52020PC0823

SELETUSKIRI

1.ETTEPANEKU TAUST

•Ettepaneku põhjused ja eesmärgid

Käesolev ettepanek on osa meetmepaketist, mille eesmärk on täiendavalt suurendada avaliku ja erasektori üksuste, pädevate asutuste ja liidu kui terviku vastupidavusvõimet ja intsidentidele reageerimise suutlikkust küberturvalisuse ja kriitilise tähtsusega taristu kaitse valdkonnas. See on kooskõlas komisjoni prioriteetidega muuta Euroopa digiajastule vastavaks ja ehitada üles tulevikuvalmis majandus, mis toimib inimeste heaks. Küberturvalisus on COVID-19 kriisile reageerimisel komisjoni prioriteet. Meetmepakett hõlmab uut küberturvalisuse strateegiat, mille eesmärk on tugevdada liidu strateegilist sõltumatust, et suurendada liidu vastupidavusvõimet, tõhustada ühist reageerimist ning ehitada üles avatud ja üleilmne internet. Pakett hõlmab ka ettepanekut võtta vastu elutähtsate teenuste kriitilise tähtsusega operaatorite vastupidavusvõimet käsitlev direktiiv, mille eesmärk on vähendada kõnealuseid operaatoreid ähvardavaid füüsilisi ohte.

Käesolev ettepanek põhineb võrgu- ja infosüsteemide turvalisust käsitleval direktiivil (EL) 2016/1148 (küberturvalisuse direktiiv) ning tühistab selle. Kõnealune direktiiv on esimene üleliiduline küberturvalisust käsitlev õigusakt, millega nähakse ette õiguslikud meetmed küberturvalisuse üldise taseme tõstmiseks liidus. Küberturvalisuse direktiiv on 1) aidanud suurendada küberturvalisuse alast suutlikkust riiklikul tasandil, nõudes liikmesriikidelt riiklike küberturvalisuse strateegiate vastuvõtmist ja küberturvalisuse eest vastutavate asutuste määramist; 2) suurendanud liikmesriikidevahelist koostööd liidu tasandil, pannes aluse mitmesugustele foorumitele, mis hõlbustavad strateegilise ja operatiivteabe vahetamist; 3) parandanud avaliku ja erasektori üksuste kübervastupidavusvõimet seitsmes sektoris (energia, transport, pangandus, finantsturutaristud, tervishoid, joogiveevarustus ja -jaotus, digitaristud) ning kolmes digiteenusevaldkonnas (internetipõhised kauplemiskohad, internetipõhised otsingumootorid ja pilvandmetöötlusteenused), pannes liikmesriikidele kohustuse tagada, et oluliste teenuste operaatorid ja digiteenuse osutajad kehtestaksid küberturvalisuse nõuded ja teavitaksid intsidentidest.

Ettepanekuga soovitakse ajakohastada kehtivat õigusraamistikku, võttes arvesse viimastel aastatel toimunud siseturu digiteerimise kasvu ja küberturvalisusega seotud muutuvat ohumaastikku. Mõlemad arenguprotsessid on pärast COVID-19 kriisi vallandumist veelgi intensiivistunud. Ettepanekus käsitletakse ka mitmeid puudusi, mis takistasid küberturvalisuse direktiivi potentsiaali täielikku kasutamist.

Küberturvalisuse direktiiv, mis sillutas paljudes liikmesriikides tee olulisele mõtteviisi muutusele ning pani aluse küberturvalisuse alase institutsioonilise ja regulatiivse lähenemisviisi kujunemisele, on andnud märkimisväärseid tulemusi, kuid selle võimalused on osutunud piiratuks. Ühiskonna digiüleminek (mida võimendas COVID-19 kriis) on ohumaastikku laiendanud ning toonud kaasa uusi probleeme, mis nõuavad kohandatud ja uuenduslikke lahendusi. Küberrünnete arv kasvab endiselt, need on üha keerukama ülesehitusega ning pärinevad paljudest eri allikatest nii ELis kui ka mujal.

Küberturvalisuse direktiivi toimimise hindamisel, mis tehti mõjuhinnangu koostamiseks, tuvastati järgmised probleemid: 1) ELis tegutsevate ettevõtjate kübervastupidavusvõime madal tase; 2) liikmesriikide ja sektorite vastupidavusvõime taseme ebaühtlus; 3) ühise olukorrateadlikkuse madal tase ja ühistegevuse puudulikkus kriisile reageerimisel. Näiteks ei kuulu mõne liikmesriigi teatavad suurhaiglad küberturvalisuse direktiivi kohaldamisalasse ja seega ei ole nad kohustatud selles sätestatud turvameetmeid rakendama, samas kui mõnes teises liikmesriigis kohaldab küberturvalisuse direktiivi nõudeid peaaegu iga tervishoiuteenuse osutaja.

Õigusloome kvaliteedi ja tulemuslikkuse programmi (REFIT) algatusena tehtava ettepanekuga soovitakse vähendada pädevate asutuste regulatiivset koormust ning avaliku ja erasektori üksuste jaoks nõuete täitmise kulusid. Eelkõige saavutatakse see sellega, et kaotatakse pädevate asutuste kohustus tuvastada elutähtsate teenuste operaatorid ning ühtlustatakse turvalisus- ja teatamisnõudeid, et hõlbustada õigusnormidele vastavuse tagamist piiriüleseid teenuseid osutavate üksuste jaoks. Samas antakse pädevatele asutustele hulk uusi ülesandeid, sealhulgas mõne sellise sektori üksuste järelevalve, mida küberturvalisuse direktiiviga seni ei hõlmatud.

•Kooskõla poliitikavaldkonnas praegu kehtivate õigusnormidega

Käesolev ettepanek on osa liidu tasandi olemasolevate õigusaktide ja tulevaste algatuste kogumist, mille eesmärk on suurendada avaliku ja erasektori üksuste vastupidavusvõimet ohtude suhtes.

Küberturvalisuse valdkonnas on need eelkõige direktiiv (EL) 2018/1972, millega kehtestatakse Euroopa elektroonilise side seadustik (mille küberturvalisusega seotud sätted asendatakse käesolevas ettepanekus esitatud sätetega), ja ettepanek võtta vastu finantssektori digitaalset operatiivset vastupidavusvõimet käsitlev määrus (COM(2020) 595 final). Kumbagi kõnealust õigusakti käsitatakse nende jõustumise järel käesoleva ettepaneku suhtes eriõigusaktina (lex specialis).

Füüsilise turvalisuse valdkonnas täiendab käesolev ettepanek ettepanekut kriitilise tähtsusega üksuste vastupanuvõimet käsitleva direktiivi kohta, millega vaadatakse läbi direktiiv 2008/114/EÜ (Euroopa elutähtsate infrastruktuuride identifitseerimise ja määramise ning nende kaitse parandamise vajaduse hindamise kohta (Euroopa elutähtsate infrastruktuuride direktiiv)), millega kehtestatakse liidu menetluskord Euroopa kriitilise tähtsusega infrastruktuuride identifitseerimiseks ja määramiseks ning sätestatakse lähenemisviis nende kaitse parandamiseks. 2020. aasta juulis võttis komisjon vastu ELi julgeolekuliidu strateegia, 1 milles tunnistati füüsiliste ja digitaristute üha suuremat omavahelist seotust ning vastastikust sõltuvust. Selles rõhutati vajadust ühtlustada Euroopa elutähtsate taristute direktiivi ja direktiivi (EL) 2016/1148 (mis käsitleb meetmeid, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus) lähenemisviise.

Seega on käesolev ettepanek viidud kooskõlla kriitilise tähtsusega üksuste vastupanuvõimet käsitleva direktiivi ettepanekuga, mille eesmärk on suurendada kriitilise tähtsusega üksuste vastupanuvõimet füüsiliste ohtude suhtes paljudes sektorites. Ettepaneku eesmärk on tagada, et pädevad asutused võtavad kummagi õigusakti alusel täiendavaid meetmeid ning vahetavad vajaduse korral teavet kübervastupidavusvõime ja muud laadi vastupanuvõime kohta ning et (eriti) käesoleva ettepaneku kohaselt elutähtsana käsitatavate sektorite kriitiliselt tähtsate operaatorite suhtes kohaldatakse ka üldisemaid vastupanuvõime suurendamise kohustusi, mille puhul on rõhk muudel kui küberohtudel.

•Kooskõla liidu muude tegevuspõhimõtetega

Nagu on märgitud teatises „Euroopa digituleviku kujundamine“, 2 on väga oluline, et Euroopa kasutaks ära kõik digiajastu hüved ning tugevdaks oma tööstus- ja innovatsioonisuutlikkust ohututes ja eetilistes piirides. Euroopa andmestrateegias on sätestatud andmeid kasutava ühiskonna eeltingimusena neli sammast – andmekaitse, põhiõigused, ohutus ja küberturvalisus.

Oma 12. märtsi 2019. aasta resolutsioonis kutsus Euroopa Parlament „[...] komisjoni üles hindama vajadust laiendada küberturvalisuse direktiivi kohaldamisala ka muudele elutähtsatele sektoritele ja teenustele, mida valdkondlikud õigusaktid ei hõlma“ 3 . Oma 9. juuni 2020. aasta järeldustes tervitas nõukogu „[...] komisjoni kavatsust tagada turuosalistele sidusad eeskirjad ning hõlbustada turvalist, töökindlat ja asjakohast teabe jagamist ohtude ja intsidentide kohta, sealhulgas võrgu- ja infosüsteemide turvalisuse direktiivi läbivaatamise kaudu, et otsida võimalusi kübervastupidavusvõime parandamiseks ja küberrünnetele tõhusamaks reageerimiseks, eelkõige olulise majandusliku ja ühiskondliku tegevuse puhul, austades samal ajal liikmesriikide pädevusi, sealhulgas nende vastutust oma riikliku julgeoleku eest“ 4 .Lisaks ei piira kavandatav õigusakt Euroopa Liidu toimimise lepingus sätestatud konkurentsieeskirjade kohaldamist.

Arvestades, et märkimisväärne osa küberturvalisust ähvardavatest seotud ohtudest pärineb väljastpoolt ELi, on vaja ühtset lähenemisviisi rahvusvahelisele koostööle. Käesoleva direktiiviga antakse võrdlusmudel, mida tuleb edendada ELi ja kolmandate riikide koostöö kontekstis, eelkõige seoses välise tehnilise abi osutamisega.

2.ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS

•Õiguslik alus

Küberturvalisuse direktiivi õiguslik alus on Euroopa Liidu toimimise lepingu artikkel 114, mille eesmärk on rajada siseturg ja tagada selle toimimine, tõhustades siseriiklike normide ühtlustamise meetmeid. Nagu Euroopa Liidu Kohus sedastas oma otsuses kohtuasjas „C58/08: Vodafone jt“, on ELi toimimise lepingu artiklile 114 tuginemine põhjendatud, kui siseturu toimimisele otsest mõju avaldavates liikmesriikide normides on erinevusi. Samuti sedastas kohus, et kui ELi toimimise lepingu artiklil 114 põhineva aktiga on kõrvaldatud kõik kaubanduslikud takistused valdkonnas, mille ühtlustamiseks see on vastu võetud, ei saa ühenduse seadusandjalt võtta võimalust kohandada kõnealust akti vastavalt asjaolude muutumisele ja teadmuse arengule, arvestades tema ülesannet tagada osutatud lepingus sätestatud üldiste huvide kaitse. Kohus sedastas ka seda, et ELi toimimise lepingu artikliga 114 hõlmatud ühtlustamismeetmetega nähakse olenevalt üldisest kontekstist ja ühtlustatava valdkonna asjaoludest ette kaalutlusõigus selle suhtes, milline ühtlustamismeetod on soovitud tulemuse saavutamiseks kõige sobivam. Kavandatud õigusaktiga kõrvaldataks elutähtsate ja oluliste üksuste siseturu tõkked ning tõhustataks selle ülesehitamist ja toimimise tagamist järgmiselt: kehtestatakse selged üldkohaldatavad eeskirjad küberturvalisuse direktiivi kohaldamisala kohta, ühtlustades eeskirju, mida kohaldatakse küberturvalisuse alase riskijuhtimise ja intsidentidest teatamise suhtes. Praegused erinevused selles valdkonnas (mida esineb nii seadusandlikul kui ka järelevalve tasandil ja nii riiklikul kui ka ELi tasandil) takistavad siseturu toimimist, kuna piiriülese tegevusega üksused peavad arvestama erinevate ja ka potentsiaalselt kattuvate regulatiivsete nõuete ja/või nende kohaldamisega, mis piirab teenuste pakkumise ja osutamise vabaduse kasutamise võimalusi. Erinevad eeskirjad mõjutavad negatiivselt ka siseturu konkurentsitingimusi eri liikmesriikide sama tüüpi üksuste jaoks.

•Subsidiaarsus (ainupädevusse mittekuuluva valdkonna puhul)

Kübervastupidavusvõime ei saa olla kogu liidus ühtlaselt tõhus, kui seda käsitletakse eri lähenemisviise rakendades ja riiklikult või piirkondlikult kapseldudes. Küberturvalisuse direktiiviga nähti osutatud puuduse kõrvaldamiseks ette osaline lahendus, kehtestades võrgu- ja infosüsteemide turvalisuse raamistiku riiklikul ja liidu tasandil. Samas tõi direktiivi ülevõtmine ja kohaldamine esile ka teatavate sätete või lähenemisviiside olemuslikud puudused ning piiratud rakendatavuse. Näiteks selgus direktiivi kohaldamisala ebaselge piiritletus, mis tähendas liikmesriikide tasandil märkimisväärseid erinevusi ELi sekkumise tegelikus ulatuses ja põhjalikkuses. Lisaks on Euroopa majanduse sõltuvus võrgu- ja infosüsteemidest COVID-19 kriisi tekkimisest alates veelgi suurenenud ning sektorid ja teenused on omavahel üha rohkem seotud. ELi sekkumine suuremas ulatuses, kui küberturvalisuse direktiivi praegused meetmed ette näevad, on põhjendatav peamiselt järgmisega: i) võrgu- ja infosüsteemide turvalisusega seotud ohtude ja probleemide üha piiriülesem olemus; ii) liidu meetmete potentsiaal parandada ja hõlbustada tõhusat ja koordineeritud riiklikku poliitikat; iii) kooskõlastatud ja koostööl põhinevate poliitikameetmete panus andmekaitse ja eraelu puutumatuse tõhusasse kaitsesse.

•Proportsionaalsus

Käesoleva direktiivi kavandatud eeskirjadega reguleeritakse üksnes seda, mis on vajalik, et saavutada kindlad eesmärgid rahuldaval tasemel. Kavandatav turvameetmete ja teatamiskohustuste vastavusse viimine ja ühtlustamine lähtub liikmesriikide ja ettevõtjate taotlustest praegust raamistikku parandada.

Ettepanekus võetakse arvesse liikmesriikides juba juurdunud tavasid. Selliste ühtlustatud ja kooskõlastatud nõuetega saavutatav kaitse kõrgem tase on proportsionaalne, kui võtta arvesse üha suurenevaid ohte, sealhulgas piiriülese mõõtmega ohte. Need nõuded on mõistlikud ning vastavad üldiselt nende üksuste huvidele, kes soovivad tagada oma teenuste järjepidevuse ja kvaliteedi. Liikmesriikide vahelise süsteemse koostöö tagamise kulud oleksid küberturvalisuse intsidentide põhjustatava majandusliku ja ühiskondliku kahjuga võrreldes väikesed. Küberturvalisuse direktiivi muutmist kooskõlas eespool kirjeldatuga toetavad ka kõnealuse direktiivi läbivaatamise raames sidusrühmadega peetud konsultatsioonide, sealhulgas avatud avaliku konsultatsiooni ja sihtotstarbeliste uuringute tulemused.

•Vahendi valik

Käesoleva ettepanekuga ühtlustatakse täiendavalt ettevõtjatele pandud kohustusi ja tagatakse nende kõrgemal tasemel kooskõla. Samas soovitakse ettepanekuga anda liikmesriikidele vajalik paindlikkus, et võimaldada võtta arvesse riiklikke eripärasid (näiteks anda võimalus määratleda täiendavaid elutähtsaid või olulisi üksusi, mida õigusaktis sätestatud lähtetasemel pole hõlmatud). Tulevane õigusakt peaks seega olema direktiiv, kuna see võimaldab sihipärast ühtlustamist ja ka teatavat paindlikkust pädevate asutuste jaoks.

3.JÄRELHINDAMISE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU HINDAMISE TULEMUSED

•Praegu kehtivate õigusaktide järelhindamine või toimivuse kontroll

Komisjon viis läbi küberturvalisuse direktiivi toimimise hindamise 5 . Ta analüüsis selle asjakohasust, lisaväärtust ELi jaoks, sidusust ja tõhusust. Analüüsi peamised tulemused on järgmised.

·Küberturvalisuse direktiivi kohaldamisala on hõlmatud sektorite puhul liiga piiratud peamiselt järgmistel põhjustel: i) viimastel aastatel on digiteerimine hoogustunud ja vastastikuse seotuse määr tõusnud, (ii) küberturvalisuse direktiivi kohaldamisala ei hõlma enam kõiki digiteeritud sektoreid, mis tagavad majandusele ja ühiskonnale tervikuna olulisi teenuseid.

·Küberturvalisuse direktiiv ei sätesta piisavalt selgelt elutähtsate teenuste operaatorite määratluse ulatust ja selle sätetest ei selgu piisavalt täpselt riikide pädevus digiteenuste osutajate suhtes. See on tinginud olukorra, kus teatud tüüpi üksusi pole kõigis liikmesriikides vastavalt määratletud, mistõttu ei nõuta neilt turvameetmete kehtestamist ega intsidentidest teatamist.

·Küberturvalisuse direktiiviga anti liikmesriikidele ulatuslik kaalutlusõigus elutähtsate teenuste operaatorite turvalisuse ja intsidentidest teatamise nõuete kehtestamisel. Hindamise tulemustest nähtub, et mõnel juhul on liikmesriigid rakendanud neid nõudeid märkimisväärselt erinevalt, pannes sellega lisakoormuse ettevõtjatele, kes tegutsevad rohkem kui ühes liikmesriigis.

·Küberturvalisuse direktiivi järelevalve- ja täitmise tagamise kord ei ole tõhus. Näiteks on liikmesriigid hoidunud kohaldamast sanktsioone üksuste suhtes, kes ei ole turvanõudeid kehtestanud või intsidentidest teatanud. See võib avaldada nende üksuste kübervastupidavusvõimele negatiivset mõju.

·Liikmesriigid on vastavate ülesannete (nt elutähtsate teenuste operaatorite identifitseerimine või järelevalve) täitmiseks eraldanud rahalisi ja inimressursse väga erineval määral, mistõttu on ka küberturvalisusega seotud riskide käsitlemise tase väga erinev. See suurendab kübervastupidavusvõime taseme erinevust liikmesriikide vahel veelgi.

·Liikmesriigid ei jaga üksteisega korrapäraselt teavet, mis mõjutab negatiivselt küberturvalisuse meetmete tõhusust ja ühise olukorrateadlikkuse taset ELi tasandil. Sama kehtib ka erasektori üksuste vahelise teabevahetuse kohta ning ELi tasandi koostööstruktuuride ja erasektori üksuste koostöö kohta.

•Konsulteerimine sidusrühmadega

Komisjon on konsulteerinud paljude sidusrühmadega. Liikmesriike ja sidusrühmi kutsuti osalema avatud avalikus konsultatsioonis ning Wavestone’i, Euroopa Poliitikauuringute Keskuse (CEPS) ja ICFi korraldatud küsitlustel ja seminaridel, mille komisjon tellis küberturvalisuse direktiivi läbivaatamist toetava uuringu tegemiseks. Konsulteerimisel osalenud sidusrühmade seas olid pädevad asutused, küberturvalisusega tegelevad liidu asutused, elutähtsate teenuste operaatorid, digiteenuse osutajad, praegu kehtiva küberturvalisuse direktiivi kohaldamisalast välja jäävaid teenuseid osutavad üksused, kutseühingud, tarbijaorganisatsioonid ja kodanikud.

Lisaks on komisjon pidevalt suhelnud küberturvalisuse direktiivi kohaldamise eest vastutavate pädevate asutustega. Koostöörühm on põhjalikult käsitlenud mitmeid valdkonnaüleseid ja valdkondlikke rakendusaspekte. 2019. ja 2020. aastal toimunud võrgu- ja infosüsteemide turvalisuse alaste riiklike külastuste käigus küsitles komisjon 154 avaliku ja erasektori üksust ning 117 pädevat asutust.

•Eksperdiarvamuste kogumine ja kasutamine

Komisjon on sõlminud lepingu Wavestone’i konsortsiumi, CEPSi ja ICFiga, kes toetavad komisjoni küberturvalisuse direktiivi läbivaatamisel 6 . Lisaks küberturvalisuse direktiivist otseselt mõjutatud sihtrühmi kaasavate sihtuuringute ja seminaride korraldamisele on konsulteeritud ka paljude küberturvalisuse valdkonna ekspertidega, näiteks küberturvalisuse teema uurijate ja küberturvalisuse ala spetsialistidega.

•Mõjuhinnang

Ettepanekule on lisatud mõjuhinnang, 7 mis esitati õiguskontrollikomiteele 23. oktoobril 2020 ja mille kohta õiguskontrollikomitee esitas positiivse arvamuse koos märkustega 20. novembril 2020. Õiguskontrollikomitee soovitas teha mõnes aspektis parandusi, et: 1) kirjeldada probleemianalüüsis paremini mõju piiriülese ülekandumise rolli; 2) selgitada paremini, milles väljenduks algatuse edu; 3) põhjendada täiendavalt poliitikavariante; 4) kajastada täpsemalt kavandatud meetmete kulusid. Mõjuhinnangut kohandati vastavalt nimetatud probleempunktidele ja õiguskontrollikomitee osutatud üksikasjalikumatele märkustele. Nüüd hõlmab see üksikasjalikumaid selgitusi mõju piiriülese ülekandumise rolli kohta küberturvalisuse valdkonnas, selgemat ülevaadet edu mõõtmise kohta, üksikasjalikumaid selgitusi kaalutud erinevate poliitikavariantide ja vastavate meetmete ülesehituse ja loogika kohta, üksikasjalikumaid selgitusi küberturvalisuse direktiivi valdkondliku kohaldamisalaga seoses analüüsitud aspektide kohta ning täiendavaid selgitusi kulude kohta.

Komisjon kaalus mitut poliitikavarianti, et parandada kübervastupidavusvõime ja intsidentidele reageerimise alast õigusraamistikku.

·Meetmeid ei võeta. Küberturvalisuse direktiivi ei muudeta ning selle hindamisel tuvastatud probleemide lahendamiseks ei võeta ka teisi, muid kui seadusandlikke meetmeid.

·Variant 1. Seadusandlikul tasandil muudatusi ei tehta. Selle asemel annab komisjon pärast koostöörühma, Euroopa Liidu Küberturvalisuse Ameti (ENISA) ja (kui asjakohane) küberturbe intsidentide lahendamise üksustega (CSIRTid) konsulteerimist välja soovitused ja suunised (näiteks elutähtsate teenuste operaatorite määratlemise, turvalisusega seotud nõuete, intsidentidest teatamise korra ja järelevalve kohta).

·Variant 2. See variant hõlmab küberturvalisuse direktiivi sihipäraseid muudatusi, sealhulgas selle kohaldamisala laiendamist ja mitmeid muid muudatusi, mille eesmärk on tagada tuvastatud probleemidele teatavad kiired lahendused, mis tagavad suurema selguse ja ühtsuse (näiteks sätted identifitseerimise piirmäärade ühtlustamiseks). Muudetud küberturvalisuse direktiivis jääksid põhielemendid, peamine lähenemisviis ja põhjendus aga endiseks.

·Variant 3: See stsenaarium hõlmab küberturvalisuse direktiivi süsteemseid ja struktuurseid muudatusi (uue direktiivi kaudu), millega nähakse ette põhimõttelisem lähenemisviisi nihe laiema majandussegmendi hõlmamiseks kogu liidus ning seejuures sihipärasem järelevalve, mis on suunatud suurtele ja peamistele osalejatele. Samuti ühtlustaks see ettevõtjatele pandud kohustusi ja tagaks seega kõrgemal tasemel ühtlustatuse, looks tõhusama raamistiku tegevuslikust aspektist ning annaks eri sidusrühmadele selge lähtekoha vastutuse ja aruandluskohustuse tõhusamaks jagamiseks küberturvalisuse meetmete rakendamisel.

Mõjuhinnangus järeldatakse, et eelistatud poliitikavariant on variant 3 (küberturvalisuse raamistiku süsteemsed ja struktuursed muudatused). Kui vaadelda tõhususe aspekti, siis eelistatud variandi puhul määrataks selgelt kindlaks küberturvalisuse direktiivi kohaldamisala, mida laiendataks esinduslikumale osale ELi majandusest ja ühiskonnast, ühtlustataks nõudeid ning nähtaks ette konkreetsem järelevalve ja täitmise tagamise raamistik, et tõsta nõuetele vastavuse taset. Samuti hõlmab see meetmeid, mille eesmärk on parandada poliitika kujundamise lähenemisviise liikmesriikide tasandil ja muuta seega paradigmat, edendades uusi raamistikke riskide juhtimiseks tarnijatevahelistes suhetes ning nõrkuste koordineeritud avalikustamiseks. Ühtlasi antakse eelistatud poliitikavariandiga selge alus vastutuse ja aruandluskohustuse jagamiseks ning nähakse ette mehhanismid, mille eesmärk on suurendada usaldust liikmesriikide vahel (nii ametiasutuste kui ka tööstussektori üksuste vahel), soodustades seeläbi teabevahetust ning tagades operatiivsema lähenemisviisi rakendamise, mis hõlmab vastastikuse abi ja vastastikuse hindamise mehhanismide kasutamist. Selle variandiga nähakse ette ka ELi kriisiohjeraamistik, mis põhineb hiljuti käivitatud ELi operatiivvõrgustikul, ning tagatakse ENISA suurem kaasatus tema praeguste volituste piires, et saada täpne ülevaade küberturvalisuse olukorrast liidus.

Kui vaadelda tõhususe aspektist, siis suureneksid eelistatud variandi korral küll ettevõtjate ja liikmesriikide nõuete järgimise ja täitmise tagamisega seotud kulud, kuid samas kaasneksid sellega soodsad kompromissid ja tõhusad sünergiad, mistõttu oleks kõnealusel variandil analüüsitud poliitikavariantidest suurim potentsiaal tagada võtmetähtsusega üksuste kübervastupidavusvõime kõrgem ja ühtlasem tase kogu liidus. Lõppkokkuvõttes tähendaks see nii ettevõtjate kui ka ühiskonna jaoks kulude kokkuhoidu. Selle poliitikavariandi korral suureneks teataval määral liikmesriikide halduskoormus ja kasvaksid nõuete täitmisega seotud kulud. Teisalt tooks see keskpikas ja pikas perspektiivis ka märkimisväärset kasu liikmesriikidevahelise tihedama koostöö, sealhulgas operatiivtasandi koostöö kaudu, ning soodustaks vastastikuse abi ja vastastikuse hindamise mehhanismide ning peamistest ettevõtjatest parema ülevaate ja nendega suhtlemise võimaluste tagamise kaudu küberturvalisuse alase suutlikkuse üldist suurendamist riiklikul ja piirkondlikul tasandil. Eelistatud poliitikavariandiga tagataks ühtlasi suurel määral kooskõla muude õigusaktide, algatuste ja poliitikameetmetega, sealhulgas valdkondlike eriõigusaktidega (lex specialis).

Nii liikmesriikide kui ka ettevõtjate ja muude organisatsioonide tasandil valitseva küberturvalisuse alase valmisoleku püsiva ebapiisava taseme probleemi lahendamise tulemusena võib suureneda tõhusus ning väheneda küberturvalisuse intsidentidest tingitud lisakulud.

·Elutähtsate ja oluliste üksuste jaoks võib küberturvalisuse alase valmisoleku taseme tõstmine aidata vähendada häiretest (sealhulgas tööstusspionaažist) tingitud potentsiaalseid tulukaotusi ning kahandada ohtude ad-hoc-korras vähendamisega kaasnevaid suuri kulusid. Selline kasu kaalub tõenäoliselt üles vajalikud investeerimiskulud. Siseturu killustatuse vähendamine tagaks ka ettevõtjatele võrdsemad võimalused ja tingimused.

·Liikmesriikide jaoks võiks see veelgi vähendada ohtude ad-hoc-korras vähendamisest tingitud eelarvekulude suurenemise riski ja küberturvalisuse intsidentidega seotud hädaolukordadest tingitud lisakulusid.

·Küberturvalisuse intsidentide probleemiga tegelemine peaks kodanike jaoks vähendama majandushäiretest tingitud kaotusi sissetulekutes.

Küberturvalisuse kõrgem tase liikmesriikides ning ettevõtjate ja asutuste võime intsidendile kiiresti reageerida ning selle mõju leevendada suurendab tõenäoliselt kodanike üldist usaldust digimajanduse vastu, mis võib avaldada positiivset mõju kasvule ja investeeringutele.

Küberturvalisuse üldise taseme tõstmine suurendab tõenäoliselt üldist julgeolekut ning ühiskonna jaoks kriitilise tähtsusega elutähtsate teenuste sujuvat ja katkematut toimimist. Algatusel võib olla ka muid sotsiaalseid mõjusid, näiteks võib see aidata vähendada küberkuritegevust ja terrorismi ning tugevdada kodanikukaitset. Ettevõtjate ja muude organisatsioonide küberturvalisuse alase valmisoleku suurendamine võib aidata vältida küberrünnetest tulenevat võimalikku rahalist kahju ja töötajate koondamise vajadust.

Samuti võib küberturvalisuse üldise taseme tõstmine aidata ennetada keskkonnaohte/-kahjusid, mis võivad kaasneda elutähtsate teenuste vastu suunatud rünnetega. See kehtib eriti energiasektori, joogiveevarustus- ja -jaotussektori ning transpordisektori puhul. Kuna algatusega suurendatakse küberturvalisuse alast suutlikkust, võidakse selle tulemusena hakata rohkem kasutama uue põlvkonna IKT-taristuid ja -teenuseid, mis on ka keskkonna aspektist jätkusuutlikumad, ning vahetada välja ebatõhusad ja vähem turvalised pärandtaristud. See peaks aitama vähendada ka kulukate küberintsidentide arvu ja vabastada seeläbi ressursse jätkusuutlike investeeringute tegemiseks.

•Õigusnormide toimivus ja lihtsustamine

Ettepaneku kohaselt jäetaks küberturvalisuse direktiivi kohaldamisalast üldiselt välja mikro- ja väikeüksused ning kohaldamisalasse hõlmatavate suure arvu uute üksuste (nn olulised üksused) suhtes hakataks kohaldama kergemaid, järelevalve järelmeetmeid (ex-post-järelevalvekorda). Nende meetmetega soovitakse minimeerida ja tasakaalustada ettevõtjatele ja haldusasutustele pandavat koormust. Lisaks asendatakse ettepaneku kohaselt keeruline elutähtsate teenuste operaatorite identifitseerimissüsteem üldkohaldatava kohustusega ning ühtlustatakse suuremal määral turvalisuse ja intsidentidest teatamisega seotud kohustusi, mis tähendaks nõuete täitmise koormuse vähenemist, eriti piiriüleseid teenuseid osutavate üksuste jaoks.

Ettepanekuga minimeeritakse nõuete täitmisega seotud kulusid VKEde jaoks, kuna üksustelt nõutakse üksnes selliste meetmete võtmist, mida on vaja selleks, et tagada riskitasemele vastav võrgu- ja infosüsteemide turvalisuse tase.

•Põhiõigused

EL on võtnud kohustuse tagada kõrgetele standarditele vastav põhiõiguste kaitse. Käesoleva direktiiviga edendatav üksustevaheline vabatahtlik teabevahetus korraldataks täies ulatuses usaldusväärsete keskkondade kaudu ja täielikus kooskõlas liidu andmekaitse-eeskirjadega, eelkõige Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 8 sätetega.

4.MÕJU EELARVELE

Vt finantsselgitus

5.MUU TEAVE

•Rakenduskavad ning järelevalve, hindamise ja aruandluse kord

Ettepanek hõlmab kindlatele eesmärkidele avalduva mõju jälgimise ja hindamise üldkava, mille kohaselt peab komisjon korraldama vähemalt [54 kuud] pärast jõustumiskuupäeva direktiivi läbivaatuse ning esitama Euroopa Parlamendile ja nõukogule aruande selle peamiste järelduste kohta.

Läbivaatamine peab toimuma kooskõlas komisjoni parema õigusloome suunistega.

•Ettepaneku sätete üksikasjalik selgitus

Ettepanek tugineb mitmele peamisele poliitikavaldkonnale, mis on omavahel seotud ja mille eesmärk on tõsta küberturvalisuse taset liidus.

Reguleerimisese ja kohaldamisala (artikkel 1 ja artikkel 2)

Direktiiviga tehakse täpsemalt järgmist: a) kehtestatakse liikmesriikidele kohustus võtta vastu riiklik küberturvalisuse strateegia, määrata pädevad riiklikud asutused, ühtsed kontaktpunktid ja küberturbe intsidentide lahendamise üksused (CSIRTid); b) nähakse ette, et liikmesriigid sätestavad I lisas osutatud elutähtsate üksuste ja II lisas osutatud oluliste üksuste jaoks küberturvalisuse riskijuhtimise ja intsidentidest teatamise kohustused; c) nähakse ette, et liikmesriigid kehtestavad küberturvalisuse alase teabevahetusega seotud kohustused.

Seda kohaldatakse teatavate avaliku või erasektori elutähtsate üksuste suhtes, kes tegutsevad I lisas loetletud sektorites (energeetika; transport; pangandus; finantsturutaristud; tervishoid, joogivesi; reovesi; digitaristu; avalik haldus ja kosmos), ning teatavate oluliste üksuste suhtes, kes tegutsevad II lisas loetletud sektorites (posti- ja kulleriteenused; jäätmekäitlus; kemikaalide tootmine ja turustamine; toiduainete tootmine, töötlemine ja turustamine; töötlev tööstus ja digiteenuse osutamine). Direktiivi kohaldamisalast on välja jäetud mikro- ja väikeüksused komisjoni 6. mai 2003. aasta soovituse 2003/361/EÜ tähenduses, välja arvatud elektroonilise side võrkude või üldkasutatavate elektroonilise side teenuste osutajad, usaldusteenuse osutajad, tippdomeenide domeeninimede registrid ja avaliku halduse üksused ning teatavad muud üksused, näiteks mõne teenuse ainupakkujad liikmesriigis.

Riiklikud küberturvalisuse raamistikud (artiklid 5–11)

Liikmesriigid peavad vastu võtma riikliku küberturvalisuse strateegia, milles määratletakse strateegilised eesmärgid ning asjakohased poliitilised ja regulatiivsed meetmed kõrgel tasemel küberturvalisuse saavutamiseks ja säilitamiseks.

Direktiiviga kehtestatakse ka nõrkuste koordineeritud avalikustamise raamistik ning nõutakse, et liikmesriigid määraksid CSIRTid, kes tegutseksid usaldusväärsete vahendajatena ja hõlbustaksid suhtlust aruandvate üksuste ning IKT-toodete ja IKT-teenuste tootjate või osutajate vahel. ENISA peab välja töötama tuvastatud nõrkuste andmeid koondava Euroopa nõrkuste registri ja seda haldama.

Liikmesriigid peavad kehtestama riiklikud küberturvalisuse alased kriisiohjeraamistikud, määrates muu hulgas riiklikud pädevad asutused, kes vastutavad ulatuslike küberturvalisuse intsidentide ja kriiside ohjamise eest.

Samuti peavad liikmesriigid määrama ühe või mitu riiklikku pädevat küberturvalisuse valdkonna asutust käesoleva direktiivi kohaste järelevalveülesannete täitmiseks ja määrama küberturvalisuse valdkonna riikliku ühtse kontaktpunkti sidepidamisfunktsiooni täitmiseks, et tagada liikmesriikide ametiasutuste piiriülene koostöö. Liikmesriigid peavad määrama ka CSIRTid.

Koostöö (artiklid 12–16)

Direktiiviga luuakse koostöörühm, mille eesmärk on toetada ja hõlbustada strateegilist koostööd ja teabevahetust liikmesriikide vahel ning suurendada usaldust üksteise vastu ja kindlustunnet üksteise suhtes. Samuti luuakse selle alusel CSIRTide võrgustik, et aidata kaasa usalduse ja kindlustunde suurenemisele liikmesriikidevahelises suhtluses ning edendada kiiret ja tõhusat operatiivkoostööd.

Luuakse ka Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-CyCLONe), et toetada ulatuslike küberturvalisuse intsidentide ja kriiside koordineeritud ohjamist ning tagada korrapärane teabevahetus liikmesriikide ja ELi institutsioonide vahel.

ENISA peab koostöös komisjoniga esitama iga kahe aasta tagant aruande, milles käsitletakse küberturvalisuse olukorda liidus.

Komisjon peab looma vastastikuse hindamise süsteemi, mis võimaldab korrapäraselt hinnata liikmesriikide küberturvalisuse alase poliitika tõhusust.

Küberturvalisuse riskijuhtimiskohustus ja teatamiskohustus (artiklid 17–23)

Direktiivi kohaselt peavad liikmesriigid nägema ette, et kõigi kohaldamisalasse kuuluvate üksuste juhtorganid kinnitaksid asjaomaste üksuste võetavad küberturvalisuse riskijuhtimismeetmed ja läbiksid küberturvalisusega seotud erikoolituse.

Liikmesriigid peavad tagama, et kohaldamisalasse jäävad üksused võtavad asjakohaseid ja proportsionaalseid tehnilisi ja korralduslikke meetmeid võrgu- ja infosüsteemide turvalisusega seotud riskide juhtimiseks. Samuti peavad nad tagama, et üksused teavitavad riiklikke pädevaid asutusi või CSIRTe igast küberturvalisuse intsidendist, mis mõjutab oluliselt nende pakutava teenuse osutamist.

Tippdomeenide registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused koguvad ja säilitavad täpseid ja täielikke domeeninimede registreerimise andmeid. Lisaks peavad sellised üksused tagama õigustatud taotlejatele tõhusa juurdepääsu domeeninimede registreerimise andmetele.

Jurisdiktsioon ja registreerimine (artiklid 24 ja 25)

Üldjuhul käsitatakse elutähtsaid ja olulisi üksusi selle liikmesriigi jurisdiktsiooni alla kuuluvana, kus nad oma teenuseid osutavad. Teatavat liiki üksused (domeeninimede süsteemi teenuse osutajad, tippdomeeninimede registrid, pilvandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad ja sisulevivõrgu pakkujad, samuti teatavad digiteenuse osutajad) loetakse kuuluvat siiski selle liikmesriigi jurisdiktsiooni alla, kus on nende peamine tegevuskoht liidus. Selle eesmärk on tagada, et sellised märkimisväärselt suurel määral piiriüleselt teenuseid osutavad ettevõtjad ei peaks järgima paljusid erinevaid õiguslikke nõudeid. ENISA peab looma kõnealust liiki üksuste registri ja seda haldama.

Teabevahetus (artiklid 26 ja 27)

Liikmesriigid kehtestavad eeskirjad, mis võimaldavad üksustel jagada küberturvalisusega seotud teavet küberturvalisuse alase teabe jagamise kindla korra raames kooskõlas ELi toimimise lepingu artikliga 101. Lisaks võimaldavad liikmesriigid käesoleva direktiivi kohaldamisalast välja jäävatel üksustel teatada vabatahtlikult olulistest intsidentidest, küberohtudest või ohuolukordadest.

Järelevalve ja täitmise tagamine (artiklid 28–34)

Pädevad asutused peavad tegema direktiivi kohaldamisalasse kuuluvate üksuste üle järelevalvet ning tagama, et nad täidaksid turvalisuse ja intsidentidest teatamise nõudeid. Seejuures eristatakse elutähtsate üksuste puhul kohaldatavat järelevalve eelkontrollikorda ja oluliste üksuste puhul kohaldatavat järelevalve järelkontrollikorda. Viimase puhul nõutakse pädevatelt asutustelt meetmete võtmist siis, kui esitatakse tõendid või vihjed selle kohta, et oluline üksus ei täida turvalisuse ja intsidentidest teatamise nõudeid.

Direktiiviga nõutakse liikmesriikidelt ka haldustrahvide kehtestamist elutähtsate ja oluliste üksuste jaoks ning määratakse kindlaks teatavad maksimumtrahvid.

Liikmesriigid peavad vajaduse korral tegema koostööd ja üksteist abistama, kui üksused osutavad teenuseid rohkem kui ühes liikmesriigis või kui üksuse peamine tegevuskoht või esindaja asub ühes liikmesriigis, kuid tema võrk ja infosüsteemid asuvad ühes või mitmes teises liikmesriigis.

2020/0359 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV,

mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega tunnistatakse kehtetuks direktiiv 2016/1148

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 114,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust, 9

võttes arvesse Regioonide Komitee arvamust, 10

toimides seadusandliku tavamenetluse kohaselt

ning arvestades järgmist:

(1)Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/1148 11 eesmärgiks seati suurendada küberturvalisuse alast suutlikkust kogu liidus, vähendada peamistes sektorites elutähtsate teenuste osutamiseks kasutatavaid võrgu- ja infosüsteeme ähvardavaid ohte ning tagada selliste teenuste katkematu osutamine küberturvalisuse intsidentide esinemise korral ning aidata seeläbi kaasa liidu majanduse ja ühiskonna tõhusale toimimisele.

(2)Alates direktiivi (EL) 2016/1148 jõustumisest on liidu küberturvalisuse alase vastupidavusvõime suurendamisel tehtud märkimisväärseid edusamme. Kõnealuse direktiivi läbivaatamisest nähtub, et see on kannustanud liidu küberturvalisust käsitleva institutsionaalse ja regulatiivse lähenemisviisi kujunemist ning sillutanud seeläbi teed märkimisväärsele muutusele mõtteviisis. Kõnealuse direktiiviga on tagatud riiklike raamistike ülesehitamine, mis on hõlmanud riiklike küberturvalisuse strateegiate määratlemist, riikliku suutlikkuse kujundamist ning regulatiivsete meetmete kohaldamist iga liikmesriigi määratud elutähtsate taristute ja osalejate suhtes. Samuti on see aidanud kaasa koostöö edendamisele liidu tasandil koostöörühma 12 ja riiklike küberturbe intsidentide lahendamise üksuste võrgustiku (CSIRTide võrgustik) 13 loomise kaudu. Vaatamata nendele saavutustele on direktiivi (EL) 2016/1148 läbivaatamisel tuvastatud olemuslikke puudusi, mis takistavad praeguste ja esilekerkivate küberturvalisuse alaste probleemide tõhusat lahendamist.

(3)Võrgu- ja infosüsteemidest on saanud keskne osa igapäevaelus, mida iseloomustab kiire digiüleminek ja ühiskonnaosaliste vastastikune seotus, sealhulgas piiriüleses tegevuses. Sellise arenguga koos on laienenud küberturvalisusega seotud ohtude maastik ning kerkinud esile uued probleemid, mis nõuavad kohandatud, koordineeritud ja uuenduslikku reageerimist kõigis liikmesriikides. Küberturvalisuse intsidentide arv, ulatus, keerukus, sagedus ja mõju suurenevad ning see kujutab endast suurt ohtu võrgu- ja infosüsteemide toimimisele. Selle tulemusena võivad küberintsidendid tõkestada siseturu majandustegevust, põhjustada rahalist kahju, õõnestada kasutajate usaldust ning tekitada suurt kahju liidu majandusele ja ühiskonnale. Küberturvalisuse alane valmisolek ja tõhusus on seega praegu siseturu nõuetekohaseks toimimiseks olulisem kui kunagi varem.

(4)Direktiivi (EL) 1148/2016 õiguslik alus oli Euroopa Liidu toimimise lepingu („ELi toimimise leping“) artikkel 114, mille eesmärk on siseturu rajamine ja toimimise tagamine siseriiklike eeskirjade ühtlustamise meetmete tõhustamise kaudu. Teenuseid osutavatele või majanduslikult oluliste toimingutega tegelevatele üksustele kehtestatud küberturvalisuse nõuded erinevad liikmesriigiti märkimisväärselt nii nõuete liigi, üksikasjalikkuse astme kui ka järelevalvemeetodi poolest. Need erinevused põhjustavad lisakulusid ja tekitavad raskusi piiriüleselt kaupu või teenuseid pakkuvatele ettevõtjatele. Ühe liikmesriigi kehtestatud nõuded, mis erinevad teise liikmesriigi kehtestatud nõuetest või on nendega vastuolus, võivad kõnealust piiriülest tegevust oluliselt pärssida. Lisaks mõjutab küberturvalisuse standardite ebatõhus kavandamine või rakendamine ühes liikmesriigis tõenäoliselt küberturvalisuse taset ka teistes liikmesriikides, kui piiriülene tegevus on sedavõrd intensiivne. Direktiivi (EL) 2016/1148 läbivaatamise käigus selgus, et liikmesriigid kohaldavad seda väga erinevalt; muu hulgas erineb selle kohaldamisala, mille piiritlemine jäeti suuresti liikmesriikide otsustada. Direktiiviga (EL) 2016/1148 anti liikmesriikidele ka väga ulatuslik kaalutlusõigus direktiivis sätestatud turvalisuse tagamise ja intsidentidest teatamise kohustuste rakendamisel. Seega rakendati neid kohustusi siseriiklikul tasandil väga erinevalt. Samuti esines erinevusi kõnealuse direktiivi järelevalve- ja täitmise tagamise sätete rakendamisel.

(5)Kõik need erinevused põhjustavad siseturu killustumist ja võivad kahjustada selle toimimist, mõjutades eelkõige teenuste piiriülest osutamist ja küberturvalisuse alase vastupidavusvõime taset, kuna standardid, mida rakendatakse, on erinevad. Käesoleva direktiivi eesmärk on kõrvaldada kirjeldatud suured erinevused liikmesriikide vahel, sätestades koordineeritud reguleeriva raamistiku toimimisega seotud miinimumeeskirjad, kehtestades liikmesriikide vastutavate asutuste tõhusaks koostööks vajalikud mehhanismid, ajakohastades loetelu sektoritest ja tegevustest, mille suhtes küberturvalisusega seotud kohustusi kohaldatakse, ning nähes ette tõhusad õiguskaitsevahendid ja karistused, mis on olulised nende kohustuste tõhusa täitmise tagamiseks. Seega tuleks direktiiv (EL) 2016/1148 kehtetuks tunnistada ja asendada käesoleva direktiiviga.

(6)Käesolev direktiiv ei piira liikmesriikide võimalust võtta vajalikke meetmeid, et tagada oma oluliste julgeolekuhuvide kaitse, avalik kord ja avalik julgeolek ning võimaldada kriminaalkuritegude uurimist, avastamist ja nende eest vastutusele võtmist kooskõlas liidu õigusega. Vastavalt ELi toimimise lepingu artiklile 346 ei tohi liikmesriike kohustada andma teavet, mille avalikustamine kahjustaks tema olulisi julgeolekuhuve. Selles aspektis on olulised salastatud teabe kaitset käsitlevad siseriiklikud ja liidu eeskirjad, ametlikud ja mitteametlikud mitteavalikustamise kokkulepped, nagu fooritulede analoogial põhinev protokoll teabe tundlikkuse märgistamiseks 14 .

(7)Direktiivi (EL) 2016/1148 kehtetuks tunnistamisega tuleks sektoripõhist kohaldamisala laiendada, et hõlmata suurem osa majandusest, võttes arvesse põhjendustes 4–6 esitatud kaalutlusi. Direktiivi (EL) 2016/1148 sektoripõhist kohaldamisala tuleks seega laiendada, et hõlmata võimalikult täielikult need sektorid ja teenused, mis on siseturu peamise ühiskondliku ja majandustegevuse jaoks elutähtsad. Õigusnormid ei tohiks erineda selle alusel, kas üksused on elutähtsate teenuste operaatorid või digiteenuse osutajad. Selline eristamine on iganenud, kuna see ei võta arvesse sektorite või teenuste tegelikku tähtsust siseturu ühiskondliku ja majandustegevuse jaoks.

(8)Direktiivi (EL) 2016/1148 kohaselt oli liikmesriikidel endal kohustus määratleda, millised üksused vastavad oluliste teenuste operaatorite kriteeriumidele („identifitseerimisprotsess“). Et kõrvaldada sellest tulenevad liikmesriikidevahelised suured erinevused ning tagada kõigile asjaomastele üksustele riskijuhtimisnõuete ja teatamiskohustustega seoses õiguskindlus, tuleks kehtestada ühine kriteerium, mille alusel määratletakse käesoleva direktiivi kohaldamisalasse kuuluvad üksused. See kriteerium peaks põhinema suuruse ülempiiri reegli kohaldamisel, nii et kohaldamisalasse jääksid kõik komisjoni soovituses 2003/361/EÜ 15 määratletud keskmise suurusega ja suured ettevõtjad, kes tegutsevad käesoleva direktiivi kohaldamisalasse kuuluvates sektorites või osutavad käesoleva direktiivi kohaldamisalasse kuuluvaid teenuseid. Liikmesriikidelt ei peaks nõudma selliste üksuste nimekirja koostamist, kes vastavad kõnealusele üldiselt kohaldatavale suurusepõhisele kriteeriumile.

(9)Käesolev direktiiv peaks samas hõlmama ka väike- või mikroettevõtjaid, kes vastavad teatavatele kriteeriumidele, mis annavad märku võtmetähtsusega rolli täitmisest liikmesriikide majanduse või ühiskonna või kindlate sektorite või teenuseliikide jaoks. Liikmesriikidele tuleks panna kohustus koostada selliste üksuste nimekiri ja esitada see komisjonile.

(10)Komisjon võib koostöös koostöörühmaga anda välja mikro- ja väikeettevõtjate suhtes kohaldatavate kriteeriumide rakendamise suunised.

(11)Olenevalt sellest, mis sektoris nad tegutsevad või mis liiki teenust nad osutavad, tuleks käesoleva direktiivi kohaldamisalasse kuuluvad üksused liigitada kahte kategooriasse: elutähtis ja oluline. Sellise liigitamise puhul tuleks arvesse võtta sektori või teenuseliigi kriitilisuse taset ning seda, kuivõrd muud sektorid või teenuseliigid sellest sõltuvad. Nii elutähtsate kui ka oluliste üksuste suhtes tuleks kohaldada samu riskijuhtimisnõudeid ja teatamiskohustusi. Nende kahe üksuseliigi järelevalve- ja karistuskord peaks olema erinev, et tagada õiglane tasakaal kohaldatavate nõuete ja kohustuste ning nõuete täitmise järelevalvega seotud halduskoormuse vahel.

(12)Valdkondlikud õigusaktid ja vahendid võivad aidata tagada küberturvalisuse kõrge taseme, võttes ühtlasi täielikult arvesse asjaomaste sektorite eripära ja keerukust. Kui valdkonnapõhise liidu õigusaktiga nõutakse elutähtsatelt või olulistelt üksustelt küberturvalisuse riskijuhtimise meetmete võtmist või intsidentidest või olulistest küberohtudest teatamist ja kõnealustel valdkonnapõhiselt sätestatud kohustustel on käesolevas direktiivis sätestatud kohustustega vähemalt samaväärne mõju, tuleks kohaldada neid valdkonnapõhiseid sätteid, sealhulgas järelevalvet ja täitmise tagamist käsitlevaid sätteid. Komisjon võib anda välja erinormide (lex specialis) kohaldamist käsitlevad suunised. Käesolev direktiiv ei välista küberturvalisuse riskijuhtimise meetmeid ja intsidentidest teatamist käsitlevate täiendavate valdkondlike liidu õigusaktide vastuvõtmist. Käesolev direktiiv ei piira komisjonile mitmes sektoris, sealhulgas transpordi- ja energeetikasektoris antud rakendusvolitusi.

(13)Käesoleva direktiiviga seoses tuleks Euroopa Parlamendi ja nõukogu määrust XXXX/XXXX 16 käsitada valdkondliku liidu õigusaktina finantssektori üksuste suhtes. Käesoleva direktiiviga kehtestatud sätete asemel tuleks kohaldada määruse XXXX/XXXX sätteid, mis käsitlevad info- ja kommunikatsioonitehnoloogia (IKT) alaseid riskijuhtimise meetmeid, IKTga seotud intsidentide haldamist ja eriti intsidentidest teatamist, samuti digitaalse operatiivse vastupidavusvõime testimist, teabevahetuskorda ja kolmandate isikutega seotud IKT-riske. Seega ei tohiks liikmesriigid kohaldada käesoleva direktiivi sätteid, mis käsitlevad küberturvalisuse riskijuhtimis- ja teatamiskohustusi, teabevahetust, järelevalvet ja täitmise tagamist, määruse XXXX/XXXX kohaldamisalasse jäävate finantssektori üksuste suhtes. Samas on käesoleva direktiivi kohaselt oluline säilitada finantssektoriga tugevad suhted ja teabevahetus. Selleks võimaldab määrus XXXX/XXXX kõigil finantsjärelevalveasutustel, finantssektori Euroopa järelevalveasutustel ja määruse XXXX/XXXX kohastel riiklikel pädevatel asutustel osaleda koostöörühma strateegilistes poliitilistes aruteludes ja tehnilises töös ning vahetada teavet ja teha koostööd käesoleva direktiivi alusel määratud ühtsete kontaktpunktidega ja riiklike CSIRTidega. Määruse XXXX/XXXX kohased pädevad asutused peaksid edastama suurte IKT-intsidentide üksikasjad ka käesoleva direktiivi alusel määratud ühtsetele kontaktpunktidele. Lisaks peaksid liikmesriigid jätkuvalt hõlmama finantssektori oma küberturvalisuse strateegiatesse ning riiklikud CSIRTid võivad oma tegevusega hõlmata ka finantssektori.

(14)Üksuste küberturvalisuse ja füüsilise julgeoleku omavahelisi seoseid arvestades tuleks tagada Euroopa Parlamendi ja nõukogu direktiivi (EL) XXX/XXX 17 ja käesoleva direktiivi lähenemisviiside kooskõla. Selle saavutamiseks peaksid liikmesriigid tagama, et direktiivi (EL) XXX/XXX kohaseid kriitilise tähtsusega üksusi ja samaväärseid üksusi käsitatakse käesoleva direktiivi kohaselt elutähtsate üksustena. Liikmesriigid peaksid samuti tagama, et nende küberturvalisuse strateegiatega nähakse ette poliitikaraamistik käesoleva direktiivi ja direktiivi (EL) XXX/XXX kohaste pädevate asutuste vahelise tegevuse paremaks koordineerimiseks intsidentide ja küberohtude alase teabe vahetamise ning järelevalveülesannete täitmise kontekstis. Kummagi direktiivi kohased asutused peaksid tegema koostööd ja vahetama teavet, eelkõige seoses sellega, mis puudutab kriitilise tähtsusega üksuste, küberohtude, küberturvalisuse riskide ja kriitilise tähtsusega üksusi mõjutavate intsidentide määratlemist ning kriitilise tähtsusega üksuste võetavaid küberturvalisuse meetmeid. Direktiivi (EL) XXX/XXX kohaste pädevate asutuste taotluse korral tuleks käesoleva direktiivi kohastel pädevatel asutustel võimaldada kasutada oma järelevalve- ja täitmise tagamise volitusi kriitilise tähtsusega üksusena identifitseeritud elutähtsa üksuse suhtes. Mõlemad asutused peaksid sel eesmärgil koostööd tegema ja teavet vahetama.

(15)Usaldusväärse, vastupidava ja turvalise domeeninimesüsteemi (DNS) tagamine ja hoidmine on võtmetähtsusega, et säilitada interneti usaldusväärsus ning tagada selle pidev ja stabiilne toimimine, millest sõltuvad digimajandus ja -ühiskond. Seepärast tuleks käesolevat direktiivi kohaldada kõigi DNS-teenuse osutajate suhtes kogu DNS-lahendusahela ulatuses, sealhulgas juurnimeserverite, tippdomeeninimeserverite, domeeninimede autoriteetsete nimeserverite ja rekursiivsete aadressiresolverite operaatorite suhtes.

(16)Pilvandmetöötlusteenused peaksid hõlmama teenuseid, mis võimaldavad nõudepõhist ja ulatuslikku kaugpääsu jagatavate ja hajusate andmetöötlusressursside skaleeritavale ja paindlikule kogumile. Need andmetöötlusressursid on näiteks võrgud, serverid ja muu taristu, operatsioonisüsteemid, tarkvara, salvestusruum, rakendused ja teenused. Pilvandmetöötluse korraldusmudelid peaksid hõlmama privaat-, ühis-, avalikku ja hübriidpilve. Mõistetel „teenusemudel“ ja „korraldusmudel“ on sama tähendus nagu nimetatud mõistetel standardi ISO/IEC 17788:2014 määratluses. Pilvandmetöötlusteenuse kasutaja suutlikkust tagada endale ühepoolselt andmetöötlusvõimekus (nt serveriaeg või võrgu talletusruum), ilma et pilvandmetöötlusteenuse osutaja (inimene) peaks kasutajaga suhtlema, võiks nimetada nõudepõhiseks haldamiseks. Mõistega „ulatuslik kaugpääs“ peetakse silmas seda, et pilvevõimalusi pakutakse võrgu kaudu ja need on kättesaadavad mehhanismide abil, mis toetavad heterogeensete nn kõhna või priske kliendi platvormide (sh mobiiltelefonid, tahvelarvutid, sülearvutid, tööjaamad/kohtarvutid) kasutamist. Mõiste „skaleeritav“ osutab andmetöötlusressurssidele, mis on nõudluse kõikumisega toimetulekuks pilveteenuse osutaja poolt paindlikult jaotatavad olenemata ressursside geograafilisest asukohast. Mõistet „paindlik kogum“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mida pakutakse ja mis tehakse kättesaadavaks vastavalt nõudlusele, et kättesaadavaid ressursse suurendada või vähendada sõltuvalt töökoormusest. Mõistet „jagatav“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mida pakutakse paljudele kasutajatele, kellel on ühine juurdepääs teenusele, kuid mille puhul andmete töötlemine toimub iga kasutaja jaoks eraldi, olgugi et teenust osutatakse samadest elektroonilistest seadmetest. Mõistet „hajusad“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mis asuvad erinevates võrguga ühendatud arvutites või seadmetes ning mis suhtlevad omavahel ja kooskõlastavad omavahelist tegevust sõnumite edastamise teel.

(17)Kuna maad võtavad uuenduslikud tehnoloogiad ja ärimudelid, tulevad eeldatavasti tarbijate muutuvate vajaduste järgi turule uued pilvandmetöötluse korraldus- ja teenusemudelid. Sellises kontekstis võib pilvandmetöötlusteenuseid osutada väga hajusal kujul, mille puhul töötlus toimub andmete loomise või kogumise kohale veelgi lähemal; seega minnakse nn traditsiooniliselt mudelilt üle väga hajusale mudelile (servtöötlus).

(18)Andmekeskusteenuse osutajate pakutavaid teenuseid ei pakuta alati tingimata pilvandmetöötlusteenusena. Seega ei pruugi andmekeskused alati olla pilvandmetöötlustaristu osa. Kõigi võrgu- ja infosüsteemide turvalisusega seotud riskide juhtimiseks peaks käesoleva direktiivi kohaldamisalasse kuuluma ka selliste andmekeskusteenuste pakkujad, mis ei ole pilvandmetöötlusteenused. Käesoleva direktiivi kohaldamisel peaks mõiste „andmekeskusteenus“ kätkema sellise teenuse osutamist, mis hõlmab struktuure või struktuuride rühmi, mis on ette nähtud andmete talletamiseks, töötlemiseks ja edastamiseks kasutatava infotehnoloogia- ja võrguseadmete keskseks majutamiseks, omavahel sidumiseks ja käitamiseks, võttes arvesse ka energiajaotuse ja keskkonnajuhtimisega seotud rajatisi ja taristuid. Mõiste „andmekeskusteenus“ ei hõlma asutusesiseseid andmekeskusi, mis kuuluvad asjaomasele üksusele ja mida käitatakse üksuse enda tarbeks.

(19)Postiteenuse osutajate (Euroopa Parlamendi ja nõukogu direktiivi 97/67/EÜ 18 tähenduses) ning kiirkuller- ja kullerpostiteenuse osutajate suhtes tuleks kohaldada käesolevat direktiivi juhul, kui nad osutavad vähemalt ühe postiteenuseahela etapi teenust, eeskätt kogumis-, sorteerimis- või jaotamisteenust (sh järeletulemise teenused). Transporditeenust, mida ei osutata mõne mainitud etapi raames, ei peaks käsitama postiteenusena.

(20)Need kasvavad vastastikused sõltuvused tulenevad üha piiriülesemast ja üha enam vastastikku sõltuvast teenuste osutamise võrgustikust, mis kasutab kogu liidus selliste oluliste sektorite taristuid nagu energeetika, transport, digitaristu, joogi- ja reovesi, tervishoid, avaliku halduse teatavad harud ja ka kosmosetööstus, niivõrd kui viimase teatavate teenuste osutamine sõltub maapealsetest taristutest, mida omavad, haldavad ja käitavad kas liikmesriigid või eraõiguslikud isikud (seega ei peeta siinkohal silmas selliseid taristuid, mida omab, haldab või käitab liit või mida hallatakse või käitatakse liidu nimel osana liidu kosmoseprogrammidest). Need vastastikused sõltuvussuhted tähendavad seda, et mis tahes katkestusel – isegi kui see puudutab algselt vaid üht üksust või sektorit – võib olla laiem astmeline mõju, mis võib avaldada kaugeleulatuvat ja pikaajalist negatiivset mõju teenuste osutamisele kogu siseturul. COVID-19 pandeemia on näidanud meie üha enam üksteisest sõltuvate ühiskondade haavatavust väikese realiseerumisvõimalusega riskide esinemise korral.

(21)Arvestades riikide juhtimisstruktuuride erinevusi ning selleks, et kaitsta juba kehtivat valdkondlikku korda või liidu reguleerivaid ja järelevalveasutusi, peaksid liikmesriigid saama määrata käesoleva direktiivi kohaselt elutähtsate ja oluliste üksuste võrgu- ja infosüsteemide turvalisusega seotud ülesannete täitmiseks rohkem kui ühe riikliku pädeva asutuse. Liikmesriikidel peaks olema võimalik määrata see roll juba tegutsevale asutusele.

(22)Et hõlbustada ametiasutuste piiriülest koostööd ja suhtlust ning käesolevat direktiivi tõhusalt rakendada, on vaja, et iga liikmesriik määraks riikliku ühtse kontaktpunkti, kes vastutab võrgu- ja infosüsteemide turvalisuse küsimuste koordineerimise ning liidu tasandil tehtava piiriülese koostöö eest.

(23)Pädevad asutused või CSIRTid peaksid saama üksuste teateid intsidentide kohta tõhusal ja tulemuslikul viisil. Ühtsetele kontaktpunktidele tuleks teha ülesandeks edastada intsidente käsitlevad teated teiste mõjutatud liikmesriikide ühtsetele kontaktpunktidele. Tagamaks, et liikmesriikide asutuste tasandil oleks igas liikmesriigis üks kontaktpunkt, peaksid ühtsed kontaktpunktid olema ka määruse XXXX/XXXX kohaste pädevate asutuste edastatava finantssektori üksustega seotud intsidente käsitleva asjakohase teabe adressaadid ning neil peaks olema võimalik edastada kõnealune teave vajaduse järgi käesoleva direktiivi kohastele asjaomastele riiklikele pädevatele asutustele või CSIRTidele.

(24)Liikmesriigid peaksid olema nii tehniliselt kui ka töökorralduse mõttes piisavalt varustatud, et ennetada ja avastada võrgu- ja infosüsteemidega seotud intsidente ja riske ning neile reageerida ja nende mõju leevendada. Liikmesriigid peaksid seega tagama, et neil oleks hästi toimivad ja olulistele nõuetele vastavad CSIRTid, mida tuntakse ka infoturbeintsidentidega tegelevate rühmadena (CERT), et tagada tulemuslik ja ühilduv suutlikkus tulla toime intsidentide ja riskidega ning tagada liidu tasandil tõhus koostöö. Et tugevdada üksuste ja CSIRTide vahelist usalduslikku suhet olukorras, kus CSIRT on pädeva asutuse osa, peaksid liikmesriigid kaaluma CSIRTide operatiivülesannete funktsionaalset eraldamist, eelkõige seoses sellega, mis puudutab teabevahetust ja üksuste toetamist ning pädevate asutuste järelevalvetegevust.

(25)Mis puutub isikuandmetesse, siis peaks CSIRTidel olema võimalik kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/679 19 teha käesoleva direktiivi kohaldamisalasse jääva üksuse nimel või taotlusel nende teenuste osutamiseks kasutatavate võrgu- ja infosüsteemide ennetavat kontrolli. Liikmesriigid peaksid seadma eesmärgiks tagada kõikide valdkondlike CSIRTide võrdsel tasemel tehniline suutlikkus. Liikmesriigid võivad paluda riiklike CSIRTide väljatöötamisel Euroopa Liidu Küberturvalisuse Ameti (ENISA) abi.

(26)Arvestades küberturvalisuse alase rahvusvahelise koostöö tähtsust, peaks CSIRTidel olema võimalik lisaks käesoleva direktiivi kohaselt loodud CSIRTide võrgustikule osaleda ka rahvusvaheliste koostöövõrgustike töös.

(27)Vastavalt komisjoni soovituse (EL) 2017/1548 (koordineeritud reageerimise kohta ulatuslike küberturvalisuse intsidentide ja kriiside korral) lisale („Tegevuskava“) 20 tuleks ulatusliku intsidendina mõista intsidenti, millel on märkimisväärne mõju vähemalt kahele liikmesriigile või mille põhjustatud häired on niivõrd laialdased, et ühe liikmesriigi suutlikkusest nendega toimetulekuks ei piisa. Olenevalt nende põhjusest ja mõjust võivad ulatuslikud intsidendid eskaleeruda ning muutuda täieulatuslikuks kriisiks, mis takistab siseturu nõuetekohast toimimist. Võttes arvesse selliste intsidentide ulatuslikku haaret ja (enamikul juhtudel) piiriülest laadi, peaksid liikmesriigid ning asjaomased liidu institutsioonid, organid ja asutused tegema koostööd nii tehnilisel, operatiiv- kui ka poliitilisel tasandil, et reageerimist liidu ulatuses nõuetekohaselt koordineerida.

(28)Kuna võrgu- ja infosüsteemide nõrkade kohtade ärakasutamine võib põhjustada suuri häireid ja olulist kahju, on nende nõrkade kohtade kiire tuvastamine ja kõrvaldamine küberturvalisusega seotud riskide vähendamise tähtis tegur. Üksused, kes selliseid süsteeme välja töötavad, peaksid seetõttu kehtestama asjakohase menetluskorra, mille alusel lahendada nõrkuste probleemid, kui need tuvastatakse. Kuna nõrkusi avastavad ja neist teatavad (need avalikustavad) sageli kolmandad isikud (teatavad üksused), peaks IKT-toodete või -teenuste tootja/pakkuja kehtestama ka vajaliku menetluskorra kolmandatelt isikutelt nõrkusi käsitleva teabe saamiseks. Rahvusvahelistes standardites ISO/IEC 30111 ja ISO/IEC 29417 on selleks esitatud suunised nõrkuste käsitlemiseks ja nende avalikustamiseks+. Nõrkuste avalikustamisega seoses on koostöö koordineerimine teavitavate üksuste ning IKT-toodete või -teenuste tootjate või osutajate vahel eriti oluline. Nõrkuste koordineeritud avalikustamise all peetakse silmas struktureeritud protsessi, mille käigus teatatakse organisatsioonidele nõrkustest viisil, mis võimaldab organisatsioonil nõrkust diagnoosida ja selle kõrvaldada enne, kui nõrkusega seotud üksikasjalik teave avalikustatakse kolmandatele isikutele või üldsusele. Nõrkuste koordineeritud avalikustamise protsess peaks hõlmama ka teavitava üksuse ja organisatsiooni vahelist koordineerimist nõrkuste kõrvaldamise ja avalikustamise ajastamise asjus.

(29)Liikmesriigid peaksid seega võtma meetmeid, et nõrkuste koordineeritud avalikustamist hõlbustada, kehtestades selleks asjakohase riikliku poliitika. Sellega seoses peaksid liikmesriigid määrama koordineerimise ülesannet täitma CSIRTi, kes hakkab vastavalt vajadusele tegutsema vahendajana teavitavate üksuste ja IKT-toodete või -teenuste tootjate/pakkujate vahel. CSIRTi koordinaatori ülesanded peaks eelkõige olema teha kindlaks asjaomased üksused ja võtta nendega ühendust, toetada teavitavaid üksusi, pidada läbirääkimisi avalikustamise tähtaegade üle ning hallata mitut organisatsiooni mõjutavate nõrkustega seonduvat tegevust (mitut osapoolt puudutavate nõrkuste avalikustamine). Kui nõrkus mõjutab mitut IKT-toodete või -teenuste tootjat/pakkujat, kelle tegevuskoht on mitmes liikmesriigis, peaksid iga mõjutatud liikmesriigi määratud CSIRTid tegema CSIRTide võrgustiku raames koostööd.

(30)Juurdepääs õigele ja õigeaegsele teabele IKT-tooteid ja -teenuseid mõjutavate nõrkuste kohta aitab küberturvalisuse alast riskijuhtimist tõhustada. Seega on nõrkuste kohta avalikult kättesaadava teabe allikad oluline vahend üksuste ja nende kasutajate, aga ka riiklike pädevate asutuste ja CSIRTide jaoks. Sel põhjusel peaks ENISA looma nõrkuste registri, kus elutähtsad ja olulised üksused ja nende tarnijad, aga ka käesoleva direktiivi kohaldamisalast välja jäävad üksused võivad vabatahtlikult avalikustada nõrkusi ning esitada nende kohta teavet, mis võimaldab kasutajatel võtta asjakohaseid leevendusmeetmeid.

(31)Sarnaseid nõrkuste registreid või andmebaase on ka juba loodud, kuid neid majutavad ja haldavad üksused, mille asukoht ei ole liidus. ENISA hallatav Euroopa nõrkuste register tagaks suurema läbipaistvuse nõrkuste ametlikule avalikustamisele eelneva avalikustamisprotsessiga seoses ning suurendaks vastupidavusvõimet sarnaste teenuste osutamist mõjutavate häirete või katkestuste korral. Et vältida topelttööd ja püüda saavutada võimalikult suures ulatuses vastastikune täiendavus, peaks ENISA uurima võimalust sõlmida struktureeritud koostöö lepinguid kolmandate riikide jurisdiktsioonides tegutsevate sarnaste registritega.

(32)Koostöörühm peaks iga kahe aasta järel koostama tööprogrammi kava, mis hõlmab rühma eesmärkide ja ülesannete täitmiseks võetavaid meetmeid. Käesoleva direktiivi alusel vastu võetava esimese programmi ajakava tuleks viia kooskõlla direktiivi (EL) 2016/1148 alusel vastu võetud viimase programmi ajakavaga, et vältida töörühma töö võimalikku häirimist.

(33)Juhenddokumentide väljatöötamisel peaks koostöörühm järjepidevalt kaardistama riiklikud lahendused ja kogemused, hindama koostöörühma tegevuse tulemuste mõju riiklikele lähenemisviisidele, arutama rakendamisega seotud probleeme ning sõnastama konkreetsed soovitused olemasolevate eeskirjade tõhusamaks rakendamiseks.

(34)Koostöörühm peaks jääma paindlikuks foorumiks ning suutma reageerida muutuvatele ja uutele poliitilistele prioriteetidele ja probleemidele, võttes seejuures arvesse vahendite kättesaadavust. Ta peaks korraldama korrapäraseid ühiskoosolekuid asjaomaste erasektori sidusrühmadega kogu liidust, et arutada rühma tegevust ja koguda teavet esilekerkivate poliitiliste probleemide kohta. Et tõhustada koostööd liidu tasandil, peaks rühm kaaluma võimalust kutsuda oma töös osalema küberturvalisuse alase poliitika kujundamisega seotud liidu asutused ja ametid, näiteks küberkuritegevuse vastase võitluse Euroopa keskuse (EC3), Euroopa Liidu Lennundusohutusameti (EASA) ja Euroopa Liidu Kosmoseprogrammi Ameti (EUSPA).

(35)Pädevatel asutustel ja CSIRTidel peaks olema võimalus koostöö parandamiseks osaleda teiste liikmesriikidega ametnike vahetamise programmis. Pädevad asutused peaksid võtma vajalikud meetmed, et võimaldada teiste liikmesriikide ametnikel täita vastuvõtva pädeva asutuse tegevuses tulemuslikku rolli.

(36)Liit võib kooskõlas ELi toimimise lepingu artikliga 218 sõlmida kolmandate riikide või rahvusvaheliste organisatsioonidega rahvusvahelisi lepinguid, mis võimaldavad neil osaleda ja korraldada osalust mõningates koostöörühma ja CSIRTide võrgustiku tegevustes. Selliste lepingute sõlmimise puhul tuleks tagada piisaval tasemel andmekaitse.

(37)Liikmesriigid peaksid aitama luua soovituses (EL) 2017/1584 ette nähtud küberturvalisuse kriisidele reageerimise ELi raamistikku olemasolevate koostöövõrgustike, eelkõige küberkriisi kontaktasutuste võrgustiku (EU-CyCLONe), CSIRTide võrgustiku ja koostöörühma tegevuse kaudu. EU-CyCLONe ja CSIRTide võrgustik peaksid tegema koostööd menetluskorra alusel, milles määratakse kindlaks kõnealuse koostöö üksikasjad. EU-CyCLONe menetluskorras tuleks täpsustada võrgustiku toimimist puudutavad üksikasjad, muu hulgas rollid, koostööviisid, teiste asjaomaste osalejatega suhtlemine, teabevahetuse vormid ja kommunikatsioonivahendid. Liidu tasandi kriisiohje puhul peaksid asjaomased osapooled lähtuma kriisidele poliitilist reageerimist käsitlevast ELi integreeritud korrast (IPCR). Komisjon peaks rakendama üldise kiirhoiatussüsteemi ARGUS kõrgetasemelise valdkondadevahelise kriisikoordineerimise menetlusprotsessi. Kui kriisil on oluline välispoliitiline või ühise julgeoleku- ja kaitsepoliitikaga (ÜJKP) seotud mõõde, tuleks käivitada Euroopa välisteenistuse kriisidele reageerimise mehhanism.

(38)Käesolevas direktiivis osutatakse mõistega „risk“ küberturvalisuse intsidendist tingitud kahju või häire võimalusele ning seda tuleks väljendada sellise kahju või häire ulatust ja kõnealuse intsidendi esinemise tõenäosust arvesse võtva kombineeritud näitajana.

(39)Käesolevas direktiivis osutatakse mõistega „ohuolukord“ sündmusele, mis oleks võinud põhjustada kahju, kuid mis suudeti edukalt ära hoida.

(40)Riskijuhtimismeetmed peaksid hõlmama meetmeid intsidendiriskide tuvastamiseks, intsidentide vältimiseks, tuvastamiseks ja käsitlemiseks ning nende mõju leevendamiseks. Võrgu- ja infosüsteemide turvalisus peaks hõlmama salvestatavate, edastatavate ja töödeldavate andmete turvalisust.

(41)Et vältida elutähtsatele ja olulistele üksustele ebaproportsionaalse finants- ja halduskoormuse panemist, peaksid küberturvalisuse riskijuhtimisnõuded olema proportsionaalsed asjaomase võrgu- ja infosüsteemi puhul esineva riski taseme suhtes ning lähtuma meetmete tehnilisest tasemest.

(42)Elutähtsad ja olulised üksused peaksid tagama oma tegevuses kasutatavate võrgu- ja infosüsteemide turvalisuse. Nende puhul on eelkõige tegemist privaatsete võrgu- ja infosüsteemidega, mida haldavad kas üksuse enda IT-töötajad või mille turvalisusega seotud teenused ostetakse sisse. Käesoleva direktiivi kohaseid küberturvalisuse riskijuhtimis- ja teatamisnõudeid tuleks kohaldada asjaomaste elutähtsate ja oluliste üksuste suhtes olenemata sellest, kas nad hooldavad oma võrgu- ja infosüsteeme ise või tellivad hooldusteenuse väljast.

(43)Üksuse tarneahelast ja tarnijasuhetest tulenevate küberturvalisuse riskidega tegelemine on eriti oluline, kui võtta arvesse selliste intsidentide esinemise sagedust, mille puhul üksused on langenud küberrünnete ohvriks ning pahatahtlikud osalejad on suutnud kahjustada üksuse võrgu- ja infosüsteemide turvalisust, kasutades ära kolmandate isikute tooteid ja teenuseid mõjutavaid nõrku kohti. Seepärast peaksid üksused hindama ja arvesse võtma oma tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.

(44)Teenuseosutajate seas mängivad intsidentide tuvastamisel ja neile reageerimisel üksuste jaoks eriti olulist tugirolli turbetarnijad sellistes teenusevaldkondades nagu intsidentidele reageerimine, läbistustestimine, turvarevisjon ja konsultatsioonid. Mainitud turbetarnijad on aga olnud ka ise küberrünnete sihtmärgiks ja kuna nad on operaatorite tegevusse tihedalt lõimitud, kaasneb nendega suurem küberturvalisuse risk. Seega peaksid üksused olema turbetarnija valimisel iseäranis hoolikad.

(45)Üksused peaksid tähelepanu pöörama ka sellistele küberturvalisuse riskidele, mis tulenevad nende suhtlemisest ja suhetest teiste sidusrühmadega laiemas ökosüsteemis. Täpsemalt peaksid üksused võtma asjakohaseid meetmeid tagamaks, et nende koostöö akadeemiliste ja teadusasutustega toimub kooskõlas nende küberturvalisuse eeskirjadega ning et selles koostöös järgitakse turvalise juurdepääsu ja levitamisega seotud üldisi häid tavasid ja täpsemalt intellektuaalomandi kaitsega seotud tavasid. Võttes arvesse andmete olulisust ja väärtust üksuste tegevuse jaoks, peaksid üksused kolmandate isikute osutatavatele andmete teisendamise ja analüüsi teenustele tuginedes võtma kõik asjakohased küberturvalisuse meetmed.

(46)Et peamisi tarneahelariske põhjalikumalt käsitleda ja aidata käesoleva direktiivi kohaldamisalasse hõlmatud sektorites tegutsevatel üksustel tarneahela ja tarnijatega seotud küberturvalisuse riske nõuetekohaselt juhtida, peaks asjaomaseid riiklikke asutusi koondav koostöörühm tegema koostöös komisjoni ja ENISAga koordineeritud valdkonnapõhise tarneahela riskihindamise (nagu tehti juba 5G-võrkude kohta vastavalt soovitusele (EL) 2019/534 (5G-võrkude küberturvalisuse kohta 21 )), seades eesmärgiks määratleda iga sektori jaoks kriitilise tähtsusega IKT-teenused, -süsteemid või -tooted, asjaomased ohud ja nõrkused.

(47)Tarneahela riskide hindamisel tuleks asjaomase sektori omadusi silmas pidades võtta arvesse nii tehnilisi kui ka (kus asjakohane) mittetehnilisi tegureid, sealhulgas neid, mis on määratletud soovituses (EL) 2019/534, 5G-võrkude küberturvalisusega seotud ELi koordineeritud riskihindamist käsitlevas aruandes ja koostöörühma kokkulepitud ELi 5G-küberturvalisuse meetmepaketis. Et teha kindlaks tarneahelad, mille suhtes peaks kohaldama koordineeritud riskihindamist, tuleks arvesse võtta järgmisi kriteeriume: i) kui suurel määral elutähtsad ja olulised üksused kindlaid kriitilise tähtsusega IKT-teenuseid, -süsteeme või -tooteid kasutavad ning nendele tuginevad; ii) kindlate kriitilise tähtsusega IKT-teenuste, -süsteemide või -toodete asjakohasus kriitiliste või tundlike funktsioonide (sh isikuandmete töötlemine) täitmisel; iii) alternatiivsete IKT-teenuste, -süsteemide või -toodete kättesaadavus; iv) IKT-teenuste, -süsteemide või -toodete tarneahela kui terviku vastupidavusvõime häirivate sündmuste korral või v) kui tegemist on kujunemisjärgus IKT-teenuste, -süsteemide või -toodetega, siis nende potentsiaalne tulevane tähtsus üksuste tegevuse jaoks.

(48)Et ühtlustada üldkasutatavate elektroonilise side võrkude või üldkasutatavate elektroonilise side teenuste pakkujatele ja usaldusteenuse osutajatele pandud võrgu- ja infosüsteemide turvalisusega seotud õiguslikke kohustusi ning võimaldada kõnealustel üksustel ja nende vastavatel pädevatel asutustel käesoleva direktiiviga kehtestatud õigusraamistikust (sh riskide ja intsidentidega seotud tegevuste eest vastutav CSIRT, pädevate asutuste ja organite osalemine koostöörühma tegevuses ja CSIRTide võrgustik) kasu saada, tuleks need üksused hõlmata käesoleva direktiivi kohaldamisalasse. Seega tuleks Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 22 ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2018/1972 23 sätted, mis on seotud turva- ja teatamisnõude kehtestamisega kõnealust liiki üksuste suhtes, kehtetuks tunnistada. Teatamiskohustust käsitlevad normid ei tohiks piirata määruse (EL) 2016/679 ning Euroopa Parlamendi ja nõukogu direktiivi 2002/58/EÜ 24 kohaldamist.

(49)Et vältida tarbetute häirete põhjustamist, peaksid käesoleva direktiivi kohased järelevalve ja täitmise eest vastutavad pädevad asutused (kus asjakohane) jätkuvalt järgima olemasolevaid riiklikke suuniseid ja siseriiklikke õigusakte, mis on vastu võetud direktiivi (EL) 2018/1972 artikli 40 lõikes 1 sätestatud turvameetmetega seotud normide ja samuti kõnealuse direktiivi artikli 40 lõikes 2 sätestatud intsidendi olulisusega seotud parameetreid käsitlevate nõuete ülevõtmiseks.

(50)Võttes arvesse, et numbrivaba isikutevahelise side teenuste olulisus kasvab, tuleb tagada, et ka nende teenuste kohta kehtiksid asjakohased, nende eripära ja majanduslikku tähtsust arvestavad turvalisusnõuded. Selliste teenuste osutajad peaksid seega samuti tagama riskitasemele vastava võrgu- ja infosüsteemide turvalisuse taseme. Arvestades et numbrivaba isikutevahelise side teenuste pakkujatel puudub tavaliselt tegelik kontroll võrkudes signaalide edastamise üle, võib selliste teenuste riske pidada mõnes mõttes väiksemaks kui tavapäraste elektroonilise side teenuste puhul esinevaid riske. Sama kehtib ka selliste isikutevahelise side teenuste kohta, mille puhul kasutatakse numbreid ja millel puudub tegelikult kontroll signaaliedastuse üle.

(51)Siseturg sõltub interneti toimimisest rohkem kui kunagi varem. Peaaegu kõigi elutähtsate ja oluliste üksuste teenused sõltuvad interneti kaudu pakutavatest teenustest. Et tagada elutähtsate ja oluliste üksuste pakutavate teenuste sujuv osutamine, on oluline, et üldkasutatavate elektroonilise side võrkude, näiteks interneti tuumikvõrkude või merealuste sidekaablite puhul rakendataks asjakohaseid küberturvalisuse meetmeid ja et nendega seotud intsidentidest teatataks.

(52)Kus asjakohane, peaksid üksused teavitama oma teenuse kasutajaid kindlatest olulistest ohtudest ning meetmetest, mida viimased saavad võtta, et oma riske vähendada. Nõue teavitada kasutajaid sellistest ohtudest ei vabasta üksusi kohustusest võtta oma kulul viivitamata sobivaid meetmeid, et võimalikud turvaohud kõrvaldada ja taastada teenuse turvalisuse tavapärane tase. Selline turvaohte käsitlev teave tuleks kasutajatele esitada tasuta.

(53)Täpsemalt peaksid üldkasutatavate elektroonilise side võrkude pakkujad või üldkasutatavate elektroonilise side teenuste osutajad teavitama teenuse saajaid konkreetsetest ja tõsistest küberohtudest ning meetmetest, mida viimased saavad oma side turvalisuse kaitseks võtta, kasutades näiteks teatavat liiki tarkvara või krüpteerimistehnoloogiaid.

(54)Artikli 18 kohaldamiseks tuleks elektroonilise side võrkude ja teenuste turvalisuse tagamiseks edendada krüpteerimist ja eelkõige otspunktkrüpteerimist ning teha see vajaduse korral selliste teenuste ja võrkude pakkujatele kohustuslikuks kooskõlas turbe ja privaatsuse vaikesätteid ja sisseprojekteerimist käsitlevate põhimõtetega. Otspunktkrüpteerimise kasutamine tuleks ühildada liikmesriikide volitustega tagada nende oluliste julgeolekuhuvide ja avaliku julgeoleku kaitse ning võimaldada kuritegude uurimist, avastamist ja nende eest vastutusele võtmist kooskõlas liidu õigusega. Lahendused, mis võimaldavad otspunktkrüpteeritud sidekanali kaudu edastatavale teabele seaduslikku juurdepääsu, peaksid võimaldama säilitada krüpteerimise tõhususe side privaatsuse ja turvalisuse kaitsmisel, tagades samas tõhusa reageerimise kuritegevusele.

(55)Käesolevas direktiivis sätestatakse intsidentidest teatamise kaheetapiline lähenemisviis, et saavutada õige tasakaal kahe ülesande vahel: ühelt poolt kiire teatamine, mis aitab vähendada intsidentide võimalikku levikut ja võimaldab üksustel abi otsida, ning teiselt poolt põhjalik aruandlus, mis võimaldab saada üksikutest intsidentidest väärtuslikke õppetunde ja suurendada aja jooksul üksikute ettevõtete ja tervete sektorite vastupanuvõimet küberohtude suhtes. Üksustelt, kes saavad intsidendist teadlikuks, tuleks nõuda esialgse teatise esitamist 24 tunni jooksul ja lõpparuande esitamist hiljemalt ühe kuu pärast. Esialgne teade peaks sisaldama üksnes teavet, mis on pädevate asutuste intsidendist teavitamiseks hädavajalik ja mis võimaldab üksusel vajaduse korral abi hankida. Sellises teates tuleks (kui see on asjakohane) märkida, kas intsident on eeldatavasti põhjustatud ebaseaduslikust või pahatahtlikust tegevusest. Liikmesriigid peaksid tagama, et kõnealuse esialgse teate esitamise nõudega seoses ei võetaks teavitava üksuse ressursse intsidentide käsitlemisega seotud tegevuste arvelt, mis peaksid olema prioriteetsed. Et vältida olukorda, kus intsidentidest teatamise kohustuse tõttu suunatakse vahendid ümber intsidentide lahendamise arvelt või kannatab mainitud tegevus muul moel, peaksid liikmesriigid samuti ette nägema, et nõuetekohaselt põhjendatud juhtudel ja kokkuleppel pädevate asutuste või CSIRTiga võib asjaomane üksus esialgse teatamise 24-tunnisest tähtajast ja lõpparuande esitamise ühekuulisest tähtajast kõrvale kalduda.

(56)Elutähtsad ja olulised üksused on sageli olukorras, kus kindlast intsidendist tuleb eri õigusaktides sätestatud teatamiskohustuste tõttu teavitada eri asutusi. Sellised olukorrad tekitavad lisakoormust ning võivad põhjustada ebakindlust kõnealuste teadete vormi ja menetluskorraga seoses. Seda silmas pidades ning selleks, et turvaintsidentidest teatamist lihtsustada, peaksid liikmesriigid looma ühtse kontaktpunkti kõigi käesoleva direktiivi ja muude liidu õigusaktide, näiteks määruse (EL) 2016/679 ja direktiivi 2002/58/EÜ alusel nõutavate teadete edastamise tarbeks. ENISA peaks koostöös koostöörühmaga töötama välja ühised teatevormid ja vastavad suuniseid, mis lihtsustaksid ja ühtlustaksid liidu õigusega nõutava teabe esitamist ning vähendaksid ettevõtjate koormust.

(57)Liikmesriigid peaksid liidu õigusega kooskõlas olevast kriminaalmenetluskorrast lähtuvalt julgustama elutähtsaid ja olulisi üksusi, kes kahtlustavad, et intsident on seotud liidu või liikmesriigi õiguses määratletud raske kuriteoga, teatama nendest arvatavalt raske kuritegevusega seotud intsidentidest asjakohastele õiguskaitseasutustele. Kus asjakohane, võiksid EC3 ja ENISA hõlbustada eri liikmesriikide pädevate asutuste ja õiguskaitseasutuste vahelise koostöö koordineerimist, ilma et see mõjutaks Europoli suhtes kohaldatavaid isikuandmete kaitse eeskirju.

(58)Intsidentidega kaasneb sageli isikuandmete kuritarvitamine. Sellega seoses peaksid pädevad asutused tegema koostööd ning vahetama teavet kõigis asjakohastes küsimustes andmekaitseasutuste ja järelevalveasutustega vastavalt direktiivile 2002/58/EÜ.

(59)Domeeninimede ja registreerimisandmete (nn WHOIS-andmed) täpsete ja täielike andmebaaside pidamine ning kõnealustele andmetele seadusliku juurdepääsu võimaldamine on oluline, et tagada domeeninimede süsteemi turvalisus, stabiilsus ja vastupanuvõime, mis omakorda aitab saavutada küberturvalisuse ühtlaselt kõrget taset liidus. Kui töötlemine hõlmab isikuandmete töötlemist, tuleb seda teha kooskõlas liidu andmekaitsealaste õigusaktidega.

(60)Nende andmete kättesaadavus ja nendele õigeaegse juurdepääsu võimaldamine avaliku sektori asutustele, sealhulgas liidu või liikmesriigi õiguse alusel tegutsevatele pädevatele asutustele kuritegude ennetamiseks, uurimiseks või nende eest vastutusele võtmiseks, CERTidele, CSIRTidele ning elektroonilise side võrkude ja teenuste pakkujatele nende klientide andmetega seoses ning nende klientide nimel tegutsevatele küberturvalisuse tehnoloogiate ja teenuste pakkujatele on oluline domeeninimede süsteemi kuritarvitamise ennetamiseks ja selle vastu võitlemiseks, eelkõige küberturvalisuse intsidentide ennetamiseks, tuvastamiseks ja lahendamiseks. Selline juurdepääs tuleks võimaldada kooskõlas liidu andmekaitseõigusega, niivõrd kui see juurdepääs puudutab isikuandmeid.

(61)Et tagada domeeninimede registreerimise täpsete ja täielike andmete kättesaadavus, peaksid tippdomeenide registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused (nn registripidajad) koguma domeeninimede registreerimise andmeid ning tagama nende tervikluse ja kättesaadavuse. Eelkõige peaksid tippdomeenide registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused kehtestama põhimõtted ja menetluskorra täpsete ja täielike registreerimisandmete kogumiseks ja säilitamiseks ning samuti ebatäpsete registreerimisandmete vältimiseks ja parandamiseks kooskõlas liidu andmekaitse-eeskirjadega.

(62)Tippdomeenide registrid ja neile domeeninimede registreerimise teenuseid osutavad üksused peaksid tegema üldsusele kättesaadavaks liidu andmekaitse-eeskirjade kohaldamisalast välja jäävad domeeninimede registreerimise andmed, näiteks juriidiliste isikutega seotud andmed 25 . Tippdomeenide registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused peaksid kooskõlas liidu andmekaitseõigusega võimaldama õiguspärast juurdepääsu õigustatud taotlejatele ka füüsiliste isikutega seotud domeeninimede registreerimise andmetele. Liikmesriigid peaksid tagama, et tippdomeenide registrid ja neile domeeninimede registreerimise teenuseid osutavad üksused vastaksid õigustatud juurdepääsu taotleja esitatud domeeninimede registreerimise andmete taotlusele põhjendamatu viivituseta. Tippdomeenide registrid ja domeeninimede registreerimise teenuseid osutavad üksused peaksid kehtestama põhimõtted ja menetluskorra registreerimisandmete avaldamiseks ja avalikustamiseks ning kinnitama seejuures teenustaseme kokkulepped õigustatud juurdepääsu taotlejate juurdepääsutaotluste käsitlemiseks. Juurdepääsumenetlus võib hõlmata ka liidese, portaali või muu tehnilise vahendi kasutamist, mis aitab tagada tõhusa süsteemi registreerimisandmete taotlemiseks ja nendele juurdepääsu võimaldamiseks. Et toetada siseturul ühtsete tavade juurutamist, võib komisjon võtta vastu selliseid menetlusi käsitlevad suunised, ilma et sellega piirataks Euroopa Andmekaitsenõukogu pädevust.

(63)Kõik käesoleva direktiivi kohased elutähtsad ja olulised üksused peaksid kuuluma selle liikmesriigi jurisdiktsiooni alla, kus nad oma teenuseid osutavad. Kui üksus osutab teenuseid rohkem kui ühes liikmesriigis, peaks ta kuuluma eraldi ja samal ajal iga kõnealuse liikmesriigi jurisdiktsiooni alla. Nende liikmesriikide pädevad asutused peaksid tegema koostööd, üksteist vastastikku abistama ja vajaduse korral võtma ühiseid järelevalvemeetmeid.

(64)Võttes arvesse domeeninimede süsteemide, tippdomeeninimede registrite, sisulevivõrkude, pilvandmetöötluse, andmekeskuste ja digiteenuste osutajate teenuste ja tegevuse piiriülest iseloomu, peaks asjaomased üksused kuuluma vaid ühe liikmesriigi jurisdiktsiooni alla. Üksus peaks kuuluma selle liikmesriigi jurisdiktsiooni alla, kus on tema peamine tegevuskoht liidus. Käesoleva direktiivi kohaldamisel eeldatakse tegevuskohakriteeriumi puhul tulemuslikku tegevust püsiva korra alusel. Sellise korra õiguslik vorm (filiaal või juriidilisest isikust tütarettevõtja) ei ole antud juhul määrav tegur. Selle kriteeriumi täidetus ei tohiks sõltuda võrgu- ja infosüsteemide füüsilisest paiknemisest teatavas kohas; ainuüksi selliste süsteemide olemasolu ja kasutamine peamist tegevuskohta ei näita ning seega pole need peamise tegevuskoha kindlakstegemisel otsustavad kriteeriumid. Peamine tegevuskoht peaks olema see liidu asukoht, kus tehakse otsuseid küberturvalisuse riskijuhtimise meetmete kohta. Tavaliselt on see liidu asukoht, kus asub ettevõtja peakontor. Kui kõnealuseid otsuseid ei tehta liidus, tuleks peamise tegevuskohana käsitada seda liikmesriiki, mille tegevuskohas on üksusel liidus kõige rohkem töötajaid. Kui teenuseid osutab kontsern, tuleks kontserni peamiseks tegevuskohaks lugeda kontrolliva ettevõtja peamine tegevuskoht.

(65)Kui liidus osutab teenuseid domeeninimede süsteemi teenuse, tippdomeeninimede registri, sisulevivõrkude, pilvandmetöötlusteenuse, andmekeskusteenuse või digiteenuse pakkuja, kelle asukoht pole liidus, peaks ta määrama endale esindaja. Otsustamaks, kas kõnealune üksus pakub teenuseid liidu piires, tuleks kindlaks teha, kas on ilmne, et ta kavatseb osutada teenuseid ühes või mitmes liikmesriigis asuvatele isikutele. Viidatud kavatsuse kinnitamiseks ei piisa vaid faktist, et liidus pääseb juurde digiteenuse osutaja või vahendaja veebisaidile, e-posti aadressile või muudele kontaktandmetele, ega faktist, et kasutatakse üksuse asukohariigiks olevas kolmandas riigis üldiselt kasutatavat keelt. Samas võivad asjaolud, nagu ühes või mitmes liikmesriigis üldiselt kasutatava keele või vääringu kasutamine, millega kaasneb võimalus tellida teenuseid selles teises keeles, või liidus paiknevate klientide või kasutajate mainimine, viidata sellele, et üksus kavatseb pakkuda teenuseid liidus. Esindaja peaks tegutsema üksuse nimel ning pädevatel asutustel või CSIRTil peaks olema võimalik esindajaga ühendust võtta. Üksus peaks kirjaliku volitusega sõnaselgelt määrama esindaja tema nimel tegutsema seoses käesoleva direktiivi kohaste kohustustega, sealhulgas intsidentidest teatamise kohustusega.

(66)Kui käesoleva direktiivi sätete alusel vahetatakse või edastatakse või jagatakse muul moel teavet, mida käsitatakse riikliku või liidu õiguse alusel salastatud teabena, tuleks järgida asjaomaseid salastatud teabe käitlemise erieeskirju.

(67)Kuna küberohud on muutumas komplekssemaks ja keerukamaks, sõltuvad head tuvastus- ja ennetusmeetmed suuresti ohte ja nõrkusi puudutava teabe korrapärasest jagamisest üksuste vahel. Teabe jagamine aitab suurendada teadlikkust küberohtudest ja see omakorda suurendab üksuste suutlikkust hoida ära ohtude muutumist tegelikeks intsidentideks ning võimaldab üksustel intsidentide mõju paremini piirata ja neil tõhusamini taastuda. Liidu tasandi suuniste puudumise tõttu on sellist teadmuse jagamist pärssinud mitu tegurit, eelkõige ebakindlus konkurentsi ja vastutust käsitlevate normide järgimisega seoses.

(68)Üksuseid tuleks julgustada kasutama kollektiivselt individuaalseid teadmisi ja praktilisi kogemusi strateegilisel, taktikalisel ja operatiivsel tasandil, et suurendada suutlikkust küberohte õigesti hinnata ja jälgida, end nende eest kaitsta ja neile reageerida. Seega on vaja võimaldada luua liidu tasandil vabatahtliku teabevahetuse mehhanismid. Selleks peaksid liikmesriigid aktiivselt toetama ja julgustama ka käesoleva direktiivi kohaldamisalast välja jäävaid asjaomaseid üksusi selliseid teabejagamise mehhanisme kasutama. Neid mehhanisme tuleks rakendada täielikus kooskõlas liidu konkurentsi- ja andmekaitsenormidega.

(69)Isikuandmete töötlemist avaliku sektori asutuste, CERTide, CSIRTide, elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt sellisel määral, mis on rangelt vajalik ja proportsionaalne võrgu- ja infoturbe tagamiseks, tuleks käsitada töötlemisena asjaomase vastutava töötleja õigustatud huvi alusel, nagu on osutatud määruses (EL) 2016/679. See peaks hõlmama meetmeid, mis on seotud intsidentide ennetamise, avastamise, analüüsimise ja lahendamisega, meetmeid, millega suurendatakse teadlikkust kindlatest küberohtudest, võimaldatakse teabevahetust nõrkuste vähendamise ja koordineeritud avalikustamise kontekstis, samuti vabatahtlikku teabevahetust seoses kõnealuste intsidentide, küberohtude ja nõrkuste, rikkeindikaatorite, taktikate, meetodite ja menetluskorra, küberturvalisuse hoiatussüsteemide ja konfiguratsioonivahenditega. Sellised meetmed võivad nõuda järgmist liiki isikuandmete töötlemist: IP-aadressid, URLid, domeeninimed ja meiliaadressid.

(70)Et tugevdada järelevalvevolitusi ja -meetmeid, mis aitavad tagada nõuete tõhusat täitmist, tuleks käesoleva direktiiviga ette näha minimaalsed järelevalvemeetmed ja -vahendid, mille abil teevad pädevad asutused elutähtsate ja oluliste üksuste üle järelevalvet. Lisaks tuleks käesoleva direktiiviga kehtestada eraldi järelevalvekord elutähtsate ja oluliste üksuste jaoks, et tagada kohustuste õiglane tasakaal nii üksuste kui ka pädevate asutuste suhtes. Seega tuleks elutähtsate üksuste suhtes kohaldada täiemahulist järelevalvekorda, mis hõlmab nii eelkontrolli (ex-ante-kontroll) kui ka järelkontrolli (ex-post-kontroll), ja oluliste üksuste suhtes lihtsustatud järelevalvekorda, mis hõlmab üksnes järelkontrolli. Viimasel juhul ei peaks üksused süstemaatiliselt dokumenteerima küberturvalisuse alase riskijuhtimise nõuete täitmist. Pädevad asutused peaksid rakendama järelevalve tegemisel tagantjärele reageerimisel põhinevat lähenemisviisi ja seega ei peaks neil olema üldist kohustust nende üksuste üle järelevalvet teha.

(71)Et tagada jõustamise tõhusus, tuleks koostada käesolevas direktiivis sätestatud küberturvalisuse riskijuhtimis- ja aruandluskohustuste rikkumise eest kohaldatavate halduskaristuste miinimumloetelu ning kehtestada selliste karistuste jaoks kogu liidus selge ja ühtne raamistik. Nõuetekohast tähelepanu tuleks pöörata rikkumise laadile, raskusastmele ja kestusele, tegelikult põhjustatud kahjule või võimalikule kahjule (mis oleks võinud kaasneda), rikkumise tahtlikkuse või hooletuse aspektile, kahju vältimiseks või leevendamiseks võetud meetmetele, vastutuse tasemele või varasematele asjaomastele rikkumistele, pädeva asutusega tehtava koostöö tasemele ning muule raskendavale või leevendavale tegurile. Karistuste, sealhulgas trahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja Euroopa Liidu põhiõiguste hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetluskorda.

(72)Et tagada käesolevas direktiivis sätestatud kohustuste tõhus täitmine, peaks igal pädeval asutusel olema õigus määrata haldustrahve või taotleda nende määramist.

(73)Kui haldustrahvid määratakse ettevõtjale, tuleks ettevõtja määratlemisel lähtuda ELi toimimise lepingu artiklites 101 ja 102 toodud määratlusest. Kui trahvid määratakse isikule, kes ei ole ettevõtja, peaks järelevalveasutus sobiva trahvisumma määramisel arvesse võtma üldist sissetulekutaset selles liikmesriigis ja isiku majanduslikku olukorda. See, kas ja mil määral tuleks kohaldada trahve avaliku sektori asutustele, peaks olema liikmesriikide otsustada. Haldustrahvi määramine ei mõjuta pädevate asutuste muude volituste rakendamist ega muude karistuste kohaldamist, mis on sätestatud käesolevat direktiivi ülevõtvates siseriiklikes õigusnormides.

(74)Liikmesriikidel peaks olema võimalik kehtestada kriminaalkaristuste normid, mida kohaldatakse käesolevat direktiivi ülevõtvate siseriiklike õigusnormide rikkumise korral. Kriminaalkaristuste määramine selliste liikmesriigi normide rikkumise eest ja seotud halduskaristuste määramine ei tohiks aga põhjustada põhimõtte ne bis in idem (Euroopa Kohtu tõlgenduses) rikkumist.

(75)Kui käesoleva määrusega ei ole halduskaristusi ühtlustatud või vajaduse korral muudel juhtudel, näiteks käesolevas direktiivis sätestatud kohustuste raske rikkumise korral, peaksid liikmesriigid rakendama süsteemi, mis näeb ette tõhusad, proportsionaalsed ja heidutavad karistused. Selliste karistuste laad (kriminaal- või halduskaristus) tuleks määrata liikmesriigi õigusega.

(76)Et täiendavalt suurendada käesoleva direktiiviga kehtestatud kohustuste rikkumise korral kohaldatavate karistuste tõhusust ja heidutavat mõju, peaks pädevatel asutustel olema õigus kohaldada karistusi, millega peatatakse elutähtsa üksuse osutatavate mõnede või kõigi teenuste sertifikaat või luba ning keelatakse füüsilisel isikul ajutiselt juhtimisülesannete täitmine. Selliseid karistusi tuleks kohaldada alati proportsionaalselt rikkumise raskusastmega ning iga juhtumi konkreetseid asjaolusid (sh seda, kas rikkumine oli tahtlik või tulenes ettevaatamatusest, ning seda, milliseid meetmeid kahju vältimiseks või vähendamiseks võeti) silmas pidades, võttes arvesse karistuste raskusastet ja mõju üksuste tegevusele ning seeläbi ka nende tarbijatele. Selliseid karistusi tuleks kohaldada üksnes ultima ratio põhimõttel, st alles pärast seda, kui muud käesolevas direktiivis sätestatud asjakohased täitemeetmed on ammendatud, ja ainult seni, kuni üksused, kelle suhtes neid kohaldatakse, võtavad vajalikud meetmed puuduste kõrvaldamiseks või täidavad pädeva asutuse need nõuded, millega seoses karistusi kohaldati. Selliste karistuste määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja Euroopa Liidu põhiõiguste hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetluskorda.

(77)Käesoleva direktiiviga tuleks kehtestada kooskõlas määrusega (EL) 2016/679 pädevate asutuste ja järelevalveasutuste vahelise koostöö eeskirjad isikuandmetega seotud rikkumiste käsitlemiseks.

(78)Käesoleva direktiivi eesmärk peaks olema tagada kõrgel tasemel vastutus küberturvalisuse riskijuhtimismeetmete rakendamise ja teatamiskohustuse täitmise eest organisatsioonide tasandil. Seega peaksid käesoleva direktiivi kohaldamisalasse kuuluvate üksuste juhtorganid küberturvalisuse riskijuhtimismeetmed kinnitama ja tegema järelevalvet nende rakendamise üle.

(79)Kehtestada tuleks vastastikuse hindamise mehhanism, mis võimaldaks liikmesriikide määratud ekspertidel hinnata küberturvalisuse alaste eeskirjade rakendamist, sealhulgas liikmesriikide suutlikkuse ja saadaolevate vahendite taset.

(80)Et võimaldada võtta arvesse uusi küberohte, tehnoloogia arengut või sektori eripärasid, tuleks komisjonile delegeerida õigus võtta kooskõlas ELi toimimise lepingu artikliga 290 vastu õigusakte, mis käsitlevad käesoleva direktiiviga ettenähtavate riskijuhtimismeetmetega seotud aspekte. Samuti peaks komisjonil olema õigus võtta vastu delegeeritud õigusakte, millega määratakse, mis liiki elutähtsatelt üksustelt nõutakse sertifikaadi omandamist ja milliseid Euroopa küberturvalisuse sertifitseerimise kavu seejuures rakendatakse. Eriti oluline on, et komisjon korraldaks oma ettevalmistava töö käigus asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid peetaks kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes 26 sätestatud põhimõtetega. Et tagada võrdsel tasemel osalemine delegeeritud õigusaktide ettevalmistamises, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse delegeeritud õigusaktide ettevalmistamist.

(81)Et tagada ühetaolised tingimused selliste asjaomaste sätete rakendamiseks, mis käsitlevad koostöörühma toimimiseks vajalikku menetluskorda, riskijuhtimismeetmete tehnilisi aspekte või intsidentidest teatamise andmeid, vormi ja korda, tuleks komisjonile anda rakendamisvolitused. Neid volitusi tuleks kasutada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 27 .

(82)Komisjon peaks huvitatud isikutega konsulteerides käesoleva direktiivi sätted regulaarselt läbi vaatama, eelkõige selleks, et teha kindlaks, kas neid on vaja muuta seoses ühiskondlike, poliitiliste, tehnoloogiliste ja turutingimuste muutumisega.

(83)Kuna käesoleva direktiivi eesmärki – tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus – ei suuda liikmesriigid eraldi tegutsedes täielikult saavutada ning kuna seda on võimalik meetme toimet arvestades paremini saavutada liidu tasandil tegutsedes, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Vastavalt kõnealuses artiklis sätestatud proportsionaalsuse põhimõttele ei lähe käesolev direktiiv kaugemale, kui on nimetatud eesmärgi saavutamiseks vajalik.

(84)Käesolevas direktiivis austatakse Euroopa Liidu põhiõiguste hartas tunnustatud põhiõigusi ja põhimõtteid, eelkõige õigust eraelu ja edastatavate sõnumite puutumatusele, isikuandmete kaitsele, ettevõtlusvabadusele, omandile, tõhusale õiguskaitsevahendile kohtus ja ärakuulamisele. Käesolevat direktiivi tuleks rakendada kooskõlas nimetatud õiguste ja põhimõtetega,

ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:

I PEATÜKK

Üldsätted

Artikkel 1

Reguleerimisese

1.Käesolevas direktiivis sätestatakse meetmed, mille eesmärk on tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus.

2.Selle eesmärgi saavutamiseks tehakse käesoleva direktiiviga järgmist:

(a)pannakse liikmesriikidele kohustus võtta vastu riiklikud küberturvalisuse strateegiad, määrata pädevad riiklikud asutused, ühtsed kontaktpunktid ja küberturbe intsidentide lahendamise üksused (CSIRTid);

b)pannakse I lisas osutatud elutähtsatele üksustele ja II lisas osutatud olulistele üksustele küberturvalisuse alased riskijuhtimis- ja teatamiskohustused;

(c)kehtestatakse küberturvalisuse alase teabevahetusega seotud kohustused.

Artikkel 2

Kohaldamisala

1.Käesolevat direktiivi kohaldatakse sellist liiki avaliku ja erasektori üksuste suhtes, mis on esitatud I lisa elutähtsate üksuste loetelus ja II lisa oluliste üksuste loetelus. Käesolevat direktiivi ei kohaldata üksuste suhtes, mis kvalifitseeruvad mikro- ja väikeettevõteteks komisjoni soovituse 2003/361/EÜ tähenduses 28 .

2. Käesolevat direktiivi kohaldatakse siiski ka I ja II lisas osutatud üksuste suhtes olenemata nende suurusest, kui

(a)teenuseid osutab mõni järgmistest üksustest:

i)I lisa punktis 8 osutatud üldkasutatavate elektroonilise side võrkude pakkuja või üldkasutatavate elektroonilise side teenuste pakkuja;

ii)I lisa punktis 8 osutatud usaldusteenuse osutaja;

iii)I lisa punktis 8 osutatud tippdomeeninimede register ja domeeninimede süsteemi (DNS) teenuse osutaja;

b)avaliku halduse üksus artikli 4 punktis 23 sätestatud tähenduses;

c)üksus, kes on liikmesriigis teatava teenuse ainuosutaja;

d)üksus, kelle osutatava teenuse võimalik katkemine avaldaks mõju avalikule ohutusele, avalikule julgeolekule või rahvatervisele;

e)üksus, kelle osutatava teenuse võimalik katkemine võib tekitada süsteemseid riske, eriti kui see puudutab sektoreid, kus sellisel katkemisel võib olla piiriülene mõju;

f)üksus, kes on kriitilise tähtsusega, kuna ta on väga vajalik piirkondlikul või riiklikul tasandil konkreetse sektori või teenuseliigi või liikmesriigi muude üksteisest sõltuvate sektorite jaoks;

g)üksus on määratletud elutähtsa üksusena Euroopa Parlamendi ja nõukogu direktiivis (EL) XXXX/XXXX 29 [kriitilise tähtsusega üksuste vastupanuvõime direktiiv] või kriitilise tähtsusega üksusega samaväärse üksusena vastavalt kõnealuse direktiivi artiklile 7.

Liikmesriigid koostavad punktide b–f alusel kindlaks tehtud üksuste loetelu ja esitavad selle komisjonile hiljemalt [6 kuud pärast ülevõtmistähtaja lõppu]. Liikmesriigid vaatavad loetelu läbi ja teevad seda edaspidi korrapäraselt vähemalt iga kahe aasta järel ning vajaduse korral ajakohastavad loetelu.

3. Käesoleva direktiiviga ei piirata liikmesriikide pädevust tagada avalik kord, riigikaitse ja riiklik julgeolek kooskõlas liidu õigusega.

4. Käesolev direktiiv ei piira nõukogu direktiivi 2008/114/EÜ 30 ega Euroopa Parlamendi ja nõukogu direktiivide 2011/93/EL 31 ja 2013/40/EL 32 kohaldamist.

5. Ilma et see piiraks ELi toimimise lepingu artikli 346 kohaldamist, tuleks teavet, mis on liidu ja siseriiklike õigusnormide, näiteks ärisaladust käsitlevate õigusnormide kohaselt konfidentsiaalne, vahetada komisjoni ja teiste asjakohaste asutustega ainult siis, kui selline teabevahetus on vajalik käesoleva direktiivi kohaldamiseks. Vahetada võib ainult teavet, mis on teabevahetuse eesmärki arvestades oluline ja proportsionaalne. Teavet vahetades peab tagama asjaomase teabe konfidentsiaalsuse ning elutähtsate ja oluliste üksuste turvalisuse ja ärihuvide kaitse.

6. Kui valdkondlike liidu õigusaktide sätetega nõutakse elutähtsatelt või olulistelt üksustelt küberturvalisuse alaste riskijuhtimismeetmete võtmist või intsidentidest või olulistest küberohtudest teatamist ning kui need nõuded on vähemalt samaväärsed käesolevas direktiivis sätestatud vastavate kohustustega, ei kuulu käesoleva direktiivi asjakohased sätted (sealhulgas VI peatükis sätestatud järelevalve- ja täitmise tagamise sätted) kohaldamisele.

Artikkel 3
Minimaalne ühtlustamine

Ilma et see piiraks liikmesriikide muid liidu õigusest tulenevaid kohustusi, võivad liikmesriigid kooskõlas käesoleva direktiiviga võtta vastu või säilitada sätted, millega tagatakse kõrgem küberturvalisuse tase.

Artikkel 4

Mõisted

Käesolevas direktiivis kasutatakse järgmisi mõisteid:

1)„võrgu- ja infosüsteem“ –

a)elektroonilise side võrk direktiivi (EÜ) 2018/1972 artikli 2 punktis 1 sätestatud tähenduses;

b)seade või omavahel ühendatud või seotud seadmete rühm, millest vähemalt ühes toimub mõne programmi kohaselt digiandmete automaatne töötlemine;

c)digiandmed, mida salvestatakse, töödeldakse, saadakse päringutega või edastatakse punktidega a ja b hõlmatud komponente kasutades nende töö, kasutamise, kaitsmise või hooldamise jaoks;

2)„võrgu- ja infosüsteemide turvalisus“ – võrgu- ja infosüsteemi võime panna teatava kindlusega vastu mis tahes tegevusele, mis seab ohtu salvestatavate, edastatavate või töödeldavate andmete või nendega seotud, võrgu- ja infosüsteemi kaudu pakutavate või juurdepääsetavate teenuste kättesaadavuse, autentsuse, tervikluse ja konfidentsiaalsuse;

3)„küberturvalisus“ – küberturvalisus Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 33 artikli 2 punktis 1 sätestatud tähenduses;

4)„riiklik küberturvalisuse strateegia“ – liikmesriigi ühtne raamistik, mis näeb ette võrgu- ja infosüsteemide turvalisuse tagamise strateegilised eesmärgid ja prioriteedid kõnealuses liikmesriigis;

5)„intsident“ – mis tahes sündmus, mis ohustab või kahjustab salvestatavate, edastatavate või töödeldavate andmete või nendega seotud, võrgu- ja infosüsteemi kaudu pakutavate või juurdepääsetavate teenuste kättesaadavust, autentsust, terviklust ja konfidentsiaalsust;

6)„intsidendi käsitlemine“ – kõik toimingud ja menetlused, mis toetavad intsidendi tuvastamist, analüüsimist, ohjeldamist ja lahendamist;

7)„küberoht“ – küberoht määruse (EL) 2019/881 artikli 2 punktis 8 sätestatud tähenduses;

8)„nõrkus“ – vara, süsteemi, protsessi või kontrolli nõrkus, tundlikkus või viga, mida küberohu tekitaja võib ära kasutada;

9)„esindaja“ – liidus asuv füüsiline või juriidiline isik, kes on sõnaselgelt määratud tegutsema väljaspool liitu asuva i) I lisa punktis 8 osutatud domeeninimede süsteemi teenuse osutaja (DNS), tippdomeeninimede (TLD) registri, pilvandmetöötlusteenuse osutaja, andmekeskusteenuse osutaja või sisulevivõrkude pakkuja või ii) II lisa punktis 6 osutatud üksuse nimel ja kelle poole võib liikmesriigi pädev asutus või CSIRT pöörduda seoses kõnealuse üksuse käesolevast direktiivist tulenevate kohustustega;

10)„standard“ – standard Euroopa Parlamendi ja nõukogu määruse (EÜ) 1025/2012 34 artikli 2 punktis 1 sätestatud tähenduses;

11)„tehniline spetsifikatsioon“ – tehniline spetsifikatsioon määruse (EL) nr 1025/2012 artikli 2 punktis 4 sätestatud tähenduses;

12)„interneti vahetuspunkt (IXP)“ – võrguvahend, mis võimaldab rohkem kui kahe sõltumatu võrgu (autonoomse süsteemi) omavahelist ühendamist, eelkõige selleks, et hõlbustada internetiliikluse vahetamist; IXP võimaldab üksnes autonoomsete süsteemide omavahelist ühendamist; IXP ei nõua ühegi kahe osaleva autonoomse süsteemi vahel kulgeva internetiliikluse kulgemist mõne kolmanda autonoomse süsteemi kaudu, ei muuda sellist liiklust ega sekku sellesse mingil muul viisil;

13)„domeeninimede süsteem“ – hierarhiline ja hajus nimesüsteem, mis võimaldab lõppkasutajatel jõuda internetis teenuste ja ressurssideni;

14)„domeeninimede süsteemi teenuse osutaja“ – üksus, kes osutab interneti lõppkasutajatele ja teistele domeeninimede süsteemi teenuse osutajatele domeeninime rekursiivse või autoriteetse lahendamise teenust;

15)„tippdomeeninimede register“ – üksus, kellele on delegeeritud kindel tippdomeen ja kes vastutab selle tippdomeeni haldamise eest, sealhulgas tippdomeeni all domeeninimede registreerimise eest ja tippdomeeni tehnilise toimimise eest, sealhulgas nimeserverite käitamise, andmebaaside hooldamise ning nimeserverite vahel tippdomeeni tsoonifailide jaotamise eest;

16)„digiteenus“ – teenus Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 35 artikli 1 lõike 1 punktis b sätestatud tähenduses;

17)„internetipõhine kauplemiskoht” – digiteenus Euroopa Parlamendi ja nõukogu direktiivi 2005/29/EÜ 36 artikli 2 punktis n sätestatud tähenduses;

18)„internetipõhine otsingumootor“ – digiteenus Euroopa Parlamendi ja nõukogu direktiivi (EL) 2019/1150 37 artikli 2 punktis 5 sätestatud tähenduses;

19)„pilvandmetöötlusteenus“ – digiteenus, mis võimaldab jagatavate ja hajusate andmetöötlusressursside skaleeritava ja paindliku kogumi nõudepõhist haldamist ning ulatuslikku kaugpääsu sellele kogumile;

20)„andmekeskusteenus“ – teenus, mis hõlmab struktuure või struktuuride rühmi, mis on ette nähtud andmete talletamiseks, töötlemiseks ja edastamiseks kasutatavate infotehnoloogia- ja võrguseadmete keskseks majutamiseks, omavahel sidumiseks ja käitamiseks, sh kõiki energiajaotuse ja keskkonnakontrolliga seotud vahendeid ja taristuid;

21)„sisulevivõrk“ – geograafiliselt hajutatud serverite võrk, mille eesmärk on tagada digisisu ja digiteenuste laialdane kättesaadavus, neile juurdepääsetavus või nende kiire edastamine internetikasutajatele sisu- ja teenusepakkujate nimel;

22)„sotsiaalvõrguteenuse platvorm“ – platvorm, mis võimaldab lõppkasutajatel vastastikku ühendust pidada, sisu jagada, teavet otsida ja suhelda mitme seadme kaudu, eelkõige vestluste, postituste, videote ja soovituste vormis;

23)„avaliku halduse üksus“ – liikmesriigi üksus, mis vastab järgmistele kriteeriumidele:

(a)üksus on asutatud konkreetse eesmärgiga täita üldhuvivajadusi ja see ei tegele tööstuse ega kaubandusega;

(b)üksus on juriidiline isik;

(c)üksust rahastavad peamiselt riik, piirkondlikud ametiasutused või muud avalik-õiguslikud asutused; üksuse juhtimine toimub mainitud asutuste järelevalve all; üksuse haldus-, juhtimis- või järelevalveorgani liikmetest üle poole on määranud riik, piirkondlikud asutused või muud avalik-õiguslikud asutused;

(d)üksusel on voli teha füüsilisi või juriidilisi isikuid puudutavaid halduslikke või reguleerivaid otsuseid, mis mõjutavad nende isikute õigusi seoses isikute, kaupade, teenuste või kapitali piiriülese liikumisega;

mõiste ei hõlma selliseid avaliku halduse üksusi, mis tegutsevad avaliku korra, õiguskaitse, riigikaitse või riigi julgeoleku valdkonnas;

24)„üksus“ – mis tahes füüsiline isik või asukohajärgse liikmesriigi õiguse kohaselt asutatud ja vastavalt tunnustatud juriidiline isik, kes võib enda nimel kasutada teatavaid õigusi ja täita teatavaid kohustusi;

25)„elutähtis üksus“ – iga selline üksus, millele on I lisas osutatud kui elutähtsale üksusele;

26)„oluline üksus“ – iga selline üksus, millele on II lisas osutatud kui olulisele üksusele.

II PEATÜKK

Koordineeritud küberturvalisuse õigusraamistikud

Artikkel 5
Riiklik küberturvalisuse strateegia

1. Iga liikmesriik võtab vastu riikliku küberturvalisuse strateegia, milles määratakse kindlaks strateegilised eesmärgid ning asjakohased poliitilised ja regulatiivsed meetmed, et saavutada ja säilitada kõrgel tasemel küberturvalisus. Riiklik küberturvalisuse strateegia peab eelkõige sisaldama järgmist:

(a)selle liikmesriigi küberturvalisuse strateegia eesmärkide ja prioriteetide määratlus;

(b)juhtimisraamistik nende eesmärkide ja prioriteetide saavutamiseks, sh lõikes 2 osutatud poliitilised meetmed ning avaliku sektori asutuste ja üksuste ning muude asjaomaste osalejate rollid ja ülesanded;

(c)hinnang asjakohaste varade ja küberturvalisusega seotud riskide kindlaks tegemiseks kõnealuses liikmesriigis;

(d)intsidentideks valmisoleku ja neile reageerimise meetmete ning seotud taastemeetmete, sh avaliku ja erasektori koostöö kirjeldus;

(e)riikliku küberturvalisuse strateegia rakendamisse kaasatavate asutuste ja osalejate loetelu;

(f)poliitikaraamistik käesoleva direktiivi ning Euroopa Parlamendi ja nõukogu direktiivi (EL) XXXX/XXXX 38 [kriitilise tähtsusega üksuste vastupanuvõime direktiiv] kohaste pädevate asutuste vahelise tegevuse paremaks koordineerimiseks intsidentide ja küberohtude alase teabe jagamise ning järelevalveülesannete täitmise eesmärgil.

2. Riikliku küberturvalisuse strateegia osana võtavad liikmesriigid vastu eelkõige järgmised poliitikameetmed:

a)poliitikameetmed, mis käsitlevad elutähtsate ja oluliste üksuste teenuste osutamiseks kasutatavate IKT-toodete ja -teenuste tarneahela küberturvalisust;

b)suunised IKT-toodete ja -teenuste küberturvalisusega seotud nõuete ja vastavate spetsifikatsioonide hõlmamiseks riigihankemenetlusse;

c)poliitikameetmed, millega edendatakse ja hõlbustatakse nõrkuste koordineeritud avalikustamist artikli 6 tähenduses;

d)poliitikameetmed, mis on seotud avatud interneti avaliku tuuma üldise kättesaadavuse ja usaldusväärsuse säilitamisega;

e)poliitikameetmed, mille abil edendatakse ja arendatakse oskusi, suurendatakse teadlikkust ning toetatakse teadus- ja arendusalgatusi küberturvalisuse vallas;

f)poliitikameetmed, millega toetatakse akadeemilisi ja teadusasutusi küberturvalisuse vahendite ja turvalise võrgutaristu väljatöötamisel;

g)poliitikameetmed, asjakohane menetluskord ja sobivad teabevahetuslahendused, millega toetatakse vabatahtlikku küberturvalisuse alase teabe vahetamist ettevõtjate vahel kooskõlas liidu õigusega;

h)poliitikameetmed, mis käsitlevad VKEde, eelkõige käesoleva direktiivi kohaldamisalast välja jäetud VKEde erivajadusi seoses suuniste ja toega, mis parandaks VKEde vastupidavusvõimet küberturvalisusega seotud ohtude suhtes.

3.Liikmesriigid teavitavad komisjoni oma riiklikust küberturvalisuse strateegiast kolme kuu jooksul pärast selle vastuvõtmist. Liikmesriigid võivad jätta teatava teabe edastamata, kui ja kuivõrd see on rangelt põhjendatud vajadusega tagada riiklik julgeolek.

4.Liikmesriigid hindavad oma riiklikke küberturvalisuse strateegiaid peamiste tulemusnäitajate põhjal vähemalt iga nelja aasta järel ja teevad neis vajaduse korral muudatusi. Euroopa Liidu Küberturvalisuse Amet (ENISA) abistab liikmesriike viimaste taotluse korral riikliku strateegia ja selle hindamiseks vajalike peamiste tulemusnäitajate väljatöötamisel.

Artikkel 6

Nõrkuste koordineeritud avalikustamine ja Euroopa nõrkuste register

1.Iga liikmesriik määrab ühe oma artiklis 9 osutatud CSIRTidest nõrkuste koordineeritud avalikustamise koordineerijaks. Määratud CSIRT tegutseb usaldusväärse vahendajana, hõlbustades vajaduse korral suhtlust teavitava üksuse ning IKT-toodete või -teenuste tootja/pakkuja vahel. Kui teates osutatud nõrkus puudutab liidus mitut IKT-toodete või -teenuste tootjat/pakkujat, teeb iga asjaomase liikmesriigi määratud CSIRT koostööd CSIRTi võrgustikuga.

2.ENISA töötab välja Euroopa nõrkuste registri ja haldab seda. Selleks võtab ENISA kasutusele asjakohased infosüsteemid, põhimõtted ja menetlused eelkõige selleks, et võimaldada elutähtsatel ja olulistel üksustel ning nende võrgu- ja infosüsteemide tarnijatel avalikustada ja registreerida IKT-toodete või -teenuste nõrkusi ning anda kõigile huvitatud isikutele juurdepääs registris sisalduvale nõrkusi käsitlevale teabele. Täpsemalt sisaldab register teavet nõrkuse olemuse, mõjutatud IKT-toodete või -teenuste ning nõrkuse raskusastme kohta, pidades silmas selle võimaliku ärakasutamise olukordi, samuti seotud paikade kättesaadavuse kohta ning paikade puudumisel haavatavate toodete ja teenuste kasutajatele suunatud suuniseid selle kohta, kuidas avalikustatud nõrkustest tulenevaid riske vähendada.

Artikkel 7

Riiklikud küberturvalisuse alased kriisiohjeraamistikud

1.Iga liikmesriik määrab vähemalt ühe ulatuslike intsidentide ja kriiside ohjamise eest vastutava pädeva asutuse. Liikmesriigid tagavad, et pädevatel asutustel on piisavad ressursid nendele pandud ülesannete tulemuslikuks ja tõhusaks täitmiseks.

2.Iga liikmesriik määrab kindlaks oma suutlikkuse, vahendid ja menetlused, mida saab rakendada kriisiolukorras käesoleva direktiivi kohaldamisel.

3.Iga liikmesriik võtab vastu riikliku küberturvalisuse intsidentide ja kriiside lahendamise kava, milles kirjeldatakse ulatuslike küberturvalisuse intsidentide ja kriiside ohjamise eesmärke ja korda. Kavaga nähakse täpsemalt ette järgmine:

a)riiklike valmisolekumeetmete ja nendega seotud tegevuste eesmärgid;

b)riiklike pädevate ametiasutuste kohustused ja ülesanded;

c)kriisiohjamise menetlused ja teabevahetuskanalid;

d)valmisolekumeetmed, sealhulgas õppuste ja koolitusega seotud tegevused;

e)asjakohased avaliku ja erasektori huvitatud isikud ning seotud taristud;

f)riigis kehtivad menetlused ja kord asjaomaste riiklike asutuste ja organite vahelise koostöö korraldamiseks, et tagada liikmesriigi tõhus osalemine ulatuslike küberturvalisuse intsidentide ja kriiside koordineeritud ohjamisel liidu tasandil ja selle ohjamise toetamine.

4.Liikmesriigid teavitavad komisjoni lõikes 1 osutatud pädevate asutuste määramisest ning esitavad lõikes 3 osutatud riiklikud küberturvalisuse intsidentide ja kriiside lahendamise kavad kolme kuu jooksul pärast kõnealuste asutuste määramist ja kõnealuste kavade vastuvõtmist. Liikmesriigid võivad jätta teatava osa kavas olevast teabest edastamata, kui ja kuivõrd see on rangelt põhjendatud riikliku julgeoleku tagamise vajadusega.

Artikkel 8
Riiklikud pädevad asutused ja ühtsed kontaktpunktid

1.Iga liikmesriik määrab vähemalt ühe pädeva asutuse, kes vastutab küberturvalisuse ja käesoleva direktiivi VI peatükis osutatud järelevalveülesannete täitmise eest. Liikmesriigid võivad selleks määrata juba tegutseva asutuse või tegutsevad asutused.

2.Lõikes 1 osutatud pädevad asutused jälgivad käesoleva direktiivi kohaldamist siseriiklikul tasandil.

3.Iga liikmesriik määrab küberturvalisuse valdkonna jaoks ühtse riikliku kontaktpunkti („ühtne kontaktpunkt“). Kui liikmesriik määrab ainult ühe pädeva asutuse, siis on see pädev asutus ka selle liikmesriigi ühtne kontaktpunkt.

4.Iga ühtne kontaktpunkt täidab sidepidamisfunktsiooni, et tagada oma liikmesriigi ametiasutuste piiriülene koostöö teiste liikmesriikide asjaomaste asutustega ning ka valdkondadevaheline koostöö oma liikmesriigi teiste pädevate asutustega.

5.Liikmesriigid tagavad, et lõikes 1 osutatud pädevatel asutustel ja ühtsetel kontaktpunktidel on piisavad ressursid, et neile pandud ülesandeid tulemuslikult ja tõhusalt täita ning seeläbi saavutada käesoleva direktiivi eesmärgid. Liikmesriigid tagavad määratud esindajate tõhusa, tulemusliku ja turvalise koostöö artiklis 12 osutatud koostöörühmas.

6.Iga liikmesriik teavitab komisjoni põhjendamatu viivituseta lõikes 1 osutatud pädeva asutuse ja lõikes 3 osutatud ühtse kontaktpunkti määramisest, nende ülesannetest ning nendega seotud hilisematest muudatustest. Iga liikmesriik avalikustab teabe määramiste kohta. Komisjon avaldab määratud ühtsete kontaktpunktide loetelu.

Artikkel 9
Küberturbe intsidentide lahendamise üksused (CSIRTid)

1.Iga liikmesriik määrab vähemalt ühe artikli 10 lõikes 1 sätestatud nõuetele vastava CSIRTi, kes hõlmaks vähemalt I ja II lisas osutatud sektoreid, allsektoreid või üksusi ning kes vastutaks intsidentide käsitlemise eest kindla menetluse kohaselt. CSIRTi võib luua artiklis 8 osutatud pädeva asutuse osana.

2.Liikmesriigid tagavad, et igal CSIRTil on artikli 10 lõikes 2 sätestatud ülesannete tulemuslikuks täitmiseks piisavad vahendid.

3.Liikmesriigid tagavad, et iga CSIRTi käsutuses on asjakohane, turvaline ja vastupidav side- ja infotaristu, vahetamaks teavet elutähtsate ja oluliste üksuste ning muude asjaomaste huvitatud isikutega. Selleks tagavad liikmesriigid, et CSIRTid aitavad kaasa turvaliste teabejagamisvahendite kasutuselevõtule.

4.CSIRTid teevad koostööd ning (kus asjakohane) vahetavad kooskõlas artikliga 26 asjakohast teavet elutähtsate ja oluliste üksuste usaldusväärsete sektoripõhiste või -vaheliste kogukondadega.

5.CSIRTid osalevad artikli 16 kohaselt korraldatud vastastikustes hindamistes.

6.Liikmesriigid tagavad oma CSIRTide tõhusa, tulemusliku ja turvalise koostöö artiklis 13 osutatud CSIRTide võrgustikus.

7.Liikmesriigid teavitavad komisjoni põhjendamatu viivituseta lõike 1 kohaselt määratud CSIRTidest, artikli 6 lõike 1 kohaselt määratud CSIRTi koordinaatorist ning nende vastavatest ülesannetest seoses I ja II lisas osutatud üksustega.

8.Liikmesriigid võivad paluda ENISA abi riiklike CSIRTide moodustamisel.

Artikkel 10
CSIRTidele esitatavad nõuded ja nende ülesanded

1.CSIRTid peavad vastama järgmistele nõuetele:

a)CSIRT peab tagama oma sideteenuste laialdase kättesaadavuse, vältides nõrku lülisid, ning kasutama mitmesuguseid vahendeid, mis võimaldavad neil teistega ja teistel nendega igal ajal ühendust võtta; CSIRTid määratlevad selgelt suhtluskanalid ning teevad need oma sihtrühmadele ja koostööpartneritele teatavaks;

b)CSIRTi ametiruumid ja tema tööd toetavad infosüsteemid peavad asuma turvalises kohas;

c)CSIRTil peab olema päringute haldamiseks ja suunamiseks sobiv süsteem, ennekõike selleks, et tõhustada üleandmisi;

d)CSIRTil peab olema piisavalt töötajaid, et tagada tema teenuste alaline kättesaadavus;

e)CSIRTidel peavad olema varusüsteemid ja varutööruumid, mis võimaldaks tagada nende teenuste toimepidevuse;

f)CSIRTidel peab olema võimalus osaleda rahvusvaheliste koostöövõrgustike töös.

2.CSIRTidel on järgmised ülesanded:

a)korraldada küberohtude, nõrkuste ja intsidentide seiret riiklikul tasandil;

b)tagada küberohtude, nõrkuste ja intsidentide kohta eelhoiatuste, hoiatuste ja teadete edastamine ning teabe levitamine elutähtsatele ja olulistele üksustele ning muudele asjaomastele huvitatud isikutele;

c)intsidentidele reageerimine;

d)järjepidev riskide ja intsidentide analüüsimine ning küberturvalisuse alase olukorrateadlikkuse tagamine;

e)üksuse taotlusel üksuse teenuste osutamiseks kasutatavate võrgu- ja infosüsteemide ennetav kontrollimine;

f)CSIRTide võrgustikus osalemine ja teistele võrgustiku liikmetele nende taotluse korral vastastikuse abi osutamine.

3.CSIRTid loovad koostöösuhteid erasektori asjaomaste osalejatega, et paremini saavutada käesoleva direktiivi eesmärke.

4.Koostöö hõlbustamiseks toetavad CSIRTid ühtsete või standardsete tavade, liigitamissüsteemide ja taksonoomiate kasutuselevõttu seoses järgmisega:

a)intsidentide käsitlemise menetlused;

b)küberturvalisusega seotud kriisiohje;

c)nõrkuste koordineeritud avalikustamine.

Artikkel 11
Koostöö liikmesriigi tasandil

1.Kui ühe liikmesriigi artiklis 8 osutatud pädevad asutused, ühtne kontaktpunkt ja CSIRTid on eraldiseisvad asutused, teevad nad käesolevas direktiivis sätestatud kohustuste täitmisel koostööd.

2.Liikmesriigid tagavad, et nende pädevad asutused või CSIRTid saavad käesoleva direktiivi kohaselt esitatud teateid intsidentide, oluliste küberohtude ja realiseerumata jäänud ohuolukordade kohta. Kui liikmesriik otsustab, et tema CSIRTid kõnealuseid teateid ei saa, tuleb CSIRTidele anda nende ülesannete täitmiseks vajalikus ulatuses juurdepääs andmetele nende intsidentide kohta, millest elutähtsad või olulised üksused on teatanud artikli 20 kohaselt.

3.Iga liikmesriik tagab, et tema pädevad asutused või CSIRTid teavitavad oma riigi ühtset kontaktpunkti intsidentide, oluliste küberohtude ja realiseerumata jäänud ohuolukordade kohta käesoleva direktiivi kohaselt esitatud teadetest.

4.Liikmesriigid tagavad käesolevas direktiivis sätestatud ülesannete ja kohustuste tõhusaks täitmiseks vajalikus ulatuses asjakohase koostöö kõnealuse liikmesriigi pädevate asutuste ning ühtsete kontaktpunktide ja õiguskaitseasutuste, andmekaitseasutuste ja direktiivi (EL) XXXX/XXXX [kriitilise tähtsusega üksuste vastupanuvõime direktiiv] kohaselt kriitilise tähtsusega taristu eest vastutavate asutuste ning Euroopa Parlamendi ja nõukogu määruse (EL) XXXX/XXXX 39 [DORA määrus] kohaselt määratud riiklike finantsasutuste vahel.

5.Liikmesriigid tagavad, et nende pädevad asutused esitavad direktiivi (EL) XXXX/XXXX [kriitilise tähtsusega üksuste vastupidavusvõime direktiiv] kohaselt määratud pädevatele asutustele korrapäraselt teavet küberturvalisuse riskide, küberohtude ja intsidentide kohta, mis mõjutavad direktiivi (EL) XXXX/XXXX [kriitilise tähtsusega üksuste vastupidavusvõime direktiiv] alusel kriitilise tähtsusega üksustena käsitatavaid või kriitilise tähtsusega üksustega samaväärseid üksusi, ning meetmete kohta, mida pädevad asutused on kõnealuste riskide ja intsidentidega seoses võtnud.

III PEATÜKK

Koostöö

Artikkel 12
Koostöörühm

1.Et toetada ja hõlbustada käesoleva direktiivi kohaldamisega seotud strateegilist koostööd ja teabevahetust liikmesriikide vahel, luuakse koostöörühm.

2.Koostöörühm täidab oma ülesandeid kaheaastaste tööprogrammide alusel, nagu on osutatud lõikes 6.

3.Koostöörühma moodustavad liikmesriikide, komisjoni ja ENISA esindajad. Euroopa välisteenistus osaleb koostöörühma tegevuses vaatlejana. Euroopa järelevalveasutused võivad osaleda koostöörühma tegevuses määruse (EL) XXXX/XXXX [DORA määrus] artikli 17 lõike 5 punkti c kohaselt.

Kui see on vajalik, võib koostöörühm kutsuda oma töös osalema asjakohaste sidusrühmade esindajad.

Sekretariaaditeenuseid osutab komisjon.

4.Koostöörühmal on järgmised ülesanded:

a)anda pädevatele asutustele suuniseid käesoleva direktiivi ülevõtmise ja kohaldamise kohta;

b)vahetada parimaid tavasid ja teavet seoses käesoleva direktiivi kohaldamisega, sealhulgas seoses küberohtude, intsidentide, nõrkuste, realiseerumata jäänud ohuolukordade, teadlikkuse suurendamise algatuste, koolituste, õppuste ja oskuste, suutlikkuse suurendamise ning samuti standardite ja tehniliste spetsifikatsioonidega;

c)vahetada nõuandeid ja teha koostööd komisjoniga seoses uute küberturvalisuse poliitika algatustega;

d)vahetada nõuandeid ja teha koostööd komisjoniga seoses käesoleva direktiivi kohaselt vastu võetavate komisjoni rakendusaktide või delegeeritud õigusaktide eelnõudega;

e)vahetada parimaid tavasid asjaomaste liidu institutsioonide, ametite ja asutustega;

f)arutada artikli 16 lõikes 7 osutatud vastastikuse hindamise aruandeid;

g)arutada artiklis 34 osutatud piiriüleste juhtumite ühise järelevalvetegevuse tulemusi;

h)anda CSIRTide võrgustikule strateegilisi suuniseid spetsiifilistes esilekerkivates küsimustes;

i)aidata tagada küberturvalisuse alane suutlikkus liidus, hõlbustades riigiametnike vahetust suutlikkuse suurendamise programmi kaudu, millesse hõlmatakse liikmesriikide pädevate asutuste või CSIRTide töötajad;

j)korraldada korrapäraseid ühiskoosolekuid erasektori asjaomaste huvitatud pooltega kogu liidust, et arutada rühma tegevust ja koguda teavet esilekerkivate poliitikaprobleemide kohta;

k)arutada küberturvalisuse alaste õppustega seoses tehtud tööd, sealhulgas ENISA tehtud tööd.

5.Koostöörühm võib tellida CSIRTi võrgustikult valitud teemasid käsitlevaid tehnilisi aruandeid.

6.Koostöörühm koostab hiljemalt 24 kuud pärast käesoleva direktiivi jõustumiskuupäeva ja seejärel iga kahe aasta tagant tööprogrammi meetmete kohta, mida võetakse rühma eesmärkide ja ülesannete täitmiseks. Käesoleva direktiivi alusel vastu võetava esimese programmi ajakava viiakse kooskõlla direktiivi (EL) 2016/1148 alusel vastu võetud viimase programmi ajakavaga.

7.Komisjon võib võtta vastu rakendusaktid, millega kehtestatakse koostöörühma toimimiseks vajalik menetluskord. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 37 lõikes 2 osutatud kontrollimenetlusega.

8.Koostöörühm kohtub korrapäraselt ja vähemalt kord aastas direktiivi (EL) XXXX/XXXX [kriitilise tähtsusega üksuste vastupidavusvõime direktiiv] alusel loodud kriitilise tähtsusega üksuste vastupidavusvõime töörühmaga, et edendada strateegilist koostööd ja teabevahetust.

Artikkel 13
CSIRTide võrgustik

1.Et kasvatada usaldust ja kindlustunnet ning edendada kiiret ja tõhusat operatiivkoostööd liikmesriikide vahel, luuakse riiklike CSIRTide võrgustik.

2.CSIRTide võrgustik moodustatakse liikmesriikide CSIRTide ja CERT-EU esindajatest. Komisjon osaleb CSIRTide võrgustiku tegevuses vaatlejana. ENISA tagab sekretariaaditeenused ja toetab aktiivselt CSIRTide-vahelist koostööd.

3.CSIRTide võrgustikul on järgmised ülesanded:

(a)vahetada CSIRTide suutlikkust puudutavat teavet;

(b)vahetada asjakohast teavet intsidentide, ohuolukordade, küberohtude, riskide ja nõrkuste kohta;

(c)vahetada ja arutada intsidendist potentsiaalselt mõjutatud CSIRTi võrgustiku esindaja taotlusel teavet, mis käsitleb kõnealust intsidenti ning sellega seotud küberohte, riske ja nõrkusi;

(d)arutada CSIRTi võrgustiku esindaja taotlusel kõnealuse liikmesriigi jurisdiktsioonis tuvastatud intsidendi koordineeritud lahendamist ning võimaluse korral lahendada intsident koordineeritult;

(e)toetada liikmesriike piiriüleste intsidentide käesoleva direktiivi kohasel käsitlemisel;

(f)teha koostööd artiklis 6 osutatud määratud CSIRTidega ning anda neile abi seoses eri liikmesriikides tegutsevate IKT-toodete, -teenuste ja -protsesside tootjate või pakkujate nõrkuste mitmepoolse koordineeritud avalikustamise haldamisega;

(g)arutada ja teha kindlaks täiendavaid operatiivkoostöövorme, sealhulgas seoses järgmisega:

i)küberohtude ja intsidentide liigid;

ii)eelhoiatused;

iii)vastastikune abi;

iv)piiriülestele riskidele ja intsidentidele koordineeritud reageerimise põhimõtted ja kord;

v)osalemine artikli 7 lõikes 3 osutatud riikliku küberturvalisuse intsidentide ja kriiside lahendamise kava koostamises;

(h)teavitada koostöörühma oma tegevusest ja punkti g kohaselt arutatud täiendavatest operatiivkoostöö vormidest ning vajaduse korral taotleda sellega seonduvaid suuniseid;

(i)analüüsida küberturvalisuse alaseid õppusi, sealhulgas ENISA korraldatud õppusi;

(j)arutada konkreetse CSIRTi taotlusel kõnealuse CSIRTi suutlikkust ja valmisolekut;

(k)teha koostööd ning vahetada teavet piirkondlike ja liidu tasandi turbekeskustega, et parandada ühist olukorrateadlikkust intsidentide ja ohtude vallas kogu liidus;

(l)arutada artikli 16 lõikes 7 osutatud vastastikuse hindamise aruandeid;

(m)anda suuniseid, et hõlbustada operatiivtegevuse tavade lähendamist seoses käesoleva artikli operatiivkoostööd käsitlevate sätete kohaldamisega.

4.Artiklis 35 osutatud läbivaatamise eesmärgil ja hiljemalt 24 kuud pärast käesoleva direktiivi jõustumise kuupäeva ning seejärel iga kahe aasta tagant hindab CSIRTide võrgustik operatiivkoostöös tehtud edusamme ja koostab sellekohase aruande. Aruandes tehakse eelkõige järeldused riiklike CSIRTide kohta tehtud artiklis 16 osutatud vastastikuste hindamiste tulemuste kohta, sealhulgas järeldused ja soovitused, lähtuvalt käesolevast artiklist. See aruanne esitatakse ka koostöörühmale.

5.CSIRTide võrgustik võtab vastu oma töökorra.

Artikkel 14

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-CyCLONe)

1.Et toetada ulatuslike küberintsidentide ja kriiside koordineeritud ohjamist operatiivsel tasandil ning tagada korrapärane teabevahetus liikmesriikide ja ELi institutsioonide, ametite ja asutuste vahel, luuakse Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-CyCLONe).

2.EU-CyCLONe moodustatakse liikmesriikide artikli 7 kohaselt määratud kriisiohjeasutuste, komisjoni ja ENISA esindajatest. ENISA tagab võrgustiku jaoks sekretariaaditeenused ja toetab turvalist teabevahetust.

3.EU-CyCLONe ülesanded on järgmised:

a)tõsta ulatuslike intsidentide ja kriiside ohjamiseks valmisoleku taset;

b)arendada ühist olukorrateadlikkust asjakohaste küberturvalisuse alaste sündmuste vallas;

c)koordineerida ulatuslike intsidentide ja kriiside ohjamist ning toetada selliste intsidentide ja kriisidega seotud otsuste tegemist poliitilisel tasandil;

d)arutada artikli 7 lõikes 2 osutatud riikliku küberturvalisuse intsidentide ja kriiside lahendamise kavu.

4.EU-CyCLONe võtab vastu oma töökorra.

5.EU-CyCLONe esitab koostöörühmale korrapäraselt küberturvalisusega seotud ohte, intsidente ja suundumusi käsitleva aruande, keskendudes eelkõige mõjule, mida need avaldavad elutähtsatele ja olulistele üksustele.

6.EU-CyCLONe teeb CSIRTide võrgustikuga koostööd kokkulepitud menetluskorra alusel.

Artikkel 15

Aruanne küberturvalisuse olukorra kohta liidus

1.ENISA esitab koostöös komisjoniga iga kahe aasta tagant aruande, mis käsitleb küberturvalisuse olukorda liidus. Aruanne sisaldab täpsemalt hinnanguid järgmise kohta:

(a)küberturvalisuse alase suutlikkuse areng liidus;

(b)pädevate asutuste ja küberturvalisuse poliitika jaoks kättesaadavad tehnilised, rahalised ja inimressursid ning järelevalve- ja täitmismeetmete kohaldamine, võttes arvesse artiklis 16 osutatud vastastikuste hindamiste tulemusi;

(c)küberturvalisuse indeks, millega antakse kokkuvõtlik hinnang küberturvalisuse alase suutlikkuse küpsuse tasemele.

2.Aruanne sisaldab konkreetseid poliitikasoovitusi küberturvalisuse taseme tõstmiseks kogu liidus ning ENISA poolt kooskõlas määruse (EL) 2019/881 artikli 7 lõikega 6 avaldatud ELi küberturvalisuse tehnilise olukorra aruannete tulemuste kokkuvõtet kindla perioodi kohta.

Artikkel 16

Vastastikused hindamised

1.Komisjon kehtestab pärast koostöörühma ja ENISAga konsulteerimist ning hiljemalt 18 kuud pärast käesoleva direktiivi jõustumist vastastikuse hindamise süsteemi metoodika ja sisu, et võimaldada liikmesriikide küberturvalisuse poliitikameetmete tõhususe hindamist. Hindamise viivad läbi küberturvalisuse valdkonna tehnilised eksperdid, kes on pärit muust liikmesriigist kui see, mida hinnatakse, ja selle raames hinnatakse vähemalt järgmist:

i)artiklites 18 ja 20 osutatud küberturvalisuse riskijuhtimisnõuete ja teatamiskohustuse rakendamise tulemuslikkus;

ii)suutlikkuse tase, sealhulgas olemasolevad rahalised, tehnilised ja inimressursid, ning riiklike pädevate asutuste ülesannete täitmise tõhusus;

iii)CSIRTide tegevussuutlikkus ja tõhusus;

iv) artiklis 34 osutatud vastastikuse abi tõhusus;

v) käesoleva direktiivi artiklis 26 osutatud teabevahetusraamistiku tõhusus.

2.Metoodika sisaldab objektiivseid, mittediskrimineerivaid, õiglasi ja läbipaistvaid kriteeriume, mille alusel liikmesriigid määravad vastastikuste hindamiste läbiviimiseks sobivad eksperdid. ENISA ja komisjon määravad eksperdid, kes osalevad vastastikustes hindamistes vaatlejatena. Komisjon, keda toetab ENISA, kehtestab lõikes 1 osutatud metoodika alusel objektiivse, mittediskrimineeriva, õiglase ja läbipaistva süsteemi vastastikuse hindamise tarvis ekspertide valimiseks ja juhuslikuks määramiseks.

3.Vastastikuste hindamiste korralduslikud aspektid otsustab komisjon ENISA toetusel ja pärast koostöörühmaga konsulteerimist ning need põhinevad lõikes 1 osutatud metoodikaga määratletud kriteeriumidel. Vastastikuste hindamiste käigus hinnatakse kõigi liikmesriikide ja sektorite puhul lõikes 1 osutatud aspekte, sealhulgas üht või mitut liikmesriiki või üht või mitut sektorit puudutavaid eriküsimusi.

4.Vastastikused hindamised hõlmavad tegelikke või virtuaalseid külastusi ja väljaspool konkreetset asukohta toimuvat teabevahetust. Pidades silmas hea koostöö põhimõtet, esitavad liikmesriigid, keda hinnatakse, määratud ekspertidele vaatlusaluste aspektide hindamiseks vajaliku teabe. Vastastikuse hindamise protsessis saadavat teavet kasutatakse üksnes hindamise eesmärgil. Vastastikuses hindamises osalevad eksperdid ei avalda hindamise käigus saadud tundlikku või konfidentsiaalset teavet kolmandatele isikutele.

5.Liikmesriigis juba hinnatud aspektid ei kuulu kõnealuses liikmesriigis enam vastastikuse hindamise raames hindamisele kaks aastat pärast vastastikuse hindamise järelduse tegemist, välja arvatud juhul, kui komisjon otsustab pärast ENISA ja koostöörühmaga konsulteerimist teisiti.

6.Liikmesriik tagab, et määratud ekspertidega seotud huvide konflikti oht tehakse põhjendamatu viivituseta teatavaks teistele liikmesriikidele, komisjonile ja ENISA-le.

7.Vastastikustes hindamistes osalevad eksperdid koostavad aruanded hindamise tulemuste ja järelduste kohta. Aruanded esitatakse komisjonile, koostöörühmale, CSIRTide võrgustikule ja ENISA-le. Aruandeid arutatakse koostöörühmas ja CSIRTide võrgustikus. Aruanded võib avaldada koostöörühma sihtotstarbelisel veebisaidil.

IV PEATÜKK

Küberturvalisusega seotud riskijuhtimis- ja teatamiskohustused

I JAGU

Küberturvalisusega seotud riskijuhtimine ja teatamine

Artikkel 17

Juhtimine

1.Liikmesriigid tagavad, et elutähtsate ja oluliste üksuste juhtorganid kinnitavad asjaomaste üksuste võetavad küberturvalisuse riskijuhtimise meetmed, nagu artiklis 18 nõutud, ning teevad järelevalvet nende rakendamise üle ja võtavad vastutuse selle eest, kui üksused ei täida käesolevast artiklist tulenevaid kohustusi.

2.Liikmesriigid tagavad, et juhtorgani liikmed läbivad korrapäraselt erikoolitusi, mis võimaldavad omandada piisavad teadmised ja oskused, et mõista ja hinnata küberturvalisuse riske ja nende juhtimise tavasid ning nendest tulenevat mõju üksuse tegevusele.

Artikkel 18

Küberturvalisusega seotud riskijuhtimismeetmed

1.Liikmesriigid tagavad, et elutähtsad ja olulised üksused võtavad asjakohased ja proportsionaalsed tehnilised ja korralduslikud meetmed, et juhtida riske, mis ohustavad nende üksuste teenuste osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust. Tehnika taset arvesse võttes tagatakse nende meetmetega ähvardavale ohule vastav võrgu- ja infosüsteemide turvalisuse tase.

2.Lõikes 1 osutatud meetmed hõlmavad vähemalt järgmist:

(a)riskianalüüsid ja infosüsteemide turbe põhimõtted;

(b)intsidentide käsitlemine (intsidentide ennetamine, tuvastamine ja lahendamine);

(c)talitluspidevus ja kriisiohje;

(d)tarneahela turvalisus, sealhulgas sellised turvalisusesse puutuvad aspektid, mis on seotud iga üksuse ja tema tarnijate või teenuseosutajate, näiteks andmete talletamise ja töötlemise teenuse või turbetarnijate vaheliste suhetega;

(e)võrgu- ja infosüsteemide hankimise, arendamise ja hooldamise turvalisus, sealhulgas nõrkuste käsitlemine ja avalikustamine;

(f)tööpõhimõtted ja menetluskord (testimine ja auditeerimine) küberturvalisuse riskijuhtimismeetmete tõhususe hindamiseks;

(g)krüptograafia ja krüpteerimise kasutamine.

3.Liikmesriigid tagavad, et lõike 2 punktis d osutatud asjakohaseid meetmeid kaaludes võtavad üksused arvesse igale tarnijale ja teenuseosutajale eriomaseid nõrkusi ning nende tarnijate ja teenuseosutajate toodete/teenuste üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.

4.Liikmesriigid tagavad, et üksus, kes leiab, et tema teenused või ülesanded ei vasta lõikes 2 sätestatud nõuetele, võtab põhjendamatu viivituseta kõik vajalikud parandusmeetmed asjaomase teenuse nõuetega vastavusse viimiseks.

5.Komisjon võib vastu võtta rakendusakte, millega kehtestatakse lõikes 2 osutatud elementide tehnilised ja metoodilised spetsifikatsioonid. Kõnealuste õigusaktide ettevalmistamisel toimib komisjon artikli 37 lõikes 2 osutatud kontrollimenetluse kohaselt ning järgib võimalikult suures ulatuses rahvusvahelisi ja Euroopa standardeid ning asjakohaseid tehnilisi spetsifikatsioone.

6.Komisjon võib kooskõlas artikliga 36 võtta vastu delegeeritud õigusakte lõikes 2 sätestatud elementide täiendamiseks, et võtta arvesse uusi küberohte, tehnika arengut või valdkondlikke iseärasusi.

Artikkel 19

Kriitilise tähtsusega tarneahelate ELi koordineeritud riskihindamised

1.Koostöörühm võib koostöös komisjoni ja ENISAga teha kindlate kriitilise tähtsusega IKT-teenuste, -süsteemide või -toodete tarneahelate turvalisusega seotud riskide koordineeritud hindamisi, võttes arvesse tehnilisi ja asjakohasel juhul ka muid kui tehnilisi riskitegureid.

2.Komisjon määrab pärast koostöörühma ja ENISAga konsulteerimist kindlaks konkreetsed kriitilise tähtsusega IKT-teenused, -süsteemid või -tooted, mille suhtes võib kohaldada lõikes 1 osutatud koordineeritud riskihindamist.

Artikkel 20

Teatamiskohustus

1.Liikmesriigid tagavad, et elutähtsad ja olulised üksused teavitavad põhjendamatu viivituseta pädevaid asutusi või CSIRTi vastavalt lõigetele 3 ja 4 kõikidest intsidentidest, mis nende teenuste osutamist märkimisväärselt mõjutavad. Kus asjakohane, teavitavad kõnealused üksused põhjendamatu viivituseta oma teenuste saajaid intsidentidest, mis tõenäoliselt kahjustavad kõnealuste teenuste osutamist. Liikmesriigid tagavad, et kõnealused üksused esitavad muu hulgas teabe, mis võimaldab pädevatel asutustel või CSIRTil teha kindlaks intsidendi piiriülese mõju.

2.Liikmesriigid tagavad, et elutähtsad ja olulised üksused teavitavad põhjendamatu viivituseta pädevaid asutusi või CSIRTi igast olulisest küberohust, mille kõnealused üksused on tuvastanud ja mis oleks võinud põhjustada olulise intsidendi.

Kui see on asjakohane, teavitavad kõnealused üksused põhjendamatu viivituseta oma teenuste saajaid, keda oluline küberoht võib mõjutada, meetmetest või parandusmeetmetest, mida teenuste saajad saavad ohule reageerimiseks võtta. Kui asjakohane, teavitavad üksused teenuse saajaid ka ohust endast. Teatamisega ei suurene teatava üksuse vastutus.

3.Intsidenti käsitatakse olulisena, kui:

(a)intsident on põhjustanud või võib põhjustada asjaomase üksuse tegevuse olulisi katkestusi või rahalist kahju;

(b)intsident on mõjutanud või võib mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju.

4.Liikmesriigid tagavad, et lõike 1 kohase teavitamise eesmärgil esitavad asjaomased üksused pädevatele asutustele või CSIRTile järgmise:

(a)põhjendamatu viivituseta ning igal juhul hiljemalt 24 tunni jooksul pärast intsidendist teada saamist esialgse teate, milles märgitakse (kui on asjakohane), kas intsidendi põhjuseks on eeldatavasti ebaseaduslik või pahatahtlik tegevus;

(b)pädeva asutuse või CSIRTi taotlusel vahearuande vaatlusaluste asjade seisu kohta;

(c)hiljemalt üks kuu pärast punktis a osutatud aruande esitamist lõpparuande, mis sisaldab vähemalt järgmist:

i)intsidendi, selle raskuse ja mõju üksikasjalik kirjeldus;

ii)intsidendi tõenäoliselt põhjustanud ohu liik või juurpõhjus;

iii)juba kohaldatud ja kohaldamisel olevad leevendusmeetmed.

Liikmesriigid näevad ette, et nõuetekohaselt põhjendatud juhtudel ning kokkuleppel pädevate asutuste või CSIRTiga võib asjaomane üksus punktides a ja c sätestatud tähtaegadest kõrvale kalduda.

5.Pädevad riiklikud asutused või CSIRT annavad 24 tunni jooksul pärast lõike 4 punktis a osutatud esialgse teate saamist teavitavale üksusele vastuse, mis sisaldab esialgset tagasisidet intsidendi kohta ja üksuse vastava taotluse korral võimalike leevendusmeetmete rakendamise suuniseid. Kui CSIRT ei ole lõikes 1 osutatud teadet saanud, annab mainitud suunised pädev asutus koostöös CSIRTiga. CSIRT pakub täiendavat tehnilist tuge, kui asjaomane üksus seda taotleb. Kui kahtlustatakse, et intsident on seotud kuritegevusega, annavad pädevad riiklikud asutused või CSIRT ka juhiseid, kuidas teavitada intsidendist õiguskaitseasutusi.

6.Kui see on asjakohane ja eelkõige juhul, kui lõikes 1 osutatud intsident puudutab kahte või enamat liikmesriiki, peab pädev asutus või CSIRT teavitama teisi mõjutatud liikmesriike ja ENISAt. Seda tehes kaitsevad pädevad asutused, CSIRTid ja ühtsed kontaktpunktid kooskõlas liidu õigusega või liidu õigusele vastavate siseriiklike õigusaktidega üksuse turvalisust ja ärihuve ning esitatud teabe konfidentsiaalsust.

7.Kui üldsuse teadlikkus või intsidendi avalikustamine on vajalik intsidendi ärahoidmiseks või intsidendi lahendamiseks või muul moel üldsuse huvides, võib pädev asutus või CSIRT (kui asjakohane, siis ka teiste asjaomaste liikmesriikide asutused või CSIRTid) teavitada üldsust intsidendist või nõuda, et asjaomane üksus seda teeks.

8.Pädeva asutuse või CSIRTi taotlusel edastab ühtne kontaktpunkt lõigete 1 ja 2 kohaselt saadud teatised teiste mõjutatud liikmesriikide ühtsetele kontaktpunktidele.

9.Ühtne kontaktpunkt esitab ENISA-le kuupõhiselt koondaruande, mis sisaldab anonüümseid koondandmeid lõigete 1 ja 2 ning artikli 27 kohaselt teatatud intsidentide, oluliste küberohtude ja ohuolukordade kohta. Teabe võrreldavuse tagamise huvides võib ENISA anda esitatava kokkuvõtva aruande teabe parameetrite kohta tehnilisi suuniseid.

10.Pädevad asutused esitavad direktiivi (EL) XXXX/XXXX [kriitilise tähtsusega üksuste vastupidavusvõime direktiiv] kohaselt määratud pädevatele asutustele teavet intsidentide ja küberohtude kohta, millest on lõigete 1 ja 2 kohaselt teatanud üksused, mida käsitatakse kriitilise tähtsusega üksustena või kriitilise tähtsusega üksustega samaväärsete üksustena direktiivi (EL) XXXX/XXXX [kriitilise täthsusega üksuste vastupidavusvõime direktiiv] alusel.

11.Komisjon võib võtta vastu rakendusakte, milles täpsustatakse lõigete 1 ja 2 kohaselt esitatava teatise teabe liik, vorming ning esitamise kord. Komisjon võib ka võtta vastu rakendusakte, millega täpsustatakse, millisel juhul käsitatakse intsidenti olulisena, nagu on osutatud lõikes 3. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 37 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 21

Euroopa küberturvalisuse sertifitseerimise kavade kasutamine

1.Liikmesriigid võivad nõuda elutähtsatelt ja olulistelt üksustelt artikli 18 teatavatele nõuetele vastavuse tõenduseks kindlate IKT-toodete, -teenuste ja -protsesside sertifitseerimist määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud spetsiaalsete Euroopa küberturvalisuse sertifitseerimise kavade alusel. Sertifitseerimisele kuuluvad tooted, teenused ja protsessid võib välja töötada elutähtis või oluline üksus ise või need võidakse tellida kolmandatelt isikutelt.

2.Komisjonile antakse õigus võtta vastu delegeeritud õigusakte, millega määratakse, mis liiki elutähtsatelt üksustelt nõutakse sertifikaadi omandamist ja milliseid lõikes 1 osutatud Euroopa küberturvalisuse sertifitseerimise kavu rakendatakse. Kõnealused delegeeritud õigusaktid võetakse vastu artiklis 36 sätestatud korras.

3.Kui asjakohast Euroopa küberturvalisuse sertifitseerimise kava lõike 2 kohaldamiseks pole, võib komisjon määruse (EL) 2019/881 artikli 48 lõike 2 kohaselt taotleda ENISA-lt ettevalmistava kava koostamist.

Artikkel 22
Standardimine

1.Et edendada artikli 18 lõigete 1 ja 2 ühtset kohaldamist, toetavad liikmesriigid võrgu- ja infosüsteemide turvalisust käsitlevate Euroopa või rahvusvaheliselt heaks kiidetud standardite ja spetsifikatsioonide rakendamist, ilma et nad seejuures nõuaksid või soosiksid konkreetset tüüpi tehnoloogia kasutamist.

2.ENISA koostab koostöös liikmesriikidega nõuanded ja suunised seoses tehniliste valdkondadega, mida tuleks lõike 1 puhul arvesse võtta, ning seoses olemasolevate, sealhulgas liikmesriikide standarditega, mis võimaldaksid neid valdkondi hõlmata.

Artikkel 23

Domeeninimede ja registreerimisandmete andmebaasid

1.Et aidata suurendada domeeninimede süsteemi turvalisust, stabiilsust ja vastupanuvõimet, tagavad liikmesriigid, et tippdomeenide registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused koguvad ja säilitavad täpseid ja täielikke domeeninimede registreerimise andmeid spetsiaalses andmebaasis, kohaldades isikuandmetena käsitatavate andmetega seoses liidu andmekaitsealaste õigusaktidega ettenähtud hoolsust.

2.Liikmesriigid tagavad, et lõikes 1 osutatud domeeninimede registreerimise andmete andmebaasid sisaldavad asjakohast teavet, mis võimaldab tuvastada domeeninimede omanikud ja tippdomeenide all domeeninimesid haldavad kontaktpunktid ning nendega ühendust võtta.

3.Liikmesriigid tagavad, et tippdomeenide registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused kehtestavad töö põhimõtted ja menetluskorra, millega tagatakse, et andmebaasid sisaldavad täpset ja täielikku teavet. Liikmesriigid tagavad, et osutatud põhimõtted ja menetluskord tehakse üldsusele kättesaadavaks.

4.Liikmesriigid tagavad, et tippdomeenide registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused avaldavad põhjendamatu viivituseta pärast domeeninime registreerimist need domeeni registreerimise andmed, mis ei ole isikuandmed.

5.Liikmesriigid tagavad, et tippdomeenide registrid ja tippdomeenide jaoks domeeninimede registreerimise teenuseid osutavad üksused võimaldavad õigustatud taotlejatele õiguspärast ja nõuetekohaselt põhjendatud juurdepääsu domeeninimede registreerimise andmetele kooskõlas liidu andmekaitseõigusega. Liikmesriigid tagavad, et tippdomeenide registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused vastavad põhjendamatu viivituseta kõigile juurdepääsutaotlustele. Liikmesriigid tagavad, et selliste andmete avalikustamise põhimõtted ja kord tehakse üldsusele kättesaadavaks.

II jaotis

Jurisdiktsioon ja registreerimine

Artikkel 24

Jurisdiktsioon ja territoriaalsus

1.Domeeninimede süsteemi teenuse osutajad, tippdomeeninimede registrid, pilvandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad ja sisulevivõrgu pakkujad, kellele on osutatud I lisa punktis 8, ning digiteenuse pakkujad, kellele on osutatud II lisa punktis 6, loetakse kuuluvat selle liikmesriigi jurisdiktsiooni alla, kus on nende peamine tegevuskoht liidus.

2.Käesoleva direktiivi kohaldamisel käsitatakse lõikes 1 osutatud üksuste peamise tegevuskohana seda liidu liikmesriiki, kus võetakse vastu küberturvalisuse riskijuhtimismeetmetega seotud otsused. Kui kõnealuseid otsuseid ei tehta üheski liidu asukohas, käsitatakse peamise tegevuskohana seda liikmesriiki, mille territooriumil asuvas tegevuskohas on üksusel liidus kõige rohkem töötajaid.

3.Kui lõikes 1 osutatud üksus ei asu liidus, kuid pakub liidus oma teenuseid, määrab ta endale liidus esindaja. Esindaja asukoht peab olema üks nendest liikmesriikidest, kus teenuseid osutatakse. Kõnealust üksust käsitatakse selle liikmesriigi jurisdiktsiooni alla kuuluvana, kus on esindaja asukoht. Kui käesoleva artikli kohaselt esindajat määratud ei ole, võib käesolevast direktiivist tulenevaid kohustusi mittetäitva üksuse vastu õiguslikke meetmeid võtta iga liikmesriik, kus üksus teenuseid osutab.

4.Lõikes 1 osutatud üksuse poolt esindaja määramine ei piira üksuse enda vastu õiguslike meetmete võtmist.

Artikkel 25

Elutähtsate ja oluliste üksuste register

1.ENISA loob artikli 24 lõikes 1 osutatud elutähtsate ja oluliste üksuste registri ning haldab seda. Üksused esitavad ENISA-le hiljemalt [12 kuud pärast käesoleva direktiivi jõustumist] järgmise teabe:

(a)üksuse nimi;

(b)tema peamise tegevuskoha ja liidu muude ametlike tegevuskohtade aadress või kui tal liidus tegevuskohta ei ole, siis tema artikli 24 lõike 3 kohaselt määratud esindaja aadress;

(c)ajakohased kontaktandmed, sealhulgas üksuste e-posti aadressid ja telefoninumbrid.

2.Lõikes 1 osutatud üksused teavitavad ENISAt viivitamata lõike 1 kohaselt esitatud üksikasjade muutumisest, tehes seda hiljemalt kolme kuu jooksul alates muudatuse jõustumise kuupäevast.

3.Pärast lõike 1 kohase teabe saamist edastab ENISA selle ühtsetele kontaktpunktidele lähtuvalt iga üksuse või (kui üksus ei asu liidus) tema määratud esindaja peamisest tegevuskohast. Kui lõikes 1 osutatud üksusel on lisaks liidus asuvale peamisele tegevuskohale muid tegevuskohti teistes liikmesriikides, teavitab ENISA ka kõnealuste liikmesriikide ühtseid kontaktpunkte.

4.Kui üksus ei registreeri oma tegevust või ei esita asjakohast teavet lõikes 1 sätestatud tähtaja jooksul, on igal liikmesriigil, kus üksus teenuseid osutab, pädevus võtta meetmeid, et tagada üksuse käesolevas direktiivis sätestatud kohustuste täitmine.

V PEATÜKK

Teabevahetus

Artikkel 26

Küberturvalisuse alase teabevahetuse kord

1.Ilma et see piiraks määruse (EL) 2016/679 kohaldamist, tagavad liikmesriigid, et elutähtsad ja olulised üksused saavad omavahel vahetada asjakohast küberturvalisuse teavet, sealhulgas teavet, mis on seotud küberohtude, nõrkuste, rikkeindikaatorite, taktikate, meetodite ja menetluste, küberturvalisuse hoiatussüsteemide ja konfiguratsioonivahenditega, kui selline teabe jagamine:

(a)toimub intsidentide ennetamise, tuvastamise, lahendamise või nende tagajärgede leevendamise eesmärgil;

(b)aitab tõsta küberturvalisuse taset, eelkõige küberohtude alase teadlikkuse suurendamise ning kõnealuste ohtude leviku piiramise või takistamise kaudu ning toetades mitmesuguseid kaitsevõimalusi, nõrkuste vähendamist ja avalikustamist, ohu tuvastamise meetodeid, leevendusstrateegiaid või lahendamis- ja taastamisetappe.

2.Liikmesriigid tagavad, et teabevahetus toimub elutähtsate ja oluliste üksuste usaldusväärsetes kogukondades. Kõnealune teabevahetus toimub kokkulepitud teabevahetuse korra alusel, mis arvestab jagatud teabe võimalikku tundlikku iseloomu, ning kooskõlas lõikes 1 osutatud liidu õiguse normidega.

3.Liikmesriigid kehtestavad eeskirjad, millega täpsustatakse lõikes 2 osutatud teabevahetuse korraldusega seotud menetluskord, tegevusaspektid (sealhulgas sihtotstarbeliste IKT-platvormide kasutamine), sisu ja tingimused. Selliste eeskirjadega sätestatakse ka üksikasjad, mis puudutavad avaliku sektori asutuste kaasamist kõnealuse korraldusega seotud lepetesse, samuti tegevusaspektid, sealhulgas sihtotstarbeliste IT-platvormide kasutamine. Liikmesriigid toetavad kõnealuste korralduslepete rakendamist lähtuvalt artikli 5 lõike 2 punktis g osutatud poliitikameetmetest.

4.Elutähtsad ja olulised üksused teatavad pädevatele asutustele oma osalemisest lõikes 2 osutatud teabevahetuse korralduse lepetes, kui nad on selliste lepetega ühinenud, ning (kui on asjakohane) lepetest taganemisest pärast taganemise jõustumist.

5.Kooskõlas liidu õigusega toetab ENISA lõikes 2 osutatud küberturvalisuse alase teabevahetuse korra väljatöötamist, pakkudes parimate tavade teavet ja suuniseid.

Artikkel 27

Asjakohase teabe vabatahtlik edastamine

Ilma et see piiraks artikli 3 kohaldamist, tagavad liikmesriigid, et käesoleva direktiivi kohaldamisalast välja jäävatel üksustel on võimalik vabatahtlikult teatada olulistest intsidentidest, küberohtudest või ohuolukordadest. Teadete läbivaatamisel järgivad liikmesriigid artiklis 20 sätestatud menetluskorda. Liikmesriigid võivad seada kohustuslike teadete menetlemise tähtsamale kohale kui vabatahtlike teadete menetlemise. Vabatahtliku teatamisega ei kaasne teadet esitava üksuse jaoks mingeid täiendavaid kohustusi, mida tal poleks olnud, kui ta poleks teadet edastanud.

VI PEATÜKK

Järelevalve ja täitmise tagamine

Artikkel 28

Järelevalve ja täitmise tagamise üldised aspektid

1.Liikmesriigid tagavad, et pädevad asutused teevad tõhusat järelevalvet ning võtavad vajalikke meetmeid käesoleva direktiivi, eelkõige selle artiklites 18 ja 20 sätestatud kohustuste täitmise tagamiseks.

2.Kui intsidendiga kaasneb isikuandmetega seotud rikkumine, teevad pädevad asutused selle lahendamisel tihedat koostööd andmekaitseasutustega.

Artikkel 29

Järelevalve ja täitmise tagamine elutähtsate üksuste puhul

1.Liikmesriigid tagavad, et käesolevas direktiivis sätestatud kohustustega seoses elutähtsate üksuste suhtes kohaldatavad järelevalve- või täitemeetmed on tõhusad, proportsionaalsed ja heidutavad ning et nende puhul võetakse arvesse iga üksikjuhtumi asjaolusid.

2.Liikmesriigid tagavad, et pädevatel asutustel on elutähtsate üksustega seotud järelevalveülesannete täitmisel nende üksuste suhtes järgmised õigused:

a)teha kohapealset kontrolli ja kaugjärelevalvet, sh pistelisi kontrolle;

b)teha korrapäraseid auditeid;

c)teha sihipäraseid turvaauditeid, mis põhinevad riskihindamisel või kättesaadaval riskidega seotud teabel;

d)teha turvalisuse kontrolle, mis põhinevad objektiivsetel, mittediskrimineerivatel, õiglastel ja läbipaistvatel riskihindamise kriteeriumidel;

e)esitada teabenõudeid, mis on vajalikud üksuse võetud küberturvalisuse meetmete, sealhulgas tema küberturvalisuse dokumenteeritud eeskirjade hindamiseks ning samuti artikli 25 lõigete 1 ja 2 kohase ENISA teavitamise kohustuse täitmise hindamiseks;

f)nõuda juurdepääsu andmetele, dokumentidele või mis tahes teabele, mis on vajalik järelevalveülesannete täitmiseks;

g)nõuda küberturvalisuse eeskirjade rakendamise tõendamist, näiteks kvalifitseeritud audiitori tehtud turvaauditite tulemusi ja nende aluseks olevaid tõendavaid dokumente.

3.Lõike 2 punktides e–g sätestatud volituste rakendamisel märgivad pädevad asutused ära taotluse eesmärgi ja täpsustavad, millist teavet nõutakse.

4.Liikmesriigid tagavad, et pädevatel asutustel on elutähtsate üksustega seotud täitmise tagamise volituste rakendamisel järgmised õigused:

(a)teha hoiatusi selle kohta, et üksused ei täida käesolevas direktiivis sätestatud kohustusi;

(b)anda siduvaid juhiseid või korraldusi, millega nõutakse, et kõnealused üksused kõrvaldaksid tuvastatud puudused või heastaksid käesolevas direktiivis sätestatud kohustuste rikkumise;

(c)anda kõnealustele üksustele korraldus lõpetada tegevus, mis ei ole kooskõlas käesolevas direktiivis sätestatud nõuetega, ja hoiduda sellist tegevust kordamast;

(d)kohustada kõnealuseid üksuseid viima kindlaksmääratud viisil ja kindlaksmääratud ajavahemiku jooksul oma riskijuhtimis- ja/või teatamiskohustuse täitmise meetmed vastavusse artiklites 18 ja 20 sätestatud nõuetega;

(e)kohustada kõnealuseid üksuseid teavitama füüsilisi või juriidilisi isikuid, kellele osutatakse teenuseid või kellega seoses toimub tegevus, mida võib mõjutada märkimisväärne küberoht, võimalikest kaitse- või parandusmeetmetest, mida asjaomased füüsilised või juriidilised isikud võivad vastavale ohule reageerimiseks võtta;

(f)kohustada kõnealuseid üksusi rakendama mõistliku aja jooksul turvaauditi tulemuste alusel tehtud soovitusi;

(g)määrata kindlaks ajavahemikuks järelevalveametniku, kelle ülesanded on täpselt määratletud ning kes jälgib artiklites 18 ja 20 sätestatud kohustuste täitmist;

(h)kohustada kõnealuseid üksuseid avalikustama kindlaksmääratud viisil käesolevas direktiivis sätestatud kohustuste täitmata jätmisega seotud aspektid;

(i)teha avaliku avalduse, milles märgitakse ära käesolevas direktiivis sätestatud kohustuse rikkumise eest vastutavad juriidilised ja füüsilised isikud ning rikkumise laad;

(j)määrata või taotleda, et asjaomased asutused või kohtud määraksid vastavalt siseriiklikele õigusaktidele haldustrahvi kooskõlas artikliga 31 lisaks käesoleva lõike punktides a–i osutatud meetmetele või nende asemel, olenevalt konkreetse juhtumi asjaoludest.

5.Kui lõike 4 punktide a–d ja f kohaselt võetud täitmismeetmed ei anna tulemust, tagavad liikmesriigid, et pädevatel asutustel on õigus kehtestada tähtaeg, mille jooksul peab elutähtis üksus võtma vajalikud meetmed puuduste kõrvaldamiseks või kõnealuste asutuste esitatud nõuete täitmise tagamiseks. Liikmesriigid tagavad, et kui nõutavat meedet ettenähtud tähtaja jooksul ei võeta, on pädevatel asutustel õigus:

(a)peatada või nõuda, et sertifikaate või lube väljastav asutus peataks elutähtsa üksuse kõigi või mõnede osutatavate teenuste või tegevuste sertifikaadi või loa;

(b)keelata või taotleda, et asjaomased asutused või kohtud keelaksid siseriikliku õiguse kohaselt isikul, kes täidab selles elutähtsas üksuses tegevjuhina või seadusliku esindajana juhtimisülesandeid, või rikkumise eest vastutaval muul füüsilisel isikul selles elutähtsas üksuses ajutiselt juhtimisülesannete täitmise.

Neid karistusi kohaldatakse ainult seni, kuni üksus võtab vajalikud meetmed nende puuduste kõrvaldamiseks või pädeva asutuse nende nõuete täitmiseks, mille tõttu karistusi kohaldati.

6.Liikmesriigid tagavad, et elutähtsa üksuse eest vastutaval või seda esindaval isikul, keda on volitatud üksust esindama, üksuse nimel otsuseid tegema või üksuse tegevust kontrollima, on pädevus tagada käesolevas direktiivis sätestatud kohustuste täitmine. Liikmesriigid tagavad, et neid füüsilisi isikuid saab käesolevas direktiivis sätestatud kohustuste täitmata jätmise eest vastutusele võtta.

7.Täitemeetmete võtmise või lõigete 4 ja 5 kohaste karistuste kohaldamise korral arvestavad pädevad asutused kaitseõigust ning iga üksikjuhtumi asjaolusid, võttes nõuetekohaselt arvesse vähemalt järgmist:

(a)rikkumise raskusaste ja rikutud sätete tähtsus; raske rikkumisena käsitatakse muu hulgas järgmist: korduvad rikkumised, olulise häiriva mõjuga intsidentidest teatamata jätmine või parandusmeetmete võtmata jätmine, pädevatelt asutustelt saadud siduvate juhiste järgi puuduste kõrvaldamata jätmine, rikkumiste tuvastamise järel pädevate asutuste tellitud auditite või järelevalvetegevuse takistamine, valeandmete või lubamatult ebatäpsete andmete esitamine artiklites 18 ja 20 sätestatud riskijuhtimisnõuete või teatamiskohustustega seoses;

(b)rikkumise kestus ja rikkumiste korduvus;

(c)tegelikult põhjustatud kahju või potentsiaalne kahju, mis oleks võinud kaasneda (kuivõrd seda on võimalik kindlaks määrata); selle aspekti hindamisel võetakse muu hulgas arvesse tegelikku või potentsiaalset rahalist või majanduslikku kahju, mõju teistele teenustele ja mõjutatud või potentsiaalselt mõjutatud kasutajate arvu;

(d)asjaolu, kas rikkumine oli tahtlik või tulenes hooletusest;

(e)meetmed, mida üksus on võtnud kahju ennetamiseks või vähendamiseks;

(f)kinnitatud tegevusjuhendite järgimine või kinnitatud sertifitseerimismehhanismide rakendamine;

(g)vastutava(te) füüsilis(t)e või juriidilis(t)e isiku(te) ja pädeva asutuse koostöö tase.

8.Pädevad asutused esitavad oma täitmisotsuste üksikasjaliku põhjenduse. Enne selliste otsuste tegemist teavitavad pädevad asutused asjaomaseid üksusi oma esialgsetest järeldustest ja jätavad neile mõistliku aja märkuste esitamiseks.

9.Liikmesriigid tagavad, et nende pädevad asutused teavitavad asjaomase liikmesriigi direktiivi (EL) XXXX/XXXX [kriitilise tähtsusega üksuste vastupidavusvõime direktiiv] kohaselt määratud pädevaid asutusi, kui nad rakendavad käesoleva direktiiviga sätestatud kohustuste täitmise tagamise eesmärgil direktiivi (EL) XXXX/XXXX [kriitilise tähtsusega üksuste vastupidavusvõime direktiiv] kohaselt kriitilise tähtsusega üksuse või sellega võrdväärse üksusena käsitatava üksuse suhtes oma järelevalve- ja täitmise tagamise volitusi. Direktiivi (EL) XXX/XXX [kriitilise tähtsusega üksuste vastupidamisvõime direktiiv] kohaste pädevate asutuste taotluse korral võivad pädevad asutused kasutada oma järelevalve- ja täitmise tagamise volitusi kriitilise tähtsusega üksusena või sellega võrdväärsena käsitatava elutähtsa üksuse suhtes.

Artikkel 30

Järelevalve ja täitmise tagamine oluliste üksuste puhul

1.Liikmesriigid tagavad, et pädevad asutused võtavad vajaduse korral järelevalve järelkontrollimeetmeid (ex-post-järelevalve), kui neile esitatakse tõendeid või vihjeid selle kohta, et oluline üksus ei täida käesolevas direktiivis, eriti selle artiklites 18 ja 20 sätestatud kohustusi.

2.Liikmesriigid tagavad, et pädevatel asutustel on oluliste üksustega seotud järelevalveülesannete täitmisel kõnealuste üksuste suhtes järgmised õigused:

(a)teha kohapealseid kontrolle ja kaugjärelevalve korras järelkontrolli (ex-post-järelevalvet);

(b)teha sihipäraseid turvaauditeid, mis põhinevad riskihindamisel või kättesaadaval riskidega seotud teabel;

(c)teha turvalisuse kontrolle, mis põhinevad objektiivsetel, õiglastel ja läbipaistvatel riskihindamise kriteeriumidel;

(d)nõuda teavet, mis on vajalik üksuse võetud küberturvalisuse meetmete, sealhulgas tema küberturvalisuse dokumenteeritud eeskirjade järelhindamiseks, ning samuti artikli 25 lõigete 1 ja 2 kohase ENISA teavitamise kohustuse täitmise järelhindamiseks;

(e)taotleda juurdepääsu andmetele, dokumentidele ja/või mis tahes teabele, mis on vajalik järelevalveülesannete täitmiseks.

3.Lõike 2 punktides d–e sätestatud volituste rakendamisel märgivad pädevad asutused ära taotluse eesmärgi ja täpsustavad, millist teavet nõutakse.

4.Liikmesriigid tagavad, et pädevatel asutustel on oluliste üksustega seotud täitmise tagamise volituste rakendamisel järgmised õigused:

(a)teha hoiatusi selle kohta, et üksused ei täida käesolevas direktiivis sätestatud kohustusi;

(b)anda siduvaid juhiseid või korraldusi, millega nõutakse, et kõnealused üksused kõrvaldaksid tuvastatud puudused või heastaksid käesolevas direktiivis sätestatud kohustuse rikkumise;

(c)anda kõnealustele üksustele korraldus lõpetada tegevus, mis ei ole kooskõlas käesolevas direktiivis sätestatud nõuetega, ja hoiduda sellist tegevust kordamast;

(d)kohustada kõnealuseid üksuseid viima kindlaksmääratud viisil ja kindlaksmääratud ajavahemiku jooksul oma riskijuhtimis- ja/või aruandluskohustuse täitmise meetmed vastavusse artiklites 18 ja 20 sätestatud nõuetega;

(f)kohustada kõnealuseid üksusi rakendama mõistliku aja jooksul turvaauditi tulemuste alusel tehtud soovitusi;

(g)kohustada kõnealuseid üksuseid avalikustama kindlaksmääratud viisil käesolevas direktiivis sätestatud kohustuste täitmata jätmisega seotud aspektid;

(h)teha avaliku avalduse, milles märgitakse ära käesolevas direktiivis sätestatud kohustuse rikkumise eest vastutavad juriidilised ja füüsilised isikud ning rikkumise laad;

(i)määrata või taotleda, et asjaomased asutused või kohtud määraksid vastavalt siseriiklikele õigusaktidele haldustrahvi kooskõlas artikliga 31 lisaks käesoleva lõike punktides a–h osutatud meetmetele või nende asemel, olenevalt iga konkreetse juhtumi asjaoludest.

5.Artikli 29 lõikeid 6–8 kohaldatakse ka käesolevas artiklis sätestatud järelevalve- ja täitemeetmete puhul, mida kohaldatakse II lisas loetletud oluliste üksuste suhtes.

Artikkel 31

Elutähtsatele ja olulistele üksustele haldustrahvide määramise üldtingimused

1.Liikmesriigid tagavad, et haldustrahvid, mis määratakse käesolevas direktiivis sätestatud kohustuste rikkumise eest elutähtsatele ja olulistele üksustele käesoleva artikli kohaselt, on alati (iga juhtumi asjaoludest lähtuvalt) tõhusad, proportsionaalsed ja heidutavad.

2.Haldustrahve kohaldatakse konkreetse juhtumi asjaoludest sõltuvalt kas lisaks artikli 29 lõike 4 punktides a–i, artikli 29 lõikes 5 ja artikli 30 lõike 4 punktides a–h osutatud meetmetele või nende asemel.

3.Haldustrahvi määramise ja selle suuruse üle otsustamisel võetakse iga üksiku juhtumi puhul nõuetekohaselt arvesse vähemalt artikli 29 lõikes 7 sätestatud asjaolusid.

4.Liikmesriigid tagavad, et artiklis 18 või 20 sätestatud kohustuste rikkumise eest määratakse kooskõlas käesoleva artikli lõigetega 2 ja 3 haldustrahv, mille maksimummäär on vähemalt 10 000 000 eurot või kuni 2 % (olenevalt sellest, kumb summa on suurem) selle ettevõtja ülemaailmsest aastasest kogukäibest, kellele oluline üksus eelneval majandusaastal kuulub.

5.Liikmesriigid võivad näha ette õiguse määrata perioodilisi karistusmakseid, mille eesmärk on sundida elutähtsat või olulist üksust (kompetentse asutuse eelneva otsuse alusel) rikkumist lõpetama.

6.Ilma et see piiraks artiklites 29 ja 30 osutatud pädevate asutuste volitusi, võib iga liikmesriik kehtestada eeskirjad selle kohta, kas ja millises ulatuses võib haldustrahve määrata artikli 4 lõikes 23 osutatud avalik-õiguslikele asutustele, kelle suhtes kehtivad käesolevas direktiivis sätestatud kohustused.

Artikkel 32

Isikuandmete väärkasutamisega seotud rikkumised

1.Kui pädevatel asutustel on viiteid selle kohta, et elutähtsa või olulise üksuse artiklites 18 ja 20 sätestatud kohustuste rikkumisega kaasneb isikuandmetega seotud rikkumine, nagu on määratletud määruse (EL) 2016/679 artikli 4 lõikes 12 ja millest tuleb teavitada kõnealuse määruse artikli 33 kohaselt, teavitavad nad sellest mõistliku aja jooksul kõnealuse määruse artiklite 55 ja 56 kohastele kompetentsetele järelevalveasutustele.

2.Kui määruse (EL) 2016/679 artiklite 55 ja 56 kohased pädevad järelevalveasutused otsustavad kasutada oma volitusi ja määrata kõnealuse määruse artikli 58 punkti i alusel haldustrahvi, ei määra pädevad asutused sama rikkumise eest haldustrahvi käesoleva direktiivi artikli 31 alusel. Pädevad asutused võivad siiski kohaldada täitemeetmeid või kasutada oma volitusi määrata karistusi käesoleva direktiivi artikli 29 lõike 4 punktide a–i, artikli 29 lõike 5 ja artikli 30 lõike 4 punktide a–h alusel.

3.Kui määruse (EL) 2016/679 kohane pädev järelevalveasutus asub muus liikmesriigis kui pädev asutus, võib pädev asutus teavitada samas liikmesriigis asutatud järelevalveasutust.

Artikkel 33

Karistused

1.Liikmesriigid kehtestavad karistusnormid, mida kohaldatakse käesoleva direktiivi alusel vastu võetud liikmesriigi sätete rikkumise korral, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja heidutavad.

2.Liikmesriigid teavitavad hiljemalt [kahe] aasta jooksul pärast käesoleva direktiivi jõustumist komisjoni kõnealustest õigusnormidest ja meetmetest, samuti teatavad nad komisjoni viivitamata kõigist nende normide ja meetmete hilisematest muudatustest.

Artikkel 34

Vastastikune abi

1.Kui elutähtis või oluline üksus osutab teenuseid mitmes liikmesriigis või kui tal on peamine tegevuskoht või esindaja ühes liikmesriigis, kuid tema võrgu- ja infosüsteemid asuvad ühes või mitmes teises liikmesriigis, teevad peamise või muu tegevuskoha või esindaja liikmesriigi pädev asutus ja kõnealuste teiste liikmesriikide pädevad asutused koostööd ning vajaduse korral abistavad üksteist. Kõnealune koostöö hõlmab vähemalt järgmist:

(a)liikmesriigis järelevalve- või täitemeetmeid kohaldavad pädevad asutused teavitavad ühtse kontaktpunkti kaudu teiste asjaomaste liikmesriikide pädevaid asutusi artiklite 29 ja 30 kohaselt võetud järelevalve- ja täitemeetmetest ja nende järelmeetmetest ning konsulteerivad nendega;

(b)pädev asutus võib teiselt pädevalt asutuselt taotleda artiklites 29 ja 30 osutatud järelevalve- või täitemeetmete võtmist;

(c)pädev asutus osutab teise pädeva asutuse põhjendatud taotluse korral teisele pädevale asutusele abi, et artiklites 29 ja 30 osutatud järelevalve- või täitemeetmeid saaks rakendada tulemuslikult, tõhusalt ja järjepidevalt. Selline vastastikune abi võib hõlmata teabenõudeid ja järelevalvemeetmeid, sealhulgas taotlusi teha kohapealseid kontrolle või kohapealset järelevalvet või sihipäraseid turvaauditeid. Abitaotluse saanud pädev asutus ei või taotlust tagasi lükata, välja arvatud juhul, kui pärast asjaomaste asutuste, ENISA ja komisjoniga konsulteerimist leitakse, et asutus ei ole pädev taotletud abi andma või et taotletav abi ei ole pädeva asutuse artikli 29 või 30 kohaselt täidetavate järelevalveülesannete suhtes proportsionaalne.

2.Kus asjakohane, võivad eri liikmesriikide pädevad asutused omavahelisel kokkuleppel võtta artiklites 29 ja 30 osutatud järelevalvemeetmeid ühiselt.

VII PEATÜKK

Ülemineku- ja lõppsätted

Artikkel 35

Läbivaatamine

Komisjon vaatab käesoleva direktiivi selle toimivuse hindamiseks korrapäraselt läbi ning esitab sellekohase aruande Euroopa Parlamendile ja nõukogule. Aruandes hinnatakse eelkõige I ja II lisas osutatud sektorite, allsektorite ning üksuste suuruse ja liigi asjakohasust majanduse ja ühiskonna toimimise aspektist küberturvalisusega seoses. Sel eesmärgil ning strateegilise ja operatiivkoostöö täiendavaks edendamiseks võtab komisjon arvesse koostöörühma ja CSIRTide võrgustiku aruandeid strateegilisel ja operatiivtasandil saadud kogemuste kohta. Esimene aruanne esitatakse ... 54 kuud pärast käesoleva direktiivi jõustumise kuupäeva.

Artikkel 36

Delegeerimine

1.Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.

2.Artikli 18 lõikes 6 ja artikli 21 lõikes 2 osutatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile viieks aastaks alates […].

3.Euroopa Parlament ja nõukogu võivad artikli 18 lõikes 6 ja artikli 21 lõikes 2 osutatud volituste delegeerimise otsuse igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

4.Enne delegeeritud õigusakti vastuvõtmist konsulteerib komisjon kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega iga liikmesriigi määratud ekspertidega.

5.Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teavitab ta sellest Euroopa Parlamenti ja nõukogu.

6.Artikli 18 lõike 6 ja artikli 21 lõike 2 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.

Artikkel 37

Komiteemenetlus

1.Komisjoni abistab komitee. Osutatud komitee on komitee määruses (EL) nr 182/2011 sätestatud tähenduses.

2.Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

3.Kui komitee arvamus saadakse kirjaliku menetlusega, lõpetatakse nimetatud menetlus tulemust saavutamata, kui arvamuse esitamiseks ettenähtud tähtaja jooksul komitee eesistuja nii otsustab või komitee liige seda taotleb.

Artikkel 38

Ülevõtmine

1.Liikmesriigid võtavad vastu ja avaldavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid hiljemalt 18 kuud pärast käesoleva direktiivi jõustumist. Liikmesriigid teavitavad nendest viivitamata komisjoni. Nad kohaldavad kõnealuseid meetmeid alates ... [esimeses lõigus osutatud kuupäevale järgnevast päevast].

2.Kui liikmesriigid võtavad need meetmed vastu, lisavad nad nendesse või nende juurde viite käesolevale direktiivile, kui nad need meetmed ametlikult avaldavad. Sellise viitamise viisi näevad ette liikmesriigid.

Artikkel 39

Määruse (EL) nr 910/2014 muutmine

Määruse (EL) nr 910/2014 artikkel 19 jäetakse välja.

Artikkel 40

Direktiivi (EL) 2018/1972 muutmine

Direktiivi (EL) 2018/1972 artiklid 40 ja 41 jäetakse välja.

Artikkel 41

Kehtetuks tunnistamine

Direktiiv (EL) 2016/1148 tunnistatakse kehtetuks alates ... [direktiivi ülevõtmise tähtpäev].

Viiteid direktiivile (EL) 2016/1148 tõlgendatakse viidetena käesolevale direktiivile ja neid loetakse III lisas esitatud vastavustabeli kohaselt.

Artikkel 42

Jõustumine

Käesolev direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikkel 43

Adressaadid

Käesolev direktiiv on adresseeritud liikmesriikidele.

Brüssel,

Euroopa Parlamendi nimel Nõukogu nimel

president eesistuja

FINANTSSELGITUS

Sisukord

1.ETTEPANEKU/ALGATUSE RAAMISTIK

1.1.Ettepaneku/algatuse nimetus

1.2.Asjaomased poliitikavaldkonnad (programmi teemavaldkond)

1.3.Ettepaneku/algatuse liik

1.4.Ettepaneku/algatuse põhjendused

1.4.1.Lühi- või pikaajalises perspektiivis täidetavad vajadused, sealhulgas algatuse rakendamise täpne ajakava

1.4.2.ELi meetme lisaväärtus (see võib tuleneda eri teguritest, nagu kooskõlastamisest saadav kasu, õiguskindlus, suurem tõhusus või vastastikune täiendavus). Käesoleva punkti kohaldamisel tähendab „ELi meetme lisaväärtus“ väärtust, mis tuleneb liidu sekkumisest ja lisandub väärtusele, mille liikmesriigid oleksid üksi tegutsedes loonud..

1.4.3.Samalaadsetest kogemustest saadud õppetunnid

1.4.4.Kooskõla muude asjaomaste meetmetega ja võimalik koostoime

1.5.Kestus ja finantsmõju

1.6.Ettenähtud eelarve täitmise viis(id)

2.HALDUSMEETMED

2.1.Järelevalve ja aruandluse eeskirjad

2.2.Haldus- ja kontrollisüsteem(id)

2.2.1.Eelarve täitmise viisi(de), rahastamise rakendamise mehhanismi(de), maksete tegemise korra ja kavandatava kontrollistrateegia selgitus

2.2.2.Teave kindlakstehtud riskide ja nende vähendamiseks kasutusele võetud sisekontrollisüsteemi(de) kohta

2.2.3.Kontrollide kulutõhususe (kontrollikulude suhe hallatavate vahendite väärtusse) hinnang ja põhjendus ning prognoositav vigade esinemise riski tase (maksete tegemise ja sulgemise ajal)

2.3.Pettuse ja eeskirjade rikkumise ärahoidmise meetmed

3.ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU

3.1.Mitmeaastase finantsraamistiku rubriik ja kavandatavad uued kulude eelarveread

3.2.Hinnanguline mõju kuludele

3.2.1.Hinnanguline mõju kuludele – ülevaade

3.2.2.Hinnanguline mõju haldusassigneeringutele – ülevaade

3.2.3.Kolmandate isikute rahaline osalus

3.3.Hinnanguline mõju tuludele

1.ETTEPANEKU/ALGATUSE RAAMISTIK

1.1.Ettepaneku/algatuse nimetus

Ettepanek võtta vastu direktiiv, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega tunnistatakse kehtetuks direktiiv 2016/1148

1.2.Asjaomased poliitikavaldkonnad (programmi teemavaldkond)

Sidevõrgud, sisu ja tehnoloogia

1.3.Ettepaneku/algatuse liik:

◻ uus meede

◻ uus meede, mis tuleneb katseprojektist / ettevalmistavast meetmest 40

☒ olemasoleva meetme pikendamine

◻ ühe või mitme meetme ümbersuunamine teise või uude meetmesse või ühendamine teise või uue meetmega

1.4.Ettepaneku/algatuse põhjendused

1.4.1.Lühi- või pikaajalises perspektiivis täidetavad vajadused, sealhulgas algatuse rakendamise täpne ajakava

Muutmise eesmärk on suurendada Euroopa Liidus kõigis asjaomastes sektorites tegutsevate ettevõtjate kübervastupidavusvõimet, vähendada siseturul vastupanuvõime taseme ebaühtlust direktiivi kohaldamisalasse juba hõlmatud sektorites ning suurendada ühist olukorrateadlikkust, ühist valmisolekut ja ühist reageerimissuutlikkust.

ELi sekkumine suuremas ulatuses, kui küberturvalisuse direktiivi praegused meetmed ette näevad, on põhjendatav peamiselt järgmisega: i) probleemi piiriülene olemus; ii) ELi meetmete potentsiaal edendada ja hõlbustada tõhusat riiklikku poliitikat; iii) kooskõlastatud ja koostööl põhinevate küberturvalisuse alaste poliitikameetmete panus andmekaitse ja eraelu puutumatuse tõhusasse kaitsesse.

Seega on mainitud eesmärke parem saavutada ELi tasandi meetmetega kui et liikmesriikide üksinda tegutsemisega.

1.4.3.Samalaadsetest kogemustest saadud õppetunnid

Küberturvalisuse direktiiv on esimene horisontaalne siseturu õigusvahend, mille eesmärk on parandada liidu võrkude ja süsteemide vastupanuvõimet küberturvalisuse riskide suhtes. See on juba aidanud märkimisväärselt tõsta küberturvalisuse üldist taset liikmesriikides. Direktiivi toimimise ja kohaldamise läbivaatamise tulemusena on siiski osutatud mitmele puudusele, mida tuleb muudetud õigusaktiga käsitleda peale ajakohasemate meetmete vajaduse küsimuse, mis tuleneb üha suurenevast digiteerimisest.

1.4.4.Kooskõla muude asjaomaste meetmetega ja võimalik koostoime

Uus ettepanek on täielikult kooskõlas teiste seotud algatustega, nagu finantssektori digitaalset operatiivset vastupidavusvõimet käsitleva määruse (DORA) vastuvõtmise ettepanek ja elutähtsate teenuste kriitilise tähtsusega operaatorite vastupidavusvõimet käsitleva direktiivi vastuvõtmise ettepanek. Samuti on see kooskõlas Euroopa elektroonilise side seadustiku, isikuandmete kaitse üldmääruse ja eIDASe määrusega.

Ettepanek on ELi julgeolekuliidu strateegia oluline osa.

1.5.Kestus ja finantsmõju

◻ Piiratud kestus

–◻ Hõlmab ajavahemikku [PP.KK]AAAA–[PP.KK]AAAA

–◻ Finantsmõju kulukohustuste assigneeringutele avaldub ajavahemikul AAAA–AAAA ja maksete assigneeringutele ajavahemikul AAAA–AAAA

☒ Piiramatu kestus

–rakendamise käivitumisperiood hõlmab ajavahemikku 2022–2025,

–millele järgneb täieulatuslik rakendamine.

1.6.Ettenähtud eelarve täitmise viis(id) 41

Eelarve otsene täitmine komisjoni poolt

–☒ oma talituste kaudu, rakendades seejuures liidu delegatsioonides töötavat komisjoni personali

–◻rakendusametite kaudu

◻ Eelarve jagatud täitmine koostöös liikmesriikidega

◻ Kaudne eelarve täitmine, mille puhul on eelarve täitmise ülesanded delegeeritud:

–◻ kolmandatele riikidele või nende määratud asutustele;

–◻ rahvusvahelistele organisatsioonidele ja nende allasutustele (nimetage);

–◻Euroopa Investeerimispangale ja Euroopa Investeerimisfondile;

–X◻ finantsmääruse artiklites 70 ja 71 osutatud asutustele;

–◻ avalik-õiguslikele asutustele;

–◻ avalikke teenuseid osutavatele eraõiguslikele asutustele, kuivõrd nad esitavad piisavad finantstagatised;

–◻ liikmesriigi eraõiguslikele asutustele, kellele on delegeeritud avaliku ja erasektori partnerluse rakendamine ning kes esitavad piisavad finantstagatised;

–◻ isikutele, kellele on delegeeritud Euroopa Liidu lepingu V jaotise kohaste ÜVJP erimeetmete rakendamine ja kes on määratletud asjaomases alusaktis.

–Mitme eelarve täitmise viisi märkimise korral esitage üksikasjad rubriigis „Märkused“.

Märkused

Euroopa Liidu Küberturvalisuse Amet ENISA, millele on küberturvalisuse määrusega antud uus alaline mandaat, aitaks liikmesriike ja komisjoni muudetud küberturvalisuse direktiivi kohaldamisel.

Muudetud küberturvalisuse direktiivi kohaselt on ENISA-l alates aastast 2022/2023 täiendavad tegevusvaldkonnad. Kuigi need tegevusvaldkonnad kuuluksid ka ENISA üldiste mandaadijärgsete ülesannete hulka, kaasneb nendega ameti jaoks täiendav töökoormus. Täpsemalt peab ENISA komisjoni küberturvalisuse direktiivi muudatusettepaneku kohaselt hõlmama oma tööprogrammi peale praeguste tegevusvaldkondade muu hulgas järgmised tegevused: i) töötada välja Euroopa nõrkuste register ja seda hallata (ettepaneku artikli 6 lõige 2), ii) pakkuda Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikule (CyCLONe) sekretariaaditeenust (ettepaneku artikkel 14) ja koostada igal aastal aruanne küberturvalisuse olukorra kohta ELis (ettepaneku artikkel 15), iii) toetada vastastikuste hindamiste korraldamist liikmesriikide vahel (ettepaneku artikkel 16), iv) koguda liikmesriikidelt intsidentide kohta koondandmeid ja anda välja ettepanekut käsitlevaid tehnilisi suuniseid (artikli 20 lõige 9) ning v) töötada välja piiriüleseid teenuseid osutavate üksuste register ja seda hallata (ettepaneku artikkel 25).

Seetõttu taotletakse alates 2022. aastast viit täiendavat täistööajale taandatud töötaja ametikohta, millega seotud kulude täitmiseks vajalik eelarve on umbes 0,61 miljonit eurot aastas (vt eraldi finantsselgitus ametite kohta).

2.HALDUSMEETMED

2.1.Järelevalve ja aruandluse eeskirjad

Märkige sagedus ja tingimused.

Komisjon vaatab käesoleva direktiivi korrapäraselt läbi, et hinnata selle toimivust, ning esitab aruande Euroopa Parlamendile ja nõukogule. Esimene läbivaatus tehakse kolm aastat pärast jõustumist.

Komisjon hindab ka direktiivi nõuetekohast ülevõtmist liikmesriikides.

2.2.Haldus- ja kontrollisüsteem(id)

2.2.1.Eelarve täitmise viisi(de), rahastamise rakendamise mehhanismi(de), maksete tegemise korra ja kavandatava kontrollistrateegia selgitus

Direktiivi kohaldamise eest vastutab sidevõrkude, sisu ja tehnoloogia peadirektoraadi üksus.

2.2.2.Teave kindlakstehtud riskide ja nende vähendamiseks kasutusele võetud sisekontrollisüsteemi(de) kohta

Risk on väga väike, kuna küberturvalisuse direktiivi ökosüsteem on juba loodud.

2.2.3.Kontrollide kulutõhususe (kontrollikulude suhe hallatavate vahendite väärtusse) hinnang ja põhjendus ning prognoositav vigade esinemise riski tase (maksete tegemise ja sulgemise ajal)

Ei kohaldata. Kasutatakse ainult halduseelarvet („üldvahendid“).

2.3.Pettuse ja eeskirjade rikkumise ärahoidmise meetmed

Nimetage rakendatavad või kavandatud ennetus- ja kaitsemeetmed, nt pettustevastase võitluse strateegias esitatud meetmed.

Ei kohaldata. Kasutatakse ainult halduseelarvet („üldvahendid“).

3.ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU

3.1.Mitmeaastase finantsraamistiku rubriik ja kavandatavad uued kulude eelarveread

Mitmeaastase finantsraamistiku rubriik

Eelarverida

Assigneeringu
liik

Rahaline osalus

Nr
[Rubriik…7……………………...…………]

Liigendatud/liigendamata 42

EFTA riigid 43

kandidaatriigid 44

kolmandad riigid

finantsmääruse artikli [21 lõike 2 punkti b] tähenduses

20 02 06 juhtimiskulud

20 02 06

Liigendamata

3.2.Hinnanguline mõju kuludele

3.2.1.Hinnanguline mõju kuludele – ülevaade

Miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku
rubriik

<…>

[Rubriik……………...……………………………………………………………]

			2021	2022	2023	2024	2025	2026	2027	Pärast 2027. aastat	KOKKU
Tegevusassigneeringud (liigendatud punktis 3.1 esitatud eelarveridade järgi)	Kulukohustused	(1)
	Maksed	(2)
Programmi vahenditest rahastatavad haldusassigneeringud 45	Kulukohustused = maksed	(3)
Programmi vahendite assigneeringud KOKKU	Kulukohustused	=1+3
	Maksed	=2+3

Mitmeaastase finantsraamistiku
rubriik

„Halduskulud“
Koosolekud: võrgu- ja infoturbe koostöörühma täiskogu koosolekud toimuvad tavaliselt neli korda aastas. Komisjon katab 27 liikmesriigi esindajate toitlustus- ja reisikulud (üks esindaja liikmesriigi kohta). Ühe koosoleku kulud võivad ulatuda kuni 15 000 euroni.

Lähetused: lähetused on seotud küberturvalisuse direktiivi kohaldamise järelevalvega. Näide: ühe aasta jooksul (2019. aasta maist kuni 2020. aasta juulini) tuli korraldada küberturvalisuse alaseid riigivisiite ja külastada kõiki 27 liikmesriiki, et arutada küberturvalisuse direktiivi kohaldamist ELis.

Selle punkti täitmisel tuleks kasutada haldusalaste eelarveandmete tabelit, mis on esitatud õigusaktile lisatava finantsselgituse lisas , ja laadida see talitustevahelise konsulteerimise tarvis üles DECIDE võrku.

Miljonites eurodes (kolm kohta pärast koma)

		2021	2022	2023	2024	2025	2026	2027	Pärast 2027. aastat	KOKKU
Personalikulud		1,14	1,14	1,14	1,14	1,14	1,14	1,14		7,98
Muud halduskulud		0,09	0,09	0,09	0,09	0,09	0,09	0,09		0,63
Mitmeaastase finantsraamistiku RUBRIIGI 7 assigneeringud KOKKU	(Kulukohustuste kogusumma = maksete kogusumma)	1,23	1,23	1,23	1,23	1,23	1,23	1,23		8,61

Miljonites eurodes (kolm kohta pärast koma)

		2021	2022	2023	2024	2025	2026	2027	Pärast 2027. aastat	KOKKU
Mitmeaastase finantsraamistiku RUBRIIKIDE assigneeringud KOKKU	Kulukohustused
	Maksed

3.2.2.Hinnanguline mõju haldusassigneeringutele – ülevaade

–◻ Ettepanek/algatus ei hõlma haldusassigneeringute kasutamist

–◻X Ettepanek/algatus hõlmab haldusassigneeringute kasutamist, mis toimub järgmiselt:

Miljonites eurodes (kolm kohta pärast koma)

Aastad

2021

2022

2023

2024

2025

2026

2027

KOKKU

Mitmeaastase finantsraamistiku RUBRIIK 7
Personalikulud	1,14	1,14	1,14	1,14	1,14	1,14	1,14	7,98
Muud halduskulud	0,09	0,09	0,09	0,09	0,09	0,09	0,09	0,63
Mitmeaastase finantsraamistiku RUBRIIK 7 – vahesumma	1,23	1,23	1,23	1,23	1,23	1,23	1,23	8,61

Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud 46
Personalikulud
Muud halduskulud
Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud – vahesumma

KOKKU

1,23

8,61

Personali ja muude halduskuludega seotud assigneeringute vajadused kaetakse asjaomase peadirektoraadi poolt kõnealuse meetme haldamiseks juba antud ja/või ümberpaigutatud assigneeringute raames, täiendades neid vajaduse korral täiendavate assigneeringutega, mida võidakse anda haldavale peadirektoraadile iga-aastase vahendite eraldamise menetluse käigus, arvestades eelarvepiiranguid.

3.2.2.1.Hinnanguline personalivajadus

–◻ Ettepanek/algatus ei hõlma personali kasutamist.

–◻X Ettepanek/algatus hõlmab personali kasutamist, mis toimub järgmiselt:

Hinnanguline väärtus täistööaja ekvivalendina

Aastad		2021	2022	2023	2024	2025	2026	2027
• Ametikohtade loeteluga ette nähtud ametikohad (ametnikud ja ajutised teenistujad)
Komisjoni peakorteris ja esindustes		6	6	6	6	6	6	6
Delegatsioonides
Teadustegevus
• Koosseisuväline personal (täistööajale taandatud töötajad: TTE) – AC, AL, END, INT ja JED 47 Rubriik 7
Rahastatakse mitmeaastase finantsraamistiku RUBRIIGIST 7	– peakorteris	3	3	3	3	3	3	3
	– delegatsioonides
Rahastatakse programmi vahenditest 48	– peakorteris
	– delegatsioonides
Teadustegevus
Muud (märkige)
KOKKU		9	9	9	9	9	9	9

Personalivajadused kaetakse juba meedet haldavate peadirektoraadi töötajatega ja/või töötajate ümberpaigutamise teel peadirektoraadi sees. Vajaduse korral võidakse personali täiendada iga-aastase vahendite eraldamise menetluse käigus, arvestades olemasolevaid eelarvepiiranguid.

Täidetavate ülesannete kirjeldus:

Ametnikud ja ajutised töötajad

·delegeeritud õigusaktide ettevalmistamine vastavalt artikli 18 lõikele 6, artikli 21 lõikele 2 ja artiklile 36;

·delegeeritud õigusaktide ettevalmistamine vastavalt artikli 12 lõikele 8, artikli 18 lõikele 5 ja artikli 20 lõikele 11;

·pakkuda võrgu- ja infoturbe koostöörühmale sekretariaaditeenust;

·võrgu- ja infoturbe koostöörühma üldkoosolekute ja töösuundade koosolekute korraldamine;

·liikmesriikide töö kooskõlastamine seoses eri dokumentide (suunised, töövahendid jne) koostamisega;

·koostöö teiste komisjoni talituste, ENISA ja riiklike ametiasutustega küberturvalisuse direktiivi kohaldamiseks;

·küberturvalisuse direktiivi kohaldamisega seotud riiklike meetodite ja parimate tavade analüüs.

Koosseisuvälised töötajad

Kõigi eelkirjeldatud ülesannete toetamine vajaduse järgi

3.2.3.Kolmandate isikute rahaline osalus

Ettepanek/algatus:

–X◻ ei hõlma kolmandate isikute kaasrahastust

–◻ hõlmab kolmandate isikute kaasrahastust, mille hinnanguline summa on järgmine:

Assigneeringud miljonites eurodes (kolm kohta pärast koma)

Aastad	2021	2022	2023	2024	2025	2026	2027	KOKKU
Märkige kaasrahastav asutus
Kaasrahastatavad assigneeringud KOKKU

3.3.Hinnanguline mõju tuludele

–◻X Ettepanekul/algatusel puudub finantsmõju tuludele.

–◻ Ettepanekul/algatusel on finantsmõju:

omavahenditele

muudele tuludele

märkige, kas see on kulude eelarveridasid mõjutav sihtotstarbeline tulu ◻

Miljonites eurodes (kolm kohta pärast koma)

Tulude eelarverida:	Ettepaneku/algatuse mõju 49
	2021	2022	2023	2024	2025	2026	2027
Artikkel ………….

Sihtotstarbeliste tulude puhul märkige, milliseid kulude eelarveridasid ettepanek mõjutab.

Muud märkused (nt tuludele avaldatava mõju arvutamise meetod/valem või muu teave).

LISA
FINANTSSELGITUSELE

Ettepaneku/algatuse nimetus:

Ettepanek võtta vastu direktiiv, millega muudetakse Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiivi (EL) 2016/1148, mis käsitleb meetmeid, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus

………………………………………………………………………………………………………………………………………………………………………………………………………………………………

1.VAJALIKUKS PEETAVATE TÖÖTAJATE ARV JA NENDEGA SEOTUD KULUD

2.MUUD HALDUSKULUD

3.KULUDE HINDAMISEKS KASUTATUD ARVUTUSMEETODID

3.1Personalikulud

3.2Muud halduskulud

Käesolev lisa, mille peavad täitma kõik ettepaneku/algatusega seotud peadirektoraadid/talitused, tuleb lisada finantsselgitusele pärast talitustevahelise konsulteerimise algatamist.

Andmetabeleid kasutatakse finantsselgituses sisalduvate tabelite allikana. Need on rangelt üksnes komisjonisiseseks kasutamiseks.

1.Vajalikuks peetavad personalikulud

Ettepanek/algatus ei hõlma personali kasutamist

X◻ Ettepanek/algatus hõlmab personali kasutamist, mis toimub järgmiselt:

Miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud		2021		2022		2023		2024		2025		2026		2027		KOKKU
		TTE	Assigneeringud	TTE	Assigneeringud	TTE	Assigneeringud	TTE	Assigneeringud	TTE	Assigneeringud	TTE	Assigneeringud	TTE	Assigneeringud	TTE	Assigneeringud
• Ametikohtade loeteluga ette nähtud ametikohad (ametnikud ja ajutised teenistujad)
komisjoni peakorteris ja esindustes	AD	6	0,9	6	0,9	6	0,9	6	0,9	6	0,9	6	0,9	6	0,9	42	6,3
	AST
liidu delegatsioonides	AD
	AST
• Koosseisuvälised töötajad 50 0,24
Üldvahenditest rahastatavad	AC	3	0,24	3	0,24	3	0,24	3	0,24	3	0,24	3	0,24	3	0,24	21	1,68
	END
	INT
Liidu delegatsioonides	AC
	AL
	END
	INT
	JPD
Muud eelarveread (täpsustage)
Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud		9	1,14	9	1,14	9	1,14	9	1,14	9	1,14	9	1,14	9	1,14	63	7.98

Mitmeaastase finantsraamistiku

RUBRIIGIST 7 välja jäävad kulud

2021

2022

2023

2024

2025

KOKKU

TTE

Assigneeringud

TTE

Assigneeringud

TTE

Assigneeringud

TTE

Assigneeringud

TTE

Assigneeringud

TTE

Assigneeringud

TTE

Assigneeringud

TTE

Assigneeringud

• Ametikohtade loeteluga ette nähtud ametikohad (ametnikud ja ajutised teenistujad)

Teadustegevus

AST

• Koosseisuvälised töötajad 51

Tegevusassigneeringutest rahastatavad koosseisuväliste töötajate kulud (endised BA read).

– peakorteris

END

INT

– liidu delegatsioonides

END

INT

JPD

Teadustegevus

END

INT

Muud eelarveread (täpsustage)

Mitmeaastase finantsraamistiku

RUBRIIGIST 7 välja jäävad kulud

Hinnanguline mõju ENISA inimressurssidele

Euroopa Liidu Küberturvalisuse Amet ENISA, millele on küberturvalisuse määrusega antud uus alaline mandaat, aitaks liikmesriike ja komisjoni muudetud küberturvalisuse direktiivi kohaldamisel.

Seetõttu esitatakse alates 2022. aastast viie täiendava täistööajale taandatud töötaja töökoha loomise taotlus koos nende uute ametikohtade täitmise eelarvega.

◻ Ettepanek/algatus ei hõlma haldusassigneeringute kasutamist

◻X Ettepanek/algatus hõlmab haldusassigneeringute kasutamist, mis toimub järgmiselt:

Miljonites eurodes (kolm kohta pärast koma)

Aasta
N 52

2022

Aasta
N + 1

2023

Aasta
N + 2

2024

Aasta
N + 3

2025

Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

KOKKU

Ajutised töötajad (AD palgaastmed)	0,450	0,450	0,450	0,450	0,450	0,450	2,7
Ajutised töötajad (AST palgaastmed)
Lepingulised töötajad	0,160	0,160	0,160	0,160	0,160	0,160
Lähetatud riiklikud eksperdid							0,96

KOKKU

0,61

3,66

Personalivajadus (täistööajale taandatud töötajad):

Aasta
N 53

2022

Aasta
N + 1

2023

Aasta
N + 2

2024

Aasta
N + 3

2025

Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

KOKKU

Ajutised töötajad (AD palgaastmed)	3	3	3	3	3	3	18
Ajutised töötajad (AST palgaastmed)
Lepingulised töötajad	2	2	2	2	2	2	12
Lähetatud riiklikud eksperdid

KOKKU

2.Muud halduskulud

Ettepanek/algatus ei hõlma haldusassigneeringute kasutamist

◻X Ettepanek/algatus hõlmab haldusassigneeringute kasutamist, mis toimub järgmiselt:

Miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud	2021	2022	2023	2024	2025	2026	2027	Kokku
Peakorteris:
Lähetus- ja esinduskulud	0,03	0,03	0,03	0,03	0,03	0,03	0,03	0,21
Konverentside ja koosolekutega seotud kulud	0,06	0,06	0,06	0,06	0,06	0,06	0,06	0,42
Komiteed 54
Uuringud ja konsultatsioonid
Info- ja juhtimissüsteemid
IKT-seadmed ja -teenused 55
Muud eelarveread (märkige vajaduse korral)
Liidu delegatsioonides
Lähetus-, konverentsi- ja esinduskulud
Personali täiendusõpe
Soetamine, rentimine ja sellega seotud kulud
Seadmed, sisustus, varustus ja teenused
Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud	0,09	0,09	0,09	0,09	0,09	0,09	0,09	0,63

Miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud	2021	2022	2023	2024	2025	2026	2027	Kokku
Tegevusassigneeringutest (endised BA read) kaetavad tehnilise ja haldusabi kulud (v.a koosseisuvälised töötajad)
– peakorteris
– liidu delegatsioonides
Muud teadustegevusega seotud juhtimiskulud
Muud eelarveread (märkige vajaduse korral)
Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud

KOKKU

Mitmeaastase finantsraamistiku RUBRIIGI 7 kulud
ja RUBRIIGIST 7 välja jäävad kulud

1,23

8.61

Haldusassigneeringute vajadused kaetakse kõnealuse meetme haldamiseks juba antud ja/või ümberpaigutatud assigneeringute raames, täiendades seda vajaduse korral lisaassigneeringutega, mida võidakse anda meedet haldavale peadirektoraadile iga-aastase vahendite eraldamise menetluse käigus, arvestades olemasolevaid eelarvepiiranguid.

3.Kulude hindamiseks kasutatud arvutusmeetodid

3.1Personalikulud

Selles osas kirjeldatakse vajalikuks peetava personali arvutamise meetodit (töökoormuse prognoosid, sealhulgas konkreetsete töökohtade puhul (süsteemi Sysper 2 kohased töökohtade profiilid), töötajate liigid ja vastavad keskmised kulud)

Mitmeaastase finantsraamistiku RUBRIIK 7

NB! Keskmised kulud peakorteri iga töötajaliigi kohta on esitatud veebisaidil BudgWeb:

https://myintracomm.ec.europa.eu/budgweb/EN/pre/legalbasis/Pages/pre-040-020_preparation.aspx

• Ametnikud ja ajutised teenistujad

6 täistööajale taandatud töötajat (keskmine kulu 0,150) = 0,9 aastas

-delegeeritud õigusaktide ettevalmistamine vastavalt artikli 18 lõikele 6, artikli 21 lõikele 2 ja artiklile 36;

-delegeeritud õigusaktide ettevalmistamine vastavalt artikli 12 lõikele 8, artikli 18 lõikele 5 ja artikli 20 lõikele 11;

-pakkuda võrgu- ja infoturbe koostöörühmale sekretariaaditeenust;

-võrgu- ja infoturbe koostöörühma üldkoosolekute ja töösuundade koosolekute korraldamine;

-liikmesriikide töö kooskõlastamine seoses eri dokumentide (suunised, töövahendid jne) koostamisega;

-koostöö teiste komisjoni talituste, ENISA ja riiklike ametiasutustega küberturvalisuse direktiivi kohaldamiseks;

-küberturvalisuse direktiivi kohaldamisega seotud riiklike meetodite ja parimate tavade analüüs.

• Koosseisuvälised töötajad

3 lepingulist töötajat (keskmine kulu 0,08) = 0,24 aastas

-Kõigi eelkirjeldatud ülesannete toetamine vajaduse järgi

Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud

• Ainult ametikohad, mida rahastatakse teadusuuringute eelarvest

• Koosseisuvälised töötajad

3.2Muud halduskulud

Märkige arvutusmeetod, mida iga eelarverea puhul kasutati,

ja aluseks võetud eeldused (nt kohtumiste arv aastas, keskmised kulud jne).

Mitmeaastase finantsraamistiku RUBRIIK 7

Kohtumised: võrgu- ja infoturbe koostöörühma täiskogu koosolekud toimuvad tavaliselt neli korda aastas. Komisjon katab 27 liikmesriigi esindajate toitlustus- ja reisikulud (üks esindaja liikmesriigi kohta). Ühe koosoleku kulud võivad ulatuda kuni 15 000 euroni (kulud aasta peale kuni 60 000 eurot).

Lähetused: lähetused on seotud küberturvalisuse direktiivi kohaldamise järelevalvega. Näide: ühe aasta jooksul (2019. aasta maist kuni 2020. aasta juulini) tuli korraldada küberturvalisuse alased riigivisiidid ja külastada kõiki 27 liikmesriiki, et arutada

küberturvalisuse direktiivi rakendamist ELis.

Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävad kulud

7. LISA

järgmise dokumendi juurde:
KOMISJONI OTSUS

Euroopa Liidu üldeelarve täitmise sise-eeskirjade kohta (komisjoni käsitlev jagu), mis on mõeldud komisjoni talitustele

FINANTSSELGITUS – AMETID

See tööjõu-uuring puudutab taotlust suurendada ENISA personali viie täistööajale taandatud töötaja võrra alates 2022. aastast, et täita küberturvalisuse direktiivi kohaldamisega seotud täiendavaid ülesandeid. Need ülesanded on juba hõlmatud ENISA mandaadiga.

Sisukord

1.ETTEPANEKU/ALGATUSE RAAMISTIK

1.1.Ettepaneku/algatuse nimetus

1.2.Asjaomased poliitikavaldkonnad

1.3.Ettepaneku liik

1.4.Eesmärk/eesmärgid

1.4.1.Üldeesmärgid

1.4.2.Erieesmärgid

1.4.3.Oodatavad tulemused ja mõju

1.4.4.Tulemusnäitajad

1.5.Ettepaneku/algatuse põhjendused

1.5.1.Lühi- või pikaajalises perspektiivis täidetavad vajadused, sealhulgas algatuse rakendamise täpne ajakava

1.5.2.ELi meetme lisaväärtus (see võib tuleneda eri teguritest, nagu kooskõlastamisest saadav kasu, õiguskindlus, suurem tõhusus või vastastikune täiendavus). Käesoleva punkti kohaldamisel tähendab „ELi meetme lisaväärtus“ väärtust, mis tuleneb liidu sekkumisest ja lisandub väärtusele, mille liikmesriigid oleksid üksi tegutsedes loonud..

1.5.3.Samalaadsetest kogemustest saadud õppetunnid

1.5.4.Kooskõla mitmeaastase finantsraamistikuga ja muude asjaomaste meetmetega potentsiaalselt saavutatav koostoime

1.5.5.Erinevate saadaolevate rahastamisvõimaluste, sealhulgas vahendite ümberpaigutamise võimaluste hinnang

1.6.Ettepaneku/algatuse kestus ja finantsmõju

1.7.Ettenähtud eelarve täitmise viis(id)

2.HALDUSMEETMED

2.1.Järelevalve ja aruandluse eeskirjad

2.2.Haldus- ja kontrollisüsteem(id)

2.2.1.Eelarve täitmise viisi(de), rahastamise rakendamise mehhanismi(de), maksete tegemise korra ja kavandatava kontrollistrateegia selgitus

2.2.2.Teave kindlakstehtud riskide ja nende vähendamiseks kasutusele võetud sisekontrollisüsteemi(de) kohta

2.2.3.Kontrollide kulutõhususe (kontrollikulude suhe hallatavate vahendite väärtusse) hinnang ja põhjendus ning prognoositav vigade esinemise riski tase (maksete tegemise ja sulgemise ajal)

2.3.Pettuse ja eeskirjade rikkumise ärahoidmise meetmed

3.ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU

3.1.Mitmeaastase finantsraamistiku rubriigid ja kulude eelarveread, millele mõju avaldub

3.2.Hinnanguline mõju kuludele

3.2.1.Hinnanguline mõju kuludele – ülevaade

3.2.2.Hinnanguline mõju [asutuse] assigneeringutele

3.2.3.Hinnanguline mõju ENISA inimressurssidele

3.2.4.Kooskõla kehtiva mitmeaastase finantsraamistikuga

3.2.5.Kolmandate isikute rahaline osalus

3.3.Hinnanguline mõju tuludele

1.ETTEPANEKU/ALGATUSE RAAMISTIK

1.1.Ettepaneku/algatuse nimetus

Ettepanek võtta vastu direktiiv, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega tunnistatakse kehtetuks direktiiv 2016/1148

1.2.Asjaomased poliitikavaldkonnad

Sidevõrgud, sisu ja tehnoloogia

1.3.Ettepaneku liik:

◻ uus meede

◻ uus meede, mis tuleneb katseprojektist / ettevalmistavast meetmest 56

☒ olemasoleva meetme pikendamine

◻ ühe või mitme meetme ühendamine teise või uue meetmega

1.4.Eesmärk/eesmärgid

1.4.1.Üldeesmärgid

1.4.2.Erieesmärgid

Euroopa Liidus tegutsevate ettevõtete madalal tasemel kübervastupidavusvõime probleemi lahendamiseks on võetud erieesmärk tagada, et kõigi sektorite üksustelt, mis sõltuvad võrgu- ja infosüsteemidest ning pakuvad majandusele ja ühiskonnale tervikuna olulisi teenuseid, nõutakse küberturvalisuse meetmete võtmist ja intsidentidest teatamist, tõstmaks siseturu kübervastupidavusvõime üldist taset.

Lahendamaks liikmesriikide ja sektorite vahel valitsev vastupanuvõime ebaühtluse probleem, on võetud erieesmärk tagada, et kõigi selliste üksuste suhtes, mis tegutsevad küberturvalisuse õigusraamistikuga hõlmatud sektorites ning mis on suuruselt sarnased ja rolli poolest võrreldavad, kohaldatakse sama õiguskorda (hõlmatakse kohaldamisalasse või jäetakse sellest välja), olenemata sellest, millise jurisdiktsiooni alla nad ELis kuuluvad.

Tagamaks, et kõik küberturvalisuse õigusraamistikuga hõlmatud sektorites tegutsevad üksused peaksid järgima turvameetmetega seoses samu riskijuhtimise kontseptsioonil põhinevaid kohustusi ning teatama kõikidest intsidentidest ühtsete kriteeriumide alusel, on võetud erieesmärgid tagada, et pädevad asutused jõustaksid õigusaktis sätestatud eeskirju tõhusamalt, võttes ühtlustatud järelevalve- ja täitemeetmeid, ning et liikmesriikide pädevatele asutustele eraldataks võrreldaval tasemel vahendid, mis võimaldavad täita küberturvalisuse raamistikus sätestatud põhiülesandeid.

Ebapiisava ühise olukorrateadlikkuse ja puuduliku kriisile reageerimise ühistegevuse probleemi lahendamiseks on võetud erieesmärk tagada olulise teabe vahetamine liikmesriikide vahel, kehtestades pädevatele asutustele selged kohustused jagada teavet ja teha koostööd küberohtude ja -intsidentidega seoses ning arendades liidu ühist kriisidele reageerimise suutlikkust.

1.4.3.Oodatavad tulemused ja mõju

Märkige, milline peaks olema ettepaneku/algatuse oodatav mõju toetusesaajatele/sihtrühmale.

Ettepanek peaks tooma märkimisväärset kasu: hinnanguliselt võib see vähendada küberturvalisuse intsidentidega seotud kulusid 11,3 miljardi euro võrra. Küberturvalisuse raamistikuga laiendataks sektoripõhist kohaldamisala märkimisväärselt, kuid lisaks mainitud eelistele kaasneb küberturvalisuse nõuetega koormus (eelkõige järelevalve aspektist), mida tasakaalustataks nii uute hõlmatud üksuste kui ka pädevate asutuste jaoks. Seda tänu asjaolule, et uue küberturvalisuse raamistikuga kasutataks kahetasandilist lähenemisviisi, keskendudes suurtele ja võtmetähtsusega üksustele ning rakendades diferentseeritud järelevalvekorda, mis võimaldab suure hulga üksuste, nimelt olulisena (mitte elutähtsana) käsitatavate üksuste suhtes kohaldada järelevalve järelkontrollimeetmeid.

Kokkuvõttes saavutataks selle ettepaneku toel soodsad kompromissid ja tõhusad sünergiad ning selle toetataval poliitikavariandil oleks suurim potentsiaal tagada võtmetähtsusega üksuste kübervastupidavusvõime kõrgem ja ühtlasem tase kogu liidu ulatuses, mis lõppkokkuvõttes tähendaks nii ettevõtjate kui ka ühiskonna jaoks kulude kokkuhoidu.

Ettepaneku elluviimine tähendaks asjaomaste liikmesriikide ametiasutustele ka teatavaid nõuete järgimise ja täitmise tagamisega seotud kulusid (hinnanguliselt suureneb ressursivajadus kokku ligikaudu 20–30 %). Samas tooks uus raamistik märkimisväärset kasu ka selle kaudu, et tagaks olulistest ettevõtjatest parema ülevaate ja nendega tõhusama suhtlemise, tulemuslikuma piiriülese operatiivkoostöö ning vastastikuse abistamise ja vastastikuse hindamise mehhanismid. Selle tulemusena tõuseks liikmesriikide küberturvalisuse alase suutlikkuse üldine tase.

Küberturvalisuse raamistiku kohaldamisalasse hõlmatavad ettevõtjad peaksid esimestel aastatel pärast küberturvalisuse raamistiku jõustumist suurendama oma IKT-turbega seotud kulutusi maksimaalselt 22 % võrra (need ettevõtjad, kes juba kuuluvad praegu kehtiva küberturvalisuse direktiivi kohaldamisalasse, 12 % võrra). IKT-turbega seotud kulutuste keskmine suurenemine tooks samas kaasa proportsionaalse investeeringukasu, eelkõige tänu küberturvalisuse intsidentidega seotud kulude märkimisväärsele vähenemisele (hinnanguliselt 118 miljardit eurot kümne aasta jooksul).

Väike- ja mikroettevõtjad jäetaks küberturvalisuse raamistiku kohaldamisalast välja. Keskmise suurusega ettevõtjate IKT-turbega seotud kulutused esimestel aastatel pärast uue küberturvalisuse raamistiku kasutuselevõttu eelduste kohaselt suurenevad. Samas soodustaks nende üksuste turvanõuete taseme tõstmine ka nende küberturvalisuse alase suutlikkuse suurenemist ja aitaks tõhustada nende IKT-alast riskijuhtimist.

Oodatav mõju liikmesriikide eelarvetele ja haldusasutustele: lühikese ja keskpika perspektiivi prognoosi kohaselt suureneb ressursivajadus hinnanguliselt ligikaudu 20–30 %.

Muud olulist negatiivset mõju ei ole ette näha. Ettepaneku elluviimine peaks suurendama küberturvalisuse alast suutlikkust ning vähendama seega oluliselt intsidentide, sealhulgas andmetega seotud rikkumiste arvu ja nende raskusastet. Samuti avaldab see tõenäoliselt positiivset mõju kõikide küberturvalisuse raamistiku kohaldamisalasse kuuluvate üksuste jaoks võrdsete tingimuste tagamisele kõigi liikmesriikide ulatuses ning vähendab küberturvalisuse teabega seotud ebaühtlust.

1.4.4.Tulemusnäitajad

Märkige, milliste näitajate abil jälgitakse edusamme ja saavutusi.

Näitajaid hindab komisjon ENISA ja koostöörühma toetusel kolm aastat pärast uue küberturvalisust käsitleva õigusakti jõustumist. Järgnevalt on loetletud mõned seirenäitajad, mille alusel küberturvalisuse alast edukust läbivaatamisel hinnatakse.

• Tõhusam intsidentide käsitlemine. Küberturvalisuse meetmete võtmisega parandavad ettevõtjad mitte ainult oma võimet teatavaid intsidente täielikult vältida, vaid ka oma suutlikkust intsidente lahendada. Edunäitajad on seega i) intsidendi tuvastamiseks kuluv keskmine aeg (selle lühenemine), ii) keskmine aeg, mis kulub organisatsioonidel intsidendist taastumiseks, ja iii) intsidendi põhjustatud kahju keskmine maksumus.

• Ettevõtete tippjuhtkonna suurem teadlikkus küberturvalisusega seotud riskidest. Ettevõtjatelt meetmete võtmise nõudmise kaudu aitaks muudetud küberturvalisuse direktiiv suurendada tippjuhtkonna teadlikkust küberturvalisusega seotud riskidest. Seda saab mõõta, uurides, kuivõrd prioriseerivad küberturvalisuse raamistikuga hõlmatud ettevõtjad küberturvalisust oma ettevõtte sise-eeskirjades ja -protsessides (mida tõendavad ettevõtte sisedokumendid, asjakohased koolitusprogrammid ja töötajate teadlikkuse suurendamiseks võetavad meetmed) ning seda, kuivõrd prioriseeritakse küberturvalisusse tehtavaid IKT-investeeringuid. Kõigi elutähtsate ja oluliste üksuste juhtkond peaks samuti olema teadlik küberturvalisuse direktiivis sätestatud eeskirjadest.

• Valdkonnapõhiste kulutuste ühtlustumine. IKT-turvalisusega seotud kulutused on ELi eri sektorites väga erinevad. Kui nõuda meetmete võtmist suurema arvu sektorite ettevõtjatelt, peaksid kõrvalekalded sektoripõhistest keskmisest IKT-turbega seotud kulutustest (mida väljendatakse protsendina IKT-valdkonda tehtavatest kõigist kulutustest) vähenema nii sektorite kui ka liikmesriikide tasandil.

• Tugevamad ja pädevamad asutused ning ulatuslikum koostöö. Muudetud küberturvalisuse direktiiviga võidakse määrata pädevatele asutustele lisaülesandeid. Sellel oleks mõõdetav mõju küberturvalisusega tegelevatele asutustele riiklikul tasandil eraldatavatele rahalistele ja inimressurssidele ning see peaks avaldama positiivset mõju ka pädevate asutuste võimele ennetavalt koostööd teha ja seega suurendama selliste juhtumite arvu, mille puhul pädevad asutused suhtlevad üksteisega, et lahendada piiriüleseid intsidente või teha ühist järelevalvet.

• Ulatuslikum teabevahetus: Muudetud küberturvalisuse direktiiviga parandataks ka teabevahetust ettevõtjate vahel ja teabevahetust pädevate asutustega. Üks muutmise eesmärke võiks olla nende üksuste arvu suurendamine, kes teabevahetuse eri vormides osalevad.

1.5.Ettepaneku/algatuse põhjendused

1.5.1.Lühi- või pikaajalises perspektiivis täidetavad vajadused, sealhulgas algatuse rakendamise täpne ajakava

Muutmisettepaneku eesmärk on suurendada Euroopa Liidus kõigis asjaomastes sektorites tegutsevate ettevõtjate kübervastupidavusvõimet, vähendada siseturul vastupanuvõime taseme ebaühtlust direktiivi kohaldamisalasse juba hõlmatud sektorites ning suurendada ühist olukorrateadlikkust, ühist valmisolekut ja ühist reageerimissuutlikkust. See tugineb sellele, mis on viimase nelja aasta jooksul direktiivi (EL) 2016/1148 kohaldamisel juba saavutatud.

Seega on mainitud eesmärke parem saavutada ELi tasandi meetmetega kui et liikmesriikide üksinda tegutsemisega.

1.5.3.Samalaadsetest kogemustest saadud õppetunnid

Küberturvalisuse direktiiv on esimene horisontaalne siseturu õigusvahend, mille eesmärk on parandada liidu võrkude ja süsteemide vastupanuvõimet küberturvalisuse riskide suhtes. Alates selle jõustumisest 2016. aastal on see juba aidanud märkimisväärselt tõsta küberturvalisuse üldist taset liikmesriikides. Direktiivi toimimise ja kohaldamise läbivaatamise tulemusena on siiski osutatud mitmele puudusele, mida tuleb muudetud õigusaktiga käsitleda peale ajakohasemate meetmete vajaduse küsimuse, mis tuleneb üha suurenevast digiteerimisest.

1.5.4.Kooskõla mitmeaastase finantsraamistikuga ja muude asjaomaste meetmetega potentsiaalselt saavutatav koostoime

Ettepanek on ELi julgeolekuliidu strateegia oluline osa.

1.5.5.Erinevate saadaolevate rahastamisvõimaluste, sealhulgas vahendite ümberpaigutamise võimaluste hinnang

Nende ülesannete täitmine eeldab ENISA-lt spetsiaalseid profiile ja tähendab täiendavat töökoormust, mida ei saa katta inimressursse suurendamata.

1.6.Ettepaneku/algatuse kestus ja finantsmõju

◻ Piiratud kestus

–◻ Ettepanek/algatus hõlmab ajavahemikku [PP.KK]AAAA–[PP.KK]AAAA

–◻ Finantsmõju avaldub ajavahemikul AAAA–AAAA

☒ Piiramatu kestus

–Rakendamise käivitumisperiood hõlmab ajavahemikku 2022–2025,

–millele järgneb täieulatuslik rakendamine.

1.7.Ettenähtud eelarve täitmise viis(id) 57

☒ Eelarve otsene täitmine komisjoni poolt

järgmise kaudu:

–◻ rakendusametid

◻ Eelarve jagatud täitmine koostöös liikmesriikidega

◻X Eelarve kaudne täitmine, mille puhul eelarve täitmise ülesanded delegeeritakse järgmistele üksustele:

◻ rahvusvahelised organisatsioonid ja nende allasutused (nimetage);

◻Euroopa Investeerimispank ja Euroopa Investeerimisfond;

☒ artiklites 70 ja 71 osutatud asutused;

◻ avalik-õiguslikud asutused;

◻ avalikke teenuseid osutavad eraõiguslikud asutused, kuivõrd nad esitavad piisavad finantstagatised;

◻ liikmesriigi eraõiguslikud asutused, kellele on delegeeritud avaliku ja erasektori partnerluse rakendamine ning kes esitavad piisavad finantstagatised;

◻ isikud, kellele on delegeeritud Euroopa Liidu lepingu V jaotise kohaste ÜVJP erimeetmete rakendamine ja kes on määratletud asjaomases alusaktis.

Märkused

Euroopa Liidu Küberturvalisuse Amet ENISA, millele on küberturvalisuse määrusega antud uus alaline mandaat, aitaks liikmesriike ja komisjoni muudetud küberturvalisuse direktiivi kohaldamisel.

Seetõttu esitatakse alates 2022. aastast viie täiendava (täistööajale taandatud) töötaja töökoha loomise taotlus koos nende uute ametikohtade täitmise eelarvega, mis on ligikaudu 0,61 miljonit eurot aastas.

2.HALDUSMEETMED

2.1.Järelevalve ja aruandluse eeskirjad

Märkige sagedus ja tingimused.

Komisjon hindab ka direktiivi nõuetekohast ülevõtmist liikmesriikides.

Ettepanekuga seotud seire ja aruandluse puhul järgitakse põhimõtteid, mis on sätestatud ENISA alalise mandaadi jaoks määrusega (EL) 2019/881 (küberturvalisust käsitlev määrus).

Kavandatava järelevalve tarvis kasutatakse peamiselt ENISA, koostöörühma, CSIRTide võrgustiku ja liikmesriikide ametiasutuste andmeallikaid. Lisaks ENISA, koostöörühma ja CSIRTide võrgustiku aruannetest (sealhulgas iga-aastastest tegevusaruannetest) saadud andmetele kasutatakse vajaduse korral spetsiaalsete andmekogumisevahendite (näiteks riigi ametiasutuste ja Eurobaromeetri uuringud, küberturvalisuse kuu kampaania ja üleeuroopaliste õppuste käigus laekunud aruanded) abil saadavaid andmeid.

2.2.Haldus- ja kontrollisüsteem(id)

2.2.1.Eelarve täitmise viisi(de), rahastamise rakendamise mehhanismi(de), maksete tegemise korra ja kavandatava kontrollistrateegia selgitus

Direktiivi kohaldamise eest vastutab sidevõrkude, sisu ja tehnoloogia peadirektoraadi üksus.

Mis puudutab ENISA haldamist, siis on ENISA haldusnõukogu funktsioonide üksikasjalik loetelu esitatud küberturvalisust käsitleva määruse artiklis 15.

Küberturvalisust käsitleva määruse artikli 31 kohaselt vastutab ENISA eelarve täitmise eest ENISA tegevdirektor ja komisjoni siseaudiitoril on ENISA suhtes samad volitused kui komisjoni talituste suhtes. ENISA haldusnõukogu esitab oma arvamuse ENISA lõpliku raamatupidamise aastaaruande kohta.

2.2.2.Teave kindlakstehtud riskide ja nende vähendamiseks kasutusele võetud sisekontrollisüsteemi(de) kohta

Risk on väga väike, kuna küberturvalisuse direktiivi ökosüsteem on juba loodud ja juba hõlmab ENISAt, millel on alates küberturvalisust käsitleva määruse jõustumisest 2019. aastal ette nähtud alaline mandaat.

2.2.3.Kontrollide kulutõhususe (kontrollikulude suhe hallatavate vahendite väärtusse) hinnang ja põhjendus ning prognoositav vigade esinemise riski tase (maksete tegemise ja sulgemise ajal)

Eelarve suurendamist taotletakse jaotise 1 jaoks ja see on ette nähtud palkade rahastamiseks. See tähendab väga väikest veariski maksete tasandil.

2.3.Pettuse ja eeskirjade rikkumise ärahoidmise meetmed

Nimetage rakendatavad või kavandatud ennetus- ja kaitsemeetmed, nt pettustevastase võitluse strateegias esitatud meetmed.

ENISA ennetus- ja kaitsemeetmeid kohaldatakse eelkõige järgmisel moel.

– Ameti personal kontrollib enne makse tegemist kõiki teenuste ja uuringute eest maksmisele kuuluvaid summasid, võttes arvesse kõiki lepingulisi kohustusi, majanduslikke põhimõtteid ning head finantstegevus- ja juhtimistava. Pettusevastased sätted (järelevalve, aruandlusnõuded jms) lisatakse kõikidesse ameti ja mis tahes makse saajate vahelistesse kokkulepetesse ning lepingutesse.

– Pettuste, korruptsiooni ja muude õigusvastaste tegude vastu võitlemiseks kohaldatakse piiranguteta Euroopa Pettustevastase Ameti (OLAF) juurdlusi käsitleva Euroopa Parlamendi ja nõukogu 25. mai 1999. aasta määruse (EL, Euratom) nr 883/2013 sätteid.

– Küberturvalisust käsitleva määruse artikkel 33 nägi ette ENISA ühinemise (28. detsembriks 2019) Euroopa Parlamendi, Euroopa Liidu Nõukogu ja Euroopa Ühenduste Komisjoni 25. mai 1999. aasta institutsioonidevahelise kokkuleppega, mis käsitleb Euroopa Pettustevastase Ameti (OLAF) sisejuurdlust. ENISA kehtestab viivitamata asjakohased sätted, mida kohaldatakse ameti kõigi töötajate suhtes.

3.ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU

3.1.Mitmeaastase finantsraamistiku rubriigid ja kulude eelarveread, millele mõju avaldub

·Olemasolevad eelarveread

Järjestage mitmeaastase finantsraamistiku rubriikide ja iga rubriigi sees eelarveridade kaupa.

Mitmeaastase finantsraamistiku rubriik

Eelarverida

Kulu
liik

Rahaline osalus

Liigendatud/liigendamata 58

EFTA riigid 59

kandidaatriigid 60

kolmandad riigid

finantsmääruse artikli 21 lõike 2 punkti b tähenduses

02 10 04

/liigendamata

JAH

/EI

·Uued eelarveread, mille loomist taotletakse

Järjestage mitmeaastase finantsraamistiku rubriikide ja iga rubriigi sees eelarveridade kaupa.

Mitmeaastase finantsraamistiku rubriik

Eelarverida

Kulude
liik

Rahaline osalus

Liigendatud/liigendamata

EFTA riigid

Kandidaatriigid

kolmandad riigid

finantsmääruse artikli 21 lõike 2 punkti b tähenduses

[XX.YY.YY.YY]

JAH/EI

3.2.Hinnanguline mõju kuludele

3.2.1.Hinnanguline mõju kuludele – ülevaade

Miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku
rubriik

[Rubriik…2 Ühtne turg, innovatsioon ja digivaldkond…………...………………………………………………………]

[asutus]: <…ENISA….>			Aasta N 61 2022	Aasta N + 1 2023	Aasta N + 2 2024	Aasta N + 3 2025	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6) 2026 2027		KOKKU
Jaotis 1:	Kulukohustused	(1)	0,61	0,61	0,61	0,61	0,61	0,61	3,66
	Maksed	(2)	0,61	0,61	0,61	0,61	0,61	0,61	3,66
Jaotis 2:	Kulukohustused	(1a)
	Maksed	(2a)
Jaotis 3:	Kulukohustused	(3a)
	Maksed	(3b)
Assigneeringud KOKKU asutusele [asutus] <ENISA…….>	Kulukohustused	= 1 + 1a + 3a	0,61	0,61	O.61	0,61	0,61	0,61	3,66
	Maksed	= 2 + 2a + 3b	0,61	0,61	0,61	0,61	0,61	0,61	3,66

Mitmeaastase finantsraamistiku
rubriik

„Halduskulud“

Miljonites eurodes (kolm kohta pärast koma)

		Aasta N	Aasta N + 1	Aasta N + 2	Aasta N + 3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)	KOKKU
PEADIREKTORAAT: <…….>
• Inimressursid
• Muud halduskulud
PEADIREKTORAAT KOKKU <…….>	Assigneeringud

Mitmeaastase finantsraamistiku
RUBRIIGI 5
assigneeringud KOKKU

(Kulukohustuste kogusumma = maksete kogusumma)

Miljonites eurodes (kolm kohta pärast koma)

Aasta
N 62

2022

Aasta
N + 1

2023

Aasta
N + 2

2024

Aasta
N + 3

2025

Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

2026 2027

KOKKU

Mitmeaastase finantsraamistiku
RUBRIIKIDE 1–5
assigneeringud KOKKU

Kulukohustused

0,61

3,66

Maksed

0,61

3,66

3.2.2.Hinnanguline mõju [asutuse] assigneeringutele

–◻x Ettepanek/algatus ei hõlma tegevusassigneeringute kasutamist

–◻ Ettepanek/algatus hõlmab tegevusassigneeringute kasutamist, mis toimub järgmiselt:

kulukohustuste assigneeringud miljonites eurodes (kolm kohta pärast koma)

Märkige eesmärgid ja väljundid

⇩

Aasta
N

Aasta
N + 1

Aasta
N + 2

Aasta
N + 3

Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

KOKKU

VÄLJUNDID

Liik 63

Keskmine kulu

Arv

Kulu

Arv

Kulu

Arv

Kulu

Arv

Kulu

Arv

Kulu

Arv

Kulu

Arv

Kulu

Väljundite arv kokku

Kulud kokku

ERIEESMÄRK nr 1 64 …

– väljund

Erieesmärgi nr 1 vahesumma

ERIEESMÄRK nr 2 ...

– väljund

Erieesmärgi nr 2 vahesumma

KULUD KOKKU

3.2.3.Hinnanguline mõju ENISA inimressurssidele

3.2.3.1.Kokkuvõte

Muudetud küberturvalisuse direktiivi järgi on ENISA-l alates aastast 2022/2023 täiendavad ülesanded. Kuigi need ülesanded kuuluksid ENISA mandaadi järgsete ülesannete hulka, suureneb ameti jaoks nendega seotud töökoormus. Täpsemalt on ENISA-l komisjoni küberturvalisuse direktiivi muudatusettepaneku kohaselt lisaks oma praegustele ülesannetele (muu hulgas) veel järgmised ülesanded: i) töötada välja Euroopa nõrkuste register ja seda hallata (artikli 6 lõige 2), ii) pakkuda Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikule (CyCLONe) sekretariaaditeenust (artikkel 14) ja koostada igal aastal aruanne küberturvalisuse olukorra kohta ELis (artikkel 15), iii) toetada vastastikuste hindamiste korraldamist liikmesriikide vahel (artikkel 16), iv) koguda liikmesriikidelt intsidentide kohta koondandmeid ja anda välja ettepanekut käsitlevaid tehnilisi suuniseid (artikli 20 lõige 9) ning v) töötada välja piiriüleseid teenuseid osutavate üksuste register ja seda hallata (artikkel 25).

Seetõttu esitatakse alates 2022. aastast viie täiendava täistööajale taandatud töötaja töökoha loomise taotlus koos nende uute ametikohtade täitmise eelarvega.

–◻ Ettepanek/algatus ei hõlma haldusassigneeringute kasutamist

–◻X Ettepanek/algatus hõlmab haldusassigneeringute kasutamist, mis toimub järgmiselt:

Miljonites eurodes (kolm kohta pärast koma)

Aasta
N 65

2022

Aasta
N + 1

2023

Aasta
N + 2

2024

Aasta
N + 3

2025

Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

2026 2027

KOKKU

Ajutised töötajad (AD palgaastmed)	0,450	0,450	0,450	0,450	0,450	0,450	2,7
Ajutised töötajad (AST palgaastmed)
Lepingulised töötajad	0,160	0,160	0,160	0,160	0,160	0,160	0,96
Lähetatud riiklikud eksperdid

KOKKU

0,61

3,66

Personalivajadus (täistööajale taandatud töötajad):

Aasta
N 66

2022

Aasta
N + 1

2023

Aasta
N + 2

2024

Aasta
N + 3

2025

Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

2026 2027

KOKKU

Ajutised töötajad (AD palgaastmed)	3	3	3	3	3	3	18
Ajutised töötajad (AST palgaastmed)
Lepingulised töötajad	2	2	2	2	2	2	12
Lähetatud riiklikud eksperdid

KOKKU

3.2.3.2.Vastutava peadirektoraadi hinnanguline personalivajadus

–◻ Ettepanek/algatus ei hõlma personali kasutamist.

–◻ Ettepanek/algatus hõlmab personali kasutamist, mis toimub järgmiselt:

Hinnanguline väärtus täisarvuna (või maksimaalselt üks koht pärast koma)

		Aasta N	Aasta N + 1	Aasta N + 2	Aasta N + 3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)
·Ametikohtade loeteluga ette nähtud ametikohad (ametnikud ja ajutised töötajad)
XX 01 01 01 (komisjoni peakorteris ja esindustes)
XX 01 01 02 (delegatsioonides)
XX 01 05 01 (kaudne teadustegevus)
10 01 05 01 (otsene teadustegevus)

• Koosseisuvälised töötajad (täistööajale taandatuna: TÄISTÖÖAJA EKVIVALENT) 67
XX 01 02 01 (üldvahenditest rahastatavad lepingulised töötajad, lähetatud riiklikud eksperdid ja renditud tööjõud)
XX 01 02 02 (lepingulised töötajad, kohalikud töötajad, riikide lähetatud eksperdid, renditööjõud ja noored eksperdid delegatsioonides)
XX 01 04 yy 68	– peakorteris 69
	– delegatsioonides
XX 01 05 02 (lepingulised töötajad, riikide lähetatud eksperdid ja renditööjõud kaudse teadustegevuse valdkonnas)
10 01 05 02 (lepingulised töötajad, riikide lähetatud eksperdid ja renditööjõud otsese teadustegevuse valdkonnas)
Muud eelarveread (täpsustage)
KOKKU

XX tähistab asjaomast poliitikavaldkonda või eelarvejaotist.

Täidetavate ülesannete kirjeldus:

Ametnikud ja ajutised töötajad
Koosseisuvälised töötajad

V lisa punktis 3 tuleks esitada täistööajale taandatud töötajate kulude arvutamise meetodi kirjeldus.

3.2.4.Kooskõla kehtiva mitmeaastase finantsraamistikuga

–◻X Ettepanek/algatus on kooskõlas kehtiva mitmeaastase finantsraamistikuga.

–◻ Ettepanekuga/algatusega kaasneb mitmeaastase finantsraamistiku asjaomase rubriigi ümberplaneerimine.

Selgitage ümberplaneerimise vajadust ning märkige seotud eelarveread ja neile vastavad summad.

Ettepanek on kooskõlas mitmeaastase finantsraamistikuga 21/27.

ENISA personali suurendamiseks taotletud eelarve tasaarveldamiseks vähendatakse sama summa võrra digitaalse Euroopa programmi eelarvet samas rubriigis.

–◻ Ettepanek/algatus eeldab paindlikkusinstrumendi kohaldamist või mitmeaastase finantsraamistiku läbivaatamist 70 .

Selgitage, millised toimingud on vajalikud, osutades asjaomastele rubriikidele, eelarveridadele ja summadele.

3.2.5.Kolmandate isikute rahaline osalus

–Ettepanek/algatus ei hõlma kolmandate isikute kaasrahastust.

–Ettepanek/algatus hõlmab kaasrahastust, mille hinnanguline summa on järgmine:

Miljonites eurodes (kolm kohta pärast koma)

	Aasta N	Aasta N + 1	Aasta N + 2	Aasta N + 3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)	Kokku
Märkige kaasrahastav asutus
Kaasrahastatavad assigneeringud KOKKU

3.3.Hinnanguline mõju tuludele

–◻ Ettepanekul/algatusel puudub finantsmõju tuludele.

–◻ Ettepanekul/algatusel on finantsmõju:

omavahenditele

muudele tuludele

palun märkige, kas see on kulude eelarveridasid mõjutav sihtotstarbeline tulu

Miljonites eurodes (kolm kohta pärast koma)

Tulude eelarverida:	Jooksval eelarveaastal kasutatavad assigneeringud	Ettepaneku/algatuse mõju 71
		Aasta N	Aasta N + 1	Aasta N + 2	Aasta N + 3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)
Artikkel ………….

Mitmesuguste sihtotstarbeliste tulude puhul märkige, milliseid kulude eelarveridasid ettepanek mõjutab.

Märkige tuludele avaldatava mõju arvutusmeetod.

(1) COM(2020) 605 final.

(2) COM(2020) 67 final.

(3) https://www.europarl.europa.eu/doceo/document/TA-8-2019-0156_ET.html

(4) https://data.consilium.europa.eu/doc/document/ST-8711-2020-INIT/et/pdf

(5) [Mõjuhinnangu 5. lisa]

(6) Direktiivi (EL) 2016/1148 (mis käsitleb meetmeid, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (küberturvalisuse direktiiv)) läbivaatamist toetav uuring (N° 2020-665). Wavestone, Euroopa Poliitikauuringute Keskus ja ICF.

(7) [Lisatakse link lõppdokumendile ja kokkuvõttele.]

(8) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

(9) ELT C ..., ..., lk …

(10) ELT C ..., ..., lk …

(11) Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194/1, 19.7.2016, lk 1).

(12) Direktiivi (EL) 2016/1148 artikkel 11.

(13) Direktiivi (EL) 2016/1148 artikkel 12.

(14) Fooritulede analoogial põhinev protokoll teabe tundlikkuse märgistamiseks on vahend, mille abil teavet jagav isik teavitab teabe saajaid kõnealuse teabe edasise levitamise piirangutest. Seda kasutatakse peaaegu kõigis CSIRTi kogukondades ning mõnes teabe jagamise ja analüüsimise keskuses (ISAC).

(15) Komisjoni 6. mai 2003. aasta soovitus 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratluse kohta (ELT L 124, 20.5.2003, lk 36).

(16) [lisada täielik pealkiri ja ELTs avaldamise viide, kui see on teada]

(17) [lisada täielik pealkiri ja ELTs avaldamise viide, kui see on teada]

(18) Euroopa Parlamendi ja nõukogu 15. detsembri 1997. aasta direktiiv 97/67/EÜ ühenduse postiteenuste siseturu arengut ja teenuse kvaliteedi parandamist käsitlevate ühiseeskirjade kohta (EÜT L 15, 21.1.1998, lk 14).

(19) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

(20) Komisjoni 13. septembri 2017. aasta soovitus (EL) 2017/1584 koordineeritud reageerimise kohta ulatuslike küberturvalisuse intsidentide ja kriiside korral (ELT L 239, 19.9.2017, lk 36).

(21) Komisjoni 26. märtsi 2019. aasta soovitus (EL) 2019/534 5G-võrkude küberturvalisuse kohta (ELT L 88, 29.3.2019, lk 42).

(22) Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73).

(23) Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv (EL) 2018/1972, millega kehtestatakse Euroopa elektroonilise side seadustik (ELT L 321, 17.12.2018, lk 36).

(24) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(25) EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUSE (EL) 2016/679 põhjendus 14: „Ükski isik ei peaks nõudma käesoleva määrusega ette nähtud kaitset seoses selliste andmete töötlemisega, mis puudutavad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmeid.“

(26) EÜT L 123, 12.5.2016, lk 1.

(27) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(28) Komisjoni 6. mai 2003. aasta soovitus 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratluse kohta (ELT L 124, 20.5.2003, lk 36).

(29) [lisada täielik pealkiri ja ELTs avaldamise viide, kui see on teada]

(30) Nõukogu 8. detsembri 2008. aasta direktiiv 2008/114/EÜ Euroopa elutähtsate infrastruktuuride identifitseerimise ja määramise ning nende kaitse parandamise vajaduse hindamise kohta (ELT L 345, 23.12.2008, lk 75).

(31) Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiv 2011/93/EL, mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK (ELT L 335, 17.12.2011, lk 1).

(32) Euroopa Parlamendi ja nõukogu 12. augusti 2013. aasta direktiiv 2013/40/EL, milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus 2005/222/JSK (ELT L 218, 14.8.2013, lk 8).

(33) Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15).

(34) Euroopa Parlamendi ja nõukogu 25. oktoobri 2012. aasta määrus (EL) nr 1025/2012, mis käsitleb Euroopa standardimist ning millega muudetakse nõukogu direktiive 89/686/EMÜ ja 93/15/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 94/9/EÜ, 94/25/EÜ, 95/16/EÜ, 97/23/EÜ, 2004/22/EÜ, 2007/23/EÜ, 2009/23/EÜ ja 2009/105/EÜ ning millega tunnistatakse kehtetuks nõukogu otsus 87/95/EMÜ ning Euroopa Parlamendi ja nõukogu otsus nr 1673/2006/EÜ (ELT L 316, 14.11.2012, lk 12).

(35) Euroopa Parlamendi ja nõukogu 9. septembri 2015. aasta direktiiv (EL) 2015/1535, millega nähakse ette tehnilistest eeskirjadest ning infoühiskonna teenuste eeskirjadest teatamise kord (ELT L 241, 17.9.2015, lk 1).

(36) Euroopa Parlamendi ja nõukogu 11. mai 2005. aasta direktiiv 2005/29/EÜ, mis käsitleb ettevõtja ja tarbija vaheliste tehingutega seotud ebaausaid kaubandustavasid siseturul ning millega muudetakse nõukogu direktiivi 84/450/EMÜ, Euroopa Parlamendi ja nõukogu direktiive 97/7/EÜ, 98/27/EÜ ja 2002/65/EÜ ning Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 2006/2004 (ebaausate kaubandustavade direktiiv) (ELT L 149, 11.6.2005, lk 22).

(37) Euroopa Parlamendi ja nõukogu 20. juuni 2019. aasta määrus (EL) 2019/1150, mis käsitleb õigluse ja läbipaistvuse edendamist veebipõhiste vahendusteenuste ärikasutajate jaoks (ELT L 186, 11.7.2019, lk 57).

(38) [lisada täielik pealkiri ja ELTs avaldamise viide, kui see on teada]

(39) [lisada täielik pealkiri ja ELTs avaldamise viide, kui see on teada]

(40) Vastavalt finantsmääruse artikli 58 lõike 2 punktile a või b.

(41) Eelarve täitmise viiside selgitused (koos viidetega finantsmäärusele) on esitatud BudgWebi veebisaidil https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx

(42) Liigendatud = liigendatud assigneeringud / liigendamata = liigendamata assigneeringud.

(43) EFTA: Euroopa Vabakaubanduse Assotsiatsioon.

(44) Kandidaatriigid ja (kus asjakohane) Lääne-Balkani potentsiaalsed kandidaatriigid.

(45) Tehniline ja/või haldusabi ning ELi programmide ja/või meetmete rakendamiseks antava toetusega seotud kulud (endised BA read), otsene teadustegevus, kaudne teadustegevus.

(46) Tehniline ja/või haldusabi ning ELi programmide ja/või meetmete rakendamiseks antava toetusega seotud kulud (endised BA read), otsene teadustegevus, kaudne teadustegevus.

(47) AC – lepingulised töötajad; AL – kohalikud töötajad; END – riikide lähetatud eksperdid; INT – renditööjõud; JPD – noored spetsialistid delegatsioonides.

(48) Tegevusassigneeringutest rahastatavate koosseisuväliste töötajate ülempiiri arvestades (endised BA read).

(49) Traditsiooniliste omavahendite (tolli- ja suhkrumaksud) korral peab märgitud olema netosumma, s.t brutosumma pärast 20 % sissenõudmiskulude mahaarvamist.

(50) AC – lepingulised töötajad; AL – kohalikud töötajad; END – riikide lähetatud eksperdid; INT – renditööjõud; JPD – noored spetsialistid delegatsioonides.

(51) AC – lepingulised töötajad; AL – kohalikud töötajad; END – riikide lähetatud eksperdid; INT – renditööjõud; JPD – noored spetsialistid delegatsioonides.

(52) Aasta N on aasta, mil alustatakse ettepaneku/algatuse rakendamist. „N“ asemel tuleb märkida rakendamise esimene aasta (näiteks: 2021). Sama tuleb teha ka järgnevate aastate puhul.

(53) Aasta N on aasta, mil alustatakse ettepaneku/algatuse rakendamist. „N“ asemel tuleb märkida rakendamise esimene aasta (näiteks: 2021). Sama tuleb teha ka järgnevate aastate puhul.

(54) Märkige komitee liik ja rühm, millesse see kuulub.

(55) IKT: info- ja kommunikatsioonitehnoloogia: konsulteerida tuleb informaatika peadirektoraadiga (DIGIT).

(56) Vastavalt finantsmääruse artikli 58 lõike 2 punktile a või b.

(57) Eelarve täitmise viiside selgitused (koos viidetega finantsmäärusele) on esitatud BudgWebi veebisaidil https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx .

(58) Liigendatud = liigendatud assigneeringud / liigendamata = liigendamata assigneeringud.

(59) EFTA: Euroopa Vabakaubanduse Assotsiatsioon.

(60) Kandidaatriigid ja (kus asjakohane) Lääne-Balkani potentsiaalsed kandidaatriigid.

(61) Aasta N on aasta, mil alustatakse ettepaneku/algatuse rakendamist. „N“ asemel tuleb märkida rakendamise esimene aasta (näiteks: 2021). Sama tuleb teha ka järgnevate aastate puhul.

(62) Aasta N on aasta, mil alustatakse ettepaneku/algatuse rakendamist. „N“ asemel tuleb märkida rakendamise esimene aasta (näiteks: 2021). Sama tuleb teha ka järgnevate aastate puhul.

(63) Väljunditena käsitatakse tarnitavaid tooteid ja osutatavaid teenuseid (nt rahastatud üliõpilasvahetuste arv, ehitatud teede pikkus kilomeetrites jms).

(64) Vastavalt punktile 1.4.2. „Erieesmärgid ...“

(65) Aasta N on aasta, mil alustatakse ettepaneku/algatuse rakendamist. „N“ asemel tuleb märkida rakendamise esimene aasta (näiteks: 2021). Sama tuleb teha ka järgnevate aastate puhul.

(66) Aasta N on aasta, mil alustatakse ettepaneku/algatuse rakendamist. „N“ asemel tuleb märkida rakendamise esimene aasta (näiteks: 2021). Sama tuleb teha ka järgnevate aastate puhul.

(67) AC – lepingulised töötajad; AL – kohalikud töötajad; END – riikide lähetatud eksperdid; INT – renditööjõud; JPD – noored spetsialistid delegatsioonides.

(68) Tegevusassigneeringutest rahastatavate koosseisuväliste töötajate ülempiiri arvestades (endised BA read).

(69) Peamiselt struktuurifondid, Euroopa Maaelu Arengu Põllumajandusfond (EAFRD) ja Euroopa Kalandusfond (EFF).

(70) Vt nõukogu määruse (EL, Euratom) nr 1311/2013 (millega sätestatakse mitmeaastane finantsraamistik aastateks 2014–2020) artiklid 11 ja 17.

(71) Traditsiooniliste omavahendite (tolli- ja suhkrumaksud) korral peab märgitud olema netosumma, s.t brutosumma pärast 20 % sissenõudmiskulude mahaarvamist.

Sektor	Allsektor	Üksuse liik
1. Energeetika	a) Elekter	– Direktiivi (EL) 2019/944( 1 ) artikli 2 punktis 57 osutatud elektriettevõtjad, kes tegelevad sama direktiivi artikli 2 punktis 12 osutatud tarnimisülesandega
		– Direktiivi (EL) 2019/944 artikli 2 punktis 29 osutatud jaotusvõrguettevõtjad
		– Direktiivi (EL) 2019/944 artikli 2 punktis 35 osutatud põhivõrguettevõtjad
		– Direktiivi (EL) 2019/944 artikli 2 punktis 38 osutatud tootjad
		¾Määruse (EL) 2019/943( 2 ) artikli 2 punktis 8 osutatud määratud elektriturukorraldajad
		– Määruse (EL) 2019/943 artikli 2 punktis 25 osutatud elektrituru osalised, kes osutavad direktiivi (EL) 2019/944 artikli 2 punktides 18, 20 ja 59 osutatud agregeerimis-, tarbimiskaja- või energia salvestamise teenuseid
	b) Kaugküte ja -jahutus	– – Direktiivi (EL) 2018/2001( 3 ) (taastuvatest energiaallikatest toodetud energia kasutamise edendamise kohta) artikli 2 punktis 19 osutatud kaugküte ja kaugjahutus
	c) Nafta	– Naftajuhtmete operaatorid
		– Nafta tootmise, rafineerimise ja töötlemise rajatiste ning hoiustamise ja ülekandmisega tegelevad operaatorid
		¾Nõukogu direktiivi 2009/119/EÜ( 4 ) artikli 2 punktis f osutatud naftavarude säilitamise kesküksused
	d) Gaas	– Direktiivi (EÜ) 2009/73/EÜ( 5 ) artikli 2 punktis 8 osutatud tarneettevõtjad
		– Direktiivi 2009/73/EÜ artikli 2 punktis 6 osutatud jaotussüsteemi haldurid
		– Direktiivi 2009/73/EÜ artikli 2 punktis 4 osutatud ülekandesüsteemi haldurid
		– Direktiivi 2009/73/EÜ artikli 2 punktis 10 osutatud hoidlatevõrgu haldurid
		– Direktiivi 2009/73/EÜ artikli 2 punktis 12 osutatud maagaasi veeldusjaamade haldurid
		– Direktiivi 2009/73/EÜ artikli 2 punktis 1 määratletud maagaasiettevõtjad
		– Maagaasi rafineerimise ja töötlemise rajatiste haldurid
	e) Vesinik	Vesiniku tootmise, hoiustamise ja ülekandmisega tegelevad operaatorid
2. Transport	a) Lennutransport	– Määruse (EÜ) nr 300/2008( 6 ) artikli 3 punktis 4 osutatud lennuettevõtjad
		– Direktiivi 2009/12/EÜ( 7 ) artikli 2 punktis 2 osutatud lennujaama juhtorganid, sama direktiivi artikli 2 punktis 1 osutatud lennujaamad, sealhulgas määruse (EL) nr 1315/2013( 8 ) II lisa 2. punktis loetletud põhivõrgu lennujaamad ning lennujaamades olevaid abirajatisi käitavad üksused
		– Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 549/2004( 9 ) artikli 2 punktis 1 osutatud lennujuhtimise teenust osutavad liikluskorraldusettevõtjad
	b) Raudteetransport	– Direktiivi 2012/34/EL( 10 ) artikli 3 punktis 2 osutatud raudteeinfrastruktuuri-ettevõtjad
		– Direktiivi 2012/34/EL artikli 3 punktis 1 osutatud raudteeveo-ettevõtjad, sealhulgas sama direktiivi artikli 3 punktis 12 osutatud teenindusrajatiste käitajad
	– c) Veetransport	– Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004( 11 ) I lisas osutatud ettevõtjad, kes tegelevad reisijate ja kauba vedamisega sisevetel, merel ja rannavetes (ei kohaldata kõnealuste ettevõtjate käitatavate üksikute laevade suhtes)
		– Euroopa Parlamendi ja nõukogu direktiivi 2005/65/EÜ( 12 ) artikli 3 punktis 1 osutatud sadamate valdajad, sealhulgas nende määruse (EÜ) nr 725/2004 artikli 2 punktis 11 osutatud sadamarajatised ning sadamates tööde ja varustuse haldamisega tegelevad üksused
		– Direktiivi 2002/59/EÜ( 13 ) artikli 3 punktis o osutatud laevaliikluse juhtimise keskuste operaatorid
	d) Maanteetransport	– Komisjoni delegeeritud määruse (EL) 2015/962( 14 ) artikli 2 punktis 12 osutatud maanteeametid, kes vastutavad liikluskorralduse eest
		– Direktiivi 2010/40/EL( 15 ) artikli 4 punktis 1 osutatud intelligentsete transpordisüsteemide operaatorid
3. Pangandus		Määruse (EL) nr 575/2013( 16 ) artikli 4 punktis 1 osutatud krediidiasutused
4. Finantsturutaristud		– Direktiivi 2014/65/EL( 17 ) artikli 4 punktis 24 osutatud kauplemiskohtade korraldajad
		– Määruse (EL) nr 648/2012( 18 ) artikli 2 punktis 1 osutatud kesksed vastaspooled
5. Tervishoid		¾Direktiivi 2011/24/EL( 19 ) artikli 3 punktis g osutatud tervishoiuteenuse osutajad
		¾Määruse XXXX/XXXX 20 (milles käsitletakse tõsiseid piiriüleseid terviseohte) artiklis 15 osutatud ELi referentlaborid
		¾Üksused, mis tegelevad direktiivi 2001/83/EÜ( 21 ) artikli 1 punktis 2 osutatud ravimite uurimise ja arendamisega ¾NACE Rev. 2 C jao jaotises 21 osutatud põhifarmaatsiatooteid ja ravimpreparaate tootvad üksused ¾Üksused, kes toodavad rahvatervise hädaolukorras kriitilise tähtsusega meditsiiniseadmeid (rahvatervise hädaolukorra kriitilise tähtsusega meditsiiniseadmete loetelu), millele on osutatud määruse XXXX 22 artiklis 20
6. Joogivesi		Nõukogu direktiivi 98/83/EÜ( 23 ) artikli 2 punkti 1 alapunktis a osutatud olmeveega varustajad ja olmevee jaotajad, v.a jaotajad, kelle puhul olmevee jaotamine on vaid üks osa nende jaotustegevusest, mis hõlmab ka muude tarbekaupade ja kaupade tarnimist ja mida ei käsitata elutähtsa või olulise teenusena.
7. Reovesi		Ettevõtjad, kes tegelevad nõukogu direktiivi 91/271/EMÜ( 24 ) artikli 2 punktides 1–3 osutatud asula-, olme- ja tööstusreovee kogumise, ärajuhtimise või puhastamisega
8. Digitaristu		– Interneti vahetuspunkti teenuse osutajad
		– Domeeninimede süsteemi teenuse osutajad
		– Tippdomeeninimede registrite pidajad
		—Pilvandmetöötlusteenuse osutajad
		– Andmekeskusteenuse osutajad
		¾Sisulevivõrguteenuse osutajad
		– Määruse (EL) nr 910/2014( 25 ) artikli 3 punktis 19 osutatud usaldusteenuse osutajad
		– Direktiivi (EL) 2018/1972( 26 ) artikli 2 punktis 8 osutatud üldkasutatavate elektroonilise side võrkude pakkujad või direktiivi (EL) 2018/1972 artikli 2 punktis 4 osutatud elektroonilise side teenuste osutajad, kui nende teenused on üldkasutatavad
9. Avalik haldus		¾Keskvalitsuste avaliku halduse asutused
		¾Määruse (EÜ) nr 1059/2003( 27 ) I lisas loetletud NUTSi 1. tasandi piirkondade avaliku halduse asutused
		¾Määruse (EÜ) nr 1059/2003 I lisas loetletud NUTSi 2. tasandi piirkondade avaliku halduse asutused
10. Kosmos		Liikmesriigi või eraõiguslike isikute omandis olevate, hallatavate või käitatavate maapealsete taristute operaatorid, kes toetavad kosmosepõhiste teenuste osutamist, välja arvatud direktiivi (EL) 2018/1972 artikli 2 punktis 8 osutatud elektroonilise side võrkude pakkujad

Sektor	Allsektor	Üksuse liik
1. Posti- ja kulleriteenused		Direktiivi 97/67/EÜ( 28 ) artikli 2 punktis 1 osutatud postiteenuste osutajad ja kulleriteenuste osutajad
2. Jäätmekäitlus		Ettevõtjad, kes tegelevad direktiivi 2008/98/EÜ( 29 ) artikli 3 punktis 9 osutatud jäätmekäitlusega, välja arvatud ettevõtjad, kelle põhitegevus ei ole jäätmekäitlus
3. Kemikaalide valmistamine, tootmine ja levitamine		Ettevõtjad, kes on tegelevad määruse (EÜ) nr 1907/2006( 30 ) artikli 3 punktides 4, 9 ja 14 osutatud ainete ja toodete valmistamise, tootmise ja levitamisega.
4. Toiduainete tootmine, töötlemine ja turustamine		Määruse (EÜ) nr 178/2002( 31 ) artikli 3 punktis 2 osutatud toidukäitlemisettevõtjad
5. Töötlev tööstus	a) Meditsiiniseadmete ja in vitro diagnostikameditsiiniseadmete tootmine	Määruse (EL) 2017/745( 32 ) artikli 2 punktis 1 osutatud meditsiiniseadmeid tootvad üksused ning määruse (EL) 2017/746( 33 ) artikli 2 punktis 2 osutatud in vitro diagnostikameditsiiniseadmeid tootvad üksused, välja arvatud 1. lisa punktis 5 nimetatud meditsiiniseadmeid tootvad üksused.
	b) Arvutite, elektroonika- ja optikaseadmete tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 26 osutatud majandustegevusega
	c) Elektriseadmete tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 27 osutatud majandustegevusega
	d) Mujal liigitamata masinate ja seadmete tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 28 osutatud majandustegevusega
	e) Mootorsõidukite, haagiste ja poolhaagiste tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 29 osutatud majandustegevusega
	f) Muude transpordivahendite tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 30 osutatud majandustegevusega
6. Digiteenuste osutajad		– Internetipõhise kauplemiskoha teenuse osutajad
		– Internetipõhise otsingumootori teenuse osutajad
		– Sotsiaalvõrguteenuse platvormi pakkujad

Direktiiv (EL) 2016/1148	Käesolev direktiiv
Artikli 1 lõige 1	Artikli 1 lõige 1
Artikli 1 lõige 2	Artikli 1 lõige 2
Artikli 1 lõige 3	–
Artikli 1 lõige 4	Artikli 2 lõige 4
Artikli 1 lõige 5	Artikli 2 lõige 5
Artikli 1 lõige 6	Artikli 2 lõige 3
Artikli 1 lõige 7	Artikli 2 lõige 6
Artikkel 2	–
Artikkel 3	Artikkel 3
Artikkel 4	Artikkel 4
Artikkel 5	–
Artikkel 6	–
Artikli 7 lõige 1	Artikli 5 lõige 1
Artikli 7 lõige 2	Artikli 5 lõige 4
Artikli 7 lõige 3	Artikli 5 lõige 3
Artikli 8 lõiked 1–5	Artikli 8 lõiked 1–5
Artikli 8 lõige 6	Artikli 11 lõige 4
Artikli 8 lõige 7	Artikli 8 lõige 6
Artikli 9 lõiked 1–3	Artikli 9 lõiked 1–3
Artikli 9 lõige 4	Artikli 9 lõige 7
Artikli 9 lõige 5	Artikli 9 lõige 8
Artikli 10 lõiked 1–3	Artikli 11 lõiked 1–3
Artikli 11 lõige 1	Artikli 12 lõiked 1–2
Artikli 11 lõige 2	Artikli 12 lõige 3
Artikli 11 lõige 3	Artikli 12 lõiked 4 ja 6
Artikli 11 lõige 4	–
Artikli 11 lõige 5	Artikli 12 lõige 7
Artikli 12 lõiked 1–5	Artikli 13 lõiked 1–5
Artikkel 13	–
Artikli 14 lõige 1	Artikli 18 lõige 1
Artikli 14 lõige 2	Artikli 18 lõiked 2–4
Artikli 14 lõige 3	Artikli 20 lõige 1
Artikli 14 lõige 4	Artikli 20 lõige 3
Artikli 14 lõige 5	Artikli 20 lõiked 5, 6 ja 8
Artikli 14 lõige 6	Artikli 20 lõige 7
Artikli 14 lõige 7	–
Artikli 15 lõige 1	Artikli 29 lõige 2
Artikli 15 lõike 2 punkt a	Artikli 29 lõike 2 punkt e
Artikli 15 lõike 2 punkt b	Artikli 29 lõike 2 punkt g
Artikli 15 lõike 2 teine taane	Artikli 29 lõige 3
Artikli 15 lõige 3	Artikli 29 lõike 4 punkt b
Artikli 15 lõige 4	Artikli 28 lõige 2
Artikli 16 lõige 1	Artikli 18 lõiked 1 ja 2
Artikli 16 lõige 2	Artikli 18 lõiked 2–4
Artikli 16 lõige 3	Artikli 20 lõige 1
Artikli 16 lõige 4	Artikli 20 lõige 3
Artikli 16 lõige 5	–
Artikli 16 lõige 6	Artikli 20 lõige 6
Artikli 16 lõige 7	Artikli 20 lõige 7
Artikli 16 lõiked 8 ja 9	Artikli 20 lõige 11
Artikli 16 lõige 10	–
Artikli 16 lõige 11	Artikli 2 lõige 1
Artikli 17 lõige 1	–
Artikli 17 lõike 2 punkt a	Artikli 29 lõike 2 punkt e
Artikli 17 lõike 2 punkt b	Artikli 29 lõike 4 punkt b
Artikli 17 lõige 3	Artikli 34 lõike 1 punktid a ja b
Artikli 18 lõige 1	Artikli 24 lõiked 1–2
Artikli 18 lõige 2	Artikli 24 lõige 3
Artikli 18 lõige 3	Artikli 24 lõige 4
Artikkel 19	Artikkel 22
Artikkel 20	Artikkel 27
Artikkel 21	Artikkel 33
Artikli 22 lõiked 1–2	Artikli 37 lõiked 1–2
Artikkel 23	Artikkel 35
Artikkel 24	–
Artikkel 25	Artikkel 38
Artikkel 26	Artikkel 42
Artikkel 27	Artikkel 43
I lisa punkt 1	Artikli 10 lõige 1
I lisa punkti 2 alapunkti a alapunktid i–iv	Artikli 10 lõike 2 punktid a–d
I lisa punkti 2 alapunkti a alapunkt v	Artikli 10 lõike 2 punkt f
I lisa punkti 2 alapunkt b	Artikli 10 lõige 3
I lisa punkti 2 alapunkti c alapunktid i ja ii	Artikli 10 lõike 4 punkt a
II lisa	I lisa
III lisa punktid 1 ja 2	II lisa punkt 6
III lisa punkt 3	I lisa punkt 8