Käesolev tekst on üksnes dokumenteerimisvahend ning sel ei ole mingit õiguslikku mõju. Liidu institutsioonid ei vastuta selle teksti sisu eest. Asjakohaste õigusaktide autentsed versioonid, sealhulgas nende preambulid, on avaldatud Euroopa Liidu Teatajas ning on kättesaadavad EUR-Lexi veebisaidil. Need ametlikud tekstid on vahetult kättesaadavad käesolevasse dokumenti lisatud linkide kaudu

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2022/2555,

14. detsember 2022,

mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv)

(EMPs kohaldatav tekst)

I PEATÜKK

ÜLDSÄTTED

Artikkel 1

Reguleerimisese

Käesolevas direktiivis sätestatakse meetmed, mille eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kogu liidus, et parandada siseturu toimimist.

Selle eesmärgi saavutamiseks sätestatakse käesolevas direktiivis:

▼C3

liikmesriikide kohustus võtta vastu riiklikud küberturvalisuse strateegiad ning määrata või asutada pädevad asutused, küberkriisi juhtimise asutused, küberturbe ühtsed kontaktpunktid (edaspidi „ühtsed kontaktpunktid“) ja küberintsidentidele reageerimise üksused (edaspidi „CSIRTid“);

▼B

I või II lisas osutatud üksuste ning direktiivi (EL) 2022/2557 kohaselt elutähtsana käsitatavate üksuste küberturvalisuse riskijuhtimismeetmed ja teatamiskohustus;

küberturvalisuse alase teabevahetusega seotud reeglid ja kohustused;

järelevalve ja täitmise tagamisega seotud kohustused liikmesriikidele.

Artikkel 2

Kohaldamisala

►C1 Käesolevat direktiivi kohaldatakse I või II lisas osutatud sellist liiki avalik-õiguslike või eraõiguslike üksuste suhtes, mis kvalifitseeruvad soovituse 2003/361/EÜ lisa artikli 2 kohaselt keskmise suurusega ettevõtjateks või ületavad kõnealuse artikli lõikes 1 sätestatud keskmise suurusega ettevõtja ülemmäärasid, ning osutavad teenuseid või tegutsevad liidus. ◄

Käesoleva direktiivi kohaldamisel ei kohaldata nimetatud soovituse lisa artikli 3 lõiget 4.

Käesolevat direktiivi kohaldatakse ka I või II lisas osutatud liiki üksuste suhtes olenemata nende suurusest, kui

teenuseid osutavad:

üldkasutatavate elektroonilise side võrkude pakkujad või üldkasutatavate elektroonilise side teenuste osutajad;

ii)

usaldusteenuse osutajad;

iii)

tippdomeeninimede registrid ja domeeninimede süsteemi teenuse osutajad;

üksus on liikmesriigis sellise teenuse ainuosutaja, mis on kriitilise tähtsusega ühiskondliku või majandustegevuse säilitamiseks;

üksuse osutatava teenuse häirel võib olla oluline mõju avalikule turvalisusele, avalikule julgeolekule või rahvatervisele;

üksuse osutatava teenuse häire võib tuua kaasa olulise süsteemse riski, eelkõige sektorites, kus sellisel häirel võib olla piiriülene mõju;

üksus on kriitilise tähtsusega oma erilise olulisuse tõttu riiklikul või piirkondlikul tasandil konkreetse sektori või teenuseliigi või liikmesriigi muude üksteisest sõltuvate sektorite jaoks;

üksus on

keskvalitsuse avaliku halduse üksus, nagu see on kindlaks määratud liikmesriigi poolt kooskõlas tema õigusega, või

ii)

liikmesriigi poolt tema õiguse kohaselt kindlaks määratud piirkondliku tasandi üksus, mis vastavalt riskipõhisele hindamisele osutab teenuseid, mille häirel võib olla oluline mõju kriitilise tähtsusega ühiskondlikule või majandustegevusele.

Käesolevat direktiivi kohaldatakse direktiivi (EL) 2022/2557 kohaselt elutähtsa teenuse osutajatena käsitatavate üksuste suhtes olenemata nende suurusest.

Käesolevat direktiivi kohaldatakse domeeninimede registreerimise teenuseid osutavate üksuste suhtes olenemata nende suurusest.

Liikmesriigid võivad ette näha, et käesolevat direktiivi kohaldatakse:

kohaliku tasandi avaliku halduse üksuste suhtes;

haridusasutuste suhtes, eelkõige juhul, kui nad teevad kriitilise tähtsusega teadusuuringuid.

Käesolev direktiiv ei piira liikmesriikide kohustust kaitsta riiklikku julgeolekut ega nende õigust kaitsta muid riigi põhifunktsioone, sealhulgas tagada riigi territoriaalne terviklikkus ja säilitada õiguskord.

Käesolevat direktiivi ei kohaldata avaliku halduse üksuste suhtes, mis tegutsevad riigi julgeoleku, avaliku julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude ennetamise, uurimise, avastamise ja nende eest vastutusele võtmise valdkonnas.

Liikmesriigid võivad vabastada konkreetsed üksused, mis tegutsevad riigi julgeoleku, avaliku julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude ennetamise, uurimise, avastamise ja nende eest vastutusele võtmisega seotud tegevused, või mis osutavad teenuseid üksnes käesoleva artikli lõikes 7 osutatud avaliku halduse üksustele, artiklis 21 või 23 sätestatud kohustuste täitmisest seoses nimetatud tegevuste ja teenustega. Sellistel juhtudel VII peatükis osutatud järelevalve- ja täitemeetmeid nende konkreetsete tegevuste või teenuste suhtes ei kohaldata. Kui üksused tegelevad üksnes sellist liiki tegevusega või osutavaid üksnes sellist liiki teenuseid, millele on osutatud käesolevas lõikes, võivad liikmesriigid otsustada need üksused ka artiklites 3 ja 27 sätestatud kohustuste täitmisest vabastada.

Lõikeid 7 ja 8 ei kohaldata, kui üksus tegutseb usaldusteenuse osutajana.

10.

Käesolevat direktiivi ei kohaldata üksuste suhtes, mille liikmesriigid on kooskõlas määruse (EL) 2022/2554 artikli 2 lõikega 4 kõnealuse määruse kohaldamisalast välja jätnud.

11.

Käesolevas direktiivis sätestatud kohustused ei hõlma sellise teabe esitamist, mille avalikustamine oleks vastuolus liikmesriikide riikliku julgeoleku, avaliku julgeoleku või riigikaitse oluliste huvidega.

12.

Käesolev direktiiv ei piira määruse (EL) 2016/679, direktiivi 2002/58/EÜ, direktiivide 2011/93/EL ( 1 ) ja 2013/40/EL ( 2 ) ega direktiivi (EL) 2022/2557 kohaldamist.

13.

Ilma et see piiraks ELi toimimise lepingu artikli 346 kohaldamist, tuleks teavet, mis on liidu või liikmesriikide õigusnormide, näiteks ärisaladust käsitlevate õigusnormide kohaselt konfidentsiaalne, vahetada käesoleva direktiivi kohaselt komisjoni ja teiste asjakohaste asutustega üksnes juhul, kui selline teabevahetus on vajalik käesoleva direktiivi kohaldamiseks. Vahetada võib ainult teavet, mis on teabevahetuse eesmärgi seisukohast oluline ja proportsionaalne. Teabevahetuse puhul tuleb säilitada asjaomase teabe konfidentsiaalsus ning kaitsta asjaomaste üksuste turvalisust ja ärihuve.

14.

Üksused, pädevad asutused, ühtsed kontaktpunktid ja CSIRTid töötlevad isikuandmeid ulatuses, mis on vajalik käesoleva direktiivi kohaldamiseks, ja kooskõlas määrusega (EL) 2016/679, eelkõige tuginedes sellise töötlemise puhul kõnealuse määruse artiklile 6.

Käesoleva direktiivi kohane isikuandmete töötlemine üldkasutatavate elektroonilise side võrkude pakkujate või üldkasutatavate elektroonilise side teenuste osutajate poolt toimub kooskõlas liidu andmekaitseõiguse ja eraelu puutumatuse kaitset käsitleva õiguse, eelkõige direktiiviga 2002/58/EÜ.

Artikkel 3

Elutähtsad ja olulised üksused

Käesoleva direktiivi kohaldamisel käsitatakse elutähtsate üksustena järgmisi üksusi:

I lisas osutatud liiki üksused, mis ületavad soovituse 2003/361/EÜ lisa artikli 2 lõikes 1 esitatud keskmise suurusega ettevõtja ülemmäärasid;

kvalifitseeritud usaldusteenuse osutajad ja tippdomeeninimede registrid ning domeeninimede süsteemi teenuse osutajad, olenemata nende suurusest;

üldkasutatavate elektroonilise side võrkude või üldkasutatavate elektroonilise side teenuste pakkujad, mida käsitatakse soovituse 2003/361/EÜ lisa artikli 2 kohaselt keskmise suurusega ettevõtjana;

artikli 2 lõike 2 punkti f alapunktis i osutatud avaliku halduse üksused;

muud I ja II lisas osutatud liiki üksused, mida liikmesriik käsitab elutähtsa üksusena artikli 2 lõike 2 punktide b–e kohaselt;

direktiivi (EL) 2022/2557 kohaselt elutähtsa teenuse osutajatena käsitatavad üksused, millele on osutatud käesoleva direktiivi artikli 2 lõikes 3;

kui liikmesriigid nii ette näevad, siis üksused, mida liikmesriigid käsitasid enne 16. jaanuari 2023 oluliste teenuste operaatoritena vastavalt direktiivile (EL) 2016/1148 või liikmesriigi õigusele.

Käesoleva direktiivi kohaldamisel käsitatakse oluliste üksustena I või II lisas osutatud üksusi, mis ei kvalifitseeru käesoleva artikli lõike 1 kohaselt elutähtsateks üksusteks. See hõlmab üksusi, mida liikmesriigid käsitavad oluliste üksustena artikli 2 lõike 2 punktide b–e alusel.

Hiljemalt 17. aprilliks 2025 koostavad liikmesriigid elutähtsate ja oluliste üksuste ning domeeninime registreerimise teenuseid osutavate üksuste loetelu. Liikmesriigid vaatavad loetelu läbi ja asjakohasel juhul ajakohastavad seda korrapäraselt ning seejärel vähemalt iga kahe aasta järel.

Lõikes 3 osutatud loetelu koostamiseks nõuavad liikmesriigid, et nimetatud lõikes osutatud üksused esitaksid pädevatele asutustele vähemalt järgmise teabe:

üksuse nimi;

aadress ja ajakohased kontaktandmed, sealhulgas e-posti aadressid, IP-vahemikud ja telefoninumbrid;

kui see on kohaldatav, I või II lisas osutatud asjakohane sektor ja allsektor ning

kui see on kohaldatav, nende liikmesriikide loetelu, kus nad osutavad käesoleva direktiivi kohaldamisalasse kuuluvaid teenuseid.

Lõikes 3 osutatud üksused teatavad kõigist käesoleva lõike esimese lõigu kohaselt esitatud andmetes toimunud muutustest viivitamata ning igal juhul kahe nädala jooksul alates muutuse kuupäevast.

Euroopa Liidu Küberturvalisuse Ameti (ENISA) abil annab komisjon põhjendamatu viivituseta käesolevas lõikes sätestatud kohustustega seotud suunised ja näeb ette vormid.

Liikmesriigid võivad kehtestada riiklikud mehhanismid, mis võimaldavad üksustel end ise registreerida.

Hiljemalt 17. aprilliks 2025 ja seejärel iga kahe aasta järel teatavad pädevad asutused:

komisjonile ja koostöörühmale iga I või II lisas osutatud sektori ja allsektori kohta lõike 3 kohases loetelus sisalduvate üksuste arvu ning

komisjonile asjakohase teabe seoses artikli 2 lõike 2 punktide b–e kohaselt kindlaks määratud elutähtsate ja oluliste üksuste arvuga, I või II lisas osutatud sektori ja allsektoriga, kuhu need kuuluvad, nende osutatavate teenuste liigiga ning sellega, millise artikli 2 lõike 2 punktide b–e sätte kohaselt need kindlaks määrati.

Kuni 17. aprillini 2025 ja komisjoni taotlusel võivad liikmesriigid teatada komisjonile lõike 5 punktis b osutatud elutähtsate ja oluliste üksuste nimed.

Artikkel 4

Valdkondlikud liidu õigusaktid

Kui valdkondlikes liidu õigusaktides nõutakse elutähtsatelt või olulistelt üksustelt küberturvalisuse riskijuhtimismeetmete võtmist või olulistest intsidentidest teatamist ning kui need nõuded on vähemalt samaväärse toimega kui käesolevas direktiivis sätestatud kohustused, ei kohaldata selliste üksuste suhtes käesoleva direktiivi asjakohaseid sätteid, sealhulgas VII peatükis sätestatud järelevalve- ja täitmise tagamise sätteid. Kui valdkondlikud liidu õigusaktid ei hõlma kõiki konkreetse sektori üksusi, mis kuuluvad käesoleva direktiivi kohaldamisalasse, kohaldatakse jätkuvalt käesoleva direktiivi asjakohaseid sätteid nende valdkondlike liidu õigusaktidega hõlmamata üksuste suhtes.

Käesoleva artikli lõikes 1 osutatud nõudeid käsitatakse samaväärse toimega kui käesolevas direktiivis sätestatud kohustused juhul, kui:

küberturvalisuse riskijuhtimismeetmed on mõjult vähemalt samaväärsed artikli 21 lõigetes 1 ja 2 sätestatud meetmetega või

valdkondlikus liidu õigusaktis nähakse ette käesoleva direktiivi kohane CSIRTide, pädevate asutuste või ühtsete kontaktpunktide viivitamatu, asjakohasel juhul automaatne ja otsene juurdepääs käesoleva direktiivi kohastele intsidenditeadetele ning kui olulistest intsidentidest teatamise nõuded on mõjult vähemalt samaväärsed käesoleva direktiivi artikli 23 lõigetes 1–6 sätestatud nõuetega.

Komisjon annab hiljemalt 17. juuliks 2023 suunised, milles selgitatakse lõigete 1 ja 2 kohaldamist. Komisjon vaatab kõnealused suunised korrapäraselt läbi. Nende suuniste ettevalmistamisel võtab komisjon arvesse koostöörühma ja ENISA tähelepanekuid.

Artikkel 5

Minimaalne ühtlustamine

Käesolev direktiiv ei takista liikmesriike tarbijate kaitseks vastu võtmast või kehtima jätmast sätteid, millega tagatakse kõrgem küberturvalisuse tase, tingimusel et sellised sätted on kooskõlas liikmesriikide kohustustega, mis on sätestatud liidu õiguses.

Artikkel 6

Mõisted

Käesolevas direktiivis kasutatakse järgmisi mõisteid:

„võrgu- ja infosüsteem“ –

direktiivi (EL) 2018/1972 artikli 2 punktis 1 määratletud elektroonilise side võrk;

seade või omavahel ühendatud või seotud seadmete rühm, millest vähemalt ühes toimub mõne programmi kohaselt digiandmete automaatne töötlemine, või

digiandmed, mida salvestatakse, töödeldakse, saadakse päringutega või edastatakse punktidega a ja b hõlmatud komponente kasutades nende töö, kasutamise, kaitsmise või hooldamise jaoks;

„võrgu- ja infosüsteemide turvalisus“ – võrgu- ja infosüsteemi võime panna teatava kindlusega vastu mis tahes sündmusele, mis võib kahjustada salvestatavate, edastatavate või töödeldavate andmete või võrgu- ja infosüsteemi kaudu pakutavate või juurdepääsetavate teenuste kättesaadavust, autentsust, terviklust või konfidentsiaalsust;

„küberturvalisus“ – määruse (EL) 2019/881 artikli 2 punktis 1 määratletud küberturvalisus;

„riiklik küberturvalisuse strateegia“ – liikmesriigi ühtne raamistik, mis näeb ette küberturvalisuse valdkonna strateegilised eesmärgid ja prioriteedid ning nende saavutamiseks vajaliku juhtimise kõnealuses liikmesriigis;

►C2 „napilt ära hoitud intsident“ ◄ – sündmus, mis oleks võinud kahjustada salvestatavate, edastatavate või töödeldavate andmete või võrgu- ja infosüsteemi kaudu pakutavate või juurdepääsetavate teenuste kättesaadavust, autentsust, terviklust ja konfidentsiaalsust, kuid mis õnnestus ära hoida või mis ei tekkinud;

„intsident“ – sündmus, mis kahjustab salvestatavate, edastatavate või töödeldavate andmete või võrgu- ja infosüsteemi kaudu pakutavate või juurdepääsetavate teenuste kättesaadavust, autentsust, terviklust või konfidentsiaalsust;

▼C3

„ulatuslik küberturbeintsident“ – intsident, mille põhjustatud häired on niivõrd laialdased, et üks liikmesriik ei suuda sellele reageerida, või millel on märkimisväärne mõju vähemalt kahele liikmesriigile;

„intsidendi käsitlemine“ – toimingud ja menetlused, mille eesmärk on intsidenti ennetada, tuvastada, analüüsida, ohjata või sellele reageerida ja sellest taastuda;

▼B

„risk“ – intsidendist tingitud kahju või häire võimalus, mida tuleb väljendada sellise kahju või häire ulatust ja kõnealuse intsidendi esinemise tõenäosust arvesse võtva kombineeritud näitajana;

10)

„küberoht“ – määruse (EL) 2019/881 artikli 2 punktis 8 määratletud küberoht;

11)

„oluline küberoht“ – küberoht, mille tehniliste näitajate põhjal võib eeldada, et sellel võib olla tõsine mõju üksuse võrgu- ja infosüsteemile või üksuse süsteemide kasutajatele, tekitades märkimisväärset varalist või mittevaralist kahju;

12)

„IKT-toode“ – määruse (EL) 2019/881 artikli 2 punktis 12 määratletud IKT-toode;

13)

„IKT-teenus“ – määruse (EL) 2019/881 artikli 2 punktis 13 määratletud IKT-teenus;

14)

„IKT-protsess“ – määruse (EL) 2019/881 artikli 2 punktis 14 määratletud IKT-protsess;

15)

„nõrkus“ – IKT-toote või -teenuse nõrkus, tundlikkus või viga, mida küberohu tekitaja võib ära kasutada;

16)

„standard“ – Euroopa Parlamendi ja nõukogu määruse (EL) nr 1025/2012 ( 3 ) artikli 2 punktis 1 määratletud standard;

17)

„tehniline spetsifikatsioon“ – määruse (EL) nr 1025/2012 artikli 2 punktis 4 määratletud tehniline spetsifikatsioon;

18)

„interneti vahetuspunkt“ – võrgustik, mis võimaldab rohkem kui kahe sõltumatu võrgu (autonoomse süsteemi) omavahelist ühendamist, eelkõige selleks, et hõlbustada internetiliikluse vahetust; see võimaldab üksnes autonoomsete süsteemide omavahelist ühendamist ega nõua kahe osaleva autonoomse süsteemi vahel toimuva internetiliikluse kulgemist mõne kolmanda autonoomse süsteemi kaudu, ei muuda sellist liiklust ega sekku sellesse mingil muul viisil;

19)

„domeeninimede süsteem“ – hierarhiline ja hajus nimesüsteem, mis võimaldab tuvastada internetiteenuseid ja -ressursse, võimaldades lõppkasutaja seadmetel kasutada internetimarsruutimise ja ühenduvuse teenuseid, et jõuda nende teenuste ja ressurssideni;

20)

„domeeninimede süsteemi teenuse osutaja“ – üksus, kes osutab:

interneti lõppkasutajatele üldsusele kättesaadavat domeeninime rekursiivse teisendamise teenust või

kolmandatele isikutele kasutuseks domeeninime autoriteetse teisendamise teenust, välja arvatud juurnimeserverid;

21)

„tippdomeeninimede register“ – üksus, kellele on delegeeritud kindel tippdomeen ja kes vastutab selle tippdomeeni haldamise eest, sealhulgas tippdomeeni alldomeeninimede registreerimise eest ja tippdomeeni tehnilise toimimise eest, sealhulgas nimeserverite käitamise, andmebaaside hooldamise ning nimeserverite vahel tippdomeeni tsoonifailide jaotamise eest, olenemata sellest, kas mõne neist toimingutest teeb üksus ise või ostetakse need sisse, kuid välja arvatud olukorrad, kus tippdomeeninimesid kasutab register ise ainult enda tarbeks;

22)

„domeeninimede registreerimise teenuseid osutav üksus“ – registripidaja või registripidaja nimel tegutsev esindaja, näiteks registreerimisega seotud privaatsusteenuse või proksiteenuse osutaja või edasimüüja;

23)

„digiteenus“ – Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 ( 4 ) artikli 1 lõike 1 punktis b määratletud teenus;

24)

„usaldusteenus“ – määruse (EL) nr 910/2014 artikli 3 punktis 16 määratletud usaldusteenus;

25)

„usaldusteenuse osutaja“ – määruse (EL) nr 910/2014 artikli 3 punktis 19 määratletud usaldusteenuse osutaja;

26)

„kvalifitseeritud usaldusteenus“ – määruse (EL) nr 910/2014 artikli 3 punktis 17 määratletud kvalifitseeritud usaldusteenus;

27)

„kvalifitseeritud usaldusteenuse osutaja“ – määruse (EL) nr 910/2014 artikli 3 punktis 20 määratletud kvalifitseeritud usaldusteenuse osutaja;

28)

„internetipõhine kauplemiskoht“ – Euroopa Parlamendi ja nõukogu direktiivi 2005/29/EÜ ( 5 ) artikli 2 punktis n määratletud internetipõhine kauplemiskoht;

29)

„ ►C3 veebipõhine otsingumootor ◄ “ – Euroopa Parlamendi ja nõukogu direktiivi (EL) 2019/1150 ( 6 ) artikli 2 punktis 5 määratletud ►C3 veebipõhine otsingumootor ◄ ;

30)

„pilvandmetöötlusteenus“ – digiteenus, mis võimaldab jagatavate andmetöötlusressursside skaleeritava ja paindliku kogumi nõudepõhist haldamist ning ulatuslikku kaugpääsu sellele kogumile, sealhulgas juhul, kui need ressursid paiknevad hajutatult erinevates kohtades;

31)

„andmekeskusteenus“ – teenus, mis hõlmab struktuure või struktuuride rühmi, mis on ette nähtud andmete talletamiseks, töötlemiseks ja edastamiseks kasutatavate infotehnoloogia- ja võrguseadmete keskseks majutamiseks, omavahel sidumiseks ja käitamiseks, sealhulgas kõiki energiajaotuse ja keskkonnakontrolliga seotud vahendeid ja taristuid;

32)

„sisulevivõrk“ – geograafiliselt hajutatud serverite võrk, mille eesmärk on tagada digisisu ja digiteenuste laialdane kättesaadavus, neile juurdepääsetavus või nende kiire edastamine internetikasutajatele sisu- ja teenusepakkujate nimel;

33)

„sotsiaalvõrguteenuse platvorm“ – platvorm, mis võimaldab lõppkasutajatel vastastikku ühendust pidada, sisu jagada, teavet otsida ja suhelda mitme seadme kaudu, eelkõige vestluste, postituste, videote ja soovituste vormis;

34)

„esindaja“ – füüsiline isik, kelle tegevuskoht on liidus või liidus asutatud juriidiline isik, kes on sõnaselgelt määratud tegutsema väljaspool liitu asuva domeeninimede süsteemi teenuse osutaja (DNS), tippdomeeninimede (TLD) registri, domeeninime registreerimise teenuseid osutava üksuse, pilvandmetöötlusteenuse osutaja, andmekeskusteenuse osutaja, sisulevivõrkude pakkuja, hallatud teenuse osutaja, ►C2 hallatud turbeteenuse osutaja ◄ , internetipõhiste kauplemiskohtade, ►C3 veebipõhine otsingumootorite ◄ või sotsiaalvõrguteenuse platvormi pakkuja nimel ja kelle poole võib liikmesriigi pädev asutus või CSIRT pöörduda seoses kõnealuse üksuse käesolevast direktiivist tulenevate kohustustega;

35)

„avaliku halduse üksus“ – üksus, mida tunnustatakse avaliku halduse üksusena liikmesriigis tema õiguse kohaselt, välja arvatud kohtud, parlamendid ja keskpangad, ning mis vastab järgmistele kriteeriumidele:

üksus on asutatud konkreetse eesmärgiga täita üldhuvivajadusi ja see ei tegele tööstuse ega äritegevusega;

üksus on juriidiline isik või tal on seaduse kohaselt õigus tegutseda teise juriidilise isiku staatusega üksuse nimel;

üksust rahastavad põhiliselt riik, piirkondlikud ametiasutused või muud avalik-õiguslikud isikud või selle juhtimine toimub kõnealuste asutuste või avalik-õiguslike isikute järelevalve all või üle poole selle haldus-, juhtimis- või järelevalveorgani liikmetest on määranud riik, piirkondlikud asutused või muud avalik-õiguslikud isikud;

üksusel on õigus teha füüsilisi või juriidilisi isikuid puudutavaid halduslikke või reguleerivaid otsuseid, mis mõjutavad nende isikute õigusi seoses isikute, kaupade, teenuste või kapitali piiriülese liikumisega;

36)

„üldkasutatav elektroonilise side võrk“ – direktiivi (EL) 2018/1972 artikli 2 punktis 8 määratletud üldkasutatav elektroonilise side võrk;

37)

„elektroonilise side teenus“ – direktiivi (EL) 2018/1972 artikli 2 punktis 4 määratletud elektroonilise side teenus;

38)

„üksus“ – füüsiline isik või juriidiline isik, kes on asutatud ja keda tunnustatakse tema tegevuskohajärgse riigisisese õiguse kohaselt, kes võib enda nimel omada õigusi ja kanda kohustusi;

39)

„hallatud teenuse osutaja“ – üksus, mis osutab teenuseid, mis on seotud IKT-toodete, võrkude, taristu, rakenduste või muude võrgu- ja infosüsteemide paigaldamise, haldamise, käitamise või hooldamisega toe või aktiivse haldamise kaudu kas klientide ruumides või kaugteel;

40)

►C2 „hallatud turbeteenuse osutaja“ ◄ – hallatud teenuste osutaja, kes viib ellu küberturvalisuse riskijuhtimisega seotud tegevust või pakub selleks tuge;

41)

„teadusasutus“ – üksus, mille peamine eesmärk on viia ellu rakendusuuringuid või tootearendust eesmärgiga kasutada selliste teadusuuringute tulemusi ärilistel eesmärkidel, kuid mis ei hõlma haridusasutusi.

II PEATÜKK

KOORDINEERITUD KÜBERTURVALISUSE RAAMISTIKUD

Artikkel 7

Riiklik küberturvalisuse strateegia

Iga liikmesriik võtab vastu riikliku küberturvalisuse strateegia, milles määratakse kindlaks strateegilised eesmärgid, nende eesmärkide saavutamiseks vajalikud ressursid ning asjakohased poliitilised ja regulatiivsed meetmed, et saavutada ja säilitada kõrgel tasemel küberturvalisus. Riiklik küberturvalisuse strateegia peab sisaldama järgmist:

liikmesriigi küberturvalisuse strateegia eesmärgid ja prioriteedid, mis hõlmavad eelkõige I ja II lisas osutatud sektoreid;

juhtimisraamistik käesoleva lõike punktis a osutatud eesmärkide ja prioriteetide saavutamiseks, sealhulgas lõikes 2 osutatud poliitikameetmed;

juhtimisraamistik, milles selgitatakse asjaomaste sidusrühmade rolli ja kohustusi riiklikul tasandil, mis toetavad käesoleva direktiivi kohaste pädevate asutuste, ühtsete kontaktpunktide ja CSIRTide vahelist koostööd ja koordineerimist riiklikul tasandil, samuti nende organite ja valdkondlike liidu õigusaktide kohaste pädevate asutuste vahelist koordineerimist ja koostööd;

mehhanism asjakohaste varade kindlaks tegemiseks ja kõnealuse liikmesriigi riskide hinnang;

intsidentideks valmisoleku ja neile reageerimise meetmete ning seotud taastemeetmete, sealhulgas avaliku ja erasektori koostöö kirjeldus;

riikliku küberturvalisuse strateegia rakendamisse kaasatavate asutuste ja sidusrühmade loetelu;

poliitikaraamistik käesoleva direktiivi ning direktiivi (EL) 2022/2557 kohaste pädevate asutuste vahelise tegevuse tõhusaks koordineerimiseks küberriskide, -ohtude ja -intsidentide ning asjakohasel juhul muude kui küberriskide, -ohtude ja -intsidentide alase teabe jagamise ning järelevalveülesannete täitmise eesmärgil;

kava, sealhulgas vajalikud meetmed kodanike küberturvalisuse alase teadlikkuse üldise taseme suurendamiseks.

Riikliku küberturvalisuse strateegia osana võtavad liikmesriigid vastu eelkõige poliitikameetmed,

mis käsitlevad üksuste teenuste osutamiseks kasutatavate IKT-toodete ja IKT-teenuste tarneahela küberturvalisust;

mis käsitlevad IKT-toodete ja IKT-teenuste küberturvalisusega seotud nõuete ja vastavate spetsifikatsioonide lisamist riigihankemenetlusse, sealhulgas seoses küberturvalisuse sertifitseerimise, krüpteerimisnõuete ning avatud lähtekoodiga küberturvalisuse toodete kasutamisega;

nõrkuste haldamiseks, mis hõlmab kohase nõrkuste koordineeritud avalikustamise edendamist ja hõlbustamist artikli 12 lõikele 1 kohaselt;

mis on seotud avatud interneti avaliku tuuma üldise kättesaadavuse, usaldusväärsuse ja konfidentsiaalsuse säilitamisega, sealhulgas vajaduse korral merealuste sidekaablite küberturvalisusega;

mis edendavad selliste asjakohaste kõrgetasemeliste tehnoloogiate väljatöötamist ja integreerimist, mille eesmärk on rakendada tipptasemel küberturvalisuse riskijuhtimismeetmeid;

mille abil edendatakse ja arendatakse küberturvalisuse alast haridust ja koolitust, küberturvalisuse alaseid oskusi, teadlikkust, teadus- ja arendusalgatusi ning suuniseid heade küberhügieenitavade ja -kontrolli kohta kodanikele, sidusrühmadele ja üksustele;

millega toetatakse akadeemilisi ja teadusasutusi küberturvalisuse vahendite ja turvalise võrgutaristu väljatöötamisel, täiustamisel ja kasutuselevõtmise edendamisel;

sealhulgas asjakohane menetluskord ja sobivad teabevahetuslahendused, millega toetatakse vabatahtlikku küberturvalisuse alase teabe vahetamist üksuste vahel kooskõlas liidu õigusega;

mis tugevdavad väikeste ja keskmise suurusega ettevõtjate, eelkõige nende, kes on käesoleva direktiivi kohaldamisalast välja jäetud, kübervastupidavusvõimet ja küberhügieeni lähtetaset, pakkudes nende erivajaduste rahuldamiseks kergesti kättesaadavaid suuniseid ja tuge;

mis edendavad aktiivset küberkaitset.

Liikmesriigid teavitavad komisjoni oma riiklikust küberturvalisuse strateegiast kolme kuu jooksul pärast selle vastuvõtmist. Liikmesriigid võivad jätta sellistest teadetest välja teabe, mis on seotud nende riikliku julgeolekuga.

Liikmesriigid hindavad oma riiklikke küberturvalisuse strateegiaid peamiste tulemusnäitajate põhjal korrapäraselt ja vähemalt iga viie aasta järel ja vajaduse korral ajakohastavad neid. Riikliku küberturvalisuse strateegia ja selle hindamiseks vajalike peamiste tulemusnäitajate väljatöötamisel või ajakohastamisel, et viia strateegia käesolevas direktiivis sätestatud nõuete ja kohustustega kooskõlla, abistab liikmesriike nende taotluse korral ENISA.

Artikkel 8

Pädevad asutused ja ühtsed kontaktpunktid

Iga liikmesriik määrab või asutab vähemalt ühe pädeva asutuse, kes vastutab küberturvalisuse ja käesoleva direktiivi VII peatükis osutatud järelevalveülesannete täitmise eest (edaspidi „pädevad asutused“).

Lõikes 1 osutatud pädevad asutused jälgivad käesoleva direktiivi rakendamist liikmesriigi tasandil.

Iga liikmesriik määrab või asutab ühe kontaktpunkti. Kui liikmesriik määrab või asutab vastavalt lõikele 1 ainult ühe pädeva asutuse, on see pädev asutus ka selle liikmesriigi ühtne kontaktpunkt.

Iga ühtne kontaktpunkt täidab sidepidamisfunktsiooni, et tagada oma liikmesriigi ametiasutuste piiriülene koostöö teiste liikmesriikide asjaomaste asutustega ning asjakohasel juhul komisjoni ja ENISAga ning ka valdkondadevaheline koostöö oma liikmesriigi teiste pädevate asutustega.

Liikmesriigid tagavad, et nende pädevatel asutustel ja ühtsetel kontaktpunktidel on piisavad ressursid, et täita oma ülesandeid tulemuslikult ja tõhusalt ning saavutada seeläbi käesoleva direktiivi eesmärgid.

Iga liikmesriik teatab komisjonile põhjendamatu viivituseta lõikes 1 osutatud pädeva asutuse ja lõikes 3 osutatud ühtse kontaktpunkti andmed, nende asutuste ülesanded ning nendega seotud hilisemad muudatused. Iga liikmesriik avalikustab kõnealuse pädeva asutuse andmed. Komisjon avalikustab ühtsete kontaktpunktide loetelu.

Artikkel 9

Riiklikud küberkriiside ohjamise raamistikud

Iga liikmesriik määrab või asutab vähemalt ühe ulatuslike küberturbeintsidentide ja kriiside ohjamise eest vastutava pädeva asutuse (edaspidi „küberkriisi ohjamise asutused“). Liikmesriigid tagavad, et nendel asutustel on nendele pandud ülesannete tulemuslikuks ja tõhusaks täitmiseks piisavad ressursid. Liikmesriigid tagavad sidususe oma olemasolevate üldiste kriisiohjeraamistikega.

Kui liikmesriik määrab või asutab lõike 1 kohaselt rohkem kui ühe küberkriisi ohjamise asutuse, märgib ta selgelt, milline neist asutustest tegutseb ulatuslike küberturbeintsidentide ja kriiside ohjamisel koordinaatorina.

Iga liikmesriik määrab kindlaks oma võimekuse, vahendid ja menetlused, mida saab rakendada kriisiolukorras käesoleva direktiivi kohaldamisel.

Iga liikmesriik võtab vastu riikliku ulatuslike küberturbeintsidentide ja kriiside lahendamise kava, milles kirjeldatakse ulatuslike küberturbeintsidentide ja kriiside ohjamise eesmärke ja korda. Nimetatud kavaga nähakse täpsemalt ette järgmine:

riiklike valmisolekumeetmete ja nendega seotud tegevuse eesmärgid;

küberkriisi ohjamise asutuste kohustused ja ülesanded;

küberkriisi ohjamise menetlused, sealhulgas nende lõimimine üldisesse riiklikku kriisiohjeraamistikku ja teabevahetuskanalitesse;

riiklikud valmisolekumeetmed, sealhulgas õppuste ja koolitusega seotud tegevus;

asjakohased avaliku ja erasektori sidusrühmad ning seotud taristud;

liikmesriigi menetlused ja kord asjaomaste riiklike asutuste ja organite vahelise koostöö korraldamiseks, et tagada liikmesriigi tulemuslik osalemine ulatuslike küberturbeintsidentide ja kriiside koordineeritud ohjamisel liidu tasandil ja selle ohjamise toetamine.

Liikmesriigid teatavad komisjonile kolme kuu jooksul lõikes 1 osutatud küberkriisi ohjamise asutuste määramisest või asutamisest, nende andmed ja kõik hilisemad muudatused nendes. Liikmesriigid esitavad komisjonile ja Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikule (EU-CyCLONe) asjakohase teabe, mis on seotud lõikes 4 sätestatud nõuetega nende riiklike ulatuslike küberturbeintsidentide ja kriiside lahendamise kavade kohta kolme kuu jooksul pärast kõnealuste kavade vastuvõtmist. Liikmesriigid võivad jätta teatava osa teabest esitamata, kui ja millises ulatuses see on vajalik riikliku julgeoleku tagamiseks.

Artikkel 10

▼C3

Küberintsidentidele reageerimise üksused (CSIRTid)

▼B

Iga liikmesriik määrab või asutab vähemalt ühe CSIRTi. CSIRTi võib määrata või asutada pädevas asutuses. CSIRTid peavad vastama artikli 11 lõikes 1 sätestatud nõuetele, hõlmama vähemalt I ja II lisas osutatud sektoreid, allsektoreid või üksuste liike ning vastutama intsidentide käsitlemise eest kindla menetluse kohaselt.

Liikmesriigid tagavad, et igal CSIRTil on artikli 11 lõikes 3 sätestatud ülesannete tulemuslikuks täitmiseks piisavad vahendid.

Liikmesriigid tagavad, et iga CSIRTi käsutuses on asjakohane, turvaline ja vastupidav side- ja teabetaristu, mille abil vahetada teavet elutähtsate ja oluliste üksuste ning muude asjaomaste sidusrühmadega. Selleks tagavad liikmesriigid, et iga CSIRT aitab kaasa turvaliste teabejagamisvahendite kasutuselevõtule.

CSIRTid teevad koostööd ning, kui see on kohane, vahetavad kooskõlas artikliga 29 asjakohast teavet elutähtsate ja oluliste üksuste sektoripõhiste või -vaheliste kogukondadega.

CSIRTid osalevad artikli 19 kohaselt korraldatud vastastikuses hindamises.

Liikmesriigid tagavad oma CSIRTide tõhusa, tulemusliku ja turvalise koostöö CSIRTide võrgustikus.

▼C3

CSIRTid võivad luua koostöösuhteid kolmandate riikide riiklike küberintsidentidele reageerimise üksustega. Selliste koostöösuhete osana hõlbustavad liikmesriigid tõhusat, tulemuslikku ja turvalist teabevahetust nende kolmandate riikide riiklike küberintsidentidele reageerimise üksustega, kasutades asjakohaseid teabevahetuse protokolle, sealhulgas fooriprotokolli. CSIRTid võivad vahetada kolmandate riikide riiklike küberintsidentidele reageerimise üksustega asjakohast teavet, sealhulgas isikuandmeid kooskõlas liidu andmekaitseõigusega.

CSIRTid võivad teha kolmandate riikide riiklike küberintsidentidele reageerimise üksustega või samaväärsete kolmandate riikide asutustega koostööd, eelkõige selleks, et anda neile küberturvalisuse alast abi.

▼B

Iga liikmesriik teatab komisjonile põhjendamatu viivituseta käesoleva artikli lõikes 1 osutatud CSIRTi ja artikli 12 lõike 1 kohaselt koordinaatoriks määratud CSIRTi andmed, nende asjaomased ülesanded seoses elutähtsate ja oluliste üksustega ning nendega seotud hilisemad muudatused.

10.

Liikmesriigid võivad oma CSIRTide moodustamisel paluda ENISA abi.

Artikkel 11

CSIRTidele esitatavad nõuded, nende tehniline võimekus ja ülesanded

CSIRTid peavad vastama järgmistele nõuetele:

CSIRTid peavad tagama oma sidekanalite laialdase kättesaadavuse, vältides nõrku lülisid, ning kasutama mitmesuguseid vahendeid, mis võimaldavad neil teistega ja teistel nendega igal ajal ühendust võtta; CSIRTid määravad selgelt kindlaks sidekanalid ning teevad need oma sihtrühmadele ja koostööpartneritele teatavaks;

CSIRTide ametiruumid ja nende tööd toetavad infosüsteemid peavad asuma turvalises kohas;

CSIRTidel peab olema päringute haldamiseks ja suunamiseks sobiv süsteem, ennekõike selleks, et tõhustada üleandmisi;

CSIRTid peavad tagama oma tegevuse konfidentsiaalsuse ja usaldusväärsuse;

CSIRTidel peab olema piisavalt töötajaid, et tagada nende teenuste alaline kättesaadavus, ja nad peavad tagama oma töötajatele asjakohase väljaõppe;

CSIRTidel peavad olema varusüsteemid ja varutööruumid, et tagada oma teenuste toimepidevus.

CSIRTid võivad osaleda rahvusvahelistes koostöövõrgustikes.

Liikmesriigid tagavad, et nende CSIRTidel on ühiselt artiklis 3 osutatud ülesannete täitmiseks vajalik tehniline võimekus. Liikmesriigid tagavad, et nende CSIRTidele eraldatakse piisavalt vahendeid, et tagada selline töötajate arv, mis võimaldab CSIRTidel arendada oma tehnilist võimekust.

CSIRTidel on järgmised ülesanded:

korraldada küberohtude, nõrkuste ja intsidentide seiret ja analüüsi riiklikul tasandil, ning taotluse korral osutada abi asjaomastele elutähtsatele ja olulistele üksustele seoses nende võrgu- ja infosüsteemide reaalajas või reaalajalähedase seirega;

tagada küberohtude, nõrkuste ja intsidentide kohta varajaste hoiatuste, hoiatuste ja teadete edastamine ning teabe levitamine asjaomastele elutähtsatele ja olulistele üksustele ning pädevatele asutustele ning muudele asjaomastele sidusrühmadele, võimaluse korral reaalajalähedaselt;

▼C3

reageerida intsidentidele ning, kui see on kohaldatav, abistada asjaomaseid elutähtsaid ja olulisi üksusi;

koguda ja analüüsida digikriminalistika andmeid ning pakkuda riskide ja intsidentide dünaamilist analüüsi ning tagada küberturvalisuse alane olukorrateadlikkus;

▼B

kontrollida elutähtsa või olulise üksuse taotlusel ennetavalt selle üksuse võrgu- ja infosüsteeme, et teha kindlaks potentsiaalselt olulise mõjuga nõrkused;

osaleda CSIRTide võrgustikus ning osutada teistele võrgustiku liikmetele nende taotluse korral oma võimekusele ja pädevusele vastavat vastastikust abi;

kui see on kohaldatav, tegutseda artikli 12 lõikes 1 osutatud nõrkuste koordineeritud avalikustamise protsessi koordinaatorina;

panustada artikli 10 lõike 3 kohaste turvaliste teabejagamisvahendite kasutuselevõtmisse.

CSIRTid võivad elutähtsate ja oluliste üksuste üldkasutatavaid võrgu- ja infosüsteeme ennetavalt väliselt kontrollida. Selline kontrollimine toimub nõrkade või ebaturvaliselt konfigureeritud võrgu- ja infosüsteemide tuvastamiseks ning asjaomaste üksuste teavitamiseks. Sellisel kontrollimisel ei tohi olla negatiivset mõju üksuste teenuste toimimisele.

Esimeses lõigus osutatud ülesannete täitmisel võivad CSIRTid riskipõhise lähenemisviisi alusel teatavaid ülesandeid prioriseerida.

CSIRTid loovad koostöösuhteid erasektori asjaomaste sidusrühmadega, et saavutada käesoleva direktiivi eesmärgid.

Lõikes 4 osutatud koostöö hõlbustamiseks toetavad CSIRTid ühtsete või standardsete tavade, liigitamissüsteemide ja taksonoomiate kasutuselevõttu seoses järgmisega:

intsidentide käsitlemise menetlused;

kriisiohje ning

artikli 12 lõike 1 kohane nõrkuste koordineeritud avalikustamine.

Artikkel 12

Nõrkuste koordineeritud avalikustamine ja Euroopa nõrkuste andmebaas

Iga liikmesriik määrab ühe oma CSIRTidest nõrkuste koordineeritud avalikustamise koordinaatoriks. Koordinaatoriks määratud CSIRT tegutseb usaldusväärse vahendajana, hõlbustades vajaduse korral suhtlust nõrkusest teavitava füüsilise või juriidilise isiku ning potentsiaalse nõrkusega IKT-toodete tootja või IKT-teenuste osutaja vahel, tegutsedes ükskõik kumma poole taotlusel. Koordinaatoriks määratud CSIRTi ülesandeks on

teha kindlaks asjaomased üksused ja võtta nendega ühendust;

abistada nõrkusest teavitavaid füüsilisi ja juriidilisi isikuid ning

pidada läbirääkimisi avalikustamise tähtaegade üle ning hallata mitut üksust mõjutavaid nõrkusi.

Liikmesriigid tagavad, et füüsilised või juriidilised isikud saavad koordinaatoriks määratud CSIRTi nõrkusest teavitada taotluse korral anonüümselt. Koordinaatoriks määratud CSIRT tagab, et teatatud nõrkusega seoses võetakse hoolikaid järelmeetmeid, ning tagab nõrkusest teatava füüsilise või juriidilise isiku anonüümsuse. Kui teates osutatud nõrkus võib oluliselt mõjutada üksusi rohkem kui ühes liikmesriigis, teeb iga asjaomase liikmesriigi poolt koordinaatoriks määratud CSIRT asjakohasel juhul teiste koordinaatoriks määratud CSIRTidega CSIRTide võrgustikus koostööd.

ENISA töötab pärast koostöörühmaga konsulteerimist välja Euroopa nõrkuste andmebaasi ja haldab seda. Selleks loob ENISA asjakohased infosüsteemid, põhimõtted ja menetlused ning haldab neid ning võtab Euroopa nõrkuste andmebaasi turvalisuse ja tervikluse tagamiseks vajalikud tehnilised ja korralduslikud meetmed eelkõige selleks, et võimaldada üksustel, olenemata sellest, kas nad kuuluvad käesoleva direktiivi kohaldamisalasse, ning nende võrgu- ja infosüsteemide tarnijatel vabatahtlikult avalikustada ja registreerida IKT-toodete või IKT-teenuste üldtuntud nõrkusi. Juurdepääs Euroopa nõrkuste andmebaasis sisalduvale nõrkusi käsitlevale teabele antakse kõigile sidusrühmadele. Andmebaas sisaldab teavet:

nõrkuse olemuse kohta;

mõjutatud IKT-toodete või IKT-teenuste ning nõrkuse tõsiduse kohta, pidades silmas selle võimaliku ärakasutamise olukordi;

seotud paikade kättesaadavuse kohta ning paikade puudumisel nõrkustega IKT-toodete ja IKT-teenuste kasutajatele suunatud, pädevate asutuste või CSIRTide poolt antud suunised selle kohta, kuidas avalikustatud nõrkustest tulenevaid riske vähendada.

Artikkel 13

Koostöö liikmesriigi tasandil

Kui ühe liikmesriigi pädevad asutused, ühtne kontaktpunkt ja CSIRTid on eraldiseisvad asutused, teevad nad käesolevas direktiivis sätestatud kohustuste täitmisel koostööd.

Liikmesriigid tagavad, et nende CSIRTid või, kui see on kohaldatav, nende pädevad asutused saavad artikli 23 kohaselt esitatud teateid oluliste intsidentide ning artikli 30 kohaselt esitatud teateid intsidentide, küber- ja ►C2 napilt ära hoitud intsidentide ◄ kohta.

Liikmesriigid tagavad, et nende CSIRTid või, kui see on kohaldatav, nende pädevad asutused teavitavad intsidentide, küber- ja ►C2 napilt ära hoitud intsidentide ◄ kohta käesoleva direktiivi kohaselt esitatud teadetest oma riigi ühtset kontaktpunkti.

Selleks et tagada pädevate asutuste, ühtsete kontaktpunktide ja CSIRTide ülesannete ja kohustuste tulemuslik täitmine, tagavad liikmesriigid nii suures ulatuses kui võimalik asjakohase koostöö nende kõnealuse liikmesriigi organite ning õiguskaitseasutuste, andmekaitseasutuste, määruste (EÜ) nr 300/2008 ja (EL) 2018/1139 kohaste riiklike asutuste, määruse (EL) nr 910/2014 kohaste järelevalveasutuste, määruse (EL) 2022/2554 kohaste pädevate asutuste, direktiivi (EL) 2018/1972 kohaste riigi reguleerivate asutuste, direktiivi (EL) 2022/2557 kohaste pädevate asutuste ning muude valdkondlike liidu õigusaktide kohaste pädevate asutuste vahel.

▼C3

Liikmesriigid tagavad, et nende käesoleva direktiivi kohased pädevad asutused ja direktiivi (EL) 2022/2557 kohased pädevad asutused teevad koostööd ja vahetavad korrapäraselt teavet elutähtsa teenuse osutajateks määramise, küberriskide, -ohtude ja -intsidentide kohta ning direktiivi (EL) 2022/2557 alusel elutähtsa teenuse osutajatena käsitatavaid elutähtsaid üksusi mõjutavate muude kui küberriskide, -ohtude ja -intsidentide kohta ning sellistele riskidele, ohtudele ja intsidentidele reageerimiseks võetud meetmete kohta. Samuti tagavad liikmesriigid, et nende käesoleva direktiivi kohased pädevad asutused ning määruste (EL) nr 910/2014, (EL) 2022/2554 ja direktiivi (EL) 2018/1972 kohased pädevad asutused vahetavad korrapäraselt asjakohast teavet, sealhulgas asjaomaste intsidentide ja küberohtude kohta.

▼B

Liikmesriigid lihtsustavad artiklites 23 ja 30 osutatud teatamist tehniliste vahendite abil.

III PEATÜKK

KOOSTÖÖ LIIDU JA RAHVUSVAHELISEL TASANDIL

Artikkel 14

Koostöörühm

Et toetada ja hõlbustada strateegilist koostööd ja teabevahetust liikmesriikide vahel ning suurendada usaldust ja kindlustunnet, luuakse koostöörühm.

Koostöörühm täidab oma ülesandeid kaheaastaste tööprogrammide alusel, nagu on osutatud lõikes 7.

Koostöörühma moodustavad liikmesriikide, komisjoni ja ENISA esindajad. Euroopa välisteenistus osaleb koostöörühma tegevuses vaatlejana. Euroopa järelevalveasutused ja määruse (EL) 2022/2554 kohased pädevad asutused võivad osaleda koostöörühma tegevuses kooskõlas kõnealuse määruse artikli 47 lõikega 1.

Kui see on asjakohane, võib koostöörühm kutsuda oma töös osalema Euroopa Parlamendi ja asjakohaste sidusrühmade esindajad.

Sekretariaaditeenuseid osutab komisjon.

Koostöörühmal on järgmised ülesanded:

anda pädevatele asutustele suuniseid käesoleva direktiivi ülevõtmise ja kohaldamise kohta;

anda pädevatele asutustele suuniseid artikli 7 lõike 2 punktis c osutatud nõrkuste koordineeritud avalikustamise poliitika väljatöötamise ja rakendamise kohta;

vahetada parimaid tavasid ja teavet seoses käesoleva direktiivi rakendamisega, sealhulgas seoses küberohtude, intsidentide, nõrkuste, ►C2 napilt ära hoitud intsidentide ◄ , teadlikkuse suurendamise algatuste, koolituse, õppuste ja oskuste, võimekuse suurendamise, standardite ja tehniliste spetsifikatsioonide ning elutähtsate ja oluliste üksuste kindlaksmääramisega artikli 2 lõike 2 punktide b–e kohaselt;

vahetada nõuandeid ja teha koostööd komisjoniga seoses uute küberturvalisuse poliitika algatustega ning valdkondlike küberturvalisuse nõuete üldise järjepidevusega;

vahetada nõuandeid ja teha koostööd komisjoniga seoses käesoleva direktiivi kohaselt vastu võetavate delegeeritud õigusaktide või rakendusaktide eelnõudega;

vahetada parimaid tavasid ja teavet asjaomaste liidu institutsioonide, organite ja asutustega;

vahetada arvamusi küberturvalisust käsitlevaid sätteid sisaldavate valdkondlike liidu õigusaktide rakendamise üle;

arutada artikli 19 lõikes 9 osutatud vastastikuse hindamise aruandeid, kui see on asjakohane, ning koostada järeldusi ja soovitusi;

teha kriitilise tähtsusega tarneahelate turberiski koordineeritud hindamisi kooskõlas artikli 22 lõikega 1;

arutada vastastikuse abi juhtumeid, sealhulgas artiklis 37 osutatud piiriüleste ühiste järelevalvemeetmete rakendamisest saadud kogemusi ja tulemusi;

arutada ühe või mitme asjaomase liikmesriigi taotlusel artiklis 37 osutatud konkreetseid vastastikuse abi taotlusi;

anda CSIRTide võrgustikule ja EU-CyCLONe-le strateegilisi suuniseid spetsiifilistes esilekerkivates küsimustes;

vahetada CSIRTide võrgustikust ja EU-CyCLONe-st saadud kogemuste põhjal arvamusi ulatuslike küberturbeintsidentide ja kriisijärgsete järelmeetmete poliitika üle;

aidata tagada küberturvalisuse alane võimekus liidus, hõlbustades riigiametnike vahetust suutlikkuse suurendamise programmi kaudu, millesse kaasatakse pädevate asutuste või CSIRTide töötajad;

korraldada korrapäraseid ühiskoosolekuid erasektori asjaomaste sidusrühmadega kogu liidust, et arutada koostöörühma tegevust ja koguda teavet esilekerkivate poliitikaprobleemide kohta;

arutada küberturvalisuse alaste õppustega seoses tehtud tööd, sealhulgas ENISA tehtud tööd;

panna komisjoni ja ENISA abiga paika artikli 19 lõikes 1 osutatud vastastikuste hindamiste metoodika ja korralduslikud aspektid, kehtestada artikli 19 lõike 5 kohane liikmesriikide enesehindamise metoodika ning töötada vastavalt artikli 19 lõikele 6 koostöös komisjoni ja ENISAga välja tegevusjuhendid, millele toetuvad määratud küberturvalisuse ekspertide töömeetodid;

koostada artiklis 40 osutatud läbivaatamise eesmärgil aruandeid strateegilisel tasandil ja vastastikuste hindamiste käigus omandatud kogemuste kohta;

arutada ja korrapäraselt hinnata küberohtude või intsidentide, näiteks lunavara olukorda.

Koostöörühm esitab esimese lõigu punktis r osutatud aruanded komisjonile, Euroopa Parlamendile ja nõukogule.

Liikmesriigid tagavad oma esindajate tõhusa, tulemusliku ja turvalise koostöö koostöörühmas.

Koostöörühm võib tellida CSIRTide võrgustikult valitud teemasid käsitlevaid tehnilisi aruandeid.

Koostöörühm koostab 1. veebruariks 2024 ja seejärel iga kahe aasta järel tööprogrammi oma eesmärkide ja ülesannete täitmiseks võetavate meetmete kohta.

Komisjon võib võtta vastu rakendusaktid, millega kehtestatakse koostöörühma toimimiseks vajalik menetluskord.

Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 39 lõikes 2 osutatud kontrollimenetlusega.

Komisjon peab koostöörühmaga nõu ja teeb temaga lõike 4 punkti e kohaselt käesoleva lõike esimeses lõigus osutatud rakendusaktide eelnõude osas koostööd.

Koostöörühm kohtub korrapäraselt ning vähemalt kord aastas direktiivi (EL) 2022/2557 alusel loodud elutähtsa teenuse osutajate toimepidevuse töörühmaga, et edendada ja hõlbustada strateegilist koostööd ja teabevahetust.

Artikkel 15

CSIRTide võrgustik

Et kasvatada usaldust ja kindlustunnet ning edendada kiiret ja tõhusat operatiivkoostööd liikmesriikide vahel, luuakse riiklik CSIRTide võrgustik.

CSIRTide võrgustik luuakse artikli 10 kohaselt määratud või asutatud CSIRTide ning liidu institutsioonide ja ametite infoturbeintsidentidega tegeleva rühma (CERT-EU) esindajatest. Komisjon osaleb CSIRTide võrgustiku tegevuses vaatlejana. ENISA tagab sekretariaaditeenused ja toetab aktiivselt CSIRTide-vahelist koostööd.

CSIRTide võrgustikul on järgmised ülesanded:

vahetada CSIRTide võimekust puudutavat teavet;

hõlbustada tehnoloogia ja asjaomaste meetmete, poliitika, vahendite, protsesside, parimate tavade ja raamistike jagamist, ülekandmist ja vahetamist CSIRTide vahel;

vahetada asjakohast teavet intsidentide, ►C2 napilt ära hoitud intsidentide ◄ , küberohtude, riskide ja nõrkuste kohta;

vahetada teavet seoses küberturvalisust käsitlevate väljaannete ja soovitustega;

tagada koostalitlusvõime teabevahetuse spetsifikatsioonide ja protokollide osas;

vahetada ja arutada intsidendist potentsiaalselt mõjutatud CSIRTide võrgustiku liikme taotlusel teavet intsidendi ning sellega seotud küberohtude, riskide ja nõrkuste kohta;

▼C3

arutada CSIRTide võrgustiku liikme taotlusel kõnealuse liikmesriigi jurisdiktsioonis tuvastatud intsidendile koordineeritud reageerimist ning võimaluse korral reageerida intsidendile koordineeritult;

▼B

abistada liikmesriike piiriüleste intsidentide käesoleva direktiivi kohasel käsitlemisel;

teha koostööd, vahetada parimaid tavasid ning abistada artikli 12 lõike 1 kohaselt koordinaatoriteks määratud CSIRT-e selliste nõrkuste koordineeritud avalikustamise haldamisel, millel võib olla märkimisväärne mõju rohkem kui ühe liikmesriigi üksustele;

arutada ja teha kindlaks täiendavaid operatiivkoostöövorme, sealhulgas seoses järgmisega:

küberohtude ja intsidentide liigid;

ii)

varajased hoiatused;

iii)

vastastikune abi;

▼C3

iv)

piiriülestele riskidele ja intsidentidele koordineeritud reageerimise põhimõtted ja kord;

▼B

osalemine liikmesriigi taotlusel artikli 9 lõikes 4 osutatud riikliku ulatuslike küberturbeintsidentide ja kriiside lahendamise kava koostamises;

teavitada koostöörühma oma tegevusest ja punkti g kohaselt arutatud täiendavatest operatiivkoostöö vormidest ning vajaduse korral taotleda sellega seotud suuniseid;

analüüsida küberturvalisuse alaseid õppusi, sealhulgas ENISA korraldatud õppusi;

arutada CSIRTi taotlusel kõnealuse CSIRTi võimekust ja valmisolekut;

teha koostööd ning vahetada teavet piirkondlike ja liidu tasandi turbekeskustega, et parandada ühist olukorrateadlikkust intsidentide ja küberohtude vallas kogu liidus;

asjakohasel juhul arutada artikli 19 lõikes 9 osutatud vastastikuse hindamise aruandeid;

anda suuniseid, et hõlbustada operatiivtegevuse tavade lähendamist seoses käesoleva artikli operatiivkoostööd käsitlevate sätete kohaldamisega.

Hiljemalt 17. jaanuariks 2025 ning seejärel iga kahe aasta tagant hindab CSIRTide võrgustik artiklis 40 osutatud läbivaatamise eesmärgil operatiivkoostöös tehtud edusamme ja võtab vastu sellekohase aruande. Aruanne sisaldab eelkõige järeldusi ja soovitusi, mis põhinevad riiklike CSIRTide artiklis 19 osutatud vastastikuste hindamiste tulemustel. See aruanne esitatakse koostöörühmale.

CSIRTide võrgustik võtab vastu oma töökorra.

CSIRTide võrgustik ja EU-CyCLONe lepivad kokku menetluskorra ja teevad selle alusel koostööd.

Artikkel 16

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-CyCLONe)

EU-CyCLONe luuakse selleks, et toetada ulatuslike küberturbeintsidentide ja kriiside koordineeritud ohjamist operatiivtasandil ning tagada asjakohase teabe korrapärane vahetamine liikmesriikide ning liidu institutsioonide, organite ja asutuste vahel.

EU-CyCLONe-sse kuuluvad liikmesriikide küberkriisi ohjamise asutuste esindajad ning juhul, kui võimalikul või jätkuval ulatuslikul küberturbeintsidendil on või tõenäoliselt on oluline mõju käesoleva direktiivi kohaldamisalasse kuuluvatele teenustele ja tegevustele, komisjoni esindajad. Muudel juhtudel osaleb komisjon EU-CyCLONe tegevuses vaatlejana.

ENISA tagab EU-CyCLONe jaoks sekretariaaditeenused ja toetab turvalist teabevahetust ning pakub vajalikke vahendeid liikmesriikide vahelise koostöö toetamiseks, tagades turvalise teabevahetuse.

Kui see on asjakohane, võib EU-CyCLONe kutsuda oma töös osalema vaatlejatena asjakohaste sidusrühmade esindajad.

EU-CyCLONe ülesanded on järgmised:

tõsta valmisoleku taset ulatuslike küberturbeintsidentide ja kriiside ohjamiseks;

arendada ühist olukorrateadlikkust ulatuslike küberturbeintsidentide ja kriiside korral;

hinnata ulatuslike küberturbeintsidentide ja kriiside tagajärgi ja mõju ning pakkuda välja võimalikke leevendusmeetmeid;

koordineerida ulatuslike küberturbeintsidentide ja kriiside ohjamist ning toetada selliste intsidentide ja kriisidega seotud otsuste tegemist poliitilisel tasandil;

arutada asjaomase liikmesriigi taotlusel artikli 9 lõikes 4 osutatud riiklikke ulatuslike küberturbeintsidentide ja kriiside lahendamise kavasid.

EU-CyCLONe võtab vastu oma töökorra.

EU-CyCLONe esitab koostöörühmale korrapäraselt ulatuslike küberturbeintsidentide ja kriiside ohjamist ning suundumusi käsitleva aruande, keskendudes eelkõige mõjule, mida need avaldavad elutähtsatele ja olulistele üksustele.

EU-CyCLONe teeb CSIRTide võrgustikuga koostööd artikli 15 lõikes 6 sätestatud kokkulepitud menetluskorra alusel.

Hiljemalt 17. juuliks 2024 ning seejärel iga 18 kuu järel esitab EU-CyCLONe Euroopa Parlamendile ja nõukogule oma tööd hindava aruande.

Artikkel 17

Rahvusvaheline koostöö

Kui see on kohane, võib liit kooskõlas ELi toimimise lepingu artikliga 218 sõlmida kolmandate riikide või rahvusvaheliste organisatsioonidega rahvusvahelisi lepinguid, mis võimaldavad neil osaleda ja korraldada osalust mõningates koostöörühma, CSIRTide võrgustiku ning EU-CyCLONe tegevustes. Sellised lepingud peavad olema kooskõlas liidu andmekaitseõigusega.

Artikkel 18

Aruanne küberturvalisuse olukorra kohta liidus

ENISA võtab koostöös komisjoni ja koostöörühmaga iga kahe aasta järel vastu aruande, mis käsitleb küberturvalisuse olukorda liidus, ning esitab selle ja tutvustab seda Euroopa Parlamendile. Aruanne tehakse muu hulgas kättesaadavaks masinloetavate andmetega ning sisaldab järgmist:

liidu tasandi küberturvalisuse riskihindamine, mille puhul võetakse arvesse küberohtude kaardistamist;

hinnang küberturvalisuse alase võimekuse kohta kogu liidu avalikus ja erasektoris;

hinnang kodanike ja üksuste, sealhulgas väikeste ja keskmise suurusega ettevõtjate küberturvalisuse alase teadlikkuse ja küberhügieeni üldise taseme kohta;

koondhinnang artiklis 19 osutatud vastastikuse hindamise tulemuste kohta;

koondhinnang küberturvalisuse alase võimekuse ja ressursside küpsuse taseme kohta kogu liidus, sealhulgas sektori tasandil, ning selle kohta, mil määral on liikmesriikide riiklikud küberturvalisuse strateegiad omavahel kooskõlas.

Aruanne sisaldab konkreetseid poliitikasoovitusi puudujääkide kõrvaldamiseks ja küberturvalisuse taseme tõstmiseks kogu liidus ning ENISA poolt kooskõlas määruse (EL) 2019/881 artikli 7 lõikega 6 avaldatud, intsidente ja küberohte käsitlevate ELi küberturvalisuse tehnilise olukorra aruannete tulemuste kokkuvõtet kindla perioodi kohta.

ENISA töötab koostöös komisjoni, koostöörühma ja CSIRTide võrgustikuga välja metoodika, mis hõlmab lõike 1 punktis e osutatud koondhinnangu asjaomaseid muutujaid, nagu kvantitatiivsed ja kvalitatiivsed näitajad.

Artikkel 19

Vastastikune hindamine

Koostöörühm töötab 17. jaanuariks 2025 komisjoni ja ENISA ning, kui see on asjakohane, CSIRTide võrgustiku abiga välja vastastikuse hindamise metoodika ja korralduslikud aspektid, et õppida jagatud kogemustest, tugevdada vastastikust usaldust, saavutada küberturvalisuse ühtlaselt kõrge tase ning suurendada liikmesriikide küberturvalisuse alast võimekust ja poliitikat, mis on vajalik käesoleva direktiivi rakendamiseks. Vastastikuses hindamises osalemine on vabatahtlik. Vastastikuse hindamise viivad läbi küberturvalisuse valdkonna eksperdid. Küberturvalisuse eksperdid määravad vähemalt kaks liikmesriiki, mis on muud liikmesriigid kui see, mida hinnatakse.

Vastastikuse hindamise raames hinnatakse vähemalt ühte järgmistest aspektidest:

artiklites 21 ja 23 sätestatud küberturvalisuse riskijuhtimismeetmete ja teatamiskohustuse rakendamise tase;

võimekuse tase, sealhulgas olemasolevad rahalised, tehnilised ja inimressursid, ning pädevate asutuste ülesannete täitmise tõhusus;

CSIRTide tegevusvõimekus;

artiklis 37 osutatud vastastikuse abi rakendamise tase;

artiklis 29 osutatud küberturvalisuse alase teabevahetuse kokkulepete rakendamise tase;

piiriülese või valdkonnaülese iseloomuga eriküsimused.

Lõikes 1 osutatud metoodika sisaldab objektiivseid, mittediskrimineerivaid, õiglasi ja läbipaistvaid kriteeriume, mille alusel liikmesriigid määravad vastastikuse hindamise läbiviimiseks sobivad küberturvalisuse valdkonna eksperdid. ENISA ja komisjon osalevad vastastikuses hindamises vaatlejatena.

Liikmesriigid võivad määrata kindlaks lõike 1 punktis f osutatud eriküsimused vastastikuseks hindamiseks.

Enne lõikes 1 osutatud vastastikuse hindamise alustamist teatavad liikmesriigid osalevatele liikmesriikidele selle ulatuse, sealhulgas lõike 3 kohaselt kindlaks määratud eriküsimused.

Enne vastastikuse hindamise algust võib liikmesriik teha vaatlusaluste aspektide enesehindamise ja esitada selle määratud küberturvalisuse ekspertidele. Liikmesriikide enesehindamise metoodika kehtestab komisjoni ja ENISA abiga koostöörühm.

Vastastikune hindamine hõlmab kohapealseid või virtuaalseid külastusi ja teabevahetust väljaspool tegevuskohta. Kooskõlas hea koostöö põhimõttega esitab liikmesriik, keda vastastikku hinnatakse, määratud küberturvalisuse ekspertidele hindamiseks vajaliku teabe, ilma et see piiraks konfidentsiaalse või salastatud teabe kaitset või riigi põhifunktsioonide, näiteks riigi julgeoleku kaitset käsitleva liikmesriikide või liidu õiguse kohaldamist. Koostöörühm töötab koostöös komisjoni ja ENISAga välja asjakohased tegevusjuhendid, millele määratud küberturvalisuse ekspertide töömeetodid toetuvad. Vastastikuses hindamises saadavat teavet kasutatakse üksnes hindamise eesmärgil. Vastastikuses hindamises osalevad küberturvalisuse valdkonna eksperdid ei avalda vastastikuse hindamise käigus saadud tundlikku või konfidentsiaalset teavet kolmandatele isikutele.

Liikmesriigis juba vastastikku hinnatud aspektid ei kuulu kõnealuses liikmesriigis enam vastastikusele hindamisele kahe aasta jooksul pärast vastastikuse hindamise lõppemist, välja arvatud juhul, kui seda taotleb liikmesriik või nii lepitakse kokku pärast koostöörühma ettepanekut.

Liikmesriigid tagavad, et määratud küberturvalisuse ekspertidega seotud huvide konflikti oht tehakse enne vastastikuse hindamise algust teatavaks teistele liikmesriikidele, koostöörühmale, komisjonile ja ENISA-le. Liikmesriik, keda vastastikku hinnatakse, võib esitada vastuväiteid konkreetsete küberturvalisuse ekspertide määramisele piisavalt põhjendatud juhtudel, millest on teatatud määravale liikmesriigile.

Vastastikuses hindamises osalevad küberturvalisuse eksperdid koostavad aruanded vastastikuse hindamise tulemuste ja järelduste kohta. Liikmesriigid, keda vastastikku hinnatakse, võivad esitada märkusi neid käsitlevate aruannete kavandite kohta ning sellised märkused lisatakse aruannetele. Aruanded sisaldavad soovitusi vastastikuse hindamisega hõlmatud aspektide parandamiseks. Aruanded esitatakse koostöörühmale ja CSIRTide võrgustikule, kui see on asjakohane. Liikmesriik, keda vastastikku hinnatakse, võib otsustada teha oma aruande või selle toimetatud versiooni üldsusele kättesaadavaks.

IV PEATÜKK

KÜBERTURVALISUSEGA SEOTUD RISKIJUHTIMISMEETMED JA TEATAMISKOHUSTUS

Artikkel 20

Juhtimine

Liikmesriigid tagavad, et elutähtsate ja oluliste üksuste juhtorganid kiidavad heaks küberturvalisuse riskijuhtimismeetmed, mida nimetatud üksused on võtnud artikli 21 järgimiseks, jälgivad nende rakendamist ning neid üksusi võib võtta vastutusele kõnealuse artikli rikkumise eest.

Käesoleva lõike kohaldamine ei piira liikmesriigi õigusaktide kohaldamist seoses avaliku sektori asutuste vastutust käsitlevate normidega ja avalike teenistujate ning valitud ja ametisse nimetatud ametnike vastutusega.

Liikmesriigid tagavad, et elutähtsate ja oluliste üksuste juhtorganite liikmed on kohustatud läbima korrapäraselt erikoolitusi, ning ergutavad elutähtsaid ja olulisi üksusi pakkuma sarnaseid koolitusi korrapäraselt oma töötajatele, et nad saaksid omandada piisavad teadmised ja oskused, et mõista ja hinnata küberturvalisuse riske ja nende juhtimise tavasid ning nendest tulenevat mõju üksuse osutatavatele teenustele.

Artikkel 21

Küberturvalisuse riskijuhtimismeetmed

Liikmesriigid tagavad, et elutähtsad ja olulised üksused võtavad asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida riske, mis ohustavad nende üksuste tegevuses või teenuste osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust, ning et ennetada või minimeerida intsidentide mõju nende teenuste saajatele ja muudele teenustele.

Võttes arvesse kaasaegseid ning, kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid ja rakendamiskulusid tagatakse esimeses lõigus osutatud meetmetega ähvardavale ohule vastav võrgu- ja infosüsteemide turvalisuse tase. Nende meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse üksuse riskidele avatuse määra, üksuse suurust ning intsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas nende ühiskondlikku ja majanduslikku mõju.

Lõikes 1 osutatud meetmed põhinevad kõiki ohte hõlmaval lähenemisviisil, mille eesmärk on kaitsta võrgu- ja infosüsteeme ning nende süsteemide füüsilist keskkonda intsidentide eest, ning hõlmavad vähemalt järgmist:

riskianalüüsi ja infosüsteemide turbe põhimõtteid;

intsidentide käsitlemist;

talitluspidevust, näiteks varundushaldus ja avariitaaste, ning kriisiohjet;

tarneahela turvalisust, sealhulgas sellised turvalisusesse puutuvad aspektid, mis on seotud iga üksuse ja tema otseste tarnijate või teenuseosutajate vaheliste suhetega;

võrgu- ja infosüsteemide hankimise, arendamise ja hooldamise turvalisust, sealhulgas nõrkuste käsitlemine ja avalikustamine;

tööpõhimõtteid ja menetluskorda küberturvalisuse riskijuhtimismeetmete tõhususe hindamiseks;

küberhügieeni põhitavasid ja küberturvalisuse koolitust;

krüptograafia ja, kui see on kohane, krüpteerimise kasutamise põhimõtteid ja menetlusi;

personali turvalisust, juurdepääsukontrolli põhimõtteid ja varade haldust;

kui see on kohane, mitmikautentimise või pidevautentimise lahenduste, turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamist üksuses.

Liikmesriigid tagavad, et käesoleva artikli lõike 2 punktis d osutatud meetmete asjakohasust kaaludes võtavad üksused arvesse igale otsesele tarnijale ja teenuseosutajale eriomaseid nõrkusi ning nende tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda. Liikmesriigid tagavad samuti, et nimetatud punktis osutatud meetmete asjakohasust kaaludes võtavad üksused arvesse artikli 22 lõike 1 kohaselt korraldatud kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamiste tulemusi.

Liikmesriigid tagavad, et üksus, kes leiab, et ta ei järgi lõikes 2 sätestatud meetmeid, võtab põhjendamatu viivituseta kõik vajalikud, asjakohased ja proportsionaalsed parandusmeetmed.

Hiljemalt 17. oktoobriks 2024 võtab komisjon vastu rakendusaktid, milles sätestatakse lõikes 2 osutatud meetmete tehnilised ja metoodilised nõuded seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, ►C2 hallatud turbeteenuse osutajate ◄ , internetipõhiste kauplemiskohtade, ►C3 veebipõhine otsingumootorite ◄ ning sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujatega.

Komisjon võib võtta vastu rakendusakte, milles sätestatakse lõikes 2 osutatud meetmete tehnilised ja metoodilised ning vajaduse korral valdkondlikud nõuded seoses muude kui käesoleva lõike esimeses lõigus osutatud elutähtsate ja oluliste üksustega.

Käesoleva lõike esimeses ja teises lõigus osutatud rakendusaktide ettevalmistamisel järgib komisjon võimalikult suures ulatuses Euroopa ja rahvusvahelisi standardeid ning asjakohaseid tehnilisi spetsifikatsioone. Komisjon peab kooskõlas artikli 14 lõike 4 punktiga e rakendusaktide eelnõude osas koostöörühma ja ENISAga nõu ning teeb nendega koostööd.

Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 39 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 22

Liidu tasandi kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamised

Koostöörühm võib koostöös komisjoni ja ENISAga teha kindlate kriitilise tähtsusega IKT-teenuste, IKT-süsteemide või IKT-toodete tarneahelate turberiski koordineeritud hindamisi, võttes arvesse tehnilisi ja asjakohasel juhul ka muid kui tehnilisi riskitegureid.

Komisjon määrab pärast koostöörühma ja ENISAga ning vajaduse korral asjaomaste sidusrühmadega konsulteerimist kindlaks konkreetsed kriitilise tähtsusega IKT-teenused, IKT-süsteemid või IKT-tooted, mille suhtes võib kohaldada lõikes 1 osutatud turberiski koordineeritud hindamist.

Artikkel 23

Teatamiskohustus

Liikmesriigid tagavad, et elutähtsad ja olulised üksused teavitavad põhjendamatu viivituseta oma CSIRTi või, kui see on kohaldatav, oma pädevat asutust vastavalt lõikele 4 kõikidest intsidentidest, mis nende teenuste osutamist märkimisväärselt mõjutavad, nagu on osutatud lõikes 3 (edaspidi „oluline intsident“). Kui see on asjakohane, teavitavad asjaomased üksused põhjendamatu viivituseta oma teenuste kasutajaid olulistest intsidentidest, mis tõenäoliselt kahjustavad kõnealuse teenuse osutamist. Liikmesriigid tagavad, et need üksused esitavad muu hulgas teabe, mis võimaldab CSIRTil või, kui see on kohaldatav, pädeval asutusel teha kindlaks intsidendi piiriülese mõju. Pelgalt teatamisega teavitava üksuse vastutus ei suurene.

Kui asjaomased üksused teavitavad pädevat asutust olulisest intsidendist esimese lõigu alusel, tagab liikmesriik, et kõnealune pädev asutus edastab teate selle kättesaamisel CSIRTile.

Piiriülese või sektoriülese olulise intsidendi korral tagavad liikmesriigid, et nende ühtsetele kontaktpunktidele antakse aegsasti asjakohast teavet kooskõlas lõikega 4.

Kui see on kohaldatav, tagavad liikmesriigid, et elutähtsad ja olulised üksused teavitavad põhjendamatu viivituseta oma teenuste kasutajaid, keda oluline küberoht võib mõjutada, meetmetest või parandusmeetmetest, mida teenuste kasutajad saavad ohule reageerimiseks võtta. Kui see on asjakohane, teavitavad üksused teenuse saajaid ka olulisest küberohust endast.

Intsidenti käsitatakse olulisena, kui:

see on põhjustanud või võib põhjustada asjaomase üksuse teenuste osutamisel tõsiseid tegevushäireid või rahalist kahju;

see on mõjutanud või võib mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju.

Liikmesriigid tagavad, et lõike 1 kohase teavitamise eesmärgil esitavad asjaomased üksused CSIRTile või, kui see on kohaldatav, pädevale asutusele järgmise:

põhjendamatu viivituseta ning igal juhul hiljemalt 24 tunni jooksul pärast olulisest intsidendist teada saamist varajase hoiatuse, milles märgitakse (kui see kohaldatav), kas olulise intsidendi põhjuseks on eeldatavasti ebaseaduslik või pahatahtlik tegevus või kas sellel võib olla piiriülene mõju;

põhjendamatu viivituseta ja igal juhul 72 tunni jooksul pärast olulisest intsidendist teadlikuks saamist intsidenditeate, millega, kui see on kohaldatav, ajakohastatakse punktis a osutatud teavet ning antakse esialgne hinnang olulisele intsidendile, sealhulgas selle tõsidusele ja mõjule ning võimaluse korral ka rikkeindikaatoritele;

CSIRTi või, kui see on kohaldatav, pädeva asutuse taotlusel vahearuande vaatlusaluste asjade seisu kohta;

ühe kuu jooksul pärast punktis b osutatud intsidenditeate esitamist lõpparuande, mis sisaldab järgmist:

intsidendi, sealhulgas selle tõsiduse ja mõju üksikasjalik kirjeldus;

ii)

ohu liik või lähtepõhjus, mis intsidendi tõenäoliselt põhjustas;

iii)

juba kohaldatud ja kohaldamisel olevad leevendusmeetmed;

iv)

kui see on kohaldatav, intsidendi piiriülene mõju;

kui intsident punktis d osutatud lõpparuande esitamise ajal jätkub, peavad liikmesriigid tagama, et asjaomased üksused esitavad sel ajal vahearuande ja ühe kuu jooksul pärast intsidendi nendepoolset käsitlemist lõpparuande.

Erandina esimese lõigu punktist b teavitab usaldusteenuse osutaja oma usaldusteenuste osutamist mõjutavatest olulistest intsidentidest CSIRTi või, kui see on kohaldatav, pädevat asutust põhjendamatu viivituseta ja igal juhul 24 tunni jooksul pärast olulisest intsidendist teada saamist.

CSIRT või pädev asutus annab põhjendamatu viivituseta ja võimaluse korral 24 tunni jooksul pärast lõike 4 punktis a osutatud varajase hoiatuse saamist teavitavale üksusele vastuse, mis sisaldab esialgset tagasisidet olulise intsidendi kohta ja üksuse taotluse korral võimalike leevendusmeetmete rakendamise suuniseid või nõu, kuidas toimida. Kui CSIRT ei ole lõikes 1 osutatud teate algne saaja, annab mainitud suunised pädev asutus koostöös CSIRTiga. CSIRT pakub täiendavat tehnilist tuge, kui asjaomane üksus seda taotleb. Kui kahtlustatakse, et oluline intsident on kuritegelik, annab CSIRT või pädev asutus ka juhiseid olulisest intsidendist õiguskaitseasutuste teavitamiseks.

Kui see on asjakohane ja eelkõige juhul, kui oluline intsident puudutab kahte või enamat liikmesriiki, peab CSIRT, pädev asutus või ühtne kontaktpunkt teavitama olulisest intsidendist põhjendamatu viivituseta teisi mõjutatud liikmesriike ja ENISAt. Teavitus peab sisaldama sellist liiki teavet, mis on saadud lõike 4 kohaselt. Seda tehes kaitsevad CSIRT, pädev asutus või ühtne kontaktpunkt kooskõlas liidu või liikmesriigi õigusega üksuse turvalisust ja ärihuve ning esitatud teabe konfidentsiaalsust.

▼C3

Kui üldsuse teadlikkus või intsidendi avalikustamine on vajalik olulise intsidendi ärahoidmiseks või olulise intsidendiga toime tulemiseks või muul moel üldsuse huvides, võivad liikmesriigi CSIRT või, kui see on kohaldatav, pädev asutus ning, kui see on kohane, ka teiste asjaomaste liikmesriikide CSIRTid või pädevad asutused teavitada pärast asjaomase üksusega konsulteerimist olulisest intsidendist üldsust või nõuda, et seda teeks asjaomane üksus.

▼B

CSIRTi või pädeva asutuse taotlusel edastab ühtne kontaktpunkt lõike 1 kohaselt saadud teated teiste mõjutatud liikmesriikide ühtsetele kontaktpunktidele.

Ühtne kontaktpunkt esitab ENISA-le iga kolme kuu tagant koondaruande, mis sisaldab anonüümseid koondandmeid käesoleva artikli lõike 1 ning artikli 30 kohaselt teatatud oluliste intsidentide, intsidentide, küber- ja ►C2 napilt ära hoitud intsidentide ◄ kohta. Teabe võrreldavuse tagamiseks võib ENISA võtta kokkuvõtvas aruandes esitatava teabe parameetrite kohta vastu tehnilisi suuniseid. ENISA teavitab koostöörühma ja CSIRTide võrgustikku oma järeldustest saadud teadete kohta iga kuue kuu järel.

10.

CSIRTid või, kui see on kohaldatav, pädevad asutused esitavad direktiivi (EL) 2022/2557 kohastele pädevatele asutustele teabe oluliste intsidentide, intsidentide, küber- ja ►C2 napilt ära hoitud intsidentide ◄ kohta, millest on käesoleva artikli lõike 1 ja artikli 30 kohaselt teatanud üksused, mida käsitatakse direktiivi (EL) 2022/2557 alusel elutähtsa teenuse osutajatena.

11.

Komisjon võib võtta vastu rakendusakte, milles täpsustatakse käesoleva artikli lõike 1 ja artikli 30 kohaselt esitatava teate ning käesoleva artikli lõike 2 kohase teavituse teabeliik, -vorming ning esitamise kord.

Hiljemalt 17. oktoobriks 2024 võtab komisjon seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuste osutajate, andmekeskusteenuste osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, ►C2 hallatud turbeteenuse osutajate ◄ ning internetipõhiste kauplemiskohtade, ►C3 veebipõhine otsingumootorite ◄ ja sotsiaalvõrguteenuse platvormide pakkujatega vastu rakendusaktid, millega täpsustatakse, millisel juhul käsitatakse intsidenti olulisena, nagu on osutatud lõikes 3. Komisjon võib selliseid rakendusakte vastu võtta ka seoses muude elutähtsate ja oluliste üksustega.

Komisjon peab kooskõlas artikli 14 lõike 4 punktiga e käesoleva lõike esimeses ja teises lõigus osutatud rakendusaktide eelnõude osas koostöörühmaga nõu ja teeb temaga koostööd.

Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 39 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 24

Euroopa küberturvalisuse sertifitseerimise kavade kasutamine

Liikmesriigid võivad nõuda elutähtsatelt ja olulistelt üksustelt artikli 21 teatavatele nõuetele vastavuse tõenduseks teatavate IKT-toodete, IKT-teenuste ja IKT-protsesside kasutamist, mille on välja töötanud elutähtis või oluline üksus või mis on hangitud kolmandatelt isikutelt ning mis on sertifitseeritud määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavade alusel. Lisaks ergutavad liikmesriigid elutähtsaid ja olulisi üksusi kasutama kvalifitseeritud usaldusteenuseid.

Komisjonil on õigus võtta kooskõlas artikliga 38 vastu delegeeritud õigusakte, et täiendada käesolevat direktiivi, määrates kindlaks, mis liiki elutähtsatelt ja olulistelt üksustelt nõutakse teatavate IKT-toodete, IKT-teenuste ja IKT-protsesside kasutamist või sertifikaadi omandamist määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kava alusel. Need delegeeritud õigusaktid võetakse vastu juhul, kui on kindlaks tehtud, et küberturvalisuse tase ei ole piisav, ja nendega nähakse ette rakendusperiood.

Enne selliste delegeeritud õigusaktide vastuvõtmist teeb komisjon mõjuhinnangu ja korraldab konsultatsioone kooskõlas määruse (EL) 2019/881 artikliga 56.

Kui asjakohast Euroopa küberturvalisuse sertifitseerimise kava käesoleva artikli lõike 2 kohaldamiseks ei ole, võib komisjon pärast koostöörühma ja Euroopa küberturvalisuse sertifitseerimise rühmaga konsulteerimist taotleda määruse (EL) 2019/881 artikli 48 lõike 2 kohaselt ENISA-lt ettevalmistava kava koostamist.

Artikkel 25

Standardimine

Artikli 21 lõigete 1 ja 2 ühtse kohaldamise edendamiseks toetavad liikmesriigid võrgu- ja infosüsteemide turvalisust käsitlevate Euroopa ja rahvusvaheliste standardite ja tehniliste spetsifikatsioonide rakendamist, ilma et nad seejuures nõuaksid või diskrimineerivalt soosiksid konkreetset tüüpi tehnoloogia kasutamist.

ENISA koostab koostöös liikmesriikidega ja, kui see on kohane, pärast konsulteerimist asjaomaste sidusrühmadega nõuanded ja suunised seoses tehniliste valdkondadega, mida tuleb lõike 1 puhul arvesse võtta, ning seoses olemasolevate, sealhulgas riiklike standarditega, mis võimaldaksid neid valdkondi hõlmata.

V PEATÜKK

JURISDIKTSIOON JA REGISTREERIMINE

Artikkel 26

Jurisdiktsioon ja territoriaalsus

Käesoleva direktiivi kohaldamisalasse kuuluvaid üksusi loetakse selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus on nende tegevuskoht või kus nad on asutatud, välja arvatud järgmistel juhtudel:

üldkasutatavate elektroonilise side võrkude pakkujaid või üldkasutatavate elektroonilise side teenuste osutajaid loetakse selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus nad oma teenuseid osutavad;

domeeninimede süsteemi teenuse osutajaid, tippdomeeninimede registreid, domeeninimede registreerimise teenuseid osutavaid üksusi, pilvandmetöötlusteenuse osutajaid, andmekeskusteenuse osutajaid, sisulevivõrgu pakkujaid, hallatud teenuse osutajaid, ►C2 hallatud turbeteenuse osutajaid ◄ ning internetipõhiste kauplemiskohtade, ►C3 veebipõhine otsingumootorite ◄ ja sotsiaalvõrguteenuse platvormide pakkujaid loetakse selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus on nende lõike 2 kohane peamine tegevuskoht liidus;

avaliku halduse üksusi loetakse selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kes nad asutas.

Käesoleva direktiivi kohaldamisel käsitatakse lõike 1 punktis b osutatud üksuse peamise tegevuskohana seda liidu liikmesriiki, kus küberturvalisuse riskijuhtimismeetmeid käsitlevad otsused valdavalt tehakse. Kui sellist liikmesriiki ei ole võimalik kindlaks määrata või kui selliseid otsuseid ei tehta liidus, käsitatakse peamise tegevuskohana seda liikmesriiki, kus toimub küberturvalisuse alane tegevus. Kui sellist liikmesriiki ei ole võimalik kindlaks määrata, käsitatakse peamise tegevuskohana seda liikmesriiki, mille territooriumil on asjaomasel üksusel tegevuskoht liidus kõige suurema arvu töötajatega.

Kui lõike 1 punktis b osutatud üksuse tegevuskoht ei ole liidus või ta ei ole seal asutatud, kuid ta pakub liidus oma teenuseid, määrab ta endale liidus esindaja. Esindaja tegevuskoht peab olema ühes nendest liikmesriikidest, kus teenuseid osutatakse, või ta peab olema seal asutatud. Kõnealust üksust loetakse selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus on esindaja tegevuskoht või kus ta on asutatud. Kui käesoleva lõike kohast esindajat liidus määratud ei ole, võib üksuse vastu, kes rikub käesolevat direktiivi, võtta õiguslikke meetmeid iga liikmesriik, kus üksus teenuseid osutab.

Esindaja määramine lõike 1 punktis b osutatud üksuse poolt ei piira õiguslike meetmete võtmist üksuse enda vastu.

Liikmesriik, kes on saanud seoses lõike 1 punktis b osutatud üksusega vastastikuse abi taotluse, võib võtta kõnealuse üksuse suhtes, mis osutab selle riigi territooriumil teenuseid või millel on seal võrgu- ja infosüsteem, taotluse ulatuses asjakohaseid järelevalve- ja täitemeetmeid.

Artikkel 27

Üksuste register

ENISA loob ühtsetelt kontaktpunktidelt lõike 4 kohaselt saadud teabe põhjal domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, domeeninimede registreerimise teenuseid osutavate üksuste, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate ja ►C2 hallatud turbeteenuse osutajate ◄ ning internetipõhiste kauplemiskohtade, ►C3 veebipõhine otsingumootorite ◄ ja sotsiaalvõrguteenuse platvormide pakkujate registri ning haldab seda. Taotluse korral võimaldab ENISA pädevatele asutustele kõnealusele registrile juurdepääsu, tagades samal ajal teabe konfidentsiaalsuse kaitses, kui see on kohaldatav.

Liikmesriigid nõuavad lõikes 1 osutatud üksustelt hiljemalt 17. jaanuariks 2025 järgmise teabe esitamist pädevatele asutustele:

üksuse nimi;

I või II lisas osutatud asjakohane sektor, allsektor ja üksuse liik, kui see asjakohane;

üksuse peamise tegevuskoha ja liidus asuvate muude ametlike tegevuskohtade aadress või kui tal liidus tegevuskohta ei ole või ta ei ole seal asutatud, tema artikli 26 lõike 3 kohaselt määratud esindaja aadress;

üksuse ja, kui see on kohaldatav, tema artikli 26 lõike 3 kohaselt määratud esindaja ajakohased kontaktandmed, sealhulgas e-posti aadressid ja telefoninumbrid;

liikmesriigid, kus üksus teenust osutab, ning

üksuse IP-vahemikud.

Liikmesriigid tagavad, et lõikes 1 osutatud üksused teavitavad pädevat asutust viivitamata lõike 2 kohaselt esitatud teabe muutumisest, tehes seda igal juhul hiljemalt kolme kuu jooksul alates muudatuse kuupäevast.

Lõigetes 2 ja 3 osutatud teabe, välja arvatud lõike 2 punktis f osutatud teave, kättesaamisel edastab asjaomase liikmesriigi ühtne kontaktpunkt selle põhjendamatu viivituseta ENISA-le.

Kui see on kohaldatav, esitatakse käesoleva artikli lõigetes 2 ja 3 osutatud teave artikli 3 lõike 4 neljandas lõigus osutatud riikliku mehhanismi kaudu.

Artikkel 28

Domeeninimede registreerimisandmete andmebaas

Et aidata suurendada domeeninimede süsteemi turvalisust, stabiilsust ja vastupanuvõimet, nõuavad liikmesriigid, et tippdomeeninimede registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused koguksid ja säilitaksid täpseid ja täielikke domeeninimede registreerimise andmeid spetsiaalses andmebaasis, kohaldades isikuandmetena käsitatavate andmetega seoses hoolsust kooskõlas liidu andmekaitseõigusega.

Lõike 1 kohaldamiseks nõuavad liikmesriigid, et domeeninimede registreerimisandmete andmebaas sisaldaks vajalikku teavet, mis võimaldab tuvastada domeeninimede omanikud ja tippdomeenide alldomeeninimesid haldavad kontaktpunktid ning nendega ühendust võtta. Selline teave sisaldab järgmist:

domeeninimi;

registreerimise kuupäev;

registreerija nimi, e-posti aadress ja telefoninumber;

domeeninime haldava kontaktpunkti e-posti aadress ja telefoninumber, kui see erineb registreerija omast.

Liikmesriigid nõuavad, et tippdomeeninimede registritel ja tippdomeenide domeeninimede registreerimise teenuseid osutavatel üksustel oleksid töö põhimõtted ja menetluskord, sealhulgas kontrollimenetlused, millega tagatakse, et lõikes 1 osutatud andmebaasid sisaldavad täpset ja täielikku teavet. Liikmesriigid nõuavad, et sellised põhimõtted ja menetluskord tehtaks üldsusele kättesaadavaks.

Liikmesriigid nõuavad, et tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused teeksid põhjendamatu viivituseta pärast domeeninime registreerimist üldsusele kättesaadavaks need domeeninimede registreerimisandmed, mis ei ole isikuandmed.

Liikmesriigid nõuavad, et tippdomeeninimede registrid ja domeeninimede registreerimise teenuseid osutavad üksused võimaldaksid õigustatud taotlejatele õiguspärast ja piisavalt põhjendatud juurdepääsu domeeninimede registreerimisandmetele kooskõlas liidu andmekaitseõigusega. Liikmesriigid nõuavad, et tippdomeeninimede registrid ja domeeninime registreerimise teenuseid osutavad üksused vastaksid juurdepääsutaotlustele põhjendamatu viivituseta ja igal juhul 72 tunni jooksul pärast juurdepääsutaotluse saamist. Liikmesriigid nõuavad, et selliste andmete avalikustamise põhimõtted ja kord tehtaks üldsusele kättesaadavaks.

Lõigetes 1–5 sätestatud kohustuste täitmine ei tohi kaasa tuua domeeninimede registreerimisandmete topeltkogumist. Selleks nõuavad liikmesriigid, et tippdomeeninimede registrid ja domeeninime registreerimise teenuseid osutavad üksused teeksid omavahel koostööd.

VI PEATÜKK

TEABEVAHETUS

Artikkel 29

Küberturvalisuse alase teabevahetuse kokkulepped

Liikmesriigid tagavad, et käesoleva direktiivi kohaldamisalasse kuuluvad üksused ning, kui see on asjakohane, muud üksused, mis ei kuulu käesoleva direktiivi kohaldamisalasse, saavad omavahel vabatahtlikult vahetada asjakohast küberturvalisuse alast teavet, sealhulgas teavet, mis on seotud küberohtude, ►C2 napilt ära hoitud intsidentide ◄ , nõrkuste, meetodite ja menetluste, rikkeindikaatorite, kahjulike taktikate, ohusubjekti spetsiifilise teabe, küberturvalisuse hoiatuste ning soovitustega küberturvalisuse vahendite konfiguratsiooni kohta küberrünnete tuvastamiseks, kui selline teabevahetus:

▼C3

toimub intsidentide ennetamise, tuvastamise, neile reageerimise või nende tagajärgede leevendamise eesmärgil;

▼B

aitab tõsta küberturvalisuse taset, eelkõige küberohtude alase teadlikkuse suurendamise ning kõnealuste ohtude leviku piiramise või takistamise kaudu ning toetades mitmesuguseid kaitsevõimalusi, nõrkuste vähendamist ja avalikustamist, ohu tuvastamise, ohjamise ja ennetamise meetodeid, leevendusstrateegiaid, lahendamis- ja taastamisetappe ning avaliku ja erasektori üksuste koostöös toimuvat küberohtude uurimist.

Liikmesriigid tagavad, et teabevahetus toimub elutähtsate ja oluliste üksuste ning asjakohasel juhul nende tarnijate või teenuseosutajate kogukondades. Kõnealune teabevahetus toimub küberturvalisuse alase teabevahetuse kokkulepete alusel, pidades silmas jagatud teabe potentsiaalselt tundlikku laadi.

Liikmesriigid hõlbustavad käesoleva artikli lõikes 2 osutatud küberturvalisuse alase teabevahetuse kokkulepete sõlmimist. Sellistes kokkulepetes võidakse täpsustada teabevahetuse korraldusega seotud tegevusaspekte (sealhulgas sihtotstarbeliste IKT-platvormide ja automatiseerimisvahendite kasutamine), sisu ja tingimusi. Liikmesriigid võivad nende üksikasjade sätestamisel, mis puudutavad avaliku sektori asutuste osalemist sellistes kokkulepetes, kehtestada pädevate asutuste või CSIRTide poolt kättesaadavaks tehtud teabele tingimusi. Liikmesriigid toetavad selliste kokkulepete rakendamist lähtuvalt artikli 7 lõike 2 punktis h osutatud poliitikameetmetest.

Liikmesriigid tagavad, et elutähtsad ja olulised üksused teavitavad pädevaid asutusi oma osalemisest lõikes 2 osutatud küberturvalisuse alase teabevahetuse kokkulepetes, kui nad on selliste kokkulepetega ühinenud, või, kui see on asjakohane, kokkulepetest taganemisest pärast taganemise jõustumist.

ENISA toetab lõikes 2 osutatud küberturvalisuse alase teabevahetuse alaste kokkulepete sõlmimist, vahetades parimaid tavasid ja andes suuniseid.

Artikkel 30

Vabatahtlik teavitamine asjakohasest teabest

Liikmesriigid tagavad, et lisaks artiklis 23 sätestatud teatamiskohustusele võivad CSIRTidele või, kui see on kohaldatav, pädevatele asutustele vabatahtlikult teatada:

elutähtsad ja olulised üksused intsidentidest, küber- ja ►C2 napilt ära hoitud intsidest ◄ ;

muud kui punktis a osutatud üksused olenemata sellest, kas nad kuuluvad käesoleva direktiivi kohaldamisalasse, olulistest intsidentidest, küber- ja ►C2 napilt ära hoitud intsidest ◄ .

Lõikes 1 osutatud teadete läbivaatamisel järgivad liikmesriigid artiklis 23 sätestatud menetluskorda. Liikmesriigid võivad seada kohustuslike teadete menetlemise vabatahtlike teadete menetlemisest tähtsamale kohale.

Vajaduse korral annavad CSIRTid ja, kui see on kohaldatav, pädevad asutused ühtsetele kontaktpunktidele teavet käesoleva artikli kohaselt saadud teadete kohta, tagades seejuures teavitava üksuse esitatud teabe konfidentsiaalsuse ja asjakohase kaitse. Ilma et see piiraks kuritegude ennetamist, uurimist, avastamist ja nende eest vastutusele võtmist, ei kaasne vabatahtliku teavitamisega teavitava üksuse jaoks mingeid täiendavaid kohustusi, mida tal ei oleks olnud, kui ta ei oleks teadet esitanud.

VII PEATÜKK

JÄRELEVALVE JA TÄITMISE TAGAMINE

Artikkel 31

Järelevalve ja täitmise tagamise üldised aspektid

Liikmesriigid tagavad, et nende pädevad asutused teevad käesoleva direktiivi täitmise tagamiseks tõhusat järelevalvet ning võtavad selleks vajalikke meetmeid.

Liikmesriigid võivad lubada oma pädevatel asutustel järelevalveülesandeid prioriseerida. Selline prioriseerimine põhineb riskipõhisel lähenemisviisil. Selleks võivad pädevad asutused kehtestada artiklites 32 ja 33 sätestatud järelevalveülesannete täitmisel järelevalvemeetodid, mis võimaldavad ülesandeid riskipõhise lähenemisviisi alusel prioriseerida.

Kui intsidendiga kaasneb isikuandmetega seotud rikkumine, teevad pädevad asutused selle lahendamisel tihedat koostööd määruse (EL) 2016/679 kohaste järelevalveasutustega, ilma et see piiraks kõnealuse määruse kohast järelevalveasutuste pädevust ja ülesandeid.

Ilma et see piiraks riigisiseste õigus- ja institutsiooniliste raamistike kohaldamist, tagavad liikmesriigid, et järelevalve tegemisel selle üle, kas avaliku halduse üksused täidavad käesoleva direktiivi nõudeid, ning võimalike täitemeetmete kohaldamisel seoses käesoleva direktiivi rikkumistega, on pädevatel asutustel asjakohased volitused selliste ülesannete täitmiseks ja nende tegevus on järelevalve alla kuuluvatest avaliku halduse üksustest sõltumatu. Liikmesriigid võivad otsustada, et kõnealuste üksuste suhtes kehtestatakse asjakohased, proportsionaalsed ja mõjusad järelevalve- ja täitemeetmed kooskõlas riigisiseste õigus- ja institutsiooniliste raamistikega.

Artikkel 32

Järelevalve- ja täitemeetmed seoses elutähtsate üksustega

Liikmesriigid tagavad, et elutähtsate üksuste suhtes seoses käesolevas direktiivis sätestatud kohustustega kohaldatavad järelevalve- või täitemeetmed on mõjusad, proportsionaalsed ja heidutavad ning et nende puhul võetakse arvesse iga üksikjuhtumi asjaolusid.

Liikmesriigid tagavad, et pädevatel asutustel on elutähtsate üksustega seotud järelevalveülesannete täitmisel nende üksuste suhtes vähemalt järgmised õigused:

teha kohapealset kontrolli ja kaugjärelevalvet, sealhulgas pistelisi kontrolle, mida teevad eriväljaõppe saanud spetsialistid;

teha korrapäraseid ja sihipäraseid turvaauditeid, mida teeb sõltumatu organ või pädev asutus;

teha ad hoc auditeid, sealhulgas juhul, kui see on põhjendatud olulise intsidendi või käesoleva direktiivi rikkumisega elutähtsa üksuse poolt;

teha vajaduse korral koostöös asjaomase üksusega objektiivsetel, mittediskrimineerivatel, õiglastel ja läbipaistvatel riskihindamise kriteeriumidel põhinevaid turvalisuse kontrolle;

esitada teabenõudeid, mis on vajalikud üksuse võetud küberturvalisuse riskijuhtimismeetmete, sealhulgas tema dokumenteeritud küberturvalisuse põhimõtete hindamiseks ning samuti artikli 27 kohase pädevatele asutustele teabe edastamise kohustuse täitmise hindamiseks;

taotleda juurdepääsu andmetele, dokumentidele ja teabele, mis on vajalik järelevalveülesannete täitmiseks;

nõuda küberturvalisuse poliitika rakendamise tõendamist, näiteks kvalifitseeritud audiitori tehtud turvaauditite tulemusi ja nende aluseks olevaid tõendavaid dokumente.

Esimese lõigu punktis b osutatud sihipärased turvaauditid põhinevad pädeva asutuse või auditeeritava üksuse tehtud riskihindamisel või muul kättesaadaval riskialasel teabel.

Sihipärase turvaauditi tulemused tehakse kättesaadavaks pädevale asutusele. Sõltumatu organi poolt läbi viidava sihipärase turvaauditi kulud tasub auditeeritud üksus, välja arvatud igakülgselt põhjendatud juhtudel, kui pädev asutus otsustab teisiti.

Lõike 2 punktis e, f või g sätestatud volituste rakendamisel märgivad pädevad asutused ära taotluse eesmärgi ja täpsustavad, millist teavet nõutakse.

Liikmesriigid tagavad, et nende pädevatel asutustel on elutähtsate üksustega seotud täitmise tagamise volituste rakendamisel vähemalt järgmised õigused:

teha hoiatusi käesoleva direktiivi rikkumiste kohta asjaomaste üksuste poolt;

võtta vastu siduvaid juhiseid, sealhulgas meetmete kohta, mis on vajalikud intsidendi ennetamiseks või heastamiseks, nende meetmete rakendamise tähtaegade ja rakendamisest aruandmise kohta, või korraldusi, millega nõutakse, et asjaomased üksused kõrvaldaksid tuvastatud puudused või heastaksid käesoleva direktiivi rikkumised;

anda asjaomastele üksustele korraldus lõpetada tegevus, mis rikub käesolevat direktiivi, ja hoiduda sellist tegevust kordamast;

kohustada asjaomaseid üksusi tagama, et nende riskijuhtimismeetmed vastavad artiklis 21 sätestatud nõuetele ning et nad täidavad artiklis 23 sätestatud teatamiskohustust kindlaksmääratud viisil ja kindlaksmääratud ajavahemiku jooksul;

kohustada asjaomaseid üksusi teavitama füüsilisi või juriidilisi isikuid, kellele nad osutavad teenuseid või pakuvad tegevusi, mida võib mõjutada oluline küberoht, ohu laadist ning võimalikest kaitse- või parandusmeetmetest, mida need füüsilised või juriidilised isikud võivad vastavale ohule reageerimiseks võtta;

kohustada asjaomaseid üksusi rakendama mõistliku aja jooksul turvaauditi tulemuste alusel tehtud soovitusi;

määrata kindlaks ajavahemikuks seireametniku, kelle ülesanded on täpselt kindlaks määratud ning kes jälgib, kas asjaomased üksused täidavad artiklite 21 ja 23 nõudeid;

kohustada asjaomaseid üksusi avalikustama kindlaksmääratud viisil käesoleva direktiivi rikkumiste aspektid;

määrata või taotleda, et asjaomased organid või kohtud määraksid vastavalt liikmesriigi õigusele lisaks käesoleva lõike punktides a–h osutatud meetmele artikli 34 kohase haldustrahvi.

Kui lõike 4 punktide a–d ja f kohaselt võetud täitemeetmed ei anna tulemust, tagavad liikmesriigid, et nende pädevatel asutustel on õigus kehtestada tähtaeg, milleks peab elutähtis üksus võtma vajalikud meetmed puuduste kõrvaldamiseks või nende asutuste esitatud nõuete täitmise tagamiseks. Liikmesriigid tagavad, et kui nõutavat meedet ettenähtud tähtajaks ei võeta, on pädevatel asutustel õigus:

ajutiselt peatada, või nõuda, et sertifikaate või lube väljastav organ või kohus peataks kooskõlas liikmesriigi õigusega ajutiselt elutähtsa üksuse kõigi või mõnede osutatavate asjaomaste teenuste või läviviidavate tegevuste sertifikaadi või loa;

taotleda, et asjaomased organid või kohtud keelaksid kooskõlas liikmesriigi õigusega füüsilisel isikul, kes täidab selles elutähtsas üksuses tegevjuhina või seadusliku esindajana juhtimisülesandeid, selles üksuses ajutiselt juhtimisülesannete täitmise.

Vastavalt käesolevale lõikele kehtestatud ajutist peatamist või keeldu kohaldatakse ainult seni, kuni asjaomane üksus võtab vajalikud meetmed puuduste kõrvaldamiseks või pädeva asutuse nõuete täitmiseks, mille tõttu selliseid täitemeetmeid kohaldati. Sellise ajutise peatamise või keelu kehtestamise suhtes kohaldatakse kooskõlas liidu õiguse üldpõhimõtete ja hartaga asjakohaseid menetluslikke tagatisi, sealhulgas õigust tõhusale õiguskaitsevahendile ja õiglasele kohtumenetlusele, süütuse presumptsiooni ja kaitseõigust.

Käesolevas lõikes sätestatud täitemeetmeid ei kohaldata nende avaliku halduse üksuste suhtes, kelle suhtes kohaldatakse käesolevat direktiivi.

Liikmesriigid tagavad, et elutähtsa üksuse eest vastutaval või seda seaduslikult esindaval füüsilisel isikul, keda on volitatud üksust esindama, üksuse nimel otsuseid tegema või üksuse tegevust kontrollima, on pädevus tagada käesoleva direktiivi täitmine. Liikmesriigid tagavad, et selliseid füüsilisi isikuid on võimalik käesoleva direktiivi täitmata jätmise eest vastutusele võtta.

Avaliku halduse üksuste puhul ei piira käesolev lõige liikmesriigi õiguse kohaldamist seoses avalike teenistujate ning valitud ja ametisse nimetatud ametnike vastutusega.

Lõikes 4 või 5 osutatud täitemeetmete võtmisekorral järgivad pädevad asutused kaitseõigust ning arvestavad iga üksikjuhtumi asjaolusid, võttes nõuetekohaselt arvesse vähemalt järgmist:

rikkumise raskus ja rikutud sätete olulisus; raske rikkumisena käsitatakse muu hulgas alati järgmist:

korduv rikkumine;

ii)

olulistest intsidentidest teatamata jätmine või parandusmeetmete võtmata jätmine;

iii)

pädevatelt asutustelt saadud siduvate juhiste järgi puuduste kõrvaldamata jätmine;

iv)

rikkumise tuvastamise järel pädevate asutuste tellitud auditite või järelevalvetegevuse takistamine;

valeandmete või lubamatult ebatäpsete andmete esitamine seoses artiklites 21 ja 23 sätestatud küberturvalisuse riskijuhtimismeetmete või teatamiskohustusega;

rikkumise kestus;

asjaomase üksuse varasemad asjassepuutuvad rikkumised;

põhjustatud varaline või mittevaraline kahju, sealhulgas rahaline või majanduslik kahju, mõju teistele teenustele ja mõjutatud kasutajate arv;

rikkumise toimepanija tahtlus või hooletus;

meetmed, mida üksus on võtnud varalise või mittevaralise kahju ennetamiseks või vähendamiseks;

kinnitatud tegevusjuhendite järgimine või kinnitatud sertifitseerimismehhanismide rakendamine;

vastutavate füüsiliste või juriidiliste isikute ja pädevate asutuste koostöö tase.

▼C3

Pädevad asutused esitavad oma täitemeetmete üksikasjaliku põhjenduse. Enne selliste meetmete võtmist teavitavad pädevad asutused asjaomaseid üksusi oma esialgsetest järeldustest. Samuti jätavad nad kõnealustele üksustele mõistliku aja märkuste esitamiseks, välja arvatud igakülgselt põhjendatud juhtudel, kui see takistaks intsidentide ennetamiseks või nendele reageerimiseks vajalikku vahetut tegevust.

▼B

Liikmesriigid tagavad, et nende käesoleva direktiivi kohased pädevad asutused teavitavad oma liikmesriigi direktiivi (EL) 2022/2557 kohaseid asjaomaseid pädevaid asutusi, kui nad kasutavad oma järelevalve- ja täitmise tagamise volitusi, et tagada direktiivi (EL) 2022/2557 kohaselt elutähtsa teenuse osutajana käsitatava üksuse vastavus käesolevale direktiivile. Kui see on asjakohane, võivad direktiivi (EL) 2022/2557 kohased pädevad asutused taotleda käesoleva direktiivi kohastelt pädevatelt asutustelt, et nad kasutaksid oma järelevalve- ja täitmise tagamise volitusi üksuse suhtes, mida käsitatakse direktiivi (EL) 2022/2557 kohaselt elutähtsa teenuse osutajana.

10.

Liikmesriigid tagavad, et nende käesoleva direktiivi kohased pädevad asutused teevad asjaomase liikmesriigi määruse (EL) 2022/2554 kohaste pädevate asutustega koostööd. Eelkõige tagavad liikmesriigid, et nende käesoleva direktiivi kohased pädevad asutused teavitavad määruse (EL) 2022/2554 artikli 32 lõike 1 kohaselt järelevaatamise foorumit, kui nad kasutavad oma järelevalve- ja täitmise tagamise volitusi, et tagada määruse (EL) 2022/2554 artikli 31 kohaselt kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajana käsitatava ja käesoleva direktiivi kohaldamisalasse kuuluva elutähtsa üksuse vastavus käesolevale direktiivile.

Artikkel 33

Järelevalve- ja täitemeetmed seoses oluliste üksustega

Liikmesriigid tagavad, et pädevad asutused võtavad meetmeid, vajaduse korral järelkontrollimeetmeid, kui neile esitatakse tõendeid, vihjeid või teavet selle kohta, et oluline üksus väidetavalt ei järgi käesolevat direktiivi, eelkõige selle artikleid 21 ja 23. Liikmesriigid tagavad, et need meetmed on tõhusad, proportsionaalsed ja heidutavad, võttes arvesse iga üksikjuhtumi asjaolusid.

Liikmesriigid tagavad, et pädevatel asutustel on oluliste üksustega seotud järelevalveülesannete täitmisel kõnealuste üksuste suhtes vähemalt järgmised õigused:

teha kohapealseid kontrolle ja kaugjärelevalve korras järelkontrolli, mida teevad eriväljaõppe saanud spetsialistid;

teha sihipäraseid turvaauditeid, mida teeb sõltumatu organ või pädev asutus;

teha vajaduse korral koostöös asjaomase üksusega objektiivsetel, mittediskrimineerivatel, õiglastel ja läbipaistvatel riskihindamise kriteeriumidel põhinevaid turvalisuse kontrolle;

esitada teabenõudeid, mis on vajalikud üksuse võetud küberturvalisuse riskijuhtimismeetmete, sealhulgas tema dokumenteeritud küberturvalisuse poliitika järelhindamiseks ning samuti artikli 27 kohase pädevate asutuste teabe esitamise kohustuse täitmise järelhindamiseks;

taotleda juurdepääsu andmetele, dokumentidele ja teabele, mis on vajalik nende järelevalveülesannete täitmiseks;

nõuda küberturvalisuse poliitika rakendamise tõendamist, näiteks kvalifitseeritud audiitori tehtud turvaauditite tulemusi ja nende aluseks olevaid tõendavaid dokumente.

Esimese lõigu punktis b osutatud sihipärased turvaauditid põhinevad pädeva asutuse või auditeeritava üksuse tehtud riskihindamisel või muul kättesaadaval riskialasel teabel.

Sihipärase turvaauditi tulemused tehakse pädevale asutusele kättesaadavaks. Sõltumatu organi poolt läbi viidava sihipärase turvaauditi kulud tasub auditeeritav üksus, välja arvatud igakülgselt põhjendatud juhtudel, kui pädev asutus otsustab teisiti.

Lõike 2 punktis d, e või f kohaste volituste kasutamisel märgivad pädevad asutused ära taotluse eesmärgi ja täpsustavad, millist teavet nõutakse.

Liikmesriigid tagavad, et pädevatel asutustel on oluliste üksustega seotud täitmise tagamise volituste kasutamisel vähemalt järgmised õigused:

teha hoiatusi asjaomaste üksuste käesoleva direktiivi rikkumiste kohta;

võtta vastu siduvaid juhiseid või korraldusi, millega nõutakse, et asjaomased üksused kõrvaldaksid tuvastatud puudused või heastaksid käesoleva direktiivi rikkumise;

anda asjaomastele üksustele korraldus lõpetada tegu, mis rikub käesolevat direktiivi, ja hoiduda sellist tegu kordamast;

kohustada asjaomaseid üksusi teavitama füüsilisi või juriidilisi isikuid, kellele osutatakse teenuseid või pakutakse tegevusi, mida võib mõjutada oluline küberoht, ohu laadist ning võimalikest kaitse- või parandusmeetmetest, mida need füüsilised või juriidilised isikud võivad vastavale ohule reageerimiseks võtta;

kohustada asjaomaseid üksusi rakendama mõistliku aja jooksul turvaauditi tulemuste alusel tehtud soovitusi;

kohustada asjaomaseid üksusi avalikustama kindlaksmääratud viisil käesoleva direktiivi rikkumistega seotud aspektid;

määrata või taotleda, et asjaomased organid või kohtud määraksid vastavalt liikmesriigi õigusele lisaks käesoleva lõike punktides a–g osutatud meetmele artikli 34 kohase haldustrahvi.

Artikli 32 lõikeid 6, 7 ja 8 kohaldatakse mutatis mutandis käesolevas artiklis sätestatud järelevalve- ja täitemeetmete puhul, mida kohaldatakse oluliste üksuste suhtes.

Liikmesriigid tagavad, et nende käesoleva direktiivi kohased pädevad asutused teevad asjaomase liikmesriigi määruse (EL) 2022/2554 kohaste pädevate asutustega koostööd. Eelkõige tagavad liikmesriigid, et nende käesoleva direktiivi kohased pädevad asutused teavitavad määruse (EL) 2022/2554 artikli 32 lõike 1 kohaselt järelevaatamise foorumit, kui nad kasutavad oma järelevalve- ja täitmise tagamise volitusi, et tagada määruse (EL) 2022/2554 artikli 31 kohaselt kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajana käsitatava ja käesoleva direktiivi kohaldamisalasse kuuluva olulise üksuse vastavus käesolevale direktiivile.

Artikkel 34

Elutähtsatele ja olulistele üksustele haldustrahvide määramise üldtingimused

Liikmesriigid tagavad, et haldustrahvid, mis määratakse käesoleva artikli kohaselt elutähtsatele ja olulistele üksustele käesoleva direktiivi rikkumise korral, on mõjusad, proportsionaalsed ja heidutavad ning et nende puhul võetakse arvesse iga üksikjuhtumi asjaolusid.

Haldustrahvid määratakse lisaks artikli 32 lõike 4 punktides a–h, artikli 32 lõikes 5 ja artikli 33 lõike 4 punktides a–g osutatud meetmetele.

Haldustrahvi määramise ja selle suuruse üle otsustamisel võetakse iga üksikjuhtumi puhul nõuetekohaselt arvesse vähemalt artikli 32 lõikes 7 sätestatud asjaolusid.

Liikmesriigid tagavad, et kui elutähtsad üksused rikuvad artiklit 21 või 23, määratakse kooskõlas käesoleva artikli lõigetega 2 ja 3 elutähtsatele üksustele haldustrahv, mille maksimummäär on vähemalt 10 000 000 eurot või kuni 2 % selle ettevõtja ülemaailmsest aastasest kogukäibest eelneval majandusaastal (olenevalt sellest, kumb summa on suurem), kellele elutähtis üksus kuulub.

Liikmesriigid tagavad, et artikli 21 või 23 rikkumise korral määratakse kooskõlas käesoleva artikli lõigetega 2 ja 3 olulistele üksustele haldustrahv, mille maksimummäär on vähemalt 7 000 000 eurot või kuni 1,4 % selle ettevõtja ülemaailmsest aastasest kogukäibest eelneval majandusaastal (olenevalt sellest, kumb summa on suurem), kellele oluline üksus kuulub.

Liikmesriigid võivad näha ette õiguse määrata sunniraha, mille eesmärk on sundida elutähtsat või olulist üksust käesoleva direktiivi rikkumist lõpetama, kooskõlas pädeva asutuse eelneva otsusega.

Ilma et see piiraks pädevate asutuste artiklite 32 ja 33 kohaseid volitusi, võib iga liikmesriik kehtestada õigusnormid selle kohta, kas ja millises ulatuses võib haldustrahve määrata avalik-õiguslikele asutustele.

Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, tagab see liikmesriik, et käesolevat artiklit kohaldatakse viisil, et trahvi algatab pädev asutus ning selle määravad liikmesriigi pädevad kohtud, tagades seejuures, et need õiguskaitsevahendid on tõhusad ja pädevate asutuste poolt määratud haldustrahvidega samaväärse mõjuga. Igal juhul peavad määratavad trahvid olema mõjusad, proportsionaalsed ja heidutavad. Liikmesriik teavitab komisjoni käesoleva lõike alusel vastuvõetavatest õigusnormidest hiljemalt 17. oktoobriks 2024 ning teavitab teda viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmisaktidest või muudatustest.

Artikkel 35

Isikuandmete väärkasutamisega seotud rikkumised

Kui pädevad asutused on järelevalve või täitmise tagamise käigus saanud teadlikuks sellest, et käesoleva direktiivi artiklites 21 ja 23 sätestatud kohustuste rikkumisega elutähtsa või olulise üksuse poolt võib kaasneda isikuandmetega seotud rikkumine, nagu on määratletud määruse (EL) 2016/679 artikli 4 punktis 12 ja millest tuleb teavitada kõnealuse määruse artikli 33 kohaselt, teatavad nad sellest põhjendamatu viivituseta kõnealuse määruse artikli 55 või 56 kohastele järelevalveasutustele.

Kui määruse (EL) 2016/679 artiklis 55 või 56 osutatud järelevalveasutused määravad kõnealuse määruse artikli 58 lõike 2 punkti i alusel haldustrahvi, ei määra pädevad asutused käesoleva direktiivi artikli 34 alusel haldustrahvi käesoleva artikli lõikes 1 osutatud rikkumise korral, mis tuleneb samast teost, mille eest määrati määruse (EL) 2016/679 artikli 58 lõike 2 punkti i kohane haldustrahv. Pädevad asutused võivad siiski kohaldada täitemeetmeid käesoleva direktiivi artikli 32 lõike 4 punktide a–h, artikli 32 lõike 5 ja artikli 33 lõike 4 punktide a–g alusel.

Kui määruse (EL) 2016/679 kohane pädev järelevalveasutus on asutatud muus liikmesriigis kui pädev asutus, teavitab pädev asutus oma liikmesriigis asutatud järelevalveasutust lõikes 1 osutatud võimalikust isikuandmetega seotud rikkumisest.

Artikkel 36

Karistused

Liikmesriigid kehtestavad karistusnormid, mida kohaldatakse käesoleva direktiivi alusel vastu võetud liikmesriigi meetmete rikkumise korral, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Kehtestatud karistused peavad olema mõjusad, proportsionaalsed ja heidutavad. Liikmesriigid teavitavad komisjoni hiljemalt 17. jaanuariks 2025 kõnealustest õigusnormidest ja meetmetest ning teavitavad teda viivitamata ka nende hilisematest muudatustest.

Artikkel 37

Vastastikune abi

Kui üksus osutab teenuseid mitmes liikmesriigis või kui ta osutab teenuseid ühes või mitmes liikmesriigis, kuid tema võrgu- ja infosüsteemid asuvad ühes või mitmes muus liikmesriigis, teevad asjaomaste liikmesriikide pädevad asutused koostööd ning vajaduse korral abistavad üksteist. Kõnealune koostöö hõlmab vähemalt järgmist:

liikmesriigis järelevalve- või täitemeetmeid kohaldavad pädevad asutused teavitavad ühtse kontaktpunkti kaudu teiste asjaomaste liikmesriikide pädevaid asutusi võetud järelevalve- ja täitemeetmetest ning konsulteerivad nendega;

pädev asutus võib teiselt pädevalt asutuselt taotleda järelevalve- või täitemeetmete võtmist;

pädev asutus osutab teise pädeva asutuse põhjendatud taotluse korral teisele pädevale asutusele enda käsutuses olevate ressurssidega proportsionaalset abi, et järelevalve- või täitemeetmeid saaks rakendada tulemuslikult, tõhusalt ja järjepidevalt.

Esimese lõigu punktis c osutatud vastastikune abi võib hõlmata teabenõudeid ja järelevalvemeetmeid, sealhulgas taotlusi teha kohapealseid kontrolle või kaugjärelevalvet või sihipäraseid turvaauditeid. Abitaotluse saanud pädev asutus ei või taotlust tagasi lükata, välja arvatud juhul, kui leitakse, et asutus ei ole pädev taotletud abi andma või et taotletav abi ei ole pädeva asutuse järelevalveülesannete suhtes proportsionaalne või kui taotlus puudutab teavet või sisaldab tegevust, mis avalikustamise või elluviimise korral oleksid asjaomase vastuolus liikmesriigi riikliku julgeoleku, avaliku julgeoleku või riigikaitse oluliste huvidega. Enne sellise taotluse rahuldamata jätmist konsulteerib pädev asutus teiste asjaomaste pädevate asutustega ning ühe asjaomase liikmesriigi taotluse korral ka komisjoni ja ENISAga.

Kui see on asjakohane, võivad eri liikmesriikide pädevad asutused omavahelisel kokkuleppel võtta järelevalvemeetmeid ühiselt.

VIII PEATÜKK

DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID

Artikkel 38

Delegeeritud volituste rakendamine

Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.

Artikli 24 lõikes 2 osutatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile viieks aastaks alates 16. jaanuarist 2023.

Euroopa Parlament ja nõukogu võivad artikli 24 lõikes 2 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

Enne delegeeritud õigusakti vastuvõtmist konsulteerib komisjon vastavalt 13. aprilli 2016. aasta institutsioonivahelises parema õigusloome kokkuleppes sätestatud põhimõtetele iga liikmesriigi määratud ekspertidega.

Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

Artikli 24 lõike 2 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.

Artikkel 39

Komiteemenetlus

Komisjoni abistab komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

Kui komitee arvamus saadakse kirjaliku menetlusega, lõpetatakse nimetatud menetlus ilma tulemust saavutamata, kui arvamuse esitamiseks ettenähtud tähtaja jooksul komitee eesistuja nii otsustab või komitee liige seda taotleb.

IX PEATÜKK

LÕPPSÄTTED

Artikkel 40

Läbivaatamine

Hiljemalt 17. oktoobriks 2027 ja seejärel iga 36 kuu järel vaatab komisjon käesoleva direktiivi toimimise läbi ning esitab sellekohase aruande Euroopa Parlamendile ja nõukogule. Aruandes hinnatakse eelkõige asjaomaste üksuste suuruse asjakohasust ning I ja II lisas osutatud üksuse sektorite, allsektorite ning liigi asjakohasust majanduse ja ühiskonna toimimise aspektist seoses küberturvalisusega. Sel eesmärgil ning strateegilise ja operatiivkoostöö täiendavaks edendamiseks võtab komisjon arvesse koostöörühma ja CSIRTide võrgustiku aruandeid strateegilisel ja operatiivtasandil saadud kogemuste kohta. Vajaduse korral lisatakse aruandele seadusandlik ettepanek.

Artikkel 41

Ülevõtmine

Liikmesriigid võtavad käesoleva direktiivi järgimiseks vajalikud meetmed vastu ja avaldavad need hiljemalt 17. oktoobriks 2024. Liikmesriigid teatavad nendest viivitamata komisjonile.

Nad kohaldavad kõnealuseid meetmeid alates 18. oktoobrist 2024.

Kui liikmesriigid lõikes 1 osutatud meetmed vastu võtavad, lisavad nad nende ametlikul avaldamisel nendesse või nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.

Artikkel 42

Määruse (EL) nr 910/2014 muutmine

Määruse (EL) nr 910/2014 artikkel 19 jäetakse välja alates 18. oktoobrist 2024.

Artikkel 43

Direktiivi (EL) 2018/1972 muutmine

Direktiivi (EL) 2018/1972 artiklid 40 ja 41 jäetakse välja alates 18. oktoobrist 2024.

Artikkel 44

Kehtetuks tunnistamine

Direktiiv (EL) 2016/1148 tunnistatakse kehtetuks alates 18. oktoobrist 2024.

Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale direktiivile ja loetakse vastavalt III lisas esitatud vastavustabelile.

Artikkel 45

Jõustumine

Käesolev direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikkel 46

Adressaadid

Käesolev direktiiv on adresseeritud liikmesriikidele.

I LISA

KRIITILISE TÄHTSUSEGA SEKTORID

Sektor	Allsektor	Üksuse liik
1. Energeetika	a) Elekter	— Euroopa Parlamendi ja nõukogu direktiivi (EL) 2019/944 (1) artikli 2 punktis 57 määratletud elektriettevõtjad, kes täidavad nimetatud direktiivi artikli 2 punktis 12 määratletud tarnimise ülesannet
		— Direktiivi (EL) 2019/944 artikli 2 punktis 29 määratletud jaotusvõrguettevõtjad
		— Direktiivi (EL) 2019/944 artikli 2 punktis 35 määratletud põhivõrguettevõtjad
		— Direktiivi (EL) 2019/944 artikli 2 punktis 38 määratletud tootjad
		— Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943 (2) artikli 2 punktis 8 määratletud määratud elektriturukorraldajad — Määruse (EL) 2019/943 artikli 2 punktis 25 määratletud turuosalised, kes osutavad direktiivi (EL) 2019/944 artikli 2 punktides 18, 20 ja 59 määratletud agregeerimis-, tarbimiskaja- või energia salvestamise teenuseid — laadimispunkti käitajad, kes vastutavad sellise laadimispunkti haldamise ja käitamise eest, mis osutab lõppkasutajatele laadimisteenust, sealhulgas liikuvusteenuse osutaja nimel ja eest
	b) Kaugküte ja-jahutus	— Euroopa Parlamendi ja nõukogu direktiivi (EL) 2018/2001 (3) artikli 2 punktis 19 määratletud kaugkütte ja kaugjahutuse pakkujad
	c) Nafta	— Naftajuhtmete operaatorid
		— Nafta tootmise, rafineerimise ja töötlemise rajatiste ning hoiustamise ja ülekandmisega tegelevad operaatorid
		— Nõukogu direktiivi 2009/119/EÜ (4) artikli 2 punktis f määratletud varude säilitamise kesküksused
	d) Gaas	— Euroopa Parlamendi ja nõukogu direktiivi 2009/73/EÜ (5) artikli 2 punktis 8 määratletud tarneettevõtjad
		— Direktiivi 2009/73/EÜ artikli 2 punktis 6 määratletud jaotussüsteemi haldurid
		— Direktiivi 2009/73/EÜ artikli 2 punktis 4 määratletud ülekandesüsteemi haldurid
		— Direktiivi 2009/73/EÜ artikli 2 punktis 10 määratletud hoidlatevõrgu haldurid
		— Direktiivi 2009/73/EÜ artikli 2 punktis 12 määratletud maagaasi veeldusjaamade haldurid
		— Direktiivi 2009/73/EÜ artikli 2 punktis 1 määratletud maagaasiettevõtjad
		— Maagaasi rafineerimise ja töötlemise rajatiste haldurid
	e) Vesinik	— Vesiniku tootmise, hoiustamise ja ülekandmisega tegelevad operaatorid
2. Transport	a) Lennutransport	— Kommertsvaldkonnas tegutsevad määruse (EÜ) nr 300/2008 artikli 3 punktis 4 määratletud lennuettevõtjad
		— Euroopa Parlamendi ja nõukogu direktiivi 2009/12/EÜ (6) artikli 2 punktis 2 määratletud lennujaama juhtorganid, nimetatud direktiivi artikli 2 punktis 1 määratletud lennujaamad, sealhulgas Euroopa Parlamendi ja nõukogu määruse (EL) nr 1315/2013 (7) II lisa 2. jaos loetletud põhivõrgu lennujaamad ning lennujaamades olevaid abirajatisi käitavad üksused
		— Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 549/2004 (8) artikli 2 punktis 1 määratletud lennujuhtimise teenust osutavad liikluskorraldusettevõtjad
	b) Raudteetransport	— Euroopa Parlamendi ja nõukogu direktiivi 2012/34/EL (9) artikli 3 punktis 2 määratletud raudteeinfrastruktuuri-ettevõtjad
	b) Raudteetransport	— Direktiivi 2012/34/EL artikli 3 punktis 3 määratletud raudteeveo-ettevõtjad, sealhulgas nimetatud direktiivi artikli 3 punktis 12 määratletud teenindusrajatiste käitajad
	c) Veetransport	— Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 (10) I lisas meretranspordi puhul määratletud reisijate ja kauba vedamisega sisevetes, merel ja rannavetes tegelevad ettevõtjad, välja arvatud kõnealuste ettevõtjate käidatud üksikud laevad
		— Euroopa Parlamendi ja nõukogu direktiivi 2005/65/EÜ (11) artikli 3 punktis 1 määratletud sadamate valdajad, sealhulgas nende määruse (EÜ) nr 725/2004 artikli 2 punktis 11 määratletud sadamarajatised ning sadamates tööde ja varustuse haldamisega tegelevad üksused
		— Euroopa Parlamendi ja nõukogu direktiivi 2002/59/EÜ (12) artikli 3 punktis o määratletud laevaliikluse juhtimise keskuste (VTS) operaatorid
	d) Maanteetransport	— Komisjoni delegeeritud määruse (EL) 2015/962 (13) artikli 2 punktis 12 määratletud maanteeametid, kes vastutavad liikluskorralduse eest, välja arvatud avaliku sektori üksused, kelle jaoks liikluskorraldus või intelligentsete transpordisüsteemide käitamine moodustab üksnes väheolulise osa nende tegevusest
	d) Maanteetransport	— Euroopa Parlamendi ja nõukogu direktiivi 2010/40/EL (14) artikli 4 punktis 1 määratletud intelligentsete transpordisüsteemide operaatorid
3. Pangandus		Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 (15) artikli 4 punktis 1 määratletud krediidiasutused
4. Finantsturutaristud		— Euroopa Parlamendi ja nõukogu direktiivi 2014/65/EL (16) artikli 4 punktis 24 määratletud kauplemiskohtade korraldajad
4. Finantsturutaristud		— Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 (17) artikli 2 punktis 1 määratletud kesksed vastaspooled
5. Tervishoid		— Euroopa Parlamendi ja nõukogu direktiivi 2011/24/EL (18) artikli 3 punktis g määratletud tervishoiuteenuse osutajad
		— Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2371 (19) artiklis 15 määratletud ELi referentlaborid
		— Üksused, mis tegelevad Euroopa Parlamendi ja nõukogu direktiivi 2001/83/EÜ (20) artikli 1 punktis 2 määratletud ravimite uurimise ja arendamisega — NACE Rev. 2 C jao jaotises 21 osutatud põhifarmaatsiatooteid ja ravimpreparaate tootvad üksused — Üksused, mis toodavad rahvatervise hädaolukorras kriitilise tähtsusega meditsiiniseadmeid (rahvatervise hädaolukorra esmatähtsate meditsiiniseadmete loetelu) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/123 (21) artikli 22 tähenduses
6. Joogivesi		Euroopa Parlamendi ja nõukogu direktiivi (EL) 2020/2184 (22) artikli 2 punkti 1 alapunktis a määratletud olmeveega varustajad ja olmevee jaotajad, välja arvatud jaotajad, kelle puhul olmevee jaotamine on väheoluline osa nende üldisest muude tarbekaupade ja kaupade tarnimistegevusest
7. Reovesi		Ettevõtjad, kes tegelevad nõukogu direktiivi 91/271/EMÜ (23) artikli 2 punktides 1, 2 ja 3 määratletud asulareovee, olmereovee või tööstusreovee kogumise, ärajuhtimise või puhastamisega, välja arvatud ettevõtjad, kelle puhul asulareovee, olmereovee või tööstusreovee kogumine, ärajuhtimine või puhastamine on väheoluline osa nende üldisest tegevusest
8. Digitaristu		— Interneti vahetuspunkti teenuse osutajad
		— Domeeninimesüsteemide süsteemi teenuse osutajad, välja arvatud juurnimeserverite operaatorid
		— Tippdomeeninimede registrite pidajad
		— Pilvandmetöötlusteenuse osutajad
		— Andmekeskusteenuse osutajad
		— Sisulevivõrguteenuse osutajad
		— Usaldusteenuse osutajad
		— Üldkasutatavale elektroonilise side võrkude pakkujad
		— Üldkasutatavate elektroonilise side teenuste osutajad
9. IKT-teenuste haldamine (ettevõtetevaheline)		— Hallatud teenuse osutajad — ►C2 Hallatud turbeteenuse osutajad ◄
10. Avaliku halduse üksused		— Keskvalitsuste avaliku halduse üksused, nagu need on kindlaks määranud liikmesriik vastavalt oma õigusele
10. Avaliku halduse üksused		— Piirkondade avaliku halduse üksused, nagu need on kindlaks määranud liikmesriik vastavalt oma õigusele
11. Kosmos		Liikmesriigi või eraõiguslike isikute omandis olevate, hallatavate või käitatavate maapealsete taristute operaatorid, kes toetavad kosmosepõhiste teenuste osutamist, välja arvatud elektroonilise side võrkude pakkujad
(1) Euroopa Parlamendi ja nõukogu 5. juuni 2019. aasta direktiiv (EL) 2019/944 elektrienergia siseturu ühiste normide kohta ja millega muudetakse direktiivi 2012/27/EL (ELT L 158, 14.6.2019, lk 125). (2) Euroopa Parlamendi ja nõukogu 5. juuni 2019. aasta määrus (EL) 2019/943, milles käsitletakse elektrienergia siseturgu (ELT L 158, 14.6.2019, lk 54). (3) Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv (EL) 2018/2001 taastuvatest energiaallikatest toodetud energia kasutamise edendamise kohta (ELT L 328, 21.12.2018, lk 82). (4) Nõukogu 14. septembri 2009. aasta direktiiv 2009/119/EÜ, millega kohustatakse liikmesriike säilitama toornafta ja/või naftatoodete miinimumvarusid (ELT L 265, 9.10.2009, lk 9). (5) Euroopa Parlamendi ja nõukogu 13. juuli 2009. aasta direktiiv 2009/73/EÜ, mis käsitleb maagaasi siseturu ühiseeskirju ning millega tunnistatakse kehtetuks direktiiv 2003/55/EÜ (ELT L 211, 14.8.2009, lk 94). (6) Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta direktiiv 2009/12/EÜ lennujaamatasude kohta (ELT L 70, 14.3.2009, lk 11). (7) Euroopa Parlamendi ja nõukogu 11. detsembri 2013. aasta määrus (EL) nr 1315/2013 üleeuroopalise transpordivõrgu arendamist käsitlevate liidu suuniste kohta ja millega tunnistatakse kehtetuks otsus nr 661/2010/EL (ELT L 348, 20.12.2013, lk 1). (8) Euroopa Parlamendi ja nõukogu 10. märtsi 2004. aasta määrus (EÜ) nr 549/2004, millega sätestatakse raamistik ühtse Euroopa taeva loomiseks (raammäärus) (ELT L 96, 31.3.2004, lk 1). (9) Euroopa Parlamendi ja nõukogu 21. novembri 2012. aasta direktiiv 2012/34/EL, millega luuakse ühtne Euroopa raudteepiirkond (ELT L 343, 14.12.2012, lk 32). (10) Euroopa Parlamendi ja nõukogu 31. märtsi 2004. aasta määrus (EÜ) nr 725/2004 laevade ja sadamarajatiste turvalisuse tugevdamise kohta (ELT L 129, 29.4.2004, lk 6). (11) Euroopa Parlamendi ja nõukogu 26. oktoobri 2005. aasta direktiiv 2005/65/EÜ sadamate turvalisuse tugevdamise kohta (ELT L 310, 25.11.2005, lk 28). (12) Euroopa Parlamendi ja nõukogu 27. juuni 2002. aasta direktiiv 2002/59/EÜ, millega luuakse ühenduse laevaliikluse seire- ja teabesüsteem ning tunnistatakse kehtetuks nõukogu direktiiv 93/75/EMÜ (EÜT L 208, 5.8.2002, lk 10). (13) Komisjoni 18. detsembri 2014. aasta delegeeritud määrus (EL) 2015/962, millega täiendatakse Euroopa Parlamendi ja nõukogu direktiivi 2010/40/EL kogu ELis reaalajas saadava liiklusteabe teenuste pakkumise osas (ELT L 157, 23.6.2015, lk 21). (14) Euroopa Parlamendi ja nõukogu 7. juuli 2010. aasta direktiiv 2010/40/EL, mis käsitleb raamistikku intelligentsete transpordisüsteemide kasutuselevõtmiseks maanteetranspordis ja liideste jaoks teiste transpordiliikidega (ELT L 207, 6.8.2010, lk 1). (15) Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta määrus (EL) nr 575/2013, mis käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse määrust (EL) nr 648/2012 (ELT L 176, 27.6.2013, lk 1). (16) Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta direktiiv 2014/65/EL finantsinstrumentide turgude kohta ning millega muudetakse direktiive 2002/92/EÜ ja 2011/61/EL (ELT L 173, 12.6.2014, lk 349). (17) Euroopa Parlamendi ja nõukogu 4. juuli 2012. aasta määrus (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.7.2012, lk 1). (18) Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45). (19) Euroopa Parlamendi ja nõukogu 23. novembri 2022. aasta määrus (EL) 2022/2371, milles käsitletakse tõsiseid piiriüleseid terviseohtusid ja millega tunnistatakse kehtetuks otsus nr 1082/2013/EL (ELT L 314, 6.12.2022, lk 26). (20) Euroopa Parlamendi ja nõukogu 6. novembri 2001. aasta direktiiv 2001/83/EÜ inimtervishoius kasutatavaid ravimeid käsitlevate ühenduse eeskirjade kohta (EÜT L 311, 28.11.2001, lk 67). (21) Euroopa Parlamendi ja nõukogu 25. jaanuari 2022. aasta määrus (EL) 2022/123, mis käsitleb Euroopa Ravimiameti suuremat rolli ravimite ja meditsiiniseadmete alases kriisivalmiduses ja -ohjes (ELT L 20, 31.1.2022, lk 1). (22) Euroopa Parlamendi ja nõukogu 16. detsembri 2020. aasta direktiiv (EL) 2020/2184 olmevee kvaliteedi kohta (ELT L 435, 23.12.2020, lk 1). (23) Nõukogu 21. mai 1991. aasta direktiiv 91/271/EMÜ asulareovee puhastamise kohta (EÜT L 135, 30.5.1991, lk 40).

II LISA

MUUD KRIITILISE TÄHTSUSEGA SEKTORID

Sektor	Allsektor	Üksuse liik
1. Posti- ja kulleriteenused		Direktiivi 97/67/EÜ artikli 2 punktis 1a määratletud postiteenuste osutajad, sealhulgas kulleriteenuste osutajad
2. Jäätmekäitlus		Ettevõtjad, kes tegelevad Euroopa Parlamendi ja nõukogu direktiivi 2008/98/EÜ (1) artikli 3 punktis 9 määratletud jäätmekäitlusega, välja arvatud ettevõtjad, kelle põhitegevus ei ole jäätmekäitlus
3. Kemikaalide valmistamine, tootmine ja levitamine		Ettevõtjad, kes tegelevad Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1907/2006 (2) artikli 3 punktides 9 ja 14 osutatud ainete valmistamisega ning ainete või segude levitamisega, ning ettevõtjad, kes toodavad ainetest või segudest kõnealuse määruse artikli 3 punktis 3 määratletud tooteid
4. Toiduainete tootmine, töötlemine ja turustamine		Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 178/2002 (3) artikli 3 punktis 2 määratletud toidukäitlemisettevõtjad, kes tegelevad hulgimüügi ning tööstusliku tootmise ja töötlemisega
5. Töötlev tööstus	a) Meditsiiniseadmete ja in vitro diagnostikameditsiiniseadmete tootmine	Euroopa Parlamendi ja nõukogu määruse (EL) 2017/745 (4) artikli 2 punktis 1 määratletud meditsiiniseadmeid tootvad üksused ning Euroopa Parlamendi ja nõukogu määruse (EL) 2017/746 (5) artikli 2 punktis 2 määratletud in vitro diagnostikameditsiiniseadmeid tootvad üksused, välja arvatud käesoleva direktiivi I lisa punkti 5 viiendas taandes osutatud meditsiiniseadmeid tootvad üksused
	b) Arvutite, elektroonika- ja optikaseadmete tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 26 osutatud majandustegevusega
	c) Elektriseadmete tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 27 osutatud majandustegevusega
	d) Mujal liigitamata masinate ja seadmete tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 28 osutatud majandustegevusega
	e) Mootorsõidukite, haagiste ja poolhaagiste tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 29 osutatud majandustegevusega
	f) Muude transpordivahendite tootmine	Ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 30 osutatud majandustegevusega
6. Digiteenuste osutajad		— Internetipõhiste kauplemiskohtade pakkujad
		— ►C3 Veebipõhine otsingumootorite ◄ pakkujad
		— Sotsiaalvõrguteenuse platvormide pakkujad
7. Teadustegevus		Teadusasutused
(1) Euroopa Parlamendi ja nõukogu 19. novembri 2008. aasta direktiiv 2008/98/EÜ, mis käsitleb jäätmeid ja millega tunnistatakse kehtetuks teatud direktiivid (ELT L 312, 22.11.2008, lk 3). (2) Euroopa Parlamendi ja nõukogu 18. detsembri 2006. aasta määrus (EÜ) nr 1907/2006, mis käsitleb kemikaalide registreerimist, hindamist, autoriseerimist ja piiramist (REACH) ning millega asutatakse Euroopa Kemikaaliamet ning muudetakse direktiivi 1999/45/EÜ ja tunnistatakse kehtetuks nõukogu määrus (EMÜ) nr 793/93 ja komisjoni määrus (EÜ) nr 1488/94 ning samuti nõukogu direktiiv 76/769/EMÜ ja komisjoni direktiivid 91/155/EMÜ, 93/67/EMÜ, 93/105/EÜ ja 2000/21/EÜ (ELT L 396, 30.12.2006, lk 1). (3) Euroopa Parlamendi ja nõukogu 28. jaanuari 2002. aasta määrus (EÜ) nr 178/2002, millega sätestatakse toidualaste õigusnormide üldised põhimõtted ja nõuded, asutatakse Euroopa Toiduohutusamet ja kehtestatakse toidu ohutusega seotud menetlused (EÜT L 31, 1.2.2002, lk 1). (4) Euroopa Parlamendi ja nõukogu 5. aprilli 2017. aasta määrus (EL) 2017/745, milles käsitletakse meditsiiniseadmeid, millega muudetakse direktiivi 2001/83/EÜ, määrust (EÜ) nr 178/2002 ja määrust (EÜ) nr 1223/2009 ning millega tunnistatakse kehtetuks nõukogu direktiivid 90/385/EMÜ ja 93/42/EMÜ (ELT L 117, 5.5.2017, lk 1). (5) Euroopa Parlamendi ja nõukogu 5. aprilli 2017. aasta määrus (EL) 2017/746 in vitro diagnostikameditsiiniseadmete kohta ning millega tunnistatakse kehtetuks direktiiv 98/79/EÜ ja komisjoni otsus 2010/227/EL (ELT L 117, 5.5.2017, lk 176).

III LISA

VASTAVUSTABEL

Direktiiv (EL) 2016/1148	Käesolev direktiiv
Artikli 1 lõige 1	Artikli 1 lõige 1
Artikli 1 lõige 2	Artikli 1 lõige 2
Artikli 1 lõige 3	–
Artikli 1 lõige 4	Artikli 2 lõige 12
Artikli 1 lõige 5	Artikli 2 lõige 13
Artikli 1 lõige 6	Artikli 2 lõiked 6 ja 11
Artikli 1 lõige 7	Artikkel 4
Artikkel 2	Artikli 2 lõige 14
Artikkel 3	Artikkel 5
Artikkel 4	Artikkel 6
Artikkel 5	–
Artikkel 6	–
Artikli 7 lõige 1	Artikli 7 lõiked 1 ja 2
Artikli 7 lõige 2	Artikli 7 lõige 4
Artikli 7 lõige 3	Artikli 7 lõige 3
Artikli 8 lõiked 1–5	Artikli 8 lõiked 1–5
Artikli 8 lõige 6	Artikli 13 lõige 4
Artikli 8 lõige 7	Artikli 8 lõige 6
Artikli 9 lõiked 1, 2 ja 3	Artikli 10 lõiked 1, 2 ja 3
Artikli 9 lõige 4	Artikli 10 lõige 9
Artikli 9 lõige 5	Artikli 10 lõige 10
Artikli 10 lõiked 1, 2 ja lõike 3 esimene lõik	Artikli 13 lõiked 1, 2 ja 3
Artikli 10 lõike 3 teine lõik	Artikli 23 lõige 9
Artikli 11 lõige 1	Artikli 14 lõiked 1 ja 2
Artikli 11 lõige 2	Artikli 14 lõige 3
Artikli 11 lõige 3	Artikli 14 lõike 4 esimese lõigu punktid a–q ja s ning lõige 7
Artikli 11 lõige 4	Artikli 14 lõike 4 esimese lõigu punkt r ja teine lõik
Artikli 11 lõige 5	Artikli 14 lõige 8
Artikli 12 lõiked 1–5	Artikli 15 lõiked 1–5
Artikkel 13	Artikkel 17
Artikli 14 lõiked 1 ja 2	Artikli 21 lõiked 1–4
Artikli 14 lõige 3	Artikli 23 lõige 1
Artikli 14 lõige 4	Artikli 23 lõige 3
Artikli 14 lõige 5	Artikli 23 lõiked 5, 6 ja 8
Artikli 14 lõige 6	Artikli 23 lõige 7
Artikli 14 lõige 7	Artikli 23 lõige 11
Artikli 15 lõige 1	Artikli 31 lõige 1
Artikli 15 lõike 2 esimese lõigu punkt a	Artikli 32 lõike 2 punkt e
Artikli 15 lõike 2 esimese lõigu punkt b	Artikli 32 lõike 2 punkt g
Artikli 15 lõike 2 teine lõik	Artikli 32 lõige 3
Artikli 15 lõige 3	Artikli 32 lõike 4 punkt b
Artikli 15 lõige 4	Artikli 31 lõige 3
Artikli 16 lõiked 1 ja 2	Artikli 21 lõiked 1–4
Artikli 16 lõige 3	Artikli 23 lõige 1
Artikli 16 lõige 4	Artikli 23 lõige 3
Artikli 16 lõige 5	–
Artikli 16 lõige 6	Artikli 23 lõige 6
Artikli 16 lõige 7	Artikli 23 lõige 7
Artikli 16 lõiked 8 ja 9	Artikli 21 lõige 5 ja artikli 23 lõige 11
Artikli 16 lõige 10	–
Artikli 16 lõige 11	Artikli 2 lõiked 1, 2 ja 3
Artikli 17 lõige 1	Artikli 33 lõige 1
Artikli 17 lõike 2 punkt a	Artikli 32 lõike 2 punkt e
Artikli 17 lõike 2 punkt b	Artikli 32 lõike 4 punkt b
Artikli 17 lõige 3	Artikli 37 lõike 1 punktid a ja b
Artikli 18 lõige 1	Artikli 26 lõike 1 punkt b ja lõige 2
Artikli 18 lõige 2	Artikli 26 lõige 3
Artikli 18 lõige 3	Artikli 26 lõige 4
Artikkel 19	Artikkel 25
Artikkel 20	Artikkel 30
Artikkel 21	Artikkel 36
Artikli 22	Artikkel 39
Artikkel 23	Artikkel 40
Artikkel 24	–
Artikkel 25	Artikkel 41
Artikkel 26	Artikkel 45
Artikkel 27	Artikkel 46
I lisa punkt 1	Artikli 11 lõige 1
I lisa punkti 2 alapunkti a alapunktid i–iv	Artikli 11 lõike 2 punktid a–d
I lisa punkti 2 alapunkti a alapunkt v	Artikli 11 lõike 2 punkt f
I lisa punkti 2 alapunkt b	Artikli 11 lõige 4
I lisa punkti 2 alapunkti c alapunktid i ja ii	Artikli 11 lõike 5 punkt a
II lisa	I lisa
III lisa punktid 1 ja 2	II lisa punkt 6
III lisa punkt 3	I lisa punkt 8

( 1 ) Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiv 2011/93/EL, mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK (ELT L 335, 17.12.2011, lk 1).

( 2 ) Euroopa Parlamendi ja nõukogu 12. augusti 2013. aasta direktiiv 2013/40/EL, milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus 2005/222/JSK (ELT L 218, 14.8.2013, lk 8).

( 3 ) Euroopa Parlamendi ja nõukogu 25. oktoobri 2012. aasta määrus (EL) nr 1025/2012, mis käsitleb Euroopa standardimist ning millega muudetakse nõukogu direktiive 89/686/EMÜ ja 93/15/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 94/9/EÜ, 94/25/EÜ, 95/16/EÜ, 97/23/EÜ, 98/34/EÜ, 2004/22/EÜ, 2007/23/EÜ, 2009/23/EÜ ja 2009/105/EÜ ning millega tunnistatakse kehtetuks nõukogu otsus 87/95/EMÜ ning Euroopa Parlamendi ja nõukogu otsus nr 1673/2006/EÜ (ELT L 316, 14.11.2012, lk 12).

( 4 ) Euroopa Parlamendi ja nõukogu 9. septembri 2015. aasta direktiiv (EL) 2015/1535, millega nähakse ette tehnilistest eeskirjadest ning infoühiskonna teenuste eeskirjadest teatamise kord (ELT L 241, 17.9.2015, lk 1).

( 5 ) Euroopa Parlamendi ja nõukogu 11. mai 2005. aasta direktiiv 2005/29/EÜ, mis käsitleb ettevõtja ja tarbija vaheliste tehingutega seotud ebaausaid kaubandustavasid siseturul ning millega muudetakse nõukogu direktiivi 84/450/EMÜ, Euroopa Parlamendi ja nõukogu direktiive 97/7/EÜ, 98/27/EÜ ja 2002/65/EÜ ning Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 2006/2004 (ebaausate kaubandustavade direktiiv) (ELT L 149, 11.6.2005, lk 22).

( 6 ) Euroopa Parlamendi ja nõukogu 20. juuni 2019. aasta määrus (EL) 2019/1150, mis käsitleb õigluse ja läbipaistvuse edendamist veebipõhiste vahendusteenuste ärikasutajate jaoks (ELT L 186, 11.7.2019, lk 57).

►C1	Parandus, ELT L 90206, 22.12.2023, lk 1 ((EL) 2022/2555)
►C2	Parandus, ELT L 90775, 3.12.2024, lk 1 (2022/2555)
►C3	Parandus, ELT L 90884, 6.11.2025, lk 1 (2022/2555)