(1)

Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/1148 (4) eesmärk oli luua kogu liidus küberturvalisuse alast võimekust, leevendada ohte peamistes sektorites elutähtsate teenuste osutamiseks kasutatavatele võrgu- ja infosüsteemidele ning tagada selliste teenuste katkematu osutamine intsidentide korral, aidates seeläbi kaasa liidu julgeolekule ning majanduse ja ühiskonna tõhusale toimimisele.

(2)

Alates direktiivi (EL) 2016/1148 jõustumisest on liidu kübervastupidavusvõime suurendamisel tehtud märkimisväärseid edusamme. Kõnealuse direktiivi läbivaatamine on näidanud, et see on kannustanud liidu küberturvalisust käsitleva institutsioonilise ja regulatiivse käsituse kujunemist ning sillutanud seeläbi teed mõtteviisi oluliseks muutumiseks. Kõnealuse direktiiviga on tagatud riiklike raamistike ülesehitamine, mis on hõlmanud riiklike võrgu- ja infosüsteemide turvalisuse strateegiate koostamist, riikliku võimekuse kujundamist ning regulatiivsete meetmete kohaldamist iga liikmesriigi määratud elutähtsate taristute ja üksuste suhtes. Direktiiv (EL) 2016/1148 on aidanud ka kaasa koostöö edendamisele liidu tasandil koostöörühma ja riiklike küberturbe intsidentide lahendamise üksuste võrgustiku loomise kaudu. Vaatamata nendele saavutustele on direktiivi (EL) 2016/1148 läbivaatamisel tuvastatud olemuslikke puudusi, mis takistavad praeguste ja esilekerkivate küberturvalisuse probleemide tulemuslikku lahendamist.

(3)

Võrgu- ja infosüsteemidest on saanud igapäevaelu keskne osa ühes kiire digiülemineku ja ühiskonnaosaliste vastastikuse seotusega, mille hulka kuulub piiriülene suhtlus. See areng on viinud küberohtude suurenemiseni ning toonud kaasa uued väljakutsed, mis nõuavad kohandatud, koordineeritud ja uuenduslikke lahendusi kõigis liikmesriikides. Intsidentide arv, ulatus, keerukus, sagedus ja mõju suureneb ning see kujutab endast võrgu- ja infosüsteemide toimimisele suurt ohtu. Selle tulemusena võivad intsidendid tõkestada majandustegevust siseturul, põhjustada rahalist kahju, õõnestada kasutajate usaldust ning tekitada suurt kahju liidu majandusele ja ühiskonnale. Seetõttu on küberturvalisuse alane valmisolek ja tõhusus praegu siseturu tõrgeteta toimimiseks olulisem kui kunagi varem. Lisaks on küberturvalisus paljude kriitilise tähtsusega sektorite jaoks peamine tegur, mis võimaldab digiüleminekuga edukalt toime tulla ning digitaliseerimise majanduslikke, sotsiaalseid ja kestlikkuse eeliseid täielikult ära kasutada.

(4)

Direktiivi (EL) 2016/1148 õiguslik alus oli Euroopa Liidu toimimise lepingu (ELi toimimise leping) artikkel 114, mille eesmärk on siseturu rajamine ja toimimise tagamine riigisiseste normide ühtlustamise meetmete tõhustamise abil. Teenuseid osutavatele või majanduslikult olulist tegevust ellu viivatele üksustele kehtestatud küberturvalisuse nõuded erinevad liikmesriigiti märkimisväärselt nii nõuete liigi, üksikasjalikkuse kui ka järelevalvemeetodi poolest. Need erisused toovad kaasa lisakulusid ning põhjustavad raskusi piiriüleselt kaupu või teenuseid pakkuvatele üksustele. Ühe liikmesriigi kehtestatud nõuded, mis erinevad teise liikmesriigi kehtestatud nõuetest või on nendega lausa vastuolus, võivad sellist piiriülest tegevust oluliselt pärssida. Lisaks mõjutab küberturvalisuse nõuete ebatõhus kavandamine või rakendamine ühes liikmesriigis tõenäoliselt küberturvalisuse taset ka teistes liikmesriikides, kui piiriülene suhtlus on sedavõrd intensiivne. Direktiivi (EL) 2016/1148 läbivaatamise käigus selgus, et liikmesriigid kohaldavad seda väga erinevalt, muu hulgas seoses selle kohaldamisalaga, mille piiritlemine jäeti suuresti liikmesriikide otsustada. Direktiiviga (EL) 2016/1148 anti liikmesriikidele ka väga ulatuslik kaalutlusõigus direktiivis sätestatud turvalisuse tagamise ja intsidentidest teatamise kohustuse rakendamisel. Seega rakendati neid kohustusi liikmesriigi tasandil väga erinevalt. Sarnaseid lahknevusi oli ka direktiivi (EL) 2016/1148 järelevalve- ja täitmise tagamise sätete rakendamisel.

(5)

Kõik need erinevused põhjustavad siseturu killustumist ja võivad kahjustada selle toimimist, mõjutades eelkõige teenuste piiriülest osutamist ja kübervastupidavusvõime taset, kuna rakendatavad meetmed on erinevad. Lõppkokkuvõttes võivad need erinevused tuua kaasa selle, et mõni liikmesriik on küberohtude vastu vähem kaitstud, millel võib olla ülekanduv mõju kogu liidus. Käesoleva direktiivi eesmärk on kõrvaldada sellised suured erinevused liikmesriikide vahel, sätestades koordineeritud reguleeriva raamistiku toimimisega seotud miinimumnormid, kehtestades liikmesriikide vastutavate asutuste tulemuslikuks koostööks vajalikud mehhanismid, ajakohastades selliste sektorite ja tegevuste loetelu, mille suhtes küberturvalisusega seotud kohustusi kohaldatakse, ning nähes ette tõhusad õiguskaitsevahendid ja täitemeetmed, mis on olulised nende kohustuste tulemusliku täitmise tagamiseks. Seega tuleks direktiiv (EL) 2016/1148 kehtetuks tunnistada ja asendada käesoleva direktiiviga.

(6)

Direktiivi (EL) 2016/1148 kehtetuks tunnistamisega tuleks sektoripõhist kohaldamisala laiendada suuremale osale majandusest, et hõlmata võimalikult täielikult kõik sektorid ja teenused, mis on siseturu peamise ühiskondliku ja majandustegevuse jaoks elutähtsad. Eelkõige on käesoleva direktiivi eesmärk kõrvaldada puudused, mis on seotud elutähtsate teenuste osutajate ja digiteenuse osutajate eristamisega, mis on osutunud iganenuks, kuna ei kajasta sektorite või teenuste tähtsust siseturu ühiskondliku ja majandustegevuse jaoks.

(7)

Direktiivi (EL) 2016/1148 kohaselt oli liikmesriikidel kohustus kindlaks teha üksused, mis vastavad oluliste teenuste operaatori kriteeriumidele. Et kõrvaldada sellest tulenevad liikmesriikidevahelised suured erinevused ning tagada kõigile asjaomastele üksustele küberturvalisuse riskijuhtimismeetmete ja teatamiskohustusega seoses õiguskindlus, tuleks kehtestada ühtne kriteerium, mille alusel tehakse kindlaks käesoleva direktiivi kohaldamisalasse kuuluvad üksused. See kriteerium peaks põhinema suuruse ülempiiri reegli kohaldamisel, mille kohaselt jäävad käesoleva direktiivi kohaldamisalasse kõik üksused, mida käsitatakse komisjoni soovituse 2003/361/EÜ (5) lisa artikli 2 kohaselt keskmise suurusega ettevõtjana või mis ületavad keskmise suurusega ettevõtja ülemmäärasid, mis on esitatud kõnealuse artikli lõikes 1, ning tegutsevad käesoleva direktiiviga hõlmatud sektorites, osutavad teenuseid või viivad ellu tegevusi, mis kuuluvad selle kohaldamisalasse. Liikmesriigid peaksid samuti ette nägema, et käesoleva direktiivi kohaldamisalasse kuuluvad teatavad kõnealuse soovituse lisa artikli 2 lõigetes 2 ja 3 määratletud väikesed ettevõtjad ja mikroettevõtjad, mis vastavad konkreetsetele kriteeriumidele, mis näitavad ühiskonna, majanduse või konkreetsete sektorite või teenuseliikide võtmerolli.

(8)

Käesoleva direktiivi kohaldamisalast tuleks välja jätta avaliku halduse üksused, kes tegutsevad peamiselt riigi julgeoleku, avaliku julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude ennetamine, avastamine, uurimine ja nende eest vastutusele võtmine. Käesoleva direktiivi kohaldamisalast tuleks välja jätta ka sellised avaliku halduse üksused, kelle tegevus on nende valdkondadega seotud vaid vähesel määral. Regulatiivse pädevusega üksusi ei käsitata käesoleva direktiivi kohaldamisel õiguskaitse valdkonnas tegutsevate üksustena ja seetõttu ei jäeta neid ka käesoleva direktiivi kohaldamisalast välja. Käesoleva direktiivi kohaldamisalast jäetakse välja avaliku halduse üksused, mis on vastavalt rahvusvahelisele lepingule asutatud ühiselt kolmanda riigiga. Käesolevat direktiivi ei kohaldata liikmesriikide diplomaatiliste ja konsulaaresinduste suhtes kolmandates riikides ega nende võrgu- ja infosüsteemide suhtes, kui sellised süsteemid asuvad esinduse ruumides või kui neid käitatakse kolmanda riigi kasutajate jaoks.

(9)

Liikmesriikidel peaks olema võimalik võtta vajalikke meetmeid, et tagada riikliku julgeoleku oluline huvi, tagada avalik kord ja julgeolek ning võimaldada kuritegude ennetamist, uurimist, avastamist ja nende eest vastutusele võtmist. Selleks peaks liikmesriikidel olema võimalik vabastada konkreetsed üksused, kes tegutsevad riigi julgeoleku, avaliku julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine, teatavate käesolevas direktiivis sätestatud kohustuste täitmisest. Kui üksus osutab teenuseid üksnes avaliku halduse üksusele, mis on käesoleva direktiivi kohaldamisalast välja jäetud, peaks liikmesriikidel olema võimalik otsustada, et see üksus ei pea seoses nimetatud teenustega käesolevas direktiivis sätestatud kohustusi täitma. Lisaks ei tohiks liikmesriike kohustada esitama teavet, mille avalikustamine on vastuolus nende riigi julgeoleku, avaliku julgeoleku või kaitse oluliste huvidega. Kõnealuses kontekstis tuleks arvesse võtta salastatud teabe kaitset käsitlevaid riigisiseseid ja liidu norme, ametlikke ja mitteametlikke mitteavaldamise kokkuleppeid, nagu fooritulede analoogial põhinev fooriprotokoll teabe tundlikkuse märgistamiseks. Fooriprotokolli teabe tundlikkuse märgistamiseks tuleb mõista kui vahendit, millega antakse teavet teabe edasise levitamisega seotud piirangute kohta. Seda kasutatakse peaaegu kõigis küberturbe intsidentide lahendamise üksustes (CSIRTid) ning mõnes teabeanalüüsi- ja -jagamiskeskuses.

(10)

Kuigi käesolevat direktiivi kohaldatakse üksuste suhtes, kes viivad ellu tegevusi elektrienergiat tootvates tuumaelektrijaamades, võivad mõned need tegevused olla seotud riikliku julgeolekuga. Kui see on nii, peaks liikmesriigil olema võimalik täita vastavalt aluslepingutele oma kohustust kaitsta seoses kõnealuse tegevusega, sealhulgas tegevusega tuumaenergia väärtusahelas, riiklikku julgeolekut.

(11)

Mõned üksused tegutsevad riikliku julgeoleku, avaliku julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine, osutades samal ajal ka usaldusteenuseid. Usaldusteenuse osutajad, kes kuuluvad Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (6) kohaldamisalasse, peaksid kuuluma käesoleva direktiivi kohaldamisalasse, et tagada turvanõuded ja järelevalve samal tasemel, mis oli juba eelnevalt nimetatud määruses sätestatud seoses usaldusteenuse osutajatega. Nii nagu määrust (EL) nr 910/2014 ei kohaldata teatavate konkreetsete teenuste suhtes, ei tuleks ka käesolevat direktiivi kohaldada selliste usaldusteenuste osutamise suhtes, mida kasutatakse eranditult suletud süsteemides, mis tulenevad liikmesriigi õigusest või kindlaksmääratud osalejate vahelistest kokkulepetest.

(12)

Euroopa Parlamendi ja nõukogu direktiivis 97/67/EÜ (7) määratletud postiteenuse osutajate, sealhulgas kullerpostiteenuse osutajate suhtes tuleks kohaldada käesolevat direktiivi juhul, kui nad osutavad vähemalt ühe postiteenuseahela etapi teenust, eeskätt kogumis-, sorteerimis- või jaotamisteenust, sealhulgas järeletulemise teenused, võttes arvesse nende võrgu- ja infosüsteemidest sõltuvuse määra. Transporditeenust, mida ei osutata ühegi nimetatud etapi raames, ei peaks käsitama postiteenusena.

(13)

Arvestades küberohtude intensiivistumist ja keerukamaks muutumist, peaksid liikmesriigid püüdma tagada, et käesoleva direktiivi kohaldamisalast välja jäetud üksused saavutaksid küberturvalisuse kõrge taseme, ning toetama nende üksuste tundlikku olemust kajastavate samaväärsete küberturvalisuse riskijuhtimismeetmete rakendamist.

(14)

Käesoleva direktiivi alusel toimuva isikuandmete töötlemise suhtes kohaldatakse liidu andmekaitseõigust ja eraelu puutumatuse kaitset käsitlevat liidu õigust. Eelkõige ei mõjuta käesolev direktiiv Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (8) ega Euroopa Parlamendi ja nõukogu direktiivi 2002/58/EÜ (9) kohaldamist. Seetõttu ei tohiks käesolev direktiiv muu hulgas mõjutada nende asutuste ülesandeid ja volitusi, kes on pädevad seirama kohaldatava liidu andmekaitseõiguse ja eraelu puutumatuse kaitset käsitleva õiguse järgimist.

(15)

Küberturvalisuse riskijuhtimismeetmete järgimiseks ja teatamiskohustuse täitmiseks tuleks käesoleva direktiivi kohaldamisalasse kuuluvad üksused liigitada kahte kategooriasse – elutähtsad üksused ja olulised üksused, mis näitab, mil määral on nad kriitilise tähtsusega nende sektori või osutatavate teenuste liigi, aga ka oma suuruse seisukohast. Sellega seoses tuleks igakülgselt arvesse võtta kõiki asjakohaseid valdkondlikke riskihindamisi või pädevate asutuste suuniseid, kui see on kohaldatav. Nende kahe üksuseliigi järelevalve- ja täitmise tagamise kord peaks olema erinev, et tagada õiglane tasakaal kohaldatavate riskipõhiste nõuete ja kohustuste ning nõuete täitmise järelevalvega seotud halduskoormuse vahel.

(16)

Vältimaks seda, et üksusi, millel on partnerettevõtjad või mis on sidusettevõtjad, peetaks elutähtsateks või olulisteks üksusteks, kui see oleks ebaproportsionaalne, on liikmesriikidel võimalik soovituse 2003/361/EÜ lisa artikli 6 lõike 2 kohaldamisel võtta arvesse üksuse oma partneritest või sidusettevõtjatest sõltumatuse määra. Eelkõige on liikmesriikidel võimalik võtta arvesse asjaolu, et üksus on oma partner- või sidusettevõtjatest sõltumatu teenuste osutamisel kasutatavate võrgu- ja infosüsteemide osas, ja teenuste osas, mida üksus osutab. Selle põhjal võivad liikmesriigid asjakohasel juhul leida, et nimetatud üksust ei saa käsitada 2003/361/EÜ lisa artikli 2 kohase keskmise suurusega ettevõtjana või et üksus ei ületa keskmise suurusega ettevõtja kõnealuse artikli lõikes 1 esitatud ülemmäärasid, kui pärast selle üksuse sõltumatuse määra arvestamist üksnes tema enda andmete arvesse võtmisel ei käsitataks teda keskmise suurusega ettevõtjana või neid ülemmäärasid ületavana. See ei mõjuta käesoleva direktiivi kohaldamisalasse kuuluvate partner- ja sidusettevõtjate käesolevas direktiivis sätestatud kohustusi.

(17)

Liikmesriikidel peaks olema võimalik otsustada, et üksusi, mis on direktiivi (EL) 2016/1148 kohaselt identifitseeritud kui oluliste teenuste operaatorid enne käesoleva direktiivi jõustumist, käsitatakse elutähtsate üksustena.

(18)

Selleks et tagada selge ülevaade käesoleva direktiivi kohaldamisalasse kuuluvatest üksustest, peaksid liikmesriigid koostama elutähtsate ja oluliste üksuste ning domeeninimede registreerimise teenuseid osutavate üksuste loetelu. Selleks peaksid liikmesriigid nõudma, et üksused esitaksid pädevatele asutustele vähemalt järgmise teabe: nimi, aadress ja ajakohastatud kontaktandmed, sealhulgas üksuse e-posti aadressid, IP-vahemikud ja telefoninumbrid ning, kui see on kohaldatav, lisades osutatud asjaomane sektor ja allsektor ning, kui see on kohaldatav, selliste liikmesriikide loetelu, kus nad käesoleva direktiivi kohaldamisalasse kuuluvaid teenuseid osutavad. Selleks peaks komisjon Euroopa Liidu Küberturvalisuse Ameti (ENISA) abiga kehtestama põhjendamatu viivituseta teabe esitamise kohustusega seotud suunised ja vormid. Elutähtsate ja oluliste üksuste ning domeeninimede registreerimise teenuseid osutavate üksuste loetelu koostamise ja ajakohastamise hõlbustamiseks peaks liikmesriikidel olema võimalik luua riiklikud mehhanismid, mis võimaldavad üksustel end ise registreerida. Kui registrid on riigi tasandil olemas, saavad liikmesriigid otsustada asjakohaste mehhanismide üle, mis võimaldavad käesoleva direktiivi kohaldamisalasse kuuluvaid üksusi kindlaks määrata.

(19)

Liikmesriigid peaksid esitama komisjonile vähemalt igasse lisades osutatud sektorisse ja allsektorisse kuuluvate elutähtsate ja oluliste üksuste arvu, samuti asjakohase teabe kindlaks määratud üksuste arvu kohta ja selle kohta, millise käesoleva direktiivi sätte põhjal need üksused kindlaks määrati ning millist liiki teenust nad osutavad. Liikmesriike julgustatakse vahetama komisjoniga teavet elutähtsate ja oluliste üksuste kohta ning ulatusliku küberturbeintsidendi korral asjakohast teavet (näiteks asjaomase üksuse nimi).

(20)

Komisjon peaks koostöös koostöörühmaga ja pärast konsulteerimist asjaomaste sidusrühmadega andma mikroettevõtjate ja väikeste ettevõtjate suhtes kohaldatavate kriteeriumide rakendamise suunised, et hinnata, kas nad kuuluvad käesoleva direktiivi kohaldamisalasse. Samuti peaks komisjon tagama, et asjakohaseid suuniseid antakse käesoleva direktiivi kohaldamisalasse kuuluvatele mikroettevõtjatele ja väikestele ettevõtjatele. Komisjon peaks liikmesriikide toetusel tegema sellekohase teabe mikroettevõtjatele ja väikestele ettevõtjatele kättesaadavaks.

(21)

Komisjon peaks andma suunised, mille eesmärk on abistada liikmesriike kohaldamisala käsitlevate käesoleva direktiivi sätete rakendamisel ja käesoleva direktiivi kohaselt võetavate meetmete proportsionaalsuse hindamisel, eelkõige seoses üksustega, millel on keerukad ärimudelid või tegevuskeskkonnad, mille puhul võib üksus vastata korraga nii elutähtsa kui ka olulise üksuse kriteeriumidele või viia samal ajal ellu tegevusi, millest osa kuulub käesoleva direktiivi kohaldamisalasse ja osa mitte.

(22)

Käesolevas direktiivis sätestatakse selle kohaldamisalasse kuuluvate sektorite küberturvalisuse riskijuhtimismeetmete ja teatamiskohustuse baastase. Selleks et vältida liidu õigusaktide küberturvalisuse sätete killustumist, kui küberturvalisuse kõrge taseme tagamiseks kogu liidus peetakse vajalikuks valdkondlikke lisasätteid, mis käsitlevad küberturvalisuse riskijuhtimismeetmeid ja teatamiskohustust, peaks komisjon hindama, kas sellised lisasätted võiks ette näha käesoleva direktiivi alla kuuluvas rakendusaktis. Kui sellised rakendusaktid ei ole selleks sobivad, võiksid liidu valdkondlikud õigusaktid aidata tagada kogu liitu hõlmava küberturvalisuse kõrge taseme, võttes ühtlasi täielikult arvesse asjaomaste sektorite eripära ja keerukust. Sel otstarbel ei välista käesolev direktiiv ka niisuguste küberturvalisuse riskijuhtimismeetmeid ja intsidentidest teatamist käsitlevate edasiste valdkondlike liidu õigusaktide vastuvõtmist, milles võetakse igakülgselt arvesse vajadust luua terviklik ja ühtne küberturvalisuse raamistik. Käesolev direktiiv ei piira komisjonile mitmes sektoris, sealhulgas transpordi- ja energeetikasektoris antud rakendamisvolitusi.

(23)

Kui valdkondlikes liidu õigusaktides on sätted, millega nõutakse elutähtsatelt või olulistelt üksustelt küberturvalisuse riskijuhtimismeetmete võtmist või olulistest intsidentidest teatamist, ning kui need nõuded on vähemalt samaväärsed käesolevas direktiivis sätestatud kohustustega, tuleks neid sätteid, sealhulgas järelevalve- ja täitmise tagamise sätteid, niisuguste üksuste suhtes kohaldada. Kui valdkondlik liidu õigusakt ei hõlma kõiki konkreetse sektori üksusi, mis kuuluvad käesoleva direktiivi kohaldamisalasse, tuleks nimetatud liidu õigusaktiga hõlmamata üksuste suhtes kohaldada jätkuvalt käesoleva direktiivi asjakohaseid sätteid.

(24)

Kui valdkondliku liidu õigusakti kohaselt peavad elutähtsad või olulised üksused täitma teatamise kohustust, mille mõju on vähemalt samaväärne käesolevas direktiivis sätestatud teatamiskohustusega, tuleks tagada intsidenditeadete ühtne ja tulemuslik käsitlemine. Selleks tuleks intsidenditeateid käsitleva valdkondliku liidu õigusakti sätetega anda CSIRTidele, pädevatele asutustele või käesoleva direktiivi kohastele ühtsetele küberturvalisuse kontaktpunktidele (edaspidi „ühtsed kontaktpunktid“) vastavalt valdkondlikule liidu õigusaktile esitatud intsidenditeadetele viivitamata juurdepääs. Sellise viivitamatu juurdepääsu saab tagada eelkõige juhul, kui intsidenditeated edastatakse põhjendamatu viivituseta CSIRTile, pädevale asutusele või käesoleva direktiivi kohasele ühtsele kontaktpunktile. Kui see on asjakohane, peaksid liikmesriigid looma intsidenditeadete käsitlemiseks automaatse ja otsese teavitamise mehhanismi, mis tagab süstemaatilise ja vahetu teabevahetuse CSIRTide, pädevate asutuste või ühtse kontaktpunktiga. Teatamise lihtsustamiseks ning automaatse ja otsese teatamise mehhanismi rakendamiseks võiksid liikmesriigid kooskõlas valdkondliku liidu õigusaktiga kasutada ühtset kontaktpunkti.

(25)

Valdkondlikes liidu õigusaktides, millega nähakse ette küberturvalisuse riskijuhtimismeetmed või teatamiskohustus, millel on käesolevas direktiivis sätestatuga vähemalt samaväärne mõju, võiks ette näha, et nende õigusaktide kohased pädevad asutused kasutavad selliste meetmete või kohustustega seoses oma järelevalve- ja täitmise tagamise volitusi käesoleva direktiivi kohaselt määratud pädevate asutuste abil. Asjaomased pädevad asutused võivad sel eesmärgil kehtestada koostöökorra. Sellises koostöökorras võiks muu hulgas täpsustada järelevalvetegevuse koordineerimise korra, sealhulgas liikmesriigi õiguse kohaste uurimiste ja kohapealsete kontrollide korra ning pädevate asutuste vahelise järelevalvet ja täitmise tagamist käsitleva asjakohase teabe vahetamise mehhanismi, sealhulgas juurdepääsu kübervaldkonda puudutavale teabele, mida pädevad asutused käesoleva direktiivi kohaselt taotlevad.

(26)

Kui valdkondlikes liidu õigusaktides on nõue, et üksused teataksid olulistest küberohtudest või pakutakse neile selleks stiimuleid, peaksid liikmesriigid samuti julgustama oluliste küberohtude jagamist CSIRTide, pädevate asutuste või käesoleva direktiivi kohaste ühtsete kontaktpunktidega, et tagada kõnealuste organite suurem teadlikkus küberohtudest ning võimaldada neil oluliste küberohtude realiseerumise korral tulemuslikult ja aegsasti reageerida.

(27)

Käesolevas direktiivis sätestatud mõisteid ning järelevalve- ja täitmise tagamise raamistikku tuleks tulevastes valdkondlikes liidu õigusaktides igakülgselt arvesse võtta.

(28)

Käesoleva direktiiviga seoses tuleks Euroopa Parlamendi ja nõukogu määrust (EL) 2022/2554 (10) käsitada finantssektori ettevõtjate suhtes valdkondliku liidu õigusaktina. Käesoleva direktiivi sätete asemel tuleks kohaldada määruse (EL) 2022/2554 sätteid, mis käsitlevad info- ja kommunikatsioonitehnoloogia (IKT) riskijuhtimist, IKT intsidentide haldamist ja eelkõige tõsistest IKT intsidentidest teavitamist, samuti digitaalse tegevuskerksuse testimist, teabevahetuse kokkuleppeid ja kolmandatest isikutest tulenevat IKT-riski. Seetõttu ei tohiks liikmesriigid käesoleva direktiivi sätteid, mis käsitlevad küberturvalisuse riskijuhtimist ja teatamiskohustust, järelevalvet ja täitmise tagamist, määruse (EL) 2022/2554 kohaldamisalasse jäävate finantssektori ettevõtjate suhtes kohaldada. Samal ajal on käesoleva direktiivi kohaselt oluline tihedate suhete ja teabevahetuse säilitamine finantssektoriga. Selleks võimaldab määrus (EL) 2022/2554 Euroopa järelevalveasutustel ja kõnealuse määruse kohastel pädevatel asutustel osaleda koostöörühma tegevuses ning vahetada teavet ja teha koostööd ühtsete kontaktpunktidega, samuti CSIRTidega ja käesoleva direktiivi kohaste pädevate asutustega. Määruse (EL) 2022/2554 kohased pädevad asutused peaksid edastama tõsiste IKT intsidentide ja asjakohasel juhul oluliste küberohtude üksikasjad ka CSIRTidele, pädevatele asutusele või käesoleva direktiivi kohastele ühtsetele kontaktpunktidele. See on saavutatav vahetu juurdepääsu tagamisega intsidenditeadetele ja nende otsese või intsidenditeadete ühtse kontaktpunkti edastamise kaudu. Lisaks peaksid liikmesriigid jätkuvalt kaasama finantssektori oma küberturvalisuse strateegiatesse ning CSIRTid võivad oma tegevuses hõlmata ka finantssektorit.

(29)

Selleks et vältida lennundussektori üksustele kehtestatud küberturvalisuse kohustustes lünki ja kohustuste dubleerimist, peaksid Euroopa Parlamendi ja nõukogu määruste (EÜ) nr 300/2008 (11) ja (EL) 2018/1139 (12) kohased riiklikud asutused ning käesoleva direktiivi kohased pädevad asutused tegema seoses küberturvalisuse riskijuhtimismeetmete rakendamisega ja nende meetmete järgimise järelevalvega riiklikul tasandil koostööd. Kui üksus järgib määrustes (EÜ) nr 300/2008 ja (EL) 2018/1139 ning nende määruste alusel vastu võetud asjakohastes delegeeritud õigusaktides ja rakendusaktides sätestatud turvanõudeid, võivad käesoleva direktiivi kohased pädevad asutused käsitada seda käesolevas direktiivis sätestatud vastavate nõuete järgimisena.

(30)

Üksuste küberturvalisuse ja füüsilise julgeoleku omavahelisi seoseid arvestades tuleks tagada Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2557 (13) ja käesoleva direktiivi lähenemisviiside kooskõla. Selle saavutamiseks tuleks direktiivi (EL) 2022/2557 kohaseid elutähtsa teenuse osutajaid käsitada käesoleva direktiivi kohaselt elutähtsate üksustena. Lisaks peaks iga liikmesriik tagama, et tema riikliku küberturvalisuse strateegiaga nähakse ette poliitikaraamistik, mis võimaldab kõnealuses liikmesriigis käesoleva direktiivi ja direktiivi (EL) 2022/2557 kohaste tema pädevate asutuste vahelist tõhusamat koordineerimist seoses teabevahetusega küberriskide, -ohtude ja -intsidentide ning muude kui küberriskide, -ohtude ja -intsidentide kohta ning järelevalveülesannete täitmisega. Käesoleva direktiivi ja direktiivi (EL) 2022/2022/2557 kohased pädevad asutused peaksid tegema koostööd ja vahetama põhjendamatu viivituseta teavet, eelkõige seoses sellega, mis puudutab elutähtsate üksuste, küberriskide, -ohtude ja -intsidentide tuvastamist ning elutähtsaid üksusi mõjutavaid muid kui küberriske, -ohte ja -intsidente, sealhulgas elutähtsate üksuste võetavaid küberturvalisuse ja füüsilisi meetmeid ning selliste üksustega seotud järelevalvetegevuse tulemusi.

Lisaks, et ühtlustada käesoleva direktiivi ja direktiivi (EL) 2022/2022/2557 kohaste pädevate asutuste vahelist järelevalvetegevust ja minimeerida asjaomaste üksuste halduskoormust, peaksid kõnealused pädevad asutused püüdma ühtlustada intsidenditeadete vorme ja järelevalveprotsesse. Kui see on asjakohane, peaks direktiivi (EL) 2022/2557 kohastel pädevatel asutustel olema võimalik taotleda käesoleva direktiivi kohastelt pädevatelt asutustelt, et nad kasutaksid oma järelevalve- ja täitmise tagamise volitusi seoses üksusega, mida käsitatakse direktiivi (EL) 2022/2557 kohase elutähtsa teenuse osutajana. Käesoleva direktiivi ja direktiivi (EL) 2022/2557 kohased pädevad asutused peaksid, kui see on reaalajas võimalik, sel eesmärgil koostööd tegema ja teavet vahetama.

(31)

Digitaristu sektorisse kuuluvad üksused põhinevad sisuliselt võrgu- ja infosüsteemidel ning seetõttu peaksid neile üksustele käesoleva direktiivi alusel pandud kohustused nende üksuste küberturvalisuse riskijuhtimismeetmete ja teatamiskohustuse raames hõlmama terviklikult ka selliste süsteemide füüsilist turvalisust. Kuna need küsimused on hõlmatud käesoleva direktiiviga, ei kohaldata selliste üksuste suhtes direktiivi (EL) 2022/2557 III, IV ja VI peatükis sätestatud kohustusi.

(32)

Usaldusväärse, vastupidava ja turvalise domeeninimede süsteemi (DNS) tagamine ja hoidmine on võtmetähtsusega, et säilitada interneti usaldusväärsus ning oluline, et tagada selle pidev ja stabiilne toimimine, millest sõltuvad digimajandus ja -ühiskond. Seepärast tuleks käesolevat direktiivi kohaldada tippdomeeninimede registrite ja domeeninimede süsteemi teenuse osutajate suhtes, mida tuleb käsitada üksustena, mis osutavad interneti lõppkasutajatele mõeldud üldkasutatavate domeeninimede rekursiivse teisendamise teenust või kolmandatele isikutele kasutamiseks mõeldud domeeninimede autoriteetse teisendamise teenust. Käesolevat direktiivi ei tuleks kohaldada juurnimeserverite suhtes.

(33)

Pilvandmetöötlusteenused peaksid hõlmama digiteenuseid, mis võimaldavad jagatavate andmetöötlusressursside skaleeritava ja paindliku kogumi nõudepõhist haldamist ning ulatuslikku kaugpääsu sellele kogumile, muu hulgas juhul, kui need ressursid paiknevad hajutatult erinevates kohtades. Andmetöötlusressursid on näiteks võrgud, serverid ja muu taristu, operatsioonisüsteemid, tarkvara, talletusruum, rakendused ja teenused. Pilvandmetöötluse teenusemudelid hõlmavad muu hulgas taristut teenusena (IaaS), platvormi teenusena (PaaS), tarkvara teenusena (SaaS) ja võrku teenusena (NaaS). Pilvandmetöötluse korraldusmudelid peaksid hõlmama privaat-, ühis-, avalikku ja hübriidpilve. Mõistetel „pilvandmetöötlusteenus“ ja „korraldusmudel“ on sama tähendus nagu nimetatud mõistetel standardi ISO/IEC 17788:2014 määratluses. Pilvandmetöötlusteenuse kasutaja võimekust tagada endale ühepoolselt andmetöötlusvõimekus, nagu serveriaeg või võrgu talletusruum, ilma pilvandmetöötlusteenuse osutaja inimesepoolse sekkumiseta, võiks nimetada nõudepõhiseks haldamiseks.

Mõistega „ulatuslik kaugpääs“ peetakse silmas seda, et pilvevõimalusi pakutakse võrgu kaudu ja need on kättesaadavad mehhanismide kaudu (sealhulgas mobiiltelefonid, tahvelarvutid, sülearvutid ja tööjaamad), mis toetavad heterogeensete nn kõhnade või paksude kliendiplatvormide kasutamist. Mõiste „skaleeritav“ osutab andmetöötlusressurssidele, mis on nõudluse kõikumisega toimetulekuks pilveteenuse osutaja poolt paindlikult jaotatavad olenemata ressursside geograafilisest asukohast. Mõistet „paindlik kogum“ kasutatakse andmetöötlusressursside kirjeldamiseks, mida pakutakse ja mis tehakse kättesaadavaks vastavalt nõudlusele, et kättesaadavaid ressursse suurendada või vähendada sõltuvalt töökoormusest. Mõistet „jagatav“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mida pakutakse paljudele kasutajatele, kellel on ühine juurdepääs teenusele, kuid mille puhul andmete töötlemine toimub iga kasutaja jaoks eraldi, olgugi et teenust osutatakse samadest elektroonilistest seadmetest. Mõistet „hajusad“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mis asuvad erinevates võrguga ühendatud arvutites või seadmetes ning mis suhtlevad omavahel ja kooskõlastavad omavahelist tegevust sõnumite edastamise teel.

(34)

Kuna maad võtavad uuenduslikud tehnoloogiad ja ärimudelid, tulevad eeldatavasti tarbijate muutuvate vajaduste järgi siseturule uued pilvandmetöötlusteenuse ja korraldusmudelid. Sellises kontekstis võib pilvandmetöötlusteenuseid osutada väga hajusal kujul, mille puhul töötlus toimub andmete loomise või kogumise kohale veelgi lähemal; seega liikudes nn traditsiooniliselt mudelilt väga hajusale mudelile (servtöötlus).

(35)

Andmekeskusteenuse osutajate pakutavaid teenuseid ei pakuta alati tingimata pilvandmetöötlusteenusena. Seega ei pruugi andmekeskused alati olla pilvandmetöötlustaristu osa. Kõigi võrgu- ja infosüsteemide turvalisusega seotud riskide juhtimiseks peaks seetõttu käesoleva direktiivi kohaldamisalasse kuuluma ka selliste andmekeskusteenuste pakkujad, mis ei ole pilvandmetöötlusteenused. Käesoleva direktiivi kohaldamisel peaks mõiste „andmekeskusteenus“ kätkema sellise teenuse osutamist, mis hõlmab struktuure või struktuuride rühmi, mis on ette nähtud andmete talletamiseks, töötlemiseks ja edastamiseks kasutatava infotehnoloogia- (IT) ja võrguseadmete keskseks majutamiseks, omavahel sidumiseks ja käitamiseks, võttes arvesse ka energiajaotuse ja keskkonnajuhtimisega seotud rajatisi ja taristuid. Mõiste „andmekeskusteenus“ ei tohiks hõlmata asutusesiseseid andmekeskusi, mis kuuluvad asjaomasele üksusele ja mida käitatakse üksuse enda tarbeks.

(36)

Teadusuuringutel on uute toodete ja protsesside väljatöötamisel võtmeroll. Paljusid neist tegevustest viivad ellu üksused, mis jagavad, levitavad või kasutavad oma teadusuuringute tulemusi ärilistel eesmärkidel. Need üksused võivad seega olla olulised osalejad väärtusahelates, mis muudab nende võrgu- ja infosüsteemide turvalisuse siseturu üldise küberturvalisuse lahutamatuks osaks. Teadusorganisatsioone tuleks käsitada nii, et need hõlmavad üksusi, mis pühendavad olulise osa oma tegevusest rakendusuuringutele või tootearendusele Majanduskoostöö ja Arengu Organisatsiooni 2015. aasta Frascati käsiraamatu „Guidelines for Collecting and Reporting Data on Research and Experimental Development, with a view to exploiting their results for commercial purposes, such as the manufacturing and marketing of a product, process or the provision of a service“ („Teadus- ja arendustegevuse andmete kogumise ja esitamise suunised, et kasutada nende tulemusi ärilistel eesmärkidel, näiteks toote, protsessi või teenuse tootmiseks või turustamiseks“) tähenduses.

(37)

Kasvav vastastikune sõltuvus tuleneb üha piiriülesemast ja üha enam vastastikku sõltuvast teenuste osutamise võrgustikust, mis kasutab kogu liidus selliste oluliste sektorite taristuid nagu energeetika, transport, digitaristu, joogi- ja reovesi, tervishoid, avaliku halduse teatavad harud ja ka kosmosetööstus, niivõrd kui viimase teatavate teenuste osutamine sõltub maapealsetest taristutest, mida omavad, haldavad ja käitavad kas liikmesriigid või eraõiguslikud isikud (seega ei hõlma see selliseid taristuid, mida omab, haldab või käitab liit või mida hallatakse või käitatakse liidu nimel liidu kosmoseprogrammi osana). Sellised vastastikused sõltuvussuhted tähendavad seda, et mis tahes häirel – isegi kui see puudutab algselt vaid üht üksust või sektorit – võib olla laiem astmeline mõju, mis võib avaldada kaugeleulatuvat ja pikaajalist negatiivset mõju teenuste osutamisele kogu siseturul. COVID-19 pandeemia ajal hoogustunud küberründed on näidanud, kui vähe kaitstud on meie üha enam üksteisest sõltuvad ühiskonnad väikese realiseerumisvõimalusega riskide esinemise korral.

(38)

Arvestades liikmesriikide juhtimisstruktuuride erinevusi ning selleks, et kaitsta juba kehtivat valdkondlikku korda või liidu reguleerivaid ja järelevalveasutusi, peaks liikmesriikidel olema võimalik määrata küberturvalisuse ja käesoleva direktiivi kohaste järelevalveülesannete eest vastutavaks vähemalt ühe riikliku pädeva asutuse või see asutada.

(39)

Et hõlbustada ametiasutuste piiriülest koostööd ja suhtlust ning käesolevat direktiivi tõhusalt rakendada, on vaja, et iga liikmesriik määraks ühtse kontaktpunkti, kes vastutab võrgu- ja infosüsteemide turvalisuse küsimuste koordineerimise ning liidu tasandil tehtava piiriülese koostöö eest.

(40)

Ühtsed kontaktpunktid peaksid tagama tõhusa piiriülese koostöö teiste liikmesriikide asjaomaste asutustega ning asjakohasel juhul komisjoni ja ENISAga. Seepärast tuleks ühtsetele kontaktpunktidele teha ülesandeks edastada CSIRTi või pädeva asutuse taotlusel teated piiriülese mõjuga oluliste intsidentide kohta teiste mõjutatud liikmesriikide ühtsetele kontaktpunktidele. Riiklikul tasandil peaksid ühtsed kontaktpunktid võimaldama sujuvat valdkondadevahelist koostööd teiste pädevate asutustega. Ühtsed kontaktpunktid võiksid olla ka määruse (EL) 2022/2554 kohaste pädevate asutuste edastatava, finantssektori ettevõtjatega seotud intsidente käsitleva asjakohase teabe adressaadid ning, kui see on asjakohane, peaks neil olema võimalik edastada kõnealune teave CSIRTidele või käesoleva direktiivi kohastele pädevatele asutustele.

(41)

Liikmesriigid peaksid olema nii tehniliselt kui ka töökorralduse mõttes piisavalt varustatud, et ennetada, vältida ja avastada intsidente ja riske ning neile reageerida ja nende mõju leevendada. Seepärast peaksid liikmesriigid käesoleva direktiivi alusel looma või määrama ühe või mitu CSIRTi ning tagama, et neil on piisavad vahendid ja tehniline võimekus. CSIRTid peaksid vastama käesolevas direktiivis sätestatud nõuetele, et tagada tulemuslik ja ühilduv võimekus tulla toime intsidentide ja riskidega ning tagada liidu tasandil tõhus koostöö. Liikmesriigid peaksid saama CSIRTideks määrata ka olemasolevaid infoturbeintsidentidega tegelevaid rühmi (CERTe). Et tugevdada üksuste ja CSIRTide vahelist usalduslikku suhet olukorras, kus CSIRT on pädeva asutuse osa, peaks liikmesriikidel olema võimalik kaaluda CSIRTide operatiivülesannete funktsionaalset eraldamist, eelkõige seoses sellega, mis puudutab teabevahetust ja üksuste toetamist ning pädevate asutuste järelevalvetegevust.

(42)

CSIRTide ülesandeks on intsidentide käsitlemine. See hõlmab suure hulga mõnikord tundlike andmete töötlemist. Liikmesriigid peaksid tagama, et CSIRTidel on teabevahetuse ja töötlemise taristu, samuti hästi varustatud töötajad, mis tagab nende tegevuse konfidentsiaalsuse ja usaldusväärsuse. CSIRTid võiksid sellega seoses vastu võtta ka tegevusjuhendid.

(43)

Mis puutub isikuandmetesse, siis peaks CSIRTidel olema võimalik kooskõlas määrusega (EL) 2016/679 teha elutähtsa või olulise üksuse taotlusel üksuse teenuste osutamiseks kasutatavate võrgu- ja infosüsteemide ennetavat kontrolli. Kui see on kohaldatav, peaksid liikmesriigid püüdma tagada kõikide valdkondlike CSIRTide tehnilise võimekuse võrdse taseme. Liikmesriikidel peaks olema võimalik paluda oma CSIRTide arendamisel ENISA abi.

(44)

CSIRTidel peaks üksuse taotluse alusel olema võimalik elutähtsa või olulise üksuse kõiki internetiühendusega varasid pidevalt jälgida, nii siseruumides kui ka väljaspool, et tuvastada, mõista ja hallata üksuse üldisi organisatsioonilisi riske seoses hiljuti tuvastatud tarneahela kahjustuste ja kriitilisel tasemel nõrkustega. Üksust tuleks julgustada CSIRTile teatama, kas tal on privilegeeritud juhtimisliides, kuna see võib mõjutada leevendusmeetmete võtmise kiirust.

(45)

Arvestades küberturvalisuse alase rahvusvahelise koostöö tähtsust, peaks CSIRTidel olema võimalik lisaks käesoleva direktiivi kohaselt loodud CSIRTide võrgustikule osaleda ka rahvusvaheliste koostöövõrgustike töös. Seepärast peaks CSIRTidel ja pädevatel asutustel olema oma ülesannete täitmiseks võimalik vahetada teavet, sealhulgas isikuandmeid, kolmandate riikide riiklike küberturbe intsidentide lahendamise üksuste või pädevate asutustega, kui on täidetud liidu andmekaitseõiguses sätestatud tingimused isikuandmete edastamiseks kolmandatele riikidele, muu hulgas määruse (EL) 2016/679 artiklis 49 sätestatud tingimused.

(46)

Oluline on tagada piisavad vahendid käesoleva direktiivi eesmärkide saavutamiseks ning võimaldada pädevatel asutustel ja CSIRTidel täita selles sätestatud kohustusi. Liikmesriigid võivad riiklikul tasandil kehtestada rahastamismehhanismi, et katta käesoleva direktiivi kohaselt liikmesriigis küberturvalisuse eest vastutavate avaliku sektori asutuste ülesannete täitmisega seotud vajalikud kulud. Selline mehhanism peaks olema kooskõlas liidu õigusega, proportsionaalne ja mittediskrimineeriv ning võtma arvesse erinevaid lähenemisviise turvaliste teenuste pakkumisele.

(47)

CSIRTide võrgustik peaks jätkuvalt aitama suurendada kindlustunnet ja usaldust ning edendama kiiret ja tõhusat operatiivkoostööd liikmesriikide vahel. Et tõhustada operatiivkoostööd liidu tasandil, peaks CSIRTide võrgustik kaaluma võimalust kutsuda oma töös osalema küberturvalisuse poliitika kujundamisega seotud asjaomased liidu asutused ja ametid, näiteks Europoli.

(48)

Küberturvalisuse kõrge taseme saavutamiseks ja säilitamiseks peaksid käesoleva direktiiviga nõutavad riiklikud küberturvalisuse strateegiad koosnema sidusatest raamistikest, milles on esitatud strateegilised eesmärgid ja prioriteedid küberturvalisuse valdkonnas ning nende saavutamiseks vajalik juhtimine. Need strateegiad võivad koosneda ühest või mitmest seadusandlikust või muust kui seadusandlikust aktist.

(49)

Võrgu- ja infosüsteemide taristu, riistvara, tarkvara ja veebipõhiste rakenduste turvalisuse ning selliste ettevõtjate või lõppkasutajate andmete kaitsmiseks, millest üksused sõltuvad, luuakse alus küberhügieeni poliitikameetmetega. Küberhügieeni poliitikameetmed, mis koosnevad ühistest alustavadest, sealhulgas tarkvara ja riistvara uuendamine, salasõnade muutmine, uute paigalduste haldamine, administraatori õigustega juurdepääsukontode piiramine ja andmete varundamine, võimaldavad luua intsidentide või küberohtude puhuks valmisoleku ning üldise turvalisuse ja julgeoleku ennetava raamistiku. Liikmesriikide küberhügieeni poliitikameetmeid peaks jälgima ja analüüsima ENISA.

(50)

Küberturvalisuse alane teadlikkus ja küberhügieen on liidu küberturvalisuse taseme tõstmiseks üliolulised, eelkõige seetõttu, et ühendatud seadmete arv kasvab pidevalt ja neid võetakse küberrünnete puhul üha enam sihtmärgiks. Tuleks teha pingutusi, et suurendada üldist teadlikkust selliste seadmetega seotud riskidest, samal ajal kui liidu tasandil tehtavad hindamised võiksid aidata tagada ühtse arusaama sellistest riskidest siseturul.

(51)

Liikmesriigid peaksid ergutama uuendusliku tehnoloogia, sealhulgas tehisintellekti kasutamist, mis võiks parandada küberrünnete avastamist ja ennetamist ning ressursse küberrünnete vastu paremini suunata. Seepärast peaksid liikmesriigid sellise tehnoloogia kasutamise hõlbustamiseks soodustama oma riiklikes küberturvalisuse strateegiates teadus- ja arendustegevust, eelkõige seoses küberturvalisuse automatiseeritud või poolautomaatsete vahenditega, ning, kui see on kohane, jagama sellise tehnoloogia kasutajate koolitamiseks ja tehnoloogia täiustamiseks vajalikke andmeid. Uuendusliku tehnoloogia, sealhulgas tehisintellekti kasutamine peaks olema kooskõlas liidu andmekaitseõigusega, sealhulgas andmekaitsepõhimõtetega, nagu andmete täpsus, võimalikult väheste andmete kogumine, õiglus ja läbipaistvus ning andmeturve, näiteks tipptasemel krüpteerimine. Määruses (EL) 2016/679 sätestatud lõimitud ja vaikimisi andmekaitse nõuetest tuleb täielikult kinni pidada.

(52)

Tänu avatud lähtekoodiga küberturbevahenditele ja -rakendustele võib tõusta avatuse tase ja need võivad mõjuda soodsalt tööstusinnovatsiooni tõhususele. Avatud standardid soodustavad turbevahendite koostalitlusvõimet, mis on kasulik tööstusvaldkonna sidusrühmade turvalisuse seisukohast. Avatud lähtekoodiga küberturbevahendid ja -rakendused võivad võimendada laiemat arendajate kogukonda, võimaldades tarnijate mitmekesistamist. Avatud lähtekoodiga võib kaasneda küberturvalisusega seotud vahendite kontrolliprotsessi suurem läbipaistvus ning kogukonna juhitav nõrkuste tuvastamise protsess. Seetõttu peaks liikmesriikidel olema võimalik edendada avatud lähtekoodiga tarkvara ja avatud standardite kasutuselevõttu, järgides poliitikat, mis on seotud avatud andmete ja avatud lähtekoodi kasutamisega läbipaistvusel põhineva turvalisuse osana. Avatud lähtekoodiga küberturbevahendite kasutuselevõttu ja kestlikku kasutamist edendavad tegevuskavad, on eriti olulised väikeste ja keskmise suurusega ettevõtjate jaoks, kellel on märkimisväärsed rakenduskulud, mida saaks vähendada, kui vajadust spetsiifiliste rakenduste või vahendite järele vähendataks.

(53)

Kommunaalettevõtted on üha enam ühendatud linnade digivõrkudega, et parandada linnatranspordivõrke, ajakohastada veevarustust ja jäätmekäitlust ning suurendada valgustuse ja hoonete kütmise tõhusust. Need digitaliseeritud kommunaalettevõtted on küberrünnete vastu vähe kaitstud ja edukas küberrünne võib kodanikke nende ettevõtete omavahelise seotuse tõttu ulatuslikult kahjustada. Liikmesriigid peaksid oma riikliku küberturvalisuse strateegia raames välja töötama poliitika, milles käsitletakse selliste ühendatud või arukate linnade arendamist ja nende võimalikku mõju ühiskonnale.

(54)

Viimastel aastatel on liit seisnud silmitsi lunavararünnete hüppelise kasvuga, mille puhul pahavara krüpteerib andmeid ja süsteeme ning nõuab vabastamiseks lunaraha maksmist. Lunavararünnete sagenemist ja tõsidust võivad mõjutada mitmed tegurid, nagu erinevad ründemustrid, nagu lunavara kui teenusega seotud kuritegelikud ärimudelid ja krüptoraha, lunaraha nõudmised ja tarneahela rünnete sagenemine. Liikmesriigid peaksid oma riikliku küberturvalisuse strateegia raames välja töötama poliitika, milles käsitletakse lunavararünnete sagenemist.

(55)

Sobiva raamistiku kõigi sidusrühmade vahel teadmiste vahetamiseks, parimate tavade jagamiseks ja vastastikuse mõistmise ühise taseme loomiseks võib pakkuda küberturvalisuse valdkonna avaliku ja erasektori partnerlus. Liikmesriigid peaksid edendama poliitikat, millega toetatakse küberturvalisuse valdkonna avaliku ja erasektori partnerluse loomist. Niisuguses poliitikas tuleks muu hulgas täpsustada, millised on avaliku ja erasektori partnerluse ulatus ja kaasatud sidusrühmad, juhtimismudel, olemasolevad rahastamisvõimalused ja osalevate sidusrühmade koostoime. Avaliku ja erasektori partnerluse raames saab võimendavalt kasutada erasektori üksuste eksperditeadmisi, et abistada pädevaid asutusi tänapäevaste teenuste ja protsesside arendamisel, sealhulgas teabevahetus, varajane hoiatamine, küberohtude ja intsidentidega seotud õppused, kriisiohje ning vastupanuvõime kavandamine.

(56)

Liikmesriigid peaksid oma riiklikes küberturvalisuse strateegiates käsitlema väikeste ja keskmise suurusega ettevõtjate küberturvalisuse vajadusi. Liidus on väikeste ja keskmise suurusega ettevõtjate osakaal tööstus- ja äriturul suur ning neil on sageli raske kohaneda uute äritavadega üha rohkem ühendatud maailmas ja digitaalses keskkonnas, kus töötajad on kodutööl ja äritegevus toimub järjest rohkem interneti kaudu. Mõnedel väikestel ja keskmise suurusega ettevõtjatel on küberturvalisusega seoses sellised probleemid nagu vähene küberteadlikkus, kaugtöösüsteemide IT-turvalisuse puudumine, küberturvalisuse tagamiseks kasutatavate lahenduste suured kulud ja kõrgem ohutase, näiteks lunavaraga seoses, mille lahendamiseks nad peaksid saama suuniseid ja tuge. Väikestest ja keskmise suurusega ettevõtjatest on üha enam saamas tarneahela rünnete sihtmärk, sest nende küberturvalisuse riskijuhtimismeetmed ja ründehaldamine ei ole nii ranged ning asjaolu tõttu, et neil on piiratud turberessursid. Sellised tarneahela ründed ei mõjuta üksnes väikeseid ja keskmise suurusega ettevõtjaid ja nende tegevust, vaid võivad avaldada astmelist mõju ka üksustele, kellele nad tarnivad, põhjustades ulatuslikuma ründe. Liikmesriigid peaksid oma riiklike küberturvalisuse strateegiate kaudu aitama väikestel ja keskmise suurusega ettevõtjatel tarneahelates esinevaid probleeme lahendada. Liikmesriikidel peaks olema väikeste ja keskmise suurusega ettevõtjate jaoks riiklikul või piirkondlikul tasandil kontaktpunkt, mis kas annab väikestele ja keskmise suurusega ettevõtjatele suuniseid ja abi või suunab nad küberturvalisuse küsimustes suuniste ja abi saamiseks asjakohaste asutuste juurde. Liikmesriike julgustatakse osutama ka selliseid teenuseid nagu veebisaidi konfigureerimine ja logimise võimaldamine mikroettevõtjatele ja väikestele ettevõtjatele, kellel see võimekus puudub.

(57)

Liikmesriigid peaksid oma riiklikes küberturvalisuse strateegiates laiema kaitsestrateegia osana võtma kasutusele aktiivse küberkaitse edendamise poliitika. Selle asemel et tegutseda reageerivalt, tähendab aktiivne küberkaitse võrguturbe rikkumise aktiivset ennetamist, avastamist, seiret, analüüsimist ja tagajärgede leevendamist, milleks kasutatakse nii ohvri võrgus kui ka sellest väljaspool olevaid võimalusi. See võiks hõlmata liikmesriike, kes pakuvad teatavatele üksustele tasuta teenuseid või vahendeid, sealhulgas iseteeninduskontrolle, avastamisvahendeid ja kõrvaldamisteenuseid. Võime ohuteavet ja -analüüse, kübertegevuse hoiatusi ja reageerimismeetmeid kiiresti ja automaatselt jagada ning mõista on ülioluline, et teha ühtseid pingutusi võrgu- ja infosüsteemide vastu suunatud rünnete tulemuslikuks ennetamiseks, avastamiseks ja vastumeetmete võtmiseks. Aktiivne küberkaitse põhineb kaitsestrateegial, millega välistatakse ründemeetmed.

(58)

Kuna võrgu- ja infosüsteemide nõrkuste ärakasutamine võib põhjustada suuri häireid ja olulist kahju, on selliste nõrkuste kiire tuvastamine ja kõrvaldamine riskide vähendamise tähtis tegur. Üksused, mis võrgu- ja infosüsteeme välja töötavad või haldavad, peaksid seetõttu kehtestama asjakohase korra, mille alusel nõrkuste avastamise korral neid käsitleda. Kuna nõrkusi avastavad ja avalikustavad sageli kolmandad isikud, peaks IKT-toodete või IKT-teenuste tootja või osutaja kehtestama ka vajaliku menetluskorra kolmandatelt isikutelt nõrkusi käsitleva teabe saamiseks. Suunised nõrkuste käsitlemiseks ja nende avalikustamiseks on esitatud rahvusvahelistes standardites ISO/IEC 30111 ja ISO/IEC 29147. Selleks et soodustada nõrkuste avalikustamise vabatahtlikku raamistikku, on eriti oluline tugevdada füüsiliste ja juriidiliste isikute ning IKT-toodete või IKT-teenuste tootjate või osutajate vahelise koostöö koordineerimist. Nõrkuste koordineeritud avalikustamise all peetakse silmas struktureeritud protsessi, mille käigus teatatakse potentsiaalselt nõrkade IKT-toodete või IKT-teenuste tootjale või osutajale nõrkustest viisil, mis võimaldab neil nõrkust diagnoosida ja selle kõrvaldada enne, kui nõrkusega seotud üksikasjalik teave avalikustatakse kolmandatele isikutele või üldsusele. Nõrkuste koordineeritud avalikustamise protsess peaks hõlmama ka füüsiliste ja juriidiliste isikute ning potentsiaalselt nõrkade IKT-toodete või IKT-teenuste tootja või osutaja vahelist koordineerimist nõrkuste kõrvaldamise ja avalikustamise ajastamise asjus.

(59)

Komisjon, ENISA ja liikmesriigid peaksid ka edaspidi edendama küberturvalisuse riskijuhtimise valdkonna rahvusvaheliste standardite ja tööstusvaldkonna praeguste parimate tavadega kooskõla saavutamist, näiteks tarneahela turvalisuse hindamise, teabevahetuse ja nõrkuste avalikustamise valdkonnas.

(60)

Liikmesriigid peaksid võtma koostöös ENISAga meetmeid, et nõrkuste koordineeritud avalikustamist hõlbustada, kehtestades selleks asjakohase riikliku poliitika. Oma riikliku poliitika raames peaksid liikmesriigid kooskõlas oma õigusega püüdma võimalikult suures ulatuses lahendada probleeme, millega puutuvad kokku nõrkuste valdkonnas uuringuid läbi viivad isikud, sealhulgas probleeme, mis on seotud nende võimaliku kriminaalvastutusega. Võttes arvesse, et mõnes liikmesriigis võib nõrkuste valdkonnas uuringuid läbi viivate füüsiliste ja juriidiliste isikute suhtes kohaldada kriminaal- ja tsiviilvastutust, soovitatakse liikmesriikidel võtta vastu suunised, mis käsitlevad infoturbeuurijate nende tegevuse eest vastutusele võtmisest loobumist ja tsiviilvastutusest vabastamist.

(61)

Liikmesriigid peaksid määrama ühe oma CSIRTidest koordinaatoriks, kes tegutseb vajaduse korral usaldatud vahendajana teavitavate üksuste ja IKT-toodete või IKT-teenuste tootjate või osutajate vahel, keda nõrkus tõenäoliselt mõjutab. Koordinaatoriks määratud CSIRTi ülesanneteks peaks eelkõige olema teha kindlaks asjaomased üksused ja võtta nendega ühendust, toetada nõrkusest teavitavaid füüsilisi ja juriidilisi isikuid, pidada läbirääkimisi avalikustamise tähtaegade üle ning hallata mitmeid üksusi mõjutavate nõrkustega seonduvat tegevust (mitut poolt puudutavate nõrkuste koordineeritud avalikustamine). Kui teatatud nõrkus võib oluliselt mõjutada üksusi rohkem kui ühes liikmesriigis, peaksid koordinaatoriks määratud CSIRTid tegema, kui see on kohane, koostööd CSIRTide võrgustiku raames.

(62)

Juurdepääs õigele ja õigeaegsele teabele IKT-tooteid ja IKT-teenuseid mõjutavate nõrkuste kohta aitab küberturvalisuse riskijuhtimist tõhustada. Nõrkuste kohta avalikult kättesaadava teabe allikad on üksuste ja nende teenuste kasutajate, aga ka riiklike pädevate asutuste ja CSIRTide jaoks oluline vahend. Sel põhjusel peaks ENISA looma Euroopa nõrkuste andmebaasi, kus üksused, olenemata sellest, kas nad kuuluvad käesoleva direktiivi kohaldamisalasse, ja nende võrgu- ja infosüsteemide tarnijad, ning pädevad asutused ja CSIRTid võivad üldtuntud nõrkusi vabatahtlikult avalikustada ning registreerida, mis võimaldab kasutajatel võtta asjakohaseid leevendusmeetmeid. Andmebaasi eesmärk on käsitleda ainulaadseid probleeme, mida riskid liidu üksustele tekitavad. Ühtlasi peaks ENISA kehtestama avaldamisprotsessiga seoses sobiva menetluse, millega anda üksustele aega võtta oma nõrkuste kõrvaldamiseks leevendusmeetmeid ning kasutada tänapäevaseid küberturvalisuse riskijuhtimismeetmeid ning võtta kasutusele masinloetavad andmekogud ja vastavad liidesed. Selleks et edendada nõrkuste avalikustamise kultuuri, ei tohiks avalikustamisel olla nõrkusest teatavale füüsilisele või juriidilisele isikule kahjulikke tagajärgi.

(63)

Kuigi sarnaseid nõrkuste registreid või andmebaase on ka juba loodud, majutavad ja haldavad neid üksused, mille asukoht ei ole liidus. ENISA hallatav Euroopa nõrkuste andmebaas tagaks nõrkuste ametlikule avalikustamisele eelneva avalikustamisprotsessi suurema läbipaistvuse ning suurendaks vastupidavust sarnaste teenuste osutamist mõjutava häire või katkestuse korral. Et vältida topelttööd ja püüda saavutada võimalikult suures ulatuses vastastikune täiendavus, peaks ENISA uurima võimalust sõlmida struktureeritud koostöökokkuleppeid kolmandate riikide jurisdiktsiooni alla kuuluvate sarnaste registrite või andmebaasidega. Eelkõige peaks ENISA uurima võimalust teha tihedat koostööd ühiste nõrkuste ja riskide süsteemi operaatoritega.

(64)

Koostöörühm peaks hõlbustama ja toetama strateegilist koostööd ja teabevahetust ning suurendama liikmesriikide vahelist usaldust ja kindlustunnet. Koostöörühm peaks koostama iga kahe aasta järel tööprogrammi. Tööprogramm peaks hõlmama koostöörühma poolt oma eesmärkide ja ülesannete täitmiseks võetavaid meetmeid. Käesoleva direktiivi kohase esimese tööprogrammi koostamise ajakava tuleks viia vastavusse direktiivi (EL) 2016/1148 alusel koostatud viimase tööprogrammi ajakavaga, et vältida võimalikke häireid koostöörühma töös.

(65)

Juhenddokumentide väljatöötamisel peaks koostöörühm olemasolevate reeglite tõhusamaks rakendamiseks järjepidevalt kaardistama riiklikud lahendused ja kogemused, hindama koostöörühma tegevuse tulemuste mõju riiklikele lähenemisviisidele, arutama rakendamisega seotud probleeme ning sõnastama konkreetsed soovitused olemasolevate reeglite tõhusamaks rakendamiseks, eelkõige hõlbustamaks käesoleva direktiivi ühtlast ülevõtmist liikmesriikides. Koostöörühm peaks riiklikud lahendused ka kaardistama, et edendada kogu liidus igas konkreetses sektoris kasutatavate küberturvalisuse lahenduste ühilduvust. See on eriti oluline rahvusvahelise või piiriülese olemusega sektoritele.

(66)

Koostöörühm peaks jääma paindlikuks foorumiks ning suutma reageerida muutuvatele ja uutele poliitilistele prioriteetidele ja probleemidele, võttes seejuures arvesse vahendite kättesaadavust. Ta võiks korraldada korrapäraseid ühiskohtumisi asjaomaste erasektori sidusrühmadega kogu liidust, et arutada koostöörühma tegevust ning koguda andmeid ja sisendit esilekerkivate poliitiliste probleemide kohta. Lisaks peaks koostöörühm korrapäraselt hindama küberohtude või intsidentide, näiteks lunavara olukorda. Et tõhustada koostööd liidu tasandil, peaks koostöörühm kaaluma võimalust kutsuda oma töös osalema küberturvalisuse poliitika kujundamisega seotud asjaomased liidu institutsioonid, organid ja asutused, näiteks Euroopa Parlament, Europol, Euroopa Andmekaitsenõukogu, määrusega (EL) 2018/1139 loodud Euroopa Liidu Lennundusohutusamet ning Euroopa Parlamendi ja nõukogu määrusega (EL) 2021/696 (14) loodud Euroopa Liidu Kosmoseprogrammi Amet.

(67)

Pädevatel asutustel ja CSIRTidel peaks olema võimalik liikmesriikidevahelise koostöö parandamiseks ja usalduse suurendamiseks osaleda teiste liikmesriikidega ametnike vahetamise programmis konkreetses raamistikus ja, kui see on kohaldatav, tingimusel et niisugustes vahetusprogrammides osalevad ametnikud läbivad kohustusliku julgeolekukontrolli. Pädevad asutused peaksid võtma vajalikud meetmed, et võimaldada teiste liikmesriikide ametnikel täita vastuvõtva pädeva asutuse või vastuvõtva CSIRTi tegevuses tulemuslikku rolli.

(68)

Liikmesriigid peaksid aitama kaasa komisjoni soovituses (EL) 2017/1584 (15) ette nähtud küberturvalisuse kriisidele reageerimise ELi raamistiku loomisele olemasolevate koostöövõrgustike, eelkõige Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikule (EU-CyCLONe), CSIRTide võrgustiku ja koostöörühma tegevuse kaudu. EU-CyCLONe ja CSIRTide võrgustik peaksid tegema koostööd menetluskorra alusel, milles määratakse kindlaks kõnealuse koostöö üksikasjad, ning vältima ülesannete dubleerimist. EU-CyCLONe menetluskorras tuleks täpsustada võrgustiku toimimist puudutav kord, muu hulgas rollid, koostööviisid, teiste asjaomaste osalejatega suhtlemine, teabevahetuse vormid ja kommunikatsioonivahendid. Liidu tasandi kriisiohje puhul peaksid asjaomased pooled lähtuma nõukogu rakendusotsuses (EL) 2018/1993 (16) sätestatud kriisidele poliitilist reageerimist käsitlevast ELi integreeritud korrast (edaspidi „IPCRi kord“). Komisjon peaks selleks rakendama üldise kiirhoiatussüsteemi ARGUS kõrgetasemelise valdkondadevahelise kriisikoordineerimise menetlusprotsessi. Kui kriisil on oluline välispoliitiline või ühise julgeoleku- ja kaitsepoliitikaga seotud mõõde, tuleks käivitada Euroopa välisteenistuse kriisidele reageerimise mehhanism.

(69)

Soovituse (EL) 2017/1584 lisa kohaselt tuleks ulatusliku küberturbeintsidendina mõista intsidenti, mille põhjustatud häired on niivõrd laialdased, et ühe liikmesriigi suutlikkusest nendega toimetulekuks ei piisa, või millel on märkimisväärne mõju vähemalt kahele liikmesriigile. Olenevalt nende põhjusest ja mõjust võivad ulatuslikud küberturbeintsidendid eskaleeruda ning muutuda täieulatuslikuks kriisiks, mis takistab siseturu tõrgeteta toimimist või kujutab endast mitme liikmesriigi või kogu liidu üksustele või kodanikele tõsist avaliku julgeoleku- või turvalisusriski. Võttes arvesse selliste intsidentide ulatuslikku haaret ja (enamikul juhtudel) piiriülest laadi, peaksid liikmesriigid ning asjaomased liidu institutsioonid, organid ja asutused tegema koostööd nii tehnilisel, operatiiv- kui ka poliitilisel tasandil, et reageerimist liidu ulatuses nõuetekohaselt koordineerida.

(70)

Liidu tasandi ulatuslike küberturbeintsidentide ja kriiside puhul tuleb kiire ja tõhusa reageerimise tagamiseks võtta koordineeritud meetmeid, kuna sektorite ja liikmesriikide omavaheline sõltuvus on väga suur. Kübervastupidavusvõimeliste võrgu- ja infosüsteemide olemasolu ning andmete kättesaadavus, konfidentsiaalsus ja terviklus on väga olulised liidu julgeoleku ning liidu kodanike, ettevõtjate ja institutsioonide kaitsmiseks intsidentide ja küberohtude eest ning samuti selleks, et suurendada üksikisikute ja organisatsioonide usaldust liidu võimekuse vastu edendada ja kaitsta üleilmset, avatud, vaba, stabiilset ja turvalist küberruumi, mis põhineb inimõigustel, põhivabadustel, demokraatial ja õigusriigil.

(71)

EU-CyCLONe peaks ulatuslike küberturbeintsidentide ja kriiside korral toimima vahendajana tehnilise ja poliitilise tasandi vahel ning tõhustama operatiivtasandi koostööd ja toetama otsuste tegemist poliitilisel tasandil. Võttes arvesse komisjoni pädevust kriisiohje valdkonnas, peaks EU-CyCLONe koostöös komisjoniga tuginema CSIRTide võrgustiku järeldustele ja kasutama oma võimekust, et koostada ulatuslike küberturbeintsidentide ja kriiside mõjuanalüüs.

(72)

Küberründed on oma olemuselt piiriülesed ning oluline intsident võib häirida ja kahjustada elutähtsaid teabetaristuid, millest sõltub siseturu sujuv toimimine. Kõigi asjaomaste osalejate rolli käsitletakse soovituses (EL) 2017/1584. Lisaks vastutab komisjon Euroopa Parlamendi ja nõukogu otsusega nr 1313/2013/EL (17) loodud liidu elanikkonnakaitse mehhanismi raames üldiste valmisolekumeetmete eest, mis hõlmavad hädaolukordadele reageerimise koordineerimiskeskuse ning ühise hädaolukordade side- ja infosüsteemi haldamist, olukorrateadlikkuse ja analüüsivõime säilitamist ja edasiarendamist ning liikmesriigi või kolmanda riigi abitaotluse korral eksperdirühmade mobiliseerimise ja lähetamise võimekuse loomist ja haldamist. Komisjon vastutab ka rakendusotsuse (EL) 2018/1993 kohase IPCRi korra analüüsiaruannete esitamise eest, muu hulgas seoses küberturvalisuse olukorrateadlikkuse ja valmisolekuga, samuti olukorrateadlikkuse ja kriisidele reageerimisega põllumajanduse, ebasoodsate ilmastikutingimuste, konfliktide kaardistamise ja prognooside, loodusõnnetuste varajase hoiatamise süsteemide, tervisealaste hädaolukordade, nakkushaiguste seire, taimetervise, keemiliste ainetega seotud juhtumite, toidu- ja söödaohutuse, loomatervise, rände, tolli, tuumaavariide ja kiirguslike avariiolukordade ning energeetika valdkonnas.

(73)

Kui see on asjakohane, võib liit kooskõlas ELi toimimise lepingu artikliga 218 sõlmida kolmandate riikide või rahvusvaheliste organisatsioonidega rahvusvahelisi lepinguid, mis võimaldab neil osaleda ja korraldada osalust mõningates koostöörühma, CSIRTide võrgustiku ning EU-CyCLONe tegevuses. Selliste lepingutega tuleks tagada liidu huvid ja piisaval tasemel andmekaitse. See ei tohiks välistada liikmesriikide õigust teha nõrkuste haldamisel ja küberturvalisuse riskijuhtimisel koostööd kolmandate riikidega, hõlbustades liidu õiguse kohast teatamist ja üldist teabevahetust.

(74)

Selleks et hõlbustada käesoleva direktiivi tulemuslikku rakendamist muu hulgas sellistes valdkondades nagu nõrkuste haldamine, küberturvalisuse riskijuhtimismeetmed, teatamiskohustus ja küberturvalisuse alase teabevahetuse kokkulepped, võivad liikmesriigid teha koostööd kolmandate riikidega ja võtta meetmeid, mida peetakse sel eesmärgil asjakohaseks, sealhulgas küberohtude, intsidentide, nõrkuste, vahendite ja meetodite, taktika, võtete ja menetlustega seotud teabevahetus, küberturvalisuse kriiside ohjamisega seotud valmisolek ja õppused, koolitus, usalduse loomine ja struktureeritud teabevahetuse kokkulepped.

(75)

Kasutusele tuleks võtta vastastikune hindamine, et aidata õppida ühistest kogemustest, tugevdada vastastikust usaldust ja saavutada küberturvalisuse ühtlaselt kõrge tase. Vastastikune hindamine võib anda väärtuslikke teadmisi ja viia soovitusteni, mis tugevdavad üldist küberturvalisuse võimekust, luues uue funktsionaalse tee parimate tavade jagamiseks liikmesriikide vahel ning aidates tõsta liikmesriikide küberturvalisuse taset. Lisaks peaks vastastikuses hindamises võtma arvesse sarnaste mehhanismide, näiteks CSIRTide võrgustiku vastastikuse hindamise süsteemi tulemusi, looma lisaväärtust ja vältima dubleerimist. Vastastikuse hindamise rakendamine ei tohiks piirata konfidentsiaalse ja salastatud teabe kaitset käsitlevate riiklike või liidu õigusaktide kohaldamist.

(76)

Koostöörühm peaks kehtestama liikmesriikide jaoks enesehindamise metoodika, mille eesmärk on hõlmata selliseid tegureid nagu küberturvalisuse riskijuhtimismeetmete ja teatamiskohustuse rakendamise tase, pädevate asutuste võimekuse tase ja ülesannete täitmise tulemuslikkus, CSIRTide tegevusvõimekus, vastastikuse abi rakendamise tase, küberturvalisuse alase teabevahetuse korra rakendamise tase või konkreetsed piiriülese või valdkondadevahelise iseloomuga küsimused. Liikmesriike tuleks julgustada tegema korrapäraselt enesehindamisi ning esitama ja arutama oma enesehindamise tulemusi koostöörühmas.

(77)

Vastutus võrgu- ja infosüsteemi turvalisuse tagamise eest lasub suurel määral elutähtsatel ja olulistel üksustel. Tuleks edendada ja arendada riskijuhtimiskultuuri, mis hõlmab riskihindamisi ja riskile vastavate küberturvalisuse riskijuhtimismeetmete rakendamist.

(78)

Küberturvalisuse riskijuhtimismeetmetes peaks võtma arvesse, mil määral elutähtis või oluline üksus võrgu- ja infosüsteemidest sõltub, ning hõlmama meetmeid intsidendiriskide tuvastamiseks, vältimiseks, avastamiseks, neile reageerimiseks ja neist taastumiseks ning nende mõju leevendamiseks. Võrgu- ja infosüsteemide turvalisus peaks hõlmama salvestatavate, edastatavate ja töödeldavate andmete turvalisust. Küberturvalisuse riskijuhtimismeetmetega tuleks tagada süsteemne analüüs, milles võetakse arvesse inimtegurit, et saada võrgu- ja infosüsteemi turvalisusest terviklik pilt.

(79)

Kuna võrgu- ja infosüsteemide turvalisust ähvardavatel ohtudel võib olla erinev põhjus, peaksid küberturvalisuse riskijuhtimismeetmed tuginema kõiki ohte hõlmavale käsitusele, mille eesmärk on kaitsta võrgu- ja infosüsteeme ja nende füüsilist keskkonda selliste olukordade eest nagu vargus, tulekahju, üleujutus, telekommunikatsiooni- või elektrikatkestus või loata füüsiline juurdepääs elutähtsa või olulise üksuse teabe- ja teabetöötlusrajatistele ning nende kahjustamine ja häirimine, mis võib ohustada võrgu- ja infosüsteemides salvestatud, edastatud või töödeldud andmete või nende süsteemide pakutavate või nende kaudu juurdepääsetavate teenuste kättesaadavust, autentsust, terviklust või konfidentsiaalsust. Seepärast peaksid küberturvalisuse riskijuhtimismeetmed käsitlema ka võrgu- ja infosüsteemide füüsilist turvalisust ja keskkonnaohutust, hõlmates selliste süsteemide kaitsmist süsteemirikete, inimliku eksimuse, pahatahtliku tegevuse või loodusnähtuste eest kooskõlas Euroopa ja rahvusvaheliselt tunnustatud standarditega, näiteks ISO/IEC 27000 seeria standarditega. Sellega seoses peaksid elutähtsad ja olulised üksused oma küberturvalisuse riskijuhtimismeetmete osana käsitlema ka personali turvalisust ja kehtestama asjakohased juurdepääsukontrolli põhimõtted. Need meetmed peaksid olema kooskõlas direktiiviga (EL) 2022/2557.

(80)

Selleks et tõendada vastavust küberturvalisuse riskijuhtimismeetmetele ja kui puuduvad Euroopa Parlamendi ja nõukogu määrusele (EL) 2019/881 (18) vastavad asjakohased Euroopa küberturvalisuse sertifitseerimise kavad, peaksid liikmesriigid konsulteerides koostöörühma ja Euroopa küberturvalisuse sertifitseerimise rühmaga edendama asjaomaste Euroopa ja rahvusvaheliste standardite kasutamist elutähtsate ja oluliste üksuste poolt, või liikmesriigid võivad üksustelt nõuda, et nad kasutaksid sertifitseeritud IKT-tooteid, IKT-teenuseid ja IKT-protsesse.

(81)

Et vältida elutähtsatele ja olulistele üksustele ebaproportsionaalse finants- ja halduskoormuse panemist, peaksid küberturvalisuse riskijuhtimismeetmed olema proportsionaalsed asjaomase võrgu- ja infosüsteemi puhul esineva riski tasemega ning lähtuma selliste meetmete tehnilisest tasemest ning, kui see on kohaldatav, Euroopa ja rahvusvahelistest standarditest ning nende rakendamise kuludest.

(82)

Küberturvalisuse riskijuhtimismeetmed peaksid olema proportsionaalsed elutähtsa või olulise üksuse riskidele avatuse määraga ning intsidendi ühiskondliku ja majandusliku mõjuga. Elutähtsatele ja olulistele üksustele kohandatud küberturvalisuse riskijuhtimismeetmete kehtestamisel tuleks igakülgselt arvesse võtta elutähtsate ja oluliste üksuste erinevat avatust riskidele, näiteks üksuse kriitilisuse määra, riske, sealhulgas ühiskondlikke riske, millega ta kokku puutub, üksuse suurust, intsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas nende ühiskondlikku ja majanduslikku mõju.

(83)

Elutähtsad ja olulised üksused peaksid tagama oma tegevuses kasutatavate võrgu- ja infosüsteemide turvalisuse. Nende puhul on eelkõige tegemist privaatsete võrgu- ja infosüsteemidega, mida haldavad kas elutähtsa või olulise üksuse enda IT-töötajad või mille turvalisusega seotud teenused ostetakse sisse. Käesolevas direktiivis sätestatud küberturvalisuse riskijuhtimismeetmeid ning teatamiskohustust tuleks kohaldada asjaomaste elutähtsate ja oluliste üksuste suhtes olenemata sellest, kas kõnealused üksused hooldavad oma võrgu- ja infosüsteeme ise või tellivad selleks hooldusteenuse väljast.

(84)

Võttes arvesse nende piiriülest olemust, tuleks domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate, internetipõhise kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormi pakkujate ja usaldusteenuse osutajate suhtes kohaldada liidu tasandil suuremat ühtlustamist. Seetõttu tuleks küberturvalisuse riskijuhtimismeetmete rakendamise hõlbustamiseks seoses kõnealuste üksustega võtta vastu rakendusakt.

(85)

Eriti oluline on tegeleda riskidega, mis tulenevad üksuse tarneahelast ja suhetest tema tarnijatega, näiteks andmete talletamise ja töötlemise teenuse osutajate või turbeteenuse osutajate ja sisutoimetajatega, kui võtta arvesse selliste intsidentide esinemise sagedust, mille puhul üksused on langenud võrgu- ja infosüsteemi vastu suunatud küberrünnete ohvriks ning kurjategijad on suutnud kahjustada üksuse võrgu- ja infosüsteemide turvalisust, kasutades ära kolmandate isikute tooteid ja teenuseid mõjutavaid nõrkusi. Seepärast peaksid elutähtsad ja olulised üksused hindama ja arvesse võtma toodete ja teenuste üldist kvaliteeti ja vastupidavust, nendesse integreeritud küberturvalisuse riskijuhtimismeetmeid, samuti oma tarnijate ja teenuseosutajate küberturvalisuse tavasid, sealhulgas nende turvalise arenduse menetlusi. Elutähtsaid ja olulisi üksusi tuleks eelkõige julgustada lisama küberturvalisuse riskijuhtimismeetmeid oma otseste tarnijate ja teenuseosutajatega sõlmitavatesse lepingutesse. Kõnealused üksused võiksid võtta arvesse ka riske, mis tulenevad muu tasandi tarnijatest ja teenuseosutajatest.

(86)

Teenuseosutajate seas on intsidentide ennetamisel, tuvastamisel, lahendamisel ja neist taastumisel üksuste jaoks eriti oluline tugiroll turbetarnijatel sellistes teenusevaldkondades nagu intsidentide lahendamine, läbistustestimine, turvaaudit ja konsultatsioonid. Turbetarnijad on aga olnud ka ise küberrünnete sihtmärgiks ja kuna nad on üksuste tegevusse tihedalt lõimitud, kaasneb nendega eriline risk. Seega peaksid elutähtsad ja olulised üksused olema turbetarnija valimisel iseäranis hoolikad.

(87)

Pädevad asutused võivad oma järelevalveülesannete täitmisel kasutada ka selliseid küberturvalisuse teenuseid nagu turvaauditid, läbistustestimine või intsidentide lahendamine.

(88)

Elutähtsad ja olulised üksused peaksid tähelepanu pöörama ka sellistele riskidele, mis tulenevad nende suhtlemisest ja suhetest teiste sidusrühmadega laiemas ökosüsteemis, et muu hulgas tõkestada tööstusspionaaži ja kaitsta ärisaladusi. Täpsemalt peaksid üksused võtma asjakohaseid meetmeid tagamaks, et nende koostöö akadeemiliste ja teadusasutustega toimub kooskõlas nende küberturvalisuse poliitikaga ning et selles koostöös järgitakse teabele turvalise juurdepääsu ja selle levitamisega seotud üldisi häid tavasid ja eelkõige intellektuaalomandi kaitsega seotud tavasid. Võttes arvesse andmete olulisust ja väärtust elutähtsate ja oluliste üksuste tegevuse jaoks, peaksid kõnealused üksused kolmandate isikute poolt osutatavatele andmete teisendamise ja analüüsi teenustele tuginedes võtma kõik asjakohased küberturvalisuse riskijuhtimismeetmed.

(89)

Elutähtsad ja olulised üksused peaksid kasutusele võtma mitmesugused küberhügieeni põhitavad, näiteks usaldamatuse põhimõtte, tarkvarauuendused, seadme konfiguratsiooni, võrgu segmenteerimise, identiteedi ja juurdepääsu halduse ning kasutajateadlikkuse, ning pakkuma oma töötajatele koolitusi ning suurendama teadlikkust küberohtude, andmepüügi ja inimestega manipuleerimise meetodite kohta. Lisaks peaksid kõnealused üksused hindama oma küberturvalisuse võimekust ning püüdma võtta asjakohasel juhul kasutusele küberturvalisust suurendavad tehnoloogiad, näiteks tehisintellekti või masinõppesüsteemid, et suurendada oma võimekust ning võrgu- ja infosüsteemide turvalisust.

(90)

Et käsitleda põhjalikumalt peamisi tarneahelariske ning aidata asjakohaselt juhtida käesoleva direktiivi kohaldamisalasse kuuluvates sektorites tegutsevatel elutähtsatel ja olulistel üksustel tarneahela ja tarnijatega seotud riske, peaks koostöörühm tegema koostöös komisjoni ja ENISAga ning asjakohasel juhul pärast asjakohaste sidusrühmadega, sealhulgas tööstusega konsulteerimist koordineeritud kriitilise tähtsusega tarneahelate turberiski hindamise (nagu tehti 5G-võrkude kohta vastavalt soovitusele (EL) 2019/534 (19) (5G-võrkude küberturvalisuse kohta)), eesmärgiga määrata iga sektori jaoks kindlaks kriitilise tähtsusega IKT-teenused, IKT-süsteemid või IKT-tooted, asjaomased ohud ja nõrkused. Sellise turberiski koordineeritud hindamise käigus tuleks kindlaks teha meetmed, leevenduskavad ja parimad tavad, millega võidelda kriitilise tähtsusega sõltuvuse vastu, potentsiaalsete nõrkade lülide, ohtude, nõrkuste ja muude riskide vastu, mis on seotud tarneahelaga, ning uurida, kuidas saaks elutähtsaid ja olulisi üksusi julgustada neid ulatuslikumalt kasutusele võtma. Võimalikud muud kui tehnilised riskitegurid, nagu kolmanda riigi lubamatu mõju tarnijatele ja teenuseosutajatele, eelkõige alternatiivsete juhtimismudelite puhul, hõlmavad varjatud nõrkusi või tagauksi ja võimalikke süsteemseid tarnehäireid, eriti tehnoloogilise kinnistumise või teenuseosutajast sõltuvuse korral.

(91)

Kriitilise tähtsusega tarneahela turberiskide koordineeritud hindamisel tuleks asjaomase sektori omadusi silmas pidades võtta arvesse nii tehnilisi kui ka asjakohasel juhul muid kui tehnilisi tegureid, sealhulgas neid, mis on kindlaks määratud soovituses (EL) 2019/534, 5G-võrkude küberturvalisusega seotud ELi koordineeritud riskihindamist käsitlevas aruandes ja koostöörühma kokkulepitud ELi 5G-küberturvalisuse meetmepaketis. Et teha kindlaks tarneahelad, mille suhtes peaks kohaldama turberiski koordineeritud hindamist, tuleks arvesse võtta järgmisi kriteeriume: i) kui suurel määral elutähtsad ja olulised üksused kindlaid kriitilise tähtsusega IKT-teenuseid, IKT-süsteeme või IKT-tooteid kasutavad ning nendele tuginevad; ii) kindlate kriitilise tähtsusega IKT-teenuste, IKT-süsteemide või IKT-toodete asjakohasus kriitilise tähtsusega või tundlike funktsioonide (sealhulgas isikuandmete töötlemine) täitmisel; iii) alternatiivsete IKT-teenuste, IKT-süsteemide või IKT-toodete kättesaadavus; iv) IKT-teenuste, IKT-süsteemide või IKT-toodete tarneahela kui terviku vastupidavusvõime kogu nende olelusringi jooksul häirivate sündmuste korral või v) kui tegemist on kujunemisjärgus IKT-teenuste, IKT-süsteemide või IKT-toodetega, siis nende potentsiaalne tulevane tähtsus üksuste tegevuse jaoks. Lisaks tuleks erilist tähelepanu pöörata IKT-teenustele, IKT-süsteemidele või IKT-toodetele, mille suhtes kehtivad kolmandatest riikidest tingitud erinõuded.

(92)

Et ühtlustada üldkasutatavate elektroonilise side võrkude või üldkasutatavate elektroonilise side teenuste pakkujatele ja usaldusteenuse osutajatele pandud võrgu- ja infosüsteemide turvalisusega seotud kohustused ning võimaldada kõnealustel üksustel ja Euroopa Parlamendi ja nõukogu direktiivi (EL) 2018/1972 (20) ja määruse (EL) nr 910/2014 kohastel pädevatel asutustel saada kasu käesoleva direktiiviga kehtestatud õigusraamistikust, sealhulgas riskide ja intsidentidega seotud tegevuste eest vastutava CSIRTi määramine, pädevate asutuste ja organite osalemine koostöörühma tegevuses ja CSIRTide võrgustikus, peaksid need üksused kuuluma käesoleva direktiivi kohaldamisalasse. Seega tuleks määruse (EL) nr 910/2014 ning direktiivi (EL) 2018/1972 sätted, mis on seotud turva- ja teatamisnõude kehtestamisega kõnealust liiki üksuste suhtes, välja jätta. Käesolevas direktiivis sätestatud teatamiskohustuse reeglid ei tohiks piirata määruse (EL) 2016/679 ja direktiivi 2002/58/EÜ kohaldamist.

(93)

Käesolevas direktiivis sätestatud küberturvalisuse kohustusi tuleks käsitada täiendusena nõuetele, mis on kehtestatud usaldusteenuse osutajatele määrusega (EL) nr 910/2014. Usaldusteenuse osutajatelt tuleks nõuda, et nad võtaksid kõik asjakohased ja proportsionaalsed meetmed, et juhtida oma teenuseid ohustavaid riske, sealhulgas seoses klientide ja teenustest sõltuvate kolmandate isikutega, ning teataksid käesoleva direktiivi kohaselt intsidentidest. Sellised küberturvalisuse kohustused ja teatamiskohustus peaksid hõlmama osutatavate teenuste füüsilist kaitset. Määruse (EL) nr 910/2014 artiklis 24 kvalifitseeritud usaldusteenuse osutajate suhtes sätestatud nõudeid kohaldatakse ka edaspidi.

(94)

Liikmesriigid võivad määrata usaldusteenuste eest vastutavaks pädevaks asutuseks määruse (EL) nr 910/2014 kohase järelevalveasutuse, et tagada praeguste tavade jätkumine ning kasutada nimetatud määruse kohaldamisel saadud teadmisi ja kogemusi. Sellisel juhul peaksid käesoleva direktiivi kohased pädevad asutused tegema tihedalt ja aegsasti koostööd kõnealuste järelevalveasutustega, vahetades asjakohast teavet, et tagada tulemuslik järelevalve ja see, et usaldusteenuse osutajad täidavad käesolevas direktiivis ja määruses (EL) nr 910/2014 sätestatud nõudeid. Kui see on kohaldatav, peaks CSIRT või käesoleva direktiivi kohane pädev asutus viivitamata teavitama määruse (EL) nr 910/2014 kohast järelevalveasutust igast teatatud olulisest küberohust või intsidendist, mis mõjutab usaldusteenuseid, ning igast käesoleva direktiivi rikkumisest usaldusteenuse osutaja poolt. Liikmesriigid võivad, kui see on kohaldatav, kasutada teatamiseks ühtset kontaktpunkti, mis on loodud selleks, et tagada ühtne ja automaatne intsidentidest teatamine nii määruse (EL) nr 910/2014 kohasele järelevalveasutusele kui ka käesoleva direktiivi kohasele CSIRTile või pädevale asutusele.

(95)

Kui see on asjakohane ja et vältida tarbetuid häireid, tuleks käesoleva direktiivi ülevõtmisel arvesse võtta olemasolevaid riiklikke suuniseid, mis on võetud vastu direktiivi (EL) 2018/1972 artiklites 40 ja 41 sätestatud turvameetmetega seotud normide ülevõtmiseks, tuginedes seega teadmistele ja oskustele, mis on direktiivi (EL) 2018/1972 alusel seoses turvameetmete ja intsidenditeadetega juba omandatud. ENISA võib koostada üldkasutatavate elektroonilise side võrkude pakkujate või üldkasutatavate elektrooniliste side teenuste osutajate jaoks ka turvanõudeid ja teatamiskohustust käsitlevad suunised, et hõlbustada ühtlustamist ja üleminekut ning minimeerida häireid. Liikmesriigid võivad anda elektroonilise side eest vastutava pädeva asutuse rolli direktiivi (EL) 2018/1972 kohastele riigi reguleerivatele asutustele, et tagada praeguste tavade jätkumine ning kasutada nimetatud direktiivi rakendamisel saadud teadmisi ja kogemusi.

(96)

Võttes arvesse, et direktiivis (EL) 2018/1972 määratletud numbrivaba isikutevahelise side teenuste olulisus kasvab, tuleb tagada, et ka nende teenuste kohta kehtiksid asjakohased, nende eripära ja majanduslikku tähtsust arvestavad turvanõuded. Ründepinna üha laienedes muutuvad levinud sihtmärkideks numbrivaba isikutevahelise side teenused, näiteks sõnumiteenused. Kurjategijad kasutavad platvorme suhtlemiseks ja selleks, et meelitada ohvreid avama nakatatud veebisaite, suurendades seeläbi isikuandmete ärakasutamise ja laiemalt ka infosüsteemide turvalisusega seotud intsidentide esinemise tõenäosust. Numbrivaba isikutevahelise side teenuste pakkujad peaksid tagama riskitasemele vastava võrgu- ja infosüsteemide turvalisuse taseme. Arvestades, et numbrivaba isikutevahelise side teenuste osutajatel puudub tavaliselt tegelik kontroll võrkudes signaalide edastamise üle, võib selliste teenustega seotud riske pidada mõnes mõttes väiksemaks kui riske, mis esinevad tavapäraste elektroonilise side teenuste puhul. Sama kehtib ka selliste direktiivis (EL) 2018/1972 määratletud isikutevahelise side teenuste kohta, mille puhul kasutatakse numbreid ja millel puudub tegelikult kontroll signaaliedastuse üle.

(97)

Siseturg sõltub interneti toimimisest rohkem kui kunagi varem. Peaaegu kõigi elutähtsate ja oluliste üksuste teenused sõltuvad interneti kaudu pakutavatest teenustest. Et tagada elutähtsate ja oluliste üksuste pakutavate teenuste sujuv osutamine, on oluline, et kõikidel üldkasutatavate elektroonilise side võrkude pakkujatel oleksid asjakohased küberturvalisuse riskijuhtimismeetmed ja et nendega seotud olulistest intsidentidest teatataks. Liikmesriigid peaksid tagama üldkasutatavate elektroonilise side võrkude turvalisuse säilimise ning oma eluliste julgeolekuhuvide kaitse sabotaaži ja spionaaži eest. Kuna rahvusvaheline ühenduvus edendab ja kiirendab liidu ja selle majanduse konkurentsipõhist digitaliseerimist, tuleks merealuseid sidekaableid mõjutavatest intsidentidest teavitada CSIRTi või, kui see on kohaldatav, pädevat asutust. Kui see on asjakohane, tuleks merealuste sidekaablite küberturvalisust riiklikus küberturvalisuse strateegias arvesse võtta ning see peaks hõlmama võimalike küberturvalisuse riskide kaardistamist ja leevendusmeetmeid, et tagada nende kaitse kõrgeimal tasemel.

(98)

Üldkasutatavate elektroonilise side võrkude ja üldkasutatavate elektroonilise side teenuste turvalisuse tagamiseks tuleks edendada krüpteerimistehnoloogiate kasutamist, eelkõige otspunktkrüpteerimist ja andmekeskseid turbekontseptsioone, nagu kartograafia, segmenteerimine, märgistamine, juurdepääsupoliitika ja juurdepääsu haldamine ning automatiseeritud juurdepääsu otsused. Vajaduse korral peaks üldkasutatavate elektroonilise side võrkude pakkujatele või üldkasutatavate elektroonilise side teenuste osutajatele olema käesoleva direktiivi kohaldamisel kohustuslik kasutada krüpteerimist, eelkõige otspunktkrüpteerimist, kooskõlas turbe ja privaatsuse vaikesätteid ja sisseprojekteerimist käsitlevate põhimõtetega. Otspunktkrüpteerimise kasutamine tuleks ühildada liikmesriikide volitustega tagada nende oluliste julgeolekuhuvide ja avaliku julgeoleku kaitse ning võimaldada kuritegude ennetamist, uurimist, avastamist ja nende eest vastutusele võtmist kooskõlas liidu õigusega. Sellega ei tohiks aga kaasneda otspunktkrüpteerimise nõrgestamine, kuna see on tõhusa andmekaitse, privaatsuse ja side turvalisuse jaoks olulise tähtsusega tehnoloogia.

(99)

Üldkasutatavate elektroonilise side võrkude ja üldkasutatavate elektroonilise side teenuste turvalisuse tagamiseks ning nende kuritarvitamise ja manipuleerimise vältimiseks tuleks edendada koostalitlusvõimeliste turvaliste marsruutimisstandardite kasutamist, et tagada marsruutimisfunktsioonide terviklus ja töökindlus kogu internetiühenduse teenuse osutajate ökosüsteemis.

(100)

Et kaitsta interneti funktsionaalsust ja terviklust ning edendada domeeninimede süsteemi turvalisust ja vastupanuvõimet, tuleks asjaomaseid sidusrühmi, sealhulgas liidu erasektori üksusi, üldkasutatavate elektroonilise side teenuste osutajaid, eelkõige internetiühenduse teenuse osutajaid, ja internetipõhise otsingumootori teenuse osutajaid, innustada võtma vastu domeeninimede süsteemi teisendamise mitmekesistamise strateegia. Ühtlasi peaksid liikmesriigid innustama avaliku ja turvalise Euroopa domeeninimede süsteemi teisendamise teenuse väljatöötamist ja kasutamist.

(101)

Käesolevas direktiivis sätestatakse olulistest intsidentidest teatamisele mitmeetapiline lähenemisviis, et saavutada õige tasakaal kahe ülesande vahel: ühelt poolt kiire teatamine, mis aitab vähendada oluliste intsidentide võimalikku levikut ja võimaldab elutähtsatel ja olulistel üksustel abi otsida, ning teiselt poolt põhjalik aruandlus, mis võimaldab saada üksikutest intsidentidest väärtuslikke õppetunde ja suurendada aja jooksul üksikute ettevõtete ja tervete sektorite vastupanuvõimet küberohtude suhtes. Sellega seoses peaks käesolev direktiiv hõlmama teatamist sellistest intsidentidest, mis asjaomase üksuse esialgse hinnangu kohaselt võivad põhjustada asjaomase üksuse teenustele tõsiseid tegevushäireid või kõnealusele üksusele rahalist kahju või mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset varalist või mittevaralist kahju. Esialgses hinnangus tuleks muu hulgas arvesse võtta mõjutatud võrgu- ja infosüsteeme ning eelkõige nende tähtsust üksuse teenuste osutamisel, küberohu tõsidust ja tehnilisi omadusi ning kõiki ärakasutamist võimaldavaid nõrkusi, samuti üksuse kogemusi sarnaste intsidentidega. Sellised näitajad nagu teenuse toimimise mõjutamise ulatus, intsidendi kestus või mõjutatud teenusekasutajate arv võivad mängida olulist rolli selle kindlakstegemisel, kas teenuse tegevushäire on tõsine.

(102)

Elutähtsatelt ja olulistelt üksustelt, kes saavad olulisest intsidendist teadlikuks, tuleks nõuda, et nad esitaksid varajase hoiatuse põhjendamatu viivituseta ja igal juhul 24 tunni jooksul. Sellele varajasele hoiatusele peaks järgnema intsidenditeade. Asjaomased üksused peaksid esitama intsidenditeate põhjendamatu viivituseta ja igal juhul 72 tunni jooksul pärast olulisest intsidendist teadlikuks saamist, et eelkõige ajakohastada varajase hoiatuse kaudu esitatud teavet ning anda esialgne hinnang olulisele intsidendile, muu hulgas selle tõsidusele ja mõjule ning, kui need on kättesaadavad, ka turvarikke indikaatoritele. Lõpparuanne tuleks esitada ühe kuu jooksul pärast intsidenditeadet. Varajane hoiatus peaks sisaldama üksnes teavet, mis on vajalik CSIRTi või, kui see on kohaldatav, pädeva asutuse olulisest intsidendist teavitamiseks ja võimaldama asjaomasel üksusel vajaduse korral abi otsida. Selline varajane hoiatus, kui see on kohaldatav, peaks näitama, kas on kahtlus, et olulise intsidendi põhjuseks on ebaseaduslik või pahatahtlik tegevus, ning kas sellel on tõenäoliselt piiriülene mõju. Liikmesriigid peaksid tagama, et kohustus esitada kõnealune varajane hoiatus või sellele järgnev intsidenditeade ei suuna teavitava üksuse ressursse kõrvale intsidentide käsitlemisega seotud tegevusest, mis tuleks prioriseerida, et vältida olukorda, kus intsidentidest teatamise kohustus kas suunab vahendeid oluliste intsidentide lahendamiselt kõrvale või kahjustab muul viisil üksuse sellealaseid pingutusi. Kui intsident jätkub lõpparuande esitamise ajal, peaksid liikmesriigid tagama, et asjaomased üksused esitavad sel ajal vahearuande ja ühe kuu jooksul pärast olulise intsidendi nendepoolset käsitlemist lõpparuande.

(103)

Kui see on kohaldatav, peaksid elutähtsad ja olulised üksused teavitama oma teenuste kasutajaid viivitamata meetmetest või parandusmeetmetest, mida nad saavad olulisest küberohust tulenevate riskide vähendamiseks võtta. Kui see on kohane ja eelkõige juhul, kui oluline küberoht tõenäoliselt realiseerub, peaksid kõnealused üksused teavitama ohust ka oma teenuste kasutajaid. Nõue teavitada teenuste kasutajaid olulistest küberohtudest tuleks täita nii hästi kui võimalik, kuid see ei vabasta kõnealuseid üksusi kohustusest võtta oma kulul viivitamata sobivaid meetmeid, et selliseid võimalikke ohte ennetada või need kõrvaldada ning taastada teenuse turvalisuse tavapärane tase. Selline teave oluliste küberohtude kohta tuleks edastada kasutajatele tasuta ja selle sõnastus peaks olema kergesti mõistetav.

(104)

Üldkasutatavate elektroonilise side võrkude pakkujad või üldkasutatavate elektroonilise side teenuste osutajad peaksid rakendama sisseprojekteeritud ja vaiketurvet ning teavitama teenuse kasutajaid olulistest küberohtudest ning meetmetest, mida viimased saavad oma seadmete ja side turvalisuse kaitseks võtta, kasutades näiteks teatavat liiki tarkvara või krüpteerimistehnoloogiaid.

(105)

Küberohte ennetav lähenemisviis on küberturvalisuse riskijuhtimise oluline osa, mis peaks võimaldama pädevatel asutustel tulemuslikult vältida küberohtude muutumist intsidentideks, mis võivad põhjustada märkimisväärset varalist või mittevaralist kahju. Seetõttu on küberohtudest teatamine esmatähtis. Seepärast julgustatakse üksusi küberohtudest vabatahtlikult teatama.

(106)

Käesoleva direktiivi alusel nõutava teabe esitamise lihtsustamiseks ja üksuste halduskoormuse vähendamiseks peaksid liikmesriigid asjakohase teabe esitamiseks ette nägema tehnilised vahendid, nagu ühtne kontaktpunkt, automatiseeritud süsteemid, veebipõhised vormid, kasutajasõbralikud liidesed, teatevormid, spetsiaalsed platvormid, mida üksused saavad kasutada, olenemata sellest, kas nad kuuluvad käesoleva direktiivi kohaldamisalasse. Käesoleva direktiivi rakendamist toetavad liidu rahalised vahendid, eelkõige Euroopa Parlamendi ja nõukogu määrusega (EL) 2021/694 (21) loodud programmi „Digitaalne Euroopa“ raames, võiksid hõlmata toetust ühtsetele kontaktpunktidele. Üksused on sageli ka olukorras, kus konkreetsest intsidendist tuleb eri õigusaktides sätestatud teatamiskohustuse tõttu teavitada eri asutusi. Sellised olukorrad tekitavad lisakoormust ning võivad põhjustada kõnealuste teadete vormi ja menetluskorraga seoses ebakindlust. Kui luuakse ühtne kontaktpunkt, julgustatakse liikmesriike kasutama seda ühtset kontaktpunkti ka selleks, et teatada turvaintsidentidest, millest teatamist nõutakse muude liidu õigusaktide, näiteks määruse (EL) 2016/679 ja direktiivi 2002/58/EÜ kohaselt. Sellise ühtse kontaktpunkti kasutamine turvaintsidentidest teatamiseks määruse (EL) 2016/679 ja direktiivi 2002/58/EÜ alusel ei tohiks mõjutada määruse (EL) 2016/679 ja direktiivi 2002/58/EÜ sätete, eelkõige nendes osutatud asutuste sõltumatust käsitlevate sätete kohaldamist. ENISA peaks koostöös koostöörühmaga töötama suunistes välja ühised teatevormid, et lihtsustada ja ühtlustada liidu õiguse alusel teabe esitamist ning vähendada teavitavate üksuste halduskoormust.

(107)

Liikmesriigid peaksid liidu õigusega kooskõlas olevatest kriminaalmenetlusnormidest lähtuvalt julgustama elutähtsaid ja olulisi üksusi, kes kahtlustavad, et intsident on seotud liidu või liikmesriigi õiguses määratletud raske kuriteoga, teatama nendest arvatavalt raske kuritegevusega seotud intsidentidest asjakohastele õiguskaitseasutustele. Kui see on asjakohane, võiksid küberkuritegevuse vastase võitluse Euroopa keskus (EC3) ja ENISA hõlbustada eri liikmesriikide pädevate asutuste ja õiguskaitseasutuste vahelise koostöö koordineerimist, ilma et see mõjutaks Europoli suhtes kohaldatavaid isikuandmete kaitse reegleid.

(108)

Intsidentidega kaasneb sageli isikuandmete kuritarvitamine. Sellega seoses peaksid pädevad asutused kõigis asjakohastes küsimustes tegema koostööd ning vahetama teavet asutustega, millele on osutatud määruses (EL) 2016/679 ja direktiivis 2002/58/EÜ.

(109)

Domeeninimede registreerimisandmete (WHOIS-andmed) täpsete ja täielike andmebaaside pidamine ning kõnealustele andmetele seadusliku juurdepääsu võimaldamine on oluline, et tagada domeeninimede süsteemi turvalisus, stabiilsus ja vastupanuvõime, mis omakorda aitab liidus saavutada küberturvalisuse ühtlaselt kõrge taseme. Selleks tuleks tippdomeeninimede registritelt ja domeeninimede registreerimise teenuseid osutavatelt üksustelt nõuda, et nad töötleksid teatavaid selle eesmärgi saavutamiseks vajalikke andmeid. Selline töötlemine peaks kujutama endast juriidilist kohustust määruse (EL) 2016/679 artikli 6 lõike 1 punkti c tähenduses. Nimetatud kohustus ei piira võimalust koguda domeeninimede registreerimise andmeid muudel eesmärkidel, näiteks lepingute või muude liidu või riigisiseste õigusaktidega kehtestatud õiguslike nõuete alusel. Selle kohustuse eesmärk on saavutada täielik ja täpne registreerimisandmete kogum ning see ei tohiks kaasa tuua samade andmete mitmekordset kogumist. Tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused peaksid tegema koostööd, et vältida selle ülesande dubleerimist.

(110)

Domeeninimede registreerimise andmete kättesaadavus ja andmetele õigeaegse juurdepääsu võimaldamine õigustatud taotlejatele on domeeninimede süsteemi kuritarvitamise ennetamiseks ja selle vastu võitlemiseks ning intsidentide ennetamiseks, avastamiseks ja neile reageerimiseks väga oluline. Õigustatud taotlejate all mõeldakse füüsilist või juriidilist isikut, kes esitab taotluse liidu või liikmesriigi õiguse kohaselt. Nende hulka võivad kuuluda asutused, kes on pädevad käesoleva direktiivi alusel, ning asutused, kes on liidu või liikmesriigi õiguse kohaselt pädevad kuritegude ennetamise, uurimise, avastamise ja nende eest vastutusele võtmise valdkonnas, ning CERTid või CSIRTid. Tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused peaksid kooskõlas liidu ja liikmesriigi õigusega olema kohustatud võimaldama õigustatud taotlejatele õiguspärast juurdepääsu konkreetsetele domeeninimede registreerimise andmetele, mis on juurdepääsutaotluse jaoks vajalikud. Õigustatud taotlejate taotlusele tuleks lisada põhjendused, mis võimaldavad hinnata andmetele juurdepääsu vajalikkust.

(111)

Et tagada domeeninimede registreerimise täpsete ja täielike andmete kättesaadavus, peaksid tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused koguma domeeninimede registreerimise andmeid ning tagama nende tervikluse ja kättesaadavuse. Eelkõige peaksid tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused kehtestama põhimõtted ja menetluskorra täpsete ja täielike domeeninimede registreerimisandmete kogumiseks ja säilitamiseks ning ebatäpsete registreerimisandmete vältimiseks ja parandamiseks kooskõlas liidu andmekaitseõigusega. Nendes põhimõtetes ja menetlustes tuleks võimalikult suures ulatuses arvesse võtta standardeid, mille on rahvusvahelisel tasandil välja töötanud mitut sidusrühma hõlmavad juhtimisstruktuurid. Tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused peaksid võtma vastu ja rakendama domeeninimede registreerimise andmete kontrollimiseks proportsionaalseid menetlusi. Need menetlused peaksid kajastama tööstusharus kasutatavaid parimaid tavasid ja nii palju kui võimalik ka e-identimise valdkonnas tehtud edusamme. Kontrollimenetlused võivad hõlmata näiteks registreerimise ajal tehtud eelkontrolle ja pärast registreerimist tehtud järelkontrolle. Tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused peaksid eelkõige kontrollima vähemalt üht registreerijaga kontakti võtmise võimalust.

(112)

Tippdomeeninimede registritelt ja domeeninimede registreerimise teenuseid osutavatelt üksustelt tuleks nõuda, et nad teeksid üldsusele kättesaadavaks liidu andmekaitseõiguse kohaldamisalast välja jäävad domeeninimede registreerimise andmed, näiteks juriidiliste isikutega seotud andmed, kooskõlas määruse (EL) 2016/679 preambulis sätestatuga. Juriidiliste isikute puhul peaksid tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused tegema üldsusele kättesaadavaks vähemalt registreerija nime ja kontakttelefoni numbri. Samuti tuleks avaldada e-posti kontaktaadress, kui see ei sisalda isikuandmeid, näiteks e-posti varjunimi või ametikohajärgne konto. Tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused peaksid kooskõlas liidu andmekaitseõigusega võimaldama õigustatud taotlejatele õiguspärast juurdepääsu ka füüsiliste isikutega seotud domeeninimede registreerimise andmetele. Liikmesriigid peaksid nõudma, et tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused vastaksid põhjendamatu viivituseta õigustatud taotlejate domeeninimede registreerimisandmete avalikustamise taotlustele. Tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused peaksid kehtestama põhimõtted ja korra registreerimisandmete avaldamiseks ja avalikustamiseks, sealhulgas teenustaseme kokkulepped õigustatud taotlejate juurdepääsutaotluste käsitlemiseks. Nendes põhimõtetes ja selles korras tuleks võimalikult suures ulatuses arvesse võtta suuniseid ja standardeid, mille on rahvusvahelisel tasandil välja töötanud mitut sidusrühma hõlmavad juhtimisstruktuurid. Juurdepääsumenetlus võib hõlmata ka liidese, portaali või muude tehniliste vahendite kasutamist, mis aitab tagada tõhusa süsteemi registreerimisandmete taotlemiseks ja nendele juurdepääsu saamiseks. Selleks et edendada ühtlustatud tavasid kogu siseturul, võib komisjon, ilma et see piiraks Euroopa Andmekaitsenõukogu pädevust, esitada selliste menetluste kohta suunised, milles võetakse võimalikult suures ulatuses arvesse standardeid, mille on välja töötanud mitmeid sidusrühmi hõlmavad rahvusvahelise tasandi juhtimisstruktuurid. Liikmesriigid peaksid tagama, et igasugune juurdepääs nii isiku- kui ka isikustamata domeeninimede registreerimise andmetele on tasuta.

(113)

Käesoleva direktiivi kohaldamisalasse kuuluvad üksused tuleks lugeda selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus on nende peamine tegevuskoht. Üldkasutatavate elektroonilise side võrkude pakkujad või üldkasutatavate elektroonilise side teenuste pakkujad tuleks siiski lugeda selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus nad oma teenuseid osutavad. Domeeninimede süsteemi teenuse osutajad, tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused, pilvandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad, sisulevivõrgu pakkujad, hallatud teenuse osutajad ja turbetarnijad ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite ja sotsiaalvõrguteenuse platvormide pakkujad tuleks lugeda selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus on nende peamine tegevuskoht liidus. Avaliku halduse üksused peaksid kuuluma selle liikmesriigi jurisdiktsiooni alla, kes nad asutas. Kui üksus osutab teenuseid või asub rohkem kui ühes liikmesriigis, peaks ta kuuluma eraldi ja samal ajal iga kõnealuse liikmesriigi jurisdiktsiooni alla. Nende liikmesriikide pädevad asutused peaksid tegema koostööd, üksteist vastastikku abistama ja, kui see on kohane, võtma ühiseid järelevalvemeetmeid. Kui liikmesriigid teostavad jurisdiktsiooni, ei tohiks nad kooskõlas ne bis in idem põhimõttega kohaldada sama teo eest täitemeetmeid või määrata karistust rohkem kui üks kord.

(114)

Kuna domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, domeeninimede registreerimise teenuseid osutavate üksuste, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate ja turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite ja sotsiaalvõrguteenuse platvormide pakkujate teenused ja tegevus on piiriülese iseloomuga, peaksid need üksused kuuluma vaid ühe liikmesriigi jurisdiktsiooni alla. Üksus peaks kuuluma selle liikmesriigi jurisdiktsiooni alla, kus on tema peamine tegevuskoht liidus. Käesoleva direktiivi tähenduses eeldatakse tegevuskohakriteeriumi puhul püsivalt korraldatud tegelikult toimuvat tegevust. Sellise korralduse õiguslik vorm (filiaal või juriidilisest isikust tütarettevõtja) ei ole antud juhul määrav tegur. Selle kriteeriumi täitmine ei tohiks sõltuda võrgu- ja infosüsteemide füüsilisest paiknemisest teatavas kohas; selliste süsteemide olemasolu ja kasutamine ei näita iseenesest peamist tegevuskohta ning seega ei ole need peamise tegevuskoha kindlakstegemisel otsustavad kriteeriumid. Peamise tegevuskohana tuleks käsitada liikmesriiki, kus liidus tehakse valdav osa otsustest küberturvalisuse riskijuhtimismeetmete kohta. Tavaliselt on see liidu asukoht, kus asub üksuse peakontor. Kui sellist liikmesriiki ei ole võimalik kindlaks määrata või kui selliseid otsuseid ei tehta liidus, tuleks peamise tegevuskohana käsitada liikmesriiki, kus toimub küberturvalisuse alane tegevus. Kui sellist liikmesriiki ei ole võimalik kindlaks määrata, tuleks peamise tegevuskohana käsitada seda liikmesriiki, mille tegevuskohas on üksusel liidus kõige rohkem töötajaid. Kui teenuseid osutab kontsern, tuleks kontserni peamiseks tegevuskohaks lugeda kontrolliva ettevõtja peamine tegevuskoht.

(115)

Kui üldkasutatavate elektroonilise side võrkude pakkuja või üldkasutatavate elektroonilise side teenuste osutaja osutab rekursiivset domeeninimede süsteemi teenust üksnes internetiühenduse teenuse osana, peaks asjaomane üksus kuuluma kõigi nende liikmesriikide jurisdiktsiooni alla, kus tema teenuseid osutatakse.

(116)

Kui domeeninimede süsteemi teenuse osutaja, tippdomeeninimede register, domeeninimede registreerimise teenuseid osutav üksus, pilvandmetöötlusteenuse osutaja, andmekeskusteenuse osutaja, sisulevivõrgu pakkuja, hallatud teenuse osutaja või turbetarnija või internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite või sotsiaalvõrguteenuse platvormi pakkuja, kes ei ole asutatud liidus, osutab teenuseid liidus, peaks ta määrama endale liidus esindaja. Otsustamaks, kas kõnealune üksus pakub teenuseid liidu piires, tuleks kindlaks teha, kas üksus kavatseb osutada teenuseid ühes või mitmes liikmesriigis asuvatele isikutele. Seda, et liidus pääseb juurde üksuse või vahendaja veebisaidile, e-posti aadressile või muudele kontaktandmetele, või seda, et kasutatakse keelt, mida kasutatakse üldiselt kolmandas riigis, kus üksus on asutatud, tuleks pidada sellise kavatsuse kindlakstegemiseks ebapiisavaks. Samal ajal võivad asjaolud, nagu ühes või mitmes liikmesriigis üldiselt kasutatava keele või vääringu kasutamine, millega kaasneb võimalus tellida teenuseid selles keeles, või liidus paiknevate klientide või kasutajate mainimine, viidata sellele, et üksus kavatseb pakkuda teenuseid liidus. Esindaja peaks tegutsema üksuse nimel ning pädevatel asutustel või CSIRTil peaks olema võimalik esindajaga ühendust võtta. Esindaja tuleks määrata sõnaselgelt üksuse kirjaliku volitusega täitma käesolevas direktiivis sätestatud kohustusi, sealhulgas intsidentidest teatamise kohustust.

(117)

Selleks et tagada selge ülevaade domeeninimede süsteemi teenuse osutajatest, tippdomeeninimede registritest ja domeeninimede registreerimise teenuseid osutavatest üksustest, pilvandmetöötlusteenuse osutajatest, andmekeskusteenuse osutajatest, sisulevivõrgu pakkujatest, hallatud teenuse osutajatest ja turbetarnijatest ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite ja sotsiaalvõrguteenuse platvormi pakkujatest, kes osutavad kogu liidus teenuseid, mille suhtes kohaldatakse käesolevat direktiivi, peaks ENISA looma ja haldama selliste üksuste registrit, tuginedes liikmesriikidelt saadud teabele, mida saadakse, kui see on kohaldatav, riiklike mehhanismide kaudu, mis on loodud, et üksused saaksid end registreerida. Ühtsed kontaktpunktid peaksid edastama ENISA-le teabe ja kõik selle muudatused. Tagamaks, et kõnealusesse registrisse kantav teave on täpne ja täielik, võivad liikmesriigid esitada ENISA-le oma riiklikes registrites kõnealuste üksuste kohta olemasoleva teabe. ENISA ja liikmesriigid peaksid võtma meetmeid, et hõlbustada selliste registrite koostalitlusvõimet, tagades samal ajal konfidentsiaalse või salastatud teabe kaitse. ENISA peaks kehtestama asjakohased teabe klassifitseerimise ja haldamise protokollid, et tagada avalikustatud teabe turvalisus ja konfidentsiaalsus ning piirata juurdepääs sellisele teabele ning selle talletamine ja edastamine sihtkasutajatega.

(118)

Kui käesoleva direktiivi alusel vahetatakse või edastatakse või jagatakse muul moel teavet, mida käsitatakse kooskõlas liikmesriigi või liidu õigusega salastatud teabena, tuleks järgida asjaomaseid salastatud teabe käitlemise erireegleid. Ühtlasi peaksid ENISA-l olema taristu, kord ja reeglid, mille abil käsitleda tundlikku ja salastatud teavet kooskõlas ELi salastatud teabe kaitseks kohaldatavate turvareeglitega.

(119)

Kuna küberohud on muutumas komplekssemaks ja keerukamaks, sõltuvad selliste ohtude head tuvastus- ja ennetusmeetmed suuresti ohte ja nõrkusi puudutava teabe korrapärasest jagamisest üksuste vahel. Teabevahetus aitab suurendada teadlikkust küberohtudest ja see omakorda suurendab üksuste võimekust hoida ära ohtude muutumist intsidentideks ning võimaldab üksustel intsidentide mõju paremini piirata ja neil tõhusamalt taastuda. Liidu tasandi suuniste puudumise tõttu on sellist teadmuse jagamist pärssinud eri tegurid, eelkõige ebakindlus seoses konkurentsi ja vastutust käsitlevate normide järgimisega.

(120)

Liikmesriigid peaksid üksusi julgustama ja abistama, et nad kasutaksid kollektiivselt individuaalseid teadmisi ja praktilisi kogemusi strateegilisel, taktikalisel ja operatiivtasandil, et suurendada oma võimekust küberohte õigesti ennetada, avastada, neile reageerida, nendest taastuda ja nende mõju leevendada. Seega on vaja võimaldada sõlmida liidu tasandil vabatahtlikud küberturvalisuse alase teabevahetuse kokkulepped. Selleks peaksid liikmesriigid aktiivselt abistama ja julgustama üksusi, näiteks küberturvalisuse teenuseid ja teadusuuringuid pakkuvaid üksusi, ning käesoleva direktiivi kohaldamisalast välja jäävaid asjaomaseid üksusi sellistes küberturvalisuse alase teabevahetuse kokkulepetes osalema. Sellised kokkulepped tuleks sõlmida kooskõlas liidu konkurentsinormide ja liidu andmekaitseõigusega.

(121)

Isikuandmete töötlemist sellises ulatuses, mis on vajalik ja proportsionaalne võrgu- ja infosüsteemide turvalisuse tagamiseks elutähtsates ja olulistes üksustes, võib pidada seaduslikuks selle alusel, et selline töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks kooskõlas määruse (EL) 2016/679 artikli 6 lõike 1 punkti c ja artikli 6 lõike 3 nõuetega. Isikuandmete töötlemine võib olla vajalik ka elutähtsate ja oluliste üksuste ning nende üksuste nimel tegutsevate turvatehnoloogiate ja -teenuste pakkujate õigustatud huvides vastavalt määruse (EL) 2016/679 artikli 6 lõike 1 punktile f, sealhulgas juhul, kui selline töötlemine on vajalik küberturvalisuse alase teabevahetuse kokkulepete puhul või asjakohase teabe vabatahtlikuks esitamiseks kooskõlas käesoleva direktiiviga. Selliste meetmete võtmiseks, mis on seotud intsidentide ennetamise, avastamise, tuvastamise, ohjamise, analüüsimise ja lahendamisega, samuti niisuguste meetmete võtmiseks, millega suurendatakse teadlikkust konkreetsetest küberohtudest, võimaldatakse teabevahetust nõrkuste vähendamise ja nõrkuste koordineeritud avalikustamise kontekstis, samuti vabatahtlikku teabevahetust seoses kõnealuste intsidentide, küberohtude ja nõrkuste, rikkeindikaatorite, taktika, meetodite ja menetluskorra, küberturvalisuse hoiatussüsteemide ja konfiguratsioonivahenditega, võib olla vaja töödelda teatavat liiki isikuandmeid, nagu IP-aadresse, internetiaadresse (URLe), domeeninimesid, meiliaadresse, ja kui neis avalduvad isikuandmed, ajatempleid. Isikuandmete töötlemine pädevate asutuste, ühtsete kontaktpunktide ja CSIRTide poolt võib olla juriidiline kohustus või seda võib pidada vajalikuks avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks vastavalt määruse (EL) 2016/679 artikli 6 lõike 1 punktile c või e ja artikli 6 lõikele 3 või elutähtsate ja oluliste üksuste õigustatud huvi korral, nagu on osutatud kõnealuse määruse artikli 6 lõike 1 punktis f. Lisaks võiks riigisiseses õiguses sätestada reeglid, mis võimaldavad pädevatel asutustel, ühtsetel kontaktpunktidel ja CSIRTidel sellises ulatuses, mis on vajalik ja proportsionaalne elutähtsate ja oluliste üksuste võrgu- ja infosüsteemide turvalisuse tagamiseks, töödelda isikuandmete eriliike kooskõlas määruse (EL) 2016/679 artikliga 9, eelkõige nähes ette sobivad ja konkreetsed meetmed füüsiliste isikute põhiõiguste ja huvide kaitsmiseks, sealhulgas tehnilised piirangud selliste andmete taaskasutamisele ning turva- ja eraelu puutumatuse säilitamise tipptasemel meetmete kasutamine, nagu pseudonüümimine või krüpteerimine, kui anonüümimine võib taotletavat eesmärki oluliselt mõjutada.

(122)

Et tugevdada järelevalvevolitusi ja -meetmeid, mis aitavad tagada nõuete tõhusat täitmist, tuleks käesoleva direktiiviga ette näha minimaalsed järelevalvemeetmed ja -vahendid, mille abil pädevad asutused saavad teha elutähtsate ja oluliste üksuste üle järelevalvet. Lisaks tuleks käesoleva direktiiviga kehtestada eraldi järelevalvekord elutähtsate ja oluliste üksuste jaoks, et tagada kõnealuste üksuste ja pädevate asutuste kohustuste vahel õiglane tasakaal. Seetõttu tuleks elutähtsate üksuste suhtes kohaldada põhjalikku eel- ja järelkontrolliga järelevalvekorda, samal ajal kui oluliste üksuste suhtes tuleks kohaldada lihtsustatud, üksnes järelkontrolliga järelevalvekorda. Olulistelt üksustelt ei peaks seega nõudma, et nad dokumenteeriksid süstemaatiliselt küberturvalisuse riskijuhtimise nõuete täitmist. Pädevad asutused peaksid rakendama järelevalve tegemisel tagantjärele reageerimisel põhinevat lähenemisviisi ja seega ei peaks neil olema üldist kohustust nende üksuste üle järelevalvet teha. Oluliste üksuste järelkontrolli võib algatada lähtuvalt tõenditest, vihjetest või teabest, millele on juhitud pädevate asutuste tähelepanu ja mille puhul pädevad asutused leiavad, et need viitavad käesoleva direktiivi võimalikele rikkumistele. Selliseid tõendeid, vihjeid või teavet võivad pädevatele asutustele esitada näiteks muud asutused, üksused, kodanikud, meedia või muud allikad, see võib olla avalikult kättesaadav teave või tuleneda muust pädevate asutuste tegevusest oma ülesannete täitmisel.

(123)

Järelevalveülesannete täitmine pädevate asutuste poolt ei tohiks asjaomase üksuse äritegevust tarbetult takistada. Kui pädevad asutused täidavad elutähtsate üksustega seotud järelevalveülesandeid, näiteks teevad kohapealseid kontrolle ja kaugjärelevalvet, uurivad käesoleva direktiivi rikkumisi, viivad läbi turvaauditeid või turvalisuse kontrolle, peaks nende mõju asjaomase üksuse äritegevusele olema võimalikult väike.

(124)

Eelkontrolli tegemisel peaks pädevatel asutustel olema võimalik otsustada, kuidas nad prioriseerivad proportsionaalselt järelevalvemeetmete ja oma käsutuses olevate vahendite kasutamist. See tähendab, et pädevad asutused võivad sellise prioriseerimise üle otsustada lähtuvalt järelevalvemeetoditest, mis peaksid põhinema riskipõhisel lähenemisviisil. Täpsemalt võiksid sellised meetodid sisaldada kriteeriume või võrdlusaluseid oluliste üksuste liigitamiseks riskikategooriatesse ning vastavaid järelevalvemeetmeid ja -vahendeid, mida soovitatakse iga riskikategooria kohta, nagu kohapealsete kontrollide või sihipäraste turvaauditite või turvalisuse kontrollide kasutamine, sagedus või liigid, taotletava teabe liik ja selle teabe üksikasjalikkuse aste. Selliste järelevalvemeetoditega võivad kaasneda ka tööprogrammid ning neid võidakse korrapäraselt hinnata ja läbi vaadata, sealhulgas seoses vahendite jaotamise ja vajadustega. Avaliku halduse üksuste puhul tuleks järelevalvevolitusi teostada kooskõlas riiklike õigus- ja institutsiooniliste raamistikega.

(125)

Pädevad asutused peaksid tagama, et elutähtsate ja oluliste üksustega seotud järelevalveülesandeid täidavad koolitatud spetsialistid, kellel peaksid olema nende ülesannete täitmiseks vajalikud oskused, eelkõige seoses kohapealsete kontrollide ja kaugjärelevalvega, sealhulgas andmebaaside, riistvara, tulemüüride, krüpteerimise ja võrkude nõrkuste tuvastamisega. Neid kontrolle ja järelevalvet tuleks teha objektiivselt.

(126)

Piisavalt põhjendatud juhtudel, kui pädev asutus on teadlik olulisest küberohust või vahetust riskist, peaks pädeval asutusel olema võimalik teha viivitamata täiteotsuseid, et intsidenti ära hoida või see lahendada.

(127)

Et täitmine tõhusalt tagada, tuleks koostada käesolevas direktiivis sätestatud küberturvalisuse riskijuhtimismeetmete ja teatamiskohustuse rikkumise korral miinimumloetelu täitmise tagamise volitustest, mida võib kasutada, ning kehtestada selliste täitmise tagamise jaoks kogu liidus selge ja ühtne raamistik. Igakülgset tähelepanu tuleks pöörata käesoleva direktiivi rikkumise laadile, tõsidusele ja kestusele, põhjustatud varalisele või mittevaralisele kahjule, sellele, kas rikkumine oli tahtlik või tingitud hooletusest, varalise või mittevaralise kahju vältimiseks või leevendamiseks võetud meetmetele, vastutuse tasemele ja varasematele asjaomastele rikkumistele, pädeva asutusega tehtava koostöö tasemele ning muule raskendavale või leevendavale tegurile. Sellised täitemeetmed, sealhulgas haldustrahvid, peaksid olema proportsionaalsed ja nende määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja Euroopa Liidu põhiõiguste hartaga (edaspidi „harta“) kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas õigust tõhusale õiguskaitsevahendile ja õiglasele kohtumenetlusele, süütuse presumptsiooni ja kaitseõigust.

(128)

Käesolevas direktiivis ei nõuta, et liikmesriigid näeksid ette kriminaal- või tsiviilvastutuse füüsiliste isikute suhtes, kes vastutavad selle eest, et üksused järgiksid käesolevat direktiivi, kui selle rikkumise tagajärjel on tekitatud kahju kolmandatele isikutele.

(129)

Et tagada käesolevas direktiivis sätestatud kohustuste tõhus täitmine, peaks igal pädeval asutusel olema õigus haldustrahve määrata või nende määramist taotleda.

(130)

Kui haldustrahv määratakse elutähtsale või olulisele üksusele, kes on ettevõtja, tuleks selline ettevõtja lugeda ettevõtjaks ELi toimimise lepingu artiklite 101 ja 102 tähenduses. Kui haldustrahv määratakse isikule, kes ei ole ettevõtja, peaks pädev asutus sobiva trahvisumma määramisel arvesse võtma üldist sissetulekutaset selles liikmesriigis ja isiku majanduslikku olukorda. See, kas ja mil määral tuleks kohaldada haldustrahve avaliku sektori asutustele, peaks olema liikmesriikide otsustada. Haldustrahvi määramine ei mõjuta pädevate asutuste muude volituste rakendamist ega muude karistuste kohaldamist, mis on sätestatud käesolevat direktiivi ülevõtvates liikmesriigi õigusnormides.

(131)

Liikmesriikidel peaks olema võimalik kehtestada kriminaalkaristusi käsitlevad normid, mida kohaldatakse käesolevat direktiivi ülevõtvate liikmesriigi õigusnormide rikkumise korral. Kriminaalkaristuste määramine selliste liikmesriigi normide rikkumise korral ja seotud halduskaristuste määramine ei tohiks aga kaasa tuua ne bis in idem põhimõtte rikkumist, nagu seda on tõlgendanud Euroopa Liidu Kohus.

(132)

Kui käesoleva direktiiviga ei ole halduskaristusi ühtlustatud või vajaduse korral muudel juhtudel, näiteks käesoleva direktiivi olulise rikkumise korral, peaksid liikmesriigid rakendama süsteemi, mis näeb ette tõhusad, proportsionaalsed ja heidutavad karistused. Selliste karistuste laad ja see, kas tegemist on kriminaal- või halduskaristusega, tuleks kindlaks määrata liikmesriigi õigusega.

(133)

Et veelgi suurendada kohaldatavate täitemeetmete tõhusust ja hoiatavust käesoleva direktiivi rikkumiste korral, peaks pädevatel asutustel olema õigus ajutiselt peatada või nõuda, et ajutiselt peatataks elutähtsa üksuse osutatavate mõnede või kõigi asjakohaste teenuste või pakutavate tegevuste sertifikaat või luba, ning nõuda, et füüsilisele isikule, kes täidab juhtimisülesandeid üksuse tegevjuhi või seadusliku esindaja tasandil, kehtestataks ajutine juhtimisülesannete täitmise keeld. Võttes arvesse ajutiste peatamiste ja keeldude karmust ja mõju üksuste tegevusele ning seeläbi ka nende tarbijatele, tuleks neid kohaldada alati proportsionaalselt rikkumise raskusega ning iga juhtumi konkreetseid asjaolusid silmas pidades, sealhulgas seda, kas rikkumine oli tahtlik või tulenes ettevaatamatusest, ning seda, milliseid meetmeid varalise või mittevaralise kahju vältimiseks või vähendamiseks võeti. Selliseid ajutisi peatamisi ja keelde tuleks kohaldada üksnes viimase abinõuna, nimelt alles pärast seda, kui muud käesolevas direktiivis sätestatud asjakohased täitemeetmed on ammendatud, ja ainult seni, kuni üksus, kelle suhtes neid kohaldatakse, võtab vajalikud meetmed puuduste kõrvaldamiseks või täidab pädeva asutuse need nõuded, millega seoses niisuguseid ajutisi peatamisi ja keelde kohaldati. Selliste ajutiste peatamiste või keeldude määramise suhtes peaks kohaldama kooskõlas liidu õiguse üldpõhimõtete ja hartaga asjakohaseid menetluslikke tagatisi, sealhulgas õigust tõhusale õiguskaitsevahendile ja õiglasele kohtumenetlusele, süütuse presumptsiooni ja kaitseõigust.

(134)

Selleks et tagada, et üksused täidavad käesolevast direktiivis sätestatud kohustusi, peaksid liikmesriigid seoses järelevalve- ja täitemeetmetega tegema üksteisega koostööd ja üksteist abistama, eelkõige juhul, kui üksus osutab teenuseid rohkem kui ühes liikmesriigis või kui tema võrgu- ja infosüsteemid asuvad muus liikmesriigis kui see, kus ta teenuseid osutab. Abi osutamisel peaks taotluse saanud pädev asutus võtma järelevalve- või täitemeetmeid kooskõlas riigisisese õigusega. Selleks et tagada käesoleva direktiivi kohase vastastikuse abi sujuv toimimine, peaksid pädevad asutused kasutama juhtumite ja konkreetsete abitaotluste arutamise foorumina koostöörühma.

(135)

Tulemusliku järelevalve ja täitmise tagamiseks, eelkõige piiriülese mõõtmega olukorras, peaks liikmesriik, kes on saanud vastastikuse abi taotluse, võtma kõnealuse taotluse piires asjakohaseid järelevalve- ja täitemeetmeid üksuse suhtes, kelle kohta taotlus tehti ja kes osutab kõnealuse liikmesriigi territooriumil teenuseid või kellel on seal võrgu- ja infosüsteem.

(136)

Käesolevas direktiivis tuleks sätestada määruse (EL) 2016/679 kohaste pädevate asutuste ja järelevalveasutuste vahelise koostöö reeglid, et käsitleda käesoleva direktiivi rikkumist, mis on seotud isikuandmetega.

(137)

Käesoleva direktiivi eesmärk peaks olema tagada kõrgel tasemel vastutus küberturvalisuse riskijuhtimismeetmete rakendamise ja teatamiskohustuse täitmise eest elutähtsate ja oluliste üksuste tasandil. Seepärast peaksid elutähtsate ja oluliste üksuste juhtorganid kiitma küberturvalisuse riskijuhtimismeetmed heaks ja jälgima nende rakendamist.

(138)

Selleks et tagada käesoleva direktiivi alusel küberturvalisuse ühtlaselt kõrge tase kogu liidus, peaks komisjonil olema õigus võtta kooskõlas ELi toimimise lepingu artikliga 290 vastu delegeeritud õigusakte, et täiendada käesolevat direktiivi, määrates kindlaks, millistelt elutähtsate ja oluliste üksuste kategooriatelt tuleks nõuda, et nad kasutaksid teatavaid sertifitseeritud IKT-tooteid, IKT-teenuseid ja IKT-protsesse või omandaksid sertifikaadi Euroopa küberturvalisuse sertifitseerimise kava alusel. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid viidaks läbi kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes (22) sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide ettevalmistamises võrdne osalemine, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse delegeeritud õigusaktide ettevalmistamist.

(139)

Et tagada käesoleva direktiivi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused, et kehtestada koostöörühma toimimiseks vajalik menetluskord ning küberturvalisuse riskijuhtimismeetmetega seotud tehnilised, metoodilised ja valdkondlikud nõuded, ning et täpsustada täiendavalt teabe liik, intsidentidest, küber- ja intsidendiohust teatamise ning oluliste küberohtudega seotud teabevahetuse vorm ja kord ning juhtumid, mil intsidenti tuleb käsitada olulisena. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (23).

(140)

Komisjon peaks huvitatud isikutega konsulteerides käesoleva direktiivi sätted regulaarselt läbi vaatama, eelkõige selleks, et teha kindlaks, kas on asjakohane esitada muudatusettepanekuid seoses ühiskondlike, poliitiliste, tehnoloogiliste või turutingimuste muutumisega. Kõnealuste läbivaatamiste raames peaks komisjon hindama küberturvalisusega seoses asjaomaste üksuste suuruse asjakohasust ning käesoleva direktiivi lisades osutatud üksuse sektori, allsektori ja liigi asjakohasust majanduse ja ühiskonna toimimise seisukohast. Komisjon peaks muu hulgas hindama, kas kõiki käesoleva direktiivi kohaldamisalasse kuuluvaid pakkujaid, keda käsitatakse väga suurte digiplatvormidena Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2065 (24) artikli 33 tähenduses, saaks käesoleva direktiivi alusel käsitada elutähtsate üksustena.

(141)

Käesoleva direktiiviga luuakse ENISA-le uued ülesanded, suurendades seeläbi tema rolli, ning sellega võib kaasneda ka olukord, kus ENISA peab täitma määruse (EL) 2019/881 kohaseid seniseid ülesandeid varasemast kõrgemal tasemel. Tagamaks, et ENISA-l on vajalikud rahalised vahendid ning inimressursid oma praeguste ja uute ülesannete täitmiseks ning, et tulenevalt oma suuremast rollist täidab ta neid ülesandeid kõrgemal tasemel, tuleks tema eelarvet sellele vastavalt suurendada. Lisaks tuleks ressursside tõhusa kasutamise tagamiseks anda ENISA-le suurem paindlikkus, nii et tal oleks võimalik ressursse ametisiseselt eraldada, et täita tulemuslikult oma ülesandeid ja vastata talle seatud ootustele.

(142)

Kuna käesoleva direktiivi eesmärki – tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus – ei suuda liikmesriigid eraldi piisavalt saavutada, küll aga saab seda meetme toimet arvestades paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärgi saavutamiseks vajalikust kaugemale.

(143)

Käesolevas direktiivis austatakse põhiõigusi ja järgitakse hartas tunnustatud põhimõtteid, eelkõige õigust eraelu ja edastatavate sõnumite puutumatusele, isikuandmete kaitsele, ettevõtlusvabadusele, omandile, tõhusale õiguskaitsevahendile ja õiglasele kohtumenetlusele, süütuse presumptsiooni ning kaitseõigust. Õigus tõhusale õiguskaitsevahendile laieneb elutähtsate ja oluliste üksuste osutatavate teenuste kasutajatele. Käesolevat direktiivi tuleks rakendada kooskõlas nimetatud õiguste ja põhimõtetega.

(144)

Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 (25) artikli 42 lõikega 1 ning ta esitas arvamuse 11. märtsil 2021 (26),