EUROOPA KOMISJON

Brüssel,16.12.2020

COM(2020) 829 final

2020/0365(COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV

kriitilise tähtsusega üksuste vastupidavusvõime kohta

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

SELETUSKIRI

1.ETTEPANEKU TAUST

·Ettepaneku põhjused ja eesmärgid

·Kooskõla poliitikavaldkonnas praegu kehtivate õigusnormidega

Käesolev ettepanek kajastab komisjoni ELi julgeolekuliidu strateegia 11 prioriteete, milles nõutakse elutähtsate infrastruktuuride vastupidavusvõime uut käsitust, mis kajastaks paremini praegust ja prognoositavat tulevast riskikeskkonda, eri sektorite üha tihedamat vastastikust sõltuvust ning füüsiliste ja digitaristute üha suuremat sõltuvust üksteisest.

Kavandatud direktiiviga asendatakse Euroopa elutähtsate infrastruktuuride direktiiv ning võetakse arvesse ja arendatakse edasi muid kehtivaid ja kavandatavaid õigusakte. Kavandatud direktiiv kujutab endast olulist muudatust võrreldes Euroopa elutähtsate infrastruktuuride direktiiviga, mida kohaldatakse ainult energeetika- ja transpordisektori suhtes, milles keskendutakse üksnes kaitsemeetmetele ning sätestatakse Euroopa elutähtsate infrastruktuuride identifitseerimise ja määramise kord piiriülese dialoogi kaudu. Esiteks oleks kavandataval direktiivil palju laiem valdkondlik kohaldamisala, hõlmates kümmet sektorit: energeetikat, transporti, pangandust, finantsturutaristut, tervishoidu, joogivett, reovett, digitaristut, avalikku haldust ja kosmosesektorit. Teiseks nähakse direktiiviga liikmesriikide jaoks ette menetlus kriitilise tähtsusega üksuste identifitseerimiseks, kasutades riikliku riskihindamise alusel ühiseid kriteeriume. Kolmandaks sätestatakse ettepanekus kohustused liikmesriikidele ja nende poolt identifitseeritud kriitilise tähtsusega üksustele. Nende hulka loetakse ka üleeuroopaliselt olulise tähtsusega üksused, st kriitilise tähtsusega üksused, mis osutavad elutähtsaid teenuseid rohkem kui kolmandikule liikmesriikidele või rohkem kui kolmandikus liikmesriikidest ning mille suhtes kohaldatakse erijärelevalvet.

Vajaduse korral toetaks komisjon pädevaid asutusi ja kriitilise tähtsusega üksusi direktiivist tulenevate kohustuste täitmisel. Lisaks annaks kriitilise tähtsusega üksuste vastupidavusvõime töörühm, mis on komisjoni eksperdirühm, mille suhtes rakendatakse selliste rühmade suhtes kohaldatavat horisontaalset raamistikku, komisjonile nõu ning edendaks strateegilist koostööd ja teabevahetust. Kuna vastastikused sõltuvussuhted ei lõpe ELi välispiiridel, on vaja teha koostööd ka partnerriikidega. Kavandatava direktiiviga nähakse ette sellise koostöö võimalus, näiteks riskihindamise valdkonnas.

Kooskõla muude liidu tegevuspõhimõtetega

Kavandataval direktiivil on ilmsed seosed muude valdkondlike ja valdkondadevaheliste ELi algatustega, mis käsitlevad muu hulgas kliimakindluse tagamist, kodanikukaitset, välismaiseid otseinvesteeringuid, küberturvalisust ja finantsteenuseid käsitlevat õigustikku, ning on nendega kooskõlas. Eelkõige on ettepanek lähedalt seotud ja sellega luuakse tihe sünergia kavandatava teise küberturvalisuse direktiiviga, mille eesmärk on suurendada kõiki ohte hõlmava info- ja kommunikatsioonitehnoloogia (IKT) vastupidavusvõimet elutähtsate ja oluliste üksuste puhul, mis vastavad konkreetsetele künnistele paljudes sektorites. Käesoleva kriitilise tähtsusega üksuste vastupidavusvõimet käsitleva direktiivi ettepaneku eesmärk on tagada, et käesoleva direktiivi alusel määratud pädevad asutused ja kavandatava teise küberturvalisuse direktiivi alusel määratud pädevad asutused võtaksid kübervastupidavusvõime ja muu kui kübervastupidavusvõimega seoses vajaduse korral täiendavaid meetmeid ja vahetaksid teavet ning et eelkõige kriitilise tähtsusega üksuste suhtes sektorites, mida kavandatava teise küberturvalisuse direktiivi kohaselt peetakse kriitiliselt tähtsateks, kehtiksid ka üldisemad vastupidavusvõime suurendamise kohustused, et tegeleda ka muude riskidega kui küberriskid. Digitaristu sektori üksuste võrgu- ja infosüsteemide füüsilist turvalisust käsitletakse põhjalikult kavandatavas teises küberturvalisuse direktiivis nende üksuste küberturvalisuse riskijuhtimis- ja teatamiskohustuste raames. Lisaks tugineb ettepanek kehtivale finantsteenuste õigustikule, millega kehtestatakse finantsettevõtjatele operatsiooniriskide juhtimiseks ja talitluspidevuse tagamiseks põhjalikud nõuded. Seepärast tuleks digitaristu, pangandus- ja finantstaristu sektoriga seotud üksusi käsitada liikmesriikide kohustuste ja tegevuse seisukohast käesoleva direktiivi kohaselt kriitilise tähtsusega üksustega samaväärsete üksustena, samas kui käesoleva direktiiviga ei kaasneks asjaomastele üksustele lisakohustusi.

Ettepanekus arvestatakse ka muid valdkondlikke ja valdkondadevahelisi algatusi, mis käsitlevad näiteks kodanikukaitset, katastroofiohu vähendamist ja kliimamuutustega kohanemist. Lisaks tunnistatakse ettepanekus, et teatavatel juhtudel on kehtivate ELi õigusaktidega üksustele kehtestatud kohustus tegeleda teatavate riskidega kaitsemeetmete abil. Sellistel juhtudel, nt lennundusjulgestuse või meresõidu turvalisuse valdkonnas, peaksid kriitilise tähtsusega üksused kirjeldama neid meetmeid oma vastupidavuskavades. Lisaks ei piira kavandatav direktiiv Euroopa Liidu toimimise lepingus sätestatud konkurentsieeskirjade kohaldamist.

2.ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS

·Õiguslik alus

·Subsidiaarsus

·Proportsionaalsus

·Vahendi valik

3.JÄRELHINDAMISE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU HINDAMISE TULEMUSED

·Praegu kehtivate õigusaktide järelhindamine või toimivuse kontroll

Euroopa elutähtsate infrastruktuuride direktiivi hinnati 2019. aastal eesmärgiga hinnata direktiivi rakendamise asjakohasust, sidusust, tulemuslikkust, tõhusust, ELi lisaväärtust ja jätkusuutlikkust 12 .

Hindamise käigus leiti, et olukord on pärast direktiivi jõustumist märkimisväärselt muutunud. Neid muudatusi silmas pidades leiti, et direktiiv on vaid osaliselt asjakohane. Kuigi hindamisel leiti, et direktiiv on üldiselt kooskõlas asjakohaste Euroopa valdkondlike õigusaktide ja poliitikaga rahvusvahelisel tasandil, peeti seda mõne sätte üldise laadi tõttu ainult osaliselt tõhusaks. Leiti, et direktiiv on loonud ELi lisaväärtust, kuna sellega saavutati tulemused (st ühine raamistik Euroopa elutähtsate infrastruktuuride kaitseks), mida ei oleks olnud võimalik saavutada riiklike ega muude Euroopa algatustega, käivitamata märksa pikemaid, kulukamaid ja vähem täpselt määratletud protsesse. Samas leiti, et teatavatel sätetel on paljude liikmesriikide jaoks piiratud lisaväärtus.

Kestlikkusega seoses eeldati, et teatavad direktiivist tulenevad mõjud (nt piiriülesed arutelud, aruandlusnõuded) kaovad, kui direktiiv tunnistatakse kehtetuks ja seda ei asendata. Hindamise käigus leiti, et liikmesriigid toetavad jätkuvalt ELi osalemist jõupingutustes tugevdada elutähtsate infrastruktuuride vastupidavusvõimet ning et on mõningaid kahtlusi, et direktiivi täielik kehtetuks tunnistamine võib avaldada selles valdkonnas kahjulikku mõju, eelkõige määratud Euroopa elutähtsate infrastruktuuride kaitsele. Liikmesriigid olid huvitatud sellest, et ELi osalus asjaomases valdkonnas oleks jätkuvalt kooskõlas subsidiaarsuse põhimõttega, toetaks liikmesriikide tasandil võetavaid meetmeid ning soodustaks piiriülest koostööd, sealhulgas kolmandate riikidega.

·Konsulteerimine sidusrühmadega

·Eksperdiarvamuste kogumine ja kasutamine

·Mõjuhinnang

–1. variant: kehtiva Euroopa elutähtsate infrastruktuuride direktiivi säilitamine koos vabatahtlike meetmetega olemasoleva Euroopa esmatähtsate infrastruktuuride kaitse programmi raames.

–2. variant: kehtiva Euroopa elutähtsate infrastruktuuride direktiivi läbivaatamine, et hõlmata samu sektoreid kui kehtiv küberturvalisuse direktiiv ning keskenduda rohkem vastupidavusvõimele. Uue Euroopa elutähtsate infrastruktuuride direktiiviga kaasneksid muudatused olemasolevas piiriüleses Euroopa elutähtsate infrastruktuuride määramise protsessis, sealhulgas uued määramiskriteeriumid, ning uued nõuded liikmesriikidele ja operaatoritele.

–3. variant: kehtiva Euroopa elutähtsate infrastruktuuride direktiivi asendamine uue õigusaktiga, mille eesmärk on suurendada kriitilise tähtsusega üksuste vastupidavusvõimet sektorites, mida kavandatavas teises küberturvalisuse direktiivis peetakse elutähtsateks. Selle variandiga kehtestataks miinimumnõuded liikmesriikidele ja uue raamistiku raames identifitseeritud kriitilise tähtsusega üksustele. Nähakse ette menetlus selliste kriitilise tähtsusega üksuste identifitseerimiseks, mis osutavad teenuseid mitmesse ELi liikmesriiki või mitmes ELi liikmesriigis, kui mitte kõigis neist. Õigusakti rakendamist toetaks komisjonisisene sihtotstarbeline teadmuskeskus.

–4. variant: kehtiva Euroopa elutähtsate infrastruktuuride direktiivi asendamine uue õigusaktiga, mille eesmärk on suurendada kriitilise tähtsusega üksuste vastupidavusvõimet sektorites, mida peetakse kavandatavas teises küberturvalisuse direktiivis elutähtsateks, samuti komisjonile jõulisema rolli andmine kriitilise tähtsusega üksuste identifitseerimisel ning elutähtsate infrastruktuuride vastupidavusvõime eest vastutava spetsiaalse ELi ameti loomine (mis võtaks üle eelmise variandi raames kavandatava teadmuskeskuse rollid ja ülesanded).

·Õigusnormide toimivus ja lihtsustamine

·Põhiõigused

4.MÕJU EELARVELE

–komisjoni toetusmeetmed, sealhulgas personaliplaneerimine, projektid, uuringud ja toetusmeetmed;

–komisjoni korraldatavad nõuandemissioonid;

–kriitilise tähtsusega üksuste vastupidavusvõime töörühma, komiteemenetluse komitee ja muude koosolekute korrapärased kohtumised.

5.MUU TEAVE

·Rakenduskavad ning järelevalve, hindamise ja aruandluse kord

Kavandatud direktiivi rakendamine vaadatakse uuesti läbi neli ja pool aastat pärast selle jõustumist, seejärel esitab komisjon Euroopa Parlamendile ja nõukogule aruande. Aruandes hinnatakse, millises ulatuses on liikmesriigid võtnud direktiivi järgimiseks vajalikke meetmeid. Komisjon esitab aruande direktiivi mõju ja lisaväärtuse kohta Euroopa Parlamendile ja nõukogule kuus aastat pärast direktiivi jõustumist.

·Ettepaneku sätete üksikasjalik selgitus

Reguleerimisese, kohaldamisala ja mõisted (artiklid 1–2)

Artiklis 1 esitatakse direktiivi reguleerimisese ja kohaldamisala, milles on sätestatud liikmesriikide kohustus võtta teatavaid meetmeid, mille eesmärk on tagada siseturul elutähtsa ühiskondliku funktsiooni või majandustegevuse säilitamiseks vajalike teenuste osutamine, eelkõige identifitseerida kriitilise tähtsusega üksused ja võimaldada neil täita konkreetseid kohustusi, mille eesmärk on suurendada nende vastupidavusvõimet ja parandada nende suutlikkust osutada siseturul neid teenuseid. Direktiiviga kehtestatakse ka normid, mis käsitlevad kriitilise tähtsusega üksuste järelevalvet ja neile pandud kohustuste täitmise tagamist ning üleeuroopaliselt oluliste kriitilise tähtsusega üksuste erijärelevalvet. Artiklis 1 selgitatakse ka direktiivi ja muude asjakohaste liidu õigusaktide vahelist seost ning tingimusi, mille alusel vahetatakse komisjoni ja muude asjaomaste asutustega teavet, mis on liidu ja riigisiseste normide kohaselt konfidentsiaalne. Artiklis 2 esitatakse kasutatavate mõistete loetelu.

Kriitilise tähtsusega üksuste vastupidavusvõime riiklikud raamistikud (artiklid 3–9)

Artiklis 3 sätestatakse, et liikmesriigid võtavad vastu strateegia kriitilise tähtsusega üksuste vastupidavusvõime tugevdamiseks, kirjeldatakse elemente, mida see peaks sisaldama, selgitatakse, et strateegiat tuleks korrapäraselt ja vajaduse korral ajakohastada, ning sätestatakse, et liikmesriigid edastavad oma strateegiad ja nende ajakohastused komisjonile. Artiklis 4 on sätestatud, et pädevad asutused koostavad elutähtsate teenuste loetelu ja hindavad korrapäraselt kõiki asjakohaseid riske, mis võivad mõjutada elutähtsate teenuste osutamist, et identifitseerida kriitilise tähtsusega üksused. Selles hindamises võetakse arvesse muude asjakohaste liidu õigusaktide kohaselt tehtud riskihindamisi, konkreetsete sektorite vahelisest sõltuvusest tulenevaid riske ja kättesaadavat teavet intsidentide kohta. Liikmesriigid tagavad, et riskihindamise asjakohased elemendid tehakse kriitilise tähtsusega üksustele kättesaadavaks ning et andmed tuvastatud riskide liikide ja nende riskihindamiste tulemused tehakse korrapäraselt komisjonile kättesaadavaks.

Artiklis 5 sätestatakse, et liikmesriigid identifitseerivad kriitilise tähtsusega üksused konkreetsetes sektorites ja allsektorites. Identifitseerimisprotsessis tuleks võtta arvesse riskihindamise tulemusi ja kohaldada konkreetseid kriteeriume. Liikmesriigid koostavad kriitilise tähtsusega üksuste loetelu, mida ajakohastatakse vajaduse korral ja korrapäraselt. Kriitilise tähtsusega üksusi teavitatakse nõuetekohaselt nende identifitseerimisest ja sellega kaasnevatest kohustustest. Direktiivi rakendamise eest vastutavad pädevad asutused teavitavad teise küberturvalisuse direktiivi rakendamise eest vastutavaid pädevaid asutusi kriitilise tähtsusega üksuste identifitseerimisest. Kui kaks või enam liikmesriiki on identifitseerinud üksuse kriitilise tähtsusega olevaks, konsulteerivad nad üksteisega, et vähendada kriitilise tähtsusega üksuse koormust. Kui kriitilise tähtsusega üksused osutavad teenuseid enam kui kolmandikule liikmesriikidele või enam kui kolmandikus liikmesriikidest, teatab asjaomane liikmesriik komisjonile nende kriitilise tähtsusega üksuste andmed.

Artiklis 6 määratletakse artikli 5 lõikes 2 osutatud mõiste „oluline häiriv mõju“ ning nõutakse, et liikmesriigid esitaksid komisjonile teatavat liiki teavet nende identifitseeritud kriitilise tähtsusega üksuste ja nende identifitseerimise viisi kohta. Artikliga 6 antakse komisjonile ka õigus võtta pärast kriitilise tähtsusega üksuste vastupidavusvõime töörühmaga konsulteerimist vastu asjakohased suunised.

Artiklis 7 sätestatakse, et liikmesriigid peaksid identifitseerima panganduse, finantsturutaristu ja digitaristu sektorite üksused, mida käsitatakse kriitilise tähtsusega üksustega samaväärsetena üksnes II peatüki kohaldamisel. Neid üksusi tuleks nende identifitseerimisest teavitada.

Artiklis 8 sätestatakse, et iga liikmesriik määrab ühe või mitu pädevat asutust, mis vastutavad direktiivi nõuetekohase kohaldamise eest riigi tasandil, ning ühtse kontaktpunkti, mille ülesanne on tagada piiriülene koostöö, ning tagab neile piisavad ressursid. Ühtne kontaktpunkt esitab komisjonile korrapäraselt kokkuvõtva aruande intsidentidest teatamise kohta. Artiklis 8 nõutakse, et direktiivi kohaldamise eest vastutavad pädevad asutused teeksid koostööd muude asjakohaste riigi ametiasutustega, sealhulgas teise küberturvalisuse direktiivi alusel määratud pädevate asutustega. Artiklis 9 sätestatakse, et liikmesriigid toetavad kriitilise tähtsusega üksusi nende vastupidavusvõime tagamisel ning hõlbustavad pädevate asutuste ja kriitilise tähtsusega üksuste vahel koostööd ning vabatahtlikku teabe ja heade tavade vahetamist.

Kriitilise tähtsusega üksuste vastupidavusvõime (artiklid 10–13)

Artiklis 10 sätestatakse, et kriitilise tähtsusega üksused hindavad korrapäraselt riiklike riskihinnangute ja muude asjakohaste teabeallikate alusel kõiki asjakohaseid riske. Artiklis 11 sätestatakse, et kriitilise tähtsusega üksused võtavad oma vastupidavusvõime tagamiseks asjakohaseid ja proportsionaalseid tehnilisi ja korralduslikke meetmeid ning tagavad, et neid meetmeid kirjeldatakse vastupidavusvõimekavas või samaväärses dokumendis või dokumentides. Liikmesriigid võivad taotleda, et komisjon korraldaks nõuandemissioone, et anda kriitilise tähtsusega üksustele nõu nende kohustuste täitmisel. Artikliga 11 antakse komisjonile õigus võtta vajaduse korral vastu delegeeritud õigusakte ja rakendusakte.

Artiklis 12 sätestatakse, et liikmesriigid tagavad, et kriitilise tähtsusega üksused võivad esitada taotlusi taustakontrolli tegemiseks isikute kohta, kes kuuluvad või võivad hakata kuuluma teatavatesse konkreetsetesse töötajate kategooriatesse, ning et selliste taustakontrollide eest vastutavad asutused hindavad neid taotlusi viivitamata. Artiklis kirjeldatakse taustakontrollide eesmärki, ulatust ja sisu, mis kõik peavad olema kooskõlas isikuandmete kaitse üldmäärusega.

Artiklis 13 sätestatakse, et liikmesriigid tagavad, et kriitilise tähtsusega üksused teatavad pädevale asutusele intsidentidest, millel on või võib olla nende tegevusele oluliselt häiriv mõju Pädevad asutused omakorda esitavad teavitavale kriitilise tähtsusega üksusele asjakohase järelteabe. Ühtse kontaktpunkti kaudu teavitavad pädevad asutused ka ühtseid kontaktpunkte muudes puudutatud liikmesriikides, kui intsident avaldab või võib avaldada piiriülest mõju ühes või mitmes muus liikmesriigis.

Erijärelevalve üleeuroopaliselt oluliste kriitilise tähtsusega üksuste üle (artiklid 14–15)

Artiklis 14 määratletakse üleeuroopaliselt olulised kriitilise tähtsusega üksused kui üksused, mis on identifitseeritud kriitilise tähtsusega üksustena ja mis osutavad elutähtsaid teenuseid rohkem kui kolmandikule liikmesriikidele või rohkem kui kolmandikus liikmesriikides. Pärast artikli 5 lõike 6 kohase teate saamist teavitab komisjon asjaomast üksust sellest, et teda käsitatakse üleeuroopaliselt olulise kriitilise tähtsusega üksusena, sellega kaasnevatest kohustustest ja kuupäevast, millest alates need kohustused hakkavad kehtima. Artiklis 15 kirjeldatakse konkreetset järelevalvekorda, mida kohaldatakse üleeuroopaliselt oluliste kriitilise tähtsusega üksuste suhtes, sealhulgas seda, et liikmesriigid, kus nimetatud üksused paiknevad, esitavad taotluse korral komisjonile ja kriitilise tähtsusega üksuste vastupidavusvõime töörühmale teavet artikli 10 kohase riskihindamise ja artikli 11 kohaselt võetud meetmete kohta ning kõikide järelevalve- või täitemeetmete kohta. Artiklis 15 sätestatakse ka, et komisjon võib korraldada nõuandemissioone, et hinnata konkreetsete üleeuroopaliselt oluliste kriitilise tähtsusega üksuste kehtestatud meetmeid. Kriitilise tähtsusega üksuste vastupidavusvõime töörühma nõuandemissiooni tulemuste analüüsi põhjal edastab komisjon liikmesriigile, kus asub üksuse taristu, oma seisukohad selle kohta, kas üksus täidab oma kohustusi, ja vajaduse korral selle kohta, milliseid meetmeid võiks võtta, et parandada üksuse vastupidavusvõimet. Artiklis kirjeldatakse nõuandemissioonide koosseisu, korraldust ja rahastamist. Samuti sätestatakse selles, et komisjon võtab vastu rakendusakti, millega kehtestatakse normid nõuandemissioonide läbiviimise ja aruannete esitamise menetluskorra kohta.

Koostöö ja aruandlus (artiklid 16–17)

Artiklis 16 kirjeldatakse liikmesriikide ja komisjoni esindajatest koosneva kriitilise tähtsusega üksuste vastupidavusvõime töörühma rolli ja ülesandeid. See toetab komisjoni ning hõlbustab strateegilist koostööd ja teabevahetust. Artiklis selgitatakse, et komisjon võib võtta vastu rakendusakte, millega kehtestatakse kriitilise tähtsusega üksuste vastupidavusvõime töörühma toimimiseks vajalik menetluskord. Artiklis 17 sätestatakse, et komisjon toetab vajaduse korral liikmesriike ja kriitilise tähtsusega üksusi direktiivist tulenevate kohustuste täitmisel ning täiendab artiklis 9 osutatud liikmesriikide tegevust.

Järelevalve ja täitmise tagamine (artiklid 18–19)

Artiklis 18 sätestatakse, et liikmesriikidel on direktiivi rakendamise ja täitmise tagamiseks teatavad õigused, vahendid ja kohustused. Liikmesriigid tagavad, et kui pädev asutus hindab kriitilise tähtsusega üksuse nõuetelevastavust, teavitab ta sellest asjaomase liikmesriigi pädevaid asutusi, kes on määratud teise küberturvalisuse direktiivi alusel, ning võib paluda, et need asutused hindaksid niisuguse üksuse küberturvalisust. Liikmesriigid peaksid tegema sel eesmärgil koostööd ja vahetavad teavet. Artiklis 19 sätestatakse, et vastavalt pikaajalisele tavale kehtestavad liikmesriigid rikkumiste korral kohaldatavad karistusnormid ja võtavad nende rakendamise tagamiseks kõik vajalikud meetmed.

Lõppsätted (artiklid 20–26)

Artiklis 20 sätestatakse, et komitee abistab komisjoni määruse (EL) nr 182/2011 tähenduses. See on standardartikkel. Artikliga 21 antakse komisjonile õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel. Ka see on standardartikkel. Artiklis 22 sätestatakse, et komisjon esitab Euroopa Parlamendile ja nõukogule aruande, milles hinnatakse, millises ulatuses on liikmesriigid võtnud direktiivi järgimiseks vajalikke meetmeid. Euroopa Parlamendile ja nõukogule tuleb korrapäraselt esitada aruanne, milles hinnatakse direktiivi mõju ja lisaväärtust ning seda, kas direktiivi kohaldamisala tuleks laiendada muudele sektoritele või allsektoritele, sealhulgas toiduainete tootmisele, töötlemisele ja turustamisele.

Artiklis 23 sätestatakse, et direktiiv 2008/114/EÜ tunnistatakse kehtetuks alates käesoleva direktiivi kohaldamise kuupäevast. Artiklis 24 sätestatakse, et liikmesriigid võtavad kindlaksmääratud aja jooksul vastu ja avaldavad direktiivi järgimiseks vajalikud õigus- ja haldusnormid ning teatavad nendest komisjonile. Käesoleva direktiiviga reguleeritavas valdkonnas nende poolt vastuvõetud põhiliste riigisiseste õigusnormide tekst edastatakse komisjonile. Artiklis 25 sätestatakse, et direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas. Artiklis 26 sätestatakse, et direktiiv on adresseeritud liikmesriikidele.

2020/0365 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV

kriitilise tähtsusega üksuste vastupidavusvõime kohta

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 114,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust, 14  

võttes arvesse Regioonide Komitee arvamust, 15

toimides seadusandliku tavamenetluse kohaselt 16

ning arvestades järgmist:

(1)Nõukogu direktiiviga 2008/114/EÜ 17 on ette nähtud menetlus selliste Euroopa elutähtsate infrastruktuuride määramiseks energeetika- ja transpordisektorites, mille kahjustada saamisel või hävimisel oleks oluline piiriülene mõju vähemalt kahele liikmesriigile. Nimetatud direktiivis keskenduti ainult selliste infrastruktuuride kaitsele. Direktiivi 2008/114/EÜ hindamise käigus 2019. aastal 18 leiti aga, et kuna elutähtsaid infrastruktuure kasutavad toimingud on üha enam omavahel seotud ja olemuselt piiriülesed, ei piisa üksnes üksiku varaga seotud kaitsemeetmetest kõikide häirete ärahoidmiseks. Seepärast on vaja võtta kasutusele lähenemisviis, millega tagatakse kriitilise tähtsusega üksuste vastupidavusvõime, see tähendab nende suutlikkus kriitilise tähtsusega üksuse tegevust häirida võivaid intsidente leevendada, nendega toime tulla ja kohaneda ning neist taastuda.

(2)Hoolimata liidus elutähtsate infrastruktuuride kaitse toetamiseks ette nähtud olemasolevatest meetmetest liidu 19 ja liikmesriikide tasandil, ei ole neid infrastruktuure käitavatel üksustel piisavalt vahendeid, et tulla toime nende tegevust ohustavate praeguste ja eeldatavate tulevaste riskidega, mis võivad realiseerumisel häirida elutähtsa ühiskondliku funktsiooni või majandustegevuse toimimise seisukohast vajalike teenuste osutamist. Selle põhjuseks on muutuv ohuolukord, kus kasvab terrorismioht ning taristud ja sektorid on omavahel üha enam seotud, samuti suurem füüsiline risk, mis tuleneb loodusõnnetustest ja kliimamuutustest, mille tagajärjel suurenevad äärmuslike ilmastikuolude esinemissagedus ja ulatus ning leiavad aset keskmiste kliimatingimuste pikaajalised muutused, mis võivad vähendada teatavat liiki taristu suutlikkust ja tõhusust juhul, kui ei ole kehtestatud vastupidavusvõime- või kliimamuutustega kohanemise meetmeid. Peale selle ei tunnustata asjaomaseid sektoreid ja üksuste liike kõikides liikmesriikides järjepidevalt kriitiliselt tähtsatena.

(3)See kasvav omavaheline seotus tuleneb üha piiriülesemast ja üha enam vastastikku sõltuvast teenuste osutamise võrgustikust, mis kasutab kogu liidus selliste oluliste sektorite taristuid nagu energeetika, transport, pangandus, finantsturutaristu, digitaristu, joogi- ja reovesi, tervishoid, teatavad avaliku halduse harud ja ka kosmosetööstus, niivõrd kui viimase teatavate teenuste osutamine sõltub sellistest maapealsetest taristutest, mida omavad, haldavad ja käitavad kas liikmesriigid või eraisikud ning mis seega ei hõlma taristuid, mida omab, haldab või käitab liit või mida hallatakse või käitatakse liidu nimel osana liidu kosmoseprogrammidest. Selline omavaheline seotus tähendab seda, et igasugusel häirel, mis võib algselt isegi piirduda ühe üksuse või ühe sektoriga, võib olla laiem, ahelreaktsioonina avalduv mõju, millel võivad omakorda olla kaugeleulatuvad ja pikaajalised kahjulikud tagajärjed teenuste osutamisele kogu siseturul. COVID-19 pandeemia on näidanud, kui haavatavad on meie omavahel üha tihedamalt seotud ühiskonnad väikese realiseerumisvõimalusega riskide esinemise korral.

(4)Liikmesriikide õigusaktidega on elutähtsate teenuste osutamises osalevatele üksustele kehtestatud üha enam erinevaid nõudeid. Asjaolu, et mõnes liikmesriigis kehtivad selliste üksuste suhtes vähem ranged turvanõuded, võib avaldada negatiivset mõju elutähtsa ühiskondliku funktsiooni või majandustegevuse säilitamisele kogu liidus, samuti toob see kaasa takistusi siseturu nõuetekohasele toimimisele. Sarnast liiki üksusi peetakse mõnes liikmesriigis kriitiliselt tähtsateks, kuid teistes mitte, ning kriitiliselt tähtsatena identifitseeritud üksuste suhtes kehtivad eri liikmesriikides erinevad nõuded. Selle tulemuseks on täiendav ja ebavajalik halduskoormus piiriüleselt tegutsevate äriühingute, eelkõige rangemate nõuetega liikmesriikides tegutsevate äriühingute jaoks.

(5)Seepärast on vaja kehtestada ühtlustatud miinimumnõuded, et tagada elutähtsate teenuste osutamine siseturul ja suurendada kriitilise tähtsusega üksuste vastupidavusvõimet.

(6)Selle eesmärgi täitmiseks peaksid liikmesriigid identifitseerima kriitilise tähtsusega üksused, mille suhtes peaksid kehtima erinõuded ja -järelevalve, ent millele tuleks samuti pakkuda eritoetust ja -suuniseid, et muuta nad väga vastupidavaks kõigi asjaomaste riskide suhtes.

(7)Teatavad majandussektorid, näiteks energeetika ja transport, on juba reguleeritud või neid võidakse edaspidi reguleerida liidu valdkondlike õigusaktidega, mis sisaldavad norme nendes sektorites tegutsevate üksuste vastupidavusvõime teatavate aspektide kohta. Selleks et siseturu nõuetekohase toimimise jaoks kriitilise tähtsusega üksuste vastupidavusvõimega põhjalikult tegeleda, tuleks kõnealuseid valdkondlikke meetmeid täiendada meetmetega, mis on ette nähtud käesolevas direktiivis, millega luuakse üldraamistik kriitilise tähtsusega üksuste vastupidavusvõime suurendamiseks kõikide, st nii looduslike kui ka inimtegevusest tingitud, juhuslike ja taotluslike ohtude vastu.

(8)Arvestades küberturvalisuse olulisust kriitilise tähtsusega üksuste vastupidavusvõime jaoks ja järjepidevuse huvides tuleb võimaluse korral tagada käesoleva direktiivi ning Euroopa Parlamendi ja nõukogu direktiivi (EL) XX/YY 20 [kavandatud direktiiv, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi „teine küberturvalisuse direktiiv)] vaheline sidusus. Küberriskide suuremat esinemissagedust ja eripärasid arvestades kehtestatakse teise küberturvalisuse direktiiviga põhjalikud nõuded suurele hulgale üksustele, et tagada nende küberturvalisus. Võttes arvesse asjaolu, et küberturvalisust on teises küberturvalisuse direktiivis piisavalt käsitletud, tuleks selle direktiiviga hõlmatud teemad käesoleva direktiivi kohaldamisalast välja jätta, ilma et see piiraks digitaristu sektori üksuste suhtes erikorra kohaldamist.

(9)Kui liidu muude õigusaktide sätetega nõutakse kriitilise tähtsusega üksustelt asjakohaste riskide hindamist, meetmete võtmist oma vastupidavusvõime tagamiseks või intsidentidest teatamist ning kui need nõuded on vähemalt samaväärsed käesolevas direktiivis sätestatud vastavate kohustustega, ei tuleks käesoleva direktiivi asjaomaseid sätteid kohaldada, et vältida dubleerimist ja ebavajalikku koormust. Sellisel juhul tuleks kohaldada kõnealuste muude õigusaktide asjaomaseid sätteid. Kui käesoleva direktiivi asjaomaseid sätteid ei kohaldata, ei tuleks kohaldada ka selles sisalduvaid järelevalvet ja nõuete täitmise tagamist käsitlevaid sätteid. Liikmesriigid peaksid siiski lisama kõik lisas loetletud sektorid oma kriitilise tähtsusega üksuste vastupidavusvõime tugevdamise strateegiasse, riskihindamisse ja toetusmeetmetesse kooskõlas II peatükiga ning olema suutelised identifitseerima kriitilise tähtsusega üksusi nendes sektorites, kui need täidavad kohaldatavad tingimused, võttes arvesse pangandus-, finantsturutaristute ja digitaristu sektorites tegutsevate üksuste suhtes kohaldatavat erikorda.

(10)Kriitilise tähtsusega üksuste vastupidavusvõime valdkonnas tervikliku lähenemisviisi tagamiseks peaks igal liikmesriigil olema strateegia, milles on sätestatud eesmärgid ja võetavad poliitikameetmed. Selle saavutamiseks peaksid liikmesriigid tagama, et nende küberturvalisuse strateegiatega nähakse ette poliitikaraamistik, mis võimaldab käesoleva direktiivi ja teise küberturvalisuse direktiivi kohaste pädevate asutuste vahelist tõhusamat koordineerimist seoses intsidente ja küberohte käsitleva teabe vahetamise ja järelevalveülesannete täitmisega.

(11)Liikmesriikide tegevus kriitilise tähtsusega üksuste identifitseerimisel ja nende vastupidavusvõime tagamise toetamisel peaks lähtuma riskipõhisest lähenemisviisist, millega suunatakse jõupingutused neile üksustele, mis on elutähtsa ühiskondliku funktsiooni või majandustegevuse seisukohast kõige olulisemad. Sellise suunatud lähenemisviisi tagamiseks peaks iga liikmesriik hindama ühtlustatud raamistikus kõiki asjakohaseid looduslikke ja inimtegevusest tingitud riske, mis võivad mõjutada elutähtsate teenuste osutamist, sealhulgas õnnetusi, looduskatastroofe, selliseid rahvatervisealaseid hädaolukordi nagu pandeemiad, ja vaenulikest aktidest tingitud ohte, muu hulgas terroriakte. Nende riskide hindamisel peaksid liikmesriigid võtma arvesse teiste liidu õigusaktide alusel tehtud muid üldisi või valdkondlikke riskihinnanguid ning kaaluma sektoritevahelist seotust, sealhulgas muude liikmesriikide ja kolmandate riikide sektoritega. Riskihindamise tulemusi tuleks kasutada kriitilise tähtsusega üksuste identifitseerimisprotsessis ja nende üksuste toetamiseks käesoleva direktiivi kohaste vastupidavusvõimet käsitlevate nõuete täitmisel.

(12)Selle tagamiseks, et kõnealuseid nõudeid kohaldatakse kõikide asjaomaste üksuste suhtes, ja lahknevuste vähendamiseks on oluline kehtestada ühtlustatud normid, mis võimaldavad kogu liidus kriitilise tähtsusega üksuste ühtset identifitseerimist, andes samal ajal liikmesriikidele võimaluse arvestada riiklike eripäradega. Seepärast tuleks sätestada kriitilise tähtsusega üksuste identifitseerimise kriteeriumid. Tulemuslikkuse, tõhususe, järjepidevuse ja õiguskindluse huvides tuleks kehtestada asjakohased normid ka sellisest identifitseerimisest teatamise, sellega seoses tehtava koostöö ja selle õiguslike tagajärgede kohta. Selleks et komisjon saaks hinnata direktiivi nõuetekohast kohaldamist, peaksid liikmesriigid esitama komisjonile võimalikult üksikasjalikult ja täpselt asjakohase teabe ning igal juhul elutähtsate teenuste loetelu, kõikides lisas nimetatud sektorites ja allsektorites identifitseeritud kriitilise tähtsusega üksuste arvu, elutähtsa(d) teenuse(d), mida iga üksus osutab, ja võimalikud kohaldatavad künnised.

(13)Samuti tuleks kehtestada kriteeriumid selliste intsidentide põhjustatud häiriva mõju olulisuse kindlakstegemiseks. Kõnealused kriteeriumid peaksid tuginema Euroopa Parlamendi ja nõukogu direktiivis (EL) 2016/1148 21 sätestatud kriteeriumidele, et kasutada ära jõupingutused, mis liikmesriigid on teinud selliste operaatorite identifitseerimiseks, ja selles valdkonnas saadud kogemused.

(14)Digitaristu sektoriga seotud üksuste tegevus tugineb põhimõtteliselt võrgu- ja infosüsteemidele ning seega jäävad nad teise küberturvalisuse direktiivi kohaldamisalasse; nimetatud direktiivis käsitletakse selliste süsteemide füüsilist turvalisust nende küberturvalisuse riskijuhtimis- ja teatamiskohustuste raames. Kuna neid teemasid on käsitletud teises küberturvalisuse direktiivis, ei kohaldata selliste üksuste suhtes käesoleva direktiiviga ette nähtud kohustusi. Võttes aga arvesse digitaristu sektori üksuste osutatavate teenuste olulisust muude elutähtsate teenuste osutamisel, peaksid liikmesriigid käesoleva direktiiviga ette nähtud kriteeriumide põhjal ja selles sätestatud menetlust mutatis mutandis kohaldades identifitseerima sellised digitaristu sektoriga seotud üksused, mida tuleks käsitada kriitilise tähtsusega üksustega samaväärsetena üksnes II peatüki kohaldamisel, sealhulgas säte, mis käsitleb liikmesriikide toetust nende üksuste vastupidavusvõime suurendamiseks. Sellest tulenevalt ei tuleks nende üksuste suhtes kohaldada III–VI peatükis sätestatud kohustusi. Kuna II peatükis kriitilise tähtsusega üksustele kehtestatud kohustused esitada pädevatele asutustele teatavat teavet on seotud III ja IV peatüki kohaldamisega, ei tuleks nende üksuste suhtes kohaldada ka kõnealuseid kohustusi.

(15)ELi finantsteenuste õigustikus on kehtestatud finantssektori ettevõtjatele põhjalikud nõuded juhtida kõiki riske, millega nad kokku puutuvad, sealhulgas tegevusriske, ja tagada talitluspidevus. See õigustik hõlmab Euroopa Parlamendi ja nõukogu määrust (EL) nr 648/2012, 22 Euroopa Parlamendi ja nõukogu direktiivi 2014/65/EL 23 ning Euroopa Parlamendi ja nõukogu määrust (EL) nr 600/2014, 24 samuti Euroopa Parlamendi ja nõukogu määrust (EL) nr 575/2013 25 ning Euroopa Parlamendi ja nõukogu direktiivi 2013/36/EL 26 . Komisjon tegi hiljuti ettepaneku täiendada seda raamistikku Euroopa Parlamendi ja nõukogu määrusega XX/YYYY [kavandatud määrus, mis käsitleb finantssektori digitaalset tegevuskerksust (edaspidi „DORA määrus“) 27 ], milles sätestatakse finantssektori ettevõtjatele IKT-riskide juhtimise, sealhulgas füüsilise IKT-taristu kaitsmise nõuded. Kuna lisa punktides 3 ja 4 loetletud üksuste vastupidavusvõimet on ELi finantsteenuste õigustikus põhjalikult käsitletud, tuleks ka neid üksusi käsitada kriitilise tähtsusega üksustega samaväärsetena üksnes käesoleva direktiivi II peatüki kohaldamisel. Tegevusriski ja digitaalset tegevuskerksust käsitlevate normide järjepideva kohaldamise tagamiseks finantssektoris peaksid [DORA määruse] artikli 41 kohaselt määratud asutused tagama liikmesriikide toetuse kriitilise tähtsusega üksustega samaväärsete finantssektori ettevõtjate üldise vastupidavusvõime suurendamisele, kohaldades täielikult ühtlustatud viisil kõnealuses õigusaktis sätestatud menetlusi.

(16)Liikmesriigid peaksid määrama pädevad asutused, kes teevad järelevalvet direktiivis sätestatud normide kohaldamise üle ja tagavad vajaduse korral nende täitmise, ning tagama, et sellistel asutustel on piisavad õigused ja ressursid. Võttes arvesse erinevusi liikmesriikide juhtimisstruktuurides ning selleks et kaitsta juba kehtivat valdkondlikku korda või liidu järelevalve- ja reguleerivaid asutusi ja vältida dubleerimist, peaksid liikmesriigid saama määrata rohkem kui ühe pädeva asutuse. Sellisel juhul peaksid nad aga selgelt piiritlema asjaomaste asutuste vastavad ülesanded ning tagama nende asutuste sujuva ja tõhusa koostöö. Samuti peaksid kõik pädevad asutused tegema laialdasemalt koostööd muude asjakohaste asutustega nii liikmesriikide kui ka liidu tasandil.

(17)Et hõlbustada piiriülest koostööd ja suhtlust ning käesolevat direktiivi tulemuslikult rakendada, peaks iga liikmesriik, ilma et see piiraks liidu valdkondlikke õigusnõudeid, nimetama ühes käesoleva direktiivi alusel pädevaks asutuseks määratud asutuses ühtse kontaktpunkti, kes vastutab kriitilise tähtsusega üksuste vastupidavusvõimega seotud küsimuste ja liidu tasandil selles valdkonnas tehtava piiriülese koostöö koordineerimise eest.

(18)Arvestades, et teise küberturvalisuse direktiivi alusel kohaldatakse nii kriitilise tähtsusega üksustena identifitseeritud üksuste kui ka selliste digitaristu sektoris identifitseeritud üksuste suhtes, keda tuleb käesoleva direktiivi alusel käsitada samaväärsetena, teises küberturvalisuse direktiivis sätestatud küberturvalisuse nõudeid, peaksid nende kahe direktiivi alusel määratud pädevad asutused tegema koostööd, eelkõige seoses küberturvalisuse riskide ja selliseid üksusi mõjutavate intsidentidega.

(19)Liikmesriigid peaksid toetama kriitilise tähtsusega üksusi vastupidavusvõime tugevdamisel kooskõlas käesolevast direktiivist tulenevate kohustustega, ilma et see piiraks nende üksuste endi juriidilist vastutust tagada kõnealuste kohustuste täitmine. Eelkõige saaksid liikmesriigid koostada juhendmaterjale ja metoodikaid, toetada õppusi kriitilise tähtsusega üksuste vastupidavusvõime testimiseks ja pakkuda koolitusi nende üksuste töötajatele. Võttes arvesse üksuste ja sektorite omavahelist seotust, peaksid liikmesriigid peale selle looma teabejagamisvahendid, et toetada vabatahtlikku teabe jagamist kriitilise tähtsusega üksuste vahel, ilma et see piiraks Euroopa Liidu toimimise lepingus sätestatud konkurentsieeskirjade kohaldamist.

(20)Selleks et kriitilise tähtsusega üksused suudaksid tagada oma vastupidavusvõime, peaks neil olema terviklik arusaam kõikidest asjakohastest riskidest, millega nad kokku puutuvad, ja nad peaks neid riske analüüsima. Sel eesmärgil peaksid nad tegema riskihindamise alati, kui see on nende konkreetset olukorda ja asjaomaste riskide muutumist arvesse võttes vajalik, ent igal juhul iga nelja aasta järel. Kriitilise tähtsusega üksuste riskihinnangud peaksid põhinema liikmesriikide tehtud riskihindamisel.

(21)Kriitilise tähtsusega üksused peaksid võtma nende ees seisvate riskide seisukohast asjakohaseid ja proportsionaalseid korralduslikke ja tehnilisi meetmeid, et intsidente ennetada, neile vastu panna, neid leevendada, nendega toime tulla ja kohaneda ning neist taastuda. Kuigi kriitilise tähtsusega üksused peaksid võtma meetmeid seoses kõikide käesolevas direktiivis täpsustatud punktidega, peaksid meetmete üksikasjad ja ulatus kajastama asjakohasel ja proportsionaalsel viisil erinevaid riske, mille iga üksus on oma riskihindamise raames kindlaks teinud, ja asjaomase üksuse eripärasid.

(22)Tulemuslikkuse ja vastutuse huvides peaksid kriitilise tähtsusega üksused kindlakstehtud riske arvesse võttes kirjeldama neid meetmeid vastupidavusvõimekavas või sellega samaväärses dokumendis või samaväärsetes dokumentides piisavalt üksikasjalikult kõnealuste eesmärkide täitmiseks ning seda kava praktikas kohaldama. Sellise(d) samaväärse(d) dokumendi(d) võib koostada kooskõlas nõuete ja normidega, mis on välja töötatud füüsilist kaitset käsitlevates rahvusvahelistes lepingutes, mille osalised liikmesriigid on, sealhulgas tuumamaterjali ja tuumarajatiste füüsilise kaitse konventsioonis, kui see on asjakohane.

(23)Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 300/2008, 28 Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 725/2004 29 ning Euroopa Parlamendi ja nõukogu direktiivis 2005/65/EÜ 30 on kehtestatud nõuded, mida kohaldatakse lennundus- ja meretranspordi sektorite üksuste suhtes, et ebaseaduslikust tegevusest põhjustatud intsidente vältida, neile vastu panna ning nende tagajärgedega toime tulla. Kuigi käesoleva direktiiviga nõutavad meetmed on käsitletud riskide ja võetavate meetmete liikide osas laiemad, peaksid asjaomaste sektorite kriitilise tähtsusega üksused kajastama oma vastupidavusvõimekavas või samaväärsetes dokumentides nimetatud muude liidu õigusaktide alusel võetud meetmeid. Peale selle võivad kriitilise tähtsusega üksused käesoleva direktiivi kohaste vastupidavusvõimemeetmete rakendamisel kaaluda valdkondliku tegevuse raames välja töötatud mittesiduvaid suuniseid ja head tava käsitlevaid dokumente, nagu ELi rongireisijate turvaplatvorm 31 . 

(24)Üha suuremaks probleemiks on oht, et kriitilise tähtsusega üksuste töötajad kuritarvitavad näiteks oma juurdepääsuõigusi üksuses kahju tekitamise eesmärgil. Seda ohtu süvendab kasvav radikaaliseerumine, mille tulemus on vägivaldne äärmuslus ja terrorism. Seepärast on vaja võimaldada kriitilise tähtsusega üksustel taotleda teatavatesse töötajate kategooriatesse kuuluvate isikute taustakontrolli ja tagada, et asjaomased asutused hindavad selliseid taotlusi kiiresti ning kooskõlas kohaldatavate liidu ja liikmesriigi õigusnormidega, sealhulgas isikuandmete kaitsenormidega.

(25)Niipea, kui see on antud asjaoludel põhjendatult võimalik, peaksid kriitilise tähtsusega üksused teavitama liikmesriikide pädevaid asutusi intsidentidest, mis nende tegevust oluliselt häirivad või võivad seda oluliselt teha. Teade peaks võimaldama pädevatel asutustel intsidendile kiiresti ja õigesti reageerida ning andma neile täieliku ülevaate üldistest riskidest, millega kriitilise tähtsusega üksused kokku puutuvad. Sel eesmärgil tuleks kehtestada teatavatest intsidentidest teatamise menetlus ja näha ette parameetrid, mille põhjal teha kindlaks, millisel juhul on reaalne või võimalik häire oluline ja millest tuleb sel põhjusel teatada. Arvestades selliste häirete võimalikku piiriülest mõju, tuleks liikmesriikide jaoks kehtestada menetlus teiste mõjutatud liikmesriikide teavitamiseks ühtsete kontaktpunktide kaudu.

(26)Kuigi kriitilise tähtsusega üksused tegutsevad üldiselt omavahel üha enam seotud teenuste osutamise ja taristute võrgustiku raames ning osutavad elutähtsaid teenuseid rohkem kui ühes liikmesriigis, on mõned sellised üksused liidu jaoks eriti tähtsad, sest nad osutavad elutähtsaid teenuseid paljudele liikmesriikidele, ja seega vajavad need liidu tasandil erijärelevalvet. Seepärast tuleks kehtestada normid üleeuroopaliselt oluliste kriitilise tähtsusega üksuste erijärelevalve kohta. Sellised normid ei piira käesolevas direktiivis kehtestatud järelevalve ja nõuete täitmise tagamise norme.

(27)Kui mõne liikmesriigi arvates on vaja lisateavet, et ta suudaks nõustada kriitilise tähtsusega üksust selle III peatükis sätestatud kohustuste täitmisel või hinnata kokkuleppel selle riigiga, kus üleeuroopaliselt olulise kriitilise tähtsusega üksuse taristu asub, kas kõnealune üksus täidab neid kohustusi, peaks komisjon korraldama nõuandemissiooni asjaomase üksuse kehtestatud meetmete hindamiseks. Selle tagamiseks, et nimetatud nõuandemissioonid toimuksid nõuetekohaselt, tuleks kehtestada täiendavad normid, eelkõige selliste missioonide korraldamise ja läbiviimise, vajalike järelmeetmete ning asjaomaste üleeuroopaliselt oluliste kriitilise tähtsusega üksuste kohustuste kohta. Ilma et see piiraks selle liikmesriigi, kus nõuandemissioon korraldatakse, ja asjaomase üksuse kohustust täita käesolevas direktiivis kehtestatud norme, tuleks nõuandemissioonid korraldada kooskõlas kõnealuse liikmesriigi õiguses sätestatud üksikasjalike normidega, mis käsitlevad näiteks täpseid tingimusi, mis tuleb asjaomastele rajatistele või dokumentidele juurdepääsu saamiseks täita, ja õiguskaitsevahendeid. Sellisteks missioonideks vajalikke konkreetseid eriteadmisi saab vajaduse korral taotleda hädaolukordadele reageerimise koordineerimiskeskuse kaudu.

(28)Selleks et toetada komisjoni ning hõlbustada strateegilist koostööd ja käesoleva direktiiviga seotud teemasid käsitleva teabe, sealhulgas parima tava vahetamist, tuleks komisjoni eksperdirühmana moodustada kriitilise tähtsusega üksuste vastupidavusvõime töörühm. Liikmesriigid peaksid kriitilise tähtsusega üksuste vastupidavusvõime töörühmas püüdma tagada oma pädevate asutuste määratud esindajate vahel tulemusliku ja tõhusa koostöö. Töörühm peaks alustama oma ülesannete täitmist kuus kuud pärast käesoleva direktiivi jõustumist, et pakkuda täiendavaid võimalusi nõuetekohaseks koostööks direktiivi ülevõtmisperioodi jooksul.

(29)Käesoleva direktiivi eesmärkide saavutamiseks ja ilma et see piiraks liikmesriikide ja kriitilise tähtsusega üksuste juriidilist vastutust tagada oma käesolevas direktiivis kehtestatud vastavate kohustuste täitmine, peaks komisjon võtma nende kohustuste täitmise hõlbustamiseks teatavaid toetusmeetmeid, kui ta peab seda asjakohaseks. Liikmesriike ja kriitilise tähtsusega üksusi käesolevas direktiivis kehtestatud kohustuste täitmisel toetades peaks komisjon tuginema olemasolevatele struktuuridele ja vahenditele, näiteks liidu elanikkonnakaitse mehhanismi ning elutähtsa infrastruktuuri kaitse Euroopa viitevõrgustiku struktuuridele ja vahenditele.

(30)Liikmesriigid peaksid tagama, et nende pädevatel asutustel on teatavad eriõigused käesoleva direktiivi nõuetekohaseks kohaldamiseks ja selle nõuete täitmise tagamiseks seoses kriitilise tähtsusega üksustega, kui sellised üksused kuuluvad vastavalt käesolevas direktiivis täpsustatule nende jurisdiktsiooni alla. Eelkõige peaksid kõnealused õigused hõlmama õigust teha kontrolle, järelevalvet ja auditeid, nõuda kriitilise tähtsusega üksustelt teabe ja tõendite esitamist meetmete kohta, mida nad on oma kohustuste täitmiseks võtnud, ning anda vajaduse korral korraldusi kindlakstehtud rikkumiste kõrvaldamiseks. Selliste korralduste andmise puhul ei tohiks liikmesriigid nõuda meetmeid, mis lähevad kaugemale sellest, mis on vajalik ja proportsionaalne asjaomase kriitilise tähtsusega üksuse nõuetelevastavuse tagamiseks, võttes arvesse eelkõige rikkumise raskusastet ja kriitilise tähtsusega üksuse majanduslikku suutlikkust. Üldjuhul peaksid selliste õigustega kaasnema sobilikud ja tulemuslikud kaitsemeetmed, mis täpsustatakse liikmesriigi õiguses kooskõlas Euroopa Liidu põhiõiguste hartast tulenevate nõuetega. Hinnates, kas kriitilise tähtsusega üksus täidab oma käesolevast direktiivist tulenevaid kohustusi, peaks käesoleva direktiivi alusel määratud pädevatel asutustel olema võimalik taotleda teise küberturvalisuse direktiivi alusel määratud pädevatelt asutustelt asjaomaste üksuste küberturvalisuse hindamist. Sel eesmärgil peaksid kõnealused pädevad asutused tegema koostööd ja vahetama teavet.

(31)Selleks et võtta arvesse uusi riske, tehnoloogia arengut või ühe või mitme sektori eripärasid, tuleks komisjonile kooskõlas Euroopa Liidu toimimise lepingu artikliga 290 delegeerida õigus võtta vastu akte, et täiendada kriitilise tähtsusega üksuste võetavaid vastupidavusvõimemeetmeid, täpsustades veelgi mõningaid või kõiki selliseid meetmeid. On eriti oluline, et komisjon korraldaks oma ettevalmistava töö käigus asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid toimuks kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes 32 sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide ettevalmistamises võrdne osalemine, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, kus arutatakse delegeeritud õigusaktide ettevalmistamist.

(32)Selleks et tagada käesoleva direktiivi rakendamise ühetaolised tingimused, tuleks komisjonile anda rakendamisvolitused. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 33 .

(33)Kuna käesoleva direktiivi eesmärki, nimelt tagada elutähtsa ühiskondliku funktsiooni või majandustegevuse säilitamiseks vajalike teenuste osutamine siseturul ning suurendada selliseid teenuseid osutavate kriitilise tähtsusega üksuste vastupidavusvõimet, ei suuda liikmesriigid piisavalt saavutada, küll aga saab seda meetme toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis 5 sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(34)Seepärast tuleks direktiiv 2008/114/EÜ kehtetuks tunnistada,

ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:

I peatükk
Reguleerimisese, kohaldamisala ja mõisted

Artikkel 1
Reguleerimisese ja kohaldamisala

1.Käesolevas direktiivis kehtestatakse

(a)liikmesriikidele kohustus võtta teatavaid meetmeid, mille eesmärk on tagada elutähtsa ühiskondliku funktsiooni või majandustegevuse säilitamiseks vajalike teenuste osutamine siseturul, eelkõige identifitseerida kriitilise tähtsusega üksused ja üksused, mida tuleb teatavates aspektides käsitada samaväärsetena, ning võimaldada neil täita oma kohustusi;

(b)kriitilise tähtsusega üksustele kohustused, mille eesmärk on suurendada nende vastupidavusvõimet ja parandada nende suutlikkust osutada siseturul teenuseid;

(c)normid kriitilise tähtsusega üksuste järelevalve ja nendepoolse nõuete täitmise tagamise kohta ning üleeuroopaliselt oluliste kriitilise tähtsusega üksuste erijärelevalve kohta.

2.Ilma et see piiraks artikli 7 kohaldamist, ei kohaldata käesolevat direktiivi küsimuste suhtes, mida on käsitletud direktiivis (EL) XX/YY [kavandatav direktiiv, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi „teine küberturvalisuse direktiiv“)].

3.Kui liidu valdkondlike õigusaktide sätetega nõutakse kriitilise tähtsusega üksustelt III peatükis sätestatud meetmete võtmist ja kui need nõuded on vähemalt samaväärsed käesolevas direktiivis sätestatud kohustustega, ei kohaldata käesoleva direktiivi asjaomaseid sätteid, sealhulgas VI peatükis kehtestatud sätteid järelevalve ja nõuete täitmise tagamise kohta.

4.Ilma et see piiraks ELi toimimise lepingu artikli 346 kohaldamist, tuleks teavet, mis on liidu ja liikmesriikide õigusnormide, näiteks ärisaladust käsitlevate õigusnormide kohaselt konfidentsiaalne, vahetada komisjoni ja teiste asjakohaste asutustega ainult siis, kui selline teabevahetus on käesoleva direktiivi kohaldamiseks vajalik. Vahetada võib ainult teavet, mis on teabevahetuse eesmärgi seisukohast oluline ja proportsionaalne. Teabevahetuse puhul tuleb säilitada asjaomase teabe konfidentsiaalsus ning kaitsta kriitilise tähtsusega üksuste turvalisust ja ärihuve.

Artikkel 2
Mõisted

Käesolevas direktiivis kasutatakse järgmisi mõisteid:

(1)„kriitilise tähtsusega üksus“ – lisas nimetatud liiki avalik-õiguslik või eraõiguslik üksus, mille liikmesriik on kooskõlas artikliga 5 sellisena identifitseerinud;

(2)„vastupidavusvõime“ – suutlikkus kriitilise tähtsusega üksuse tegevust häirivaid või häirida võivaid intsidente ennetada, neile vastu panna, neid leevendada, nendega toime tulla ja kohaneda ning neist taastuda;

(3)„intsident“ – igasugune sündmus, mis võib häirida või häirib kriitilise tähtsusega üksuse tegevust;

(4)„taristu“ – elutähtsa teenuse osutamiseks vajalik vara, süsteem või selle osa;

(5)„elutähtis teenus“ – teenus, mis on vajalik elutähtsa ühiskondliku funktsiooni või majandustegevuse säilitamiseks;

(6)„risk“ – asjaolu või sündmus, mis võib kahjustada kriitilise tähtsusega üksuste vastupidavusvõimet;

(7)„riskihindamine“ – metoodika riski olemuse ja ulatuse kindlaksmääramiseks, analüüsides võimalikke ohte ja hinnates olemasolevaid haavatavusega seotud tingimusi, mis võivad kriitilise tähtsusega üksuse tegevust häirida.

II peatükk
Kriitilise tähtsusega üksuste vastupidavusvõime riiklikud raamistikud

Artikkel 3
Kriitilise tähtsusega üksuste vastupidavusvõime strateegia

1.Iga liikmesriik võtab [kolm aastat pärast käesoleva direktiivi jõustumist] vastu strateegia kriitilise tähtsusega üksuste vastupidavusvõime tugevdamiseks. Selles strateegias kehtestatakse strateegilised eesmärgid ja poliitikameetmed seoses kõnealuste kriitilise tähtsusega üksuste vastupidavusvõime kõrge taseme saavutamise ja säilitamisega ning see hõlmab vähemalt lisas nimetatud sektoreid.

2.Strateegia sisaldab vähemalt järgmisi elemente:

(a)strateegilised eesmärgid ja prioriteedid kriitilise tähtsusega üksuste üldise vastupidavusvõime suurendamiseks, võttes arvesse piiri- ja sektoriteülest omavahelist seotust;

(b)juhtimisraamistik strateegiliste eesmärkide ja prioriteetide saavutamiseks, sealhulgas eri ametiasutuste, kriitilise tähtsusega üksuste ja teiste strateegia rakendamises osalevate isikute rollide ja vastutusalade kirjeldus;

(c)kriitilise tähtsusega üksuste üldise vastupidavusvõime suurendamiseks vajalike meetmete, sealhulgas riikliku riskihindamise, kriitilise tähtsusega üksuste ja kriitilise tähtsusega üksustega samaväärsete üksuste identifitseerimise ning käesoleva peatüki alusel kriitilise tähtsusega üksuste toetamiseks võetud meetmete kirjeldus;

(d)poliitikaraamistik käesoleva direktiivi artikli 8 kohaselt ja [teise küberturvalisuse direktiivi] kohaselt määratud pädevate asutuste vaheliseks tõhusamaks koordineerimiseks intsidente ja küberohte käsitleva teabe jagamise ning järelevalveülesannete täitmise eesmärgil.

Strateegiat ajakohastatakse vajaduse korral ja vähemalt iga nelja aasta järel.

3.Liikmesriigid edastavad oma strateegiad ja strateegiate ajakohastused komisjonile kolme kuu jooksul alates nende vastuvõtmisest.

Artikkel 4
Liikmesriikide tehtav riskihindamine

1.Artikli 8 kohaselt määratud pädevad asutused koostavad loetelu elutähtsatest teenustest lisas nimetatud sektorites. Nad hindavad [kolm aastat pärast käesoleva direktiivi jõustumist] ning järgnevalt vajaduse korral ja vähemalt iga nelja aasta järel kõiki asjakohaseid riske, mis võivad mõjutada selliste elutähtsate teenuste osutamist, et identifitseerida kriitilise tähtsusega üksused kooskõlas artikli 5 lõikega 1 ja toetada neid kriitilise tähtsusega üksusi artikli 11 kohaste meetmete võtmisel.

Riskihindamisel võetakse arvesse kõiki asjakohaseid looduslikke ja inimtegevusest tingitud riske, sealhulgas õnnetusi, looduskatastroofe, rahvatervisealaseid hädaolukordi ja vaenulikest aktidest tingitud ohte, muu hulgas Euroopa Parlamendi ja nõukogu direktiivi (EL) 2017/541 34 kohaseid terroriakte.

2.Riskihindamisel võtavad liikmesriigid arvesse vähemalt järgmist:

(a)Euroopa Parlamendi ja nõukogu otsuse nr 1313/2013/EL 35 artikli 6 lõike 1 alusel tehtud üldine riskihinnang;

(b)muud asjakohased riskihinnangud, mis on tehtud kooskõlas asjakohaste liidu valdkondlike õigusaktide, sealhulgas Euroopa Parlamendi ja nõukogu määruse (EL) 2019/941 36 ning Euroopa Parlamendi ja nõukogu määruse (EL) 2017/1938 37 nõuetega;

(c)riskid, mis tulenevad lisas nimetatud sektorite, sealhulgas muude liikmesriikide ja kolmandate riikide sektorite omavahelisest seotusest, ning ühes sektoris esineva häire võimalikust mõjust teistele sektoritele;

(d)kogu teave intsidentide kohta, millest on teatatud kooskõlas artikliga 13.

Esimese lõigu punkti c kohaldamisel teevad liikmesriigid vastavalt vajadusele koostööd muude liikmesriikide ja kolmandate riikide pädevate asutustega.

3.Liikmesriigid teevad lõikes 1 nimetatud riskihinnangu asjakohased elemendid kättesaadavaks kriitilise tähtsusega üksustele, kelle nad on kooskõlas artikliga 5 identifitseerinud, et aidata kõnealustel kriitilise tähtsusega üksustel teha vastavalt artiklile 10 oma riskihindamine ja võtta vastavalt artiklile 11 meetmed oma vastupidavusvõime tagamiseks.

4.Iga liikmesriik esitab komisjonile [kolm aastat pärast käesoleva direktiivi jõustumist] ning järgnevalt vajaduse korral ja vähemalt iga nelja aasta järel andmed kindlakstehtud riskide liikide ja riskihindamise tulemuste kohta lisas nimetatud sektorite ja allsektorite kaupa.

5.Komisjon võib koostöös liikmesriikidega koostada lõike 4 nõuete täitmiseks ühise vabatahtliku aruandevormi.

Artikkel 5
Kriitilise tähtsusega üksuste identifitseerimine

1.[Kolm aastat ja kolm kuud pärast käesoleva direktiivi jõustumist] identifitseerivad liikmesriigid kriitilise tähtsusega üksused kõikides sektorites ja allsektorites, mida on nimetatud lisas, välja arvatud selle punktides 3, 4 ja 8.

2.Lõike 1 kohasel kriitilise tähtsusega üksuste identifitseerimisel võtavad liikmesriigid arvesse artikli 4 kohase riskihindamise tulemusi ja kohaldavad järgmisi kriteeriume:

(a)üksus osutab üht või mitut elutähtsat teenust;

(b)asjaomase teenuse osutamine sõltub liikmesriigis paiknevast taristust ja

(c)intsidendil oleks oluline häiriv mõju asjaomase teenuse või sellest teenusest sõltuvate muude elutähtsate teenuste osutamisele lisas nimetatud sektorites.

3.Iga liikmesriik koostab identifitseeritud kriitilise tähtsusega üksuste loetelu ja tagab, et nendele kriitilise tähtsusega üksustele teatatakse nende kriitilise tähtsusega üksusena identifitseerimisest ühe kuu jooksul alates identifitseerimisest, teavitades neid nende II ja III peatüki kohastest kohustustest ning kuupäevast, alates millest kõnealuste peatükkide sätteid nende suhtes kohaldatakse.

Asjaomaste kriitilise tähtsusega üksuste suhtes kohaldatakse käesoleva peatüki sätteid alates teavitamise kuupäevast ja III peatüki sätteid alates ajast, mil kõnealusest kuupäevast on möödunud kuus kuud.

4.Liikmesriigid tagavad, et nende käesoleva direktiivi artikli 8 kohaselt määratud pädevad asutused teavitavad liikmesriikide [teise küberturvalisuse direktiivi] artikli 8 alusel määratud pädevaid asutusi käesoleva artikli alusel identifitseeritud kriitilise tähtsusega üksustest ühe kuu jooksul alates nende identifitseerimisest.

5.Pärast lõikes 3 nimetatud teavitamist tagavad liikmesriigid, et kriitilise tähtsusega üksused esitavad käesoleva direktiivi artikli 8 kohaselt määratud pädevatele asutustele teabe selle kohta, kas nad on identifitseeritud kriitilise tähtsusega üksusena ühes või mitmes muus liikmesriigis. Kui üksus on identifitseeritud kriitilise tähtsusega kahes või enamas liikmesriigis, konsulteerivad need liikmesriigid omavahel eesmärgiga vähendada kriitilise tähtsusega üksuse koormust seoses III peatükist tulenevate kohustustega.

6.IV peatüki kohaldamisel tagavad liikmesriigid, et kriitilise tähtsusega üksused esitavad pärast lõikes 3 nimetatud teavitamist nende käesoleva direktiivi artikli 8 kohaselt määratud pädevatele asutustele teabe selle kohta, kas nad osutavad elutähtsaid teenuseid rohkem kui ühele kolmandikule liikmesriikidele või rohkem kui ühes kolmandikus liikmesriikides. Sellisel juhul teavitavad asjaomased liikmesriigid viivitamata komisjoni sellistest kriitilise tähtsusega üksustest.

7.Vajaduse korral ja igal juhul vähemalt iga nelja aasta järel vaatavad liikmesriigid identifitseeritud kriitilise tähtsusega üksuste loetelu läbi ja ajakohastavad seda, kui see on asjakohane.

Kui sellise ajakohastamise tulemusel identifitseeritakse täiendavaid kriitilise tähtsusega üksusi, kohaldatakse lõikeid 3, 4, 5 ja 6. Peale selle tagavad liikmesriigid, et üksusi, keda sellise ajakohastamise tulemusel enam ei identifitseerita kriitiliselt tähtsana, teavitatakse sellest ja asjaolust, et alates asjaomase teabe kättesaamisest III peatükist tulenevad kohustused nende suhtes enam ei kehti.

Artikkel 6
Oluline häiriv mõju

1.Artikli 5 lõike 2 punktis c nimetatud häiriva mõju olulisuse kindlakstegemisel võtavad liikmesriigid arvesse järgmisi kriteeriume:

(a)üksuse osutatavatest teenustest sõltuvate kasutajate arv;

(b)muude lisas nimetatud sektorite sõltuvus asjaomasest teenusest;

(c)intsidentide võimalik mõju (raskusaste ja kestus) majandus- ja ühiskondlikule tegevusele, keskkonnale ja avalikule julgeolekule;

(d)üksuse turuosa selliste teenuste turul;

(e)geograafiline ala, mida intsident võiks mõjutada, sealhulgas võimalik piiriülene mõju;

(f)üksuse tähtsus teenuse piisava kvaliteedi säilitamisel, võttes arvesse alternatiivide olemasolu kõnealuse teenuse osutamiseks.

2.Liikmesriigid esitavad komisjonile [kolm aastat ja kolm kuud pärast käesoleva direktiivi jõustumist] järgmise teabe:

(a)artikli 4 lõikes 1 nimetatud teenuste loetelu;

(b)igas lisas nimetatud sektoris ja allsektoris identifitseeritud kriitilise tähtsusega üksuste arv ning artikli 4 lõikes 1 nimetatud teenus või teenused, mida iga üksus osutab;

(c)võimalikud künnised, mida kohaldatakse ühe või mitme lõikes 1 esitatud kriteeriumi täpsustamiseks.

Seejärel esitavad nad kõnealuse teabe vajaduse korral ja vähemalt iga nelja aasta järel.

3.Pärast kriitilise tähtsusega üksuste vastupidavusvõime töörühmaga konsulteerimist võib komisjon võtta vastu suuniseid, et hõlbustada lõikes 1 nimetatud kriteeriumide kohaldamist, võttes arvesse lõikes 2 nimetatud teavet.

Artikkel 7
Käesoleva peatüki kohased kriitilise tähtsusega üksustega samaväärsed üksused

1. Lisa punktides 3, 4 ja 8 nimetatud sektorites identifitseerivad liikmesriigid [kolm aastat ja kolm kuud pärast käesoleva direktiivi jõustumist] üksused, mida käsitatakse käesoleva peatüki kohaldamisel kriitilise tähtsusega üksustega samaväärsetena. Liikmesriigid kohaldavad selliste üksuste suhtes artikleid 3 ja 4, artikli 5 lõikeid 1–4 ja 7 ning artiklit 9.

2. Lisa punktides 3 ja 4 nimetatud lõike 1 kohaselt identifitseeritud sektorite üksuste puhul tagavad liikmesriigid artikli 8 lõike 1 kohaldamisel, et pädevate asutustena määratud asutused on [DORA määruse] artikli 41 kohaselt määratud pädevad asutused.

3. Liikmesriigid tagavad, et lõikes 1 nimetatud üksusi teavitatakse põhjendamatu viivituseta nende identifitseerimisest käesolevas artiklis nimetatud üksustena.

Artikkel 8
Pädevad asutused ja ühtne kontaktpunkt

1.Iga liikmesriik määrab ühe või mitu pädevat asutust, kes vastutavad käesoleva direktiivi normide nõuetekohase kohaldamise ja vajaduse korral nende täitmise tagamise eest riigi tasandil (edaspidi „pädev asutus“). Liikmesriigid võivad määrata juba tegutseva asutuse või tegutsevad asutused.

Kui liikmesriigid määravad rohkem kui ühe asutuse, kehtestavad nad selgelt asjaomaste asutuste vastavad ülesanded ja tagavad, et need asutused teevad käesoleva direktiivi kohaste ülesannete täitmisel tõhusat koostööd, muu hulgas seoses lõikes 2 nimetatud ühtse kontaktpunkti määramise ja tegevusega.

2.Iga liikmesriik määrab pädevas asutuses ühtse kontaktpunkti, kes täidab sidepidamisfunktsiooni, et tagada piiriülene koostöö teiste liikmesriikide pädevate asutuste ja artiklis 16 nimetatud kriitilise tähtsusega üksuste vastupidavusvõime töörühmaga (edaspidi „ühtne kontaktpunkt“).

3.[Kolm aastat ja kuus kuud pärast käesoleva direktiivi jõustumist] ja seejärel igal aastal esitavad ühtsed kontaktpunktid komisjonile ja kriitilise tähtsusega üksuste vastupidavusvõime töörühmale saadud teadete kohta kokkuvõtva aruande, mis hõlmab teadete arvu, teatatud intsidentide olemust ja artikli 13 lõike 3 alusel võetud meetmeid.

4.Iga liikmesriik tagab, et pädeval asutusel, sealhulgas selles asutuses määratud ühtsel kontaktpunktil on volitused ning piisavad finants-, inim- ja tehnilised ressursid, et talle pandud ülesandeid tulemuslikult ja tõhusalt täita.

5.Liikmesriigid tagavad, et nende pädevad asutused konsulteerivad vajaduse korral ning kooskõlas liidu ja liikmesriigi õigusega teiste asjakohaste riiklike asutustega, eelkõige elanikkonnakaitse, õiguskaitse ja isikuandmete kaitse eest vastutavate asutustega, samuti asjakohaste huvitatud isikute, sealhulgas kriitilise tähtsusega üksustega, ja teevad nendega koostööd.

6.Liikmesriigid tagavad, et nende käesoleva artikli kohaselt määratud pädevad asutused teevad [teise küberturvalisuse direktiivi] kohaselt määratud pädevate asutustega koostööd küsimustes, mis puudutavad kriitilise tähtsusega üksusi mõjutavaid küberturvalisuse riske ja küberintsidente, samuti kriitilise tähtsusega üksuste jaoks olulisi meetmeid, mille on võtnud [teise küberturvalisuse direktiivi] alusel määratud pädevad asutused.

7.Iga liikmesriik teavitab komisjoni pädeva asutuse ja ühtse kontaktpunkti määramisest kolme kuu jooksul alates sellisest määramisest, sealhulgas nende käesoleva direktiivi kohastest täpsetest ülesannetest ja kohustustest ning nende kontaktandmetest ja nendega seotud hilisematest muudatustest. Iga liikmesriik avalikustab teabe pädeva asutuse ja ühtse kontaktpunkti määramise kohta.

8.Komisjon avaldab liikmesriikide ühtsete kontaktpunktide loetelu.

Artikkel 9
Liikmesriikide toetus kriitilise tähtsusega üksustele

1.Liikmesriigid toetavad kriitilise tähtsusega üksusi nende vastupidavusvõime suurendamisel. Kõnealune toetus võib hõlmata juhendmaterjalide ja metoodikate koostamist, nende üksuste vastupidavusvõime testimiseks õppuste korraldamise toetamist ja kriitilise tähtsusega üksuste töötajatele koolituse pakkumist.

2.Liikmesriigid tagavad, et pädevad asutused teevad lisas nimetatud sektorite kriitilise tähtsusega üksustega koostööd ning jagavad nendega teavet ja head tava.

3.Liikmesriigid loovad teabejagamisvahendid, et toetada käesoleva direktiiviga hõlmatud küsimustes kriitilise tähtsusega üksuste vahel vabatahtlikku teabe jagamist, eelkõige kooskõlas konkurentsi ja isikuandmete kaitse valdkonda käsitleva liidu ja liikmesriikide õigusega.

III peatükk
Kriitilise tähtsusega üksuste vastupidavusvõime

Artikkel 10
Kriitilise tähtsusega üksuste tehtav riskihindamine

Liikmesriigid tagavad, et kriitilise tähtsusega üksused hindavad kuue kuu jooksul pärast artikli 5 lõikes 3 nimetatud teate saamist ning seejärel vajaduse korral ja vähemalt iga nelja aasta järel liikmesriikide riskihinnangute ja muude asjakohaste teabeallikate põhjal kõiki asjaomaseid riske, mis võivad nende tegevust häirida.

Riskihindamisel võetakse arvesse kõiki artikli 4 lõikes 1 nimetatud asjakohaseid riske, mille tulemusel võib oluliste teenuste osutamine olla häiritud. Selles võetakse arvesse lisas nimetatud muude sektorite võimalikku sõltuvust kriitilise tähtsusega üksuse osutatavatest elutähtsatest teenustest, sealhulgas vajaduse korral naaberliikmesriikides ja kolmandates riikides, ning ühe või mitme kõnealuse sektori elutähtsate teenuste osutamisel esineva häire võimalikku mõju kriitilise tähtsusega üksuse osutatavatele elutähtsatele teenustele.

Artikkel 11
Kriitilise tähtsusega üksuste vastupidavusvõimemeetmed

1.Liikmesriigid tagavad, et kriitilise tähtsusega üksused võtavad asjakohased ja proportsionaalsed tehnilised ja korralduslikud meetmed oma vastupidavusvõime tagamiseks, sealhulgas meetmed, mis on vajalikud selleks, et:

(a)ennetada intsidente, sealhulgas katastroofiohu vähendamise ja kliimamuutustega kohanemise meetmete kaudu;

(b)tagada tundlike alade, rajatiste ja muu taristu piisav füüsiline kaitse, sealhulgas tarade, tõkete, perimeetrivalvevahendite ja -rutiinide, samuti tuvastamisseadmete ja juurdepääsukontrollide abil;

(c)panna vastu intsidentele ja leevendada nende tagajärgi, sealhulgas riski- ja kriisiohje menetluste ja protokollide ja hoiatusrutiinide rakendamise kaudu;

(d)intsidentidest taastumine, sealhulgas talitluspidevuse meetmed ja alternatiivsete tarneahelate kindlakstegemine;

(e)töötajatega seotud julgeoleku piisava haldamise tagamine, muu hulgas elutähtsaid ülesandeid täitvate töötajate kategooriate määramise ning tundlikele aladele, rajatistele ja muule taristule ja tundlikule teabele juurdepääsu õiguste kehtestamise, samuti artikli 12 tähenduses töötajate erikategooriate määratlemise teel;

(f)asjaomaste töötajate teadlikkuse suurendamine punktides a–e nimetatud meetmetest.

2.Liikmesriigid tagavad, et kriitilise tähtsusega üksused on koostanud vastupidavusvõimekava või samaväärse(d) dokumendi(d), milles on üksikasjalikult kirjeldatud lõike 1 kohaseid meetmeid, ja et nad seda kava või neid dokumente järgivad. Kui kriitilise tähtsusega üksused on võtnud meetmeid kooskõlas muudes liidu õigusaktides kehtestatud kohustustega, mis on asjakohased ka lõikes 1 nimetatud meetmete seisukohast, kirjeldavad nad neid meetmeid ka vastupidavusvõimekavas või samaväärses dokumendis või samaväärsetes dokumentides.

3.Kriitilise tähtsusega üksuse identifitseerinud liikmesriigi taotlusel ja asjaomase kriitilise tähtsusega üksuse nõusolekul korraldab komisjon kooskõlas artikli 15 lõigetes 4, 5, 7 ja 8 kehtestatud korraga nõuandemissioone, et nõustada asjaomast kriitilise tähtsusega üksust tema III peatükist tulenevate kohustuste täitmisel. Nõuandemissiooni tulemustest teavitatakse komisjoni, kõnealust liikmesriiki ja asjaomast kriitilise tähtsusega üksust.

4.Komisjonil on õigus võtta kooskõlas artikliga 21 vastu lõiget 1 täiendavaid delegeeritud õigusakte, milles kehtestatakse üksikasjalikud normid teatavate või kõikide meetmete kohta, mis tuleb vastavalt sellele lõikele võtta. Komisjon võtab need delegeeritud õigusaktid vastu siis, kui see on vajalik kõnealuse lõike tulemuslikuks ja järjepidevaks kohaldamiseks kooskõlas käesoleva direktiivi eesmärkidega, võttes arvesse mis tahes asjakohaseid muutusi riskides, tehnoloogias või asjaomaste teenuste osutamises ning konkreetsete sektorite ja üksuste liikide eripärasid.

5.Komisjon võtab vastu rakendusaktid, et kehtestada vajalikud tehnilised ja metoodilised üksikasjad lõikes 1 nimetatud meetmete kohaldamise kohta. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 20 lõikes 2 nimetatud kontrollimenetlusega.

Artikkel 12
Taustakontrollid

1.Liikmesriigid tagavad, et kriitilise tähtsusega üksustel on võimalik esitada taotlusi teatavatesse töötajate kategooriatesse kuuluvate isikute, sealhulgas selliste isikute, kelle töölevõtmist nendesse kategooriatesse kuuluvatele ametikohtadele kaalutakse, taustakontrolli tegemiseks, ja et asutused, kes on pädevad selliseid taustakontrolle tegema, hindavad kõnealuseid taotlusi kiiresti.

2.Kooskõlas kohaldatavate liidu ja liikmesriikide õigusaktidega, sealhulgas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/679/EL, 38 peab lõikes 1 nimetatud taustakontroll

(a)tuvastama tõendavate dokumentide alusel isiku isikusamasuse;

(b)hõlmama karistusregistri andmeid vähemalt viimase viie aasta ja maksimaalselt kümne aasta kohta seoses selliste süütegudega, mis on konkreetsele ametikohale töölevõtmise seisukohast olulised, isiku kodakondsusjärgses liikmesriigis või kodakondsusjärgsetes liikmesriikides ja kõikides liikmesriikides või kolmandates riikides, kus on selle aja jooksul olnud tema elukoht;

(c)hõlmama varasemaid töökohti, haridust ja võimalikke lünki isiku haridus- või tööteel vähemalt viimase viie aasta ja maksimaalselt kümne aasta kohta.

Seoses esimese lõigu punktiga b tagavad liikmesriigid, et nende ametiasutused, kes on pädevad taustakontrolle tegema, saavad teistelt liikmesriikidelt teabe karistusregistri andmete kohta Euroopa karistusregistrite infosüsteemi (ECRIS) kaudu kooskõlas nõukogu raamotsuses 2009/315/JSK ning vajaduse korral Euroopa Parlamendi ja nõukogu määruses (EL) 2019/816 39 sätestatud menetlustega. Kõnealuse raamotsuse artiklis 3 ja kõnealuse määruse artikli 3 punktis 5 nimetatud keskasutused vastavad sellistele teabepäringutele kümne tööpäeva jooksul alates taotluse saamisest.

3.Kooskõlas kohaldatavate liidu ja liikmesriikide õigusaktidega, sealhulgas määrusega (EL) 2016/679, tagavad kõik liikmesriigid, et lõikes 1 nimetatud taustakontrolli saab kriitilise tähtsusega üksuse põhjendatud taotluse alusel ka laiendada, et tugineda luureteabele ja muule kättesaadavale objektiivsele teabele, mis võib olla vajalik selleks, et teha kindlaks asjaomase isiku sobivus ametikohale, mille suhtes kriitilise tähtsusega üksus on laiendatud taustakontrolli taotlenud.

Artikkel 13
Intsidentidest teatamine

1.Liikmesriigid tagavad, et kriitilise tähtsusega üksused teavitavad pädevat asutust põhjendamatu viivituseta intsidentidest, mis nende tegevust oluliselt häirivad või võivad oluliselt häirida. Teated sisaldavad kogu kättesaadavat teavet, mis on vajalik selleks, et pädev asutus mõistaks intsidendi olemust, põhjust ja võimalikke tagajärgi, muu hulgas selleks, et teha kindlaks intsidendi võimalik piiriülene mõju. Selline teatamine ei suurenda kriitilise tähtsusega üksuse vastutust.

2.Intsidendist tingitud häire või võimaliku häire olulisuse kindlakstegemiseks kriitilise tähtsusega üksuse tegevuse jaoks võetakse arvesse eelkõige järgmisi parameetreid:

(a)häirest või võimalikust häirest mõjutatud kasutajate arv;

(b)häire kestus või võimaliku häire eeldatav kestus;

(c)häirest või võimalikust häirest mõjutatud geograafiline piirkond.

3.Kriitilise tähtsusega üksuse teates esitatud teabe põhjal teavitab pädev asutus oma ühtse kontaktpunkti kaudu teiste mõjutatud liikmesriikide ühtseid kontaktpunkte, kui intsident mõjutab või võib oluliselt mõjutada kriitilise tähtsusega üksuseid ja elutähtsate teenuste osutamise jätkamist ühes või mitmes muus liikmesriigis.

Seda tehes peab ühtne kontaktpunkt vastavalt liidu õigusele või liidu õigusega kooskõlas olevatele liikmesriigi õigusele käsitlema teavet viisil, milles võetakse arvesse selle konfidentsiaalsust ning kaitstakse asjaomase kriitilise tähtsusega üksuse turvalisust ja ärihuve.

4.Pärast lõike 1 kohast teavitamist esitab pädev asutus teate esitanud kriitilise tähtsusega üksusele võimalikult kiiresti asjakohase teabe teate suhtes võetud järelmeetmete kohta, sealhulgas teabe, mis võib aidata kriitilise tähtsusega üksusel intsidendile tulemuslikult reageerida.

IV peatükk
Erijärelevalve üleeuroopaliselt oluliste kriitilise tähtsusega üksuste üle

Artikkel 14
Üleeuroopaliselt olulised kriitilise tähtsusega üksused

1.Üleeuroopaliselt oluliste kriitilise tähtsusega üksuste üle tehakse kooskõlas käesoleva peatükiga erijärelevalvet.

2.Üksust käsitatakse üleeuroopaliselt olulise kriitilise tähtsusega üksusena juhul, kui see on identifitseeritud kriitilise tähtsusega üksusena ja osutab elutähtsaid teenuseid rohkem kui ühele kolmandikule liikmesriikidele või rohkem kui ühes kolmandikus liikmesriikides ning sellest on komisjonile teatatud vastavalt artikli 5 lõigete 1 ja 6 kohaselt.

3.Pärast artikli 5 lõike 6 kohase teate saamist teatab komisjon põhjendamatu viivituseta asjaomasele üksusele, et teda käsitatakse üleeuroopaliselt olulise kriitilise tähtsusega üksusena, teavitades teda tema käesolevast peatükist tulenevatest kohustustest ja kuupäevast, alates millest need kohustused tema suhtes kehtivad.

Käesoleva peatüki sätteid kohaldatakse asjaomase üleeuroopaliselt olulise kriitilise tähtsusega üksuse suhtes alates kõnealuse teate kättesaamise kuupäevast.

Artikkel 15
Erijärelevalve

1.Ühe või mitme liikmesriigi või komisjoni taotlusel teavitab liikmesriik, kus üleeuroopaliselt olulise kriitilise tähtsusega üksuse taristu paikneb, koos asjaomase üksusega komisjoni ja kriitilise tähtsusega üksuste vastupidavusvõime töörühma artikli 10 kohaselt tehtud riskihindamise tulemustest ja kooskõlas artikliga 11 võetud meetmetest.

Samuti teavitab see liikmesriik komisjoni ja kriitilise tähtsusega üksuste vastupidavusvõime töörühma põhjendamatu viivituseta kõikidest järelevalve- või nõuete täitmise tagamise meetmetest, sealhulgas kõikidest tema pädeva asutuse poolt artiklite 18 ja 19 kohaselt asjaomase üksuse suhtes tehtud nõuetelevastavuse hindamistest või antud korraldustest.

2.Ühe või mitme liikmesriigi taotlusel või omal algatusel ja kokkuleppel liikmesriigiga, kus üleeuroopaliselt olulise kriitilise tähtsusega üksuse taristu paikneb, korraldab komisjon nõuandemissiooni, et hinnata meetmeid, mille asjaomane üksus on oma III peatükist tulenevate kohustuste täitmiseks kehtestanud. Vajaduse korral võib nõuandemissiooni jaoks taotleda hädaolukordadele reageerimise koordineerimiskeskuse kaudu katastroofiohu juhtimisega seotud eriteadmisi.

3.Komisjoni, kriitilise tähtsusega üksuste vastupidavusvõime töörühma ja asjaomast üleeuroopaliselt olulist kriitilise tähtsusega üksust teavitatakse nõuandemissiooni järeldustest kolme kuu jooksul pärast nõuandemissiooni lõpuleviimist.

Kriitilise tähtsusega üksuste vastupidavusvõime töörühm analüüsib aruannet ja annab komisjonile vajaduse korral nõu selle kohta, kas asjaomane üleeuroopaliselt oluline kriitilise tähtsusega üksus täidab III peatükist tulenevaid kohustusi, ja kui see on asjakohane, siis selle kohta, mis meetmeid saaks kõnealuse üksuse vastupidavusvõime parandamiseks võtta.

Nende nõuannete põhjal esitab komisjon liikmesriigile, kus asjaomase üksuse taristu paikneb, kriitilise tähtsusega üksuste vastupidavusvõime töörühmale ja asjaomasele üksusele seisukohad selle kohta, kas see üksus täidab III peatükist tulenevaid kohustusi, ja kui see on asjakohane, siis selle kohta, mis meetmeid saaks kõnealuse üksuse vastupidavusvõime parandamiseks võtta.

Asjaomane liikmesriik võtab neid seisukohti nõuetekohaselt arvesse ning esitab komisjonile ja kriitilise tähtsusega üksuste vastupidavusvõime töörühmale teabe kõikide meetmete kohta, mida ta on selle teate põhjal võtnud.

4.Igas nõuandemissioonis osalevad liikmesriikide eksperdid ja komisjoni esindajad. Liikmesriigid võivad pakkuda välja kandidaate nõuandemissioonil osalemiseks. Komisjon valib ja nimetab iga nõuandemissiooni liikmed vastavalt nende ametialasele pädevusele ning tagades liikmesriikide geograafiliselt tasakaalustatud esindatuse. Nõuandemissioonil osalemisega seotud kulud katab komisjon.

Komisjon koostab nõuandemissiooni programmi, pidades nõu konkreetse nõuandemissiooni liikmetega ja kokkuleppel liikmesriigiga, kus asjaomase kriitilise tähtsusega üksuse või üleeuroopaliselt olulise kriitilise tähtsusega üksuse taristu paikneb.

5.Komisjon võtab vastu rakendusakti, milles kehtestatakse nõuandemissioonide korraldamise ja aruannete esitamise menetluskorda käsitlevad reeglid. Kõnealune rakendusakt võetakse vastu kooskõlas artikli 20 lõikes 2 nimetatud kontrollimenetlusega.

6.Liikmesriigid tagavad, et asjaomane üleeuroopaliselt oluline kriitilise tähtsusega üksus annab nõuandemissioonile juurdepääsu kogu tema ülesannete täitmiseks vajalikule teabele ja kõikidele süsteemidele ja rajatistele, mis on seotud elutähtsate teenuste osutamisega.

7.Nõuandemissioon toimub kooskõlas selle liikmesriigi kohaldatava õigusega, kus taristu paikneb.

8.Nõuandemissioonide korraldamisel võtab komisjon olenevalt olukorrast arvesse kõikide määruse (EÜ) nr 300/2008 ja määruse (EÜ) nr 725/2004 alusel tehtud komisjoni kontrollide aruandeid ning direktiivi 2005/65/EÜ alusel toimunud võimaliku komisjoni järelevalve aruandeid kriitilise tähtsusega üksuse või üleeuroopaliselt olulise kriitilise tähtsusega üksuse kohta.

V peatükk
Koostöö ja aruandlus

Artikkel 16
Kriitilise tähtsusega üksuste vastupidavusvõime töörühm

1.[Kuus kuud pärast käesoleva direktiivi jõustumist] asutatakse kriitilise tähtsusega üksuste vastupidavusvõime töörühm. Töörühm toetab komisjoni ning hõlbustab strateegilist koostööd ja teabe vahetamist käesoleva direktiiviga seotud küsimustes.

2.Kriitilise tähtsusega üksuste vastupidavusvõime töörühm koosneb liikmesriikide ja komisjoni esindajatest. Kui see on tema ülesannete täitmiseks asjakohane, võib kriitilise tähtsusega üksuste vastupidavusvõime töörühm kutsuda oma töös osalema huvitatud isikute esindajaid.

Kriitilise tähtsusega üksuste vastupidavusvõime töörühma eesistuja on komisjoni esindaja.

3.Kriitilise tähtsusega üksuste vastupidavusvõime töörühmal on järgmised ülesanded:

(a)toetada komisjoni liikmesriikide abistamisel, et suurendada nende suutlikkust panustada kriitilise tähtsusega üksuste vastupidavusvõime tagamisse kooskõlas käesoleva direktiiviga;

(b)hinnata artiklis 3 nimetatud kriitilise tähtsusega üksuste vastupidavusvõime strateegiaid ja teha kindlaks nende strateegiatega seotud parim tava;

(c)hõlbustada parima tava vahetamist seoses artikli 5 kohase kriitilise tähtsusega üksuste identifitseerimisega liikmesriikide poolt, muu hulgas seoses piiriülese omavahelise seotuse ning riskide ja intsidentidega;

(d)toetada taotluse korral artikli 6 lõikes 3 nimetatud suuniste ning kõikide käesoleva direktiivi kohaste delegeeritud ja rakendusaktide koostamist;

(e)analüüsida igal aastal artikli 8 lõikes 3 nimetatud kokkuvõtvaid aruandeid;

(f)vahetada parimat tava artiklis 13 nimetatud intsidentidest teatamist käsitleva teabe vahetamise kohta;

(g)analüüsida nõuandemissioonide aruandeid ja anda nende kohta nõuandeid kooskõlas artikli 15 lõikega 3;

(h)vahetada kooskõlas käesoleva direktiiviga teavet ja parimat tava kriitilise tähtsusega üksuste vastupidavusvõimega seotud teadus- ja arendustegevuse kohta;

(i)kui see on asjakohane, siis vahetada teavet kriitilise tähtsusega üksuste vastupidavusvõime küsimustes liidu asjakohaste institutsioonide, organite ja asutustega.

4.Kriitilise tähtsusega üksuste vastupidavusvõime töörühm koostab [24 kuud pärast käesoleva direktiivi jõustumist] ja seejärel iga kahe aasta järel eesmärkide ja ülesannete täitmiseks võetavatest meetmetest tööprogrammi, mis peab olema kooskõlas käesoleva direktiivi nõuete ja eesmärkidega.

5.Kriitilise tähtsusega üksuste vastupidavusvõime töörühm kohtub korrapäraselt ja vähemalt üks kord aastas [teise küberturvalisuse direktiivi] alusel asutatud koostöörühmaga, et edendada strateegilist koostööd ja teabevahetust.

6.Komisjon võib vastu võtta rakendusakte, milles kehtestatakse kriitilise tähtsusega üksuste vastupidavusvõime töörühma toimimiseks vajalik menetluskord. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 20 lõikes 2 nimetatud kontrollimenetlusega.

7.Komisjon esitab [kolm aastat ja kuus kuud pärast käesoleva direktiivi jõustumist] ning seejärel vajaduse korral ja vähemalt iga nelja aasta järel kriitilise tähtsusega üksuste vastupidavusvõime töörühmale kokkuvõtliku aruande teabest, mille liikmesriigid on esitanud artikli 3 lõike 3 ja artikli 4 lõike 4 kohaselt.

Artikkel 17
Komisjoni toetus pädevatele asutustele ja kriitilise tähtsusega üksustele

1.Kui see on asjakohane, toetab komisjon liikmesriike ja kriitilise tähtsusega üksusi nende käesolevast direktiivist tulenevate kohustuste täitmisel, eelkõige koostades liidu tasandi ülevaate piiri- ja sektoriteülestest riskidest elutähtsate teenuste osutamisele, korraldades artikli 11 lõikes 3 ja artikli 15 lõikes 3 nimetatud nõuandemissioone ning hõlbustades ekspertidevahelist teabevahetust kogu liidus.

2.Komisjon täiendab artiklis 9 nimetatud liikmesriikide meetmeid parima tava ja metoodikate koostamise ning piiriülese koolitustegevuse ja kriitilise tähtsusega üksuste vastupidavusvõime testimiseks ette nähtud õppuste korraldamise teel.

VI peatükk
JÄRELEVALVE JA NÕUETE TÄITMISE TAGAMINE

Artikkel 18
Rakendamine ja nõuete täitmise tagamine

1.Selle hindamiseks, kas liikmesriikide poolt artikli 5 kohaselt kriitilise tähtsusega üksustena identifitseeritud üksused täidavad käesolevast direktiivist tulenevaid kohustusi, tagavad liikmesriigid, et pädevatel asutustel on õigused ja vahendid teha järgmist:

(a)teha kohapealseid kontrolle rajatistes, mida kriitilise tähtsusega üksus kasutab elutähtsate teenuste osutamiseks, ja kaugjärelevalvet kriitilise tähtsusega üksuste artikli 11 kohaste meetmete üle;

(b)teha selliste üksuste auditeid või nõuda nende tegemist.

2.Liikmesriigid tagavad, et kui see on vajalik nende käesolevast direktiivist tulenevate ülesannete täitmiseks, on pädevatel asutustel õigused ja vahendid nõuda, et üksused, kelle nad on lõike 5 kohaselt identifitseerinud kriitilise tähtsusega üksusena, esitavad asjaomaste asutuste määratud mõistliku ajavahemiku jooksul

(a)teabe, mis on vajalik selle hindamiseks, kas kõnealuste üksuste võetud meetmed nende vastupidavusvõime tagamiseks vastavad artikli 11 nõuetele;

(b)tõendid nende meetmete tegeliku rakendamise kohta, sealhulgas asjaomase üksuse valitud sõltumatu ja kvalifitseeritud audiitori poolt ning kõnealuse üksuse kulul tehtud auditi tulemused.

Teavet taotledes esitavad pädevad asutused taotluse eesmärgi ja täpsustavad, millist teavet nõutakse.

3.Ilma et see piiraks võimalust määrata karistusi kooskõlas artikliga 19, võivad pädevad asutused lõikes 1 nimetatud järelevalvemeetmete või lõikes 2 nimetatud teabe hindamise põhjal anda asjaomastele kriitilise tähtsusega üksustele korralduse võtta vajalikke ja proportsionaalseid meetmeid kõikide käesoleva direktiivi kindlakstehtud rikkumiste kõrvaldamiseks asjaomaste asutuste määratud mõistliku ajavahemiku jooksul ning esitada nendele asutustele võetud meetmeid käsitleva teabe. Selliste korralduste puhul võetakse eelkõige arvesse rikkumise raskusastet.

4.Liikmesriigid tagavad, et lõigetega 1, 2 ja 3 ette nähtud õigusi saab teostada üksnes juhul, kui selle suhtes kohaldatakse nõuetekohaseid kaitsemeetmeid. Kõnealuste kaitsemeetmetega tagatakse eelkõige see, et selliseid õigusi teostatakse objektiivselt, läbipaistvalt ja proportsionaalselt ning et nõuetekohaselt on kaitstud puudutatud kriitilise tähtsusega üksuste õigused ja õigustatud huvid, sealhulgas õigus olla ära kuulatud, kaitseõigus ja õigus tõhusale õiguskaitsevahendile sõltumatus kohtus.

5.Liikmesriigid tagavad, et kui pädev asutus hindab kooskõlas käesoleva artikliga, kas kriitilise tähtsusega üksus täidab nõudeid, teavitab ta asjaomase liikmesriigi [teise küberturvalisuse direktiivi] alusel määratud pädevaid asutusi ja võib taotleda nendelt asutustelt sellise üksuse küberturvalisuse hindamist ning sel eesmärgil koostöö tegemist ja teabe vahetamist.

Artikkel 19
Karistused

Liikmesriigid kehtestavad karistus normid, mida kohaldatakse käesoleva direktiivi alusel vastu võetud riigisiseste õigusnormide rikkumise korral, ja võtavad kõik vajalikud meetmed, et tagada nende rakendamine. Ettenähtud karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad. Liikmesriigid teavitavad komisjoni nendest sätetest hiljemalt [kaks aastat pärast käesoleva direktiivi jõustumist] ja teatavad komisjonile viivitamata kõigist nende hilisematest muudatustest.

VII peatükk
LÕPPSÄTTED

Artikkel 20
Komiteemenetlus

1.Komisjoni abistab komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2.Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

Artikkel 21
Delegeerimine

1.Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.

2.Artikli 11 lõikes 4 nimetatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile viieks aastaks alates käesoleva direktiivi jõustumise kuupäevast või mis tahes muust kaasseadusandjate määratud kuupäevast.

3.Euroopa Parlament ja nõukogu võivad artikli 11 lõikes 4 nimetatud õiguse delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud õiguse delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses kindlaksmääratud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

4.Enne delegeeritud õigusakti vastuvõtmist konsulteerib komisjon kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega iga liikmesriigi määratud ekspertidega.

5.Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

6.Artikli 11 lõike 4 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.

Artikkel 22
Aruandlus ja läbivaatamine

Komisjon esitab [54 kuud pärast käesoleva direktiivi jõustumist] Euroopa Parlamendile ja nõukogule aruande, milles hinnatakse, millises ulatuses on liikmesriigid võtnud käesoleva direktiivi järgimiseks vajalikke meetmeid.

Komisjon vaatab käesoleva direktiivi toimimise korrapäraselt läbi ning esitab aruande Euroopa Parlamendile ja nõukogule. Aruandes hinnatakse eelkõige käesoleva direktiivi mõju ja lisaväärtust kriitilise tähtsusega üksuste vastupidavusvõime tagamisele ning seda, kas direktiivi kohaldamisala tuleks laiendada muudele sektoritele või allsektoritele. Esimene aruanne esitatakse [kuus aastat pärast käesoleva direktiivi jõustumist] ja selles hinnatakse eelkõige seda, kas direktiivi kohaldamisala tuleks laiendada toiduainete tootmisele, töötlemisele ja turustamisele.

Artikkel 23
Direktiivi 2008/114/EÜ kehtetuks tunnistamine

Direktiiv 2008/114/EÜ tunnistatakse kehtetuks alates [käesoleva direktiivi jõustumise kuupäev].

Artikkel 24
Ülevõtmine

1.Liikmesriigid võtavad vastu ja avaldavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid hiljemalt [18 kuud pärast käesoleva direktiivi jõustumist]. Liikmesriigid edastavad kõnealuste normide teksti viivitamata komisjonile.

Liikmesriigid kohaldavad neid norme alates [kaks aastat + üks päev pärast käesoleva direktiivi jõustumist].

Kui liikmesriigid need meetmed vastu võtavad, lisavad nad nendesse meetmetesse või nende meetmete ametliku avaldamise korral nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.

2.Liikmesriigid edastavad komisjonile käesoleva direktiiviga reguleeritavas valdkonnas nende poolt vastuvõetavate põhiliste riigisiseste õigusnormide teksti.

Artikkel 25
Jõustumine

Käesolev direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikkel 26
Adressaadid

Käesolev direktiiv on adresseeritud liikmesriikidele.

Brüssel,

FINANTSSELGITUS

1.ETTEPANEKU/ALGATUSE RAAMISTIK 

1.1.Ettepaneku/algatuse nimetus

1.2.Asjaomased poliitikavaldkonnad 

Julgeolek

1.3.Ettepanek/algatus käsitleb 

◻ uut meedet 

◻ uut meedet, mis tuleneb katseprojektist / ettevalmistavast meetmest 40  

☑ olemasoleva meetme pikendamist 

◻ ühe või mitme meetme ümbersuunamist teise või uude meetmesse või ühendamist teise või uue meetmega 

1.4.Eesmärgid

1.4.1.Üldeesmärgid

1.4.2.Erieesmärgid

1.4.3.Oodatavad tulemused ja mõju

Märkige, milline peaks olema ettepaneku/algatuse oodatav mõju toetusesaajatele/sihtrühmale.

1.4.4.Tulemusnäitajad

Märkige, milliste näitajate abil jälgitakse edusamme ja saavutusi.

1.5.Ettepaneku/algatuse põhjendus 

1.5.1.Lühi- või pikaajalises perspektiivis täidetavad vajadused, sealhulgas algatuse rakendamise üksikasjalik ajakava

1.5.2.ELi meetme lisaväärtus (see võib tuleneda erinevatest teguritest, nagu kooskõlastamisest saadav kasu, õiguskindlus, suurem tõhusus või vastastikune täiendavus). Käesoleva punkti kohaldamisel tähendab „ELi meetme lisaväärtus“ väärtust, mis tuleneb liidu sekkumisest ja lisandub väärtusele, mille liikmesriigid oleksid muidu üksi loonud.

1.5.3.Samalaadsetest kogemustest saadud õppetunnid

1.5.4.Kooskõla mitmeaastase finantsraamistikuga ja võimalik koostoime muude asjaomaste meetmetega

1.6.Ettepaneku/algatuse kestus ja finantsmõju

◻ Piiratud kestusega

◻    hõlmab ajavahemikku [PP/KK]AAAA–[PP/KK]AAAA

◻    finantsmõju kulukohustuste assigneeringutele avaldub ajavahemikul AAAA–AAAA ja maksete assigneeringutele ajavahemikul AAAA–AAAA

☑ Piiramatu kestusega

·Rakendamise käivitumisperiood hõlmab ajavahemikku 2021–2027,

·millele järgneb täieulatuslik rakendamine.

1.7.Ettenähtud eelarve täitmise viisid 41  

☑ Eelarve otsene täitmine komisjoni poolt

☑ oma talituste kaudu, sealhulgas kasutades liidu delegatsioonides töötavat komisjoni personali;

◻    rakendusametite kaudu

☑ Eelarve jagatud täitmine koostöös liikmesriikidega

◻ Eelarve kaudne täitmine, mille puhul eelarve täitmise ülesanded on delegeeritud:

◻ kolmandatele riikidele või nende määratud asutustele;

◻ rahvusvahelistele organisatsioonidele ja nende allasutustele (nimetage);

◻ Euroopa Investeerimispangale ja Euroopa Investeerimisfondile;

◻ finantsmääruse artiklites 70 ja 71 osutatud asutustele;

◻ avalik-õiguslikele asutustele;

◻ avalikke teenuseid osutavatele eraõiguslikele asutustele, kuivõrd nad esitavad piisavad finantstagatised;

◻ liikmesriigi eraõigusega reguleeritud asutustele, kellele on delegeeritud avaliku ja erasektori partnerluse rakendamine ja kes esitavad piisavad finantstagatised;

◻ isikutele, kellele on delegeeritud Euroopa Liidu lepingu V jaotise kohaste ÜVJP erimeetmete rakendamine ja kes on kindlaks määratud asjaomases alusaktis.

Mitme eelarve täitmise viisi korral esitage üksikasjad rubriigis „Märkused“.

Märkused

2.HALDUSMEETMED 

2.1.Järelevalve ja aruandluse eeskirjad 

Märkige sagedus ja tingimused.

2.2.Haldus- ja kontrollisüsteem(id) 

2.2.1.Eelarve täitmise viisi(de), rahastamise rakendamise mehhanismi(de), maksete tegemise korra ja kavandatava kontrollistrateegia selgitus.

2.2.2.Teave kindlakstehtud riskide ja nende vähendamiseks kasutusele võetud sisekontrollisüsteemi(de) kohta

2.2.3.Kontrollide kulutõhususe (kontrollikulude suhe hallatavate vahendite väärtusse) hinnang ja põhjendus ning prognoositav veariski tase (maksete tegemise ja sulgemise ajal) 

2.3.Pettuse ja eeskirjade eiramise ärahoidmise meetmed 

Nimetage rakendatavad või kavandatud ennetus- ja kaitsemeetmed, nt pettustevastase võitluse strateegias esitatud meetmed.

3.ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU 

3.1.Mitmeaastase finantsraamistiku rubriigid ja kulude eelarveread, millele mõju avaldub 

(1)Uued eelarveread

Järjestage mitmeaastase finantsraamistiku rubriigiti ja iga rubriigi sees eelarveridade kaupa

Märkus

Selle ettepaneku raames taotletavad tegevusassigneeringud on kaetud Sisejulgeolekufondi määruse finantsselgitusega juba ette nähtud assigneeringutega.

Selle ettepaneku raames taotletakse täiendavaid inimressursse.

3.2.Ettepaneku hinnanguline finantsmõju assigneeringutele 

3.2.1.Hinnanguline mõju tegevusassigneeringutele – ülevaade 

◻    Ettepanek/algatus ei hõlma tegevusassigneeringute kasutamist

☑Ettepanek/algatus hõlmab tegevusassigneeringute kasutamist, mis toimub järgmiselt:

miljonites eurodes (kolm kohta pärast koma)

Rände ja siseasjade peadirektoraat				2021	2022	2023	2024	2025	2026	2027	Pärast 2027. aastat	KOKKU
• Tegevusassigneeringud
Eelarverida 12.02.01 Sisejulgeolekufond	Kulukohustused	(1a)		0,124	4,348	5,570	6,720	7,020	7,020	7,020		37,822
	Maksed	(2a)		0,540	4,323	5,357	5,403	5,403	5,403	5,403	5,989	37,822
Eriprogrammide vahenditest rahastatavad haldusassigneeringud 45
Eelarverida		(3)
Rände- ja siseasjade peadirektoraadi assigneeringud KOKKU	Kulukohustused	=1a+1b+3		0,124	4,348	5,570	6,720	7,020	7,020	7,020		37,822
	Maksed	=2a+2b +3		0,540	4,323	5,357	5,403	5,403	5,403	5,403	5,989	37,822

Juhul kui ettepanek/algatus mõjutab mitut rubriiki, tuleb eelmist jaotist korrata

Selle punkti täitmisel tuleks kasutada haldusalaste eelarveandmete tabelit, mis on esitatud õigusaktile lisatava finantsselgituse lisas (sisekorraeeskirjade V lisa), ja laadida see üles DECIDE võrku talitustevahelise konsulteerimise eesmärgil.

miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku RUBRIIGI 7 assigneeringud KOKKU

(Kulukohustuste kogusumma = maksete kogusumma)

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,151

miljonites eurodes (kolm kohta pärast koma)

3.2.2.Tegevusassigneeringutest rahastatav väljund (hinnang) Kulukohustuste assigneeringud miljonites eurodes (kolm kohta pärast koma)

3.2.3.Hinnanguline mõju haldusassigneeringutele – ülevaade 

◻    Ettepanek/algatus ei hõlma haldusassigneeringute kasutamist

☑    Ettepanek/algatus hõlmab haldusassigneeringute kasutamist, mis toimub järgmiselt:

miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku RUBRIIGIST 7 46 välja jäävad kulud
Personalikulud
Muud halduskulud
Mitmeaastase finantsraamistiku RUBRIIGIST 7 välja jäävate kulud kokku

KOKKU

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,188

Personali- ja muude halduskuludega seotud assigneeringute vajadused kaetakse asjaomase peadirektoraadi poolt kõnealuse meetme haldamiseks juba antud ja/või peadirektoraadi siseselt ümberpaigutatud assigneeringutest, mida vajaduse korral võidakse täiendada nendest lisaassigneeringutest, mis haldavale peadirektoraadile eraldatakse iga-aastase vahendite eraldamise menetluse käigus, arvestades eelarvepiirangutega.

3.2.3.1.Hinnanguline personalivajadus

◻    Ettepanek/algatus ei hõlma personali kasutamist.

☑    Ettepanek/algatus hõlmab personali kasutamist, mis toimub järgmiselt:

Hinnanguline väärtus täistööaja ekvivalendina

XX tähistab asjaomast poliitikavaldkonda või eelarvejaotist.

Personalivajadused kaetakse juba meedet haldavate peadirektoraadi töötajatega ja/või töötajate peadirektoraadi sisese ümberpaigutamise teel. Vajaduse korral võidakse personali täiendada iga-aastase vahendite eraldamise menetluse käigus, arvestades olemasolevate eelarvepiirangutega.

Ülesannete kirjeldus:

3.2.4.Kooskõla kehtiva mitmeaastase finantsraamistikuga 

Ettepanek/algatus:

☑    on täielikult rahastatav mitmeaastase finantsraamistiku asjaomase rubriigi sisese vahendite ümberpaigutamise kaudu.

◻    tingib mitmeaastase finantsraamistiku asjaomase rubriigi mittesihtotstarbelise varu ja/või mitmeaastase finantsraamistiku määruses sätestatud erivahendite kasutuselevõtu.

◻    nõuab mitmeaastase finantsraamistiku muutmist.

3.2.5.Kolmandate isikute rahaline osalus 

Ettepanek/algatus:

☑    ei hõlma kolmandate isikute poolset kaasrahastamist

◻    hõlmab kolmandate isikute poolset kaasrahastamist, mille hinnanguline summa on järgmine:

Assigneeringud miljonites eurodes (kolm kohta pärast koma)

3.3.Hinnanguline mõju tuludele 

☑    Ettepanekul/algatusel puudub finantsmõju tuludele

◻    Ettepanekul/algatusel on järgmine finantsmõju:

◻    omavahenditele

◻    muudele tuludele

palun märkige, kas see on kulude eelarveridasid mõjutav sihtotstarbeline tulu ◻    

miljonites eurodes (kolm kohta pärast koma)

Sihtotstarbeliste tulude puhul märkige, milliseid kulude eelarveridasid ettepanek mõjutab.

Muud märkused (nt tuludele avaldatava mõju arvutamise meetod/valem või muu teave).

(1)    Nõukogu 10. detsembri 2019. aasta järeldused vastupanuvõime suurendamiseks ja hübriidohtudega võitlemiseks tehtavate täiendavate jõupingutuste kohta (14972/19).

(2)    Raport Euroopa Parlamendi terrorismi käsitleva erikomisjoni tähelepanekute ja soovituste kohta (2018/2044(INI)).

(3)    Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus.

(4)    COM(2020) 605.

(5)    COM(2020) 795.

(6)    Komisjoni teatis – Euroopa esmatähtsate infrastruktuuride kaitse programmi kohta (KOM(2006) 786).

(7)    Nõukogu 8. detsembri 2008. aasta direktiiv 2008/114/EÜ Euroopa elutähtsate infrastruktuuride identifitseerimise ja määramise ning nende kaitse parandamise vajaduse hindamise kohta.

(8)    Komisjoni teatis kliimamuutustega kohanemist käsitleva ELi strateegia kohta. COM(2013) 216; Euroopa Parlamendi ja nõukogu 17. detsembri 2013. aasta otsus nr 1313/2013/EL liidu elanikkonnakaitse mehhanismi kohta; määrus (EL) 2019/452, millega luuakse liitu tehtavate välismaiste otseinvesteeringute taustauuringute raamistik; direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus.

(9)    Ülevaade loodusõnnetustest ja inimtegevusest tingitud õnnetustest, millega Euroopa Liit võib kokku puutuda (SWD(2020) 330).

(10)    SWD(2019) 308.

(11)    Komisjoni teatis ELi julgeolekuliidu strateegia kohta (COM(2020) 605).

(12)    SWD(2019) 310.

(13)    Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta.

(14)    ELT C , , lk .

(15)    ELT C […], […], lk […].

(16)    Euroopa Parlamendi […] ja nõukogu […] seisukoht.

(17)    Nõukogu 8. detsembri 2008. aasta direktiiv 2008/114/EÜ Euroopa elutähtsate infrastruktuuride identifitseerimise ja määramise ning nende kaitse parandamise vajaduse hindamise kohta (ELT L 345, 23.12.2008, lk 75).

(18)    SWD(2019) 308.

(19)    Elutähtsate infrastruktuuride kaitse Euroopa programm.

(20)    [Viide teisele küberturvalisuse direktiivile pärast selle vastuvõtmist.]

(21)    Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194, 19.7.2016, lk 1).

(22)    Euroopa Parlamendi ja nõukogu 4. juuli 2012. aasta määrus (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.7.2012, lk 1).

(23)    Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta direktiiv 2014/65/EL finantsinstrumentide turgude kohta ning millega muudetakse direktiive 2002/92/EÜ ja 2011/61/EL (ELT L 173, 12.6.2014, lk 349).

(24)    Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta määrus (EL) nr 600/2014 finantsinstrumentide turgude kohta ning millega muudetakse määrust (EL) nr 648/2012 (ELT L 173, 12.6.2014, lk 84).

(25)    Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta määrus (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.6.2013, lk 1).

(26)    Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta direktiiv 2013/36/EL, mis käsitleb krediidiasutuste tegevuse alustamise tingimusi ning krediidiasutuste ja investeerimisühingute usaldatavusnõuete täitmise järelevalvet, millega muudetakse direktiivi 2002/87/EÜ ning millega tunnistatakse kehtetuks direktiivid 2006/48/EÜ ja 2006/49/EÜ (ELT L 176, 27.6.2013, lk 338).

(27)    Ettepanek: Euroopa Parlamendi ja nõukogu määrus, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014 ja (EL) nr 909/2014 (COM(2020) 595).

(28)    Euroopa Parlamendi ja nõukogu 11. märtsi 2008. aasta määrus (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 9.4.2008, lk 72).

(29)    Euroopa Parlamendi ja nõukogu 31. märtsi 2004. aasta määrus (EÜ) nr 725/2004 laevade ja sadamarajatiste turvalisuse tugevdamise kohta (ELT L 129, 29.4.2004, lk 6).

(30)    Euroopa Parlamendi ja nõukogu 26. oktoobri 2005. aasta direktiiv 2005/65/EÜ sadamate turvalisuse tugevdamise kohta (ELT L 310, 25.11.2005, lk 28).

(31)    Komisjoni 29. juuni 2018. aasta otsus, millega luuakse ELi rongireisijate turvaplatvorm (C/2018/4014).

(32)    ELT L 123, 12.5.2016, lk 1.

(33)    Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(34)    Euroopa Parlamendi ja nõukogu 15. märtsi 2017. aasta direktiiv (EL) 2017/541 terrorismivastase võitluse kohta, millega asendatakse nõukogu raamotsus 2002/475/JSK ning muudetakse nõukogu otsust 2005/671/JSK (ELT L 88, 31.3.2017, lk 6).

(35)    Euroopa Parlamendi ja nõukogu 17. detsembri 2013. aasta otsus nr 1313/2013/EL liidu elanikkonnakaitse mehhanismi kohta (ELT L 347, 20.12.2013, lk 924).

(36)    Euroopa Parlamendi ja nõukogu 5. juuni 2019. aasta määrus (EL) 2019/941, mis käsitleb ohuvalmidust elektrisektoris ja millega tunnistatakse kehtetuks direktiiv 2005/89/EÜ (ELT L 158, 14.6.2019, lk 1).

(37)    Euroopa Parlamendi ja nõukogu 25. oktoobri 2017. aasta määrus (EL) 2017/1938, mis käsitleb gaasivarustuskindluse tagamise meetmeid ja millega tunnistatakse kehtetuks määrus (EL) nr 994/2010 (ELT L 280, 28.10.2017, lk 1).

(38)    ELT L 119, 4.5.2016, lk 1.

(39)    ELT L 135, 22.5.2019, lk 1.

(40)    Vastavalt finantsmääruse artikli 58 lõike 2 punktile a või b.

(41)    Eelarve täitmise viise koos viidetega finantsmäärusele on selgitatud veebisaidil https://myintracomm.ec.europa.eu/budgweb/ET/man/budgmanag/Pages/budgmanag.aspx .

(42)    Liigendatud = liigendatud assigneeringud / liigendamata = liigendamata assigneeringud.

(43)    EFTA: Euroopa Vabakaubanduse Assotsiatsioon.

(44)    Kandidaatriigid ja vajaduse korral Lääne-Balkani potentsiaalsed kandidaatriigid.

(45)    Tehniline ja/või haldusabi ning ELi programmide ja/või meetmete rakendamiseks antava toetusega seotud kulud (endised BA read), otsene teadustegevus, kaudne teadustegevus.

(46)    Tehniline ja/või haldusabi ning ELi programmide ja/või meetmete rakendamiseks antava toetusega seotud kulud (endised BA read), otsene teadustegevus, kaudne teadustegevus.

(47)    Lepingulised töötajad, kohalikud töötajad, riikide lähetatud eksperdid, renditööjõud, noored spetsialistid delegatsioonides.

(48)    Tegevusassigneeringutest rahastatavate koosseisuväliste töötajate ülempiiri arvestades (endised BA read).

(49)    Aasta, mil alustatakse ettepaneku/algatuse rakendamist. „N“ asemel tuleb märkida rakendamise esimene aasta (näiteks 2021). Sama tuleb teha ka järgnevate aastate puhul.

(50)    Traditsiooniliste omavahendite (tollimaksud ja suhkrumaksud) korral tuleb märkida netosummad, s.t brutosumma pärast 20 % sissenõudmiskulude mahaarvamist.

EUROOPA KOMISJON

Brüssel,16.12.2020

COM(2020) 829 final

LISA

järgmise dokumendi juurde: Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV

kriitilise tähtsusega üksuste vastupidavusvõime kohta

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

LISA

Sektorid, allsektorid ja üksuste liigid

Sektor	Allsektor	Üksuse liik
1. Energeetika	a) Elekter	–    Euroopa Parlamendi ja nõukogu direktiivi (EL) 2019/944 1 artikli 2 punktis 57 osutatud elektriettevõtjad, kes täidavad sama direktiivi artikli 2 punktis 12 osutatud tarnimisülesannet
		–    Direktiivi (EL) 2019/944 artikli 2 punktis 29 osutatud jaotusvõrguettevõtjad
		–    Direktiivi (EL) 2019/944 artikli 2 punktis 35 osutatud põhivõrguettevõtjad
		–    Direktiivi (EL) 2019/944 artikli 2 punktis 38 osutatud tootjad
		– Määruse (EL) 2019/943 2 artikli 2 punktis 8 osutatud määratud elektriturukorraldajad
		– Määruse (EL) 2019/943 artikli 2 punktis 25 osutatud elektrituru osalised, kes osutavad direktiivi (EL) 2019/944 artikli 2 punktides 18, 20 ja 59 osutatud agregeerimis-, tarbimiskaja- või energia salvestamise teenuseid
	b) Kaugküte ja -jahutus	–    Direktiivi (EL) 2018/2001 3 (taastuvatest energiaallikatest toodetud energia kasutamise edendamise kohta) artikli 2 punktis 19 osutatud kaugküte ja -jahutus
	c) Nafta	–    Naftajuhtmete operaatorid
		–    Nafta tootmise, rafineerimise ja töötlemise rajatiste ning hoiustamise ja ülekandmisega tegelevad operaatorid
		–    Nõukogu direktiivi 2009/119/EÜ 4 artikli 2 punktis f osutatud naftavarude säilitamise kesküksused
	d) Gaas	–    Direktiivi 2009/73/EÜ 5 artikli 2 punktis 8 osutatud tarneettevõtjad
		–    Direktiivi 2009/73/EÜ artikli 2 punktis 6 osutatud jaotussüsteemi haldurid
		–    Direktiivi 2009/73/EÜ artikli 2 punktis 4 osutatud ülekandesüsteemi haldurid
		–    Direktiivi 2009/73/EÜ artikli 2 punktis 10 osutatud hoidlatevõrgu haldurid
		–    Direktiivi 2009/73/EÜ artikli 2 punktis 12 osutatud maagaasi veeldusjaamade haldurid
		–    Direktiivi 2009/73/EÜ artikli 2 punktis 1 osutatud maagaasiettevõtjad
		–    Maagaasi rafineerimise ja töötlemise rajatiste haldurid
	e) Vesinik	– Vesiniku tootmise, hoiustamise ja ülekandmisega tegelevad operaatorid
2. Transport	a) Lennutransport	–    Määruse (EÜ) nr 300/2008 6 artikli 3 punktis 4 osutatud lennuettevõtjad
		–    Direktiivi 2009/12/EÜ 7 artikli 2 punktis 2 osutatud lennujaama juhtorganid, sama direktiivi artikli 2 punktis 1 osutatud lennujaamad, sealhulgas määruse (EL) nr 1315/2013 8 II lisa 2. jaos loetletud põhivõrgu lennujaamad ning lennujaamades olevaid abirajatisi käitavad üksused
		–    Määruse (EÜ) nr 549/2004 9 artikli 2 punktis 1 osutatud lennujuhtimise teenust osutavad liikluskorraldusettevõtjad
	b) Raudteetransport	–    Direktiivi 2012/34/EL 10 artikli 3 punktis 2 osutatud raudteeinfrastruktuuri-ettevõtjad
		–    Direktiivi 2012/34/EL artikli 3 punktis 1 osutatud raudteeveo-ettevõtjad, sealhulgas sama direktiivi artikli 3 punktis 12 osutatud teenindusrajatiste käitajad
	c) Veetransport	–    Määruse (EÜ) nr 725/2004 11 I lisas meretranspordi puhul osutatud reisijate ja kauba vedamisega sisevetes, merel ja rannavetes tegelevad ettevõtjad (ei kohaldata kõnealuste ettevõtjate käitatavate üksikute laevade suhtes)
		–    Direktiivi 2005/65/EÜ 12 artikli 3 punktis 1 osutatud sadamate valdajad, sealhulgas nende määruse (EÜ) nr 725/2004 artikli 2 punktis 11 osutatud sadamarajatised ning sadamates tööde ja varustuse haldamisega tegelevad üksused
		–    Euroopa Parlamendi ja nõukogu direktiivi 2002/59/EÜ 13 artikli 3 punktis o osutatud laevaliikluse juhtimise keskuste operaatorid
	d) Maanteetransport	–    Komisjoni delegeeritud määruse (EL) 2015/962 14 artikli 2 punktis 12 osutatud maanteeametid, kes vastutavad liikluskorralduse eest
		–    Direktiivi 2010/40/EL 15 artikli 4 punktis 1 osutatud intelligentsete transpordisüsteemide operaatorid
3. Pangandus		Määruse (EÜ) nr 575/2013 16 artikli 4 punktis 1 osutatud krediidiasutused
4. Finantsturutaristud		–    Direktiivi 2014/65/EL 17 artikli 4 punktis 24 osutatud kauplemiskohtade korraldajad
		–    Määruse (EL) nr 648/2012 18 artikli 2 punktis 1 osutatud kesksed vastaspooled
5. Tervishoid		–    Direktiivi 2011/24/EL 19 artikli 3 punktis g osutatud tervishoiuteenuse osutajad
		–    Tõsiseid piiriüleseid terviseohte käsitleva määruse [XX] 20 artiklis 15 osutatud ELi referentlaborid
		–    Direktiivi 2001/83/EÜ 21 artikli 1 punktis 2 osutatud ravimite uurimise ja arendamisega tegelevad üksused
		–    NACE Rev.2 C jao jaotises 21 osutatud põhifarmaatsiatooteid ja ravimpreparaate tootvad üksused
		–    Määruse XXXX 22 artiklis 20 osutatud rahvatervise hädaolukorras esmatähtsateks peetavaid meditsiiniseadmeid (rahvatervise hädaolukorras kasutatavate esmatähtsate seadmete loetelus sisalduvaid seadmeid) tootvad üksused
6. Joogivesi		Nõukogu direktiivi 98/83/EÜ 23 artikli 2 punkti 1 alapunktis a osutatud olmeveega varustajad ja olmevee jaotajad, v.a jaotajad, kelle puhul olmevee jaotamine on vaid üks osa nende üldisest tegevusest, mis hõlmab muude tarbekaupade ja kaupade tarnimist ja mida ei käsitata elutähtsa või olulise teenusena
7. Reovesi		Nõukogu direktiivi 91/271/EMÜ 24 artikli 2 punktides 1–3 osutatud asula-, olme- ja tööstusreovee kogumise, ärajuhtimise või puhastamisega tegelevad ettevõtjad
8. Digitaristu		–    Interneti vahetuspunkti teenuse osutajad, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
		–    Domeeninimede süsteemi teenuse osutajad, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
		–    Tippdomeeninimede registrite pidajad, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
		–    Pilvandmetöötlusteenuse osutajad, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
		– Andmekeskusteenuse osutajad, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
		–    Sisulevivõrguteenuse osutajad, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
		–    Määruse (EL) nr 910/2014 25 artikli 3 punktis 19 osutatud usaldusteenuse osutajad
		–    Direktiivi (EL) 2018/1972 26 artikli 2 punktis 8 osutatud üldkasutatavate elektroonilise side võrkude pakkujad või direktiivi (EL) 2018/1972 artikli 2 punktis 4 osutatud elektroonilise side teenuste osutajad, kui nende teenused on üldkasutatavad
9. Avalik haldus		–    Keskvalitsuste avaliku halduse asutused, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
		–    Määruse (EÜ) nr 1059/2003 27 I lisas loetletud NUTSi 1. tasandi piirkondade avaliku halduse asutused, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
		–    Määruse (EÜ) nr 1059/2003 I lisas loetletud NUTSi 2. tasandi piirkondade avaliku halduse asutused, [millele on osutatud teise küberturvalisuse direktiivi artikli 4 punktis X]
10. Kosmos		–    Liikmesriigi või eraõiguslike isikute omandis olevate, hallatavate või käitatavate maapealsete taristute operaatorid, kes toetavad kosmosepõhiste teenuste osutamist, välja arvatud üldkasutatavate elektroonilise side võrkude pakkujad direktiivi (EL) 2018/1972 artikli 2 punkti 8 tähenduses

(1)    Euroopa Parlamendi ja nõukogu 5. juuni 2019. aasta direktiiv (EL) 2019/944 elektrienergia siseturu ühiste normide kohta ja millega muudetakse direktiivi 2012/27/EL (ELT L 158, 14.6.2019, lk 125).

(2)    Euroopa Parlamendi ja nõukogu määrus (EL) 2019/943, milles käsitletakse elektrienergia siseturgu (ELT L 158, 14.6.2019, lk 54).

(3)    Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv (EL) 2018/2001 taastuvatest energiaallikatest toodetud energia kasutamise edendamise kohta (ELT L 328, 21.12.2018, lk 82).

(4)    Nõukogu 14. septembri 2009. aasta direktiiv 2009/119/EÜ, millega kohustatakse liikmesriike säilitama toornafta ja/või naftatoodete miinimumvarusid (ELT L 265, 9.10.2009, lk 9).

(5)    Euroopa Parlamendi ja nõukogu 13. juuli 2009. aasta direktiiv 2009/73/EÜ, mis käsitleb maagaasi siseturu ühiseeskirju ning millega tunnistatakse kehtetuks direktiiv 2003/55/EÜ (ELT L 211, 14.8.2009, lk 94).

(6)    Euroopa Parlamendi ja nõukogu 11. märtsi 2008. aasta määrus (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 9.4.2008, lk 72).

(7)    Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta direktiiv 2009/12/EÜ lennujaamatasude kohta (ELT L 70, 14.3.2009, lk 11).

(8)    Euroopa Parlamendi ja nõukogu 11. detsembri 2013. aasta määrus (EL) nr 1315/2013 üleeuroopalise transpordivõrgu arendamist käsitlevate liidu suuniste kohta ja millega tunnistatakse kehtetuks otsus nr 661/2010/EL (ELT L 348, 20.12.2013, lk 1).

(9)    Euroopa Parlamendi ja nõukogu 10. märtsi 2004. aasta määrus (EÜ) nr 549/2004, millega sätestatakse raamistik ühtse Euroopa taeva loomiseks (raammäärus) (ELT L 96, 31.3.2004, lk 1).

(10)    Euroopa Parlamendi ja nõukogu 21. novembri 2012. aasta direktiiv 2012/34/EL, millega luuakse ühtne Euroopa raudteepiirkond (ELT L 343, 14.12.2012, lk 32).

(11)    Euroopa Parlamendi ja nõukogu 31. märtsi 2004. aasta määrus (EÜ) nr 725/2004 laevade ja sadamarajatiste turvalisuse tugevdamise kohta (ELT L 129, 29.4.2004, lk 6).

(12)    Euroopa Parlamendi ja nõukogu 26. oktoobri 2005. aasta direktiiv 2005/65/EÜ sadamate turvalisuse tugevdamise kohta (ELT L 310, 25.11.2005, lk 28).

(13)    Euroopa Parlamendi ja nõukogu 27. juuni 2002. aasta direktiiv 2002/59/EÜ, millega luuakse ühenduse laevaliikluse seire- ja teabesüsteem ning tunnistatakse kehtetuks nõukogu direktiiv 93/75/EMÜ (EÜT L 208, 5.8.2002, lk 10).

(14)    Komisjoni 18. detsembri 2014. aasta delegeeritud määrus (EL) 2015/962, millega täiendatakse Euroopa Parlamendi ja nõukogu direktiivi 2010/40/EL kogu ELis reaalajas saadava liiklusteabe teenuste pakkumise osas (ELT L 157, 23.6.2015, lk 21).

(15)    Euroopa Parlamendi ja nõukogu 7. juuli 2010. aasta direktiiv 2010/40/EL, mis käsitleb raamistikku intelligentsete transpordisüsteemide kasutuselevõtmiseks maanteetranspordis ja liideste jaoks teiste transpordiliikidega (ELT L 207, 6.8.2010, lk 1).

(16)    Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta määrus (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.6.2013, lk 1).

(17)    Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta direktiiv 2014/65/EL finantsinstrumentide turgude kohta ning millega muudetakse direktiive 2002/92/EÜ ja 2011/61/EL (ELT L 173, 12.6.2014, lk 349).

(18)    Euroopa Parlamendi ja nõukogu 4. juuli 2012. aasta määrus (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.7.2012, lk 1).

(19)    Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).

(20)    [Euroopa Parlamendi ja nõukogu määrus, milles käsitletakse tõsiseid piiriüleseid terviseohte ja millega tunnistatakse kehtetuks otsus nr 1082/2013/EL; viide ajakohastatakse pärast ettepaneku COM(2020) 727 final vastuvõtmist].

(21)    Euroopa Parlamendi ja nõukogu 6. novembri 2001. aasta direktiiv 2001/83/EÜ inimtervishoius kasutatavaid ravimeid käsitlevate ühenduse eeskirjade kohta (EÜT L 311, 28.11.2001, lk 67).

(22)    [Määrus, milles käsitletakse Euroopa Ravimiameti suuremat rolli kriisiks valmisolekus ja kriisiohjamises ravimite ja meditsiiniseadmete valdkonnas (COM(2020) 725 final); viide ajakohastatakse pärast ettepaneku vastuvõtmist].

(23)    Nõukogu 3. novembri 1998. aasta direktiiv 98/83/EÜ olmevee kvaliteedi kohta (EÜT L 330, 5.12.1998, lk 32).

(24)    Nõukogu 21. mai 1991. aasta direktiiv 91/271/EMÜ asulareovee puhastamise kohta (EÜT L 135, 30.5.1991, lk 40).

(25)    Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73).

(26)    Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv (EL) 2018/1972, millega kehtestatakse Euroopa elektroonilise side seadustik (ELT L 321, 17.12.2018, lk 36).

(27)    Euroopa Parlamendi ja nõukogu 26. mai 2003. aasta määrus (EÜ) nr 1059/2003, millega kehtestatakse ühine statistiliste territoriaalüksuste liigitus (NUTS) (ELT L 154, 21.6.2003, lk 1).