(1)

Η οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) αποσκοπούσε στην ανάπτυξη ικανοτήτων κυβερνοασφάλειας σε ολόκληρη την Ένωση, στον μετριασμό των απειλών για τα συστήματα δικτύου και πληροφοριών που χρησιμοποιούνται για την παροχή βασικών υπηρεσιών σε σημαντικούς τομείς και στη διασφάλιση της συνέχειας των υπηρεσιών αυτών κατά την αντιμετώπιση περιστατικών, ώστε να συμβάλει στην ασφάλεια και στην αποτελεσματική λειτουργία της οικονομίας και της κοινωνίας της Ένωσης.

(2)

Μετά την έναρξη ισχύος της οδηγίας (ΕΕ) 2016/1148, έχει σημειωθεί σημαντική πρόοδος στην αύξηση του επιπέδου κυβερνοανθεκτικότητας της Ένωσης. Η επανεξέταση της εν λόγω οδηγίας κατέδειξε ότι αυτή λειτούργησε ως καταλύτης για τη θεσμική και κανονιστική προσέγγιση της κυβερνοασφάλειας στην Ένωση καθώς προετοίμασε το έδαφος για μια σημαντική αλλαγή νοοτροπίας. Με την οδηγία διασφαλίστηκε η ολοκλήρωση των εθνικών πλαισίων για την ασφάλεια των συστημάτων δικτύου και πληροφοριών με τη θέσπιση εθνικών στρατηγικών για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, τη θέσπιση εθνικών ικανοτήτων και με την εφαρμογή ρυθμιστικών μέτρων τα οποία καλύπτουν βασικές υποδομές και οντότητες που προσδιορίζονται από κάθε κράτος μέλος. Η οδηγία (ΕΕ) 2016/1148 συνέβαλε επίσης στη συνεργασία σε επίπεδο Ένωσης μέσω της σύστασης της ομάδας συνεργασίας και του δικτύου εθνικών ομάδων αντιμετώπισης περιστατικών ασφάλειας υπολογιστών. Παρά τα επιτεύγματα αυτά, η επανεξέταση της οδηγίας (ΕΕ) 2016/1148 αποκάλυψε εγγενείς αδυναμίες που την εμποδίζουν να αντιμετωπίσει αποτελεσματικά τις τρέχουσες και τις αναδυόμενες προκλήσεις στον τομέα της κυβερνοασφάλειας.

(3)

Τα συστήματα δικτύου και πληροφοριών έχουν εξελιχθεί σε κεντρικό στοιχείο της καθημερινής ζωής με τον ταχύ ψηφιακό μετασχηματισμό και τη διασύνδεση της κοινωνίας, μεταξύ άλλων στις διασυνοριακές ανταλλαγές. Η εξέλιξη αυτή έχει οδηγήσει σε επέκταση του τοπίου των κυβερνοαπειλών, γεγονός που δημιουργεί νέες προκλήσεις οι οποίες απαιτούν προσαρμοσμένες, συντονισμένες και καινοτόμες αποκρίσεις σε όλα τα κράτη μέλη. Ο αριθμός, το μέγεθος, η επινοητικότητα, η συχνότητα και ο αντίκτυπος των περιστατικών αυξάνονται και συνιστούν μείζονα απειλή για τη λειτουργία των συστημάτων δικτύου και πληροφοριών. Ως εκ τούτου, τα περιστατικά μπορούν να παρεμποδίσουν την άσκηση οικονομικών δραστηριοτήτων στην εσωτερική αγορά, να προκαλέσουν οικονομικές απώλειες, να υπονομεύσουν την εμπιστοσύνη των χρηστών και να προκαλέσουν σοβαρή ζημία στην οικονομία και την κοινωνία της Ένωσης. Ως εκ τούτου, η ετοιμότητα και η αποτελεσματικότητα στον τομέα της κυβερνοασφάλειας είναι πλέον πιο σημαντικές από ποτέ για την ορθή λειτουργία της εσωτερικής αγοράς. Επιπλέον, σε πολλούς κρίσιμους τομείς η κυβερνοασφάλεια αποτελεί βασικό παράγοντα για την αποδοχή του ψηφιακού μετασχηματισμού και την πλήρη αξιοποίηση των οικονομικών, κοινωνικών και βιώσιμων οφελών της ψηφιοποίησης.

(4)

Η νομική βάση της οδηγίας (ΕΕ) 2016/1148 ήταν το άρθρο 114 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), στόχος του οποίου είναι η εγκαθίδρυση και η λειτουργία της εσωτερικής αγοράς με την ενίσχυση των μέτρων για την προσέγγιση των εθνικών κανόνων. Οι απαιτήσεις κυβερνοασφάλειας που επιβάλλονται στις οντότητες που παρέχουν υπηρεσίες ή ασκούν οικονομικά σημαντικές δραστηριότητες ποικίλλουν σημαντικά μεταξύ των κρατών μελών ως προς το είδος των απαιτήσεων, τον βαθμό λεπτομέρειάς τους και τη μέθοδο εποπτείας. Οι διαφορές αυτές συνεπάγονται πρόσθετο κόστος και προκαλούν δυσκολίες στις οντότητες που προσφέρουν αγαθά ή υπηρεσίες διασυνοριακά. Απαιτήσεις που επιβάλλονται από ένα κράτος μέλος και οι οποίες διαφέρουν, ή ακόμη και έρχονται σε αντίθεση με αυτές που επιβάλλει άλλο κράτος μέλος, ενδέχεται να επηρεάσουν σημαντικά τις εν λόγω διασυνοριακές δραστηριότητες. Επιπλέον, η πιθανότητα ανεπαρκούς σχεδιασμού ή εφαρμογής των απαιτήσεων κυβερνοασφάλειας σε ένα κράτος μέλος είναι πιθανό να έχει επιπτώσεις στο επίπεδο κυβερνοασφάλειας άλλων κρατών μελών, ιδίως δεδομένης της έντασης των διασυνοριακών ανταλλαγών. Η επανεξέταση της οδηγίας (ΕΕ) 2016/1148 κατέδειξε μεγάλη απόκλιση στην εφαρμογή της από τα κράτη μέλη, μεταξύ άλλων όσον αφορά το πεδίο εφαρμογής της, η οριοθέτηση του οποίου επαφίεται σε μεγάλο βαθμό στη διακριτική ευχέρεια των κρατών μελών. Η οδηγία (ΕΕ) 2016/1148 παρείχε επίσης ευρύτατη διακριτική ευχέρεια στα κράτη μέλη όσον αφορά την εφαρμογή των υποχρεώσεων σχετικά με την ασφάλεια και την αναφορά των περιστατικών που ορίζονται στην εν λόγω οδηγία. Ως εκ τούτου, οι υποχρεώσεις αυτές εκπληρώθηκαν με πολύ διαφορετικούς τρόπους σε εθνικό επίπεδο. Παρόμοιες αποκλίσεις υπάρχουν στην εφαρμογή των διατάξεων της οδηγίας (ΕΕ) 2016/1148 για την εποπτεία και την επιβολή.

(5)

Όλες αυτές οι αποκλίσεις έχουν ως αποτέλεσμα τον κατακερματισμό της εσωτερικής αγοράς και ενδέχεται να έχουν αρνητικές επιπτώσεις στη λειτουργία της, επηρεάζοντας ιδίως τη διασυνοριακή παροχή υπηρεσιών και το επίπεδο κυβερνοανθεκτικότητας λόγω της εφαρμογής πολλαπλών μέτρων. Εντέλει, οι αποκλίσεις αυτές θα μπορούσαν να οδηγήσουν στη μεγαλύτερη ευπάθεια ορισμένων κρατών μελών έναντι κυβερνοαπειλών, με δυνητικές δευτερογενείς επιπτώσεις σε ολόκληρη την Ένωση. Η παρούσα οδηγία αποσκοπεί στην εξάλειψη αυτών των μεγάλων αποκλίσεων μεταξύ των κρατών μελών, ιδίως με τον καθορισμό ελάχιστων κανόνων σχετικά με τη λειτουργία ενός συντονισμένου κανονιστικού πλαισίου, με τη θέσπιση μηχανισμών για την αποτελεσματική συνεργασία μεταξύ των αρμόδιων αρχών σε κάθε κράτος μέλος, με την επικαιροποίηση του καταλόγου των τομέων και δραστηριοτήτων που υπόκεινται σε υποχρεώσεις κυβερνοασφάλειας και με τη θέσπιση αποτελεσματικών ένδικων μέσων και μέτρων επιβολής που έχουν καθοριστική σημασία για την αποτελεσματική επιβολή των εν λόγω υποχρεώσεων. Ως εκ τούτου, η οδηγία (ΕΕ) 2016/1148 θα πρέπει να καταργηθεί και να αντικατασταθεί από την παρούσα οδηγία.

(6)

Με την κατάργηση της οδηγίας (ΕΕ) 2016/1148, το πεδίο εφαρμογής ανά τομείς θα πρέπει να επεκταθεί σε μεγαλύτερο μέρος της οικονομίας για να παρέχεται ολοκληρωμένη κάλυψη των τομέων και υπηρεσιών ζωτικής σημασίας για βασικές κοινωνιακές και οικονομικές δραστηριότητες στην εσωτερική αγορά. Ειδικότερα, η παρούσα οδηγία αποσκοπεί στην αντιμετώπιση των ελλείψεων λόγω της διαφοροποίησης μεταξύ των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών, η οποία έχει αποδειχθεί παρωχημένη, δεδομένου ότι δεν αποτυπώνει τη σημασία των τομέων ή των υπηρεσιών για τις κοινωνικές και οικονομικές δραστηριότητες στην εσωτερική αγορά.

(7)

Σύμφωνα με την οδηγία (ΕΕ) 2016/1148, τα κράτη μέλη έφεραν την ευθύνη του προσδιορισμού των οντοτήτων που πληρούν τα κριτήρια του ορισμού του φορέα εκμετάλλευσης βασικών υπηρεσιών. Προκειμένου να εξαλειφθούν οι μεγάλες αποκλίσεις μεταξύ των κρατών μελών ως προς το θέμα αυτό και να διασφαλιστεί για όλες τις σχετικές οντότητες ασφάλεια δικαίου όσον αφορά τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τις υποχρεώσεις αναφοράς περιστατικών, θα πρέπει να θεσπιστεί ενιαίο κριτήριο για τον προσδιορισμό των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. Το κριτήριο αυτό θα πρέπει να συνίσταται στην εφαρμογή ενός κανόνα ανώτατου ορίου μεγέθους, σύμφωνα με τον οποίο όλες οι οντότητες που χαρακτηρίζονται μεσαίες επιχειρήσεις δυνάμει του άρθρου 2 του παραρτήματος της σύστασης 2003/361/ΕΚ της Επιτροπής (5) ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που προβλέπονται στην παράγραφο 1 του εν λόγω άρθρου και που δραστηριοποιούνται στους τομείς και παρέχουν τα είδη υπηρεσιών ή ασκούν τις δραστηριότητες που καλύπτονται από την παρούσα οδηγία εμπίπτουν στο πεδίο εφαρμογής του. Τα κράτη μέλη θα πρέπει επίσης να προβλέπουν ότι ορισμένες μικρές επιχειρήσεις και πολύ μικρές επιχειρήσεις, όπως καθορίζονται στο άρθρο 2 παράγραφοι 2 και 3 του εν λόγω παραρτήματος, που πληρούν ειδικά κριτήρια τα οποία υποδεικνύουν βασικό ρόλο για την κοινωνία, την οικονομία ή για συγκεκριμένους τομείς ή τύπους υπηρεσιών εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας.

(8)

Η εξαίρεση των οντοτήτων δημόσιας διοίκησης από το πεδίο εφαρμογής της παρούσας οδηγίας θα πρέπει να εφαρμόζεται σε οντότητες των οποίων οι δραστηριότητες εντάσσονται κατά κύριο λόγο στους τομείς της εθνικής ασφάλειας, της δημόσιας ασφάλειας, της άμυνας, ή της επιβολής του νόμου, συμπεριλαμβανομένης της πρόληψης, της διερεύνησης, της διαπίστωσης και της δίωξης ποινικών αδικημάτων. Ωστόσο, οι οντότητες δημόσιας διοίκησης των οποίων οι δραστηριότητες συνδέονται μόνο οριακά με τους εν λόγω τομείς δεν θα πρέπει να εξαιρεθούν από το πεδίο εφαρμογής της παρούσας οδηγίας. Για τους σκοπούς της παρούσας οδηγίας, οι οντότητες με ρυθμιστικές αρμοδιότητες δεν θεωρείται ότι ασκούν δραστηριότητες στον τομέα της επιβολής του νόμου και, επομένως, δεν εξαιρούνται για τον λόγο αυτό από το πεδίο εφαρμογής της παρούσας οδηγίας. Οι φορείς δημόσιας διοίκησης που ιδρύονται από κοινού με τρίτη χώρα σύμφωνα με διεθνή συμφωνία εξαιρούνται από το πεδίο εφαρμογής της παρούσας οδηγίας. Η παρούσα οδηγία δεν εφαρμόζεται στις διπλωματικές και προξενικές αποστολές κρατών μελών σε τρίτες χώρες ή στα συστήματα δικτύου και πληροφοριών τους, όταν τα συστήματα αυτά βρίσκονται στις εγκαταστάσεις της αποστολής ή λειτουργούν για χρήστες σε τρίτη χώρα.

(9)

Τα κράτη μέλη θα πρέπει να είναι σε θέση να λαμβάνουν τα αναγκαία μέτρα για την προστασία των ουσιωδών συμφερόντων εθνικής ασφάλειας, τη διαφύλαξη της δημόσιας τάξης και ασφάλειας, καθώς και την πρόληψη, τη διερεύνηση, την ανίχνευση και τη δίωξη ποινικών αδικημάτων. Για τον σκοπό αυτό, τα κράτη μέλη θα πρέπει να μπορούν να εξαιρούν συγκεκριμένες οντότητες που ασκούν δραστηριότητες στους τομείς της εθνικής ασφάλειας, της δημόσιας ασφάλειας, της άμυνας, ή της επιβολής του νόμου, συμπεριλαμβανομένων και των δραστηριοτήτων που σχετίζονται με την πρόληψη, τη διερεύνηση, τον εντοπισμό και τη δίωξη ποινικών αδικημάτων, από ορισμένες υποχρεώσεις που ορίζονται στην παρούσα οδηγία όσον αφορά τις εν λόγω δραστηριότητες. Όταν μια οντότητα παρέχει υπηρεσίες αποκλειστικά σε οντότητα δημόσιας διοίκησης που εξαιρείται από το πεδίο εφαρμογής της παρούσας οδηγίας, τα κράτη μέλη θα πρέπει να μπορούν να αποφασίζουν ότι η εν λόγω οντότητα εξαιρείται από τις υποχρεώσεις που ορίζονται στην παρούσα οδηγία όσον αφορά τις εν λόγω υπηρεσίες. Επιπλέον, σύμφωνα με το άρθρο 346 ΣΛΕΕ, κανένα κράτος μέλος δεν θα πρέπει να υποχρεούται να παρέχει πληροφορίες, η γνωστοποίηση των οποίων θα ήταν αντίθετη προς ουσιώδη συμφέροντα της εθνικής ασφάλειας, της δημόσιας ασφάλειας ή της άμυνάς του. Στο πλαίσιο αυτό, οι εθνικοί και ενωσιακοί κανόνες για την προστασία διαβαθμισμένων πληροφοριών, οι συμφωνίες εμπιστευτικότητας και οι άτυπες συμφωνίες εμπιστευτικότητας, όπως το πρωτόκολλο για την ανταλλαγή πληροφοριών «Traffic Light Protocol», θα πρέπει να λαμβάνονται υπόψη. Το πρωτόκολλο για την ανταλλαγή πληροφοριών πρέπει να νοείται ως μέσο που επιτρέπει την παροχή πληροφοριών σχετικά με τυχόν περιορισμούς στην περαιτέρω διάδοση των πληροφοριών. Χρησιμοποιείται σε όλες σχεδόν τις ομάδες αντιμετώπισης περιστατικών ασφαλείας σε υπολογιστές (CSIRT) και σε ορισμένα κέντρα ανάλυσης και ανταλλαγής πληροφοριών.

(10)

Μολονότι η παρούσα οδηγία εφαρμόζεται σε οντότητες που ασκούν δραστηριότητες στον τομέα της παραγωγής ηλεκτρικής ενέργειας από πυρηνικούς σταθμούς, ορισμένες από τις εν λόγω δραστηριότητες μπορεί να συνδέονται με την εθνική ασφάλεια. Στην περίπτωση αυτή, τα κράτη μέλη θα πρέπει να είναι σε θέση να ασκούν την αρμοδιότητά τους για τη διαφύλαξη της εθνικής ασφάλειας όσον αφορά τις εν λόγω δραστηριότητες, συμπεριλαμβανομένων των δραστηριοτήτων εντός της αλυσίδας αξίας της πυρηνικής ενέργειας, σύμφωνα με τις Συνθήκες.

(11)

Ορισμένες οντότητες ασκούν δραστηριότητες στους τομείς της εθνικής ασφάλειας, της δημόσιας ασφάλειας, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένης της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων, παρέχοντας παράλληλα υπηρεσίες εμπιστοσύνης. Οι πάροχοι υπηρεσιών εμπιστοσύνης που υπάγονται στο πεδίο εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6) θα πρέπει να υπάγονται στο πεδίο εφαρμογής της παρούσας οδηγίας, προκειμένου να διασφαλίζεται το ίδιο επίπεδο απαιτήσεων ασφάλειας και εποπτείας με εκείνο που προβλεπόταν προηγουμένως στον εν λόγω κανονισμό σε σχέση με τους παρόχους υπηρεσιών εμπιστοσύνης. Σύμφωνα με την εξαίρεση κάποιων ορισμένων από τον κανονισμό (ΕΕ) αριθ. 910/2014 ειδικών υπηρεσιών, η παρούσα οδηγία δεν θα πρέπει να εφαρμόζεται στην παροχή υπηρεσιών εμπιστοσύνης που χρησιμοποιούνται αποκλειστικά στο πλαίσιο κλειστών συστημάτων που απορρέουν από το εθνικό δίκαιο ή από συμφωνίες μεταξύ καθορισμένου συνόλου συμμετεχόντων.

(12)

Οι φορείς παροχής ταχυδρομικών υπηρεσιών κατά την έννοια της οδηγίας 97/67/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7), συμπεριλαμβανομένων των παρόχων υπηρεσιών ταχυμεταφοράς, θα πρέπει να εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας εάν παρέχουν τουλάχιστον ένα από τα στάδια της αλυσίδας ταχυδρομικής διανομής, και ιδίως την περισυλλογή, τη διαλογή, τη μεταφορά ή τη διανομή ταχυδρομικών αντικειμένων, συμπεριλαμβανομένων των υπηρεσιών παραλαβής, λαμβάνοντας παράλληλα υπόψη τον βαθμό εξάρτησής τους από τα συστήματα δικτύου και πληροφοριών. Οι υπηρεσίες μεταφορών που δεν πραγματοποιούνται σε συνδυασμό με ένα από τα στάδια αυτά θα πρέπει να εξαιρούνται από το πεδίο των ταχυδρομικών υπηρεσιών.

(13)

Δεδομένης της εντατικοποίησης και της αυξημένης πολυπλοκότητας των κυβερνοαπειλών, τα κράτη μέλη θα πρέπει να επιδιώξουν να διασφαλίσουν ότι οι οντότητες που εξαιρούνται από το πεδίο εφαρμογής της παρούσας οδηγίας επιτυγχάνουν υψηλό επίπεδο κυβερνοασφάλειας και να στηρίξουν την εφαρμογή ισοδύναμων μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που αντικατοπτρίζουν τον ευαίσθητο χαρακτήρα των εν λόγω οντοτήτων.

(14)

Το δίκαιο της Ένωσης για την προστασία των δεδομένων και το δίκαιο της Ένωσης για την προστασία της ιδιωτικότητας εφαρμόζονται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει της παρούσας οδηγίας. Συγκεκριμένα, η παρούσα οδηγία εφαρμόζεται με την επιφύλαξη του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8) και της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9). Κατά συνέπεια, η παρούσα οδηγία δεν θα πρέπει να θίγει, μεταξύ άλλων, τα καθήκοντα και τις εξουσίες των αρχών που είναι αρμόδιες για την παρακολούθηση της συμμόρφωσης με το ισχύον ενωσιακό δίκαιο για την προστασία των δεδομένων και το ενωσιακό δίκαιο για την προστασία της ιδιωτικότητας.

(15)

Οι οντότητες που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας για τους σκοπούς της συμμόρφωσης με τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τις υποχρεώσεις υποβολής αναφορών θα πρέπει να ταξινομούνται σε δύο κατηγορίες, σε βασικές οντότητες και σημαντικές οντότητες, ώστε να αντικατοπτρίζονται ο βαθμός κρισιμότητάς τους, όσον αφορά τον τομέα τους ή το είδος της υπηρεσίας που παρέχουν, καθώς και το μέγεθός τους. Στο πλαίσιο αυτό, θα πρέπει να λαμβάνονται δεόντως υπόψη τυχόν σχετικές τομεακές εκτιμήσεις κινδύνου ή καθοδήγηση από τις αρμόδιες αρχές, κατά περίπτωση. Τα καθεστώτα εποπτείας και επιβολής για τις δύο αυτές κατηγορίες οντοτήτων θα πρέπει να διαφοροποιούνται ώστε να εξασφαλίζεται δίκαιη ισορροπία μεταξύ των απαιτήσεων και των υποχρεώσεων με βάση τον κίνδυνο, αφενός, και του διοικητικού φόρτου που προκύπτει από την εποπτεία της συμμόρφωσης, αφετέρου.

(16)

Προκειμένου να αποφευχθεί το ενδεχόμενο, οντότητες που έχουν συνεργαζόμενες επιχειρήσεις ή είναι συνδεδεμένες επιχειρήσεις να θεωρούνται βασικές ή σημαντικές οντότητες όταν αυτό θα ήταν δυσανάλογο, τα κράτη μέλη μπορούν να λαμβάνουν υπόψη τον βαθμό ανεξαρτησίας που έχει μια οντότητα σε σχέση με τον εταίρο της ή τις συνδεδεμένες επιχειρήσεις, κατά την εφαρμογή του άρθρου 6 παράγραφος 2 του παραρτήματος της σύστασης 2003/361/ΕΚ. Πιο συγκεκριμένα, τα κράτη μέλη μπορούν να λαμβάνουν υπόψη το γεγονός ότι μια οντότητα είναι ανεξάρτητη από τον εταίρο της ή τις συνδεδεμένες επιχειρήσεις όσον αφορά τα συστήματα δικτύου και πληροφοριών που χρησιμοποιεί η εν λόγω οντότητα για την παροχή των υπηρεσιών της και όσον αφορά τις υπηρεσίες που παρέχει η οντότητα. Σε αυτή τη βάση, κατά περίπτωση, τα κράτη μέλη μπορούν να θεωρούν ότι μια τέτοια οντότητα δεν συνιστά μεσαία επιχείρηση δυνάμει του άρθρου 2 του παραρτήματος της σύστασης 2003/361/ΕΚ, ή δεν υπερβαίνει τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που αναφέρονται στην παράγραφο 1 του εν λόγω άρθρου, εάν, αφού ληφθεί υπόψη ο βαθμός ανεξαρτησίας της εν λόγω οντότητας, η εν λόγω οντότητα δεν θα είχε θεωρηθεί ως μεσαία επιχείρηση ή ότι υπερβαίνει τα εν λόγω ανώτατα όρια σε περίπτωση που είχαν ληφθεί υπόψη μόνο τα δικά της δεδομένα. Αυτό δεν θίγει τις υποχρεώσεις που απορρέουν από την παρούσα οδηγία για τις συνεργαζόμενες και τις συνδεδεμένες επιχειρήσεις που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας.

(17)

Τα κράτη μέλη θα πρέπει να είναι σε θέση να αποφασίσουν εάν οι οντότητες που προσδιορίστηκαν πριν από την έναρξη ισχύος της παρούσας οδηγίας ως φορείς εκμετάλλευσης βασικών υπηρεσιών σύμφωνα με την οδηγία (ΕΕ) 2016/1148, πρέπει να θεωρούνται βασικές οντότητες.

(18)

Προκειμένου να διασφαλιστεί σαφής επισκόπηση των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας, τα κράτη μέλη θα πρέπει να καταρτίσουν κατάλογο βασικών και σημαντικών οντοτήτων καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα. Για τον σκοπό αυτό, τα κράτη μέλη θα πρέπει να απαιτούν από τις οντότητες να υποβάλλουν στις αρμόδιες αρχές τουλάχιστον τις ακόλουθες πληροφορίες, συγκεκριμένα το όνομα, τη διεύθυνση και τα επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου, των πεδίων IP και των αριθμών τηλεφώνου της οντότητας, και κατά περίπτωση, του σχετικού τομέα και υποτομέα που αναφέρονται στα παραρτήματα, καθώς και, κατά περίπτωση, κατάλογο των κρατών μελών στα οποία παρέχουν υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. Για τον σκοπό αυτό, η Επιτροπή, με τη συνδρομή του Οργανισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), θα πρέπει, χωρίς αδικαιολόγητη καθυστέρηση, να προβλέπει κατευθυντήριες γραμμές και υποδείγματα σχετικά με την υποχρέωση υποβολής πληροφοριών. Για να διευκολυνθεί η κατάρτιση και η επικαιροποίηση του καταλόγου των βασικών και σημαντικών οντοτήτων καθώς και των οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, τα κράτη μέλη θα πρέπει να είναι σε θέση να θεσπίζουν εθνικούς μηχανισμούς για την εγγραφή των οντοτήτων αυτών. Όταν υπάρχουν μητρώα σε εθνικό επίπεδο, τα κράτη μέλη μπορούν να αποφασίζουν σχετικά με τους κατάλληλους μηχανισμούς που επιτρέπουν τον προσδιορισμό των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας.

(19)

Τα κράτη μέλη θα πρέπει να φέρουν την ευθύνη για την υποβολή στην Επιτροπή τουλάχιστον του αριθμού των βασικών και σημαντικών οντοτήτων για κάθε τομέα και υποτομέα που αναφέρεται στα παραρτήματα, καθώς και των πληροφοριών σχετικά με τον αριθμό των προσδιορισμένων οντοτήτων και τη διάταξη της παρούσας οδηγίας, βάσει της οποίας ορίστηκαν ως τέτοιες, και το είδος της υπηρεσίας που παρέχουν. Τα κράτη μέλη ενθαρρύνονται να ανταλλάσσουν με την Επιτροπή πληροφορίες σχετικά με βασικές και σημαντικές οντότητες και, σε περίπτωση περιστατικού μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας, σχετικές πληροφορίες όπως το όνομα της οικείας οντότητας.

(20)

Η Επιτροπή θα πρέπει, σε συνεργασία με την Ομάδα Συνεργασίας και κατόπιν διαβούλευσης με τα ενδιαφερόμενα μέρη, να προβλέπει κατευθυντήριες γραμμές σχετικά με την εφαρμογή των κριτηρίων που ισχύουν για τις πολύ μικρές και τις μικρές επιχειρήσεις προκειμένου να αξιολογήσει εάν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. Η Επιτροπή θα πρέπει επίσης να διασφαλίσει ότι παρέχεται κατάλληλη καθοδήγηση στις πολύ μικρές και μικρές επιχειρήσεις που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας. Η Επιτροπή θα πρέπει, με τη βοήθεια των κρατών μελών, να θέτει σχετικές πληροφορίες στη διάθεση των πολύ μικρών και των μικρών επιχειρήσεων.

(21)

Η Επιτροπή θα μπορούσε να παρέχει καθοδήγηση για να βοηθά τα κράτη μέλη στην εφαρμογή των διατάξεων της παρούσας οδηγίας σχετικά με το πεδίο εφαρμογής και την αξιολόγηση της αναλογικότητας των μέτρων που πρέπει να ληφθούν δυνάμει της παρούσας οδηγίας, ιδίως όσον αφορά οντότητες με σύνθετα επιχειρηματικά μοντέλα ή περιβάλλοντα λειτουργίας, σε περιπτώσεις όπου μια οντότητα μπορεί να πληροί ταυτόχρονα τα κριτήρια που αντιστοιχούν τόσο σε βασικές όσο και σε σημαντικές οντότητες ή να ασκεί ταυτόχρονα δραστηριότητες, ορισμένες από τις οποίες εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας και ορισμένες από τις οποίες εξαιρούνται από το πεδίο εφαρμογής της.

(22)

Η παρούσα οδηγία καθορίζει τη βάση αναφοράς για τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τις υποχρεώσεις αναφοράς περιστατικών σε όλους τους τομείς που εμπίπτουν στο πεδίο εφαρμογής της. Προκειμένου να αποφευχθεί ο κατακερματισμός των διατάξεων περί κυβερνοασφάλειας των νομικών πράξεων της Ένωσης, όταν περαιτέρω τομεακές νομικές πράξεις της Ένωσης που αφορούν μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και υποχρεώσεις υποβολής εκθέσεων θεωρούνται αναγκαίες για τη διασφάλιση υψηλού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση, η Επιτροπή θα πρέπει να αξιολογήσει κατά πόσον οι εν λόγω επιπλέον διατάξεις θα μπορούσαν να καθοριστούν σε εκτελεστική πράξη δυνάμει της παρούσας οδηγίας. Εάν οι εκτελεστική πράξη δεν είναι κατάλληλη για τον σκοπό αυτό, οι τομεακές νομικές πράξεις της Ένωσης θα μπορούσαν να συμβάλουν στη διασφάλιση υψηλού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση, λαμβάνοντας παράλληλα πλήρως υπόψη τις ιδιαιτερότητες και την πολυπλοκότητα των σχετικών τομέων. Για τον σκοπό αυτό, η παρούσα οδηγία δεν αποκλείει την έκδοση περαιτέρω τομεακών νομικών πράξεων της Ένωσης για την αντιμετώπιση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και των υποχρεώσεων κοινοποίησης περιστατικών που λαμβάνουν δεόντως υπόψη την ανάγκη για ένα ολοκληρωμένο και συνεκτικό πλαίσιο κυβερνοασφάλειας. Η παρούσα οδηγία δεν θίγει τις υφιστάμενες εκτελεστικές αρμοδιότητες που έχουν ανατεθεί στην Επιτροπή σε διάφορους τομείς, συμπεριλαμβανομένων των μεταφορών και της ενέργειας.

(23)

Όταν μια τομεακή νομική πράξη της Ένωσης περιέχει διατάξεις που απαιτούν από βασικές ή σημαντικές οντότητες να εγκρίνουν μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας ή να κοινοποιούν σημαντικά περιστατικά, και όταν οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στην παρούσα οδηγία, οι εν λόγω διατάξεις, μεταξύ άλλων σχετικά με την εποπτεία και την επιβολή, θα πρέπει να εφαρμόζονται στις εν λόγω οντότητες. Εάν μια τομεακή νομική πράξη της Ένωσης δεν καλύπτει όλες τις οντότητες σε συγκεκριμένο τομέα που εμπίπτει στο πεδίο εφαρμογής της παρούσας οδηγίας, οι σχετικές διατάξεις της παρούσας οδηγίας θα πρέπει να εξακολουθήσουν να εφαρμόζονται στις οντότητες που δεν καλύπτονται από την εν λόγω πράξη.

(24)

Όταν οι διατάξεις τομεακής νομικής πράξης της Ένωσης απαιτούν από βασικές ή σημαντικές οντότητες να συμμορφωθούν με υποχρεώσεις κοινοποίησης που είναι τουλάχιστον ισοδύναμου αποτελέσματος με τις υποχρεώσεις κοινοποίησης που ορίζονται στην παρούσα οδηγία, θα πρέπει να διασφαλίζεται η συνοχή και η αποτελεσματικότητα του χειρισμού των κοινοποιήσεων περιστατικών. Για τον σκοπό αυτό, οι διατάξεις της τομεακής νομικής πράξης της Ένωσης για την κοινοποίηση περιστατικών θα πρέπει να παρέχουν στις CSIRT, στις αρμόδιες αρχές ή στα ενιαία σημεία επαφής για την κυβερνοασφάλεια (ενιαία σημεία επαφής) δυνάμει της παρούσας οδηγίας άμεση πρόσβαση στις κοινοποιήσεις περιστατικών που υποβάλλονται σύμφωνα με την τομεακή νομική πράξη της Ένωσης. Ειδικότερα, η εν λόγω άμεση πρόσβαση μπορεί να διασφαλιστεί εάν οι κοινοποιήσεις περιστατικών διαβιβάζονται αμελλητί στην CSIRT, στην αρμόδια αρχή ή στο ενιαίο σημείο επαφής δυνάμει της παρούσας οδηγίας. Κατά περίπτωση, τα κράτη μέλη θα πρέπει να θεσπίσουν μηχανισμό αυτόματης και άμεσης αναφοράς που να διασφαλίζει τη συστηματική και άμεση ανταλλαγή πληροφοριών με τις CSIRT, τις αρμόδιες αρχές ή το ενιαίο σημείο επαφής σχετικά με τον χειρισμό των εν λόγω κοινοποιήσεων περιστατικών. Για τους σκοπούς της απλούστευσης της κοινοποίησης και της εφαρμογής του μηχανισμού αυτόματης και άμεσης υποβολής αναφορών, τα κράτη μέλη θα μπορούσαν, σύμφωνα με την τομεακή νομική πράξη της Ένωσης, να χρησιμοποιούν ενιαίο σημείο εισόδου.

(25)

Οι τομεακές νομικές πράξεις της Ένωσης που προβλέπουν μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας ή υποχρεώσεις υποβολής εκθέσεων τουλάχιστον ισοδύναμου αποτελέσματος με εκείνες που ορίζονται στην παρούσα οδηγία, θα μπορούσαν να προβλέπουν ότι οι αρμόδιες αρχές δυνάμει των εν λόγω πράξεων ασκούν τις εποπτικές και εκτελεστικές αρμοδιότητές τους σε σχέση με τα εν λόγω μέτρα ή υποχρεώσεις με τη συνδρομή των αρμόδιων αρχών δυνάμει της παρούσας οδηγίας. Οι οικείες αρμόδιες αρχές θα μπορούσαν να προβούν σε ρυθμίσεις συνεργασίας για τον σκοπό αυτό. Οι εν λόγω ρυθμίσεις συνεργασίας θα μπορούσαν να προσδιορίζουν, μεταξύ άλλων, τις διαδικασίες που αφορούν τον συντονισμό των εποπτικών δραστηριοτήτων, συμπεριλαμβανομένων των διαδικασιών των ερευνών και των επιτόπιων επιθεωρήσεων σύμφωνα με το εθνικό δίκαιο και ενός μηχανισμού για την ανταλλαγή σχετικών πληροφοριών, σχετικά με την εποπτεία και την επιβολή μεταξύ των αρμόδιων αρχών, συμπεριλαμβανομένης της πρόσβασης σε σχετικές με τον κυβερνοχώρο πληροφορίες που ζητούν οι αρμόδιες αρχές δυνάμει της παρούσας οδηγίας.

(26)

Όταν ειδικές τομεακές νομικές πράξεις της Ένωσης απαιτούν ή παρέχουν κίνητρα σε οντότητες για την κοινοποίηση σημαντικών κυβερνοαπειλών, τα κράτη μέλη θα πρέπει επίσης να ενθαρρύνουν την ανταλλαγή σημαντικών κυβερνοαπειλών με τις CSIRT, τις αρμόδιες αρχές ή τα ενιαία σημεία επαφής δυνάμει της παρούσας οδηγίας, προκειμένου να διασφαλίζεται ενισχυμένο επίπεδο ευαισθητοποίησης των εν λόγω οργάνων σχετικά με το τοπίο των κυβερνοαπειλών και να τους παρέχεται η δυνατότητα να ανταποκρίνονται αποτελεσματικά και εγκαίρως σε περίπτωση επέλευσης των σημαντικών κυβερνοαπειλών.

(27)

Οι μελλοντικές τομεακές νομικές πράξεις της Ένωσης θα πρέπει να λαμβάνουν δεόντως υπόψη τους ορισμούς και το πλαίσιο εποπτείας και επιβολής που καθορίζονται στην παρούσα οδηγία.

(28)

Ο κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10) θα πρέπει να θεωρείται τομεακή νομική πράξη της Ένωσης σε σχέση με την παρούσα οδηγία όσον αφορά τις οντότητες του χρηματοπιστωτικού τομέα. Αντί των διατάξεων που θεσπίζονται στην παρούσα οδηγία, θα πρέπει να εφαρμόζονται οι διατάξεις του κανονισμού (ΕΕ) 2022/2554 σχετικά με τη διαχείριση κινδύνων της τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ), τη διαχείριση περιστατικών που σχετίζονται με τις ΤΠΕ και ιδίως την αναφορά σοβαρών περιστατικών ΤΠΕ, καθώς και σχετικά με τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, τις ρυθμίσεις ανταλλαγής πληροφοριών και τον κίνδυνο τρίτων παρόχων ΤΠΕ. Ως εκ τούτου, τα κράτη μέλη δεν θα πρέπει να εφαρμόζουν τις διατάξεις της παρούσας οδηγίας σχετικά με τις υποχρεώσεις διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και αναφοράς περιστατικών και την εποπτεία, καθώς και την επιβολή της νομοθεσίας στις χρηματοπιστωτικές οντότητες που καλύπτονται από τον κανονισμό (ΕΕ) 2022/2554. Ταυτόχρονα, είναι σημαντικό να διατηρηθεί στενή σχέση και ανταλλαγή πληροφοριών με τον χρηματοπιστωτικό τομέα στο πλαίσιο της παρούσας οδηγίας. Για τον σκοπό αυτό, ο κανονισμός (ΕΕ) 2022/2554 επιτρέπει στις Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) και στις αρμόδιες αρχές δυνάμει του εν λόγω κανονισμού να συμμετέχουν στις δραστηριότητες της Ομάδας Συνεργασίας και να ανταλλάσσουν πληροφορίες και να συνεργάζονται με τα ενιαία σημεία επαφής, καθώς και με τις CSIRT και τις αρμόδιες αρχές δυνάμει της παρούσας οδηγίας. Οι αρμόδιες αρχές δυνάμει του κανονισμού (ΕΕ) 2022/2554 θα πρέπει επίσης να διαβιβάζουν λεπτομερή στοιχεία για σημαντικά περιστατικά που σχετίζονται με τις ΤΠΕ και, κατά περίπτωση, σημαντικές κυβερνοαπειλές στις CSIRT, στις αρμόδιες αρχές ή στα ενιαία σημεία επαφής δυνάμει της παρούσας οδηγίας. Αυτό μπορεί να επιτευχθεί με την παροχή άμεσης πρόσβασης στην κοινοποίηση των περιστατικών και την διαβίβασή τους απευθείας ή μέσω ενός ενιαίου σημείου εισόδου. Επιπλέον, τα κράτη μέλη θα πρέπει να συνεχίσουν να περιλαμβάνουν τον χρηματοπιστωτικό τομέα στις στρατηγικές τους για την κυβερνοασφάλεια, και οι CSIRT μπορούν να περιλαμβάνουν τον χρηματοπιστωτικό τομέα στις δραστηριότητές τους.

(29)

Προκειμένου να αποφευχθούν κενά ή αλληλεπικαλύψεις των υποχρεώσεων κυβερνοασφάλειας που επιβάλλονται σε οντότητες στον τομέα των αερομεταφορών, οι εθνικές αρχές δυνάμει των κανονισμών (ΕΚ) αριθ. 300/2008 (11) και (ΕΕ) 2018/1139 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12) και οι αρμόδιες αρχές δυνάμει της παρούσας οδηγίας θα πρέπει να συνεργάζονται σε σχέση με την εφαρμογή μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και την εποπτεία της συμμόρφωσης με τα εν λόγω μέτρα σε εθνικό επίπεδο. Η συμμόρφωση μιας οντότητας με τις απαιτήσεις ασφάλειας που καθορίζονται στους κανονισμούς (ΕΚ) αριθ. 300/2008 και (ΕΕ) 2018/1139 και στις σχετικές κατ’ εξουσιοδότηση και εκτελεστικές πράξεις που εκδίδονται σύμφωνα με τους εν λόγω κανονισμούς θα μπορούσε να θεωρηθεί από τις αρμόδιες αρχές βάσει της παρούσας οδηγίας ότι συνιστά συμμόρφωση με τις αντίστοιχες απαιτήσεις που καθορίζονται στην παρούσα οδηγία.

(30)

Λαμβανομένων υπόψη των διασυνδέσεων μεταξύ της κυβερνοασφάλειας και της φυσικής ασφάλειας των οντοτήτων, θα πρέπει να διασφαλιστεί μια συνεκτική προσέγγιση μεταξύ της οδηγίας (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (13) και της παρούσας οδηγίας. Για να επιτευχθεί αυτό, οι οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες σύμφωνα με την οδηγία (ΕΕ) 2022/2557 θα πρέπει να θεωρούνται βασικές οντότητες δυνάμει της παρούσας οδηγίας. Επιπλέον, κάθε κράτος μέλος θα πρέπει να διασφαλίζει ότι η εθνική στρατηγική του για την κυβερνοασφάλεια προβλέπει ένα πλαίσιο πολιτικής για ενισχυμένο συντονισμό εντός του εν λόγω κράτους μέλους μεταξύ των αρμόδιων αρχών του δυνάμει της παρούσας οδηγίας και των αρχών που προβλέπονται στην οδηγία (ΕΕ) 2022/2557, στο πλαίσιο της ανταλλαγής πληροφοριών σχετικά με κινδύνους, απειλές και περιστατικά στον κυβερνοχώρο, καθώς και σχετικά με κινδύνους, απειλές και περιστατικά εκτός κυβερνοχώρου, και την άσκηση εποπτικών καθηκόντων. Οι αρμόδιες αρχές δυνάμει της παρούσας οδηγίας και οι αρμόδιες αρχές δυνάμει της οδηγίας (ΕΕ) 2022/2557 θα πρέπει να συνεργάζονται και να ανταλλάσσουν πληροφορίες αμελλητί, ιδίως όσον αφορά τον προσδιορισμό των κρίσιμων οντοτήτων, των κινδύνων, των κυβερνοαπειλών και των περιστατικών, καθώς και σε σχέση με κινδύνους, απειλές και περιστατικά μη σχετιζόμενα με τον κυβερνοχώρο, που επηρεάζουν κρίσιμες οντότητες, συμπεριλαμβανομένων των μέτρων κυβερνοασφάλειας και των φυσικών μέτρων που λαμβάνονται από κρίσιμες οντότητες, καθώς και των αποτελεσμάτων των εποπτικών δραστηριοτήτων που διεξάγονται σε σχέση με τις εν λόγω οντότητες.

Επιπλέον, προκειμένου να εξορθολογιστούν οι εποπτικές δραστηριότητες μεταξύ των αρμόδιων αρχών δυνάμει της παρούσας οδηγίας και των αρμοδίων αρχών δυνάμει της οδηγίας (ΕΕ) 2022/2557 και προκειμένου να ελαχιστοποιηθεί ο διοικητικός φόρτος για τις οικείες οντότητες, οι εν λόγω αρμόδιες αρχές θα πρέπει να προσπαθήσουν να εναρμονίσουν τα υποδείγματα κοινοποίησης περιστατικών και τις εποπτικές διαδικασίες. Κατά περίπτωση, οι αρμόδιες αρχές δυνάμει της οδηγίας (ΕΕ) 2022/2557, θα πρέπει να μπορούν να ζητούν από τις αρμόδιες αρχές δυνάμει της παρούσας οδηγίας να ασκούν τις εποπτικές και εκτελεστικές αρμοδιότητές τους σε σχέση με οντότητα η οποία προσδιορίζεται ως κρίσιμη οντότητα βάσει της οδηγίας (ΕΕ) 2022/2557. Οι αρμόδιες αρχές δυνάμει της παρούσας οδηγίας και οι αρμόδιες αρχές δυνάμει της οδηγίας (ΕΕ) 2022/2557 θα πρέπει, ει δυνατόν σε πραγματικό χρόνο, να συνεργάζονται και να ανταλλάσσουν πληροφορίες για τον σκοπό αυτό.

(31)

Οι οντότητες που ανήκουν στον τομέα των ψηφιακών υποδομών στηρίζονται επί της ουσίας σε συστήματα δικτύου και πληροφοριών και, επομένως, οι υποχρεώσεις που επιβάλλονται σε αυτές σύμφωνα με την παρούσα οδηγία θα πρέπει να διαχειριστούν με ολοκληρωμένο τρόπο τη φυσική ασφάλεια των εν λόγω συστημάτων στο πλαίσιο των υποχρεώσεών τους όσον αφορά τη λήψη μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και την κοινοποίηση περιστατικών. Δεδομένου ότι τα θέματα αυτά καλύπτονται από την παρούσα οδηγία, οι υποχρεώσεις που προβλέπονται στα κεφάλαια III, IV και VI της οδηγίας (ΕΕ) 2022/2557 δεν ισχύουν για τις εν λόγω οντότητες.

(32)

Η υποστήριξη και η διατήρηση ενός αξιόπιστου, ανθεκτικού και ασφαλούς συστήματος ονομάτων χώρου (DNS) αποτελούν βασικό παράγοντα για τη διασφάλιση της ακεραιότητας του διαδικτύου και είναι ουσιαστικής σημασίας για τη συνεχή και σταθερή λειτουργία του, από την οποία εξαρτάται η ψηφιακή οικονομία και κοινωνία. Συνεπώς, η παρούσα οδηγία θα πρέπει να εφαρμόζεται στα μητρώα ονομάτων χώρου ανωτάτου επιπέδου (TLD) και στους παρόχους υπηρεσιών DNS που πρέπει να νοούνται ως οντότητες που παρέχουν δημόσια διαθέσιμες υπηρεσίες αναδρομικής επίλυσης ονομάτων χώρου για τελικούς χρήστες του διαδικτύου ή αυθεντικές υπηρεσίες επίλυσης ονομάτων χώρου για χρήση από τρίτους. Η παρούσα οδηγία δεν θα πρέπει να εφαρμόζεται σε εξυπηρετητές ονομάτων ρίζας (root name servers).

(33)

Οι υπηρεσίες υπολογιστικού νέφους θα πρέπει να καλύπτουν ψηφιακές υπηρεσίες που καθιστούν δυνατή τη διαχείριση κατά παραγγελία και την ευρεία εξ αποστάσεως πρόσβαση σε κλιμακούμενη και ελαστική δεξαμενή διαμοιραζόμενων υπολογιστικών πόρων, συμπεριλαμβανομένων και των πόρων που είναι κατανεμημένοι σε διάφορες τοποθεσίες. Οι υπολογιστικοί πόροι περιλαμβάνουν πόρους όπως δίκτυα, εξυπηρετητές ή άλλες υποδομές, λειτουργικά συστήματα, λογισμικό, αποθήκευση, εφαρμογές και υπηρεσίες. Τα μοντέλα υπηρεσιών υπολογιστικού νέφους περιλαμβάνουν, μεταξύ άλλων, την υποδομή ως υπηρεσία (IaaS), την πλατφόρμα ως υπηρεσία (PaaS), το λογισμικό ως υπηρεσία (SaaS) και το δίκτυο ως υπηρεσία (NααS). Τα μοντέλα ανάπτυξης της νεφοϋπολογιστικής θα πρέπει να περιλαμβάνουν το ιδιωτικό, το κοινοτικό, το δημόσιο και το υβριδικό υπολογιστικό νέφος. Τα μοντέλα υπηρεσιών και ανάπτυξης υπολογιστικού νέφους έχουν την ίδια έννοια με τους όρους παροχής υπηρεσιών και μοντέλων ανάπτυξης που ορίζονται στο πρότυπο ISO/IEC 17788:2014. Η ικανότητα του χρήστη του υπολογιστικού νέφους να λαμβάνει μονομερώς με ίδια μέσα υπολογιστικές ικανότητες, όπως ο χρόνος εξυπηρετητή ή η δικτυακή αποθήκευση, χωρίς ανθρώπινη αλληλεπίδραση από τον πάροχο υπηρεσιών νεφοϋπολογιστικής, θα μπορούσε να περιγραφεί ως διαχείριση κατά παραγγελία.

Ο όρος «ευρεία εξ αποστάσεως πρόσβαση» χρησιμοποιείται για να περιγράψει ότι οι δυνατότητες υπολογιστικού νέφους παρέχονται μέσω του δικτύου και είναι προσβάσιμες μέσω μηχανισμών που προωθούν τη χρήση ετερογενών πλατφορμών τύπου thin ή thick client, συμπεριλαμβανομένων κινητών τηλεφώνων, ταμπλετών, φορητών υπολογιστών και σταθμών εργασίας. Ο όρος «κλιμακοθετήσιμο» αναφέρεται σε υπολογιστικούς πόρους που κατανέμονται με ευελιξία από τον πάροχο των υπηρεσιών νεφοϋπολογιστικής, ανεξαρτήτως της γεωγραφικής θέσης των πόρων, προκειμένου να αντιμετωπιστούν διακυμάνσεις στη ζήτηση. Ο όρος «ελαστικό σύνολο» χρησιμοποιείται για να περιγράψει υπολογιστικούς πόρους που παρέχονται και γίνονται διαθέσιμοι ανάλογα με τη ζήτηση προκειμένου να καταστεί δυνατή η ταχεία αύξηση και μείωση των διαθέσιμων πόρων ανάλογα με τον φόρτο εργασίας. Ο όρος «διαμοιραζόμενοι» χρησιμοποιείται για να περιγράψει υπολογιστικούς πόρους που παρέχονται σε πολλούς χρήστες που μοιράζονται μία κοινή πρόσβαση στην υπηρεσία, αλλά όπου η επεξεργασία εκτελείται χωριστά για κάθε χρήστη, παρόλο που η υπηρεσία παρέχεται από τον ίδιο ηλεκτρονικό εξοπλισμό. Ο όρος «κατανεμημένοι» χρησιμοποιείται για να περιγράψει υπολογιστικούς πόρους που βρίσκονται σε διαφορετικούς χωρικά δικτυωμένους υπολογιστές ή συσκευές και οι οποίοι επικοινωνούν και συντονίζονται μεταξύ τους μέσω διαβίβασης μηνυμάτων.

(34)

Δεδομένης της ανάδυσης καινοτόμων τεχνολογιών και νέων επιχειρηματικών μοντέλων, αναμένεται να εμφανιστούν στην εσωτερική αγορά νέα μοντέλα υπηρεσιών και ανάπτυξης υπολογιστικού νέφους τα οποία θα ανταποκρίνονται στις εξελισσόμενες ανάγκες των πελατών. Στο πλαίσιο αυτό, οι υπηρεσίες νεφοϋπολογιστικής μπορούν να παρέχονται σε έντονα κατανεμημένη μορφή, ακόμη εγγύτερα στον τόπο παραγωγής ή συλλογής των δεδομένων, μεταβαίνοντας έτσι από το παραδοσιακό μοντέλο σε ένα έντονα κατανεμημένο μοντέλο (υπολογιστική παρυφών).

(35)

Οι υπηρεσίες που παρέχονται από τους παρόχους υπηρεσιών κέντρων δεδομένων ενδέχεται να μην παρέχονται πάντοτε στη μορφή υπηρεσιών υπολογιστικού νέφους. Ως εκ τούτου, τα κέντρα δεδομένων ενδέχεται να μην αποτελούν πάντοτε μέρος της υποδομής νεφοϋπολογιστικής. Για τη διαχείριση όλων των κινδύνων που αφορούν στην ασφάλεια των συστημάτων δικτύου και πληροφοριών, η παρούσα οδηγία θα πρέπει επομένως να καλύπτει και τους παρόχους τέτοιων υπηρεσιών κέντρων δεδομένων που δεν είναι υπηρεσίες υπολογιστικού νέφους. Για τους σκοπούς της παρούσας οδηγίας, ο όρος «υπηρεσία κέντρων δεδομένων» θα πρέπει να καλύπτει την παροχή υπηρεσίας που περιλαμβάνει δομές, ή ομάδες δομών, που προορίζονται για την κεντρική φιλοξενία, διασύνδεση και λειτουργία της τεχνολογίας πληροφοριών («ΤΠ») και του εξοπλισμού δικτύου που παρέχει υπηρεσίες αποθήκευσης, επεξεργασίας και μεταφοράς δεδομένων, καθώς και όλες τις εγκαταστάσεις και υποδομές διανομής ηλεκτρικής ενέργειας και περιβαλλοντικού ελέγχου. Ο όρος «υπηρεσία κέντρων δεδομένων» δεν θα πρέπει να ισχύει για ενδοεπιχειρησιακά εταιρικά κέντρα δεδομένων που ανήκουν στην οικεία οντότητα και λειτουργούν για ίδιους σκοπούς.

(36)

Οι ερευνητικές δραστηριότητες διαδραματίζουν καίριο ρόλο στην ανάπτυξη νέων προϊόντων και διαδικασιών. Πολλές από τις δραστηριότητες αυτές διεξάγονται από οντότητες που μοιράζονται, διαθέτουν ή εκμεταλλεύονται τα αποτελέσματα της έρευνάς τους για εμπορικούς σκοπούς. Συνεπώς, οι εν λόγω οντότητες μπορούν να αποτελέσουν σημαντικούς παράγοντες στις αλυσίδες αξίας, γεγονός που καθιστά την ασφάλεια των συστημάτων δικτύου και πληροφοριών τους αναπόσπαστο μέρος της συνολικής κυβερνοασφάλειας της εσωτερικής αγοράς. Οι ερευνητικοί οργανισμοί θα πρέπει να νοούνται ως φορείς που εστιάζουν το κύριο μέρος των δραστηριοτήτων τους στη διεξαγωγή εφαρμοσμένης έρευνας ή πειραματικής ανάπτυξης, κατά την έννοια του εγχειριδίου Frascati 2015 του Οργανισμού Οικονομικής Συνεργασίας και Ανάπτυξης: Κατευθυντήριες γραμμές για τη συλλογή και την υποβολή δεδομένων σχετικά με την έρευνα και την πειραματική ανάπτυξη, με σκοπό την εκμετάλλευση των αποτελεσμάτων τους για εμπορικούς σκοπούς, όπως η κατασκευή ή η ανάπτυξη ενός προϊόντος, ή μιας διαδικασίας, η παροχή μιας υπηρεσίας, ή η εμπορία αυτών.

(37)

Οι αυξανόμενες αλληλεξαρτήσεις είναι αποτέλεσμα ενός ολοένα και περισσότερο διασυνοριακού και αλληλεξαρτώμενου δικτύου παροχής υπηρεσιών που χρησιμοποιεί βασικές υποδομές σε ολόκληρη την Ένωση σε τομείς όπως της ενέργειας, των μεταφορών, των ψηφιακών υποδομών, του πόσιμου νερού και των λυμάτων, της υγείας, ορισμένων πτυχών της δημόσιας διοίκησης, καθώς και του διαστήματος, στον βαθμό που αφορά την παροχή ορισμένων υπηρεσιών που εξαρτώνται από επίγειες υποδομές των οποίων η κυριότητα, η διαχείριση και η λειτουργία ανήκει είτε σε κράτη μέλη είτε σε ιδιώτες, και, ως εκ τούτου, δεν καλύπτει τις υποδομές των οποίων η κυριότητα, η διαχείριση και η λειτουργία ανήκει στην Ένωση, ή γίνεται εξ ονόματος αυτής, στο πλαίσιο των διαστημικών προγραμμάτων της. Λόγω των αλληλεξαρτήσεων αυτών, οποιαδήποτε διατάραξη, ακόμη και αν αρχικά περιοριζόταν σε μία οντότητα ή σε έναν τομέα, μπορεί να έχει ευρύτερες αλυσιδωτές επιπτώσεις, με δυνητικά μεγάλης κλίμακας και μακροχρόνιο αρνητικό αντίκτυπο στην παροχή υπηρεσιών σε ολόκληρη την εσωτερική αγορά. Οι ενταθείσες κυβερνοεπιθέσεις στη διάρκεια της πανδημίας της COVID-19 κατέδειξαν την τρωτότητα των ολοένα και πιο αλληλεξαρτώμενων κοινωνιών απέναντι σε κινδύνους χαμηλής πιθανότητας.

(38)

Δεδομένων των διαφορών στις εθνικές δομές διακυβέρνησης και προκειμένου να διασφαλιστούν οι ήδη υφιστάμενες τομεακές ρυθμίσεις ή οι εποπτικοί και ρυθμιστικοί φορείς της Ένωσης, τα κράτη μέλη θα πρέπει να είναι σε θέση να ορίσουν ή να συστήσουν μία ή περισσότερες αρμόδιες αρχές υπεύθυνες για την κυβερνοασφάλεια και για τα εποπτικά καθήκοντα δυνάμει της παρούσας οδηγίας.

(39)

Για τη διευκόλυνση της διασυνοριακής συνεργασίας και επικοινωνίας μεταξύ των αρχών, και για να καταστεί δυνατή η αποτελεσματική εφαρμογή της παρούσας οδηγίας, είναι ανάγκη κάθε κράτος μέλος να ορίζει ένα ενιαίο σημείο επαφής υπεύθυνο για τον συντονισμό θεμάτων σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών και με τη διασυνοριακή συνεργασία σε επίπεδο Ένωσης.

(40)

Τα ενιαία σημεία επαφής θα πρέπει να διασφαλίζουν την αποτελεσματική διασυνοριακή συνεργασία με τις αρμόδιες αρχές άλλων κρατών μελών και, κατά περίπτωση, με την Επιτροπή και τον ENISA. Συνεπώς, τα ενιαία σημεία επαφής θα πρέπει να είναι επιφορτισμένα με τη διαβίβαση των κοινοποιήσεων σημαντικών περιστατικών με διασυνοριακό αντίκτυπο στα ενιαία σημεία επαφής άλλων επηρεαζόμενων κρατών μελών κατόπιν αιτήματος της CSIRT ή της αρμόδιας αρχής. Σε εθνικό επίπεδο, τα ενιαία σημεία επαφής θα πρέπει να επιτρέπουν την ομαλή διατομεακή συνεργασία με άλλες αρμόδιες αρχές. Τα ενιαία σημεία επαφής θα μπορούσαν επίσης να είναι οι αποδέκτες σχετικών πληροφοριών σχετικά με περιστατικά που αφορούν χρηματοπιστωτικές οντότητες από τις αρμόδιες αρχές δυνάμει του κανονισμού (ΕΕ) 2022/2554, τις οποίες θα πρέπει να είναι σε θέση να διαβιβάζουν, κατά περίπτωση, στις CSIRT ή στις αρμόδιες αρχές δυνάμει της παρούσας οδηγίας.

(41)

Τα κράτη μέλη θα πρέπει να είναι επαρκώς εξοπλισμένα, όσον αφορά τόσο τις τεχνικές όσο και τις οργανωτικές ικανότητες, για την πρόληψη, τον εντοπισμό, την αντιμετώπιση περιστατικών και κινδύνων, καθώς και για τον μετριασμό των επιπτώσεών τους. Τα κράτη μέλη θα πρέπει επομένως να συστήσουν ή ορίσουν μία ή περισσότερες CSIRT δυνάμει της παρούσας οδηγίας και να διασφαλίσουν ότι διαθέτουν επαρκείς πόρους και τεχνικές ικανότητες. Οι CSIRT θα πρέπει να συμμορφώνονται με τις απαιτήσεις που ορίζονται στην παρούσα οδηγία, προκειμένου να διασφαλίζονται αποτελεσματικές και συμβατές ικανότητες αντιμετώπισης περιστατικών και κινδύνων και να διασφαλίζεται αποτελεσματική συνεργασία σε επίπεδο Ένωσης. Τα κράτη μέλη δύνανται να ορίσουν υπάρχουσες ομάδες αντιμετώπισης περιστατικών ασφαλείας σε υπολογιστές (Computer Emergency Response Teams — CERT) ως CSIRT. Προκειμένου να ενισχυθεί η σχέση εμπιστοσύνης μεταξύ των οντοτήτων και των CSIRT, στις περιπτώσεις που μια CSIRT αποτελεί μέρος της αρμόδιας αρχής, τα κράτη μέλη θα πρέπει να μπορούν να εξετάσουν το ενδεχόμενο λειτουργικού διαχωρισμού μεταξύ των επιχειρησιακών καθηκόντων που επιτελούν οι CSIRT, ιδίως όσον αφορά την ανταλλαγή πληροφοριών και τη στήριξη προς τις οντότητες, και των εποπτικών δραστηριοτήτων των αρμόδιων αρχών.

(42)

Οι CSIRT είναι επιφορτισμένες με τον χειρισμό περιστατικών. Αυτό περιλαμβάνει την επεξεργασία μεγάλων όγκων ενίοτε ευαίσθητων δεδομένων. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι CSIRT διαθέτουν υποδομή για την ανταλλαγή και επεξεργασία πληροφοριών, καθώς και καλά εξοπλισμένο προσωπικό, ώστε να διασφαλίζονται η εμπιστευτικότητα και η αξιοπιστία των δραστηριοτήτων τους. Οι CSIRT θα μπορούσαν επίσης να θεσπίσουν σχετικούς κώδικες δεοντολογίας.

(43)

Όσον αφορά τα δεδομένα προσωπικού χαρακτήρα, οι CSIRT θα πρέπει να είναι σε θέση να παρέχουν, σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, εξ ονόματος και κατόπιν αιτήματος βασικής ή σημαντικής οντότητας, προληπτική σάρωση των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούνται για την παροχή των υπηρεσιών τους. Κατά περίπτωση, τα κράτη μέλη θα πρέπει να στοχεύουν στην εξασφάλιση του ίδιου επιπέδου τεχνικών ικανοτήτων για όλες τις τομεακές CSIRT. Τα κράτη μέλη θα πρέπει να μπορούν να ζητούν τη συνδρομή του ENISA για την ανάπτυξη των CSIRT τους.

(44)

Οι CSIRT θα πρέπει να έχουν τη δυνατότητα, κατόπιν αιτήματος μιας βασικής ή σημαντικής οντότητας, να παρακολουθούν τα στοιχεία της οντότητας που βρίσκονται στο διαδίκτυο, τόσο εντός όσο και εκτός των εγκαταστάσεων, προκειμένου να εντοπίζουν, να κατανοούν και να διαχειρίζονται τους συνολικούς οργανωτικούς κινδύνους της οντότητας όσον αφορά τις νεοεντοπισθείσες προσβολές της αλυσίδας εφοδιασμού ή τις κρίσιμες τρωτότητες. Η οντότητα θα πρέπει να ενθαρρύνεται να γνωστοποιεί στην CSIRT κατά πόσον διαχειρίζεται προνομιακή διεπαφή διαχείρισης, καθώς αυτό θα μπορούσε να επηρεάσει την ταχύτητα λήψης μέτρων μετριασμού.

(45)

Δεδομένης της σημασίας της διεθνούς συνεργασίας για την κυβερνοασφάλεια, οι CSIRT θα πρέπει να έχουν τη δυνατότητα να συμμετέχουν σε διεθνή δίκτυα συνεργασίας πέραν του δικτύου CSIRT που θεσπίζεται με την παρούσα οδηγία. Κατά συνέπεια, για τους σκοπούς της εκτέλεσης των καθηκόντων τους, οι CSIRT και οι αρμόδιες αρχές θα πρέπει να είναι σε θέση να ανταλλάσσουν πληροφορίες, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, με τις εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές ή με αρμόδιες αρχές τρίτων χωρών, υπό την προϋπόθεση ότι πληρούνται οι προϋποθέσεις της ενωσιακής νομοθεσίας για την προστασία των δεδομένων για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, μεταξύ άλλων εκείνες του άρθρου 49 του κανονισμού (ΕΕ) 2016/679.

(46)

Είναι ουσιαστικής σημασίας η εξασφάλιση επαρκών πόρων για την επίτευξη των στόχων της παρούσας οδηγίας και για να παρασχεθεί στις αρμόδιες αρχές και στις CSIRT η δυνατότητα να εκτελούν τα καθήκοντα που ορίζονται στο παρόν. Τα κράτη μέλη μπορούν να θεσπίσουν σε εθνικό επίπεδο χρηματοδοτικό μηχανισμό για την κάλυψη των αναγκαίων δαπανών σε σχέση με την εκτέλεση των καθηκόντων των δημόσιων φορέων που είναι αρμόδιοι για την κυβερνοασφάλεια στο κράτος μέλος σύμφωνα με την παρούσα οδηγία. Ο εν λόγω μηχανισμός θα πρέπει να συμμορφώνεται με το δίκαιο της Ένωσης, να είναι αναλογικός και να μην εισάγει διακρίσεις, και να λαμβάνει υπόψη τις διαφορετικές προσεγγίσεις για την παροχή ασφαλών υπηρεσιών.

(47)

Το δίκτυο CSIRT θα πρέπει να συνεχίσει να συμβάλλει στην ενίσχυση της αξιοπιστίας και της εμπιστοσύνης και να προωθεί την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία μεταξύ των κρατών μελών. Για να ενισχυθεί η επιχειρησιακή συνεργασία σε επίπεδο Ένωσης, το δίκτυο CSIRT θα πρέπει να εξετάσει το ενδεχόμενο να προσκαλέσει όργανα και οργανισμούς της Ένωσης που εμπλέκονται στην πολιτική για την κυβερνοασφάλεια, όπως η Ευρωπόλ, να συμμετάσχουν στις εργασίες του.

(48)

Για την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας, οι εθνικές στρατηγικές κυβερνοασφάλειας που απαιτούνται βάσει της παρούσας οδηγίας θα πρέπει να αποτελούνται από συνεκτικά πλαίσια που παρέχουν στρατηγικούς στόχους και προτεραιότητες στον τομέα της κυβερνοασφάλειας και της διακυβέρνησης για την επίτευξή τους. Οι στρατηγικές αυτές μπορούν να αποτελούνται από ένα ή περισσότερα νομοθετικά ή μη νομοθετικά μέσα.

(49)

Οι πολιτικές κυβερνοϋγιεινής παρέχουν τα θεμέλια για την προστασία των υποδομών δικτυακών και πληροφοριακών συστημάτων, του υλικού, του λογισμικού και της ασφάλειας των διαδικτυακών εφαρμογών, καθώς και των δεδομένων των επιχειρήσεων ή των τελικών χρηστών στα οποία βασίζονται οι οντότητες. Οι πολιτικές κυβερνοϋγιεινής που περιλαμβάνουν κοινό βασικό σύνολο πρακτικών, συμπεριλαμβανομένων ενημερώσεων λογισμικού και αναβαθμίσεων υλικού, αλλαγών κωδικού πρόσβασης, διαχείρισης νέων εγκαταστάσεων, περιορισμού των λογαριασμών πρόσβασης σε επίπεδο διαχειριστή και δημιουργίας αντιγράφων ασφάλειας δεδομένων, δημιουργούν ένα προληπτικό πλαίσιο ετοιμότητας και γενικής ασφάλειας και προστασίας σε περίπτωση περιστατικών ή κυβερνοαπειλών. Ο ENISA θα πρέπει να παρακολουθεί και να αναλύει τις πολιτικές κυβερνοϋγιεινής των κρατών μελών.

(50)

Η ευαισθητοποίηση στον τομέα της κυβερνοασφάλειας και η κυβερνοϋγιεινή είναι ουσιαστικής σημασίας για την ενίσχυση του επιπέδου κυβερνοασφάλειας εντός της Ένωσης, ιδίως μέσα από το πρίσμα του αυξανόμενου αριθμού συνδεδεμένων συσκευών που χρησιμοποιούνται όλο και περισσότερο σε κυβερνοεπιθέσεις. Θα πρέπει να καταβληθούν προσπάθειες για την ενίσχυση της συνολικής ευαισθητοποίησης σχετικά με τους κινδύνους που συνδέονται με τα εν λόγω ιατροτεχνολογικά προϊόντα, ενώ οι αξιολογήσεις σε επίπεδο Ένωσης θα μπορούσαν να συμβάλουν στη διασφάλιση κοινής αντίληψης των κινδύνων αυτών στην εσωτερική αγορά.

(51)

Τα κράτη μέλη θα πρέπει να ενθαρρύνουν τη χρήση κάθε καινοτόμου τεχνολογίας, συμπεριλαμβανομένης της τεχνητής νοημοσύνης, η χρήση της οποίας θα μπορούσε να βελτιώσει τον εντοπισμό και την πρόληψη κυβερνοεπιθέσεων, καθιστώντας δυνατή την αποτελεσματικότερη διοχέτευση πόρων για την αντιμετώπιση κυβερνοεπιθέσεων. Για το σκοπό αυτό, τα κράτη μέλη θα πρέπει να ενθαρρύνουν, στο πλαίσιο της εθνικής στρατηγικής τους για την κυβερνοασφάλεια, τις δραστηριότητες έρευνας και ανάπτυξης για τη διευκόλυνση της χρήσης των εν λόγω τεχνολογιών, ιδίως εκείνων που σχετίζονται με αυτοματοποιημένα ή ημιαυτοματοποιημένα εργαλεία κυβερνοασφάλειας, και, κατά περίπτωση, την ανταλλαγή δεδομένων που απαιτούνται για την κατάρτιση των χρηστών της εν λόγω τεχνολογίας και για τη βελτίωσή της. Η χρήση κάθε καινοτόμου τεχνολογίας, συμπεριλαμβανομένης της τεχνητής νοημοσύνης, θα πρέπει να συμμορφώνεται με την ενωσιακή νομοθεσία για την προστασία των δεδομένων, συμπεριλαμβανομένων των αρχών προστασίας των δεδομένων που αφορούν την ακρίβεια των δεδομένων, την ελαχιστοποίηση των δεδομένων, τη δικαιοσύνη και τη διαφάνεια, καθώς και την ασφάλεια των δεδομένων, όπως η τελευταίας τεχνολογίας κρυπτογράφηση. Οι απαιτήσεις προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού που ορίζονται στον κανονισμό (ΕΕ) 2016/679 θα πρέπει να αξιοποιηθούν πλήρως.

(52)

Τα εργαλεία και οι εφαρμογές κυβερνοασφάλειας ανοικτού κώδικα μπορούν να συμβάλουν σε υψηλότερο βαθμό διαφάνειας και δύνανται να έχουν θετικό αντίκτυπο στην αποδοτικότητα της βιομηχανικής καινοτομίας. Τα ανοικτά πρότυπα διευκολύνουν τη διαλειτουργικότητα μεταξύ των εργαλείων ασφάλειας, ωφελώντας την ασφάλεια των ενδιαφερόμενων μερών του βιομηχανικού κλάδου. Τα εργαλεία και οι εφαρμογές κυβερνοασφάλειας ανοικτού κώδικα μπορούν να αξιοποιήσουν την ευρύτερη κοινότητα των φορέων ανάπτυξης, καθιστώντας δυνατή τη διαφοροποίηση των προμηθευτών. Ο ανοικτός κώδικας μπορεί να οδηγήσει σε διαφανέστερη διαδικασία επαλήθευσης των εργαλείων που σχετίζονται με την κυβερνοασφάλεια και σε μια διαδικασία εντοπισμού ευπαθειών σε επίπεδο κοινότητας. Συνεπώς, τα κράτη μέλη θα πρέπει να μπορούν να προωθήσουν τη χρήση λογισμικού ανοικτού κώδικα και ανοικτών προτύπων με την εφαρμογή πολιτικών που συνδέονται με τη χρήση ανοικτών δεδομένων και ανοικτού κώδικα στο πλαίσιο της ασφάλειας μέσω διαφάνειας. Οι πολιτικές που προωθούν την εισαγωγή και τη βιώσιμη χρήση εργαλείων κυβερνοασφάλειας ανοικτού κώδικα έχουν ιδιαίτερη σημασία για τις μικρές και μεσαίες επιχειρήσεις που αντιμετωπίζουν σημαντικό κόστος υλοποίησης, το οποίο θα μπορούσε να ελαχιστοποιηθεί με τη μείωση της ανάγκης για συγκεκριμένες εφαρμογές ή εργαλεία.

(53)

Οι υπηρεσίες κοινής ωφελείας συνδέονται όλο και περισσότερο με ψηφιακά δίκτυα στις πόλεις, με σκοπό τη βελτίωση των δικτύων αστικών μεταφορών, την αναβάθμιση των εγκαταστάσεων ύδρευσης και διάθεσης αποβλήτων και την αύξηση της αποδοτικότητας του φωτισμού και της θέρμανσης των κτιρίων. Αυτές οι ψηφιοποιημένες υπηρεσίες κοινής ωφελείας είναι ευπαθείς σε κυβερνοεπιθέσεις και διατρέχουν τον κίνδυνο, σε περίπτωση επιτυχούς κυβερνοεπίθεσης, να βλάψουν τους πολίτες σε μεγάλη κλίμακα λόγω της διασύνδεσής τους. Τα κράτη μέλη θα πρέπει να αναπτύξουν μια πολιτική που θα αντιμετωπίζει την ανάπτυξη των εν λόγω συνδεδεμένων ή έξυπνων πόλεων και τις πιθανές επιπτώσεις τους στην κοινωνία, στο πλαίσιο της εθνικής στρατηγικής τους για την κυβερνοασφάλεια.

(54)

Τα τελευταία χρόνια, η Ένωση αντιμετώπισε εκθετική αύξηση των επιθέσεων λυτρισμικού, στις οποίες το κακόβουλο λογισμικό κρυπτογραφεί δεδομένα και συστήματα και απαιτεί την καταβολή λύτρων για την αποδέσμευση. Η αυξανόμενη συχνότητα και σοβαρότητα των επιθέσεων λυτρισμικού μπορεί να οφείλεται σε διάφορους παράγοντες, όπως οι διαφορετικές μορφές επιθέσεων, τα εγκληματικά επιχειρηματικά μοντέλα για την πραγματοποίηση επιθέσεων λυτρισμικού ως παροχή υπηρεσίας και τα κρυπτονομίσματα, οι απαιτήσεις λύτρων και η αύξηση των επιθέσεων στην αλυσίδα εφοδιασμού. Τα κράτη μέλη θα πρέπει να αναπτύξουν πολιτική για την αντιμετώπιση της αύξησης των επιθέσεων λυτρισμικού στο πλαίσιο της εθνικής στρατηγικής τους για την κυβερνοασφάλεια.

(55)

Οι συμπράξεις δημόσιου και ιδιωτικού τομέα («ΣΔΙΤ») στον τομέα της κυβερνοασφάλειας μπορούν να προσφέρουν κατάλληλο πλαίσιο για την ανταλλαγή γνώσεων, την ανταλλαγή βέλτιστων πρακτικών και την καθιέρωση κοινού επιπέδου κατανόησης μεταξύ των ενδιαφερόμενων μερών. Τα κράτη μέλη θα πρέπει να θεσπίσουν πολιτικές που θα στηρίζουν τη δημιουργία ΣΔΙΤ για την κυβερνοασφάλεια. Οι πολιτικές αυτές θα πρέπει να αποσαφηνίζουν, μεταξύ άλλων, το πεδίο εφαρμογής και τα ενδιαφερόμενα μέρη, το μοντέλο διακυβέρνησης, τις διαθέσιμες επιλογές χρηματοδότησης και την αλληλεπίδραση μεταξύ των συμμετεχόντων ενδιαφερόμενων μερών σε σχέση με τις ΣΔΙΤ. Οι ΣΔΙΤ μπορούν να αξιοποιήσουν την εμπειρογνωσία οντοτήτων του ιδιωτικού τομέα για να συνδράμουν τις αρμόδιες αρχές στην ανάπτυξη προηγμένων υπηρεσιών και διαδικασιών που περιλαμβάνουν, μεταξύ άλλων, την ανταλλαγή πληροφοριών, έγκαιρες προειδοποιήσεις, ασκήσεις αντιμετώπισης κυβερνοαπειλών και περιστατικών στον κυβερνοχώρο, τη διαχείριση κρίσεων και τον σχεδιασμό ανθεκτικότητας.

(56)

Τα κράτη μέλη θα πρέπει, στις εθνικές στρατηγικές τους για την κυβερνοασφάλεια, να αντιμετωπίζουν τις ειδικές ανάγκες των μικρών και μεσαίων επιχειρήσεων στον τομέα της κυβερνοασφάλειας. Οι μικρές και μεσαίες επιχειρήσεις αντιπροσωπεύουν, σε επίπεδο Ένωσης, μεγάλο ποσοστό της βιομηχανικής και επιχειρηματικής αγοράς και συχνά δυσκολεύονται να προσαρμοστούν στις νέες επιχειρηματικές πρακτικές σε έναν πιο συνδεδεμένο κόσμο, και στο ψηφιακό περιβάλλον, με τους εργαζομένους να εργάζονται κατ’ οίκον και τις επιχειρήσεις να δραστηριοποιούνται διαρκώς περισσότερο στο διαδίκτυο. Ορισμένες μικρές και μεσαίες επιχειρήσεις αντιμετωπίζουν συγκεκριμένες προκλήσεις κυβερνοασφάλειας, όπως χαμηλή κυβερνοευαισθητοποίηση, έλλειψη τηλεματικής ασφάλειας ΤΠ, υψηλό κόστος λύσεων κυβερνοασφάλειας και αυξημένο επίπεδο απειλών, όπως το λυτρισμικό, για τις οποίες θα πρέπει να λαμβάνουν καθοδήγηση και βοήθεια. Οι μικρές και μεσαίες επιχειρήσεις καθίστανται όλο και περισσότερο στόχος επιθέσεων στην αλυσίδα εφοδιασμού λόγω των λιγότερο αυστηρών μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και της διαχείρισης επιθέσεων, καθώς και λόγω του γεγονότος ότι διαθέτουν περιορισμένους πόρους ασφάλειας. Οι εν λόγω επιθέσεις στην αλυσίδα εφοδιασμού όχι μόνο έχουν αντίκτυπο στις μικρές και μεσαίες επιχειρήσεις και στις δραστηριότητές τους μεμονωμένα, αλλά μπορούν επίσης να έχουν αλυσιδωτές επιπτώσεις σε μεγαλύτερες επιθέσεις κατά οντοτήτων στις οποίες παρείχαν προμήθειες. Τα κράτη μέλη θα πρέπει, μέσω των εθνικών στρατηγικών τους για την κυβερνοασφάλεια, να βοηθούν τις μικρές και μεσαίες επιχειρήσεις να αντιμετωπίσουν τις προκλήσεις που αντιμετωπίζουν οι αλυσίδες εφοδιασμού τους. Τα κράτη μέλη θα πρέπει να διαθέτουν ένα σημείο επαφής για τις μικρές και μεσαίες επιχειρήσεις σε εθνικό ή περιφερειακό επίπεδο, το οποίο είτε θα παρέχει καθοδήγηση και συνδρομή στις μικρές και μεσαίες επιχειρήσεις είτε θα τις κατευθύνει στους κατάλληλους φορείς για καθοδήγηση και συνδρομή όσον αφορά ζητήματα κυβερνοασφάλειας. Τα κράτη μέλη ενθαρρύνονται επίσης να προσφέρουν υπηρεσίες όπως η παροχή δυνατότητας για διαμόρφωση ιστοτόπων και καταγραφή δεδομένων σε πολύ μικρές και μικρές επιχειρήσεις που δεν διαθέτουν τις σχετικές ικανότητες.

(57)

Στο πλαίσιο των εθνικών στρατηγικών τους για την ασφάλεια στον κυβερνοχώρο, τα κράτη μέλη θα πρέπει να εγκρίνουν πολιτικές για την προώθηση της ενεργητικής κυβερνοπροστασίας στο πλαίσιο μιας ευρύτερης αμυντικής στρατηγικής. Σε αντιδιαστολή με την εκ των υστέρων ανταπόκριση, η ενεργητική κυβερνοπροστασία συνίσταται στην πρόληψη, τον εντοπισμό, την παρακολούθηση, την ανάλυση και τον μετριασμό των παραβιάσεων της ασφάλειας των δικτύων με ενεργό τρόπο, σε συνδυασμό με τη χρήση ικανοτήτων που αναπτύσσονται εντός και εκτός του δικτύου των θυμάτων. Αυτό θα μπορούσε να περιλαμβάνει την παροχή δωρεάν υπηρεσιών ή εργαλείων σε ορισμένες οντότητες από τα κράτη μέλη, συμπεριλαμβανομένων των ελέγχων αυτοεξυπηρέτησης, των εργαλείων ανίχνευσης και των υπηρεσιών απόσυρσης. Η ικανότητα ταχείας και αυτόματης ανταλλαγής και κατανόησης πληροφοριών και αναλύσεων απειλών, προειδοποιήσεων για δραστηριότητες στον κυβερνοχώρο, και δράσης αντιμετώπισης είναι ζωτικής σημασίας για να καταστεί δυνατή η ενότητα των προσπαθειών για την επιτυχή πρόληψη, ανίχνευση, αντιμετώπιση και παρεμπόδιση επιθέσεων κατά συστημάτων δικτύου και πληροφοριών. Η ενεργητική κυβερνοπροστασία βασίζεται σε μια αμυντική στρατηγική που αποκλείει τα επιθετικά μέτρα.

(58)

Δεδομένου ότι η εκμετάλλευση των τρωτοτήτων στα συστήματα δικτύου και πληροφοριών μπορεί να προκαλέσει σημαντικές διαταράξεις και βλάβες, ο άμεσος εντοπισμός και η διόρθωση αυτών των τρωτοτήτων αποτελεί σημαντικό παράγοντα μείωσης του κινδύνου. Οι οντότητες που αναπτύσσουν ή διαχειρίζονται συστήματα δικτύου και πληροφοριών θα πρέπει, συνεπώς, να θεσπίσουν κατάλληλες διαδικασίες για την αντιμετώπιση των τρωτοτήτων όταν εντοπίζονται. Δεδομένου ότι οι ευπάθειες συχνά εντοπίζονται και γνωστοποιούνται από τρίτους, ο κατασκευαστής ή ο πάροχος προϊόντων ή υπηρεσιών ΤΠΕ θα πρέπει επίσης να θεσπίσει τις αναγκαίες διαδικασίες για τη λήψη πληροφοριών από τρίτους σχετικά με ευπάθειες. Στο πλαίσιο αυτό, τα διεθνή πρότυπα ISO/IEC 30111 και ISO/IEC 29147 παρέχουν καθοδήγηση σχετικά με τον χειρισμό τρωτοτήτων και τη γνωστοποίηση τρωτοτήτων. Η ενίσχυση του συντονισμού μεταξύ των αναφερόντων φυσικών και νομικών προσώπων και των κατασκευαστών ή παρόχων προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ είναι ιδιαίτερα σημαντική για τον σκοπό της διευκόλυνσης του εθελοντικού πλαισίου γνωστοποίησης τρωτοτήτων. Η συντονισμένη γνωστοποίηση τρωτοτήτων καθορίζει μια δομημένη διαδικασία μέσω της οποίας αναφέρονται στον κατασκευαστή ή τον πάροχο των δυνητικά ευάλωτων προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ οι τρωτότητες, κατά τρόπο που να του επιτρέπει να διαγιγνώσκει και να αποκαθιστά την τρωτότητα πριν από τη γνωστοποίηση λεπτομερών πληροφοριών για τρωτότητες σε τρίτους ή στο κοινό. Η συντονισμένη γνωστοποίηση τρωτοτήτων θα πρέπει επίσης να περιλαμβάνει συντονισμό μεταξύ του αναφέροντος φυσικού ή νομικού προσώπου και του κατασκευαστή ή του παρόχου των δυνητικά ευάλωτων προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ όσον αφορά το χρονοδιάγραμμα αποκατάστασης και δημοσίευσης των τρωτοτήτων.

(59)

Η Επιτροπή, ο ENISA και τα κράτη μέλη θα πρέπει να συνεχίσουν να προωθούν την ευθυγράμμιση με διεθνή πρότυπα και υπάρχουσες βέλτιστες πρακτικές της βιομηχανίας στον τομέα της διαχείρισης κινδύνων κυβερνοασφάλειας, για παράδειγμα στους τομείς των αξιολογήσεων ασφάλειας της αλυσίδας εφοδιασμού, της ανταλλαγής πληροφοριών και της γνωστοποίησης τρωτοτήτων.

(60)

Τα κράτη μέλη, σε συνεργασία με τον ENISA, οφείλουν να λάβουν μέτρα για να διευκολύνουν τη συντονισμένη γνωστοποίηση τρωτοτήτων με τη θέσπιση σχετικής εθνικής πολιτικής. Στο πλαίσιο της εθνικής πολιτικής τους, τα κράτη μέλη θα πρέπει να στοχεύουν στην αντιμετώπιση, στο μέτρο του δυνατού, των προκλήσεων που αντιμετωπίζουν πρόσωπα που ερευνούν ευπάθειες, συμπεριλαμβανομένης της ενδεχόμενης έκθεσής τους σε ποινική ευθύνη, σύμφωνα με την εθνική νομοθεσία τους. Δεδομένου ότι τα φυσικά και νομικά πρόσωπα που ερευνούν ευπάθειες θα μπορούσαν σε ορισμένα κράτη μέλη να εκτεθούν σε ποινική και αστική ευθύνη, τα κράτη μέλη ενθαρρύνονται να εγκρίνουν κατευθυντήριες γραμμές όσον αφορά τη μη δίωξη των ερευνητών στον τομέα της ασφάλειας των πληροφοριών και την απαλλαγή από την αστική ευθύνη για τις δραστηριότητές τους.

(61)

Τα κράτη μέλη θα πρέπει να ορίσουν μια από τις CSIRT τους ως συντονιστή η οποία να ενεργεί ως αξιόπιστος ενδιάμεσος φορέας μεταξύ των αναφερόντων φυσικών ή νομικών προσώπων και των κατασκευαστών προϊόντων ΤΠΕ ή παρόχων υπηρεσιών ΤΠΕ, που ενδέχεται να επηρεαστούν από την τρωτότητα, όπου απαιτείται. Τα καθήκοντα της CSIRT που ορίσθηκε ως συντονιστής θα πρέπει να περιλαμβάνουν τον προσδιορισμό των οικείων οντοτήτων και την επικοινωνία με αυτές, την παροχή συνδρομής στα φυσικά ή νομικά πρόσωπα που αναφέρουν ευπάθειες, τη διαπραγμάτευση χρονοδιαγραμμάτων γνωστοποίησης και τη διαχείριση τρωτοτήτων που επηρεάζουν πλείονες οντότητες (πολυμερής συντονισμένη γνωστοποίηση ευπαθειών). Όταν η αναφερόμενη τρωτότητα θα μπορούσε να έχει σημαντικό αντίκτυπο σε οντότητες σε περισσότερα του ενός κράτη μέλη, οι CSIRT που ορίσθηκαν ως συντονιστές θα πρέπει να συνεργάζονται στο πλαίσιο του δικτύου CSIRT, κατά περίπτωση.

(62)

Η πρόσβαση σε ορθές και έγκαιρες πληροφορίες σχετικά με ευπάθειες που επηρεάζουν τα προϊόντα και τις υπηρεσίες ΤΠΕ συμβάλλει στην ενίσχυση της διαχείρισης κινδύνων κυβερνοασφάλειας. Οι πηγές δημόσια διαθέσιμων πληροφοριών σχετικά με τρωτότητες αποτελούν σημαντικό εργαλείο για τις οντότητες και τους χρήστες των υπηρεσιών τους, αλλά και για τις εθνικές αρμόδιες αρχές και τις CSIRT. Για τον λόγο αυτό, ο ENISA θα πρέπει να καταρτίσει μια ευρωπαϊκή βάση δεδομένων ευπαθειών όπου οι οντότητες, ανεξαρτήτως από το αν εμπίπτουν στο πεδίο της παρούσας οδηγίας, και οι προμηθευτές τους για συστήματα δικτύου και πληροφοριών, όπως επίσης οι αρμόδιες αρχές και οι CSIRT, μπορούν να δημοσιοποιούν και να καταχωρούν, σε εθελοντική βάση, δημόσια γνωστές ευπάθειες ώστε να μπορούν οι χρήστες να λαμβάνουν κατάλληλα μέτρα μετριασμού. Σκοπός της εν λόγω βάσης δεδομένων είναι η αντιμετώπιση των μοναδικών προκλήσεων που συνιστούν οι κίνδυνοι κυβερνοασφάλειας για τις οντότητες στην Ένωση. Επιπλέον, ο ENISA θα πρέπει να θεσπίσει κατάλληλη διαδικασία σχετικά με τη διαδικασία δημοσίευσης, προκειμένου να δοθεί στις οντότητες ο χρόνος να λάβουν μέτρα μετριασμού όσον αφορά τις τρωτότητές τους και να εφαρμόσουν σύγχρονα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, καθώς και μηχαναγνώσιμα σύνολα δεδομένων και αντίστοιχες διεπαφές. Για να ενθαρρυνθεί η νοοτροπία γνωστοποίησης ευπαθειών, η γνωστοποίηση δεν θα πρέπει να βλάπτει το αναφέρον φυσικό ή νομικό πρόσωπο.

(63)

Μολονότι υπάρχουν παρόμοια μητρώα ή βάσεις δεδομένων ευπαθειών, αυτά φιλοξενούνται και τηρούνται από οντότητες που δεν είναι εγκατεστημένες στην Ένωση. Μια ευρωπαϊκή βάση δεδομένων ευπαθειών που θα τηρείται από τον ENISA θα προσέφερε βελτιωμένη διαφάνεια όσον αφορά στη διαδικασία δημοσίευσης προτού κάποια ευπάθεια γίνει δημόσια γνωστή, καθώς και ανθεκτικότητα σε περίπτωση διατάραξης ή διακοπής της παροχής παρόμοιων υπηρεσιών. Προκειμένου, στο μέτρο του δυνατού, να αποφευχθεί η αλληλεπικάλυψη των προσπαθειών και να επιδιωχθεί η συμπληρωματικότητα, ο ENISA θα πρέπει να διερευνήσει τη δυνατότητα σύναψης συμφωνιών διαρθρωμένης συνεργασίας με παρόμοια μητρώα ή βάσεις δεδομένων που υπάγονται στη δικαιοδοσία τρίτων χωρών. Ειδικότερα, ο ENISA θα πρέπει να διερευνήσει τη δυνατότητα στενής συνεργασίας με τους φορείς εκμετάλλευσης του συστήματος Κοινών Ευπαθειών και Εκτεθειμένων Σημείων (CVE).

(64)

Η Ομάδα Συνεργασίας θα πρέπει να στηρίζει και να διευκολύνει τη στρατηγική συνεργασία και την ανταλλαγή πληροφοριών, καθώς και να ενισχύει την εμπιστοσύνη μεταξύ των κρατών μελών. Η Ομάδα Συνεργασίας θα πρέπει να καταρτίζει ανά διετία πρόγραμμα εργασίας. Το πρόγραμμα εργασίας θα πρέπει να περιλαμβάνει τις ενέργειες που θα αναλάβει η Ομάδα Συνεργασίας για την υλοποίηση των στόχων και των καθηκόντων της. Το χρονοδιάγραμμα για την κατάρτιση του πρώτου προγράμματος εργασιών βάσει της παρούσας οδηγίας θα πρέπει να ευθυγραμμιστεί με το χρονοδιάγραμμα του τελευταίου προγράμματος εργασίας που θεσπίστηκε δυνάμει της οδηγίας (ΕΕ) 2016/1148, προκειμένου να αποφευχθούν πιθανές διαταραχές στις εργασίες της ομάδας συνεργασίας.

(65)

Κατά την κατάρτιση έγγραφων οδηγιών, η Ομάδα Συνεργασίας θα πρέπει να χαρτογραφεί με συνέπεια τις εθνικές λύσεις και εμπειρίες, να αξιολογεί τον αντίκτυπο των παραδοτέων της Ομάδας Συνεργασίας στις εθνικές προσεγγίσεις, να συζητά τις προκλήσεις εφαρμογής και να διατυπώνει ειδικές συστάσεις, ιδίως όσον αφορά τη διευκόλυνση της ευθυγράμμισης της μεταφοράς της παρούσας οδηγίας στο εθνικό δίκαιο των κρατών μελών, οι οποίες πρέπει να αντιμετωπιστούν μέσω της καλύτερης εφαρμογής των υφιστάμενων κανόνων. Η Ομάδα Συνεργασίας θα μπορούσε επίσης να χαρτογραφήσει τις εθνικές λύσεις, προκειμένου να προωθήσει τη συμβατότητα των λύσεων κυβερνοασφάλειας που εφαρμόζονται σε κάθε συγκεκριμένο τομέα σε ολόκληρη την Ένωση. Αυτό είναι ιδιαίτερα σημαντικό στους τομείς με διεθνή ή διασυνοριακό χαρακτήρα.

(66)

Η Ομάδα Συνεργασίας θα πρέπει να παραμείνει ένα ευέλικτο φόρουμ και να είναι σε θέση να αντιδρά σε μεταβαλλόμενες και νέες πολιτικές προτεραιότητες και προκλήσεις, λαμβάνοντας παράλληλα υπόψη τη διαθεσιμότητα των πόρων. Θα μπορούσε να οργανώνει τακτικές κοινές συνεδριάσεις με σχετικά ενδιαφερόμενα μέρη του ιδιωτικού τομέα από ολόκληρη την Ένωση για τη συζήτηση των δραστηριοτήτων που διεξάγονται από την Ομάδα Συνεργασίας και τη συλλογή δεδομένων και στοιχείων σχετικά με τις αναδυόμενες προκλήσεις πολιτικής. Επιπλέον, η Ομάδα Συνεργασίας θα πρέπει να διενεργεί τακτική αξιολόγηση της κατάστασης σε σχέση με κυβερνοαπειλές ή περιστατικά στον κυβερνοχώρο, όπως επιθέσεις λυτρισμικού. Προκειμένου να ενισχυθεί η συνεργασία σε επίπεδο Ένωσης, η Ομάδα Συνεργασίας θα πρέπει να εξετάσει το ενδεχόμενο να καλέσει τα σχετικά θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης που μετέχουν στην πολιτική για την κυβερνοασφάλεια, όπως το Ευρωπαϊκό Κοινοβούλιο, την Ευρωπόλ, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια της Αεροπορίας, που συστάθηκε με τον κανονισμό (ΕΕ) 2018/1139, και τον Οργανισμό της Ευρωπαϊκής Ένωσης για το διαστημικό πρόγραμμα, που θεσπίστηκε με τον κανονισμό (ΕΕ) 2021/696 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (14), να συμμετάσχουν στις εργασίες της.

(67)

Οι αρμόδιες αρχές και οι CSIRT θα πρέπει να μπορούν να συμμετέχουν σε προγράμματα ανταλλαγής υπαλλήλων από άλλα κράτη μέλη, εντός ειδικού πλαισίου και, κατά περίπτωση, με την επιφύλαξη της απαιτούμενης εξουσιοδότησης ασφαλείας των υπαλλήλων που συμμετέχουν στα εν λόγω συστήματα ανταλλαγής, προκειμένου να βελτιωθεί η συνεργασία και να ενισχυθεί η εμπιστοσύνη μεταξύ των κρατών μελών. Οι αρμόδιες αρχές θα πρέπει να λαμβάνουν τα αναγκαία μέτρα ώστε οι υπάλληλοι από άλλα κράτη μέλη να είναι σε θέση να συμμετέχουν αποτελεσματικά στις δραστηριότητες της φιλοξενούσας αρμόδιας αρχής ή της φιλοξενούσας CSIRT.

(68)

Τα κράτη μέλη θα πρέπει να συμβάλουν στη δημιουργία του πλαισίου της ΕΕ για την αντιμετώπιση κρίσεων στον κυβερνοχώρο που ορίζεται στη σύσταση (ΕΕ) 2017/1584 της Επιτροπής (15) μέσω των υφιστάμενων δικτύων συνεργασίας, ιδίως του του ευρωπαϊκού δικτύου οργανισμών διασύνδεσης για κρίσεις στον κυβερνοχώρο (EU-CyCLONe), του δικτύου CSIRT και της ομάδας συνεργασίας. Το EU-CyCLONe και το δίκτυο CSIRT θα πρέπει να συνεργάζονται βάσει διαδικαστικών ρυθμίσεων που θα καθορίζουν τις λεπτομέρειες της εν λόγω συνεργασίας και να αποφεύγουν τυχόν αλληλοεπικάλυψη εργασιών. Οι διαδικαστικοί κανόνες του EU-CyCLONe θα πρέπει να προσδιορίζουν περαιτέρω τις ρυθμίσεις για τη λειτουργία του δικτύου, συμπεριλαμβανομένων των ρόλων, των τρόπων συνεργασίας, των αλληλεπιδράσεων του δικτύου με άλλους σχετικούς παράγοντες και των υποδειγμάτων για την ανταλλαγή πληροφοριών, καθώς και των μέσων επικοινωνίας. Για τη διαχείριση κρίσεων σε επίπεδο Ένωσης, τα ενδιαφερόμενα μέρη θα πρέπει να βασίζονται στις ολοκληρωμένες ρυθμίσεις της ΕΕ για την αντιμετώπιση πολιτικών κρίσεων δυνάμει της εκτελεστικής απόφασης (ΕΕ) 2018/1993 του Συμβουλίου (16) (ρυθμίσεις IPCR). Η Επιτροπή θα πρέπει να χρησιμοποιήσει για τον σκοπό αυτό την υψηλού επιπέδου διαδικασία ARGUS για τον συντονισμό σε περιπτώσεις διατομεακών κρίσεων. Εάν η κρίση ενέχει σημαντική εξωτερική διάσταση ή διάσταση κοινής πολιτικής ασφάλειας και άμυνας, θα πρέπει να ενεργοποιείται ο Μηχανισμός Αντιμετώπισης Κρίσεων της Ευρωπαϊκής Υπηρεσίας Εξωτερικής Δράσης.

(69)

Σύμφωνα με το παράρτημα της σύστασης (ΕΕ) 2017/1584, ως περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας θα πρέπει να νοείται εκείνο το οποίο προκαλεί διατάραξη που υπερβαίνει την ικανότητα ενός κράτους μέλους να ανταποκριθεί σε αυτή ή το οποίο έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο κράτη μέλη. Ανάλογα με την αιτία και τις συνέπειές τους, τα περιστατικά μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας ενδέχεται να κλιμακωθούν και να μετατραπούν σε πραγματικές κρίσεις που καθιστούν αδύνατη την ομαλή λειτουργία της εσωτερικής αγοράς ή θέτουν σε σοβαρό κίνδυνο τη δημόσια ασφάλεια οντοτήτων ή πολιτών σε διάφορα κράτη μέλη ή την Ένωση στο σύνολό της. Δεδομένου των ευρειών συνεπειών και, στις περισσότερες περιπτώσεις, του διασυνοριακού χαρακτήρα τέτοιων περιστατικών, τα κράτη μέλη και τα σχετικά θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης θα πρέπει να συνεργάζονται σε τεχνικό, επιχειρησιακό και πολιτικό επίπεδο για τον κατάλληλο συντονισμό της αντιμετώπισής τους σε ολόκληρη την Ένωση.

(70)

Τα περιστατικά μεγάλης κλίμακας και οι κρίσεις στον τομέα της κυβερνοασφάλειας σε επίπεδο Ένωσης απαιτούν συντονισμένη δράση για τη διασφάλιση ταχείας και αποτελεσματικής αντίδρασης, λόγω του υψηλού βαθμού αλληλεξάρτησης μεταξύ τομέων και κρατών μελών. Η διαθεσιμότητα κυβερνοανθεκτικών συστημάτων δικτύων και πληροφοριών και η διαθεσιμότητα, η εμπιστευτικότητα και η ακεραιότητα των δεδομένων είναι ζωτικής σημασίας για την ασφάλεια της Ένωσης και για την προστασία των πολιτών, των επιχειρήσεων και των θεσμικών οργάνων της από περιστατικά και κυβερνοαπειλές, καθώς και για την ενίσχυση της εμπιστοσύνης των ατόμων και των οργανισμών στην ικανότητα της Ένωσης να προωθεί και να προστατεύει έναν παγκόσμιο, ανοικτό, ελεύθερο, σταθερό και ασφαλή κυβερνοχώρο που θα βασίζεται στα ανθρώπινα δικαιώματα, τις θεμελιώδεις ελευθερίες, τη δημοκρατία και το κράτος δικαίου.

(71)

Το EU-CyCLONe θα πρέπει να λειτουργεί ως ενδιάμεσος μεταξύ του τεχνικού και του πολιτικού επιπέδου κατά τη διάρκεια περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας, να ενισχύει τη συνεργασία σε επιχειρησιακό επίπεδο και να στηρίζει τη λήψη αποφάσεων σε πολιτικό επίπεδο. Σε συνεργασία με την Επιτροπή, έχοντας υπόψη την αρμοδιότητα της Επιτροπής στον τομέα της διαχείρισης κρίσεων, το EU-CyCLONe θα πρέπει να αξιοποιεί τα πορίσματα του δικτύου CSIRT και να χρησιμοποιεί τις δικές του ικανότητες για τη δημιουργία ανάλυσης επιπτώσεων περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας.

(72)

Οι κυβερνοεπιθέσεις έχουν διασυνοριακό χαρακτήρα και ένα σημαντικό περιστατικό μπορεί να διαταράξει και να βλάψει κρίσιμες υποδομές πληροφοριών από τις οποίες εξαρτάται η ομαλή λειτουργία της εσωτερικής αγοράς. Η σύσταση (ΕΕ) 2017/1584 προσδιορίζει τον ρόλο όλων των σχετικών φορέων. Επιπλέον, η Επιτροπή είναι υπεύθυνη, στο πλαίσιο του μηχανισμού πολιτικής προστασίας της Ένωσης που θεσπίστηκε με την απόφαση αριθ. 1313/2013/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (17), για γενικές δράσεις ετοιμότητας, συμπεριλαμβανομένης της διαχείρισης του Κέντρου Συντονισμού Αντιμετώπισης Εκτάκτων Αναγκών και του Κοινού Συστήματος Επικοινωνίας και Πληροφόρησης Έκτακτης Ανάγκης, για τη διατήρηση και περαιτέρω ανάπτυξη ικανοτήτων επίγνωσης και ανάλυσης της κατάστασης, και για τη δημιουργία και διαχείριση της ικανότητας κινητοποίησης και αποστολής ομάδων εμπειρογνωμόνων σε περίπτωση αιτήματος παροχής βοήθειας από κράτος μέλος ή τρίτη χώρα. Η Επιτροπή είναι επίσης αρμόδια για την υποβολή αναλυτικών εκθέσεων σχετικά με τις ρυθμίσεις IPCR δυνάμει της εκτελεστικής απόφασης (ΕΕ) 2018/1993, μεταξύ άλλων σε σχέση με την επίγνωση της κατάστασης και την ετοιμότητα στον τομέα της κυβερνοασφάλειας, καθώς και για την επίγνωση της κατάστασης και την αντιμετώπιση κρίσεων στους τομείς της γεωργίας, των δυσμενών καιρικών συνθηκών, της χαρτογράφησης και των προβλέψεων συγκρούσεων, των συστημάτων έγκαιρης προειδοποίησης για φυσικές καταστροφές, των καταστάσεων έκτακτης ανάγκης στον τομέα της υγείας, της επιτήρησης λοιμώξεων, της υγείας των φυτών, των περιστατικών χημικής ασφάλειας, της ασφάλειας των τροφίμων και των ζωοτροφών, της υγείας των ζώων, της μετανάστευσης, των τελωνείων, των καταστάσεων έκτακτης ανάγκης στον τομέα της πυρηνικής και ραδιολογικής κατάστασης, και της ενέργειας.

(73)

Η Ένωση μπορεί, κατά περίπτωση, να συνάπτει διεθνείς συμφωνίες σύμφωνα με το άρθρο 218 ΣΛΕΕ με τρίτες χώρες ή διεθνείς οργανισμούς, που επιτρέπουν και οργανώνουν τη συμμετοχή τους σε ορισμένες δραστηριότητες της Ομάδας Συνεργασίας και του δικτύου CSIRT και EU-CyCLONe. Οι συμφωνίες αυτές θα πρέπει να διασφαλίζουν τα συμφέροντα της Ένωσης και την επαρκή προστασία των δεδομένων. Αυτό δεν θα πρέπει να αποκλείει το δικαίωμα των κρατών μελών να συνεργάζονται με τρίτες χώρες για τη διαχείριση τρωτοτήτων και τη διαχείριση κινδύνων κυβερνοασφάλειας, διευκολύνοντας την κοινοποίηση και τη γενική ανταλλαγή πληροφοριών σύμφωνα με το δίκαιο της Ένωσης.

(74)

Προκειμένου να διευκολυνθεί η αποτελεσματική εφαρμογή της παρούσας οδηγίας όσον αφορά, μεταξύ άλλων, τη διαχείριση τρωτοτήτων, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, τις υποχρεώσεις κοινοποίησης και τις ρυθμίσεις ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας, τα κράτη μέλη μπορούν να συνεργάζονται με τρίτες χώρες και να αναλαμβάνουν δραστηριότητες που θεωρούνται κατάλληλες για τον σκοπό αυτό, συμπεριλαμβανομένης της ανταλλαγής πληροφοριών σχετικά με κυβερνοαπειλές, περιστατικά, τρωτότητες, εργαλεία και μεθόδους, τακτικές, τεχνικές και διαδικασίες, ετοιμότητα και ασκήσεις διαχείρισης κρίσεων στον τομέα της κυβερνοασφάλειας, κατάρτιση, οικοδόμηση εμπιστοσύνης και ρυθμίσεις για διαρθρωμένη ανταλλαγή πληροφοριών.

(75)

Θα πρέπει να εισαχθούν αξιολογήσεις από ομοτίμους για να διευκολυνθεί η άντληση διδαγμάτων από τις κοινές εμπειρίες, να ενισχυθεί η αμοιβαία εμπιστοσύνη και να επιτευχθεί υψηλό κοινό επίπεδο κυβερνοασφάλειας. Οι αξιολογήσεις από ομοτίμους μπορούν να οδηγήσουν σε πολύτιμες πληροφορίες και συστάσεις που ενισχύουν τις συνολικές ικανότητες κυβερνοασφάλειας, δημιουργώντας μια ακόμη λειτουργική οδό για την ανταλλαγή βέλτιστων πρακτικών μεταξύ των κρατών μελών και συμβάλλοντας στην ενίσχυση των επιπέδων ωριμότητας των κρατών μελών στον τομέα της κυβερνοασφάλειας. Επιπλέον, οι αξιολογήσεις από ομοτίμους θα πρέπει να λαμβάνουν υπόψη τα αποτελέσματα παρόμοιων μηχανισμών, όπως το σύστημα αξιολόγησης από ομοτίμους του δικτύου CSIRT, και θα πρέπει να προσθέτουν αξία και να αποφεύγουν τις επικαλύψεις. Η εφαρμογή των αξιολογήσεων από ομοτίμους δεν θα πρέπει να θίγει το ενωσιακό ή το εθνικό δίκαιο σχετικά με την προστασία των εμπιστευτικών ή διαβαθμισμένων πληροφοριών.

(76)

Η Ομάδα Συνεργασίας θα πρέπει να θεσπίσει μεθοδολογία αυτοαξιολόγησης για τα κράτη μέλη, με στόχο την κάλυψη παραγόντων όπως το επίπεδο εφαρμογής των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και των υποχρεώσεων υποβολής εκθέσεων, το επίπεδο ικανοτήτων και η αποτελεσματικότητα της άσκησης των καθηκόντων των αρμόδιων αρχών, οι επιχειρησιακές ικανότητες των CSIRT, το επίπεδο εφαρμογής της αμοιβαίας συνδρομής, το επίπεδο εφαρμογής των ρυθμίσεων ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας ή ειδικά ζητήματα διασυνοριακού ή διατομεακού χαρακτήρα. Τα κράτη μέλη θα πρέπει να ενθαρρύνονται να διενεργούν αυτοαξιολογήσεις σε τακτική βάση, καθώς και να παρουσιάζουν και να συζητούν τα αποτελέσματα της αυτοαξιολόγησής τους στο πλαίσιο της Ομάδας Συνεργασίας.

(77)

Η ευθύνη για την εξασφάλιση της ασφάλειας των συστημάτων δικτύου και πληροφοριών εναπόκειται σε μεγάλο βαθμό στις βασικές και στις σημαντικές οντότητες. Θα πρέπει να προωθηθεί και να αναπτυχθεί μια αντίληψη διαχείρισης κινδύνων η οποία θα περιλαμβάνει εκτιμήσεις κινδύνου και την εφαρμογή μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας κατάλληλα για τους αντιμετωπιζόμενους κινδύνους.

(78)

Τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας θα πρέπει να λαμβάνουν υπόψη τον βαθμό εξάρτησης της βασικής ή σημαντικής οντότητας από τα συστήματα δικτύου και πληροφοριών και να περιλαμβάνουν μέτρα για τον εντοπισμό τυχόν κινδύνων περιστατικών, για την πρόληψη, τον εντοπισμό, την αντιμετώπιση περιστατικών και την ανάκαμψη από αυτά, καθώς και για τον μετριασμό των επιπτώσεών τους. Η ασφάλεια των συστημάτων δικτύου και πληροφοριών θα πρέπει να περιλαμβάνει την ασφάλεια των αποθηκευμένων, διαβιβαζόμενων και υφιστάμενων σε επεξεργασία δεδομένων. Τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας θα πρέπει να προβλέπουν συστημική ανάλυση, λαμβάνοντας υπόψη τον ανθρώπινο παράγοντα, προκειμένου να υπάρχει πλήρης εικόνα της ασφάλειας του συστήματος δικτύου και πληροφοριών.

(79)

Δεδομένου ότι οι απειλές για την ασφάλεια των συστημάτων δικτύου και πληροφοριών μπορεί να έχουν διαφορετικές προελεύσεις, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας θα πρέπει να βασίζονται σε μια ολική προσέγγιση των κινδύνων, η οποία να αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά όπως κλοπή, πυρκαγιά, πλημμύρες, αστοχίες στις τηλεπικοινωνίες ή την ηλεκτροδότηση, ή η μη εξουσιοδοτημένη φυσική πρόσβαση, καταστροφή και παρέμβαση στις εγκαταστάσεις επεξεργασίας πληροφοριών της βασικής ή σημαντικής οντότητας, οι οποίες θα μπορούσαν να θέσουν σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των αποθηκευμένων, διαβιβαζόμενων ή υφιστάμενων επεξεργασία δεδομένων ή των υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριών. Συνεπώς, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας θα πρέπει επίσης να αφορούν τη φυσική και περιβαλλοντική ασφάλεια των συστημάτων δικτύου και πληροφοριών, συμπεριλαμβάνοντας μέτρα για την προστασία των εν λόγω συστημάτων από αστοχίες του συστήματος, ανθρώπινα σφάλματα, κακόβουλες πράξεις ή φυσικά φαινόμενα, σύμφωνα με τα ευρωπαϊκά και διεθνή πρότυπα, όπως αυτά που περιλαμβάνονται στη σειρά ISO/IEC 27000. Εν προκειμένω, οι βασικές και σημαντικές οντότητες θα πρέπει, στο πλαίσιο των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που εφαρμόζουν, να μεριμνούν και για την ασφάλεια των ανθρώπινων πόρων και να εφαρμόζουν κατάλληλες πολιτικές ελέγχου της πρόσβασης. Τα μέτρα αυτά θα πρέπει να συνάδουν με την οδηγία (ΕΕ) 2022/2557.

(80)

Για τον σκοπό της απόδειξης της συμμόρφωσης με τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και ελλείψει κατάλληλων ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας που να έχουν εγκριθεί σύμφωνα με τον κανονισμό (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (18), τα κράτη μέλη θα πρέπει, σε διαβούλευση με την Ομάδα Συνεργασίας και την ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας, να προωθούν τη χρήση σχετικών ευρωπαϊκών και διεθνών προτύπων από βασικές και σημαντικές οντότητες ή να απαιτούν από οντότητες να χρησιμοποιούν πιστοποιημένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ.

(81)

Προκειμένου να αποφευχθεί η επιβολή δυσανάλογης οικονομικής και διοικητικής επιβάρυνσης σε βασικές και σημαντικές οντότητες, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας θα πρέπει να είναι αναλογικά προς τους κινδύνους που εγκυμονεί το οικείο σύστημα δικτύου και πληροφοριών, λαμβάνοντας υπόψη την πλέον προηγμένη τεχνολογία των εν λόγω μέτρων και, κατά περίπτωση, τα σχετικά ευρωπαϊκά και διεθνή πρότυπα, καθώς και το κόστος εφαρμογής τους.

(82)

Τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας θα πρέπει να είναι αναλογικά προς τον βαθμό έκθεσης της βασικής ή σημαντικής οντότητας σε κινδύνους και προς τον κοινωνικό και οικονομικό αντίκτυπο που θα είχε ένα περιστατικό. Κατά τη θέσπιση μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, προσαρμοσμένων στις βασικές και σημαντικές οντότητες, θα πρέπει να λαμβάνονται δεόντως υπόψη ο διαφορετικός βαθμός έκθεσης στον κίνδυνο για τις βασικές και σημαντικές οντότητες, όπως η κρισιμότητα της οντότητας, οι κίνδυνοι, συμπεριλαμβανομένων των κοινωνικών κινδύνων στους οποίους είναι εκτεθειμένη, το μέγεθος της οντότητας και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένων των κοινωνικών και οικονομικών επιπτώσεών τους.

(83)

Οι βασικές και οι σημαντικές οντότητες θα πρέπει να εγγυώνται την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους. Τα συστήματα αυτά είναι κυρίως ιδιωτικά συστήματα δικτύου και πληροφοριών τα οποία διαχειρίζεται το εσωτερικό προσωπικό ΤΠ των βασικών και σημαντικών οντοτήτων ή των οποίων η ασφάλεια έχει ανατεθεί σε εξωτερικούς συνεργάτες. Τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και οι υποχρεώσεις υποβολής εκθέσεων που προβλέπονται στην παρούσα οδηγία θα πρέπει να εφαρμόζονται στις σχετικές βασικές και σημαντικές οντότητες, ανεξάρτητα από το αν οι εν λόγω οντότητες διατηρούν εσωτερικά τα συστήματα δικτύου και πληροφοριών τους ή αναθέτουν τη συντήρησή τους σε εξωτερικούς συνεργάτες.

(84)

Λαμβανομένου υπόψη του διασυνοριακού χαρακτήρα τους, οι πάροχοι υπηρεσιών DNS, τα μητρώα ονομάτων TLD, οι πάροχοι υπηρεσιών υπολογιστικού νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι πάροχοι δικτύων διανομής περιεχομένου, οι πάροχοι υπηρεσιών υπό διαχείριση, οι πάροχοι υπηρεσιών ασφάλειας υπό διαχείριση, οι πάροχοι επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών κοινωνικής δικτύωσης και οι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να υπόκεινται σε υψηλό βαθμό εναρμόνισης σε επίπεδο Ένωσης. Κατά συνέπεια, η εφαρμογή των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας όσον αφορά τις εν λόγω οντότητες θα πρέπει να διευκολυνθεί με εκτελεστική πράξη.

(85)

Η αντιμετώπιση των κινδύνων που απορρέουν από την αλυσίδα εφοδιασμού μιας οντότητας και τη σχέση της με τους προμηθευτές της, όπως οι πάροχοι υπηρεσιών αποθήκευσης και επεξεργασίας δεδομένων ή οι πάροχοι διαχειριζόμενης υπηρεσίας ασφάλειας και οι εκδότες λογισμικού, είναι ιδιαίτερα σημαντική δεδομένης της επικράτησης περιστατικών κατά τα οποία οντότητες έχουν πέσει θύματα κυβερνοεπιθέσεων και όπου κακόβουλοι δράστες μπόρεσαν να θέσουν σε κίνδυνο την ασφάλεια των συστημάτων δικτύου και πληροφοριών μιας οντότητας εκμεταλλευόμενοι ευπάθειες προϊόντων και υπηρεσιών τρίτων. Επομένως, οι βασικές και σημαντικές οντότητες θα πρέπει να αξιολογούν και να λαμβάνουν υπόψη τη συνολική ποιότητα και ανθεκτικότητα των προϊόντων και των υπηρεσιών, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που ενσωματώνονται σε αυτά, καθώς και τις πρακτικές κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους. Οι βασικές και σημαντικές οντότητες θα πρέπει ιδίως να ενθαρρύνονται να ενσωματώνουν μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας στις συμβατικές ρυθμίσεις με τους άμεσους προμηθευτές και τους παρόχους υπηρεσιών τους. Οι εν λόγω οντότητες θα μπορούσαν να εξετάζουν τους κινδύνους που απορρέουν από άλλα επίπεδα προμηθευτών και παρόχων υπηρεσιών.

(86)

Μεταξύ των παρόχων υπηρεσιών, οι πάροχοι υπηρεσίας διαχείρισης της ασφάλειας σε τομείς όπως η αντιμετώπιση περιστατικών, οι δοκιμές διείσδυσης, οι έλεγχοι ασφάλειας και η παροχή συμβουλών διαδραματίζουν ιδιαίτερα σημαντικό ρόλο στην παροχή συνδρομής σε οντότητες που καταβάλλουν προσπάθειες για την πρόληψη, τον εντοπισμό και την αντιμετώπιση περιστατικών ή την ανάκαμψη από αυτά. Ωστόσο, οι ίδιοι οι πάροχοι υπηρεσίας ασφάλειας που τελούν υπό διαχείριση αποτέλεσαν επίσης στόχο κυβερνοεπιθέσεων και, λόγω της στενής ενσωμάτωσής τους στη λειτουργία των οντοτήτων, εγκυμονούν ιδιαίτερο κίνδυνο. Συνεπώς, οι βασικές και σημαντικές οντότητες θα πρέπει να επιδεικνύουν αυξημένη επιμέλεια κατά την επιλογή παρόχου διαχειριζόμενης υπηρεσίας ασφάλειας.

(87)

Οι αρμόδιες αρχές, στο πλαίσιο των εποπτικών καθηκόντων τους, μπορούν επίσης να επωφελούνται από υπηρεσίες κυβερνοασφάλειας, όπως οι έλεγχοι ασφάλειας και οι δοκιμές διείσδυσης ή η αντιμετώπιση περιστατικών.

(88)

Οι βασικές και σημαντικές οντότητες θα πρέπει επίσης να αντιμετωπίζουν τους κινδύνους που απορρέουν από τις αλληλεπιδράσεις και τις σχέσεις τους με άλλα ενδιαφερόμενα μέρη εντός ενός ευρύτερου οικοσυστήματος, μεταξύ άλλων όσον αφορά την αντιμετώπιση της βιομηχανικής κατασκοπείας και την προστασία του εμπορικού απορρήτου. Ειδικότερα, οι εν λόγω οντότητες θα πρέπει να λαμβάνουν τα κατάλληλα μέτρα ώστε η συνεργασία τους με ακαδημαϊκά και ερευνητικά ιδρύματα να πραγματοποιείται σύμφωνα με τις πολιτικές τους για την κυβερνοασφάλεια και να ακολουθεί τις ορθές πρακτικές όσον αφορά την ασφαλή πρόσβαση και διάδοση των πληροφοριών εν γένει και την προστασία της πνευματικής ιδιοκτησίας ειδικότερα. Ομοίως, δεδομένης της σημασίας και της αξίας που έχουν τα δεδομένα για τις δραστηριότητες των βασικών και σημαντικών οντοτήτων, όταν βασίζονται σε υπηρεσίες μετασχηματισμού και ανάλυσης δεδομένων από τρίτα μέρη, οι εν λόγω οντότητες θα πρέπει να λαμβάνουν όλα τα κατάλληλα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας.

(89)

Οι βασικές και σημαντικές οντότητες θα πρέπει να υιοθετήσουν ένα ευρύ φάσμα βασικών πρακτικών κυβερνοϋγιεινής, όπως τις αρχές μηδενικής εμπιστοσύνης, αναβαθμίσεις λογισμικού, παραμετροποίηση ρυθμίσεων συσκευών, κατάτμηση δικτύου, ταυτοποίηση και διαχείριση πρόσβασης ή ευαισθητοποίηση του χρήστη, να οργανώνουν προγράμματα κατάρτισης για το προσωπικό τους και να λαμβάνουν μέτρα ευαισθητοποίησης σχετικά με κυβερνοαπειλές μέσω εταιρικού ηλεκτρονικού ταχυδρομείου, ηλεκτρονικού «ψαρέματος» ή τεχνικών κοινωνικής μηχανικής. Επιπλέον, οι εν λόγω οντότητες θα πρέπει να αξιολογούν τις δικές τους ικανότητες κυβερνοασφάλειας και, κατά περίπτωση, να επιδιώκουν την ενσωμάτωση τεχνολογιών που ενισχύουν την κυβερνοασφάλεια, όπως η τεχνητή νοημοσύνη ή τα συστήματα μηχανικής μάθησης, για την ενίσχυση των ικανοτήτων τους και της ασφάλειας των συστημάτων δικτύου και πληροφοριών.

(90)

Για την περαιτέρω αντιμετώπιση των βασικών κινδύνων της αλυσίδας εφοδιασμού και την παροχή βοήθειας σε βασικές και σημαντικές οντότητες που δραστηριοποιούνται σε τομείς που καλύπτονται από την παρούσα οδηγία για την κατάλληλη διαχείριση των κινδύνων που σχετίζονται με την αλυσίδα εφοδιασμού και τους προμηθευτές, η Ομάδα Συνεργασίας, σε συνεργασία με την Επιτροπή και τον ENISA, και, κατά περίπτωση, κατόπιν διαβούλευσης με τα σχετικά ενδιαφερόμενα μέρη, μεταξύ άλλων από τη βιομηχανία, θα πρέπει να διενεργεί συντονισμένες εκτιμήσεις κινδύνου για την ασφάλεια κρίσιμων αλυσίδων εφοδιασμού, όπως διενεργούνται για τα δίκτυα 5G σύμφωνα με τη σύσταση (ΕΕ) 2019/534 της Επιτροπής (19), με σκοπό τον προσδιορισμό, ανά τομέα, των κρίσιμων υπηρεσιών ΤΠΕ, των συστημάτων ΤΠΕ ή των προϊόντων ΤΠΕ, των σχετικών απειλών και ευπαθειών. Οι εν λόγω συντονισμένες εκτιμήσεις κινδύνου για την ασφάλεια θα πρέπει να προσδιορίζουν μέτρα, σχέδια μετριασμού και βέλτιστες πρακτικές για την αντιμετώπιση κρίσιμων εξαρτήσεων, πιθανών μεμονωμένων σημείων αστοχίας, απειλών, τρωτοτήτων και άλλων κινδύνων που συνδέονται με την αλυσίδα εφοδιασμού και θα πρέπει να διερευνούν τρόπους για την περαιτέρω ενθάρρυνση της ευρύτερης υιοθέτησής τους από τις βασικές και σημαντικές οντότητες. Πιθανοί μη τεχνικοί παράγοντες κινδύνου, όπως η αθέμιτη επιρροή τρίτης χώρας στους προμηθευτές και τους παρόχους υπηρεσιών, ιδίως στην περίπτωση εναλλακτικών μοντέλων διακυβέρνησης, ενέχουν κεκαλυμμένες ευπάθειες ή κερκόπορτες και δυνητικές συστημικές διαταραχές στον εφοδιασμό, ιδίως σε περίπτωση τεχνολογικού εγκλωβισμού ή εξάρτησης από παρόχους.

(91)

Οι συντονισμένες εκτιμήσεις κινδύνου για την ασφάλεια κρίσιμων αλυσίδων εφοδιασμού, υπό το φως των χαρακτηριστικών του οικείου τομέα, θα πρέπει να λαμβάνουν υπόψη τόσο τεχνικούς όσο και, κατά περίπτωση, μη τεχνικούς παράγοντες, συμπεριλαμβανομένων εκείνων που ορίζονται στη σύσταση (ΕΕ) 2019/534, στην πανευρωπαϊκή συντονισμένη εκτίμηση κινδύνου της ασφάλειας των δικτύων 5G και στην εργαλειοθήκη της ΕΕ για την κυβερνοασφάλεια των δικτύων 5G που συμφωνήθηκε από την Ομάδα Συνεργασίας. Ο προσδιορισμός των αλυσίδων εφοδιασμού που θα πρέπει να υποβάλλονται σε συντονισμένη εκτίμηση κινδύνου για την ασφάλεια θα πρέπει να γίνεται με γνώμονα τα ακόλουθα κριτήρια: i) τον βαθμό στον οποίο βασικές και σημαντικές οντότητες χρησιμοποιούν και βασίζονται σε συγκεκριμένες κρίσιμες υπηρεσίες ΤΠΕ, συστήματα ΤΠΕ ή προϊόντα ΤΠΕ· ii) τη σημασία συγκεκριμένων κρίσιμων υπηρεσιών ΤΠΕ, συστημάτων ΤΠΕ ή προϊόντων ΤΠΕ για την εκτέλεση κρίσιμων ή ευαίσθητων λειτουργιών, συμπεριλαμβανομένης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· iii) τη διαθεσιμότητα εναλλακτικών υπηρεσιών ΤΠΕ, συστημάτων ΤΠΕ ή προϊόντων ΤΠΕ· iv) την ανθεκτικότητα του συνόλου της αλυσίδας εφοδιασμού υπηρεσιών ΤΠΕ, συστημάτων ΤΠΕ ή προϊόντων ΤΠΕ καθ’ όλη τη διάρκεια του κύκλου ζωής τους έναντι γεγονότων που προκαλούν διατάραξη και v) όσον αφορά αναδυόμενες υπηρεσίες ΤΠΕ, συστήματα ΤΠΕ ή προϊόντα ΤΠΕ, τη δυνητική μελλοντική τους σημασία για τις δραστηριότητες των οντοτήτων. Επιπλέον, θα πρέπει να δοθεί ιδιαίτερη έμφαση στις υπηρεσίες ΤΠΕ, τα συστήματα ΤΠΕ ή τα προϊόντα ΤΠΕ που υπόκεινται σε ειδικές απαιτήσεις που απορρέουν από τρίτες χώρες.

(92)

Προκειμένου να εξορθολογιστούν οι υποχρεώσεις που επιβάλλονται στους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών και στους παρόχους υπηρεσιών εμπιστοσύνης, όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών τους, καθώς και να δοθεί η δυνατότητα στις εν λόγω οντότητες και στις αρμόδιες αρχές δυνάμει της οδηγίας (ΕΕ) 2018/1972 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (20) και του κανονισμού (ΕΕ) αριθ. 910/2014 αντίστοιχα να επωφεληθούν από το νομικό πλαίσιο που θεσπίζεται με την παρούσα οδηγία, συμπεριλαμβανομένου του ορισμού μιας ομάδας CSIRT υπεύθυνης για τον χειρισμό περιστατικών, της συμμετοχής των οικείων αρμόδιων αρχών στις δραστηριότητες της ομάδας συνεργασίας και του δικτύου CSIRT, οι εν λόγω οντότητες θα πρέπει να υπάγονται στο πεδίο εφαρμογής της παρούσας οδηγίας. Συνεπώς, οι αντίστοιχες διατάξεις του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972 σχετικά με την επιβολή απαιτήσεων ασφάλειας και κοινοποίησης σε αυτούς τους τύπους οντοτήτων, θα πρέπει να καταργηθούν. Οι κανόνες σχετικά με τις υποχρεώσεις υποβολής αναφορών που ορίζονται στην παρούσα οδηγία δεν θα πρέπει να θίγουν τον κανονισμό (ΕΕ) 2016/679 και την οδηγία 2002/58/ΕΚ.

(93)

Οι υποχρεώσεις κυβερνοασφάλειας που ορίζονται στην παρούσα οδηγία θα πρέπει να θεωρούνται συμπληρωματικές προς τις απαιτήσεις που επιβάλλονται στους παρόχους υπηρεσιών εμπιστοσύνης δυνάμει του κανονισμού (ΕΕ) αριθ. 910/2014. Οι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να υποχρεούνται να λαμβάνουν όλα τα κατάλληλα και αναλογικά μέτρα για τη διαχείριση των πιθανών κινδύνων για τις υπηρεσίες τους, μεταξύ άλλων σε σχέση με τους πελάτες και τα βασιζόμενα τρίτα μέρη, και να αναφέρουν περιστατικά δυνάμει της παρούσας οδηγίας. Οι εν λόγω υποχρεώσεις κυβερνοασφάλειας και αναφοράς περιστατικών θα πρέπει να αφορούν και τη φυσική προστασία των παρεχόμενων υπηρεσιών. Οι απαιτήσεις για τους αναγνωρισμένους παρόχους υπηρεσιών εμπιστοσύνης που ορίζονται στο άρθρο 24 του κανονισμού (ΕΕ) αριθ. 910/2014 εξακολουθούν να ισχύουν.

(94)

Τα κράτη μέλη μπορούν να αναθέσουν τον ρόλο των αρμόδιων αρχών για τις υπηρεσίες εμπιστοσύνης στους εποπτικούς φορείς δυνάμει του κανονισμού (ΕΕ) αριθ. 910/2014, προκειμένου να διασφαλιστεί η συνέχιση των τρεχουσών πρακτικών και να αξιοποιηθούν οι γνώσεις και η πείρα που αποκτήθηκαν κατά την εφαρμογή του εν λόγω κανονισμού. Σε τέτοια περίπτωση, οι αρμόδιες αρχές δυνάμει της παρούσας οδηγίας, θα πρέπει να συνεργάζονται στενά και εγκαίρως με τους εν λόγω εποπτικούς φορείς, ανταλλάσσοντας τις σχετικές πληροφορίες, προκειμένου να εξασφαλίζεται η αποτελεσματική εποπτεία και συμμόρφωση των παρόχων υπηρεσιών εμπιστοσύνης με τις απαιτήσεις που ορίζονται στην παρούσα οδηγία και στον κανονισμό (ΕΕ) αριθ. 910/2014. Κατά περίπτωση, η CSIRT ή η αρμόδια αρχή δυνάμει της παρούσας οδηγίας θα πρέπει να ενημερώνει αμέσως τον εποπτικό φορέα δυνάμει του κανονισμού (ΕΕ) αριθ. 910/2014 σχετικά με κάθε κοινοποιηθείσα σημαντική κυβερνοαπειλή ή περιστατικό με αντίκτυπο στις υπηρεσίες εμπιστοσύνης, καθώς και σχετικά με τυχόν παραβίασης της παρούσας οδηγίας εκ μέρους παρόχου υπηρεσιών εμπιστοσύνης. Για τους σκοπούς της κοινοποίησης, τα κράτη μέλη μπορούν να χρησιμοποιούν, κατά περίπτωση, το ενιαίο σημείο εισόδου που έχει θεσπιστεί για την επίτευξη κοινής και αυτόματης αναφοράς περιστατικών τόσο στον εποπτικό φορέα δυνάμει του κανονισμού (ΕΕ) αριθ. 910/2014 όσο και στην CSIRT ή στην αρμόδια αρχή δυνάμει της παρούσας οδηγίας.

(95)

Κατά περίπτωση και προκειμένου να αποφευχθεί άσκοπη αναστάτωση, οι υφιστάμενες εθνικές κατευθυντήριες γραμμές που έχουν εγκριθεί για τη μεταφορά των κανόνων σχετικά με τα μέτρα ασφάλειας που προβλέπονται στα άρθρα 40 και 41 της οδηγίας (ΕΕ) 2018/1972, θα πρέπει να λαμβάνονται υπόψη κατά τη μεταφορά της παρούσας οδηγίας στο εθνικό δίκαιο, ώστε να αξιοποιηθούν οι γνώσεις και οι δεξιότητες που έχουν ήδη αποκτηθεί δυνάμει της οδηγίας (ΕΕ) 2018/1972 σχετικά με τα μέτρα ασφάλειας και τις κοινοποιήσεις περιστατικών. Ο ENISA μπορεί επίσης να καταρτίσει κατευθυντήριες γραμμές σχετικά με τις απαιτήσεις ασφάλειας και τις υποχρεώσεις αναφοράς περιστατικών για τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, προκειμένου να διευκολυνθούν η εναρμόνιση και η μετάβαση και να ελαχιστοποιηθούν οι διαταράξεις. Τα κράτη μέλη μπορούν να αναθέσουν στις εθνικές ρυθμιστικές αρχές τον ρόλο των αρμόδιων αρχών για τις ηλεκτρονικές επικοινωνίες δυνάμει της οδηγίας (ΕΕ) 2018/1972 προκειμένου να εξασφαλιστεί η συνέχιση των τρεχουσών πρακτικών και να αξιοποιηθούν οι γνώσεις και η πείρα που αποκτήθηκαν ως αποτέλεσμα της μεταφοράς της εν λόγω οδηγίας.

(96)

Δεδομένης της αυξανόμενης σημασίας των υπηρεσιών διαπροσωπικών επικοινωνιών ανεξαρτήτως αριθμού, όπως αυτές ορίζονται στην οδηγία (ΕΕ) 2018/1972, είναι αναγκαίο να εξασφαλίζεται ότι οι εν λόγω υπηρεσίες θα υπόκεινται επίσης σε κατάλληλες απαιτήσεις ασφάλειας σύμφωνα με τον συγκεκριμένο χαρακτήρα τους και την οικονομική τους σημασία. Καθώς η επιφάνεια επίθεσης συνεχίζει να επεκτείνεται, οι ανεξαρτήτως αριθμού υπηρεσίες διαπροσωπικών επικοινωνιών, όπως είναι οι υπηρεσίες ανταλλαγής μηνυμάτων, καθίστανται διαδεδομένοι φορείς επίθεσης. Οι κακόβουλοι δράστες χρησιμοποιούν πλατφόρμες για να επικοινωνούν με τα θύματα και να τα προσελκύουν να ανοίξουν παραβιασμένες ιστοσελίδες, με αποτέλεσμα να αυξάνεται η πιθανότητα περιστατικών που αφορούν στην εκμετάλλευση δεδομένων προσωπικού χαρακτήρα και, κατ’ επέκταση, στην ασφάλεια των συστημάτων δικτύου και πληροφοριών. Οι πάροχοι υπηρεσιών διαπροσωπικών επικοινωνιών ανεξαρτήτως αριθμού θα πρέπει να διασφαλίζουν επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριών κατάλληλο για τους κινδύνους που εγκυμονούν. Δεδομένου ότι οι πάροχοι υπηρεσιών διαπροσωπικών επικοινωνιών ανεξαρτήτως αριθμού κατά κανόνα δεν ασκούν πραγματικό έλεγχο επί της μετάδοσης σημάτων μέσω δικτύων, ο βαθμός κινδύνου για τις εν λόγω υπηρεσίες μπορεί να θεωρηθεί, από ορισμένες απόψεις, χαμηλότερος από ό,τι για τις παραδοσιακές υπηρεσίες ηλεκτρονικών επικοινωνιών. Το ίδιο ισχύει και για τις υπηρεσίες διαπροσωπικών επικοινωνιών όπως ορίζονται στην οδηγία (ΕΕ) 2018/1972 που χρησιμοποιούν αριθμούς και δεν ασκούν πραγματικό έλεγχο επί της μετάδοσης σημάτων.

(97)

Η εσωτερική αγορά εξαρτάται περισσότερο από ποτέ από τη λειτουργία του διαδικτύου. Οι υπηρεσίες όλων, σχεδόν, των βασικών και των σημαντικών οντοτήτων εξαρτώνται από τις υπηρεσίες που παρέχονται μέσω του διαδικτύου. Προκειμένου να διασφαλιστεί η ομαλή παροχή υπηρεσιών που παρέχονται από βασικές και σημαντικές οντότητες, είναι σημαντικό όλοι οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών να διαθέτουν κατάλληλα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και να αναφέρουν σχετικά σημαντικά περιστατικά. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι διατηρείται η ασφάλεια των δημόσιων δικτύων ηλεκτρονικών επικοινωνιών και ότι τα ζωτικά συμφέροντά τους στον τομέα της ασφάλειας προστατεύονται από δολιοφθορά και κατασκοπεία. Δεδομένου ότι η διεθνής συνδεσιμότητα ενισχύει και επιταχύνει την ανταγωνιστική ψηφιοποίηση της Ένωσης και της οικονομίας της, τα περιστατικά που επηρεάζουν τα υποβρύχια καλώδια επικοινωνιών θα πρέπει να αναφέρονται στην CSIRT ή, κατά περίπτωση, στην αρμόδια αρχή. Η εθνική στρατηγική κυβερνοασφάλειας θα πρέπει, κατά περίπτωση, να λαμβάνει υπόψη την κυβερνοασφάλεια των υποθαλάσσιων καλωδίων επικοινωνιών και να περιλαμβάνει χαρτογράφηση των δυνητικών κινδύνων κυβερνοασφάλειας και μέτρα μετριασμού για τη διασφάλιση του υψηλότερου δυνατού επιπέδου προστασίας τους.

(98)

Προκειμένου να προστατεύεται η ασφάλεια των δημόσιων δικτύων ηλεκτρονικών επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, θα πρέπει να προωθηθεί η χρήση τεχνολογιών κρυπτογράφησης, ιδίως διατερματικής κρυπτογράφησης, καθώς και εννοιών ασφάλειας με επίκεντρο τα δεδομένα, όπως χαρτογραφία, κατάτμηση, σήμανση, πολιτική πρόσβασης και διαχείριση πρόσβασης, καθώς και αποφάσεις αυτοματοποιημένης πρόσβασης. Όπου απαιτείται, η χρήση κρυπτογράφησης, ιδίως διατερματικής κρυπτογράφησης, θα πρέπει να είναι υποχρεωτική για τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σύμφωνα με τις αρχές της ασφάλειας και της ιδιωτικότητας εξ ορισμού και εκ σχεδιασμού για τους σκοπούς της παρούσας οδηγίας. Η χρήση της διατερματικής κρυπτογράφησης θα πρέπει να συμβιβάζεται με τις εξουσίες των κρατών μελών να διασφαλίζουν την προστασία των ουσιωδών συμφερόντων ασφάλειας και δημόσιας ασφάλειάς τους και να επιτρέπουν την πρόληψη, τη διερεύνηση, τον εντοπισμό και τη δίωξη ποινικών αδικημάτων σύμφωνα με το δίκαιο της Ένωσης. Ωστόσο, αυτό δεν θα πρέπει να αποδυναμώνει τη διατερματική κρυπτογράφηση, η οποία αποτελεί κρίσιμη τεχνολογία για την αποτελεσματική προστασία των δεδομένων, της ιδιωτικότητας και της ασφάλειας των επικοινωνιών.

(99)

Προκειμένου να διαφυλαχθεί η ασφάλεια, και να αποτραπούν η κατάχρηση και η χειραγώγηση, των δημόσιων δικτύων ηλεκτρονικών επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, θα πρέπει να προωθηθεί η χρήση προτύπων ασφαλούς δρομολόγησης, ώστε να διασφαλιστεί η ακεραιότητα και η ευρωστία των λειτουργιών δρομολόγησης σε ολόκληρο το οικοσύστημα των παρόχων υπηρεσιών πρόσβασης στο διαδίκτυο.

(100)

Προκειμένου να διασφαλιστούν η λειτουργικότητα και η ακεραιότητα του διαδικτύου και να προωθηθεί η ασφάλεια και η ανθεκτικότητα του DNS, τα σχετικά ενδιαφερόμενα μέρη, συμπεριλαμβανομένων των οντοτήτων του ιδιωτικού τομέα της Ένωσης, των παρόχων διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, ιδίως των παρόχων υπηρεσιών πρόσβασης στο διαδίκτυο και των παρόχων διαδικτυακών μηχανών αναζήτησης, θα πρέπει να ενθαρρυνθούν να υιοθετήσουν στρατηγική διαφοροποίησης της επίλυσης των ονομάτων DNS. Συνεπώς, τα κράτη μέλη θα πρέπει να ενθαρρύνουν την ανάπτυξη και χρήση μιας δημόσιας και ασφαλούς ευρωπαϊκής υπηρεσίας επίλυσης ονομάτων DNS.

(101)

Η παρούσα οδηγία θεσπίζει μια προσέγγιση πολλαπλών σταδίων ως προς την αναφορά σοβαρών περιστατικών, προκειμένου να επιτευχθεί η σωστή ισορροπία μεταξύ, αφενός, της ταχείας αναφοράς, που συμβάλλει στον μετριασμό της πιθανής εξάπλωσης σοβαρών περιστατικών και επιτρέπει στις βασικές και σημαντικές οντότητες να αναζητούν στήριξη και, αφετέρου, της υποβολής εμπεριστατωμένων εκθέσεων που αντλούν πολύτιμα διδάγματα από μεμονωμένα περιστατικά και βελτιώνουν με την πάροδο του χρόνου την κυβερνοανθεκτικότητα μεμονωμένων οντοτήτων και ολόκληρων τομέων. Στο πλαίσιο αυτό, η παρούσα οδηγία θα πρέπει να περιλαμβάνει την αναφορά περιστατικών τα οποία, βάσει αρχικής αξιολόγησης που διενεργείται από την οικεία οντότητα, θα μπορούσαν να προκαλέσουν σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία στην εν λόγω οντότητα ή να επηρεάσουν άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία. Στην εν λόγω αρχική αξιολόγηση θα πρέπει να λαμβάνονται υπόψη, μεταξύ άλλων, τα επηρεαζόμενα συστήματα δικτύου και πληροφοριών, και ιδίως η σημασία τους για την παροχή των υπηρεσιών της οντότητας, η σοβαρότητα και τα τεχνικά χαρακτηριστικά της κυβερνοαπειλής και τυχόν υποκείμενων τρωτοτήτων που αποτελούν αντικείμενο εκμετάλλευσης, καθώς και η πείρα της οντότητας σε παρόμοια περιστατικά. Δείκτες όπως ο βαθμός στον οποίο επηρεάζεται η λειτουργία της υπηρεσίας, η διάρκεια ενός περιστατικού ή ο αριθμός των επηρεαζόμενων αποδεκτών των υπηρεσιών θα μπορούσαν να διαδραματίσουν σημαντικό ρόλο στον προσδιορισμό του κατά πόσον η λειτουργική διατάραξη της υπηρεσίας είναι σοβαρή.

(102)

Όταν οι βασικές και σημαντικές οντότητες αντιληφθούν σημαντικό περιστατικό, θα πρέπει να υποχρεούνται να υποβάλλουν έγκαιρη προειδοποίηση χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 24 ωρών. Η έγκαιρη προειδοποίηση θα πρέπει να ακολουθείται από κοινοποίηση περιστατικού. Οι οικείες οντότητες θα πρέπει να υποβάλλουν αμελλητί κοινοποίηση περιστατικού και σε κάθε περίπτωση εντός 72 ωρών από τη στιγμή που αντιλαμβάνονται το σημαντικό περιστατικό, με σκοπό, ιδίως, την επικαιροποίηση των πληροφοριών που υποβάλλονται μέσω της έγκαιρης προειδοποίησης και την αναφορά αρχικής αξιολόγησης του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, καθώς και ενδείξεων προσβολής, εφόσον υπάρχουν. Η τελική έκθεση θα πρέπει να υποβάλλεται το αργότερο ένα μήνα μετά την κοινοποίηση του περιστατικού. Η έγκαιρη προειδοποίηση θα πρέπει να περιλαμβάνει μόνο τις πληροφορίες που είναι αναγκαίες προκειμένου η CSIRT ή, κατά περίπτωση, η αρμόδια αρχή, να γνωρίζει το σημαντικό περιστατικό και να επιτρέπει στην οικεία οντότητα να ζητήσει βοήθεια, εφόσον απαιτείται. Η εν λόγω έγκαιρη προειδοποίηση, κατά περίπτωση, θα πρέπει να αναφέρει αν το σημαντικό περιστατικό είναι ύποπτο για έκνομες ή κακόβουλες πράξεις και αν είναι πιθανό να έχει διασυνοριακές επιπτώσεις. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι η υποχρέωση υποβολής της εν λόγω έγκαιρης προειδοποίησης, ή η επακόλουθη κοινοποίηση περιστατικών, δεν εκτρέπει τους πόρους της κοινοποιούσας οντότητας από δραστηριότητες που σχετίζονται με τον χειρισμό περιστατικών κατά προτεραιότητα, προκειμένου οι υποχρεώσεις αναφοράς περιστατικών να μην εκτρέπουν πόρους από τον χειρισμό σημαντικών περιστατικών ή να θέτουν άλλως σε κίνδυνο τις σχετικές προσπάθειες της οντότητας. Σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης, τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι οικείες οντότητες υποβάλλουν έκθεση προόδου τη δεδομένη στιγμή και ότι έχει υποβληθεί τελική έκθεση εντός ενός μηνός από τον εκ μέρους τους χειρισμό του σημαντικού περιστατικού.

(103)

Κατά περίπτωση, οι βασικές και σημαντικές οντότητες θα πρέπει να κοινοποιούν, χωρίς καθυστέρηση, στους αποδέκτες των υπηρεσιών τους τυχόν μέτρα ή διορθωτικά μέτρα που μπορούν να λάβουν για να μετριάσουν τους απορρέοντες κινδύνους από σημαντική κυβερνοαπειλή. Οι εν λόγω οντότητες θα πρέπει, κατά περίπτωση και ιδίως όταν η σημαντική κυβερνοαπειλή είναι πιθανό να συμβεί, να ενημερώνουν επίσης τους αποδέκτες των υπηρεσιών τους για την ίδια την απειλή. Η απαίτηση ενημέρωσης των αποδεκτών σημαντικών κυβερνοαπειλών θα πρέπει να τηρείται με τη μέγιστη δυνατή προσπάθεια, αλλά δεν θα πρέπει να απαλλάσσει τις εν λόγω οντότητες από την υποχρέωση να λαμβάνουν, με δικά τους έξοδα, κατάλληλα και άμεσα μέτρα για την πρόληψη ή την αντιμετώπιση τέτοιων απειλών και την αποκατάσταση του κανονικού επιπέδου ασφάλειας της υπηρεσίας. Η σχετική ενημέρωση προς τους αποδέκτες των υπηρεσιών σχετικά με σημαντικές κυβερνοαπειλές θα πρέπει να παρέχεται δωρεάν και να διατυπώνεται σε εύληπτη γλώσσα.

(104)

Οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών θα πρέπει να εφαρμόζουν εκ σχεδιασμού και εξ ορισμού την ασφάλεια και να ενημερώνουν τους αποδέκτες των υπηρεσιών τους για σημαντικές κυβερνοαπειλές και για τα μέτρα που μπορούν να λάβουν για την προστασία της ασφάλειας των συσκευών και των επικοινωνιών τους, για παράδειγμα με τη χρήση ειδικών τύπων λογισμικού ή τεχνολογιών κρυπτογράφησης.

(105)

Η προληπτική προσέγγιση των κυβερνοαπειλών αποτελεί ζωτικής σημασίας συνιστώσα των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, η οποία θα πρέπει να επιτρέπει στις αρμόδιες αρχές να αποτρέπουν αποτελεσματικά τη μετεξέλιξη κυβερνοαπειλών σε περιστατικά που ενδέχεται να προκαλέσουν σημαντική υλική ή μη υλική ζημία. Για τον σκοπό αυτό, η κοινοποίηση κυβερνοαπειλών έχει καθοριστική σημασία. Για τον σκοπό αυτό, οι οντότητες ενθαρρύνονται να αναφέρουν σε εθελοντική βάση τις κυβερνοαπειλές.

(106)

Προκειμένου να απλουστευθεί η υποβολή των πληροφοριών που απαιτούνται βάσει της παρούσας οδηγίας, καθώς και να μειωθεί ο διοικητικός φόρτος για τις οντότητες, τα κράτη μέλη θα πρέπει να παρέχουν τεχνικά μέσα, όπως ενιαίο σημείο εισόδου, αυτοματοποιημένα συστήματα, διαδικτυακές φόρμες, φιλικές προς τον χρήστη διεπαφές, υποδείγματα, ειδικές πλατφόρμες για χρήση από οντότητες, ανεξαρτήτως του αν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας, για την υποβολή των σχετικών πληροφοριών που πρέπει να αναφερθούν. Η ενωσιακή χρηματοδότηση για τη στήριξη της εφαρμογής της παρούσας οδηγίας, ιδίως στο πλαίσιο του προγράμματος «Ψηφιακή Ευρώπη» που θεσπίστηκε με τον κανονισμό (ΕΕ) 2021/694 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (21), θα μπορούσε να περιλαμβάνει στήριξη για τα ενιαία σημεία εισόδου. Επιπλέον, οι οντότητες βρίσκονται συχνά αντιμέτωπες με καταστάσεις κατά τις οποίες ένα συγκεκριμένο περιστατικό, λόγω των χαρακτηριστικών του, πρέπει να αναφερθεί σε διαφορετικές αρχές, ως αποτέλεσμα των υποχρεώσεων κοινοποίησης που περιλαμβάνονται σε διάφορες νομικές πράξεις. Οι περιπτώσεις αυτές δημιουργούν πρόσθετο διοικητικό φόρτο και θα μπορούσαν επίσης να οδηγήσουν σε αβεβαιότητες όσον αφορά τη μορφή και τις διαδικασίες των εν λόγω κοινοποιήσεων. Όταν δημιουργείται ενιαίο σημείο εισόδου, τα κράτη μέλη ενθαρρύνονται επίσης να χρησιμοποιούν το εν λόγω ενιαίο σημείο εισόδου για κοινοποιήσεις περιστατικών ασφάλειας που απαιτούνται βάσει άλλης ενωσιακής νομοθεσίας, όπως ο κανονισμός (ΕΕ) 2016/679 και η οδηγία 2002/58/ΕΚ. Η χρήση του εν λόγω ενιαίου σημείου εισόδου για την αναφορά περιστατικών ασφάλειας βάσει του κανονισμού (ΕΕ) 2016/679 και της οδηγίας 2002/58/ΕΚ δεν θα πρέπει να επηρεάζει την εφαρμογή των διατάξεων του κανονισμού (ΕΕ) 2016/679 και της οδηγίας 2002/58/ΕΚ, ιδίως εκείνων που αφορούν την ανεξαρτησία των αρχών που αναφέρονται σε αυτά. Ο ENISA, σε συνεργασία με την Ομάδα Συνεργασίας, θα πρέπει να αναπτύξει κοινά υποδείγματα κοινοποίησης μέσω κατευθυντήριων γραμμών για την απλούστευση και τον εξορθολογισμό των πληροφοριών που πρέπει να αναφερθούν δυνάμει του δικαίου της Ένωσης και τη μείωση του διοικητικού φόρτου των κοινοποιουσών οντοτήτων.

(107)

Όταν υπάρχει υπόνοια ότι ένα περιστατικό σχετίζεται με σοβαρές εγκληματικές δραστηριότητες δυνάμει ενωσιακής ή εθνικής νομοθεσίας, τα κράτη μέλη θα πρέπει να παροτρύνουν τις βασικές και τις σημαντικές οντότητες με βάση τους ισχύοντες στο ενωσιακό δίκαιο κανόνες ποινικών διαδικασιών, να αναφέρουν περιστατικά εικαζόμενης σοβαρής εγκληματικής φύσεως στις αρμόδιες αρχές επιβολής του νόμου. Κατά περίπτωση, και με την επιφύλαξη των κανόνων προστασίας των δεδομένων προσωπικού χαρακτήρα που ισχύουν για την Ευρωπόλ, είναι επιθυμητό ο συντονισμός μεταξύ των αρμόδιων αρχών και των αρχών επιβολής του νόμου των διαφόρων κρατών μελών να διευκολύνεται από το Ευρωπαϊκό Κέντρο για το Κυβερνοέγκλημα (EC3), και από τον ENISA.

(108)

Ως αποτέλεσμα περιστατικών, σε πολλές περιπτώσεις διακυβεύονται δεδομένα προσωπικού χαρακτήρα. Στο πλαίσιο αυτό, οι αρμόδιες αρχές θα πρέπει να συνεργάζονται και να ανταλλάσσουν πληροφορίες σχετικά με όλα τα σχετικά θέματα με τις αρχές που αναφέρονται στον κανονισμό (ΕΕ) 2016/679 και στην οδηγία 2002/58/ΕΚ.

(109)

Η διατήρηση επακριβών και πλήρων βάσεων δεδομένων για δεδομένα καταχώρισης ονομάτων τομέα (τα λεγόμενα «δεδομένα WHOIS») και η παροχή νόμιμης πρόσβασης στα εν λόγω δεδομένα είναι ουσιαστικής σημασίας για τη διασφάλιση της ασφάλειας, της σταθερότητας και της ανθεκτικότητας του DNS, γεγονός που με τη σειρά του συμβάλλει σε υψηλό κοινό επίπεδο κυβερνοασφάλειας εντός της Ένωσης. Για τον συγκεκριμένο σκοπό, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει να υποχρεούνται να επεξεργάζονται ορισμένα δεδομένα που είναι αναγκαία για την επίτευξη του εν λόγω σκοπού. Η εν λόγω επεξεργασία θα πρέπει να συνιστά νομική υποχρέωση κατά την έννοια του άρθρου 6 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679. Η υποχρέωση αυτή δεν θίγει τη δυνατότητα συλλογής δεδομένων καταχώρισης ονομάτων τομέα για άλλους σκοπούς, για παράδειγμα βάσει συμβατικών ρυθμίσεων ή νομικών απαιτήσεων που καθορίζονται σε άλλο ενωσιακό ή εθνικό δίκαιο. Η υποχρέωση αυτή αποσκοπεί στην επίτευξη ενός πλήρους και ακριβούς συνόλου δεδομένων καταχώρισης και δεν θα πρέπει να έχει ως αποτέλεσμα την επανειλημμένη συλλογή των ίδιων δεδομένων. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει να συνεργάζονται μεταξύ τους προκειμένου να αποφεύγεται η αλληλεπικάλυψη του εν λόγω καθήκοντος.

(110)

Η διαθεσιμότητα και η έγκαιρη προσβασιμότητα των δεδομένων καταχώρισης ονομάτων τομέα στους νομίμως αιτούντες πρόσβαση είναι ουσιαστικής σημασίας για την πρόληψη και την καταπολέμηση της κατάχρησης του DNS, καθώς και για την πρόληψη και τον εντοπισμό και την αντιμετώπιση περιστατικών. Ως νομίμως αιτούντες πρόσβαση νοούνται τα φυσικά ή νομικά πρόσωπα που υποβάλλουν αίτηση βάσει του ενωσιακού ή του εθνικού δικαίου. Μπορούν να περιλαμβάνονται αρχές που είναι αρμόδιες δυνάμει της παρούσας οδηγίας και αρχές που είναι αρμόδιες δυνάμει του ενωσιακού ή του εθνικού δικαίου για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων, καθώς και CERT ή CSIRT. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει να υποχρεούνται να επιτρέπουν τη νόμιμη πρόσβαση σε συγκεκριμένα δεδομένα καταχώρισης ονομάτων τομέα, τα οποία είναι αναγκαία για τους σκοπούς του αιτήματος πρόσβασης, σε νομίμως αιτούντες πρόσβαση σύμφωνα με το ενωσιακό και το εθνικό δίκαιο. Το αίτημα των νομίμως αιτούντων πρόσβαση θα πρέπει να συνοδεύεται από αιτιολόγηση που να επιτρέπει την αξιολόγηση της αναγκαιότητας πρόσβασης στα δεδομένα.

(111)

Προκειμένου να διασφαλιστεί η διαθεσιμότητα ακριβών και πλήρων δεδομένων καταχώρισης ονομάτων χώρου, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων χώρου θα πρέπει να συλλέγουν και να εγγυώνται την ακεραιότητα και τη διαθεσιμότητα των δεδομένων καταχώρισης ονομάτων χώρου. Ειδικότερα, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει να θεσπίσουν πολιτικές και διαδικασίες για τη συλλογή και τη διατήρηση ακριβών και πλήρων δεδομένων καταχώρισης ονομάτων τομέα, καθώς και για την πρόληψη και διόρθωση ανακριβών δεδομένων καταχώρισης σύμφωνα με τη νομοθεσία της Ένωσης για την προστασία των δεδομένων. Οι εν λόγω πολιτικές και διαδικασίες θα πρέπει να λαμβάνουν υπόψη, στο μέτρο του δυνατού, τα πρότυπα που αναπτύσσονται από τις πολυσυμμετοχικές δομές διακυβέρνησης σε διεθνές επίπεδο. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει να καθιερώσουν και να εφαρμόζουν αναλογικές διαδικασίες για την επαλήθευση των δεδομένων καταχώρισης ονομάτων τομέα. Οι διαδικασίες αυτές θα πρέπει να αντικατοπτρίζουν τις βέλτιστες πρακτικές που χρησιμοποιούνται στον κλάδο και, στο μέτρο του δυνατού, την πρόοδο που έχει σημειωθεί στον τομέα της ηλεκτρονικής ταυτοποίησης. Παραδείγματα διαδικασιών επαλήθευσης μπορεί να είναι οι προληπτικοί που διενεργούνται κατά την καταχώριση και οι κατασταλτικοί έλεγχοι που διενεργούνται μετά την καταχώριση. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει, ιδίως, να επαληθεύουν τουλάχιστον ένα στοιχείο επικοινωνίας του καταχωρίζοντος.

(112)

Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει να υποχρεούνται να δημοσιοποιούν δεδομένα καταχώρισης ονομάτων τομέα που δεν εμπίπτουν στο πεδίο εφαρμογής της ενωσιακής νομοθεσίας για την προστασία των δεδομένων, όπως δεδομένα που αφορούν νομικά πρόσωπα, σύμφωνα με το προοίμιο του κανονισμού (ΕΕ) 2016/679. Για τα νομικά πρόσωπα, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει να δημοσιοποιούν τουλάχιστον το όνομα του καταχωρίζοντος και τον αριθμό τηλεφώνου επικοινωνίας. Η διεύθυνση ηλεκτρονικού ταχυδρομείου επικοινωνίας θα πρέπει επίσης να δημοσιεύεται υπό την προϋπόθεση ότι δεν περιέχει δεδομένα προσωπικού χαρακτήρα, όπως ψευδώνυμα ηλεκτρονικού ταχυδρομείου ή λογαριασμούς υπηρεσίας. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει επίσης να καθιστούν δυνατή τη νόμιμη πρόσβαση από νομίμως αιτούντες πρόσβαση σε συγκεκριμένα δεδομένα καταχώρισης ονομάτων τομέα που αφορούν φυσικά πρόσωπα, σύμφωνα με το δίκαιο της Ένωσης για την προστασία των δεδομένων. Τα κράτη μέλη θα πρέπει να απαιτούν από τα μητρώα ονομάτων TLD και τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα να απαντούν χωρίς αδικαιολόγητη καθυστέρηση σε αιτήματα γνωστοποίησης δεδομένων καταχώρισης ονομάτων τομέα από νομίμως αιτούντες πρόσβαση. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα θα πρέπει να θεσπίσουν πολιτικές και διαδικασίες για τη δημοσίευση και γνωστοποίηση δεδομένων καταχώρισης, συμπεριλαμβανομένων συμφωνιών σε επίπεδο υπηρεσιών για την αντιμετώπιση αιτημάτων πρόσβασης από νομίμως αιτούντες πρόσβαση. Οι εν λόγω πολιτικές και διαδικασίες θα πρέπει να λαμβάνουν υπόψη, στο μέτρο του δυνατού, τυχόν κατευθύνσεις που έχουν δοθεί καθώς και τα πρότυπα που αναπτύσσονται από τις πολυσυμμετοχικές δομές διακυβέρνησης σε διεθνές επίπεδο. Η διαδικασία πρόσβασης θα μπορούσε να περιλαμβάνει τη χρήση διεπαφής, πύλης ή άλλου τεχνικού εργαλείου για την παροχή αποτελεσματικού συστήματος υποβολής αιτημάτων για δεδομένα καταχώρισης και την πρόσβαση σε αυτά. Για την προώθηση εναρμονισμένων πρακτικών σε ολόκληρη την εσωτερική αγορά, η Επιτροπή μπορεί, με την επιφύλαξη των αρμοδιοτήτων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, να προβλέπει κατευθυντήριες γραμμές σχετικά με τις εν λόγω διαδικασίες, οι οποίες λαμβάνουν υπόψη, στο μέτρο του δυνατού, τα πρότυπα που έχουν αναπτυχθεί από τις πολυμερείς δομές διακυβέρνησης σε διεθνές επίπεδο. Τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι όλοι οι τύποι πρόσβασης σε προσωπικά και μη προσωπικά δεδομένα καταχώρισης ονομάτων τομέα είναι δωρεάν.

(113)

Οι οντότητες που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας θα πρέπει να θεωρείται ότι εμπίπτουν στη δικαιοδοσία του κράτους μέλους στο οποίο είναι εγκατεστημένες. Ωστόσο, οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή οι πάροχοι διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών θα πρέπει να θεωρείται ότι εμπίπτουν στη δικαιοδοσία του κράτους μέλους στο οποίο παρέχουν τις υπηρεσίες τους. Οι πάροχοι υπηρεσιών DNS, τα μητρώα ονομάτων TLD, οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, οι πάροχοι υπηρεσιών υπολογιστικού νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι πάροχοι δικτύων διανομής περιεχομένου, οι πάροχοι διαχειριζομένων υπηρεσιών, οι πάροχοι διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και οι πάροχοι επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών υπηρεσιών κοινωνικής δικτύωσης θα πρέπει να θεωρείται ότι εμπίπτουν στη δικαιοδοσία του κράτους μέλους στο οποίο έχουν την κύρια εγκατάστασή τους στην Ένωση. Οι οντότητες της δημόσιας διοίκησης πρέπει να υπάγονται στη δικαιοδοσία του κράτους μέλους που τις έχει συστήσει. Εάν η οντότητα παρέχει υπηρεσίες ή είναι εγκατεστημένη σε περισσότερα του ενός κράτη μέλη, θα πρέπει να υπάγεται στη χωριστή και συντρέχουσα δικαιοδοσία καθενός από αυτά τα κράτη μέλη. Οι αρμόδιες αρχές των εν λόγω κρατών μελών θα πρέπει να συνεργάζονται, να παρέχουν αμοιβαία συνδρομή μεταξύ τους και, κατά περίπτωση, να εκτελούν κοινές εποπτικές δράσεις. Όταν τα κράτη μέλη ασκούν δικαιοδοσία, δεν θα πρέπει να προβλέπουν πάνω από μία φορά μέτρα επιβολής ή κυρώσεις για την ίδια συμπεριφορά, σύμφωνα με την αρχή ne bis in idem.

(114)

Προκειμένου να ληφθεί υπόψη ο διασυνοριακός χαρακτήρας των υπηρεσιών και των λειτουργιών των παρόχων υπηρεσιών DNS, των μητρώων ονομάτων TLD, των οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, των παρόχων υπηρεσιών υπολογιστικού νέφους, των παρόχων υπηρεσιών κέντρων δεδομένων, των παρόχων δικτύων διανομής περιεχομένου, των παρόχων διαχειριζομένων υπηρεσιών, των παρόχων διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και των παρόχων επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, μόνο ένα κράτος μέλος θα πρέπει να έχει δικαιοδοσία επί των εν λόγω οντοτήτων. Η δικαιοδοσία θα πρέπει να ανατίθεται στο κράτος μέλος στο οποίο η οικεία οντότητα έχει την κύρια εγκατάστασή της στην Ένωση. Το κριτήριο της εγκατάστασης για τους σκοπούς της παρούσας οδηγίας συνεπάγεται την πραγματική άσκηση δραστηριότητας μέσω σταθερών ρυθμίσεων. Από αυτή την άποψη, ο νομικός τύπος των ρυθμίσεων αυτών, είτε πρόκειται για παράρτημα είτε για θυγατρική με νομική προσωπικότητα, δεν είναι καθοριστικής σημασίας. Το κατά πόσον πληρούται το συγκεκριμένο κριτήριο δεν θα πρέπει να εξαρτάται από το αν τα συστήματα δικτύου και πληροφοριών βρίσκονται σε συγκεκριμένο τόπο· η παρουσία και η χρήση τέτοιων συστημάτων δεν συνιστούν από μόνες τους βασική εγκατάσταση και συνεπώς δεν συνιστούν αποφασιστικά κριτήρια για τον καθορισμό της βασικής εγκατάστασης. Η κύρια εγκατάσταση θα πρέπει να θεωρείται ότι είναι στο κράτος μέλος όπου λαμβάνονται κατά κύριο λόγο στην Ένωση οι αποφάσεις που σχετίζονται με τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας. Αυτό συνήθως αντιστοιχεί στον τόπο της κεντρικής διοίκησης των οντοτήτων εντός της Ένωσης. Εάν το εν λόγω κράτος μέλος δεν μπορεί να προσδιοριστεί ή εάν δεν ληφθούν τέτοιες αποφάσεις στην Ένωση, η κύρια εγκατάσταση θα πρέπει να θεωρείται ότι βρίσκεται στο κράτος μέλος στο οποίο διεξάγονται οι επιχειρήσεις κυβερνοασφάλειας. Εάν το εν λόγω κράτος μέλος δεν μπορεί να προσδιοριστεί, η κύρια εγκατάσταση θα πρέπει να θεωρείται ότι βρίσκεται στο κράτος μέλος στο οποίο η οντότητα έχει την εγκατάσταση με τον μεγαλύτερο αριθμό εργαζομένων στην Ένωση. Όταν οι υπηρεσίες παρέχονται από όμιλο επιχειρήσεων, η κύρια εγκατάσταση της ελέγχουσας επιχείρησης θα πρέπει να θεωρείται ως η κύρια εγκατάσταση του ομίλου επιχειρήσεων.

(115)

Όταν μια διαθέσιμη στο κοινό υπηρεσία DNS παρέχεται από πάροχο δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών μόνο ως μέρος της υπηρεσίας πρόσβασης στο διαδίκτυο, η οντότητα θα πρέπει να θεωρείται ότι εμπίπτει στη δικαιοδοσία όλων των κρατών μελών στα οποία παρέχονται οι υπηρεσίες της.

(116)

Όταν πάροχος υπηρεσιών DNS, μητρώο ονομάτων TLD, οντότητα που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα, πάροχος υπηρεσιών υπολογιστικού νέφους, πάροχος υπηρεσιών κέντρου δεδομένων, πάροχος δικτύου διανομής περιεχομένου, πάροχος διαχειριζομένων υπηρεσιών, πάροχος διαχειριζομένων υπηρεσιών ασφάλειας ή πάροχος επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης ή πλατφορμών κοινωνικής δικτύωσης, ο οποίος δεν είναι εγκατεστημένος στην Ένωση, προσφέρει υπηρεσίες εντός της Ένωσης, θα πρέπει να ορίζει εκπρόσωπο στην Ένωση. Για να προσδιοριστεί κατά πόσον μια τέτοια οντότητα προσφέρει υπηρεσίες εντός της Ένωσης, θα πρέπει να εξακριβώνεται αν η εν λόγω οντότητα σχεδιάζει να προσφέρει υπηρεσίες σε πρόσωπα σε ένα η περισσότερα κράτη μέλη. Η απλή προσβασιμότητα στην Ένωση του δικτυακού τόπου της οντότητας ή ενός ενδιάμεσου φορέα ή μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου ή άλλων στοιχείων επικοινωνίας, ή η χρήση γλώσσας που χρησιμοποιείται γενικά στην τρίτη χώρα όπου είναι εγκατεστημένη η οντότητα θα πρέπει να θεωρείται ανεπαρκής για την επιβεβαίωση της εν λόγω πρόθεσης. Ωστόσο, παράγοντες όπως η χρήση γλώσσας ή νομίσματος που χρησιμοποιείται γενικά σε ένα ή περισσότερα κράτη μέλη με δυνατότητα παραγγελίας υπηρεσιών στη γλώσσα αυτή, ή η αναφορά πελατών ή χρηστών που βρίσκονται στην Ένωση, θα μπορούσαν να καταστήσουν σαφές ότι η οντότητα σχεδιάζει να προσφέρει υπηρεσίες εντός της Ένωσης. Ο εκπρόσωπος πρέπει να ενεργεί εξ ονόματος της οντότητας και οι αρμόδιες αρχές ή οι CSIRT θα πρέπει να έχουν τη δυνατότητα να απευθύνονται στον εκπρόσωπο. Ο εκπρόσωπος θα πρέπει να ορίζεται ρητώς με γραπτή εντολή της οντότητας να ενεργεί για λογαριασμό της τελευταίας όσον αφορά τις υποχρεώσεις της που απορρέουν από την παρούσα οδηγία, συμπεριλαμβανομένης της αναφοράς περιστατικών.

(117)

Προκειμένου να διασφαλιστεί σαφής επισκόπηση των παρόχων υπηρεσιών DNS, των μητρώων ονομάτων TLD, των οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, των παρόχων υπηρεσιών υπολογιστικού νέφους, των παρόχων υπηρεσιών κέντρων δεδομένων, των παρόχων δικτύων διανομής περιεχομένου, των παρόχων διαχειριζομένων υπηρεσιών, των παρόχων διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και των παρόχων επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών κοινωνικής δικτύωσης, οι οποίες παρέχουν υπηρεσίες σε ολόκληρη την Ένωση που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας, ο ENISA θα πρέπει να δημιουργήσει και να τηρεί μητρώο των εν λόγω οντοτήτων, με βάση τις πληροφορίες που λαμβάνουν τα κράτη μέλη, κατά περίπτωση μέσω εθνικών μηχανισμών που έχουν θεσπιστεί για την καταχώριση των οντοτήτων. Τα ενιαία σημεία επαφής θα πρέπει να διαβιβάζουν στον ENISA τις πληροφορίες και τυχόν αλλαγές τους. Προκειμένου να εξασφαλίζονται η ακρίβεια και η πληρότητα των πληροφοριών που πρέπει να περιλαμβάνονται στο εν λόγω μητρώο, τα κράτη μέλη μπορούν να υποβάλλουν στον ENISA τις πληροφορίες που είναι διαθέσιμες σε τυχόν εθνικά μητρώα των εν λόγω οντοτήτων. Ο ENISA και τα κράτη μέλη θα πρέπει να λάβουν μέτρα για να διευκολύνουν τη διαλειτουργικότητα των εν λόγω μητρώων, διασφαλίζοντας παράλληλα την προστασία των εμπιστευτικών ή διαβαθμισμένων πληροφοριών. Ο ENISA θα πρέπει να θεσπίζει κατάλληλα πρωτόκολλα ταξινόμησης και διαχείρισης πληροφοριών για την εγγύηση της ασφάλειας και της εμπιστευτικότητας γνωστοποιημένων πληροφοριών, και να περιορίζει την πρόσβαση, αποθήκευση και διαβίβαση τέτοιου είδους πληροφοριών στους χρήστες για τους οποίους προορίζονται.

(118)

Όταν οι πληροφορίες που είναι διαβαθμισμένες σύμφωνα με το ενωσιακό ή το εθνικό δίκαιο, ανταλλάσσονται, αναφέρονται ή κοινοποιούνται με άλλον τρόπο δυνάμει της παρούσας οδηγίας, θα πρέπει να εφαρμόζονται οι αντίστοιχοι κανόνες για τον χειρισμό των διαβαθμισμένων πληροφοριών. Επιπλέον, ο ENISA θα πρέπει να διαθέτει υποδομές, διαδικασίες και κανόνες ώστε να χειρίζεται ευαίσθητες και διαβαθμισμένες πληροφορίες σύμφωνα με τους ισχύοντες κανόνες ασφάλειας της ΕΕ για την προστασία διαβαθμισμένων πληροφοριών.

(119)

Καθώς οι κυβερνοαπειλές καθίστανται πιο σύνθετες και εξελιγμένες, ο ορθός εντοπισμός αυτών των απειλών και τα μέτρα για την πρόληψή τους εξαρτώνται σε μεγάλο βαθμό από την τακτική ανταλλαγή πληροφοριών σχετικά με απειλές και τρωτότητες μεταξύ των οντοτήτων. Η ανταλλαγή πληροφοριών συμβάλλει στην αύξηση της ευαισθητοποίησης σχετικά με τις κυβερνοαπειλές, γεγονός που, με τη σειρά του, ενισχύει την ικανότητα των οντοτήτων να αποτρέπουν την επέλευση τέτοιων απειλών σε περιστατικά και επιτρέπει στις οντότητες να περιορίζουν καλύτερα τις επιπτώσεις των περιστατικών και να ανακάμπτουν αποτελεσματικότερα. Ελλείψει καθοδήγησης σε επίπεδο Ένωσης, διάφοροι παράγοντες φαίνεται ότι εμπόδισαν την εν λόγω ανταλλαγή πληροφοριών, ιδίως η αβεβαιότητα σχετικά με τη συμβατότητα με τους κανόνες περί ανταγωνισμού και ευθύνης.

(120)

Οι οντότητες θα πρέπει να ενθαρρύνονται και να επικουρούνται από τα κράτη μέλη ώστε να αξιοποιούν συλλογικά τις ατομικές γνώσεις και την πρακτική πείρα τους σε στρατηγικό, τακτικό και επιχειρησιακό επίπεδο, με σκοπό την ενίσχυση των ικανοτήτων τους να προλαμβάνουν, να εντοπίζουν, να αντιμετωπίζουν ή να ανακάμπτουν από περιστατικά ή να μετριάζουν τις επιπτώσεις τους. Συνεπώς, είναι αναγκαίο να καταστεί δυνατή η δημιουργία ρυθμίσεων εθελοντικής ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας σε επίπεδο Ένωσης. Για τον σκοπό αυτό, τα κράτη μέλη θα πρέπει να συνδράμουν ενεργά και να ενθαρρύνουν επίσης οντότητες όπως αυτές που παρέχουν υπηρεσίες και έρευνα κυβερνοασφάλειας, καθώς και τις σχετικές οντότητες που δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας, να συμμετέχουν στις εν λόγω ρυθμίσεις ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας. Οι ρυθμίσεις αυτές θα πρέπει να θεσπιστούν σε πλήρη συμμόρφωση με τους κανόνες ανταγωνισμού της Ένωσης και το δίκαιο της Ένωσης για την προστασία των δεδομένων.

(121)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, στον βαθμό που είναι αναγκαία και αναλογική για τον σκοπό της προστασίας της ασφάλειας των συστημάτων δικτύου και πληροφοριών από βασικές και σημαντικές οντότητες, θα μπορούσε να θεωρηθεί σύννομη λόγω του ότι η εν λόγω επεξεργασία συμμορφώνεται με νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας, σύμφωνα με τις απαιτήσεις του άρθρου 6 παράγραφος 1 στοιχείο γ) και του άρθρου 6 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσε επίσης να είναι απαραίτητη για έννομα συμφέροντα που επιδιώκονται από βασικές και σημαντικές οντότητες, καθώς και από παρόχους τεχνολογιών και υπηρεσιών ασφάλειας που ενεργούν για λογαριασμό των εν λόγω οντοτήτων, σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο στ) του κανονισμού (ΕΕ) 2016/679, μεταξύ άλλων όταν η εν λόγω επεξεργασία είναι απαραίτητη για ρυθμίσεις ανταλλαγής πληροφοριών για την κυβερνοασφάλεια ή για την εθελοντική κοινοποίηση σχετικών πληροφοριών σύμφωνα με την παρούσα οδηγία. Μέτρα σχετικά με την πρόληψη, τον εντοπισμό, τον προσδιορισμό, τον περιορισμό, την ανάλυση και την αντιμετώπιση περιστατικών, μέτρα για την ευαισθητοποίηση σχετικά με συγκεκριμένες κυβερνοαπειλές, την ανταλλαγή πληροφοριών στο πλαίσιο της αποκατάστασης ευπαθειών και της συντονισμένης γνωστοποίησης ευπαθειών, την εθελούσια ανταλλαγή πληροφοριών σχετικά με τα εν λόγω περιστατικά, τις κυβερνοαπειλές και τις ευπάθειες, τους δείκτες έκθεσης σε κίνδυνο, τις τακτικές, τις τεχνικές και τις διαδικασίες, τις ειδοποιήσεις επαγρύπνησης για την κυβερνοασφάλεια και τα εργαλεία διαμόρφωσης θα μπορούσαν να απαιτούν την επεξεργασία ορισμένων κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως διευθύνσεις IP, ενιαίους εντοπιστές πόρων (URL), ονόματα τομέα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, και, στον βαθμό που αυτά αποκαλύπτουν προσωπικά δεδομένα, χρονοσφραγίδες. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές, ενιαία σημεία επαφής και CSIRT θα μπορούσε να συνιστά νομική υποχρέωση ή να θεωρείται αναγκαία για την εκτέλεση καθήκοντος δημοσίου συμφέροντος ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο γ) ή ε) και το άρθρο 6 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, ή για την επιδίωξη έννομου συμφέροντος των βασικών και σημαντικών οντοτήτων, όπως αναφέρεται στο άρθρο 6 παράγραφος 1 στοιχείο στ) του εν λόγω κανονισμού. Επιπλέον, το εθνικό δίκαιο θα μπορούσε να θεσπίζει κανόνες που θα επιτρέπουν στις αρμόδιες αρχές, στα ενιαία σημεία επαφής και στις CSIRT, στον βαθμό που είναι αναγκαίο και αναλογικό για τον σκοπό της προστασίας της ασφάλειας των συστημάτων δικτύου και πληροφοριών βασικών και σημαντικών οντοτήτων, να επεξεργάζονται ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 9 του κανονισμού (ΕΕ) 2016/679, ιδίως με την πρόβλεψη κατάλληλων και ειδικών μέτρων για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων των φυσικών προσώπων, συμπεριλαμβανομένων τεχνικών περιορισμών στην περαιτέρω χρήση των εν λόγω δεδομένων και της χρήσης προηγμένων μέτρων ασφάλειας και προστασίας της ιδιωτικής ζωής, όπως η ψευδωνυμοποίηση, ή η κρυπτογράφηση όταν η ανωνυμοποίηση μπορεί να επηρεάσει σημαντικά τον επιδιωκόμενο σκοπό.

(122)

Προκειμένου να ενισχυθούν οι εποπτικές εξουσίες και τα μέτρα που συμβάλλουν στη διασφάλιση της αποτελεσματικής συμμόρφωσης, η παρούσα οδηγία θα πρέπει να προβλέπει έναν ελάχιστο κατάλογο εποπτικών μέτρων και μέσων μέσω των οποίων οι αρμόδιες αρχές μπορούν να εποπτεύουν βασικές και σημαντικές οντότητες. Επιπλέον, η παρούσα οδηγία θα πρέπει να καθιερώσει μια διαφοροποίηση του εποπτικού καθεστώτος μεταξύ βασικών και σημαντικών οντοτήτων, με σκοπό την εξασφάλιση δίκαιης ισορροπίας των υποχρεώσεων τόσο για τις εν λόγω οντότητες όσο και για τις αρμόδιες αρχές. Συνεπώς, οι βασικές οντότητες θα πρέπει να υπόκεινται σε πλήρες εκ των προτέρων και εκ των υστέρων καθεστώς εποπτείας, ενώ οι σημαντικές οντότητες θα πρέπει να υπόκεινται σε απλοποιημένο, μόνο εκ των υστέρων, εποπτικό καθεστώς. Δεν θα πρέπει επομένως να απαιτείται από τις σημαντικές οντότητες να τεκμηριώνουν συστηματικά τη συμμόρφωση με τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, ενώ οι αρμόδιες αρχές θα πρέπει να εφαρμόζουν μια εκ των υστέρων προσέγγιση της εποπτείας και, ως εκ τούτου, να μην έχουν γενική υποχρέωση εποπτείας των εν λόγω οντοτήτων. Η εκ των υστέρων εποπτεία σημαντικών οντοτήτων μπορεί να ενεργοποιείται με αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες που περιέρχονται σε γνώση των αρμόδιων αρχών τις οποίες οι εν λόγω αρχές θεωρούν ότι υποδηλώνουν πιθανές παραβιάσεις των υποχρεώσεων της παρούσας οδηγίας. Για παράδειγμα, τέτοια αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες θα μπορούσαν να είναι του είδους που παρέχονται στις αρμόδιες αρχές από άλλες αρχές, οντότητες, πολίτες, μέσα ενημέρωσης ή άλλες πηγές, πληροφορίες διαθέσιμες στο κοινό, ή θα μπορούσαν να προκύπτουν από άλλες δραστηριότητες που διεξάγουν οι αρμόδιες αρχές κατά την εκτέλεση των καθηκόντων τους.

(123)

Η εκτέλεση εποπτικών καθηκόντων από τις αρμόδιες αρχές δεν θα πρέπει να παρεμποδίζει αδικαιολόγητα τις επιχειρηματικές δραστηριότητες της οικείας οντότητας. Όταν οι αρμόδιες αρχές εκτελούν τα εποπτικά τους καθήκοντα σε σχέση με βασικές οντότητες, συμπεριλαμβανομένης της διενέργειας επιτόπιων επιθεωρήσεων και της εποπτείας εκτός των εγκαταστάσεων, της διερεύνησης περιπτώσεων παραβιάσεων της παρούσας οδηγίας, και της διενέργειας ελέγχων ασφάλειας ή σαρώσεων ασφαλείας, θα πρέπει να ελαχιστοποιούν τον αντίκτυπο στις επιχειρηματικές δραστηριότητες της οικείας οντότητας.

(124)

Στο πλαίσιο της άσκησης της εκ των προτέρων εποπτείας, οι αρμόδιες αρχές θα πρέπει να είναι σε θέση να αποφασίζουν πώς θα ιεραρχήσουν τη χρήση των εποπτικών μέτρων και μέσων που έχουν στη διάθεσή τους με αναλογικό τρόπο. Τούτο συνεπάγεται ότι οι αρμόδιες αρχές μπορούν να αποφασίζουν σχετικά με την εν λόγω ιεράρχηση βάσει εποπτικών μεθοδολογιών οι οποίες θα πρέπει να ακολουθούν προσέγγιση που βασίζεται στους κινδύνους. Πιο συγκεκριμένα, οι μεθοδολογίες αυτές θα μπορούσαν να περιλαμβάνουν κριτήρια ή στοιχεία αναφοράς για την κατάταξη των βασικών οντοτήτων σε κατηγορίες κινδύνου, και αντίστοιχα εποπτικά μέτρα και μέσα που συνιστώνται ανά κατηγορία κινδύνου, όπως χρήση, συχνότητα ή είδος επιτόπιων επιθεωρήσεων, ή στοχευμένων ελέγχων ασφαλείας ή σαρώσεων ασφαλείας, είδος πληροφοριών που πρέπει να ζητούνται και βαθμός λεπτομέρειας των εν λόγω πληροφοριών. Οι εν λόγω εποπτικές μεθοδολογίες θα μπορούσαν επίσης να συνοδεύονται από προγράμματα εργασίας και να αξιολογούνται και να επανεξετάζονται τακτικά, μεταξύ άλλων όσον αφορά πτυχές όπως η κατανομή των πόρων και οι ανάγκες σε πόρους. Όσον αφορά τους φορείς δημόσιας διοίκησης, οι εποπτικές εξουσίες θα πρέπει να ασκούνται σύμφωνα με το εθνικό νομοθετικό και θεσμικό πλαίσιο.

(125)

Οι αρμόδιες αρχές θα πρέπει να διασφαλίζουν ότι τα εποπτικά τους καθήκοντα σε σχέση με βασικές και σημαντικές οντότητες ασκούνται από καταρτισμένους επαγγελματίες, οι οποίοι θα πρέπει να διαθέτουν τις απαραίτητες δεξιότητες για την εκτέλεση των εν λόγω καθηκόντων, ιδίως όσον αφορά τη διενέργεια επιτόπιων επιθεωρήσεων και την εποπτεία εκτός των εγκαταστάσεων, συμπεριλαμβανομένου του εντοπισμού αδυναμιών στις βάσεις δεδομένων, το υλικό, τα τείχη προστασίας, την κρυπτογράφηση και τα δίκτυα. Οι εν λόγω επιθεωρήσεις και εποπτεία θα πρέπει να διενεργούνται με αντικειμενικό τρόπο.

(126)

Σε δεόντως αιτιολογημένες περιπτώσεις όπου αντιλαμβάνεται σημαντική κυβερνοαπειλή ή επικείμενο κίνδυνο, η αρμόδια αρχή θα πρέπει να είναι σε θέση να λαμβάνει άμεσες αποφάσεις επιβολής με σκοπό την πρόληψη ή την αντιμετώπιση περιστατικού.

(127)

Προκειμένου να καταστεί αποτελεσματική η επιβολή, θα πρέπει να καταρτιστεί ένας ελάχιστος κατάλογος μέσων επιβολής που μπορούν να ασκηθούν σε περίπτωση παραβίασης των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και των υποχρεώσεων υποβολής εκθέσεων που προβλέπονται στην παρούσα οδηγία, με τη θέσπιση σαφούς και συνεκτικού πλαισίου για τα εν λόγω μέσα επιβολής σε ολόκληρη την Ένωση. Θα πρέπει να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης της παρούσας οδηγίας, η υλική ή μη υλική ζημία που προκλήθηκε, το κατά πόσον η παράβαση ήταν εκ προθέσεως ή εξ αμελείας, οι ενέργειες που πραγματοποιήθηκαν για την πρόληψη ή τον μετριασμό της υλικής ή μη υλικής ζημίας, ο βαθμός ευθύνης ή τυχόν σχετικών προηγούμενων παραβάσεων, ο βαθμός συνεργασίας με την αρμόδια αρχή και κάθε άλλη επιβαρυντική ή ελαφρυντική περίσταση. Τα μέσα επιβολής, περιλαμβανομένων των διοικητικών προστίμων, θα πρέπει να είναι αναλογικές και η επιβολή τους θα πρέπει να υπόκειται σε κατάλληλες δικονομικές εγγυήσεις σύμφωνα με τις γενικές αρχές του ενωσιακού δικαίου και του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («ο Χάρτης»), συμπεριλαμβανομένου του δικαιώματος αποτελεσματικής δικαστικής προστασίας και δίκαιης δίκης, του τεκμηρίου αθωότητας και του δικαιώματος υπεράσπισης.

(128)

Η παρούσα οδηγία δεν απαιτεί από τα κράτη μέλη να προβλέπουν ποινική ή αστική ευθύνη έναντι φυσικών προσώπων που είναι υπεύθυνα να διασφαλίζουν ότι μια οντότητα συμμορφώνεται με την παρούσα οδηγία για ζημία που υπέστησαν τρίτοι ως αποτέλεσμα παραβίασης της παρούσας οδηγίας.

(129)

Προκειμένου να διασφαλιστεί η αποτελεσματική επιβολή των υποχρεώσεων που ορίζονται στην παρούσα οδηγία, κάθε αρμόδια αρχή θα πρέπει να έχει την εξουσία να επιβάλλει ή να ζητεί την επιβολή διοικητικών προστίμων.

(130)

Σε περίπτωση που επιβάλλονται διοικητικά πρόστιμα σε βασική ή σημαντική οντότητα που είναι επιχείρηση, η επιχείρηση θα πρέπει να νοείται ως επιχείρηση σύμφωνα με τα άρθρα 101 και 102 ΣΛΕΕ για τους σκοπούς αυτούς. Σε περίπτωση που επιβάλλονται διοικητικά πρόστιμα σε πρόσωπα που δεν είναι επιχειρήσεις, η αρμόδια αρχή θα πρέπει να λαμβάνει υπόψη το γενικό επίπεδο εισοδημάτων στο κράτος μέλος, καθώς και την οικονομική κατάσταση του προσώπου, όταν εξετάζει το ενδεδειγμένο ποσό του προστίμου. Θα πρέπει να εναπόκειται στα κράτη μέλη να αποφασίζουν εάν και σε ποιο βαθμό μπορούν να επιβάλλονται διοικητικά πρόστιμα σε δημόσιες αρχές. Η επιβολή διοικητικού προστίμου δεν θίγει την άσκηση άλλων εξουσιών από τις αρμόδιες αρχές ή άλλων κυρώσεων που προβλέπονται στους εθνικούς κανόνες μεταφοράς της παρούσας οδηγίας.

(131)

Τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν κανόνες σχετικά με τις ποινικές κυρώσεις για παραβάσεις των εθνικών κανόνων μεταφοράς της παρούσας οδηγίας. Ωστόσο, η επιβολή ποινικών κυρώσεων για παραβάσεις τέτοιων εθνικών κανόνων και συναφών διοικητικών κυρώσεων δεν θα πρέπει να οδηγεί σε παραβίαση της αρχής ne bis in idem, όπως την ερμηνεύει το Δικαστήριο της Ευρωπαϊκής Ένωσης.

(132)

Όταν η παρούσα οδηγία δεν εναρμονίζει τις διοικητικές κυρώσεις ή όταν είναι αναγκαίο σε άλλες περιπτώσεις, π.χ. σε περίπτωση σοβαρής παράβασης των υποχρεώσεων της παρούσας οδηγίας, τα κράτη μέλη θα πρέπει να εφαρμόζουν σύστημα που προβλέπει αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις. Η φύση των εν λόγω κυρώσεων (ποινικών ή διοικητικών) θα πρέπει να προσδιορίζεται από το εθνικό δίκαιο.

(133)

Προκειμένου να ενισχυθεί περαιτέρω η αποτελεσματικότητα και η αποτρεπτικότητα των εφαρμοστέων μέσων επιβολής σε περίπτωση παράβασης των υποχρεώσεων της παρούσας οδηγίας, οι αρμόδιες αρχές θα πρέπει να έχουν την εξουσία να αναστέλλουν προσωρινά ή να ζητούν την προσωρινή αναστολή πιστοποίησης ή εξουσιοδότησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών που παρέχονται ή των δραστηριοτήτων που ασκούνται από βασική οντότητα και να ζητούν την επιβολή προσωρινής απαγόρευσης της άσκησης διευθυντικών καθηκόντων από οποιοδήποτε φυσικό πρόσωπο ασκεί διευθυντικά καθήκοντα σε επίπεδο διευθύνοντος συμβούλου ή νομικού εκπροσώπου. Δεδομένης της σοβαρότητας και του αντικτύπου τους στις δραστηριότητες των οντοτήτων και, εν τέλει, στους χρήστες, οι εν λόγω προσωρινές αναστολές ή απαγορεύσεις θα πρέπει να εφαρμόζονται μόνο κατ’ αναλογία προς τη σοβαρότητα της παράβασης και λαμβανομένων υπόψη των περιστάσεων κάθε μεμονωμένης περίπτωσης, συμπεριλαμβανομένου του κατά πόσον η παράβαση ήταν εκ προθέσεως ή εξ αμελείας, καθώς και οποιωνδήποτε ενεργειών που αναλαμβάνονται για την πρόληψη ή τον μετριασμό της υλικής ή μη υλικής ζημίας. Οι εν λόγω προσωρινές αναστολές ή απαγορεύσεις θα πρέπει να εφαρμόζονται μόνο ως έσχατη λύση, δηλαδή μόνο αφού εξαντληθούν τα άλλα σχετικά μέτρα επιβολής που προβλέπονται στην παρούσα οδηγία, και μόνο έως ότου η οικεία οντότητα λάβει τα αναγκαία μέτρα για να διορθώσει τις ελλείψεις ή να συμμορφωθεί με τις απαιτήσεις της αρμόδιας αρχής για τις οποίες εφαρμόστηκαν οι εν λόγω προσωρινές αναστολές ή απαγορεύσεις. Η επιβολή τέτοιων προσωρινών αναστολών ή απαγορεύσεων θα πρέπει να υπόκειται σε κατάλληλες διαδικαστικές εγγυήσεις σύμφωνα με τις γενικές αρχές του δικαίου της Ένωσης και του Χάρτη, συμπεριλαμβανομένου του δικαιώματος αποτελεσματικής δικαστικής προστασίας και δίκαιης δίκης, του τεκμηρίου αθωότητας και του δικαιώματος υπεράσπισης.

(134)

Για τη διασφάλιση της συμμόρφωσης των οντοτήτων με τις υποχρεώσεις τους δυνάμει της παρούσας οδηγίας, τα κράτη μέλη θα πρέπει να συνεργάζονται και να αλληλοβοηθούνται όσον αφορά τα μέτρα εποπτείας και επιβολής, ιδίως όταν μια οντότητα παρέχει υπηρεσίες σε περισσότερα του ενός κράτη μέλη ή όταν τα συστήματα δικτύου και πληροφοριών της βρίσκονται σε κράτος μέλος διαφορετικό από εκείνο στο οποίο παρέχει υπηρεσίες. Κατά την παροχή συνδρομής, η αρμόδια αρχή στην οποία υποβάλλεται το αίτημα θα πρέπει να λαμβάνει μέτρα εποπτείας ή επιβολής σύμφωνα με το εθνικό δίκαιο. Προκειμένου να διασφαλιστεί η ομαλή λειτουργία της αμοιβαίας συνδρομής δυνάμει της παρούσας οδηγίας, οι αρμόδιες αρχές θα πρέπει να χρησιμοποιούν την Ομάδα Συνεργασίας ως φόρουμ για τη συζήτηση υποθέσεων και ειδικών αιτημάτων συνδρομής.

(135)

Προκειμένου να διασφαλιστεί η αποτελεσματική εποπτεία και επιβολή, ιδίως σε περίπτωση κατάστασης με διασυνοριακή διάσταση, τα κράτη μέλη που έχουν λάβει αίτηση αμοιβαίας συνδρομής θα πρέπει, εντός των ορίων του εν λόγω αιτήματος, να λαμβάνουν κατάλληλα μέτρα εποπτείας και επιβολής σε σχέση με την οντότητα αποτελεί αντικείμενο του αιτήματος αυτού και που παρέχει υπηρεσίες ή διαθέτει σύστημα δικτύου και πληροφοριών στην επικράτειά τους.

(136)

Η παρούσα οδηγία θα πρέπει να θεσπίσει κανόνες συνεργασίας μεταξύ των αρμόδιων αρχών και των εποπτικών αρχών δυνάμει του κανονισμού (ΕΕ) 2016/679 για την αντιμετώπιση παραβάσεων της παρούσας οδηγίας που σχετίζονται με δεδομένα προσωπικού χαρακτήρα.

(137)

Η παρούσα οδηγία θα πρέπει να αποσκοπεί στη διασφάλιση υψηλού επιπέδου ευθύνης για τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τις υποχρεώσεις υποβολής εκθέσεων στο επίπεδο των βασικών και σημαντικών οντοτήτων. Συνεπώς, τα διοικητικά όργανα των βασικών και σημαντικών οντοτήτων θα πρέπει να εγκρίνουν τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και να επιβλέπουν την εφαρμογή τους.

(138)

Προκειμένου να διασφαλιστεί υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση βάσει της παρούσας οδηγίας, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 ΣΛΕΕ όσον αφορά τη συμπλήρωση της παρούσας οδηγίας με τον προσδιορισμό των κατηγοριών βασικών και σημαντικών οντοτήτων που πρέπει να χρησιμοποιούν ορισμένα πιστοποιημένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ ή να αποκτούν πιστοποιητικό στο πλαίσιο ευρωπαϊκού καθεστώτος πιστοποίησης κυβερνοασφάλειας. Είναι ιδιαίτερα σημαντικό η Επιτροπή να διεξάγει, κατά τις προπαρασκευαστικές της εργασίες, τις κατάλληλες διαβουλεύσεις, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων, και οι διαβουλεύσεις αυτές να πραγματοποιούνται σύμφωνα με τις αρχές που ορίζονται στη διοργανική συμφωνία της 13ης Απριλίου 2016 για τη βελτίωση του νομοθετικού έργου (22). Πιο συγκεκριμένα, προκειμένου να διασφαλιστεί η ίση συμμετοχή στην προετοιμασία των κατ’ εξουσιοδότηση πράξεων, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο λαμβάνουν όλα τα έγγραφα κατά τον ίδιο χρόνο με τους εμπειρογνώμονες των κρατών μελών, και οι εμπειρογνώμονές τους έχουν συστηματικά πρόσβαση στις συνεδριάσεις των ομάδων εμπειρογνωμόνων της Επιτροπής που ασχολούνται με την προετοιμασία κατ’ εξουσιοδότηση πράξεων.

(139)

Προκειμένου να διασφαλιστούν ενιαίες προϋποθέσεις για την εφαρμογή της παρούσας οδηγίας, θα πρέπει να ανατεθούν στην Επιτροπή εκτελεστικές αρμοδιότητες για τον καθορισμό των διαδικαστικών ρυθμίσεων που απαιτούνται για τη λειτουργία της ομάδας συνεργασίας και των τεχνικών και μεθοδολογικών και τομεακών απαιτήσεων σχετικά με τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, καθώς και για τον περαιτέρω προσδιορισμό του είδους των πληροφοριών, του μορφότυπου και της διαδικασίας των κοινοποιήσεων περιστατικών, κυβερνοαπειλών και κοινοποιήσεων παρ’ ολίγον περιστατικών, και της κοινοποίησης σημαντικών κυβερνοαπειλών, καθώς και των περιπτώσεων στις οποίες ένα περιστατικό πρέπει να θεωρείται σημαντικό. Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (23).

(140)

Η Επιτροπή θα πρέπει να επανεξετάζει περιοδικά την παρούσα οδηγία, κατόπιν διαβούλευσης με τα ενδιαφερόμενα μέρη, ιδίως προκειμένου να καθορίζεται κατά πόσον είναι σκόπιμο να προτείνονται τροποποιήσεις υπό το φως αλλαγών στις κοινωνικές, πολιτικές, τεχνολογικές συνθήκες ή στις συνθήκες της αγοράς. Στο πλαίσιο των εν λόγω επανεξετάσεων, η Επιτροπή θα πρέπει να αξιολογεί τη συνάφεια του μεγέθους των οικείων οντοτήτων και των τομέων, των υποτομέων και των τύπων οντοτήτων που αναφέρονται στα παραρτήματα της παρούσας οδηγίας για τη λειτουργία της οικονομίας και της κοινωνίας σε σχέση με την κυβερνοασφάλεια. Η Επιτροπή θα πρέπει να αξιολογεί, μεταξύ άλλων, κατά πόσον οι πάροχοι που χαρακτηρίζονται ως πολύ μεγάλες επιγραμμικές πλατφόρμες κατά την έννοια του άρθρου 33 του κανονισμού (ΕΕ) 2022/2065 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (24) θα μπορούσαν να χαρακτηριστούν βασικές οντότητες βάσει της παρούσας οδηγίας.

(141)

Η παρούσα οδηγία δημιουργεί νέα καθήκοντα για τον ENISA, ενισχύοντας έτσι τον ρόλο του, και θα μπορούσε επίσης να έχει ως αποτέλεσμα να απαιτείται από τον ENISA να εκτελεί τα υφιστάμενα καθήκοντά του δυνάμει του κανονισμού (ΕΕ) 2019/881 σε υψηλότερο επίπεδο από ό, τι στο παρελθόν. Προκειμένου να διασφαλιστεί ότι ο ENISA διαθέτει τους αναγκαίους οικονομικούς και ανθρώπινους πόρους για την εκτέλεση των υφιστάμενων και των νέων καθηκόντων, καθώς και για την κάλυψη οποιουδήποτε υψηλότερου επιπέδου εκτέλεσης των εν λόγω καθηκόντων που απορρέει από τον ενισχυμένο ρόλο του, ο προϋπολογισμός του θα πρέπει να αυξηθεί αναλόγως. Επιπλέον, προκειμένου να διασφαλιστεί η αποδοτική χρήση των πόρων, ο ENISA θα πρέπει να διαθέτει μεγαλύτερη ευελιξία όσον αφορά τον τρόπο με τον οποίο είναι σε θέση να κατανέμει τους πόρους εσωτερικά με σκοπό την αποτελεσματική εκτέλεση των καθηκόντων του και την ικανοποίηση των προσδοκιών.

(142)

Δεδομένου ότι ο στόχος της παρούσας οδηγίας, ήτοι η επίτευξη υψηλού ενιαίου επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση, δεν μπορεί να επιτευχθεί ικανοποιητικά από τα κράτη μέλη αλλά μπορεί, λόγω των επιπτώσεων της δράσης, να επιτευχθεί καλύτερα σε ενωσιακό επίπεδο, η Ένωση μπορεί να λάβει μέτρα, σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας του ιδίου άρθρου, η παρούσα οδηγία δεν υπερβαίνει τα αναγκαία για την επίτευξη του στόχου αυτού.

(143)

Η παρούσα οδηγία σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται από τον Χάρτη, ιδίως το δικαίωμα στον σεβασμό της ιδιωτικότητας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την επιχειρηματική ελευθερία, το δικαίωμα ιδιοκτησίας, το δικαίωμα αποτελεσματικής δικαστικής προστασίας και δίκαιης δίκης, το τεκμήριο αθωότητας και το δικαίωμα υπεράσπισης. Το δικαίωμα αποτελεσματικής δικαστικής προστασίας εκτείνεται στους αποδέκτες υπηρεσιών που παρέχονται από βασικές και σημαντικές οντότητες. Η παρούσα οδηγία θα πρέπει να εφαρμόζεται σύμφωνα με τα δικαιώματα και τις αρχές αυτές.

(144)

Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (25) και διατύπωσε γνώμη στις 11 Μαρτίου 2021 (26),