(1)

Kriittisillä toimijoilla on keskeisten palvelujen tarjoajina korvaamaton rooli yhteiskunnalle välttämättömien toimintojen tai sisämarkkinoilla tapahtuvan taloudellisen toiminnan ylläpitämisen kannalta unionin taloudessa, jossa keskinäiset riippuvuussuhteet lisääntyvät jatkuvasti. Siksi on olennaista luoda unionin kehys, jonka tavoitteena on sekä parantaa kriittisten toimijoiden häiriönsietokykyä sisämarkkinoilla vahvistamalla niille yhdenmukaiset vähimmäissäännöt että auttaa niitä johdonmukaisten ja erityisten tuki- ja valvontatoimenpiteiden avulla.

(2)

Neuvoston direktiivissä 2008/114/EY (4) säädetään menettelystä sellaisen Euroopan elintärkeiden infrastruktuurien nimeämiseksi energian ja liikenteen toimialoilla, joiden vahingoittumisella tai tuhoutumisella olisi merkittävä rajat ylittävä vaikutus vähintään kahteen jäsenvaltioon. Direktiivin pääpaino on yksinomaan tällaisten infrastruktuurien suojaamisessa. Vuonna 2019 tehdyssä direktiivin 2008/114/EY arvioinnissa todettiin, etteivät yksittäisten infrastruktuurihyödykkeiden suojaamiseen liittyvät menetelmät riitä ehkäisemään kaikenlaisia häiriöitä, koska kriittisiä infrastruktuureita hyödyntävät toiminnot ovat enenevässä määrin rajat ylittäviä ja toisistaan riippuvaisia. Siksi painopiste on tarpeen siirtää sen varmistamiseen, että riskit otetaan paremmin huomioon, kriittisten toimijoiden rooli ja tehtävät sisämarkkinoiden toiminnan kannalta keskeisten palvelujen tarjoajina määritellään paremmin ja ovat johdonmukaisia ja että hyväksytään unionin sääntöjä, joilla parannetaan kriittisten toimijoiden häiriönsietokykyä. Kriittisten toimijoiden olisi pystyttävä vahvistamaan kykyään ehkäistä, torjua ja lieventää sellaisia poikkeamia, suojautua sellaisilta poikkeamilta, vaimentaa sellaisten poikkeamien vaikutuksia, reagoida ja sopeutua sellaisiin poikkeamiin sekä palautua sellaisista poikkeamista, jotka saattavat aiheuttaa häiriöitä keskeisten palvelujen tarjoamisessa.

(3)

Vaikka sekä unionissa että kansallisesti on käytössä monia toimenpiteitä, kuten Euroopan elintärkeiden infrastruktuureiden suojaamisohjelma, joiden tavoitteena on tukea kriittisten infrastruktuurien suojaamista unionissa, tällaisia infrastruktuureja ylläpitäviä toimijoita olisi autettava varustautumaan paremmin, jotta ne voisivat käsitellä sellaisia toimintoihinsa kohdistuvia riskejä, jotka toteutuessaan voisivat aiheuttaa häiriötä keskeisten palvelujen tarjonnassa. Tällaisia yhteisöjä olisi myös autettava enemmän varustautumaan paremmin dynaamiseen uhkaympäristöön, mukaan lukien kasvavat hybridi- ja terroriuhat, sekä infrastruktuurien ja toimialojen lisääntyvät keskinäiset riippuvuudet. Myös fyysiset riskit ovat kasvaneet luonnonkatastrofien ja ilmastonmuutoksen vuoksi. Ilmastonmuutos lisää äärimmäisten sääilmiöiden esiintymistiheyttä ja voimakkuutta ja aiheuttaa ilmasto-olosuhteiden keskiarvoihin pitkällä aikavälillä muutoksia, jotka saattavat heikentää tiettyjen infrastruktuurityyppien kapasiteettia ja tehokkuutta sekä lyhentää niiden käyttöikää, ellei ilmastonmuutokseen sopeutumista vahvistavia toimenpiteitä ole otettu käyttöön. Lisäksi kriittisten toimijoiden tunnistaminen sisämarkkinoilla on hajanaista, koska merkityksellisiä toimialoja ja toimijaluokkia ei ole nimetty kriittisiksi yhdenmukaisesti eri jäsenvaltioissa. Tässä direktiivissä olisi sen vuoksi pyrittävä kattavasti yhdenmukaistamaan sen soveltamisalaan kuuluvat toimialat ja toimijaluokat.

(4)

Tiettyjä talouden aloja, kuten energia- ja liikennealaa, säännellään jo alakohtaisilla unionin säädöksillä, joihin sisältyy vain tiettyihin kyseisten toimialojen toimijoiden häiriönsietokyvyn osa-alueisiin liittyviä säännöksiä. Jotta sisämarkkinoiden moitteettoman toiminnan kannalta kriittisten toimijoiden häiriönsietokykyyn voitaisiin vaikuttaa kattavasti, tällä direktiivillä luodaan yhtenäinen kehys kriittisten toimijoiden häiriönsietokyvyn vahvistamiseksi kaikkia uhkatekijöitä vastaan, olivat ne sitten luonnon tai ihmisen aiheuttamia, onnettomuuksia tai tahallaan aiheutettuja.

(5)

Infrastruktuurien ja toimialojen keskinäisen riippuvuuden vahvistuminen on seurausta enenevässä määrin rajat ylittävästä toisistaan riippuvaisten palvelujen tarjonnan verkostosta, joka hyödyntää keskeisiä infrastruktuureita koko unionissa energian, liikenteen, pankkitoiminnan, juomaveden, jäteveden, elintarvikkeiden tuotannon, jalostuksen ja jakelun, terveydenhuollon, avaruuden, rahoitusmarkkinoiden infrastruktuurin ja digitaalisen infrastruktuurin aloilla sekä eräiltä osin julkishallinnon alalla. Avaruusala kuuluu tämän direktiivin soveltamisalaan tiettyjen sellaisten palvelujen osalta, jotka riippuvat joko jäsenvaltioiden tai yksityisten tahojen omistamista, hallinnoimista ja operoimista maainfrastruktuureista; näin ollen unionin tai jonkin muun tahon unionin puolesta osana unionin avaruusohjelmaa omistamista, hallinnoimista tai operoimista infrastruktuureista ei kuulu tämän direktiivin soveltamisalaan.

Energiatoimialan ja erityisesti sähkön tuotanto- ja jakelumenetelmien (sähköntoimitukset) osalta sähköntuotanto voi, silloin kun se katsotaan tarpeelliseksi, käsittää osia, jotka liittyvät ydinvoimaloiden sähkönjakeluun mutta ei niitä, jotka kuuluvat yleissopimusten ja unionin oikeuden, mukaan lukien asiaankuuluvat ydinvoimaa koskevat unionin säädökset, soveltamisalaan. Elintarvikealan kriittisten toimijoiden määrittämisprosessissa olisi otettava asianmukaisesti huomioon sisämarkkinoiden luonne kyseisellä alalla sekä elintarvikelainsäädännön ja elintarvikkeiden turvallisuuden yleisiin periaatteisiin ja vaatimuksiin liittyvät kattavat unionin säännöt. Jotta voidaan varmistaa oikeasuhteinen toimintatapa ja ottaa asianmukaisesti huomioon kyseisten toimijoiden rooli ja merkitys kansallisella tasolla, kriittiset toimijat olisi sen vuoksi yksilöitävä ainoastaan sellaisista, joko voittoa tavoittelevista tai tavoittelemattomista taikka julkisista tai yksityisistä elintarvikealan yrityksistä, jotka harjoittavat yksinomaan logistiikka- ja tukkukauppatoimintaa sekä laajamittaista teollista tuotantoa ja jalostusta ja joilla on huomattava markkinaosuus kansallisella tasolla. Tällainen keskinäinen riippuvuus merkitsee, että myös alun perin yhteen toimijaan tai yhdelle toimialalle rajoittuneella keskeisten palvelujen häiriöllä voi olla laajoja kerrannaisvaikutuksia, minkä seurauksena mahdolliset kielteiset vaikutukset palvelujen toimittamiseen sisämarkkinoilla voivat olla kauaskantoisia ja pitkäaikaisia. Covid-19-pandemian kaltaiset merkittävät kriisit ovat osoittaneet, miten haavoittuvaisia enenevässä määrin toisistaan riippuvaiset yhteiskuntamme ovat epätodennäköisten mutta vaikutuksiltaan suurten riskien toteutuessa.

(6)

Keskeisten palvelujen tarjoamiseen osallistuviin toimijoihin kohdistuu enenevässä määrin erilaisia, kansallisessa lainsäädännössä asetettuja vaatimuksia. Kyseisille toimijoille asetetut turvallisuusvaatimukset eivät ole kaikissa jäsenvaltioissa yhtä tiukkoja, minkä johdosta häiriönsietokyvyn taso vaihtelee, ja tämä saattaa myös vaikuttaa kielteisesti välttämättömien yhteiskunnan toimintojen tai taloudellisen toiminnan ylläpitämiseen koko unionin alueella ja luoda sisämarkkinoiden moitteetonta toimintaa haittaavia esteitä. Sijoittajat ja yritykset voivat tukeutua ja luottaa sellaisiin kriittisiin toimijoihin, joiden häiriönsietokyky on vahva. Luotettavuus ja luottamus ovatkin hyvin toimivien sisämarkkinoiden kulmakiviä. Samantyyppisiä toimijoita pidetään joissakin jäsenvaltioissa kriittisinä mutta toisissa ei, ja lisäksi kriittisiksi määriteltyjä toimijoita koskevat erilaiset vaatimukset eri jäsenvaltioissa. Seurauksena on ylimääräinen ja tarpeeton hallinnollinen rasitus yrityksille, joilla on rajat ylittävää toimintaa, ja erityisesti yrityksille, jotka toimivat niissä jäsenvaltioissa, joissa sovelletaan muita tiukempia vaatimuksia. Unionin tason kehys tasoittaisi näin myös kriittisten toimijoiden toimintaedellytyksiä koko unionissa.

(7)

On tarpeen määrittää yhdenmukaiset vähimmäissäännöt, joilla voidaan turvata keskeisten palvelujen tarjonta sisämarkkinoilla, vahvistaa kriittisten toimijoiden häiriönsietokykyä ja parantaa toimivaltaisten viranomaisten rajat ylittävää yhteistyötä. Kyseisten sääntöjen suunnittelussa ja täytäntöönpanossa on tärkeää ottaa huomioon tulevaisuuden vaatimukset ja se, että ne ovat tarvittavan joustavia. On myös ratkaisevan tärkeää parantaa kriittisten toimijoiden valmiuksia tarjota keskeisiä palveluja erilaisten riskien varalta.

(8)

Korkeatasoisen häiriönsietokyvyn saavuttamiseksi jäsenvaltioiden olisi määritettävä kriittiset toimijat, joihin kohdistetaan erityisiä vaatimuksia ja valvontaa, ja joille tarjotaan erityistä tukea ja ohjeistusta kaikkien merkittävien riskien varalta.

(9)

Kun otetaan huomioon kyberturvallisuuden merkitys kriittisten toimijoiden häiriönsietokyvylle, johdonmukaisuuden vuoksi tämän direktiivin ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 (5) välillä olisi mahdollisuuksien mukaan varmistettava johdonmukainen lähestymistapa. Kyberriskien erityispiirteiden ja suuremman esiintyvyyden takia direktiivissä (EU) 2022/2555 säädetään kattavista vaatimuksista laajalle joukolle toimijoita näiden kyberturvallisuuden varmistamiseksi. Koska kyberturvallisuuteen puututaan riittävästi direktiivissä (EU) 2022/2555, kyseisessä direktiivissä säännellyt kysymykset olisi jätettävä tämän direktiivin soveltamisalan ulkopuolelle, sanotun kuitenkaan rajoittamatta digitaalisen infrastruktuurin toimialan toimijoiden erityistä järjestelmää.

(10)

Jos alakohtaisissa unionin säädöksissä edellytetään, että kriittiset toimijat ryhtyvät toimenpiteisiin häiriönsietokykynsä vahvistamiseksi ja jos jäsenvaltiot ovat todenneet kyseisten vaatimusten olevan vaikutukseltaan vähintään vastaavia kuin tässä direktiivissä säädetyt velvoitteet, tämän direktiivin kyseisiä säännöksiä ei olisi sovellettava, jotta voidaan välttää päällekkäisyydet ja tarpeeton rasitus. Tällaisessa tilanteessa olisi sovellettava näiden muiden unionin säädösten asiaankuuluvia säännöksiä. Mikäli tämän direktiivin asiaankuuluvia säännöksiä ei sovelleta, tässä direktiivissä säädettyjä valvonta- ja täytäntöönpanosäännöksiä ei olisi sovellettava.

(11)

Tämä direktiivi ei vaikuta jäsenvaltioiden ja niiden viranomaisten hallinnollista riippumattomuutta koskevaan toimivaltaan, niiden velvollisuuteen turvata kansallinen turvallisuus ja puolustus eikä niiden valtuuksiin turvata muut keskeiset valtion tehtävät erityisesti yleisen turvallisuuden, alueellisen koskemattomuuden ja sisäisen turvallisuuden suojaamista koskevat tehtävät. Tätä direktiiviä ei olisi sovellettava julkishallinnon toimijoihin, jotka harjoittavat toimintaansa pääasiassa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten tutkinta, selvittäminen ja syytteeseenpano. Julkishallinnon toimijoiden, joiden toiminta näillä aloilla on vähäistä, olisi kuitenkin edelleen kuuluttava tämän direktiivin soveltamisalaan. Tätä direktiiviä sovellettaessa sääntelyvaltaa käyttävien toimijoiden ei katsota harjoittavan toimintaa lainvalvonnan alalla, joten niitä ei ole suljettu tällä perusteella tämän direktiivin soveltamisalan ulkopuolelle. Julkishallinnon toimijat, jotka on kansainvälisen sopimuksen mukaisesti perustettu yhdessä kolmannen maan kanssa, eivät kuulu tämän direktiivin soveltamisalaan. Tätä direktiiviä ei sovelleta jäsenvaltioiden diplomaatti- ja konsuliedustustoihin kolmansissa maissa.

Tietyt kriittiset toimijat harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan, mukaan lukien rikosten tutkiminen, paljastaminen ja rikosoikeudellisten seuraamusten täytäntöönpano, aloilla tai tarjoavat palveluja yksinomaan sellaisille julkishallinnon toimijoille, jotka harjoittavat toimintaa pääasiassa kyseisillä aloilla. Kun otetaan huomioon jäsenvaltioiden velvollisuus turvata kansallinen turvallisuus ja puolustus, niiden olisi voitava päättää, että kriittisille toimijoille tässä direktiivissä säädettyjä velvoitteita ei sovelleta kokonaisuudessaan tai osittain, jos kyseisten kriittisten toimijoiden tarjoamat palvelut tai niiden harjoittama toiminta liittyvät pääasiassa kansalliseen turvallisuuteen, yleiseen turvallisuuteen, puolustukseen tai lainvalvontaan, mukaan lukien rikosten tutkiminen, paljastaminen ja rikosoikeudellisten seuraamusten täytäntöönpano. Kriittisten toimijoiden, joiden palvelut tai toiminta kyseisillä aloilla on vähäistä, olisi edelleen kuuluttava tämän direktiivin soveltamisalaan. Mitään jäsenvaltiota ei saisi vaatia antamaan tietoja, joiden ilmaiseminen olisi vastoin sen keskeisiä kansalliseen turvallisuuteen liittyviä etuja. Merkityksellisiä ovat turvallisuusluokiteltujen tietojen suojaamista koskevat unionin tai kansalliset säännöt ja salassapitosopimukset.

(12)

Jotta ei vaarannettaisi kansallista turvallisuutta eikä kriittisten toimijoiden turvallisuutta ja kaupallisia etuja, arkaluonteisiin tietoihin pääsyssä sekä niiden vaihdossa ja käsittelyssä olisi noudatettava huolellisuutta ja kiinnitettävä erityistä huomiota asianomaisten sidosryhmien käyttämiin välityskanaviin ja säilytysvalmiuksiin.

(13)

Jotta kriittisten toimijoiden häiriönsietokyky voitaisiin turvata kattavasti, kullakin jäsenvaltiolla olisi oltava käytössään strategia kriittisten toimijoiden häiriönsietokyvyn parantamiseksi, jäljempänä ’strategia’. Strategiassa olisi määriteltävä strategiset tavoitteet ja toteutettavat poliittiset toimet. Johdonmukaisuuden ja tehokkuuden vuoksi strategia olisi laadittava niin, että siihen sisällytetään saumattomasti olemassa olevat politiikat ja että se perustuu mahdollisuuksien mukaan asiaankuuluviin jo laadittuihin kansallisiin ja alakohtaisiin strategioihin. Johdonmukaisen lähestymistavan saavuttamiseksi jäsenvaltioiden olisi varmistettava, että niiden strategiat sisältävät kehyksen tämän direktiivin mukaisten toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten välisen koordinoinnin tehostamiselle kyberturvallisuusriskejä, kyberuhkia ja kyberturvallisuuspoikkeamia sekä muita kuin kyberturvallisuusriskejä, kyberuhkia ja kyberturvallisuuspoikkeamia koskevan tietojenvaihdon ja valvontatehtävien hoitamisen yhteydessä. Näitä strategioitaan laatiessaan jäsenvaltioiden olisi otettava asianmukaisesti huomioon kriittisiin toimijoihin kohdistuvien uhkien hybridiluonne.

(14)

Jäsenvaltioiden olisi toimitettava strategiansa ja niiden merkittävät päivitykset komissiolle, erityisesti jotta tämä voisi arvioida tämän direktiivin asianmukaista soveltamista siltä osin kuin on kyse kriittisten toimijoiden häiriönsietokykyä koskevista toimintapoliittisista lähestymistavoista kansallisella tasolla. Strategiat voitaisiin tarvittaessa toimittaa turvallisuusluokiteltuina tietoina. Komission olisi laadittava jäsenvaltioiden toimittamista strategioista yhteenvetokertomus, jonka perusteella kriittisten toimijoiden häiriönsietokykyä käsittelevä ryhmä voi määritellä parhaita käytäntöjä ja yhteistä etua koskevia kysymyksiä. Yhteenvetokertomukseen sisällytettävien yhdistettyjen tietojen arkaluonteisuuden vuoksi ja riippumatta siitä, ovatko ne turvallisuusluokiteltuja vai eivät, komission olisi yhteenvetokertomusta hallinnoidessaan otettava riittävällä tavalla huomioon kriittisten toimijoiden, jäsenvaltioiden ja unionin turvallisuus. Yhteenvetokertomus ja strategiat olisi suojattava laittomilta tai vihamielisiltä toimilta, ja niiden olisi oltava ainoastaan valtuutettujen henkilöiden saatavilla tämän direktiivin tavoitteiden saavuttamiseksi. Toimitettavien strategioiden ja niiden merkittävien päivitysten olisi myös autettava komissiota ymmärtämään kriittisten toimijoiden häiriönsietokykyä koskevien lähestymistapojen kehitystä, ja niitä olisi hyödynnettävä tämän direktiivin, jota komissio tarkastelee määräajoin uudelleen, vaikutusten ja lisäarvon seurannassa.

(15)

Jäsenvaltioiden toimien kriittisten toimijoiden määrittämiseksi ja niiden häiriönsietokyvyn turvaamisen tukemiseksi olisi perustuttava riskiperusteiseen lähestymistapaan, jossa toimet kohdennetaan niille toimijoille, joiden merkitys välttämättömille yhteiskunnan toiminnoille tai taloudelliselle toiminnalle on suurin. Kohdennetun lähestymistavan varmistamiseksi jokaisen jäsenvaltion olisi arvioitava yhdenmukaistetun kehyksen puitteissa merkitykselliset luonnon ja ihmisen aiheuttamat riskit, mukaan lukien useita toimialoja koskevat ja rajat ylittävät riskit, jotka saattavat uhata keskeisten palvelujen tarjoamista. Tällaisia riskejä ovat esimerkiksi onnettomuudet, luonnonkatastrofit, kansanterveysuhat, kuten pandemiat ja hybridiuhat tai muut vihamieliset uhat, mukaan lukien terrorismirikokset, rikollisten soluttautuminen ja sabotaasi, jäljempänä ’jäsenvaltioiden riskinarviointi’. Jäsenvaltioiden riskinarviointien yhteydessä jäsenvaltioiden olisi otettava huomioon muut yleiset tai alakohtaiset riskinarvioinnit, jotka on tehty unionin muiden säädösten nojalla, sekä se, missä määrin toimialat ovat riippuvaisia toisistaan myös muissa jäsenvaltioissa ja kolmansissa maissa. Jäsenvaltioiden riskinarviointien tuloksia olisi hyödynnettävä kriittisten toimijoiden määrittämisessä ja käytettävä kyseisten toimijoiden apuna niille asetettujen häiriönsietokykyä koskevien vaatimusten täyttämisessä. Tätä direktiiviä sovelletaan ainoastaan jäsenvaltioihin ja unionissa toimiviin kriittisiin toimijoihin. Toimivaltaisten viranomaisten erityisesti riskinarviointien avulla sekä komission erityisesti erilaisten tuki- ja yhteistyömuotojen avulla tuottamaa asiantuntemusta ja tietämystä voitaisiin kuitenkin tarvittaessa ja sovellettavien oikeudellisten välineiden mukaisesti käyttää erityisesti unionin välittömässä läheisyydessä sijaitsevien kolmansien maiden hyväksi hyödyntämällä häiriönsietokyvyn alalla jo olemassa olevaa yhteistyötä.

(16)

Jotta voidaan varmistaa, että tässä direktiivissä säädetyt häiriönsietokykyä koskevat vaatimukset koskevat kaikkia asiaankuuluvia toimijoita, ja vähentää eroavaisuuksia tässä asiassa, on tärkeää vahvistaa yhdenmukaiset säännöt, joiden perusteella kriittiset toimijat voidaan määrittää yhdenmukaisesti koko unionin alueella mutta jotka antavat samalla jäsenvaltioiden ottaa asianmukaisesti huomioon näiden toimijoiden aseman ja merkityksen kansallisella tasolla. Soveltaessaan tässä direktiivissä säädettyjä perusteita kunkin jäsenvaltion olisi määritettävä toimijat, jotka tarjoavat yhtä tai useampaa keskeistä palvelua ja jotka toimivat ja joilla on kriittistä infrastruktuuria sen alueella. Toimijan olisi katsottava toimivan sen jäsenvaltion alueella, jossa se harjoittaa kyseisen yhden tai useamman keskeisen palvelun kannalta välttämätöntä toimintaa ja jossa sijaitsee kyseisen toimijan kriittinen infrastruktuuri, jota käytetään kyseisen palvelun tai kyseisten palvelujen tarjoamiseen. Jos yksikään toimija ei täytä näitä kriteerejä jäsenvaltiossa, kyseisellä jäsenvaltiolla ei olisi velvoitetta määrittää kriittistä toimijaa vastaavalla toimialalla tai alasektorilla. Vaikuttavuuden, tehokkuuden, johdonmukaisuuden ja oikeusvarmuuden vuoksi olisi vahvistettava asianmukaiset säännöt ilmoittaville toimijoille siitä, että ne on määritetty kriittisiksi toimijoiksi.

(17)

Jäsenvaltioiden olisi toimitettava komissiolle tämän direktiivin tavoitteet täyttävällä tavalla luettelo keskeisistä palveluista, kullakin liitteessä mainitulla toimialalla ja alasektorilla määritettyjen kriittisten toimijoiden lukumäärä ja kunkin toimijan tarjoama keskeinen palvelu tai palvelut sekä mahdollisesti sovelletut kynnysarvot. Kynnysarvot olisi voitava esittää sellaisenaan tai yhdistellyssä muodossa, jolloin voidaan esittää keskiarvoja, jotka on muodostettu maantieteellisten alueiden, vuoden, toimialojen, alasektorien tai jonkin muun perusteen pohjalta, ja tietoihin voidaan sisällyttää käytettyjen indikaattorien ääriarvot.

(18)

Poikkeamien aiheuttaman haitallisen vaikutuksen merkityksen määrittämiseksi olisi laadittava perusteet. Kyseisten perusteiden olisi perustuttava Euroopan parlamentin ja neuvoston direktiivissä (EU) 2016/1148 (6) säädettyihin perusteisiin, jotta voidaan hyödyntää jäsenvaltioiden toimia kyseisessä direktiivissä määriteltyjen keskeisten toimijoiden määrittämiseksi ja näistä saatua kokemusta. Covid-19-pandemian kaltaiset merkittävät kriisit ovat osoittaneet, miten tärkeää on varmistaa toimitusketjun turvallisuus ja miten häiriöllä voi olla kielteisiä taloudellisia ja yhteiskunnallisia vaikutuksia monilla aloilla yli rajojen. Sen vuoksi jäsenvaltioiden olisi otettava mahdollisuuksien mukaan huomioon myös vaikutukset toimitusketjuun määrittäessään, missä määrin muut toimialat ja alasektorit ovat riippuvaisia kriittisen toimijan tarjoamasta keskeisestä palvelusta.

(19)

Sovellettavan unionin ja kansallisen lainsäädännön mukaisesti, mukaan lukien Euroopan parlamentin ja neuvoston asetus (EU) 2019/452 (7), jolla perustetaan unioniin tulevien ulkomaisten suorien sijoitusten seurantaan tarkoitetut puitteet, on syytä ottaa huomioon kriittisten infrastruktuurien ulkomaisesta omistuksesta unionissa aiheutuva mahdollinen uhka, sillä palvelut, talous ja unionin kansalaisten vapaa liikkuvuus ja turvallisuus ovat riippuvaisia siitä, että kriittinen infrastruktuuri toimii asianmukaisesti.

(20)

Direktiivissä (EU) 2022/2555 edellytetään, että digitaalisen infrastruktuurin alaan kuuluvat toimijat, jotka voitaisiin tämän direktiivin mukaisesti määrittää kriittisiksi toimijoiksi, toteuttavat asianmukaiset ja oikeasuhtaiset tekniset, operatiiviset ja organisatoriset toimenpiteet verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien riskien hallitsemiseksi sekä merkittävistä poikkeamista ja kyberuhkista ilmoittamiseksi. Koska verkko- ja tietojärjestelmien turvallisuuteen kohdistuvat uhat voivat johtua monenlaisista syistä, direktiivissä (EU) 2022/2555 sovelletaan kaikki vaaratekijät huomioon ottavaa toimintatapaa, joka käsittää verkko- ja tietojärjestelmien ja niiden fyysisten osatekijöiden ja ympäristöjen häiriönsietokyvyn.

Kun otetaan huomioon, että direktiivissä (EU) 2022/2555 tältä osin säädetyt vaatimukset ovat vaikutukseltaan vähintään vastaavia kuin tässä direktiivissä säädetyt velvoitteet, tämän direktiivin 11 artiklassa sekä III, IV ja VI luvussa säädettyjä velvoitteita ei olisi sovellettava digitaalisen infrastruktuurin alaan kuuluviin toimijoihin, jotta voidaan välttää päällekkäisyydet ja tarpeeton hallinnollinen rasitus. Kun kuitenkin otetaan huomioon digitaalisen infrastruktuurin alaan kuuluvan toimialan toimijoiden tarjoamien palvelujen merkitys kaikkiin muihin toimialoihin kuuluville kriittisille toimijoille, jäsenvaltioiden olisi kuitenkin määritettävä tässä direktiivissä säädettyjen perusteiden mukaan ja tämän direktiivin mukaista menettelyä noudattaen digitaalisen infrastruktuurin alaan kuuluvan toimialan toimijat kriittisiksi toimijoiksi. Tämän direktiivin II luvussa säädettyjä jäsenvaltioiden riskinarviointia ja tukitoimenpiteitä koskevia strategioita olisi näin ollen sovellettava. Jäsenvaltioiden olisi voitava hyväksyä tai pitää voimassa kansallisen lainsäädännön säännöksiä saavuttaakseen korkeamman häiriönsietokyvyn tason kyseisten kriittisten toimijoiden osalta edellyttäen, että kyseiset säännökset ovat sovellettavan unionin oikeuden mukaisia.

(21)

Finanssipalveluja koskevassa unionin lainsäädännössä on säädetty kattavasti finanssialan toimijoiden velvoitteista hallita kaikkia mahdollisia riskejä, mukaan lukien operatiiviset riskit ja liiketoiminnan jatkuvuuden turvaaminen. Kyseiseen lainsäädäntöön kuuluvat Euroopan parlamentin ja neuvoston asetukset (EU) N:o 648/2012 (8), (EU) N:o 575/2013 (9) ja (EU) N:o 600/2014 (10) sekä direktiivit 2013/36/EU (11) ja 2014/65/EU (12). Kyseistä oikeudellista kehystä täydennetään Euroopan parlamentin ja neuvoston asetuksella (EU) 2022/2554 (13), jossa velvoitetaan finanssiyhteisöt hallitsemaan tieto- ja viestintätekniikan riskejä, jäljempänä ’TVT-riskit’, mukaan lukien fyysisen TVT-infrastruktuurin suojaamista koskevat riskit. Koska kyseisten toimijoiden häiriönsietokyky on siten katettu laajasti, tämän direktiivin 11 artiklaa sekä III, IV ja VI lukua ei olisi sovellettava kyseisiin toimijoihin, jotta voidaan välttää päällekkäisyydet ja tarpeeton hallinnollinen rasitus.

Kun otetaan huomioon finanssitoimialan toimijoiden tarjoamien palvelujen merkitys kaikkiin muihin toimialoihin kuuluville kriittisille toimijoille, jäsenvaltioiden olisi kuitenkin määritettävä tässä direktiivissä säädettyjen perusteiden mukaan ja tämän direktiivin mukaista menettelyä noudattaen finanssitoimialan toimijat kriittisiksi toimijoiksi. Tämän direktiivin II luvussa säädettyjä strategioita, jäsenvaltioiden riskinarviointia ja tukitoimenpiteitä olisi näin ollen sovellettava. Jäsenvaltioiden olisi voitava hyväksyä tai pitää voimassa kansallisen lainsäädännön säännöksiä saavuttaakseen korkeamman häiriönsietokyvyn tason kyseisten kriittisten toimijoiden osalta edellyttäen, että kyseiset säännökset ovat sovellettavan unionin oikeuden mukaisia.

(22)

Jäsenvaltioiden olisi nimettävä tai perustettava viranomaisia, jotka ovat toimivaltaisia valvomaan tämän direktiivin sääntöjen soveltamista ja tarvittaessa niiden täytäntöönpanoa ja varmistettava, että kyseisillä viranomaisilla on riittävä toimivalta ja resurssit. Koska kansallisissa hallintorakenteissa on eroja ja jotta taataan olemassa olevien toimialakohtaisten järjestelyjen tai unionin valvonta- ja sääntelyelinten säilyttäminen ja vältetään päällekkäisyyksiä, jäsenvaltioiden olisi voitava nimetä tai perustaa useampi kuin yksi kansallinen toimivaltainen viranomainen. Jos jäsenvaltiot nimeävät tai perustavat useamman kuin yhden toimivaltaisen viranomaisen, niiden olisi tällöin määriteltävä selkeästi kunkin asianomaisen viranomaisen tehtävät ja varmistettava, että näiden välinen yhteistyö on sujuvaa ja toimivaa. Kaikkien toimivaltaisten viranomaisten olisi yleisemminkin tehtävä yhteistyötä muiden merkityksellisten viranomaisten kanssa niin unionin kuin kansallisella tasolla.

(23)

Rajat ylittävän yhteistyön ja viestinnän helpottamiseksi ja jotta tämä direktiivi voitaisiin panna tehokkaasti täytäntöön, jokaisen jäsenvaltion olisi nimettävä tarvittaessa jonkin toimivaltaisen viranomaisen yhteyteen yksi keskitetty yhteyspiste, joka vastaa kriittisten toimijoiden häiriönsietokykyyn ja rajatylittävään yhteistyöhön liittyvien kysymysten koordinoinnista unionin tasolla, jäljempänä ’keskitetty yhteyspiste’, sanotun kuitenkaan rajoittamatta unionin toimialakohtaisten säädösten vaatimusten soveltamista. Kunkin keskitetyn yhteyspisteen olisi pidettävä yhteyttä oman jäsenvaltionsa toimivaltaisiin viranomaisiin, muiden jäsenvaltioiden keskitettyihin yhteyspisteisiin ja kriittisten toimijoiden häiriönsietokykyä käsittelevään ryhmään ja tarvittaessa koordinoitava näiden kanssa käytävää viestintää.

(24)

Tämän direktiivin mukaisten toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten olisi tehtävä yhteistyötä ja vaihdettava tietoja kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista sekä muista kuin kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista, jotka vaikuttavat kriittisiin toimijoihin, sekä tämän direktiivin mukaisten toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten toteuttamista olennaisista toimenpiteistä. Jäsenvaltioiden on tärkeää varmistaa, että tässä direktiivissä ja direktiivissä (EU) 2022/2555 säädetyt vaatimukset pannaan täytäntöön toisiaan täydentävästi ja että kriittisiin toimijoihin ei kohdistu enempää hallinnollista rasitusta kuin on tarpeen tämän direktiivin ja direktiivin (EU) 2022/2555 tavoitteiden saavuttamiseksi.

(25)

Jäsenvaltioiden olisi tuettava kriittisiä toimijoita, myös pieniksi tai keskisuuriksi yrityksiksi lukeutuvia, niiden häiriönsietokyvyn vahvistamisessa jäsenvaltioille tässä direktiivissä säädettyjen velvoitteiden mukaisesti, sanotun kuitenkaan rajoittamatta kriittisten toimijoiden omaa oikeudellista vastuuta varmistaa velvoitteiden noudattaminen, ja estettävä tästä aiheutuva liiallinen hallinnollinen rasitus. Jäsenvaltiot voisivat erityisesti laatia ohjemateriaaleja ja menetelmiä, tukea kriittisten toimijoiden häiriönsietokykytestien järjestämistä sekä tarjota kriittisille toimijoille neuvontaa ja koulutusta. Jäsenvaltiot voisivat myöntää rahoitusta tarvittaessa ja silloin kun se on perusteltua yleisen edun mukaisten tavoitteiden kannalta, ja niiden olisi edistettävä kriittisten toimijoiden välistä vapaaehtoista tietojen ja hyvien käytäntöjen vaihtoa, sanotun kuitenkaan rajoittamatta Euroopan unionin toiminnasta tehdyssä sopimuksessa (SEUT) vahvistettujen kilpailusääntöjen soveltamista.

(26)

Jäsenvaltioiden määrittämien kriittisten toimijoiden häiriönsietokyvyn parantamiseksi ja niihin kohdistuvan hallinnollisen rasituksen vähentämiseksi toimivaltaisten viranomaisten olisi aina tarvittaessa kuultava toisiaan varmistaakseen, että tätä direktiiviä sovelletaan johdonmukaisesti. Kuulemisia olisi toteutettava minkä tahansa asiaan liittyvän toimivaltaisen viranomaisen pyynnöstä, ja niissä olisi keskityttävä sen varmistamiseen, että sellaisia toisiinsa kytkeytyviä kriittisiä toimijoita käsitellään yhtenäisesti, jotka käyttävät kahteen tai useampaan jäsenvaltioon fyysisesti yhteydessä olevaa kriittistä infrastruktuuria, jotka kuuluvat samaan konserniin tai yritysrakenteeseen tai jotka on määritetty kriittisiksi toimijoiksi yhdessä jäsenvaltiossa ja tarjoavat keskeisiä palveluja toiselle jäsenvaltiolle tai toisessa jäsenvaltiossa.

(27)

Jos unionin oikeuden tai kansallisen lainsäädännön säännöksissä edellytetään kriittisten toimijoiden arvioivan tämän direktiivin kannalta merkityksellisiä riskejä ja toteuttavan toimenpiteitä toimijoiden oman häiriönsietokyvyn varmistamiseksi, tällaiset vaatimukset olisi laadittava asianmukaisesti sen valvomista varten, noudattavatko kriittiset toimijat tätä direktiiviä.

(28)

Kriittisten toimijoiden olisi ymmärrettävä kokonaisvaltaisesti niihin kohdistuvat merkitykselliset riskit, ja ne olisi velvoitettava analysoimaan kyseiset riskit. Tätä varten niiden olisi suoritettava riskinarviointeja erityisolosuhteidensa ja kyseisten riskien kehittymisen sitä edellyttäessä ja joka tapauksessa neljän vuoden välein, jotta voidaan arvioida kaikki merkitykselliset riskit, jotka voisivat häiritä niiden keskeisten palvelujen tarjoamista, jäljempänä ’kriittisten toimijoiden riskinarviointi’. Jos kriittiset toimijat ovat tehneet riskinarviointeja tai laatineet asiakirjoja sellaisten muiden säädösten velvoitteiden mukaisesti, jotka ovat merkityksellisiä kriittisen toimijan riskinarvioinnin kannalta, niiden olisi voitava käyttää kyseisiä arviointeja ja asiakirjoja tässä direktiivissä säädettyjen kriittisten toimijoiden riskinarviointeja koskevien vaatimusten täyttämiseksi. Toimivaltaisen viranomaisen olisi voitava vastaavasti todeta, että jokin kriittisen toimijan olemassa oleva riskinarviointi, jossa otetaan huomioon merkitykselliset riskit ja riippuvuuden merkitys, on kokonaan tai osittain tässä direktiivissä säädettyjen velvoitteiden mukainen.

(29)

Kriittisten toimijoiden olisi toteuttava niihin kohdistuvien riskien suhteen asianmukaiset ja oikeasuhteiset tekniset, turvallisuutta koskevat ja organisatoriset toimenpiteet voidakseen ehkäistä, torjua ja lieventää poikkeamia, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä. Kriittisten toimijoiden olisi toteutettava kyseiset toimenpiteet tämän direktiivin mukaisesti, mutta tällaisten toimenpiteiden yksityiskohtien ja laajuuden olisi vastattava asianmukaisesti ja oikeasuhteisesti eri kriittisten toimijoiden riskinarvioinnissaan määrittämiä riskejä ja kriittisten toimijan omia erityispiirteitä. Komission olisi edistettävä unionin laajuista johdonmukaista toimintatapaa hyväksymällä kriittisten toimijoiden häiriönsietokykyä käsittelevää ryhmää kuultuaan ei-sitovia suuntaviivoja, joilla tarkennetaan kyseisiä teknisiä, turvallisuutta koskevia ja organisatorisia toimenpiteitä. Jäsenvaltioiden olisi varmistettava, että kukin kriittinen toimija nimeää yhteyshenkilön tai vastaavan yhteyspisteeksi toimivaltaisille viranomaisille.

(30)

Vaikuttavuuden ja vastuuvelvollisuuden vuoksi kriittisten toimijoiden olisi kuvattava toteuttamansa toimenpiteet häiriönsietokykyä koskevassa suunnitelmassa tai sitä vastaavassa asiakirjassa tai asiakirjoissa vaikuttavuuden ja vastuuvelvollisuuden tavoitteiden saavuttamisen kannalta riittävän yksityiskohtaisesti ja määritetyt riskit huomioiden, sekä sovellettava suunnitelmaa käytännössä. Jos kriittinen toimija on jo toteuttanut teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä ja laatineet asiakirjoja sellaisten muiden säädösten nojalla, jotka ovat merkityksellisiä tämän direktiivin mukaisten häiriönsietokykyä turvaavien toimenpiteiden kannalta, sen olisi päällekkäisyyksien välttämiseksi voitava käyttää kyseisiä toimenpiteitä ja asiakirjoja tämän direktiivin mukaisten häiriönsietokykyä turvaavien toimenpiteiden täyttämiseksi. Päällekkäisyyksien välttämisesti toimivaltaisen viranomaisen olisi voitava vastaavasti todeta, että kriittisen toimijan olemassa olevat häiriönsietokykyä turvaavat toimenpiteet, joissa käsitellään sen teknisiä, turvallisuus- ja organisatorisia velvoitteita, ovat kokonaan tai osittain tämän direktiivin vaatimusten mukaisia.

(31)

Euroopan parlamentin ja neuvoston asetuksissa (EY) N:o 725/2004 (14) ja (EY) N:o 300/2008 (15) sekä Euroopan parlamentin ja neuvoston direktiivissä 2005/65/EY (16) vahvistetaan ilmailun ja merikuljetusten toimialojen toimijoihin sovellettavat vaatimukset ehkäistä laittomien tekojen aiheuttamat välikohtaukset ja torjua ja hillitä tällaisten välikohtausten aiheuttamia seurauksia. Vaikka tämän direktiivin nojalla edellytetyt toimenpiteet ovat riskien ja toteutettavien toimenpiteiden suhteen laaja-alaisempia, näiden toimialojen kriittisten toimijoiden häiriönsietokykyä koskevan suunnitelman tai vastaavien asiakirjojen olisi vastattava näiden unionin muiden säädösten mukaisesti toteutettuja toimenpiteitä. Kriittisten toimijoiden olisi myös otettava huomioon Euroopan parlamentin ja neuvoston direktiivi 2008/96/EY (17), jolla otetaan käyttöön verkon laajuinen tieturvallisuusarviointi onnettomuusriskien kartoittamiseksi ja kohdennettu tieturvallisuustarkastus, jonka tarkoituksena on tunnistaa vaaralliset olosuhteet, puutteet ja ongelmat, jotka lisäävät onnettomuuksien ja vammautumisen riskiä, olemassa oleville tielle tai tieosuuksille maastossa tehtävien tarkastusten perusteella. Kriittisten toimijoiden suojelun ja häiriönsietokyvyn takaaminen on erittäin tärkeää rautatiealalle, ja kun häiriönsietokykyä parantavia toimenpiteitä toteutetaan tämän direktiivin nojalla, kriittisiä toimijoita kannustetaan ottamaan huomioon toimialakohtaisissa toimintalinjoissa, kuten komission päätöksellä 2018/C 232/03 (18) perustetussa EU:n rautateiden henkilöliikenteen turvallisuusfoorumissa, laaditut ei-sitovat suuntaviivat ja hyviä käytäntöjä koskevat asiakirjat.

(32)

Riski siitä, että kriittisten toimijoiden työntekijät tai niiden alihankkijat esimerkiksi käyttävät käyttöoikeuksiaan kriittisen toimijan organisaatiossa väärin aiheuttaakseen haittaa tai vahinkoa, on yhä suurempi ongelma. Jäsenvaltioiden olisi sen vuoksi täsmennettävä edellytykset, joiden mukaisesti kriittiset toimijat voivat asianmukaisesti perustelluissa tapauksissa ja ottaen huomioon jäsenvaltioiden riskinarvioinnit esittää tiettyihin henkilöstönsä ryhmiin kuuluvien henkilöiden taustan tarkistusta koskevia pyyntöjä. Olisi varmistettava, että asiaankuuluvat viranomaiset arvioivat nämä pyynnöt kohtuullisen ajan kuluessa ja että ne käsitellään kansallisen lainsäädännön ja kansallisten menettelyjen sekä asianmukaisen ja soveltuvan unionin oikeuden, mukaan lukien henkilötietojen suojaa koskevan lainsäädännön, mukaisesti. Jotta taustan tarkistuksen kohteena olevan henkilön henkilöllisyys voidaan vahvistaa, jäsenvaltioiden on aiheellista vaatia sovellettavan lainsäädännön mukaisesti henkilötodistusta, kuten passia, kansallista henkilökorttia tai digitaalisia tunnistusmuotoja.

Tällaiseen taustan tarkistukseen olisi kuuluttava asianomaisen henkilön rikosrekisteritietojen tarkistaminen. Jäsenvaltioiden olisi käytettävä eurooppalaista rikosrekisteritietojärjestelmää neuvoston puitepäätöksessä 2009/315/YOS (19) ja tarvittaessa ja soveltuvin osin Euroopan parlamentin ja neuvoston asetuksessa (EU) 2019/816 (20) määritettyjen menettelyjen mukaisesti, jotta ne voivat saada tietoja muiden jäsenvaltioiden pitämistä rikosrekistereistä. Jäsenvaltiot voisivat myös tarvittaessa ja soveltuvin osin hyödyntää Euroopan parlamentin ja neuvoston asetuksella (EU) 2018/1862 (21) perustettua toisen sukupolven Schengenin tietojärjestelmää (SIS II), tiedustelutietoja sekä muita saatavilla olevia objektiivisia tietoja, jotka voivat olla tarpeen määritettäessä, onko asianomainen henkilö sopiva työskentelemään tehtävässä, jonka osalta kriittinen toimija on pyytänyt taustan tarkistusta.

(33)

Olisi perustettava mekanismi tiettyjen poikkeamien ilmoittamista varten, jotta toimivaltaiset viranomaiset voivat reagoida niihin nopeasti ja asianmukaisesti ja jotta voidaan saada kattava yleiskuva kriittisiin toimijoihin kohdistuvien poikkeamien vaikutuksista, luonteesta, syistä ja mahdollisista seurauksista. Kriittisten toimijoiden olisi ilman aiheetonta viivytystä ilmoitettava toimivaltaisille viranomaisille poikkeamista, jotka merkittävästi häiritsevät tai voisivat merkittävästi häiritä keskeisten palvelujen tarjoamista. Kriittisten toimijoiden olisi lähetettävä ensimmäinen ilmoitus viimeistään 24 tunnin kuluttua poikkeaman havaitsemisesta, paitsi jos se on käytännössä mahdotonta. Ensimmäisen ilmoituksen olisi sisällettävä ainoastaan ne tiedot, jotka ovat ehdottoman välttämättömiä, jotta toimivaltainen viranomainen saa tiedon poikkeamasta ja kyseinen kriittinen toimija voi tarvittaessa pyytää apua. Ilmoituksessa olisi mahdollisuuksien mukaan ilmoitettava poikkeaman oletettu syy. Jäsenvaltioiden olisi varmistettava, että vaatimus tämän ensimmäisen ilmoituksen toimittamisesta ei vie kriittisen toimijan resursseja pois poikkeamien käsittelyyn liittyvistä toimista, jotka olisi asetettava etusijalle. Ensimmäistä ilmoitusta olisi tarvittaessa seurattava yksityiskohtainen raportti viimeistään kuukauden kuluttua poikkeamasta. Yksityiskohtaisen raportin olisi täydennettävä ensimmäistä ilmoitusta ja annettava kattavampi yleiskuva poikkeamasta.

(34)

Standardoinnin olisi jatkossakin oltava pääasiassa markkinalähtöistä. Joissakin tilanteissa saattaa kuitenkin vielä olla asianmukaista edellyttää erityisten standardien noudattamista. Jäsenvaltioiden olisi myös tarpeen mukaan edistettävä sellaisten eurooppalaisten ja kansainvälisten standardien ja teknisten eritelmien käyttöä, jotka ovat olennaisia kriittisiin toimijoihin sovellettavien turvallisuutta ja häiriönsietokykyä parantavien toimenpiteiden kannalta.

(35)

Yleisesti ottaen kriittiset toimijat toimivat alati tiivistyvässä palveluntarjonnan ja infrastruktuurin verkostossa ja tarjoavat usein keskeisiä palveluja useammassa kuin yhdessä jäsenvaltiossa. Joidenkin kriittisten toimijoiden merkitys unionille ja sen sisämarkkinoille on kuitenkin erityisen suuri, koska ne tarjoavat keskeisiä palveluja vähintään kuudelle jäsenvaltiolle tai vähintään kuudessa jäsenvaltiossa, ja siksi ne voisivat hyötyä erityisestä tuesta unionin tasolla. Sen vuoksi olisi vahvistettava säännöt, jotka koskevat Euroopan kannalta erityisen merkittäville kriittisille toimijoille toteutettavia neuvontaoperaatioita. Kyseiset säännöt eivät kuitenkaan rajoita tässä direktiivissä esitettyjä valvonta- ja täytäntöönpanosäännöksiä.

(36)

Jos tarvitaan lisätietoja, jotta voidaan neuvoa kriittiselle toimijalle, miten tämä voi noudattaa tämän direktiivin mukaisia velvoitteitaan, tai arvioida, miten hyvin Euroopan kannalta erityisen merkittävä kriittinen toimija noudattaa kyseisiä velvoitteita, kriittisen toimijan Euroopan kannalta erityisen merkittäväksi kriittiseksi toimijaksi määritelleen jäsenvaltion olisi annettava komissiolle tietyt tämän direktiivin mukaiset tiedot komission tai yhden tai useamman jäsenvaltion perustellusta pyynnöstä, joille tai joissa keskeistä palvelua tarjotaan. Komission olisi kriittisen toimijan Euroopan kannalta erityisen merkitykselliseksi kriittiseksi toimijaksi määritelleen jäsenvaltion kanssa yhteisymmärryksessä voitava järjestää neuvontaoperaatio kyseisen toimijan toteuttamien toimenpiteiden arvioimiseksi. Jotta voidaan varmistaa tällaisten neuvontaoperaatioiden asianmukainen toteuttaminen, olisi vahvistettava täydentävät säännöt erityisesti neuvontaoperaatioiden järjestämisestä ja toteutettavista seurantatoimista ja asianomaisia Euroopan kannalta erityisen merkittäviä kriittisiä toimijoita koskevista velvoitteista. Neuvontaoperaatioiden toteutuksessa olisi noudatettava kyseisen jäsenvaltion yksityiskohtaisia oikeusnormeja, jotka koskevat esimerkiksi ehtoja pääsyoikeuden saamiseksi kyseessä oleviin tiloihin tai asiakirjoihin, sekä oikeussuojakeinoja, sanotun kuitenkaan rajoittamatta sen jäsenvaltion, jossa neuvontaoperaatio toteutetaan, ja asianomaisen kriittisen toimijan velvollisuutta noudattaa tässä direktiivissä säädettyjä säännöksiä. Tällaisten neuvontaoperaatioiden edellyttämää erityisasiantuntemusta voidaan tarvittaessa pyytää Euroopan parlamentin ja neuvoston päätöksellä N:o 1313/2013/EU (22) perustetun hätäavun koordinointikeskuksen kautta.

(37)

Komission tukemiseksi sekä jäsenvaltioiden välisen yhteistyön ja tähän direktiiviin liittyviä seikkoja koskevan tietojenvaihdon, myös parhaiden käytäntöjen jakamisen, helpottamiseksi olisi perustettava kriittisten toimijoiden häiriönsietokykyä käsittelevä ryhmä komission asiantuntijaryhmänä. Jäsenvaltioiden olisi pyrittävä varmistamaan toimivaltaisten viranomaistensa nimettyjen edustajien tuloksellinen ja tehokas yhteistyö kriittisten toimijoiden häiriönsietokykyä käsittelevässä ryhmässä, myös nimeämällä edustajia, joilla on turvallisuusselvitys, silloin kun se on tarpeen. Kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän olisi aloitettava tehtävässään niin pian kuin mahdollista voidakseen tarjota lisäkeinoja asianmukaisen yhteistyön toteuttamiseksi saatettaessa tämä direktiivi osaksi kansallista lainsäädäntöä asetetun määräajan kuluessa. Kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän olisi toimittava vuorovaikutuksessa muiden asiaankuuluvien alakohtaisten asiantuntijatyöryhmien kanssa.

(38)

Kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän olisi tehtävä yhteistyötä direktiivillä (EU) 2022/2555 perustetun yhteistyöryhmän kanssa, jotta voidaan tukea kriittisten toimijoiden kyberuhkien sekä muiden kuin kyberuhkien sietokykyä koskevaa kattavaa kehystä. Kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän ja direktiivillä (EU) 2022/2555 perustetun yhteistyöryhmän olisi käytävä säännöllistä vuoropuhelua tämän direktiivin mukaisten toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten välisen yhteistyön edistämiseksi ja tietojenvaihdon helpottamiseksi erityisesti molempien ryhmien kannalta merkityksellisistä aiheista.

(39)

Tämän direktiivin tavoitteiden saavuttamiseksi ja rajoittamatta jäsenvaltioiden ja kriittisten toimijoiden oikeudellista vastuuta varmistaa siinä säädettyjen velvoitteidensa noudattaminen komission olisi tuettava toimivaltaisia viranomaisia ja kriittisiä toimijoita tavoitteena velvoitteidensa noudattamista helpottavat tukitoimet, jos se pitää sitä tarpeellisena. Tukiessaan jäsenvaltioita ja kriittisiä toimijoita tämän direktiivin mukaisten velvoitteiden täytäntöönpanossa komission olisi käytettävä olemassa olevia, esimerkiksi päätöksellä N:o 1313/2013/EU perustetun unionin pelastuspalvelumekanismin ja kriittisen infrastruktuurin turvaamista käsittelevän eurooppalaisen osaamisverkoston rakenteita ja välineitä. Lisäksi sen olisi ilmoitettava jäsenvaltioille unionin tasolla esimerkiksi Euroopan parlamentin ja neuvoston asetuksella (EU) 2021/1149 (23) perustetun sisäisen turvallisuuden rahaston, Euroopan parlamentin ja neuvoston asetuksella (EU) 2021/695 (24) perustetun Horisontti Eurooppa -ohjelman tai muiden kriittisten toimijoiden häiriönsietokyvyn kannalta merkityksellisten välineiden puitteissa saatavilla olevista resursseista.

(40)

Jäsenvaltioiden olisi varmistettava, että niiden toimivaltaisilla viranomaisilla on tämän direktiivin asianmukaista soveltamista ja täytäntöönpanoa varten tietyt toimivaltuudet suhteessa kriittisiin toimijoihin, jotka tämän direktiivin mukaisesti kuuluvat niiden lainkäyttövaltaan. Näiden toimivaltuuksien olisi sisällettävä erityisesti oikeus suorittaa tutkimuksia ja toteuttaa auditointeja, oikeus valvoa ja tehdä tarkastuksia, oikeus vaatia kriittisiä toimijoita toimittamaan tiedot ja todisteet toteuttamistaan toimenpiteistä velvoitteidensa täyttämiseksi ja tarvittaessa oikeus antaa määräys havaittujen rikkomisten korjaamiseksi. Antaessaan tällaisia määräyksiä jäsenvaltio ei saisi edellyttää sellaisia toimenpiteitä, jotka ylittävät asianomaisen kriittisen toimijan säännösten noudattamisen varmistamiseksi tarpeellisen ja oikeasuhtaisen tason, rikkomisen vakavuus ja asianomaisen kriittisen toimijan taloudelliset valmiudet erityisesti huomioon ottaen. Toimivaltuuksiin olisi liityttävä kansallisessa lainsäädännössä määritettävät asianmukaiset ja tehokkaat suojatoimet Euroopan unionin perusoikeuskirjan mukaisesti. Arvioidessaan, onko kriittinen toimija noudattanut tämän direktiivin mukaisia velvoitteitaan, tämän direktiivin mukaisten toimivaltaisten viranomaisten olisi voitava pyytää direktiivin (EU) 2022/2555 mukaisia toimivaltaisia viranomaisia käyttämään valvonta- ja täytäntöönpanovaltuuksiaan kyseisen direktiivin mukaisesti toimijaan, joka on tämän direktiivin nojalla määritetty kriittiseksi toimijaksi. Tämän direktiivin nojalla toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2555 nojalla toimivaltaisten viranomaisten olisi tehtävä asiassa yhteistyötä ja vaihdettava tietoja.

(41)

Jotta tätä direktiiviä voidaan soveltaa tehokkaasti ja johdonmukaisesti, komissiolle olisi siirrettävä valta hyväksyä SEUT 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, joilla täydennetään tätä direktiiviä laatimalla luettelo keskeisistä palveluista. Toimivaltaisten viranomaisten olisi käytettävä kyseistä luetteloa jäsenvaltioiden riskinarviointien tekemiseen ja kriittisten toimijoiden määrittämiseen. Tässä direktiivissä säädetään vähimmäistason yhdenmukaistamisesta, joten kyseinen luettelo ei ole tyhjentävä, ja jäsenvaltiot voisivat täydentää sitä kansallisen tason keskeisillä lisäpalveluilla, jotta keskeisten palvelujen tarjonnassa voidaan ottaa huomioon kansalliset erityispiirteet. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (25) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(42)

Jotta voidaan varmistaa tämän direktiivin yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (26) mukaisesti.

(43)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän direktiivin tavoitteita eli turvata välttämättömien yhteiskunnan toimintojen tai taloudellisen toiminnan kannalta keskeisten palvelujen tarjoamista sisämarkkinoilla ja parantaa näitä palveluja tarjoavien kriittisten toimijoiden häiriönsietokykyä, vaan ne voidaan toiminnan vaikutuksen vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa 5 artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä direktiivissä ei ylitetä sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi.

(44)

Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (27) 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausunnon 11 päivänä elokuuta 2021.

(45)

Direktiivi 2008/114/EY olisi sen vuoksi kumottava,