους οργανισμούς της· |
η) |
συζητεί τα πρότυπα και τις προδιαγραφές που αναφέρονται στο άρθρο 19 με αντιπροσώπους των αρμόδιων ευρωπαϊκών οργανισμών τυποποίησης· |
θ) |
συλλέγει πληροφορίες για βέλτιστες πρακτικές σχετικά με κινδύνους και συμβάντα· |
ι) |
εξετάζει σε ετήσια βάση τις συνοπτικές εκθέσεις που αναφέρονται στο άρθρο 10 παράγραφος 3 δεύτερο εδάφιο· |
ια) |
συζητεί τις εργασίες που πραγματοποιούνται σε επίπεδο ασκήσεων σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών, εκπαιδευτικών προγραμμάτων και κατάρτισης, συμπεριλαμβανομένων των εργασιών που έγιναν από τον ENISA· |
ιβ) |
με τη συνδρομή του ENISA, ανταλλάσσει βέλτιστες πρακτικές σχετικά με τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών από τα κράτη μέλη, συμπεριλαμβανομένων μεταξύ άλλων όσον αφορά διασυνοριακές εξαρτήσεις σε σχέση με κινδύνους και συμβάντα· |
ιγ) |
συζητεί τις λεπτομέρειες για την υποβολή κοινοποιήσεων συμβάντων που προβλέπονται στα άρθρα 14 και 16. |
Έως τις 9 Φεβρουαρίου 2018 και στη συνέχεια ανά διετία, η ομάδα συνεργασίας καταρτίζει πρόγραμμα εργασιών, σύμφωνο προς τους στόχους της παρούσας οδηγίας, σχετικά με τις δράσεις που πρέπει να αναληφθούν για την επίτευξη των στόχων και την εκτέλεση των καθηκόντων.
4. Με σκοπό την επανεξέταση που αναφέρεται στο άρθρο 23 και έως τις 9 Αυγούστου 2018 και στη συνέχεια κάθε ενάμιση χρόνο, η ομάδα συνεργασίας εκπονεί έκθεση αξιολόγησης της εμπειρίας που έχει αποκτηθεί από τη στρατηγική συνεργασία βάσει του παρόντος άρθρου.
5. Η Επιτροπή εκδίδει εκτελεστικές πράξεις που καθορίζουν τις διαδικαστικές ρυθμίσεις που είναι αναγκαίες για τη λειτουργία της ομάδας συνεργασίας. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 22 παράγραφος 2.
Για τους σκοπούς του πρώτου εδαφίου, η Επιτροπή υποβάλλει το πρώτο σχέδιο εκτελεστικής πράξης στην επιτροπή που αναφέρεται στο άρθρο 22 παράγραφος 1 έως τις 9 Φεβρουαρίου 2017.
Άρθρο 12
Δίκτυο CSIRT
1. Δημιουργείται δίκτυο εθνικών CSIRT με σκοπό τη συμβολή στην ανάπτυξη της αξιοπιστίας και της εμπιστοσύνης μεταξύ των κρατών μελών και την προώθηση της ταχεία και αποτελεσματικής επιχειρησιακής συνεργασίας.
2. Το δίκτυο CSIRT απαρτίζεται από αντιπροσώπους των CSIRT των κρατών μελών και την CERT-EU. Η Επιτροπή συμμετέχει στο δίκτυο CSIRT ως παρατηρητής. Ο ENISA παρέχει τη γραμματειακή υποστήριξη και υποστηρίζει ενεργά τη συνεργασία μεταξύ των CSIRT.
3. Το δίκτυο CSIRT έχει τα εξής καθήκοντα:
α) |
ανταλλαγή πληροφοριών σχετικά με τις υπηρεσίες, τις δραστηριότητες και τις δυνατότητες συνεργασίας των CSIRT· |
β) |
κατόπιν αιτήματος του αντιπροσώπου CSIRT κράτους μέλους που ενδέχεται να επηρεάζεται από ένα συμβάν, ανταλλαγή και συζήτηση μη ευαίσθητων από εμπορικής άποψης πληροφοριών που σχετίζονται με το συγκεκριμένο συμβάν και συναφείς κινδύνους· ωστόσο, κάθε κράτος μέλος μπορεί να αρνηθεί να συμβάλει στη συζήτηση αυτή εάν υπάρχει κίνδυνος να θιγεί η διερεύνηση του συμβάντος· |
γ) |
ανταλλαγή και διάθεση σε εθελούσια βάση μη εμπιστευτικών πληροφοριών για μεμονωμένα συμβάντα· |
δ) |
κατόπιν αιτήματος αντιπροσώπου CSIRT κράτους μέλους, συζήτηση και, εφόσον είναι δυνατόν, καθορισμός συντονισμένης απόκρισης για ένα συμβάν που έχει διαπιστωθεί εντός της δικαιοδοσίας του συγκεκριμένου κράτους μέλους· |
ε) |
υποστήριξη των κρατών μελών για την αντιμετώπιση διασυνοριακών συμβάντων βάσει της εθελούσιας αμοιβαίας συνδρομής τους· |
στ) |
συζήτηση, διερεύνηση και καθορισμός περαιτέρω μορφών επιχειρησιακής συνεργασίας, συμπεριλαμβανομένων μεταξύ άλλων και τα σχετικά με:
|
ζ) |
ενημέρωση της ομάδας συνεργασίας σχετικά με τις δραστηριότητές του και τις περαιτέρω μορφές επιχειρησιακής συνεργασίας που συζητούνται σύμφωνα με το στοιχείο στ), και υποβολή αιτήματος για καθοδήγηση ως προς αυτό· |
η) |
συζήτηση των διδαγμάτων που αντλούνται από ασκήσεις σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών, συμπεριλαμβανομένων μεταξύ άλλων και από εκείνες που οργανώνει ο ENISA· |
θ) |
κατόπιν αιτήματος μεμονωμένου CSIRT, συζήτηση των δυνατοτήτων και της ετοιμότητας του εν λόγω CSIRT· |
ι) |
έκδοση κατευθυντήριων γραμμών προκειμένου να διευκολυνθεί η σύγκλιση των επιχειρησιακών πρακτικών όσον αφορά την εφαρμογή των διατάξεων του παρόντος άρθρου για την επιχειρησιακή συνεργασία. |
4. Με σκοπό την επανεξέταση που αναφέρεται στο άρθρο 23 και έως τις 9 Αυγούστου 2018 και στη συνέχεια κάθε ενάμιση χρόνο, το δίκτυο CSIRT εκπονεί έκθεση αξιολόγησης της εμπειρίας που έχει αποκτηθεί από την επιχειρησιακή συνεργασία βάσει του παρόντος άρθρου, συμπεριλαμβανομένων συμπερασμάτων και συστάσεων. Η εν λόγω έκθεση υποβάλλεται επίσης στην ομάδα συνεργασίας.
5. Το δίκτυο CSIRT θεσπίζει τον εσωτερικό του κανονισμό.
Άρθρο 13
Διεθνής συνεργασία
Η Ένωση δύναται να συνάπτει διεθνείς συμφωνίες σύμφωνα με το άρθρο 218 ΣΛΕΕ με τρίτες χώρες ή διεθνείς οργανισμούς επιτρέποντας και οργανώνοντας τη συμμετοχή τους σε ορισμένες δραστηριότητες της ομάδας συνεργασίας. Οι εν λόγω συμφωνίες λαμβάνουν υπόψη την ανάγκη να εξασφαλίζεται επαρκής προστασία των δεδομένων.
ΚΕΦΑΛΑΙΟ IV
ΑΣΦΑΛΕΙΑ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΔΙΚΤΥΟΥ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ ΤΩΝ ΦΟΡΕΩΝ ΕΚΜΕΤΑΛΛΕΥΣΗΣ ΒΑΣΙΚΩΝ ΥΠΗΡΕΣΙΩΝ
Άρθρο 14
Απαιτήσεις ασφάλειας και κοινοποίηση συμβάντων
1. Τα κράτη μέλη εξασφαλίζουν ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους. Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, τα μέτρα αυτά διασφαλίζουν επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο.
2. Τα κράτη μέλη εξασφαλίζουν ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών λαμβάνουν κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της συνέχειάς τους.
3. Τα κράτη μέλη εξασφαλίζουν ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην αρμόδια αρχή ή στην CSIRT συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών που παρέχουν. Οι κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην αρμόδια αρχή ή την CSIRT να προσδιορίσει τυχόν διασυνοριακό αντίτυπο του συμβάντος. Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα.
4. Για να προσδιοριστεί η σοβαρότητα του αντίκτυπου ενός συμβάντος, λαμβάνονται υπόψη ειδικότερα οι ακόλουθες παράμετροι:
α) |
ο αριθμός των χρηστών που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας· |
β) |
η διάρκεια του συμβάντος· |
γ) |
το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν· |
5. Βάσει των πληροφοριών που παρέχονται στην κοινοποίηση από τον φορέα εκμετάλλευσης βασικών υπηρεσιών, η αρμόδια αρχή ή η CSIRT ενημερώνει το ή τα άλλα επηρεαζόμενα κράτη μέλη αν το συμβάν έχει σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών στο εν λόγω κράτος μέλος. Στο πλαίσιο της ενημέρωσης αυτής, η αρμόδια αρχή ή η CSIRT, διαφυλάσσει σύμφωνα με το ενωσιακό δίκαιο ή με την εθνική νομοθεσία που είναι σύμφωνη προς το ενωσιακό δίκαιο, την ασφάλεια και τα εμπορικά συμφέροντα του φορέα εκμετάλλευσης βασικών υπηρεσιών, καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί στην κοινοποίησή του.
Όταν οι περιστάσεις το επιτρέπουν, η αρμόδια αρχή ή η CSIRT παρέχει στον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών πληροφορίες όσον αφορά τις ενέργειες σε συνέχεια της κοινοποίησής του, όπως πληροφορίες που θα μπορούσαν να υποστηρίξουν τον αποτελεσματικό χειρισμό του συμβάντος.
Κατόπιν αιτήματος της αρμόδιας αρχής ή της CSIRT, το ενιαίο κέντρο επαφής διαβιβάζει τις κοινοποιήσεις που αναφέρονται στο πρώτο εδάφιο στα ενιαία κέντρα επαφής άλλων επηρεαζόμενων κρατών μελών.
6. Κατόπιν διαβούλευσης με τον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών, η αρμόδια αρχή ή η CSIRT μπορεί να ενημερώνει το κοινό σχετικά με μεμονωμένα συμβάντα, σε περίπτωση που η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη.
7. Οι αρμόδιες αρχές, ενεργώντας από κοινού εντός της ομάδας συνεργασίας, μπορούν να καταρτίζουν και να εκδίδουν κατευθυντήριες γραμμές σχετικά με τις περιστάσεις υπό τις οποίες οι φορείς εκμετάλλευσης βασικών υπηρεσιών είναι υποχρεωμένοι να κοινοποιούν συμβάντα, συμπεριλαμβανομένων μεταξύ άλλων των παραμέτρων που προσδιορίζουν τη σοβαρότητα του αντίκτυπου ενός συμβάντος,, όπως αναφέρεται στην παράγραφο 4.
Άρθρο 15
Εφαρμογή και επιβολή
1. Τα κράτη μέλη μεριμνούν ώστε οι αρμόδιες αρχές να διαθέτουν τις αναγκαίες εξουσίες και μέσα για την αξιολόγηση της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών προς τις υποχρεώσεις τους δυνάμει του άρθρου 14 και των επιπτώσεών τους στην ασφάλεια των συστημάτων δικτύου και πληροφοριών.
2. Τα κράτη μέλη μεριμνούν ώστε οι αρμόδιες αρχές να διαθέτουν τις εξουσίες και τα μέσα για να ζητούν από τους φορείς εκμετάλλευσης βασικών υπηρεσιών να παρέχουν:
α) |
τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των συστημάτων δικτύου και πληροφοριών τους, συμπεριλαμβανομένων, μεταξύ άλλων, τεκμηριωμένων πολιτικών ασφάλειας· |
β) |
στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που να έχει διενεργηθεί είτε από την αρμόδια αρχή είτε από εξουσιοδοτημένο επιθεωρητή και, στην δεύτερη αυτή περίπτωση, να θέτουν τα αποτελέσματα τους, καθώς και τα σχετικά στοιχεία, στη διάθεση της αρμόδιας αρχής. |
Όταν ζητούνται αυτές οι πληροφορίες ή στοιχεία, η αρμόδια αρχή δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις πληροφορίες που ζητούνται.
3. Μετά την αξιολόγηση των πληροφοριών ή των αποτελεσμάτων των επιθεωρήσεων ασφάλειας που αναφέρονται στην παράγραφο 2, η αρμόδια αρχή μπορεί να εκδίδει δεσμευτικές οδηγίες προς τους φορείς εκμετάλλευσης βασικών υπηρεσιών για την αποκατάσταση των εντοπισμένων ελλείψεων.
4. Κατά την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων, η αρμόδια αρχή συνεργάζεται στενά με τις αρχές προστασίας δεδομένων.
ΚΕΦΑΛΑΙΟ V
ΑΣΦΑΛΕΙΑ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΔΙΚΤΥΟΥ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ ΤΩΝ ΠΑΡΟΧΩΝ ΨΗΦΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ
Άρθρο 16
Απαιτήσεις ασφάλειας και κοινοποίηση συμβάντων
1. Τα κράτη μέλη εξασφαλίζουν ότι οι πάροχοι ψηφιακών υπηρεσιών προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν στο πλαίσιο της παροχής υπηρεσιών που αναφέρονται στο παράρτημα III εντός της Ένωσης. Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, τα μέτρα αυτά εξασφαλίζουν ένα επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο, και συνεκτιμούν τα ακόλουθα στοιχεία:
α) |
την ασφάλεια των συστημάτων και των εγκαταστάσεων· |
β) |
τη διαχείριση συμβάντων· |
γ) |
τη διαχείριση της επιχειρησιακής συνέχειας· |
δ) |
την παρακολούθηση, τις επιθεωρήσεις και τις δοκιμές· |
ε) |
τη συμμόρφωση με διεθνή πρότυπα. |
2. Τα κράτη μέλη εξασφαλίζουν ότι οι πάροχοι ψηφιακών υπηρεσιών λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια των συστημάτων τους δικτύου και πληροφοριών σε σχέση με τις αναφερόμενες στο παράρτημα ΙΙΙ υπηρεσίες που προσφέρονται εντός της Ένωσης, με σκοπό τη διασφάλιση της συνέχειάς τους.
3. Τα κράτη μέλη εξασφαλίζουν ότι οι πάροχοι ψηφιακών υπηρεσιών κοινοποιούν στην αρμόδια αρχή ή την CSIRT χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο στην παροχή της υπηρεσίας που προσφέρουν εντός της Ένωσης, όπως αναφέρεται στο παράρτημα ΙΙΙ. Οι κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην αρμόδια αρχή ή την CSIRT να προσδιορίσουν τη σοβαρότητα τυχόν διασυνοριακού αντίκτυπου. Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα.
4. Για να προσδιοριστεί εάν ο αντίκτυπος ενός συμβάντος είναι σημαντικός, λαμβάνονται υπόψη ειδικότερα οι ακόλουθες παράμετροι:
α) |
ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών· |
β) |
η διάρκεια του συμβάντος· |
γ) |
το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν· |
δ) |
η έκταση της διατάραξης της λειτουργίας της υπηρεσίας· |
ε) |
η έκταση του αντίκτυπου στις οικονομικές και κοινωνικές δραστηριότητες. |
Η υποχρέωση κοινοποίησης συμβάντος εφαρμόζεται μόνο σε περίπτωση που ο πάροχος ψηφιακών υπηρεσιών έχει πρόσβαση στις πληροφορίες που απαιτούνται για να εκτιμηθεί ο αντίκτυπος συμβάντος έναντι των παραμέτρων που αναφέρονται στο πρώτο εδάφιο.
5. Όταν ένας φορέας εκμετάλλευσης βασικών υπηρεσιών εξαρτάται από τρίτο φορέα παροχής ψηφιακών υπηρεσιών για την παροχή υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων οικονομικών και κοινωνικών δραστηριοτήτων, κοινοποιείται από τον εν λόγω φορέα, κάθε σοβαρή επίπτωση επί της συνέχειας των βασικών υπηρεσιών που οφείλεται σε συμβάν το οποίο επηρεάζει τον πάροχο ψηφιακών υπηρεσιών.
6. Κατά περίπτωση, και ιδίως εάν το συμβάν που αναφέρεται στην παράγραφο 3 αφορά δύο ή περισσότερα κράτη μέλη, η αρμόδια αρχή ή η CSIRT ενημερώνουν τα άλλα κράτη μέλη που επηρεάζονται από το συμβάν. Στο πλαίσιο της ενημέρωσης αυτής, οι αρμόδιες αρχές, οι CSIRT και τα ενιαία κέντρα επαφής, σύμφωνα με το ενωσιακό δίκαιο, ή με την εθνική νομοθεσία που είναι σύμφωνη προς το ενωσιακό δίκαιο, διαφυλάσσουν την ασφάλεια και τα εμπορικά συμφέροντα του παρόχου ψηφιακών υπηρεσιών καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί.
7. Κατόπιν διαβούλευσης με τον ενδιαφερόμενο πάροχο ψηφιακών υπηρεσιών, η αρμόδια αρχή ή η CSIRT και, κατά περίπτωση, οι αρχές ή οι CSIRT άλλων ενδιαφερομένων κρατών μελών μπορούν να ενημερώνουν το κοινό σχετικά με μεμονωμένα συμβάντα ή να απαιτούν από τον πάροχο ψηφιακών υπηρεσιών να το πράξει, όταν η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη ή σε περίπτωση που η αποκάλυψη του συμβάντος είναι προς το δημόσιο συμφέρον.
8. Η Επιτροπή εκδίδει εκτελεστικές πράξεις για τον περαιτέρω προσδιορισμό των στοιχείων που αναφέρονται στην παράγραφο 1 και των παραμέτρων που αναφέρονται στην παράγραφο 4 του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με την διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 22 παράγραφος 2 έως τις 9 Αυγούστου 2017.
9. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις για τον καθορισμό των μορφοτύπων και των διαδικασιών που εφαρμόζονται στις απαιτήσεις κοινοποίησης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 22 παράγραφος 2.
10. Με την επιφύλαξη του άρθρου 1 παράγραφος 6,τα κράτη μέλη δεν επιβάλλουν οποιεσδήποτε περαιτέρω απαιτήσεις ασφάλειας ή κοινοποίησης στους παρόχους ψηφιακών υπηρεσιών,
11. Το κεφάλαιο V δεν εφαρμόζεται σε πολύ μικρές και μικρές επιχειρήσεις, όπως ορίζονται στη σύσταση 2003/361/ΕΚ της Επιτροπής (19).
Άρθρο 17
Εφαρμογή και επιβολή
1. Τα κράτη μέλη διασφαλίζουν την ανάληψη δράσης από τις αρμόδιες αρχές, εάν είναι αναγκαία, με εκ των υστέρων εποπτικά μέτρα, όταν τους παρέχονται στοιχεία που αποδεικνύουν ότι πάροχος ψηφιακών υπηρεσιών δεν πληροί τις απαιτήσεις που ορίζονται στο άρθρο 16. Τα εν λόγω αποδεικτικά στοιχεία μπορούν να υποβάλλονται από μια αρμόδια αρχή άλλου κράτους μέλους στο οποίο παρέχεται η υπηρεσία.
2. Για τον σκοπό της παραγράφου 1, οι αρμόδιες αρχές διαθέτουν τις αναγκαίες εξουσίες και μέσα ώστε να απαιτούν από τους παρόχους ψηφιακών υπηρεσιών:
α) |
να παρέχουν τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των συστημάτων δικτύου και πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας· |
β) |
να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης προς τις απαιτήσεις που ορίζονται στο άρθρο 16. |
3. Εάν ένας πάροχος ψηφιακών υπηρεσιών έχει την κύρια εγκατάστασή του ή αντιπρόσωπο σε ένα κράτος μέλος, αλλά τα συστήματα δικτύου και πληροφοριών του βρίσκονται σε ένα ή περισσότερα άλλα κράτη μέλη, η αρμόδια αρχή του κράτους μέλους της κύριας εγκατάστασης ή του αντιπροσώπου και οι αρμόδιες αρχές των άλλων κρατών μελών συνεργάζονται και παρέχουν αμοιβαία συνδρομή, εφόσον απαιτείται. Η συνδρομή και η συνεργασία μπορεί να καλύπτουν ανταλλαγές πληροφοριών μεταξύ των σχετικών αρμοδίων αρχών και αιτήματα για τη λήψη εποπτικών μέτρων που αναφέρονται στην παράγραφο 2.
Άρθρο 18
Δικαιοδοσία και εδαφικότητα
1. Για τους σκοπούς της παρούσας οδηγίας, ένας πάροχος ψηφιακών υπηρεσιών θεωρείται ότι υπόκειται στη δικαιοδοσία του κράτους μέλους στο οποίο έχει την κύρια εγκατάστασή του. Ένας πάροχος ψηφιακών υπηρεσιών θεωρείται ότι έχει την κύρια εγκατάστασή του σε κράτος μέλος όταν έχει την έδρα του στο εν λόγω κράτος μέλος.
2. Ένας πάροχος ψηφιακών υπηρεσιών που δεν είναι εγκατεστημένος στην Ένωση αλλά προσφέρει υπηρεσίες αναφερόμενες στο παράρτημα III εντός της Ένωσης ορίζει αντιπρόσωπο στην Ένωση. Ο αντιπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη στα οποία προσφέρονται οι υπηρεσίες. Ο πάροχος ψηφιακών υπηρεσιών θεωρείται ότι υπόκειται στη δικαιοδοσία του κράτους μέλους στο οποίο είναι εγκατεστημένος ο αντιπρόσωπος.
3. Ο ορισμός ενός αντιπροσώπου από τον πάροχο ψηφιακών υπηρεσιών δεν θίγει τις νομικές ενέργειες οι οποίες μπορούν να αναληφθούν κατά του ίδιου του παρόχου ψηφιακών υπηρεσιών.
ΚΕΦΑΛΑΙΟ VΙ
ΤΥΠΟΠΟΙΗΣΗ ΚΑΙ ΕΘΕΛΟΥΣΙΑ ΚΟΙΝΟΠΟΙΗΣΗ
Άρθρο 19
Τυποποίηση
1. Για να προωθήσουν τη συγκλίνουσα εφαρμογή του άρθρου 14 παράγραφοι 1 και 2 και του άρθρου 16 παράγραφοι 1 και 2, τα κράτη μέλη, χωρίς να επιβάλλουν ούτε να ευνοούν τη χρησιμοποίηση συγκεκριμένου είδους τεχνολογίας, ενθαρρύνουν τη χρήση ευρωπαϊκών ή διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια των συστημάτων δικτύου και πληροφοριών.
2. Ο ENISA, σε συνεργασία με τα κράτη μέλη, εκδίδει συμβουλές και κατευθυντήριες γραμμές όσον αφορά τους τεχνικούς τομείς που θα πρέπει να εξεταστούν σε σχέση με την παράγραφο 1, καθώς και όσον αφορά ήδη υφιστάμενα πρότυπα, συμπεριλαμβανομένων και των εθνικών προτύπων των κρατών μελών, για την κάλυψη αυτών των τομέων.
Άρθρο 20
Εθελούσια κοινοποίηση
1. Με την επιφύλαξη των διατάξεων του άρθρου 3, οντότητες που δεν έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών υπηρεσιών και δεν είναι πάροχοι ψηφιακών υπηρεσιών μπορούν να κοινοποιούν σε εθελούσια βάση συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των υπηρεσιών που παρέχουν.
2. Κατά την επεξεργασία των κοινοποιήσεων, τα κράτη μέλη ενεργούν σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 14. Τα κράτη μέλη μπορούν να δίνουν προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων. Οι εθελούσιες κοινοποιήσεις υποβάλλονται σε επεξεργασία μόνον εφόσον η επεξεργασία αυτή δεν συνιστά δυσανάλογη ή περιττή επιβάρυνση για τα οικεία κράτη μέλη.
Η εθελούσια κοινοποίηση δεν συνεπάγεται την επιβολή στην κοινοποιούσα οντότητα τυχόν υποχρεώσεων τις οποίες δεν θα υπείχε αν δεν προέβαινε στην εν λόγω κοινοποίηση.
ΚΕΦΑΛΑΙΟ VΙΙ
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 21
Κυρώσεις
Τα κράτη μέλη καθορίζουν τους κανόνες για τις κυρώσεις οι οποίες πρέπει να επιβάλλονται σε περίπτωση παράβασης των εθνικών διατάξεων που θεσπίζονται κατ' εφαρμογή της παρούσας οδηγίας και λαμβάνουν όλα τα αναγκαία μέτρα για να εξασφαλίσουν την επιβολή τους. Οι προβλεπόμενες κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές. Τα κράτη μέλη γνωστοποιούν στην Επιτροπή, έως τις 9 Μαΐου 2018, τους κανόνες και τα μέτρα αυτά και την ενημερώνουν, χωρίς καθυστέρηση, για κάθε μεταγενέστερη τροποποίησή τους.
Άρθρο 22
Διαδικασία επιτροπής
1. Η Επιτροπή επικουρείται από την επιτροπή για την ασφάλεια συστημάτων δικτύου και πληροφοριών. Η εν λόγω επιτροπή αποτελεί επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.
2. Στις περιπτώσεις που γίνεται μνεία της παρούσας παραγράφου, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.
Άρθρο 23
Επανεξέταση
1. Έως τις 9 Μαΐου 2019, η Επιτροπή υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο, στην οποία αξιολογεί τη συνοχή των προσεγγίσεων των κρατών μελών κατά τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών.
2. Η Επιτροπή προβαίνει σε περιοδική επανεξέταση της λειτουργίας της παρούσας οδηγίας και υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο. Για τον σκοπό αυτό και με στόχο την περαιτέρω προαγωγή της στρατηγικής και επιχειρησιακής συνεργασίας, η Επιτροπή λαμβάνει υπόψη τις εκθέσεις της ομάδας συνεργασίας και του δικτύου CSIRT σχετικά με την εμπειρία που έχει αποκτηθεί σε στρατηγικό και επιχειρησιακό επίπεδο. Στο πλαίσιο της επανεξέτασης, η Επιτροπή αξιολογεί επίσης τον κατάλογο που περιέχεται στα παραρτήματα II και III, καθώς και τη συνοχή κατά τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών και υπηρεσιών στους τομείς που αναφέρονται στο παράρτημα II. Η πρώτη έκθεση υποβάλλεται το αργότερο στις 9 Μαΐου 2021.
Άρθρο 24
Μεταβατικά μέτρα
1. Με την επιφύλαξη του άρθρου 25 και με στόχο την παροχή πρόσθετων δυνατοτήτων κατάλληλης συνεργασίας στα κράτη μέλη κατά την περίοδο μεταφοράς στο εθνικό δίκαιο, η ομάδα συνεργασίας και το δίκτυο CSIRT θα αρχίσουν να εκτελούν τα καθήκοντα όπως αυτά ορίζονται αντιστοίχως στο άρθρο 11 παράγραφος 3 και στο άρθρο 12 παράγραφος 3 έως τις 9 Φεβρουαρίου 2017.
2. Για την περίοδο από τις 9 Φεβρουαρίου 2017 έως τις 9 Νοεμβρίου 2018, και με σκοπό να στηριχθούν τα κράτη μέλη ώστε να ακολουθήσουν συνεκτική προσέγγιση κατά τη διαδικασία προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσιών, η ομάδα συνεργασίας συζητά τη διαδικασία, την ουσία και τον τύπο των εθνικών μέτρων για τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών σε έναν συγκεκριμένο τομέα σύμφωνα με τα κριτήρια που καθορίζονται στα άρθρα 5 και 6. Η ομάδα συνεργασίας συζητά επίσης, κατόπιν αιτήματος κράτους μέλους, συγκεκριμένα σχέδια εθνικών μέτρων του εν λόγω κράτους μέλους για τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών σε έναν συγκεκριμένο τομέα σύμφωνα με τα κριτήρια που καθορίζονται στα άρθρα 5 και 6.
3. Έως τις 9 Φεβρουαρίου 2017 και για τους σκοπούς του παρόντος άρθρου, τα κράτη μέλη εξασφαλίζουν κατάλληλη εκπροσώπηση στην ομάδα συνεργασίας και στο δίκτυο CSIRT.
Άρθρο 25
Μεταφορά στο εθνικό δίκαιο
1. Τα κράτη μέλη θεσπίζουν και δημοσιεύουν έως τις 9 Μαΐου 2018 τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με την παρούσα οδηγία. Ανακοινώνουν αμέσως στην Επιτροπή τις εν λόγω διατάξεις.
Θέτουν τα μέτρα αυτά σε εφαρμογή από τις 10 Μαΐου 2018.
Τα μέτρα αυτά, όταν θεσπίζονται από τα κράτη μέλη, περιέχουν αναφορά στην παρούσα οδηγία ή συνοδεύονται από την αναφορά αυτή κατά την επίσημη δημοσίευσή τους. Οι μέθοδοι αναφοράς καθορίζονται από τα κράτη μέλη.
2. Τα κράτη μέλη κοινοποιούν στην Επιτροπή το κείμενο των ουσιωδών διατάξεων εσωτερικού δικαίου τις οποίες θεσπίζουν στον τομέα που διέπεται από την παρούσα οδηγία.
Άρθρο 26
Έναρξη ισχύος
Η παρούσα οδηγία αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Άρθρο 27
Αποδέκτες
Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.
Στρασβούργο, 6 Ιουλίου 2016.
Για το Ευρωπαϊκό Κοινοβούλιο
Ο Πρόεδρος
M. SCHULZ
Για το Συμβούλιο
Ο Πρόεδρος
I. KORČOK
(1) ΕΕ C 271 της 19.9.2013, σ. 133.
(2) Θέση του Ευρωπαϊκού Κοινοβουλίου, της 13ης Μαρτίου 2014 (δεν έχει δημοσιευτεί ακόμη στην Επίσημη Εφημερίδα) και θέση του Συμβουλίου σε πρώτη ανάγνωση, της 17ης Μαΐου 2016 (δεν έχει δημοσιευτεί ακόμη στην Επίσημη Εφημερίδα). Θέση του Ευρωπαϊκού Κοινοβουλίου, της 6ης Ιουλίου 2016 (δεν έχει δημοσιευτεί ακόμη στην Επίσημη Εφημερίδα).
(3) Οδηγία 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Μαρτίου 2002, σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών (οδηγία πλαίσιο) (ΕΕ L 108 της 24.4.2002, σ. 33).
(4) Κανονισμός (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (ΕΕ L 257 της 28.8.2014, σ. 73).
(5) Απόφαση του Συμβουλίου 2013/488/ΕΕ, της 23ης Σεπτεμβρίου 2013, σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (ΕΕ L 274 της 15.10.2013, σ. 1).
(6) ΕΕ C 352 της 7.10.2014, σ. 4.
(7) Κανονισμός (EE) αριθ. 526/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Μαΐου 2013, σχετικά με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) και την κατάργηση του κανονισμού (ΕΚ) αριθ. 460/2004 (ΕΕ L 165 της 18.6.2013, σ. 41).
(8) Κανονισμός (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Οκτωβρίου 2012, σχετικά με την ευρωπαϊκή τυποποίηση, την τροποποίηση των οδηγιών του Συμβουλίου 89/686/ΕΟΚ και 93/15/ΕΟΚ και των οδηγιών του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 94/9/ΕΚ, 94/25/ΕΚ, 95/16/ΕΚ, 97/23/ΕΚ, 98/34/ΕΚ, 2004/22/ΕΚ, 2007/23/ΕΚ, 2009/23/ΕΚ και 2009/105/ΕΚ και την κατάργηση της απόφασης 87/95/ΕΟΚ του Συμβουλίου και της απόφασης αριθ. 1673/2006/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 316 της 14.11.2012, σ. 12).
(9) Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13).
(10) Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31).
(11) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).
(12) Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (ΕΕ L 145 της 31.5.2001, σ. 43).
(13) ΕΕ C 32 της 4.2.2014, σ. 19.
(14) Οδηγία 2008/114/ΕΚ του Συμβουλίου, της 8ης Δεκεμβρίου 2008, σχετικά με τον προσδιορισμό και τον χαρακτηρισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας, και σχετικά με την αξιολόγηση της ανάγκης βελτίωσης της προστασίας τους (ΕΕ L 345 της 23.12.2008, σ. 75).
(15) Οδηγία 2011/93/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 2011, σχετικά με την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας και την αντικατάσταση της απόφασης-πλαίσιο 2004/68/ΔΕΥ του Συμβουλίου (ΕΕ L 335 της 17.12.2011, σ. 1).
(16) Οδηγία 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Αυγούστου 2013, για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου (ΕΕ L 218 της 14.8.2013, σ. 8).
(17) Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ΕΕ L 241 της 17.9.2015, σ. 1).
(18) Οδηγία 2013/11/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Μαΐου 2013, για την εναλλακτική επίλυση καταναλωτικών διαφορών και για την τροποποίηση του κανονισμού (ΕΚ) αριθ. 2006/2004 και της οδηγίας 2009/22/ΕΚ (οδηγία ΕΕΚΔ) (ΕΕ L 165 της 18.6.2013, σ. 63).
(19) Σύσταση 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (ΕΕ L 124 της 20.5.2003, σ. 36).
ΠΑΡΑΡΤΗΜΑ I
ΑΠΑΙΤΗΣΕΙΣ ΚΑΙ ΚΑΘΗΚΟΝΤΑ ΤΩΝ ΟΜΑΔΩΝ ΠΑΡΕΜΒΑΣΗΣ ΓΙΑ ΣΥΜΒΑΝΤΑ ΠΟΥ ΑΦΟΡΟΥΝ ΤΗΝ ΑΣΦΑΛΕΙΑ ΤΩΝ ΥΠΟΛΟΓΙΣΤΩΝ (CSIRT)
Οι απαιτήσεις και τα καθήκοντα των CSIRT είναι επαρκώς και σαφώς καθορισμένα και στηρίζονται από εθνική πολιτική ή/και κανονιστική ρύθμιση. Περιλαμβάνουν τα ακόλουθα:
1) |
Απαιτήσεις για τις CSIRT
|
2) |
Καθήκοντα ων CSIRT
|
ΠΑΡΑΡΤΗΜΑ II
ΕΙΔΟΣ ΟΝΤΟΤΗΤΩΝ ΓΙΑ ΤΟΥΣ ΣΚΟΠΟΥΣ ΤΟΥ ΑΡΘΡΟΥ 4 ΣΗΜΕΙΟ 4
Τομέας |
Υποτομέας |
Είδος οντότητας |
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|||||||
|
||||||||
|
|
|||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|||||||
|
||||||||
|
|
|||||||
|
||||||||
|
||||||||
|
|
|||||||
|
||||||||
|
|
Πιστωτικά ιδρύματα, όπως ορίζονται στο άρθρο 4 σημείο 1 του κανονισμού (ΕΕ) αριθ. 575/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (13) |
||||||
|
|
|
||||||
|
||||||||
|
Περιβάλλοντα υγειονομικής περίθαλψης (μεταξύ άλλων νοσοκομεία και ιδιωτικές κλινικές) |
Πάροχοι υγειονομικής περίθαλψης, όπως ορίζονται στο άρθρο 3 στοιχείο ζ) της οδηγίας 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (16) |
||||||
|
|
Προμηθευτές και διανομείς νερού ανθρώπινης κατανάλωσης όπως ορίζεται στο άρθρο 2 σημείο 1 στοιχείο α) της οδηγίας 98/83/ΕΚ (17) του Συμβουλίου, αλλά εξαιρουμένων των διανομέων για τους οποίους η διανομή νερού ανθρώπινης κατανάλωσης αποτελεί μόνο μέρος της γενικής τους δραστηριότητας διανομής λοιπών προϊόντων και αγαθών που δεν θεωρούνται βασικές υπηρεσίες |
||||||
|
|
|
||||||
|
||||||||
|
(1) Οδηγία 2009/72/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Ιουλίου 2009, σχετικά με τους κοινούς κανόνες για την εσωτερική αγορά ηλεκτρικής ενεργείας και για την κατάργηση της οδηγίας 2003/54/ΕΚ (ΕΕ L 211 της 14.8.2009, σ. 55).
(2) Οδηγία 2009/73/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Ιουλίου 2009, σχετικά με τους κοινούς κανόνες για την εσωτερική αγορά φυσικού αερίου και την κατάργηση της οδηγίας 2003/55/ΕΚ (ΕΕ L 211 της 14.8.2009, σ. 94).
(3) Κανονισμός (ΕΚ) αριθ. 300/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2008, για τη θέσπιση κοινών κανόνων στο πεδίο της ασφάλειας της πολιτικής αεροπορίας και την κατάργηση του κανονισμού (ΕΚ) αριθ. 2320/2002 (ΕΕ L 97 της 9.4.2008, σ. 72).
(4) Οδηγία 2009/12/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2009, για τα αερολιμενικά τέλη (ΕΕ L 70 της 14.3.2009, σ. 11).
(5) Κανονισμός (ΕΕ) αριθ. 1315/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Δεκεμβρίου 2013, περί των προσανατολισμών της Ένωσης για την ανάπτυξη του διευρωπαϊκού δικτύου μεταφορών και για την κατάργηση της απόφασης αριθ. 661/2010/EE (ΕΕ L 348 της 20.12.2013, σ. 1).
(6) Κανονισμός (ΕΚ) αριθ. 549/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 10ης Μαρτίου 2004, για τη χάραξη του πλαισίου για τη δημιουργία του Ενιαίου Ευρωπαϊκού Ουρανού («κανονισμός-πλαίσιο») (ΕΕ L 96 της 31.3.2004, σ. 1).
(7) Οδηγία 2012/34/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Νοεμβρίου 2012, για τη δημιουργία ενιαίου ευρωπαϊκού σιδηροδρομικού χώρου (ΕΕ L 343 της 14.12.2012, σ. 32).
(8) Κανονισμός (ΕΚ) αριθ. 725/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 31ης Μαρτίου 2004, για τη βελτίωση της ασφάλειας στα πλοία και στις λιμενικές εγκαταστάσεις (ΕΕ L 129 της 29.4.2004, σ. 6).
(9) Οδηγία 2005/65/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Οκτωβρίου 2005, σχετικά με την ενίσχυση της ασφαλείας των λιμένων (ΕΕ L 310 της 25.11.2005, σ. 28).
(10) Οδηγία 2002/59/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Ιουνίου 2002, για τη δημιουργία κοινοτικού συστήματος παρακολούθησης της κυκλοφορίας των πλοίων και ενημέρωσης και την κατάργηση της οδηγίας 93/75/ΕΟΚ του Συμβουλίου (ΕΕ L 208 της 5.8.2002, σ. 10).
(11) Κατ' εξουσιοδότηση κανονισμός (ΕΕ) 2015/962 της Επιτροπής, της 18ης Δεκεμβρίου 2014, για τη συμπλήρωση της οδηγίας 2010/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την παροχή σε επίπεδο Ένωσης υπηρεσιών πληροφόρησης για την κυκλοφορία σε πραγματικό χρόνο (ΕΕ L 157 της 23.6.2015, σ. 21).
(12) Οδηγία 2010/40/EΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Ιουλίου 2010, περί πλαισίου ανάπτυξης των Συστημάτων Ευφυών Μεταφορών στον τομέα των οδικών μεταφορών και των διεπαφών με άλλους τρόπους μεταφοράς (ΕΕ L 207 της 6.8.2010, σ. 1).
(13) Κανονισμός (ΕΕ) αριθ. 575/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Ιουνίου 2013, σχετικά με τις απαιτήσεις προληπτικής εποπτείας για πιστωτικά ιδρύματα και επιχειρήσεις επενδύσεων και την τροποποίηση του κανονισμού (ΕΕ) αριθ. 648/2012 (ΕΕ L 176 της 27.6.2013, σ. 1).
(14) Οδηγία 2014/65/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Μαΐου 2014, για τις αγορές χρηματοπιστωτικών μέσων και την τροποποίηση της οδηγίας 2002/92/ΕΚ και της οδηγίας 2011/61/ΕΕ (ΕΕ L 173 της 12.6.2014, σ. 349).
(15) Κανονισμός (ΕΕ) αριθ. 648/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Ιουλίου 2012, για τα εξωχρηματιστηριακά παράγωγα, τους κεντρικούς αντισυμβαλλομένους και τα αρχεία καταγραφής συναλλαγών (ΕΕ L 201 της 27.7.2012, σ. 1).
(16) Οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης (ΕΕ L 88 της 4.4.2011, σ. 45).
(17) Οδηγία 98/83/ΕΚ του Συμβουλίου, της 3ης Νοεμβρίου 1998, σχετικά με την ποιότητα του νερού ανθρώπινης κατανάλωσης (ΕΕ L 330 της 5.12.1998, σ. 32).
ΠΑΡΑΡΤΗΜΑ III
ΕΙΔΗ ΨΗΦΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ ΓΙΑ ΤΟΥΣ ΣΚΟΠΟΥΣ ΤΟΥ ΑΡΘΡΟΥ 4 ΣΗΜΕΙΟ 5
1. |
Επιγραμμική αγορά |
2. |
Επιγραμμική μηχανή αναζήτησης |
3. |
Υπηρεσία νεφοϋπολογιστικής |