17. juulil 2023 otsustas komisjon loobuda vastuväidete esitamisest eespool nimetatud teatatud koondumise kohta ning kuulutada koondumine siseturuga kokkusobivaks. Otsuse aluseks on nõukogu määruse (EÜ) nr 139/2004 (1) artikli 6 lõike 1 punkt b. Otsuse täielik tekst on kättesaadav ainult inglise keeles ning see avaldatakse pärast seda, kui sellest on kustutatud võimalikud ärisaladused. Otsus on kättesaadav:

—	Euroopa konkurentsialasel veebisaidil (https://competition-cases.ec.europa.eu/search). Veebisaidil pakutakse mitut võimalust otsida konkreetset ühinemisotsust, sealhulgas ettevõtja nime, juhtumi numbri ja kuupäeva järgi ning tegevusalade registri kaudu;

—	elektroonilises vormis EUR-Lex’i veebisaidil (http://eur-lex.europa.eu/homepage.html?locale=et) dokumendinumbri 32023M11106 all. EUR-Lex pakub online-juurdepääsu Euroopa Liidu õigusele.

---

(1)   ELT L 24, 29.1.2004, lk 1.

I.   SISSEJUHATUS

1.

Vastavalt Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiivi (EL) 2022/2555 (mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, küberturvalisuse 2. direktiiv) (1) artikli 4 lõikele 3 annab komisjon hiljemalt 17. juuliks 2023 suunised, milles selgitatakse nimetatud direktiivi artikli 4 lõigete 1 ja 2 kohaldamist.

2.

Käesolevates suunistes selgitatakse, kuidas kohaldada neid sätteid, mis puudutavad seoseid direktiivi (EL) 2022/2555 ning praeguste ja tulevaste valdkondlike liidu õigusaktide vahel, milles käsitletakse küberturvalisuse riskijuhtimismeetmeid või intsidentidest teatamise nõudeid. Suuniste liites on loetelu valdkondlikest liidu õigusaktidest, mida komisjon käsitab direktiivi (EL) 2022/2555 artikli 4 kohaldamisalasse kuuluvana. Asjaolu, et mõni õigusakt ei ole liites loetletud, ei tähenda ilmtingimata, et ta ei kuulu nimetatud sätte kohaldamisalasse.

3.

Direktiivi (EL) 2022/2555 artikli 4 lõike 3 kolmanda lause kohaldamiseks võttis komisjon enne käesolevate suuniste vastuvõtmist arvesse võrgu- ja infoturbe koostöörühma ja Euroopa Liidu Võrgu- ja Infoturbeameti (ENISA) tähelepanekuid.

4.

Käesolevad suunised ei piira seda, kuidas Euroopa Liidu Kohus liidu õigust tõlgendab.

II.   VALDKONDLIKE LIIDU ÕIGUSAKTIDE KÜBERTURVALISUSE NÕUETE SAMAVÄÄRSUS

5.

Direktiivi (EL) 2022/2555 artikli 4 lõikes 1 on sätestatud, et kui valdkondlikes liidu õigusaktides nõutakse elutähtsatelt või olulistelt üksustelt küberturvalisuse riskijuhtimismeetmete võtmist või olulistest intsidentidest teatamist ning kui need nõuded on vähemalt samaväärse toimega kui kõnealuses direktiivis sätestatud kohustused, ei kohaldata selliste üksuste suhtes direktiivi (EL) 2022/2555 asjakohaseid sätteid, sealhulgas nimetatud direktiivi VII peatükis sätestatud järelevalve- ja täitmise tagamise sätteid. Samas on sätestatud ka see, et kui valdkondlikud liidu õigusaktid ei hõlma kõiki konkreetse sektori üksusi, mis kuuluvad direktiivi (EL) 2022/2555 kohaldamisalasse, kohaldatakse selle direktiivi asjakohaseid sätteid jätkuvalt nende valdkondlike liidu õigusaktidega hõlmamata üksuste suhtes.

II.1.   Küberturvalisuse riskijuhtimisnõuded

6.

Direktiivi (EL) 2022/2555 artikli 4 lõike 2 punktis a on sätestatud, et küberturvalisuse riskijuhtimismeetmeid, mida elutähtsad või olulised üksused peavad võtma valdkondlike liidu õigusaktide alusel, käsitatakse samaväärse toimega kui direktiivis (EL) 2022/2555 sätestatud kohustused juhul, kui need meetmed on vähemalt samaväärse mõjuga kui nimetatud direktiivi artikli 21 lõigetega 1 ja 2 sätestatud meetmed. Kui hinnatakse, kas valdkondliku liidu õigusakti nõuded küberturvalisuse riskijuhtimismeetmete kohta on vähemalt samaväärse mõjuga kui meetmed, mis on ette nähtud direktiivi (EL) 2022/2555 artikli 21 lõigetega 1 ja 2, peaksid selle valdkondliku liidu õigusakti nõuded vastama vähemalt nende sätete nõuetele või minema neist kaugemale, st valdkondlikud sätted võivad olla sisult üksikasjalikumad kui direktiivi (EL) 2022/2555 vastavad sätted.

7.

Vastavalt direktiivi (EL) 2022/2555 artikli 21 lõike 1 esimesele lõigule tagavad liikmesriigid, et elutähtsad ja olulised üksused võtavad asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida riske, mis ohustavad nende üksuste tegevuses või teenuste osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust. Meetmed peaksid olema riskipõhised ja nendega peaks saama intsidentide mõju ennetada või minimeerida. Direktiivi (EL) 2022/2555 artikli 21 lõike 1 teises lõigus on täpsustatud, kuidas tuleks hinnata selliste meetmete proportsionaalsust (2). Direktiivi (EL) 2022/2555 artikli 21 lõikes 1 sätestatud kohustus, mille kohaselt peavad elutähtsad ja olulised üksused võtma asjakohaseid ja proportsionaalseid küberturvalisuse riskijuhtimismeetmeid, kehtib kõigi asjaomase üksuse tegevuste ja teenuste suhtes ega puuduta üksnes konkreetseid infotehnoloogia („IT“) varasid või elutähtsaid teenuseid, mida üksus osutab.

8.

Kui hinnatakse, kas valdkondlik liidu õigusakt on samaväärne kui direktiivi (EL) 2022/2555 asjaomased küberriskide juhtimist käsitlevad sätted, tuleks erilist tähelepanu pöörata küsimusele, kas selles õigusaktis sätestatud turvakohustused hõlmavad meetmeid, mille eesmärk on tagada võrgu- ja infosüsteemide turvalisus. Direktiivi (EL) 2022/2555 artikli 6 punktis 2 sätestatud võrgu- ja infosüsteemide turvalisuse definitsioonis viidatakse infosüsteemide võimele panna teatava kindlusega vastu mis tahes sündmusele, mis võiks kahjustada salvestatavate, edastatavate või töödeldavate andmete või võrgu- ja infosüsteemi kaudu pakutavate või juurdepääsetavate teenuste kättesaadavust, autentsust, terviklust või konfidentsiaalsust. Asjaolu, et definitsioonis kasutatakse selliseid mõisteid nagu „kättesaadavus“, „autentsus“, „terviklus“ ja „konfidentsiaalsus“, viitab kõigile neljale võrgu- ja infosüsteemide turvalisusega seotud kaitse-eesmärgile. Direktiivi (EL) 2022/2555 artikli 6 punktis 1 defineeritud „võrgu- ja infosüsteem“ hõlmab elektroonilise side võrke (3); seadmeid või omavahel ühendatud või seotud seadmete rühmi, millest vähemalt ühes toimub mõne programmi kohaselt digiandmete automaatne töötlemine, ja digiandmeid, mida salvestatakse, töödeldakse, saadakse päringutega või edastatakse selliste elektroonilise side võrkude või seadmete kaudu nende töö, kasutamise, kaitsmise või hooldamise jaoks. Sellest tulenevalt peaksid valdkondliku liidu õigusaktiga nõutavad turvameetmed hõlmama ka üksuse tegevuses kasutatavat riistvara, püsivara ja tarkvara.

9.

Kui hinnatakse valdkondliku liidu õigusakti samaväärsust direktiivi (EL) 2022/2555 artikli 21 lõigete 1 ja 2 nõuetega, on oluline, et selle õigusaktiga nõutavad küberturvalisuse riskijuhtimismeetmed tugineksid kõiki ohte hõlmavale lähenemisviisile. Võrgu- ja infosüsteemide turvalisust ähvardavad ohud võivad olla pärit eri allikatest ja seepärast võib mis tahes liiki sündmus avaldada üksuse võrgu- ja infosüsteemile negatiivset mõju ja tõenäoliselt põhjustada intsidendi. Seepärast ei peaks üksuse võetavad küberturvalisuse riskijuhtimismeetmed kaitsma mitte ainult üksuse võrgu- ja infosüsteeme, vaid ka nende süsteemide füüsilist keskkonda igasuguste sündmuste eest, nagu sabotaaž, vargus, tulekahju, üleujutus, side- või elektrikatkestus või loata füüsiline juurdepääs, mis võiksid kahjustada salvestatud, edastatud või töödeldud andmete või võrgu- ja infosüsteemide pakutavate või nende kaudu juurdepääsetavate teenuste kättesaadavust, autentsust, terviklust või konfidentsiaalsust. Sellest tulenevalt peaksid valdkondliku liidu õigusaktiga nõutavad küberturvalisuse riskijuhtimismeetmed käsitlema ka võrgu- ja infosüsteemide füüsilist ja keskkonnaalast turvalisust seoses süsteemirikete, inimlike eksimuste, kuritahtlike tegude või loodusnähtustega (4).

10.

Lisaks sisaldab direktiivi (EL) 2022/2555 artikli 21 lõige 2 nõuet, et küberturvalisuse riskijuhtimismeetmed hõlmaksid sama artikli lõike 2 punktides a–j loetletud nõudeid. Need nõuded hõlmavad selliseid meetmeid nagu riskianalüüsi ja infosüsteemide turbe põhimõtted, intsidentide käsitlemine, talitluspidevus, kriisiohje, tarneahela turvalisus, krüptograafia ja, kui see on kohane, krüpteerimise kasutamise põhimõtted. Vastavalt direktiivi (EL) 2022/2555 artikli 21 lõike 5 teisele lõigule on komisjonil õigus võtta vastu rakendusakte, milles sätestatakse nimetatud direktiivi artikli 21 lõikes 2 osutatud turvameetmete tehnilised ja metoodilised ning vajaduse korral valdkondlikud nõuded. Mis puudutab domeeninimede süsteemi teenuse osutajaid, tippdomeeninimede registreid, pilvandmetöötlusteenuse osutajaid, andmekeskusteenuse osutajaid, sisulevivõrgu pakkujaid, hallatud teenuse osutajaid, turbetarnijaid, internetipõhiseid kauplemiskohti ning internetipõhiste otsingumootorite ja sotsiaalvõrguteenuse platvormide pakkujaid ja usaldusteenuse osutajaid, siis komisjon võtab 17. oktoobriks 2024 vastu rakendusaktid direktiivi (EL) 2022/2555 artikli 21 lõikes 2 osutatud turvameetmete tehniliste ja metoodiliste nõuete kohta. Rakendusaktides täpsustatakse veelgi üksikasjalikumalt põhiaktiga ettenähtud rakendamise peamised tingimused ja kriteeriumid, ilma et see mõjutaks nimetatud õigusakti sisu (5).

II.2.   Teatamisnõuded

11.

Direktiivi (EL) 2022/2555 artikli 4 lõike 2 punktis b on sätestatud, et olulistest intsidentidest teatamise nõudeid käsitatakse samaväärse toimega kui nimetatud direktiivis sätestatud kohustused juhul, kui valdkondlikus liidu õigusaktis on ette nähtud küberturbe intsidentide lahendamise üksuste („CSIRTide“), pädevate asutuste või ühtsete kontaktpunktide viivitamatu, asjakohasel juhul automaatne ja otsene juurdepääs intsidenditeadetele ning kui olulistest intsidentidest teatamise nõuded on mõjult vähemalt samaväärsed direktiivi (EL) 2022/2555 artikli 23 lõigetes 1–6 sätestatud nõuetega.

12.

Selleks, et direktiivi 2022/2555 teatamisnõuete asemel kohaldataks valdkondlikku liidu õigusakti, peavad valdkondlikus liidu õigusaktis sätestatud olulistest intsidentidest teatamise nõuded olema vähemalt samaväärse toimega kui nõuded, mis on sätestatud nimetatud direktiivi artikli 23 lõigetes 1–6, ning seetõttu on selle direktiivi artikli 23 lõigetes 1–6 sätestatud nõuded samaväärsuse hindamisel eriti olulised. Direktiivi (EL) 2022/2555 artikli 23 lõigetes 1–6 on täpsemalt sätestatud, millistest intsidentidest tuleb kellele teatada, millise aja jooksul ja milline peab olema teabe sisu. Seda selgitatakse üksikasjalikumalt järgmistes jaotistes.

II.2.1.   Olulistest intsidentidest CSIRTidele, pädevatele asutustele ja teenuste kasutajatele teatamine

13.

Direktiivi (EL) 2022/2555 artikli 23 lõike 1 esimese lõigu esimeses lauses on sätestatud nõue, et elutähtsad ja olulised üksused teavitavad põhjendamatu viivituseta oma CSIRTi või, kui see on kohaldatav, oma pädevat asutust kõigist olulistest intsidentidest. Direktiivi (EL) 2022/2555 artikli 23 lõike 1 esimese lõigu teises lauses on sätestatud nõue, et kui see on asjakohane, teavitavad elutähtsad ja olulised üksused põhjendamatu viivituseta oma teenuste kasutajaid olulistest intsidentidest, mis tõenäoliselt kahjustavad kõnealuse teenuse osutamist.

14.

Direktiivi (EL) 2022/2555 artikli 6 punktis 6 on „intsident“ määratletud väga üldiselt kui sündmus, mis kahjustab salvestatavate, edastatavate või töödeldavate andmete või võrgu- ja infosüsteemi kaudu pakutavate või juurdepääsetavate teenuste kättesaadavust, autentsust, terviklust või konfidentsiaalsust, kuid sama direktiivi artikli 23 lõikes 1 on sätestatud kohustus teatada üksnes olulistest intsidentidest. Intsident on oluline, kui see on see on põhjustanud või võib põhjustada asjaomase üksuse teenuste osutamisel tõsiseid tegevushäireid või rahalist kahju (artikli 23 lõike 3 punkt a) või kui see on mõjutanud või võib mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju (artikli 23 lõike 3 punkt b).

15.

Direktiivi (EL) 2022/2555 preambuli põhjenduses 101 on selgitatud, et intsidentidest teatamine peaks põhinema asjaomase üksuse esialgsel hinnangul. Sellises esialgses hinnangus tuleks muu hulgas arvesse võtta mõjutatud võrgu- ja infosüsteeme ning eelkõige nende tähtsust üksuse teenuste osutamisel, küberohu tõsidust ja tehnilisi omadusi ning kõiki ärakasutamist võimaldavaid nõrkusi, samuti üksuse kogemusi sarnaste intsidentidega. Sellised näitajad nagu teenuse toimimise mõjutamise ulatus, intsidendi kestus või mõjutatud teenusekasutajate arv võivad mängida olulist rolli selle kindlakstegemisel, kas teenuse tegevushäire on tõsine.

16.

Vastavalt direktiivi (EL) 2022/2555 artikli 23 lõike 11 teisele lõigule on komisjonil õigus võtta vastu rakendusakte, millega täpsustatakse, millisel juhul käsitatakse intsidenti olulisena. Domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate, internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite ja sotsiaalvõrguteenuse platvormide pakkujate ja usaldusteenuse osutajate suhtes võtab komisjon sellised rakendusaktid vastu 17. oktoobriks 2024. Rakendusaktides täpsustatakse veelgi üksikasjalikumalt põhiaktiga ettenähtud rakendamise peamised tingimused ja kriteeriumid, ilma et see mõjutaks nimetatud õigusakti sisu (6).

II.2.2.   Olulistest intsidentidest teatamise mitmeetapiline lähenemisviis ja ajakava

17.

Direktiivis (EL) 2022/2555 on sätestatud mitmeetapiline lähenemisviis olulistest intsidentidest teatamisele, mis sisaldab varajast hoiatamist, intsidenditeateid ja lõpparuannet. Neid kolme komponenti võib täiendada vahearuannete ja eduaruandega.

18.

Mitmeetapilise lähenemisviisi eesmärk on saavutada õige tasakaal kahe ülesande vahel: ühelt poolt kiire teatamine, mis aitab vähendada oluliste intsidentide võimalikku levikut ja võimaldab elutähtsatel ja olulistel üksustel abi otsida, ning teiselt poolt põhjalik aruandlus, mis võimaldab saada üksikutest intsidentidest väärtuslikke õppetunde ja suurendada aja jooksul üksikute üksuste ja tervete sektorite vastupanuvõimet küberohtude suhtes (7).

19.

Mitmeetapilise lähenemisviisi kohaselt peavad elutähtsad ja olulised üksused esitama kõigepealt põhjendamatu viivituseta ja igal juhul 24 tunni jooksul pärast olulisest intsidendist teada saamist varajase hoiatuse pädevale CSIRTile või asutusele. Seejärel peavad need üksused esitama põhjendamatu viivituseta ja igal juhul 72 tunni jooksul pärast olulisest intsidendist teadasaamist intsidenditeate. Pärast seda võib pädev CSIRT või asutus nõuda vahearuannet. Lõpuks tuleb pädevale CSIRTile või asutusele esitada lõpparuanne hiljemalt üks kuu pärast intsidenditeate esitamist, välja arvatud siis, kui intsident on sel ajal veel pooleli; sellisel juhul tuleb esitada eduaruanne ja lõpparuanne ühe kuu jooksul pärast intsidendi käsitlemist.

20.

Usaldusteenuse osutajate suhtes kehtib direktiivi (EL) 2022/2555 artikli 23 lõike 4 teises lõigus sätestatud intsidendist teatamisel teistsugune ajakava. Need pakkujad peavad teatama enda pakutava usaldusteenuse osutamist mõjutavast olulisest intsidendist põhjendamatu viivituseta ja igal juhul 24 tunni jooksul pärast olulisest intsidendist teada saamist.

II.2.3.   CSIRTidele või pädevatele asutustele olulistest intsidentidest teatamise kohustuse sisu

21.

Direktiivi (EL) 2022/2555 artikli 23 lõike 1 esimese lõigu kolmandas lauses on sätestatud üldnorm, mille kohaselt peavad liikmesriigid tagama, et elutähtsad ja olulised üksused teataksid muu hulgas teabe, mis võimaldab pädeval CSIRTil või, kui see on kohaldatav, pädeval asutusel teha kindlaks intsidendi piiriülese mõju. Seda nõuet teatamiskohustuse sisu kohta on täpsustatud direktiivi (EL) 2022/2555 artikli 23 lõikes 4, kus on sätestatud mitmeetapiline lähenemisviis.

22.

Vastavalt artikli 23 lõike 4 punktile a peab varajane hoiatus, kui see on kohaldatav, sisaldama märget selle kohta, kas on kahtlus, et olulise intsidendi põhjuseks on ebaseaduslik või pahatahtlik tegevus, või kas sellel võib olla (selles mõttes, et kas on tõenäoline, et sellel on) piiriülene mõju. Vastavalt direktiivi (EL) 2022/2555 preambuli põhjendusele 102 peaks varajane hoiatus sisaldama üksnes teavet, mis on vajalik pädeva CSIRTi või asutuse olulisest intsidendist teavitamiseks ja võimaldama asjaomasel üksusel vajaduse korral abi otsida.

23.

Kui see on asjakohane, tuleb intsidenditeates ajakohastada varajase hoiatuse osana esitatud teavet. Lisaks peab intsidenditeade sisaldama esialgset hinnangut olulisele intsidendile, kaasa arvatud selle tõsidusele ja mõjule ning, kui need on kättesaadavad, ka turvarikke indikaatoritele.

24.

Kui nõutakse vahearuannet, peab see sisaldama asjakohaseid staatuse uuendusi. Lõpparuanne peab sisaldama intsidendi üksikasjalikku kirjeldust, kaasa arvatud selle tõsidust ja mõju, ohu liiki või lähtepõhjust, mis intsidendi tõenäoliselt põhjustas, juba kohaldatud ja kohaldamisel olevaid leevendusmeetmeid ning, kui see on kohaldatav, intsidendi piiriülest mõju.

II.2.4.   Viivitamatu juurdepääs intsidenditeadetele

25.

Direktiivi (EL) 2022/2555 artikli 4 lõike 2 punktis b on sätestatud, et selleks, et teatamisnõuete suhtes kohaldataks nimetatud direktiivi asemel valdkondlikku liidu õigusakti, peab selle valdkondliku õigusaktiga olema ette nähtud direktiivis (EL) 2022/2555 osutatud CSIRTide, pädevate asutuste või ühtsete kontaktpunktide viivitamatu juurdepääs valdkondliku liidu õigusakti alusel esitatud intsidenditeadetele. Vastavalt direktiivi (EL) 2022/2555 preambuli põhjendusele 24 saab sellise viivitamatu juurdepääsu tagada eelkõige juhul, kui intsidenditeated edastatakse CSIRTile, pädevale asutusele või ühtsele kontaktpunktile põhjendamatu viivituseta.

26.

Viivitamatut juurdepääsu võib anda automaatsete ja vahetute juurdepääsuvahenditega, mille liikmesriigid peaksid vajaduse korral looma. Automaatsed ja otsesed teavitamismehhanismid tagavad intsidenditeadete käsitlemisega seoses süstemaatilise ja viivitamatu teabe jagamise CSIRTide, pädevate asutuste ja ühtsete kontaktpunktidega. Teatamise lihtsustamiseks ning automaatse ja otsese teatamise mehhanismi rakendamiseks võivad liikmesriigid kasutada ka ühtset kontaktpunkti, mis peab järgima valdkondlikku liidu õigusakti.

27.

Kui hinnatakse, kas valdkondliku liidu õigusakti nõuded olulistest intsidentidest teatamise kohta on vähemalt samaväärsed nõuetega, mis on sätestatud direktiivi (EL) 2022/2555 artikli 23 lõigetes 1–6, peaksid selles valdkondlikus liidu õigusaktis sisalduvad nõuded vähemalt vastama artikli 23 lõigete 1–6 nõuetele või olema neist sätetest üksikasjalikumad. Nõuded peaksid olema seotud nende intsidentide liigiga, millest tuleb teatada vastavalt direktiivile (EL) 2022/2555, võttes arvesse eeskätt teabe saajaid, sisu ja kohaldatavaid tähtaegu.

III.   SAMAVÄÄRSUSE TAGAJÄRJED

III.1.   Järelevalve ja täitmise tagamine

28.

Kui valdkondlikud liidu õigusaktid on vähemalt samaväärse toimega kui direktiivis (EL) 2022/2555 sätestatud kohustused, siis ei kohaldata nimetatud direktiivi asjaomaseid sätteid, mis käsitlevad kohustust võtta küberturvalisuse riskijuhtimismeetmeid või teatada olulistest intsidentidest, ning lisaks neile ka direktiivi (EL) 2022/2555 VII peatüki sätteid järelevalve ja täitmise tagamise kohta.

29.

Direktiivi (EL) 2022/2555 preambuli põhjenduses 25 on selgitatud, et valdkondlike liidu õigusaktidega, millel on vähemalt samaväärne mõju, võiks ette näha, et nende õigusaktide kohased pädevad asutused kasutavad oma järelevalve- ja täitmise tagamise volitusi seoses küberturvalisuse riskijuhtimismeetmete või teatamiskohustustega direktiivi (EL) 2022/2555 kohaste pädevate asutuste abil. Asjaomased pädevad asutused võiksid sel otstarbel seada sisse koostöökorra, mis võiks muu hulgas sisaldada järelevalvetegevuse koordineerimise korda, liikmesriigi õiguse kohaste uurimiste ja kohapealsete kontrollide korda ning mehhanismi järelevalvet ja täitmise tagamist käsitleva asjakohase teabe vahetamiseks pädevate asutuste vahel. Selline asjakohase teabe vahetamise mehhanism võiks hõlmata juurdepääsu kübervaldkonnaga seotud teabele, mida pädevad asutused taotlevad vastavalt direktiivile (EL) 2022/2555.

III.2.   Riiklik küberturvalisuse strateegia

30.

Vastavalt direktiivi (EL) 2022/2555 artikli 7 lõikele 1 peab iga liikmesriik võtma vastu riikliku küberturvalisuse strateegia. Riiklik küberturvalisuse strateegia on liikmesriigi ühtne raamistik, mis näeb ette küberturvalisuse valdkonna strateegilised eesmärgid ja prioriteedid ning nende eesmärkide ja prioriteetide saavutamiseks vajaliku juhtimise kõnealuses liikmesriigis (vt direktiivi (EL) 2022/2555 artikli 6 punkt 4). Küberturvalisuse strateegia peab muu hulgas sisaldama eesmärke ja prioriteete, mis hõlmavad eelkõige direktiivi (EL) 2022/2555 I ja II lisas osutatud sektoreid. Lisaks peab see strateegia sisaldama juhtimisraamistikku nende eesmärkide ja prioriteetide, kaasa arvatud direktiivi (EL) 2022/2555 artikli 7 lõikes 2 osutatud poliitikameetmete saavutamiseks.

31.

Peale selle on direktiivi (EL) 2022/2555 artikli 7 lõike 1 punktis c sätestatud, et riiklik küberturvalisuse strateegia peab sisaldama juhtimisraamistikku, milles selgitatakse asjaomaste sidusrühmade riikliku tasandi rolle ja kohustusi, mis toetavad direktiivi (EL) 2022/2555 kohaste pädevate asutuste, ühtsete kontaktpunktide ja CSIRTide vahelist koostööd ja koordineerimist riiklikul tasandil, samuti nende organite ja valdkondlike liidu õigusaktide kohaste pädevate asutuste vahelist koordineerimist ja koostööd.

32.

Seega ei puuduta direktiivi (EL) 2022/2555 artikli 7 kohane küberturvalisuse strateegia vastuvõtmise nõue küberturvalisuse nõudeid, mis on elutähtsate ja oluliste üksuste suhtes kehtestatud vastavalt nimetatud direktiivi artiklitele 21 ja 23, ega selle direktiivi artikli 4 lõigete 1 ja 2 nõuete kohaselt VII peatükis sätestatud järelevalve- ja täitmise tagamise sätteid. Artikli 7 asjaomaseid sätteid tuleks kohaldada ka edaspidi nende sektorite, allsektorite ja üksuste liikide suhtes, mille jaoks on olemas valdkondlikud liidu õigusaktid direktiivi (EL) 2022/2555 artikli 4 tähenduses.

III.3.   CSIRTide määramine

33.

Vastavalt direktiivi (EL) 2022/2555 artikli 10 lõikele 1 peavad liikmesriigid määrama või asutama vähemalt ühe CSIRTi, mis hõlmab vähemalt direktiivi I ja II lisas osutatud sektoreid, allsektoreid ja üksuste liike, hõlmates seega sektoreid, allsektoreid ja üksuste liike, mille jaoks on olemas valdkondlikud liidu õigusaktid. CSIRTid täidavad tavaliselt ka ülesandeid, mis on neile selles osas ette nähtud direktiivi (EL) 2022/2555 artikli 11 lõikega 3, kui just valdkondlikes liidu õigusaktides ei ole täpsustatud eriülesandeid.

III.4.   Riiklikud küberkriiside ohjamise raamistikud ja EU - CyCLONe

34.

Vastavalt direktiivi (EL) 2022/2555 artikli 9 lõikele 1 peavad liikmesriigid määrama või asutama vähemalt ühe ulatuslike küberturbeintsidentide ja kriiside ohjamise eest vastutava küberkriisi ohjamise asutuse. Vastavalt kõnealuse direktiivi artikli 6 lõikele 7 on ulatuslik küberturbeintsident intsident, mille põhjustatud häired on niivõrd laialdased, et üks liikmesriik ei suuda nendega toime tulla või millel on märkimisväärne mõju vähemalt kahele liikmesriigile. Direktiivi (EL) 2022/2555 artikli 9 lõikes 4 on sätestatud nõue, et liikmesriigid peavad vastu võtma ka riikliku ulatuslike küberturbeintsidentide ja kriiside lahendamise kava, milles kirjeldatakse ulatuslike küberturbeintsidentide ja kriiside ohjamise eesmärke ja korda. Selle kavaga tuleks muu hulgas ette näha küberkriiside ohjamise menetlused, kaasa arvatud nende lõimimine üldisesse riiklikku kriisiohjeraamistikku ja teabevahetuskanalitesse, ning asjaomased avaliku ja erasektori sidusrühmad ja seotud taristu. Sellised küberkriiside ohjamise menetlused ning asjaomased avaliku ja erasektori sidusrühmad ja taristu võivad hõlmata valdkondlikke menetlusi ja sidusrühmi.

35.

Direktiivi (EL) 2022/2555 artikliga 16 on loodud Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU - CyCLONe), mille eesmärk on toetada ulatuslike küberturbeintsidentide ja kriiside koordineeritud ohjamist operatiivtasandil ning tagada asjakohase teabe korrapärane vahetamine liikmesriikide ning liidu institutsioonide, organite ja asutuste vahel.

36.

Artikkel 9 küberkriiside ohjamise raamistike kohta ja artikkel 16 EU - CyCLONe’i kohta ei puuduta küberturvalisuse nõudeid, mis on üksustele kehtestatud vastavalt direktiivi (EL) 2022/2555 artiklile 21 ja 23, ega järelevalvet ja täitmise tagamist, mis on selle direktiivi artikli 4 lõigete 1 ja 2 nõuete kohaselt sätestatud VII peatükis, ning seega tuleks artikleid 9 ja 16 kohaldada sektorite suhtes tervikuna olenemata sellest, kas on olemas valdkondlikud liidu õigusaktid artikli 4 tähenduses. Sellest tulenevalt peavad liikmesriigid määrama või asutama vähemalt ühe küberkriisi ohjamise asutuse, kes vastutab valdkondlike liidu õigusaktidega hõlmatud sektorites esinevate ulatuslike küberturbeintsidentide ja kriiside ohjamise eest. Ühtlasi ei tohiks valdkondlike liidu õigusaktidega hõlmatud sektoreid tähelepanuta jätta, kui võetakse vastu riiklik ulatuslike küberturbeintsidentide ja kriiside lahendamise kava. EU - CyCLONe peaks täitma direktiivi (EL) 2022/2555 artikliga 16 talle pandud kohustused seoses sektoritega, mille üksuste suhtes kohaldatakse valdkondlikke liidu õigusakte.

III.5.   Erand artikli 3 lõigete 3 ja 4, artikli 20 ning artikli 27 lõigete 2 ja 3 kohaldamisest

37.

Vastavalt direktiivi (EL) 2022/2555 artikli 3 lõikele 3 peavad liikmesriigid koostama loetelu elutähtsate ja oluliste üksuste ning domeeninime registreerimise teenuseid osutavate üksuste kohta, kelle suhtes direktiivi kohaldatakse. Vastavalt artikli 27 lõikele 2 nõuavad liikmesriigid kõnealuse direktiivi artikli 27 lõikes 1 osutatud üksustelt teatava teabe esitamist pädevatele asutustele. Nende sätete eesmärk on tagada selge ülevaade direktiivi (EL) 2022/2555 kohaldamisalasse kuuluvatest üksustest, et toetada selle kohaldamisalasse kuuluvate elutähtsate ja oluliste üksuste järelevalvet, ning seega ei tuleks neid sätteid kohaldada selliste üksuste suhtes, kelle suhtes kohaldatakse küberturvalisuse riskijuhtimis- ja teatamisnõuete osas mõnd valdkondlikku liidu õigusakti. See ei takista liikmesriike selliseid üksuseid loetellu lisamast. Vastavalt direktiivi (EL) 2022/2555 artikli 20 lõikele 1 peavad elutähtsate ja oluliste üksuste juhtorganid kiitma heaks küberturvalisuse riskimeetmed, mida nimetatud üksused on võtnud artikli 21 järgimiseks, jälgivad nende rakendamist ning neid üksusi võib võtta vastutusele kõnealuse artikli rikkumise eest. Vastavalt nimetatud direktiivi artikli 20 lõikele 2 tagavad liikmesriigid, et elutähtsate ja oluliste üksuste juhtorganite liikmed on kohustatud läbima korrapäraselt erikoolitusi, ning ergutavad elutähtsaid ja olulisi üksusi pakkuma sarnaseid koolitusi korrapäraselt oma töötajatele, et nad saaksid omandada piisavad teadmised ja oskused, et mõista ja hinnata küberturvalisuse riske ja nende juhtimise tavasid ning nendest tulenevat mõju üksuse osutatavatele teenustele. Direktiivi (EL) 2022/2555 artiklist 20 tulenevad kohustused on olemuslikult seotud sama direktiivi artikli 21 nõuetega ning seega ei tuleks artiklit 20 kohaldada juhul, kui küberturvalisuse riskijuhtimisnõuete suhtes kohaldatakse valdkondlikke liidu õigusakte nimetatud direktiivi artikli 4 tähenduses.

---

(1)   ELT L 333, 27.12.2022, lk 80.

(2)  Vt ka direktiivi (EL) 2022/2555 preambuli põhjendused 78, 81 ja 82.

(3)  Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiivi (EL) 2018/1972 (millega kehtestatakse Euroopa elektroonilise side seadustik) artikli 2 lõige 1 (ELT L 321, 17.12.2018, lk 36).

(4)  Vt direktiivi (EL) 2022/2555 preambuli põhjendus 79.

(5)  Vt „Mittesiduvad kriteeriumid Euroopa Liidu toimimise lepingu artiklite 290 ja 291 kohaldamiseks“, jaotis D „Alusakti rakendavad täiendavad õigusnormid“, 18. juuni 2019 (ELT C 223, 3.7.2019, lk. 1).

(6)  Vt „Mittesiduvad kriteeriumid Euroopa Liidu toimimise lepingu artiklite 290 ja 291 kohaldamiseks“, jaotis D „Alusakti rakendavad täiendavad õigusnormid“, 18. juuni 2019 (ELT C 223, 3.7.2019, lk. 1).

(7)  Vt direktiivi (EL) 2022/2555 preambuli põhjendus 101.

Nõukogu otsuse 2011/235/ÜVJP (1) (teatavate isikute ja üksuste vastu suunatud piiravate meetmete kohta seoses olukorraga Iraanis, mida rakendatakse nõukogu rakendusotsusega (ÜVJP) 2023/1780 (2)) lisas ning nõukogu määruse (EL) nr 359/2011 (3) (mis käsitleb teatavate isikute, üksuste ja asutuste vastu suunatud piiravaid meetmeid seoses olukorraga Iraanis ning mida rakendatakse nõukogu rakendusmäärusega (EL) 2023/1779 (4)) I lisas loetletud isikutele ja üksustele tehakse teatavaks järgmine teave.

Euroopa Liidu Nõukogu on otsustanud, et need isikud ja üksused tuleks lisada selliste isikute ja üksuste nimekirja, kelle suhtes kohaldatakse piiravaid meetmeid, mis on sätestatud otsuses 2011/235/ÜVJP ja määruses (EL) nr 359/2011.

Asjaomaste isikute ja üksuste tähelepanu juhitakse võimalusele taotleda asjaomase liikmesriigi või asjaomaste liikmesriikide pädevatelt asutustelt, kelle veebisaitide aadressid on toodud määruse (EL) nr 359/2011 II lisas, luba külmutatud rahaliste vahendite kasutamiseks põhivajaduste rahuldamiseks või erimaksete tegemiseks (vt määruse artikkel 4).

Asjaomased isikud ja üksused võivad esitada nõukogule enne 1. jaanuari 2024 koos täiendavate dokumentidega taotluse, et otsus nende kandmise kohta eespool nimetatud loetellu uuesti läbi vaadataks, saates taotluse järgmisel aadressil:

Council of the European Union

General Secretariat

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

E-post: sanctions@consilium.europa.eu

Samuti juhitakse asjaomaste isikute ja üksuste tähelepanu võimalusele vaidlustada nõukogu otsus Euroopa Liidu Üldkohtus Euroopa Liidu toimimise lepingu artikli 275 teises lõigus ning artikli 263 neljandas ja kuuendas lõigus sätestatud tingimuste kohaselt.

---

(1)   ELT L 100, 14.4.2011, lk 51.

(2)   ELT L 228 I, 15.9.2023, lk. 6.

(3)   ELT L 100, 14.4.2011, lk 1.

(4)   ELT L 228 I, 15.9.2023, lk. 1.

Andmesubjektide tähelepanu juhitakse järgmisele teabele vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 2018/1725 (1) artiklile 16.

Töötlemistoimingu õigusliku aluse moodustavad nõukogu otsus 2011/235/ÜVJP (2), mida rakendatakse nõukogu rakendusotsusega (ÜVJP) 2023/1780, (3) ning nõukogu määrus (EL) nr 359/2011 (4), mida rakendatakse nõukogu rakendusmäärusega (EL) 2023/1779 (5).

Kõnealuse töötlemistoimingu vastutav töötleja on Euroopa Liidu Nõukogu, keda esindab nõukogu peasekretariaadi välissuhete peadirektoraadi (RELEX) peadirektor, ning töötlev talitus on peadirektoraadi RELEX üksus 1, kellega on võimalik ühendust võtta järgmisel aadressil:

Council of the European Union

General Secretariat

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

E-post: sanctions@consilium.europa.eu

Nõukogu andmekaitseametnikuga saab ühendust võtta järgmisel aadressil:

Andmekaitseametnik

data.protection@consilium.europa.eu

Töötlemistoimingu eesmärk on koostada ja ajakohastada loetelu isikutest, kelle suhtes kohaldatakse piiravaid meetmeid vastavalt otsusele 2011/235/ÜVJP, mida rakendatakse rakendusotsusega (ÜVJP) 2023/1780, ning määrusele (EL) nr 359/2011, mida rakendatakse rakendusmäärusega (EL) 2023/1779.

Andmesubjektid on füüsilised isikud, kes vastavad otsuses 2011/235/ÜVJP ja määruses (EL) nr 359/2011 kehtestatud kriteeriumidele.

Kogutud isikuandmed hõlmavad andmeid, mis on vajalikud asjaomase isiku õigeks tuvastamiseks, põhjendusi ja mis tahes muid loetellu kandmise põhjustega seotud andmeid.

Isikuandmete töötlemise õiguslikud alused on ELi lepingu artikli 29 alusel vastu võetud nõukogu otsused ning ELi toimimise lepingu artikli 215 alusel vastu võetud nõukogu määrused, millega kantakse loetellu füüsilised isikud (andmesubjektid) ning kehtestatakse varade külmutamine ja reisipiirangud.

Töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks kooskõlas määruse (EL) 2018/1725 artikli 5 lõike 1 punktiga a ning eespool nimetatud õigusaktides sätestatud vastutava töötleja õiguslikult siduvate kohustuste täitmiseks kooskõlas määruse (EL) 2018/1725 artikli 5 lõike 1 punktiga b.

Töötlemine on vajalik olulise avaliku huviga seotud põhjustel kooskõlas määruse (EL) 2018/1725 artikli 10 lõike 2 punktiga g.

Nõukogu võib saada andmesubjektide isikuandmeid liikmesriikidelt ja/või Euroopa välisteenistuselt. Isikuandmete vastuvõtjad on liikmesriigid, Euroopa Komisjon ja Euroopa välisteenistus.

Kõiki isikuandmeid, mida nõukogu töötleb seoses ELi autonoomsete piiravate meetmetega, säilitatakse 5 aastat alates hetkest, mil andmesubjekt eemaldatakse nende isikute loetelust, kelle suhtes kohaldatakse varade külmutamist, või alates hetkest, mil kõnealuse meetme kehtivus lõppeb, või, kui Euroopa Kohtule on esitatud hagi, siis kuni lõpliku kohtuotsuse tegemiseni. Nõukogu registreeritud dokumentides sisalduvaid isikuandmeid säilitab nõukogu avalikes huvides toimuva arhiveerimise eesmärgil määruse (EL) 2018/1725 artikli 4 lõike 1 punkti e tähenduses.

Nõukogul võib olla vaja vahetada andmesubjekti puudutavaid isikuandmeid kolmanda riigiga või rahvusvahelise organisatsiooniga seoses ÜRO kannete ülevõtmisega nõukogu poolt või seoses ELi piiravate meetmete poliitikat puudutava rahvusvahelise koostööga.

Kui kaitse piisavuse otsust ei ole tehtud või kui asjakohased kaitsemeetmed puuduvad, on isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise aluseks vastavalt määruse (EL) 2018/1725 artiklile 50 järgmised tingimused: edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel; edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Andmesubjekti isikuandmete töötlemine ei hõlma automatiseeritud otsuste tegemist.

Andmesubjektidel on õigus saada teavet ja tutvuda oma isikuandmetega. Neil on ka õigus lasta oma andmeid parandada ja täiendada. Teatud tingimustel on neil õigus paluda oma isikuandmed kustutada, õigus olla vastu nende töötlemisele või paluda töötlemise piiramist.

Andmesubjektid saavad neid õigusi kasutada, saates vastutavale töötlejale e-kirja koos koopiaga andmekaitseametnikule, nagu on osutatud eespool.

Andmesubjektid peavad oma taotlusele lisama isikusamasuse kinnitamiseks isikut tõendava dokumendi (ID-kaart või pass) koopia. Selles dokumendis peavad olema esitatud isikukood, väljaandjariik, kehtivusaeg, nimi, aadress ja sünnikuupäev. Kõik muud isikut tõendava dokumendi koopial esitatud andmed, näiteks foto või mis tahes isikutunnused, võib hägustada.

Andmesubjektidel on õigus esitada kaebus Euroopa Andmekaitseinspektorile kooskõlas määrusega (EL) 2018/1725 (edps@edps.europa.eu).

Enne kaebuse esitamist Euroopa Andmekaitseinspektorile on soovitav, et andmesubjektid võtaks kõigepealt lahenduse leidmiseks ühendust vastutava töötleja ja/või nõukogu andmekaitseametnikuga.

---

(1)   ELT L 295, 21.11.2018, lk 39.

(2)   ELT L 100, 14.4.2011, lk 51.

(3)   ELT L 228 I, 15.9.2023, lk 6.

(4)   ELT L 100, 14.4.2011, lk 1.

(5)   ELT L 228 I, 15.9.2023, lk 1.

Loa tühistamise otsus

Otsuse viide (2)	Otsuse kuupäev	Aine nimetus	Otsuse adressaat	Tühistatud kasutusala	Kehtetuks tunnistatud otsus	Otsuse põhjendused
C(2023) 6014	11. september 2023	Naatriumdikromaat EÜ nr: 234-190-3; CASi nr 10588-01-9 (veevaba); CASi nr 7789-12-0 (dihüdraat)	Gruppo Colle S.r.l., Via G. Di Vittorio 3/5, 59025 Usella, Cantagallo, Prato, Itaalia	Peitsina villa värvimisel tumedate värvidega	C(2017) 8331	Läbivaatamisaruandes ei tõendatud, et taotleja jaoks puuduvad sobivad alternatiivsed ained või tehnoloogiad, nagu sätestatud määruse (EÜ) nr 1907/2006 artikli 60 lõikes 4.

---

(1)   ELT L 396, 30.12.2006, lk 1.

(2)  Otsus on kättesaadav Euroopa Komisjoni veebisaidil aadressil: Authorisation (europa.eu).

1 euro =

	Valuuta	Kurss
USD	USA dollar	1,0658
JPY	Jaapani jeen	157,50
DKK	Taani kroon	7,4573
GBP	Inglise nael	0,85878
SEK	Rootsi kroon	11,8730
CHF	Šveitsi frank	0,9554
ISK	Islandi kroon	145,30
NOK	Norra kroon	11,4220
BGN	Bulgaaria leev	1,9558
CZK	Tšehhi kroon	24,496
HUF	Ungari forint	383,75
PLN	Poola zlott	4,6308
RON	Rumeenia leu	4,9698
TRY	Türgi liir	28,7513
AUD	Austraalia dollar	1,6498
CAD	Kanada dollar	1,4409
HKD	Hongkongi dollar	8,3416
NZD	Uus-Meremaa dollar	1,8008
SGD	Singapuri dollar	1,4524
KRW	Korea vonn	1 415,78
ZAR	Lõuna-Aafrika rand	20,2968
CNY	Hiina jüaan	7,7561
IDR	Indoneesia ruupia	16 379,21
MYR	Malaisia ringit	4,9922
PHP	Filipiini peeso	60,612
RUB	Vene rubla
THB	Tai baat	38,145
BRL	Brasiilia reaal	5,1860
MXN	Mehhiko peeso	18,2275
INR	India ruupia	88,6150

---

(1)   Allikas: EKP avaldatud viitekurss.

---

(1)   ELT L 24, 29.1.2004, lk 1 („ühinemismäärus“).

(2)   ELT C 366, 14.12.2013, lk 5.