14.9.2023   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 324/2


ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠHΣ

Κατευθυντήριες γραμμές για την εφαρμογή του άρθρου 4 παράγραφοι 1 και 2 της οδηγίας (ΕΕ) 2022/2555 (οδηγία NIS 2)

(2023/C 324/02)

1.   

Σύμφωνα με το άρθρο 3 παράγραφος 4 της οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS 2) (1), η Επιτροπή, με τη συνδρομή του Οργανισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), θεσπίζει αμελλητί κατευθυντήριες γραμμές και υποδείγματα σχετικά με τις υποχρεώσεις που καθορίζονται στην εν λόγω διάταξη. Το άρθρο 3 παράγραφος 4 της οδηγίας (ΕΕ) 2022/2555 αναφέρεται στο άρθρο 3 παράγραφος 3 της εν λόγω οδηγίας, το οποίο απαιτεί από τα κράτη μέλη να καταρτίσουν κατάλογο βασικών και σημαντικών οντοτήτων, καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, έως τις 17 Απριλίου 2025. Τα κράτη μέλη πρέπει να επανεξετάζουν και, κατά περίπτωση, να επικαιροποιούν τον εν λόγω κατάλογο σε τακτική βάση και στη συνέχεια τουλάχιστον ανά διετία.

2.   

Για τους σκοπούς της κατάρτισης του καταλόγου βασικών και σημαντικών οντοτήτων, τα κράτη μέλη θα πρέπει να απαιτούν από τις οντότητες να υποβάλλουν τουλάχιστον τις ακόλουθες πληροφορίες στις αρμόδιες αρχές: το όνομα, τη διεύθυνση και τα επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου, των πεδίων IP και των αριθμών τηλεφώνου της οντότητας, και κατά περίπτωση, του σχετικού τομέα και υποτομέα που αναφέρονται στα παραρτήματα, καθώς και, κατά περίπτωση, κατάλογο των κρατών μελών στα οποία παρέχουν υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας. Στο παράρτημα I του παρόντος εγγράφου παρατίθεται υπόδειγμα για τη συλλογή των εν λόγω πληροφοριών για τους σκοπούς της κατάρτισης του καταλόγου.

3.   

Για να διευκολυνθεί η κατάρτιση και η επικαιροποίηση του καταλόγου των βασικών και σημαντικών οντοτήτων καθώς και των οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, το άρθρο 3 παράγραφος 4 της οδηγίας (ΕΕ) 2022/2555 ορίζει ότι τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν εθνικούς μηχανισμούς για να εγγράφονται οι ίδιες οι οντότητες (2).

4.   

Σύμφωνα με το άρθρο 3 παράγραφος 5 της οδηγίας (ΕΕ) 2022/2555, έως τις 17 Απριλίου 2025 και στη συνέχεια ανά διετία, τα κράτη μέλη πρέπει να κοινοποιούν στην Επιτροπή και στην Ομάδα Συνεργασίας τουλάχιστον τον αριθμό των βασικών και σημαντικών οντοτήτων που απαριθμούνται σύμφωνα με το άρθρο 3 παράγραφος 3 της εν λόγω οδηγίας για κάθε τομέα και υποτομέα που αναφέρεται στα παραρτήματα I και II της οδηγίας. Τα κράτη μέλη πρέπει επίσης να κοινοποιούν στην Επιτροπή σχετικές πληροφορίες σχετικά με τον αριθμό των βασικών και σημαντικών οντοτήτων που προσδιορίζονται βάσει του άρθρου 2 παράγραφος 2 στοιχεία β) έως ε) της οδηγίας (ΕΕ) 2022/2555, τον τομέα και υποτομέα στον οποίο ανήκουν, το είδος της υπηρεσίας που παρέχουν και τη διάταξη βάσει της οποίας προσδιορίστηκαν. Στην αιτιολογική σκέψη 19 της οδηγίας (ΕΕ) 2022/2555 αναφέρεται ότι τα κράτη μέλη ενθαρρύνονται να ανταλλάσσουν με την Επιτροπή πληροφορίες σχετικά με βασικές και σημαντικές οντότητες και, σε περίπτωση περιστατικού μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας, σχετικές πληροφορίες όπως το όνομα της οικείας οντότητας.

5.   

Πέραν του καταλόγου που καταρτίζουν τα κράτη μέλη βάσει του άρθρου 3 παράγραφος 3 της οδηγίας (ΕΕ) 2022/2555, τα κράτη μέλη, σύμφωνα με το άρθρο 27 παράγραφος 2 της εν λόγω οδηγίας, θα πρέπει επίσης να απαιτήσουν από ορισμένους τύπους οντοτήτων που αναφέρονται στο άρθρο 27 παράγραφος 1 της οδηγίας να υποβάλουν στις αρμόδιες αρχές τις ακόλουθες πληροφορίες έως τις 17 Ιανουαρίου 2025: την επωνυμία της οντότητας· τον σχετικό τομέα, υποτομέα και τύπο οντότητας που αναφέρεται στα παραρτήματα I και II της οδηγίας, κατά περίπτωση· τη διεύθυνση της κύριας εγκατάστασης της οντότητας και των άλλων νόμιμων εγκαταστάσεών της στην Ένωση ή, εάν δεν είναι εγκατεστημένη στην Ένωση, τη διεύθυνση του εκπροσώπου της που έχει οριστεί σύμφωνα με το άρθρο 26 παράγραφος 3 της οδηγίας· επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου της οντότητας και, κατά περίπτωση, του εκπροσώπου της ο οποίος έχει οριστεί σύμφωνα με το άρθρο 26 παράγραφος 3 της οδηγίας· τα κράτη μέλη στα οποία η οντότητα παρέχει υπηρεσίες· και το εύρος IP της οντότητας. Σύμφωνα με το άρθρο 27 παράγραφος 3 της οδηγίας (ΕΕ) 2022/2555, τα κράτη μέλη απαιτούν από τις οντότητες που αναφέρονται στο άρθρο 27 παράγραφος 1 της οδηγίας να κοινοποιούν στην αρμόδια αρχή τυχόν αλλαγές στις πληροφορίες που υπέβαλαν δυνάμει του άρθρου 27 παράγραφος 2 της οδηγίας, αμελλητί και, σε κάθε περίπτωση, εντός τριών μηνών από την ημερομηνία πραγματοποίησης της αλλαγής.

6.   

Σύμφωνα με το άρθρο 27 παράγραφος 5 της οδηγίας (ΕΕ) 2022/2555, οι πληροφορίες που αναφέρονται στο άρθρο 27 παράγραφοι 2 και 3 της εν λόγω οδηγίας υποβάλλονται μέσω του εθνικού μηχανισμού που αναφέρεται στο άρθρο 3 παράγραφος 4 της οδηγίας, κατά περίπτωση. Ως εκ τούτου, για να επιτευχθεί μεγαλύτερη διοικητική αποτελεσματικότητα, το υπόδειγμα που επισυνάπτεται ως παράρτημα στις παρούσες κατευθυντήριες γραμμές περιλαμβάνει επίσης αιτήματα παροχής πληροφοριών που απαιτούνται για τους σκοπούς τόσο του άρθρου 3 παράγραφος 3 όσο και του άρθρου 27 παράγραφος 2 της οδηγίας (ΕΕ) 2022/2555. Το υπόδειγμα αυτό δημιουργήθηκε με τη συνδρομή του ENISA.


(1)   ΕΕ L 333 της 27.12.2022, σ. 80.

(2)  Βλ. επίσης αιτιολογική σκέψη 18 της οδηγίας (ΕΕ) 2022/2555.


Προσαρτημα

Υπόδειγμα για τις πληροφορίες που απαιτούνται για τον κατάλογο που αναφέρεται στο άρθρο 3 παράγραφος 3 και για το άρθρο 27 παράγραφος 2 της οδηγίας (ΕΕ) 2022/2555

1.   

Τομέας δραστηριότητας βάσει της οδηγίας (ΕΕ) 2022/2555

Παράρτημα I —

τομείς υψηλής κρισιμότητας

Ενέργεια

Ηλεκτρική ενέργεια

Επιχείρηση ηλεκτρικής ενέργειας

Διαχειριστής συστήματος διανομής

Διαχειριστής συστήματος μεταφοράς

Παραγωγοί

Ορισθέντες διαχειριστές αγοράς ηλεκτρικής ενέργειας

Συμμετέχοντες στην αγορά οι οποίοι παρέχουν υπηρεσίες συγκέντρωσης, απόκρισης ζήτησης ή αποθήκευσης ενέργειας

Διαχειριστές σημείου επαναφόρτισης που είναι υπεύθυνοι για τη διαχείριση και τη λειτουργία σημείου επαναφόρτισης, το οποίο παρέχει υπηρεσία επαναφόρτισης στους τελικούς χρήστες, μεταξύ άλλων εξ ονόματος και για λογαριασμό παρόχου υπηρεσιών κινητικότητας

Διαχειριστές τηλεθέρμανσης ή τηλεψύξης

Πετρέλαιο

Διαχειριστές αγωγών μεταφοράς

Διαχειριστές παραγωγής πετρελαίου, εγκαταστάσεων διύλισης και επεξεργασίας, αποθήκευσης και μεταφοράς πετρελαίου

Κεντρικοί φορείς διατήρησης αποθεμάτων

Αέριο

Επιχειρήσεις προμήθειας

Διαχειριστές συστημάτων διανομής

Διαχειριστές συστημάτων μεταφοράς

Διαχειριστές συστημάτων αποθήκευσης

Διαχειριστές συστημάτων ΥΦΑ

Επιχειρήσεις φυσικού αερίου

Διαχειριστές εγκαταστάσεων διύλισης και επεξεργασίας φυσικού αερίου

Διαχειριστές παραγωγής, αποθήκευσης και μεταφοράς υδρογόνου

Μεταφορές

Εναέριες

Αερομεταφορείς

Φορείς διαχείρισης αερολιμένα

Φορείς εκμετάλλευσης ελέγχου διαχείρισης κυκλοφορίας που παρέχουν υπηρεσίες ελέγχου εναέριας κυκλοφορίας

Σιδηροδρομικές

Διαχειριστές υποδομής

Σιδηροδρομικές επιχειρήσεις, συμπεριλαμβανομένων των φορέων εκμετάλλευσης εγκαταστάσεων για την παροχή υπηρεσιών

Πλωτές

Εσωτερικές πλωτές, θαλάσσιες και ακτοπλοϊκές εταιρείες μεταφοράς επιβατών και εμπορευμάτων, μη συμπεριλαμβανομένων των πλοίων που χρησιμοποιούνται από τις εταιρείες αυτές

Διαχειριστικοί φορείς συμπεριλαμβανομένων των λιμενικών τους εγκαταστάσεων και φορείς εκμετάλλευσης έργων και εξοπλισμού που βρίσκονται εντός λιμένων

Φορείς εκμετάλλευσης υπηρεσιών εξυπηρέτησης κυκλοφορίας πλοίων (VTS)

Οδικές

Οδικές αρχές αρμόδιες για τον έλεγχο της διαχείρισης της κυκλοφορίας, εξαιρουμένων των δημόσιων φορέων για τους οποίους η διαχείριση της κυκλοφορίας ή η λειτουργία ευφυών συστημάτων μεταφορών αποτελεί μη ουσιώδες μέρος της γενικής δραστηριότητάς τους

Φορείς εκμετάλλευσης συστημάτων ευφυών μεταφορών

Υγεία

Πάροχοι υγειονομικής περίθαλψης

Εργαστήρια αναφοράς της ΕΕ

Οντότητες που πραγματοποιούν δραστηριότητες έρευνας και ανάπτυξης για φάρμακα

Οντότητες που παρασκευάζουν βασικά φαρμακευτικά προϊόντα και φαρμακευτικά σκευάσματα που αναφέρονται στον τομέα Γ κλάδο 21 της NACE αναθ. 2

Οντότητες που κατασκευάζουν ιατροτεχνολογικά προϊόντα που θεωρούνται κρίσιμης σημασίας κατά τη διάρκεια κατάστασης έκτακτης ανάγκης στον τομέα της δημόσιας υγείας (κατάλογος τεχνολογικών προϊόντων κρίσιμης σημασίας κατά τη διάρκεια κατάστασης έκτακτης ανάγκης στον τομέα της δημόσιας υγείας)

Πόσιμο νερό — Προμηθευτές και διανομείς νερού ανθρώπινης κατανάλωσης, εξαιρουμένων των διανομέων για τους οποίους η διανομή νερού ανθρώπινης κατανάλωσης αποτελεί επουσιώδες μέρος της γενικής τους δραστηριότητας διανομής λοιπών προϊόντων και αγαθών

Λύματα — Επιχειρήσεις συλλογής, διάθεσης ή επεξεργασίας αστικών, οικιακών ή βιομηχανικών λυμάτων, εξαιρουμένων επιχειρήσεων για τις οποίες η συλλογή, η διάθεση ή η επεξεργασία αστικών, οικιακών ή βιομηχανικών λυμάτων αποτελεί επουσιώδες μέρος της γενικής τους δραστηριότητας

Ψηφιακές υποδομές

Πάροχοι σημείων ανταλλαγής κίνησης διαδικτύου

Πάροχοι υπηρεσιών συστήματος ονομάτων τομέα (DNS)

Μητρώα ονομάτων τομέα ανώτατου επιπέδου (TLD)

Πάροχοι υπηρεσιών υπολογιστικού νέφους

Πάροχοι υπηρεσιών κέντρων δεδομένων

Πάροχοι δικτύων διανομής περιεχομένου

Πάροχοι υπηρεσιών εμπιστοσύνης

Πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών

Πάροχοι δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών

Διαχείριση υπηρεσιών ΤΠΕ (μεταξύ επιχειρήσεων)

Πάροχοι διαχειριζόμενων υπηρεσιών

Πάροχοι διαχειριζόμενων υπηρεσιών ασφαλείας

Οντότητες δημόσιας διοίκησης

Οντότητες δημόσιας διοίκησης της κυβέρνησης

Οντότητες δημόσιας διοίκησης σε περιφερειακό επίπεδο

Διάστημα — Φορείς εκμετάλλευσης επίγειας υποδομής, ιδιοκτησίας, διαχείρισης και εκμετάλλευσης από κράτη μέλη ή ιδιωτικούς φορείς, οι οποίοι υποστηρίζουν την παροχή διαστημικών υπηρεσιών, εξαιρουμένων των παρόχων δημόσιων δικτύων ηλεκτρονικών επικοινωνιών.

Παράρτημα II —

Άλλοι κρίσιμοι τομείς

Ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών

Διαχείριση αποβλήτων — Επιχειρήσεις διαχείρισης αποβλήτων, με εξαίρεση τις επιχειρήσεις για τις οποίες η διαχείριση αποβλήτων δεν αποτελεί την κύρια οικονομική δραστηριότητα

Παρασκευή, παραγωγή και διανομή χημικών προϊόντων — επιχειρήσεις που ασχολούνται με την παρασκευή ουσιών και επιχειρήσεις που παράγουν αντικείμενα από ουσίες ή μείγματα

Παραγωγή, μεταποίηση και διανομή τροφίμων — επιχειρήσεις τροφίμων οι οποίες δραστηριοποιούνται στη χονδρική διανομή και στη βιομηχανική παραγωγή και μεταποίηση

Κατασκευαστικός τομέας

Κατασκευή ιατροτεχνολογικών προϊόντων και in vitro διαγνωστικών ιατροτεχνολογικών προϊόντων

Κατασκευή προϊόντων υπολογιστών, ηλεκτρονικών και οπτικών προϊόντων

Κατασκευή ηλεκτρολογικού εξοπλισμού

Κατασκευή μηχανημάτων και εξοπλισμού π.δ.κ.α.

Κατασκευή μηχανοκίνητων οχημάτων, ρυμουλκούμενων και ημιρυμουλκούμενων

Κατασκευή άλλου εξοπλισμού μεταφορών

Ψηφιακοί πάροχοι

Πάροχοι επιγραμμικών αγορών

Πάροχοι επιγραμμικών μηχανών αναζήτησης

Πάροχοι πλατφόρμας υπηρεσιών κοινωνικής δικτύωσης

Οργανισμοί έρευνας

Οντότητες που δεν περιλαμβάνονται στα παραρτήματα

Οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα

Άλλες οντότητες που προσδιορίζονται ως κρίσιμες οντότητες βάσει της οδηγίας (ΕΕ) 2022/2557

Οντότητες που προσδιορίζονται ως φορείς εκμετάλλευσης βασικών υπηρεσιών σύμφωνα με το εθνικό δίκαιο

2.   

Επωνυμία οντότητας

3.   

Σε περίπτωση που η οντότητα αναφέρεται στο άρθρο 27 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555 (πάροχος υπηρεσιών DNS, μητρώο ονομάτων TLD, οντότητα που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα, πάροχος υπηρεσιών υπολογιστικού νέφους, πάροχος υπηρεσιών κέντρου δεδομένων, πάροχος δικτύου διανομής περιεχομένου, πάροχος διαχειριζόμενων υπηρεσιών, πάροχος διαχειριζόμενων υπηρεσιών ασφάλειας, καθώς και πάροχος επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών υπηρεσιών κοινωνικής δικτύωσης), η κύρια εγκατάσταση της οντότητας στην ΕΕ βρίσκεται στο εν λόγω κράτος μέλος ή, σε περίπτωση που δεν υπάρχει νόμιμη εγκατάσταση στην ΕΕ, βρίσκεται ο εκπρόσωπός της στο εν λόγω κράτος μέλος;

4.   

Διεύθυνση της εγκατάστασης της οντότητας στο εν λόγω κράτος μέλος. Εάν η οντότητα αναφέρεται στο άρθρο 27 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555, τη διεύθυνση της κύριας εγκατάστασης της οντότητας, εάν βρίσκεται στο εν λόγω κράτος μέλος, καθώς και τις άλλες νόμιμες εγκαταστάσεις της στην ΕΕ. Σε περίπτωση που δεν υπάρχει εγκατάσταση, τη διεύθυνση του εκπροσώπου στην ΕΕ, που έχει οριστεί σύμφωνα με το άρθρο 26 παράγραφος 3 της οδηγίας (ΕΕ) 2022/2555, εάν ο εκπρόσωπος βρίσκεται στο εν λόγω κράτος μέλος.

5.   

Επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου στο εν λόγω κράτος μέλος.

6.   

Εύρος IP της οντότητας για το εν λόγω κράτος μέλος.

7.   

Εάν η οντότητα αναφέρεται στο άρθρο 27 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555, κατάλογο των κρατών μελών στα οποία η οντότητα παρέχει υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής της εν λόγω οδηγίας.