19.7.2016   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 194/1

(1)

Τα συστήματα και οι υπηρεσίες δικτύων και πληροφοριών διαδραματίζουν ζωτικό ρόλο στην κοινωνία. Η αξιοπιστία και η ασφάλειά τους είναι ουσιώδους σημασίας για τις οικονομικές και κοινωνικές δραστηριότητες, και ιδίως για τη λειτουργία της εσωτερικής αγοράς.

(2)

Το μέγεθος, η συχνότητα και ο αντίκτυπος των συμβάντων ασφάλειας αυξάνονται και συνιστούν μείζονα απειλή για τη λειτουργία των συστημάτων δικτύου και πληροφοριών. Τα συστήματα αυτά μπορούν επίσης να αποτελέσουν στόχο σκόπιμων επιζήμιων ενεργειών που έχουν σκοπό να προκαλέσουν βλάβες στα συστήματα ή να διακόψουν τη λειτουργία τους. Τέτοια συμβάντα μπορούν να παρεμποδίσουν την άσκηση οικονομικών δραστηριοτήτων, να προκαλέσουν σημαντικές οικονομικές ζημίες, να υπονομεύσουν την εμπιστοσύνη των χρηστών και να προκαλέσουν σημαντική ζημία στην οικονομία της Ένωσης.

(3)

Τα συστήματα δικτύου και πληροφοριών, και κυρίως το διαδίκτυο, διαδραματίζουν ένα ουσιώδη ρόλο στη διευκόλυνση της διασυνοριακής κυκλοφορίας αγαθών, υπηρεσιών και προσώπων. Λόγω του διακρατικού τους χαρακτήρα, ενδεχόμενη σημαντική διατάραξη των συστημάτων αυτών, εσκεμμένη ή μη και ανεξαρτήτως του τόπου όπου εκδηλώνεται, μπορεί να επηρεάσει ατομικά κράτη μέλη και την Ένωση στο σύνολό της. Η ασφάλεια των συστημάτων δικτύου και πληροφοριών είναι επομένως ουσιώδης για την ομαλή λειτουργία της εσωτερικής αγοράς.

(4)

Αξιοποιώντας τη σημαντική πρόοδο που έχει σημειωθεί στο πλαίσιο του ευρωπαϊκού φόρουμ των κρατών μελών ως προς την προώθηση συζητήσεων και ανταλλαγών όσον αφορά ορθές πολιτικές πρακτικές, συμπεριλαμβανομένης της εκπόνησης αρχών όσον αφορά την ευρωπαϊκή συνεργασία για την αντιμετώπιση της κρίσης στον κυβερνοχώρο, θα πρέπει να συσταθεί ομάδα συνεργασίας αποτελούμενη από αντιπροσώπους των κρατών μελών από την Επιτροπή και από τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών («ENISA») για την υποστήριξη και διευκόλυνση της στρατηγικής συνεργασίας μεταξύ των κρατών μελών όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Για να είναι αποτελεσματική η εν λόγω ομάδα και να μην υπάρχουν αποκλεισμοί, είναι σημαντικό όλα τα κράτη μέλη να διαθέτουν ένα ελάχιστο επίπεδο ικανοτήτων καθώς και μια στρατηγική που θα εξασφαλίζει υψηλό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών στην επικράτειά τους. Επιπλέον, θα πρέπει να επιβληθούν απαιτήσεις ασφάλειας και κοινοποίησης στους φορείς εκμετάλλευσης βασικών υπηρεσιών και στους παρόχους ψηφιακών υπηρεσιών, με σκοπό την προαγωγή νοοτροπίας διαχείρισης κινδύνου και τη διασφάλιση της κοινοποίησης των σοβαρότερων συμβάντων.

(5)

Οι υφιστάμενες ικανότητες δεν επαρκούν για να εξασφαλιστεί υψηλό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών εντός της Ένωσης. Τα κράτη μέλη έχουν πολύ διαφορετικά επίπεδα ετοιμότητας, που έχουν οδηγήσει στον κατακερματισμό προσεγγίσεων στην Ένωση. Αυτό οδηγεί σε άνισο επίπεδο προστασίας καταναλωτών και επιχειρήσεων και υπονομεύει το συνολικό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών εντός της Ένωσης. Η απουσία κοινών απαιτήσεων για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών καθιστά εξάλλου αδύνατο να συσταθεί ένας καθολικός και αποτελεσματικός μηχανισμός συνεργασίας σε επίπεδο Ένωσης. Τα πανεπιστήμια και τα ερευνητικά κέντρα διαδραματίζουν καθοριστικό ρόλο στην προαγωγή της έρευνας, της ανάπτυξης και της καινοτομίας στους συγκεκριμένους τομείς.

(6)

Η αποτελεσματική αντιμετώπιση των προκλήσεων ασφάλειας των συστημάτων δικτύου και πληροφοριών απαιτεί, συνεπώς, μια σφαιρική προσέγγιση σε επίπεδο Ένωσης που να καλύπτει κοινές ελάχιστες ικανές απαιτήσεις δημιουργίας και σχεδιασμού,την ανταλλαγή πληροφοριών, τη συνεργασία και τις κοινές απαιτήσεις ασφάλειας για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών. Ωστόσο, οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών έχουν τη δυνατότητα να εφαρμόζουν μέτρα ασφάλειας αυστηρότερα από τα προβλεπόμενα δυνάμει της παρούσας οδηγίας.

(7)

Για να καλυφθούν όλα τα σχετικά συμβάντα και οι σχετικοί κίνδυνοι, η παρούσα οδηγία θα πρέπει να εφαρμόζεται τόσο στους φορείς εκμετάλλευσης βασικών υπηρεσιών όσο και στους παρόχους ψηφιακών υπηρεσιών. Ωστόσο, οι υποχρεώσεις των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών δεν θα πρέπει, να εφαρμόζονται στις επιχειρήσεις παροχής δημόσιων δικτύων επικοινωνιών ή στις υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό, κατά την έννοια της οδηγίας 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), οι οποίες υπόκεινται στις ειδικές απαιτήσεις ακεραιότητας και ασφάλειας που ορίζονται στην εν λόγω οδηγία, ούτε θα πρέπει να εφαρμόζονται σε παρόχους υπηρεσιών εμπιστοσύνης κατά την έννοια του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4), οι οποίοι υπάγονται στις απαιτήσεις ασφάλειας που προβλέπονται στον εν λόγω κανονισμό.

(8)

Η παρούσα οδηγία δεν θα πρέπει να θίγει τη δυνατότητα για κάθε κράτος μέλος να λαμβάνει τα αναγκαία μέτρα για την προστασία των ουσιωδών συμφερόντων της ασφάλειάς του, τη διαφύλαξη της δημόσιας τάξης και ασφάλειας, καθώς και τη διερεύνηση, ανίχνευση και δίωξη ποινικών αδικημάτων. Σύμφωνα με το άρθρο 346 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), κανένα κράτος μέλος δεν πρέπει να υποχρεώνεται να παρέχει πληροφορίες, τη διάδοση των οποίων θεωρεί αντίθετη προς ουσιώδη συμφέροντα ασφάλειάς του. Σημαντικές στο πλαίσιο αυτό είναι η απόφαση 2013/488/ΕΕ του Συμβουλίου (5), και οι συμφωνίες εμπιστευτικότητας ή οι ανεπίσημες συμφωνίες εμπιστευτικότητας, όπως το πρωτόκολλο για την ανταλλαγή πληροφοριών «Traffic Light Protocol».

(9)

Ορισμένοι τομείς της οικονομίας ρυθμίζονται ήδη ή μπορεί να ρυθμιστούν στο μέλλον από τομεακές νομικές πράξεις της Ένωσης που περιλαμβάνουν κανόνες σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Στις περιπτώσεις που οι εν λόγω νομικές πράξεις της Ένωσης περιέχουν διατάξεις για την επιβολή απαιτήσεων όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών ή τις κοινοποιήσεις συμβάντων, οι εν λόγω διατάξεις θα πρέπει να εφαρμόζονται εάν περιέχουν απαιτήσεις οι οποίες είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που περιέχονται στην παρούσα οδηγία. Τα κράτη μέλη θα πρέπει να εφαρμόζουν τις διατάξεις των εν λόγω τομεακών νομικών πράξεων της Ένωσης, συμπεριλαμβανομένων εκείνων που αφορούν τη δικαιοδοσία, και δεν θα πρέπει να διεξάγουν τη διαδικασία προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσίες που ορίζεται στην παρούσα οδηγία. Στο πλαίσιο αυτό, τα κράτη μέλη θα πρέπει να παρέχουν στην Επιτροπή πληροφορίες σχετικά με την εφαρμογή τέτοιων διατάξεων περί lex specialis. Προκειμένου να καθοριστεί αν οι απαιτήσεις σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών και την κοινοποίηση συμβάντων που περιέχονται σε τομεακές νομικές πράξεις της Ένωσης είναι ισοδύναμες με εκείνες που περιέχονται στην παρούσα οδηγία, θα πρέπει να λαμβάνονται υπόψη μόνον οι διατάξεις των σχετικών νομικών πράξεων της Ένωσης και η εφαρμογή τους στα κράτη μέλη.

(10)

Στον τομέα των πλωτών μεταφορών, οι απαιτήσεις ασφάλειας για τις εταιρίες, τα πλοία, τις λιμενικές εγκαταστάσεις, τους λιμένες και οι υπηρεσίες κυκλοφορίας σκαφών οι οποίες προβλέπονται σε ενωσιακές νομικές πράξεις καλύπτουν όλες τις δραστηριότητες, συμπεριλαμβανομένων των συστημάτων ραδιοεπικοινωνιών και τηλεπικοινωνιών, των υπολογιστικών συστημάτων και των δικτύων. Ορισμένες από τις υποχρεωτικές διαδικασίες που πρέπει να ακολουθούνται περιλαμβάνουν την κοινοποίηση όλων των συμβάντων και θα πρέπει ως εκ τούτου να θεωρούνται lex specialis, εφόσον οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες με τις αντίστοιχες διατάξεις της παρούσας οδηγίας.

(11)

Κατά τον προσδιορισμό των φορέων εκμετάλλευσης στον τομέα των πλωτών μεταφορών, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη υφιστάμενους και μελλοντικούς διεθνείς κώδικες και κατευθυντήριες γραμμές που αναπτύσσονται ιδίως από τον Διεθνή Ναυτιλιακό Οργανισμό, ώστε να παρέχεται συνεκτική προσέγγιση στους φορείς εκμετάλλευσης του τομέα της ναυτιλίας.

(12)

Η κανονιστική ρύθμιση και η εποπτεία στους τομείς των τραπεζών και των υποδομών χρηματοπιστωτικών αγορών είναι εξόχως εναρμονισμένες σε επίπεδο Ένωσης χάρη στη χρήση του πρωτογενούς και δευτερογενούς δικαίου της Ένωσης και προτύπων που έχουν αναπτυχθεί από κοινού με τις ευρωπαϊκές εποπτικές αρχές. Στο πλαίσιο της τραπεζικής ένωσης, η εφαρμογή και η εποπτεία των εν λόγω απαιτήσεων διασφαλίζονται από τον ενιαίο εποπτικό μηχανισμό. Για τα κράτη μέλη που δεν συμμετέχουν στην τραπεζική ένωση, διασφαλίζονται από τις σχετικές τραπεζικές ρυθμιστικές αρχές τους. Υψηλός βαθμός ομοιομορφίας και σύγκλισης των εποπτικών πρακτικών διασφαλίζεται και σε άλλους τομείς ρύθμισης του χρηματοπιστωτικού τομέα από το Ευρωπαϊκό Σύστημα Χρηματοπιστωτικής Εποπτείας. Εξάλλου, η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών έχει άμεσο εποπτικό ρόλο για ορισμένες οντότητες, ήτοι για οργανισμούς αξιολόγησης πιστοληπτικής ικανότητας και αρχεία καταγραφής συναλλαγών.

(13)

Ο λειτουργικός κίνδυνος αποτελεί κρίσιμη συνιστώσα της προληπτικής ρύθμισης και εποπτείας στους τομείς των τραπεζών και των υποδομών χρηματοπιστωτικών αγορών. Καλύπτει όλες τις δραστηριότητες, συμπεριλαμβανομένης της ασφάλειας, της ακεραιότητας και της ανθεκτικότητας των συστημάτων δικτύου και πληροφοριών. Οι απαιτήσεις για τα εν λόγω συστήματα, οι οποίες συχνά υπερβαίνουν τις απαιτήσεις που προβλέπονται στην παρούσα οδηγία, ορίζονται σε διάφορες νομικές πράξεις της Ένωσης, όπως, μεταξύ άλλων: στους κανόνες για την πρόσβαση στη δραστηριότητα πιστωτικών ιδρυμάτων και την προληπτική εποπτεία πιστωτικών ιδρυμάτων και επιχειρήσεων επενδύσεων και στους κανόνες σχετικά με τις απαιτήσεις προληπτικής εποπτείας για πιστωτικά ιδρύματα και επιχειρήσεις επενδύσεων, όπου περιλαμβάνονται απαιτήσεις όσον αφορά τον λειτουργικό κίνδυνο· στους κανόνες για τις αγορές χρηματοπιστωτικών μέσων, όπου περιλαμβάνονται απαιτήσεις σχετικά με την αξιολόγηση του κινδύνου για τις επιχειρήσεις επενδύσεων και τις ρυθμιζόμενες αγορές· στους κανόνες για τα εξωχρηματιστηριακά παράγωγα, τους κεντρικούς αντισυμβαλλομένους και τα αρχεία καταγραφής συναλλαγών, όπου περιλαμβάνονται απαιτήσεις όσον αφορά τον λειτουργικό κίνδυνο για τους κεντρικούς αντισυμβαλλομένους και τα αρχεία καταγραφής συναλλαγών· και στους κανόνες για τη βελτίωση του διακανονισμού αξιογράφων στην Ένωση και για τα κεντρικά αποθετήρια τίτλων, όπου περιλαμβάνονται απαιτήσεις όσον αφορά τον λειτουργικό κίνδυνο. Επιπλέον, οι απαιτήσεις για τη κοινοποίηση συμβάντων, αποτελούν μέρος συνήθων πρακτικών εποπτείας στον χρηματοπιστωτικό τομέα, οι οποίες συμπεριλαμβάνονται επίσης συχνά σε εγχειρίδια εποπτείας.. Τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη τους εν λόγω κανόνες και απαιτήσεις κατά την εφαρμογή του lex specialis.

(14)

Όπως επισημαίνεται από την Ευρωπαϊκή Κεντρική Τράπεζα στη γνώμη που εξέδωσε στις 25 Ιουλίου 2014 (6), η παρούσα οδηγία δεν θίγει το προβλεπόμενο από το ενωσιακό δίκαιο καθεστώς για την επίβλεψη των συστημάτων πληρωμών και διακανονισμού από το Ευρωσύστημα. Θα ήταν σκόπιμη η ανταλλαγή εμπειριών για θέματα ασφάλειας συστημάτων δικτύου και πληροφοριών μεταξύ των αρχών που είναι υπεύθυνες για την επίβλεψη αυτή και των αρχών που είναι αρμόδιες δυνάμει της παρούσας οδηγίας. Το ίδιο ισχύει για τα εκτός ζώνης ευρώ μέλη του Ευρωπαϊκού Συστήματος Κεντρικών Τραπεζών που είναι αρμόδια για την επίβλεψη συστημάτων πληρωμών και διακανονισμού βάσει εθνικών νόμων και κανονισμών.

(15)

Οι επιγραμμικές αγορές επιτρέπουν στους καταναλωτές και στους εμπόρους να συνάπτουν επιγραμμικές συμβάσεις πώλησης ή παροχής υπηρεσιών με εμπόρους, και αποτελούν τον τελικό προορισμό για τη σύναψη των εν λόγω συμβάσεων. Δεν θα πρέπει να περιλαμβάνουν επιγραμμικές υπηρεσίες που λειτουργούν μόνον ως μεσάζοντες για υπηρεσίες τρίτων μέσω των οποίων είναι δυνατόν να συναφθεί τελικά η σύμβαση. Ως εκ τούτου, δεν θα πρέπει να περιλαμβάνονται οι επιγραμμικές υπηρεσίες που συγκρίνουν την τιμή συγκεκριμένων προϊόντων ή υπηρεσιών από διαφορετικούς εμπόρους και στη συνέχεια ανακατευθύνουν το χρήστη στον προτιμώμενο έμπορο για την αγορά του προϊόντος. Οι υπηρεσίες που παρέχονται από την επιγραμμική αγορά μπορεί να περιλαμβάνουν την επεξεργασία συναλλαγών, τη συγκέντρωση δεδομένων ή τη δημιουργία προφίλ χρηστών. Καταστήματα ηλεκτρονικών εφαρμογών που λειτουργούν ως επιγραμμικά καταστήματα για την ψηφιακή διανομή εφαρμογών ή προγραμμάτων λογισμικού τρίτων νοούνται ως είδος επιγραμμικής αγοράς.

(16)

Μια επιγραμμική μηχανή αναζήτησης επιτρέπει στον χρήστη να εκτελεί αναζητήσεις, κατ' αρχήν, σε όλους τους ιστοχώρους βάσει ερωτήματος για οποιοδήποτε θέμα. Μπορεί εναλλακτικά να επικεντρώνεται σε ιστοχώρους σε μια συγκεκριμένη γλώσσα. Ο ορισμός της επιγραμμικής αναζήτησης που περιέχεται στην παρούσα οδηγία δεν θα πρέπει να καλύπτει λειτουργίες αναζήτησης που περιορίζονται στο περιεχόμενο συγκεκριμένου ιστοχώρου, ανεξαρτήτως του αν η λειτουργία αναζήτησης παρέχεται από εξωτερική μηχανή αναζήτησης. Ούτε θα πρέπει να καλύπτει τις επιγραμμικές υπηρεσίες που συγκρίνουν την τιμή συγκεκριμένων προϊόντων ή υπηρεσιών από διαφορετικούς εμπόρους και στη συνέχεια ανακατευθύνουν το χρήστη στον προτιμώμενο έμπορο για την αγορά του προϊόντος.

(17)

Οι υπηρεσίες νεφοϋπολογιστικής καλύπτουν ευρύ φάσμα δραστηριοτήτων και η παροχή τους γίνεται με βάση διαφορετικά μοντέλα. Για τους σκοπούς της παρούσας οδηγίας, ο όρος «υπηρεσίες νεφοϋπολογιστικής» καλύπτει τις υπηρεσίες που επιτρέπουν την πρόσβαση σε κλιμακοθετήσιμο και ελαστικό σύνολο κοινόχρηστων υπολογιστικών πόρων. Οι εν λόγω υπολογιστικοί πόροι περιλαμβάνουν πόρους όπως δίκτυα, διακομιστές ή άλλες υποδομές, αποθήκευση, εφαρμογές και υπηρεσίες. Ο όρος «κλιμακοθετήσιμο» αναφέρεται σε υπολογιστικούς πόρους που κατανέμονται με ευελιξία από τον πάροχο των υπηρεσιών νεφοϋπολογιστικής, ανεξαρτήτως της γεωγραφικής θέσης των πόρων, προκειμένου να αντιμετωπιστούν διακυμάνσεις στη ζήτηση. Ο όρος «ελαστικό σύνολο» χρησιμοποιείται για να περιγράψει εκείνους τους υπολογιστικούς πόρους που διατίθενται και απελευθερώνονται ανάλογα με τη ζήτηση προκειμένου να καταστεί δυνατή η ταχεία αύξηση και μείωση των διαθέσιμων πόρων ανάλογα με τον φόρτο εργασίας. Ο όρος «κοινόχρηστοι» χρησιμοποιείται για να περιγράψει εκείνους τους υπολογιστικούς πόρους που παρέχονται σε πολλούς χρήστες που διαθέτουν από κοινού την πρόσβαση στην υπηρεσία, αλλά η επεξεργασία εκτελείται χωριστά για κάθε χρήστη, παρόλο που η υπηρεσία παρέχεται από τον ίδιο ηλεκτρονικό εξοπλισμό.

(18)

Η λειτουργία ενός σημείου ανταλλαγής κίνησης διαδικτύου (Internet Exchange Point — IXP) είναι η διασύνδεση δικτύων. Ένα IXP δεν παρέχει πρόσβαση στο δίκτυο ούτε ενεργεί ως πάροχος ή φορέας διαβατικών υπηρεσιών. Επίσης, ένα IXP δεν παρέχει άλλες υπηρεσίες μη σχετιζόμενες με τη διασύνδεση, ωστόσο αυτό δεν σημαίνει ότι ένας φορέας εκμετάλλευσης IXP δεν μπορεί να παρέχει και μη σχετιζόμενες υπηρεσίες. Ένα IXP αποσκοπεί στη διασύνδεση δικτύων που είναι διακριτά από τεχνικής και οργανωτικής άποψης. Ο όρος «αυτόνομο σύστημα» χρησιμοποιείται για να περιγράψει ένα τεχνικά αυτοδύναμο δίκτυο.

(19)

Τα κράτη μέλη θα πρέπει να φέρουν την ευθύνη του προσδιορισμού των οντοτήτων που πληρούν τα κριτήρια του ορισμού του φορέα εκμετάλλευσης βασικών υπηρεσιών. Προκειμένου να εξασφαλιστεί η υιοθέτηση συνεκτικής προσέγγισης, ο ορισμός του φορέα εκμετάλλευσης βασικών υπηρεσιών θα πρέπει να εφαρμόζεται με συνέπεια από όλα τα κράτη μέλη. Για τον σκοπό αυτό, η παρούσα οδηγία προβλέπει την αξιολόγηση των οντοτήτων που δραστηριοποιούνται στους συγκεκριμένους τομείς και υποτομείς, την κατάρτιση καταλόγου βασικών υπηρεσιών, την εξέταση ενός κοινού καταλόγου διατομεακών παραγόντων ώστε να κρίνεται κατά πόσον ένα δυνητικό συμβάν θα είχε ως αποτέλεσμα σοβαρή διατάραξη, μια διαδικασία διαβούλευσης με τη συμμετοχή των σχετικών κρατών μελών στην περίπτωση οντοτήτων που παρέχουν υπηρεσίες σε περισσότερα από ένα κράτη μέλη, και την υποστήριξη της ομάδας συνεργασίας στη διαδικασία προσδιορισμού. Προκειμένου να διασφαλίζεται η ορθή συνεκτίμηση τυχόν αλλαγών που συμβαίνουν στην αγορά, ο κατάλογος των προσδιορισμένων φορέων εκμετάλλευσης θα πρέπει να αναθεωρείται τακτικά από τα κράτη μέλη και να επικαιροποιείται όταν απαιτείται. Τέλος, τα κράτη μέλη θα πρέπει να υποβάλλουν στην Επιτροπή τις πληροφορίες που είναι απαραίτητες για την αξιολόγηση του βαθμού στον οποίο η εν λόγω κοινή μεθοδολογία, επέτρεψε τη συνεκτική εφαρμογή του ορισμού από τα κράτη μέλη.

(20)

Κατά τη διαδικασία προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσιών, τα κράτη μέλη θα πρέπει να αξιολογούν, τουλάχιστον για κάθε υποτομέα που αναφέρεται στην παρούσα οδηγία, ποιες υπηρεσίες πρέπει να θεωρούνται ουσιώδεις για τη διατήρηση κρίσιμων κοινωνικών και οικονομικών δραστηριοτήτων και αν οι οντότητες που απαριθμούνται στους τομείς και υποτομείς που αναφέρονται στην παρούσα οδηγία και παρέχουν τις υπηρεσίες αυτές πληρούν τα κριτήρια για τον προσδιορισμό των φορέων εκμετάλλευσης. Προκειμένου να αξιολογηθεί κατά πόσον μια οντότητα παρέχει υπηρεσία η οποία είναι ουσιώδη για τη διατήρηση των κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων, αρκεί να εξεταστεί αν ή εν λόγω οντότητα παρέχει βασική υπηρεσία που περιλαμβάνεται στον κατάλογο των βασικών υπηρεσιών. Επιπλέον, θα πρέπει να αποδεικνύεται ότι η παροχή της βασικής υπηρεσίας εξαρτάται από συστήματα δικτύου και πληροφοριών. Τέλος, κατά την αξιολόγηση του κατά πόσον ένα συμβάν θα είχε ως συνέπεια μια σοβαρή διατάραξη που θα επηρέαζε την παροχή της υπηρεσίας, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη διάφορους διατομεακούς παράγοντες, καθώς και, ανάλογα με την περίπτωση, παράγοντες που αφορούν συγκεκριμένους κλάδους.

(21)

Για τους σκοπούς του προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσιών, η εγκατάσταση σε ένα κράτος μέλος προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερών σχημάτων. Η νομική μορφή των σχημάτων αυτών, είτε μέσω παραρτήματος είτε μέσω θυγατρικής με νομική προσωπικότητα, δεν αποτελεί εν προκειμένω τον καθοριστικό παράγοντα.

(22)

Ενδέχεται οι οντότητες που δραστηριοποιούνται στους τομείς και τους υποτομείς που αναφέρονται στην παρούσα οδηγία να παρέχουν τόσο βασικές όσο και μη βασικές υπηρεσίες. Για παράδειγμα, στον τομέα των αεροπορικών μεταφορών, οι φορείς εκμετάλλευσης αερολιμένων παρέχουν υπηρεσίες που θα μπορούσαν να θεωρηθούν βασικές από ένα κράτος μέλος, όπως η διαχείριση των τροχοδρόμων, αλλά και μια σειρά υπηρεσιών που θα μπορούσαν να θεωρηθούν μη βασικές, όπως η διάθεση εμπορικών καταστημάτων. Οι φορείς εκμετάλλευσης βασικών υπηρεσιών θα πρέπει να υπόκεινται σε συγκεκριμένες απαιτήσεις ασφάλειας μόνον όσον αφορά τις υπηρεσίες που θεωρούνται βασικές. Για τους σκοπούς του προσδιορισμού των φορέων, τα κράτη μέλη θα πρέπει συνεπώς να καταρτίζουν κατάλογο των υπηρεσιών που θεωρούνται βασικές.

(23)

Ο κατάλογος των υπηρεσιών θα πρέπει να περιλαμβάνει όλες τις υπηρεσίες που παρέχονται εντός της επικράτειας ενός κράτους μέλους και οι οποίες πληρούν τις απαιτήσεις της παρούσας οδηγίας. Τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να συμπληρώσουν τον υφιστάμενο κατάλογο, συμπεριλαμβάνοντας τις νέες υπηρεσίες. Ο κατάλογος των υπηρεσιών θα πρέπει να χρησιμεύει ως σημείο αναφοράς για τα κράτη μέλη για τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών. Αποσκοπεί στον προσδιορισμό των ειδών βασικών υπηρεσιών κάθε δεδομένου τομέα που αναφέρεται στην παρούσα οδηγία ώστε να γίνεται η διάκριση μεταξύ αυτών και των μη βασικών δραστηριοτήτων για τις οποίες είναι ενδεχομένως υπεύθυνη μια οντότητα που δραστηριοποιείται στον εν λόγω τομέα. Ο κατάλογος των υπηρεσιών που καταρτίζεται από κάθε κράτος μέλος θα λαμβάνεται επίσης υπόψη κατά την αξιολόγηση της ρυθμιστικής πρακτικής κάθε κράτους μέλους με στόχο τη διασφάλιση του γενικότερου επιπέδου συνεκτικότητας της διαδικασίας προσδιορισμού στο σύνολο των κρατών μελών.

(24)

Στο πλαίσιο της διαδικασίας προσδιορισμού, αν μία οντότητα παρέχει βασική υπηρεσία σε δύο ή περισσότερα κράτη μέλη, τα εν λόγω κράτη μέλη θα πρέπει να προβαίνουν σε διμερείς ή πολυμερείς διαβουλεύσεις μεταξύ τους. Η εν λόγω διαδικασία διαβούλευσης έχει στόχο να βοηθήσει τα κράτη μέλη στο να αξιολογήσουν την κρίσιμη φύση του φορέα εκμετάλλευσης ως προς τον διασυνοριακό αντίκτυπο επιτρέποντας σε κάθε εμπλεκόμενο κράτος μέλος να υποβάλει τις απόψεις του σχετικά με τους κινδύνους που σχετίζονται με τις παρεχόμενες υπηρεσίες. Κάθε εμπλεκόμενο κράτος μέλος θα πρέπει να λαμβάνει υπόψη τις απόψεις του έτερου εμπλεκόμενου κράτους μέλους στη διαδικασία αυτή, και θα πρέπει να έχει τη δυνατότητα να ζητήσει τη συνδρομή της ομάδας συνεργασίας σε αυτό το πλαίσιο.

(25)

Ως αποτέλεσμα της διαδικασίας προσδιορισμού, τα κράτη μέλη θα πρέπει να θεσπίζουν εθνικά μέτρα για τον καθορισμό των οντοτήτων που υπόκεινται σε υποχρεώσεις σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών. Αυτό το αποτέλεσμα θα μπορούσε να επιτευχθεί με τη θέσπιση καταλόγου όλων των φορέων εκμετάλλευσης βασικών υπηρεσιών ή με τη θέσπιση εθνικών μέτρων, συμπεριλαμβανομένων αντικειμενικών ποσοτικοποιήσιμων κριτηρίων, όπως η παραγωγή του φορέα εκμετάλλευσης ή ο αριθμός χρηστών, βάσει των οποίων θα ήταν δυνατόν να προσδιοριστούν οι οντότητες που υπόκεινται σε υποχρεώσεις σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών. Τα εθνικά μέτρα είτε βρίσκονται ήδη σε ισχύ είτε θεσπίζονται στο πλαίσιο της παρούσας οδηγίας, θα πρέπει να περιλαμβάνουν όλα τα νομικά μέτρα, τα διοικητικά μέτρα και τις πολιτικές για τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών δυνάμει της παρούσας οδηγίας.

(26)

Προκειμένου να δοθεί μια ένδειξη της σημασίας για κάθε τομέα, των προσδιορισμένων φορέων εκμετάλλευσης των βασικών υπηρεσιών, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη τον αριθμό και το μέγεθος των εν λόγω φορέων, για παράδειγμα σε όρους μεριδίου της αγοράς ή από την άποψη της παραγόμενης ή μεταφερόμενης ποσότητας, χωρίς να υποχρεούνται να δημοσιοποιούν πληροφορίες που θα αποκάλυπταν ποιοι φορείς έχουν προσδιοριστεί.

(27)

Προκειμένου να κριθεί αν ένα συμβάν θα μπορούσε να προκαλέσει σοβαρή διατάραξη της παροχής μιας υπηρεσίας, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη διάφορους παράγοντες, όπως τον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία που παρέχεται από την οντότητα για προσωπικούς ή επαγγελματικούς σκοπούς. Η χρήση της εν λόγω υπηρεσίας μπορεί να είναι άμεση, έμμεση ή με διαμεσολάβηση. Κατά την εκτίμηση του αντίκτυπου που θα μπορούσε να έχει ένα συμβάν, από άποψη βαθμού και διάρκειας, στις οικονομικές και κοινωνικές δραστηριότητες ή στη δημόσια ασφάλεια, τα κράτη μέλη θα πρέπει επίσης να εκτιμούν τον χρόνο που αναμένεται να μεσολαβήσει πριν η διακοπή της παροχής να αρχίσει να έχει αρνητικό αντίκτυπο.

(28)

Θα πρέπει να λαμβάνονται υπόψη, εκτός από τους διατομεακούς παράγοντες, και παράγοντες που αφορούν συγκεκριμένους κλάδους, προκειμένου να κριθεί αν ένα συμβάν θα μπορούσε να προκαλέσει σοβαρή διατάραξη της παροχής μιας υπηρεσίας. Όσον αφορά τους προμηθευτές ενέργειας, οι παράγοντες αυτοί θα μπορούσαν να περιλαμβάνουν τον όγκο ή το μερίδιο στην παραγόμενη ενέργεια σε εθνικό επίπεδο· για τους προμηθευτές πετρελαίου, τον ημερήσιο όγκο· για τις αεροπορικές μεταφορές, συμπεριλαμβανομένων των αερολιμένων και των αερομεταφορέων, τις σιδηροδρομικές μεταφορές και τους θαλάσσιους λιμένες, το μερίδιο στον όγκο διακίνησης επιβατών σε εθνικό επίπεδο και τον αριθμό επιβατών ή μεταφορών φορτίου ανά έτος· για τις τράπεζες ή τις υποδομές χρηματοπιστωτικής αγοράς, τη συστημική τους σημασία με βάση το συνολικό ενεργητικό ή τον λόγο συνολικού ενεργητικού προς ΑΕΠ· για τον τομέα της υγείας, τον αριθμό των ασθενών που λαμβάνουν τις υπηρεσίες υγείας του παρόχου ανά έτος· για την παραγωγή, μεταποίηση και παροχή νερού, τον όγκο και τον αριθμό καθώς και τα είδη των χρηστών συμπεριλαμβανομένων, για παράδειγμα, νοσοκομείων, δημόσιων υπηρεσιών, οργανισμών, ή ιδιωτών, και την ύπαρξη εναλλακτικών πηγών νερού που καλύπτουν την ίδια γεωγραφική περιοχή.

(29)

Για την επίτευξη και τη διατήρηση υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών, κάθε κράτος μέλος θα πρέπει να διαθέτει εθνική στρατηγική ασφάλειας συστημάτων δικτύου και πληροφοριών που να καθορίζει τους στρατηγικούς στόχους και τις συγκεκριμένες δράσεις πολιτικής που πρέπει να εφαρμοστούν.

(30)

Με δεδομένες τις διαφορές των εθνικών δομών διακυβέρνησης και προκειμένου να διασφαλιστούν οι ήδη υφιστάμενες τομεακές ρυθμίσεις ή οι εποπτικοί και ρυθμιστικοί φορείς της Ένωσης, καθώς και προς αποφυγή αλληλοεπικαλύψεων, τα κράτη μέλη θα πρέπει να είναι σε θέση να ορίζουν περισσότερες από μία αρμόδιες εθνικές αρχές για την εκτέλεση των καθηκόντων που συνδέονται με την ασφάλεια των συστημάτων δικτύου και πληροφοριών των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών δυνάμει της παρούσας οδηγίας.

(31)

Για τη διευκόλυνση της διασυνοριακής συνεργασίας και επικοινωνίας και για να καταστεί δυνατή η αποτελεσματική υλοποίηση της παρούσας οδηγίας, είναι ανάγκη κάθε κράτος μέλος να ορίζει, με την επιφύλαξη επιμέρους τομεακών κανονιστικών ρυθμίσεων, ένα εθνικό ενιαίο κέντρο επαφής υπεύθυνο για τον συντονισμό θεμάτων σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών και με τη διασυνοριακή συνεργασία σε επίπεδο Ένωσης. Οι αρμόδιες αρχές και τα ενιαία κέντρα επαφής θα πρέπει να έχουν επαρκείς τεχνικούς, οικονομικούς και ανθρώπινους πόρους, ώστε να εξασφαλίζεται ότι θα μπορούν να εκτελούν αποτελεσματικά και αποδοτικά τα καθήκοντα που τους ανατίθενται και να επιτυγχάνουν, με τον τρόπο αυτό, τους στόχους της παρούσας οδηγίας. Δεδομένου ότι η παρούσα οδηγία αποσκοπεί στη βελτίωση της λειτουργίας της εσωτερικής αγοράς με τη δημιουργία εμπιστοσύνης και αξιοπιστίας, οι φορείς των κρατών μελών πρέπει να είναι σε θέση να συνεργάζονται αποτελεσματικά με τους οικονομικούς φορείς και να διαθέτουν τη δέουσα δομή.

(32)

Οι αρμόδιες αρχές ή οι ομάδες απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (Computer Security Incident Response Teams — CSIRT) θα πρέπει να λαμβάνουν τις κοινοποιήσεις των συμβάντων. Τα ενιαία κέντρα επαφής δεν θα πρέπει να λαμβάνουν άμεσα τις κοινοποιήσεις των συμβάντων, εκτός εάν διαθέτουν επίσης την ιδιότητα της αρμόδιας αρχής ή της CSIRT. Θα πρέπει, ωστόσο, μια αρμόδια αρχή ή CSIRT να μπορεί να αναθέσει στο ενιαίο κέντρο επαφής να διαβιβάζει τις κοινοποιήσεις συμβάντων στα ενιαία κέντρα επαφής άλλων επηρεαζόμενων κρατών μελών.

(33)

Προκειμένου να διασφαλίζεται η αποτελεσματική ενημέρωση των κρατών μελών και της Επιτροπής, θα πρέπει να υποβάλλεται συνοπτική έκθεση από το ενιαίο κέντρο επαφής στην ομάδα συνεργασίας η οποία θα πρέπει να είναι ανωνυμοποιημένη, προκειμένου να διαφυλάσσεται το απόρρητο των κοινοποιήσεων και η ταυτότητα των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών, καθώς οι πληροφορίες που αφορούν την ταυτότητα της κοινοποιούσας οντότητας δεν είναι απαραίτητες για την ανταλλαγή βέλτιστων πρακτικών εντός της ομάδας συνεργασίας. Η συνοπτική έκθεση θα πρέπει να περιλαμβάνει στοιχεία σχετικά με τον αριθμό των κοινοποιήσεων που παρελήφθησαν καθώς και ένδειξη σχετικά με τη φύση των κοινοποιημένων συμβάντων, π.χ. τους τύπους των παραβιάσεων ασφάλειας και τη σοβαρότητά ή τη διάρκειά τους.

(34)

Τα κράτη μέλη θα πρέπει να διαθέτουν τον κατάλληλο εξοπλισμό, τόσο σε τεχνικές όσο και σε οργανωτικές ικανότητες, για την πρόληψη, τον εντοπισμό, την αντιμετώπιση και τον μετριασμό συμβάντων και κινδύνων σε συστήματα δικτύου και πληροφοριών. Τα κράτη μέλη θα πρέπει επομένως να εξασφαλίζουν ότι διαθέτουν εύρυθμα λειτουργούσες CSIRT, γνωστές επίσης ως «ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική» (Computer Emergency Response Teams — CERT), που να συμμορφώνονται με τις βασικές απαιτήσεις για την ύπαρξη αποτελεσματικών και συμβατών ικανοτήτων αντιμετώπισης συμβάντων και κινδύνων και για τη διασφάλιση αποτελεσματικής συνεργασίας σε ενωσιακό επίπεδο. Προκειμένου όλα τα είδη φορέων εκμετάλλευσης βασικών υπηρεσιών και παρόχων ψηφιακών υπηρεσιών να επωφελούνται από τις ικανότητες και τη συνεργασία που αναφέρονται παραπάνω, τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι όλα τα είδη φορέων καλύπτονται από ορισθείσα CSIRT. Δεδομένης της σημασίας της διεθνούς συνεργασίας για την ασφάλεια στον κυβερνοχώρο, οι CSIRT θα πρέπει να έχουν τη δυνατότητα να συμμετέχουν σε διεθνή δίκτυα συνεργασίας πέραν του δικτύου CSIRT που θεσπίζεται με την παρούσα οδηγία.

(35)

Καθώς τα περισσότερα συστήματα δικτύου και πληροφοριών είναι ιδιωτικά, η συνεργασία μεταξύ του ιδιωτικού και του δημόσιου τομέα έχει ουσιώδη σημασία. Οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να παροτρύνονται να διατηρούν τους δικούς τους άτυπους μηχανισμούς συνεργασίας για την εξασφάλιση της ασφάλειας των συστημάτων δικτύου και πληροφοριών. Η ομάδα συνεργασίας θα πρέπει να είναι σε θέση να καλεί τους αρμόδιους φορείς στις συζητήσεις κατά περίπτωση. Προκειμένου να ενθαρρυνθεί αποτελεσματικά η ανταλλαγή πληροφοριών και βέλτιστων πρακτικών, είναι αναγκαίο να εξασφαλίζεται ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών που συμμετέχουν σε αυτές τις ανταλλαγές, δεν είναι σε μειονεκτική θέση λόγω της συνεργασίας τους.

(36)

Ο ENISA θα πρέπει να στηρίζει τα κράτη μέλη και την Επιτροπή, παρέχοντας την εμπειρογνωμοσύνη και τις συμβουλές του, καθώς και διευκολύνοντας την ανταλλαγή βέλτιστων πρακτικών. Ειδικότερα, κατά την εφαρμογή της παρούσας οδηγίας, η Επιτροπή θα πρέπει να συμβουλεύεται τον ENISA, τον οποίο θα πρέπει επίσης να μπορούν να συμβουλεύονται και τα κράτη μέλη. Για την ανάπτυξη ικανοτήτων και γνώσεων στα κράτη μέλη, η ομάδα συνεργασίας θα πρέπει επίσης να λειτουργεί ως μέσο ανταλλαγής βέλτιστων πρακτικών, ως χώρος συζήτησης σχετικά με τις ικανότητες και την ετοιμότητα των κρατών μελών και, σε εθελούσια βάση, ως φορέας υποστήριξης των μελών της κατά την αξιολόγηση των εθνικών στρατηγικών σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών, για την ανάπτυξη ικανοτήτων και κατά την αξιολόγηση ασκήσεων σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών.

(37)

Όποτε κρίνεται σκόπιμο, τα κράτη μέλη θα πρέπει να μπορούν να χρησιμοποιούν ή να προσαρμόζουν υφιστάμενες οργανωτικές δομές ή στρατηγικές κατά την εφαρμογή της παρούσας οδηγίας.

(38)

Τα αντίστοιχα καθήκοντα της ομάδας συνεργασίας και του ENISA είναι αλληλένδετα και συμπληρωματικά. Εν γένει, ο ENISA θα πρέπει να επικουρεί την ομάδα συνεργασίας κατά την εκτέλεση των καθηκόντων της, σύμφωνα με τον στόχο του ENISA που ορίζεται στον κανονισμό (ΕΕ) αριθ. 526/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7), ήτοι να επικουρεί τα θεσμικά και λοιπά όργανα, τις υπηρεσίες και τους οργανισμούς της Ένωσης και τα κράτη μέλη στην υλοποίηση των πολιτικών που απαιτούνται για την εκπλήρωση των νομικών και ρυθμιστικών απαιτήσεων σχετικά με την ασφάλεια των δικτύων και των πληροφοριών, τόσο στις ισχύουσες όσο και στις μελλοντικές νομικές πράξεις της Ένωσης. Ειδικότερα, ο ENISA θα πρέπει να παρέχει συνδρομή στους τομείς που αντιστοιχούν στα δικά του καθήκοντα, όπως ορίζονται στον κανονισμό (ΕΕ) αριθ. 526/2013, ήτοι στην ανάλυση στρατηγικών ασφάλειας δικτύων και πληροφοριών, την υποστήριξη της οργάνωσης και της διεξαγωγής ασκήσεων σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών της Ένωσης, και την ανταλλαγή πληροφοριών και βέλτιστων πρακτικών σχετικά με την ευαισθητοποίηση και την κατάρτιση. Ο ENISA θα πρέπει επίσης να συμμετέχει στην εκπόνηση κατευθυντήριων γραμμών για τα ειδικά κριτήρια ανά τομέα βάσει των οποίων καθορίζεται η σοβαρότητα από τον αντίκτυπο ενός συμβάντος.

(39)

Για την προώθηση προηγμένης ασφάλειας των συστημάτων δικτύου και πληροφοριών η ομάδα συνεργασίας θα πρέπει, κατά περίπτωση, να συνεργάζεται με τα αρμόδια θεσμικά και λοιπά όργανα ή οργανισμούς της Ένωσης, να ανταλλάσσει τεχνογνωσία και βέλτιστες πρακτικές και να παρέχει συμβουλές για πτυχές της ασφάλειας συστημάτων δικτύου και πληροφοριών που μπορεί να έχουν επιπτώσεις στο έργο τους, σεβόμενη τις ισχύουσες ρυθμίσεις σχετικά με την ανταλλαγή εμπιστευτικών πληροφοριών. Στο πλαίσιο συνεργασίας με αρχές επιβολής του νόμου για θέματα ασφάλειας συστημάτων δικτύου και πληροφοριών τα οποία ενδέχεται να έχουν αντίκτυπο στο έργο τους, η ομάδα συνεργασίας θα πρέπει να σέβεται τους υπάρχοντες διαύλους πληροφοριών και τα υφιστάμενα δίκτυα.

(40)

Οι πληροφορίες σχετικά με συμβάντα αποκτούν ολοένα μεγαλύτερη χρησιμότητα για τους πολίτες και τις επιχειρήσεις, ιδίως τις μικρές και μεσαίες επιχειρήσεις. Σε ορισμένες περιπτώσεις, οι πληροφορίες αυτές παρέχονται ήδη μέσω ιστοχώρων σε εθνικό επίπεδο, στη γλώσσα της εκάστοτε χώρας και με έμφαση κυρίως σε περιστατικά και συμβάντα με εθνική διάσταση. Δεδομένου ότι οι επιχειρήσεις λειτουργούν ολοένα περισσότερο διασυνοριακά και οι πολίτες χρησιμοποιούν επιγραμμικές υπηρεσίες, οι πληροφορίες σχετικά με τα συμβάντα θα πρέπει να παρέχονται σε συγκεντρωτική μορφή σε επίπεδο Ένωσης. Η γραμματεία του δικτύου CSIRT ενθαρρύνεται να δημιουργήσει ιστοχώρο ή να φιλοξενήσει μια ειδική σελίδα σε ήδη υπάρχοντα ιστοχώρο όπου να διατίθενται στο ευρύ κοινό γενικές πληροφορίες σχετικά με μείζονα συμβάντα ασφάλειας που έχουν λάβει χώρα ανά την Ένωση, με ιδιαίτερη έμφαση στα συμφέροντα και τις ανάγκες των επιχειρήσεων. Οι CSIRT που συμμετέχουν στο δίκτυο CSIRT ενθαρρύνονται να παρέχουν σε εθελούσια βάση τις πληροφορίες που θα δημοσιεύονται στον εν λόγω ιστοχώρο, χωρίς να περιλαμβάνουν απόρρητες ή ευαίσθητες πληροφορίες.

(41)

Εάν οι πληροφορίες θεωρούνται απόρρητες σύμφωνα με τους ενωσιακούς και εθνικούς κανόνες περί επιχειρηματικού απορρήτου, το απόρρητο θα πρέπει να διασφαλίζεται κατά την άσκηση των δραστηριοτήτων και την εκπλήρωση των στόχων που θέτει η παρούσα οδηγία.

(42)

Οι ασκήσεις που προσομοιώνουν σενάρια συμβάντων σε πραγματικό χρόνο, είναι αναγκαίες για τη δοκιμή της ετοιμότητας και της συνεργασίας των κρατών μελών, όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ο κύκλος ασκήσεων Cybereurope, που συντονίζει ο ENISA με τη συμμετοχή των κρατών μελών, είναι ένα χρήσιμο εργαλείο δοκιμών και εκπόνησης συστάσεων για τον τρόπο με τον οποίο θα πρέπει να βελτιωθούν μελλοντικά οι παρεμβάσεις για την αντιμετώπιση συμβάντων σε επίπεδο Ένωσης. Λαμβάνοντας υπόψη ότι, επί του παρόντος, τα κράτη μέλη δεν υποχρεούνται να προγραμματίσουν ασκήσεις ή να συμμετάσχουν σε αυτές, η δημιουργία δικτύου CSIRT δυνάμει της παρούσας οδηγίας θα επιτρέψει στα κράτη μέλη να συμμετέχουν σε ασκήσεις βάσει συγκεκριμένου προγραμματισμού και στρατηγικών επιλογών. Η ομάδα συνεργασίας που θεσπίζεται με την παρούσα οδηγία θα πρέπει να συζητά τις στρατηγικές αποφάσεις σχετικά με τις ασκήσεις, ιδίως, αλλά όχι αποκλειστικά, όσον αφορά τη συχνότητα των ασκήσεων και τον σχεδιασμό των σεναρίων. Ο ENISA θα πρέπει, στο πλαίσιο της εντολής του, να υποστηρίζει τη διοργάνωση και τη διεξαγωγή ασκήσεων σε επίπεδο Ένωσης παρέχοντας εμπειρογνωμοσύνη και συμβουλές στην ομάδα συνεργασίας και στο δίκτυο CSIRT.

(43)

Δεδομένου του παγκόσμιου χαρακτήρα των προβλημάτων ασφάλειας που επηρεάζουν τα συστήματα δικτύου και πληροφοριών, υπάρχει ανάγκη στενότερης διεθνούς συνεργασίας για τη βελτίωση των προτύπων ασφάλειας και της ανταλλαγής πληροφοριών, καθώς και για την προώθηση κοινής σφαιρικής προσέγγισης των θεμάτων ασφάλειας.

(44)

Η ευθύνη για την εξασφάλιση της ασφάλειας των συστημάτων δικτύου και πληροφοριών εναπόκειται σε μεγάλο βαθμό στους φορείς εκμετάλλευσης βασικών υπηρεσιών και στους παρόχους ψηφιακών υπηρεσιών. Θα πρέπει να προωθηθεί και να αναπτυχθεί με κατάλληλες κανονιστικές απαιτήσεις και εθελούσιες κλαδικές πρακτικές μια νοοτροπία διαχείρισης κινδύνου, που να περιλαμβάνει εκτίμηση του κινδύνου και εφαρμογή μέτρων ασφάλειας προσαρμοσμένων στους εκάστοτε κινδύνους. Η εξασφάλιση αξιόπιστων ίσων όρων ανταγωνισμού είναι επίσης απαραίτητη για την αποτελεσματική λειτουργία του δικτύου συνεργασίας και του δικτύου CSIRT ώστε να εξασφαλιστεί αποτελεσματική συνεργασία από όλα τα κράτη μέλη.

(45)

Η παρούσα οδηγία εφαρμόζεται μόνο σε εκείνους τους φορείς δημόσιας διοίκησης οι οποίοι έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών υπηρεσιών. Αποτελεί, επομένως, ευθύνη των κρατών μελών να εξασφαλίσουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που ανήκουν σε φορείς δημόσιας διοίκησης οι οποίοι δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας.

(46)

Τα μέτρα για τη διαχείριση του κινδύνου περιλαμβάνουν μέτρα για τον εντοπισμό των τυχόν κινδύνων συμβάντων καθώς και μέτρα για την πρόληψη, την ανίχνευση και την αντιμετώπιση συμβάντων και για τον μετριασμό του αντίκτυπού τους. Η ασφάλεια των συστημάτων δικτύου και πληροφοριών περιλαμβάνει την ασφάλεια των δεδομένων που αποθηκεύονται, μεταδίδονται και υφίστανται επεξεργασία.

(47)

Οι αρμόδιες αρχές θα πρέπει να διατηρήσουν τη δυνατότητα να εγκρίνουν εθνικές κατευθυντήριες γραμμές σχετικά με τις περιστάσεις στις οποίες οι φορείς εκμετάλλευσης βασικών υπηρεσιών είναι υποχρεωμένοι να κοινοποιούν συμβάντα.

(48)

Πολλές επιχειρήσεις στην Ένωση βασίζονται σε παρόχους ψηφιακών υπηρεσιών για την παροχή των υπηρεσιών τους. Καθώς ορισμένες ψηφιακές υπηρεσίες ενδέχεται να συνιστούν σημαντικό πόρο για τους χρήστες τους, συμπεριλαμβανομένων των φορέων εκμετάλλευσης βασικών υπηρεσιών, και καθώς οι χρήστες αυτοί ενδέχεται να μην διαθέτουν πάντα εναλλακτικές λύσεις, η παρούσα οδηγία θα πρέπει να εφαρμόζεται και στους παρόχους αυτών των υπηρεσιών. Η ασφάλεια, η συνέχεια και η αξιοπιστία του είδους των ψηφιακών υπηρεσιών που αναφέρονται στην παρούσα οδηγία είναι καθοριστικής σημασίας για την ομαλή λειτουργία πολλών επιχειρήσεων. Τυχόν διατάραξη αυτής της ψηφιακής υπηρεσίας θα μπορούσε να εμποδίσει την παροχή άλλων υπηρεσιών που βασίζονται σε αυτήν και, ως εκ τούτου, να έχει επιπτώσεις σε βασικές οικονομικές και κοινωνικές δραστηριότητες στην Ένωση. Οι εν λόγω ψηφιακές υπηρεσίες μπορεί συνεπώς να είναι ζωτικής σημασίας για την ομαλή λειτουργία των επιχειρήσεων που εξαρτώνται από αυτές και επιπλέον για τη συμμετοχή αυτών των επιχειρήσεων στην εσωτερική αγορά και το διασυνοριακό εμπόριο σε ολόκληρη την Ένωση. Οι εν λόγω πάροχοι ψηφιακών υπηρεσιών που υπόκεινται στην παρούσα οδηγία είναι όσοι θεωρείται ότι παρέχουν ψηφιακές υπηρεσίες στις οποίες βασίζονται πολλές επιχειρήσεις της Ένωσης ολοένα και περισσότερο.

(49)

Οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να διασφαλίζουν επίπεδο ασφάλειας ανάλογο με τον βαθμό του κινδύνου για την ασφάλεια των υπηρεσιών που παρέχουν, δεδομένης της σημασίας των ψηφιακών υπηρεσιών τους για τις δραστηριότητες άλλων επιχειρήσεων στο εσωτερικό της Ένωσης. Στην πράξη, ο βαθμός κινδύνου για τους φορείς εκμετάλλευσης βασικών υπηρεσιών, οι οποίες είναι συχνά ουσιώδεις για τη διατήρηση κρίσιμων κοινωνικών και οικονομικών δραστηριοτήτων, είναι υψηλότερος από ό,τι για τους παρόχους ψηφιακών υπηρεσιών. Ως εκ τούτου, οι απαιτήσεις ασφάλειας για τους παρόχους ψηφιακών υπηρεσιών θα πρέπει να είναι λιγότερο αυστηρές. Οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να έχουν τη δυνατότητα να λαμβάνουν τα μέτρα που θεωρούν κατάλληλα για τη διαχείριση των κινδύνων που απειλούν την ασφάλεια των δικτύων και των συστημάτων πληροφοριών τους. Λόγω του διασυνοριακού χαρακτήρα τους, οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να υπόκεινται σε μια πιο εναρμονισμένη προσέγγιση σε ενωσιακό επίπεδο. Η έκδοση εκτελεστικών πράξεων θα πρέπει να διευκολύνει την εξειδίκευση και την εφαρμογή αυτών των μέτρων.

(50)

Μολονότι οι κατασκευαστές υλισμικού και οι σχεδιαστές λογισμικού δεν είναι φορείς εκμετάλλευσης βασικών υπηρεσιών, ούτε πάροχοι ψηφιακών υπηρεσιών, τα προϊόντα τους ενισχύουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ως εκ τούτου, διαδραματίζουν σημαντικό ρόλο καθώς επιτρέπουν στους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών να καθιστούν ασφαλή τα συστήματα δικτύου και πληροφοριών τους. Τα εν λόγω προϊόντα υλισμικού και λογισμικού υπόκεινται ήδη σε ισχύοντες κανόνες σχετικά με την ευθύνη για τα προϊόντα.

(51)

Τα τεχνικά και οργανωτικά μέτρα που επιβάλλονται σε φορείς εκμετάλλευσης βασικών υπηρεσιών και σε παρόχους ψηφιακών υπηρεσιών δεν θα πρέπει να συνεπάγονται υποχρέωση σχεδιασμού, ανάπτυξης ή παραγωγής συγκεκριμένων εμπορικών προϊόντων τεχνολογίας πληροφοριών και επικοινωνιών με συγκεκριμένο τρόπο.

(52)

Οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να εγγυώνται την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν. Κατά κύριο λόγο πρόκειται για ιδιωτικά συστήματα δικτύου και πληροφοριών τα οποία διαχειρίζεται το εσωτερικά απασχολούμενο προσωπικό πληροφορικής ή των οποίων η ασφάλεια έχει ανατεθεί σε τρίτους. Οι απαιτήσεις κοινοποίησης και ασφάλειας θα πρέπει να εφαρμόζονται στους σχετικούς φορείς εκμετάλλευσης βασικών υπηρεσιών και παρόχους ψηφιακών υπηρεσιών, ανεξάρτητα από το αν εκτελούν τη συντήρηση των δικτύων και των συστημάτων πληροφοριών τους εσωτερικά ή αν την αναθέτουν σε τρίτους.

(53)

Για την αποφυγή δυσανάλογης οικονομικής και διοικητικής επιβάρυνσης των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών, οι απαιτήσεις θα πρέπει να είναι ανάλογες προς τον κίνδυνο που ενέχει το σχετικό σύστημα δικτύου και πληροφοριών, λαμβανομένων υπόψη των πλέον πρόσφατων τεχνικών δυνατοτήτων όσον αφορά τα σχετικά μέτρα. Σε περίπτωση παρόχων ψηφιακών υπηρεσιών, οι απαιτήσεις αυτές δεν θα πρέπει να εφαρμόζονται στις πολύ μικρές και τις μικρές επιχειρήσεις.

(54)

Όταν φορείς δημόσιας διοίκησης των κρατών μελών χρησιμοποιούν υπηρεσίες που προσφέρονται από παρόχους ψηφιακών υπηρεσιών, ιδίως υπηρεσίες νεφοϋπολογιστικής, μπορούν να απαιτούν πρόσθετα μέτρα ασφάλειας από τους παρόχους των υπηρεσιών αυτών, επιπλέον όσων θα προέβλεπαν κανονικά οι πάροχοι ψηφιακών υπηρεσιών σε συμμόρφωση με τις απαιτήσεις της παρούσας οδηγίας. Τούτο θα πρέπει να μπορεί να γίνεται μέσω συμβατικών υποχρεώσεων.

(55)

Οι ορισμοί των επιγραμμικών αγορών, των επιγραμμικών μηχανών αναζήτησης και των υπηρεσιών νεφοϋπολογιστικής στην παρούσα οδηγία παρέχονται αποκλειστικά για την παρούσα οδηγία και χωρίς να θίγονται άλλες νομικές πράξεις.

(56)

Η παρούσα οδηγία δεν θα πρέπει να εμποδίζει τα κράτη μέλη να θεσπίζουν εθνικά μέτρα που να απαιτούν από τους φορείς του δημόσιου τομέα να εξασφαλίζουν ειδικές απαιτήσεις ασφάλειας όταν συνάπτουν συμβάσεις υπηρεσιών νεφοϋπολογιστικής. Κάθε τέτοιο εθνικό μέτρο θα πρέπει να εφαρμόζεται στον οικείο φορέα του δημόσιου τομέα και όχι στον πάροχο των υπηρεσιών νεφοϋπολογιστικής.

(57)

Λαμβάνοντας υπόψη τις θεμελιώδεις διαφορές μεταξύ των φορέων εκμετάλλευσης βασικών υπηρεσιών (ιδίως την άμεση σχέση τους με την υλική υποδομή) και των παρόχων ψηφιακών υπηρεσιών (ιδίως τον διασυνοριακό χαρακτήρα τους), η παρούσα οδηγία θα πρέπει να ακολουθήσει διαφοροποιημένη προσέγγιση όσον αφορά το επίπεδο εναρμόνισης για τις δύο αυτές ομάδες οντοτήτων. Όσον αφορά τους φορείς εκμετάλλευσης βασικών υπηρεσιών, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να προσδιορίζουν τους σχετικούς φορείς και να επιβάλλουν αυστηρότερες απαιτήσεις από αυτές που προβλέπονται στην παρούσα οδηγία. Τα κράτη μέλη δεν θα πρέπει να προσδιορίζουν παρόχους ψηφιακών υπηρεσιών, καθώς η παρούσα οδηγία θα πρέπει να εφαρμόζεται σε όλους τους παρόχους ψηφιακών υπηρεσιών που εμπίπτουν στο πεδίο εφαρμογής της. Επιπλέον, η παρούσα οδηγία και οι εκτελεστικές πράξεις που εκδίδονται δυνάμει αυτής θα πρέπει να εξασφαλίζουν υψηλό επίπεδο εναρμόνισης για τους παρόχους ψηφιακών υπηρεσιών όσον αφορά τις απαιτήσεις ασφάλειας και κοινοποίησης. Αυτό θα πρέπει να επιτρέπει την ομοιόμορφη αντιμετώπιση των παρόχων ψηφιακών υπηρεσιών σε ολόκληρη την Ένωση, κατά τρόπο αναλογικό προς τη φύση τους και τη σοβαρότητα του κινδύνου που μπορεί να αντιμετωπίσουν.

(58)

Η παρούσα οδηγία δεν θα πρέπει να εμποδίζει τα κράτη μέλη να επιβάλλουν απαιτήσεις ασφάλειας και κοινοποίησης σε οντότητες που δεν είναι πάροχοι ψηφιακών υπηρεσιών εμπίπτοντες στο πεδίο εφαρμογής της παρούσας οδηγίας, με την επιφύλαξη των υποχρεώσεων των κρατών μελών δυνάμει του ενωσιακού δικαίου.

(59)

Οι αρμόδιες αρχές θα πρέπει να δίνουν τη δέουσα προσοχή στη διατήρηση άτυπων και αξιόπιστων διαύλων ανταλλαγής πληροφοριών. Κατά τη δημοσιοποίηση συμβάντων που κοινοποιούνται στις αρμόδιες αρχές πρέπει να αντισταθμίζονται δεόντως αφενός το συμφέρον του κοινού να ενημερώνεται σχετικά με απειλές για πιθανή προσβολή της φήμης και η εμπορική ζημία των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών που κοινοποιούν συμβάντα. Κατά την εφαρμογή των υποχρεώσεων κοινοποίησης, οι αρμόδιες αρχές και οι CSIRT θα πρέπει να δίνουν ιδιαίτερη προσοχή στην ανάγκη να διατηρείται αυστηρά το απόρρητο των πληροφοριών όσον αφορά τα τρωτά σημεία των προϊόντων πριν από την έκδοση των κατάλληλων επιδιορθώσεων ασφάλειας.

(60)

Οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να υπόκεινται σε ήπιες και αντενεργές εκ των υστέρων εποπτικές δραστηριότητες, δικαιολογούμενες από τη φύση των υπηρεσιών και των δραστηριοτήτων τους. Ως εκ τούτου, η οικεία αρμόδια αρχή θα πρέπει να αναλαμβάνει δράση μόνο όταν λαμβάνει στοιχεία (για παράδειγμα από τον ίδιο τον πάροχο ψηφιακών υπηρεσιών, από άλλη αρμόδια αρχή, συμπεριλαμβανομένης αρμόδιας αρχής άλλου κράτους μέλους, ή από χρήστη της υπηρεσίας) που δείχνουν ότι ένας πάροχος ψηφιακών υπηρεσιών δεν συμμορφώνεται με τις απαιτήσεις της παρούσας οδηγίας, ιδίως αφού έχει λάβει χώρα ένα συμβάν. Ως εκ τούτου, η αρμόδια αρχή δεν θα πρέπει να φέρει γενική υποχρέωση εποπτείας των παρόχων ψηφιακών υπηρεσιών.

(61)

Οι αρμόδιες αρχές θα πρέπει να διαθέτουν τα απαραίτητα μέσα για την εκτέλεση των καθηκόντων τους, συμπεριλαμβανομένων εξουσιών απόκτησης επαρκών πληροφοριών για την αξιολόγηση του επιπέδου ασφάλειας συστημάτων δικτύου και πληροφοριών.

(62)

Τα συμβάντα μπορεί να είναι αποτέλεσμα εγκληματικών δραστηριοτήτων, στην πρόληψη, τη διερεύνηση και τη δίωξη των οποίων συμβάλλουν ο συντονισμός και η συνεργασία μεταξύ φορέων εκμετάλλευσης βασικών υπηρεσιών, παρόχων ψηφιακών υπηρεσιών, αρμόδιων αρχών και αρχών επιβολής του νόμου. Όταν υπάρχει υπόνοια ότι ένα συμβάν σχετίζεται με σοβαρές εγκληματικές δραστηριότητες δυνάμει ενωσιακής ή εθνικής νομοθεσίας, τα κράτη μέλη θα πρέπει να παροτρύνουν τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών να κοινοποιούν οι ίδιοι στις αρμόδιες αρχές επιβολής του νόμου συμβάντα εικαζόμενης σοβαρής εγκληματικής φύσεως. Κατά περίπτωση, είναι επιθυμητό να διευκολύνεται ο συντονισμός μεταξύ των αρμοδίων αρχών και των αρχών επιβολής του νόμου των διαφόρων κρατών μελών από το Ευρωπαϊκό Κέντρο για τα Εγκλήματα στον Κυβερνοχώρο (EC3) και τον ENISA.

(63)

Σε πολλές περιπτώσεις τα συμβάντα έχουν ως αποτέλεσμα την έκθεση δεδομένων προσωπικού χαρακτήρα σε κίνδυνο. Στο πλαίσιο αυτό, οι αρμόδιες αρχές και οι αρχές προστασίας δεδομένων πρέπει να συνεργάζονται και να ανταλλάσσουν πληροφορίες για όλα τα συναφή θέματα με σκοπό την αντιμετώπιση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα οι οποίες οφείλονται σε συμβάντα.

(64)

Η δικαιοδοσία όσον αφορά τους παρόχους ψηφιακών υπηρεσιών θα πρέπει να ανατίθεται στο κράτος μέλος στο οποίο ο οικείος πάροχος ψηφιακών υπηρεσιών έχει την κύρια εγκατάστασή του στην Ένωση, η οποία κατ' αρχήν αντιστοιχεί στον τόπο όπου ο πάροχος έχει την έδρα του στην Ένωση. Η εγκατάσταση προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερών σχημάτων. Η νομική μορφή των σχημάτων αυτών, είτε μέσω παραρτήματος είτε μέσω θυγατρικής με νομική προσωπικότητα, δεν αποτελεί εν προκειμένω τον καθοριστικό παράγοντα. Το κριτήριο αυτό δεν θα πρέπει να εξαρτάται από το κατά πόσον τα συστήματα δικτύου και πληροφοριών βρίσκονται στον δεδομένο τόπο αυτό· η παρουσία και η χρήση τέτοιων συστημάτων δεν συνιστούν από μόνες τους βασική εγκατάσταση και συνεπώς δεν είναι κριτήρια για τον καθορισμό της βασικής εγκατάστασης.

(65)

Σε περίπτωση που πάροχος ψηφιακών υπηρεσιών μη εγκατεστημένος στην Ένωση προσφέρει υπηρεσίες εντός της Ένωσης, πρέπει να ορίζει αντιπρόσωπο. Για να προσδιοριστεί κατά πόσον ένας πάροχος ψηφιακών υπηρεσιών προσφέρει υπηρεσίες εντός της Ένωσης, θα πρέπει να εξακριβώνεται αν είναι προφανές ότι ο εν λόγω πάροχος ψηφιακών υπηρεσιών σκοπεύει να προσφέρει υπηρεσίες σε πρόσωπα σε ένα η περισσότερα κράτη μέλη. Η προσβασιμότητα εντός της Ένωσης του ιστοχώρου του παρόχου ψηφιακών υπηρεσιών ή μεσάζοντα ή διεύθυνσης ηλεκτρονικού ταχυδρομείου και άλλων στοιχείων επικοινωνίας, ή η χρήση γλώσσας που χρησιμοποιείται γενικά στην τρίτη χώρα όπου είναι εγκατεστημένος ο πάροχος ψηφιακών υπηρεσιών δεν αρκούν από μόνες τους για να εξακριβωθεί τέτοια πρόθεση. Ωστόσο, άλλοι παράγοντες όπως η χρήση γλώσσας ή νομίσματος που χρησιμοποιείται γενικά σε ένα ή περισσότερα κράτη μέλη με δυνατότητα παραγγελίας υπηρεσιών σε αυτή την άλλη γλώσσα ή οι αναφορές σε καταναλωτές ή χρήστες που βρίσκονται στην Ένωση μπορούν να καθιστούν προφανή την πρόθεση του παρόχου ψηφιακών υπηρεσιών να προσφέρει υπηρεσίες εντός της Ένωσης. Ο αντιπρόσωπος πρέπει να ενεργεί εξ ονόματος του παρόχου ψηφιακών υπηρεσιών και οι αρμόδιες αρχές ή οι CSIRT θα πρέπει έχουν τη δυνατότητα να έρχονται σε επαφή με αυτόν. Ο αντιπρόσωπος θα πρέπει να ορίζεται ρητώς με γραπτή εντολή του παρόχου ψηφιακών υπηρεσιών να ενεργεί εξ ονόματός του τελευταίου όσον αφορά τις υποχρεώσεις του που απορρέουν από την παρούσα οδηγία, συμπεριλαμβανομένης της κοινοποίησης συμβάντων.

(66)

Η τυποποίηση των απαιτήσεων ασφάλειας είναι διαδικασία καθοδηγούμενη από την αγορά. Για να εξασφαλιστεί συγκλίνουσα εφαρμογή των προτύπων ασφάλειας, τα κράτη μέλη πρέπει να ενθαρρύνουν την τήρηση καθορισμένων προτύπων ή τη συμμόρφωση με καθορισμένα πρότυπα, με σκοπό την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών σε ενωσιακό επίπεδο. Ο ENISA θα πρέπει να βοηθά τα κράτη μέλη παρέχοντας συμβουλές και κατευθυντήριες γραμμές. Για τον σκοπό αυτό, θα ήταν ενδεχομένως χρήσιμη η κατάρτιση εναρμονισμένων προτύπων κατά τρόπο σύμφωνο με τον κανονισμό (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8).

(67)

Είναι πιθανόν οντότητες εκτός του πεδίου εφαρμογής της παρούσας οδηγίας να αντιμετωπίσουν συμβάντα με σοβαρό αντίκτυπο στις υπηρεσίες που προσφέρουν. Σε περίπτωση που οι εν λόγω οντότητες θεωρούν ότι είναι προς το δημόσιο συμφέρον να κοινοποιήσουν την επέλευση των συμβάντων αυτών, θα πρέπει να μπορούν να το πράττουν σε εθελούσια βάση. Οι εθελούσιες κοινοποιήσεις θα πρέπει να υποβάλλονται σε επεξεργασία από την αρμόδια αρχή ή την CSIRT μόνον εφόσον η επεξεργασία αυτή δεν συνιστά δυσανάλογη ή περιττή επιβάρυνση για τα οικεία κράτη μέλη.

(68)

Για την εξασφάλιση ενιαίων όρων εφαρμογής της παρούσας οδηγίας, θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή, ώστε να καθορίζει τις διαδικαστικές ρυθμίσεις που απαιτούνται για τη λειτουργία της ομάδας συνεργασίας και τις απαιτήσεις ασφάλειας και κοινοποίησης που ισχύουν για τους παρόχους ψηφιακών υπηρεσιών. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9). Κατά την έκδοση εκτελεστικών πράξεων που σχετίζονται με τις διαδικαστικές ρυθμίσεις που απαιτούνται για τη λειτουργία της ομάδας συνεργασίας, η Επιτροπή θα πρέπει να λαμβάνει ιδιαίτερα υπόψη τη γνώμη του ENISA.

(69)

Κατά την έκδοση εκτελεστικών πράξεων σχετικά με τις απαιτήσεις ασφάλειας για τους παρόχους ψηφιακών υπηρεσιών, η Επιτροπή θα πρέπει να λαμβάνει ιδιαίτερα υπόψη της τη γνώμη του ENISA και να ζητά τη γνώμη των ενδιαφερόμενων μερών. Επιπροσθέτως, η Επιτροπή παροτρύνεται να λαμβάνει υπόψη τα ακόλουθα παραδείγματα: σε ό,τι αφορά την ασφάλεια των συστημάτων και των εγκαταστάσεων: την υλική και περιβαλλοντική ασφάλεια, την ασφάλεια του εφοδιασμού, τον έλεγχο της πρόσβασης στα συστήματα δικτύου και πληροφοριών και την ακεραιότητά τους· σε ό,τι αφορά τη διαχείριση συμβάντων: τις διαδικασίες διαχείρισης συμβάντων, την ικανότητα εντοπισμού συμβάντων, την κοινοποίηση συμβάντων και την επικοινωνία· σε ό,τι αφορά τη διαχείριση της επιχειρηματικής συνέχειας: τη στρατηγική για τη συνέχεια της παροχής υπηρεσιών και τα σχέδια αντιμετώπισης απρόοπτων καταστάσεων, τις ικανότητες ανάκαμψης μετά από καταστροφές· και σε ό,τι αφορά την παρακολούθηση, την επιθεώρηση και τις δοκιμές: τις πολιτικές για την παρακολούθηση και την καταγραφή, τα σχέδια άσκησης για την αντιμετώπιση απρόοπτων καταστάσεων, τις δοκιμές συστημάτων δικτύου και πληροφοριών, τις εκτιμήσεις ασφάλειας και την παρακολούθηση της συμμόρφωσης.

(70)

Κατά την εφαρμογή της παρούσας οδηγίας, η Επιτροπή πρέπει να πραγματοποιεί τις δέουσες επαφές με τις σχετικές τομεακές επιτροπές και τους σχετικούς οργανισμούς που λειτουργούν σε επίπεδο Ένωσης στους τομείς που καλύπτονται από την παρούσα οδηγία.

(71)

Η Επιτροπή θα πρέπει να επανεξετάζει περιοδικά την παρούσα οδηγία, σε διαβούλευση με τους ενδιαφερομένους, ιδίως προκειμένου να εξακριβώνεται αν απαιτείται τροποποίησή της υπό το πρίσμα της μεταβολής συνθηκών στην κοινωνία, την πολιτική, την τεχνολογία ή τις αγορές.

(72)

Για την ανταλλαγή πληροφοριών όσον αφορά κινδύνους και συμβάντα εντός της ομάδας συνεργασίας και του δικτύου CSIRT και για τη συμμόρφωση με τις απαιτήσεις κοινοποίησης συμβάντων στις εθνικές αρμόδιες αρχές ή στην CSIRT είναι πιθανόν να απαιτείται επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η εν λόγω επεξεργασία πρέπει να είναι σύμφωνη με την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10) και τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11). Κατά την εφαρμογή της παρούσας οδηγίας, εφαρμόζεται ανάλογα με την περίπτωση ο κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12).

(73)

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, του οποίου η γνώμη ζητήθηκε σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001, εξέδωσε γνωμοδότηση στις 14 Ιουνίου 2013 (13).

(74)

Δεδομένου ότι ο στόχος της παρούσας οδηγίας, ήτοι η επίτευξη υψηλού ενιαίου επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών στην Ένωση, δεν μπορεί να επιτευχθεί ικανοποιητικά από τα κράτη μέλη αλλά μπορεί, λόγω των επιπτώσεων της δράσης, να επιτευχθεί καλύτερα σε ενωσιακό επίπεδο, η Ένωση μπορεί να λάβει μέτρα, σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας του ιδίου άρθρου, η παρούσα οδηγία δεν υπερβαίνει τα αναγκαία για την επίτευξη του στόχου αυτού.

(75)

Η παρούσα οδηγία σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται από τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, ιδιαίτερα δε το δικαίωμα στον σεβασμό της ιδιωτικής ζωής και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την επιχειρηματική ελευθερία, το δικαίωμα ιδιοκτησίας, το δικαίωμα πραγματικής προσφυγής ενώπιον δικαστηρίου και το δικαίωμα ακρόασης. Η παρούσα οδηγία θα πρέπει να εφαρμόζεται σύμφωνα με τα δικαιώματα και τις αρχές αυτές,

α)

προβλέπει τις υποχρεώσεις να θεσπιστεί εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών από όλα τα κράτη μέλη·

β)

δημιουργεί ομάδα συνεργασίας με σκοπό την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών, καθώς και την ανάπτυξη της εμπιστοσύνης και της αξιοπιστίας μεταξύ τους·

γ)

δημιουργεί δίκτυο ομάδων απόκρισης συμβάντων που αφορούν την ασφάλεια των υπολογιστών («δίκτυο CSIRT»), προκειμένου να συμβάλει στην ανάπτυξη της της αξιοπιστίας και εμπιστοσύνης μεταξύ των κρατών μελών και να προωθήσει την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία·

δ)

θεσπίζει απαιτήσεις ασφάλειας και κοινοποίησης για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και για τους παρόχους ψηφιακών υπηρεσιών·

ε)

προβλέπει τις υποχρεώσεις των κρατών μελών να ορίζουν εθνικές αρμόδιες αρχές, ενιαία κέντρα επαφής και CSIRT με καθήκοντα σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών.

α)

ένα δίκτυο ηλεκτρονικών επικοινωνιών κατά την έννοια του άρθρου 2 στοιχείο α) της οδηγίας 2002/21/ΕΚ·

β)

κάθε συσκευή ή ομάδα διασυνδεδεμένων ή σχετιζόμενων συσκευών από τις οποίες μία ή περισσότερες εκτελούν, βάσει προγράμματος, αυτόματη επεξεργασία ψηφιακών δεδομένων· ή

γ)

ψηφιακά δεδομένα που αποθηκεύονται, υποβάλλονται σε επεξεργασία, ανακτώνται ή μεταδίδονται από στοιχεία που καλύπτονται στα σημεία α) και β) για τους σκοπούς της λειτουργίας, χρήσης, προστασίας και συντήρησής τους·

α)

η οντότητα που παρέχει υπηρεσία ουσιώδη για τη διατήρηση κρίσιμων κοινωνικών και/ή οικονομικών δραστηριοτήτων·

β)

η παροχή της υπηρεσίας αυτής στηρίζεται σε συστήματα δικτύου και πληροφοριών· και

γ)

τυχόν συμβάν θα προκαλούσε σοβαρή διατάραξη της παροχής της εν λόγω υπηρεσίας.

α)

τα εθνικά μέτρα που επιτρέπουν τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών·

β)

ο κατάλογος των υπηρεσιών που αναφέρεται στην παράγραφο 3·

γ)

ο αριθμός των φορέων εκμετάλλευσης βασικών υπηρεσιών που έχουν προσδιοριστεί για κάθε τομέα που περιλαμβάνεται στο παράρτημα ΙΙ και αναφορά της σημασίας τους σε σχέση με τον εν λόγω τομέα·

δ)

κατώτατα όρια, εφόσον υπάρχουν, για τον προσδιορισμό του σχετικού επιπέδου παροχής με αναφορά στον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία αυτή όπως αναφέρεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή της σημασίας του συγκεκριμένου φορέα εκμετάλλευσης βασικών υπηρεσιών όπως αναφέρεται στο άρθρο 6 παράγραφος 1 στοιχείο στ).

α)

τον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία που παρέχεται από την οικεία οντότητα·

β)

την εξάρτηση άλλων τομέων που αναφέρονται στο παράρτημα II από την υπηρεσία που παρέχεται από την εν λόγω οντότητα·

γ)

τον αντίκτυπο που θα μπορούσαν να έχουν τα συμβάντα, από άποψη βαθμού και διάρκειας, σε οικονομικές και κοινωνικές δραστηριότητες ή στη δημόσια ασφάλεια·

δ)

το μερίδιο αγοράς της εν λόγω οντότητας·

ε)

το γεωγραφικό εύρος της περιοχής που θα μπορούσε να επηρεαστεί από ένα συμβάν·

στ)

τη σημασία του φορέα για τη διατήρηση επαρκούς επιπέδου της υπηρεσίας, λαμβανομένων υπόψη των διαθέσιμων εναλλακτικών μέσων για την παροχή της εν λόγω υπηρεσίας.

α)

τους στόχους και τις προτεραιότητες της εθνικής στρατηγικής για την ασφάλεια συστημάτων δικτύου και πληροφοριών·

β)

το πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων της εθνικής στρατηγικής για την ασφάλεια συστημάτων δικτύων και πληροφοριών, συμπεριλαμβανομένων του ρόλου και των αρμοδιοτήτων των κυβερνητικών οργάνων και των λοιπών αρμόδιων φορέων·

γ)

τον προσδιορισμό των μέτρων ετοιμότητας, παρέμβασης και αποκατάστασης, συμπεριλαμβανομένης της συνεργασίας ανάμεσα στο δημόσιο και ιδιωτικό τομέα·

δ)

αναφορά των προγραμμάτων εκπαίδευσης, ευαισθητοποίησης και κατάρτισης σε σχέση με την εθνική στρατηγική ασφάλειας δικτύων και συστημάτων πληροφοριών·

ε)

αναφορά των σχεδίων έρευνας και ανάπτυξης σχετικά με την εθνική στρατηγική ασφάλειας συστημάτων δικτύου και πληροφοριών·

στ)

σχέδιο εκτίμησης κινδύνου για τον προσδιορισμό κινδύνων·

ζ)

κατάλογο των διαφόρων φορέων που εμπλέκονται στην υλοποίηση της εθνικής στρατηγικής ασφάλειας συστημάτων δικτύου και πληροφοριών.

α)

παρέχει στρατηγική καθοδήγηση για τις δραστηριότητες του δικτύου CSIRT που έχει συσταθεί δυνάμει του άρθρο 12·

β)

ανταλλάσσει βέλτιστες πρακτικές για την ανταλλαγή πληροφοριών που αφορούν την κοινοποίηση συμβάντων που αναφέρεται στο άρθρο 14 παράγραφοι 3 και 5 και στο άρθρο 16 παράγραφοι 3 και 6·

γ)

ανταλλάσσει βέλτιστες πρακτικές μεταξύ των κρατών μελών και, σε συνεργασία με τον ENISA, επικουρεί τα κράτη μέλη στην ανάπτυξη ικανοτήτων στον τομέα της ασφάλειας συστημάτων δικτύου και πληροφοριών·

δ)

συζητεί τις δυνατότητες και την ετοιμότητα των κρατών μελών και, σε εθελούσια βάση, αξιολογεί τις εθνικές στρατηγικές ασφάλειας συστημάτων δικτύου και πληροφοριών και την αποτελεσματικότητα των CSIRT, και προσδιορίζει βέλτιστες πρακτικές·

ε)

ανταλλάσσει πληροφορίες και βέλτιστες πρακτικές όσον αφορά την ευαισθητοποίηση και την κατάρτιση·

στ)

ανταλλάσσει πληροφορίες και βέλτιστες πρακτικές για την έρευνα και την ανάπτυξη σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών·

ζ)

κατά περίπτωση, ανταλλάσσει εμπειρίες για θέματα ασφάλειας συστημάτων δικτύου και πληροφοριών με τα αρμόδια θεσμικά και λοιπά όργανα της Ένωσης και με τους αρμόδιους οργανισμούς της·

η)

συζητεί τα πρότυπα και τις προδιαγραφές που αναφέρονται στο άρθρο 19 με αντιπροσώπους των αρμόδιων ευρωπαϊκών οργανισμών τυποποίησης·

θ)

συλλέγει πληροφορίες για βέλτιστες πρακτικές σχετικά με κινδύνους και συμβάντα·

ι)

εξετάζει σε ετήσια βάση τις συνοπτικές εκθέσεις που αναφέρονται στο άρθρο 10 παράγραφος 3 δεύτερο εδάφιο·

ια)

συζητεί τις εργασίες που πραγματοποιούνται σε επίπεδο ασκήσεων σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών, εκπαιδευτικών προγραμμάτων και κατάρτισης, συμπεριλαμβανομένων των εργασιών που έγιναν από τον ENISA·

ιβ)

με τη συνδρομή του ENISA, ανταλλάσσει βέλτιστες πρακτικές σχετικά με τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών από τα κράτη μέλη, συμπεριλαμβανομένων μεταξύ άλλων όσον αφορά διασυνοριακές εξαρτήσεις σε σχέση με κινδύνους και συμβάντα·

ιγ)

συζητεί τις λεπτομέρειες για την υποβολή κοινοποιήσεων συμβάντων που προβλέπονται στα άρθρα 14 και 16.

α)

ανταλλαγή πληροφοριών σχετικά με τις υπηρεσίες, τις δραστηριότητες και τις δυνατότητες συνεργασίας των CSIRT·

β)

κατόπιν αιτήματος του αντιπροσώπου CSIRT κράτους μέλους που ενδέχεται να επηρεάζεται από ένα συμβάν, ανταλλαγή και συζήτηση μη ευαίσθητων από εμπορικής άποψης πληροφοριών που σχετίζονται με το συγκεκριμένο συμβάν και συναφείς κινδύνους· ωστόσο, κάθε κράτος μέλος μπορεί να αρνηθεί να συμβάλει στη συζήτηση αυτή εάν υπάρχει κίνδυνος να θιγεί η διερεύνηση του συμβάντος·

γ)

ανταλλαγή και διάθεση σε εθελούσια βάση μη εμπιστευτικών πληροφοριών για μεμονωμένα συμβάντα·

δ)

κατόπιν αιτήματος αντιπροσώπου CSIRT κράτους μέλους, συζήτηση και, εφόσον είναι δυνατόν, καθορισμός συντονισμένης απόκρισης για ένα συμβάν που έχει διαπιστωθεί εντός της δικαιοδοσίας του συγκεκριμένου κράτους μέλους·

ε)

υποστήριξη των κρατών μελών για την αντιμετώπιση διασυνοριακών συμβάντων βάσει της εθελούσιας αμοιβαίας συνδρομής τους·

στ)

συζήτηση, διερεύνηση και καθορισμός περαιτέρω μορφών επιχειρησιακής συνεργασίας, συμπεριλαμβανομένων μεταξύ άλλων και τα σχετικά με:

ζ)

ενημέρωση της ομάδας συνεργασίας σχετικά με τις δραστηριότητές του και τις περαιτέρω μορφές επιχειρησιακής συνεργασίας που συζητούνται σύμφωνα με το στοιχείο στ), και υποβολή αιτήματος για καθοδήγηση ως προς αυτό·

η)

συζήτηση των διδαγμάτων που αντλούνται από ασκήσεις σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών, συμπεριλαμβανομένων μεταξύ άλλων και από εκείνες που οργανώνει ο ENISA·

θ)

κατόπιν αιτήματος μεμονωμένου CSIRT, συζήτηση των δυνατοτήτων και της ετοιμότητας του εν λόγω CSIRT·

ι)

έκδοση κατευθυντήριων γραμμών προκειμένου να διευκολυνθεί η σύγκλιση των επιχειρησιακών πρακτικών όσον αφορά την εφαρμογή των διατάξεων του παρόντος άρθρου για την επιχειρησιακή συνεργασία.

α)

ο αριθμός των χρηστών που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας·

β)

η διάρκεια του συμβάντος·

γ)

το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν·

α)

τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των συστημάτων δικτύου και πληροφοριών τους, συμπεριλαμβανομένων, μεταξύ άλλων, τεκμηριωμένων πολιτικών ασφάλειας·

β)

στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που να έχει διενεργηθεί είτε από την αρμόδια αρχή είτε από εξουσιοδοτημένο επιθεωρητή και, στην δεύτερη αυτή περίπτωση, να θέτουν τα αποτελέσματα τους, καθώς και τα σχετικά στοιχεία, στη διάθεση της αρμόδιας αρχής.

α)

την ασφάλεια των συστημάτων και των εγκαταστάσεων·

β)

τη διαχείριση συμβάντων·

γ)

τη διαχείριση της επιχειρησιακής συνέχειας·

δ)

την παρακολούθηση, τις επιθεωρήσεις και τις δοκιμές·

ε)

τη συμμόρφωση με διεθνή πρότυπα.

α)

ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών·

β)

η διάρκεια του συμβάντος·

γ)

το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν·

δ)

η έκταση της διατάραξης της λειτουργίας της υπηρεσίας·

ε)

η έκταση του αντίκτυπου στις οικονομικές και κοινωνικές δραστηριότητες.

α)

να παρέχουν τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των συστημάτων δικτύου και πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας·

β)

να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης προς τις απαιτήσεις που ορίζονται στο άρθρο 16.