14.9.2023   

ET

Euroopa Liidu Teataja

C 324/2

KOMISJONI TEATIS

Komisjoni suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 3 lõike 4 kohaldamise kohta

(2023/C 324/02)

1.   

Vastavalt Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiivi (EL) 2022/2555 (mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, küberturvalisuse 2. direktiiv) (1) artikli 3 lõikele 4 annab komisjon Euroopa Liidu Küberturvalisuse Ameti (ENISA) abil põhjendamatu viivituseta nimetatud lõikes sätestatud kohustustega seotud suunised ja näeb ette vormid. Direktiivi (EL) 2022/2555 artikli 3 lõikes 4 viidatakse sama direktiivi artikli 3 lõikele 3, mille kohaselt peavad liikmesriigid koostama elutähtsate ja oluliste üksuste ning domeeninime registreerimise teenuseid osutavate üksuste loetelu 17. aprilliks 2025. Liikmesriigid peavad loetelu läbi vaatama ja seda asjakohasel juhul korrapäraselt ajakohastama ning tegema seda seejärel vähemalt iga kahe aasta järel.

2.   

Elutähtsate ja oluliste üksuste loetelu koostamiseks peaksid liikmesriigid nõudma, et üksused esitaksid pädevatele asutustele vähemalt järgmise teabe: nimi, aadress ja ajakohastatud kontaktandmed, sealhulgas üksuse e-posti aadressid, IP-vahemikud ja telefoninumbrid ning, kui see on kohaldatav, lisades osutatud asjaomane sektor ja allsektor ning, kui see on kohaldatav, selliste liikmesriikide loetelu, kus nad direktiivi kohaldamisalasse kuuluvaid teenuseid osutavad. Käesolevate suuniste I lisas on esitatud vorm, mille alusel seda teavet loetelu koostamiseks koguda.

3.   

Elutähtsate ja oluliste üksuste ning domeeninimede registreerimise teenuseid osutavate üksuste loetelu koostamise ja ajakohastamise hõlbustamiseks on direktiivi (EL) 2022/2555 artikli 3 lõikes 4 sätestatud, et liikmesriikidel peaks olema võimalik luua riiklikud mehhanismid, mis võimaldavad üksustel end ise registreerida (2).

4.   

Vastavalt direktiivi (EL) 2022/2555 artikli 3 lõikele 5 peavad liikmesriigid teatama hiljemalt 17. aprilliks 2025 ja seejärel iga kahe aasta järel komisjonile ja koostöörühmale vähemalt kõnealuse direktiivi artikli 3 lõike 3 kohaselt loetletud elutähtsate ja oluliste üksuste arvu iga direktiivi I ja II lisas osutatud sektori ja allsektori kohta. Liikmesriigid peavad komisjonile teatama ka asjakohase teabe direktiivi (EL) 2022/2555 artikli 2 lõike 2 punktide b–e kohaselt kindlaks määratud elutähtsate ja oluliste üksuste arvu kohta, sektori ja allsektori, millesse nad kuuluvad, nende poolt osutatava teenuse liigi ja sätte, mille alusel nad kindlaks määrati. Direktiivi (EL) 2022/2555 preambuli põhjenduses 19 on selgitatud, et liikmesriike julgustatakse vahetama komisjoniga teavet elutähtsate ja oluliste üksuste kohta ning ulatusliku küberturbeintsidendi korral asjakohast teavet (näiteks asjaomase üksuse nimi).

5.   

Lisaks sellele, et liikmesriigid koostavad loetelu vastavalt direktiivi (EL) 2022/2555 artikli 3 lõikele 3, peaksid liikmesriigid vastavalt nimetatud direktiivi artikli 27 lõikele 2 nõudma, et direktiivi artikli 27 lõikes 1 osutatud teatavat liiki üksused esitaksid pädevatele asutustele 17. jaanuariks 2025 järgmise teabe: üksuse nimi; kõnealuse direktiivi I või II lisas osutatud asjaomane sektor, allsektor ja üksuse liik, kui see on asjakohane; üksuse peamise tegevuskoha ja liidus asuvate muude ametlike tegevuskohtade aadress või kui tal liidus tegevuskohta ei ole või ta ei ole seal asutatud, tema kõnealuse direktiivi artikli 26 lõike 3 kohaselt määratud esindaja aadress; üksuse ja, kui see on kohaldatav, tema kõnealuse direktiivi artikli 26 lõike 3 kohaselt määratud esindaja ajakohased kontaktandmed, sealhulgas e-posti aadressid ja telefoninumbrid; liikmesriigid, kus üksus teenust osutab, ning üksuse IP-vahemikud. Vastavalt direktiivi (EL) 2022/2555 artikli 27 lõikele 3 nõuavad liikmesriigid, et direktiivi artikli 27 lõikes 1 osutatud üksused teavitavad pädevat asutust viivitamata direktiivi artikli 27 lõike 2 kohaselt esitatud teabe muutumisest, tehes seda igal juhul hiljemalt kolme kuu jooksul alates muudatuse kuupäevast.

6.   

Vastavalt direktiivi (EL) 2022/2555 artikli 27 lõikele 5 tuleb sama direktiivi artikli 27 lõigetes 2 ja 3 osutatud teave esitada direktiivi artikli 3 lõikes 4 osutatud riikliku mehhanismi kaudu, kui see on asjakohane. Seepärast sisaldab käesolevate suuniste lisas esitatud vorm suurema haldustõhususe huvides ka nõudeid sellise teabe esitamiseks, mida on vaja nii direktiivi (EL) 2022/2555 artikli 3 lõike 3 kui ka artikli 27 lõike 2 kohaldamiseks. Vorm koostati ENISA abiga.

(1)   ELT L 333, 27.12.2022, lk 80.

(2)  Vt ka direktiivi (EL) 2022/2555 preambuli põhjendus 18.

Liide

direktiivi (EL) 2022/2555 artikli 3 lõikes 3 ja artikli 27 lõikes 2 osutatud loetelu jaoks vajaliku teabe esitamise vorm

1.   

Tegevusvaldkonna sektor vastavalt direktiivile (EL) 2022/2555

I lisa.

Kriitilise tähtsusega sektorid

Energeetika

Elektrienergia

Elektriettevõtja

Jaotusvõrguettevõtja

Põhivõrguettevõtja

Tootjad

Määratud elektriturukorraldajad

Turuosalised, kes osutavad agregeerimis-, tarbimiskaja- või energia salvestamise teenuseid

Laadimispunkti käitajad, kes vastutavad sellise laadimispunkti haldamise ja käitamise eest, mis osutab lõppkasutajatele laadimisteenust, sealhulgas liikuvusteenuse osutaja nimel ja eest

Kaugkütte- ja kaugjahutussüsteemide käitajad

Nafta

Naftajuhtmete operaatorid

Nafta tootmise, rafineerimise ja töötlemise rajatiste ning hoiustamise ja ülekandmisega tegelevad operaatorid

Varude säilitamise kesküksused

Gaas

Tarneettevõtjad

Jaotussüsteemi haldurid

Ülekandesüsteemi haldurid

Hoidlatevõrgu haldurid

Maagaasi veeldusjaamade haldurid

Maagaasiettevõtjad

Maagaasi rafineerimise ja töötlemise rajatiste haldurid

Vesiniku tootmise, hoiustamise ja ülekandmisega tegelevad operaatorid

Transport

Lennutransport

Lennuettevõtjad

Lennujaama käitajad

Lennujuhtimise teenust osutavad liikluskorraldusettevõtjad

Raudteetransport

Taristuettevõtjad

Raudteeveo-ettevõtjad, sealhulgas teenindusrajatiste käitajad

Veetransport

Reisijate ja kauba vedamisega sisevetes, merel ja rannavetes tegelevad ettevõtjad, välja arvatud kõnealuste ettevõtjate käitatavad üksikud laevad

Valdajad, sealhulgas nende sadamarajatised, ning sadamates tööde ja varustuse haldamisega tegelevad üksused

Laevaliikluse juhtimise keskuste (VTS) operaatorid

Maanteetransport

Maanteeametid, kes vastutavad liikluskorralduse eest, välja arvatud avaliku sektori üksused, kelle jaoks liikluskorraldus või intelligentsete transpordisüsteemide käitamine moodustab üksnes väheolulise osa nende tegevusest

Intelligentsete transpordisüsteemide operaatorid

Tervishoid

Tervishoiuteenuse osutajad

ELi referentlaborid

Üksused, mis tegelevad ravimite uurimise ja arendamisega

NACE Rev. 2 C jao jaotises 21 osutatud põhifarmaatsiatooteid ja ravimpreparaate tootvad üksused

Üksused, mis toodavad rahvatervise hädaolukorras kriitilise tähtsusega meditsiiniseadmeid (rahvatervise hädaolukorra esmatähtsate meditsiiniseadmete loetelu)

Joogivesi. Olmeveega varustajad ja olmevee jaotajad, välja arvatud jaotajad, kelle puhul olmevee jaotamine on väheoluline osa nende üldisest muude tarbekaupade ja kaupade tarnimistegevusest

Reovesi. Ettevõtjad, kes tegelevad asulareovee, olmereovee või tööstusreovee kogumise, ärajuhtimise või puhastamisega, välja arvatud ettevõtjad, kelle puhul asulareovee, olmereovee või tööstusreovee kogumine, ärajuhtimine või puhastamine on väheoluline osa nende üldisest tegevusest

Digitaristu

Interneti vahetuspunkti teenuse osutajad

Domeeninimede süsteemi teenuse osutajad

Tippdomeeninimede registrite pidajad

Pilvteenuse osutajad

Andmekeskusteenuse osutajad

Sisulevivõrguteenuse osutajad

Usaldusteenuse osutajad

Üldkasutatavate elektroonilise side võrkude pakkujad

Üldkasutatavate elektroonilise side teenuste osutajad

IKT-teenuste haldamine (ettevõtjatevaheline)

Hallatud teenuse osutajad

Turbetarnijad

Avalik haldus

Keskvalitsuste avaliku halduse üksused

Piirkondliku tasandi avaliku halduse üksused

Kosmos. Liikmesriigi või eraõiguslike isikute omandis olevate, hallatavate või käitatavate maapealsete taristute operaatorid, kes toetavad kosmosepõhiste teenuste osutamist, välja arvatud üldkasutatava elektroonilise side võrgu pakkujad

II lisa.

Muud kriitilise tähtsusega sektorid

Posti- ja kulleriteenused

Jäätmekäitlus. Ettevõtjad, kes tegelevad jäätmekäitlusega, välja arvatud ettevõtjad, kelle põhitegevus ei ole jäätmekäitlus

Kemikaalide valmistamine, tootmine ja levitamine. Ettevõtjad, kes tegelevad ainete valmistamisega, ning ettevõtjad, kes toodavad ainetest või segudest tooteid

Toiduainete tootmine, töötlemine ja turustamine. Toidukäitlemisettevõtjad, kes tegelevad hulgimüügi ning tööstusliku tootmise ja töötlemisega

Töötlev tööstus

Meditsiiniseadmete ja in vitro diagnostikameditsiiniseadmete tootmine

Arvutite, elektroonika- ja optikaseadmete tootmine

Elektriseadmete tootmine

Mujal liigitamata masinate ja seadmete tootmine

Mootorsõidukite, haagiste ja poolhaagiste tootmine

Muude transpordivahendite tootmine

Digiteenuste osutajad

Internetipõhiste kauplemiskohtade pakkujad

Internetipõhiste otsingumootorite pakkujad

Sotsiaalvõrguteenuse platvormide pakkujad

Teadusasutused
Lisades nimetamata üksused

Domeeninimede registreerimise teenuseid osutavad üksused

Muud üksused, mida käsitatakse direktiivi (EL) 2022/2557 alusel kriitilise tähtsusega üksustena

Siseriikliku õiguse kohaselt oluliste teenuste operaatorina käsitatavad üksused

2.   

Üksuse nimi

3.   

Kui üksusele on viidatud direktiivi (EL) 2022/2555 artikli 27 lõikes 1 (domeeninimede süsteemi teenuse osutaja, tippdomeeninimede register, domeeninimede registreerimise teenuseid osutav üksus, pilvandmetöötlusteenuse osutaja, andmekeskusteenuse osutaja, sisulevivõrgu pakkuja, hallatud teenuse osutaja, turbetarnija ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite ja sotsiaalvõrguteenuse platvormide pakkuja), siis kas üksuse peamine tegevuskoht ELis on selles liikmesriigis või kui üksusel ei ole ELis seaduslikku tegevuskohta, siis kas tema esindaja on selles liikmesriigis?

4.   

Üksuse tegevuskoha aadress selles liikmesriigis. Kui üksusele on viidatud direktiivi (EL) 2022/2555 artikli 27 lõikes 1, siis üksuse peamise tegevuskoha aadress, kui see on selles liikmesriigis, ja ELis asuvate muude seaduslike tegevuskohtade aadressid. Kui tegevuskohta ei ole, siis direktiivi (EL) 2022/2555 artikli 26 lõike 3 kohaselt nimetatud ELis asuva esindaja aadress, kui esindaja asub selles liikmesriigis.

5.   

Ajakohased kontaktandmed, sealhulgas e-posti aadressid ja telefoninumbrid selles liikmesriigis.

6.   

Üksuse IP-vahemikud selles liikmesriigis.

7.   

Kui üksusele on viidatud direktiivi (EL) 2022/2555 artikli 27 lõikes 1, siis loetelu liikmesriikidest, kus üksus osutab kõnealuse direktiivi kohaldamisalasse kuuluvaid teenuseid.