(1)

Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 (4) tavoitteena oli kehittää kyberturvallisuusvalmiuksia kaikkialla unionissa, lieventää keskeisten palvelujen tarjoamiseen keskeisillä aloilla käytettäviin verkko- ja tietojärjestelmiin kohdistuvia uhkia ja varmistaa tällaisten palvelujen jatkuvuus poikkeamatilanteissa sekä tukea näin unionin turvallisuutta ja sen talouden ja yhteiskunnan tehokasta toimintaa.

(2)

Direktiivin (EU) 2016/1148 voimaantulon jälkeen unionin kyberresilienssin parantamisessa on edistytty merkittävästi. Mainitun direktiivin uudelleentarkastelu on osoittanut, että se on vauhdittanut institutionaalista ja sääntelyyn perustuvaa lähestymistapaa kyberturvallisuuteen unionissa ja tasoittanut tietä merkittävälle ajattelutavan muutokselle. Direktiivillä on varmistettu verkko- ja tietojärjestelmien turvallisuutta koskevien kansallisten kehysten täydentäminen määrittämällä kansalliset verkko- ja tietojärjestelmien turvallisuutta koskevat strategiat, luomalla kansallisia valmiuksia ja toteuttamalla sääntelytoimenpiteitä, jotka kattavat kunkin jäsenvaltion määrittämät keskeiset infrastruktuurit ja toimijat. Direktiivillä (EU) 2016/1148 on myös edistetty yhteistyötä unionin tasolla perustamalla erityinen yhteistyöryhmä ja tietoturvaloukkauksiin reagoivien ja niitä tutkivien kansallisten yksiköiden verkosto. Näistä saavutuksista huolimatta direktiivin (EU) 2016/1148 uudelleentarkastelussa on tullut esiin sisälähtöisiä puutteita, joiden vuoksi sillä ei kyetä tuloksekkaasti puuttumaan nykyisiin ja esiin nouseviin kyberturvallisuushaasteisiin.

(3)

Verkko- ja tietojärjestelmät ovat kehittyneet arjen keskeiseksi osaksi yhteiskuntien digitalisaation ja verkottumisen edetessä nopeasti, myös rajatylittävässä yhteydenpidossa. Tämä kehitys on laajentanut kyberuhkaympäristöä ja tuonut mukanaan uusia haasteita, jotka edellyttävät mukautettuja, koordinoituja ja innovatiivisia hallintatoimia kaikissa jäsenvaltioissa. Poikkeamien määrä, laajuus, kehittyneisyys, esiintymistiheys ja vaikutukset lisääntyvät, ja ne muodostavat merkittävän uhkan verkko- ja tietojärjestelmien toiminnalle. Tämän seurauksena poikkeamat voivat haitata taloudellisen toiminnan harjoittamista sisämarkkinoilla, aiheuttaa taloudellisia tappioita, heikentää käyttäjien luottamusta ja aiheuttaa huomattavaa vahinkoa unionin taloudelle ja yhteiskunnalle. Kyberturvallisuusvalmius ja tehokas kyberturvallisuus ovat siksi nyt tärkeämpiä kuin koskaan sisämarkkinoiden moitteettoman toiminnan kannalta. Lisäksi kyberturvallisuus on monilla kriittisillä toimialoilla keskeinen tekijä, jotta digitaalinen siirtymä voidaan toteuttaa onnistuneesti ja digitalisaation taloudelliset, sosiaaliset ja kestävyysedut voidaan hyödyntää täysimääräisesti.

(4)

Direktiivin (EU) 2016/1148 oikeusperustana oli Euroopan unionin toiminnasta tehdyn sopimuksen 114 artikla, jonka tavoitteena on sisämarkkinoiden toteuttaminen ja toiminta tehostamalla toimenpiteitä kansallisten sääntöjen lähentämiseksi. Taloudellisesti merkittäviä palveluja tarjoaville tai taloudellisesti merkittävää toimintaa harjoittaville toimijoille asetetut kyberturvallisuusvaatimukset vaihtelevat huomattavasti jäsenvaltiosta toiseen vaatimusten tyypin, yksityiskohtaisuuden ja valvontamenetelmän osalta. Nämä erot aiheuttavat lisäkustannuksia ja vaikeuksia toimijoille, jotka tarjoavat tavaroita tai palveluja yli valtioiden rajojen. Tällaiseen rajatylittävään toimintaan voi merkittävästi vaikuttaa se, jos yhden jäsenvaltion asettamat vaatimukset eroavat toisen jäsenvaltion asettamista vaatimuksista tai ovat jopa ristiriidassa niiden kanssa. Jos kyberturvallisuusvaatimusten suunnittelu tai täytäntöönpano sattuu lisäksi olemaan jossain jäsenvaltiossa puutteellista, tämä todennäköisesti vaikuttaa kyberturvallisuuden tasoon muissa jäsenvaltioissa, erityisesti kun otetaan huomioon rajatylittävien yhteyksien määrä. Direktiivin (EU) 2016/1148 uudelleentarkastelu on osoittanut, että jäsenvaltiot ovat panneet sen täytäntöön hyvin eri tavoin, myös sen soveltamisalan osalta, jonka rajaaminen jätettiin suurelta osin jäsenvaltioiden harkintaan. Direktiivin (EU) 2016/1148 mukaan jäsenvaltioilla oli myös hyvin laaja harkintavalta päättää, miten ne panevat täytäntöön siinä säädetyt turvallisuutta ja poikkeamista raportointia koskevat velvoitteet. Niinpä näiden velvoitteiden täytäntöönpanossa kansallisella tasolla on merkittäviä eroja. Valvontaa ja täytäntöönpanoa koskevien direktiivin (EU) 2016/1148 säännösten täytäntöönpanossa on samankaltaisia eroja.

(5)

Kaikki nämä erot aiheuttavat sisämarkkinoiden pirstoutumista ja voivat haitata niiden toimintaa, mikä vaikuttaa erityisesti rajatylittävään palveluntarjontaan ja kyberresilienssin tasoon, kun käytössä on monenlaisia toimenpiteitä. Nämä erot saattavat viime kädessä lisätä joidenkin jäsenvaltioiden haavoittuvuutta kyberuhkille, millä voi olla heijastusvaikutuksia kaikkialla unionissa. Tällä direktiivillä pyritään poistamaan näitä jäsenvaltioiden välisiä suuria eroja erityisesti vahvistamalla vähimmäissäännöt koordinoidun sääntelykehyksen toiminnalle, vahvistamalla järjestelyt kunkin jäsenvaltion vastuuviranomaisten toimivaa yhteistyötä varten, ajantasaistamalla luettelo aloista ja toiminnoista, joihin sovelletaan kyberturvallisuusvelvoitteita, ja säätämällä tehokkaista oikeussuojakeinoista ja täytäntöönpanotoimenpiteistä, jotka ovat olennaisen tärkeitä velvoitteiden tehokkaan täytäntöönpanon kannalta. Sen vuoksi direktiivi (EU) 2016/1148 olisi kumottava ja korvattava tällä direktiivillä.

(6)

Kun direktiivi (EU) 2016/1148 kumotaan, toimialoittainen soveltamisala olisi laajennettava koskemaan suurempaa osaa taloudesta, jotta sen piiriin saadaan kaikki toimialat ja palvelut, jotka ovat elintärkeitä sisämarkkinoiden yhteiskunnallisten ja taloudellisten avaintoimintojen kannalta. Tällä direktiivillä pyritään erityisesti korjaamaan puutteet, jotka liittyvät keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien väliseen erotteluun, joka on osoittautunut vanhanaikaiseksi, koska se ei kuvasta toimialojen tai palvelujen merkitystä yhteiskunnalliselle ja taloudelliselle toiminnalle sisämarkkinoilla.

(7)

Direktiivin (EU) 2016/1148 mukaan oli jäsenvaltioiden tehtävä määrittää toimijat, jotka täyttävät kriteerit, joiden perusteella niitä voidaan pitää keskeisten palvelujen tarjoajina. Jotta voidaan poistaa asiaan liittyvät jäsenvaltioiden väliset suuret erot ja varmistaa oikeusvarmuus kaikkien asianomaisten toimijoiden kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden osalta, olisi vahvistettava yhdenmukainen kriteeri, jolla määritetään tämän direktiivin soveltamisalaan kuuluvat toimijat. Kriteerinä olisi sovellettava enimmäiskokoa koskevaa sääntöä, jonka mukaan direktiivin soveltamisalaan kuuluvat kaikki toimijat, jotka täyttävät komission suosituksen 2003/361/EY (5) liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset tai jotka ylittävät kyseisen artiklan 1 kohdassa säädetyt keskisuurten yritysten määrittelyssä käytettävät kynnysarvot ja jotka toimivat sellaisilla toimialoilla ja tarjoavat sellaisia palvelutyyppejä tai harjoittavat sellaista toimintaa, jotka kuuluvat tämän direktiivin soveltamisalaan. Jäsenvaltioiden olisi myös säädettävä, että tämän direktiivin soveltamisalaan kuuluvat sellaiset kyseisessä liitteessä olevan 2 artiklan 2 ja 3 kohdassa määritellyt pienet yritykset ja mikroyritykset, jotka täyttävät erityiset kriteerit, jotka osoittavat niiden olevan avainasemassa yhteiskunnassa, taloudessa tai tietyillä toimialoilla tai tietyissä palvelutyypeissä.

(8)

Julkishallinnon toimijoista olisi jätettävä tämän direktiivin soveltamisalan ulkopuolelle ne, jotka harjoittavat toimintaa pääasiassa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet. Niitä julkishallinnon toimijoita, joiden toiminta liittyy vain marginaalisesti mainittuihin aloihin, ei kuitenkaan olisi jätettävä tämän direktiivin soveltamisalan ulkopuolelle. Tätä direktiiviä sovellettaessa sääntelyvaltaa käyttävien toimijoiden ei katsota harjoittavan toimintaa lainvalvonnan alalla, joten niitä ei kyseisellä perusteella jätetä tämän direktiivin soveltamisalan ulkopuolelle. Julkishallinnon toimijat, jotka on perustettu yhdessä kolmannen maan kanssa kansainvälisen sopimuksen mukaisesti, eivät kuulu tämän direktiivin soveltamisalaan. Tätä direktiiviä ei sovelleta jäsenvaltioiden kolmansissa maissa sijaitseviin diplomaattisiin edustustoihin ja konsuliedustustoihin tai näiden verkko- ja tietojärjestelmiin, siltä osin kuin tällaiset järjestelmät sijaitsevat edustuston tiloissa tai niitä ylläpidetään kolmannessa maassa olevia käyttäjiä varten.

(9)

Jäsenvaltioiden olisi voitava toteuttaa tarvittavat toimenpiteet keskeisten kansalliseen turvallisuuteen liittyvien etujen suojaamiseksi, yleisen järjestyksen ja turvallisuuden takaamiseksi sekä rikosten ennalta estämisen, tutkimisen, paljastamisen ja rikoksiin liittyvien syytetoimien mahdollistamiseksi. Tätä varten jäsenvaltioiden olisi voitava vapauttaa erityiset toimijat, jotka harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet, tietyistä tässä direktiivissä säädetyistä velvoitteista mainituissa toiminnoissa. Jos toimija tarjoaa palveluja yksinomaan tämän direktiivin soveltamisalan kuulumattomalle julkishallinnon toimijalle, jäsenvaltioiden olisi voitava vapauttaa kyseinen toimija tässä direktiivissä säädetyistä velvoitteista mainituissa palveluissa. Mitään jäsenvaltiota ei myöskään pitäisi vaatia antamaan tietoja, joiden luovuttaminen olisi vastoin sen keskeisiä kansalliseen turvallisuuteen, yleiseen turvallisuuteen tai puolustukseen liittyviä etuja. Tässä yhteydessä olisi otettava huomioon turvallisuusluokiteltujen tietojen suojaamista koskevat unionin tai kansalliset säännöt, salassapitosopimukset ja epäviralliset salassapitosopimukset, kuten Traffic Light Protocol -käsittelyluokitus. Traffic Light Protocol -käsittelyluokitus on keino tiedottaa mahdollisista tietojen levittämiseen liittyvistä rajoituksista. Sitä käytetään lähes kaikissa tietoturvaloukkauksiin reagoivissa ja niitä tutkivissa yksiköissä (CSIRT) ja joissakin tietojen jakamisen ja analysoinnin keskuksissa.

(10)

Vaikka tätä direktiiviä sovelletaan toimijoihin, jotka toteuttavat ydinvoimaloiden sähköntuotantoon liittyviä toimintoja, jotkin kyseisistä toiminnoista voivat liittyä kansalliseen turvallisuuteen. Jos näin on, jäsenvaltion olisi voitava perussopimusten mukaisesti kantaa vastuunsa kansallisen turvallisuuden takaamisesta näiden toimintojen osalta, mukaan lukien ydinenergia-alan arvoketjuun kuuluvat toiminnot.

(11)

Jotkut toimijat toimivat kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet, ja tarjoavat lisäksi luottamuspalveluja. Luottamuspalvelun tarjoajien, jotka kuuluvat Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (6) soveltamisalaan, olisi kuuluttava tämän direktiivin soveltamisalaan, jotta voidaan varmistaa sama tietoturvavaatimusten ja valvonnan taso, josta on säädetty aiemmin kyseisessä asetuksessa luottamuspalvelun tarjoajien osalta. Samoin kuin tietyt erityispalvelut eivät kuulu asetuksen (EU) N:o 910/2014 soveltamisalaan, tätä direktiiviä ei pitäisi soveltaa sellaisten luottamuspalvelujen tarjoamiseen, joita käytetään yksinomaan kansallisesta oikeudesta tai määrätyn osallistujajoukon välisistä sopimuksista johtuvissa suljetuissa järjestelmissä.

(12)

Euroopan parlamentin ja neuvoston direktiivissä 97/67/EY (7) määriteltyjen postipalvelujen tarjoajien, myös kuriiripalvelujen tarjoajien, olisi kuuluttava tämän direktiivin soveltamisalaan, jos ne tarjoavat vähintään yhden postiketjun vaiheista, erityisesti postilähetysten keräilyn, lajittelun, kuljetuksen tai jakelun, mukaan lukien noutopalvelut, ja ottaen huomioon, missä määrin ne ovat riippuvaisia verkko- ja tietojärjestelmistä. Kuljetuspalvelut, jotka eivät koske jotain mainituista vaiheista, olisi jätettävä postipalvelujen määritelmän ulkopuolelle.

(13)

Koska kyberuhkat ovat yhä runsaslukuisempia ja kehittyneempiä, jäsenvaltioiden olisi pyrittävä varmistamaan, että tämän direktiivin soveltamisalaan kuulumattomat toimijat saavuttavat korkean tason kyberturvallisuudessa, ja tukemaan vastaavien kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanoa, joissa otetaan huomioon kyseisten toimijoiden toiminnan arkaluonteisuus.

(14)

Kaikkeen tämän direktiivin mukaiseen henkilötietojen käsittelyyn sovelletaan unionin tietosuojalainsäädäntöä ja yksityisyyden suojaa koskevaa unionin lainsäädäntöä. Tällä direktiivillä ei etenkään rajoiteta Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (8) ja Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (9) soveltamista. Tämä direktiivi ei sen vuoksi saisi vaikuttaa muun muassa niiden viranomaisten tehtäviin ja valtuuksiin, jotka ovat toimivaltaisia valvomaan sovellettavan unionin tietosuojalainsäädännön ja yksityisyyden suojaa koskevan unionin lainsäädännön noudattamista.

(15)

Kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden noudattamista varten tämän direktiivin soveltamisalaan kuuluvat toimijat olisi luokiteltava kahteen luokkaan, keskeisiin toimijoihin ja tärkeisiin toimijoihin, sen mukaan, kuinka kriittisiä ne ovat alallaan tai tarjoamansa palvelutyypin tarjoajina sekä kokonsa mukaan. Tältä osin olisi tapauksen mukaan otettava asianmukaisesti huomioon mahdolliset merkitykselliset alakohtaiset riskinarvioinnit tai toimivaltaisten viranomaisten antama ohjeistus. Näiden kahden toimijaluokan valvonta- ja täytäntöönpanojärjestelmät olisi eriytettävä, jotta varmistetaan oikeudenmukainen tasapaino yhtäältä riskiperusteisten vaatimusten ja velvoitteiden ja toisaalta sääntöjen noudattamisen valvonnasta aiheutuvan hallinnollisen rasitteen välillä.

(16)

Jottei toimijoita, joilla on omistusyhteysyrityksiä tai jotka ovat sidosyrityksiä, pidettäisi keskeisinä tai tärkeinä toimijoina tapauksissa, joissa se olisi suhteetonta, jäsenvaltiot voivat ottaa huomioon sen, kuinka riippumaton toimija on omistusyhteysyrityksistään tai sidosyrityksistään, sovellettaessa suosituksen 2003/361/EY liitteessä olevan 6 artiklan 2 kohtaa. Jäsenvaltiot voivat erityisesti ottaa huomioon sen seikan, että toimija ei ole riippuvainen omistusyhteys- tai sidosyrityksistään palvelujensa tarjoamiseen käyttämiensä verkko- ja tietojärjestelmien osalta ja tarjoamiensa palvelujen osalta. Tämän perusteella jäsenvaltiot voivat tarvittaessa katsoa, että tällainen toimija ei täytä suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaisia keskisuuria yrityksiä koskevia edellytyksiä tai että se ei ylitä kyseisen artiklan 1 kohdassa säädettyjä keskisuurten yritysten määrittelyssä käytettäviä kynnysarvoja, jos kyseisen toimijan ei olisi sen jälkeen, kun on otettu huomioon sen riippumattomuuden aste, katsottu täyttävän keskisuuria yrityksiä koskevia edellytyksiä tai ylittävän näitä kynnysarvoja, jos ainoastaan sen omat tiedot olisi otettu huomioon. Tämä ei vaikuta tämän direktiivin soveltamisalaan kuuluvien omistusyhteys- ja sidosyritysten tässä direktiivissä säädettyihin velvoitteisiin.

(17)

Jäsenvaltioiden olisi voitava päättää, että ne toimijat, jotka on ennen tämän direktiivin voimaantuloa määritetty keskeisten palvelujen tarjoajiksi direktiivin (EU) 2016/1148 mukaisesti, on katsottava keskeisiksi toimijoiksi.

(18)

Jotta voidaan saada selkeä yleiskuva tämän direktiivin soveltamisalaan kuuluvista toimijoista, jäsenvaltioiden olisi laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista. Tätä varten jäsenvaltioiden olisi vaadittava toimijoita toimittamaan toimivaltaisille viranomaisille ainakin seuraavat tiedot: toimijan nimi, osoite ja ajantasaiset yhteystiedot, mukaan lukien toimijan sähköpostiosoitteet, IP-osoitealueet ja puhelinnumerot ja tapauksen mukaan asiaankuuluva toimiala ja toimialan osa liitteiden mukaisesti sekä tapauksen mukaan luettelo jäsenvaltioista, joissa ne tarjoavat tämän direktiivin soveltamisalaan kuuluvia palveluja. Tätä varten komission olisi Euroopan unionin kyberturvallisuusviraston (ENISA) avustuksella ilman aiheetonta viivytystä annettava ohjeita ja malleja tietojen toimittamisvelvoitteen täyttämiseksi. Keskeisten ja tärkeiden toimijoiden sekä verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden luettelon laatimisen ja ajantasaistamisen helpottamiseksi jäsenvaltioiden olisi voitava perustaa kansallisia järjestelyjä, joiden ansiosta toimijat voivat itse kirjautua luetteloon. Jos kansallisella tasolla on olemassa rekistereitä, jäsenvaltiot voivat päättää asianmukaisista järjestelyistä, joiden avulla voidaan tunnistaa tämän direktiivin soveltamisalaan kuuluvat toimijat.

(19)

Jäsenvaltioiden olisi vastattava siitä, että komissiolle toimitetaan vähintään kunkin liitteissä mainitun toimialan ja toimialan osan keskeisten ja tärkeiden toimijoiden lukumäärä sekä asiaankuuluvat tiedot määritettyjen toimijoiden lukumäärästä ja siitä, mihin tämän direktiivin säännökseen kunkin toimijan määrittäminen perustuu, sekä niiden tarjoaman palvelun tyyppi. Jäsenvaltioita kannustetaan vaihtamaan komission kanssa tietoja keskeisistä ja tärkeistä toimijoista sekä laajamittaisen kyberturvallisuuspoikkeaman tapauksessa asiaankuuluvia tietoja, kuten asianomaisen toimijan nimi.

(20)

Komission olisi yhteistyössä yhteistyöryhmän kanssa ja asianomaisia sidosryhmiä kuultuaan annettava ohjeita mikroyrityksiin ja pieniin yrityksiin sovellettavien kriteerien käytöstä sen arvioimisessa, kuuluvatko ne tämän direktiivin soveltamisalaan. Komission olisi myös varmistettava, että tämän direktiivin soveltamisalaan kuuluville mikroyrityksille ja pienille yrityksille annetaan asianmukaista ohjeistusta. Komission olisi jäsenvaltioiden avustuksella asetettava asiaa koskevia tietoja mikroyritysten ja pienten yritysten saataville.

(21)

Komissio voisi antaa ohjeistusta avustaakseen jäsenvaltioita soveltamisalaa koskevien tämän direktiivin säännösten täytäntöönpanossa ja tämän direktiivin nojalla toteutettavien toimenpiteiden oikeasuhteisuuden arvioimisessa, erityisesti kun on kyse toimijoista, jotka kompleksisen liiketoimintamallinsa tai toimintaympäristönsä vuoksi voivat samanaikaisesti täyttää sekä keskeisille että tärkeille toimijoille asetetut kriteerit tai voivat samanaikaisesti harjoittaa toimintaa, josta osa kuuluu ja osa ei kuulu tämän direktiivin soveltamisalaan.

(22)

Tässä direktiivissä vahvistetaan kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden perustaso kaikilla direktiivin soveltamisalaan kuuluvilla toimialoilla. Jos pidetään tarpeellisena antaa täydentäviä kyberturvallisuusriskien hallintatoimenpiteisiin ja raportointivelvoitteisiin liittyviä alakohtaisia unionin säädöksiä kyberturvallisuuden korkean tason varmistamiseksi kaikkialla unionissa, komission olisi arvioitava, voitaisiinko tällaisia täydentäviä säännöksiä antaa täytäntöönpanosäädöksessä tämän direktiivin nojalla, jotta vältetään unionin säädösten kyberturvallisuussäännösten hajanaisuus. Jos tällainen täytäntöönpanosäädös ei sovi tähän tarkoitukseen, alakohtaisilla unionin säädöksillä voitaisiin edistää kyberturvallisuuden korkean tason varmistamista kaikkialla unionissa, samalla kun otetaan kaikilta osin huomioon asianomaisten toimialojen erityispiirteet ja kompleksisuus. Siksi tämä direktiivi ei estä hyväksymästä täydentäviä alakohtaisia unionin säädöksiä, jotka koskevat kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita ja joissa otetaan asianmukaisesti huomioon kattavan ja johdonmukaisen kyberturvallisuuskehyksen tarve. Tämä direktiivi ei vaikuta nykyiseen täytäntöönpanovaltaan, joka on siirretty komissiolle useilla aloilla, mukaan lukien liikenne ja energia.

(23)

Jos alakohtaisessa unionin säädöksessä on säännöksiä, joissa keskeisiä tai tärkeitä toimijoita vaaditaan ottamaan käyttöön kyberturvallisuusriskien hallintatoimenpiteitä tai ilmoittamaan merkittävistä poikkeamista, ja jos kyseiset vaatimukset ovat vaikutukseltaan vähintään tässä direktiivissä säädettyjä velvoitteita vastaavia, tällaisiin toimijoihin olisi sovellettava kyseisiä säännöksiä, mukaan lukien valvontaa ja täytäntöönpanoa koskevat säännökset. Jos alakohtainen unionin säädös ei kata tämän direktiivin soveltamisalaan kuuluvan tietyn toimialan kaikkia toimijoita, tämän direktiivin asiaankuuluvia säännöksiä olisi edelleen sovellettava niihin toimijoihin, joita mainittu säädös ei kata.

(24)

Jos alakohtaisen unionin säädöksen säännöksissä vaaditaan keskeisiä tai tärkeitä toimijoita noudattamaan raportointivelvoitteita, jotka ovat vaikutukseltaan vähintään tässä direktiivissä säädettyjä raportointivelvoitteita vastaavia, olisi varmistettava poikkeamailmoitusten käsittelyn johdonmukaisuus ja tehokkuus. Tätä varten poikkeamista ilmoittamiseen liittyvissä alakohtaisen unionin säädöksen säännöksissä olisi annettava tämän direktiivin mukaisille CSIRT-yksiköille, toimivaltaisille viranomaisille tai kyberturvallisuusalan keskitetyille yhteyspisteille, jäljempänä ’keskitetty yhteyspiste’, välitön pääsy alakohtaisen unionin säädöksen mukaisesti tehtyihin poikkeamailmoituksiin. Tällainen välitön pääsy voidaan varmistaa erityisesti, jos poikkeamailmoitukset toimitetaan ilman aiheetonta viivytystä eteenpäin tämän direktiivin mukaiselle CSIRT-yksikölle, toimivaltaiselle viranomaiselle tai keskitetylle yhteyspisteelle. Jäsenvaltioiden olisi tarvittaessa otettava käyttöön automaattinen ja suora raportointimekanismi, jolla varmistetaan tällaisten poikkeamailmoitusten käsittelyä koskevien tietojen järjestelmällinen ja välitön jakaminen CSIRT-yksiköiden, toimivaltaisten viranomaisten tai keskitettyjen yhteyspisteiden kanssa. Ilmoittamisen yksinkertaistamiseksi ja automaattisen ja suoran raportointimekanismin toteuttamiseksi jäsenvaltiot voisivat alakohtaisen unionin säädöksen mukaisesti käyttää keskitettyä asiointipistettä.

(25)

Alakohtaisissa unionin säädöksissä, joissa säädetään kyberturvallisuusriskien hallintatoimenpiteistä tai raportointivelvoitteista, jotka ovat vaikutukseltaan vähintään tässä direktiivissä säädettyjä toimenpiteitä ja velvoitteita vastaavia, voitaisiin säätää, että tällaisten säädösten mukaiset toimivaltaiset viranomaiset käyttävät näiden toimenpiteiden tai velvoitteiden valvonta- ja täytäntöönpanovaltuuksiaan tämän direktiivin mukaisten toimivaltaisten viranomaisten avustuksella. Kyseiset toimivaltaiset viranomaiset voisivat perustaa yhteistyöjärjestelyjä tätä tarkoitusta varten. Tällaisissa yhteistyöjärjestelyissä voitaisiin täsmentää muun muassa valvontatoimien koordinointia koskevat menettelyt, mukaan lukien kansallisen lainsäädännön mukaiset tutkintamenettelyt ja paikalla tehtävät tarkastukset sekä järjestely valvontaa ja täytäntöönpanoa koskevien asiaankuuluvien tietojen vaihtamiseksi toimivaltaisten viranomaisten välillä, myös pääsy tämän direktiivin mukaisten toimivaltaisten viranomaisten pyytämiin kyberturvallisuustietoihin.

(26)

Jos alakohtaisissa unionin säädöksissä vaaditaan toimijoita ilmoittamaan tai tarjotaan toimijoille kannustimia ilmoittaa merkittävistä kyberuhkista, jäsenvaltioiden olisi myös kannustettava merkittäviä kyberuhkia koskevien tietojen jakamiseen tämän direktiivin mukaisten CSIRT-yksiköiden, toimivaltaisten viranomaisten tai keskitettyjen yhteyspisteiden kanssa, jotta voidaan varmistaa kyseisten elinten parempi tietoisuus kyberuhkaympäristöstä ja antaa niille mahdollisuus reagoida tehokkaasti ja oikea-aikaisesti, jos merkittävät kyberuhkat toteutuvat.

(27)

Tulevissa alakohtaisissa unionin säädöksissä olisi otettava asianmukaisesti huomioon tässä direktiivissä säädetyt määritelmät ja valvonta- ja täytäntöönpanokehys.

(28)

Euroopan parlamentin ja neuvoston asetusta (EU) 2022/2554 (10) olisi pidettävä tähän direktiiviin liittyvänä alakohtaisena unionin säädöksenä finanssialan toimijoiden osalta. Asetuksen (EU) 2022/2554 säännöksiä, jotka koskevat tieto- ja viestintätekniikan (TVT) riskinhallintaa, TVT:hen liittyvien poikkeamien hallintaa ja erityisesti laajavaikutteisista TVT:hen liittyvistä poikkeamista raportointia, sekä sen säännöksiä digitaalisen häiriönsietokyvyn testauksesta, tiedonjakojärjestelyistä ja TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvistä riskeistä olisi sovellettava tämän direktiivin säännösten asemesta. Sen vuoksi jäsenvaltioiden ei pitäisi soveltaa tämän direktiivin säännöksiä, jotka koskevat kyberturvallisuusriskien hallintaa ja raportointivelvoitteita sekä valvontaa ja täytäntöönpanoa, asetuksen (EU) 2022/2554 soveltamisalaan kuuluviin finanssialan toimijoihin. Samalla tässä direktiivissä on tärkeää säilyttää vahva yhteys finanssialaan ja tietojenvaihto finanssialan kanssa. Tätä varten asetuksessa (EU) 2022/2554 annetaan Euroopan valvontaviranomaisille ja kyseisen asetuksen mukaisille toimivaltaisille viranomaisille mahdollisuus osallistua yhteistyöryhmän toimintaan sekä vaihtaa tietoja ja tehdä yhteistyötä keskitettyjen yhteyspisteiden sekä tämän direktiivin mukaisten CSIRT-yksiköiden ja toimivaltaisten viranomaisten kanssa. Asetuksen (EU) 2022/2554 mukaisten toimivaltaisten viranomaisten olisi myös toimitettava tiedot laajavaikutteisista TVT:hen liittyvistä poikkeamista ja tapauksen mukaan merkittävistä kyberuhkista tämän direktiivin mukaisille CSIRT-yksiköille, toimivaltaisille viranomaisille tai keskitetyille yhteyspisteille. Tämä voidaan toteuttaa tarjoamalla välitön pääsy poikkeamailmoituksiin ja toimittamalla ne eteenpäin joko suoraan tai poikkeamailmoituksia käsittelevän keskitetyn asiointipisteen kautta. Lisäksi jäsenvaltioiden olisi edelleen sisällytettävä finanssiala kyberturvallisuusstrategioihinsa, ja CSIRT-yksiköt voivat kattaa finanssialan toiminnassaan.

(29)

Jotta vältetään ilmailualan toimijoille asetettujen kyberturvallisuusvelvoitteiden väliset puutteet ja päällekkäisyydet, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 300/2008 (11) ja (EU) 2018/1139 (12) mukaisten kansallisten viranomaisten ja tämän direktiivin mukaisten toimivaltaisten viranomaisten olisi tehtävä yhteistyötä kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanon ja näiden toimenpiteiden noudattamisen kansallisen tason valvonnan osalta. Jos toimija täyttää asetuksissa (EY) N:o 300/2008 ja (EU) 2018/1139 sekä niiden nojalla hyväksytyissä asiaankuuluvissa delegoiduissa säädöksissä ja täytäntöönpanosäädöksissä säädetyt turvallisuusvaatimukset, tämän direktiivin mukaiset toimivaltaiset viranomaiset voivat katsoa sen täyttävän tässä direktiivissä säädetyt vastaavat vaatimukset.

(30)

Kyberturvallisuuden ja toimijoiden fyysisen turvallisuuden välisten yhteyksien vuoksi olisi varmistettava johdonmukainen lähestymistapa Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 (13) ja tämän direktiivin välillä. Tämän saavuttamiseksi direktiivin (EU) 2022/2557 nojalla kriittisiksi toimijoiksi määritettyjä toimijoita olisi pidettävä tämän direktiivin mukaisina keskeisinä toimijoina. Kunkin jäsenvaltion olisi myös varmistettava, että sen kansallinen kyberturvallisuusstrategia sisältää toimintakehyksen koordinoinnin tehostamiselle kyseisessä jäsenvaltioissa sen tämän direktiivin mukaisten toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten välillä, kun vaihdetaan tietoja riskeistä, kyberuhkista ja poikkeamista ja muista kuin kyberturvallisuuteen liittyvistä riskeistä, uhkista ja poikkeamista sekä hoidetaan valvontatehtäviä. Tämän direktiivin ja direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten olisi tehtävä yhteistyötä ja vaihdettava tietoja ilman aiheetonta viivytystä erityisesti kriittisten toimijoiden, riskien, kyberuhkien ja poikkeamien tunnistamisesta sekä kriittisiin toimijoihin vaikuttavista muista kuin kyberturvallisuuteen liittyvistä riskeistä, uhkista ja poikkeamista, mukaan lukien kriittisten toimijoiden toteuttamat kyberturvallisuustoimenpiteet ja fyysiset toimenpiteet sekä näitä toimijoita koskevien valvontatoimien tulokset.

Lisäksi jotta valvontatoimia voitaisiin virtaviivaistaa tämän direktiivin ja direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten kesken ja jotta asianomaisille toimijoille aiheutuva hallinnollinen rasite voitaisiin minimoida, kyseisten toimivaltaisten viranomaisten olisi pyrittävä yhdenmukaistamaan poikkeamailmoitusmallit ja valvontamenettelyt. Direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten olisi voitava tarvittaessa pyytää tämän direktiivin mukaisia toimivaltaisia viranomaisia käyttämään valvonta- ja täytäntöönpanovaltuuksiaan suhteessa toimijaan, joka on määritetty kriittiseksi toimijaksi direktiivin (EU) 2022/2557 nojalla. Tämän direktiivin ja direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten olisi tehtävä yhteistyötä ja vaihdettava tietoja, mahdollisuuksien mukaan reaaliaikaisesti, tätä tarkoitusta varten.

(31)

Digitaalisen infrastruktuurin toimialan toimijoiden toiminta perustuu olennaisesti verkko- ja tietojärjestelmiin, joten kyseisille toimijoille tämän direktiivin nojalla asetetuilla velvoitteilla olisi varmistettava kattavasti kyseisten järjestelmien fyysinen turvallisuus osana toimijoiden kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita. Koska näistä seikoista säädetään tässä direktiivissä, direktiivin (EU) 2022/2557 III, IV ja VI luvussa säädettyjä velvoitteita ei sovelleta näihin toimijoihin.

(32)

Luotettavan, häiriönsietokykyisen ja turvallisen verkkotunnusjärjestelmän (DNS) ylläpitäminen ja säilyttäminen ovat keskeisiä tekijöitä internetin eheyden säilymisen kannalta ja olennaisen tärkeitä internetin jatkuvalle ja vakaalle toiminnalle, mistä koko digitaalitalous ja -yhteiskunta ovat riippuvaisia. Sen vuoksi tätä direktiiviä olisi sovellettava aluetunnusrekistereihin ja DNS-palveluntarjoajiin, jotka on ymmärrettävä toimijoiksi, jotka tarjoavat yleisesti saatavilla olevia rekursiivisia verkkotunnusten selvityspalveluja internetin loppukäyttäjille tai auktoritatiivisia verkkotunnusten selvityspalveluja kolmansille osapuolille. Tätä direktiiviä ei pitäisi soveltaa juurinimipalvelimiin.

(33)

Pilvipalveluihin olisi luettava digitaaliset palvelut, jotka tarjoavat laajaan etäkäyttöön skaalattavan ja joustavan joukon jaettavissa olevia ja tarveperusteisesti ohjattavia tietoteknisiä resursseja, myös sijainniltaan hajautettuja resursseja. Tietoteknisiin resursseihin kuuluu esimerkiksi verkkoja, palvelimia ja muuta infrastruktuuria, käyttöjärjestelmiä, ohjelmistoja, tallennustilaa, sovelluksia ja palveluja. Pilvipalvelujen palvelumalleihin kuuluvat muun muassa infrastruktuuripalvelu (IaaS), alustapalvelu (PaaS), sovelluspalvelu (SaaS) ja tietoverkkopalvelu (NaaS). Pilvipalvelujen toimintamalleina olisi otettava huomioon yksityiset, yhteisövetoiset, julkiset ja hybridipilvipalvelut. Pilvipalvelujen palvelu- ja toimintamalleilla tarkoitetaan samaa kuin standardissa ISO/IEC 17788:2014 määritellyillä palvelu- ja toimintamalleilla. Pilvipalvelun käyttäjän kykyä käyttää yksipuolisesti ja oma-aloitteisesti tietojenkäsittelyvalmiuksia, kuten palvelinaikaa tai verkkotallennustilaa, ilman pilvipalveluntarjoajan inhimillistä panosta voitaisiin kuvata tarveperusteiseksi ohjaukseksi. Ilmaisua ’laaja etäkäyttö’ käytetään kuvaamaan sitä, että pilvipalveluresursseja tarjotaan verkossa ja niitä pääsee käyttämään erilaisten prosessointivalmiuksiltaan kevyiden tai raskaiden päätelaitteiden, kuten älypuhelinten, tablettitietokoneiden, kannettavien tietokoneiden ja työasemien, käytön mahdollistavien järjestelyjen ansiosta.

Ilmaisu ’skaalautuva’ viittaa tietoteknisiin resursseihin, joita pilvipalvelujen tarjoaja jakaa joustavasti resurssien maantieteellisestä sijainnista riippumatta kysynnän vaihtelun mukaan. Ilmaisua ’joustava joukko’ käytetään kuvaamaan tietoteknisiä resursseja, joita tarjotaan ja vapautetaan käyttöön kysynnän mukaan niin, että resursseja voidaan nopeasti lisätä ja vähentää kuormituksen perusteella. Ilmaisua ’jaettavissa oleva’ käytetään kuvaamaan tietoteknisiä resursseja, joita tarjotaan useille käyttäjille, joilla on yhteinen pääsy palveluun, jossa prosessointi on kuitenkin käyttäjäkohtaista, vaikka palvelu tarjotaan saman sähköisen laitteiston kautta. Ilmaisua ’hajautettu’ käytetään kuvaamaan tietoteknisiä resursseja, jotka sijaitsevat erillisissä verkotetuissa tietokoneissa tai laitteissa ja jotka viestivät ja koordinoivat toimintaansa keskenään rakenteisella viestinvaihdolla.

(34)

Innovatiivisten teknologioiden ja uusien liiketoimintamallien myötä sisämarkkinoille odotetaan tulevan uusia pilvipalvelujen palvelu- ja toimintamalleja, joilla vastataan asiakkaiden muuttuviin tarpeisiin. Pilvipalveluja voidaan tarjota pitkälle hajautetussa muodossa ja entistä lähempänä paikkaa, jossa dataa tuotetaan tai kerätään, jolloin siirrytään perinteisestä mallista pitkälle hajautettuun malliin (reunalaskentamalli).

(35)

Datakeskuspalvelujen tarjoajat eivät välttämättä aina tarjoa palvelujaan pilvipalveluna. Näin ollen datakeskukset eivät välttämättä aina ole osa pilvipalveluinfrastruktuuria. Kaikkien verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien riskien hallitsemiseksi tämän direktiivin olisi siksi katettava sellaisten datakeskuspalvelujen tarjoajat, jotka eivät ole pilvipalveluja. Tässä direktiivissä ’datakeskuspalvelulla’ olisi tarkoitettava sellaisen palvelun tarjoamista, joka käsittää rakenteita tai rakenteiden ryhmiä, jotka on tarkoitettu datan tallennus-, käsittely- ja siirtopalveluja tarjoavien tietoteknisten ja verkkolaitteiden keskitettyyn ylläpitoon, yhteenliittämiseen ja ohjaukseen yhdessä kaikkien tarvittavien sähkönjakeluun ja toimintaolosuhteiden säätelyyn tarkoitettujen laitteiden ja infrastruktuurien kanssa. Ilmaisua ’datakeskuspalvelu’ ei pitäisi käyttää toimijan omistamista ja omiin sisäisiin käyttötarkoituksiinsa operoimista datakeskuksista.

(36)

Tutkimustoiminnalla on keskeinen rooli uusien tuotteiden ja prosessien kehittämisessä. Monia näistä toiminnoista suorittavat toimijat, jotka jakavat, levittävät tai hyödyntävät tutkimustuloksiaan kaupallisiin tarkoituksiin. Nämä toimijat voivat näin ollen olla tärkeitä lenkkejä arvoketjuissa, minkä johdosta niiden verkko- ja tietojärjestelmien turvallisuus on erottamaton osa sisämarkkinoiden yleistä kyberturvallisuutta. Tutkimusorganisaatioihin olisi luettava toimijat, joiden toiminnasta olennainen osa on Taloudellisen yhteistyön ja kehityksen järjestön vuonna 2015 laaditussa, tutkimus- ja kehittämistoiminnan tietojen keräämis- ja raportointiohjeita koskevassa Frascati-käsikirjassa tarkoitettua soveltavaa tutkimusta tai kokeellista kehitystyötä, joiden tuloksia ne hyödyntävät kaupallisiin tarkoituksiin, kuten tuotteen valmistamiseen tai kehittämiseen tai prosessiin, palvelun tarjoamiseen tai sen markkinointiin.

(37)

Kasvavat keskinäiset riippuvuussuhteet ovat tulosta yhä useammin rajatylittävästä ja keskinäisriippuvaisesta verkostosta, jossa käytetään eri puolilla unionia sijaitsevia keskeisiä infrastruktuureja palveluntarjontaan energian, liikenteen, digitaalisen infrastruktuurin, juoma- ja jäteveden, terveyden ja julkishallinnon tiettyjen näkökohtien kaltaisilla aloilla sekä avaruustoiminnassa siinä määrin kuin on kyse sellaisten palvelujen tarjoamisesta, jotka ovat riippuvaisia joko jäsenvaltioiden tai yksityisten osapuolten omistamasta, hallinnoimasta ja operoimasta maassa sijaitsevasta infrastruktuurista, mihin ei näin ollen lueta infrastruktuuria, jonka unioni omistaa tai jota se hallinnoi tai operoi tai jota hallinnoidaan tai operoidaan sen puolesta osana sen avaruusohjelmaa. Näiden keskinäisriippuvuuksien vuoksi kaikilla häiriöillä, vaikka ne alun perin rajoittuisivatkin yhteen toimijaan tai yhteen toimialaan, voi olla laajempi, ketjureaktiona etenevä vaikutus, joka saattaa johtaa kauaskantoisiin ja pitkäkestoisiin kielteisiin vaikutuksiin palvelujen tarjontaan sisämarkkinoilla. Covid-19-pandemian aikana lisääntyneet kyberhyökkäykset ovat osoittaneet yhä voimakkaammin keskinäisriippuvaisten yhteiskuntiemme haavoittuvuuden kohdatessamme alhaisen todennäköisyyden riskejä.

(38)

Jotta voidaan ottaa huomioon kansallisten hallintorakenteiden erot ja säilyttää olemassa olevat alakohtaiset järjestelyt tai unionin valvonta- ja sääntelyelimet, jäsenvaltioiden olisi voitava nimetä tai perustaa yksi tai useampi toimivaltainen viranomainen, joka vastaa kyberturvallisuudesta ja tämän direktiivin mukaisista valvontatehtävistä.

(39)

Viranomaisten välisen rajatylittävän yhteistyön ja viestinnän helpottamiseksi ja tämän direktiivin tehokkaan täytäntöönpanon mahdollistamiseksi kunkin jäsenvaltion olisi nimettävä keskitetty yhteyspiste, joka vastaa verkko- ja tietojärjestelmien turvallisuuteen ja rajatylittävään yhteistyöhön liittyvien kysymysten koordinoinnista unionin tasolla.

(40)

Keskitettyjen yhteyspisteiden olisi varmistettava tehokas rajatylittävä yhteistyö muiden jäsenvaltioiden asiaankuuluvien viranomaisten ja tarvittaessa komission ja ENISAn kanssa. Keskitetyille yhteyspisteille olisi sen vuoksi annettava tehtäväksi toimittaa ilmoitukset merkittävistä poikkeamista, joilla on rajatylittäviä vaikutuksia, eteenpäin niiden muiden jäsenvaltioiden keskitetyille yhteyspisteille, joihin poikkeama vaikuttaa, CSIRT-yksikön tai toimivaltaisen viranomaisen pyynnöstä. Kansallisella tasolla keskitettyjen yhteyspisteiden olisi mahdollistettava sujuva toimialarajat ylittävä yhteistyö muiden toimivaltaisten viranomaisten kanssa. Keskitetyt yhteyspisteet voisivat myös olla asetuksen (EU) 2022/2554 mukaisten toimivaltaisten viranomaisten toimittamien, finanssialan yhteisöjä koskevia poikkeamia koskevien asiaankuuluvien tietojen vastaanottajia, ja niiden olisi voitava tarvittaessa toimittaa nämä tiedot eteenpäin tämän direktiivin mukaisille CSIRT-yksiköille tai toimivaltaisille viranomaisille.

(41)

Jäsenvaltioilla olisi oltava käytössään riittävät sekä tekniset että organisatoriset valmiudet, jotta voidaan ehkäistä, havaita ja hallita poikkeamia ja riskejä sekä lieventää niiden vaikutuksia. Jäsenvaltioiden olisi sen vuoksi perustettava tai nimettävä yksi tai useampi tämän direktiivin mukainen CSIRT-yksikkö ja varmistettava, että niillä on riittävät resurssit ja tarvittavat tekniset valmiudet. CSIRT-yksiköiden olisi täytettävä tässä direktiivissä säädetyt vaatimukset, jotta voidaan taata tehokkaat ja yhteensopivat valmiudet käsitellä poikkeamia ja riskejä ja varmistaa tehokas yhteistyö unionin tasolla. Jäsenvaltioiden olisi voitavat nimetä CSIRT-yksiköiksi olemassa olevia tietotekniikan kriisiryhmiä (CERT). Toimijoiden ja CSIRT-yksiköiden välisen luottamuksen lujittamiseksi tapauksissa, joissa CSIRT on osa toimivaltaista viranomaista, jäsenvaltioiden olisi voitava harkita CSIRT-yksiköiden operatiivisten tehtävien, erityisesti tietojen jakamisen ja toimijoille annettavan tuen, erottamista toiminnallisesti toimivaltaisten viranomaisten valvontatoimista.

(42)

CSIRT-yksiköille annetaan tehtäväksi poikkeamien käsittely. Tämä edellyttää suurten tietomäärien käsittelyä, ja nämä tiedot ovat toisinaan arkaluonteisia. Jäsenvaltioiden olisi varmistettava, että CSIRT-yksiköillä on infrastruktuuri tietojen jakamiseen ja käsittelyyn sekä hyvin varustettu henkilöstö, jotta voidaan varmistaa näiden yksiköiden toimintojen luottamuksellisuus ja luotettavuus. CSIRT-yksiköt voivat myös hyväksyä asiaa koskevia käytännesääntöjä.

(43)

Henkilötietojen osalta CSIRT-yksiköiden olisi voitava tarjota asetuksen (EU) 2016/679 mukaisesti keskeisen tai tärkeän toimijan pyynnöstä niiden verkko- ja tietojärjestelmien ennakoiva skannaus, joita kyseinen toimija käyttää palvelujensa tarjoamiseen. Jäsenvaltioiden olisi tapauksen mukaan pyrittävä varmistamaan, että kaikilla toimialakohtaisilla CSIRT-yksiköillä on yhtäläiset tekniset valmiudet. Jäsenvaltioiden olisi voitava pyytää ENISAa avustamaan CSIRT-yksiköidensä kehittämisessä.

(44)

CSIRT-yksiköiden olisi voitava keskeisen tai tärkeän toimijan pyynnöstä seurata toimijan internetiin yhteydessä olevia resursseja sekä tämän toimitiloissa että niiden ulkopuolella, jotta voidaan tunnistaa, ymmärtää ja hallita toimijan yleisiä organisaatioriskejä, jotka liittyvät äskettäin havaittuihin toimitusketjun vaarantumisiin tai kriittisiin haavoittuvuuksiin. Toimijaa olisi kannustettava ilmoittamaan CSIRT-yksikölle, onko sillä käytössä etuoikeutettu hallintarajapinta, koska tämä voi vaikuttaa siihen, miten nopeasti lieventäviä toimia voidaan toteuttaa.

(45)

Kun otetaan huomioon kyberturvallisuutta koskevan kansainvälisen yhteistyön tärkeys, CSIRT-yksiköiden olisi voitava osallistua kansainvälisiin yhteistyöverkostoihin tällä direktiivillä perustettavan CSIRT-verkoston lisäksi. Sen vuoksi CSIRT-yksiköiden ja toimivaltaisten viranomaisten olisi voitava tehtäviensä suorittamiseksi vaihtaa tietoja, myös henkilötietoja, kolmansien maiden tietoturvaloukkauksiin reagoivien ja niitä tutkivien kansallisten yksiköiden tai toimivaltaisten viranomaisten kanssa edellyttäen, että unionin tietosuojalainsäädännön mukaiset edellytykset henkilötietojen siirrolle kolmansiin maihin, muun muassa asetuksen (EU) 2016/679 49 artiklassa säädetyt edellytykset, täyttyvät.

(46)

On olennaisen tärkeää varmistaa riittävät resurssit tämän direktiivin tavoitteiden saavuttamiseksi ja sen mahdollistamiseksi, että toimivaltaiset viranomaiset ja CSIRT-yksiköt voivat suorittaa tässä säädetyt tehtävänsä. Jäsenvaltiot voivat ottaa kansallisella tasolla käyttöön rahoitusmekanismin, jolla katetaan tarpeelliset menot, jotka liittyvät kyberturvallisuudesta jäsenvaltiossa tämän direktiivin nojalla vastaavien julkisten toimijoiden tehtävien hoitamiseen. Tällaisen mekanismin olisi oltava unionin oikeuden mukainen, sen olisi oltava oikeasuhteinen ja syrjimätön, ja siinä olisi otettava huomioon erilaiset lähestymistavat turvallisten palvelujen tarjoamiseen.

(47)

CSIRT-verkoston olisi jatkossakin edistettävä luottamuksen vahvistumista sekä ripeää ja toimivaa operatiivista yhteistyötä jäsenvaltioiden välillä. Unionin tason operatiivisen yhteistyön parantamiseksi CSIRT-verkoston olisi harkittava kyberturvallisuuspolitiikkaan osallistuvien unionin elinten ja virastojen, kuten Europolin, kutsumista osallistumaan sen työhön.

(48)

Kyberturvallisuuden korkean tason saavuttamiseksi ja ylläpitämiseksi tässä direktiivissä edellytettävien kansallisten kyberturvallisuusstrategioiden olisi sisällettävä yhtenäinen kehys, jossa määritetään kyberturvallisuutta koskevat strategiset tavoitteet ja painopisteet ja hallintokehys niiden saavuttamiseksi. Nämä strategiat voivat koostua yhdestä tai useammasta lainsäädännöllisestä tai muusta välineestä.

(49)

Kyberhygieniaperiaatteet laskevat perustan toimille, joilla suojataan verkko- ja tietojärjestelmien infrastruktuuri, laitteistojen, ohjelmistojen ja verkkosovellusten turvallisuus sekä yritys- tai loppukäyttäjätiedot, joita toimijat hyödyntävät. Kyberhygieniaperiaatteet, joihin kuuluvat yhteiset perustason käytännöt, kuten ohjelmisto- ja laitteistopäivitykset, salasanojen vaihtaminen, uusien asennusten hallinta, ylläpitäjän käyttöoikeuksia edellyttävien tilien rajoittaminen ja tietojen varmuuskopiointi, tarjoavat ennakoivan kehyksen, jossa varautua poikkeamiin ja kyberuhkiin ja varmistaa yleinen turvallisuus niiden toteutuessa. ENISAn olisi seurattava ja analysoitava jäsenvaltioiden kyberhygieniaperiaatteita.

(50)

Kyberturvallisuustietoisuus ja kyberhygienia ovat olennaisen tärkeitä kyberturvallisuuden tason nostamiseksi unionissa, etenkin kun verkkoon liitettyjä laitteita on yhä enemmän ja niitä käytetään yhä useammin kyberhyökkäyksissä. Yleistä tietoisuutta tällaisiin laitteisiin liittyvistä riskeistä olisi pyrittävä lisäämään, ja unionin tason arvioinnit voisivat auttaa varmistamaan, että nämä riskit tiedostetaan yleisesti sisämarkkinoilla.

(51)

Jäsenvaltioiden olisi kannustettava käyttämään mitä tahansa innovatiivista teknologiaa, myös tekoälyä, jonka käyttö voisi parantaa kyberhyökkäysten havaitsemista ja ehkäisemistä ja mahdollistaa resurssien tehokkaamman kohdentamisen kyberhyökkäyksiin. Jäsenvaltioiden olisi sen vuoksi edistettävä kansallisissa kyberturvallisuusstrategioissaan tutkimus- ja kehitystoimia, joilla helpotetaan tällaisten teknologioiden, erityisesti automatisoituihin tai puoliautomaattisiin kyberturvallisuustyökaluihin liittyvien teknologioiden, käyttöä sekä tarvittaessa tällaisen teknologian käyttäjien kouluttamiseen ja sen parantamiseen tarvittavien tietojen jakamista. Käytettäessä mitä tahansa innovatiivista teknologiaa, myös tekoälyä, olisi noudatettava unionin tietosuojalainsäädäntöä ja tietosuojaperiaatteita, joita ovat tietojen täsmällisyys, tietojen minimointi, asianmukaisuus ja läpinäkyvyys, ja varmistettava tietoturva, esimerkiksi viimeisintä kehitystä edustavan salaustekniikan käyttäminen. Asetuksessa (EU) 2016/679 vahvistettuja sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia olisi hyödynnettävä täysimääräisesti.

(52)

Avoimen lähdekoodin kyberturvallisuustyökalut ja -sovellukset voivat osaltaan lisätä avoimuutta, ja niillä voi olla myönteinen vaikutus teollisen innovoinnin tehokkuuteen. Avoimet standardit helpottavat turvallisuustyökalujen yhteentoimivuutta, mikä edistää teollisuuden sidosryhmien turvallisuutta. Avoimen lähdekoodin kyberturvallisuustyökaluissa ja -sovelluksissa voidaan hyödyntää laajempaa kehittäjäyhteisöä, minkä ansiosta toimijat voivat monipuolistaa toimittajapohjaansa. Avoimen lähdekoodin käyttö voi tehdä kyberturvallisuustyökalujen varmennusprosessista läpinäkyvämmän ja haavoittuvuuksien havaitsemisesta yhteisövetoista. Jäsenvaltioiden olisi siksi voitava edistää avoimen lähdekoodin ohjelmistojen ja avointen standardien käyttöä toimintaperiaatteilla, jotka liittyvät avoimen datan ja avoimen lähdekoodin käyttöön osana avoimuuteen perustuvaa turvallisuutta. Toimintaperiaatteet, joilla edistetään avoimen lähdekoodin kyberturvallisuustyökalujen käyttöönottoa ja kestävää käyttöä, ovat erityisen tärkeitä pienille ja keskisuurille yrityksille, joille täytäntöönpanosta aiheutuu huomattavia kustannuksia, jotka voitaisiin minimoida vähentämällä erityisten sovellusten tai työkalujen tarvetta.

(53)

Julkiset laitokset liitetään kaupungeissa yhä useammin digitaalisiin verkkoihin, jotta voidaan parantaa kaupunkiliikenneverkkoja, vesihuoltoa ja jätehuoltoa sekä tehostaa valaistusta ja rakennusten lämmitystä. Nämä digitalisoidut laitokset ovat alttiita kyberhyökkäyksille ja saattavat kyberhyökkäyksen onnistuessa aiheuttaa kansalaisille suuren mittakaavan haittaa keskinäisten yhteyksiensä vuoksi. Jäsenvaltioiden olisi kehitettävä kansallisessa kyberturvallisuusstrategiassaan toimintaperiaatteita, joilla käsitellään tällaisten verkkoon liitettyjen eli älykkäiden kaupunkien kehittymistä ja niiden mahdollisia vaikutuksia yhteiskuntaan.

(54)

Kiristyshaittaohjelmahyökkäykset, joissa haittaohjelma salaa tietoja ja järjestelmiä ja vaatii lunnaita salauksen purkamisesta, ovat viime vuosina lisääntyneet unionissa räjähdysmäisesti. Kiristyshaittaohjelmahyökkäysten esiintymistiheyttä ja vakavuutta voivat lisätä useat tekijät, kuten erilaiset hyökkäyskuviot, ”kiristyshaittaohjelmapalveluun” ja kryptovaluuttoihin liittyvät rikolliset liiketoimintamallit, lunnasvaatimukset ja toimitusketjuun kohdistuvien hyökkäysten yleistyminen. Jäsenvaltioiden olisi kehitettävä kansallisissa kyberturvallisuusstrategioissaan toimintaperiaatteet, joilla puututaan kiristyshaittaohjelmahyökkäysten lisääntymiseen.

(55)

Julkisen ja yksityisen sektorin kyberturvallisuusalan kumppanuudet voivat tarjota tarkoituksenmukaiset puitteet osaamisen vaihdolle, parhaiden käytäntöjen jakamiselle ja yleisen tietoisuuden lisäämiselle sidosryhmien keskuudessa. Jäsenvaltioiden olisi edistettävä toimintaperiaatteita, joilla tuetaan julkisen ja yksityisen sektorin kyberturvallisuuskumppanuuksien perustamista. Näissä toimintaperiaatteissa olisi selvennettävä muun muassa soveltamisala, mukana olevat sidosryhmät, hallintomalli, käytettävissä olevat rahoitusvaihtoehdot ja osallistuvien sidosryhmien vuorovaikutus julkisen ja yksityisen sektorin kumppanuuksien kanssa. Julkisen ja yksityisen sektorin kumppanuudet voivat hyödyntää yksityisen sektorin toimijoiden asiantuntemusta auttaakseen toimivaltaisia viranomaisia kehittämään viimeisintä kehitystä edustavia palveluja ja prosesseja, muun muassa tietojenvaihdon, ennakkovaroitusten, kyberuhka- ja poikkeamaharjoitusten, kriisinhallinnan ja resilienssisuunnittelun aloilla.

(56)

Jäsenvaltioiden olisi käsiteltävä kansallisissa kyberturvallisuusstrategioissaan pienten ja keskisuurten yritysten erityisiä kyberturvallisuustarpeita. Pienten ja keskisuurten yritysten prosenttiosuus teollisen ja liiketoiminnan markkinoilla on suuri eri puolilla unionia, ja niillä on usein vaikeuksia mukautua uusiin liiketoimintakäytäntöihin yhä tiiviimpien yhteyksien maailmassa ja digitaaliseen toimintaympäristöön, jossa työntekijät työskentelevät kotoa käsin ja liiketoimintaa harjoitetaan yhä enemmän verkossa. Joillakin pienillä ja keskisuurilla yrityksillä on erityisiä kyberturvallisuushaasteita, kuten vähäinen kybertietoisuus, etätietoturvan puuttuminen, kyberturvallisuusratkaisujen korkeat kustannukset ja esimerkiksi kiristyshaittaohjelmista johtuva kohonnut uhkataso, minkä takia niiden olisi saatava ohjausta ja tukea. Pienet ja keskisuuret yritykset joutuvat yhä useammin toimitusketjuun kohdistuvien hyökkäysten kohteeksi, koska niiden kyberturvallisuusriskien hallintatoimenpiteet ja kyberhyökkäysten hallinta eivät ole yhtä kehittyneitä ja koska niillä on rajalliset turvallisuusresurssit. Tällaiset toimitusketjuun kohdistuvat hyökkäykset vaikuttavat yksittäisiin pieniin ja keskisuuriin yrityksiin ja niiden toimintoihin, mutta ne voivat myös laajentua ketjureaktiona sellaisiin toimijoihin kohdistuviksi hyökkäyksiksi, joiden toimittajia yritykset ovat. Jäsenvaltioiden olisi kansallisten kyberturvallisuusstrategioidensa välityksellä autettava pieniä ja keskisuuria yrityksiä vastaamaan toimitusketjujensa haasteisiin. Jäsenvaltioilla olisi oltava pieniä ja keskisuuria yrityksiä kansallisella tai alueellisella tasolla palveleva yhteyspiste, joka joko antaa ohjausta ja tukea pienille ja keskisuurille yrityksille tai ohjaa ne ottamaan yhteyttä asianmukaisiin elimiin, jotka antavat ohjausta ja tukea kyberturvallisuuteen liittyvissä kysymyksissä. Jäsenvaltioita kannustetaan myös tarjoamaan sellaisia palveluja kuin verkkosivuston konfigurointi ja lokikirjanpidon aktivointi mikroyrityksille ja pienille yrityksille, joilta puuttuvat tällaiset valmiudet.

(57)

Jäsenvaltioiden olisi otettava kansallisissa kyberturvallisuusstrategioissaan käyttöön toimintaperiaatteita, jotka koskevat aktiivisen kybersuojauksen edistämistä osana laajempaa puolustusstrategiaa. Reaktiivisen reagoinnin vastakohtana aktiivisella kybersuojauksella tarkoitetaan verkon tietoturvaloukkausten aktiivista ehkäisemistä, havaitsemista, seurantaa, analysointia ja lieventämistä, joihin yhdistyy valmiuksien käyttö hyökkäyksen uhriksi joutuneessa verkossa ja sen ulkopuolella. Tähän voisivat kuulua jäsenvaltioiden tietyille toimijoille maksutta tarjoamat palvelut tai työkalut, mukaan lukien itsepalveluna tehtävät tarkastukset, havaitsemisvälineet ja poistopalvelut. Kyky jakaa ja ymmärtää nopeasti ja automaattisesti uhkatietoja ja -analyyseja, kyberaktiivisuushälytyksiä ja hallintatoimia on ratkaisevan tärkeä, jotta mahdollistetaan toimien yhtenäisyys verkko- ja tietojärjestelmiin kohdistuvien hyökkäysten onnistunutta ehkäisemistä, havaitsemista, käsittelyä ja estämistä varten. Aktiivinen kybersuojaus perustuu puolustusstrategiaan, johon ei sisälly hyökkääviä toimenpiteitä.

(58)

Koska verkko- ja tietojärjestelmien haavoittuvuuksien hyödyntäminen voi aiheuttaa merkittäviä häiriöitä ja haittoja, tällaisten haavoittuvuuksien nopea tunnistaminen ja korjaaminen on tärkeä tekijä riskin vähentämisessä. Verkko- ja tietojärjestelmiä kehittävien tai hallinnoivien toimijoiden olisi sen vuoksi otettava käyttöön asianmukaiset menettelyt haavoittuvuuksien käsittelemiseksi, kun niitä havaitaan. Koska haavoittuvuuksia havaitsevat ja julkistavat usein kolmannet osapuolet, TVT-tuotteiden valmistajan tai TVT-palvelujen tarjoajan olisi myös otettava käyttöön tarvittavat menettelyt haavoittuvuustietojen saamiseksi kolmansilta osapuolilta. Tältä osin kansainvälisissä standardeissa ISO/IEC 30111 ja ISO/IEC 29147 annetaan ohjeita haavoittuvuuksien käsittelystä ja haavoittuvuuksien julkistamisesta. On erityisen tärkeää lujittaa toimien koordinointia raportoivien luonnollisten henkilöiden ja oikeushenkilöiden ja TVT-tuotteiden tai TVT-palvelujen valmistajien tai tarjoajien välillä, jotta voidaan edistää haavoittuvuuksien julkistamisen vapaaehtoista kehystä. Koordinoitu haavoittuvuuksien julkistaminen on jäsennelty prosessi, jossa haavoittuvuuksista ilmoitetaan mahdollisesti haavoittuvien TVT-tuotteiden tai TVT-palvelujen valmistajalle tai tarjoajalle, jotta se voi diagnosoida haavoittuvuuden ja korjata sen ennen kuin yksityiskohtaiset haavoittuvuustiedot julkistetaan kolmansille osapuolille tai yleisölle. Koordinoituun haavoittuvuuksien julkistamiseen olisi kuuluttava myös haavoittuvuuksien korjaamisen ja julkistamisen aikataulua koskeva raportoivan luonnollisen henkilön tai oikeushenkilön ja mahdollisesti haavoittuvien TVT-tuotteiden tai TVT-palvelujen valmistajan tai tarjoajan välinen yhteensovittaminen.

(59)

Komission, ENISAn ja jäsenvaltioiden olisi edelleen edistettävä mukautumista kansainvälisiin standardeihin ja toimialan nykyisiin parhaisiin käytäntöihin kyberturvallisuusriskien hallinnan alalla, esimerkiksi toimitusketjujen turvallisuusarvioinneissa, tietojenvaihdossa ja haavoittuvuuksien julkistamisessa.

(60)

Jäsenvaltioiden olisi yhteistyössä ENISAn kanssa toteutettava toimenpiteitä koordinoidun haavoittuvuuksien julkistamisen helpottamiseksi laatimalla asiaa koskevat kansalliset toimintaperiaatteet. Jäsenvaltioiden olisi kansallisissa toimintaperiaatteissaan pyrittävä mahdollisuuksien mukaan ratkaisemaan haavoittuvuuksia tutkivien kohtaamat haasteet, myös rikosoikeudelliseen vastuuseen joutumisen mahdollisuus, kansallisen lainsäädäntönsä mukaisesti. Koska haavoittuvuuksia tutkivat luonnolliset henkilöt ja oikeushenkilöt voisivat joissakin jäsenvaltioissa joutua rikosoikeudelliseen ja siviilioikeudelliseen vastuuseen, jäsenvaltioita kannustetaan antamaan ohjeita tietoturvaa tutkivien syyttämättä jättämisestä ja vapauttamisesta siviilioikeudellisesta vastuusta niiden toiminnan osalta.

(61)

Jäsenvaltioiden olisi nimettävä yksi CSIRT-yksiköistään koordinaattoriksi, joka toimii tarvittaessa luotettuna välittäjänä raportoivien luonnollisten henkilöiden tai oikeushenkilöiden ja sellaisten TVT-tuotteiden tai TVT-palvelujen valmistajien tai tarjoajien, joihin haavoittuvuus todennäköisesti vaikuttaa, välillä. Koordinaattoriksi nimetyn CSIRT-yksikön tehtäviin olisi kuuluttava asianomaisten toimijoiden tunnistaminen ja yhteyden ottaminen niihin, haavoittuvuudesta ilmoittavien luonnollisten henkilöiden tai oikeushenkilöiden avustaminen, julkistamisen aikataulusta neuvotteleminen ja useisiin toimijoihin vaikuttavien haavoittuvuuksien hallinta (monenvälinen koordinoitu haavoittuvuuden julkistaminen). Jos ilmoitetulla haavoittuvuudella voi olla merkittävä vaikutus useamman kuin yhden jäsenvaltion toimijoihin, koordinaattoriksi nimettyjen CSIRT-yksiköiden olisi tarvittaessa tehtävä yhteistyötä CSIRT-verkostossa.

(62)

Nopea paikkansapitävien tietojen saanti TVT-tuotteisiin ja TVT-palveluihin vaikuttavista haavoittuvuuksista parantaa kyberturvallisuusriskien hallintaa. Julkisesti saatavilla olevat haavoittuvuuksia koskevat tietolähteet ovat tärkeä apuväline toimijoille ja niiden palvelujen käyttäjille mutta myös toimivaltaisille viranomaisille ja CSIRT-yksiköille. Tästä syystä ENISAn olisi perustettava Euroopan haavoittuvuustietokanta, johon toimijat riippumatta siitä, kuuluvatko ne tämän direktiivin soveltamisalaan, ja niiden verkko- ja tietojärjestelmien toimittajat sekä toimivaltaiset viranomaiset ja CSIRT-yksiköt voivat vapaaehtoisesti ilmoittaa ja kirjata julkisesti tiedossa olevia haavoittuvuuksia, jotta käyttäjät voivat toteuttaa asianmukaisia lieventäviä toimenpiteitä. Tietokannan tarkoituksena on ratkoa riskien unionin toimijoille aiheuttamia ainutlaatuisia haasteita. ENISAn olisi lisäksi otettava käyttöön julkistamisprosessia koskeva asianmukainen menettely, jotta toimijoilla on aikaa toteuttaa haavoittuvuuksiaan lieventäviä toimenpiteitä, ja sovellettava viimeisintä kehitystä edustavia kyberturvallisuusriskien hallintatoimenpiteitä sekä käytettävä koneluettavia tietoaineistoja ja vastaavia rajapintoja. Jotta voidaan edistää toimintakulttuuria, jossa haavoittuvuudet julkistetaan, julkistamisesta ei saisi aiheutua haittaa raportoivalle luonnolliselle henkilölle tai oikeushenkilölle.

(63)

Vaikka vastaavia haavoittuvuusrekistereitä tai -tietokantoja on olemassa, niitä hallinnoivat ja ylläpitävät tahot, jotka eivät ole sijoittautuneet unioniin. ENISAn ylläpitämä Euroopan haavoittuvuustietokanta lisäisi julkistamisprosessin läpinäkyvyyttä ennen haavoittuvuuden julkistamista yleisölle ja häiriönsietokykyä tilanteissa, joissa samankaltaisten palvelujen tarjonta häiriintyy tai keskeytyy. Jotta voidaan mahdollisimman pitkälle välttää toimien päällekkäisyyttä ja lisätä täydentävyyttä, ENISAn olisi tutkittava mahdollisuutta tehdä sopimuksia jäsennellystä yhteistyöstä kolmannen maan lainkäyttövaltaan kuuluvien vastaavien rekisterien tai tietokantojen kanssa. ENISAn olisi erityisesti tutkittava mahdollisuutta tehdä tiivistä yhteistyötä CVE-järjestelmän (Common Vulnerabilities and Exposures, tunnetut haavoittuvuudet ja tietoturvapuutteet) ylläpitäjien kanssa.

(64)

Yhteistyöryhmän olisi tuettava ja helpotettava strategista yhteistyötä ja tietojenvaihtoa sekä vahvistettava jäsenvaltioiden keskinäistä luottamusta. Yhteistyöryhmän olisi laadittava joka toinen vuosi työohjelma. Työohjelman olisi sisällettävä toimet, jotka yhteistyöryhmän on määrä toteuttaa tavoitteidensa saavuttamiseksi ja tehtäviensä hoitamiseksi. Tämän direktiivin mukaisen ensimmäisen työohjelman aikataulu olisi sovitettava direktiivin (EU) 2016/1148 mukaisesti laaditun viimeisen työohjelman aikatauluun, jotta vältetään mahdolliset häiriöt yhteistyöryhmän työssä.

(65)

Laatiessaan ohjeasiakirjoja yhteistyöryhmän olisi säännönmukaisesti kartoitettava kansallisia ratkaisuja ja kokemuksia, arvioitava yhteistyöryhmän tulosten vaikutusta kansallisiin lähestymistapoihin, keskusteltava täytäntöönpanon haasteista ja laadittava erityisiä suosituksia etenkin siitä, miten voidaan helpottaa tämän direktiivin yhdenmukaista saattamista osaksi kansallista lainsäädäntöä jäsenvaltioissa, olemassa olevien sääntöjen täytäntöönpanon parantamiseksi. Yhteistyöryhmä voisi myös kartoittaa kansalliset ratkaisut edistääkseen kullakin toimialalla eri puolilla unionia sovellettavien kyberturvallisuusratkaisujen yhteensopivuutta. Tämä koskee varsinkin toimialoja, joilla toiminta on kansainvälistä tai rajatylittävää.

(66)

Yhteistyöryhmän olisi pysyttävä joustavana foorumina, ja sen olisi voitava reagoida muuttuviin ja uusiin poliittisiin painopisteisiin ja haasteisiin ottaen samalla huomioon käytettävissä olevat resurssit. Se voisi järjestää eri puolilta unionia tulevien asiaankuuluvien yksityisten sidosryhmien kanssa säännöllisiä yhteisiä kokouksia, joissa keskusteltaisiin yhteistyöryhmän toteuttamista toimista ja kerättäisiin tietoja ja näkemyksiä uusista toimintapoliittisista haasteista. Lisäksi yhteistyöryhmän olisi esitettävä säännöllisesti tilannearvio kyberuhkista tai poikkeamista, kuten kiristyshaittaohjelmista. Unionin tason yhteistyön tehostamiseksi yhteistyöryhmän olisi harkittava kyberturvallisuuspolitiikkaan osallistuvien asiaankuuluvien unionin toimielinten, elinten, laitosten ja virastojen, kuten Euroopan parlamentin, Europolin, Euroopan tietosuojaneuvoston, asetuksella (EU) 2018/1139 perustetun Euroopan unionin lentoturvallisuusviraston ja Euroopan parlamentin ja neuvoston asetuksella (EU) 2021/696 (14) perustetun Euroopan unionin avaruusohjelmaviraston, kutsumista osallistumaan sen työhön.

(67)

Jäsenvaltioiden keskinäisen yhteistyön parantamiseksi ja luottamuksen lujittamiseksi toimivaltaisten viranomaisten ja CSIRT-yksiköiden olisi voitava osallistua muiden jäsenvaltioiden virkamiesvaihtojärjestelmiin erityisjärjestelyjen mukaisesti ja kun tällaisiin vaihtojärjestelmiin osallistuville virkamiehille on tarpeen mukaan tehty vaadittava turvallisuusselvitys. Toimivaltaisten viranomaisten olisi toteutettava tarvittavat toimenpiteet, jotta muiden jäsenvaltioiden virkamiehet voivat tuloksekkaasti osallistua vastaanottavan toimivaltaisen viranomaisen tai vastaanottavan CSIRT-yksikön toimintaan.

(68)

Jäsenvaltioiden olisi osallistuttava komission suosituksessa (EU) 2017/1584 (15) esitetyn EU:n kyberturvallisuuden kriisinhallintakehyksen perustamiseen olemassa olevien yhteistyöverkostojen, erityisesti EU-CyCLONen, CSIRT-verkoston ja yhteistyöryhmän, välityksellä. Euroopan kyberkriisien yhteysorganisaatioiden verkoston (EU-CyCLONe) ja CSIRT-verkoston olisi tehtävä yhteistyötä sellaisten menettelytapajärjestelyjen pohjalta, joissa täsmennetään kyseisen yhteistyön yksityiskohdat, ja vältettävä tehtävien päällekkäisyyttä. EU-CyCLONen työjärjestyksessä olisi täsmennettävä tarkemmin verkoston toimintatavat, mukaan lukien verkoston roolit, yhteistyökeinot, vuorovaikutus muiden asiaankuuluvien toimijoiden kanssa ja tietojenvaihdon mallit sekä viestintäkeinot. Unionin tason kriisinhallinnassa asianomaisten osapuolten olisi hyödynnettävä EU:n poliittisen kriisitoiminnan integroituja järjestelyjä, joista säädetään neuvoston täytäntöönpanopäätöksessä (EU) 2018/1993 (16), jäljempänä ’IPCR-järjestelyt’. Komission olisi käytettävä tähän tarkoitukseen ARGUS-järjestelmän korkean tason monialaista kriisinkoordinointiprosessia. Jos kriisiin liittyy merkittävä ulkoinen tai yhteisen turvallisuus- ja puolustuspolitiikan ulottuvuus, olisi aktivoitava Euroopan ulkosuhdehallinnon kriisinhallintamekanismi.

(69)

Suosituksen (EU) 2017/1584 liitteen mukaisesti laajamittaisella kyberturvallisuuspoikkeamalla olisi tarkoitettava poikkeamaa, joka aiheuttaa niin laajan häiriön, ettei yksittäisellä jäsenvaltiolla ole valmiuksia hallita sitä, tai jolla on merkittävä vaikutus vähintään kahteen jäsenvaltioon. Laajamittaiset kyberturvallisuuspoikkeamat voivat aiheuttajasta ja vaikutuksista riippuen kärjistyä ja kehittyä todellisiksi kriiseiksi, jotka estävät sisämarkkinoiden moitteettoman toiminnan tai aiheuttavat vakavia yleiseen turvallisuuteen kohdistuvia riskejä toimijoille tai kansalaisille useissa jäsenvaltioissa tai koko unionissa. Kun otetaan huomioon tällaisten poikkeamien laaja vaikuttavuus ja useimmissa tapauksissa rajatylittävä luonne, jäsenvaltioiden ja asiaankuuluvien unionin toimielinten, elinten, laitosten ja virastojen olisi tehtävä yhteistyötä teknisellä, operatiivisella ja poliittisella tasolla, jotta eri puolilla unionia toteutettavia hallintatoimia voidaan koordinoida asianmukaisesti.

(70)

Toimialojen ja jäsenvaltioiden suuren keskinäisriippuvuuden vuoksi unionin tason laajamittaiset kyberturvallisuuspoikkeamat ja kriisit edellyttävät koordinoituja toimia nopeiden ja vaikuttavien hallintatoimien varmistamiseksi. Kyberresilienttien verkko- ja tietojärjestelmien saatavuus sekä datan saatavuus, luottamuksellisuus ja eheys ovat elintärkeitä unionin turvallisuuden kannalta ja sen kansalaisten, yritysten ja instituutioiden suojelemiseksi poikkeamilta ja kyberuhkilta ja jotta voidaan lujittaa yksilöiden ja organisaatioiden luottamusta unionin kykyyn edistää ja suojella maailmanlaajuista, avointa, vapaata, vakaata ja turvallista kybertoimintaympäristöä, joka perustuu ihmisoikeuksiin, perusvapauksiin, demokratiaan ja oikeusvaltioon.

(71)

EU-CyCLONen olisi toimittava teknisen ja poliittisen tason välisenä yhdyssiteenä laajamittaisten kyberturvallisuuspoikkeamien ja kriisien aikana, ja sen olisi tehostettava operatiivisen tason yhteistyötä ja tuettava poliittisen tason päätöksentekoa. EU-CyCLONen olisi hyödynnettävä CSIRT-verkoston havaintoja ja omia valmiuksiaan, kun se analysoi laajamittaisten kyberturvallisuuspoikkeamien ja kriisien vaikutuksia yhteistyössä komission kanssa ottaen huomioon komission kompetenssin kriisinhallinnan alalla.

(72)

Kyberhyökkäykset ovat luonteeltaan rajatylittäviä, ja merkittävä poikkeama voi häiritä ja vahingoittaa kriittisiä tietoinfrastruktuureja, joista sisämarkkinoiden moitteeton toiminta on riippuvainen. Suosituksessa (EU) 2017/1584 käsitellään kaikkien asianomaisten toimijoiden roolia. Komissio vastaa Euroopan parlamentin ja neuvoston päätöksellä N:o 1313/2013/EU (17) perustetun unionin pelastuspalvelumekanismin puitteissa yleisistä valmiustoimista, joihin kuuluvat hätäavun koordinointikeskuksen ja yhteisen hätäviestintä- ja tietojärjestelmän hallinnointi, tilannetietoisuus- ja -analyysivalmiuden ylläpito ja edelleen kehittäminen sekä valmiuksien luominen ja ylläpito niin, että voidaan koota ja lähettää paikan päälle asiantuntijaryhmiä, jos jäsenvaltio tai kolmas maa esittää avunpyynnön. Komissio vastaa lisäksi analyysiraporttien laatimisesta täytäntöönpanopäätöksen (EU) 2018/1993 mukaisia IPCR-järjestelyjä varten, mukaan lukien kyberturvallisuustilannekuva ja -valmiudet, sekä tilannekuvasta ja kriisitoiminnasta maatalouden, vaikeiden sääolojen, konfliktien kartoituksen ja ennustamisen, luonnonkatastrofeja koskevien ennakkovaroitusjärjestelmien, terveysuhkien, tartuntatautien seurannan, kasvien terveyden, kemiallisten vaaratilanteiden, elintarvikkeiden ja rehujen turvallisuuden, eläinten terveyden, muuttoliikkeen, tullin, ydinvoima- ja säteilyhätätilanteiden ja energian aloilla.

(73)

Unioni voi tarvittaessa tehdä Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan mukaisesti kolmansien maiden tai kansainvälisten järjestöjen kanssa kansainvälisiä sopimuksia, joilla mahdollistetaan ja järjestetään niiden osallistuminen tiettyihin yhteistyöryhmän, CSIRT-verkoston EU-CyCLONen toimintoihin. Tällaisilla sopimuksilla olisi varmistettava unionin edut ja riittävä tietosuoja. Tämä ei vaikuta jäsenvaltioiden oikeuteen tehdä kolmansien maiden kanssa yhteistyötä haavoittuvuuksien hallinnassa ja kyberturvallisuusriskien hallinnassa, jotta voidaan helpottaa raportointia ja yleistä tietojenvaihtoa unionin oikeuden mukaisesti.

(74)

Jotta voidaan helpottaa tässä direktiivissä säädettyjen, muun muassa haavoittuvuuksien hallintaa, kyberturvallisuusriskien hallintatoimenpiteitä, raportointivelvoitteita ja kyberturvallisuustietojen jakamisjärjestelyjä koskevien säännösten tehokasta täytäntöönpanoa, jäsenvaltiot voivat tehdä yhteistyötä kolmansien maiden kanssa ja toteuttaa tätä varten tarkoituksenmukaisina pitämiään toimia, jollaisia ovat esimerkiksi tietojen vaihto kyberuhkista, poikkeamista, haavoittuvuuksista, työkaluista ja menetelmistä, taktiikasta, tekniikoista ja menettelyistä, kyberturvallisuuskriisien hallintaan valmistautuminen ja kriisinhallintaharjoitukset, koulutus, luottamuksen lujittamistoimet ja jäsennellyt tiedonjakojärjestelyt.

(75)

Olisi otettava käyttöön vertaisarviointeja, jotta voidaan oppia yhteisistä kokemuksista, lujittaa keskinäistä luottamusta ja saavuttaa kyberturvallisuuden yhteinen korkea taso. Vertaisarvioinnit voivat tuottaa tulokseksi arvokkaita näkemyksiä ja suosituksia, joilla lujitetaan yleisiä kyberturvallisuusvalmiuksia, luodaan uusi toimintamalli parhaiden käytäntöjen jakamiselle jäsenvaltioiden kesken ja edistetään jäsenvaltioiden kyberturvallisuuden kehitystasoa. Vertaisarvioinneissa olisi myös otettava huomioon tulokset, joita on saatu vastaavista mekanismeista, kuten CSIRT-verkoston vertaisarviointijärjestelmästä, ja niissä olisi tuotettava lisäarvoa ja vältettävä päällekkäisyydet. Vertaisarviointien toteuttaminen ei saisi rajoittaa luottamuksellisten tai turvallisuusluokiteltujen tietojen suojaa koskevan unionin oikeuden tai kansallisen lainsäädännön soveltamista.

(76)

Yhteistyöryhmän olisi vahvistettava jäsenvaltioille itsearviointimenetelmät, joiden on tarkoitus kattaa sellaisia tekijöitä kuin kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden täytäntöönpanoaste, toimivaltaisten viranomaisten valmiuksien taso ja tuloksekkuus tehtäviensä hoidossa, CSIRT-yksiköiden operatiiviset valmiudet, keskinäisen avunannon toteutusaste, kyberturvallisuustietojen jakamisjärjestelyjen täytäntöönpanoaste taikka rajatylittävät tai useaa toimialaa koskevat erityiskysymykset. Jäsenvaltioita olisi kannustettava tekemään säännöllisesti itsearviointeja sekä esittelemään niiden tulokset ja keskustelemaan näistä yhteistyöryhmässä.

(77)

Vastuu verkko- ja tietojärjestelmän turvallisuuden varmistamisesta lankeaa suurelta osin keskeisille ja tärkeille toimijoille. Olisi edistettävä ja kehitettävä riskinhallintakulttuuria, johon sisältyy riskinarviointi ja riskeihin suhteutettujen kyberturvallisuusriskien hallintatoimenpiteiden toteuttaminen.

(78)

Kyberturvallisuusriskien hallintatoimenpiteissä olisi otettava huomioon se, missä määrin keskeinen tai tärkeä toimija on riippuvainen verkko- ja tietojärjestelmistä, ja niihin olisi sisällyttävä toimenpiteitä, joilla tunnistetaan poikkeamariskit, ehkäistään, havaitaan ja hallitaan poikkeamia, palaudutaan niistä ja lievennetään niiden vaikutuksia. Verkko- ja tietojärjestelmien turvallisuuden olisi katettava säilytettävien, siirrettävien ja käsiteltävien tietojen turvallisuus. Kyberturvallisuusriskien hallintatoimenpiteisiin olisi kuuluttava järjestelmäanalyysi, jossa otetaan huomioon inhimilliset tekijät, jotta saadaan täydellinen kuva verkko- ja tietojärjestelmän turvallisuudesta.

(79)

Koska verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien uhkien aiheuttajia on monenlaisia, kyberturvallisuusriskien hallintatoimenpiteiden olisi perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö sellaisilta tapahtumilta kuin varkaus, tulipalo, tulva, televiestintä- tai sähkökatko sekä luvattomalta fyysiseltä pääsyltä keskeisen tai tärkeän toimijan tietoihin tai tietojenkäsittely-ympäristöön ja niille aiheutuvalta vahingolta ja häirinnältä, jotka saattaisivat vaarantaa verkko- ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Kyberturvallisuusriskien hallintatoimenpiteillä olisi näin ollen varmistettava myös verkko- ja tietojärjestelmien fyysinen ja ympäristön turvallisuus sisällyttämällä niihin toimenpiteitä, joilla suojataan tällaiset järjestelmät järjestelmähäiriöiltä, inhimillisiltä virheiltä, vihamielisiltä teoilta tai luonnonilmiöiltä eurooppalaisten tai kansainvälisten standardien, kuten ISO/IEC 27000 -sarjaan kuuluvien standardien, mukaisesti. Tähän liittyen keskeisten ja tärkeiden toimijoiden olisi käsiteltävä kyberturvallisuusriskien hallintatoimenpiteissään myös henkilöstöturvallisuutta ja otettava käyttöön asianmukaiset pääsynhallintaperiaatteet. Näiden toimenpiteiden olisi oltava direktiivin (EU) 2022/2557 mukaisia.

(80)

Jotta voidaan näyttää toteen kyberturvallisuusriskien hallintatoimenpiteiden noudattaminen ja jos saatavilla ei ole Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 (18) mukaisesti hyväksyttyä asianmukaista eurooppalaista kyberturvallisuuden sertifiointijärjestelmää, jäsenvaltioiden olisi yhteistyöryhmää ja Euroopan kyberturvallisuuden sertifiointiryhmää kuullen edistettävä asiaa koskevien eurooppalaisten ja kansainvälisten standardien käyttöä keskeisten ja tärkeiden toimijoiden keskuudessa tai ne voivat vaatia toimijoita käyttämään sertifioituja TVT-tuotteita, TVT-palveluja ja TVT-prosesseja.

(81)

Jotta keskeisille ja tärkeille toimijoille ei aiheutuisi kohtuutonta taloudellista ja hallinnollista rasitetta, kyberturvallisuusriskien hallintatoimenpiteiden olisi oltava oikeassa suhteessa asianomaiselle verkko- ja tietojärjestelmälle aiheutuviin riskeihin ja niissä olisi otettava huomioon tällaisten toimenpiteiden viimeisin kehitys sekä tapauksen mukaan asiaa koskevat eurooppalaiset ja kansainväliset standardit ja niiden täytäntöönpanokustannukset.

(82)

Kyberturvallisuusriskien hallintatoimenpiteiden olisi oltava oikeassa suhteessa keskeisen tai tärkeän toimijan altistumiseen riskeille ja niihin yhteiskunnallisiin ja taloudellisiin vaikutuksiin, joita poikkeamalla olisi. Kun vahvistetaan keskeisille ja tärkeille toimijoille sovitettuja kyberturvallisuusriskien hallintatoimenpiteitä, olisi otettava asianmukaisesti huomioon keskeisten ja tärkeiden toimijoiden erilainen altistuminen riskeille, kuten toimijan kriittisyys, ne – myös yhteiskunnalliset – riskit, joille se altistuu, toimijan koko sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset.

(83)

Keskeisten ja tärkeiden toimijoiden olisi varmistettava toiminnassaan käyttämiensä verkko- ja tietojärjestelmien turvallisuus. Kyseiset järjestelmät ovat pääasiassa yksityisiä verkko- ja tietojärjestelmiä, joita hallinnoi keskeisen tai tärkeän toimijan oma tietotekniikkahenkilöstö tai joiden turvallisuuspalvelut on ulkoistettu. Tässä direktiivissä säädettyjä kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita olisi sovellettava asiaankuuluviin keskeisiin ja tärkeisiin toimijoihin riippumatta siitä, hoitavatko kyseiset toimijat verkko- ja tietojärjestelmiensä ylläpidon sisäisesti vai ovatko ne ulkoistaneet sen.

(84)

Kun otetaan huomioon DNS-palveluntarjoajien, aluetunnusrekisterien, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien, verkossa toimivien markkinapaikkojen tarjoajien, verkossa toimivien hakukoneiden tarjoajien ja verkkoyhteisöalustojen tarjoajien sekä luottamuspalvelun tarjoajien toiminnan rajatylittävä luonne, niihin olisi sovellettava unionin tasolla pitkälle yhdenmukaistettuja sääntöjä. Kyseisiä toimijoita koskevien kyberturvallisuusriskien hallintatoimenpiteiden toteuttamista olisi siksi helpotettava täytäntöönpanosäädöksellä.

(85)

On erityisen tärkeää puuttua riskeihin, jotka johtuvat toimijan toimitusketjusta ja suhteesta toimittajiinsa, kuten datan tallennus- ja käsittelypalvelujen tarjoajiin tai tietoturvapalveluntarjoajiin ja ohjelmistotoimittajiin, kun otetaan huomioon sellaisten poikkeamien yleisyys, jossa toimija on joutunut kyberhyökkäyksen uhriksi ja vihamieliset hyökkääjät ovat onnistuneet vaarantamaan toimijan verkko- ja tietojärjestelmien turvallisuuden hyödyntämällä kolmansien osapuolten tuotteisiin ja palveluihin vaikuttavia haavoittuvuuksia. Keskeisten ja tärkeiden toimijoiden olisi sen vuoksi arvioitava ja otettava huomioon toimittajiensa tuotteiden ja palveluntarjoajiensa palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet ja toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt, mukaan lukien tuotekehityksen suojausmenettelyt. Keskeisiä ja tärkeitä toimijoita olisi erityisesti kannustettava sisällyttämään kyberturvallisuusriskien hallintatoimenpiteitä sopimusjärjestelyihin, joita ne tekevät välittömien toimittajiensa ja palveluntarjoajiensa kanssa. Kyseiset toimijat voisivat käsitellä myös alemman tason toimittajistaan ja palveluntarjoajistaan johtuvia riskejä.

(86)

Palveluntarjoajista erityisen tärkeällä sijalla ovat muun muassa poikkeamanhallintaa, tunkeutumisenestotestausta, turvallisuusauditointeja ja konsultointia tarjoavat tietoturvapalveluntarjoajat, jotka avustavat toimijoita niiden pyrkiessä ehkäisemään, havaitsemaan ja hallitsemaan poikkeamia tai palautumaan niistä. Tietoturvapalveluntarjoajat ovat kuitenkin itsekin joutuneet kyberhyökkäysten kohteeksi, ja niiden tiivis integroituminen toimijoiden toimintoihin aiheuttaa erityisen riskin. Keskeisten ja tärkeiden toimijoiden olisi sen vuoksi noudatettava erityisen suurta huolellisuutta tietoturvapalveluntarjoajaa valitessaan.

(87)

Toimivaltaiset viranomaiset voivat hyödyntää valvontatehtävissään myös kyberturvallisuuspalveluja, kuten turvallisuusauditointeja, tunkeutumisenestotestausta ja poikkeamanhallintaa.

(88)

Keskeisten ja tärkeiden toimijoiden olisi puututtava myös riskeihin, jotka johtuvat niiden vuorovaikutuksesta ja suhteista muihin sidosryhmiin laajemmassa ekosysteemissä, myös teollisuusvakoilun torjumiseksi ja liikesalaisuuksien suojaamiseksi. Toimijoiden olisi erityisesti varmistettava asianmukaisin toimenpitein, että niiden yhteistyössä akateemisten laitosten ja tutkimuslaitosten kanssa noudatetaan toimijoiden kyberturvallisuusperiaatteita ja hyviä käytäntöjä, jotka koskevat yleensä tiedon suojattua saatavuutta ja levittämistä ja etenkin teollis- ja tekijänoikeuksien suojaa. Kun otetaan huomioon datan merkitys ja arvo keskeisten ja tärkeiden toimijoiden toiminnalle, kyseisten toimijoiden olisi samoin toteutettava kaikki asianmukaiset kyberturvallisuusriskien hallintatoimenpiteet hankkiessaan tietojen muuntamispalveluja ja data-analytiikkapalveluja kolmansilta osapuolilta.

(89)

Keskeisten ja tärkeiden toimijoiden olisi otettava käyttöön monenlaisia perustason kyberhygieniakäytäntöjä, kuten nollaluottamuksen periaate, ohjelmistopäivitykset, laitteiden konfigurointi, verkon segmentointi, identiteetin- ja pääsynhallinta ja käyttäjien tietoisuuden lisääminen, ja järjestettävä henkilöstölleen koulutusta kyberuhkista, verkkourkinnasta ja käyttäjän manipuloinnista. Kyseisten toimijoiden olisi lisäksi arvioitava omat kyberturvallisuusvalmiutensa ja tapauksen mukaan otettava käyttöön kyberturvallisuutta parantavia teknologioita, kuten tekoäly- tai koneoppimisjärjestelmiä, parantaakseen valmiuksiaan ja verkko- ja tietojärjestelmien turvallisuutta.

(90)

Jotta voidaan paremmin puuttua keskeisiin toimitusketjun riskeihin ja auttaa tämän direktiivin soveltamisalaan kuuluvien toimialojen keskeisiä ja tärkeitä toimijoita hallitsemaan asianmukaisesti toimitusketjuihin ja toimittajiin liittyviä riskejä, yhteistyöryhmän olisi yhteistyössä komission ja ENISAn kanssa ja kuultuaan tarvittaessa asiaankuuluvia sidosryhmiä, myös toimialan sidosryhmiä, suoritettava kriittisiä toimitusketjuja koskevia koordinoituja turvallisuusriskinarviointeja, jollaisia tehdään 5G-verkkojen osalta komission suosituksen (EU) 2019/534 (19) mukaisesti, jotta voidaan määrittää kullakin alalla kriittiset TVT-palvelut, TVT-järjestelmät tai TVT-tuotteet sekä kyseeseen tulevat uhkat ja haavoittuvuudet. Tällaisissa koordinoiduissa turvallisuusriskinarvioinneissa olisi yksilöitävä toimenpiteitä, lieventämissuunnitelmia ja parhaita käytäntöjä, joilla ehkäistään kriittisiä riippuvuuksia, mahdollisia koko toiminnan lamauttavia yksittäisiä vikaantumispisteitä, uhkia, haavoittuvuuksia ja muita toimitusketjuun liittyviä riskejä, ja niissä olisi selvitettävä keinoja kannustaa niiden laajempaan käyttöönottoon keskeisten ja tärkeiden toimijoiden keskuudessa. Mahdollisia muita kuin teknisiä riskitekijöitä, kuten se, että kolmas maa vaikuttaa sopimattomasti toimittajiin ja palveluntarjoajiin, erityisesti vaihtoehtoisten hallintomallien tapauksessa, ovat salatut haavoittuvuudet tai takaportit ja mahdolliset järjestelmätason toimitushäiriöt, etenkin jos on ajauduttu teknologialukkiutumaan tai toimittajariippuvuuteen.

(91)

Kriittisiä toimitusketjuja koskevissa koordinoiduissa turvallisuusriskinarvioinneissa olisi otettava asianomaisen toimialan erityispiirteiden perusteella huomioon sekä tekniset että tarvittaessa muut kuin tekniset tekijät, mukaan lukien suosituksessa (EU) 2019/534, 5G-verkkojen kyberturvallisuutta koskevassa koordinoidussa EU-tason riskinarvioinnissa ja yhteistyöryhmän hyväksymässä 5G-kyberturvallisuutta koskevassa EU:n välineistössä määritetyt tekijät. Koordinoitua turvallisuusriskinarviointia edellyttävien toimitusketjujen määrittämisessä olisi otettava huomioon seuraavat kriteerit: i) missä määrin keskeiset ja tärkeät toimijat käyttävät tiettyjä kriittisiä TVT-palveluja, TVT-järjestelmiä tai TVT-tuotteita ja ovat riippuvaisia niistä; ii) tiettyjen kriittisten TVT-palvelujen, TVT-järjestelmien tai TVT-tuotteiden merkitys kriittisten tai arkaluonteisten toimintojen suorittamisessa, myös henkilötietojen käsittelyssä; iii) vaihtoehtoisten TVT-palvelujen, TVT-järjestelmien tai TVT-tuotteiden saatavuus; iv) TVT-palvelujen, TVT-järjestelmien tai TVT-tuotteiden koko toimitusketjun häiriönsietokyky häiriötilanteissa niiden koko elinkaaren ajan; ja v) käyttöön tulevien uusien TVT-palvelujen, TVT-järjestelmien tai TVT-tuotteiden mahdollinen tuleva merkitys toimijoiden toiminnalle. Lisäksi olisi kiinnitettävä erityistä huomiota sellaisiin TVT-palveluihin, TVT-järjestelmiin tai TVT-tuotteisiin, joihin sovelletaan kolmansista maista johtuvia erityisvaatimuksia.

(92)

Jotta voidaan virtaviivaistaa yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajille ja luottamuspalvelun tarjoajille asetettuja velvoitteita, jotka liittyvät niiden verkko- ja tietojärjestelmien turvallisuuteen, sekä antaa näille toimijoille ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2018/1972 (20) ja asetuksen (EU) N:o 910/2014 mukaisille toimivaltaisille viranomaisille mahdollisuus hyötyä tällä direktiivillä perustetusta oikeudellisesta kehyksestä, mukaan lukien poikkeamien käsittelystä vastaavan CSIRT-yksikön nimeäminen sekä asianomaisten toimivaltaisten viranomaisten osallistuminen yhteistyöryhmän ja CSIRT-verkoston toimintaan, kyseiset toimijat olisi sisällytettävä tämän direktiivin soveltamisalaan. Asetuksessa (EU) N:o 910/2014 ja direktiivissä (EU) 2018/1972 vahvistetut vastaavat säännökset tämän tyyppisille toimijoille asetettavista turvallisuus- ja ilmoitusvaatimuksista olisi sen vuoksi kumottava. Tässä direktiivissä säädetyt raportointivelvoitteita koskevat säännöt eivät saisi rajoittaa asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY soveltamista.

(93)

Tässä direktiivissä säädettyjen kyberturvallisuusvelvoitteiden olisi katsottava täydentävän asetuksessa (EU) N:o 910/2014 luottamuspalvelun tarjoajille asetettuja vaatimuksia. Luottamuspalvelun tarjoajia olisi vaadittava toteuttamaan kaikki asianmukaiset ja oikeasuhteiset toimenpiteet palveluihinsa kohdistuvien riskien hallitsemiseksi, myös suhteessa asiakkaisiinsa ja palveluihinsa tukeutuviin kolmansiin osapuoliin, ja raportoimaan tämän direktiivin mukaisista poikkeamista. Näiden kyberturvallisuus- ja raportointivelvoitteiden olisi koskettava myös tarjottujen palvelujen fyysistä suojaamista. Asetuksen (EU) N:o 910/2014 24 artiklassa säädettyjä hyväksyttyjä luottamuspalvelun tarjoajia koskevia vaatimuksia sovelletaan edelleen.

(94)

Jäsenvaltiot voivat antaa luottamuspalvelujen suhteen toimivaltaisten viranomaisten tehtävän asetuksen (EU) N:o 910/2014 mukaisille valvontaelimille, jotta voidaan varmistaa nykyisten käytäntöjen jatkuminen ja hyödyntää mainitun asetuksen soveltamisesta saatua tietämystä ja kokemusta. Tällaisessa tapauksessa tämän direktiivin mukaisten toimivaltaisten viranomaisten olisi tehtävä tiivistä ja oikea-aikaista yhteistyötä kyseisten valvontaelinten kanssa vaihtamalla asiaankuuluvia tietoja sen varmistamiseksi, että valvonta on tehokasta ja että luottamuspalvelun tarjoajat noudattavat tässä direktiivissä ja asetuksessa (EU) N:o 910/2014 säädettyjä vaatimuksia. Tapauksen mukaan tämän direktiivin mukaisen CSIRT-yksikön tai toimivaltaisen viranomaisen olisi tiedotettava asetuksen (EU) N:o 910/2014 mukaiselle valvontaelimelle välittömästi kaikista sille ilmoitetuista merkittävistä kyberuhkista ja poikkeamista, jotka vaikuttavat luottamuspalveluihin, sekä luottamuspalvelun tarjoajan mahdollisesta tämän direktiivin rikkomisesta. Jäsenvaltiot voivat tarvittaessa käyttää raportointiin keskitettyä asiointipistettä, joka on perustettu turvaamaan yhteinen ja automaattinen poikkeamista raportointi sekä asetuksen (EU) N:o 910/2014 mukaiselle valvontaelimelle että tämän direktiivin mukaiselle CSIRT-yksikölle tai toimivaltaiselle viranomaiselle.

(95)

Tarkoituksenmukaisissa tapauksissa ja tarpeettomien katkosten välttämiseksi olisi tätä direktiiviä kansallisen lainsäädännön osaksi saatettaessa otettava huomioon olemassa olevat kansalliset ohjeet direktiivin (EU) 2018/1972 40 ja 41 artiklassa säädettyjen turvallisuustoimenpiteitä koskevien sääntöjen saattamisesta osaksi kansallista lainsäädäntöä, jotta voidaan hyödyntää direktiivin (EU) 2018/1972 soveltamisesta turvallisuustoimenpiteiden ja poikkeamien ilmoittamisen alalla saatua tietämystä ja ammattitaitoa. ENISA voi myös laatia yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajille ohjeistusta turvallisuusvaatimuksista ja raportointivelvoitteista yhdenmukaistamisen ja siirtymän helpottamiseksi ja häiriöiden minimoimiseksi. Jäsenvaltiot voivat antaa sähköisen viestinnän suhteen toimivaltaisten viranomaisten tehtävän direktiivin (EU) 2018/1972 mukaisille kansallisille sääntelyviranomaisille, jotta voidaan varmistaa nykyisten käytäntöjen jatkuminen ja hyödyntää kyseisen direktiivin täytäntöönpanosta saatua tietämystä ja kokemusta.

(96)

Kun otetaan huomioon direktiivissä (EU) 2018/1972 määriteltyjen numeroista riippumattomien henkilöiden välisten viestintäpalvelujen kasvava merkitys, on tarpeen varmistaa, että myös tällaisiin palveluihin sovelletaan asianmukaisia turvallisuusvaatimuksia niiden erityisen luonteen ja taloudellisen merkityksen mukaisesti. Hyökkäyspinnan koko ajan kasvaessa numeroista riippumattomista henkilöiden välisistä viestintäpalveluista, kuten sanomanvälityspalveluista, on tulossa laajalti käytettyjä hyökkäysvektoreita. Vihamieliset hyökkääjät käyttävät alustoja viestiäkseen uhreille ja saadakseen heidät avaamaan turvallisuudeltaan vaarantuneita verkkosivuja, mikä lisää sellaisten poikkeamien todennäköisyyttä, joissa käytetään hyväksi henkilötietoja ja jotka siten vaikuttavat verkko- ja tietojärjestelmien turvallisuuteen. Numeroista riippumattomien henkilöiden välisten viestintäpalvelujen tarjoajien olisi varmistettava, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa aiheutuviin riskeihin. Koska numeroista riippumattomien henkilöiden välisten viestintäpalvelujen tarjoajat eivät yleensä tosiasiallisesti valvo signaalinsiirtoa verkoissa, tällaisille palveluille aiheutuvia riskejä voidaan joiltakin osin pitää perinteisiä sähköisiä viestintäpalveluja alhaisempina. Sama koskee sellaisia direktiivissä (EU) 2018/1972 määriteltyjä henkilöiden välisiä viestintäpalveluja, jotka perustuvat numeroihin mutta joissa palveluntarjoaja ei tosiasiallisesti valvo signaalinsiirtoa.

(97)

Sisämarkkinat ovat entistä riippuvaisempia internetin toiminnasta. Lähes kaikkien keskeisten ja tärkeiden toimijoiden palvelut ovat riippuvaisia internetin kautta tarjottavista palveluista. Keskeisten ja tärkeiden toimijoiden tarjoamien palvelujen sujuvan tarjonnan varmistamiseksi on tärkeää, että kaikilla yleisten sähköisten viestintäverkkojen tarjoajilla on käytössä asianmukaiset kyberturvallisuusriskien hallintatoimenpiteet ja että ne raportoivat kyberturvallisuuteen liittyvistä merkittävistä poikkeamista. Jäsenvaltioiden olisi varmistettava, että yleisten sähköisten viestintäverkkojen turvallisuus säilyy ja että niiden elintärkeät turvallisuusedut suojataan sabotaasilta ja vakoilulta. Koska kansainväliset yhteydet parantavat ja nopeuttavat kilpailuun perustuvaa digitalisaatiota unionissa ja sen taloudessa, merenalaisiin tietoliikennekaapeleihin vaikuttavista poikkeamista olisi raportoitava CSIRT-yksikölle tai tapauksen mukaan toimivaltaiselle viranomaiselle. Kansallisessa kyberturvallisuusstrategiassa olisi tarvittaessa otettava huomioon merenalaisten tietoliikennekaapelien kyberturvallisuus, ja siihen olisi sisällyttävä mahdollisten kyberturvallisuusriskien kartoitus ja toimenpiteitä vaikutusten lieventämiseksi, jotta voidaan varmistaa tietoliikennekaapelien mahdollisimman korkeatasoinen suojaus.

(98)

Yleisten sähköisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen turvallisuuden takaamiseksi olisi edistettävä salaustekniikoiden, erityisesti päästä päähän -salauksen, käyttöä sekä datakeskeisiä turvallisuuskonsepteja, kuten kartografiaa, segmentointia, tunnisteita, käyttöoikeusperiaatteita ja pääsynhallintaa sekä automatisoituja käyttöoikeuspäätöksiä. Salauksen, erityisesti päästä päähän -salauksen, käytön olisi tarvittaessa oltava pakollista yleisten sähköisten viestintäverkkojen tarjoajille ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajille oletusarvoisen ja sisäänrakennetun turvallisuuden ja yksityisyyden suojan periaatteiden mukaisesti tätä direktiiviä sovellettaessa. Päästä päähän -salauksen käyttö olisi sovitettava jäsenvaltioiden toimivaltaan varmistaa keskeisten turvallisuusetujensa ja yleisen turvallisuuden suojelu ja mahdollistaa rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet unionin oikeuden mukaisesti. Tämä ei kuitenkaan saisi heikentää päästä päähän -salausta, joka on tehokkaan tietosuojan, yksityisyyden suojan ja viestinnän turvallisuuden kannalta kriittinen teknologia.

(99)

Yleisten sähköisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen turvallisuuden takaamiseksi ja niiden väärinkäytön ja manipuloinnin estämiseksi olisi edistettävä suojatun reitityksen standardien käyttöä, jotta voidaan varmistaa reititystoimintojen eheys ja luotettavuus koko internetyhteyspalvelun tarjoajien ekosysteemissä.

(100)

Jotta voidaan taata internetin toimivuus ja eheys ja edistää DNS-järjestelmän turvallisuutta ja häiriönsietokykyä, asiaankuuluvia sidosryhmiä, mukaan lukien unionin yksityisen sektorin toimijat, yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat, etenkin internetyhteyspalvelun tarjoajat, ja verkossa toimivien hakukoneiden tarjoajat, olisi kannustettava hyväksymään DNS-selvityksen monipuolistamisstrategia. Jäsenvaltioita olisi myös kannustettava kehittämään julkinen ja suojattu eurooppalainen DNS-selvittäjäpalvelu ja käyttämään sitä.

(101)

Tässä direktiivissä säädetään merkittävien poikkeamien ilmoittamista koskevasta monivaiheisesta lähestymistavasta, jotta löydetään oikea tasapaino yhtäältä nopean ilmoittamisen, joka auttaa lieventämään merkittävien poikkeamien mahdollista leviämistä ja antaa keskeisille ja tärkeille toimijoille mahdollisuuden pyytää apua, ja toisaalta sellaisen perusteellisemman raportoinnin välillä, jonka ansiosta saadaan arvokasta kokemusta yksittäisistä poikkeamista ja parannetaan ajan mittaan yksittäisten toimijoiden ja kokonaisten toimialojen kyberresilienssiä. Tältä osin tähän direktiiviin olisi sisällytettävä sellaisista poikkeamista raportoiminen, jotka voivat asianomaisen toimijan suorittaman alustavan arvioinnin perusteella johtaa vakaviin palvelun toimintahäiriöihin tai aiheuttaa kyseiselle toimijalle suuria taloudellisia tappioita tai vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista ja aineetonta vahinkoa. Tällaisessa alustavassa arvioinnissa olisi otettava huomioon muun muassa verkko- ja tietojärjestelmät, joihin poikkeama vaikuttaa, ja erityisesti niiden merkitys toimijan palvelujen tarjoamisessa, kyberuhkan vakavuus ja tekniset ominaisuudet sekä mahdolliset taustalla olevat haavoittuvuudet, joita käytetään hyväksi, sekä toimijan kokemukset samanlaisista poikkeamista. Indikaattorit, kuten palvelun häiriintymisen laajuus, poikkeaman kesto tai niiden palvelun vastaanottajien lukumäärä, joihin poikkeama vaikuttaa, voivat olla tärkeitä määritettäessä, onko palvelun toimintahäiriö vakava.

(102)

Kun keskeinen tai tärkeä toimija tulee tietoiseksi merkittävästä poikkeamasta, sillä olisi oltava velvollisuus antaa ennakkovaroitus ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa. Ennakkovaroituksen jälkeen olisi tehtävä poikkeamailmoitus. Asianomaisten toimijoiden olisi tehtävä poikkeamailmoitus ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun ne tulevat tietoisiksi merkittävästä poikkeamasta, ja pyrittävä erityisesti pitämään ennakkovaroituksessa annetut tiedot ajantasaisina ja esittämään alustava arvio merkittävästä poikkeamasta, myös sen vakavuudesta ja vaikutuksista, sekä vaarantumista kuvaavat indikaattorit eli IoC-tieto, jäljempänä 'vaarantumisindikaattorit', jos sellaisia on saatavilla. Lopullinen raportti olisi toimitettava viimeistään kuukauden kuluttua poikkeamailmoituksesta. Ennakkovaroituksen olisi sisällettävä vain ne tiedot, jotka ovat välttämättömiä, jotta CSIRT-yksikkö tai tapauksen mukaan toimivaltainen viranomainen tulee tietoiseksi merkittävästä poikkeamasta ja jotta asianomainen toimija voi tarvittaessa pyytää apua. Tällaisessa ennakkovaroituksessa olisi tapauksen mukaan ilmoitettava, epäilläänkö merkittävän poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista ja onko sillä todennäköisesti rajatylittäviä vaikutuksia. Jäsenvaltioiden olisi varmistettava, että velvollisuus antaa kyseinen ennakkovaroitus tai sen jälkeinen poikkeamailmoitus ei vie ilmoituksen tehneen toimijan resursseja pois poikkeamien käsittelyyn liittyvistä toiminnoista, jotka olisi asetettava etusijalle, jotta voidaan estää se, että poikkeamaraportointivelvoitteet joko vievät resursseja pois merkittävien poikkeamien hallintatoimista tai muulla tavoin vaarantavat toimijan asiaan liittyvät ponnistelut. Jos poikkeama on edelleen meneillään silloin, kun lopullinen raportti pitäisi toimittaa, jäsenvaltioiden olisi varmistettava, että asianomaiset toimijat toimittavat tuolloin edistymisraportin ja lopullisen raportin kuukauden kuluessa siitä, kun ne ovat käsitelleet merkittävän poikkeaman.

(103)

Keskeisten ja tärkeiden toimijoiden olisi tarvittaessa tiedotettava palvelunsa vastaanottajille ilman aiheetonta viivytystä kaikista toimenpiteistä tai korjaavista toimista, joita he voivat toteuttaa lieventääkseen merkittävästä kyberuhkasta johtuvia riskejä. Kyseisten toimijoiden olisi tarvittaessa ja erityisesti silloin, kun merkittävä kyberuhka todennäköisesti toteutuu, tiedotettava palvelunsa vastaanottajille myös itse uhkasta. Kyseisten toimijoiden olisi täytettävä vaatimus tiedottaa merkittävistä kyberuhkista palvelunsa vastaanottajille parhaansa mukaan, mutta tämä ei saisi vapauttaa niitä velvollisuudesta toteuttaa omalla kustannuksellaan asianmukaisia ja välittömiä toimenpiteitä uhkien ehkäisemiseksi tai korjaamiseksi ja palvelun normaalin turvallisuustason palauttamiseksi. Merkittäviä kyberuhkia koskevat tiedot olisi annettava palvelun vastaanottajille maksutta, ja ne olisi ilmaistava helppotajuisesti.

(104)

Yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien olisi pantava täytäntöön sisäänrakennettu ja oletusarvoinen turvallisuus sekä tiedotettava palvelunsa vastaanottajille merkittävistä kyberuhkista ja toimenpiteistä, joita he voivat toteuttaa laitteidensa ja viestintänsä turvallisuuden suojaamiseksi esimerkiksi käyttämällä tietyntyyppisiä ohjelmistoja tai salaustekniikoita.

(105)

Ennakoiva lähestymistapa kyberuhkiin on ratkaiseva osa kyberturvallisuusriskien hallintaa, jonka avulla toimivaltaisten viranomaisten olisi pystyttävä estämään tehokkaasti kyberuhkien toteutuminen poikkeamina, jotka voivat aiheuttaa huomattavaa aineellista ja aineetonta vahinkoa. Tätä varten kyberuhkista ilmoittaminen on erittäin tärkeää. Siksi toimijoita kannustetaan raportoimaan vapaaehtoisesti kyberuhkista.

(106)

Tässä direktiivissä edellytettävien tietojen raportoinnin yksinkertaistamiseksi ja toimijoille aiheutuvan hallinnollisen rasitteen vähentämiseksi jäsenvaltioiden olisi tarjottava tekniset keinot, kuten keskitetty asiointipiste, automatisoidut järjestelmät, verkkolomakkeet, käyttäjäystävälliset käyttöliittymät, mallit ja erityiset alustat, joita toimijat riippumatta siitä, kuuluvatko ne tämän direktiivin soveltamisalaan, voivat käyttää asiaankuuluvien raportoitavien tietojen toimittamiseen. Tämän direktiivin täytäntöönpanoa tukevaan unionin rahoitukseen, erityisesti Euroopan parlamentin ja neuvoston asetuksella (EU) 2021/694 (21) perustetusta Digitaalinen Eurooppa -ohjelmasta annettavaan rahoitukseen, voisi sisältyä tuki keskitetyille asiointipisteille. Toimijat ovat lisäksi usein tilanteessa, jossa tietystä poikkeamasta on sen ominaisuuksien vuoksi ilmoitettava useille viranomaisille eri säädöksiin sisältyvien ilmoitusvelvoitteiden vuoksi. Tällaiset tapaukset aiheuttavat hallinnollista lisärasitteita ja saattavat myös synnyttää epävarmuutta tällaisten ilmoitusten muodosta ja menettelyistä. Kun keskitetty asiointipiste on perustettu, jäsenvaltioita kannustetaan käyttämään kyseistä keskitettyä asiointipistettä myös turvapoikkeamien ilmoittamiseen muun unionin lainsäädännön, kuten asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY, nojalla. Tällaisen keskitetyn asiointipisteen käyttö turvapoikkeamien ilmoittamiseen asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY nojalla ei saisi vaikuttaa asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY säännösten soveltamiseen, etenkään niiden säännösten, jotka koskevat niissä tarkoitettujen viranomaisten riippumattomuutta. ENISAn olisi yhteistyössä yhteistyöryhmän kanssa kehitettävä yhteiset ilmoitusmallit antamalla ohjeita, joilla yksinkertaistetaan ja virtaviivaistetaan unionin lainsäädännössä edellytettyjä raportoitavia tietoja ja vähennetään ilmoituksen tehneille toimijoille aiheutuvaa hallinnollista rasitetta.

(107)

Jos epäillään, että poikkeama liittyy unionin oikeudessa tai kansallisessa lainsäädännössä tarkoitettuun vakavaan rikolliseen toimintaan, jäsenvaltioiden olisi kannustettava keskeisiä ja tärkeitä toimijoita raportoimaan vakaviksi rikoksiksi epäillyistä poikkeamista asiaankuuluville lainvalvontaviranomaisille sovellettavien rikosoikeudellisia menettelyjä koskevien sääntöjen perusteella unionin oikeuden mukaisesti. Tarvittaessa ja rajoittamatta Europoliin sovellettavien henkilötietojen suojaa koskevien sääntöjen soveltamista on suotavaa, että eri jäsenvaltioiden toimivaltaisten viranomaisten ja lainvalvontaviranomaisten välinen koordinointi tapahtuu Euroopan kyberrikostorjuntakeskuksen (EC3) ja ENISAn myötävaikutuksella.

(108)

Poikkeamat vaarantavat monissa tapauksissa henkilötietojen suojan. Niinpä toimivaltaisten viranomaisten olisi tehtävä yhteistyötä ja vaihdettava tietoja kaikista merkityksellisistä asioista asetuksessa (EU) 2016/679 ja direktiivissä 2002/58/EY tarkoitettujen viranomaisten kanssa.

(109)

Verkkotunnusten rekisteröintitietojen (WHOIS-tietojen) tarkkojen ja kattavien tietokantojen ylläpitäminen ja laillisen pääsyn tarjoaminen tällaisiin tietoihin on olennaisen tärkeää, jotta voidaan varmistaa DNS-järjestelmän turvallisuus, vakaus ja häiriönsietokyky, mikä puolestaan edistää kyberturvallisuuden yhteistä korkeaa tasoa kaikkialla unionissa. Tätä nimenomaista tarkoitusta varten aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat olisi velvoitettava käsittelemään tiettyjä, tähän tarkoitukseen tarvittavia tietoja. Tällaista käsittelyä olisi pidettävä asetuksen (EU) 2016/679 6 artiklan 1 kohdan c alakohdassa tarkoitettuna lakisääteisenä velvoitteena. Tämä velvoite ei rajoita mahdollisuutta kerätä verkkotunnusten rekisteröintitietoja muihin tarkoituksiin, esimerkiksi sopimusjärjestelyjen tai muussa unionin oikeudessa tai kansallisessa lainsäädännössä vahvistettujen oikeudellisten vaatimusten perusteella. Tällä velvoitteella pyritään varmistamaan, että rekisteröintitiedot ovat täydelliset ja tarkat, eikä sen pitäisi johtaa samojen tietojen keräämiseen moneen kertaan. Aluetunnusrekisterien ja verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden olisi tehtävä yhteistyötä päällekkäisen keruun välttämiseksi.

(110)

Verkkotunnusten rekisteröintitietojen saatavuus ja nopea käytettävyys niihin pääsyä oikeutetusti pyytäville on olennaisen tärkeää DNS-järjestelmän väärinkäytön ehkäisemiseksi ja torjumiseksi sekä poikkeamien ehkäisemiseksi, havaitsemiseksi ja hallitsemiseksi. Pääsyä oikeutetusti pyytävillä tarkoitetaan kaikkia luonnollisia henkilöitä tai oikeushenkilöitä, jotka esittävät pyynnön unionin oikeuden tai kansallisen lainsäädännön nojalla. Niihin voi kuulua viranomaisia, jotka ovat toimivaltaisia tämän direktiivin mukaisesti, sekä viranomaisia, joilla on unionin oikeuden tai kansallisen lainsäädännön nojalla toimivalta rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, ja CERT-ryhmiä tai CSIRT-yksiköitä. Aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat olisi velvoitettava antamaan laillinen pääsy tarkasti määrättyihin verkkotunnusten rekisteröintitietoihin, joita tarvitaan esitettyä pyyntöä varten, niille, jotka pyytävät pääsyä oikeutetusti unionin oikeuden ja kansallisen lainsäädännön mukaisesti. Pääsyä oikeutetusti pyytävän olisi liitettävä pyyntöönsä perustelut, joiden avulla voidaan arvioida, onko tietoihin pääsy tarpeen.

(111)

Tarkkojen ja täydellisten verkkotunnusten rekisteröintitietojen saatavuuden varmistamiseksi aluetunnusrekisterien ja verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden olisi kerättävä verkkotunnusten rekisteröintitiedot ja taattava niiden eheys ja saatavuus. Aluetunnusrekisterien ja verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden olisi erityisesti vahvistettava toimintaperiaatteet ja menettelyt, joiden mukaisesti kerätään ja ylläpidetään tarkkoja ja täydellisiä verkkotunnusten rekisteröintitietoja sekä ehkäistään ja korjataan virheellisiä rekisteröintitietoja unionin tietosuojalainsäädännön mukaisesti. Näissä toimintaperiaatteissa ja menettelyissä olisi mahdollisuuksien mukaan otettava huomioon monisidosryhmäisten hallintorakenteiden kansainvälisellä tasolla kehittämät standardit. Aluetunnusrekisterien ja verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden olisi hyväksyttävä ja pantava täytäntöön oikeasuhteiset menettelyt verkkotunnusten rekisteröintitietojen tarkistamiseksi. Näiden menettelyjen olisi kuvastettava toimialan parhaita käytäntöjä ja mahdollisuuksien mukaan sähköisen tunnistamisen alalla saavutettua edistystä. Esimerkkejä tarkastusmenettelyistä voivat olla rekisteröintihetkellä suoritettavat ennakkotarkastukset ja rekisteröinnin jälkeen suoritettavat jälkitarkastukset. Aluetunnusrekisterien ja verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden olisi erityisesti varmennettava ainakin yksi keino ottaa yhteyttä verkkotunnuksen rekisteröijään.

(112)

Aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat olisi velvoitettava asettamaan julkisesti saataville verkkotunnusten rekisteröintitiedot, jotka eivät kuulu unionin tietosuojalainsäädännön soveltamisalaan, kuten oikeushenkilöitä koskevat tiedot, asetuksen (EU) 2016/679 johdanto-osan mukaisesti. Oikeushenkilöiden osalta aluetunnusrekisterien ja verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden olisi asetettava julkisesti saataville ainakin verkkotunnuksen rekisteröijän nimi ja yhteyspuhelinnumero. Yhteyssähköpostiosoite olisi myös julkaistava edellyttäen, että se ei sisällä henkilötietoja, kuten käyttämällä vaihtoehtoisia sähköpostiosoitteita (alias) tai asiointiosoitteita. Aluetunnusrekisterien ja verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden olisi myös unionin tietosuojalainsäädännön mukaisesti annettava pääsyä oikeutetusti pyytäville laillinen pääsy tarkasti määrättyihin luonnollisia henkilöitä koskeviin verkkotunnusten rekisteröintitietoihin. Jäsenvaltioiden olisi edellytettävä, että aluetunnusrekisterit ja verkkotunnusten rekisteröintipalveluja tarjoavat toimijat vastaavat ilman aiheetonta viivytystä pääsyä oikeutetusti pyytävien esittämiin verkkotunnusten rekisteröintitietojen luovuttamispyyntöihin. Aluetunnusrekisterien ja verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden olisi vahvistettava toimintaperiaatteet ja menettelyt rekisteröintitietojen julkaisemista ja luovuttamista varten, mukaan lukien palvelutasosopimukset pääsyä oikeutetusti pyytävien esittämien pyyntöjen käsittelemiseksi. Näissä toimintaperiaatteissa ja menettelyissä olisi mahdollisuuksien mukaan otettava huomioon mahdollinen ohjeistus ja monisidosryhmäisten hallintorakenteiden kansainvälisellä tasolla kehittämät standardit. Tietojenluovutusmenettelyssä voidaan käyttää rajapintaa, portaalia tai muuta teknistä välinettä tehokkaan järjestelyn tarjoamiseksi rekisteröintitietojen pyytämistä ja niihin pääsyä varten. Edistääkseen yhdenmukaisia käytäntöjä sisämarkkinoilla komissio voi Euroopan tietosuojaneuvoston toimivaltaa rajoittamatta antaa tällaisia menettelyjä koskevia ohjeita, joissa otetaan mahdollisuuksien mukaan huomioon monisidosryhmäisten hallintorakenteiden kansainvälisellä tasolla kehittämät standardit. Jäsenvaltioiden olisi varmistettava, että kaikenlainen pääsy verkkotunnusten rekisteröintitietoihin, sekä henkilötietoihin että muihin kuin henkilötietoihin, on maksutonta.

(113)

Tämän direktiivin soveltamisalaan kuuluvien toimijoiden olisi katsottava kuuluvan sen jäsenvaltion lainkäyttövaltaan, johon ne ovat sijoittautuneet. Yleisten sähköisten viestintäverkkojen tarjoajien tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien olisi kuitenkin katsottava kuuluvan sen jäsenvaltion lainkäyttövaltaan, jossa ne tarjoavat palvelujaan. DNS-palveluntarjoajien, aluetunnusrekisterien, verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien sekä verkossa toimivien markkinapaikkojen tarjoajien, verkossa toimivien hakukoneiden tarjoajien ja verkkoyhteisöalustojen tarjoajien olisi katsottava kuuluvan sen jäsenvaltion lainkäyttövaltaan, jossa niiden päätoimipaikka on unionissa. Julkishallinnon toimijoiden olisi kuuluttava sen jäsenvaltion lainkäyttövaltaan, joka ne on perustanut. Jos toimija tarjoaa palveluja useammassa kuin yhdessä jäsenvaltiossa tai on sijoittautunut useampaan kuin yhteen jäsenvaltioon, sen olisi kuuluttava asianomaisten jäsenvaltioiden erilliseen ja rinnakkaiseen lainkäyttövaltaan. Näiden jäsenvaltioiden toimivaltaisten viranomaisten olisi tehtävä yhteistyötä, annettava toisilleen keskinäistä apua ja tarvittaessa toteutettava yhteisiä valvontatoimia. Käyttäessään lainkäyttövaltaansa jäsenvaltiot eivät ne bis in idem -periaatteen mukaisesti saisi määrätä täytäntöönpanotoimenpiteitä tai seuraamuksia useammin kuin kerran samasta toiminnasta.

(114)

Jotta voidaan ottaa huomioon DNS-palveluntarjoajien, aluetunnusrekisterien, verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden, pilvipalvelujen tarjoajien, datakeskuspalvelujen tarjoajien, sisällönjakeluverkkojen tarjoajien, hallintapalvelun tarjoajien, tietoturvapalveluntarjoajien sekä verkossa toimivien markkinapaikkojen tarjoajien, verkossa toimivien hakukoneiden tarjoajien ja verkkoyhteisöalustojen tarjoajien palvelujen ja toimintojen rajatylittävä luonne, vain yhdellä jäsenvaltiolla olisi oltava lainkäyttövalta näihin toimijoihin nähden. Lainkäyttövalta olisi oltava sillä jäsenvaltiolla, jossa asianomaisen toimijan päätoimipaikka sijaitsee unionissa. Tätä direktiiviä sovellettaessa sijoittautumiskriteerin täyttyminen edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa. Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä suhteessa ratkaisevaa merkitystä. Tämän kriteerin täyttyminen ei saisi riippua siitä, sijaitsevatko verkko- ja tietojärjestelmät fyysisesti määrätyssä paikassa; tällaisten järjestelmien sijainti ja käyttö tietyssä paikassa eivät itsessään tee siitä päätoimipaikkaa, eivätkä ne näin ollen ole ratkaisevia perusteita päätoimipaikan määrittämisessä. Päätoimipaikan olisi katsottava olevan unionissa siinä jäsenvaltiossa, jossa kyberturvallisuusriskien hallintatoimenpiteisiin liittyvät päätökset pääsääntöisesti tehdään. Tämä vastaa tyypillisesti toimijan keskushallinnon sijaintipaikkaa unionissa. Jos tällaista jäsenvaltiota ei voida määrittää tai jos tällaisia päätöksiä ei tehdä unionissa, päätoimipaikan olisi katsottava sijaitsevan jäsenvaltiossa, jossa kyberturvallisuustoiminnot toteutetaan. Jos tällaista jäsenvaltiota ei voida määrittää, päätoimipaikan olisi katsottava sijaitsevan jäsenvaltiossa, jossa toimijalla on eniten työntekijöitä työllistävä toimipaikka unionissa. Jos palvelut suorittaa yritysryhmä, sen päätoimipaikaksi olisi katsottava määräysvaltaa käyttävän yrityksen päätoimipaikka.

(115)

Jos yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja tarjoaa yleisesti saatavilla olevaa rekursiivista DNS-palvelua ainoastaan internetyhteyspalvelun osana, kyseisen toimijan olisi katsottava kuuluvan kaikkien niiden jäsenvaltioiden lainkäyttövaltaan, joissa se tarjoaa palvelujaan.

(116)

Kun DNS-palveluntarjoaja, aluetunnusrekisteri, verkkotunnusten rekisteröintipalveluja tarjoava toimija, pilvipalvelujen tarjoaja, datakeskuspalvelujen tarjoaja, sisällönjakeluverkkojen tarjoaja, hallintapalvelun tarjoaja, tietoturvapalveluntarjoaja taikka verkossa toimivien markkinapaikkojen, verkossa toimivien hakukoneiden tai verkkoyhteisöalustojen tarjoaja, joka ei ole sijoittautunut unioniin, tarjoaa palveluja unionissa, sen olisi nimettävä itselleen edustaja unioniin. Jotta voidaan määrittää, tarjoaako tällainen toimija palveluja unionissa, olisi varmistettava, aikooko se tarjota palveluja henkilöille yhdessä tai useammassa jäsenvaltiossa. Pelkkää toimijan tai välittäjän verkkosivuston tai sähköpostiosoitteen tai muiden yhteystietojen saatavuutta unionissa taikka sitä, että käytetään toimijan sijoittautumispaikkana olevassa kolmannessa maassa yleisesti käytettävää kieltä, olisi pidettävä riittämättömänä osoituksena tällaisesta aikomuksesta. Kuitenkin esimerkiksi yhdessä tai useammassa jäsenvaltiossa yleisesti käytettävän kielen tai rahayksikön käyttäminen ja mahdollisuus tilata palveluja kyseisellä kielellä taikka unionissa olevien asiakkaiden tai käyttäjien mainitseminen voivat osoittaa olevan ilmeistä, että toimija aikoo tarjota palveluja unionissa. Edustajan olisi toimittava toimijan puolesta, ja toimivaltaisten viranomaisten tai CSIRT-yksiköiden olisi voitava ottaa yhteyttä edustajaan. Edustaja olisi nimettävä nimenomaisesti toimijan antamalla kirjallisella valtuutuksella hoitamaan tämän puolesta tässä direktiivissä säädetyt velvoitteet, myös poikkeamista raportointi.

(117)

Jotta saadaan selkeä yleiskuva DNS-palveluntarjoajista, aluetunnusrekistereistä, verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista, pilvipalvelujen tarjoajista, datakeskuspalvelujen tarjoajista, sisällönjakeluverkkojen tarjoajista, hallintapalvelun tarjoajista, tietoturvapalveluntarjoajista sekä verkossa toimivien markkinapaikkojen tarjoajista, verkossa toimivien hakukoneiden tarjoajista ja verkkoyhteisöalustojen tarjoajista, jotka tarjoavat tämän direktiivin soveltamisalaan kuuluvia palveluja eri puolilla unionia, ENISAn olisi perustettava tällaisten toimijoiden rekisteri ja ylläpidettävä sitä käyttäen tietoja, joita jäsenvaltiot saavat, tapauksen mukaan toimijoiden rekisteröitymistä varten perustettujen kansallisten järjestelyjen välityksellä. Keskitettyjen yhteyspisteiden olisi toimitettava nämä tiedot ja niihin mahdollisesti tehdyt muutokset ENISAlle. Jotta voidaan varmistaa tähän rekisteriin sisällytettävien tietojen tarkkuus ja täydellisyys, jäsenvaltiot voivat toimittaa ENISAlle mahdollisissa kansallisissa rekistereissään saatavilla olevat tiedot kyseisistä toimijoista. ENISAn ja jäsenvaltioiden olisi toteutettava toimenpiteitä, joilla edistetään tällaisten rekisterien yhteentoimivuutta, ja varmistettava samalla luottamuksellisten tai turvallisuusluokiteltujen tietojen suoja. ENISAn olisi laadittava asianmukaisia tietojen luokitus- ja hallintaprotokollia luovutettujen tietojen turvallisuuden ja luottamuksellisuuden varmistamiseksi ja rajattava pääsy tällaisiin tietoihin ja niiden tallentaminen ja siirtäminen vain aiotuille käyttäjille.

(118)

Jos unionin oikeuden tai kansallisen lainsäädännön mukaisesti turvallisuusluokiteltuja tietoja vaihdetaan, ilmoitetaan tai muutoin jaetaan tämän direktiivin nojalla, olisi sovellettava vastaavia turvallisuusluokiteltujen tietojen käsittelyä koskevia sääntöjä. ENISAlla olisi lisäksi oltava käytössään infrastruktuuri, menettelyt ja säännöt, joiden avulla se voi käsitellä arkaluonteisia ja turvallisuusluokiteltuja tietoja EU:n turvallisuusluokiteltuihin tietojen suojaamiseen sovellettavien turvallisuussääntöjen mukaisesti.

(119)

Koska kyberuhkat ovat yhä monimutkaisempia ja kehittyneempiä, tällaisten uhkien onnistunut havaitseminen ja ehkäisytoimenpiteet ovat pitkälti riippuvaisia uhkiin ja haavoittuvuuksiin liittyvän tiedon säännöllisestä jakamisesta toimijoiden kesken. Tietojenvaihto lisää tietoisuutta kyberuhkista, mikä puolestaan parantaa toimijoiden valmiuksia estää näitä uhkia kehittymästä poikkeamiksi ja auttaa niitä rajoittamaan paremmin poikkeamien vaikutuksia ja palautumaan niistä tehokkaammin. Koska unionin tasolla ei ole annettu ohjeistusta, vaikuttaa siltä, että erilaiset tekijät, erityisesti epävarmuus yhteensopivuudesta kilpailu- ja vastuusääntöjen kanssa, ovat estäneet tällaisen tietojen jakamisen.

(120)

Jäsenvaltioiden olisi kannustettava ja avustettava toimijoita hyödyntämään kollektiivisesti kunkin tietämystä ja käytännön kokemusta strategisella, taktisella ja operatiivisella tasolla, jotta voidaan parantaa niiden valmiuksia ehkäistä, havaita ja hallita poikkeamia tai palautua niistä tai lieventää niiden vaikutuksia asianmukaisesti. Sen vuoksi on tarpeen mahdollistaa vapaaehtoisuuteen perustuvat kyberturvallisuustietojen jakamisjärjestelyt unionin tasolla. Tätä varten jäsenvaltioiden olisi aktiivisesti avustettava ja kannustettava toimijoita, kuten kyberturvallisuuspalveluja ja -tutkimusta tarjoavia toimijoita sekä sellaisia asiaankuuluvia toimijoita, jotka eivät kuulu tämän direktiivin soveltamisalaan, osallistumaan tällaisiin kyberturvallisuustietojen jakamisjärjestelyihin. Nämä järjestelyt olisi toteutettava unionin kilpailusääntöjen ja unionin tietosuojalainsäädännön mukaisesti.

(121)

Keskeisten ja tärkeiden toimijoiden suorittamaa henkilötietojen käsittelyä, siinä määrin kuin se on tarpeen ja oikeasuhteista verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi, voidaan pitää lainmukaisena sillä perusteella, että se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi asetuksen (EU) 2016/679 6 artiklan 1 kohdan c alakohdan ja 6 artiklan 3 kohdan vaatimusten mukaisesti. Henkilötietojen käsittely voi olla tarpeen myös keskeisten ja tärkeiden toimijoiden sekä niiden puolesta toimivien turvallisuusteknologioiden ja -palvelujen tarjoajien oikeutettujen etujen toteuttamiseksi asetuksen (EU) 2016/679 6 artiklan 1 kohdan f alakohdan mukaisesti, myös silloin, kun tällainen käsittely on tarpeen tämän direktiivin mukaisia kyberturvallisuustietojen jakamisjärjestelyjä tai asiaankuuluvien tietojen vapaaehtoista ilmoittamista varten. Toimenpiteet, jotka liittyvät poikkeamien ehkäisemiseen, havaitsemiseen, tunnistamiseen, rajoittamiseen, analysointiin ja hallitsemiseen, toimenpiteet yksittäisistä kyberuhkista tiedottamiseksi, haavoittuvuuden korjaamiseen ja koordinoituun haavoittuvuuden julkistamiseen liittyvä tietojenvaihto sekä vapaaehtoinen tietojenvaihto kyseisistä poikkeamista, kyberuhkista ja haavoittuvuuksista, vaarantumisindikaattoreista, taktiikasta, tekniikoista ja menettelyistä, kyberturvallisuushälytyksistä ja konfigurointityökaluista, saattavat edellyttää tiettyjen henkilötietoryhmien, kuten IP-osoitteiden, URL-osoitteiden, verkkotunnusten, sähköpostiosoitteiden ja, sikäli kuin niistä käy ilmi henkilötietoja, aikaleimojen käsittelyä. Toimivaltaisten viranomaisten, keskitettyjen yhteyspisteiden ja CSIRT-yksiköiden suorittamaa henkilötietojen käsittelyä voidaan pitää lakisääteisenä velvoitteena tai sen voidaan katsoa olevan tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi asetuksen (EU) 2016/679 6 artiklan 1 kohdan c tai e alakohdan ja 6 artiklan 3 kohdan mukaisesti taikka keskeisten ja tärkeiden toimijoiden oikeutettujen etujen toteuttamiseksi asetuksen (EU) 2016/679 6 artiklan 1 kohdan f alakohdan mukaisesti. Lisäksi kansallisessa lainsäädännössä voitaisiin vahvistaa säännöt, joiden nojalla toimivaltaiset viranomaiset, keskitetyt yhteyspisteet ja CSIRT-yksiköt voivat, siinä määrin kuin se on tarpeen ja oikeasuhteista keskeisten ja tärkeiden toimijoiden verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi, käsitellä erityisiä henkilötietoryhmiä asetuksen (EU) 2016/679 9 artiklan mukaisesti, erityisesti säätämällä asianmukaisista erityistoimenpiteistä luonnollisten henkilöiden perusoikeuksien ja etujen suojaamiseksi, myös tällaisten tietojen uudelleenkäyttöä koskevista teknisistä rajoituksista sekä viimeisintä kehitystä edustavien turvallisuustoimenpiteiden ja yksityisyyden suojan säilyttävien toimenpiteiden, kuten pseudonymisoinnin, käytöstä tai salauksen käytöstä, jos anonymisointi voi vaikuttaa merkittävästi aiottuun käyttötarkoitukseen.

(122)

Jotta voidaan vahvistaa valvontavaltuuksia ja -toimenpiteitä, jotka auttavat varmistamaan sääntöjen tosiasiallisen noudattamisen, tässä direktiivissä olisi vahvistettava vähimmäisluettelo valvontatoimenpiteistä ja -keinoista, joiden avulla toimivaltaiset viranomaiset voivat valvoa keskeisiä ja tärkeitä toimijoita. Lisäksi tässä direktiivissä olisi säädettävä eri valvontajärjestelmästä keskeisille ja tärkeille toimijoille, jotta voidaan varmistaa kyseisten toimijoiden ja toimivaltaisten viranomaisten velvoitteiden oikeudenmukainen tasapaino. Sen vuoksi keskeisiin toimijoihin olisi sovellettava kattavaa valvontajärjestelmää, johon kuuluu etukäteis- ja jälkikäteisvalvonta, ja tärkeisiin toimijoihin olisi sovellettava kevyttä valvontajärjestelmää, johon kuuluu vain jälkikäteisvalvonta. Näin ollen tärkeitä toimijoita ei pitäisi vaatia dokumentoimaan järjestelmällisesti kyberturvallisuusriskien hallintatoimenpiteiden noudattamista, ja toimivaltaisten viranomaisten olisi harjoitettava reaktiivista jälkikäteisvalvontaa eikä niillä olisi oltava yleistä velvoitetta valvoa kyseisiä toimijoita. Tärkeiden toimijoiden jälkikäteisvalvonta voidaan käynnistää, jos toimivaltaisten viranomaisten tietoon tulee näyttöä, viitteitä tai tietoja, joiden perusteella kyseiset viranomaiset epäilevät, että tätä direktiiviä on ehkä rikottu. Tällaista näyttöä, viitteitä tai tietoja voivat olla esimerkiksi muiden viranomaisten, toimijoiden, kansalaisten, tiedotusvälineiden tai muiden lähteiden toimivaltaisille viranomaisille toimittamat tai julkisesti saatavilla olevat tiedot, tai toimivaltaisten viranomaiset voivat saada ne tietoonsa hoitaessaan tehtäviään.

(123)

Toimivaltaisten viranomaisten valvontatehtävien suorittaminen ei saisi tarpeettomasti haitata asianomaisen toimijan liiketoimintaa. Kun toimivaltaiset viranomaiset suorittavat keskeisiin toimijoihin liittyviä valvontatehtäviään, kuten paikalla tehtäviä tarkastuksia ja muuta kuin paikalla toteutettavaa valvontaa, tämän direktiivin rikkomisten tutkintaa, turvallisuusauditointia tai turvallisuusskannausta, niiden olisi minimoitava vaikutus asianomaisen toimijan liiketoimintaan.

(124)

Kun toimivaltaiset viranomaiset harjoittavat etukäteisvalvontaa, niiden olisi voitava päättää käytettävissään olevien valvontatoimenpiteiden ja -keinojen käytön etusijajärjestyksestä oikeasuhteisella tavalla. Tämä tarkoittaa, että toimivaltaiset viranomaiset voivat päättää etusijajärjestyksestä sellaisten valvontamenetelmien perusteella, joissa olisi sovellettava riskiperusteista lähestymistapaa. Tällaiset menetelmät voivat erityisesti sisältää kriteerejä tai vertailuarvoja, joiden mukaan keskeiset toimijat luokitellaan riskiluokkiin ja kullekin riskiluokalle määritetään suositeltavat valvontatoimenpiteet ja -keinot, kuten paikalla tehtävien tarkastusten, kohdennettujen turvallisuusauditointien tai turvallisuusskannausten käyttö, aikaväli ja tyypit sekä pyydettävien tietojen tyyppi ja yksityiskohtaisuus. Tällaisten valvontamenetelmien ohella voitaisiin käyttää työohjelmia, ja niitä voitaisiin arvioida ja tarkastella uudelleen säännöllisesti, myös esimerkiksi resurssien jakamisen ja tarpeiden osalta. Julkishallinnon toimijoiden suhteen valvontavaltuuksia olisi käytettävä kansallisten lainsäädäntö- ja toimielinkehysten mukaisesti.

(125)

Toimivaltaisten viranomaisten olisi varmistettava, että niille kuuluvia keskeisten ja tärkeiden toimijoiden valvontatehtäviä hoitavat koulutetut ammattilaiset, joilla olisi oltava kyseisten tehtävien suorittamiseen vaadittavat taidot, etenkin paikalla tehtäviä tarkastuksia ja muuta kuin paikalla toteutettavaa valvontaa, kuten tietokantojen, laitteistojen, palomuurien, salauksen ja verkkojen heikkouksien tunnistamista, varten. Nämä tarkastukset ja tämä valvonta olisi toteutettava objektiivisesti.

(126)

Asianmukaisesti perustelluissa tapauksissa, joissa toimivaltainen viranomainen on tietoinen merkittävästä kyberuhkasta tai välittömästä riskistä, toimivaltaisen viranomaisen olisi voitava tehdä välittömästi täytäntöönpanopäätöksiä, joiden tarkoituksena on ehkäistä poikkeama tai hallita sitä.

(127)

Jotta valvonta olisi tuloksekasta, olisi vahvistettava vähimmäisluettelo täytäntöönpanovaltuuksista, joita voidaan käyttää tässä direktiivissä säädettyjen kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden laiminlyönnin tapauksessa, ja vahvistettava selkeä ja johdonmukainen kehys tällaiselle täytäntöönpanolle kaikkialla unionissa. Olisi otettava asianmukaisesti huomioon tämä direktiivin rikkomisen luonne, vakavuus ja kesto, aiheutettu aineellinen tai aineeton vahinko, rikkomisen tahallisuus tai tuottamuksellisuus, aineellisen tai aineettoman vahingon ehkäisemiseksi tai lieventämiseksi toteutetut toimet, vastuun aste tai mahdolliset vastaavat aiemmat rikkomiset, yhteistyöhalukkuus toimivaltaisen viranomaisen kanssa ja mahdolliset muut raskauttavat tai lieventävät tekijät. Täytäntöönpanotoimenpiteiden, myös hallinnollisten sakkojen, olisi oltava oikeasuhteisia, ja niiden määräämiseen olisi sovellettava asianmukaisia menettelytakeita unionin oikeuden ja Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, yleisten periaatteiden mukaisesti, mukaan lukien oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen, syyttömyysolettama ja oikeus puolustukseen.

(128)

Tässä direktiivissä ei edellytetä jäsenvaltioiden säätävän, että luonnolliset henkilöt, joiden tehtävänä on varmistaa, että toimija noudattaa tätä direktiiviä, ovat rikosoikeudellisessa tai siviilioikeudellisessa vastuussa vahingosta, jota kolmansille osapuolille on aiheutunut tämän direktiivin rikkomisen tuloksena.

(129)

Tässä direktiivissä säädettyjen velvoitteiden tehokkaan täytäntöönpanon varmistamiseksi kullakin toimivaltaisella viranomaisella olisi oltava valtuudet määrätä tai pyytää määräämään hallinnollisia sakkoja.

(130)

Jos hallinnollinen sakko määrätään keskeiselle tai tärkeälle toimijalle, joka on yritys, yritys olisi ymmärrettävä Euroopan unionin toiminnasta tehdyn sopimuksen 101 ja 102 artiklan mukaiseksi yritykseksi. Jos hallinnollinen sakko määrätään henkilölle, joka ei ole yritys, toimivaltaisen viranomaisen olisi otettava sakon sopivan määrän harkinnassa huomioon jäsenvaltion yleinen tulotaso ja asianomaisen henkilön taloudellinen tilanne. Olisi oltava jäsenvaltioiden vastuulla määrittää, onko viranomaisille määrättävä hallinnollisia sakkoja ja missä määrin. Hallinnollisen sakon määrääminen ei vaikuta toimivaltaisten viranomaisten muiden valtuuksien soveltamiseen eikä muihin seuraamuksiin, joista säädetään kansallisissa säännöksissä, joilla tämä direktiivi saatetaan osaksi kansallista lainsäädäntöä.

(131)

Jäsenvaltioiden olisi voitava antaa säännöksiä rikosoikeudellisista seuraamuksista, joita määrätään niiden kansallisten säännösten rikkomisesta, joilla tämä direktiivi saatetaan osaksi kansallista lainsäädäntöä. Näiden kansallisten säännösten rikkomisesta määrättävien rikosoikeudellisten seuraamusten ja niihin liittyvien hallinnollisten seuraamusten määrääminen ei kuitenkaan saisi johtaa ne bis in idem -periaatteen, sellaisena kuin unionin tuomioistuin on sitä tulkinnut, rikkomiseen.

(132)

Sikäli kuin tässä direktiivissä ei yhdenmukaisteta hallinnollisia seuraamuksia tai tarvittaessa muissa tapauksissa, esimerkiksi silloin, kun kyseessä on tämän direktiivin vakava rikkominen, jäsenvaltioiden olisi pantava täytäntöön järjestelmä, jossa määrätään tehokkaista, oikeasuhteisista ja varoittavista seuraamuksista. Tällaisten seuraamusten luonne ja se, ovatko ne rikosoikeudellisia vai hallinnollisia, olisi määriteltävä kansallisessa lainsäädännössä.

(133)

Jotta voidaan edelleen vahvistaa tämän direktiivin rikkomiseen sovellettavien täytäntöönpanotoimenpiteiden vaikuttavuutta ja varoittavuutta, toimivaltaisilla viranomaisilla olisi oltava valtuudet keskeyttää tai pyytää keskeyttämään väliaikaisesti sertifiointi tai lupa, joka koskee keskeisen toimijan tarjoamia kaikkia asiaankuuluvia palveluja tai toimintoja tai osaa niistä, sekä pyytää kieltämään ketä tahansa luonnollista henkilöä, joka hoitaa johtotehtäviä toimitusjohtajan tai laillisen edustajan tasolla, hoitamasta johtotehtäviä. Kun otetaan huomioon tällaisten väliaikaisten keskeyttämisten tai kieltojen vakavuus ja vaikutus toimijoiden toimintaan ja viime kädessä niiden palvelujen käyttäjiin, niitä olisi sovellettava ainoastaan suhteessa rikkomisen vakavuuteen ja ottaen huomioon kunkin yksittäisen tapauksen olosuhteet, mukaan lukien rikkomisen tahallisuus tai tuottamuksellisuus, sekä mahdolliset aineellisen tai aineettoman vahingon ehkäisemiseksi tai lieventämiseksi toteutetut toimet. Tällaisia väliaikaisia keskeyttämisiä tai kieltoja olisi sovellettava vasta viimeisenä keinona eli sen jälkeen, kun muut tässä direktiivissä säädetyt asiaankuuluvat täytäntöönpanotoimenpiteet on käytetty, ja ainoastaan siihen asti, kun asianomainen toimija toteuttaa tarvittavat toimet korjatakseen ne puutteet tai noudattaakseen niitä toimivaltaisen viranomaisen vaatimuksia, joiden johdosta väliaikaisia keskeyttämisiä tai kieltoja sovellettiin. Tällaisten väliaikaisten keskeyttämisten tai kieltojen määräämiseen olisi sovellettava asianmukaisia menettelytakeita unionin oikeuden ja perusoikeuskirjan yleisten periaatteiden mukaisesti, mukaan lukien oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen, syyttömyysolettama ja oikeus puolustukseen.

(134)

Sen varmistamiseksi, että toimijat noudattavat tässä direktiivissä säädettyjä velvoitteitaan, jäsenvaltioiden olisi tehtävä yhteistyötä ja avustettava toisiaan valvonta- ja täytäntöönpanotoimenpiteissä, etenkin kun toimija tarjoaa palveluja useammassa kuin yhdessä jäsenvaltiossa tai kun sen verkko- ja tietojärjestelmät sijaitsevat muussa jäsenvaltiossa kuin siinä, jossa se tarjoaa palveluja. Avunantopyynnön saaneen toimivaltaisen viranomaisen olisi apua antaessaan toteutettava valvonta- tai täytäntöönpanotoimenpiteitä kansallisen lainsäädännön mukaisesti. Tämän direktiivin mukaisen keskinäisen avunannon sujuvuuden varmistamiseksi toimivaltaisten viranomaisten olisi käytettävä yhteistyöryhmää foorumina, jolla keskustellaan tapauksista ja yksittäisistä avunantopyynnöistä.

(135)

Jotta voidaan varmistaa tehokas valvonta ja täytäntöönpano, erityisesti silloin kun tilanteella on rajatylittävä ulottuvuus, keskinäistä avunantoa koskevan pyynnön saaneen jäsenvaltion olisi kyseisen pyynnön asettamissa rajoissa toteutettava asianmukaisia valvonta- ja täytäntöönpanotoimenpiteitä suhteessa pyynnön kohteena olevaan toimijaan, joka tarjoaa palveluja tai jolla on verkko- ja tietojärjestelmä kyseisen jäsenvaltion alueella.

(136)

Tässä direktiivissä olisi vahvistettava säännöt toimivaltaisten viranomaisten ja asetuksen (EU) 2016/679 mukaisten valvontaviranomaisten välistä yhteistyötä varten henkilötietoihin liittyvien tämän direktiivin rikkomisten käsittelemiseksi.

(137)

Tällä direktiivillä olisi pyrittävä varmistamaan, että vastuu kyberturvallisuusriskien hallintatoimenpiteistä ja raportointivelvoitteista on keskeisten ja tärkeiden toimijoiden organisaatiossa korkealla tasolla. Sen vuoksi keskeisten ja tärkeiden toimijoiden hallintoelinten olisi hyväksyttävä kyberturvallisuusriskien hallintatoimenpiteet ja valvottava niiden täytäntöönpanoa.

(138)

Jotta tämän direktiivin perusteella voidaan varmistaa kyberturvallisuuden yhteinen korkea taso kaikkialla unionissa, komissiolle olisi siirrettävä valta hyväksyä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, joilla täydennetään tätä direktiiviä täsmentämällä ne keskeisten ja tärkeiden toimijoiden luokat, jotka on velvoitettava käyttämään tiettyjä sertifioituja TVT-tuotteita, TVT-palveluja ja TVT-prosesseja tai hankkimaan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän myöntämä sertifiointi. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (22) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(139)

Jotta voidaan varmistaa tämän direktiivin yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa vahvistaa yhteistyöryhmän toiminnan edellyttämät menettelytapajärjestelyt ja kyberturvallisuusriskien hallintatoimenpiteitä koskevat tekniset, menetelmiin liittyvät ja alakohtaiset vaatimukset sekä täsmentää poikkeamista, kyberuhkista ja läheltä piti -tilanteista tehtävien ilmoitusten sekä merkittävistä kyberuhkista annettavien tiedonantojen tietosisältö, muoto ja ilmoitusmenettely sekä tapaukset, joissa poikkeama katsotaan merkittäväksi. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (23) mukaisesti.

(140)

Komission olisi tarkasteltava tätä direktiiviä määräajoin uudelleen sidosryhmiä kuultuaan, erityisesti sen selvittämiseksi, onko aiheellista ehdottaa yhteiskunnan, politiikan, tekniikan ja markkinaolojen kehitykseen perustuvia muutoksia. Komission olisi osana näitä uudelleentarkasteluja arvioitava asianomaisten toimijoiden koon sekä tämän direktiivin liitteissä tarkoitettujen toimialojen, toimialan osien ja toimijatyyppien merkitystä talouden ja yhteiskunnan toiminnalle kyberturvallisuuden näkökulmasta. Komission olisi arvioitava muun muassa sitä, voitaisiinko tämän direktiivin soveltamisalaan kuuluvat palveluntarjoajat, jotka on nimetty Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2065 (24) 33 artiklan mukaisiksi erittäin suuriksi verkkoalustoiksi, määrittää tämän direktiivin mukaisiksi keskeisiksi toimijoiksi.

(141)

Tällä direktiivillä annetaan ENISAlle uusia tehtäviä ja siten merkittävämpi rooli, minkä johdosta sitä saatetaan vaatia suorittamaan asetuksen (EU) 2019/881 mukaiset nykyiset tehtävänsä aiempaa korkeammalla vaatimustasolla. Sen varmistamiseksi, että ENISAlla on tarvittavat taloudelliset ja henkilöresurssit, jotta se voi suorittaa nykyiset ja uudet tehtävänsä ja selviytyä niistä entistä merkittävämmästä roolistaan johtuvalla, mahdollisesti korkeammalla vaatimustasolla, sen määrärahoja olisi vastaavasti lisättävä. Resurssien tehokkaan käytön varmistamiseksi ENISAlle olisi lisäksi jätettävä enemmän joustovaraa sen suhteen, miten se voi kohdentaa resursseja sisäisesti suorittaakseen tehtävänsä tehokkaasti ja vastatakseen odotuksiin.

(142)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän direktiivin tavoitetta eli saavuttaa kyberturvallisuuden yhteinen korkea taso kaikkialla unionissa, vaan se voidaan toiminnan vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä direktiivissä ei ylitetä sitä, mikä on tarpeen kyseisen tavoitteen saavuttamiseksi.

(143)

Tässä direktiivissä kunnioitetaan perusoikeuskirjassa tunnustettuja perusoikeuksia ja noudatetaan siinä tunnustettuja periaatteita, erityisesti oikeutta yksityiselämän ja viestien kunnioittamiseen, henkilötietojen suojaa, elinkeinovapautta, omistusoikeutta, oikeutta tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen, syyttömyysolettamaa ja oikeutta puolustukseen. Oikeus tehokkaisiin oikeussuojakeinoihin on myös keskeisten ja tärkeiden toimijoiden tarjoamien palvelujen vastaanottajilla. Tämä direktiivi olisi pantava täytäntöön näiden oikeuksien ja periaatteiden mukaisesti.

(144)

Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (25) 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausuntonsa 11 päivänä maaliskuuta 2021 (26),