|
27.12.2022 |
ET |
Euroopa Liidu Teataja |
L 333/164 |
EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2022/2557,
14. detsember 2022,
mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ
(EMPs kohaldatav tekst)
EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,
võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 114,
võttes arvesse Euroopa Komisjoni ettepanekut,
olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,
võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust (1),
võttes arvesse Regioonide Komitee arvamust (2),
toimides seadusandliku tavamenetluse kohaselt (3)
ning arvestades järgmist:
|
(1) |
Elutähtsa teenuse osutajatel on asendamatu roll elutähtsate ühiskondlike funktsioonide või majandustegevuse säilitamisel siseturul olukorras, kus liidu majandus on üha suuremas ristsõltuvuses. Seepärast on oluline kehtestada liidu raamistik, mille eesmärk on suurendada elutähtsa teenuse osutajate toimepidevust siseturul, sätestades ühtlustatud miinimumnormid, ning toetada neid sidusate ja suunatud toetus- ja järelevalvemeetmete kaudu. |
|
(2) |
Nõukogu direktiiviga 2008/114/EÜ (4) on ette nähtud menetlus selliste Euroopa elutähtsate taristute määramiseks energeetika- ja transpordisektoris, mille häirete korral või hävimisel oleks oluline piiriülene mõju vähemalt kahele liikmesriigile. Nimetatud direktiivis keskendutakse ainult sellise taristu kaitsele. Direktiivi 2008/114/EÜ hindamise käigus 2019. aastal leiti siiski, et kuna elutähtsat taristut kasutavad toimingud on üha enam omavahel seotud ja olemuselt piiriülesed, ei piisa kõikide häirete ärahoidmiseks üksnes ühe konkreetse varaga seotud kaitsemeetmetest. Seepärast on vaja suunata lähenemisviis ümber selle tagamisele, et riske võetakse paremini arvesse, et elutähtsa teenuse osutajate kui siseturu toimimiseks oluliste teenuste osutajate roll ja ülesanded oleksid paremini määratletud ja sidusamad ning et võetakse vastu liidu normid, et suurendada elutähtsa teenuse osutajate toimepidevust. Elutähtsa teenuse osutajad peaksid saama suurendada oma suutlikkust elutähtsate teenuste osutamist häirida võivaid intsidente ennetada, end nende vastu kaitsta, neile reageerida, neile vastu panna, neid leevendada, nendega toime tulla ja kohaneda ning neist taastuda. |
|
(3) |
Kuigi liidus on elutähtsa taristu kaitse toetamiseks ette nähtud mitmed liidu tasandi meetmed, näiteks elutähtsa taristu kaitse Euroopa programm, ja liikmesriikide tasandi meetmed, tuleks teha rohkem, et anda sellist taristut käitavatele teenuseosutajatele paremad vahendid, et tulla toime nende tegevusega kaasnevate riskidega, mille tulemuseks võivad olla häired elutähtsate teenuste osutamisel. Rohkem tuleks teha selleks, et anda teenuseosutajatele paremad vahendid tulla toime muutuva ohuolukorraga, sealhulgas suureneva hübriid- ja terrorismiohu ning erineva taristu ja valdkondade suurema ristsõltuvusega. Peale selle esineb suurem füüsiline risk, mis tuleneb loodusõnnetustest ja kliimamuutustest, mille tagajärjel suurenevad äärmuslike ilmastikuolude esinemissagedus ja ulatus ning leiavad aset keskmiste kliimatingimuste pikaajalised muutused, mis võivad vähendada teatavat liiki taristu võimsust, tõhusust ja eluiga juhul, kui ei ole kehtestatud kliimamuutustega kohanemise meetmeid. Lisaks iseloomustab siseturul elutähtsa teenuse osutajate identifitseerimist killustatus, kuna asjaomaseid sektoreid ja teenuseosutajate kategooriaid ei tunnustata kõikides liikmesriikides järjepidevalt elutähtsate teenuste osutajatena. Seepärast tuleks käesoleva direktiiviga saavutada kindel ühtlustatuse tase selle kohaldamisalasse kuuluvate sektorite ja teenuseosutajate kategooriate osas. |
|
(4) |
Kuigi teatavad majandussektorid, näiteks energeetika- ja transpordisektorid, on juba reguleeritud valdkondlike liidu õigusaktidega, sisaldavad need õigusaktid sätteid, mis puudutavad üksnes teatavaid nendes sektorites tegutsevate teenuseosutajate toimepidevuse aspekte. Siseturu nõuetekohaseks toimimiseks oluliste elutähtsa teenuse osutajate toimepidevuse terviklikuks käsitlemiseks luuakse käesoleva direktiiviga üldraamistik, mille raames käsitletakse elutähtsa teenuse osutajate toimepidevust kõikide ohtude, st nii looduslike kui ka inimtegevusest tingitud, juhuslike ja taotluslike ohtude vastu. |
|
(5) |
Taristu ja sektorite üha suurem ristsõltuvus tuleneb üha piiriülesemast ja üha enam ristsõltuvast teenuste osutamise võrgustikust, mis kasutab kogu liitu hõlmavat võtmetaristut energeetika, transpordi, panganduse, joogivee, reovee, toiduainete tootmise, töötlemise ja turustamise, tervishoiu, kosmose, finantsturutaristu ja digitaristu sektorites ning teatavaid avaliku halduse sektori aspekte. Kosmosesektor kuulub käesoleva direktiivi kohaldamisalasse niivõrd, kuivõrd selle sektori teatavate teenuste osutamine sõltub sellisest maapealsetest taristust, mida omavad, haldavad ja käitavad kas liikmesriigid või eraõiguslikud isikud ning sellest tulenevalt ei kuulu taristu, mida omab, haldab või käitab liit või mida hallatakse või käitatakse liidu nimel osana liidu kosmoseprogrammist, käesoleva direktiivi kohaldamisalasse. Energeetikasektori ja eelkõige elektrienergia tootmise ja ülekandmise meetodite osas (seoses elektrienergia tarnimisega) on kokku lepitud, et kui seda peetakse asjakohaseks, võib elektrienergia tootmine hõlmata tuumaelektrijaamade elektrienergia ülekandmisega seotud osi, kuid välja jäetakse konkreetselt tuumaenergiaga seotud elemendid, mille kohta kehtivad rahvusvahelised lepingud ja liidu õigus, sealhulgas vastavad tuumaenergiaalased õigusaktid. Toidusektori elutähtsa teenuse osutajate identifitseerimise protsess peaks asjakohaselt kajastama siseturu olemust selles sektoris ning ulatuslikke liidu reegleid, mis on seotud toidualaste õigusnormide ja toiduohutuse üldpõhimõtete ja -nõuetega. Seepärast tuleks proportsionaalse lähenemisviisi tagamiseks ning selleks, et piisavalt kajastada nende teenuseosutajate rolli ja tähtsust riiklikul tasandil, elutähtsa teenuse osutajad identifitseerida üksnes selliste toiduainetööstuse ettevõtete hulgas, mis võivad olla kas tulunduslikud või mittetulunduslikud või kas avalik-õiguslikud või eraõiguslikud, kes tegelevad üksnes logistika ja hulgimüügi ning suuremahulise tööstusliku tootmise ja töötlemisega ning kellel on märkimisväärne turuosa, nagu on täheldatud riiklikul tasandil. Selline ristsõltuvus tähendab seda, et igasugusel elutähtsa teenuse häirel, isegi sellisel, mis võib algselt piirduda ühe teenuseosutaja või ühe sektoriga, võib olla laiem, ahelreaktsioonina avalduv mõju, millel võivad omakorda olla kaugeleulatuvad ja pikaajalised negatiivsed tagajärjed teenuste osutamisele kogu siseturul. Suured kriisid, nagu COVID-19 pandeemia, on näidanud meie üha enam ristsõltuvate ühiskondade haavatavust suure mõjuga, kuid väikese realiseerumisvõimalusega riskide esinemise korral. |
|
(6) |
Liikmesriikide õigusega on elutähtsate teenuste osutamises osalevatele teenuseosutajatele kehtestatud üha enam erinevaid nõudeid. Asjaolu, et mõnes liikmesriigis kehtivad selliste teenuseosutajate suhtes vähem ranged turvalisuse nõuded, ei vii mitte üksnes eri tasemel toimepidevuseni, vaid tekitavad samuti riske, mis avaldavad negatiivset mõju elutähtsa ühiskondliku funktsiooni või majandustegevuse säilitamisele liidus, ning põhjustab takistusi siseturu nõuetekohasele toimimisele. Investorid ja ettevõtjad saavad loota sellistele elutähtsa teenuse osutajatele, kes on toimepidevad, ja neid usaldada, kuna kindlus ja usaldus on hästi toimiva siseturu nurgakivid. Sarnast liiki teenuseosutajaid peetakse mõnes liikmesriigis elutähtsa teenuse osutajaks, kuid teistes mitte, ning elutähtsa teenuse osutajatena identifitseeritud teenuseosutajate suhtes kehtivad eri liikmesriikides erinevad nõuded. Selle tulemuseks on täiendav ja ebavajalik halduskoormus piiriüleselt tegutsevate ettevõtjate, eelkõige rangemate nõuetega liikmesriikides tegutsevate ettevõtjate jaoks. Seega oleks liidu raamistikul elutähtsa teenuse osutajate tegutsemistingimusi võrdsustav mõju ka kogu liidu ulatuses. |
|
(7) |
On vaja kehtestada ühtlustatud miinimumnõuded, et tagada elutähtsate teenuste osutamine siseturul, suurendada elutähtsa teenuse osutajate toimepidevust ning parandada pädevate asutuste vahelist piiriülest koostööd. On oluline, et need normid oleksid oma ülesehituse ja rakendamise poolest tulevikukindlad, võimaldades samas vajalikku paindlikkust. Samuti on väga oluline parandada elutähtsa teenuse osutajate suutlikkust osutada elutähtsaid teenuseid mitmesuguste riskide korral. |
|
(8) |
Toimepidevuse kõrge taseme saavutamiseks peaksid liikmesriigid identifitseerima elutähtsa teenuse osutajad, kelle suhtes kehtivad erinõuded ja –järelevalve ning kellele pakutakse eritoetust ja -suuniseid kõigi asjaomaste riskide esinemise korral. |
|
(9) |
Arvestades küberturvalisuse olulisust elutähtsa teenuse osutajate toimepidevuse jaoks ja järjepidevuse huvides tuleks võimaluse korral tagada käesoleva direktiivi ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 (5) vaheline sidusus. Pidades silmas küberriskide suuremat esinemissagedust ja eripärasid, kehtestatakse direktiiviga (EL) 2022/2555 põhjalikud nõuded suurele hulgale teenuseosutajatele, et tagada nende küberturvalisus. Võttes arvesse asjaolu, et küberturvalisust on direktiivis (EL) 2022/2555 piisavalt käsitletud, tuleks selle direktiiviga hõlmatud teemad käesoleva direktiivi kohaldamisalast välja jätta, ilma et see piiraks digitaristu sektori teenuseosutajate suhtes erikorra kohaldamist. |
|
(10) |
Kui valdkondlike liidu õigusaktide sätetega nõutakse elutähtsa teenuse osutajatelt meetmete võtmist oma toimepidevuse tõhustamiseks ning kui need nõuded on liikmesriikide poolt tunnistatud vähemalt samaväärseks käesolevas direktiivis sätestatud vastavate kohustustega, ei tuleks käesoleva direktiivi asjaomaseid sätteid kohaldada, et vältida dubleerimist ja ebavajalikku koormust. Sellisel juhul tuleks kohaldada kõnealuste liidu õigusaktide asjaomaseid sätteid. Kui käesoleva direktiivi asjaomaseid sätteid ei kohaldata, ei tuleks kohaldada ka käesolevas direktiivis sätestatud järelevalvet ja nõuetele vastavuse tagamist käsitlevaid sätteid. |
|
(11) |
Käesolev direktiiv ei mõjuta liikmesriikide ja nende ametiasutuste pädevus seoses haldusliku autonoomsusega ega nende kohustust tagada riiklik julgeolek ja riigikaitse, samuti nende õigust tagada muud riigi põhifunktsioonid, eelkõige seoses avaliku julgeoleku, territoriaalse terviklikkuse ja avaliku korra säilitamisega. Avaliku halduse üksuste väljajätmist käesoleva direktiivi kohaldamisalast tuleks kohaldada üksuste suhtes, kelle tegevus toimub peamiselt riikliku julgeoleku, avaliku julgeoleku, kaitse- või õiguskaitse valdkonnas, sealhulgas kuritegude uurimise, avastamise ja nende eest vastutusele võtmise valdkonnas. Avaliku halduse üksused, kelle tegevus on selliste valdkondadega ainult vähesel määral seotud, peaksid siiski kuuluma käesoleva direktiivi kohaldamisalasse. Käesoleva direktiivi kohaldamisel ei peeta regulatiivse pädevusega üksusi õiguskaitse valdkonnas tegutsevateks üksusteks ja seetõttu ei ole nad sel põhjusel käesoleva direktiivi kohaldamisalast välja jäetud. Avaliku halduse üksused, mis on rahvusvahelise lepingu kohaselt asutatud koos kolmanda riigiga, ei kuulu käesoleva direktiivi kohaldamisalasse. Käesoleva direktiivi kohaldamisalast on välja jäetud liikmesriikide diplomaatilised ja konsulaaresindused kolmandates riikides. Teatavad elutähtsa teenuse osutajad tegutsevad riikliku julgeoleku, avaliku julgeoleku, kaitse- või õiguskaitse valdkonnas, sealhulgas süütegude uurimise, avastamise ja nende eest vastutusele võtmise valdkonnas, või osutavad teenuseid üksnes avaliku halduse üksustele, kes tegutsevad peamiselt nendes valdkondades. Pidades silmas liikmesriikide vastutust riikliku julgeoleku ja riigikaitse tagamisel, peaks liikmesriikidel olema võimalik otsustada, et käesolevas direktiivis sätestatud elutähtsa teenuse osutaja kohustusi ei kohaldata täielikult või osaliselt sellistele elutähtsa teenuse osutajatele, kelle osutatavad teenused või tegevus on peamiselt seotud riikliku julgeoleku, avaliku julgeoleku, kaitse- või õiguskaitse valdkonnaga, sealhulgas süütegude uurimise, avastamise ja nende eest vastutusele võtmisega. Elutähtsa teenuse osutajad, kelle teenused või tegevus on nende valdkondadega seotud ainult vähesel määral, peaksid siiski kuuluma käesoleva direktiivi kohaldamisalasse. Liikmesriike ei tuleks kohustada andma sellist teavet, mille avalikustamine kahjustaks nende olulisi riikliku julgeolekuga seotud huve. Olulised on salastatud teabe kaitset käsitlevad liidu või liikmesriikide õigusnormid ning mitteavalikustamise kokkulepped. |
|
(12) |
Selleks et mitte ohustada riikliku julgeolekut või elutähtsa teenuse osutajate turvalisust ja ärihuve, tuleks tundlikule teabele juurdepääs, selle vahetamine ja käitlemine korraldada hoolikalt ning erilist tähelepanu tuleks pöörata edastuskanalitele ja salvestusvõimsusele. |
|
(13) |
Elutähtsa teenuse osutajate toimepidevuse valdkonnas tervikliku lähenemisviisi tagamiseks peaks igal liikmesriigil olema strateegia elutähtsa teenuse osutajate toimepidevuse suurendamiseks (edaspidi „strateegia“). Strateegiates peaks olema kehtestatud strateegilised eesmärgid ja võetavad poliitikameetmed. Sidususe ja tõhususe huvides tuleks strateegiad välja töötada nii, et see integreeriks sujuvalt olemasolevad poliitikameetmed, tuginedes võimaluse korral asjaomastele olemasolevatele riiklikele ja valdkondlikele strateegiatele, asjaomastele kavadele või sarnastele dokumentidele. Tervikliku lähenemisviisi saavutamiseks peaksid liikmesriigid tagama, et nad kehtestavad oma strateegiatega poliitikaraamistiku, mis võimaldab käesoleva direktiivi ja direktiivi (EL) 2022/2555 kohaste pädevate asutuste vahelist tõhusamat koordineerimist seoses teabe vahetamisega küberturvalisuse riskide, küberohtude ja küberintsidentide ning muude kui küberriskide, -ohtude ja -intsidentide kohta ning seoses järelevalveülesannete täitmisega. Liikmesriigid peaksid oma strateegiate kehtestamisel nõuetekohaselt arvesse võtma elutähtsa teenuse osutajaid ähvardavate ohtude hübriidset laadi. |
|
(14) |
Liikmesriigid peaksid edastama oma strateegiad ja nende olulised ajakohastused komisjonile, eelkõige selleks, et komisjon saaks hinnata käesoleva direktiivi nõuetekohast kohaldamist seoses elutähtsa teenuse osutajate toimepidevust käsitleva poliitikaga riiklikul tasandil. Vajaduse korral võib strateegiad edastada salastatud teabena. Komisjon peaks koostama liikmesriikide esitatud strateegiate kohta kokkuvõtva aruande, mille alusel vahetatakse teavet eesmärgiga teha elutähtsa teenuse osutajate toimepidevuse töörühmas kindlaks parimad tavad ja ühist huvi pakkuvad küsimused. Kokkuvõtvas aruandes sisalduva koondteabe tundlikkuse tõttu – olenemata sellest, kas see on salastatud või mitte – peaks komisjon koondaruannet haldama piisava teadlikkusega, pidades silmas elutähtsa teenuse osutajate, liikmesriikide ja liidu julgeolekut. Kokkuvõttev aruanne ja strateegiad peaksid olema kaitstud ebaseadusliku või pahatahtliku tegevuse eest ning need peaksid olema kättesaadavad ainult volitatud isikutele käesoleva direktiivi eesmärkide täitmise eesmärgil. Strateegiatest ja nende olulistest ajakohastustest teavitamine peaks samuti aitama komisjonil mõista elutähtsa teenuse osutajate toimepidevust käsitlevate lähenemisviiside arengut ning aitama jälgida käesoleva direktiivi – mille komisjon korrapäraselt läbi vaatab – mõju ja lisaväärtust. |
|
(15) |
Liikmesriikide tegevus elutähtsa teenuse osutajate identifitseerimisel ja nende toimepidevuse tagamise toetamisel peaks lähtuma riskipõhisest lähenemisviisist, millega suunatakse jõupingutused neile teenuseosutajatele, mis on elutähtsa ühiskondliku funktsiooni või majandustegevuse seisukohast kõige olulisemad. Sellise suunatud lähenemisviisi tagamiseks peaks iga liikmesriik analüüsima ühtlustatud raamistikus asjakohaseid looduslikke ja inimtegevusest tingitud riske, sealhulgas sektori- ja piiriüleseid riske, mis võiksid mõjutada elutähtsate teenuste osutamist, sealhulgas õnnetusi, looduskatastroofe, selliseid rahvatervise hädaolukordi nagu pandeemiad ja hübriidohte või muid vaenulikest aktidest tingitud ohte, muu hulgas terroriakte, kuritegevuse sisseimbumist ja sabotaaži (edaspidi „liikmesriigi riskianalüüs“). Liikmesriigi riskianalüüsi koostamisel peaksid liikmesriigid võtma arvesse teiste liidu õigusaktide alusel tehtud muid üldisi või sektoripõhiseid riskianalüüse ning kaaluma sektoritevahelise vastastikuse seotuse ulatust, sealhulgas muude liikmesriikide ja kolmandate riikide sektoritega. Liikmesriigi riskianalüüsi tulemusi tuleks kasutada elutähtsa teenuse osutajate identifitseerimiseks ja nende teenuseosutajate toetamiseks nende toimepidevust käsitlevate nõuete täitmisel. Käesolevat direktiivi kohaldatakse üksnes liikmesriikide ja liidus tegutsevate elutähtsa teenuse osutajate suhtes. Sellegipoolest võib asjakohasel juhul ja kooskõlas kohaldatavate õigusaktidega kasutada kolmandate riikide, eelkõige liidu vahetus naabruses asuvate riikide huvides eksperdi- ja muid teadmisi, mida on kogunud pädevad asutused, eelkõige riskianalüüside kaudu, ja komisjon, eelkõige eri liiki toetuse ja koostöö kaudu, andes oma panuse toimuvasse toimepidevusalasesse koostöösse. |
|
(16) |
Selleks et tagada käesoleva direktiivi toimepidevust käsitlevate nõuete kohaldamine kõikide asjakohaste elutähtsa teenuse osutajate suhtes ja vähendada sellega seotud lahknevusi, on oluline sätestada ühtlustatud normid, mis võimaldavad kogu liidus elutähtsa teenuse osutajate järjepidevat identifitseerimist, võimaldades samal ajal liikmesriikidel piisavalt kajastada nende teenuseosutajate rolli ja tähtsust riiklikul tasandil. Käesolevas direktiivis sätestatud kriteeriume kohaldades peaks iga liikmesriik identifitseerima elutähtsa teenuse osutajad, kes osutavad üht või mitut elutähtsat teenust ning kes käitavad ja omavad elutähtsat taristut tema territooriumil. Teenuseosutajat tuleks käsitada tegutsevana selle liikmesriigi territooriumil, kus ta teostab kõnealuse elutähtsa teenuse või kõnealuste elutähtsate teenuste jaoks vajalikke tegevusi ja kus asub selle teenuseosutaja elutähtis taristu, mida kasutatakse kõnealuse teenuse osutamiseks või kõnealuste teenuste osutamiseks. Kui liikmesriigis puuduvad nendele kriteeriumidele vastavad teenuseosutajad, ei peaks sellel liikmesriigil olema kohustust elutähtsa teenuse osutajat vastavas sektoris või allsektoris identifitseerida. Tulemuslikkuse, tõhususe, järjepidevuse ja õiguskindluse huvides tuleks kehtestada asjakohased normid nendest teenuseosutajatest teatamise kohta, keda nad on identifitseerinud elutähtsa teenuse osutajatena. |
|
(17) |
Liikmesriigid peaksid esitama komisjonile viisil, mis täidab käesoleva direktiivi eesmärke, elutähtsate teenuste loetelu, iga lisas esitatud sektori ja allsektori kohta ning iga teenuseosutaja osutatava elutähtsa teenuse või elutähtsate teenuste kohta identifitseeritud elutähtsa teenuse osutajate arvu ning, kui see on kohaldatav, lävendid. Lävendeid peaks olema võimalik esitada kas iseseisvalt või koondkujul, mis tähendab, et teavet saab keskmistada geograafilise piirkonna, aasta, sektori, allsektori või muude näitajate kaupa ning see võib sisaldada teavet esitatud näitajate vahemiku kohta. |
|
(18) |
Tuleks kehtestada kriteeriumid intsidendi põhjustatud häiriva mõju olulisuse kindlakstegemiseks. Kõnealused kriteeriumid peaksid tuginema Euroopa Parlamendi ja nõukogu direktiivis (EL) 2016/1148 (6) sätestatud kriteeriumidele, et kasutada ära jõupingutused, mis liikmesriigid on teinud nimetatud direktiivis määratletud elutähtsa teenuse osutajate identifitseerimiseks, ja selles valdkonnas saadud kogemused. Suured kriisid, nagu COVID-19 pandeemia, on näidanud, kui oluline on tagada tarneahela turvalisus ning kuidas selle häired võivad avaldada negatiivset majanduslikku ja ühiskondlikku mõju paljudes sektorites ja piiriüleselt. Seetõttu peaksid liikmesriigid võtma teiste sektorite ja allsektorite elutähtsa teenuse osutaja pakutavast elutähtsast teenusest sõltuvuse ulatuse kindlaksmääramisel võimaluste piires arvesse ka mõju tarneahelale. |
|
(19) |
Kooskõlas kohaldatava liidu ja liikmesriigi õigusega, sealhulgas Euroopa Parlamendi ja nõukogu määrusega (EL) 2019/452, millega luuakse liitu tehtavate välismaiste otseinvesteeringute taustauuringute raamistik (7), tuleb tunnistada võimalikku ohtu, mida kujutab endast liidu elutähtsa taristu välisomand, sest teenused, majandus ning liidu kodanike vaba liikumine ja ohutus sõltuvad elutähtsa taristu nõuetekohasest toimimisest. |
|
(20) |
Direktiiviga (EL) 2022/2555 nõutakse digitaristu sektori teenuseosutajatelt, keda võidakse identifitseerida elutähtsa teenuse osutajatena käesoleva direktiivi alusel, asjaomaste ja proportsionaalsete, tehniliste, tegevuslike ja korralduslike meetmete võtmist, et juhtida võrgu- ja infosüsteemide turvalisust ohustavaid riske, ning olulistest intsidentidest ja küberturvalisuse ohtudest teavitamist. Kuna võrgu- ja infosüsteemide turvalisust ähvardavatel ohtudel võib olla erinev päritolu, kohaldatakse direktiivi (EL) 2022/2555 kohaselt kõiki ohte hõlmavat lähenemisviisi, mis hõlmab võrgu- ja infosüsteemide ning nende süsteemide füüsiliste komponentide ja füüsilise keskkonna toimepidevust. Arvestades, et nõuded, mis on sätestatud direktiivis (EL) 2022/2555 on vähemalt samaväärsed käesolevas direktiivis sätestatud vastavate kohustustega, ei tuleks digitaristu sektori teenuseosutajate suhtes kohaldada käesoleva direktiivi artiklis 11 ning III, IV ja VI peatükis sätestatud kohustusi, et vältida dubleerimist ja ebavajalikku halduskoormust. Võttes siiski arvesse digitaristu sektori teenuseosutajate poolt kõikidesse muudesse sektoritesse kuuluvatele elutähtsa teenuse osutajatele osutatavate teenuste olulisust, peaksid liikmesriigid käesoleva direktiiviga ette nähtud kriteeriumide põhjal ja selles sätestatud menetlust kohaldades identifitseerima sellised digitaristu sektori teenuseosutajad elutähtsa teenuse osutajana. Seetõttu tuleks kohaldada käesoleva direktiivi II peatükis sätestatud strateegiaid, liikmesriigi riskianalüüse ja toetusmeetmeid. Liikmesriikidel peaks olema võimalik vastu võtta või säilitada oma õigusnormid, millega saavutada kõnealuste elutähtsa teenuse osutajate toimepidevuse kõrgem tase, tingimusel et need õigusnormid on kooskõlas kohaldatava liidu õigusega. |
|
(21) |
Finantsteenuseid käsitlevate liidu õigusnormidega kehtestatakse finantssektori ettevõtjatele põhjalikud nõuded, et juhtida kõiki riske, millega nad kokku puutuvad, sealhulgas tegevusriske, ja tagada toimepidevus. Sellised õigusnormid hõlmavad Euroopa Parlamendi ja nõukogu määruseid (EL) nr 648/2012, (8) (EL) nr 575/2013 (9) ja (EL) nr 600/2014 (10) ning Euroopa Parlamendi ja nõukogu direktiive 2013/36/EL (11) ja 2014/65/EL (12). Seda õigusraamistikku täiendatakse Euroopa Parlamendi ja nõukogu määrusega (EL) 2022/2554 (13) milles sätestatakse finantssektori ettevõtjatele kohaldatavad nõuded info- ja kommunikatsioonitehnoloogia (IKT) riskide juhtimiseks, sealhulgas füüsilise IKT-taristu kaitsmiseks. Kuna teenuseosutajate toimepidevus on seetõttu põhjalikult hõlmatud, ei tuleks nende teenuseosutajate suhtes kohaldada käesoleva direktiivi artiklit 11 ning III, IV ja VI peatükki, et vältida dubleerimist ja ebavajalikku halduskoormust. Võttes siiski arvesse finantssektori ettevõtjate poolt kõikidesse muudesse sektoritesse kuuluvatele elutähtsa teenuse osutajatele osutatavate teenuste olulisust, peaksid liikmesriigid käesoleva direktiiviga ette nähtud kriteeriumide põhjal ja selles sätestatud menetlust kohaldades identifitseerima sellised finantssektori ettevõtjad elutähtsa teenuse osutajana. Seetõttu tuleks kohaldada käesoleva direktiivi II peatükis sätestatud strateegiaid, liikmesriigi riskianalüüse ja toetusmeetmeid. Liikmesriikidel peaks olema võimalik võtta vastu või säilitada oma õigusnormid, millega saavutada kõnealuste elutähtsa teenuse osutajate toimepidevuse kõrgem tase, tingimusel et need õigusnormid on kooskõlas kohaldatava liidu õigusega. |
|
(22) |
Liikmesriigid peaksid määrama või looma pädevad asutused, kes teevad järelevalvet direktiivis sätestatud normide kohaldamise üle ja tagavad vajaduse korral nende täitmise, ning tagama, et sellistel asutustel on piisavad õigused ja ressursid. Võttes arvesse erinevusi liikmesriikide juhtimisstruktuurides ning selleks et kaitsta juba kehtivat valdkondlikku korda või liidu järelevalve- ja reguleerivaid asutusi ja vältida dubleerimist, peaksid liikmesriigid saama määrata või luua rohkem kui ühe pädeva asutuse. Juhul kui liikmesriigid määravad või loovad rohkem kui ühe pädeva asutuse, peaksid nad selgelt piiritlema asjaomaste asutuste vastavad ülesanded ning tagama nende asutuste sujuva ja tõhusa koostöö. Samuti peaksid kõik pädevad asutused tegema laialdasemalt koostööd muude asjakohaste asutustega nii liidu kui ka liikmesriikide tasandil. |
|
(23) |
Et hõlbustada piiriülest koostööd ja teabevahetust ning võimaldada käesolevat direktiivi tulemuslikult rakendada, peaks iga liikmesriik, ilma et see piiraks valdkondlike liidu õigusaktide nõudeid, määrama – asjakohasel juhul mõne pädeva asutuse juurde – ühe ühtse kontaktpunkti, kes vastutab elutähtsa teenuse osutajate toimepidevusega seotud küsimuste ja liidu tasandil selles valdkonnas tehtava piiriülese koostöö koordineerimise eest (edaspidi „ühtne kontaktpunkt“). Iga ühtne kontaktpunkt peaks suhtlema ja koordineerima teabevahetust vajaduse korral oma liikmesriigi pädevate asutustega, teiste liikmesriikide ühtsete kontaktpunktidega ja elutähtsa teenuse osutajate toimepidevuse töörühmaga. |
|
(24) |
Käesoleva direktiivi kohased pädevad asutused ja direktiivi (EL) 2022/2555 kohased pädevad asutused peaksid tegema koostööd ja vahetama teavet seoses elutähtsa teenuse osutajaid mõjutavate küberturvalisuse riskide, küberohtude ja -intsidentidega ning muude kui küberriskide, -ohtude ja -intsidentidega ning seoses käesoleva direktiivi kohaste pädevate asutuste ja direktiivi (EL) 2022/2555 kohaste pädevate asutuste võetud asjaomaste meetmetega. On oluline, et liikmesriigid tagaksid, et käesolevas direktiivis ja direktiivis (EL) 2022/2555 sätestatud nõudeid rakendatakse vastastikku täiendaval viisil ning et elutähtsa teenuse osutajate halduskoormus ei ole suurem kui see, mis on vajalik käesoleva direktiivi ja nimetatud direktiivi eesmärkide saavutamiseks. |
|
(25) |
Liikmesriigid peaksid toetama elutähtsa teenuse osutajaid, sealhulgas neid, kes kvalifitseeruvad väikesteks või keskmise suurusega ettevõtjateks, nende toimepidevuse tugevdamisel kooskõlas liikmesriikide käesolevas direktiivis sätestatud kohustustega, ilma et see piiraks elutähtsa teenuse osutajate enda õiguslikku vastutust tagada selline nõuetele vastavus, ja vältima selle käigus liigset halduskoormust. Eelkõige võiksid liikmesriigid koostada juhendmaterjale ja metoodikaid, toetada elutähtsa teenuse osutajate toimepidevuse testimiseks õppuste korraldamist ning pakkuda nõustamist ja koolitusi elutähtsa teenuse osutajate töötajatele. Kui see on vajalik ja põhjendatud avaliku huvi eesmärkidega, võiksid liikmesriigid eraldada rahalisi vahendeid ning peaksid hõlbustama vabatahtlikku teabe ja heade tavade vahetamist elutähtsa teenuse osutajate vahel, ilma et see piiraks Euroopa Liidu toimimise lepingus (ELi toimimise leping) sätestatud konkurentsieeskirjade kohaldamist. |
|
(26) |
Liikmesriikide identifitseeritud elutähtsa teenuse osutajate toimepidevuse suurendamiseks ja kõnealuste elutähtsa teenuse osutajate halduskoormuse vähendamiseks peaksid pädevad asutused omavahel konsulteerima, kui see on asjakohane käesoleva direktiivi järjepideva kohaldamise tagamiseks. Neid konsultatsioone tuleks alustada mis tahes huvitatud pädeva asutuse taotlusel ning need peaksid keskenduma sellele, et tagada ühtse lähenemisviisi järgimine seoses omavahel seotud elutähtsa teenuse osutajatega, kes kasutavad kahe või enama liikmesriigi vahel füüsiliselt ühendatud elutähtsat taristut ning on osa samast kontsernist või ettevõttestruktuurist või on identifitseeritud ühes liikmesriigis ja osutavad elutähtsaid teenuseid teistele liikmesriikidele või teistes liikmesriikides. |
|
(27) |
Kui liidu või liikmesriigi õigusnormidega nõutakse elutähtsa teenuse osutajatelt käesoleva direktiivi kohaldamise seisukohast asjakohaste riskide analüüsi ja meetmete võtmist oma toimepidevuse tagamiseks, tuleks neid nõudeid nõuetekohaselt arvesse võtta, et teostada järelevalvet selle üle, kas elutähtsa teenuse osutajad järgivad käesolevat direktiivi. |
|
(28) |
Elutähtsa teenuse osutajatel peaks olema terviklik arusaam asjakohastest riskidest, millega nad kokku puutuvad, ja kohustus neid riske analüüsida. Selleks peaksid nad tegema riskianalüüse alati, kui see on nende konkreetset olukorda ja asjaomaste riskide muutumist arvesse võttes vajalik, ja igal juhul iga nelja aasta järel, et hinnata kõiki asjaomaseid riske, mis võivad häirida kriitilise tähtsusega teenuse osutaja võimet elutähtsaid teenuseid pakkuda (edaspidi „elutähtsa teenuse osutaja riskianalüüs“). Kui elutähtsa teenuse osutajad on teinud muid riskianalüüse või koostanud dokumente vastavalt muudes elutähtsa teenuse osutaja riskianalüüsi seisukohast asjakohastes õigusaktides sätestatud kohustustele, peaks neil olema võimalik neid analüüse ja dokumente kasutada käesolevas direktiivis sätestatud elutähtsa teenuse osutaja riskianalüüsiga seotud nõuete täitmiseks. Pädeval asutusel peaks olema võimalik tunnistada elutähtsa teenuse osutaja olemasoleva riskianalüüsi, milles käsitletakse asjaomaseid riske ja asjaomaseid olemasolevad sõltuvusi, täielikult või osaliselt käesolevas direktiivis sätestatud kohustustele vastavaks. |
|
(29) |
Elutähtsa teenuse osutajad peaksid võtma nende ees seisvate riskide seisukohast asjakohaseid ja proportsionaalseid tehnilisi, turva- ja korralduslikke meetmeid, et intsidente ennetada, end nende vastu kaitsta, neile reageerida, neile vastu panna, neid leevendada, nendega toime tulla ja kohaneda ning neist taastuda. Kuigi elutähtsa teenuse osutajad peaksid neid meetmeid võtma kooskõlas käesoleva direktiiviga, peaksid selliste meetmete üksikasjad ja ulatus kajastama asjakohasel ja proportsionaalsel viisil erinevaid riske, mille iga elutähtsa teenuse osutaja on teinud kindlaks oma elutähtsa teenuse osutaja riskianalüüsi raames, ja asjaomase teenuseosutaja eripärasid. Liitu hõlmava sidusa lähenemisviisi edendamiseks peaks komisjon pärast elutähtsa teenuse osutajate toimepidevuse töörühmaga konsulteerimist võtma vastu mittesiduvad suunised kõnealuste tehniliste, turva- ja korralduslike meetmete täpsustamiseks. Liikmesriigid peaksid tagama, et iga elutähtsa teenuse osutaja määrab kontaktametniku või samaväärse isiku kontaktisikuks pädevate asutustega. |
|
(30) |
Tulemuslikkuse ja vastutuse huvides peaksid elutähtsa teenuse osutajad, võttes arvesse kindlakstehtud riske, kirjeldama toimepidevusplaanis või sellega samaväärses dokumendis või samaväärsetes dokumentides piisavalt üksikasjalikult enda võetavaid meetmeid tulemuslikkuse ja vastutuse eesmärkide piisavaks saavutamiseks ning seda kava praktikas kohaldama. Kui elutähtsa teenuse osutajad on juba võtnud tehnilisi, turva- ja korralduslikke meetmeid ning koostanud dokumente vastavalt muudele õigusaktidele, mis on asjakohased käesoleva direktiivi kohaste toimepidevust suurendavate meetmete seisukohast, peaks neil olema võimalik kasutada neid meetmeid ja dokumente tulemuslikkust ja vastutust käsitlevate nõuete täitmiseks. Dubleerimise vältimiseks peaks pädeval asutusel olema võimalik tunnistada elutähtsa teenuse osutaja olemasolevad tehniliste-, turva- ja korralduslike meetmete võtmisega seotud kohustusi käsitlevad toimepidevusmeetmed täielikult või osaliselt käesoleva direktiivi nõuetele vastavaks. |
|
(31) |
Euroopa Parlamendi ja nõukogu määrustes (EÜ) nr 725/2004 (14) ja (EÜ) nr 300/2008 (15) ning Euroopa Parlamendi ja nõukogu direktiivis 2005/65/EÜ (16) on kehtestatud nõuded, mida kohaldatakse lennundus- ja meretranspordi sektorite ettevõtjate suhtes, et vältida ebaseaduslikust tegevusest põhjustatud intsidente, neile vastu panna ning nende tagajärgedega toime tulla. Kuigi käesoleva direktiivi alusel nõutavad meetmed on käsitletud riskide ja võetavate meetmete liikide osas laiemad, peaksid asjaomaste sektorite elutähtsa teenuse osutajad kajastama oma toimepidevusplaanis või samaväärsetes dokumentides nimetatud muude liidu õigusnormide alusel võetud meetmeid. Elutähtsa teenuse osutajad peavad võtma arvesse ka Euroopa Parlamendi ja nõukogu direktiivi 2008/96/EÜ (17), millega kehtestatakse kogu võrku hõlmav liiklusohutuse hindamine, et kaardistada õnnetuste riski, ja sihipärane liiklusohutuse kontroll, et teha olemasolevate teede või teelõikude kohapealsetele külastustele tuginedes kindlaks õnnetuste ja vigastuste ohtu suurendavad ohtlikud tingimused, defektid ja probleemid. Elutähtsa teenuse osutajate kaitse ja toimepidevuse tagamine on raudteesektori jaoks äärmiselt oluline ning käesoleva direktiivi kohaste toimepidevusmeetmete rakendamisel julgustatakse elutähtsa teenuse osutajaid viitama mittesiduvatele suunistele ja heade tavade dokumentidele, mis on välja töötatud valdkondlike töösuundade raames, näiteks komisjoni otsusega 2018/C 232/03 (18) loodud ELi rongireisijate turvaplatvormile. |
|
(32) |
Üha suuremaks probleemiks on oht, et elutähtsa teenuse osutajate töötajad või välistöövõtjad kuritarvitavad näiteks oma juurdepääsuõigusi elutähtsa teenuse osutaja ettevõttes kahju tekitamise eesmärgil. Seepärast peaksid liikmesriigid täpsustama tingimused, mille alusel on elutähtsa teenuse osutajatel lubatud nõuetekohaselt põhjendatud juhtudel ja liikmesriigi riskianalüüse arvesse võttes esitada taotlusi oma töötajate teatavatesse kategooriatesse kuuluvate isikute taustakontrolliks. Tuleks tagada, et asjaomased asutused hindavad selliseid taotlusi mõistliku aja jooksul ning töötlevad neid kooskõlas liikmesriigi õigus- ja menetlusnormidega ning asjakohaste ja kohaldatavate liidu õigusaktidega, sealhulgas isikuandmete kaitset käsitlevate õigusaktidega. Selleks et kinnitada taustakontrolli objektiks oleva isiku identiteeti, on asjakohane, et liikmesriigid nõuavad kooskõlas kohaldatava õigusega isikut tõendavat dokumenti, näiteks passi, riiklikku isikutunnistust või digitaalset isikut tõendavat dokumenti. Taustakontroll peaks hõlmama asjaomase isiku karistusregistri andmete kontrolli. Teiste liikmesriikide hallatavate karistusregistriandmete saamiseks peaksid liikmesriigid kasutama Euroopa karistusregistrite infosüsteemi (ECRIS) kooskõlas nõukogu raamotsuses 2009/315/JSK (19) ning, kui see on asjakohane ja kohaldatav, Euroopa Parlamendi ja nõukogu määruses (EL) 2019/816 (20) sätestatud menetlustega. Kui see on asjakohane ja kohaldatav, võivad liikmesriigid tugineda ka Euroopa Parlamendi ja nõukogu määrusega (EL) 2018/1862 (21) loodud teise põlvkonna Schengeni infosüsteemi (SIS II) teabele, luureteabele ja mis tahes muule kättesaadavale objektiivsele teabele, mis võib olla vajalik, et teha kindlaks asjaomase isiku sobivus töötada ametikohal, mille suhtes elutähtsa teenuse osutaja on taotlenud taustakontrolli. |
|
(33) |
Tuleks luua mehhanism konkreetsetest intsidentidest teatamiseks, et võimaldada pädevatel asutustel intsidentidele kiiresti ja asjakohaselt reageerida ning saada terviklik ülevaade intsidendi – millega elutähtsa teenuse osutajatel tuleb tegeleda – mõjust, laadist, põhjusest ja võimalikest tagajärgedest. Elutähtsa teenuse osutajad peaksid põhjendamatu viivituseta teavitama pädevaid asutusi intsidentidest, mis elutähtsate teenuste osutamist oluliselt häirivad või võivad oluliselt häirida. Kui elutähtsa teenuse osutajad ei suuda seda operatiivselt teha, peaksid nad esitama esialgse teate hiljemalt 24 tundi pärast intsidendist teadasaamist. Esialgne teade peaks sisaldama üksnes teavet, mis on pädeva asutuse intsidendist teavitamiseks hädavajalik ja mis võimaldab elutähtsa teenuse osutajal vajaduse korral abi hankida. Sellises teates tuleks võimaluse korral märkida intsidendi eeldatav põhjus. Liikmesriigid peaksid tagama, et kõnealuse esialgse teate esitamise nõudega seoses ei võetaks teavitava elutähtsa teenuse osutaja ressursse intsidentide käsitlemisega seotud tegevuste arvelt, mis peaksid olema prioriteetsed. Esialgsele teatele peaks vajaduse korral järgnema üksikasjalik aruanne hiljemalt üks kuu pärast intsidendi toimumist. Üksikasjalik aruanne peaks täiendama esialgset teadet ja andma intsidendist täielikuma ülevaate. |
|
(34) |
Standardimine peaks edaspidigi olema eelkõige turupõhine protsess. Siiski võib esineda olukordi, kus on asjakohane nõuda kindlaksmääratud standardite järgimist liidu tasandil. Liikmesriigid peaksid vajaduse korral innustama elutähtsa teenuse osutajate suhtes kohaldatavate turvalisus- ja toimepidevusmeetmete jaoks asjakohaste Euroopa ja rahvusvaheliste standardite ja tehniliste spetsifikatsioonide kasutamist. |
|
(35) |
Kuigi elutähtsa teenuse osutajad tegutsevad üldiselt omavahel üha enam seotud teenuste osutamise ja taristute võrgustiku raames ning osutavad sageli elutähtsaid teenuseid rohkem kui ühes liikmesriigis, on mõned sellised elutähtsa teenuse osutajad liidu ja selle siseturu jaoks eriti olulised, sest nad osutavad elutähtsaid teenuseid kuues või enamas liikmesriigis ja võiksid seega saada kasu eritoetusest liidu tasandil. Seepärast tuleks kehtestada normid selliste üleeuroopaliselt oluliste elutähtsa teenuse osutajate nõuandemissioonide kohta. Sellised normid ei piira käesolevas direktiivis kehtestatud järelevalve ja nõuetele vastavuse tagamise norme. |
|
(36) |
Komisjoni või ühe või enama liikmesriigi, kellele või kus elutähtsaid teenuseid osutatakse, põhjendatud taotluse korral, kui on vaja lisateavet, et nõustada elutähtsa teenuse osutajat tema kohustuste täitmisel käesoleva direktiivi alusel, või et hinnata, kas üleeuroopaliselt oluline elutähtsa teenuse osutaja neid kohustusi täidab, peaks liikmesriik, kes on identifitseerinud konkreetse üleeuroopaliselt olulise teenuseosutaja elutähtsa teenuse osutajana, esitama vastavalt käesolevas direktiivis sätestatule komisjonile teatava teabe. Kokkuleppel liikmesriigiga, kes on identifitseerinud konkreetse üleeuroopaliselt olulise elutähtsa teenuseosutaja elutähtsa teenuse osutajana, peaks komisjonil olema võimalik korraldada nõuandemissioon, et hinnata selle teenuseosutaja võetud meetmeid. Selle tagamiseks, et nimetatud nõuandemissioonid toimuksid nõuetekohaselt, tuleks kehtestada täiendavad normid, eelkõige nõuandemissioonide korraldamise ja läbiviimise, vajalike järelmeetmete ning asjaomaste üleeuroopaliselt oluliste elutähtsa teenuse osutajate kohustuste kohta. Ilma et see piiraks selle liikmesriigi, kus nõuandemissioon korraldatakse, ja asjaomase elutähtsa teenuse osutaja kohustust täita käesolevas direktiivis sätestatud norme, tuleks nõuandemissioon korraldada kooskõlas kõnealuse liikmesriigi õiguses sätestatud üksikasjalike normidega, mis käsitlevad näiteks täpseid tingimusi, mis tuleb asjaomastele rajatistele või dokumentidele juurdepääsu saamiseks täita, ja õiguskaitsevahendeid. Selliste nõuandemissioonide jaoks vajalikke eriteadmisi saab asjakohasel juhul taotleda hädaolukordadele reageerimise koordineerimiskeskuse kaudu, mis on loodud Euroopa Parlamendi ja nõukogu otsusega nr 1313/2013/EL (22). |
|
(37) |
Selleks et toetada komisjoni ning hõlbustada liikmesriikidevahelist koostööd ja käesoleva direktiiviga seotud teemasid käsitleva teabe, sealhulgas parima tava vahetamist, tuleks komisjoni eksperdirühmana moodustada elutähtsa teenuse osutajate toimepidevuse töörühm. Liikmesriigid peaksid elutähtsa teenuse osutajate toimepidevuse töörühmas püüdma tagada oma pädevate asutuste määratud esindajate tulemusliku ja tõhusa koostöö, sealhulgas määrates esindajad, kes on läbinud asjakohase julgeolekukontrolli. Elutähtsa teenuse osutajate toimepidevuse töörühm peaks alustama oma ülesannete täitmist nii kiiresti kui võimalik, et pakkuda täiendavaid võimalusi nõuetekohaseks koostööks käesoleva direktiivi ülevõtmisperioodi jooksul. Elutähtsa teenuse osutajate toimepidevuse töörühm peaks suhtlema teiste asjaomaste valdkondlike ekspertide töörühmadega. |
|
(38) |
Elutähtsa teenuse osutajate toimepidevuse töörühm peaks tegema koostööd direktiivi (EL) 2022/2555 alusel loodud koostöörühmaga, et toetada elutähtsa teenuse osutajate küber- ja muu kui kübertoimepidevuse terviklikku raamistikku. Elutähtsa teenuse osutajate toimepidevuse töörühm ja direktiivi (EL) 2022/2555 alusel loodud koostöörühm peaksid pidama korrapärast dialoogi, et edendada koostööd käesoleva direktiivi kohaste pädevate asutuste ja direktiivi (EL) 2022/2555 kohaste pädevate asutuste vahel ning hõlbustada teabevahetust eelkõige mõlema töörühma jaoks olulistel teemadel. |
|
(39) |
Käesoleva direktiivi eesmärkide saavutamiseks ja ilma et see piiraks liikmesriikide ja elutähtsa teenuse osutajate juriidilist vastutust tagada oma käesolevas direktiivis sätestatud vastavate kohustuste täitmine, peaks komisjon, kui ta peab seda asjakohaseks, toetama pädevaid asutusi ja elutähtsa teenuse osutajaid, et võimaldada neil oma vastavaid kohustusi täita. Liikmesriike ja elutähtsa teenuse osutajaid käesolevas direktiivis kehtestatud kohustuste täitmisel toetades peaks komisjon tuginema olemasolevatele struktuuridele ja vahenditele, näiteks otsusega nr 1313/2013/EL loodud liidu elanikkonnakaitse mehhanismi ning elutähtsa taristu kaitse Euroopa viitevõrgustiku struktuuridele ja vahenditele. Lisaks peaks ta teavitama liikmesriike liidu tasandil kättesaadavatest vahenditest, näiteks Euroopa Parlamendi ja nõukogu määrusega (EL) 2021/1149 (23) loodud Sisejulgeolekufondist, Euroopa Parlamendi ja nõukogu määrusega (EL) 2021/695 (24) loodud programmist „Euroopa horisont“ või muudest elutähtsa teenuse osutajate toimepidevuse seisukohast asjakohastest vahenditest. |
|
(40) |
Liikmesriigid peaksid tagama, et nende pädevatel asutustel on teatavad eriõigused käesoleva direktiivi nõuetekohaseks kohaldamiseks ja selle jõustamiseks seoses elutähtsa teenuse osutajatega, kui sellised teenuseosutajad kuuluvad vastavalt käesolevas direktiivis täpsustatule nende jurisdiktsiooni alla. Eelkõige peaksid kõnealused õigused hõlmama õigust teha kontrolle ja auditeid, õigust teha järelevalvet, õigust nõuda elutähtsa teenuse osutajatelt teabe ja tõendite esitamist meetmete kohta, mida nad on oma kohustuste täitmiseks võtnud, ning õigust anda vajaduse korral korraldusi kindlakstehtud rikkumiste kõrvaldamiseks. Selliste korralduste andmisel ei tohiks liikmesriigid nõuda meetmeid, mis lähevad kaugemale sellest, mis on vajalik ja proportsionaalne asjaomase elutähtsa teenuse osutaja nõuetelevastavuse tagamiseks, võttes arvesse eelkõige rikkumise raskusastet ja asjaomase elutähtsa teenuse osutaja majanduslikku suutlikkust. Üldisemalt peaksid selliste õigustega kaasnema sobilikud ja tulemuslikud kaitsemeetmed, mis täpsustatakse liikmesriigi õiguses kooskõlas Euroopa Liidu põhiõiguste hartaga. Selle hindamisel, kas elutähtsa teenuse osutaja täidab oma käesolevas direktiivis sätestatud kohustusi, peaks käesoleva direktiivi kohastel pädevatel asutustel olema võimalik taotleda direktiivi (EL) 2022/2555 kohastelt pädevatelt asutustelt, et nad rakendaksid oma järelevalve- ja nõuetele vastavuse tagamise volitusi seoses kõnealuse direktiivi kohaldamisalasse kuuluva elutähtsa teenuse osutajaga, kes on identifitseeritud elutähtsa teenuseosutajana käesoleva direktiivi alusel. Sel eesmärgil peaksid käesoleva direktiivi kohased pädevad asutused ja direktiivi (EL) 2022/2555 kohased pädevad asutused tegema koostööd ja vahetama teavet. |
|
(41) |
Käesoleva direktiivi tulemuslikuks ja järjepidevaks kohaldamiseks peaks komisjonil olema õigus võtta kooskõlas ELi toimimise lepingu artikliga 290 vastu õigusakte, et täiendada käesolevat direktiivi, koostades elutähtsate teenuste loetelu. Pädevad asutused peaksid seda loetelu kasutama liikmesriikide riskianalüüside tegemiseks ja elutähtsa teenuse osutajate identifitseerimiseks vastavalt käesolevale direktiivile. Võttes arvesse käesoleva direktiivi minimaalse ühtlustamise lähenemisviisi, ei ole see loetelu ammendav ja liikmesriigid võivad seda täiendada muude riiklikul tasandil osutatavate elutähtsate teenustega, et võtta arvesse riikide eripära elutähtsate teenuste osutamisel. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid viidaks läbi kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes (25) sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide ettevalmistamises võrdne osalemine, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse delegeeritud õigusaktide ettevalmistamist. |
|
(42) |
Selleks et tagada käesoleva direktiivi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (26). |
|
(43) |
Kuna käesoleva direktiivi eesmärke, nimelt tagada elutähtsa ühiskondliku funktsiooni või majandustegevuse säilitamiseks vajalike teenuste takistamatu osutamine siseturul ning suurendada selliseid teenuseid osutavate elutähtsa teenuse osutajate toimepidevust, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis 5 sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale. |
|
(44) |
Kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 (27) artikli 42 lõikega 1 konsulteeriti Euroopa Andmekaitseinspektoriga, kes esitas oma arvamuse 11. augustil 2021. |
|
(45) |
Seepärast tuleks direktiiv 2008/114/EÜ kehtetuks tunnistada, |
ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:
I PEATÜKK
ÜLDSÄTTED
Artikkel 1
Reguleerimisese ja kohaldamisala
1. Käesolevas direktiivis:
|
a) |
kehtestatakse liikmesriikidele kohustus võtta ELi toimimise lepingu artikli 114 kohaldamisalasse kuuluvaid erimeetmeid, mille eesmärk on tagada elutähtsa ühiskondliku funktsiooni või majandustegevuse säilitamiseks elutähtsate teenuste takistamatu osutamine siseturul, eelkõige kohustus identifitseerida elutähtsa teenuse osutajad, ning aidata elutähtsa teenuse osutajatel täita neile pandud kohustusi; |
|
b) |
sätestatakse elutähtsa teenuse osutajate kohustused, mille eesmärk on suurendada nende toimepidevust ja suutlikkust osutada punktis a osutatud teenuseid siseturul; |
|
c) |
kehtestatakse normid, mis käsitlevad:
|
|
d) |
kehtestatakse ühised koostöö- ja aruandlusmenetlused käesoleva direktiivi kohaldamiseks; |
|
e) |
meetmed elutähtsa teenuse osutajate toimepidevuse kõrge taseme saavutamiseks, et tagada elutähtsate teenuste osutamine liidus ja parandada siseturu toimimist. |
2. Käesolevat direktiivi ei kohaldata direktiiviga (EL) 2022/2555 hõlmatud küsimuste suhtes, ilma et see piiraks käesoleva direktiivi artikli 8 kohaldamist. Pidades silmas elutähtsa teenuse osutajate füüsilise turvalisuse ning küberturvalisuse vahelist seost, tagavad liikmesriigid käesoleva direktiivi ja direktiivi (EL) 2022/2555 koordineeritud rakendamise.
3. Kui liidu valdkondlike õigusaktide sätetega nõutakse elutähtsa teenuse osutajatelt meetmete võtmist oma toimepidevuse suurendamiseks ja kui need nõuded on tunnistatud liikmesriikide poolt vähemalt samaväärseks vastavate käesolevas direktiivis sätestatud kohustustega, ei kohaldata käesoleva direktiivi asjaomaseid sätteid, sealhulgas VI peatükis kehtestatud sätteid järelevalve ja nõuetele vastavuse tagamise kohta.
4. Ilma et see piiraks ELi toimimise lepingu artikli 346 kohaldamist, tuleks teavet, mis on liidu või liikmesriigi õigusnormide, näiteks ärisaladust käsitlevate õigusnormide kohaselt konfidentsiaalne, vahetada käesolevale direktiivi kohaselt komisjoni ja teiste asjaomaste asutustega ainult siis, kui selline teabevahetus on vajalik käesoleva direktiivi kohaldamiseks. Vahetada võib ainult teavet, mis on teabevahetuse eesmärki arvestades oluline ja proportsionaalne. Teabevahetus peab tagama asjaomase teabe konfidentsiaalsuse ning elutähtsa teenuse osutajate turvalisuse ja ärihuvid, pidades seejuures silmas liikmesriikide julgeoleku tagamist.
5. Käesolev direktiiv ei piira liikmesriikide kohustusi tagada riiklik julgeolek ja kaitse ega nende õigust kaitsta muid riigi põhifunktsioone, sealhulgas riigi territoriaalse terviklikkuse tagamist ja avaliku korra säilitamist.
6. Käesolevat direktiivi ei kohaldata nende avaliku halduse üksuste suhtes, kes tegutsevad riikliku julgeoleku, avaliku julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude uurimise, avastamise ja nende eest vastutusele võtmise valdkonnas.
7. Liikmesriigid võivad otsustada, et ei kohalda artiklit 11 ega III, IV ja VI peatüki sätteid täielikult või osaliselt konkreetsete elutähtsa teenuse osutajate suhtes, kes tegutsevad riikliku julgeoleku, avaliku julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude uurimise, avastamise ja nende eest vastutusele võtmise valdkonnas, või kes osutavad teenuseid üksnes käesoleva artikli lõikes 6 osutatud avaliku halduse üksustele.
8. Käesolevas direktiivis sätestatud kohustused ei hõlma sellise teabe edastamist, mille avalikustamine oleks vastuolus liikmesriikide oluliste riikliku julgeoleku, avaliku julgeoleku või riigikaitse huvidega.
Artikkel 2
Mõisted
Käesolevas direktiivis kasutatakse järgmisi mõisteid:
|
1) |
„elutähtsa teenuse osutaja“ – avalik-õiguslik või eraõiguslik üksus, mille liikmesriik on kooskõlas artikliga 6 identifitseerinud ühte lisa tabeli kolmandas veerus esitatud kategooriasse kuuluvana; |
|
2) |
„toimepidevus“ – elutähtsa teenuse osutaja suutlikkus intsidente ennetada, end nende vastu kaitsta, neile reageerida, neile vastu panna, neid leevendada, nendega toime tulla ja kohaneda ning neist taastuda; |
|
3) |
„intsident“ – igasugune sündmus, mis võib oluliselt häirida või häirib elutähtsa teenuse osutamist, sealhulgas juhul, kui see mõjutab õigusriigi põhimõtteid kaitsvaid riiklikke süsteeme; |
|
4) |
„elutähtis taristu“ – vara, vahend, seade, võrk, süsteem või vara, vahendi, seadme, võrgu või süsteemi osa, mis on vajalik elutähtsa teenuse osutamiseks; |
|
5) |
„elutähtis teenus“ – teenus, mis on kriitiline elutähtsate ühiskondlike funktsioonide, majandustegevuse, rahvatervise ja ohutuse või keskkonna säilitamiseks; |
|
6) |
„risk“ – intsidendist tingitud kahju või häire võimalus, mida väljendatakse sellise kahju või häire ulatust ja intsidendi esinemise tõenäosust kajastava kombineeritud näitajana; |
|
7) |
„riskianalüüs“ – üldine protsess, mille eesmärk on määrata kindlaks riski olemus ja ulatus, tehes kindlaks intsidendini viia võivad võimalikud asjakohased ohud ja nõrgad kohad, analüüsides neid ohte ja nõrku kohti ning hinnates sellest intsidendist tingitud potentsiaalset elutähtsa teenuse osutamise katkemist või häiret; |
|
8) |
„standard“ – standard Euroopa Parlamendi ja nõukogu määruse (EL) nr 1025/2012 (30) artikli 2 punkti 1 tähenduses; |
|
9) |
„tehniline spetsifikatsioon” – määruse (EL) nr 1025/2012 artikli 2 punktis 4 määratletud tehniline spetsifikatsioon; |
|
10) |
„avaliku halduse üksus“ – üksus, mis ei hõlma kohtuid, parlamente ega keskpanku ning mida tunnustatakse liikmesriigi õigusnormide kohaselt ning mis vastab järgmistele kriteeriumidele:
|
Artikkel 3
Minimaalne ühtlustamine
Käesolev direktiiv ei takista liikmesriike elutähtsa teenuse osutajate suurema toimepidevuse saavutamiseks vastu võtmast või säilitamast oma õigusnorme, kui sellised õigusnormid on kooskõlas liikmesriikide liidu õiguses sätestatud kohustustega.
II PEATÜKK
ELUTÄHTSA TEENUSE OSUTAJATE TOIMEPIDEVUSE RIIKLIKUD RAAMISTIKUD
Artikkel 4
Elutähtsa teenuse osutajate toimepidevuse strateegia
1. Pärast konsulteerimist, mis on praktikas teostataval määral avatud asjaomastele sidusrühmadele, võtab iga liikmesriik hiljemalt 17. jaanuariks 2026 vastu strateegia elutähtsa teenuse osutajate toimepidevuse suurendamiseks (edaspidi „strateegia“). Strateegiates kehtestatakse asjakohaste olemasolevate riiklike ja valdkondlike strateegiate või asjakohaste kavade või sarnaste dokumentide alusel strateegilised eesmärgid ja poliitikameetmed, mille eesmärk on saavutada ja säilitada kõnealuste elutähtsa teenuse osutajate toimepidevuse kõrge tase ning see hõlmab vähemalt lisas esitatud sektoreid.
2. Iga strateegia sisaldab vähemalt järgmisi elemente:
|
a) |
strateegilised eesmärgid ja prioriteedid elutähtsa teenuse osutajate üldise toimepidevuse suurendamiseks, võttes arvesse piiri- ja valdkonnaüleseid sõltuvusi ja ristsõltuvusi; |
|
b) |
juhtimisraamistik nende strateegiliste eesmärkide ja prioriteetide saavutamiseks, sealhulgas eri ametiasutuste, elutähtsa teenuse osutajate ja teiste strateegia rakendamises osalevate isikute rollide ja vastutusalade kirjeldus; |
|
c) |
elutähtsa teenuse osutajate üldise toimepidevuse suurendamiseks vajalike meetmete kirjeldus, sealhulgas artiklis 5 osutatud riskianalüüsi kirjeldus; |
|
d) |
elutähtsa teenuse osutajate identifitseerimise protsessi kirjeldus; |
|
e) |
elutähtsa teenuse osutajaid käesoleva peatüki kohaselt toetava protsessi kirjeldus, sealhulgas meetmed, millega tõhustatakse koostööd ühelt poolt avaliku sektori ning teiselt poolt erasektori ning avalik-õiguslike ja eraõiguslike üksuste vahel; |
|
f) |
loetelu strateegia rakendamisse kaasatud peamistest asutustest ja asjaomastest sidusrühmadest, kes ei ole elutähtsa teenuse osutajad; |
|
g) |
poliitikaraamistik käesoleva direktiivi kohaste pädevate asutuste (edaspidi ”pädevad asutused”) ja direktiivi (EL) 2022/2555 kohaste pädevate asutuste vaheliseks koordineerimiseks küberturvalisuse riske, küberohte ja -intsidente ning muid kui küberriske, -ohte ja -intsidente käsitleva teabe jagamise ning järelevalveülesannete täitmise eesmärgil; |
|
h) |
juba kehtestatud meetmete kirjeldus, mille eesmärk on hõlbustada seda, et käesoleva direktiivi III peatüki kohaseid kohustusi täidavad väikesed ja keskmise suurusega ettevõtjad, nagu on määratletud komisjoni soovituse 2003/361/EÜ (31) lisas, kelle asjaomased liikmesriigid on identifitseerinud elutähtsa teenuse osutajatena. |
Pärast konsulteerimist, mis on praktikas teostataval määral avatud asjaomastele sidusrühmadele, ajakohastavad liikmesriigid oma strateegiat vähemalt iga nelja aasta järel.
3. Liikmesriigid edastavad oma riiklikud strateegiad ja strateegiate olulised ajakohastused komisjonile kolme kuu jooksul alates nende vastuvõtmisest.
Artikkel 5
Liikmesriikide tehtav riskianalüüs
1. Komisjonil on õigus võtta kooskõlas artikliga 23 vastu delegeeritud õigusakt hiljemalt 17. novembriks 2023, et täiendada käesolevat direktiivi, koostades lisas osutatud sektorites ja allsektorites esitatud elutähtsate teenuste mittetäieliku loetelu. Pädevad asutused kasutavad seda elutähtsate teenuste loetelu riskianalüüsi (edaspidi „liikmesriigi riskianalüüs“) tegemiseks hiljemalt 17. jaanuariks 2026 ning seejärel vastavalt vajadusele ja vähemalt iga nelja aasta järel. Pädevad asutused kasutavad liikmesriigi riskianalüüsi elutähtsate teenuste osutajate identifitseerimiseks kooskõlas artikliga 6 ja aitavad neil võtta artikli 13 kohaseid meetmeid.
Liikmesriigi riskianalüüsis võetakse arvesse asjakohaseid looduslikke ja inimtegevusest tingitud riske, sealhulgas valdkonna- ja piiriüleseid riske, õnnetusi, looduskatastroofe, rahvatervisealaseid hädaolukordi, hübriidohte ja muid vaenulikest aktidest tingitud ohte, muu hulgas Euroopa Parlamendi ja nõukogu direktiivis (EL) 2017/541 (32) sätestatud terroriakte.
2. Liikmesriigi riskianalüüsi tegemisel võtavad liikmesriigid arvesse vähemalt järgmist:
|
a) |
otsuse nr 1313/2013/EL artikli 6 lõike 1 alusel tehtud üldine riskihindamine; |
|
b) |
muud asjakohased riskianalüüsid, mis on tehtud kooskõlas asjaomaste valdkondlike liidu õigusaktide, sealhulgas Euroopa Parlamendi ja nõukogu määruste (EL) 2017/1938 (33) ja (EL) 2019/941 (34) ning Euroopa Parlamendi ja nõukogu direktiivide 2007/60/EÜ (35) ja 2012/18/EL (36) nõuetega; |
|
c) |
asjakohased riskid, mis tulenevad lisas esitatud sektorite ristsõltuvuse ulatusest, sealhulgas sõltuvuse ulatusest muudes liikmesriikides ja kolmandates riikides asuvatest üksustest, ning ühes sektoris esineva olulise häire võimalikust mõjust teistele sektoritele, sealhulgas kõik märkimisväärsed riskid kodanikele ja siseturule; |
|
d) |
kogu teave intsidentide kohta, millest on teatatud kooskõlas artikliga 15. |
Esimese lõigu punkti c kohaldamisel teevad liikmesriigid asjakohasel juhul koostööd muude liikmesriikide pädevate asutustega ja kolmandate riikide pädevate asutustega.
3. Liikmesriigid teevad liikmesriigi riskianalüüside asjakohased elemendid – asjakohasel juhul oma ühtse kontaktpunkti kaudu – kättesaadavaks elutähtsa teenuse osutajatele, kelle nad on kooskõlas artikliga 6 identifitseerinud. Liikmesriigid tagavad, et elutähtsa teenuse osutajatele esitatav teave aitab neil teha artikli 12 kohase riskianalüüsi ja võtta artikli 13 alusel meetmed oma toimepidevuse tagamiseks.
4. Iga liikmesriik esitab komisjonile kolm kuud pärast liikmesriigi riskianalüüsi tegemist asjakohase teabe kindlakstehtud riskide liikide ja liikmesriigi riskianalüüsi tulemuste kohta lisas osutatud sektorite ja allsektorite kaupa.
5. Komisjon koostab koostöös liikmesriikidega lõike 4 nõuete täitmiseks ühise vabatahtliku aruandevormi.
Artikkel 6
Elutähtsa teenuse osutajate identifitseerimine
1. Hiljemalt 17. juuliks 2026 identifitseerib iga liikmesriik elutähtsa teenuse osutajad lisas esitatud sektorites ja allsektorites.
2. Lõike 1 kohasel elutähtsa teenuse osutajate identifitseerimisel võtab liikmesriik arvesse oma liikmesriigi riskianalüüsi tulemusi ja strateegiat ning kohaldab kõiki järgmisi kriteeriume:
|
a) |
teenuseosutaja osutab üht või mitut elutähtsat teenust; |
|
b) |
teenuseosutaja tegutseb ja tema elutähtis taristu asub sama liikmesriigi territooriumil ning |
|
c) |
intsidendil oleks oluline häiriv mõju, nagu on kindlaks määratud kooskõlas artikli 7 lõikega 1, ühe või mitme kõnealuse elutähtsa teenuse osutamisele või muude elutähtsate teenuste osutamisele lisas esitatud sektorites, mis nendest elutähtsatest teenustest sõltuvad. |
3. Iga liikmesriik koostab identifitseeritud elutähtsa teenuse osutajate loetelu vastavalt lõikele 2 ja tagab, et nendele elutähtsa teenuse osutajatele teatatakse nende identifitseerimisest elutähtsa teenuse osutajatena ühe kuu jooksul alates identifitseerimisest. Liikmesriigid teavitavad kõnealuseid elutähtsa teenuse osutajaid nende III ja IV peatüki kohastest kohustustest ning kuupäevast, millest alates kõnealused kohustused nende suhtes kehtivad, ilma et see piiraks artikli 8 kohaldamist. Liikmesriigid teavitavad lisa tabeli punktides 3, 4 ja 8 esitatud sektorites elutähtsa teenuse osutajaid sellest, et neil ei ole III ja IV peatüki kohaseid kohustusi, kui liikmesriigi õigusnormides ei ole ette nähtud teisiti.
Asjaomaste elutähtsa teenuse osutajate suhtes kohaldatakse III peatükki alates kümne kuu möödumisest käesoleva lõike esimeses lõigus osutatud teavitamise kuupäevast.
4. Liikmesriigid tagavad, et nende käesoleva direktiivi kohased pädevad asutused teavitavad direktiivi (EL) 2022/2555 kohaseid pädevaid asutusi käesoleva artikli alusel identifitseeritud elutähtsa teenuse osutajatest ühe kuu jooksul alates nende identifitseerimisest. Kui see on kohaldatav, täpsustatakse teavitamisel, et asjaomased elutähtsa teenuse osutajad on teenuseosutajad käesoleva direktiivi lisa tabeli punktides 3, 4 ja 8 esitatud sektorites ning neil ei ole selle direktiivi III ja IV peatüki kohaseid kohustusi.
5. Vajaduse korral ja igal juhul vähemalt iga nelja aasta järel vaatavad liikmesriigid lõikes 3 osutatud identifitseeritud elutähtsa teenuse osutajate loetelu läbi ja ajakohastavad seda, kui see on asjakohane. Kui sellise ajakohastamise tulemusel identifitseeritakse täiendavaid elutähtsa teenuse osutajaid, kohaldatakse lõikeid 3 ja 4 nende täiendavatele elutähtsate teenuste osutajate suhtes. Lisaks tagavad liikmesriigid, et teenuseosutajatele, keda sellise ajakohastamise tulemusel enam ei identifitseerita elutähtsa teenuse osutajatena, teatatakse õigeaegselt sellest asjaolust ja asjaolust, et alates asjaomase teate kättesaamise kuupäevast III peatüki kohased kohustused nende suhtes enam ei kehti.
6. Komisjon töötab koostöös liikmesriikidega välja soovitused ja mittesiduvad suunised, et toetada liikmesriike elutähtsa teenuse osutajate identifitseerimisel.
Artikkel 7
Oluline häiriv mõju
1. Artikli 6 lõike 2 punktis c osutatud häiriva mõju olulisuse kindlakstegemisel võtavad liikmesriigid arvesse järgmisi kriteeriume:
|
a) |
asjaomase teenuseosutaja osutatavast elutähtsast teenusest sõltuvate kasutajate arv; |
|
b) |
muude lisas esitatud sektorite ja allsektorite sõltuvuse ulatus kõnealusest elutähtsast teenusest; |
|
c) |
intsidentide võimalik mõju (raskusaste ja kestus) majandus- ja ühiskondlikule tegevusele, keskkonnale, avalikule ohutusele ja julgeolekule ning elanikkonna tervisele; |
|
d) |
teenuseosutaja turuosa asjaomase elutähtsa teenuse või asjaomaste elutähtsate teenuste turul; |
|
e) |
geograafiline piirkond, mida intsident võib mõjutada, sealhulgas mis tahes piiriülene mõju, võttes arvesse teatavat liiki geograafiliste piirkondade, näiteks saarte, äärealade või mägipiirkondade eraldatuse astmega seotud haavatavust; |
|
f) |
teenuseosutaja tähtsus elutähtsa teenuse piisava taseme säilitamisel, võttes arvesse alternatiivide olemasolu kõnealuse elutähtsa teenuse osutamiseks. |
2. Pärast artikli 6 lõike 1 kohast elutähtsa teenuse osutajate identifitseerimist esitab iga liikmesriik komisjonile põhjendamatu viivituseta järgmise teabe:
|
a) |
elutähtsate teenuste loetelu asjaomases liikmesriigis, kui on kättesaadavad mis tahes lisateenused võrreldes artikli 5 lõikes 1 osutatud elutähtsate teenuste loeteluga; |
|
b) |
igas lisas esitatud sektoris ja allsektoris identifitseeritud elutähtsa teenuse osutajate arv iga elutähtsa teenuse kohta; |
|
c) |
võimalikud lävendid, mida kohaldatakse ühe või mitme lõikes 1 esitatud kriteeriumi täpsustamiseks. |
Esimese lõigu punktis c osutatud lävendeid saab esitada kas sellisena või koondkujul.
Liikmesriigid esitavad seejärel esimeses lõigus osutatud teabe vastavalt vajadusele ja vähemalt iga nelja aasta järel.
3. Pärast artiklis 19 osutatud elutähtsa teenuse osutajate toimepidevuse töörühmaga konsulteerimist võtab komisjon vastu mittesiduvad suuniseid, et hõlbustada käesoleva artikli lõikes 1 osutatud kriteeriumide kohaldamist, võttes arvesse käesoleva artikli lõikes 2 osutatud teavet.
Artikkel 8
Elutähtsa teenuse osutajad panganduse, finantsturutaristu ja digitaristu sektoris
Liikmesriigid tagavad, et artiklit 11 ning III, IV ja VI peatükki ei kohaldata elutähtsa teenuse osutajate suhtes, kelle nad on identifitseerinud lisa tabeli punktides 3, 4 ja 8 esitatud sektorites. Liikmesriigid võivad vastu võtta või säilitada liikmesriigi õigusnormid, millega saavutada kõnealuste elutähtsa teenuse osutajate toimepidevuse kõrgem tase, tingimusel et need õigusnormid on kooskõlas kohaldatavate liidu õigusenormidega.
Artikkel 9
Pädevad asutused ja ühtne kontaktpunkt
1. Iga liikmesriik määrab või loob ühe või mitu pädevat asutust, kes vastutavad käesolevas direktiivis sätestatud normide nõuetekohase kohaldamise ja vajaduse korral nende jõustamise eest riigi tasandil.
Käesoleva direktiivi lisatabeli punktides 3 ja 4 esitatud sektorites elutähtsa teenuse osutajate puhul on pädevad asutused põhimõtteliselt määruse (EL) 2022/2554 artiklis 46 osutatud pädevad asutused. Käesoleva direktiivi lisa tabeli punktis 8 esitatud sektori elutähtsa teenuse osutajate puhul on pädevad asutused põhimõtteliselt direktiivi (EL) 2022/2555 kohased pädevad asutused. Liikmesriigid võivad määrata käesoleva direktiivi lisa tabeli punktides 3, 4 ja 8 esitatud sektorites mõne muu pädeva riikliku asutuse kooskõlas kehtivate riiklike raamistikega.
Kui liikmesriigid määravad või loovad rohkem kui ühe pädeva asutuse, kehtestavad nad selgelt iga asjaomase asutuse ülesanded ja tagavad, et need asutused teevad käesoleva direktiivi kohaste ülesannete täitmisel tõhusat koostööd, muu hulgas seoses lõikes 2 osutatud ühtse kontaktpunkti määramise ja tegevusega.
2. Iga liikmesriik määrab või loob ühe ühtse kontaktpunkti, kes täidab sidepidamisfunktsiooni, et tagada piiriülene koostöö teiste liikmesriikide ühtsete kontaktpunktidega ja artiklis 19 osutatud elutähtsa teenuse osutajate toimepidevuse töörühmaga (edaspidi „ühtne kontaktpunkt“). Asjakohasel juhul määrab liikmesriik oma ühtse kontaktpunkti pädeva asutuse juurde. Asjakohasel juhul võib liikmesriik ette näha, et tema ühtne kontaktpunkt peab sidet ka komisjoniga ja tagab koostöö kolmandate riikidega.
3. 17. juuliks 2028 ja seejärel iga kahe aasta järel esitavad ühtsed kontaktpunktid komisjonile ja artiklis 19 osutatud elutähtsa teenuse osutajate toimepidevuse töörühmale saadud teadete kohta kokkuvõtva aruande, mis hõlmab teavet teadete arvu, teatatud intsidentide laadi ja artikli 15 lõike 3 alusel võetud meetmete kohta.
Komisjon töötab koostöös elutähtsa teenuse osutajate toimepidevuse töörühmaga välja ühise aruandevormi. Pädevad asutused võivad vabatahtlikkuse alusel esimeses lõigus osutatud kokkuvõtvate aruannete esitamiseks kasutada nimetatud ühist aruandevormi.
4. Iga liikmesriik tagab, et pädeval asutusel ja ühtsel kontaktpunktil on volitused ning piisavad finants-, inim- ja tehnilised ressursid, et neile pandud ülesandeid tulemuslikult ja tõhusalt täita.
5. Iga liikmesriik tagab, et tema pädevad asutused konsulteerivad vajaduse korral ning kooskõlas liidu ja liikmesriigi õigusnormidega teiste asjakohaste riiklike asutustega, sealhulgas elanikkonnakaitse, õiguskaitse ja isikuandmete kaitse eest vastutavate asutustega, samuti elutähtsa teenuse osutajatega ja asjaomaste huvitatud isikutega.
6. Iga liikmesriik tagab, et tema käesoleva direktiivi kohased pädevad asutused teevad direktiivi (EL) 2022/2555 kohaste pädevate asutustega koostööd ja vahetavad nendega teavet küsimustes, mis puudutavad elutähtsa teenuse osutajaid mõjutavaid küberturvalisuse riske, küberohte ja -intsidente ning muid kui küberriske, -ohte ja -intsidente, sealhulgas seoses asjakohaste meetmetega, mille on võtnud tema direktiivi (EL) 2022/2555 kohased pädevad asutused.
7. Kolme kuu jooksul alates pädeva asutuse ja ühtse kontaktpunkti määramisest teatab iga liikmesriik komisjonile nende andmed ja käesoleva direktiivi kohased ülesanded ja kohustused, nende kontaktandmed ja selliste andmete hilisemad muudatused. Liikmesriigid teavitavad komisjoni, kui nad on otsustanud määrata lisa tabeli punktides 3, 4 ja 8 esitatud sektorites elutähtsa teenuse osutajate puhul määratavaks pädevateks asutusteks muu kui lõike 1 teises lõigus osutatud pädeva asutuse. Iga liikmesriik avalikustab määratud pädeva asutuse ja ühtse kontaktpunkti andmed.
8. Komisjon teeb ühtsete kontaktpunktide loetelu üldsusele kättesaadavaks.
Artikkel 10
Liikmesriikide toetus elutähtsa teenuse osutajatele
1. Liikmesriigid toetavad elutähtsa teenuse osutajaid nende toimepidevuse suurendamisel. Kõnealune toetus võib hõlmata juhendmaterjalide ja metoodikate koostamist, elutähtsa teenuse osutajate toimepidevuse testimiseks õppuste korraldamise toetamist ning nende töötajatele nõustamise ja koolituse pakkumist. Ilma et see piiraks riigiabi eeskirjade kohaldamist võivad liikmesriigid anda elutähtsa teenuse osutajatele rahalisi vahendeid, kui see on vajalik ja põhjendatud avaliku huvi eesmärkidega.
2. Iga liikmesriik tagab, et tema pädevad asutused teevad lisas esitatud sektorite elutähtsa teenuse osutajatega koostööd ning jagavad nendega teavet ja häid tavasid.
3. Liikmesriigid hõlbustavad käesoleva direktiiviga hõlmatud küsimustes elutähtsa teenuse osutajate vahelist vabatahtlikku teabe jagamist, eelkõige kooskõlas salastatud ja tundliku teabe, konkurentsi ja isikuandmete kaitse valdkonda käsitlevate liidu ja liikmesriikide õigusnormidega.
Artikkel 11
Liikmesriikide koostöö
1. Asjakohasel juhul konsulteerivad liikmesriigid käesoleva direktiivi järjepideva kohaldamise huvides üksteisega elutähtsa teenuse osutajate teemal. Sellised konsultatsioonid toimuvad eelkõige seoses elutähtsa teenuse osutajatega, kes:
|
a) |
kasutavad kahe või enama liikmesriigi vahel füüsiliselt ühendatud elutähtsat taristut; |
|
b) |
on osa ettevõttestruktuurist, mis on seotud teistes liikmesriikides asuvate elutähtsa teenuse osutajatega; |
|
c) |
on ühes liikmesriigis identifitseeritud elutähtsa teenuse osutajana ja kes osutavad elutähtsaid teenuseid teistele liikmesriikidele või teistes liikmesriikides. |
2. Lõikes 1 osutatud konsultatsioonide eesmärk on suurendada elutähtsa teenuse osutajate toimepidevust ja võimaluse korral vähendada nende halduskoormust.
III PEATÜKK
ELUTÄHTSA TEENUSE OSUTAJATE TOIMEPIDEVUS
Artikkel 12
Elutähtsa teenuse osutajate tehtav riskianalüüs
1. Vaatamata artikli 6 lõike 3 teises lõigus sätestatud tähtpäevale tagavad liikmesriigid, et elutähtsa teenuse osutajad viivad läbi riskianalüüsi üheksa kuu jooksul pärast artikli 6 lõikes 3 osutatud teate saamist ning seejärel vastavalt vajadusele ja vähemalt iga nelja aasta järel liikmesriigi riskianalüüside ja muude asjakohaste teabeallikate põhjal kõiki asjaomaseid riske, mis võivad nendepoolset asjaomaste elutähtsate teenuste osutamist häirida (edaspidi „elutähtsa teenuse osutaja riskianalüüs“).
2. Elutähtsa teenuse osutaja riskianalüüsides võetakse arvesse kõiki looduslikke ja inimtegevusest tingitud riske, mille realiseerumine võib põhjustada intsidendi, sealhulgas sektori- ja piiriüleseid riske, õnnetusi, looduskatastroofe, rahvatervise hädaolukordi ja hübriidohte või muid vaenulikest aktidest tingitud ohte, sealhulgas direktiivis (EL) 2017/541 sätestatud terroriohte. Elutähtsa teenuse osutaja riskianalüüsis võetakse arvesse lisas esitatud muude sektorite ristsõltuvuse ulatust ja nende sõltuvuse ulatust elutähtsast teenusest, mida osutab selle elutähtsa teenuse osutaja ja selle elutähtsa teenuse osutaja sõltuvuse ulatust muude selle sektori teenuseosutajate pakutavatest elutähtsatest teenustest, sealhulgas asjakohasel juhul naaberliikmesriikides ja kolmandates riikides.
Kui elutähtsa teenuse osutaja on teinud riskianalüüse või koostanud dokumente vastavalt muudes õigusaktides sätestatud kohustustele, mis on elutähtsa teenuse osutaja riskianalüüsi jaoks asjakohased, võib ta neid analüüse ja dokumente kasutada käesolevas artiklis sätestatud nõuete täitmiseks. Oma järelevalveülesannete täitmisel võib pädev asutus tunnistada elutähtsa teenuse osutaja läbiviidud olemasoleva riskianalüüsi, milles käsitletakse käesoleva lõike esimeses lõigus osutatud riske ja sõltuvuse ulatust, käesolevast artiklist tulenevatele kohustustele osaliselt või täielikult vastavaks.
Artikkel 13
Elutähtsa teenuse osutaja toimepidevusmeetmed
1. Liikmesriigid tagavad, et elutähtsa teenuse osutajad võtavad liikmesriikide esitatud asjaomase teabe alusel, mis käsitleb riiklikku riskianalüüsi ja elutähtsa teenuse osutaja riskianalüüsi tulemusi, oma toimepidevuse tagamiseks asjakohased ja proportsionaalsed tehnilised, turva- ja korralduslikud meetmed, sealhulgas meetmed, mis on vajalikud selleks, et:
|
a) |
ennetada intsidente, kaaludes nõuetekohaselt katastroofiohu vähendamise ja kliimamuutustega kohanemise meetmeid; |
|
b) |
tagada nende rajatiste ja elutähtsa taristu piisav füüsiline kaitse, kaaludes nõuetekohaselt selliseid näiteks tarade ehitamist, tõkete püstitamist, e ja -rutiine, samuti tuvastamisseadmeid ja juurdepääsukontrolle; |
|
c) |
reageerida ja panna vastu intsidentidele ja leevendada nende tagajärgi, kaaludes nõuetekohaselt riski- ja kriisiohje menetluste ja protokollide ja hoiatusrutiinide rakendamist; |
|
d) |
taastuda intsidentidest, kaaludes nõuetekohaselt toimepidevusmeetmeid ja alternatiivsete tarneahelate kindlakstegemist, et jätkata elutähtsa teenuse osutamist; |
|
e) |
tagada töötajate turvalisuse piisav haldamine, kaaludes nõuetekohaselt selliseid meetmeid nagu elutähtsaid ülesandeid täitvate töötajate kategooriate määramine, rajatistele, elutähtsale taristule ja tundlikule teabele juurdepääsu õiguste kehtestamine, taustakontrolli menetluste kehtestamine kooskõlas artikliga 14 ning selliste isikute kategooriate määramine, kellelt nõutakse sellise taustakontrolli läbimist, ning asjakohaste koolitusnõuete ja kvalifikatsioonide kehtestamine; |
|
f) |
suurendada asjaomaste töötajate teadlikkust punktides a–e osutatud meetmetest, kaaludes nõuetekohaselt koolituskursusi, teabematerjale ja õppusi. |
Esimese lõigu punkti e kohaldamisel tagavad liikmesriigid, et elutähtsate teenuste osutajad võtavad elutähtsaid ülesandeid täitvate töötajate kategooriate määramisel arvesse väliste teenuseosutajate töötajaid.
2. Liikmesriigid tagavad, et elutähtsa teenuse osutajad on koostanud toimepidevusplaan või samaväärse(d) dokumendi(d), milles kirjeldatakse lõike 1 kohaseid meetmeid, ja et nad seda kava või neid dokumente järgivad. Kui elutähtsa teenuse osutajad on koostanud dokumente või võtnud meetmeid vastavalt muudes õigusaktides sätestatud kohustustele, mis on lõikes 1 osutatud meetmete jaoks asjakohased, võivad nad neid dokumente ja meetmeid kasutada käesolevas artiklis sätestatud nõuete täitmiseks. Oma järelevalveülesannete täitmisel võib pädev asutus tunnistada elutähtsa teenuse osutaja olemasolevad toimepidevuse suurendamise meetmed, millega asjakohasel ja proportsionaalsel viisil käsitletakse lõikes 1 osutatud tehnilisi, turva- ja korralduslikke meetmeid, käesolevast artiklist tulenevatele kohustustele osaliselt või täielikult vastavaks.
3. Liikmesriigid tagavad, et iga elutähtsa teenuse osutaja määrab kontaktametniku või samaväärse isiku kontaktisikuks suhtlemiseks pädevate asutustega.
4. Elutähtsa teenuse osutaja identifitseerinud liikmesriigi taotlusel ja asjaomase teenuseosutaja nõusolekul korraldab komisjon kooskõlas artikli 18 lõigetes 6, 8 ja 9 kehtestatud korraga nõuandemissioone, et nõustada asjaomast elutähtsa teenuse osutajat tema III peatüki kohaste kohustuste täitmisel. Nõuandemissiooni tulemustest teavitatakse komisjoni, asjaomast liikmesriiki ja elutähtsa teenuse osutajat.
5. Komisjon võtab pärast artiklis 19 osutatud elutähtsa teenuse osutajate toimepidevuse töörühmaga konsulteerimist vastu mittesiduvad suunised, et täpsustada tehnilisi, turva- ja korralduslikke meetmeid, mida võib võtta käesoleva artikli lõike 1 kohaselt.
6. Komisjon võtab vastu rakendusaktid, et kehtestada vajalikud tehnilised ja metoodilised spetsifikatsioonid käesoleva artikli lõikes 1 osutatud meetmete kohaldamise kohta. Need rakendusaktid võetakse vastu kooskõlas artikli 24 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 14
Taustakontrollid
1. Liikmesriigid täpsustavad tingimused, mille alusel on elutähtsa teenuse osutajatel lubatud nõuetekohaselt põhjendatud juhtudel ja liikmesriigi riskianalüüsi arvesse võttes esitada taotlusi nende töötajate taustakontrolliks:
|
a) |
kes täidavad elutähtsa teenuse osutaja juures või tema jaoks tundlikke ülesandeid, eelkõige seoses elutähtsa teenuse osutaja toimepidevusega; |
|
b) |
kellel on õigus saada otsene või kaudne juurdepääs elutähtsa teenuse osutaja rajatistele, teabele või kontrollisüsteemidele, sealhulgas seoses elutähtsa teenuse osutaja turvalisusega; |
|
c) |
kelle puhul kaalutakse töölevõtmist punktides a või b sätestatud kriteeriumitele vastavatele ametikohtadele. |
2. Käesoleva artikli lõikes 1 osutatud taotlusi hinnatakse mõistliku aja jooksul ning menetletakse kooskõlas liikmesriigi õigus- ja menetlusnormidega ning asjakohaste ja kohaldatavate liidu õigusenormidega, sealhulgas määrusega (EL) 2016/679 ning Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2016/680 (37). Sellised taustakontrollid peavad olema proportsionaalsed ja rangelt piirduma vajalikuga. Neid tehakse üksnes selleks, et hinnata võimalikku julgeolekuriski asjaomasele elutähtsa teenuse osutajale.
3. Lõikes 1 osutatud taustakontroll peab vähemalt:
|
a) |
kinnitama taustakontrolli objektiks oleva isiku isikusamasust; |
|
b) |
kontrollima kõnealuse isiku karistusregistri andmeid seoses süütegudega, mis võiksid olla konkreetse ametikoha seisukohast olulised. |
Taustakontrolli läbi viies kasutavad liikmesriigid Euroopa karistusregistrite infosüsteemi kooskõlas menetlustega, mis on sätestatud raamotsuses 2009/315/JSK ning, kui see on asjakohane ja kohaldatav, määruses (EL) 2019/816, selleks, et saada teistelt teavet teiste liikmesriikide hallatavate karistusregistriandmete kohta. Raamotsuse 2009/315/JSK artiklis 3 lõikes 1 ja määruse (EL) 2019/816 artikli 3 esimese lõigu punktis 5 osutatud keskasutused vastavad sellistele teabepäringutele kümne tööpäeva jooksul alates päringu saamise kuupäevast kooskõlas raamotsuse 2009/315/JSK artikli 8 lõikega 1.
Artikkel 15
Intsidentidest teatamine
1. Liikmesriigid tagavad, et elutähtsa teenuse osutajad teavitavad pädevat asutust põhjendamatu viivituseta intsidentidest, mis oluliselt häirivad või võivad oluliselt häirida elutähtsate teenuste osutamist. Liikmesriigid tagavad, et välja arvatud juhul, kui see ei ole operatiivselt võimalik, esitavad elutähtsa teenuse osutajad esmase teate 24 tunni jooksul pärast seda, kui nad intsidendist teada said, millele vajaduse korral järgneb üksikasjalik aruanne hiljemalt ühe kuu jooksul. Häire olulisuse kindlakstegemiseks võetakse arvesse eelkõige järgmisi parameetreid:
|
a) |
häirest mõjutatud kasutajate arv ja osakaal; |
|
b) |
häire kestus; |
|
c) |
häirest mõjutatud geograafiline piirkond, võttes arvesse ka seda, kas piirkond on geograafiliselt eraldatud. |
Kui intsidendil on või võib olla oluline mõju elutähtsate teenuste osutamise jätkamisele kuues või enamas liikmesriigis, teavitavad intsidendist mõjutatud liikmesriikide pädevad asutused sellest intsidendist komisjoni.
2. Lõike 1 esimeses lõigus osutatud teated sisaldavad kogu kättesaadavat teavet, mis on vajalik selleks, et pädev asutus saaks aru intsidendi olemusest, põhjustest ja võimalikest tagajärgedest, muu hulgas kogu kättesaadavat teavet, mis võimaldab teha kindlaks intsidendi võimaliku piiriülene mõju. Selline teatamine ei suurenda elutähtsa teenuse osutajate vastutust.
3. Elutähtsa teenuse osutaja lõikes 1 osutatud teates esitatud teabe põhjal teavitab asjaomane pädev asutus oma ühtse kontaktpunkti kaudu teiste mõjutatud liikmesriikide ühtseid kontaktpunkte, kui intsidendil on või võib olla oluline mõju elutähtsa teenuse osutajatele ja elutähtsate teenuste osutamise jätkamisele ühes või mitmes muus liikmesriigis.
Esimese lõigu kohaselt teavet saates ja vastu võttes peab ühtne kontaktpunkt vastavalt liidu või liikmesriigi õigusnormidele käsitlema teavet viisil, milles võetakse arvesse selle konfidentsiaalsust ning kaitstakse asjaomase elutähtsa teenuse osutaja turvalisust ja ärihuve.
4. Asjaomane pädev asutus esitab elutähtsa teenuse osutajale võimalikult kiiresti pärast lõike 1 kohast teavitamist täiendava teabe, sealhulgas teabe, mis võib aidata elutähtsa teenuse osutajal kõnealusele intsidendile tulemuslikult reageerida. Liikmesriigid teavitavad üldsust, kui nad leiavad, et see on avalikes huvides.
Artikkel 16
Standardid
Selleks et edendada käesoleva direktiivi ühtset rakendamist, toetavad liikmesriigid – kui see on kasulik ja ilma et nad seejuures nõuaksid või soosiksid konkreetset tüüpi tehnoloogia kasutamist – elutähtsa teenuse osutajate suhtes kohaldatavaid turva- ja toimepidevusmeetmeid käsitlevate Euroopa ja rahvusvaheliste standardite ja tehniliste spetsifikatsioonide kasutamist.
IV PEATÜKK
ÜLEEUROOPALISELT OLULISED ELUTÄHTSA TEENUSE OSUTAJAD
Artikkel 17
Üleeuroopaliselt oluliste elutähtsa teenuse osutajate identifitseerimine
1. Teenuseosutajat käsitatakse üleeuroopaliselt olulise elutähtsa teenuse osutajana juhul, kui:
|
a) |
ta on artikli 6 lõike 1 kohaselt identifitseeritud elutähtsa teenuse osutajana, |
|
b) |
ta osutab samu või sarnaseid elutähtsaid teenuseid kuuele või enamale liikmesriigile või kuues või enamas liikmesriigis ning |
|
c) |
teda on käesoleva artikli lõike 3 kohaselt teavitatud. |
2. Liikmesriigid tagavad, et elutähtsa teenuse osutaja esitab pärast artikli 6 lõikes 3 osutatud teavitamist pädevale asutusele asjaomase teabe, kui ta osutab elutähtsaid teenuseid kuuele või enamale liikmesriigile või kuues või enamas liikmesriigis. Sellisel juhul tagavad liikmesriigid, et elutähtsa teenuse osutaja teavitab oma pädevat asutust sellest, milliseid elutähtsaid teenuseid ta nendele või nendes liikmesriikides osutab ning nendest liikmesriikidest kellele või kus ta selliseid elutähtsaid teenuseid osutab. Liikmesriigid edastavad komisjonile põhjendamatu viivituseta kõnealuste elutähtsa teenuse osutajate nimed ja nende poolt käesoleva lõike alusel esitatud teabe.
Komisjon konsulteerib esimeses lõigus osutatud elutähtsa teenuse osutaja identifitseerinud liikmesriigi ja teiste asjaomaste liikmesriikide pädevate asutustega ning kõnealuse elutähtsa teenuse osutajaga. Nende konsultatsioonide käigus teavitab iga liikmesriik komisjoni, kui ta leiab, et elutähtsa teenuse osutaja poolt kõnealusele liikmesriigile osutatavad teenused on elutähtsad teenused.
3. Kui komisjon teeb käesoleva artikli lõikes 2 osutatud konsultatsioonide põhjal kindlaks, et asjaomane elutähtsa teenuse osutaja osutab elutähtsaid teenuseid kuuele või enamale liikmesriigile või kuues või enamas liikmesriigis, teatab komisjon elutähtsa teenuse osutajale tema pädeva asutuse kaudu, et teda käsitatakse üleeuroopaliselt olulise elutähtsa teenuse osutajana, teavitades teda tema käesolevast peatükist tulenevatest kohustustest ja kuupäevast, alates millest need kohustused tema suhtes kehtivad. Kui komisjon on pädevat asutust teavitanud oma otsusest käsitada teenuseosutajat üleeuroopaliselt olulise elutähtsa teenuse osutajana, edastab pädev asutus teate põhjendamatu viivituseta nimetatud teenuseosutajale.
4. Käesolevat peatükki kohaldatakse asjaomase üleeuroopaliselt olulise elutähtsa teenuse osutaja suhtes alates käesoleva artikli lõikes 3 osutatud teate kättesaamise kuupäevast.
Artikkel 18
Nõuandemissioonid
1. Liikmesriigi taotlusel, kes on vastavalt artikli 6 lõikele 1 identifitseerinud üleeuroopaliselt olulise elutähtsa teenuse osutaja elutähtsa teenuse osutajana, võib paluda komisjonil korraldada nõuandemissiooni, et hinnata meetmeid, mille see teenuseosutaja on oma III peatüki kohaste kohustuste täitmiseks kehtestanud.
2. Komisjon korraldab lõikes 1 osutatud nõuandemissiooni omal algatusel või ühe või mitme liikmesriigi taotlusel, kellele või kus elutähtsat teenust osutatakse, ning juhul kui sellega nõustub liikmesriik, kes on vastavalt artikli 6 lõikele 1 identifitseerinud üleeuroopaliselt olulise elutähtsa teenuse osutaja elutähtsa teenuse osutajana.
3. Komisjoni või ühe või mitme liikmesriigi, kellele või kus elutähtsat teenust osutatakse, põhjendatud taotlusel esitab liikmesriik, kes on vastavalt artikli 6 lõikele 1 identifitseerinud üleeuroopaliselt olulise elutähtsa teenuse osutaja elutähtsa teenuse osutajana, komisjonile järgmise teabe:
|
a) |
elutähtsa teenuse osutaja riskianalüüsi asjaomased osad; |
|
b) |
kooskõlas artikliga 13 võetud asjaomaste meetmete loetelu; |
|
c) |
järelevalve- või nõuetele vastavuse tagamise meetmed, sealhulgas tema pädeva asutuse poolt artiklite 21 ja 22 kohaselt asjaomase elutähtsa teenuse osutaja suhtes läbi viidud nõuete täitmise hindamised või antud korraldused. |
4. Aruanne nõuandemissiooni järelduste kohta esitatakse komisjonile, liikmesriigile, kes on vastavalt artikli 6 lõikele 1 identifitseerinud üleeuroopaliselt olulise elutähtsa teenuse osutaja elutähtsa teenuse osutajana, liikmesriikidele, kellele või kus elutähtsat teenust osutatakse, ja asjaomasele elutähtsa teenuse osutajale kolme kuu jooksul pärast nõuandemissiooni lõpuleviimist.
Liikmesriigid, kellele või kus elutähtsat teenust osutatakse, analüüsivad esimeses lõigus osutatud aruannet ja annavad komisjonile vajaduse korral nõu selle kohta, kas asjaomane üleeuroopaliselt oluline elutähtsa teenuse osutaja täidab III peatüki kohaseid kohustusi, ja kui see on asjakohane, siis selle kohta, mis meetmeid saaks tema toimepidevuse parandamiseks võtta.
Käesoleva lõike teises lõigus osutatud nõuannete põhjal esitab komisjon liikmesriigile, kes on vastavalt artikli 6 lõikele 1 identifitseerinud üleeuroopaliselt olulise elutähtsa teenuse osutaja elutähtsa teenuse osutajana, liikmesriikidele, kellele või kus elutähtsat teenust osutatakse, ja asjaomasele elutähtsa teenuse osutajale oma arvamuse selle kohta, kas see elutähtsa teenuse osutaja täidab III peatüki kohaseid kohustusi, ja kui see on asjakohane, siis selle kohta, mis meetmeid saaks tema toimepidevuse parandamiseks võtta.
Liikmesriik, kes on vastavalt artikli 6 lõikele 1 identifitseerinud üleeuroopaliselt olulise elutähtsa teenuse osutaja elutähtsa teenuse osutajana tagab, et tema pädev asutus ja asjaomane elutähtsa teenuse osutaja võtavad käesoleva lõike kolmandas lõigus osutatud arvamust hoolikalt arvesse, ning esitab komisjonile ja liikmesriikidele, kellele või kus elutähtsat teenust osutatakse, teabe meetmete kohta, mida ta on selle arvamuse põhjal võtnud.
5. Igas nõuandemissioonis osalevad eksperdid üleeuroopaliselt olulise elutähtsa teenuse osutaja asukohaliikmesriigist ja eksperdid liikmesriikidest, kellele või kus elutähtsat teenust osutatakse, ning komisjoni esindajad. Asjaomased liikmesriigid võivad pakkuda välja kandidaate nõuandemissioonil osalemiseks. Pärast konsulteerimist liikmesriigiga, kes on vastavalt artikli 6 lõikele 1 identifitseerinud üleeuroopaliselt olulise elutähtsa teenuse osutaja elutähtsa teenuse osutajana, valib ja nimetab komisjon iga nõuandemissiooni liikmed vastavalt nende ametialasele pädevusele ning tagades võimaluse korral kõigi nende liikmesriikide geograafiliselt tasakaalustatud esindatuse. Vajaduse korral peab nõuandemissiooni liikmetel olema kehtiv ja asjakohane juurdepääsuluba. Nõuandemissioonil osalemisega seotud kulud katab komisjon.
Komisjon koostab iga nõuandemissiooni programmi, konsulteerides konkreetse nõuandemissiooni liikmetega ja kokkuleppel liikmesriigiga, kes on vastavalt artikli 6 lõikele 1 identifitseerinud üleeuroopaliselt olulise elutähtsa teenuse osutaja elutähtsa teenuse osutajana.
6. Komisjon võtab vastu rakendusakti, millega kehtestatakse õigusnormid nõuandemissiooni korraldamise taotluste ja nende menetlemise, nõuandemissioonide korraldamise ja aruannete esitamise ning käesoleva artikli lõike 4 kolmandas lõigus osutatud komisjoni arvamust ja võetud meetmeid käsitleva teabe menetlemise korra kohta, võttes nõuetekohaselt arvesse asjaomase teabe konfidentsiaalsust ja tundlikkust äriteabena. Nimetatud rakendusakt võetakse vastu kooskõlas artikli 24 lõikes 2 osutatud kontrollimenetlusega.
7. Liikmesriigid tagavad, et üleeuroopaliselt olulise elutähtsa teenuse osutajad annavad nõuandemissioonile juurdepääsu asjaomase nõuandemissiooni läbiviimiseks vajalikule teabele, süsteemidele ja rajatistele, mis on seotud nende elutähtsate teenuste osutamisega.
8. Nõuandemissioonid toimuvad kooskõlas selles liikmesriigis kohaldatavate õigusnormidega, kus need läbi viiakse, võttes arvesse kõnealuse liikmesriigi vastutust riikliku julgeoleku ja oma julgeolekuhuvide kaitse eest.
9. Nõuandemissioonide korraldamisel võtab komisjon arvesse määruste (EÜ) nr 725/2004 ja (EÜ) nr 300/2008 alusel tehtud komisjoni poolt läbi viidud kontrollide aruandeid ning direktiivi 2005/65/EÜ alusel toimunud komisjoni poolt teostatud järelevalve aruandeid asjaomase elutähtsa teenuse osutaja kohta.
10. Komisjon teavitab artiklis 19 osutatud elutähtsa teenuse osutajate toimepidevuse töörühma nõuandemissiooni korraldamisest. Liikmesriik, kus nõuandemissioon toimus, ja komisjon teavitavad elutähtsa teenuse osutajate toimepidevuse töörühma ka nõuandemissiooni peamistest järeldustest ja saadud kogemustest, et edendada vastastikust õppimist.
V PEATÜKK
KOOSTÖÖ JA ARUANDLUS
Artikkel 19
Elutähtsa teenuse osutajate toimepidevuse töörühm
1. Käesolevaga asutatakse elutähtsa teenuse osutajate toimepidevuse töörühm. Elutähtsa teenuse osutajate toimepidevuse töörühm toetab komisjoni ning hõlbustab liikmesriikidevahelist koostööd ja teabevahetust käesoleva direktiiviga seotud küsimustes.
2. Elutähtsa teenuse osutajate toimepidevuse töörühm koosneb liikmesriikide ja komisjoni esindajatest, kellel on vajaduse korral juurdepääsuluba. Kui see on tema ülesannete täitmiseks asjakohane, võib elutähtsa teenuse osutajate toimepidevuse töörühm kutsuda oma töös osalema asjaomaseid sidusrühmi. Euroopa Parlamendi taotlusel võib komisjon kutsuda elutähtsa teenuse osutajate toimepidevuse töörühma koosolekutele Euroopa Parlamendi eksperte.
Elutähtsa teenuse osutajate toimepidevuse töörühma juhib komisjoni esindaja.
3. Elutähtsa teenuse osutajate toimepidevuse töörühmal on järgmised ülesanded:
|
a) |
toetada komisjoni liikmesriikide abistamisel, et suurendada nende suutlikkust panustada elutähtsa teenuse osutajate toimepidevuse tagamisse kooskõlas käesoleva direktiiviga; |
|
b) |
analüüsida strateegiaid, et teha kindlaks strateegiatega seotud parimad tavad; |
|
c) |
hõlbustada parimate tavade artikli 6 lõike 1 kohast vahetamist seoses liikmesriikidepoolse elutähtsa teenuse osutajate identifitseerimisega, sealhulgas selles osas, mis puudutab piiri- ja valdkonnaüleseid sõltuvussuhteid ning riske ja intsidente; |
|
d) |
asjakohasel juhul panustada käesoleva direktiiviga seotud küsimustes dokumentidesse, mis käsitlevad toimepidevust liidu tasandil; |
|
e) |
panustada artikli 7 lõikes 3 ja artikli 13 lõikes 5 osutatud suuniste ning taotluse korral käesoleva direktiivi kohaselt vastu võetavate delegeeritud või rakendusaktide koostamisse; |
|
f) |
analüüsida artikli 9 lõikes 3 osutatud kokkuvõtvaid aruandeid, et edendada parimate tavade jagamist artikli 15 lõike 3 kohaselt võetud meetmete kohta; |
|
g) |
vahetada parimaid tavasid seoses artiklis 15 osutatud intsidentidest teatamisega; |
|
h) |
arutada nõuandemissioonide kokkuvõtvaid aruandeid ja saadud kogemusi kooskõlas artikli 18 lõikega 10; |
|
i) |
vahetada kooskõlas käesoleva direktiiviga teavet ja parimaid tavasid elutähtsa teenuse osutajate toimepidevusega seotud innovatsiooni, teadus- ja arendustegevuse kohta; |
|
j) |
asjakohasel juhul vahetada elutähtsa teenuse osutajate toimepidevuse küsimustes teavet liidu asjaomaste institutsioonide, organite ja asutustega. |
4. Elutähtsa teenuse osutajate toimepidevuse töörühm koostab 17. jaanuariks 2025 ja seejärel iga kahe aasta järel eesmärkide ja ülesannete täitmiseks võetavate meetmete kohta tööprogrammi. Nimetatud tööprogramm peab olema kooskõlas käesoleva direktiivi nõuete ja eesmärkidega.
5. Elutähtsa teenuse osutajate toimepidevuse töörühm kohtub korrapäraselt ja igal juhul vähemalt üks kord aastas direktiivi (EL) 2022/2555 alusel loodud koostöörühmaga, et edendada ja hõlbustada nii koostööd kui ka teabevahetust.
6. Komisjon võib artikli 1 lõiget 4 järgides võtta vastu rakendusakte, milles kehtestatakse elutähtsa teenuse osutajate toimepidevuse töörühma toimimiseks vajalik menetluskord. Need rakendusaktid võetakse vastu kooskõlas artikli 24 lõikes 2 osutatud kontrollimenetlusega.
7. Komisjon esitab 17. jaanuariks 2027 ning seejärel vastavalt vajadusele ja vähemalt iga nelja aasta järel elutähtsa teenuse osutajate toimepidevuse töörühmale kokkuvõtliku aruande teabest, mille liikmesriigid on esitanud artikli 4 lõike 3 ja artikli 5 lõike 4 alusel.
Artikkel 20
Komisjoni toetus pädevatele asutustele ja elutähtsa teenuse osutajatele
1. Kui see on asjakohane, toetab komisjon liikmesriike ja elutähtsa teenuse osutajaid nende käesolevast direktiivist tulenevate kohustuste täitmisel. Komisjon koostab liidu tasandi ülevaate piiri- ja valdkonnaülestest riskidest elutähtsate teenuste osutamisel, korraldab artikli 13 lõikes 4 ja artiklis 18 osutatud nõuandemissioone ning hõlbustab liikmesriikide- ja ekspertidevahelist teabevahetust kogu liidus.
2. Komisjon täiendab artiklis 10 osutatud liikmesriikide meetmeid, töötades välja parimaid tavasid, juhendmaterjale ja metoodikaid ning korraldades piiriülest koolitustegevust ja elutähtsa teenuse osutajate toimepidevuse testimiseks ette nähtud õppusi.
3. Komisjon teavitab liikmesriike neile liidu tasandil elutähtsa teenuse osutajate toimepidevuse suurendamiseks kättesaadavatest rahalistest vahenditest.
VI PEATÜKK
JÄRELEVALVE JA NÕUETELE VASTAVUSE TAGAMINE
Artikkel 21
Järelevalve ja nõuetele vastavuse tagamine
1. Selle hindamiseks, kas liikmesriikide poolt artikli 6 lõike 1 kohaselt elutähtsa teenuse osutajatena identifitseeritud teenuseosutajad täidavad käesolevas direktiivis sätestatud kohustusi, tagavad liikmesriigid, et pädevatel asutustel on õigused ja vahendid teha järgmist:
|
a) |
teha elutähtsa teenuse osutajate poolt elutähtsate teenuste osutamiseks kasutatavate elutähtsate taristute ja rajatiste kohapealseid kontrolle ja elutähtsa teenuse osutajate artikli 13 kohaselt võetud meetmete kaugjärelevalvet; |
|
b) |
teha elutähtsate teenuseosutajate auditeid või nõuda nende tegemist. |
2. Liikmesriigid tagavad, et kui see on vajalik nende käesoleva direktiivi kohaste ülesannete täitmiseks, on pädevatel asutustel õigused ja vahendid nõuda, et direktiivi (EL) 2022/2555 kohased teenuseosutajad, kelle liikmesriigid on käesoleva direktiivi kohaselt identifitseerinud elutähtsa teenuse osutajatena, esitavad asjaomaste asutuste määratud mõistliku tähtaja jooksul:
|
a) |
teabe, mis on vajalik selle hindamiseks, kas kõnealuste teenuseosutajate võetud meetmed oma toimepidevuse tagamiseks vastavad artiklis 13 sätestatud nõuetele; |
|
b) |
tõendid nende meetmete tegeliku rakendamise kohta, sealhulgas asjaomase teenuseosutaja valitud sõltumatu ja kvalifitseeritud audiitori poolt ning kõnealuse teenuseosutaja kulul tehtud auditi tulemused. |
Kõnealust teavet taotledes esitavad pädevad asutused taotluse eesmärgi ja täpsustavad, millist teavet nõutakse.
3. Ilma et see piiraks võimalust määrata karistusi kooskõlas artikliga 22, võivad pädevad asutused käesoleva artikli lõikes 1 osutatud järelevalvemeetmete või käesoleva artikli lõikes 2 osutatud teabe hindamise põhjal anda asjaomastele elutähtsa teenuse osutajatele korralduse võtta vajalikke ja proportsionaalseid meetmeid kõikide käesoleva direktiivi kindlakstehtud rikkumiste kõrvaldamiseks asjaomaste asutuste määratud mõistliku tähtaja jooksul ning esitada nendele asutustele võetud meetmeid käsitleva teabe. Selliste korralduste puhul võetakse eelkõige arvesse rikkumise raskusastet.
4. Liikmesriigid tagavad, et lõigetega 1, 2 ja 3 ette nähtud õigusi saab teostada üksnes juhul, kui selle suhtes kohaldatakse nõuetekohaseid kaitsemeetmeid. Kõnealuste kaitsemeetmetega tagatakse eelkõige see, et selliseid õigusi teostatakse objektiivselt, läbipaistvalt ja proportsionaalselt ning et nõuetekohaselt on kaitstud mõjutatud elutähtsa teenuse osutajate õigused ja õigustatud huvid, nagu ärisaladuste kaitse, sealhulgas õigus olla ära kuulatud, kaitseõigus ja õigus tõhusale õiguskaitsevahendile sõltumatus kohtus.
5. Liikmesriigid tagavad, et kui käesoleva direktiivi kohane pädev asutus hindab kooskõlas käesoleva artikliga, kas elutähtsa teenuse osutaja täidab nõudeid, teavitab nimetatud pädev asutus asjaomaste liikmesriikide direktiivi (EL) 2022/2555 kohaseid pädevaid asutusi. Selleks tagab liikmesriik, et käesoleva direktiivi kohased pädevad asutused võivad taotleda direktiivi (EL) 2022/2555 kohastelt pädevatelt asutustelt oma järelevalve- ja nõuetele vastavuse tagamise volituste rakendamist seoses nimetatud direktiivi kohaldamisalasse kuuluva teenuse osutajaga, kes on käesoleva direktiivi alusel identifitseeritud elutähtsa teenuse osutajana. Selleks tagab liikmesriik, et käesoleva direktiivi kohased pädevad asutused teevad koostööd ja vahetavad direktiivi (EL) 2022/2555 kohaste pädevate asutustega teavet.
Artikkel 22
Karistused
Liikmesriigid kehtestavad karistusnormid, mida kohaldatakse käesoleva direktiivi alusel vastu võetud liikmesriigi meetmete rikkumise korral, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad. Liikmesriigid teavitavad komisjoni hiljemalt 17. oktoobriks 2024 nimetatud normidest ja meetmetest ning teavitavad teda viivitamata nende hilisematest muudatustest.
VII PEATÜKK
DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID
Artikkel 23
Delegeeritud volituste rakendamine
1. Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.
2. Artikli 5 lõikes 1 osutatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile viieks aastaks alates 16. jaanuarist 2023.
3. Euroopa Parlament või nõukogu võivad artikli 5 lõikes 1 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.
4. Enne delegeeritud õigusakti vastuvõtmist konsulteerib komisjon kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega iga liikmesriigi määratud ekspertidega.
5. Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.
6. Artikli 5 lõike 1 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja lõppemist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.
Artikkel 24
Komiteemenetlus
1. Komisjoni abistab komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.
2. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.
VIII PEATÜKK
LÕPPSÄTTED
Artikkel 25
Aruandlus ja läbivaatamine
Komisjon esitab hiljemalt 17. juuliks 2027 Euroopa Parlamendile ja nõukogule aruande, milles hinnatakse, millises ulatuses on iga liikmesriik võtnud käesoleva direktiivi järgimiseks vajalikke meetmeid.
Komisjon vaatab käesoleva direktiivi selle toimivuse hindamiseks korrapäraselt läbi ning esitab sellekohase aruande Euroopa Parlamendile ja nõukogule. Aruandes hinnatakse eelkõige käesoleva direktiivi lisaväärtust, selle mõju elutähtsa teenuse osutajate toimepidevuse tagamisele ning seda, kas direktiivi lisa tuleks muuta. Komisjon esitab esimese sellise aruande hiljemalt 17. juuniks 2029. Käesoleva artikli kohase aruandluse eesmärgil võtab komisjon arvesse elutähtsa teenuse osutajate toimepidevuse töörühma asjakohaseid dokumente.
Artikkel 26
Ülevõtmine
1. Liikmesriigid võtavad vastu ja avaldavad käesoleva direktiivi järgimiseks vajalikud normid hiljemalt 17. oktoobriks 2024. Liikmesriigid teatavad nendest viivitamata komisjonile.
Nad kohaldavad kõnealuseid norme alates 18. oktoobrist 2024.
2. Kui liikmesriigid lõikes 1 osutatud normid vastu võtavad, lisavad nad nende ametlikul avaldamisel nendesse või nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.
Artikkel 27
Direktiivi 2008/114/EÜ kehtetuks tunnistamine
Direktiiv 2008/114/EÜ tunnistatakse kehtetuks alates 18. oktoobrist 2024.
Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale direktiivile.
Artikkel 28
Jõustumine
Käesolev direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Artikkel 29
Adressaadid
Käesolev direktiiv on adresseeritud liikmesriikidele.
Strasbourg, 14. detsember 2022
Euroopa Parlamendi nimel
president
R. METSOLA
Nõukogu nimel
eesistuja
M. BEK
(1) ELT C 286, 16.7.2021, lk 170.
(2) ELT C 440, 29.10.2021, lk 99.
(3) Euroopa Parlamendi 22. novembri 2022. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 8. detsembri 2022. aasta otsus.
(4) Nõukogu 8. detsembri 2008. aasta direktiiv 2008/114/EÜ Euroopa elutähtsate infrastruktuuride identifitseerimise ja määramise ning nende kaitse parandamise vajaduse hindamise kohta (ELT L 345, 23.12.2008, lk 75).
(5) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (vt käesoleva Euroopa Liidu Teataja lk 80).
(6) Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194, 19.7.2016, lk 1).
(7) Euroopa Parlamendi ja nõukogu 19. märtsi 2019. aasta määrus (EL) 2019/452, millega luuakse liitu tehtavate välismaiste otseinvesteeringute taustauuringute raamistik (ELT L 79I, 21.3.2019, lk 1).
(8) Euroopa Parlamendi ja nõukogu 4. juuli 2012. aasta määrus (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.7.2012, lk 1).
(9) Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta määrus (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.6.2013, lk 1).
(10) Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta määrus (EL) nr 600/2014 finantsinstrumentide turgude kohta ning millega muudetakse määrust (EL) nr 648/2012 (ELT L 173, 12.6.2014, lk 84).
(11) Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta direktiiv 2013/36/EL, mis käsitleb krediidiasutuste tegevuse alustamise tingimusi ning krediidiasutuste ja investeerimisühingute usaldatavusnõuete täitmise järelevalvet, millega muudetakse direktiivi 2002/87/EÜ ning millega tunnistatakse kehtetuks direktiivid 2006/48/EÜ ja 2006/49/EÜ (ELT L 176, 27.6.2013, lk 338).
(12) Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta direktiiv 2014/65/EL finantsinstrumentide turgude kohta ning millega muudetakse direktiive 2002/92/EÜ ja 2011/61/EL (ELT L 173, 12.6.2014, lk 349).
(13) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (vt käesoleva Euroopa Liidu Teataja lk 1).
(14) Euroopa Parlamendi ja nõukogu 31. märtsi 2004. aasta määrus (EÜ) nr 725/2004 laevade ja sadamarajatiste turvalisuse tugevdamise kohta (ELT L 129, 29.4.2004, lk 6).
(15) Euroopa Parlamendi ja nõukogu 11. märtsi 2008. aasta määrus (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 9.4.2008, lk 72).
(16) Euroopa Parlamendi ja nõukogu 26. oktoobri 2005. aasta direktiiv 2005/65/EÜ sadamate turvalisuse tugevdamise kohta (ELT L 310, 25.11.2005, lk 28).
(17) Euroopa Parlamendi ja nõukogu 19. novembri 2008. aasta direktiiv 2008/96/EÜ maanteede infrastruktuuri ohutuse korraldamise kohta, ELT L 319, 29.11.2008, lk 59.
(18) Komisjoni 29. juuni 2018. aasta otsus, millega luuakse ELi rongireisijate turvaplatvorm (2018/C 232/03) (ELT C 232, 3.7.2018, lk 10).
(19) Nõukogu 26. veebruari 2009. aasta raamotsus 2009/315/JSK, mis käsitleb karistusregistrite andmete vahetamise liikmesriikidevahelist korraldust ja andmete sisu (ELT L 93, 7.4.2009, lk 23).
(20) Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/816, millega luuakse kesksüsteem nende liikmesriikide väljaselgitamiseks, kellel on teavet kolmandate riikide kodanike ja kodakondsuseta isikute suhtes tehtud süüdimõistvate kohtuotsuste kohta, et täiendada Euroopa karistusregistrite infosüsteemi (ECRIS-TCN), ning muudetakse määrust (EL) 2018/1726 (ELT L 135, 22.5.2019, lk 1).
(21) Euroopa Parlamendi ja nõukogu 28. novembri 2018. aasta määrus (EL) 2018/1862, milles käsitletakse Schengeni infosüsteemi (SIS) loomist, toimimist ja kasutamist politseikoostöös ja kriminaalasjades tehtavas õigusalases koostöös ning millega muudetakse nõukogu otsust 2007/533/JSK ja tunnistatakse see kehtetuks ning tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 1986/2006 ning komisjoni otsus 2010/261/EL (ELT L 312, 7.12.2018, lk 56).
(22) Euroopa Parlamendi ja nõukogu 17. detsembri 2013. aasta otsus nr 1313/2013/EL liidu kodanikukaitse mehhanismi kohta (ELT L 347, 20.12.2013, lk 924).
(23) Euroopa Parlamendi ja nõukogu 7. juuli 2021. aasta määrus (EL) 2021/1149, millega luuakse Sisejulgeolekufond (ELT L 251, 15.7.2021, lk 94).
(24) Euroopa Parlamendi ja nõukogu 28. aprilli 2021. aasta määrus (EL) 2021/695, millega luuakse teadusuuringute ja innovatsiooni raamprogramm „Euroopa horisont“ ja kehtestatakse selle osalemis- ja levitamisreeglid ning tunnistatakse kehtetuks määrused (EL) nr 1290/2013 ja (EL) nr 1291/2013 (ELT L 170, 12.5.2021, lk 1).
(25) ELT L 123, 12.5.2016, lk 1.
(26) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).
(27) Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39).
(28) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).
(29) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).
(30) Euroopa Parlamendi ja nõukogu 25. oktoobri 2012. aasta määrus (EL) nr 1025/2012, mis käsitleb Euroopa standardimist ning millega muudetakse nõukogu direktiive 89/686/EMÜ ja 93/15/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 94/9/EÜ, 94/25/EÜ, 95/16/EÜ, 97/23/EÜ, 98/34/EÜ, 2004/22/EÜ, 2007/23/EÜ, 2009/23/EÜ ja 2009/105/EÜ ning millega tunnistatakse kehtetuks nõukogu otsus 87/95/EMÜ ning Euroopa Parlamendi ja nõukogu otsus nr 1673/2006/EÜ (ELT L 316, 14.11.2012, lk 12).
(31) Komisjoni 6. mai 2003. aasta soovitus 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratlemise kohta (ELT L 124, 20.5.2003, lk 36).
(32) Euroopa Parlamendi ja nõukogu 15. märtsi 2017. aasta direktiiv (EL) 2017/541 terrorismivastase võitluse kohta, millega asendatakse nõukogu raamotsus 2002/475/JSK ning muudetakse nõukogu otsust 2005/671/JSK (ELT L 88, 31.3.2017, lk 6).
(33) Euroopa Parlamendi ja nõukogu 25. oktoobri 2017. aasta määrus (EL) 2017/1938, mis käsitleb gaasivarustuskindluse tagamise meetmeid ja millega tunnistatakse kehtetuks määrus (EL) nr 994/2010 (ELT L 280, 28.10.2017, lk 1).
(34) Euroopa Parlamendi ja nõukogu 5. juuni 2019. aasta määrus (EL) 2019/941, mis käsitleb ohuvalmidust elektrisektoris ja millega tunnistatakse kehtetuks direktiiv 2005/89/EÜ (ELT L 158, 14.6.2019, lk 1).
(35) Euroopa Parlamendi ja nõukogu 23. oktoobri 2007. aasta direktiiv 2007/60/EÜ üleujutusriski hindamise ja maandamise kohta (ELT L 288, 6.11.2007, lk 27).
(36) Euroopa Parlamendi ja nõukogu 4. juuli 2012. aasta direktiiv 2012/18/EL ohtlike ainetega seotud suurõnnetuse ohu ohjeldamise ning nõukogu direktiivi 96/82/EÜ muutmise ja hilisema kehtetuks tunnistamise kohta (ELT L 197, 24.7.2012, lk 1).
(37) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89).
LISA
Sektorid, allsektorid ja elutähtsa teenuse osutajate kategooriad
|
Sektorid |
Allsektorid |
Elutähtsa teenuse osutajate kategooriad |
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
|
|||||||
|
|
|||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
(1) Euroopa Parlamendi ja nõukogu 5. juuni 2019. aasta direktiiv (EL) 2019/944 elektrienergia siseturu ühiste normide kohta ja millega muudetakse direktiivi 2012/27/EL (ELT L 158, 14.6.2019, lk 125).
(2) Euroopa Parlamendi ja nõukogu 5. juuni 2019. aasta määrus (EL) 2019/943, milles käsitletakse elektrienergia siseturgu (ELT L 158, 14.6.2019, lk 54).
(3) Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv (EL) 2018/2001 taastuvatest energiaallikatest toodetud energia kasutamise edendamise kohta (ELT L 328, 21.12.2018, lk 82).
(4) Nõukogu 14. septembri 2009. aasta direktiiv 2009/119/EÜ, millega kohustatakse liikmesriike säilitama toornafta ja/või naftatoodete miinimumvarusid (ELT L 265, 9.10.2009, lk 9).
(5) Euroopa Parlamendi ja nõukogu 13. juuli 2009. aasta direktiiv 2009/73/EÜ, mis käsitleb maagaasi siseturu ühiseeskirju ning millega tunnistatakse kehtetuks direktiiv 2003/55/EÜ (ELT L 211, 14.8.2009, lk 94).
(6) Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta direktiiv 2009/12/EÜ lennujaamatasude kohta (ELT L 70, 14.3.2009, lk 11).
(7) Euroopa Parlamendi ja nõukogu 11. detsembri 2013. aasta määrus (EL) nr 1315/2013 üleeuroopalise transpordivõrgu arendamist käsitlevate liidu suuniste kohta ja millega tunnistatakse kehtetuks otsus nr 661/2010/EL (ELT L 348, 20.12.2013, lk 1).
(8) Euroopa Parlamendi ja nõukogu 10. märtsi 2004. aasta määrus (EÜ) nr 549/2004, millega sätestatakse raamistik ühtse Euroopa taeva loomiseks (raammäärus) (ELT L 96, 31.3.2004, lk 1).
(9) Euroopa Parlamendi ja nõukogu 21. novembri 2012. aasta direktiiv 2012/34/EL, millega luuakse ühtne Euroopa raudteepiirkond (ELT L 343, 14.12.2012, lk 32).
(10) Euroopa Parlamendi ja nõukogu 27. juuni 2002. aasta direktiiv 2002/59/EÜ, millega luuakse ühenduse laevaliikluse seire- ja teabesüsteem ning tunnistatakse kehtetuks nõukogu direktiiv 93/75/EMÜ (EÜT L 208, 5.8.2002, lk 10).
(11) Komisjoni 18. detsembri 2014. aasta delegeeritud määrus (EL) 2015/962, millega täiendatakse Euroopa Parlamendi ja nõukogu direktiivi 2010/40/EL kogu ELis reaalajas saadava liiklusteabe teenuste pakkumise osas (ELT L 157, 23.6.2015, lk 21).
(12) Euroopa Parlamendi ja nõukogu 7. juuli 2010. aasta direktiiv 2010/40/EL, mis käsitleb raamistikku intelligentsete transpordisüsteemide kasutuselevõtmiseks maanteetranspordis ja liideste jaoks teiste transpordiliikidega (ELT L 207, 6.8.2010, lk 1).
(13) Euroopa Parlamendi ja nõukogu 23. oktoobri 2007. aasta määrus (EÜ) nr 1370/2007, mis käsitleb avaliku reisijateveoteenuse osutamist raudteel ja maanteel ning millega tunnistatakse kehtetuks nõukogu määrused (EMÜ) nr 1191/69 ja (EMÜ) nr 1107/70 (ELT L 315, 3.12.2007, lk 1).
(14) Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).
(15) Euroopa Parlamendi ja nõukogu 23. novembri 2022. aasta määrus (EL) 2022/2371, milles käsitletakse tõsiseid piiriüleseid terviseohte ja millega tunnistatakse kehtetuks otsus nr 1082/2013/EL (ELT L 314, 6.12.2022, lk 26).
(16) Euroopa Parlamendi ja nõukogu 6. novembri 2001. aasta direktiiv 2001/83/EÜ inimtervishoius kasutatavaid ravimeid käsitlevate ühenduse eeskirjade kohta (EÜT L 311, 28.11.2001, lk 67).
(17) Euroopa Parlamendi ja nõukogu 25. jaanuari 2022. aasta määrus (EL) 2022/123, mis käsitleb Euroopa Ravimiameti suuremat rolli ravimite ja meditsiiniseadmete alases kriisivalmiduses ja -ohjes (ELT L 20, 31.1.2022, lk 1).
(18) Euroopa Parlamendi ja nõukogu 16. detsembri 2020. aasta direktiiv (EL) 2020/2184 olmevee kvaliteedi kohta (ELT L 435, 23.12.2020, lk 1).
(19) Nõukogu 21. mai 1991. aasta direktiiv 91/271/EMÜ asulareovee puhastamise kohta (EÜT L 135, 30.5.1991, lk 40).
(20) Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73).
(21) Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv (EL) 2018/1972, millega kehtestatakse Euroopa elektroonilise side seadustik (ELT L 321, 17.12.2018, lk 36).
(22) Euroopa Parlamendi ja nõukogu 28. jaanuari 2002. aasta määrus (EÜ) nr 178/2002, millega sätestatakse toidualaste õigusnormide üldised põhimõtted ja nõuded, asutatakse Euroopa Toiduohutusamet ja kehtestatakse toidu ohutusega seotud menetlused (EÜT L 31, 1.2.2002, lk 1).