14.9.2023 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
C 324/2 |
ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠHΣ
Κατευθυντήριες γραμμές για την εφαρμογή του άρθρου 4 παράγραφοι 1 και 2 της οδηγίας (ΕΕ) 2022/2555 (οδηγία NIS 2)
(2023/C 324/02)
1.
Σύμφωνα με το άρθρο 3 παράγραφος 4 της οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS 2) (1), η Επιτροπή, με τη συνδρομή του Οργανισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), θεσπίζει αμελλητί κατευθυντήριες γραμμές και υποδείγματα σχετικά με τις υποχρεώσεις που καθορίζονται στην εν λόγω διάταξη. Το άρθρο 3 παράγραφος 4 της οδηγίας (ΕΕ) 2022/2555 αναφέρεται στο άρθρο 3 παράγραφος 3 της εν λόγω οδηγίας, το οποίο απαιτεί από τα κράτη μέλη να καταρτίσουν κατάλογο βασικών και σημαντικών οντοτήτων, καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, έως τις 17 Απριλίου 2025. Τα κράτη μέλη πρέπει να επανεξετάζουν και, κατά περίπτωση, να επικαιροποιούν τον εν λόγω κατάλογο σε τακτική βάση και στη συνέχεια τουλάχιστον ανά διετία.
2.
Για τους σκοπούς της κατάρτισης του καταλόγου βασικών και σημαντικών οντοτήτων, τα κράτη μέλη θα πρέπει να απαιτούν από τις οντότητες να υποβάλλουν τουλάχιστον τις ακόλουθες πληροφορίες στις αρμόδιες αρχές: το όνομα, τη διεύθυνση και τα επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου, των πεδίων IP και των αριθμών τηλεφώνου της οντότητας, και κατά περίπτωση, του σχετικού τομέα και υποτομέα που αναφέρονται στα παραρτήματα, καθώς και, κατά περίπτωση, κατάλογο των κρατών μελών στα οποία παρέχουν υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας. Στο παράρτημα I του παρόντος εγγράφου παρατίθεται υπόδειγμα για τη συλλογή των εν λόγω πληροφοριών για τους σκοπούς της κατάρτισης του καταλόγου.
3.
Για να διευκολυνθεί η κατάρτιση και η επικαιροποίηση του καταλόγου των βασικών και σημαντικών οντοτήτων καθώς και των οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, το άρθρο 3 παράγραφος 4 της οδηγίας (ΕΕ) 2022/2555 ορίζει ότι τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν εθνικούς μηχανισμούς για να εγγράφονται οι ίδιες οι οντότητες (2).
4.
Σύμφωνα με το άρθρο 3 παράγραφος 5 της οδηγίας (ΕΕ) 2022/2555, έως τις 17 Απριλίου 2025 και στη συνέχεια ανά διετία, τα κράτη μέλη πρέπει να κοινοποιούν στην Επιτροπή και στην Ομάδα Συνεργασίας τουλάχιστον τον αριθμό των βασικών και σημαντικών οντοτήτων που απαριθμούνται σύμφωνα με το άρθρο 3 παράγραφος 3 της εν λόγω οδηγίας για κάθε τομέα και υποτομέα που αναφέρεται στα παραρτήματα I και II της οδηγίας. Τα κράτη μέλη πρέπει επίσης να κοινοποιούν στην Επιτροπή σχετικές πληροφορίες σχετικά με τον αριθμό των βασικών και σημαντικών οντοτήτων που προσδιορίζονται βάσει του άρθρου 2 παράγραφος 2 στοιχεία β) έως ε) της οδηγίας (ΕΕ) 2022/2555, τον τομέα και υποτομέα στον οποίο ανήκουν, το είδος της υπηρεσίας που παρέχουν και τη διάταξη βάσει της οποίας προσδιορίστηκαν. Στην αιτιολογική σκέψη 19 της οδηγίας (ΕΕ) 2022/2555 αναφέρεται ότι τα κράτη μέλη ενθαρρύνονται να ανταλλάσσουν με την Επιτροπή πληροφορίες σχετικά με βασικές και σημαντικές οντότητες και, σε περίπτωση περιστατικού μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας, σχετικές πληροφορίες όπως το όνομα της οικείας οντότητας.
5.
Πέραν του καταλόγου που καταρτίζουν τα κράτη μέλη βάσει του άρθρου 3 παράγραφος 3 της οδηγίας (ΕΕ) 2022/2555, τα κράτη μέλη, σύμφωνα με το άρθρο 27 παράγραφος 2 της εν λόγω οδηγίας, θα πρέπει επίσης να απαιτήσουν από ορισμένους τύπους οντοτήτων που αναφέρονται στο άρθρο 27 παράγραφος 1 της οδηγίας να υποβάλουν στις αρμόδιες αρχές τις ακόλουθες πληροφορίες έως τις 17 Ιανουαρίου 2025: την επωνυμία της οντότητας· τον σχετικό τομέα, υποτομέα και τύπο οντότητας που αναφέρεται στα παραρτήματα I και II της οδηγίας, κατά περίπτωση· τη διεύθυνση της κύριας εγκατάστασης της οντότητας και των άλλων νόμιμων εγκαταστάσεών της στην Ένωση ή, εάν δεν είναι εγκατεστημένη στην Ένωση, τη διεύθυνση του εκπροσώπου της που έχει οριστεί σύμφωνα με το άρθρο 26 παράγραφος 3 της οδηγίας· επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου της οντότητας και, κατά περίπτωση, του εκπροσώπου της ο οποίος έχει οριστεί σύμφωνα με το άρθρο 26 παράγραφος 3 της οδηγίας· τα κράτη μέλη στα οποία η οντότητα παρέχει υπηρεσίες· και το εύρος IP της οντότητας. Σύμφωνα με το άρθρο 27 παράγραφος 3 της οδηγίας (ΕΕ) 2022/2555, τα κράτη μέλη απαιτούν από τις οντότητες που αναφέρονται στο άρθρο 27 παράγραφος 1 της οδηγίας να κοινοποιούν στην αρμόδια αρχή τυχόν αλλαγές στις πληροφορίες που υπέβαλαν δυνάμει του άρθρου 27 παράγραφος 2 της οδηγίας, αμελλητί και, σε κάθε περίπτωση, εντός τριών μηνών από την ημερομηνία πραγματοποίησης της αλλαγής.
6.
Σύμφωνα με το άρθρο 27 παράγραφος 5 της οδηγίας (ΕΕ) 2022/2555, οι πληροφορίες που αναφέρονται στο άρθρο 27 παράγραφοι 2 και 3 της εν λόγω οδηγίας υποβάλλονται μέσω του εθνικού μηχανισμού που αναφέρεται στο άρθρο 3 παράγραφος 4 της οδηγίας, κατά περίπτωση. Ως εκ τούτου, για να επιτευχθεί μεγαλύτερη διοικητική αποτελεσματικότητα, το υπόδειγμα που επισυνάπτεται ως παράρτημα στις παρούσες κατευθυντήριες γραμμές περιλαμβάνει επίσης αιτήματα παροχής πληροφοριών που απαιτούνται για τους σκοπούς τόσο του άρθρου 3 παράγραφος 3 όσο και του άρθρου 27 παράγραφος 2 της οδηγίας (ΕΕ) 2022/2555. Το υπόδειγμα αυτό δημιουργήθηκε με τη συνδρομή του ENISA.
(1) ΕΕ L 333 της 27.12.2022, σ. 80.
(2) Βλ. επίσης αιτιολογική σκέψη 18 της οδηγίας (ΕΕ) 2022/2555.
Προσαρτημα
Υπόδειγμα για τις πληροφορίες που απαιτούνται για τον κατάλογο που αναφέρεται στο άρθρο 3 παράγραφος 3 και για το άρθρο 27 παράγραφος 2 της οδηγίας (ΕΕ) 2022/2555
1.
Τομέας δραστηριότητας βάσει της οδηγίας (ΕΕ) 2022/2555
Παράρτημα I — |
τομείς υψηλής κρισιμότητας
|
Παράρτημα II — |
Άλλοι κρίσιμοι τομείς
|
2.
Επωνυμία οντότητας
3.
Σε περίπτωση που η οντότητα αναφέρεται στο άρθρο 27 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555 (πάροχος υπηρεσιών DNS, μητρώο ονομάτων TLD, οντότητα που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα, πάροχος υπηρεσιών υπολογιστικού νέφους, πάροχος υπηρεσιών κέντρου δεδομένων, πάροχος δικτύου διανομής περιεχομένου, πάροχος διαχειριζόμενων υπηρεσιών, πάροχος διαχειριζόμενων υπηρεσιών ασφάλειας, καθώς και πάροχος επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών υπηρεσιών κοινωνικής δικτύωσης), η κύρια εγκατάσταση της οντότητας στην ΕΕ βρίσκεται στο εν λόγω κράτος μέλος ή, σε περίπτωση που δεν υπάρχει νόμιμη εγκατάσταση στην ΕΕ, βρίσκεται ο εκπρόσωπός της στο εν λόγω κράτος μέλος;
4.
Διεύθυνση της εγκατάστασης της οντότητας στο εν λόγω κράτος μέλος. Εάν η οντότητα αναφέρεται στο άρθρο 27 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555, τη διεύθυνση της κύριας εγκατάστασης της οντότητας, εάν βρίσκεται στο εν λόγω κράτος μέλος, καθώς και τις άλλες νόμιμες εγκαταστάσεις της στην ΕΕ. Σε περίπτωση που δεν υπάρχει εγκατάσταση, τη διεύθυνση του εκπροσώπου στην ΕΕ, που έχει οριστεί σύμφωνα με το άρθρο 26 παράγραφος 3 της οδηγίας (ΕΕ) 2022/2555, εάν ο εκπρόσωπος βρίσκεται στο εν λόγω κράτος μέλος.
5.
Επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου στο εν λόγω κράτος μέλος.
6.
Εύρος IP της οντότητας για το εν λόγω κράτος μέλος.
7.
Εάν η οντότητα αναφέρεται στο άρθρο 27 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555, κατάλογο των κρατών μελών στα οποία η οντότητα παρέχει υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής της εν λόγω οδηγίας.