14.9.2023 |
ET |
Euroopa Liidu Teataja |
C 324/2 |
KOMISJONI TEATIS
Komisjoni suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 3 lõike 4 kohaldamise kohta
(2023/C 324/02)
1.
Vastavalt Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiivi (EL) 2022/2555 (mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, küberturvalisuse 2. direktiiv) (1) artikli 3 lõikele 4 annab komisjon Euroopa Liidu Küberturvalisuse Ameti (ENISA) abil põhjendamatu viivituseta nimetatud lõikes sätestatud kohustustega seotud suunised ja näeb ette vormid. Direktiivi (EL) 2022/2555 artikli 3 lõikes 4 viidatakse sama direktiivi artikli 3 lõikele 3, mille kohaselt peavad liikmesriigid koostama elutähtsate ja oluliste üksuste ning domeeninime registreerimise teenuseid osutavate üksuste loetelu 17. aprilliks 2025. Liikmesriigid peavad loetelu läbi vaatama ja seda asjakohasel juhul korrapäraselt ajakohastama ning tegema seda seejärel vähemalt iga kahe aasta järel.
2.
Elutähtsate ja oluliste üksuste loetelu koostamiseks peaksid liikmesriigid nõudma, et üksused esitaksid pädevatele asutustele vähemalt järgmise teabe: nimi, aadress ja ajakohastatud kontaktandmed, sealhulgas üksuse e-posti aadressid, IP-vahemikud ja telefoninumbrid ning, kui see on kohaldatav, lisades osutatud asjaomane sektor ja allsektor ning, kui see on kohaldatav, selliste liikmesriikide loetelu, kus nad direktiivi kohaldamisalasse kuuluvaid teenuseid osutavad. Käesolevate suuniste I lisas on esitatud vorm, mille alusel seda teavet loetelu koostamiseks koguda.
3.
Elutähtsate ja oluliste üksuste ning domeeninimede registreerimise teenuseid osutavate üksuste loetelu koostamise ja ajakohastamise hõlbustamiseks on direktiivi (EL) 2022/2555 artikli 3 lõikes 4 sätestatud, et liikmesriikidel peaks olema võimalik luua riiklikud mehhanismid, mis võimaldavad üksustel end ise registreerida (2).
4.
Vastavalt direktiivi (EL) 2022/2555 artikli 3 lõikele 5 peavad liikmesriigid teatama hiljemalt 17. aprilliks 2025 ja seejärel iga kahe aasta järel komisjonile ja koostöörühmale vähemalt kõnealuse direktiivi artikli 3 lõike 3 kohaselt loetletud elutähtsate ja oluliste üksuste arvu iga direktiivi I ja II lisas osutatud sektori ja allsektori kohta. Liikmesriigid peavad komisjonile teatama ka asjakohase teabe direktiivi (EL) 2022/2555 artikli 2 lõike 2 punktide b–e kohaselt kindlaks määratud elutähtsate ja oluliste üksuste arvu kohta, sektori ja allsektori, millesse nad kuuluvad, nende poolt osutatava teenuse liigi ja sätte, mille alusel nad kindlaks määrati. Direktiivi (EL) 2022/2555 preambuli põhjenduses 19 on selgitatud, et liikmesriike julgustatakse vahetama komisjoniga teavet elutähtsate ja oluliste üksuste kohta ning ulatusliku küberturbeintsidendi korral asjakohast teavet (näiteks asjaomase üksuse nimi).
5.
Lisaks sellele, et liikmesriigid koostavad loetelu vastavalt direktiivi (EL) 2022/2555 artikli 3 lõikele 3, peaksid liikmesriigid vastavalt nimetatud direktiivi artikli 27 lõikele 2 nõudma, et direktiivi artikli 27 lõikes 1 osutatud teatavat liiki üksused esitaksid pädevatele asutustele 17. jaanuariks 2025 järgmise teabe: üksuse nimi; kõnealuse direktiivi I või II lisas osutatud asjaomane sektor, allsektor ja üksuse liik, kui see on asjakohane; üksuse peamise tegevuskoha ja liidus asuvate muude ametlike tegevuskohtade aadress või kui tal liidus tegevuskohta ei ole või ta ei ole seal asutatud, tema kõnealuse direktiivi artikli 26 lõike 3 kohaselt määratud esindaja aadress; üksuse ja, kui see on kohaldatav, tema kõnealuse direktiivi artikli 26 lõike 3 kohaselt määratud esindaja ajakohased kontaktandmed, sealhulgas e-posti aadressid ja telefoninumbrid; liikmesriigid, kus üksus teenust osutab, ning üksuse IP-vahemikud. Vastavalt direktiivi (EL) 2022/2555 artikli 27 lõikele 3 nõuavad liikmesriigid, et direktiivi artikli 27 lõikes 1 osutatud üksused teavitavad pädevat asutust viivitamata direktiivi artikli 27 lõike 2 kohaselt esitatud teabe muutumisest, tehes seda igal juhul hiljemalt kolme kuu jooksul alates muudatuse kuupäevast.
6.
Vastavalt direktiivi (EL) 2022/2555 artikli 27 lõikele 5 tuleb sama direktiivi artikli 27 lõigetes 2 ja 3 osutatud teave esitada direktiivi artikli 3 lõikes 4 osutatud riikliku mehhanismi kaudu, kui see on asjakohane. Seepärast sisaldab käesolevate suuniste lisas esitatud vorm suurema haldustõhususe huvides ka nõudeid sellise teabe esitamiseks, mida on vaja nii direktiivi (EL) 2022/2555 artikli 3 lõike 3 kui ka artikli 27 lõike 2 kohaldamiseks. Vorm koostati ENISA abiga.
(1) ELT L 333, 27.12.2022, lk 80.
(2) Vt ka direktiivi (EL) 2022/2555 preambuli põhjendus 18.
Liide
direktiivi (EL) 2022/2555 artikli 3 lõikes 3 ja artikli 27 lõikes 2 osutatud loetelu jaoks vajaliku teabe esitamise vorm
1.
Tegevusvaldkonna sektor vastavalt direktiivile (EL) 2022/2555
I lisa. |
Kriitilise tähtsusega sektorid
|
II lisa. |
Muud kriitilise tähtsusega sektorid
|
2.
Üksuse nimi
3.
Kui üksusele on viidatud direktiivi (EL) 2022/2555 artikli 27 lõikes 1 (domeeninimede süsteemi teenuse osutaja, tippdomeeninimede register, domeeninimede registreerimise teenuseid osutav üksus, pilvandmetöötlusteenuse osutaja, andmekeskusteenuse osutaja, sisulevivõrgu pakkuja, hallatud teenuse osutaja, turbetarnija ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite ja sotsiaalvõrguteenuse platvormide pakkuja), siis kas üksuse peamine tegevuskoht ELis on selles liikmesriigis või kui üksusel ei ole ELis seaduslikku tegevuskohta, siis kas tema esindaja on selles liikmesriigis?
4.
Üksuse tegevuskoha aadress selles liikmesriigis. Kui üksusele on viidatud direktiivi (EL) 2022/2555 artikli 27 lõikes 1, siis üksuse peamise tegevuskoha aadress, kui see on selles liikmesriigis, ja ELis asuvate muude seaduslike tegevuskohtade aadressid. Kui tegevuskohta ei ole, siis direktiivi (EL) 2022/2555 artikli 26 lõike 3 kohaselt nimetatud ELis asuva esindaja aadress, kui esindaja asub selles liikmesriigis.
5.
Ajakohased kontaktandmed, sealhulgas e-posti aadressid ja telefoninumbrid selles liikmesriigis.
6.
Üksuse IP-vahemikud selles liikmesriigis.
7.
Kui üksusele on viidatud direktiivi (EL) 2022/2555 artikli 27 lõikes 1, siis loetelu liikmesriikidest, kus üksus osutab kõnealuse direktiivi kohaldamisalasse kuuluvaid teenuseid.