This document is an excerpt from the EUR-Lex website
Document 52023XC0914(01)
Communication from the Commission Commission Guidelines on the application of Article 3(4) of Directive (EU) 2022/2555 (NIS 2 Directive) 2023/C 324/02
Komunikacija Komisije Smjernice Komisije za primjenu članka 3. stavka 4. Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 324/02
Komunikacija Komisije Smjernice Komisije za primjenu članka 3. stavka 4. Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 324/02
C/2023/6070
SL C 324, 14.9.2023, p. 2–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
14.9.2023 |
HR |
Službeni list Europske unije |
C 324/2 |
KOMUNIKACIJA KOMISIJE
Smjernice Komisije za primjenu članka 3. stavka 4. Direktive (EU) 2022/2555 (Direktiva NIS 2)
(2023/C 324/02)
1.
U skladu s člankom 3. stavkom 4. Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS 2) (1) Komisija uz pomoć Agencije Europske unije za kibersigurnost (ENISA) bez nepotrebne odgode pruža smjernice i predloške u vezi s obvezama utvrđenima u toj odredbi. U članku 3. stavku 4. Direktive (EU) 2022/2555 upućuje se na njezin članak 3. stavak 3., kojim se od država članica zahtijeva da do 17. travnja 2025. utvrde popis ključnih i važnih subjekata te subjekata koji pružaju usluge registracije naziva domena. Države članice dužne su redovito, a najmanje svake dvije godine, preispitati taj popis te ga prema potrebi ažurirati.
2.
Za potrebe utvrđivanja popisa ključnih i važnih subjekata države članice trebale bi od subjekata zahtijevati da nadležnim tijelima dostave barem sljedeće informacije: naziv, adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP raspone i telefonske brojeve subjekta i, ako je to primjenjivo, relevantni sektor i podsektor iz prilogâ te, ako je to primjenjivo, popis država članica u kojima pružaju usluge obuhvaćene područjem primjene te direktive. U Prilogu I. ovim Smjernicama utvrđen je predložak za prikupljanje tih informacija za potrebe utvrđivanja popisa.
3.
Kako bi se olakšalo utvrđivanje i ažuriranje popisa ključnih i važnih subjekata te subjekata koji pružaju usluge registracije naziva domena, člankom 3. stavkom 4. Direktive (EU) 2022/2555 propisano je da bi države članice trebale moći uspostaviti nacionalne mehanizme za registraciju subjekata (2).
4.
U skladu s člankom 3. stavkom 5. Direktive (EU) 2022/2555 države članice do 17. travnja 2025. i svake dvije godine nakon toga Komisiju i skupinu za suradnju moraju obavijestiti barem o broju ključnih i važnih subjekata navedenih u skladu s člankom 3. stavkom 3. te direktive za svaki sektor i podsektor iz Priloga I. i II. toj direktivi. Države članice ujedno moraju Komisiji dostaviti relevantne informacije o broju ključnih i važnih subjekata utvrđenih na temelju članka 2. stavka 2. točaka od (b) do (e) Direktive (EU) 2022/2555, sektoru i podsektoru kojima pripadaju, vrsti usluge koju pružaju i odredbi na temelju koje su utvrđeni. U uvodnoj izjavi 19. Direktive (EU) 2022/2555 navodi se da se države članice potiču da s Komisijom razmjenjuju informacije o ključnim i važnim subjektima te, u slučaju kibernetičkog sigurnosnog incidenta velikih razmjera, relevantne informacije kao što je naziv predmetnog subjekta.
5.
Osim popisa koji utvrđuju u skladu s člankom 3. stavkom 3. Direktive (EU) 2022/2555, u skladu s člankom 27. stavkom 2. te direktive države članice od određenih bi vrsta subjekata iz stavka 27. članka 1. Direktive također trebale zahtijevati da nadležnim tijelima do 17. siječnja 2025. dostave sljedeće informacije: naziv subjekta, ako je to primjenjivo, relevantni sektor, podsektor i vrstu subjekta iz Priloga I. ili II. Direktivi, adresu glavnog poslovnog nastana subjekta i njegovih drugih zakonitih poslovnih jedinica u Uniji ili, ako nema poslovne jedinice u Uniji, njegova predstavnika imenovanog u skladu s člankom 26. stavkom 3. Direktive, ažurirane podatke za kontakt, uključujući adrese e-pošte i telefonske brojeve subjekta i, ako je to primjenjivo, njegova predstavnika imenovanog u skladu s člankom 26. stavkom 3. Direktive, države članice u kojima subjekt pruža usluge i IP raspone subjekta. U skladu s člankom 27. stavkom 3. Direktive (EU) 2022/2555 države članice od subjekata iz stavka 27. članka 1. Direktive zahtijevaju da bez odgode, a u svakom slučaju u roku od tri mjeseca od datuma promjene, obavijeste nadležno tijelo o svim promjenama informacija koje su dostavili na temelju članka 27. stavka 2. Direktive.
6.
U skladu s člankom 27. stavkom 5. Direktive (EU) 2022/2555 informacije iz članka 27. stavaka 2. i 3. te direktive podnose se, ako je to primjenjivo, putem nacionalnog mehanizma iz članka 3. stavka 4. Direktive. Radi povećanja administrativne učinkovitosti predložak priložen ovim Smjernicama stoga sadržava zahtjeve za informacije za potrebe članka 3. stavka 3. i za potrebe članka 27. stavka 2. Direktive (EU) 2022/2555. Predložak je izrađen uz pomoć ENISA-e.
(1) SL L 333, 27.12.2022., str. 80.
(2) Vidjeti i uvodnu izjavu 18. Direktive (EU) 2022/2555.
Dodatak
Predložak za informacije za potrebe popisa iz članka 3. stavka 3. i za potrebe članka 27. stavka 2. Direktive (EU) 2022/2555
1.
Sektor djelatnosti u skladu s Direktivom (EU) 2022/2555.
Prilog I. – |
sektori visoke kritičnosti
|
Prilog II. – |
drugi kritični sektori
|
2.
Naziv subjekta.
3.
Ako je riječ o subjektu iz članka 27. stavka 1. Direktive (EU) 2022/2555 (pružatelj usluga DNS-a, registar naziva vršnih domena, subjekt koji pruža usluge registracije naziva domena, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga, pružatelj internetskih tržišta, pružatelj internetskih tražilica ili pružatelj platformi za usluge društvenih mreža), ima li subjekt glavni poslovni nastan u EU-u u predmetnoj državi članici ili, ako nema zakonitih poslovnih jedinica u EU-u, ima li predstavnika u predmetnoj državi članici?
4.
Adresa poslovne jedinice subjekta u predmetnoj državi članici. Ako je riječ o subjektu iz članka 27. stavka 1. Direktive (EU) 2022/2555, adresa njegova glavnog poslovnog nastana ako se nalazi u predmetnoj državi članici te adrese njegovih drugih zakonitih poslovnih jedinica u EU-u. Ako nema poslovne jedinice, adresa predstavnika u EU-u imenovanog u skladu s člankom 26. stavkom 3. Direktive (EU) 2022/2555 ako se predstavnik nalazi u predmetnoj državi članici.
5.
Ažurirani podaci za kontakt, uključujući adrese e-pošte i telefonske brojeve u predmetnoj državi članici.
6.
IP rasponi subjekta u predmetnoj državi članici.
7.
Ako je riječ o subjektu iz članka 27. stavka 1. Direktive (EU) 2022/2555, popis država članica u kojima pruža usluge obuhvaćene područjem primjene te direktive.