This document is an excerpt from the EUR-Lex website
Document 52014AP0244
P7_TA(2014)0244 High common level of network and information security ***I European Parliament legislative resolution of 13 March 2014 on the proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (COM(2013)0048 — C7-0035/2013 — 2013/0027(COD)) P7_TC1-COD(2013)0027 Position of the European Parliament adopted at first reading on 13 March 2014 with a view to the adoption of Directive 2014/…/EU of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union
P7_TA(2014)0244 Visoka zajednička razina sigurnosti mreža i informacija ***I Zakonodavna rezolucija Europskog parlamenta od 13. ožujka 2014. o prijedlogu Direktive Europskog parlamenta i Vijeća o mjerama za osiguravanje visoke zajedničke razine sigurnosti mrežnih i informacijskih sustava u Uniji (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)) P7_TC1-COD(2013)0027 Stajalište Europskog parlamenta usvojeno u prvom čitanju 13. ožujka 2014. radi donošenja Direktive (EU) br. …/2014 Europskog parlamenta i Vjeća o mjerama za osiguranje visoke zajedničke razine sigurnosti mreža i podataka diljem Unije
P7_TA(2014)0244 Visoka zajednička razina sigurnosti mreža i informacija ***I Zakonodavna rezolucija Europskog parlamenta od 13. ožujka 2014. o prijedlogu Direktive Europskog parlamenta i Vijeća o mjerama za osiguravanje visoke zajedničke razine sigurnosti mrežnih i informacijskih sustava u Uniji (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)) P7_TC1-COD(2013)0027 Stajalište Europskog parlamenta usvojeno u prvom čitanju 13. ožujka 2014. radi donošenja Direktive (EU) br. …/2014 Europskog parlamenta i Vjeća o mjerama za osiguranje visoke zajedničke razine sigurnosti mreža i podataka diljem Unije
SL C 378, 9.11.2017, p. 658–684
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
9.11.2017 |
HR |
Službeni list Europske unije |
C 378/658 |
P7_TA(2014)0244
Visoka zajednička razina sigurnosti mreža i informacija ***I
Zakonodavna rezolucija Europskog parlamenta od 13. ožujka 2014. o prijedlogu Direktive Europskog parlamenta i Vijeća o mjerama za osiguravanje visoke zajedničke razine sigurnosti mrežnih i informacijskih sustava u Uniji (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD))
(Redovni zakonodavni postupak: prvo čitanje)
(2017/C 378/74)
Europski parlament,
|
— |
uzimajući u obzir prijedlog Komisije upućen Europskom parlamentu i Vijeću (COM(2013)0048), |
|
— |
uzimajući u obzir članak 294. stavak 2. i članak 114. Ugovora o funkcioniranju Europske unije, u skladu s kojima je Komisija podnijela prijedlog Parlamentu (C7-0035/2013), |
|
— |
uzimajući u obzir članak 294. stavak 3. Ugovora o funkcioniranju Europske unije, |
|
— |
uzimajući u obzir obrazloženo mišljenje koje je švedski Parlament podnio u okviru Protokola br. 2 o primjeni načela supsidijarnosti i proporcionalnosti, u kojemu se tvrdi da nacrti zakonodavnih akata nisu u skladu s načelom supsidijarnosti, |
|
— |
uzimajući u obzir mišljenje Europskog gospodarskog i socijalnog odbora od 22. svibnja 2013. (1), |
|
— |
uzimajući u obzir svoju Rezoluciju od 12. rujna 2013. o Strategiji kibernetičke sigurnosti Europske unije: Otvoren, siguran i zaštićen kibernetički prostor (2), |
|
— |
uzimajući u obzir članak 55. Poslovnika, |
|
— |
uzimajući u obzir izvješće Odbora za unutarnje tržište i zaštitu potrošača i mišljenja Odbora za industriju, istraživanje i energiju, Odbora za građanske slobode, pravosuđe i unutarnje poslove i Odbora za vanjske poslove (A7-0103/2014), |
|
1. |
usvaja sljedeće stajalište u prvom čitanju, kao što je navedeno u nastavku; |
|
2. |
zahtijeva od Komisije da predmet ponovno uputi Parlamentu ako namjerava bitno izmijeniti svoj prijedlog ili ga zamijeniti drugim tekstom; |
|
3. |
nalaže svojem predsjedniku da stav Parlamenta proslijedi Vijeću, Komisiji i nacionalnim parlamentima. |
(1) SL C 271, 19.9.2013., str. 133.
(2) Usvojeni tekstovi, P7_TA(2013)0376.
P7_TC1-COD(2013)0027
Stajalište Europskog parlamenta usvojeno u prvom čitanju 13. ožujka 2014. radi donošenja Direktive (EU) br. …/2014 Europskog parlamenta i Vjeća o mjerama za osiguranje visoke zajedničke razine sigurnosti mreža i podataka diljem Unije
EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,
uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,
uzimajući u obzir prijedlog Europske komisije,
nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,
uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),
u skladu s redovnim zakonodavnim postupkom (2),
budući da:
|
(1) |
Mrežni i informacijski sustavi i usluge imaju ključnu ulogu u društvu. Njihova pouzdanost i sigurnost ključne su za slobodu i opću sigurnost građana Unije kao i za gospodarske aktivnosti i društvenu dobrobit, a posebno za funkcioniranje unutarnjeg tržišta. [Am. 1] |
|
(2) |
Razmjer , učestalost i učestalost namjernih ili slučajnih utjecaj sigurnosnih incidenata sve su veći i predstavljaju veliku prijetnju funkcioniranju mreža i informacijskih sustava. Ti sustavi također mogu postati lake mete za namjerne štetne radnje čiji je cilj nanijeti štetu ili prekinuti rad sustava. Takvi incidenti mogu ugroziti izvršavanje gospodarskih aktivnosti, generirati znatne financijske gubitke, narušiti povjerenje korisnika i ulagača i nanijeti veliku štetu gospodarstvu Unije te, konačno, ugroziti dobrobit građana Unije i sposobnost država članica da se zaštite i osiguraju sigurnost kritičnih infrastruktura . [Am. 2] |
|
(3) |
Kao instrument komunikacije bez granica, digitalni informacijski sustavi, a ponajprije internet, igraju ključnu ulogu u pojednostavljivanju prekograničnog kretanja roba, usluga i ljudi. S obzirom na takvu transnacionalnu prirodu sustava, prekid u njihovu radu u jednoj državi članici može utjecati i na druge države članice te na EU u cjelini. Stoga su otpornost i stabilnost mrežnih i informacijskih sustava ključne za neometano funkcioniranje unutarnjeg tržišta. |
|
(3.a) |
Budući da su češći uzroci kvarova sustava i dalje nehotični kao što su prirodni uzroci ili ljudske pogreške, infrastruktura bi trebala biti otporna na hotimične i nehotimične poremećaje, a operateri kritičnih infrastruktura trebali bi osmisliti sustave temeljene na otpornosti. [Am. 3] |
|
(4) |
Potrebno je uspostaviti mehanizam suradnje na razini Unije da bi se omogućila razmjena informacija i koordinirano koordinirana prevencija, otkrivanje te odgovor u vezi sa sigurnosti mreža i podataka („NIS”). Da bi taj mehanizam bio djelotvoran i uključiv nužno je da sve države članice imaju minimalne mogućnosti i strategiju koje bi osigurale visoku razinu NIS-a na njihovu teritoriju. Minimalni sigurnosni uvjeti trebaju se također odnositi i na javne uprave i barem na određene tržišne operatere kritičnih informacijskih infrastruktura informacijske infrastrukture kako bi se promicala kultura upravljanja rizikom i osiguralo prijavljivanje najozbiljnijih incidenata. Društva koja kotiraju na burzi trebalo bi poticati da na dobrovoljnoj bazi u svojim financijskim izvještajima objavljuju incidente. Pravni okvir trebao bi se temeljiti na potrebi zaštite privatnosti i integriteta građana. Informacijska mreža za uzbunjivanje u vezi s kritičnom infrastrukturom (CIWIN) trebala bi se proširiti na tržišne operatere obuhvaćene ovom Direktivom. [Am. 4] |
|
(4.a) |
Dok bi javne uprave, zbog svoje javne misije, trebale marljivo upravljati vlastitim mrežnim i informacijskim sustavima te ih štititi, ova Direktiva trebala bi se usredotočiti na ključnu infrastrukturu koja je nužna za upravljanje vitalnim gospodarskim i društvenim aktivnostima u područjima energije, prometa, bankarstva, infrastruktura financijskog tržišta i zdravstva. Programeri i proizvođači strojne opreme trebali bi biti isključeni iz područja primjene ove Direktive. [Am. 5] |
|
(4.b) |
Trebale bi se jamčiti suradnja i koordinacija relevantnih tijela Unije s Visokom predstavnicom/potpredsjednicom nadležnom za zajedničku vanjsku i sigurnosnu politiku kao i s koordinatorom EU-a za borbu protiv terorizma u slučajevima u kojima se incidente koji imaju znatan učinak doživljava kao vanjsku ili terorističku prijetnju. [Am. 6] |
|
(5) |
Da bi se pokrili svi relevantni incidenti i rizici, ova se Direktiva treba primijeniti na sve mrežne i informacijske sustave. Obveze za javne uprave i tržišne subjekte ne trebaju se, međutim, odnositi na tvrtke koje pružaju javne komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge, kako je određeno Direktivom 2002/21/EZ Europskog parlamenta i Vijeća (3), koje podliježu posebnim zahtjevima sigurnosti i cjelovitosti kako je opisano u članku 13.a te Direktive, niti bi se trebale primjenjivati na davatelje usluga skrbništva. |
|
(6) |
Postojeće mogućnosti nisu dovoljne za osiguranje visoke razine NIS-a unutar Unije. Države članice imaju vrlo različite razine pripravnosti, što vodi do rascjepkanih pristupa širom Unije. Ovo vodi do nejednake razine zaštite potrošača i poslovanja te narušava ukupnu razinu NIS-a unutar Unije. Pomanjkanje Nedostatak zajedničkih minimalnih uvjeta za javne uprave i, s druge strane, u odnosu na tržišne subjekte onemogućuje operatere onemogućava uspostavu globalnog i djelotvornog učinkovitog mehanizma za suradnju suradnje na razini Unije. Sveučilišta i istraživački centri imaju odlučujuću ulogu u poticanju istraživanja, razvoja i inovacije u tim područjima i trebalo bi im se omogućiti odgovarajuće financiranje. [Am. 7] |
|
(7) |
Stoga je za djelotvoran odgovor na sigurnosne izazove mrežnih i informacijskih sustava potreban globalni pristup na razini Unije koji će obuhvatiti minimalne uvjete za izgradnju kapaciteta i planiranje, razvoj dostatnih vještina na području kibernetičke sigurnosti, razmjenu informacija i koordinaciju aktivnosti te zajedničke minimalne sigurnosne uvjete za sve uključene tržišne subjekte i javne uprave. . Minimalni zajednički standardi trebali bi se primjenjivati u skladu s odgovarajućim preporukama Koordinacijskih skupina za kibernetičku sigurnost (CSGC) . [Am. 8] |
|
(8) |
Odredbe iz ove Direktive ne bi trebale dovoditi u pitanje mogućnost za svaku državu članicu da poduzme potrebne mjere za osiguranje zaštite svojih ključnih sigurnosnih interesa, zaštitu javne politike i javne sigurnosti te da dopusti istragu, otkrivanje i kažnjavanje kaznenih djela. U skladu s člankom 346. TFEU-a Ugovora o funkcioniranju Europske unije (UFEU) nijedna država članica nije obvezna davati podatke čije se otkrivanje smatra suprotnim temeljnim interesima njezine sigurnosti. Niti jedna država članica nije obvezna dati povjerljive podatke EU-a u skladu s Odlukom Vijeća 2011/292/EU (4) , podatke na koje se primjenjuju ugovori o poslovnoj tajni ili neformalni ugovori o poslovnoj tajni, kao što je Protokol o semaforu. [Am. 9] |
|
(9) |
Da bi se postigla i održavala zajednička visoka razina sigurnosti mrežnih i informacijskih sustava, svaka država članica treba imati nacionalnu strategiju za NIS koja će definirati strateške ciljeve i provedbu konkretnih političkih akcija. Planove suradnje za NIS usklađene s ključnim uvjetima potrebno je razviti na državnoj nacionalnoj razini, na temelju minimalnih zahtjeva određenih u ovoj Direktivi, kako bi se dostigli kapaciteti za reakciju dovoljni za djelotvornu i učinkovitu suradnju na nacionalnoj razini države i na razini Unije u slučaju incidenata , poštujući i štiteći privatnost i osobne podatke . Svaka država članica trebala bi stoga imati obvezu poštovanja zajedničkih standarda u vezi s oblikom podataka i mogućnosti razmjene podataka koji se dijele i vrednuju. Države članice trebale bi biti u mogućnosti tražiti pomoć od Europske agencije za sigurnost mreža i podataka (ENISA) za razvoj vlastitih nacionalnih strategija u vezi s NIS-om, temeljenih na zajedničkom minimalnom strateškom nacrtu za NIS. [Am. 10]. |
|
(10) |
Da bi se omogućila djelotvorna provedba usvojenih odredaba prema ovoj Direktivi, u svakoj državi članici se treba uspostaviti ili utvrditi nadležno tijelo za koordinaciju pitanja NIS-a koje će djelovati kao središte prekogranične suradnje na razini Unije. Tim bi tijelima trebalo pružiti odgovarajuće tehničke, financijske i ljudske resurse kako bi im se omogućilo djelotvorno i učinkovito izvršavanje dodijeljenih im zadataka te time postizanje ciljeva ove Direktive. |
|
(10.a) |
U svjetlu razlika u postojećem državnom ustrojstvu i radi zaštite prethodno postojećih sektorskih rješenja ili nadzornih i regulatornih tijela Unije te izbjegavanja udvostručavanja, države članice trebale bi moći odrediti više od jednog nacionalnog tijela nadležnog za ispunjavanje zadaća povezanih sa sigurnošću mrežnih i informacijskih sustava tržišnih operatera u okviru ove Direktive. Međutim, kako bi se osigurala nesmetana prekogranična suradnja i komunikacija, nužno je da svaka država članica, ne dovodeći u pitanje sektorska regulatorna rješenja, odredi samo jednu nacionalnu jedinstvenu kontaktnu točku nadležnu za prekograničnu suradnju na razini Unije. Ako to zahtjeva ustavno ustrojstvo ili druga rješenja, država članica trebala bi moći odrediti samo jedno tijelo za provedbu zadaća nadležnog tijela i jedinstvene kontaktne točke. Nadležna tijela i jedinstvene kontaktne točke trebaju biti civilna tijela, podložna potpunom demokratskom nadzoru i ne bi trebali ispunjavati nikakve zadatke u području obavještajnog rada, provedbe zakona ili obrane ili na bilo koji način biti organizacijski povezani s tijelima aktivnima u tim područjima. [Am. 11] |
|
(11) |
Sve bi države članice trebale i tržišni operateri trebali biti odgovarajuće opremljene, opremljeni i u smislu tehničkih i organizacijskih mogućnosti, za sprečavanje, otkrivanje, odgovor i ublažavanje incidenata i rizika u mrežnim i informacijskim sustavima u svakom trenutku . Sigurnosni sustavi javnih uprava trebali bi biti sigurni i podložni demokratskom nadzoru i kontroli. Oprema koja je obično potrebna i kapaciteti trebali bi biti u skladu sa zajednički dogovorenim tehničkim standardima kao i sa standardnim operativnim postupcima (SOP). Stoga je u svim državama članicama potrebno sastaviti timove za hitne računalne intervencije (CERT-ovi) koji dobro funkcioniraju i koji su usklađeni s ključnim uvjetima, što će jamčiti djelotvorne i kompatibilne resurse za rješavanje incidenata i rizika te osigurati učinkovitu suradnju na razini Unije. Ti CERT-ovi trebali bi surađivati na temelju zajedničkih tehničkih standarda i SOP-a. U svjetlu različitih svojstava postojećih CERT-ova, koji odgovaraju potrebama različitih subjekata i dionika, države članice trebale bi osigurati da barem jedan CERT pruža usluge svakom od sektora navedenih u popisu tržišnih operatera utvrđenom u ovoj Direktivi. S obzirom na prekograničnu suradnju CERT-a, države članice trebale bi osigurati da CERT-ovi imaju dovoljno sredstava za sudjelovanje u postojećim i već uspostavljenim međunarodnim mrežama suradnje i mrežama suradnje u Uniji. [Am. 12] |
|
(12) |
Na temelju značajnog znatnog napretka unutar Europskog foruma država članica („EFMS”) u poticanju rasprava i razmjena dobrih političkih praksi, uključujući razvoj načela za europsku suradnju za kibernetičku krizu, države članice i Komisija trebaju zasnovati mrežu za trajnu komunikaciju i potporu međusobnoj suradnji. Ovaj sigurni i učinkoviti djelotvorni mehanizam Tim sigurnim i učinkovitim mehanizmom, uključujući, prema potrebi, sudjelovanjem tržišnih operatera, treba omogućiti strukturiranu i koordiniranu razmjenu informacija, otkrivanje i odgovor na razini Unije. [Am. 13] |
|
(13) |
Europska agencija za sigurnost mreža i podataka („ENISA”) treba pomoći državama članicama i Komisiji pružanjem stručnog znanja i savjetovanjem te omogućivanjem razmjene najboljih praksi. Posebice u primjeni ove Direktive, Komisija i države članice trebaju se treba savjetovati s ENISA-om. Da bi se osiguralo učinkovito i pravodobno informiranje država članica i Komisije , rana upozorenja na incidente i rizike trebaju se izdavati unutar mreže suradnje. Za izgradnju kapaciteta i znanja među državama članicama mreža suradnje također treba služiti kao instrument za razmjenu najboljih praksi, pomoć članovima u izgradnji kapaciteta, vođenje organizacije stručnih recenzija recenzija i vježbi za NIS. [Am. 14] |
|
(13.a) |
Prema potrebi, države članice trebale bi moći koristiti ili prilagoditi postojeće organizacijske strukture ili strategije prilikom primjene odredbi ove Direktive. [Am. 15] |
|
(14) |
Potrebno je izgraditi sigurnu infrastrukturu za dijeljenje informacija kako bi se omogućila razmjena osjetljivih i povjerljivih podataka unutar mreže suradnje. Postojeće strukture unutar Unije trebale bi se u potpunosti koristiti u te svrhe. Ne dovodeći u pitanje njihovu obvezu prijave incidenata i rizika na razini Unije mreži suradnje, pristup povjerljivim podacima ostalih država članica treba se odobriti državama članicama samo ako dokažu da njihovi tehnički, financijski i ljudski resursi i postupci, kao i komunikacijska infrastruktura, jamče njihovo djelotvorno, učinkovito i sigurno sudjelovanje u mreži , koristeći transparentne metode . [Am. 16] |
|
(15) |
Budući da većinom mrežnih i informacijskih sustava upravljaju privatne tvrtke, suradnja javnog i privatnog sektora od ključne je važnosti. Tržišne subjekte operatere treba poticati da slijede vlastite neformalne mehanizme suradnje za osiguranje NIS-a. Oni također trebaju surađivati s javnim sektorom i međusobno dijeliti informacije i najbolje prakse , uključujući uzajamnu razmjenu relevantnih informacija i operativne potpore te strateški analiziranih informacija u zamjenu za operativnu potporu u slučaju incidenata. Kako bi se učinkovito poticalo dijeljenje informacija i najboljih praksi, ključno je osigurati da tržišni operateri koji sudjeluju u takvom dijeljenju ne dođu u nepovoljan položaj zbog suradnje. Potrebne su odgovarajuće zaštitne mjere kako bi se osiguralo da takva suradnja ne izlaže te operatere većem riziku koji proizlazi iz nepoštovanja odredaba ili novim obvezama iz, između ostalog, zakona o tržišnom natjecanju, intelektualnom vlasništvu, zaštiti podataka ili kibernetičkom kriminalu niti ih izložiti povećanim operativnim ili sigurnosnim rizicima. [Am. 17] |
|
(16) |
Da bi se osigurala transparentnost te ispravno informirali građani EU-a Unije i tržišni subjekti, nadležna tijela operateri, jedinstvene kontaktne točke trebaju postaviti uspostaviti zajedničku internetsku lokaciju stranicu za cijelu Uniju za objavu informacija o incidentima , rizicima i rizicima koje nisu povjerljive. načinima ublažavanja rizika i prema potrebi savjeta o odgovarajućim mjerama održavanja . Informacije na internetskoj stranici trebale bi biti dostupne neovisno o uređaju koji se koristi. Svi osobni podaci objavljeni na toj internetskoj stranici trebali bi biti ograničeni samo na ono što je nužno i trebali bi biti u što većoj mjeri anonimni. [Am. 18] |
|
(17) |
Ako se informacija smatra povjerljivom u skladu s Unijinim i nacionalnim pravilima o poslovnoj tajni, tajnost se osigurava pri provedbi aktivnosti i ispunjavanju ciljeva postavljenih ovom Direktivom. |
|
(18) |
Na temelju iskustava u upravljanju rizikom posebno na državnoj nacionalnoj razini i u suradnji s ENISA-om, Komisija i države članice trebaju razviti plan suradnje za NIS koji će definirati mehanizme suradnje , najbolje prakse i načine djelovanja za sprječavanje, otkrivanje, prijavu i suzbijanje rizika i incidenata. Taj se plan treba uzeti u obzir pri ranim upozorenjima unutar mreže suradnje. [Am. 19] |
|
(19) |
Objava ranog upozorenja unutar mreže trebala bi biti potrebna samo u slučaju da opseg i ozbiljnost predmetnog incidenta ili rizika jesu ili bi mogli postati toliko značajni da je nužno informiranje ili koordinacija odgovora na razini Unije. Stoga se Rana upozorenja trebaju ograničiti na stvarne ili potencijalne bi stoga trebala biti ograničena na incidente ili rizike koji rastu velikom brzinom se brzo šire , prelaze kapacitete nacionalnu sposobnost odgovora na državnoj razini ili utječu na više od jedne države članice. Da bi se omogućila ispravna procjena, potrebno je dostaviti sve podatke potrebne za procjenu rizika ili bi se incident trebao priopćiti mreži suradnje. [Am. 20] |
|
(20) |
Nakon primitka Po primitku ranog upozorenja i njegove procjene, nadležna tijela trebaju ocjene, jedinstvene kontaktne točke moraju se dogovoriti koordinirani odgovor prema EU-ovu planu suradnje za NIS. Nadležna tijela, kao oko koordiniranog odgovora u okviru plana Unije o suradnji na području NIS-a. Jedinstvene kontaktne točke, ENISA i Komisija, trebaju biti informirana informirane o mjerama usvojenima na državnoj nacionalnoj razini, kao i o rezultatu koordiniranog odgovora. [Am. 21] |
|
(21) |
S obzirom na globalnu prirodu problema povezanih s NIS-om, postoji potreba za bliskijom međunarodnom suradnjom radi unapređenja sigurnosnih standarda i razmjene podataka te za promicanjem zajedničkog globalnog pristupa pitanjima NIS-a. Na okvir za takvu međunarodnu suradnju moraju se primjenjivati Direktiva 95/46/EZ Europskog parlamenta i Vijeća (5) i Uredba (EZ) br. 45/2001. Europskog parlamenta i Vijeća (6) [Am. 22] |
|
(22) |
Odgovornost Za osiguranje NIS-a uvelike leži na javnim upravama i tržišnim subjektima. NSI-a u velikoj su mjeri odgovorni tržišni operateri . Kultura upravljanja rizikom, uključujući bliske suradnje i povjerenja, koja uključuje procjenu rizika i provedbu sigurnosnih mjera primjerenih suočenom riziku, rizicima i incidentima , bilo da su namjerni ili slučajni, treba se promicati i razvijati prikladnim regulatornim zahtjevima i dobrovoljnim praksama u toj industriji. Postavljanje pouzdanih jednakih uvjeta za sve također je ključno za učinkovito funkcioniranje mreže suradnje za osiguranje djelotvorne suradnje svih država članica. [Am. 23] |
|
(23) |
Direktiva 2002/21/EZ uvjetuje da tvrtke koje pružaju javne elektroničke komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge poduzmu odgovarajuće mjere za očuvanje svojeg integriteta i sigurnosti te uvodi uvjete za prijave kršenja sigurnosti i gubitka integriteta. Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (7) uvjetuje davateljima javno dostupnih elektroničkih komunikacijkih usluga da poduzmu odgovarajuće tehničke i organizacijske mjere za zaštitu sigurnosti svojih usluga. |
|
(24) |
Ove se obveze trebaju proširiti izvan sektora elektroničkih komunikacija na operatere infrastrukture koji se u velikoj mjeri oslanjaju na informacijsku i komunikacijsku tehnologiju i od ključne davatelje su važnosti za održavanje vitalnih gospodarskih ili društvenih usluga kao što su električna energija i plin, prijevoz, kreditne institucije, infrastrukture financijskog tržišta i zdravstvo. Prekid u radu ovih mrežnih i informacijskih sustava naštetio bi unutarnjem tržištu. Dok se obveze određene u ovoj Direktivi ne bi trebale proširiti na ključne pružatelje usluga informacijskog društva, kako je definirano u Direktivi 98/34/EZ Europskog parlamenta i Vijeća (8), koje podupiru silazne usluge informacijskog društva ili internetskih aktivnosti, kao što su platforma za e-trgovinu, pristupnici za internetsko plaćanje, društvene mreže, tražilice, općenito usluge računarstva u oblaku ili trgovine aplikacija. Prekid u radu tih operatera koji omogućuju usluge informacijskog društva sprečava opskrbu drugih usluga informacijskog društva koje ovise o njima kao ključnim izvorima ulaznih podataka. Programski inženjeri i proizvođači hardvera nisu davatelji usluga informacijskog društva te stoga nisu uključeni u ove odredbe. Ove se obveze također trebaju proširiti na javne uprave i operatere kritične infrastrukture koji u velikoj mjeri ovise o informacijskoj i komunikacijskoj tehnologiji te su ključni za održavanje vitalnih gospodarskih i društvenih funkcija kao što su električna energija i plin, prijevoz, kreditne institucije, burza i zdravstvo. Prekid u radu ovih mrežnih i informacijskih sustava naštetio bi unutarnjem tržištu. , ti pružatelji usluga mogu, dobrovoljno, obavijestiti nadležno tijelo ili jedinstvenu kontaktnu točku o onim mrežnim sigurnosnim incidentima koje smatraju prikladnim . Nadležno tijelo ili jedinstvena kontaktna točka trebali bi, ako je moguće, pružiti tržišnim operaterima koji su je obavijestili o incidentu strateški analiziranu informaciju koja će pomoći u prevladavanju sigurnosne prijetnje. [Am. 24] |
|
(24.a) |
Iako pružatelji strojne opreme i programske podrške nisu tržišni operateri usporedivi s onima koje obuhvaća ova Direktiva, njihovi proizvodi olakšavaju sigurnost mreže i informacijskih sustava. Oni stoga imaju važnu ulogu u omogućavanju tržišnim operaterima da osiguraju svoje mreže i informacijske infrastrukture. S obzirom da proizvodi povezani sa strojnom opremom i programskom podrškom već podliježu postojećim zakonima o odgovornosti za proizvode, države članice trebale bi osigurati da se ti zakoni provode. [Am. 25] |
|
(25) |
Tehničke i organizacijske mjere nametnute javnim upravama određene tržišnim operaterima ne bi smjele zahtijevati da određeni komercijalni proizvod za informacijsku i komunikacijsku tehnologiju bude projektiran, razvijen ili proizveden na određeni način [Am. 26] |
|
(26) |
Javne uprave i Tržišni operateri moraju osigurati sigurnost mreža i sustava koji su pod svojim nadzorom njihovom kontrolom . To su ponajprije privatne mreže i sustavi kojima upravljaju njihovi vlastiti zaposlenici u IT-u ili vanjski zaposlenici pružatelji usluga koji se brinu o sigurnosti. Obveze za vezane uz sigurnost i obavijesti primjenjuju se na relevantne tržišne subjekte i javne uprave operatere bez obzira obavljaju li održavanje mreže i informacijskih sustava interno ili pomoću vanjskih pružatelja usluga. [Am. 27] |
|
(27) |
Da bi se izbjeglo nesrazmjerno financijsko i administrativno terećenje malih subjekata i korisnika, obveze trebaju biti razmjerne riziku kojemu je izložen predmetni mrežni ili informacijski sustav, uzimajući u obzir suvremenost takvih mjera. Ove obveze neće se primjenjivati na mikropoduzeća. |
|
(28) |
Nadležna tijela i jedinstvene kontaktne točke trebaju obratiti pozornost na očuvanje neformalnih i pouzdanih kanala za dijeljenje informacija između tržišnih subjekata operatera i između javnog i privatnog sektora. Objava Nadležna tijela i jedinstvene kontaktne točke trebale bi obavijestiti proizvođače i pružatelje usluga pogođenih proizvoda i usluga informacijskih i komunikacijskih tehnologija o incidentima o kojima su obaviješteni, a koji imaju znatan učinak. Prije objave incidenata prijavljenih stručnim koji su prijavljeni nadležnim tijelima treba primjereno uravnotežiti i jedinstvenim kontaktnim točkama potrebno je izvagati interes javnosti da informiranje bude informirana o mogućim prijetnjama s mogućom štetom po i moguću štetu za ugled ili komercijalnu vrijednost javnih uprava i tržišnih subjekata i komercijalne štete za tržišne operatere koji prijavljuju incidente. U provedbi obveza obavješćivanja stručna nadležna tijela i jedinstvene kontaktne točke posebno trebaju obratiti pozornost na potrebu da se podaci o ranjivosti proizvoda čuvaju u strogoj tajnosti prije objave primjene odgovarajućih sigurnosnih popravaka. Općenito je pravilo da jedinstvene kontaktne točke ne bi smjele otkrivati osobne podatke pojedinaca uključenih u incidente. Jedinstvene kontaktne točke trebale bi otkrivati samo osobne podatke ako je otkrivanje takvih podataka nužno i proporcionalnu u svjetlu cilja koji se nastoji ostvariti. [Am. 28] |
|
(29) |
Stručna nadležna tijela trebaju raspolagati nužnim sredstvima za obavljanje svojih dužnosti, uključujući ovlasti za dobivanje potrebnih informacija od tržišnih subjekata i javnih uprava operatera kako bi se odredila razina sigurnosti mrežnih i informacijskih sustava, zabilježio broj, razmjer i opseg incidenata, kao i pouzdanim i sveobuhvatnim podacima za dobivanje pouzdanih i sveobuhvatnih podataka o stvarnim incidentima koji su utjecali na rad mrežnih i informacijskih sustava. [Am. 29] |
|
(30) |
U mnogim su slučajevima iza incidenta prisutne kriminalne radnje. U kriminalne radnje može se posumnjati čak i ako dokazi za njihovu potvrdu nisu dovoljno jasni od samog početka. U tom kontekstu odgovarajuća suradnja među nadležnim tijelima , jedinstvenim kontaktnim točkama i policijskim vlastima tijelima za provedbu zakona kao i suradnja s Europolovim centrom za kibernetički kriminal EC3 i ENISA-om treba formirati dio učinkovitog i sveobuhvatnog odgovora na prijetnju sigurnosnim incidentima. Osobito promicanje sigurnog, pouzdanog i otpornijeg okruženja zahtijeva sustavno prijavljivanje policijskim vlastima tijelima za provedbu zakona onih incidenata za koje postoji sumnja da su ozbiljne kriminalne prirode. Ozbiljnu kriminalnu prirodu incidenata treba procijeniti u svjetlu zakonodavstva Unije o kibernetičkom kriminalu. [Am. 30] |
|
(31) |
U mnogim su slučajevima osobni podaci ugroženi zbog incidenata. Države članice i tržišni operateri trebali bi zaštititi osobne podatke koji se pohranjuju, obrađuju ili prenose od slučajnog ili nezakonitog uništenja, slučajnog gubitka ili izmjene i neovlaštenog ili nezakonitog pohranjivanja, pristupa, objavljivanja, ili širenja; i osigurati provedbu sigurnosne politike u vezi s obradom osobnih podataka. U tom kontekstu stručna nadležna tijela , jedinstvene kontaktne točke i tijela za zaštitu podataka trebaju surađivati i razmjenjivati informacije o svim relevantnim temama za rješavanje podatke uključujući, ako je prikladno, s tržišnim operaterima, u cilju rješavanja kršenja tajnosti osobnih podataka uzrokovanih incidentima. Države članice trebaju provoditi u skladu s primjenjivim zakonima o zaštiti podataka . Obvezu obavješćivanja o sigurnosnim incidentima potrebno je izvršavati na način koji bi umanjio administrativni teret u slučaju da je sigurnosni incident također narušio i tajnost osobnih podataka, što se mora prijaviti u skladu s Uredbom Europskog parlamenta i Vijeća sa zakonodavstvom Unije o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (9) . Održavajući vezu sa stručnim nadležnim tijelima i tijelima za zaštitu podataka, ENISA može pomoći bi trebala pomagati razvojem mehanizama za razmjenu podataka i predložaka kojima bi se izbjegla potreba za dva jedinstvenog predloška za prijavu. obavijesti kojim Ovakav jedinstveni predložak za prijavu pojednostavnit će se olakšati izvješćivanje o incidentima koji ugrožavaju osobne podatke i na taj način olakšati administrativni teret za tvrtke i javne uprave. [Am. 31] |
|
(32) |
Standardizacija sigurnosnih uvjeta dobrovoljan je proces je koji određuje tržište i koji bi tržišnim operaterima trebao omogućiti upotrebu alternativnih načina za postizanje barem sličnih rezultata . Da bi se osigurala podjednaka primjena sigurnosnih standarda, države članice trebaju poticati sukladnost ili usklađenost s posebnim interoperabilnim standardima kojima se osigurava visoka razina sigurnosti na razini EU-a Unije . U tu svrhu, možda će potrebno je razmotriti primjenu otvorenih međunarodnih standarda za sigurnost mreža i podataka ili oblikovanje takvih alata. Još jedan potreban korak naprijed može biti potrebno izraditi nacrt izrada nacrta usklađenih standarda, što treba učiniti u skladu s Uredbom (EU) br. 1025/2012 Europskog parlamenta i Vijeća (10). Posebno, treba ovlastiti ETSI, CEN i CENELEC da predlože djelotvorne i učinkovite otvorene sigurnosne standarde Unije, pri čemu treba što je više moguće izbjegavati davanje prednosti određenoj tehnologiji i kojima bi mali i srednji tržišni operateri mogli lako upravljati. Međunarodni standardi u vezi s kibernetičkom sigurnosti trebali bi se pažljivo sigurnosno provjeriti kako bi se osiguralo da nisu ugroženi i da pružaju dovoljnu razinu sigurnosti i time osiguravaju da propisano poštovanje standarda kibernetičke sigurnosti poboljšava opću razinu kibernetičke sigurnosti Unije, a ne da ju ugrožava. [Am. 32] |
|
(33) |
Komisija treba redovno povremeno revidirati ovu Direktivu, uz savjetovanje sa svim zainteresiranim dionicima, posebno u pogledu određivanja potrebe za izmjenom u svjetlu promjene društvenih, političkih, tehnoloških i tržišnih uvjeta. [Am. 33] |
|
(34) |
Da bi se omogućilo propisno funkcioniranje mreže suradnje, Komisiju treba ovlastiti za usvajanje akata u skladu s člankom 290. UFEU-a u vezi s definiranjem kriterija koje država članica mora ispuniti da bi joj se odobrilo sudjelovanje u sigurnom sustavu sa zajedničkim skupom standarda za međusobno povezivanje i sigurnost za sigurnu infrastrukturu za dijeljenje podataka, s informacija i dodatnim opisom određivanjem događaja koji uzrokuju rano upozorenje i s definiranjem okolnosti u kojima tržišni subjekti i javne uprave imaju obvezu prijave incidenata. [Am. 34] |
|
(35) |
Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući i ona na razini stručnjaka. Prilikom pripremanja i sastavljanja delegiranih akata Komisija bi trebala osigurati istodobnu, pravodobnu i prikladnu dostavu predmetnih dokumenata Europskom parlamentu i Vijeću. |
|
(36) |
Da bi se osigurali jedinstveni uvjeti za provedbu ove Direktive, Komisiji se trebaju dodijeliti provedbene ovlasti za suradnju stručnih nadležnih tijela između jedinstvenih kontaktnih točaka i Komisije unutar u okviru mreže za suradnju, ne dovodeći u pitanje postojeće mehanizme suradnje na nacionalnoj razini , pristup sigurnoj infrastrukturi za dijeljenje informacija, plan Unije za suradnju za NIS, načine i postupke koji se primjenjuju u informiranju javnosti na obavještavanje o incidentima te za standarde i/ili tehničke specifikacije relevantne za NIS. koji imaju znatan učinak. Te se ovlasti trebaju izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (11). [Am. 35] |
|
(37) |
Primjenom ove direktive Komisija treba prema potrebi održavati vezu s relevantnim sektorskim odborima te relevantnim tijelima na razini EU-a Unije , posebno na polju u području e-vlade, energetike, prijevoza , zdravstva i zdravstva obrane . [Am. 36] |
|
(38) |
Podatak koji stručno nadležno tijelo ili jedinstvena kontaktna točka smatra povjerljivim u skladu s Unijinim pravilima Unije i nacionalnim pravilima o poslovnoj tajni treba se ustupiti Komisiji i razmijeniti s Komisijom, njezinim relevantnim agencijama, jedinstvenim kontaktnim točkama i/ili drugim stručnim nadležnim tijelima samo u slučaju kad je takva razmjena izričito nužna za primjenu ove Direktive. Ustupljeni podatak treba se ograničiti na ono što je relevantno , nužno i razmjerno svrsi takve razmjene , i treba poštovati unaprijed utvrđene kriterije zaštite povjerljivosti i sigurnost, u skladu s Odlukom 2011/292/EU, te na podatke na koje se primjenjuju ugovori o poslovnoj tajni ili neformalni ugovori o poslovnoj tajni, kao što je Protokol o semaforu. [Am. 37] |
|
(39) |
Razmjena podataka o rizicima i incidentima unutar u okviru mreže suradnje te izvršavanje obveze prijave i sukladnost sa zahtjevima vezanim uz prijavu incidenata nacionalnim nadležnim državnim tijelima možda će biti potrebna obrada ili jedinstvenim kontaktnim točkama može zahtijevati obradu osobnih podataka. Takva obrada osobnih podataka nužna je za postizanje ciljeva od javnog interesa koji su postavljeni u ovoj Direktivi te je time opravdana prema članku 7. Direktive 95/46/EZ. Obrada ne predstavlja, u odnosu na ove opravdane ciljeve, nesrazmjerno nerazmjerno i neprihvatljivo zadiranje u pravo na zaštitu osobnih podataka zajamčeno člankom 8. Povelje o temeljnim pravima niti narušava njegovu bit. U primjeni ove Direktive, Uredbu (EZ) br. 1049/2001 Europskog parlamenta i Vijeća (12) treba primjenjivati po potrebi. Ako podatke obrađuju institucije i tijela Unije, takva obrada u svrhu provedbe ove Direktive treba biti u skladu s Uredbom (EZ) br. 45/2001 . [Am. 38] |
|
(40) |
Budući da države članice ne mogu potpuno ostvariti cilj ove Direktive, odnosno osigurati visoku razinu NIS-a u Uniji, te se on stoga zbog učinka djelovanja može uspješnije ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti kao što je utvrđeno člankom 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti iz navedenog članka ova Direktiva ne prelazi okvire koji su potrebni za postizanje tog cilja. |
|
(41) |
Ova Direktiva poštuje temeljna prava i uzima u obzir načela priznata Poveljom o temeljnim pravima Europske unije, posebno pravo na poštovanje privatnog života i komuniciranja, zaštitu osobnih podataka, slobodu poduzetništva, pravo na vlasništvo, pravo na učinkoviti pravni lijek na sudu i pravo na saslušanje. Ova se Direktiva mora provoditi u skladu s ovim pravima i načelima |
|
(41.a) |
U skladu sa Zajedničkom političkom izjavom država članica i Komisije o obrazloženjima od 28. rujna 2011., u opravdanim se slučajevima države članice pridružuju obavještavanju o svojim mjerama za prijenos pomoću jednoga ili više dokumenata u kojima se objašnjava odnos između sastavnih dijelova direktive i odgovarajućih dijelova nacionalnih instrumenata za prijenos. U pogledu ove Direktive, zakonodavac smatra da je dostava tih dokumenata opravdana. [Am. 39] |
|
(41.b) |
Izvršeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001, koji je dao mišljenje 14. lipnja 2013. (13), |
DONIJELI SU OVU DIREKTIVU:
POGLAVLJE I.
OPĆE ODREDBE
Članak 1.
Predmet i područje primjene
1. Ova Direktiva određuje mjere za osiguranje zajedničke visoke razine sigurnosti mreža i podataka („NIS”) unutar Unije.
2. U tu svrhu, ova Direktiva:
|
(a) |
utvrđuje obveze za sve države članice u vezi sa sprečavanjem, rješavanjem i odgovaranjem na rizike i incidente koji utječu na mrežne i informacijske sustave; |
|
(b) |
kreira mehanizam suradnje među državama članicama kako bi se osigurala jedinstvena primjena ove Direktive unutar Unije i, ako je potrebno, koordinirano , učinkovito i učinkovito uspješno rješavanje i odgovor na rizike i incidente koji utječu na mrežne i informacijske sustave uz sudjelovanje relevantnih dionika ; [Am. 40] |
|
(c) |
uspostavlja sigurnosne uvjete za tržišne subjekte i javne uprave operatere . [Am. 41] |
3. Sigurnosni uvjeti izneseni u članku 14. ove Direktive ne primjenjuju se na tvrtke koje pružaju javne komunikacijske mreže niti na javno dostupne elektroničke komunikacijske usluge u smislu Direktive 2002/21/EZ, koje podliježu posebnim uvjetima sigurnosti i cjelovitosti kako je određeno člancima 13.a i 13.b te direktive, niti na davatelje usluga skrbništva.
4. Ova Direktiva ne dovodi u pitanje zakone EU-a Unije o kibernetičkom kriminalu i Direktivu Vijeća 2008/114/EZ (14)
5. Ova Direktiva također ne dovodi u pitanje Direktivu 95/46/EZ Direktivu 2002/58/EZ te Uredbu (EZ) br. 45/2001 . Uporaba osobnih podataka ograničena je na ono što je izričito potrebno u svrhe ove Direktive i ti su podaci u što većoj mjeri anonimni, ako ne potpuno anonimni. [Am. 42]
6. Dijeljenje informacija unutar mreže suradnje u poglavlju III. i prijave incidenata NIS-a prema članku 14. može zahtijevati obradu osobnih podataka. Takvu obradu, koja je potrebna za ispunjavanje ciljeva od javnog interesa postavljenih u ovoj Direktivi, odobrava država članica prema članku 7. Direktive 95/46/EZ i Direktivi 2002/58/EZ, uz primjenu nacionalnih zakona.
Članak 1.a
Zaštita i obrada osobnih podataka
1. Svaka obrada osobnih podataka prema ovoj Direktivi u državama članicama provodi se u skladu s Direktivom 95/46/EZ i Direktivom 2002/58/EZ.
2. Svaka obrada osobnih podataka koju prema ovoj Uredbi provode Komisija i ENISA provodi se u skladu s Uredbom (EZ) br. 45/2001.
3. Svaka obrada osobnih podataka koju Europski centar za kibernetički kriminal u sklopu Europola provodi za potrebe ove Direktive provodi se u skladu s Odlukom 2009/371/PUP (15).
4. Obrada osobnih podataka poštena je i zakonita i strogo ograničena na minimum podataka koji je potreban u svrhe radi kojih se obrađuju. Čuvaju se u obliku koji omogućuje identifikaciju osoba čiji se podaci obrađuju ne duže nego što je nužno u svrhe radi kojih se osobni podaci obrađuju.
5. Obavijesti o incidentima iz članka 14. ove Direktive ne dovode u pitanje odredbe i obveze obavještavanja o povredi osobnih podataka utvrđene u članku 4. Direktive 2002/58/EZ i u Uredbi Komisije (EU) br. 611/2013 (16) . [Am. 43]
Članak 2.
Minimalno usklađivanje
Države članice ne sprečava se u usvajanju ili zadržavanju odredaba koje osiguravanju višu razinu sigurnosti, ne dovodeći u pitanje njihove obveze prema zakonu Unije.
Članak 3.
Definicije
Za potrebe ove Direktive primjenjuju se sljedeće definicije:
|
(1) |
„mrežni i informacijski sustav” znači:
|
|
(2) |
„sigurnost” znači sposobnost mrežnog i informacijskog sustava da odolijeva, na određenoj razini pouzdanosti, nezgodi ili zlonamjernoj radnji koja ugrožava dostupnost, autentičnost, cjelovitost i povjerljivost pohranjenih ili prenesenih podataka ili srodnih usluga koje taj mrežni i informacijski sustav nudi ili im omogućuje pristup; „sigurnost” uključuje odgovarajuće tehničke uređaje, rješenja i operativne postupke kojima se osiguravaju sigurnosni zahtjevi iz ove Direktive. [Am. 46] |
|
(3) |
„rizik” znači bilo koja razumno prepoznatljiva okolnost ili događaj koji ima potencijalan negativni učinak na sigurnost; [Am. 47] |
|
(4) |
„incident” znači bilo koja okolnost ili koji događaj koji ima stvaran negativni negativan učinak na sigurnost; [Am. 48] |
|
(5) |
„usluga informacijskog društva” znači usluga u smislu točke (2) članka 1. Direktive 98/34/EZ; [Am. 49] |
|
(6) |
„plan suradnje za NIS” znači plan za utvrđivanje okvira za organizacijske uloge, odgovornosti i postupke pri održavanju ili ponovnoj uspostavi rada mrežnih i informacijskih sustava u slučaju rizika ili incidenta koji utječe na njih; |
|
(7) |
„rješavanje incidenta” znači svi postupci koji podupiru otkrivanje, sprječavanje, analizu, zaustavljanje i odgovor na incident; [Am. 50] |
|
(8) |
„tržišni subjekt” znači:
|
|
(8.a) |
„incident koji ima znatan učinak” znači incident koji utječe na sigurnost i kontinuitet informacijske mreže ili sustava i dovodi do velikih poremećaja vitalnih gospodarskih i društvenih funkcija; [Am. 53] |
|
(9) |
„standard” znači standard kako je definirano u Uredbi (EU) br. 1025/2012; |
|
(10) |
„specifikacija” znači specifikacija kako je definirano u Uredbi (EU) br. 1025/2012; |
|
(11) |
„Davatelj usluga skrbništva” znači fizička ili pravna osoba koja pruža bilo koju elektroničku uslugu koja se sastoji od kreiranja, ovjere, potvrđivanja, korištenja i očuvanja elektroničkih potpisa, elektroničkih pečata, elektroničkih vremenskih pečata, elektroničkih dokumenata, usluga elektroničke dostave, ovjere internetskih lokacija te elektroničkih certifikata, uključujući certifikate za elektronički potpis i za elektroničke pečate. |
|
(11.a) |
„regulirano tržište” znači regulirano tržište kako je definirano u točki 14. članka 4. Direktive 2004/39/EZ Europskog parlamenta i Vijeća (17) ; [Am. 54] |
|
(11.b) |
„multilateralna trgovinska platforma (MTP)” znači multilateralni sustav kako je definirano u točki 15. članka 4. Direktive 2004/39/EZ; [Am. 55] |
|
(11.c) |
„organizirani trgovinski sustav” znači multilateralni sustav ili platforma koji nije uređeno tržište, multilateralni trgovinski sustav ili središnja druga ugovorna strana, kojom upravlja investicijska tvrtka ili tržišni operater, u kojem višestruko kupovanje i prodavanje udjela u obveznicama, strukturiranim financijskim proizvodima, emisijskim kvotama ili izvedenicama koje provode treće strane može međusobno djelovati u sustavu na način koji dovodi do ugovora u skladu s Glavom II. Direktive 2004/39/EZ; [Am. 56] |
POGLAVLJE II.
DRŽAVNI OKVIRI ZA SIGURNOST MREŽA I INFORMACIJA
Članak 4.
Načelo
Države članice osiguravaju visoku razinu sigurnosti mrežnih i informacijskih sustava na svojim teritorijima u skladu s ovom Direktivom.
Članak 5.
Državna strategija i državni plan suradnje za NIS
1. Svaka država članica usvaja državnu strategiju za NIS koja definira strateške ciljeve i konkretnu politiku te regulatorne mjere za postizanje visoke razine sigurnosti mreža i informacija. Državna strategija za NIS posebno se bavi sljedećim pitanjima:
|
(a) |
definicijom ciljeva i prioriteta strategije na temelju ažurne analize rizika i incidenata; |
|
(b) |
upravljačkim okvirom za postizanje strateških ciljeva i prioriteta, uključujući jasnu definiciju uloga i odgovornosti vladinih tijela i drugih relevantnih sudionika; |
|
(c) |
identifikacijom općih mjera pripravnosti, odgovora i ponovne uspostave, uključujući mehanizme suradnje između javnog i privatnog sektora; |
|
(d) |
pokazateljima edukacije, dizanja razine svijesti i programâ osposobljavanja; |
|
(e) |
planovima za istraživanje i razvoj te opisom načina na koji ovi planovi odražavaju prepoznate prioritete. |
|
(ea) |
države članice mogu zatražiti podršku ENISA-e u razvijanju svojih nacionalnih strategija za NIS i nacionalnih planova suradnje za NIS, na temelju zajedničke minimalne strategije za NIS. [Am. 57] |
2. Državna strategija za NIS uključuje državni plan suradnje za NIS koji ispunjava barem sljedeće uvjete:
|
(a) |
plan Okvir za upravljanje rizikom za određivanje metodologije za prepoznavanje, određivanje prioriteta, ocjenjivanje i obradu rizika, procjenu rizika kako bi se utvrdili rizici i procijenili učinci učinaka potencijalnih incidenata , mogućnosti sprječavanja i kontrole i za određivanje kriterija za izbor mogućih protumjera ; [Am. 58] |
|
(b) |
definiranje Definicija uloga i odgovornosti raznih sudionika različitih tijela i drugih zainteresiranih strana uključenih u provedbu plana okvira ; [Am. 59] |
|
(c) |
definiranje postupaka suradnje i komunikacije koji osiguravaju sprečavanje, otkrivanje, odgovor, popravak i ponovnu uspostavu rada te se prilagođavaju u skladu s razinom upozorenja; |
|
(d) |
plan vježbi i osposobljavanja za NIS kako bi se ovaj plan pojačao, potvrdio i testirao. Stečena iskustva moraju se dokumentirati i uključiti u dodatke planu. |
3. O državnoj nacionalnoj strategiji za NIS i državnom nacionalnom planu za NIS obavješćuje se Komisija u roku od jednog tri mjeseca od njihova usvajanja. [Am. 60]
Članak 6.
Nadležno državno tijelo Nacionalna nadležna tijela i jedinstvene kontaktne točke za sigurnost mrežnih i informacijskih sustava [Am. 61]
1. Svaka država članica imenuje nadležno nacionalno tijelo određuje jedno ili više građanskih nacionalnih nadležnih tijela za sigurnost mrežnih i informacijskih sustava („nadležno tijelo tijelo/a ”). [Am. 62]
2. Nadležna tijela nadgledaju primjenu ove Direktive na državnoj razini i pridonose njezinoj dosljednoj provedbi u cijeloj Uniji.
2.a Ako država članica odredi više od jednog nadležnog tijela, ona određuje građansko nacionalno tijelo, primjerice nadležno tijelo, kao nacionalnu jedinstvenu kontaktnu točku za sigurnost mrežnih i informacijskih sustava („jedinstvena kontaktna točka”). Ako država članica odredi samo jedno nadležno tijelo, to nadležno tijelo također je i jedinstvena kontaktna točka. [Am. 63]
2.b Nadležna tijela i jedinstvena kontaktna točka iste države članice blisko surađuju u odnosu na obveze propisane u ovoj Direktivi. [Am. 64]
2.c Jedinstvena kontaktna točka osigurava prekograničnu suradnju s drugim jedinstvenim kontaktnim točkama. [Am. 65]
3. Države članice osiguravaju nadležnim tijelima da nadležna tijela i jedinstvene kontaktne točke imaju odgovarajuće tehničke, financijske i ljudske resurse kako bi im se omogućilo djelotvorno i učinkovito izvršavanje dodijeljenih im zadataka te time postizanje ciljeva za provedbu zadaća koje su im dodijeljene na učinkovit i djelotvoran način te da ispune ciljeve ove Direktive. Države članice osiguravaju učinkovitu, djelotvornu i sigurnu suradnju nadležnih tijela jedinstvenih kontaktnih točaka preko mreže navedene u članku 8. [Am. 66]
4. Države članice osiguravaju nadležnim tijelima zaprimanje prijava incidenata od javnih uprava i tržišnih subjekata kako je definirano člankom 14. da nadležna tijela i jedinstvene kontaktne točke, ako je primjenjivo u skladu sa stavkom 2. a ovog članka, dobiju obavijesti o incidentima od tržišnih operatera iz članka 14. stavka 2. te provedbene i izvršne ovlasti kako je definirano člankom da im se daju ovlasti provedbe i primjene iz članka 15. [Am. 67]
4.a Ako je u zakonodavstvu Unije predviđeno sektorski specifično nadležno ili regulatorno tijelo Unije, između ostalog, za sigurnost mrežnih i informacijskih sustava, to tijelo prima prijave o incidentima u skladu s člankom 14. stavkom 2. od predmetnih tržišnih operatera u tom sektoru i ima provedbene i izvršne ovlasti iz članka 15. To tijelo Unije blisko surađuje s nadležnim tijelima i jedinstvenom kontaktnom točkom države članice domaćina u odnosu na te obaveze. Jedinstvena kontaktna točka države članice domaćina predstavlja tijelo Unije u odnosu na obaveze utvrđene u Poglavlju III. [Am. 68]
5. Prema potrebi, Nadležna tijela i jedinstvene kontaktne točke savjetuju se i surađuju , ako je potrebno, s relevantnim državnim policijskim vlastima mjerodavnim nacionalnim tijelima za provedbu zakona i tijelima za zaštitu podataka. [Am. 69]
6. Svaka država članica bez odgode odlaganja obavješćuje Komisiju o imenovanju nadležnog nadležnih tijela, njegovim zadacima i bilo kakvim i jedinstvene kontaktne točke , njihovim zadaćama i svim naknadnim izmjenama na njemu promjenama . Svaka država članica objavljuje imenovanje nadležnog nadležnih tijela. [Am. 70]
Članak 7.
Tim za hitne računalne intervencije
1. Svaka država članica sastavlja najmanje jedan tim za hitne računalne intervencije („CERT”) za svaki od sektora iz Priloga II., odgovoran za rješavanje incidenata i rizika prema točno definiranom postupku, u skladu s uvjetima utvrđenima u točki (1) Priloga I. CERT se može sastaviti u sklopu nadležnog tijela. [Am. 71]
2. Države članice osiguravaju CERT-ovima odgovarajuće tehničke, financijske i ljudske resurse za djelotvorno i učinkovito izvršavanje dodijeljenih im zadataka definiranih u točki (2) Priloga I.
3. Države članice CERT-ovima osiguravaju sigurnu i otpornu infrastrukturu za komunikaciju i informacije na državnoj razini, koja je kompatibilna i međuoperabilna sa sigurnim sustavom za dijeljenje informacija, kako je navedeno u članku 9.
4. Države članice obavješćuju Komisiju o resursima i mandatu CERT-ova, kao i postupku rješavanja incidenata.
5. ΧΕΡΤ δjελήjε CERT-ovi djeluju pod nadzorom nadležnog tijela koje ili jedinstvene kontaktne točke koji redovno revidira propisnost njegovih revidiraju prikladnost njihovih resursa, mandata i učinkovitosti njihovih postupaka za rješavanje incidenata. [Am. 72]
5.a Države članice osiguravaju da CERT-ovi imaju odgovarajuće ljudske i financijske resurse za aktivno sudjelovanje u međunarodnim te, posebno, mrežama suradnje Unije. [Am. 73]
5.b CERT-ovima je omogućeno i ohrabruje ih se da pokrenu zajedničke vježbe s drugim CERT-ovima i sudjeluju u njima, sa svim CERT-ovima država članica i svim odgovarajućim institucijama država koje nisu članice kao i s CERT-ovima multinacionalnih i međunarodnih institucija poput Sjevernoatlantskog saveza i Ujedinjenih naroda. [Am. 74]
5.c Države članice mogu tražiti pomoć od ENISA-e ili drugih država članica u razvoju vlastitog nacionalnog CERT-a. [Am. 75]
POGLAVLJE III.
SURADNJA NADLEŽNIH TIJELA
Članak 8.
Mreža suradnje
1. Nadležna tijela Jedinstvene kontaktne točke i Komisija postavljaju te ENISA osnivaju mrežu („mreža suradnje”) za surađivanje radi suradnje u borbi protiv rizika i incidenata koji utječu na mrežne i informacijske sustave. [Am. 76]
2. Mreža suradnje omogućuje uspostavlja trajnu komunikaciju između Komisije i nadležnih tijela. Europska agencija za sigurnost mreža i informacija („ jedinstvenih kontaktnih točaka. ENISA”) na zahtjev pomaže mreži suradnje pružajući svoju stručnost i savjete. savjet . Ako je potrebno, tržišni operateri i pružatelji rješenja za kibernetičku sigurnost mogu biti pozvani sudjelovati u aktivnostima mreže suradnje iz točaka (g) i (i) stavka 3.
Ako je potrebno, mreža suradnje surađuje s tijelima za zaštitu podataka.
Komisija redovito obavještava mrežu suradnje o istraživanjima sigurnosti i drugim relevantnim programima Obzora 2020. [Am. 77]
3. Unutar U okviru mreže suradnje nadležna tijela , jedinstvene kontaktne točke :
|
(a) |
prosljeđuju rana upozorenja na rizike i incidente u skladu s člankom 10.; |
|
(b) |
osiguravaju koordinirani odgovor u skladu s člankom 11.; |
|
(c) |
na zajedničkoj internetskoj lokaciji stranici redovno objavljuju informacije bez uvjeta tajnosti koje nisu tajne o trenutačnim ranim upozorenjima te koordiniranom odgovoru; |
|
(d) |
zajednički sudjeluju u raspravama raspravljaju te procjenjuju, na zahtjev države članice i Komisije, jednu ili više državnih nacionalnih strategija za NIS i državne nacionalne planove za suradnju za NIS navedene u članku 5. unutar opsega ove Direktive. |
|
(e) |
sudjeluju u raspravama te zajednički raspravljaju i procjenjuju, na zahtjev države članice i Komisije, učinkovitost CERT-ova, posebno kad se vježbe za NIS izvode na razini Unije; |
|
(f) |
surađuju i razmjenjuju informacije o svim stručnost u relevantnim temama o mrežnoj i informacijskoj sigurnosti, posebno u područjima zaštite podataka, energetike, prometa, bankarstva, financijskih tržišta i zdravstva s Europskim centrom za kibernetički kriminal u sklopu Europola i s ostalim relevantnim europskim tijelima, posebno na poljima zaštite podataka, energetike, prijevoza, burzi i zdravstva; |
|
(fa) |
prema potrebi, putem izvješća obavještavaju koordinatora EU-a za borbu protiv terorizma, te mogu zatražiti pomoć u analizama, pripremnim radovima i djelovanju mreže suradnje; |
|
(g) |
razmjenjuju informacije i najbolje prakse među sobom međusobno i s Komisijom te si međusobno pomažu u izgradnji kapaciteta za NIS; |
|
(h) |
organiziraju redovne stručne procjene sposobnosti i pripravnosti; |
|
(i) |
organiziraju vježbe za NIS na razini Unije i sudjeluju, po potrebi, u međunarodnim vježbama za NIS. |
|
(ia) |
uključuju, savjetuju se s te razmjenjuju, prema potrebi, informacije s tržišnim operaterima po pitanju rizika i incidenata koji pogađaju njihove mreže i informacijske sustave; |
|
(ib) |
razvijaju, u suradnji s ENISA-om, smjernice za sektorski specifične kriterije za prijavljivanje značajnih incidenata, uz parametre propisane u članku 14. stavku 2. za zajedničko tumačenje, dosljednu primjenu i koherentnu provedbu unutar Unije. [Am. 78] |
3.a Mreža suradnje jednom godišnje objavljuje izvješće, na temelju aktivnosti mreže i sažetog izvješća predanog u skladu s člankom 14. stavkom 4. ove Direktive, za prethodnih 12 mjeseci. [Am. 79]
4. Komisija putem provedbenih akata utvrđuje potrebne modalitete za olakšavanje suradnje između nadležnih tijela i Komisije kako je navedeno u stavcima jedinstvenih kontaktnih točaka, Komisije i ENISA-e iz stavaka 2. i 3. Ovi Ti se provedbeni akti donose se u skladu s postupkom savjetovanja kako je navedeno u članku ispitivanja iz članka 19. stavku 2. stavka 3 . [Am. 80]
Članak 9.
Sigurni sustav za dijeljenje informacija
1. Razmjena osjetljivih i povjerljivih informacija u mreži suradnje odvija se preko sigurne infrastrukture.
1.a Sudionici sigurne infrastrukture pridržavaju se, između ostalog, odgovarajućih mjera zaštite povjerljivosti i sigurnosnih mjera u skladu s Direktivom 95/46/EZ i Uredbom (EZ) br. 45/2001 u svim fazama obrade. [Am. 81]
2. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 18. u vezi s definicijom kriterija koje država članica mora ispuniti da bi joj se odobrilo sudjelovanje u sigurnom sustavu za dijeljenje podataka, u pogledu:
|
(a) |
dostupnosti sigurne i otporne infrastrukture za komunikaciju i informiranje na državnoj razini, koja je kompatibilna i međuoperabilna sa sigurnom infrastrukturom mreže suradnje u skladu s člankom 7. stavkom 3., i |
|
(b) |
postojanja odgovarajućih tehničkih, financijskih i ljudskih resursa i postupaka za nadležno tijelo i CERT, što bi omogućilo djelotvorno, učinkovito i sigurno sudjelovanje u sigurnom sustavu za dijeljenje informacija prema članku 6. stavku 3., članku 7. stavku 2. i članku 7. stavku 3. [Am. 82] |
3. Komisija putem provedbenih delegiranih akata , u skladu s člankom 18., donosi odluke o pristupu država članica ovoj sigurnoj infrastrukturi, prema kriterijima navedenima u stavcima 2. i 3. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 19. stavka 3. zajednički skup standarda za međusobno povezivanje i sigurnost koje jedinstvene kontaktne točke moraju ispuniti prije razmjene osjetljivih i povjerljivih podataka u mreži suradnje. [Am. 83]
Članak 10.
Rana upozorenja
1. Nadležna tijela Jedinstvene kontaktne točke ili Komisija izdaju osiguravaju rana upozorenja unutar u okviru mreže suradnje na one rizike i incidente koji ispunjavaju najmanje barem jedan od sljedećih uvjeta:
|
(a) |
rastu velikom brzinom ili bi mogli razmjerno brzo rasti; |
|
(b) |
prelaze ili bi mogli jedinstvena kontaktna točka procjenjuje da bi rizik ili incident mogao prijeći kapacitete odgovora na državnoj nacionalnoj razini; |
|
(c) |
jedinstvene kontaktne točke ili Komisija ocjenjuju utječu li rizik ili bi mogli utjecati incident na više od jedne države članice. [Am. 84] |
2. U ranim upozorenjima , jedinstvene kontaktne točke nadležna tijela i Komisija dostavljaju , bez odlaganja, sve relevantne informacije kojima raspolažu, a koje bi mogle poslužiti u procjeni rizika ili incidenta. [Am. 85]
3. Na zahtjev države članice, ili na svoju vlastitu inicijativu, Komisija može zahtijevati od države članice dostavu svih relevantnih informacija o određenom riziku ili incidentu. [Am. 86]
4. Ako se sumnja da je rizik ili incident za koji je izdano rano upozorenje ozbiljne kriminalne prirode nadležna tijela ili Komisija obavješćuju Europski centar i ako je predmetni tržišni operater prijavio incidente ozbiljne kriminalne prirode kako je navedeno u članku 15. stavku 4. , države članice osiguravaju, prema potrebi, obavještavanje Europskog centra za kibernetički kriminal u sklopu Europola. [Am. 87]
4.a Članovi mreže suradnje ne objavljuju javno nijednu informaciju o rizicima ili incidentima navedene u stavku 1. bez prethodnog odobrenja jedinstvene kontaktne točke.
Nadalje, prije razmjene informacija u mreži suradnje, jedinstvena kontaktna točka o svojoj namjeri obavješćuje tržišnog operatera na kojeg se informacije odnose te, ako to smatra prikladnim, informacije u pitanju čini anonimnima. [Am. 88]
4.b Ako se sumnja da je rizik ili incident za koji je izdano rano upozorenje ozbiljne prekogranične tehničke naravi, jedinstvene kontaktne točke ili Komisija obavještavaju ENISA-u. [Am. 89]
5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 18. o dodatnim specifikacijama rizika i incidenata koji uzrokuju rano upozorenje kako je navedeno u stavku 1. ovog članka.
Članak 11.
Koordinirani odgovor
1. Poslije Nakon ranog upozorenja iz članka 10. nadležna tijela jedinstvene kontaktne točke, nakon procjene relevantnih informacija , bez odlaganja dogovaraju koordinirani odgovor u skladu s EU-ovim planom suradnje za NIS Unije iz članka 12. [Am. 90]
2. Razne mjere usvojene na državnim razinama kao posljedica koordiniranog odgovora priopćuju se mreži suradnje.
Članak 12.
Plan suradnje za NIS Europske unije
1. Komisija je ovlaštena, putem provedbenih akta, donijeti plan suradnje za NIS EU-a. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 19. stavka 3.
2. Plan suradnje za NIS EU-a osigurava:
|
(a) |
za potrebe članka 10.:
|
|
(b) |
postupke koje treba slijediti u slučaju koordiniranih odgovora prema članku 11., uključujući utvrđivanje uloga i odgovornosti te postupaka suradnje; |
|
(c) |
plan vježbi i osposobljavanja za NIS kako bi se ovaj plan pojačao, potvrdio i testirao; |
|
(d) |
program za prijenos znanja među državama članicama u vezi s izgradnjom kapaciteta i stručnom suradnjom; |
|
(e) |
program za podizanje svijesti i osposobljavanje među državama članicama. |
3. Plan suradnje za NIS EU-a Unije usvaja se najkasnije godinu dana nakon stupanja ove Direktive na snagu i redovno se revidira. Rezultati svake revizije podnose se Europskom parlamentu. [Am. 92]
3.a Osigurava se usklađenost plana suradnje za NIS Unije i nacionalnih strategija i planova suradnje za NIS, kako je predviđeno člankom 5. . [Am. 93]
Članak 13.
Međunarodna suradnja
Ne dovodeći u pitanje mogućnost da mreža suradnje također neformalno surađuje na međunarodnoj razini, Unija može sklapati međunarodne ugovore s trećim državama ili međunarodnim organizacijama kojima bi im se dopustilo i organiziralo sudjelovanje u nekim aktivnostima mreže suradnje. Takav ugovor uzima u obzir potrebu za osiguranjem primjerene zaštite osobnih podataka koji kruže mrežom suradnje i uspostavlja postupak nadziranja koji se mora slijediti kako bi se jamčila zaštita takvih osobnih podataka . Europski parlament obavještava se o pregovorima o ugovorima. Svako prenošenje osobnih podataka na primatelje u zemljama izvan Unije obavlja se u skladu s člancima 25. i 26. Direktive 95/46/EZ i člankom 9. Uredbe (EZ) br. 45/2001. [Am. 94]
Članak 13.a
Razina kritičnosti tržišnih operatera
Države članice mogu odrediti razinu kritičnosti tržišnih operatera, uzimajući u obzir posebnosti sektora, parametre, uključujući važnost određenog tržišnog operatera za održavanje dovoljne razine sektorske usluge, broj stranaka koje tržišni operater opskrbljuje te vremensko razdoblje dok prekid ključnih usluga tržišnog operatera ne počne imati negativan učinak na održavanje vitalnih gospodarskih i društvenih aktivnosti. [Am. 95]
POGLAVLJE IV.
SIGURNOST MREŽNIH I INFORMACIJSKIH SUSTAVA JAVNIH UPRAVA I TRŽIŠNIH SUBJEKATA
Članak 14.
Sigurnosni uvjeti i prijava incidenata
1. Države članice osiguravaju da javne uprave i tržišni subjekti poduzmu odgovarajuće tržišni operateri poduzimaju odgovarajuće i razmjerne tehničke i organizacijske mjere za uočavanje i učinkovito upravljanje rizicima kojima su izložene mreže i izloženi mrežni informacijski sustavi kojima upravljaju i kojima se služe u svojem poslovanju. Imajući na umu suvremenost tehnologija, ove te mjere jamče osiguravaju razinu sigurnosti primjerenu predmetnom riziku. Mjere se posebice poduzimaju za sprečavanje i umanjivanje učinka incidenata koji ugrožavaju njihove mrežne i informacijske sustave sigurnost njihovih mrežnih i informacijskih sustava na ključnim uslugama koje pružaju te se time osigurava kontinuitet usluga koje su poduprte tim mrežnim i informacijskim sustavima. [Am. 96]
2. Države članice osiguravaju da javne uprave i tržišni subjekti operateri bez neopravdanog odlaganja prijavljuju nadležnim tijelima ili jedinstvenoj kontaktnoj točki incidente koji znatno ugrožavaju sigurnost imaju znatan učinak na kontinuitet ključnih usluga koje pružaju. Prijavom strana koja prijavljuje nije izložena povećanoj odgovornosti.
Sljedeći parametri se, između ostalog, uzimaju u obzir kod određivanja važnosti učinka incidenta: [Am. 97]
|
(a) |
broj korisnika na čije se ključne usluge utječe; [Am. 98] |
|
(b) |
trajanje incidenta; [Am. 99] |
|
(c) |
zemljopisna raširenost u odnosu na područje na koje utječe incident. [Am. 100] |
Ti su parametri dodatno utvrđeni u skladu s točkom ib članka 8. stavka 3. [Am. 101]
2.a Tržišni operateri prijavljuju incidente iz stavaka 1. i 2. nadležnom tijelu ili jedinstvenoj kontaktnoj točki u državi članici u kojoj se utječe na ključne usluge. Ako postoji utjecaj na ključne usluge u više od jedne države članice, jedinstvena kontaktna točka koja je primila obavijest, na temelju informacija koje je dostavio tržišni operater, upozorava druge jedinstvene kontaktne točke kojih se to tiče. Tržišni operater obavještava se čim prije o tome koje su druge jedinstvene kontaktne točke obaviještene o incidentu, kao i o poduzetim koracima, rezultatima i svim drugim informacijama koje su bitne za incident. [Am. 102]
2.b Ako prijava sadrži osobne podatke ona se otkriva samo primateljima unutar obaviještenog nadležnog tijela ili jedinstvene kontaktne točke koji trebaju obraditi te podatke u svrhu provedbe svojih zadataka u skladu sa zakonima o zaštiti podataka. Otkriveni podaci ograničavaju se na ono što je potrebno za obavljanje njihovih zadaća. [Am. 103]
2.c Tržišni operateri koji nisu obuhvaćeni Prilogom II. mogu dobrovoljno prijaviti incidente kako je određeno u članku 14. stavku 2. [Am. 104]
3. Članci 1. i 2. primjenjuju se na sve tržišne subjekte koji pružaju usluge unutar Europske unije.
4. Nadležno tijelo informira Nakon savjetovanja s obaviještenim nadležnim tijelom i predmetnim tržišnim operaterom, jedinstvena kontaktna točka može obavijestiti javnost o pojedinačnim incidentima, ako je svijest javnosti nužna kako bi se spriječio incident ili zahtijeva da to učine riješio postojeći incident, ili ako tržišni subjekti i javne uprave ako se utvrdi da je objava operater, koji je pod utjecajem incidenta od javnog interesa , odbije riješiti problem ozbiljne strukturne ranjivosti povezane s tim incidentom bez kašnjenja.
Prije objave javnosti, obaviješteno nadležno tijelo osigurava da predmetni tržišni operater ima priliku izjasniti se i da je odluka o objavi javnosti u odgovarajućoj ravnoteži s javnim interesima.
Ako se informacije o pojedinačnim incidentima objave javnosti, obaviješteno nadležno tijelo ili jedinstvena kontaktna točka osiguravaju da je to učinjeno u što većoj mjeri anonimno.
Nadležno tijelo ili jedinstvena kontaktna točka, ako je to razumno moguće, pružaju predmetnom tržišnom operateru informacije koje podržavaju učinkovito rješavanje prijavljenog incidenta.
Nadležno tijelo Jedinstvena kontaktna točka jedanput godišnje podnosi sažeto izvješće mreži suradnje o zaprimljenim prijavama , uključujući i broj prijava te po pitanju parametara za incidente koji su navedeni u stavku 2. ovog članka, i poduzetim radnjama u skladu s ovim stavkom. [Am. 105]
4.a Države članice potiču tržišne operatere da dobrovoljno objave javnosti incidente koji uključuju njihovo poslovanje u svojim financijskim izvještajima. [Am. 106]
5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 18. o definiranju okolnosti u kojima su javne uprave i tržišni subjekti dužni prijaviti incidente. [Am. 107]
6. Prema bilo kojem donesenom delegiranom aktu prema stavku 5. Nadležna tijela ili jedinstvene kontaktne točke mogu donijeti smjernice, i ako je potrebno, izdati upute u vezi s okolnostima u kojima su javne uprave i tržišni subjekti dužni prijaviti operateri moraju prijavljivati incidente. [Am. 108]
7. Komisija je ovlaštena za definiranje putem provedbenih akata, načina i postupaka primjenjivih u svrhu stavka 2. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 19. stavka 3.
8. Stavci 1. i 2. ne primjenjuju se na mikropoduzeća kako je definirano u preporuci Komisije 2003/361/EZ (18) , osim ako mikropoduzeće djeluje kao podružnica za tržišnog operatera kako je utvrđeno u članku 3 . stavku 8. točki (b) . [Am. 109]
8.a Države članice mogu odlučiti mutatis mutandis primijeniti ovaj članak i članak 15. na javne uprave. [Am. 110]
Članak 15.
Provedba i primjena
1. Države članice osiguravaju da nadležna tijela i jedinstvene kontaktne točke imaju ovlasti sve potrebne ovlasti za istraživanje slučajeva u kojima javne uprave i za osiguranje da tržišni subjekti odstupaju od svojih obveza operateri poštuju svoje obveze iz članka 14. i njihovih učinaka na sigurnost mreža mrežnih i informacijskih sustava. [Am. 111]
2. Države članice osiguravaju da su nadležna tijela ovlaštena zahtijevati i jedinstvene kontaktne točke imaju ovlasti tražiti od tržišnih subjekata i javnih uprava operatera da: [Am. 112]
|
(a) |
pruže informacije potrebne za procjenu sigurnosti njihovih mreža i informacijskih sustava, uključujući dokumentirane sigurnosne propise; |
|
(b) |
pristupe reviziji dostave dokaze o učinkovitoj provedbi sigurnosnih politika, kao što su rezultati revizije sigurnosti koju provodi kvalificirano nezavisno neovisno tijelo ili državna institucija nacionalno tijelo te da dobivene rezultate učine dostupnima dokazi budu dostupni nadležnom tijelu ili jedinstvenoj kontaktnoj točki; [Am. 113] |
Kada šalju taj zahtjev, nadležna tijela i jedinstvene kontaktne točke navode svrhu zahtjeva i u dostatnoj mjeri određuju koji su podaci potrebni. [Am. 114]
3. Države članice osiguravaju da su nadležna tijela ovlaštena i jedinstvene kontaktne točke imaju ovlasti izdavati obvezujuće upute tržišnim subjektima i javnim upravama operaterima . [Am. 115]
3.a Iznimno od stavka 2. točke (b) ovog članka, države članice mogu odlučiti da nadležna tijela ili jedinstvene kontaktne točke, prema potrebi, primjenjuju različite postupke na pojedine tržišne operatere ovisno o njihovoj razini kritičnosti utvrđenoj u skladu s člankom 13.a. Ako države članice tako odluče:
|
(a) |
nadležna tijela ili jedinstvene kontaktne točke, ako je primjenjivo, imaju ovlasti dostaviti dovoljno specifične zahtjeve tržišnim operaterima u kojima se od njih traži da dostave dokaze o učinkovitoj provedbi sigurnosnih politika, kao što su rezultati revizije sigurnosti koju je izvršio kvalificirani interni revizor te učiniti dokaze dostupnima nadležnom tijelu ili jedinstvenoj kontaktnoj točki; |
|
(b) |
ako je potrebno, nakon što je tržišni operater dostavio zahtjev iz točke (a), nadležno tijelo ili jedinstvena kontaktna točka mogu tražiti dodatne dokaze ili provedbu dodatne revizije od strane kvalificiranog neovisnog tijela ili nacionalnog tijela; |
3.b Države članice mogu odlučiti smanjiti broj i intenzitet revizija predmetnog tržišnog operatera, ako je revizija njegove sigurnosti pokazala dosljedno poštovanje Poglavlja IV. [Am. 116]
4. Nadležna tijela prijavljuju policijskim vlastima incidente i jedinstvene kontaktne točke obavješćuju predmetne tržišne operatere o mogućnosti prijave incidenata za koje postoji sumnja da su ozbiljne kriminalne prirode tijelima za provedbu zakona . [Am. 117]
5. Ne dovodeći u pitanje mjerodavne zakone o zaštiti podataka, nadležna tijela i jedinstvene kontaktne točke nadležna tijela blisko surađuju s tijelima za zaštitu osobnih podataka u rješavanju incidenata s posljedicom ugrožavanja koji dovode do povrede osobnih podataka. Jedinstvene kontaktne točke i tijela za zaštitu podataka razvijaju, u suradnji s ENISA-om, mehanizme razmjene podataka i jedinstveni predložak koji će se koristiti za prijave iz članka 14. stavka 2. ove Direktive i drugog zakonodavstva Unije o zaštiti podataka. [Am. 118]
6. Države članice osiguravaju podložnost da su sve obveze određene tržišnim operaterima u skladu s ovim Poglavljem podložne sudskom preispitivanju svih obveza iz ovog poglavlja nametnutih javnim upravama i tržišnim subjektima. [Am. 119]
6.a Države članice mogu odlučiti mutatis mutandis primijeniti ovaj članak i članak 14. na javne uprave. [Am. 120]
Članak 16.
Normizacija
1. Da bi se osigurala podjednaka usklađena primjena članka 14. stavka 1., države članice , bez propisivanja uporabe ijedne određene tehnologije, potiču uporabu normi europskih i međunarodnih interoperabilnih standarda i/ili specifikacija relevantnih za sigurnost mreža i informacija. [Am. 121]
2. Komisija sastavlja, putem provedbenih akata, daje mandat relevantnom europskom tijelu za normizaciju da , uz savjetovanje s relevantnim dionicima, izradi popis standarda i/ili specifikacija normi iz stavka 1. Popis se objavljuje u Službenom listu Europske unije. [Am. 122]
POGLAVLJE V.
ZAVRŠNE ODREDBE
Članak 17.
Sankcije
1. Države članice utvrđuju pravila o sankcijama koje se primjenjuju za kršenje nacionalnih odredaba donesenih na temelju ove Direktive i poduzimaju sve mjere potrebne za osiguranje njihove provedbe. Predviđene sankcije moraju biti učinkovite, razmjerne i odvraćajuće. Države članice o tim odredbama obavješćuju Komisiju najkasnije do datuma prijenosa ove Direktive te ju bez odlaganja obavješćuju o svim njihovim naknadnim izmjenama.
1.a Države članice osiguravaju da se sankcije iz stavka 1. ovog članka primjenjuju samo ako tržišni operater nije ispunio svoje obveze iz Poglavlja IV. s namjerom ili kao rezultat grube nepažnje. [Am. 123]
2. Države članice osiguravaju da su za slučajeve kad sigurnosni incident uključuje osobne podatke predviđene sankcije u skladu sa sankcijama utvrđenima Uredbom Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (19).
Članak 18.
Izvršavanje ovlasti
1. Ovlast usvajanja delegiranih akata dodijeljena je Komisiji podložno uvjetima utvrđenima u ovom članku.
2. Ovlast za donošenje delegiranih akata iz članka 9. stavka 2. i članka 10. stavka 5. te članka 14. stavka 5. dodjeljuje se Komisiji. Komisija sastavlja izvješće u vezi s ovlasti najkasnije devet mjeseci prije isteka petogodišnjeg razdoblja. Ovlast se automatski produljuje za razdoblja jednakog trajanja, osim ako se Europski parlament ili Vijeće usprotive tom produljenju najkasnije tri mjeseca prije kraja svakog razdoblja.
3. Europski parlament ili Vijeće mogu u bilo kojem trenutku opozvati delegiranje ovlasti iz članka 9. stavka 2., članka 10. stavka 5. i članka 14. stavka 5. Europski parlament ili Vijeće mogu opozvati u bilo kojem trenutku. Odlukom o opozivu prestaju ovlasti navedene u toj odluci. Odluka stupa na snagu dan nakon objave odluke u Službenom listu Europske unije ili na neki kasniji datum koji je tamo naveden. Ona ne utječe na valjanost delegiranih akata koji su već na snazi. [Am. 124]
4. Čim donese delegirani akt, Komisija o tome istodobno obavješćuje Europski parlament i Vijeće.
5. Delegirani akt donesen u skladu s člankom 9. stavkom 2., člankom 10. stavkom 5. i člankom 14. stavkom 5. stupa na snagu samo ako se tomu ne usprotive ni Europski parlament ni Vijeće u roku od dva mjeseca nakon obavješćivanja po obavještavanju Europskog parlamenta i Vijeća o tom aktu ili ako su prije isteka tog roka i Europski parlament i Vijeće izvijestili Komisiju da se ne protive. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća. [Am. 125]
Članak 19.
Postupak u odboru
1. Komisiji pomaže odbor (Odbor za sigurnost mreža i podataka). Taj odbor jest odbor u smislu Uredbe (EU) br. 182/2011.
2. Pri upućivanju na ovaj stavak primjenjuje se članak 4. Uredbe (EU) br. 182/2011.
3. Pri pozivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.
Članak 20.
Preispitivanje
Komisija redovno povremeno preispituje funkcioniranje ove Direktive , osobito popis koji se nalazi u Prilogu II., i dostavlja izvješće Europskom parlamentu i Vijeću. Prvo se izvješće dostavlja najkasnije tri godine nakon datuma prijenosa iz članka 21. U tu svrhu Komisija može zatražiti od država članica ustupanje informacija bez nepotrebnog odgađanja. [Am. 126]
Članak 21.
Prijenos
1. Države članice dužne su najkasnije do [godinu i pol nakon stupanja na snagu] donijeti i objaviti zakone, propise i administrativne odredbe potrebne za usklađivanje s ovom Direktivom. Tekstove tih odredaba bez odlaganja dostavljaju Komisiji.
Te se mjere primjenjuju od [jedne i pol godine nakon stupanja na snagu].
Kada države članice donose navedene mjere, u njima se upućuje na ovu Direktivu ili se upućivanje na ovu Direktivu navodi prilikom njihove službene objave. Načine tog upućivanja određuju države članice.
2. Države članice dostavljaju Komisiji tekst glavnih odredaba nacionalnog prava koje donesu na području koje obuhvaća ova Direktiva.
Članak 22.
Stupanje na snagu
Ova Direktiva stupa na snagu [dvadeseti] dan od njezine objave u Službenom listu Europske unije.
Članak 23.
Primatelji
Ova Direktiva upućena je državama članicama.
Sastavljeno u
Za Europski parlament
Predsjednik
Za Vijeće
Predsjednik
(1) SL C 271, 19.9.2013., str. 133.
(2) Stajalište Europskog parlamenta od 13. ožujka 2014.
(3) Direktivom 2002/21/EZ Europskog parlamenta i Vijeća od 7. ožujka 2002. o zajedničkom regulatornom okviru za elektroničke komunikacijske mreže i usluge (Okvirna direktiva) (SL L 108, 24.4.2002., str. 33.).
(4) Odluka Vijeća 2011/292/EU od 31. ožujka 2011. o sigurnosnim propisima za zaštitu klasificiranih podataka EU (SL L 141, 27.5.2011., str. 17.).
(5) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).
(6) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka(SL L 8, 12.1.2001., str. 1.).
(7) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u sektoru elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.07.2002., str. 37.).
(8) Direktiva 98/34/EZ Europskog parlamenta i Vijeća od 22. lipnja 1998. koja određuje postupak za pružanje informacija u području polju tehničkih standarda i propisa te pravila o uslugama informacijskog društva (SL L 204, 21.07.1998., str. 37.).
(9) SEC(2012) 72 konačna verzija
(10) Uredba (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012. o europskoj normizaciji kojom se izmjenjuju Direktive Vijeća 89/686/EEZ i 93/15/EEZ te Direktive 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća i kojom se stavljaju izvan snage Odluka Vijeća 87/95/EEZ i Odluka br. 1673/2006/EZ Europskog parlamenta i Vijeća (SL L 316, 14.11.2012., str. 12.).
(11) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).
(12) Uredbu (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. koja se odnosi na javni pristup dokumentima Europskoga parlamenta, Komisije i Vijeća (SL L 145, 31.5.2001., str. 43.).
(13) SL C 32, 4.2.2014., str. 19.
(14) Direktiva Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (SL L 345, 23.12.2008., str. 75.).
(15) Odluka Vijeća 2009/371/PUP od 6. travnja 2009. o osnivanju Europskog policijskog ureda(Europol) (SL L 121, 15.5.2009., str. 37.).
(16) Uredba Komisije (EU) br. 611/2013 od 24. lipnja 2013. o mjerama koje se primjenjuju na obavješćivanje o povredama osobnih podataka u skladu s Direktivom 2002/58/EZ Europskog parlamenta i Vijeća o privatnosti i elektroničkim komunikacijama (SL L 173, 26.6.2013., str. 2.).
(17) Direktiva 2004/39/EZ Europskog parlamenta i Vijeća od 21. travnja 2004. o tržištima financijskih instrumenata (SL L 45, 16.2.2005., str. 18).
(18) Preporuka Komisije 2003/361/EZ od 6. svibnja 2003. o definiciji mikro, malih i srednjih poduzeća (SL L 124, 20.5.2003., str. 36.).
(19) SEC(2012) 72 konačna verzija
PRILOG I.
Dužnosti i zadaci tima timova za hitne računalne intervencije (CERT) ( CERT-ovi ) [Am. 127]
Dužnosti i zadaci CERT-a propisno su i jasno definirani i poduprti državnom politikom i/ili odredbom. Oni uključuju sljedeće elemente:
|
(1) |
Dužnosti CERT-a
|
|
(2) |
Zadaci CERT-a
|
PRILOG II.
Popis tržišnih subjekata operatera
iz članka 3. stavka 8. točke a):
|
1. |
Platforme za e-trgovinu |
|
2. |
Pristupnici za internetsko plaćanje |
|
3. |
Društvene mreže |
|
4. |
Internetske tražilice |
|
5. |
Usluge računarstva u oblaku |
|
6. |
Trgovine aplikacija |
iz članka 3. stavka 8. točke b): [Am. 132]
|
1. |
Energetika
|
|
2. |
Prijevoz
|
|
3. |
Bankarstvo: kreditne institucije u skladu s člankom 4.1 Direktive 2006/48/EZ Europskog parlamenta i Vijeća (1). |
|
4. |
Infrastrukture financijskog tržišta: burze uređena tržišta, multilateralni trgovinski sustavi, organizirani trgovinski sustavi i središnje klirinške kuće druge ugovorne strane stranke ugovora [Am. 135] |
|
5. |
Zdravstveni sektor: uređenje zdravstvene zaštite (uključujući bolnice i privatne klinike) i drugi subjekti uključeni u odredbe za zdravstvo |
|
5.a |
Proizvodnja i opskrba vodom [Am. 136] |
|
5.b |
Lanac opskrbe hranom [Am. 137] |
|
5.c |
Središta za razmjenu internetskog prometa [Am. 138] |
(1) Direktiva 2006/48/EZ Europskog parlamenta i Vijeća od 14. lipnja 2006. o osnivanju i obavljanju djelatnosti kreditnih institucija (SL L 177, 30.6.2006., str.1.).