Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52023XC0914(01)

    Komunikacija Komisije Smjernice Komisije za primjenu članka 3. stavka 4. Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 324/02

    C/2023/6070

    SL C 324, 14.9.2023, p. 2–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    14.9.2023   

    HR

    Službeni list Europske unije

    C 324/2

    KOMUNIKACIJA KOMISIJE

    Smjernice Komisije za primjenu članka 3. stavka 4. Direktive (EU) 2022/2555 (Direktiva NIS 2)

    (2023/C 324/02)

    1.   

    U skladu s člankom 3. stavkom 4. Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS 2) (1) Komisija uz pomoć Agencije Europske unije za kibersigurnost (ENISA) bez nepotrebne odgode pruža smjernice i predloške u vezi s obvezama utvrđenima u toj odredbi. U članku 3. stavku 4. Direktive (EU) 2022/2555 upućuje se na njezin članak 3. stavak 3., kojim se od država članica zahtijeva da do 17. travnja 2025. utvrde popis ključnih i važnih subjekata te subjekata koji pružaju usluge registracije naziva domena. Države članice dužne su redovito, a najmanje svake dvije godine, preispitati taj popis te ga prema potrebi ažurirati.

    2.   

    Za potrebe utvrđivanja popisa ključnih i važnih subjekata države članice trebale bi od subjekata zahtijevati da nadležnim tijelima dostave barem sljedeće informacije: naziv, adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP raspone i telefonske brojeve subjekta i, ako je to primjenjivo, relevantni sektor i podsektor iz prilogâ te, ako je to primjenjivo, popis država članica u kojima pružaju usluge obuhvaćene područjem primjene te direktive. U Prilogu I. ovim Smjernicama utvrđen je predložak za prikupljanje tih informacija za potrebe utvrđivanja popisa.

    3.   

    Kako bi se olakšalo utvrđivanje i ažuriranje popisa ključnih i važnih subjekata te subjekata koji pružaju usluge registracije naziva domena, člankom 3. stavkom 4. Direktive (EU) 2022/2555 propisano je da bi države članice trebale moći uspostaviti nacionalne mehanizme za registraciju subjekata (2).

    4.   

    U skladu s člankom 3. stavkom 5. Direktive (EU) 2022/2555 države članice do 17. travnja 2025. i svake dvije godine nakon toga Komisiju i skupinu za suradnju moraju obavijestiti barem o broju ključnih i važnih subjekata navedenih u skladu s člankom 3. stavkom 3. te direktive za svaki sektor i podsektor iz Priloga I. i II. toj direktivi. Države članice ujedno moraju Komisiji dostaviti relevantne informacije o broju ključnih i važnih subjekata utvrđenih na temelju članka 2. stavka 2. točaka od (b) do (e) Direktive (EU) 2022/2555, sektoru i podsektoru kojima pripadaju, vrsti usluge koju pružaju i odredbi na temelju koje su utvrđeni. U uvodnoj izjavi 19. Direktive (EU) 2022/2555 navodi se da se države članice potiču da s Komisijom razmjenjuju informacije o ključnim i važnim subjektima te, u slučaju kibernetičkog sigurnosnog incidenta velikih razmjera, relevantne informacije kao što je naziv predmetnog subjekta.

    5.   

    Osim popisa koji utvrđuju u skladu s člankom 3. stavkom 3. Direktive (EU) 2022/2555, u skladu s člankom 27. stavkom 2. te direktive države članice od određenih bi vrsta subjekata iz stavka 27. članka 1. Direktive također trebale zahtijevati da nadležnim tijelima do 17. siječnja 2025. dostave sljedeće informacije: naziv subjekta, ako je to primjenjivo, relevantni sektor, podsektor i vrstu subjekta iz Priloga I. ili II. Direktivi, adresu glavnog poslovnog nastana subjekta i njegovih drugih zakonitih poslovnih jedinica u Uniji ili, ako nema poslovne jedinice u Uniji, njegova predstavnika imenovanog u skladu s člankom 26. stavkom 3. Direktive, ažurirane podatke za kontakt, uključujući adrese e-pošte i telefonske brojeve subjekta i, ako je to primjenjivo, njegova predstavnika imenovanog u skladu s člankom 26. stavkom 3. Direktive, države članice u kojima subjekt pruža usluge i IP raspone subjekta. U skladu s člankom 27. stavkom 3. Direktive (EU) 2022/2555 države članice od subjekata iz stavka 27. članka 1. Direktive zahtijevaju da bez odgode, a u svakom slučaju u roku od tri mjeseca od datuma promjene, obavijeste nadležno tijelo o svim promjenama informacija koje su dostavili na temelju članka 27. stavka 2. Direktive.

    6.   

    U skladu s člankom 27. stavkom 5. Direktive (EU) 2022/2555 informacije iz članka 27. stavaka 2. i 3. te direktive podnose se, ako je to primjenjivo, putem nacionalnog mehanizma iz članka 3. stavka 4. Direktive. Radi povećanja administrativne učinkovitosti predložak priložen ovim Smjernicama stoga sadržava zahtjeve za informacije za potrebe članka 3. stavka 3. i za potrebe članka 27. stavka 2. Direktive (EU) 2022/2555. Predložak je izrađen uz pomoć ENISA-e.

    (1)   SL L 333, 27.12.2022., str. 80.

    (2)  Vidjeti i uvodnu izjavu 18. Direktive (EU) 2022/2555.

    Dodatak

    Predložak za informacije za potrebe popisa iz članka 3. stavka 3. i za potrebe članka 27. stavka 2. Direktive (EU) 2022/2555

    1.   

    Sektor djelatnosti u skladu s Direktivom (EU) 2022/2555.

    Prilog I. –

    sektori visoke kritičnosti

    Energetika

    električna energija

    elektroenergetsko poduzeće

    operator distribucijskog sustava

    operator prijenosnog sustava

    proizvođači

    nominirani operatori tržišta električne energije

    sudionici na tržištu koji pružaju usluge agregiranja, upravljanja potrošnjom ili skladištenja energije

    operatori mjesta za punjenje koji su odgovorni za upravljanje i rad mjesta za punjenje kojim se krajnjim korisnicima pruža usluga opskrbe, među ostalim u ime i za račun pružatelja usluga mobilnosti

    operatori sustava centraliziranog grijanja ili centraliziranog hlađenja

    nafta

    operatori naftovoda

    operatori proizvodnje nafte, rafinerija i tvornica nafte te njezina skladištenja i prijenosa

    središnja tijela za zalihe

    plin

    poduzeća za opskrbu

    operatori distribucijskog sustava

    operatori transportnog sustava

    operatori sustava skladišta plina

    operatori terminala za UPP

    poduzeća za prirodni plin

    operatori postrojenja za rafiniranje i obradu prirodnog plina

    operatori proizvodnje, skladištenja i prijenosa vodika

    Promet

    zračni promet

    zračni prijevoznici

    upravna tijela zračne luke

    operatori kontrole upravljanja prometom koji pružaju usluge kontrole zračnog prometa (ATC)

    željeznički promet

    upravitelji infrastrukture

    željeznički prijevoznici, među ostalim i operatori uslužnih objekata

    vodeni promet

    kompanije za prijevoz putnika unutarnjim plovnim putovima, morem i duž obale, ne uključujući pojedinačna plovila kojima upravljaju te kompanije

    upravljačka tijela luka, uključujući njihove luke te subjekti koji upravljaju postrojenjima i opremom u lukama

    služba za nadzor i upravljanje pomorskim prometom (VTS)

    cestovni promet

    tijela nadležna za ceste odgovorna za kontrolu upravljanja prometom, osim javnih subjekata kojima upravljanje prometom ili rad inteligentnih prometnih sustava nisu ključni dio njihove opće djelatnosti

    operatori inteligentnih prometnih sustava

    Zdravlje

    pružatelji zdravstvene zaštite

    referentni laboratoriji EU-a

    subjekti koji obavljaju djelatnosti istraživanja i razvoja lijekova

    subjekti koji proizvode osnovne farmaceutske proizvode i farmaceutske pripravke iz područja C odjeljka 21. NACE Rev. 2

    subjekti koji proizvode medicinske proizvode koji se smatraju ključnima tijekom izvanrednog stanja u području javnog zdravlja („popis ključnih medicinskih proizvoda u slučaju izvanrednog stanja u području javnog zdravlja”)

    Voda za piće – dobavljači i distributeri vode namijenjene za ljudsku potrošnju, isključujući distributere kojima distribucija vode za ljudsku potrošnju nije ključni dio njihove općenite djelatnosti distribucije druge robe i proizvoda

    Otpadne vode – poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, otpadne vode iz kućanstva ili industrijske otpadne vode, ali isključujući poduzeća kojima prikupljanje, odlaganje ili pročišćavanje komunalnih otpadnih voda, otpadnih voda iz kućanstva ili industrijskih otpadnih voda nije ključni dio njihove općenite djelatnosti

    Digitalna infrastruktura

    pružatelji središta za razmjenu internetskog prometa

    pružatelji usluga DNS-a

    registri naziva vršnih domena

    pružatelji usluga računalstva u oblaku

    pružatelji usluga podatkovnog centra

    pružatelji mreže za isporuku sadržaja

    pružatelji usluga povjerenja

    pružatelji javnih elektroničkih komunikacijskih mreža

    pružatelji javno dostupnih elektroničkih komunikacijskih usluga

    Upravljanje uslugama IKT-a (B2B)

    pružatelji upravljanih usluga

    pružatelji upravljanih sigurnosnih usluga

    Javna uprava

    subjekti središnje državne uprave

    subjekti javne uprave na regionalnoj razini

    Svemir – operatori zemaljske infrastrukture, koji su u vlasništvu, kojima upravljaju i koje vode države članice ili privatne strane te koji podupiru pružanje usluga u svemiru, isključujući pružatelje javnih elektroničkih komunikacijskih mreža.

    Prilog II. –

    drugi kritični sektori

    Poštanske i kurirske usluge

    Gospodarenje otpadom – poduzeća koja se bave gospodarenjem otpadom, isključujući poduzeća kojima gospodarenje otpadom nije glavna gospodarska djelatnost

    Izrada, proizvodnja i distribucija kemikalija – poduzeća koja se bave izradom tvari te distribucijom tvari ili mješavina i poduzeća koja se bave proizvodnjom proizvoda iz tvari ili mješavina

    Proizvodnja, prerada i distribucija hrane – poduzeća za poslovanje s hranom koja se bave veleprodajom te industrijskom proizvodnjom i preradom

    Proizvodnja

    proizvodnja medicinskih proizvoda i in vitro dijagnostičkih medicinskih proizvoda

    proizvodnja računala te elektroničkih i optičkih proizvoda

    proizvodnja električne opreme

    proizvodnja strojeva i uređaja, d. n.

    proizvodnja motornih vozila, prikolica i poluprikolica

    proizvodnja ostale opreme za prijevoz

    Pružatelji digitalnih usluga

    pružatelji internetskih tržišta

    pružatelji internetskih tražilica

    pružatelji platforma za usluge društvenih mreža

    Istraživačke organizacije
    Subjekti koji nisu uvršteni u priloge

    Subjekti koji pružaju usluge registracije naziva domena

    Ostali subjekti utvrđeni kao kritični subjekti na temelju Direktive (EU) 2022/2557

    Subjekti utvrđeni kao operatori ključnih usluga u skladu s nacionalnim pravom

    2.   

    Naziv subjekta.

    3.   

    Ako je riječ o subjektu iz članka 27. stavka 1. Direktive (EU) 2022/2555 (pružatelj usluga DNS-a, registar naziva vršnih domena, subjekt koji pruža usluge registracije naziva domena, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga, pružatelj internetskih tržišta, pružatelj internetskih tražilica ili pružatelj platformi za usluge društvenih mreža), ima li subjekt glavni poslovni nastan u EU-u u predmetnoj državi članici ili, ako nema zakonitih poslovnih jedinica u EU-u, ima li predstavnika u predmetnoj državi članici?

    4.   

    Adresa poslovne jedinice subjekta u predmetnoj državi članici. Ako je riječ o subjektu iz članka 27. stavka 1. Direktive (EU) 2022/2555, adresa njegova glavnog poslovnog nastana ako se nalazi u predmetnoj državi članici te adrese njegovih drugih zakonitih poslovnih jedinica u EU-u. Ako nema poslovne jedinice, adresa predstavnika u EU-u imenovanog u skladu s člankom 26. stavkom 3. Direktive (EU) 2022/2555 ako se predstavnik nalazi u predmetnoj državi članici.

    5.   

    Ažurirani podaci za kontakt, uključujući adrese e-pošte i telefonske brojeve u predmetnoj državi članici.

    6.   

    IP rasponi subjekta u predmetnoj državi članici.

    7.   

    Ako je riječ o subjektu iz članka 27. stavka 1. Direktive (EU) 2022/2555, popis država članica u kojima pruža usluge obuhvaćene područjem primjene te direktive.

    Top