Komissio päätti 17. heinäkuuta 2023 olla vastustamatta edellä mainittua keskittymää ja todeta sen sisämarkkinoille soveltuvaksi. Päätös perustuu neuvoston asetuksen (EY) N:o 139/2004 (1) 6 artiklan 1 kohdan b alakohtaan. Päätöksen koko teksti on saatavissa ainoastaan englanniksi, ja se julkistetaan sen jälkeen, kun siitä on poistettu mahdolliset liikesalaisuudet. Päätös on saatavilla

—	komission kilpailun pääosaston verkkosivuilla (https://competition-cases.ec.europa.eu/search); sivuilla on monenlaisia hakukeinoja sulautumapäätösten löytämiseksi, muun muassa yritys-, asianumero-, päivämäärä- ja alakohtaiset hakemistot,

—	sähköisessä muodossa EUR-Lex-sivustolta (http://eur-lex.europa.eu/homepage.html?locale=fi) asiakirjanumerolla 32023M11106. EUR-Lex on Euroopan unionin oikeuden online-tietokanta.

---

(1)   EUVL L 24, 29.1.2004, s. 1.

I.   JOHDANTO

1.

Toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa 14 päivänä joulukuuta 2022 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 (1) (NIS 2 -direktiivi) 4 artiklan 3 kohdan mukaan komissio antaa viimeistään 17 päivänä heinäkuuta 2023 ohjeita, joissa selvennetään kyseisen direktiivin 4 artiklan 1 ja 2 kohdan soveltamista.

2.

Näissä ohjeissa selvennetään direktiivin (EU) 2022/2555 ja sellaisten nykyisten ja tulevien alakohtaisten unionin säädösten, joissa käsitellään kyberturvallisuusriskien hallintatoimenpiteitä tai poikkeamista raportoinnille asetettuja vaatimuksia, välistä suhdetta koskevien mainittujen säännösten soveltamista. Näiden ohjeiden lisäyksessä luetellaan alakohtaiset unionin säädökset, joiden komissio katsoo kuuluvan direktiivin (EU) 2022/2555 4 artiklan soveltamisalaan. Se, ettei säädöstä ole mainittu kyseisessä lisäyksessä, ei välttämättä tarkoita, ettei se kuulu mainitun säännöksen soveltamisalaan.

3.

Direktiivin (EU) 2022/2555 4 artiklan 3 kohdan kolmannen virkkeen mukaisesti komissio otti huomioon NIS-yhteistyöryhmän ja Euroopan unionin kyberturvallisuusviraston (ENISA) esittämät huomautukset ennen näiden ohjeiden hyväksymistä.

4.

Nämä ohjeet eivät rajoita Euroopan unionin tuomioistuimen tulkintaa unionin lainsäädännöstä.

II.   ALAKOHTAISTEN UNIONIN SÄÄDÖSTEN KYBERTURVALLISUUSVAATIMUSTEN VASTAAVUUS

5.

Direktiivin (EU) 2022/2555 4 artiklan 1 kohdassa säädetään, että jos alakohtaisissa unionin säädöksissä edellytetään, että keskeiset tai tärkeät toimijat ottavat käyttöön kyberturvallisuusriskien hallintatoimenpiteitä tai ilmoittavat merkittävistä poikkeamista, ja jos kyseiset vaatimukset ovat vaikutukseltaan vähintään kyseisessä direktiivissä säädettyjä velvoitteita vastaavia, tällaisiin toimijoihin ei sovelleta direktiivin (EU) 2022/2555 asiaankuuluvia säännöksiä, myöskään VII luvun säännöksiä valvonnasta ja täytäntöönpanosta. Mainitussa säännöksessä todetaan lisäksi, että jos alakohtaiset unionin säädökset eivät kata kyseisen direktiivin soveltamisalaan kuuluvan toimialan kaikkia toimijoita, direktiivin (EU) 2022/2555 asiaankuuluvia säännöksiä sovelletaan edelleen niihin toimijoihin, joita kyseiset alakohtaiset unionin säädökset eivät kata.

II.1.   Kyberturvallisuusriskien hallintavaatimukset

6.

Direktiivin (EU) 2022/2555 4 artiklan 2 kohdan a alakohdassa säädetään, että kyberturvallisuusriskien hallintatoimenpiteiden, joita keskeisten tai tärkeiden toimijoiden on alakohtaisten unionin säädösten nojalla otettava käyttöön, katsotaan olevan vaikutukseltaan direktiivissä (EU) 2022/2555 säädettyjä velvoitteita vastaavia, kun nämä toimenpiteet ovat vaikutukseltaan vähintään kyseisen direktiivin 21 artiklan 1 ja 2 kohdassa säädettyjä toimenpiteitä vastaavia. Kun arvioidaan, vastaavatko kyberturvallisuusriskien hallintatoimenpiteille alakohtaisessa unionin säädöksessä asetetut vaatimukset vaikutukseltaan vähintään direktiivin (EU) 2022/2555 21 artiklan 1 ja 2 kohdassa säädettyjä vaatimuksia, kyseiseen alakohtaiseen unionin säädökseen sisältyvien vaatimusten olisi vähintäänkin vastattava kyseisiin säännöksiin sisältyviä vaatimuksia tai niissä olisi ylitettävä nämä vaatimukset. Tämä tarkoittaa, että alakohtaiset säännökset voivat olla sisällöltään yksityiskohtaisempia direktiivin (EU) 2022/2555 vastaaviin säännöksiin verrattuna.

7.

Direktiivin (EU) 2022/2555 21 artiklan 1 kohdan ensimmäisen alakohdan mukaan jäsenvaltioiden on varmistettava, että keskeiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu. Näiden toimenpiteiden olisi oltava riskiperusteisia, ja niillä olisi voitava estää tai minimoida poikkeamien vaikutukset. Direktiivin (EU) 2022/2555 21 artiklan 1 kohdan toisessa alakohdassa täsmennetään, miten tällaisten toimenpiteiden oikeasuhteisuutta olisi arvioitava (2). Direktiivin (EU) 2022/2555 21 artiklan 1 kohdassa säädetty velvoite, jonka mukaan keskeisten ja tärkeiden toimijoiden on toteutettava asianmukaisia ja oikeasuhteisia kyberturvallisuusriskien hallintatoimenpiteitä, koskee kyseisen toimijan kaikkia toimintoja ja palveluja eikä vain sen tarjoamia tiettyjä tietoteknisiä toimintoja tai kriittisiä palveluja.

8.

Kun arvioidaan alakohtaisen unionin säädöksen vastaavuutta kyberturvallisuusriskien hallintaa koskevien direktiivin (EU) 2022/2555 säännösten kanssa, tässä arvioinnissa olisi annettava erityistä painoarvoa sille, kuuluuko kyseiseen säädökseen sisältyviin turvallisuusvelvoitteisiin toimenpiteitä, joilla pyritään varmistamaan verkko- ja tietojärjestelmien turvallisuus. Direktiivin (EU) 2022/2555 6 artiklan 2 alakohtaan sisältyvässä verkko- ja tietojärjestelmien turvallisuuden määritelmässä viitataan tietojärjestelmien kykyyn suojautua tietyllä varmuudella tapahtumilta, jotka saattavat vaarantaa kyseisissä verkko- ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Käsitteiden ”saatavuus”, ”aitous”, ”eheys” ja ”luottamuksellisuus” käyttö kyseisessä määritelmässä viittaa verkko- ja tietojärjestelmien turvallisuuteen liittyviin kaikkiin neljään suojelutavoitteeseen. Direktiivin (EU) 2022/2555 6 artiklan 1 alakohdassa määriteltyyn käsitteeseen ”verkko- ja tietojärjestelmä” kuuluvat sähköiset viestintäverkot (3), laite taikka yhteen kytkettyjen tai toisiinsa yhteydessä olevien laitteiden ryhmä, joista yksi tai useampi suorittaa ohjelman avulla digitaalisten tietojen automaattista käsittelyä, ja digitaaliset tiedot, joita tällaisissa sähköisissä viestintäverkoissa tai laitteissa säilytetään, käsitellään, haetaan tai siirretään näiden järjestelmien toimintaa, käyttöä, suojausta tai ylläpitoa varten. Alakohtaisessa unionin säädöksessä edellytettävien turvatoimenpiteiden olisikin katettava myös toimijan toiminnoissa käytettävät laitteistot, laiteohjelmistot ja ohjelmistot.

9.

Toinen tärkeä näkökohta arvioitaessa alakohtaisen unionin säädöksen vastaavuutta direktiivin (EU) 2022/2555 21 artiklan 1 ja 2 kohdan vaatimusten kanssa on se, että kyseisessä säädöksessä edellytettävien kyberturvallisuusriskien hallintatoimenpiteiden olisi perustuttava kaikki vaaratekijät huomioivaan toimintamalliin. Koska verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien uhkien aiheuttajia on monenlaisia, mikä tahansa tapahtuma voi vaikuttaa kielteisesti toimijan verkko- ja tietojärjestelmiin ja aiheuttaa mahdollisesti poikkeaman. Toimijan toteuttamilla kyberturvallisuusriskien hallintatoimenpiteillä olisikin suojattava paitsi toimijan verkko- ja tietojärjestelmät myös näiden järjestelmien fyysinen ympäristö sellaisilta tapahtumilta kuin sabotaasi, varkaus, tulipalo, tulva, televiestintä- tai sähkökatko tai luvattomalta fyysiseltä pääsyltä, jotka saattaisivat vaarantaa verkko- ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Alakohtaisessa unionin säädöksessä edellytettävillä kyberturvallisuusriskien hallintatoimenpiteillä olisi näin ollen erityisesti varmistettava verkko- ja tietojärjestelmien fyysinen ja ympäristön turvallisuus järjestelmähäiriöiltä, inhimillisiltä virheiltä, vihamielisiltä teoilta tai luonnonilmiöiltä (4).

10.

Direktiivin (EU) 2022/2555 21 artiklan 2 kohdassa edellytetään lisäksi, että kyberturvallisuusriskien hallintatoimenpiteisiin on sisällyttävä kyseisen säännöksen 2 kohdan a–j alakohdassa luetellut erityiset turvallisuusvaatimukset. Nämä vaatimukset koskevat sellaisia toimia kuin riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat, poikkeamien käsittely, toiminnan jatkuvuuden hallinta, kriisinhallinta, toimitusketjun turvallisuus sekä toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä. Direktiivin (EU) 2022/2555 21 artiklan 5 kohdan toisen alakohdan mukaan komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan kyseisen direktiivin 21 artiklan 2 kohdassa tarkoitettujen turvallisuustoimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä tarvittaessa alakohtaiset vaatimukset. Komissio hyväksyy viimeistään 17 päivänä lokakuuta 2024 täytäntöönpanosäädöksiä, joilla vahvistetaan direktiivin (EU) 2022/2555 21 artiklan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset, jotka koskevat verkkotunnusjärjestelmän (jäljempänä ’DNS’) palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia. Täytäntöönpanosäädöksissä säädetään yksityiskohtaisemmin perussäädökseen sisältyvistä täytäntöönpanon pääasiallisista edellytyksistä ja kriteereistä, mutta ne eivät vaikuta perussäädöksen aineelliseen sisältöön (5).

II.2.   Raportointivaatimukset

11.

Direktiivin (EU) 2022/2555 4 artiklan 2 kohdan b alakohdassa säädetään, että merkittävistä poikkeamista ilmoittamista koskevien raportointivaatimusten katsotaan olevan vaikutukseltaan kyseisessä direktiivissä säädettyjä velvoitteita vastaavia, kun alakohtaisessa unionin säädöksessä säädetään tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (jäljempänä ’CSIRT-yksiköt’), toimivaltaisten viranomaisten tai keskitettyjen yhteyspisteiden välittömästä, tarvittaessa automaattisesta ja suorasta, pääsystä poikkeamailmoituksiin, jos merkittävistä poikkeamista ilmoittamista koskevat vaatimukset ovat vaikutukseltaan vähintään direktiivin (EU) 2022/2555 23 artiklan 1–6 kohdassa säädettyjä vaatimuksia vastaavia.

12.

Koska alakohtaiseen unionin säädökseen sisältyvien, merkittävistä poikkeamista ilmoittamista koskevien vaatimusten on oltava vaikutukseltaan vähintään direktiivin (EU) 2022/2555 23 artiklan 1–6 kohdassa säädettyjä vaatimuksia vastaavia, jotta kyseistä säädöstä sovelletaan mainitun direktiivin raportointivelvoitteiden sijasta, direktiivin (EU) 2022/2555 23 artiklan 1–6 kohdassa säädetyt vaatimukset ovat erityisen tärkeitä vastaavuuden arvioinnin kannalta. Direktiivin (EU) 2022/2555 23 artiklan 1–6 kohdassa kuvataan yksityiskohtaisemmin, minkälaisista poikkeamista on raportoitava kenelle ja missä ajassa ja mitä tietoja on raportoitava. Tätä selitetään yksityiskohtaisemmin seuraavissa alajaksoissa:

II.2.1.   Merkittävistä poikkeamista ilmoittaminen CSIRT-yksiköille, toimivaltaisille viranomaisille ja vastaanottajille

13.

Direktiivin (EU) 2022/2555 23 artiklan 1 kohdan ensimmäisen alakohdan ensimmäisessä virkkeessä edellytetään, että keskeiset ja tärkeät toimijat ilmoittavat ilman aiheetonta viivytystä sen CSIRT-yksikölle tai tapauksen mukaan sen toimivaltaiselle viranomaiselle mistä tahansa merkittävästä poikkeamasta. Direktiivin (EU) 2022/2555 23 artiklan 1 kohdan ensimmäisen alakohdan toisessa virkkeessä edellytetään, että keskeiset ja tärkeät toimijat ilmoittavat tarvittaessa ilman aiheetonta viivytystä palvelujensa vastaanottajille merkittävistä poikkeamista, jotka todennäköisesti vaikuttavat haitallisesti kyseisten palvelujen tarjoamiseen.

14.

Vaikka direktiivin (EU) 2022/2555 6 artiklan 6 alakohdassa määritellään ”poikkeama” hyvin laajasti tapahtumaksi, joka vaarantaa verkko- ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden, saman direktiivin 23 artiklan 1 kohdassa raportointivelvoite koskee vain merkittäviä poikkeamia. Poikkeama on merkittävä, jos se on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellisia tappioita (23 artiklan 3 kohdan a alakohta) tai on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa (23 artiklan 3 kohdan b alakohta).

15.

Direktiivin (EU) 2022/2555 johdanto-osan 101 kappaleessa selvennetään, että poikkeamista raportoimisen olisi perustuttava asianomaisen toimijan suorittamaan alustavaan arviointiin. Tällaisessa alustavassa arvioinnissa olisi otettava huomioon muun muassa verkko- ja tietojärjestelmät, joihin poikkeama vaikuttaa, ja erityisesti niiden merkitys toimijan palvelujen tarjoamisessa, kyberuhkan vakavuus ja tekniset ominaisuudet sekä mahdolliset taustalla olevat haavoittuvuudet, joita käytetään hyväksi, sekä toimijan kokemukset samanlaisista poikkeamista. Indikaattorit, kuten palvelun häiriintymisen laajuus, poikkeaman kesto tai niiden palvelun vastaanottajien lukumäärä, joihin poikkeama vaikuttaa, voivat olla tärkeitä määritettäessä, onko palvelun toimintahäiriö vakava.

16.

Direktiivin (EU) 2022/2555 23 artiklan 11 kohdan toisen alakohdan mukaan komissio voi hyväksyä täytäntöönpanosäädöksiä, joissa täsmennetään tapaukset, joissa poikkeama katsotaan merkittäväksi. Komissio hyväksyy viimeistään 17 päivänä lokakuuta 2024 DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia sekä verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia ja verkkoyhteisöalustojen tarjoajia koskevia täytäntöönpanosäädöksiä. Täytäntöönpanosäädöksissä säädetään yksityiskohtaisemmin perussäädökseen sisältyvistä täytäntöönpanon pääasiallisista edellytyksistä ja kriteereistä, mutta ne eivät vaikuta perussäädöksen aineelliseen sisältöön (6).

II.2.2.   Merkittävien poikkeamien ilmoittamista koskeva monivaiheinen lähestymistapa ja aikataulu

17.

Direktiivissä (EU) 2022/2555 säädetään merkittävien poikkeamien ilmoittamista koskevasta monivaiheisesta lähestymistavasta, johon sisältyvät ennakkovaroitus, poikkeamailmoitus ja lopullinen raportti. Näitä kolmea osatekijää on mahdollista täydentää väliraporteilla ja edistymisraportilla.

18.

Monivaiheisella lähestymistavalla pyritään löytämään oikea tasapaino yhtäältä nopean ilmoittamisen, joka auttaa lieventämään merkittävien poikkeamien mahdollista leviämistä ja antaa keskeisille ja tärkeille toimijoille mahdollisuuden hankkia apua, ja toisaalta sellaisen perusteellisemman raportoinnin välillä, jonka ansiosta saadaan arvokasta kokemusta yksittäisistä poikkeamista ja parannetaan ajan mittaan yksittäisten toimijoiden ja kokonaisten toimialojen kyberresilienssiä (7).

19.

Monivaiheisen lähestymistavan mukaan keskeisten ja tärkeiden toimijoiden on ensin toimitettava ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, ennakkovaroitus toimivaltaiselle CSIRT-yksikölle tai viranomaiselle. Tämän jälkeen näiden toimijoiden on toimitettava ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, poikkeamailmoitus. Toimivaltainen CSIRT-yksikkö tai viranomainen voi seuraavaksi pyytää väliraporttia. Viimeistään kuukauden kuluttua poikkeamailmoituksen toimittamisesta toimivaltaiselle CSIRT-yksikölle tai viranomaiselle on toimitettava lopullinen raportti, paitsi jos poikkeama on edelleen meneillään silloin, kun lopullinen raportti pitäisi toimittaa, jolloin on toimitettava edistymisraportti ja lopullinen raportti kuukauden kuluessa siitä, kun poikkeama on käsitelty.

20.

Luottamuspalvelun tarjoajien osalta poikkeamailmoitukseen sovelletaan direktiivin (EU) 2022/2555 23 artiklan 4 kohdan toisessa alakohdassa säädettyä erilaista aikataulua. Näiden palvelujen tarjoajien on ilmoitettava merkittävistä poikkeamista, jotka vaikuttavat sen luottamuspalvelujen tarjontaan, ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta.

II.2.3.   Merkittävistä poikkeamista CSIRT-yksiköille tai toimivaltaisille viranomaisille raportoimista koskevan velvoitteen sisältö

21.

Direktiivin (EU) 2022/2555 23 artiklan 1 kohdan ensimmäisen alakohdan kolmannen virkkeen mukaan jäsenvaltioiden on pääsääntöisesti varmistettava, että keskeiset ja tärkeät toimijat ilmoittavat muun muassa kaikki tiedot, joiden avulla toimivaltainen CSIRT-yksikkö tai tapauksen mukaan toimivaltainen viranomainen voi määrittää poikkeaman mahdolliset rajatylittävät vaikutukset. Tätä raportointivelvoitteen sisältöä koskevaa vaatimusta täsmennetään direktiivin (EU) 2022/2555 23 artiklan 4 kohdassa, jossa säädetään monivaiheisesta lähestymistavasta.

22.

Kyseisen 23 artiklan 4 kohdan a alakohdan mukaan ennakkovaroituksessa on tapauksen mukaan ilmoitettava, epäilläänkö merkittävän poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista tai voiko sillä olla (toisin sanoen onko sillä todennäköisesti) rajatylittäviä vaikutuksia. Direktiivin (EU) 2022/2555 johdanto-osan 102 kappaleen mukaan ennakkovaroituksen olisi sisällettävä vain ne tiedot, jotka ovat välttämättömiä, jotta toimivaltainen CSIRT-yksikkö tai tapauksen mukaan toimivaltainen viranomainen tulee tietoiseksi merkittävästä poikkeamasta ja jotta asianomainen toimija voi tarvittaessa pyytää apua.

23.

Poikkeamailmoituksessa on tapauksen mukaan ajantasaistettava osana ennakkovaroitusta toimitetut tiedot. Siinä on myös esitettävä ensimmäinen arvio merkittävästä poikkeamasta, sen vakavuudesta ja vaikutuksista sekä vaarantumisindikaattorit, jos sellaisia on saatavilla.

24.

Jos väliraporttia pyydetään, sen on sisällettävä asiaan liittyvät tilannepäivitykset. Lopullisen raportin on sisällettävä yksityiskohtainen kuvaus poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien, poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyyppi, toteutetut ja meneillään olevat toimenpiteet vaikutusten lieventämiseksi ja tapauksen mukaan poikkeaman rajatylittävät vaikutukset.

II.2.4.   Välitön pääsy poikkeamailmoituksiin

25.

Direktiivin (EU) 2022/2555 4 artiklan 2 kohdan b alakohdassa säädetään, että alakohtaisessa unionin säädöksessä, jota sovelletaan ilmoittamisvaatimuksiin kyseisen direktiivin sijasta, on säädettävä direktiivin (EU) 2022/2555 mukaisten CSIRT-yksiköiden, toimivaltaisten viranomaisten tai keskitettyjen yhteyspisteiden välittömästä pääsystä alakohtaisen unionin säädöksen mukaisesti toimitettuihin poikkeamailmoituksiin. Direktiivin (EU) 2022/2555 johdanto-osan 24 kappaleen mukaan tällainen välitön pääsy voidaan varmistaa erityisesti, jos poikkeamailmoitukset toimitetaan ilman aiheetonta viivytystä eteenpäin CSIRT-yksikölle, toimivaltaiselle viranomaiselle tai keskitetylle yhteyspisteelle.

26.

Välitön pääsy voidaan antaa automaattisilla ja suorilla välineillä, joita jäsenvaltioiden olisi tarvittaessa otettava käyttöön. Automaattisilla ja suorilla raportointimekanismeilla varmistetaan poikkeamailmoitusten käsittelyä koskevien tietojen järjestelmällinen ja välitön jakaminen CSIRT-yksiköiden, toimivaltaisten viranomaisten tai keskitettyjen yhteyspisteiden kanssa. Ilmoittamisen yksinkertaistamiseksi ja automaattisen ja suoran raportointimekanismin toteuttamiseksi jäsenvaltiot voivat myös alakohtaisen unionin säädöksen mukaisesti käyttää keskitettyä asiointipistettä.

27.

Arvioitaessa, ovatko alakohtaisessa unionin säädöksessä merkittävistä poikkeamista ilmoittamiselle asetetut vaatimukset vaikutukseltaan vähintään direktiivin (EU) 2022/2555 23 artiklan 1–6 kohdassa säädettyjä vastaavia, kyseiseen alakohtaiseen unionin säädökseen sisältyvien vaatimusten olisi vähintäänkin vastattava 23 artiklan 1–6 kohdan vaatimuksia tai oltava näitä säännöksiä yksityiskohtaisempia. Vaatimusten olisi liityttävä sellaisiin poikkeamiin, joista on direktiivin (EU) 2022/2555 mukaisesti raportoitava, ja niissä olisi otettava erityisesti huomioon vastaanottajat, sisältö ja sovellettavat määräajat.

III.   VASTAAVUUDEN SEURAUKSET

III.1.   Valvonta ja täytäntöönpano

28.

Jos alakohtaiset unionin säädökset ovat vaikutukseltaan vähintään direktiivissä (EU) 2022/2555 säädettyjä velvoitteita vastaavia, tällöin ei sovelleta paitsi kyseisen direktiivin asiaankuuluvia säännöksiä, jotka koskevat velvoitetta ottaa käyttöön kyberturvallisuusriskien hallintatoimenpiteitä tai ilmoittaa merkittävistä poikkeamista, myöskään direktiivin (EU) 2022/2555 VII luvun säännöksiä valvonnasta ja täytäntöönpanosta.

29.

Direktiivin (EU) 2022/2555 johdanto-osan 25 kappaleessa selitetään, että alakohtaisissa unionin säädöksissä, jotka ovat vaikutukseltaan vähintään vastaavia, voitaisiin säätää, että tällaisten säädösten mukaiset toimivaltaiset viranomaiset käyttävät kyberturvallisuusriskien hallintatoimenpiteiden tai raportointivelvoitteiden valvonta- ja täytäntöönpanovaltuuksiaan direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten avustuksella. Kyseiset toimivaltaiset viranomaiset voisivat perustaa yhteistyöjärjestelyjä tätä tarkoitusta varten. Tällaisissa yhteistyöjärjestelyissä voitaisiin täsmentää muun muassa valvontatoimien koordinointia koskevat menettelyt, kansallisen lainsäädännön mukaiset tutkintamenettelyt ja paikalla tehtävät tarkastukset sekä järjestely valvontaa ja täytäntöönpanoa koskevien asiaankuuluvien tietojen vaihtamiseksi toimivaltaisten viranomaisten välillä. Tällaiseen järjestelyyn asiaankuuluvien tietojen vaihtamiseksi voisi sisältyä pääsy direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten pyytämiin kyberturvallisuustietoihin.

III.2.   Kansallinen kyberturvallisuusstrategia

30.

Direktiivin (EU) 2022/2555 7 artiklan 1 kohdan mukaan kunkin jäsenvaltion on hyväksyttävä kansallinen kyberturvallisuusstrategia. Kansallisella kyberturvallisuusstrategialla tarkoitetaan jäsenvaltion yhtenäistä kehystä, jossa määritetään kyberturvallisuusalan strategiset tavoitteet ja painopisteet kyseisessä jäsenvaltiossa ja hallintotapa näiden tavoitteiden ja painopisteiden saavuttamiseksi (ks. direktiivin (EU) 2022/2555 6 artiklan 4 alakohta). Kyberturvallisuusstrategiaan on sisällyttävä muun muassa tavoitteet ja painopisteet, jotka kattavat erityisesti direktiivin (EU) 2022/2555 liitteissä I ja II tarkoitetut toimialat. Siihen on lisäksi sisällyttävä hallintokehys näiden tavoitteiden ja painopisteiden saavuttamiseksi, mukaan lukien direktiivin (EU) 2022/2555 7 artiklan 2 kohdassa tarkoitetut toimintaperiaatteet.

31.

Direktiivin (EU) 2022/2555 7 artiklan 1 kohdan c alakohdassa säädetään lisäksi, että kansalliseen kyberturvallisuusstrategiaan on sisällyttävä hallintokehys, jossa selvennetään asiaankuuluvien kansallisen tason sidosryhmien tehtävät ja vastuut ja joka tukee direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten, keskitettyjen yhteyspisteiden ja CSIRT-yksiköiden välistä yhteistyötä ja koordinointia kansallisella tasolla sekä kyseisten elinten ja alakohtaisten unionin säädösten mukaisten toimivaltaisten viranomaisten välistä koordinointia ja yhteistyötä.

32.

Direktiivin (EU) 2022/2555 7 artiklan mukainen vaatimus kyberturvallisuusstrategian hyväksymisestä ei siten koske kyseisen direktiivin 21 ja 23 artiklassa keskeisille ja tärkeille toimijoille asetettuja kyberturvallisuusvaatimuksia eikä VII lukuun sisältyviä niiden valvontaa ja täytäntöönpanoa koskevia säännöksiä, kuten direktiivin 4 artiklan 1 ja 2 kohdassa edellytetään. Tätä 7 artiklan asiaankuuluvaa säännöstä olisi sovellettava edelleen toimialoihin, toimialan osiin ja toimijatyyppeihin, joiden osalta on annettu direktiivin (EU) 2022/2555 4 artiklassa tarkoitettuja alakohtaisia unionin säädöksiä.

III.3.   CSIRT-yksiköiden nimeäminen

33.

Direktiivin (EU) 2022/2555 10 artiklan 1 kohdan mukaan jäsenvaltioiden on nimettävä tai perustettava yksi tai useampi CSIRT-yksikkö, jonka on katettava ainakin kyseisen direktiivin liitteissä I ja II tarkoitetut toimialat, toimialan osat ja toimijatyypit ja siten myös toimialat, toimialan osat ja toimijatyypit, joiden osalta on annettu alakohtaisia unionin säädöksiä. Tavallisesti CSIRT-yksiköt myös suorittavat direktiivin (EU) 2022/2555 11 artiklan 3 kohdassa säädettyjä tehtäviään tältä osin, ellei alakohtaisissa unionin säädöksissä ole määritelty tiettyjä tehtäviä.

III.4.   Kansalliset kyberkriisinhallintakehykset ja EU-CyCLONe

34.

Direktiivin (EU) 2022/2555 9 artiklan 1 kohdan mukaan jäsenvaltioiden on nimettävä tai perustettava yksi tai useampi kyberkriisinhallintaviranomainen, joka vastaa laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallinnasta. Kyseisen direktiivin 6 artiklan 7 alakohdan mukaan laajamittaisella kyberturvallisuuspoikkeamalla tarkoitetaan poikkeamaa, joka aiheuttaa niin laajan häiriön, ettei yksittäisellä jäsenvaltiolla ole valmiuksia hallita sitä, tai jolla on merkittävä vaikutus vähintään kahteen jäsenvaltioon. Direktiivin (EU) 2022/2555 9 artiklan 4 kohdassa edellytetään, että jäsenvaltiot myös laativat kansallisen laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintasuunnitelman, jossa vahvistetaan laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallinnan tavoitteet ja järjestelyt. Kyseisessä suunnitelmassa olisi vahvistettava muun muassa kyberkriisien hallintamenettelyt, mukaan lukien niiden sisällyttäminen yleiseen kansalliseen kriisinhallintakehykseen, ja tiedonvaihtokanavat sekä asiaankuuluvat julkiset ja yksityiset sidosryhmät ja asiaan liittyvä infrastruktuuri. Tällaisiin kyberkriisien hallintamenettelyihin sekä asiaankuuluviin julkisiin ja yksityisiin sidosryhmiin ja asiaan liittyvään infrastruktuuriin voi liittyä alakohtaisia menettelyjä ja sidosryhmiä.

35.

Direktiivin (EU) 2022/2555 16 artiklalla perustetaan Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU-CyCLONe), jonka tarkoituksena on tukea laajamittaisten kyberturvallisuuspoikkeamien ja kriisien koordinoitua hallintaa operatiivisella tasolla ja varmistaa säännöllinen asiaankuuluvien tietojen vaihto jäsenvaltioiden ja unionin toimielinten, elinten ja virastojen välillä.

36.

Kyberkriisinhallintakehyksiä koskeva 9 artikla ja EU-CyCLONea koskeva 16 artikla eivät koske toimijoille direktiivin (EU) 2022/2555 21 ja 23 artiklan mukaisesti asetettuja kyberturvallisuusvaatimuksia tai VII luvussa säädettyä valvontaa ja täytäntöönpanoa, kuten kyseisen direktiivin 4 artiklan 1 ja 2 kohdassa edellytetään, joten 9 ja 16 artiklaa olisi sovellettava kokonaisuudessaan toimialoihin 4 artiklassa tarkoitettujen alakohtaisten unionin säädösten olemassaolosta huolimatta. Näin ollen jäsenvaltioiden on nimettävä tai perustettava yksi tai useampi kyberkriisinhallintaviranomainen, joka vastaa alakohtaisten unionin säädösten kattamilla toimialoilla esiintyvien laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallinnasta. Alakohtaisten unionin säädösten kattamia toimialoja ei myöskään pitäisi jättää huomiotta laadittaessa kansallista laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintasuunnitelmaa. Lisäksi EU-CyCLONen olisi hoidettava direktiivin (EU) 2022/2555 16 artiklassa määritettyjä tehtäviään niiden toimialojen osalta, joilla toimijoihin sovelletaan alakohtaisia unionin säädöksiä.

III.5.   Direktiivin 3 artiklan 3 ja 4 kohdan, 20 artiklan sekä 27 artiklan 2 ja 3 kohdan soveltamatta jättäminen

37.

Direktiivin (EU) 2022/2555 3 artiklan 3 kohdan mukaan jäsenvaltioiden on laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista, jotka kuuluvat direktiivin soveltamisalaan. Saman direktiivin 27 artiklan 2 kohdan mukaan jäsenvaltioiden on edellytettävä, että saman artiklan 1 kohdassa tarkoitetut toimijat toimittavat toimivaltaisille viranomaisille tietyt tiedot. Koska näiden säännösten tarkoituksena on mahdollistaa selkeän yleiskuvan saaminen direktiivin (EU) 2022/2555 soveltamisalaan kuuluvista toimijoista sen soveltamisalaan kuuluvien keskeisten ja tärkeiden toimijoiden valvonnan tukemiseksi, näitä säännöksiä ei näin ollen pitäisi soveltaa toimijoihin, joihin sovelletaan alakohtaista unionin säädöstä kyberturvallisuusriskien hallinta- ja raportointivaatimusten osalta. Tämä ei estä jäsenvaltioita sisällyttämästä tällaisia toimijoita luetteloon. Direktiivin (EU) 2022/2555 20 artiklan 1 kohdan mukaan keskeisten ja tärkeiden toimijoiden hallintoelinten on hyväksyttävä näiden toimijoiden 21 artiklan noudattamiseksi toteuttamat kyberturvallisuusriskien hallintatoimenpiteet ja valvottava 21 artiklan täytäntöönpanoa, ja nämä hallintoelimet voidaan saattaa vastuuseen, jos toimijat rikkovat kyseistä artiklaa. Kyseisen direktiivin 20 artiklan 2 kohdan mukaan jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelinten jäsenillä on velvollisuus osallistua koulutukseen, ja kannustettava keskeisiä ja tärkeitä toimijoita tarjoamaan säännöllisesti vastaavaa koulutusta työntekijöilleen, jotta he voivat hankkia riittävät tiedot ja taidot kyetäkseen tunnistamaan riskejä ja arvioimaan kyberturvallisuusriskien hallintakäytäntöjä ja niiden vaikutusta toimijan tarjoamiin palveluihin. Direktiivin (EU) 2022/2555 20 artiklasta johtuvat velvoitteet liittyvät erottamattomasti kyseisen direktiivin 21 artiklan mukaisiin vaatimuksiin, joten 20 artiklaa ei pitäisi soveltaa siinä tapauksessa, että saman direktiivin 4 artiklassa tarkoitettuja alakohtaisia unionin säädöksiä sovelletaan kyberturvallisuusriskien hallintavaatimuksiin.

---

(1)   EUVL L 333, 27.12.2022, s. 80.

(2)  Ks. myös direktiivin (EU) 2022/2555 johdanto-osan 78, 81 ja 82 kappale.

(3)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/1972, annettu 11 päivänä joulukuuta 2018, eurooppalaisesta sähköisen viestinnän säännöstöstä (EUVL L 321, 17.12.2018, s. 36), 2 artiklan 1 alakohta.

(4)  Ks. direktiivin (EU) 2022/2555 johdanto-osan 79 kappale.

(5)  Ks. Euroopan unionin toiminnasta tehdyn sopimuksen 290 ja 291 artiklan soveltamista koskevat ei-sitovat perusteet – 18. kesäkuuta 2019 (EUVL C 223, 3.7.2019, s. 1), D luku ”Lisäsäännöt, joilla perussäädös pannaan täytäntöön”.

(6)  Ks. Euroopan unionin toiminnasta tehdyn sopimuksen 290 ja 291 artiklan soveltamista koskevat ei-sitovat perusteet – 18. kesäkuuta 2019 (EUVL C 223, 3.7.2019, s. 1), D luku ”Lisäsäännöt, joilla perussäädös pannaan täytäntöön”.

(7)  Ks. direktiivin (EU) 2022/2555 johdanto-osan 101 kappale.

Seuraava ilmoitus annetaan tiedoksi henkilöille ja yhteisöille, jotka mainitaan Iranin tilanteen johdosta tiettyihin henkilöihin ja yhteisöihin kohdistettavista rajoittavista toimenpiteistä annetun neuvoston päätöksen 2011/235/YUTP (1), sellaisena kuin se on pantu täytäntöön neuvoston täytäntöönpanopäätöksellä (YUTP) 2023/1780 (2), liitteessä sekä Iranin tilanteen johdosta tiettyihin henkilöihin, yhteisöihin ja elimiin kohdistettavista rajoittavista toimenpiteistä annetun neuvoston asetuksen (EU) N:o 359/2011 (3), sellaisena kuin se on pantu täytäntöön neuvoston täytäntöönpanoasetuksella (EU) 2023/1779 (4), liitteessä I.

Euroopan unionin neuvosto on päättänyt, että kyseiset henkilöt ja yhteisöt olisi sisällytettävä luetteloon henkilöistä ja yhteisöistä, joihin sovelletaan päätöksessä 2011/235/YUTP ja asetuksessa (EU) N:o 359/2011 säädettyjä rajoittavia toimenpiteitä.

Asianomaisia henkilöitä ja yhteisöjä pyydetään kiinnittämään huomiota siihen, että he/ne voivat hakea asetuksen (EU) N:o 359/2011 liitteessä II mainituilla verkkosivuilla ilmoitetuilta asianomaisten jäsenvaltioiden toimivaltaisilta viranomaisilta lupaa käyttää jäädytettyjä varoja perustarpeisiin tai tiettyjen maksujen suorittamiseen (ks. asetuksen 4 artikla).

Asianomaiset henkilöt ja yhteisöt voivat toimittaa 1. tammikuuta 2024 mennessä neuvostolle pyynnön, että neuvosto harkitsisi uudelleen päätöstään sisällyttää heidät/ne edellä mainittuun luetteloon. Pyynnön tueksi on liitettävä asianmukaiset asiakirjat, ja se on lähetettävä seuraavaan osoitteeseen:

Council of the European Union

General Secretariat

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

Sähköposti: sanctions@consilium.europa.eu

Asianomaisia henkilöitä ja yhteisöjä pyydetään kiinnittämään huomiota myös siihen, että neuvoston päätökseen voi hakea muutosta unionin yleiseltä tuomioistuimelta Euroopan unionin toiminnasta tehdyn sopimuksen 275 artiklan toisessa kohdassa ja 263 artiklan neljännessä ja kuudennessa kohdassa määrättyjen edellytysten mukaisesti.

---

(1)   EUVL L 100, 14.4.2011, s. 51.

(2)   EUVL L 228 I, 15.9.2023, s. 6.

(3)   EUVL L 100, 14.4.2011, s. 1.

(4)   EUVL L 228 I, 15.9.2023, s. 1.

Rekisteröityjä pyydetään kiinnittämään huomiota seuraaviin Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (1) 16 artiklan mukaisiin tietoihin:

Tämän käsittelyn oikeusperustana ovat neuvoston päätös 2011/235/YUTP (2), sellaisena kuin se on pantu täytäntöön neuvoston täytäntöönpanopäätöksellä (YUTP) 2023/1780 (3), ja neuvoston asetus (EU) N:o 359/2011 (4), sellaisena kuin se on pantu täytäntöön neuvoston täytäntöönpanoasetuksella (EU) 2023/1779 (5).

Tämän käsittelyn rekisterinpitäjänä on Euroopan unionin neuvosto, jota edustaa neuvoston pääsihteeristön ulkosuhteiden pääosaston (RELEX) pääjohtaja. Käsittelystä vastaa pääosaston RELEX.1-osasto, jonka yhteystiedot ovat seuraavat:

Council of the European Union

General Secretariat

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

Sähköposti: sanctions@consilium.europa.eu

Neuvoston tietosuojavastaavan yhteystiedot ovat seuraavat:

Tietosuojavastaava

data.protection@consilium.europa.eu

Käsittelyn tarkoituksena on laatia ja pitää ajan tasalla luettelo henkilöistä, joihin sovelletaan päätöksen 2011/235/YUTP, sellaisena kuin se on pantu täytäntöön täytäntöönpanopäätöksellä (YUTP) 2023/1780, ja asetuksen (EU) N:o 359/2011, sellaisena kuin se on pantu täytäntöön täytäntöönpanoasetuksella (EU) 2023/1779, mukaisia rajoittavia toimenpiteitä.

Rekisteröidyt ovat luonnollisia henkilöitä, jotka täyttävät päätöksessä 2011/235/YUTP ja asetuksessa (EU) N:o 359/2011 säädetyt luetteloon merkitsemisen edellytykset.

Kerättyihin henkilötietoihin kuuluvat tiedot, joita tarvitaan kyseisen henkilön asianmukaiseen tunnistamiseen, sekä perusteet ja muut asiaan liittyvät tiedot.

Henkilötietojen käsittelyn oikeusperustana ovat SEU 29 artiklan perusteella hyväksytyt neuvoston päätökset ja SEUT 215 artiklan perusteella hyväksytyt neuvoston asetukset, joissa säädetään luonnollisten henkilöiden (rekisteröityjen) merkitsemisestä luetteloon sekä varojen jäädyttämisestä ja matkustusrajoituksista.

Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi asetuksen (EU) 2018/1725 5 artiklan 1 kohdan a alakohdan mukaisesti sekä edellä mainituissa säädöksissä rekisterinpitäjälle asetettujen lakisääteisten velvoitteiden noudattamiseksi asetuksen (EU) 2018/1725 5 artiklan 1 kohdan b alakohdan mukaisesti.

Käsittely on tarpeen tärkeää yleistä etua koskevasta syystä asetuksen (EU) 2018/1725 10 artiklan 2 kohdan g alakohdan mukaisesti.

Neuvosto voi saada rekisteröityjen henkilötietoja jäsenvaltioilta ja/tai Euroopan ulkosuhdehallinnolta. Henkilötietojen vastaanottajina ovat jäsenvaltiot, Euroopan komissio ja Euroopan ulkosuhdehallinto.

Kaikkia henkilötietoja, joita neuvosto on käsitellyt EU:n autonomisten rajoittavien toimenpiteiden yhteydessä, säilytetään viiden vuoden ajan siitä, kun rekisteröity on poistettu niiden henkilöiden luettelosta, joiden varoja jäädytetään, tai siitä, kun toimenpiteen voimassaolo on lakannut, tai unionin tuomioistuimen lopullisen päätöksen antamiseen saakka, mikäli asiassa on aloitettu oikeuskäsittely. Neuvosto säilyttää kirjaamiinsa asiakirjoihin sisältyviä henkilötietoja asetuksen (EU) 2018/1725 4 artiklan 1 kohdan e alakohdassa tarkoitettuja yleisen edun mukaisia arkistointitarkoituksia varten.

Neuvoston voi olla tarpeen vaihtaa rekisteröidyn henkilötietoja kolmannen maan tai kansainvälisen järjestön kanssa silloin, kun se panee täytäntöön YK:n nimeämisiä, tai EU:n rajoittavien toimenpiteiden politiikkaan liittyvän kansainvälisen yhteistyön yhteydessä.

Jollei ole tehty tietosuojan riittävyyttä koskevaa päätöstä tai ei ole toteutettu asianmukaisia suojatoimia, henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa asetuksen (EU) 2018/1725 50 artiklan mukaisesti seuraavien edellytysten tai toisen niistä täyttyessä: siirto on tarpeen yleistä etua koskevien tärkeiden syiden vuoksi; siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröityjen henkilötietojen käsittelyyn ei liity automaattista päätöksentekoa.

Rekisteröidyillä on oikeus saada tietoja ja oikeus tutustua omiin henkilötietoihinsa. Heillä on myös oikeus oikaista ja täydentää omia tietojaan. Tietyissä olosuhteissa heillä voi olla oikeus saada henkilötietonsa poistetuksi tai oikeus vastustaa henkilötietojensa käsittelyä tai pyytää, että niiden käsittelyä rajoitetaan.

Rekisteröidyt voivat käyttää näitä oikeuksiaan ottamalla sähköpostilla yhteyttä rekisterinpitäjään ja lähettämällä viestin kopion edellä mainitulle tietosuojavastaavalle.

Rekisteröityjen on liitettävä pyyntöönsä kopio asiakirjasta, jonka perusteella heidän henkilöllisyytensä voidaan varmistaa (henkilökortti tai passi). Kyseisessä asiakirjassa on oltava tunnistenumero, myöntämismaa, voimassaoloaika sekä rekisteröidyn nimi, osoite ja syntymäaika. Asiakirjan kopiossa olevat muut tiedot, kuten valokuva tai henkilökohtaiset ominaisuudet, saa peittää.

Rekisteröidyt voivat asetuksen (EU) 2018/1725 mukaisesti tehdä kantelun Euroopan tietosuojavaltuutetulle (edps@edps.europa.eu).

Ennen kantelun tekemistä on suositeltavaa, että rekisteröidyt yrittävät ensin saada asian korjatuksi ottamalla yhteyttä rekisterinpitäjään ja/tai neuvoston tietosuojavastaavaan.

---

(1)   EUVL L 295, 21.11.2018, s. 39.

(2)   EUVL L 100, 14.4.2011, s. 51.

(3)   EUVL L 228 I, 15.9.2023, s. 6.

(4)   EUVL L 100, 14.4.2011, s. 1.

(5)   EUVL L 228 I, 15.9.2023, s. 1.

Luvan peruuttamista koskeva päätös

Päätöksen viite (2)	Päätöksen päivämäärä	Aineen nimi	Päätöksen vastaanottaja	Peruutettu käyttötarkoitus	Kumottu päätös	Perustelut
C(2023) 6014	11 päivänä syyskuuta 2023	Natriumdikromaatti EY-nro 234-190-3; CAS-nro 10588-01-9 (vedetön); CAS-nro 7789-12-0 (dihydraatti)	Gruppo Colle S.r.l., Via G. Di Vittorio 3/5, 59025 Usella, Cantagallo, Prato, Italia	Peittana villan tummaksi värjäämisessä	C(2017) 8331	Tarkistusraportissa ei osoitettu, että hakijalla ei ole saatavilla soveltuvia vaihtoehtoja asetuksen (EY) N:o 1907/2006 60 artiklan 4 kohdan mukaisesti.

---

(1)   EUVL L 396, 30.12.2006, s. 1.

(2)  Päätös on saatavilla lupia käsittelevällä Euroopan komission verkkosivustolla (europa.eu).

1 euro =

	Rahayksikkö	Kurssi
USD	Yhdysvaltain dollaria	1,0658
JPY	Japanin jeniä	157,50
DKK	Tanskan kruunua	7,4573
GBP	Englannin puntaa	0,85878
SEK	Ruotsin kruunua	11,8730
CHF	Sveitsin frangia	0,9554
ISK	Islannin kruunua	145,30
NOK	Norjan kruunua	11,4220
BGN	Bulgarian leviä	1,9558
CZK	Tšekin korunaa	24,496
HUF	Unkarin forinttia	383,75
PLN	Puolan zlotya	4,6308
RON	Romanian leuta	4,9698
TRY	Turkin liiraa	28,7513
AUD	Australian dollaria	1,6498
CAD	Kanadan dollaria	1,4409
HKD	Hongkongin dollaria	8,3416
NZD	Uuden-Seelannin dollaria	1,8008
SGD	Singaporen dollaria	1,4524
KRW	Etelä-Korean wonia	1 415,78
ZAR	Etelä-Afrikan randia	20,2968
CNY	Kiinan juan renminbiä	7,7561
IDR	Indonesian rupiaa	16 379,21
MYR	Malesian ringgitiä	4,9922
PHP	Filippiinien pesoa	60,612
RUB	Venäjän ruplaa
THB	Thaimaan bahtia	38,145
BRL	Brasilian realia	5,1860
MXN	Meksikon pesoa	18,2275
INR	Intian rupiaa	88,6150

---

(1)   Lähde: Euroopan keskuspankin ilmoittama viitekurssi.

---

(1)   EUVL L 24, 29.1.2004, s. 1 (”sulautuma-asetus”).

(2)   EUVL C 366, 14.12.2013, s. 5.