This document is an excerpt from the EUR-Lex website
Document 32022L2557
Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (Text with EEA relevance)
Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (Tekst značajan za EGP)
Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (Tekst značajan za EGP)
PE/51/2022/REV/1
SL L 333, 27.12.2022, p. 164–198
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 27/12/2022
27.12.2022 |
HR |
Službeni list Europske unije |
L 333/164 |
DIREKTIVA (EU) 2022/2557 EUROPSKOG PARLAMENTA I VIJEĆA
od 14. prosinca 2022.
o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ
(Tekst značajan za EGP)
EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,
uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,
uzimajući u obzir prijedlog Europske komisije,
nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,
uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),
uzimajući u obzir mišljenje Odbora regija (2),
u skladu s redovnim zakonodavnim postupkom (3),
budući da:
(1) |
Kritični subjekti kao pružatelji ključnih usluga u gospodarstvu Unije koje je sve više međuovisno imaju neizostavnu ulogu u održavanju vitalnih društvenih funkcija ili gospodarskih djelatnosti na unutarnjem tržištu. Stoga je ključno uspostaviti okvir Unije čiji bi cilj bilo jačanje otpornosti kritičnih subjekata na unutarnjem tržištu utvrđivanjem usklađenih minimalnih pravila te pružanje pomoći tim subjektima koherentnim i namjenskim mjerama potpore i nadzora. |
(2) |
Direktivom Vijeća 2008/114/EZ (4) utvrđuje se postupak za označivanje europske kritične infrastrukture u sektoru energije i prometa čiji bi poremećaj u radu ili uništenje imali znatne prekogranične učinke na najmanje dvije države članice. Ta je direktiva usmjerena isključivo na zaštitu takve infrastrukture. Međutim, evaluacijom Direktive 2008/114/EZ koja je provedena 2019. utvrđeno je da zaštitne mjere koje se odnose samo na pojedinačnu imovinu nisu dovoljne da spriječe nastanak svih poremećaja zbog sve veće međupovezanosti i prekogranične prirode aktivnosti u kojima se upotrebljava kritična infrastruktura. Stoga je pristup potrebno preusmjeriti na osiguravanje boljeg uvažavanja rizika, boljeg definiranja i koherentnosti uloge i dužnosti kritičnih subjekata kao pružatelja usluga koje su ključne za funkcioniranje unutarnjeg tržišta te na donošenje pravila Unije za jačanje otpornosti kritičnih subjekata. Kritični subjekti trebali bi moći ojačati svoju sposobnost sprečavanja incidenata koji mogu poremetiti pružanje ključnih usluga, zaštite od njih, odgovora na njih, odupiranja njima, njihova ublažavanja i apsorpcije, prilagodbe njima te oporavka od njih. |
(3) |
Iako se nizom mjera na razini Unije kao što je Europski program zaštite kritične infrastrukture, te na nacionalnoj razini nastoji poduprijeti zaštita kritične infrastrukture u Uniji, trebalo bi učiniti više kako bi se subjekti koji upravljaju tom infrastrukturom bolje opremili za odgovor na rizike za njihov rad koji bi mogli dovesti do poremećaja u pružanju ključnih usluga. Trebalo bi također učiniti više za bolju opremu takvih subjekata zbog dinamičnog okruženja prijetnji, koje uključuje hibridne i terorističke prijetnje koje se razvijaju, te sve veće međuovisnosti između infrastrukture i sektora. Osim toga, zbog prirodnih katastrofa i klimatskih promjena povećan je fizički rizik, što povećava učestalost i razmjere ekstremnih vremenskih pojava i dovodi do dugoročnih promjena u prosječnim klimatskim uvjetima koje mogu smanjiti kapacitet, učinkovitost i životni vijek određenih vrsta infrastrukture ako se ne uvedu mjere za prilagodbu klimatskim promjenama. Osim toga, unutarnje tržište obilježeno je fragmentacijom u pogledu utvrđivanja kritičnih subjekata jer relevantni sektori i kategorije subjekata nisu u svim državama članicama dosljedno prepoznati kao kritični. Stoga bi se ovom Direktivom trebala postići dobra razina usklađenosti u pogledu sektora i kategorija subjekata obuhvaćenih njezinim područjem primjene. |
(4) |
Iako su određeni sektori gospodarstva, kao što su sektori energetike i prometa, već uređeni sektorskim pravnim aktima Unije, ti pravni akti sadržavaju odredbe koje se odnose samo na određene aspekte otpornosti subjekata koji djeluju u tim sektorima. Kako bi se na sveobuhvatan način riješilo pitanje otpornosti tih subjekata koji su kritični za pravilno funkcioniranje unutarnjeg tržišta, ovom Direktivom uspostavlja se sveobuhvatan okvir koji se odnosi na otpornost kritičnih subjekata u pogledu svih opasnosti, bilo prirodnih ili uzrokovanih ljudskim djelovanjem, uzrokovanih slučajno ili namjerno. |
(5) |
Rastuće međuovisnosti infrastrukture i sektora ishod su sve veće prekogranične i međuovisne mreže pružanja usluga koja se koristi ključnom infrastrukturom širom Unije u energetskom sektoru, sektorima prometa, bankarstva, vode za piće, otpadnih voda, proizvodnje, prerade i distribucije hrane, zdravstva, svemira, infrastrukture financijskog tržišta i digitalne infrastrukture te u određenim aspektima sektora javne uprave. Svemirski sektor obuhvaćen je područjem primjene ove Direktive u odnosu na pružanje određenih usluga koje ovise o zemaljskoj infrastrukturi koja je u vlasništvu država članica ili privatnih strana, koju vode država članica ili privatne strane i čijim radom upravljaju države članice ili privatne strane; stoga područjem primjene ove Direktive nije obuhvaćena infrastruktura koja je u vlasništvu Unije, koju Unija vodi ili koja se vodi u ime Unije, ili kojom Unija upravlja ili kojom se upravlja u ime Unije u okviru njezinog svemirskog programa. Kad je riječ o energetskom sektoru, a posebno o metodama za proizvodnju i prijenos električne energije (s obzirom na opskrbu električnom energijom), podrazumijeva se da, kada je to potrebno, proizvodnja električne energije može uključivati dijelove nuklearnih elektrana koji služe za prijenos električne energije, ali isključivati specifično nuklearne elemente obuhvaćene međunarodnim ugovorima i pravom Unije, uključujući relevantne pravne akte Unije koji se odnose na nuklearnu energiju. Postupak za utvrđivanje kritičnih subjekata u prehrambenom sektoru trebao bi na odgovarajući način odražavati prirodu unutarnjeg tržišta u tom sektoru i opsežna pravila Unije o općim načelima i zahtjevima propisâ o hrani i sigurnosti hrane. Kako bi se stoga osiguralo postojanje proporcionalnog pristupa i na odgovarajući način odrazila uloga i važnost tih subjekata na nacionalnoj razini, među poduzećima u prehrambenom sektoru, neovisno o tome jesu li osnovani radi ostvarivanja dobiti ili ne i bez obzira na to jesu li javna ili privatna, trebalo bi kao kritične subjekte utvrditi samo ona poduzeća koja se bave isključivo logistikom i veleprodajnom distribucijom i masovnom industrijskom proizvodnjom i preradom i koja imaju znatan tržišni udio kako je primijećeno na nacionalnoj razini. Te međuovisnosti znače da svaki poremećaj u ključnim uslugama, čak i onaj koji je prvotno ograničen na jedan subjekt ili jedan sektor, može imati kaskadne učinke u širem smislu, što može imati dalekosežne i dugotrajne negativne učinke na pružanje usluga širom unutarnjeg tržišta. Velike krize, kao što je pandemija bolesti COVID-19, pokazuju ranjivost naših društava, koja su sve više međuovisna, kada se suoče s rizicima male vjerojatnosti, ali s velikim učinkom. |
(6) |
Subjekti koji sudjeluju u pružanju ključnih usluga sve više podliježu različitim zahtjevima koji su nametnuti nacionalnim pravom. Činjenica da neke države članice imaju blaže sigurnosne zahtjeve za te subjekte ne samo da dovodi do različitih razina otpornosti, nego i riskira da negativno utječe na održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti širom Unije te ujedno dovodi do prepreka pravilnom funkcioniranju unutarnjeg tržišta. Ulagatelji i poduzeća mogu se osloniti na otporne kritične subjekte i pouzdati se u njih, te su pouzdanost i povjerenje temelji unutarnjeg tržišta koje dobro funkcionira. Slične vrste subjekata smatraju se kritičnima u nekim državama članicama, ali ne i u drugima, a subjekti koji se utvrde kao kritični podliježu različitim zahtjevima u različitim državama članicama. To dovodi do dodatnog i nepotrebnog administrativnog opterećenja za poduzeća koja posluju prekogranično, osobito za poduzeća koja djeluju u državama članicama sa strožim zahtjevima. Okvir Unije stoga bi također imao učinak osiguravanja jednakih uvjeta za kritične subjekte širom Unije. |
(7) |
Potrebno je utvrditi usklađena minimalna pravila kako bi se osiguralo pružanje ključnih usluga na unutarnjem tržištu, ojačala otpornost kritičnih subjekata i poboljšala prekogranična suradnja među nadležnim tijelima. Važno je da ta pravila u smislu njihove koncepcije i provedbe budu prilagođena budućim potrebama istovremeno omogućavajući potrebnu fleksibilnost. Ključno je i poboljšati kapacitet kritičnih subjekata za pružanje ključnih usluga kada se suočavaju s različitom skupinom rizika. |
(8) |
Kako bi se postigla visoka razina otpornosti, države članice trebale bi utvrditi kritične subjekte koji će podlijegati posebnim zahtjevima i nadzoru i koji će primiti posebnu potporu i smjernice za suočavanje sa svim relevantnim rizicima. |
(9) |
S obzirom na važnost kibersigurnosti za otpornost kritičnih subjekata i radi dosljednosti, kad god je to moguće trebalo bi osigurati koherentan pristup između ove Direktive i Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća (5). S obzirom na veću učestalost i posebna obilježja kiberrizika, Direktivom (EU) 2022/2555 uvode se sveobuhvatni zahtjevi za velik broj subjekata kako bi se zajamčila njihova kibersigurnost. Budući da se kibersigurnost dostatno rješava Direktivom (EU) 2022/2555, pitanja koja su obuhvaćena tom direktivom trebala bi biti isključena iz područja primjene ove Direktive, pri čemu se ne dovodi u pitanje poseban režim za subjekte u sektoru digitalne infrastrukture. |
(10) |
Ako se odredbama sektorskih pravnih akata Unije od kritičnih subjekata zahtijeva poduzimanje mjera za jačanje njihove otpornosti i ako države članice priznaju te zahtjeve kao barem jednakovrijedne odgovarajućim obvezama utvrđenima u ovoj Direktivi, relevantne odredbe ove Direktive ne bi se trebale primjenjivati kako bi se izbjegli udvostručavanje i nepotrebno opterećenje. U tom bi se slučaju trebale primjenjivati relevantne odredbe takvih pravnih akata Unije. Ako se relevantne odredbe ove Direktive ne primjenjuju, ne bi se trebale primjenjivati ni odredbe o nadzoru i izvršavanju utvrđene ovom Direktivom. |
(11) |
Ova Direktiva ne utječe na nadležnosti država članica i njihovih tijela u smislu administrativne autonomije ni na njihovu odgovornost za zaštitu nacionalne sigurnosti i obrane ni na njihove ovlasti za zaštitu drugih ključnih državnih funkcija, posebice onih koje se odnose na javnu sigurnost, teritorijalnu cjelovitost i očuvanje javnog poretka. Isključenje subjekata javne uprave iz područja primjene ove Direktive trebalo bi se primjenjivati na subjekte čije se aktivnosti pretežno obavljaju u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela. Međutim, subjekti javne uprave čije su aktivnosti samo sporedno povezane s tim područjima trebali bi biti obuhvaćeni područjem primjene ove Direktive. Za potrebe ove Direktive ne smatra se da subjekti s regulatornim nadležnostima obavljaju aktivnosti u području izvršavanja zakonodavstva i stoga nisu isključeni iz područja primjene ove Direktive na temelju tog razloga. Subjekti javne uprave koji su uspostavljeni zajedno s trećom zemljom u skladu s međunarodnim sporazumom isključeni su iz područja primjene ove Direktive. Ova se Direktiva ne primjenjuje na diplomatske i konzularne misije država članica u trećim zemljama. Određeni kritični subjekti obavljaju aktivnosti u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela, ili pružaju usluge isključivo subjektima javne uprave koji obavljaju aktivnosti pretežno u tim područjima. S obzirom na odgovornost država članica za zaštitu nacionalne sigurnosti i obrane, države članice trebale bi moći odlučiti da se obveze kritičnih subjekata iz ove Direktive ne primjenjuju u cijelosti ili djelomično na te kritične subjekte ako su usluge koje pružaju ili aktivnosti koje oni obavljaju pretežno povezane s područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela. Kritični subjekti čije su usluge ili aktivnosti samo sporedno povezane s tim područjima trebali bi biti obuhvaćeni područjem primjene ove Direktive. Ni od jedne države članice ne bi trebalo zahtijevati dostavljanje informacija čije bi otkrivanje bilo suprotno ključnim interesima njezine nacionalne sigurnosti. Relevantna su pravila Unije ili nacionalna pravila za zaštitu klasificiranih podataka i sporazumi o povjerljivosti podataka. |
(12) |
Kako se ne bi ugrozila nacionalna sigurnost ili sigurnost i komercijalni interesi kritičnih subjekata, pristup osjetljivim informacijama, njihova razmjena i postupanje s njima trebali bi se provoditi razborito i uz posvećivanje posebne pozornosti kanalima za prijenos i kapacitetima za pohranu koji se upotrebljavaju. |
(13) |
Kako bi se osigurao sveobuhvatan pristup otpornosti kritičnih subjekata, svaka država članica trebala bi uspostaviti strategiju jačanja otpornosti kritičnih subjekata („strategija”). Strategija bi trebala utvrditi strateške ciljeve i mjere politike koje treba provesti. Strategija bi, u interesu koherentnosti i učinkovitosti, trebala biti osmišljena za neometano integriranje postojećih politika te se temeljiti, kad god je to moguće, na relevantnim postojećim nacionalnim i sektorskim strategijama, na planovima ili na sličnim dokumentima. Radi postizanja sveobuhvatnog pristupa države članice trebale bi osigurati da se njihovim strategijama osigurava okvir politika za pojačanu koordinaciju između nadležnih tijela na temelju ove Direktive i nadležnih tijela na temelju Direktive (EU) 2022/2555 u kontekstu dijeljenja informacija o kibersigurnosnim rizicima, kiberprijetnjama i kiberincidentima te rizicima, prijetnjama i incidentima izvan kiberprostora i u kontekstu izvršavanja nadzornih zadaća. Pri uspostavi svojih strategija države članice trebale bi na odgovarajući način uzeti u obzir hibridnu prirodu prijetnji kritičnim subjektima. |
(14) |
Države članice trebale bi priopćiti Komisiji svoje strategije i znatna ažuriranja tih strategija, posebice kako bi se Komisiji omogućilo da procijeni pravilnu primjenu ove Direktive u pogledu pristupa politika otpornosti kritičnih subjekata na nacionalnoj razini. Prema potrebi, strategije bi se mogle priopćiti kao klasificirani podaci. Komisija bi trebala sastaviti sažeto izvješće strategija koje su priopćile države članice koje bi poslužilo kao osnova za razmjene radi utvrđivanja najboljih praksi i pitanja od zajedničkog interesa u okviru Skupine za otpornost kritičnih subjekata. Zbog osjetljive prirode agregiranih podataka uključenih u sažeto izvješće, bez obzira na to jesu li klasificirani ili ne, Komisija bi sažetim izvješćem trebala upravljati uz odgovarajuću razinu osviještenosti poštujući sigurnost kritičnih subjekata, država članica i Unije. Sažeto izvješće i strategije trebali bi biti zaštićeni od nezakonitih ili zlonamjernih radnji te bi trebali biti dostupni samo ovlaštenim osobama kako bi se ispunili ciljevi ove Direktive. Priopćavanje strategija i njihovih znatnih ažuriranja trebalo bi također pomoći Komisiji u razumijevanju događanja u pristupima otpornosti kritičnih subjekata i doprinijeti praćenju učinka i dodane vrijednosti ove Direktive, koju Komisija treba periodično preispitivati. |
(15) |
Mjere država članica za utvrđivanje i pomoć u osiguravanju otpornosti kritičnih subjekata trebale bi slijediti pristup utemeljen na riziku koji je usmjeren na subjekte koji su najvažniji za obavljanje vitalnih društvenih funkcija ili gospodarskih djelatnosti. Kako bi se osigurao takav ciljani pristup, svaka bi država članica trebala u kontekstu usklađenog okvira provesti procjenu relevantnih prirodnih i ljudskim djelovanjem uzrokovanih rizika, među ostalim rizika međusektorske ili prekogranične prirode, koji bi mogli utjecati na pružanje ključnih usluga, kao što su nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja poput pandemija i hibridnih ili drugih neprijateljskih prijetnji, uključujući kaznena djela terorizma, infiltraciju kriminala i sabotažu („procjena rizika države članice”). Pri provedbi procjene rizika države članice, države članice trebale bi uzeti u obzir druge opće ili sektorske procjene rizika provedene na temelju drugih pravnih akata Unije te bi trebale razmotriti u kojoj mjeri sektori ovise jedni o drugima, među ostalim i o sektorima u drugim državama članicama i trećim zemljama. Ishod procjena rizika države članice trebao bi poslužiti u svrhe utvrđivanja kritičnih subjekata i pomoći tim subjektima u ispunjavanju njihovih zahtjeva u pogledu otpornosti. Ova se Direktiva primjenjuje samo na države članice i kritične subjekte koji posluju unutar Unije. Međutim, stručnost i znanje koje su stekla nadležna tijela, posebno putem procjena rizika, te Komisija, posebno putem različitih oblika potpore i suradnje, mogli bi se upotrebljavati, prema potrebi i u skladu s primjenjivim pravnim instrumentima, u korist trećih zemalja, posebno onih u izravnom susjedstvu Unije, uključivanjem takvih stručnosti i znanja u postojeću suradnju u području otpornosti. |
(16) |
Kako bi se osiguralo da svi relevantni subjekti podliježu zahtjevima za otpornost iz ove Direktive i kako bi se smanjile razlike u tom pogledu, važno je odrediti usklađena pravila kojima se jamči dosljedno utvrđivanje kritičnih subjekata širom Unije te istodobno omogućiti državama članicama da na odgovarajući način uvaže ulogu i važnost tih subjekata na nacionalnoj razini. Pri primjeni kriterija utvrđenih u ovoj Direktivi svaka država članica trebala bi utvrditi subjekte koji pružaju jednu ili više ključnih usluga te koji upravljaju radom kritične infrastrukture smještene na njezinom državnom području odnosno imaju kritičnu infrastrukturu smještenu na njezinom državnom području. Trebalo bi se smatrati da određeni subjekt djeluje na državnom području države članice u kojoj obavlja aktivnosti potrebne za dotičnu ključnu uslugu ili usluge i u kojoj je smještena kritična infrastruktura tog subjekta koja se upotrebljava za pružanje te usluge ili tih usluga. Ako u državi članici ne postoji subjekt koji ispunjava te kriterije, ta država članica ne bi trebala biti obvezna utvrditi kritični subjekt u povezanom sektoru ili podsektoru. Radi djelotvornosti, učinkovitosti, dosljednosti i pravne sigurnosti trebalo bi utvrditi odgovarajuća pravila o obavješćivanju subjekata da su utvrđeni kao kritični subjekti. |
(17) |
Države članice trebale bi Komisiji dostaviti, na način kojim se ispunjavaju ciljevi ove Direktive, popis ključnih usluga, broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu i za ključnu uslugu ili usluge koje svaki subjekt pruža te, ako se primjenjuju, pragove. Trebalo bi biti moguće pragove prikazati u nepromijenjenom ili u agregiranom obliku, što znači da se može odrediti prosječna vrijednost informacija prema zemljopisnom području, godini, sektoru, podsektoru ili na drugi način, te da se mogu uključiti informacije o rasponu dostavljenih pokazatelja. |
(18) |
Trebali bi se uspostaviti kriteriji za utvrđivanje značaja negativnog učinka uzrokovanog incidentom. Ti bi se kriteriji trebali temeljiti na kriterijima predviđenima Direktivom (EU) 2016/1148 Europskog parlamenta i Vijeća (6) kako bi se iskoristili napori država članica uloženi u utvrđivanje operatora ključnih usluga kako su definirani tom direktivom i iskustvo stečeno u tom pogledu. Velike krize, kao što je pandemija bolesti COVID-19, pokazale su važnost osiguravanja sigurnosti lanca opskrbe i pokazale kako njegov poremećaj može imati negativni gospodarski i društveni učinak u velikom broju sektora i prekogranično. Stoga bi države članice, u mjeri u kojoj je to moguće, trebale uzeti u obzir i učinke na lanac opskrbe pri utvrđivanju mjere do koje drugi sektori i podsektori ovise o ključnoj usluzi koju pruža kritični subjekt. |
(19) |
U skladu s primjenjivim pravom Unije i nacionalnim pravom, uključujući Uredbu (EU) 2019/452 Europskog parlamenta i Vijeća (7), kojom se uspostavlja okvir za provjeru izravnih stranih ulaganja u Uniji, potrebno je priznati potencijalnu prijetnju koju predstavlja strano vlasništvo nad kritičnom infrastrukturom u Uniji jer usluge, gospodarstvo te slobodno kretanje i sigurnost građana Unije ovise o pravilnom funkcioniranju kritične infrastrukture. |
(20) |
Direktivom (EU) 2022/2555 zahtijeva se od subjekata koji pripadaju sektoru digitalne infrastrukture, koji bi se mogli utvrditi kao kritični subjekti na temelju ove Direktive, da poduzmu odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima za sigurnost mrežnih i informacijskih sustava te da obavijeste o značajnim incidentima i kiberprijetnjama. Budući da prijetnje sigurnosti mrežnih i informacijskih sustava mogu biti različitog podrijetla, Direktivom (EU) 2022/2555 primjenjuje se pristup kojim se uzimaju u obzir sve opasnosti, a koji uključuje otpornost mrežnih i informacijskih sustava kao i fizičkih komponenti i okruženja tih sustava. S obzirom na to da su zahtjevi utvrđeni Direktivom (EU) 2022/2555 u tom pogledu barem jednakovrijedni odgovarajućim obvezama utvrđenima u ovoj Direktivi, obveze utvrđene u članku 11. i u poglavljima III., IV. i VI. ove Direktive ne bi se trebale primjenjivati na subjekte koji pripadaju sektoru digitalne infrastrukture kako bi se izbjeglo udvostručavanje i nepotrebno administrativno opterećenje. Međutim, uzimajući u obzir važnost usluga koje pružaju subjekti koji pripadaju sektoru digitalne infrastrukture kritičnim subjektima koji pripadaju svim drugim sektorima, države članice trebale bi utvrditi na temelju kriterija i primjenom postupka predviđenog ovom Direktivom subjekte koji pripadaju sektoru digitalne infrastrukture kao kritične subjekte. Stoga bi se trebale primjenjivati strategije, procjene rizika države članice i mjere potpore navedene u poglavlju II. ove Direktive. Države članice trebale bi moći donijeti ili zadržati odredbe nacionalnog prava kako bi postigle veću razinu otpornosti tih kritičnih subjekata, pod uvjetom da su te odredbe usklađene s primjenjivim pravom Unije. |
(21) |
Pravom Unije o financijskim uslugama uspostavljaju se sveobuhvatni zahtjevi za financijske subjekte u pogledu upravljanja svim rizicima s kojima se suočavaju, uključujući operativne rizike i u pogledu osiguravanja kontinuiteta poslovanja. To pravo uključuje uredbe (EU) br. 648/2012 (8), (EU) br. 575/2013 (9) i (EU) br. 600/2014 (10) Europskog parlamenta i Vijeća te direktive 2013/36/EU (11) i 2014/65/EU (12) Europskog parlamenta i Vijeća. Taj pravni okvir dopunjuje se Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća (13), kojom se utvrđuju zahtjevi primjenjivi na financijske subjekte za upravljanje rizicima u području informacijske i komunikacijske tehnologije (IKT), uključujući u pogledu zaštite fizičke infrastrukture IKT-a. S obzirom na to da je otpornost tih subjekata stoga u potpunosti obuhvaćena, članak 11. i poglavlja III., IV. i VI. ove Direktive ne bi se trebali primjenjivati na te subjekte kako bi se izbjeglo udvostručavanje i nepotrebno administrativno opterećenje. Međutim, uzimajući u obzir važnost usluga koje subjekti u financijskom sektoru pružaju kritičnim subjektima koji pripadaju svim drugim sektorima, države članice trebale bi utvrditi na temelju kriterija i primjenom postupka predviđenog ovom Direktivom subjekte u financijskom sektoru kao kritične subjekte. Stoga bi se trebale primjenjivati strategije, procjene rizika države članice i mjere potpore navedene u poglavlju II. ove Direktive. Države članice trebale bi moći donijeti ili zadržati odredbe nacionalnog prava kako bi postigle veću razinu otpornosti tih kritičnih subjekata, pod uvjetom da su te odredbe usklađene s primjenjivim pravom Unije. |
(22) |
Države članice trebale bi imenovati ili uspostaviti tijela nadležna za nadzor primjene i, prema potrebi, za izvršavanje pravila ove Direktive te bi trebale osigurati da ona budu prikladno ovlaštena i da raspolažu potrebnim resursima. S obzirom na razlike u nacionalnim upravljačkim strukturama, kako bi se zaštitila postojeća sektorska rješenja ili nadzorna i regulatorna tijela Unije te kako bi se izbjeglo udvostručavanje, države članice trebale bi moći imenovati ili uspostaviti više od jednog nadležnog tijela. Ako države članice imenuju ili uspostave više od jednog nadležnog tijela trebale bi jasno razgraničiti zadaće dotičnih tijela i osigurati njihovu neometanu i djelotvornu suradnju. Sva bi nadležna tijela trebala i općenitije surađivati s drugim relevantnim tijelima, na razini Unije i na nacionalnoj razini. |
(23) |
Kako bi se olakšala prekogranična suradnja i komunikacija te kako bi se omogućila djelotvorna provedba ove Direktive, svaka bi država članica trebala, ne dovodeći u pitanje zahtjeve sektorskih pravnih akata Unije, imenovati jedinstvenu kontaktnu točku, prema potrebi unutar nadležnog tijela , odgovornu za koordinaciju pitanja povezanih s otpornošću kritičnih subjekata i prekograničnom suradnjom na razini Unije („jedinstvena kontaktna točka”). Svaka jedinstvena kontaktna točka trebala bi se povezati i koordinirati komunikaciju, prema potrebi, s nadležnim tijelima svoje države članice, jedinstvenim kontaktnim točkama drugih država članica i sa Skupinom za otpornost kritičnih subjekata. |
(24) |
Nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2555 trebala bi surađivati i razmjenjivati informacije u vezi s kibersigurnosnim rizicima, kiberprijetnjama i kiberincidentima te rizicima, prijetnjama i incidentima izvan kiberprostora koji utječu na kritične subjekte, kao i u vezi s relevantnim mjerama koje poduzimaju nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2555. Važno je da države članice osiguraju da se zahtjevi predviđeni ovom Direktivom i Direktivom (EU) 2022/2555 provode na komplementaran način i da kritični subjekti ne podliježu administrativnom opterećenju koje prelazi ono što je potrebno za postizanje ciljeva ove Direktive i te direktive. |
(25) |
Države članice trebale bi podupirati kritične subjekte, uključujući one koji se smatraju malim ili srednjim poduzećima, u jačanju njihove otpornosti, u skladu s obvezama država članica iz ove Direktive, ne dovodeći u pitanje pravnu odgovornost samih kritičnih subjekata da osiguraju takvu usklađenost, i pritom spriječiti prekomjerno administrativno opterećenje. Države članice mogle bi posebice izraditi smjernice i metodologije, poduprijeti organizaciju vježbi za testiranje otpornosti kritičnih subjekata i pružiti savjetovanje i osposobljavanje za osoblje kritičnih subjekata. Ako je to potrebno i opravdano ciljevima od javnog interesa, države članice mogle bi pružiti financijska sredstva te bi trebale olakšati dobrovoljno dijeljenje informacija i razmjenu dobre prakse među kritičnim subjektima, ne dovodeći u pitanje primjenu pravila o tržišnom natjecanju utvrđenih u Ugovoru o funkcioniranju Europske unije (UFEU). |
(26) |
U cilju jačanja otpornosti kritičnih subjekata koje su utvrdile države članice i kako bi se smanjilo administrativno opterećenje za te kritične subjekte, nadležna tijela trebala bi se međusobno savjetovati kad god je to primjereno u svrhu osiguravanja dosljedne primjene ove Direktive. Ta bi savjetovanja trebalo započeti na zahtjev bilo kojeg zainteresiranog nadležnog tijela te bi trebala biti usmjerena na osiguravanje konvergentnog pristupa u pogledu međusobno povezanih kritičnih subjekata koji upotrebljavaju kritičnu infrastrukturu koja je fizički povezana između dviju ili više država članica, koji pripadaju istim skupinama ili korporativnim strukturama ili koji su utvrđeni u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama. |
(27) |
Ako se odredbama prava Unije ili nacionalnog prava od kritičnih subjekata zahtijeva procjena rizika relevantnih za potrebe ove Direktive i poduzimanje mjera za osiguravanje vlastite otpornosti, te bi zahtjeve trebalo na odgovarajući način uzeti u obzir za potrebu nadzora usklađenosti kritičnih subjekata s ovom Direktivom. |
(28) |
Kritični subjekti trebali bi biti sveobuhvatno upoznati s relevantnim rizicima kojima su izloženi te bi trebali biti dužni analizirati te rizike. U tu bi svrhu prema potrebi trebali provoditi procjene rizika s obzirom na posebne okolnosti tih rizika i njihov razvoj, a u svakom slučaju svake četiri godine kako bi se procijenili svi relevantni rizici koji bi mogli poremetiti pružanje njihovih kritičnih usluga („procjena rizika kritičnog subjekta”). Ako su kritični subjekti proveli druge procjene rizika ili izradili dokumente na temelju obveza iz drugih pravnih akata koji su relevantni za njihovu procjenu rizika kritičnog subjekta, trebali bi se moći koristiti tim procjenama i dokumentima kako bi ispunili zahtjeve iz ove Direktive u vezi procjene rizika kritičnog subjekta. Nadležno tijelo trebalo bi moći proglasiti da je postojeća procjena rizika koju je proveo kritični subjekt, a koja se odnosi na relevantne rizike i relevantnu mjeru ovisnosti usklađena u cijelosti ili djelomično s obvezama utvrđenim u ovoj Direktivi. |
(29) |
Kritični subjekti trebali bi poduzeti tehničke, sigurnosne i organizacijske mjere koje su odgovarajuće i razmjerne rizicima s kojima se suočavaju kako bi mogli spriječiti incident, zaštititi se od njega, odgovoriti na njega, oduprijeti mu se, ublažiti ga, apsorbirati ga, prilagoditi mu se i oporaviti se od njega. Iako bi kritični subjekti trebali poduzimati te mjere u skladu s ovom Direktivom, pojedinosti i opseg takvih mjera trebali bi na odgovarajući i razmjeran način odražavati različite rizike koje je svaki kritični subjekt utvrdio u okviru svoje procjene rizika kritičnog subjekta i posebnosti takvog subjekta. Kako bi se promicao dosljedan pristup Unije, Komisija bi, nakon savjetovanja sa Skupinom za otpornost kritičnih subjekata, trebala donijeti neobvezujuće smjernice za dodatno određivanje tih tehničkih, sigurnosnih i organizacijskih mjera. Države članice trebale bi osigurati da svaki kritični subjekt imenuje časnika za vezu ili ekvivalentnu osobu kao točku za kontakt s nadležnim tijelima. |
(30) |
Radi djelotvornosti i odgovornosti, kritični subjekti trebali bi opisati mjere koje poduzimaju, s dovoljno detalja kojima se dostatno ostvaruju ciljevi djelotvornosti i odgovornosti, u planu za otpornost ili u dokumentu ili dokumentima koji su jednakovrijedni planu za otpornost, uzimajući u obzir utvrđene rizike, te bi trebali primjenjivati taj plan u praksi. Ako su već poduzeli tehničke, sigurnosne i organizacijske mjere i sastavili dokumente na temelju drugih pravnih akata relevantnih za mjere jačanja otpornosti na temelju ove Direktive, kritični subjekti trebali bi se moći koristiti tim mjerama i dokumentima kako bi se izbjeglo udvostručavanje te kako bi ispunili zahtjeve u pogledu mjera otpornosti na temelju ove Direktive. Kako bi se izbjeglo udvostručavanje, nadležno tijelo trebalo bi moći proglasiti da su postojeće mjere otpornosti koje je poduzeo kritični subjekt, a kojima se ispunjava njegova obveza da poduzme tehničke, sigurnosne i organizacijske mjere na temelju ove Direktive, u cijelosti ili djelomično usklađene sa zahtjevima iz ove Direktive. |
(31) |
Uredbama (EZ) br. 725/2004 (14) i (EZ) br. 300/2008 (15) Europskog parlamenta i Vijeća i Direktivom 2005/65/EZ Europskog parlamenta i Vijeća (16) utvrđuju se zahtjevi koji se primjenjuju na subjekte u zrakoplovnom sektoru i u sektoru pomorskog prometa kako bi se spriječili incidenti uzrokovani nezakonitim djelovanjem, kako bi se moglo oduprijeti posljedicama tih incidenata te kako bi se ublažile posljedice tih incidenata. Iako su mjere koje se zahtijevaju na temelju ove Direktive šireg opsega u smislu rizika na koje se odnose i vrsta mjera koje je potrebno poduzeti, kritični subjekti u tim sektorima trebali bi u svojem planu za otpornost ili jednakovrijednim dokumentima navesti mjere poduzete na temelju tih drugih pravnih akata Unije. Kritični subjekti trebaju uzeti u obzir i Direktivu 2008/96/EZ Europskog parlamenta i Vijeća (17), kojom se uvodi procjena sigurnosti na cestama na razini cijele mreže radi mapiranja rizika od nesreća i ciljana provjera sigurnosti na cestama kako bi se utvrdili opasni uvjeti, nedostaci i problemi koji povećavaju rizik od nesreća i ozljeda, na temelju terenskih obilazaka postojećih cesta ili dionica cesta. Osiguravanje zaštite i otpornosti kritičnih subjekata od iznimne je važnosti za željeznički sektor, a kritične subjekte potiče se da se pri provedbi mjera otpornosti na temelju ove Direktive oslanjaju na neobvezujuće smjernice i dokumente o dobrim praksama izrađene u okviru sektorskih područja rada, kao što je Platforma za sigurnost putnika u željezničkom prometu u EU-u uspostavljena Odlukom Komisije 2018/C 232/03 (18). |
(32) |
Sve više zabrinjava rizik da bi zaposlenici kritičnih subjekata ili njihovi ugovaratelji zloupotrebljavali primjerice svoja prava pristupa unutar organizacije kritičnog subjekta radi povrede i nanošenja štete. Stoga bi države članice trebale utvrditi uvjete u skladu s kojima je kritičnim subjektima dopušteno, u propisno obrazloženim slučajevima i uz uvažavanje procjena rizika države članice, podnijeti zahtjeve za provjeru podobnosti osoba koje pripadaju određenim kategorijama njihova osoblja . Trebalo bi osigurati da relevantna tijela procjenjuju takve zahtjeve u razumnom roku i obrađuju ih u skladu s nacionalnim pravom i postupcima te relevantnim i primjenjivim pravom Unije, među ostalim onim o zaštiti osobnih podataka. Radi potvrde identiteta osobe koja podliježe provjeri podobnosti primjereno je da države članice zahtijevaju dokaz o identitetu, primjerice putovnicu, nacionalnu osobnu iskaznicu ili digitalni oblik identifikacije, u skladu s primjenjivim pravom. Provjere podobnosti trebale bi uključivati provjeru kaznene evidencije dotične osobe. Države članice trebale bi koristiti Europski informacijski sustav kaznene evidencije u skladu s postupcima utvrđenima u Okvirnoj odluci Vijeća 2009/315/PUP (19) te, ako je to relevantno i primjenjivo, u Uredbi (EU) 2019/816 Europskog parlamenta i Vijeća (20) za potrebe dobivanja podataka iz kaznenih evidencija drugih država članica. Države članice mogu se, ako je to relevantno i primjenjivo, osloniti i na Schengenski informacijski sustav druge generacije (SIS II) uspostavljen Uredbom (EU) 2018/1862 Europskog parlamenta i Vijeća (21), obavještajne podatke i sve druge dostupne objektivne informacije koje bi mogle biti potrebne za utvrđivanje prikladnosti dotične osobe za rad na radnom mjestu za koje je kritični subjekt zatražio provjeru podobnosti. |
(33) |
Trebalo bi uspostaviti mehanizam za obavješćivanje o određenim incidentima kako bi se nadležnim tijelima omogućio brz i primjeren odgovor na incidente te radi sveobuhvatnog pregleda učinka, prirode, uzroka i mogućih posljedica incidenata s kojim se suočavaju kritični subjekti. Kritični subjekti trebali bi bez nepotrebne odgode obavijestiti nadležna tijela o incidentima koji znatno poremete ili bi mogli znatno poremetiti pružanje ključnih usluga. Osim ako to operativno nije moguće, kritični subjekti trebali bi početnu obavijest dostaviti najkasnije 24 sata nakon što saznaju za incident. Prva obavijest trebala bi sadržavati samo informacije koje su nužne za upoznavanje nadležnog tijela s incidentom i kako bi se kritičnom subjektu omogućilo da, prema potrebi, zatraži pomoć. U takvoj obavijesti trebalo bi, ako je to moguće, navesti pretpostavljeni uzrok incidenta. Države članice trebale bi osigurati da se zahtjevom za dostavu te prve obavijesti resursi kritičnog subjekta ne preusmjere s aktivnosti povezanih s rješavanjem incidenata kojima bi trebalo dati prioritet. Nakon prve obavijesti trebalo bi, prema potrebi, uslijediti podrobno izvješće najkasnije mjesec dana nakon incidenta. Podrobno izvješće trebalo bi dopuniti prvu obavijest i pružiti potpuniji pregled incidenta. |
(34) |
Normizacija bi i dalje trebala biti prvenstveno proces koji ovisi o kretanjima na tržištu. Međutim, još mogu postojati situacije u kojima je primjereno zahtijevati usklađenost s određenim normama. Države članice trebale bi, ako je to korisno, poticati primjenu europskih i međunarodnih normi i tehničkih specifikacija relevantnih za mjere sigurnosti i mjere otpornosti koje se primjenjuju na kritične subjekte. |
(35) |
Iako kritični subjekti općenito djeluju kao dio sve više međusobno povezane mreže pružanja usluga i infrastrukture i često pružaju ključne usluge u više država članica, neki od tih kritičnih subjekata od posebnog su značaja za Uniju i njezino unutarnje tržište jer pružaju ključne usluge za šest ili više država članica odnosno u šest ili više država članica te bi stoga mogli imati koristi od posebne potpore na razini Unije. Stoga bi se trebala utvrditi pravila o savjetodavnim misijama u pogledu takvih kritičnih subjekata od posebnog europskog značaja. Ta pravila ne dovode u pitanje pravila o nadzoru i izvršavanju utvrđena ovom Direktivom. |
(36) |
Ako su potrebne dodatne informacije za savjetovanje kritičnog subjekta u ispunjavanju njegovih obveza na temelju ove Direktive ili za procjenu usklađenosti kritičnog subjekta od posebnog europskog značaja s takvim obvezama, država članica koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt treba dostaviti Komisiji određene informacije kako je određeno u ovoj Direktivi na obrazloženi zahtjev Komisije ili države članice kojoj se pruža ili u kojoj se pruža ključna usluga, ili više takvih država članica. U dogovoru s državom članicom koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt , Komisija bi trebala moći organizirati savjetodavnu misiju za procjenu mjera koje je taj subjekt uspostavio. Kako bi se osiguralo pravilno provođenje takvih savjetodavnih misija, trebalo bi utvrditi dodatna pravila, posebno o organizaciji i provođenju savjetodavnih misija, potrebnim daljnjim mjerama i obvezama dotičnih kritičnih subjekata od posebnog europskog značaja. Savjetodavna misija trebala bi se provoditi, ne dovodeći u pitanje činjenicu da se država članica u kojoj se provodi savjetodavna misija i dotični kritični subjekt trebaju pridržavati pravila ove Direktive, u skladu s detaljnim pravilima prava te države članice, primjerice o točnim uvjetima koje je potrebno ispuniti za pristup relevantnim prostorima ili dokumentima te o sudskoj zaštiti. Posebno stručno znanje potrebno za takve savjetodavne misije moglo bi se, prema potrebi, zatražiti putem Koordinacijskog centra za odgovor na hitne situacije uspostavljenog Odlukom br. 1313/2013/EU Europskog parlamenta i Vijeća (22). |
(37) |
Kako bi se pružila potpora Komisiji i olakšala suradnja među državama članicama i razmjena informacija, uključujući najbolje prakse, u vezi s pitanjima koja se odnose na ovu Direktivu, trebalo bi uspostaviti Skupinu za otpornost kritičnih subjekata kao stručnu skupinu Komisije. Države članice trebale bi nastojati osigurati djelotvornu i učinkovitu suradnju imenovanih predstavnika svojih nadležnih tijela u Skupini za otpornost kritičnih subjekata, među ostalim imenovanjem predstavnika koji, prema potrebi, imaju uvjerenje o sigurnosnoj provjeri. Skupina za otpornost kritičnih subjekata trebala bi početi obavljati svoje zadaće što je prije moguće kako bi se osigurali dodatni načini za odgovarajuću suradnju tijekom razdoblja prenošenja Direktive. Skupina za otpornost kritičnih subjekata trebala bi surađivati s drugim relevantnim sektorskim stručnim radnim skupinama. |
(38) |
Skupina za otpornost kritičnih subjekata trebala bi surađivati sa Skupinom za suradnju uspostavljenom na temelju Direktive (EU) 2022/2555 u cilju podupiranja sveobuhvatnog okvira za kiberotpornost i otpornost izvan kiberprostora kritičnih subjekata. Skupina za otpornost kritičnih subjekata i Skupina za suradnju uspostavljena na temelju Direktive (EU) 2022/2555 trebale bi uspostaviti redovit dijalog radi promicanja suradnje između nadležnih tijela iz ove Direktive i nadležnih tijela iz Direktive (EU) 2022/2555 i radi olakšavanja razmjene informacija, osobito o temama koje su važne za obje skupine. |
(39) |
Kako bi se ostvarili ciljevi ove Direktive i ne dovodeći u pitanje pravnu odgovornost država članica i kritičnih subjekata da osiguravaju poštovanje njihovih obveza utvrđenih ovom Direktivom, Komisija bi prema potrebi trebala poduprijeti nadležna tijela i kritične subjekte s ciljem olakšavanja ostvarivanja njihove usklađenosti s njihovim obvezama. Pri pružanju potpore državama članicama i kritičnim subjektima u provedbi obveza na temelju ove Direktive Komisija bi se trebala oslanjati na postojeće strukture i alate, kao što su oni u okviru Mehanizma Unije za civilnu zaštitu, uspostavljenog Odlukom br. 1313/2013/EU, i Europske referentne mreže za zaštitu kritične infrastrukture. Osim toga, trebala bi obavijestiti države članice o resursima dostupnima na razini Unije, primjerice u okviru Fonda za unutarnju sigurnost uspostavljenog Uredbom (EU) 2021/1149 Europskog parlamenta i Vijeća (23), programa Obzor Europa, uspostavljenog Uredbom (EU) 2021/695 Europskog parlamenta i Vijeća (24), ili drugih instrumenata relevantnih za otpornost kritičnih subjekata. |
(40) |
Države članice trebale bi osigurati da njihova nadležna tijela imaju određene posebne ovlasti za pravilnu primjenu i izvršavanje ove Direktive u odnosu na kritične subjekte ako ti subjekti potpadaju pod njihovu nadležnost kako je navedeno u ovoj Direktivi. Te bi ovlasti posebice trebale uključivati ovlast provođenja inspekcija i revizija, ovlast nadzora te ovlast zahtijevanja od kritičnih subjekata da dostave informacije i dokaze koji se odnose na mjere koje su poduzeli kako bi ispunili svoje obveze te prema potrebi ovlast izdavanja naloga za otklanjanje utvrđenih povreda. Pri izdavanju takvih naloga države članice ne bi trebale zahtijevati mjere koje prelaze ono što je potrebno i razmjerno kako bi se osigurala usklađenost dotičnog kritičnog subjekta, osobito uzimajući u obzir ozbiljnost povrede i gospodarski kapacitet dotičnog kritičnog subjekta. Općenito, te bi ovlasti trebale biti popraćene odgovarajućim i djelotvornim zaštitnim mjerama koje se utvrđuju nacionalnim pravom, u skladu s Poveljom Europske unije o temeljnim pravima. Pri procjeni usklađenosti kritičnog subjekta s njegovim obvezama iz ove Direktive nadležna tijela na temelju ove Direktive trebala bi moći zatražiti od nadležnih tijela na temelju Direktive (EU) 2022/2555 da izvršavaju svoje nadzorne ovlasti i ovlasti izvršavanja u odnosu na subjekt iz te direktive koji je utvrđen kao kritični subjekt na temelju ove Direktive. Nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2555 trebala bi surađivati i razmjenjivati informacije u tu svrhu. |
(41) |
Kako bi se ova Direktiva primjenjivala na djelotvoran i dosljedan način, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a radi dopune ove Direktive sastavljanjem popisa ključnih usluga. Nadležna tijela trebala bi se koristiti tim popisom za potrebe provedbe procjena rizika države članice i za utvrđivanje kritičnih subjekata na temelju ove Direktive. S obzirom na pristup minimalnog usklađivanja iz ove Direktive, taj popis nije iscrpan te bi ga države članice mogle dopuniti dodatnim ključnim uslugama na nacionalnoj razini radi uvažavanja nacionalnih posebnosti u pružanju ključnih usluga. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. (25) Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata. |
(42) |
Radi osiguravanja jedinstvenih uvjeta za provedbu ove Direktive provedbene ovlasti trebalo bi dodijeliti Komisiji. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (26). |
(43) |
S obzirom na to da ciljeve ove Direktive, a to su osiguravanje da se usluge koje su ključne za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti pružaju neometano na unutarnjem tržištu i jačanje otpornosti kritičnih subjekata koji pružaju takve usluge, ne mogu dostatno ostvariti države članice, nego se zbog učinaka djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku 5., ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tih ciljeva. |
(44) |
Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (27) te je on dao mišljenje 11. kolovoza 2021. |
(45) |
Direktivu 2008/114/EZ stoga bi trebalo staviti izvan snage, |
DONIJELI SU OVU DIREKTIVU:
POGLAVLJE I.
OPĆE ODREDBE
Članak 1.
Predmet i područje primjene
1. Ovom se Direktivom:
(a) |
utvrđuju obveze država članica za poduzimanje posebnih mjera radi osiguravanja da se usluge koje su ključne za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti u području primjene članka 114. UFEU-a neometano pružaju na unutarnjem tržištu, posebice obveze utvrđivanja kritičnih subjekata te podupiranja kritičnih subjekata pri ispunjavanju njihovih obveza; |
(b) |
utvrđuju obveze kritičnih subjekata radi jačanja njihove otpornosti i mogućnosti pružanja usluga kako je navedeno u točki (a) na unutarnjem tržištu; |
(c) |
utvrđuju pravila:
|
(d) |
uspostavljaju zajednički postupci za suradnju i izvješćivanje o primjeni ove Direktive; |
(e) |
utvrđuju mjere za postizanje visoke razine otpornosti kritičnih subjekata radi osiguravanja pružanja ključnih usluga u Uniji i poboljšanja funkcioniranja unutarnjeg tržišta. |
2. Ova se Direktiva ne primjenjuje na pitanja obuhvaćena Direktivom (EU) 2022/2555, ne dovodeći u pitanje članak 8. ove Direktive. S obzirom na odnos između fizičke sigurnosti i kibersigurnosti kritičnih subjekata, države članice osiguravaju da se ova Direktiva i Direktiva (EU) 2022/2555 provode na usklađen način.
3. Ako se odredbama sektorskih pravnih akata Unije od kritičnih subjekata zahtijeva poduzimanje mjera za jačanje njihove otpornosti i ako države članice priznaju te zahtjeve kao barem jednakovrijedne odgovarajućim obvezama utvrđenima u ovoj Direktivi, ne primjenjuju se relevantne odredbe ove Direktive, uključujući odredbe o nadzoru i izvršavanju utvrđene u poglavlju VI.
4. Ne dovodeći u pitanje članak 346. UFEU-a, informacije koje se smatraju povjerljivima na temelju pravila Unije ili nacionalnih pravila, kao što su pravila o poslovnoj tajni, razmjenjuju se s Komisijom i drugim relevantnim tijelima u skladu s ovom Direktivom samo kad je takva razmjena nužna za primjenu ove Direktive. Razmijenjene informacije ograničene su na ono što je relevantno i razmjerno svrsi te razmjene. Pri razmjeni informacija čuva se povjerljivost tih informacija te sigurnost i komercijalni interesi kritičnih subjekata, poštujući sigurnost država članica.
5. Ovom Direktivom ne dovodi se u pitanje odgovornost država članica za zaštitu nacionalne sigurnosti i obrane i njihove ovlasti za zaštitu drugih ključnih državnih funkcija, uključujući osiguravanje teritorijalne cjelovitosti države i održavanje javnog poretka.
6. Ova se Direktiva ne primjenjuje na subjekte javne uprave koji obavljaju svoje aktivnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela.
7. Države članice mogu odlučiti da se članak 11. i poglavlja III., IV. i VI., u cijelosti ili djelomično, ne primjenjuju na određene kritične subjekte koji obavljaju aktivnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući istragu, otkrivanje i progon kaznenih djela, ili koji pružaju usluge isključivo subjektima javne uprave iz stavka 6. ovog članka.
8. Obveze utvrđene u ovoj Direktivi ne podrazumijevaju dostavu informacija čije bi otkrivanje bilo u suprotnosti s ključnim interesima nacionalne sigurnosti, javne sigurnosti ili obrane država članica.
Članak 2.
Definicije
Za potrebe ove Direktive primjenjuju se sljedeće definicije:
1. |
„kritični subjekt” znači javni ili privatni subjekt za koji je država članica u skladu s člankom 6. utvrdila da pripada jednoj od kategorija navedenih u trećem stupcu tablice u Prilogu; |
2. |
„otpornost” znači sposobnost kritičnog subjekta da spriječi incident, zaštiti od njega, odgovori na njega, odupre se incidentu, ublaži ga, apsorbira ga, prilagodi mu se te se oporavi od incidenta ; |
3. |
„incident” znači događaj koji bi mogao znatno poremetiti ili koji poremeti pružanje ključne usluge, među ostalim kada utječe na nacionalne sustave kojima se štiti vladavina prava; |
4. |
„kritična infrastruktura” znači imovina, objekt, oprema, mreža ili sustav ili dio imovine, objekta, opreme, mreže ili sustava, koji je potreban za pružanje ključne usluge; |
5. |
„ključna usluga” znači usluga koja je ključna za održavanje vitalnih društvenih funkcija , gospodarskih djelatnosti, javnog zdravlja i sigurnosti ili okoliša; |
6. |
„rizik” znači mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave incidenta; |
7. |
„procjena rizika ” znači cjelokupni postupak utvrđivanja prirode i opsega rizika utvrđivanjem i analizom potencijalnih relevantnih prijetnji, ranjivosti i opasnosti koje bi mogle dovesti do incidenta te evaluacijom mogućeg gubitka ili poremećaja u pružanju ključne usluge uzrokovanog tim incidentom; |
8. |
„norma” znači norma kako je definirana u članku 2. točki 1. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća (30); |
9. |
„tehnička specifikacija” znači tehnička specifikacija kako je definirana u članku 2. točki 4. Uredbe (EU) br. 1025/2012; |
10. |
„subjekt javne uprave” znači subjekt koji je kao takav priznat u državi članici u skladu s nacionalnim pravom ne uključujući sudstvo, parlamente ili središnje banke i koji ispunjava sljedeće kriterije:
|
Članak 3.
Minimalno usklađivanje
Ovom Direktivom ne sprečava se države članice da donesu ili zadrže odredbe nacionalnog prava s ciljem postizanja više razine otpornosti kritičnih subjekata, pod uvjetom da su te odredbe u skladu s obvezama država članica utvrđenim u pravu Unije.
POGLAVLJE II.
NACIONALNI OKVIRI ZA OTPORNOST KRITIČNIH SUBJEKATA
Članak 4.
Strategija za otpornost kritičnih subjekata
1. Nakon savjetovanja koje je, u mjeri u kojoj je to praktično moguće, otvoreno relevantnim dionicima, svaka država članica do 17. siječnja 2026. donosi strategiju za jačanje otpornosti kritičnih subjekata („strategija”). U strategiji se utvrđuju strateški ciljevi i mjere politike, koji se temelje na relevantnim postojećim nacionalnim i sektorskim strategijama, na planovima ili na sličnim dokumentima, radi postizanja i održavanja visoke razine otpornosti kritičnih subjekata i obuhvaćanja barem sektora navedenih u Prilogu.
2. Svaka strategija sadržava najmanje sljedeće elemente:
(a) |
strateške ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata uzimajući u obzir prekogranične i međusektorske ovisnosti i međuovisnosti; |
(b) |
upravljački okvir za postizanje strateških ciljeva i prioriteta, uključujući opis uloga i odgovornosti različitih tijela, kritičnih subjekata i drugih strana uključenih u provedbu strategije; |
(c) |
opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata, uključujući opis procjene rizika iz članka 5.; |
(d) |
opis postupka kojim se utvrđuju kritični subjekti; |
(e) |
opis postupka kojim se podupiru kritični subjekti u skladu s ovim poglavljem, uključujući mjere za poboljšanje suradnje između javnog sektora, s jedne strane, i privatnog sektora te javnih i privatnih subjekata, s druge strane; |
(f) |
popis glavnih tijela i relevantnih dionika koji nisu kritični subjekti, a koji su uključeni u provedbu strategije; |
(g) |
okvir politike za koordinaciju među nadležnim tijelima na temelju ove Direktive („nadležna tijela”) i nadležnim tijelima na temelju Direktive (EU) 2022/2555 u svrhu dijeljenja informacija o kibersigurnosnim rizicima, kiberprijetnjama i kiberincidentima te rizicima, prijetnjama i incidentima izvan kiberprostora te izvršavanja nadzornih zadaća; |
(h) |
opis već uspostavljenih mjera čiji je cilj malim i srednjim poduzećima u smislu Priloga Preporuci Komisije 2003/361/EZ (31) koja je dotična država članica utvrdila kao kritične subjekte olakšati provedbu obveza na temelju poglavlja III. ove Direktive. |
Nakon savjetovanja koje je, u mjeri u kojoj je to praktično moguće, otvoreno relevantnim dionicima, države članice ažuriraju svoje strategije najmanje svake četiri godine.
3. Države članice priopćuju Komisiji svoje strategije i njihova znatna ažuriranja u roku od tri mjeseca od njihova donošenja.
Članak 5.
Procjena rizika država članica
1. Komisija je ovlaštena za donošenje delegiranog akta u skladu s člankom 23. do 17. studenoga 2023., radi dopune ove Direktive utvrđivanjem netaksativnog popisa ključnih usluga u sektorima i podsektorima navedenima u Prilogu. Nadležna tijela koriste se tim popisom ključnih usluga za potrebe provedbe procjene rizika („procjena rizika države članice”) do 17. siječnja 2026. i prema potrebi nakon toga, a najmanje svake četiri godine . Nadležna tijela koriste se procjenom rizika države članice radi utvrđivanja kritičnih subjekata u skladu s člankom 6. i pomoći tim kritičnim subjektima u poduzimanju mjera na temelju članka 13.
U procjenama rizika države članice uzimaju se u obzir relevantni prirodni i ljudskim djelovanjem uzrokovani rizici, uključujući one međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja te hibridne prijetnje ili druge neprijateljske prijetnje, među ostalim kaznena djela terorizma kako su predviđena Direktivom (EU) 2017/541 Europskog parlamenta i Vijeća (32).
2. Pri provedbi procjena rizika države članice, države članice uzimaju u obzir barem sljedeće:
(a) |
opću procjenu rizika provedenu na temelju članka 6. stavka 1. Odluke br. 1313/2013/EU; |
(b) |
druge relevantne procjene rizika provedene u skladu sa zahtjevima relevantnih sektorskih pravnih akata Unije, uključujući uredbe (EU) 2017/1938 (33) i (EU) 2019/941 (34) Europskog parlamenta i Vijeća te direktive 2007/60/EZ (35) i 2012/18/EU (36) Europskog parlamenta i Vijeća; |
(c) |
relevantne rizike koji proizlaze iz opsega ovisnosti među sektorima navedenima u Prilogu, među ostalim njihov opseg ovisnosti o subjektima koji se nalaze unutar drugih država članica i trećih zemalja, te utjecaj koji znatan poremećaj u jednom sektoru može imati na druge sektore, uključujući sve znatne rizike za građane i unutarnje tržište; |
(d) |
sve informacije o incidentima koji su prijavljeni u skladu s člankom 15. |
Za potrebe prvog podstavka točke (c) države članice surađuju s nadležnim tijelima drugih država članica i nadležnim tijelima trećih zemalja, ovisno o slučaju.
3. Države članice stavljaju na raspolaganje relevantne elemente procjena rizika države članice, ako je to relevantno putem svojih jedinstvenih kontaktnih točaka, kritičnim subjektima koje su utvrdile u skladu s člankom 6 . Države članice osiguravaju da informacije pružene kritičnim subjektima pomažu kritičnim subjektima u provedbi njihovih procjena rizika na temelju članka 12. i u poduzimanju mjera za osiguravanje njihove otpornosti na temelju članka 13.
4. U roku od tri mjeseca nakon provedbe procjene rizika države članice, država članica Komisiji dostavlja relevantne informacije o vrstama rizika utvrđenim nakon te procjene rizika države članice kao i ishodima procjene rizika države članice, po sektoru i podsektoru navedenom u Prilogu.
5. Komisija u suradnji s državama članicama izrađuje dobrovoljni zajednički predložak za izvješćivanje u svrhu postupanja u skladu sa stavkom 4.
Članak 6.
Utvrđivanje kritičnih subjekata
1. Svaka država članica do 17. srpnja 2026. utvrđuje kritične subjekte za sektore i podsektore navedene u Prilogu .
2. Kada država članica utvrđuje kritične subjekte na temelju stavka 1., uzima u obzir ishode svoje procjene rizika države članice i svoju strategiju te primjenjuje sve sljedeće kriterije:
(a) |
subjekt pruža jednu ili više ključnih usluga; |
(b) |
subjekt djeluje te se njegova kritična infrastruktura nalazi na državnom području te države članice; i |
(c) |
incident bi, kako je utvrđeno u skladu s člankom 7. stavkom 1., imao znatne negativne učinke na pružanje jedne ili više ključnih usluga subjekta ili na pružanje drugih ključnih usluga u sektorima navedenima u Prilogu koji ovise o takvoj ili takvim ključnim uslugama. |
3. Svaka država članica sastavlja popis kritičnih subjekata utvrđenih na temelju stavka 2. i osigurava da se te kritične subjekte obavijesti da su utvrđeni kao kritični subjekti u roku od mjesec dana od tog utvrđivanja . Države članice obavješćuju te kritične subjekte o njihovim obvezama na temelju poglavlja III. i IV. i datumu od kojeg se te obveze primjenjuju na njih, ne dovodeći u pitanje članak 8. Države članice obavješćuju kritične subjekte u sektorima navedenim u točkama 3., 4. i 8. tablice u Prilogu da nemaju obveza na temelju poglavlja III. i IV., osim ako je nacionalnim mjerama predviđeno drukčije.
Za dotične kritične subjekte poglavlje III. primjenjuje se počevši od 10 mjeseci nakon datuma obavijesti iz prvog podstavka ovog stavka.
4. Države članice osiguravaju da njihova nadležna tijela na temelju ove Direktive obavijeste nadležna tijela na temelju Direktive (EU) 2022/2555 o identitetu kritičnih subjekata koji su ta tijela utvrdila na temelju ovog članka u roku od mjesec dana od tog utvrđivanja. Ako je primjenjivo, u toj se obavijesti navodi da su dotični kritični subjekti subjekti u sektorima navedenim u točkama 3., 4. i 8. tablice u Prilogu ovoj Direktivi te da oni nemaju obaveza na temelju poglavlja III. i IV. Direktive.
5. Države članice prema potrebi, a u svakom slučaju najmanje svake četiri godine, preispituju i ako je potrebno ažuriraju popis utvrđenih kritičnih subjekata iz stavka 3. Ako se tim ažuriranjima utvrde dodatni kritični subjekti, primjenjuju se stavci 3. i 4. na te dodatne kritične subjekte. Usto, države članice osiguravaju da su subjekti koji se nakon svakog takvog ažuriranja više ne smatraju kritičnim subjektima pravodobno obaviješteni o toj činjenici te činjenici da od datuma primitka te obavijesti više ne podliježu obvezama iz poglavlja III.
6. Komisija u suradnji s državama članicama izrađuje preporuke i neobvezujuće smjernice za potporu državama članicama u utvrđivanju kritičnih subjekata.
Članak 7.
Znatan negativan učinak
1. Pri utvrđivanju značaja negativnog učinka iz članka 6. stavka 2. točke (c) države članice uzimaju u obzir sljedeće kriterije:
(a) |
broj korisnika koji se oslanjaju na ključne usluge koje pruža dotični subjekt; |
(b) |
opseg ovisnosti drugih sektora i podsektora navedenih u Prilogu o dotičnim ključnim uslugama; |
(c) |
stupanj i trajanje učinka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti, na okoliš , javnu zaštitu i sigurnost ili zdravlje stanovništva; |
(d) |
tržišni udio subjekta na tržištu dotične ključne usluge ili ključnih usluga; |
(e) |
zemljopisno područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke, uzimajući u obzir ranjivost povezanu sa stupnjem izolacije određenih vrsta zemljopisnih područja, kao što su otočne regije, udaljene regije ili planinska područja; |
(f) |
važnost subjekta u održavanju dostatne razine ključne usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te ključne usluge. |
2. Nakon utvrđivanja kritičnih subjekata na temelju članka 6. stavka 1. svaka država članica bez nepotrebne odgode Komisiji dostavlja sljedeće informacije:
(a) |
popis ključnih usluga u toj državi članici kada postoje bilo koje dodatne ključne usluge u usporedbi s popisom ključnih usluga iz članka 5. stavka 1.; |
(b) |
broj kritičnih subjekata utvrđenih za svaki sektor i podsektor naveden u Prilogu te za svaku ključnu uslugu; |
(c) |
sve pragove koji se primjenjuju za utvrđivanje jednog ili više kriterija iz stavka 1. |
Pragovi iz prvog podstavka točke (c) mogu biti prikazani u nepromijenjenom ili u agregiranom obliku.
Nakon toga države članice dostavljaju informacije iz prvog podstavka prema potrebi, a najmanje svake četiri godine.
3. Komisija nakon savjetovanja sa Skupinom za otpornost kritičnih subjekata iz članka 19. donosi neobvezujuće smjernice radi olakšavanja primjene kriterija iz stavka 1. ovog članka, uzimajući u obzir informacije iz stavka 2. ovog članka.
Članak 8.
Kritični subjekti u sektorima bankarstva, infrastrukture financijskog tržišta i digitalne infrastrukture
Države članice osiguravaju da se članak 11. i poglavlja III., IV. i VI. ne primjenjuju na kritične subjekte utvrđene u sektorima navedenim u točkama 3., 4. i 8. tablice u Prilogu. Države članice mogu donijeti ili zadržati odredbe nacionalnog prava kako bi postigle veću razinu otpornosti tih kritičnih subjekata, pod uvjetom da su te odredbe u skladu s primjenjivim pravom Unije.
Članak 9.
Nadležna tijela i jedinstvena kontaktna točka
1. Svaka država članica imenuje ili uspostavlja jedno ili više nadležnih tijela odgovornih za pravilnu primjenu i prema potrebi izvršavanje pravila utvrđenih u ovoj Direktivi na nacionalnoj razini.
U pogledu kritičnih subjekata u sektorima iz točaka 3. i 4. tablice u Prilogu ovoj Direktivi, nadležna tijela su u načelu nadležna tijela iz članka 46. Uredbe (EU) 2022/2554. U pogledu kritičnih subjekata u sektoru iz točke 8. tablice u Prilogu ovoj Direktivi, nadležna tijela su u načelu nadležna tijela iz Direktive (EU) 2022/2555. Države članice mogu imenovati drugo nadležno tijelo za sektore iz točaka 3., 4. i 8. tablice u Prilogu ove Direktive u skladu s postojećim nacionalnim okvirima.
Ako države članice imenuju ili uspostavljaju više nadležnih tijela, jasno utvrđuju zadaće svakog od dotičnih tijela i osiguravaju njihovu djelotvornu suradnju u ispunjavanju njihovih zadaća na temelju ove Direktive, među ostalim u pogledu imenovanja i aktivnosti jedinstvene kontaktne točke iz stavka 2.
2. Svaka država članica imenuje ili uspostavlja jednu jedinstvenu kontaktnu točku koja izvršava funkciju povezivanja kako bi se osigurala prekogranična suradnja s jedinstvenim kontaktnim točkama drugih država članica i Skupinom za otpornost kritičnih subjekata iz članka 19. („jedinstvena kontaktna točka”). Prema potrebi, država članica imenuje svoju jedinstvenu kontaktnu točku u okviru nadležnog tijela. Prema potrebi, država članica može predvidjeti da njezina jedinstvena kontaktna točka izvršava i funkciju povezivanja s Komisijom te osigurava suradnju s trećim zemljama.
3. Jedinstvene kontaktne točke do 17. srpnja 2028., a nakon toga svake dvije godine podnose Komisiji i Skupini za otpornost kritičnih subjekata iz članka 19. sažeto izvješće o primljenim obavijestima, uključujući broj obavijesti, prirodu prijavljenih incidenata i mjere poduzete u skladu s člankom 15. stavkom 3.
Komisija u suradnji sa Skupinom za otpornost kritičnih subjekata izrađuje zajednički predložak za izvješćivanje. Nadležna tijela država članica na dobrovoljnoj osnovi mogu upotrebljavati taj zajednički predložak za izvješćivanje za podnošenje sažetih izvješća iz prvog podstavka.
4. Svaka država članica osigurava da njezino nadležno tijelo i jedinstvena kontaktna točka imaju ovlasti i odgovarajuće financijske, ljudske i tehničke resurse za djelotvorno i učinkovito izvršavanje zadaća koje su im dodijeljene.
5. Svaka država članica osigurava da se njezino nadležno tijelo, kada je primjereno te u skladu s pravom Unije i nacionalnim pravom, savjetuje s drugim relevantnim nacionalnim tijelima i surađuje s njima, među ostalim i onima zaduženima za civilnu zaštitu, izvršavanje zakonodavstva i zaštitu osobnih podataka, kao i kritičnim subjektima i relevantnim zainteresiranim stranama .
6. Svaka država članica osigurava da njezino nadležno tijelo na temelju ove Direktive surađuje i razmjenjuje informacije s nadležnim tijelima na temelju Direktive (EU) 2022/2555 po pitanju kibersigurnosnih rizika , kiberprijetnji i kiberincidenata te rizika, prijetnji i incidenata izvan kiberprostora koji utječu na kritične subjekte, uključujući u odnosu na relevantne mjere koje je poduzelo njezino nadležno tijelo i nadležna tijela na temelju Direktive (EU) 2022/2555.
7. Svaka država članica obavješćuje Komisiju u roku od tri mjeseca od imenovanja ili uspostavljanja nadležnog tijela i jedinstvene kontaktne točke o njihovom identitetu i njihovim zadaćama i odgovornostima na temelju ove Direktive, njihovim podacima za kontakt i svim naknadnim promjenama. Ako su države članice odlučile imenovati drugo tijelo osim nadležnih tijela navedenih u stavku 1. drugom podstavku kao nadležna tijela u pogledu kritičnih subjekata u sektorima iz točaka 3., 4. i 8. tablice u Prilogu, o tome obavješćuju Komisiju. Svaka država članica objavljuje identitet svog nadležnog tijela i jedinstvene kontaktne točke.
8. Komisija javno objavljuje popis jedinstvenih kontaktnih točaka.
Članak 10.
Potpora država članica kritičnim subjektima
1. Države članice podupiru kritične subjekte u jačanju njihove otpornosti. Ta potpora može uključivati izradu smjernica i metodologija, potporu pri organiziranju vježbi za testiranje njihove otpornosti te pružanje savjeta i osposobljavanja osoblju kritičnih subjekata. Ne dovodeći u pitanje primjenjiva pravila o državnim potporama, države članice mogu osigurati financijska sredstva kritičnim subjektima ako je to potrebno i opravdano ciljevima od javnog interesa.
2. Svaka država članica osigurava da njezino nadležno tijelo surađuje i razmjenjuje informacije i dobre prakse s kritičnim subjektima u sektorima navedenim u Prilogu.
3. Države članice olakšavaju dobrovoljno dijeljenje informacija među kritičnim subjektima u pogledu pitanja obuhvaćenih ovom Direktivom, u skladu s pravom Unije i nacionalnim pravom, osobito u području klasificiranih i osjetljivih informacija, tržišnog natjecanja i zaštite osobnih podataka.
Članak 11.
Suradnja među državama članicama
1. Države članice kad god je to primjereno međusobno se savjetuju o kritičnim subjektima radi osiguravanja dosljedne primjene ove Direktive. Takva se savjetovanja posebno održavaju u pogledu kritičnih subjekata koji:
(a) |
upotrebljavaju kritičnu infrastrukturu koja je fizički povezana između dviju ili više država članica; |
(b) |
su dio korporativnih struktura povezanih ili u vezi s kritičnim subjektima u drugim državama članicama; |
(c) |
su utvrđeni kao kritični subjekti u jednoj državi članici, a pružaju ključne usluge drugim državama članicama ili u drugim državama članicama. |
2. Cilj je savjetovanja iz stavka 1. ojačati otpornost kritičnih subjekata i, kad je to moguće, smanjiti njihovo administrativno opterećenje.
POGLAVLJE III.
OTPORNOST KRITIČNIH SUBJEKATA
Članak 12.
Procjena rizika koju provode kritični subjekti
1. Neovisno o roku utvrđenom u članku 6. stavku 3. drugom podstavku, države članice osiguravaju da kritični subjekti u roku od devet mjeseci nakon primitka obavijesti iz članka 6. stavka 3. te zatim prema potrebi, a najmanje svake četiri godine, na temelju procjena rizika države članice i drugih relevantnih izvora informacija provode procjenu rizika kako bi procijenili sve relevantne rizike koji bi mogli poremetiti pružanje njihovih ključnih usluga („procjena rizika kritičnog subjekta”).
2. U procjenama rizika kritičnog subjekta uzimaju se u obzir svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici koji bi mogli dovesti do incidenta, uključujući one međusektorske ili prekogranične prirode, nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja te hibridne prijetnje i druge neprijateljske prijetnje, uključujući kaznena djela terorizma kako su predviđena Direktivom (EU) 2017/541. Procjena rizika kritičnog subjekta uzima u obzir opseg u kojem drugi sektori navedeni u Prilogu ovise o ključnoj usluzi koju pruža kritični subjekt i opseg u kojem taj kritični subjekt ovisi o ključnim uslugama koje pružaju drugi subjekti u takvim drugim sektorima, uključujući prema potrebi u susjednim državama članicama i trećim zemljama.
Ako je kritični subjekt proveo druge procjene rizika ili izradio dokumente na temelju obveza utvrđenih u drugim pravnim aktima koji su relevantni za njegovu procjenu rizika kritičnog subjekta, može se koristiti tim procjenama i dokumentima kako bi ispunio zahtjeve utvrđene u ovom članku. Pri izvršavanju svojih nadzornih funkcija nadležno tijelo može proglasiti da je postojeća procjena rizika koju je proveo kritični subjekt i koja se odnosi na rizike i opseg ovisnosti iz prvog podstavka ovog stavka djelomično ili u cijelosti u skladu s obvezama iz ovog članka.
Članak 13.
Mjere za otpornost kritičnih subjekata
1. Države članice osiguravaju da kritični subjekti poduzimaju odgovarajuće i razmjerne tehničke, sigurnosne i organizacijske mjere kako bi se osigurala njihova otpornost, na temelju relevantnih informacija koje su države članice dostavile o procjeni rizika države članice te ishoda procjene rizika kritičnog subjekta, uključujući mjere potrebne za:
(a) |
sprečavanje nastanka incidenata, propisno uzimajući u obzir mjere za smanjenje rizika od katastrofa i mjere za prilagodbu klimatskim promjenama; |
(b) |
osiguravanje odgovarajuće fizičke zaštite njihovih prostora i kritične infrastrukture, propisno uzimajući u obzir, primjerice, ograde, pregrade, alate za nadzor područja i rutinske postupke za nadzor područja, opremu za otkrivanje i kontrolu pristupa; |
(c) |
odgovaranje na posljedice incidenata, odupiranje njima i njihovo ublažavanje, propisno uzimajući u obzir provedbu postupaka i protokola za upravljanje rizicima i kriznim situacijama te rutinske postupke upozoravanja; |
(d) |
oporavak od incidenata, propisno uzimajući u obzir mjere za kontinuitet poslovanja i utvrđivanje alternativnih lanaca opskrbe kako bi se nastavilo s pružanjem ključne usluge; |
(e) |
osiguravanje odgovarajućeg upravljanja sigurnošću zaposlenika, propisno uzimajući u obzir mjere kao što su utvrđivanje kategorija osoblja koje obavlja kritične funkcije, utvrđivanje prava na pristup prostorima, kritičnoj infrastrukturi i osjetljivim informacijama, uspostavljanje postupaka za provjere podobnosti u skladu s člankom 14. i određivanje kategorija osoba koje moraju proći te provjere podobnosti te utvrđivanje odgovarajućih kvalifikacija i zahtjeva u pogledu osposobljavanja; |
(f) |
informiranje relevantnog osoblja o mjerama navedenima u točkama od (a) do (e), propisno uzimajući u obzir tečajeve osposobljavanja, informativne materijale i vježbe. |
Za potrebe prvog podstavka točke (e), države članice osiguravaju da kritični subjekti uzimaju u obzir osoblje vanjskih pružatelja usluga pri utvrđivanju kategorija osoblja koje obavlja kritične funkcije.
2. Države članice osiguravaju da kritični subjekti imaju uspostavljen plan za otpornost ili jednakovrijedan dokument ili dokumente u kojima se opisuju mjere poduzete na temelju stavka 1. te da ih primjenjuju. Ako su kritični subjekti izradili dokumente ili poduzeli mjere na temelju obveza iz drugih pravnih akata koji su relevantni za mjere iz stavka 1., mogu se koristiti tim dokumentima i mjerama kako bi ispunili zahtjeve iz ovog članka. Pri izvršavanju svojih nadzornih funkcija nadležno tijelo može proglasiti da su postojeće mjere za jačanje otpornosti koje je poduzeo kritični subjekt i koje se na odgovarajući i razmjeran način odnose na tehničke, sigurnosne i organizacijske mjere iz stavka 1. djelomično ili u cijelosti u skladu s obvezama iz ovog članka.
3. Države članice osiguravaju da svaki kritični subjekt imenuje časnika za vezu ili ekvivalentnu osobu kao točku za kontakt s nadležnim tijelima.
4. Na zahtjev države članice koja je utvrdila kritični subjekt i uz suglasnost dotičnog kritičnog subjekta Komisija u skladu s aranžmanima utvrđenima u članku 18. stavcima 6., 8. i 9. organizira savjetodavne misije u svrhu savjetovanja dotičnog kritičnog subjekta u ispunjavanju njegovih obveza na temelju poglavlja III. Nalazi savjetodavne misije dostavljaju se Komisiji, toj državi članici i dotičnom kritičnom subjektu.
5. Komisija nakon savjetovanja sa Skupinom za otpornost kritičnih subjekata iz članka 19. donosi neobvezujuće smjernice u kojima se dodatno određuju tehničke, sigurnosne i organizacijske mjere koje se mogu poduzeti na temelju stavka 1. ovog članka.
6. Komisija donosi provedbene akte radi utvrđivanja potrebnih tehničkih i metodoloških specifikacija koje se odnose na primjenu mjera iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 24. stavka 2.
Članak 14.
Provjere podobnosti
1. Države članice utvrđuju uvjete u skladu s kojima je kritičnim subjektima dopušteno, u propisno obrazloženim slučajevima i uzimajući u obzir procjenu rizika države članice, podnijeti zahtjeve za provjeru podobnosti osoba koje :
(a) |
imaju osjetljive funkcije u kritičnom subjektu ili u njegovu korist, posebno u vezi s otpornošću kritičnog subjekta; |
(b) |
imaju ovlaštenje za izravan ili daljinski pristup njegovim prostorima, informacijskim ili kontrolnim sustavima, među ostalim u vezi sa sigurnošću kritičnog subjekta; |
(c) |
razmatraju se za zapošljavanje na položaje koji su obuhvaćeni kriterijima navedenima u točkama (a) ili (b). |
2. Zahtjevi iz stavka 1. ovog članka ocjenjuju se u razumnom roku i obrađuju se u skladu s nacionalnim pravom i postupcima te relevantnim i primjenjivim pravom Unije, uključujući Uredbu (EU) 2016/679 i Direktivu (EU) 2016/680 Europskog parlamenta i Vijeća (37). Provjere podobnosti razmjerne su i strogo ograničene na ono što je nužno. Provode se isključivo u svrhu evaluacije potencijalnog sigurnosnog rizika za dotični kritični subjekt.
3. Provjerom podobnosti iz stavka 1. se barem:
(a) |
potvrđuje identitet osobe za koju se provodi provjera podobnosti ; |
(b) |
provjerava kaznena evidencija te osobe u pogledu kažnjivih djela koja bi bila relevantna za određeno radno mjesto. |
Prilikom provođenja provjera podobnosti države članice se služe Europskim informacijskim sustavom kaznene evidencije u skladu s postupcima utvrđenima u Okvirnoj odluci 2009/315/PUP i, prema potrebi i ako je primjenjivo, u Uredbi (EU) 2019/816 za potrebe dobivanja podataka iz kaznenih evidencija drugih država članica. Središnja tijela iz članka 3. stavka 1. Okvirne odluke 2009/315/PUP i članka 3. točke 5. Uredbe (EU) 2019/816 dostavljaju odgovore na zahtjeve za takve podatke u roku od deset radnih dana od datuma primitka zahtjeva u skladu s člankom 8. stavkom 1. Okvirne odluke 2009/315/PUP.
Članak 15.
Obavješćivanje o incidentima
1. Države članice osiguravaju da kritični subjekti bez nepotrebne odgode obavijeste nadležno tijelo o incidentima koji znatno poremete ili mogu znatno poremetiti pružanje ključnih usluga. Osim ako to operativno nije moguće izvesti, države članice osiguravaju da kritični subjekti dostavljaju prvu obavijest najkasnije u roku od 24 sata od saznanja za incident, a zatim prema potrebi podnose detaljno izvješće najkasnije mjesec dana nakon toga. Kako bi se utvrdio značaj poremećaja, posebno se uzimaju u obzir sljedeći parametri:
(a) |
broj i udio korisnika na koje poremećaj utječe; |
(b) |
trajanje poremećaja; |
(c) |
zemljopisno područje pogođeno poremećajem, uzimajući u obzir moguću zemljopisnu izoliranost područja. |
Ako incident ima ili bi mogao imati znatan učinak na kontinuitet pružanja ključnih usluga za šest ili više država članica ili u njima, nadležna tijela država članica na koje incident utječe obavješćuju Komisiju o tom incidentu.
2. Obavijesti iz prvog podstavka stavka 1. uključuju sve dostupne informacije koje su potrebne kako bi nadležno tijelo moglo razumjeti prirodu, uzrok i moguće posljedice incidenta, među ostalim sve dostupne informacije koje su potrebne za utvrđivanje svih prekograničnih učinaka incidenta. Zbog takvih obavijesti kritični subjekti neće podlijegati povećanoj odgovornosti.
3. Na temelju informacija koje je kritični subjekt dostavio u obavijesti iz stavka 1., relevantno nadležno tijelo putem jedinstvene kontaktne točke obavješćuje jedinstvenu kontaktnu točku drugih pogođenih država članica ako incident ima ili može imati znatan utjecaj na kritične subjekte i kontinuitet pružanja ključnih usluga jednoj ili više drugih država članica ili u jednoj ili u više drugih država članica.
Jedinstvene kontaktne točke koje šalju i primaju informacije na temelju prvog podstavka, postupaju, u skladu s pravom Unije ili nacionalnim pravom, s tim informacijama na način kojim se poštuje njihova povjerljivost i štiti sigurnost i komercijalni interes dotičnog kritičnog subjekta.
4. U najkraćem roku nakon primitka obavijesti iz stavka 1., dotično nadležno tijelo dostavlja dotičnom kritičnom subjektu relevantne informacije koje se odnose na daljnje postupanje, uključujući informacije kojima bi se mogao poduprijeti djelotvoran odgovor tog kritičnog subjekta na dotični incident. Države članice obavješćuju javnost ako utvrde da bi to bilo u javnom interesu.
Članak 16.
Norme
Države članice u cilju promicanja usklađene provedbe ove Direktive, ako je to korisno i bez nametanja ili diskriminacije u korist upotrebe određene vrste tehnologije, potiču primjenu europskih i međunarodnih normi i tehničkih specifikacija relevantnih za mjere sigurnosti i mjere otpornosti primjenjive na kritične subjekte.
POGLAVLJE IV.
KRITIČNI SUBJEKTI OD POSEBNOG EUROPSKOG ZNAČAJA
Članak 17.
Utvrđivanje kritičnih subjekata od posebnog europskog značaja
1. Subjekt se smatra kritičnim subjektom od posebnog europskog značaja:
(a) |
ako je utvrđen kao kritični subjekt na temelju članka 6. stavka 1.; |
(b) |
ako pruža iste ili slične ključne usluge za šest ili više država članica ili u njima; i |
(c) |
ako je obaviješten na temelju stavka 3. ovog članka . |
2. Države članice osiguravaju da kritični subjekt, nakon obavijesti iz članka 6. stavka 3., obavijesti svoje nadležno tijelo kada pruža ključne usluge za šest ili više država članica ili u njima. U takvom slučaju, države članice osiguravaju da kritični subjekt obavijesti svoje nadležno tijelo o ključnim uslugama koje pruža za ili u takvim državama članicama te za koje države članice odnosno u kojim državama članicama pruža takve ključne usluge. Države članice bez nepotrebne odgode obavješćuju Komisiju o identitetu takvih kritičnih subjekata i o informacijama koje oni pružaju na temelju ovog stavka.
Komisija se savjetuje s nadležnim tijelom države članice koja je utvrdila kritični subjekt iz prvog podstavka, nadležnim tijelima drugih dotičnih država članica te s dotičnim kritičnim subjektom. Tijekom tih savjetovanja svaka država članica obavješćuje Komisiju kada smatra da su usluge koje toj državi članici pruža kritični subjekt ključne usluge.
3. Ako Komisija na temelju savjetovanja iz stavka 2. ovog članka utvrdi da dotični kritični subjekt pruža ključne usluge za šest ili više država članica ili u njima, Komisija obavješćuje taj kritični subjekt, putem njegova nadležnog tijela, da se on smatra kritičnim subjektom od posebnog europskog značaja te obavješćuje taj kritični subjekt o njegovim obvezama na temelju ovog poglavlja te o datumu od kojeg se na njega primjenjuju te obveze. Nakon što Komisija obavijesti nadležno tijelo o svojoj odluci da određeni kritični subjekt smatra kritičnim subjektom od posebnog europskog značaja, nadležno tijelo bez nepotrebne odgode prosljeđuje tu obavijest tom kritičnom subjektu.
4. Ovo poglavlje primjenjuje se na kritični subjekt od posebnog europskog značaja od datuma primitka obavijesti iz stavka 3. ovog članka.
Članak 18.
Savjetodavne misije
1. Na zahtjev države članice koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt na temelju članka 6. stavka 1., Komisija organizira savjetodavnu misiju za procjenu mjera koje je taj kritični subjekt uspostavio kako bi ispunio svoje obveze iz poglavlja III.
2. Na vlastitu inicijativu ili na zahtjev jedne ili više država članica kojima se pruža ili u kojima se pruža ključna usluga i pod uvjetom da se država članica koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt na temelju članka 6. stavka 1. s time suglasi, Komisija organizira savjetodavnu misiju iz stavka 1. ovog članka.
3. Na obrazloženi zahtjev Komisije ili jedne ili više država članica kojima se pruža ili u kojima se pruža ključna usluga, država članica koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt na temelju članka 6. stavka 1. Komisiji dostavlja sljedeće :
(a) |
relevantne dijelove procjene rizika kritičnog subjekta; |
(b) |
popis relevantnih mjera poduzetih u skladu s člankom 13.; |
(c) |
nadzorne ili mjere izvršavanja, uključujući procjene usklađenosti ili izdane naloge, koje je njezino nadležno tijelo poduzelo na temelju članaka 21. i 22. u pogledu tog kritičnog subjekta. |
4. Nalazi savjetodavne misije dostavljaju se Komisiji, državi članici koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt na temelju članka 6. stavka 1., državama članicama kojima se pruža ili u kojima se pruža ključna usluga i dotičnom kritičnom subjektu u roku od tri mjeseca nakon zaključenja savjetodavne misije.
Države članice kojima se pruža ili u kojima se pruža ključna usluga analiziraju izvješće iz prvog podstavka i ako je potrebno savjetuju Komisiju o tome ispunjava li dotični kritični subjekt od posebnog europskog značaja svoje obveze iz poglavlja III. i, prema potrebi, koje bi se mjere mogle poduzeti radi poboljšanja otpornosti tog kritičnog subjekta.
Komisija, na temelju savjeta iz drugog podstavka ovog stavka, državi članici koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt na temelju članka 6. stavka 1., državama članicama kojima se pruža ili u kojima se pruža ključna usluga i tom kritičnom subjektu dostavlja svoje mišljenje o tome ispunjava li taj kritični subjekt svoje obveze iz poglavlja III. i, prema potrebi, koje bi se mjere mogle poduzeti radi poboljšanja otpornosti tog kritičnog subjekta.
Država članica koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt na temelju članka 6. stavka 1. osigurava da njezino nadležno tijelo i dotični kritični subjekt uzmu u obzir mišljenje iz trećeg podstavka ovog stavka te Komisiji i državama članicama kojima se pruža ili u kojima se pruža ključna usluga pruža informacije o mjerama koje je ona poduzela na temelju tog mišljenja.
5. Svaka savjetodavna misija sastoji se od stručnjaka iz države članice u kojoj se nalazi kritični subjekt od posebnog europskog značaja, stručnjaka iz država članica kojima se pruža ili u kojima se pruža ključna usluga te predstavnika Komisije. Te države članice mogu predložiti kandidate za sudjelovanje u savjetodavnoj misiji. Komisija, nakon savjetovanja s državom članicom koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt na temelju članka 6. stavka 1., odabire i imenuje članove svake savjetodavne misije u skladu s njihovim stručnim sposobnostima te osigurava, ako je to moguće, zemljopisno uravnoteženu zastupljenost iz svih tih država članica. Kada god je to potrebno, članovi savjetodavne misije moraju imati valjano i odgovarajuće uvjerenje o sigurnosnoj provjeri. Komisija snosi troškove sudjelovanja u savjetodavnim misijama.
Komisija organizira program svake savjetodavne misije uz savjetovanje s članovima dotične savjetodavne misije i u dogovoru s državom članicom koja je utvrdila kritični subjekt od posebnog europskog značaja kao kritični subjekt na temelju članka 6. stavka 1.
6. Komisija donosi provedbeni akt kojim se utvrđuju pravila o postupovnim aranžmanima za zahtjeve za organiziranje savjetodavnih misija, za obradu takvih zahtjeva, za provođenje savjetodavnih misija i izvješćivanje o njima te za postupanje u vezi s dostavljanjem mišljenja Komisije iz stavka 4. trećeg podstavka ovog članka i poduzetih mjera, propisno uzimajući u obzir povjerljivost i komercijalnu osjetljivost dotičnih informacija. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 24. stavka 2.
7. Države članice osiguravaju da kritični subjekti od posebnog europskog značaja omoguće savjetodavnim misijama pristup informacijama, sustavima i objektima povezanima s pružanjem njihovih ključnih usluga potrebnim za provedbu dotične savjetodavne misije.
8. Savjetodavne misije provode se u skladu s primjenjivim nacionalnim pravom države članice u kojoj se provode, poštujući odgovornost te države članice za nacionalnu sigurnost i zaštitu njezinih sigurnosnih interesa.
9. Pri organizaciji savjetodavnih misija Komisija uzima u obzir izvješća o svim inspekcijama koje je provela u skladu s Uredbom (EZ) br. 725/2004 i Uredbom (EZ) br. 300/2008 i izvješća o svim praćenjima koja je provela na temelju Direktive 2005/65/EZ u pogledu dotičnog kritičnog subjekta.
10. Komisija obavješćuje Skupinu za otpornost kritičnih subjekata iz članka 19. kad god se organizira savjetodavna misija. Država članica u kojoj je provedena savjetodavna misija i Komisija također obavješćuju Skupinu za otpornost kritičnih subjekata o glavnim nalazima savjetodavne misije i stečenim iskustvima s ciljem promicanja uzajamnog učenja.
POGLAVLJE V.
SURADNJA I IZVJEŠĆIVANJE
Članak 19.
Skupina za otpornost kritičnih subjekata
1. Uspostavlja se Skupina za otpornost kritičnih subjekata. Skupina za otpornost kritičnih subjekata podupire Komisiju i olakšava suradnju među državama članicama i razmjenu informacija o pitanjima koja se odnose na ovu Direktivu.
2. Skupinu za otpornost kritičnih subjekata čine predstavnici država članica i Komisije koji prema potrebi imaju uvjerenje o sigurnosnoj provjeri. Ako je to relevantno za obavljanje njezinih zadaća, Skupina za otpornost kritičnih subjekata može pozvati relevantne dionike da sudjeluju u njezinu radu. Ako Europski parlament to zatraži, Komisija može pozvati stručnjake iz Europskog parlamenta da prisustvuju sastancima Skupine za otpornost kritičnih subjekata.
Skupinom za otpornost kritičnih subjekata predsjeda predstavnik Komisije.
3. Zadaće Skupine za otpornost kritičnih subjekata su sljedeće:
(a) |
podupiranje Komisije pri pružanju pomoći državama članicama u jačanju njihove sposobnosti da doprinesu osiguravanju otpornosti kritičnih subjekata u skladu s ovom Direktivom; |
(b) |
analiza strategija radi utvrđivanja najboljih praksi u pogledu strategija; |
(c) |
olakšavanje razmjene najboljih praksi u pogledu utvrđivanja kritičnih subjekata koje provode države članice na temelju članka 6. stavka 1., među ostalim u vezi s prekograničnim i međusektorskim ovisnostima te rizicima i incidentima; |
(d) |
prema potrebi, doprinos dokumentima koji se odnose na otpornost na razini Unije u vezi s pitanjima povezanima s ovom Direktivom; |
(e) |
doprinos pripremi smjernica iz članka 7. stavka 3. i članka 13. stavka 5. i, na zahtjev, svih delegiranih ili provedbenih akata donesenih na temelju ove Direktive ; |
(f) |
analiza sažetih izvješća iz članka 9. stavka 3. s ciljem promicanja dijeljenja najbolje prakse o mjerama poduzetima u skladu s člankom 15. stavkom 3.; |
(g) |
razmjena najboljih praksi u vezi s obavješćivanjem o incidentima iz članka 15.; |
(h) |
rasprava o sažetim izvješćima savjetodavnih misija i stečenim iskustvima u skladu s člankom 18. stavkom 10.; |
(i) |
razmjena informacija i najboljih praksi u pogledu inovacija, istraživanja i razvoja u vezi s otpornosti kritičnih subjekata u skladu s ovom Direktivom; |
(j) |
prema potrebi, razmjena informacija o pitanjima povezanima s otpornošću kritičnih subjekata s relevantnim institucijama, tijelima, uredima i agencijama Unije. |
4. Skupina za otpornost kritičnih subjekata do 17. siječnja 2025., a nakon toga svake dvije godine sastavlja program rada u pogledu mjera koje će trebati poduzeti radi provedbe svojih ciljeva i zadaća. Taj program rada u skladu je sa zahtjevima i ciljevima ove Direktive.
5. Skupina za otpornost kritičnih subjekata sastaje se redovito, a u svakom slučaju najmanje jednom godišnje, sa Skupinom za suradnju osnovanom na temelju Direktive (EU) 2022/2555 radi promicanja i olakšavanja suradnje i razmjene informacija.
6. Komisija može donijeti provedbene akte kojima se utvrđuju postupovni aranžmani potrebni za funkcioniranje Skupine za otpornost kritičnih subjekata, poštujući članak 1. stavak 4. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 24. stavka 2.
7. Komisija dostavlja Skupini za otpornost kritičnih subjekata sažeto izvješće o informacijama koje su dostavile države članice na temelju članka 4. stavka 3. i članka 5. stavka 4. do 17. siječnja 2027. te zatim prema potrebi, a najmanje svake četiri godine.
Članak 20.
Potpora Komisije nadležnim tijelima i kritičnim subjektima
1. Komisija prema potrebi podupire države članice i kritične subjekte u ispunjavanju njihovih obveza iz ove Direktive . Komisija priprema pregled, na razini Unije, prekograničnih i međusektorskih rizika za pružanje ključnih usluga, organizira savjetodavne misije iz članka 13. stavka 4. i članka 18. te olakšava razmjenu informacija među državama članicama i stručnjacima širom Unije.
2. Komisija dopunjuje aktivnosti država članica iz članka 10. razvojem najboljih praksi, smjernica i metodologija i prekograničnih aktivnosti osposobljavanja i vježbi za testiranje otpornosti kritičnih subjekata.
3. Komisija obavješćuje države članice o financijskim sredstvima koja su na razini Unije dostupna državama članicama za jačanje otpornosti kritičnih subjekata.
POGLAVLJE VI.
NADZOR I IZVRŠAVANJE
Članak 21.
Nadzor i izvršavanje
1. Kako bi se procijenila usklađenost subjekata koje su države članice utvrdile kao kritične subjekte na temelju članka 6. stavka 1. s obvezama utvrđenim u ovoj Direktivi, države članice osiguravaju da nadležna tijela imaju ovlasti i sredstva za:
(a) |
provođenje inspekcija kritične infrastrukture i prostora koje kritični subjekti upotrebljavaju za pružanje svojih ključnih usluga na lokaciji te provođenje neizravnog nadzora mjera koje poduzimaju kritični subjekti u skladu s člankom 13.; |
(b) |
provođenje ili izdavanje naloga za reviziju u pogledu kritičnih subjekata. |
2. Države članice osiguravaju da nadležna tijela imaju ovlasti i sredstva zahtijevati, ako je to potrebno za obavljanje njihovih zadaća na temelju ove Direktive, da subjekti na temelju Direktive (EU) 2022/2555 koje su države članice utvrdile kao kritične subjekte na temelju ove Direktive, u razumnom roku koji odrede ta tijela dostave:
(a) |
informacije potrebne za procjenu ispunjavaju li mjere koje su ti subjekti poduzeli kako bi osigurali svoju otpornost zahtjeve utvrđene u članku 13.; |
(b) |
dokaze o djelotvornoj provedbi tih mjera, uključujući rezultate revizije koju provodi neovisni i kvalificirani revizor kojeg odabire taj subjekt i koja se provodi o njegovu trošku. |
Pri traženju tih informacija nadležna tijela navode svrhu zahtjeva i informacije koje su potrebne.
3. Ne dovodeći u pitanje mogućnost izricanja sankcija u skladu s člankom 22., nadležna tijela mogu, nakon provođenja nadzornih mjera iz stavka 1. ovog članka ili procjene informacija iz stavka 2. ovog članka, naložiti dotičnim kritičnim subjektima da u razumnom roku koji odrede ta tijela poduzmu potrebne i razmjerne mjere za otklanjanje svake utvrđene povrede ove Direktive te da dostave tim tijelima informacije o poduzetim mjerama. U tim se nalozima posebice uzima u obzir ozbiljnost povrede.
4. Država članica osigurava da se ovlasti iz stavaka 1., 2. i 3. mogu izvršavati samo uz primjenu odgovarajućih zaštitnih mjera. Te zaštitne mjere posebice jamče da se takvo izvršavanje odvija na objektivan, transparentan i razmjeran način te da su prava i legitimni interesi pogođenih kritičnih subjekata, kao što su zaštita trgovačkih i poslovnih tajni, propisno zaštićeni, uključujući njihovo pravo na saslušanje, pravo na obranu i pravo na djelotvoran pravni lijek pred neovisnim sudom.
5. Države članice osiguravaju da, ako nadležno tijelo na temelju ove Direktive ocijeni usklađenost kritičnog subjekta na temelju ovog članka, to nadležno tijelo o tome obavijesti nadležna tijela dotičnih država članica prema Direktivi (EU) 2022/2555 U tu svrhu države članice osiguravaju da nadležna tijela na temelju ove Direktive mogu zatražiti od nadležnih tijela na temelju Direktive (EU) 2022/2555 da izvršavaju svoje nadzorne ovlasti i ovlasti izvršavanja u odnosu na ključni subjekt na temelju te direktive koji je utvrđen kao kritični subjekt na temelju ove Direktive. U tu svrhu države članice osiguravaju da nadležna tijela na temelju ove Direktive surađuju i razmjenjuju informacije s nadležnim tijelima na temelju Direktive (EU) 2022/2555.
Članak 22.
Sankcije
Države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja nacionalnih mjera donesenih na temelju ove Direktive i poduzimaju sve potrebne mjere radi osiguranja njihove provedbe. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće. Države članice do 17. listopada 2024. obavješćuju Komisiju o tim pravilima i tim mjerama te je bez odgode obavješćuju o svim naknadnim izmjenama koje na njih utječu.
POGLAVLJE VII.
DELEGIRANI I PROVEDBENI AKTI
Članak 23.
Izvršavanje delegiranja ovlasti
1. Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.
2. Ovlast za donošenje delegiranih akata iz članka 5. stavka 1. dodjeljuje se Komisiji na razdoblje od pet godina počevši od 16. siječnja 2023.
3. Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 5. stavka 1. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.
4. Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.
5. Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.
6. Delegirani akt donesen na temelju članka 5. stavka 1. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.
Članak 24.
Postupak odbora
1. Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.
2. Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.
POGLAVLJE VIII.
ZAVRŠNE ODREDBE
Članak 25.
Izvješćivanje i preispitivanje
Komisija do 17. srpnja 2027. Europskom parlamentu i Vijeću podnosi izvješće u kojem se procjenjuje u kojoj je mjeri svaka država članica poduzela potrebne mjere za usklađivanje s ovom Direktivom.
Komisija periodično preispituje funkcioniranje ove Direktive i izvješćuje Europski parlament i Vijeće. U tom izvješću se posebno procjenjuje dodana vrijednost ove Direktive, njezin učinak na osiguravanje otpornosti kritičnih subjekata te je li potrebno izmijeniti Prilog ovoj Direktivi. Komisija podnosi prvo takvo izvješće do 17. lipnja 2029. U svrhu izvješćivanja na temelju ovog članka Komisija uzima u obzir relevantne dokumente Skupine za otpornost kritičnih subjekata.
Članak 26.
Prenošenje
1. Države članice do 17. listopada 2024. donose i objavljuju mjere koje su potrebne radi usklađivanja s ovom Direktivom. One o tome odmah obavješćuju Komisiju.
One primjenjuju te mjere od 18. listopada 2024.
2. Kada države članice donose mjere iz stavka 1., one sadržavaju upućivanje na ovu Direktivu ili se na nju upućuje prilikom njihove službene objave. Države članice određuju načine tog upućivanja.
Članak 27.
Stavljanje izvan snage Direktive 2008/114/EZ
Direktiva 2008/114/EZ stavlja se izvan snage s učinkom od 18. listopada 2024.
Upućivanja na direktivu stavljenu izvan snage smatraju se upućivanjima na ovu Direktivu.
Članak 28.
Stupanje na snagu
Ova Direktiva stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Članak 29.
Adresati
Ova je Direktiva upućena državama članicama.
Sastavljeno u Strasbourgu 14. prosinca 2022.
Za Europski parlament
Predsjednica
R. METSOLA
Za Vijeće
Predsjednik
M. BEK
(1) SL C 286, 16.7.2021., str. 170.
(2) SL C 440, 29.10.2021., str. 99.
(3) Stajalište Europskog parlamenta od 22. studenoga 2022. (još nije objavljeno u Službenom listu) i odluka Vijeća od 8. prosinca 2022.
(4) Direktiva Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (SL L 345, 23.12.2008., str. 75.).
(5) Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (vidjeti stranicu 80. ovoga Službenog lista).
(6) Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016., str. 1.).
(7) Uredba (EU) 2019/452 Europskog parlamenta i Vijeća od 19. ožujka 2019. o uspostavi okvira za provjeru izravnih stranih ulaganja u Uniji (SL L 79I, 21.3.2019., str. 1.).
(8) Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjoj drugoj ugovornoj strani i trgovinskom repozitoriju (SL L 201, 27.7.2012., str. 1.).
(9) Uredba (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i o izmjeni Uredbe (EU) br. 648/2012 (SL L 176, 27.6.2013., str. 1.).
(10) Uredba (EU) br. 600/2014 Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištima financijskih instrumenata i izmjeni Uredbe (EU) br. 648/2012 (SL L 173, 12.6.2014., str. 84.).
(11) Direktiva 2013/36/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. o pristupanju djelatnosti kreditnih institucija i bonitetnom nadzoru nad kreditnim institucijama i investicijskim društvima, izmjeni Direktive 2002/87/EZ te stavljanju izvan snage direktiva 2006/48/EZ i 2006/49/EZ (SL L 176, 27.6.2013., str. 338.).
(12) Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (SL L 173, 12.6.2014., str. 349.).
(13) Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i o izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (vidjeti stranicu 1. ovoga Službenog lista).
(14) Uredba (EZ) br. 725/2004 Europskog parlamenta i Vijeća od 31. ožujka 2004. o jačanju sigurnosne zaštite brodova i luka (SL L 129, 29.4.2004., str. 6.).
(15) Uredba (EZ) br. 300/2008 Europskog parlamenta i Vijeća od 11. ožujka 2008. o zajedničkim pravilima u području zaštite civilnog zračnog prometa i stavljanju izvan snage Uredbe (EZ) br. 2320/2002 (SL L 97, 9.4.2008., str. 72.).
(16) Direktiva 2005/65/EZ Europskog parlamenta i Vijeća od 26. listopada 2005. o jačanju sigurnosne zaštite luka (SL L 310, 25.11.2005., str. 28.).
(17) Direktiva 2008/96/EZ Europskog parlamenta i Vijeća od 19. studenoga 2008. o upravljanju sigurnošću cestovne infrastrukture (SL L 319, 29.11.2008., str. 59.).
(18) Odluka Komisije od 29. lipnja 2018. o uspostavi Platforme za sigurnost putnika u željezničkom prometu u EU-u 2018/C 232/03 (SL C 232, 3.7.2018., str. 10.).
(19) Okvirna odluka Vijeća 2009/315/PUP od 26. veljače 2009. o organizaciji i sadržaju razmjene podataka iz kaznene evidencije između država članica (SL L 93, 7.4.2009., str. 23.).
(20) Uredba (EU) 2019/816 Europskog parlamenta i Vijeća od 17. travnja 2019. o uspostavi centraliziranog sustava za utvrđivanje država članica koje imaju podatke o osuđujućim presudama protiv državljana trećih zemalja i osoba bez državljanstva (sustav ECRIS-TCN) za dopunu Europskog informacijskog sustava kaznene evidencije te o izmjeni Uredbe (EU) 2018/1726 (SL L 135, 22.5.2019., str. 1.).
(21) Uredba (EU) 2018/1862 Europskog parlamenta i Vijeća od 28. studenoga 2018. o uspostavi, radu i upotrebi Schengenskog informacijskog sustava (SIS) u području policijske suradnje i pravosudne suradnje u kaznenim stvarima, izmjeni i stavljanju izvan snage Odluke Vijeća 2007/533/PUP i stavljanju izvan snage Uredbe (EZ) br. 1986/2006 Europskog parlamenta i Vijeća i Odluke Komisije 2010/261/EU (SL L 312, 7.12.2018., str. 56.).
(22) Odluka br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20.12.2013., str. 924.).
(23) Uredba (EU) 2021/1149 Europskog parlamenta i Vijeća od 7. srpnja 2021. o uspostavi Fonda za unutarnju sigurnost (SL L 251, 15.7.2021., str. 94.).
(24) Uredba (EU) 2021/695 Europskog parlamenta i Vijeća od 28. travnja 2021. o uspostavi Okvirnog programa za istraživanja i inovacije Obzor Europa, o utvrđivanju pravila za sudjelovanje i širenje rezultata te o stavljanju izvan snage uredbi (EU) br. 1290/2013 i (EU) br. 1291/2013 (SL L 170, 12.5.2021., str. 1.).
(25) SL L 123, 12.5.2016., str. 1.
(26) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).
(27) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).
(28) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).
(29) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).
(30) Uredba (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012. o europskoj normizaciji, o izmjeni direktiva Vijeća 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (SL L 316, 14.11.2012., str. 12.).
(31) Preporuka Komisije 2003/361/EZ od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (SL L 124, 20.5.2003., str. 36.).
(32) Direktiva (EU) 2017/541 Europskog parlamenta i Vijeća od 15. ožujka 2017. o suzbijanju terorizma i zamjeni Okvirne odluke Vijeća 2002/475/PUP i o izmjeni Odluke Vijeća 2005/671/PUP (SL L 88, 31.3.2017., str. 6.).
(33) Uredba (EU) 2017/1938 Europskog parlamenta i Vijeća od 25. listopada 2017. o mjerama zaštite sigurnosti opskrbe plinom i stavljanju izvan snage Uredbe (EU) br. 994/2010 (SL L 280, 28.10.2017., str. 1.).
(34) Uredba (EU) 2019/941 Europskog parlamenta i Vijeća od 5. lipnja 2019. o pripravnosti na rizike u sektoru električne energije i stavljanju izvan snage Direktive 2005/89/EZ (SL L 158, 14.6.2019., str. 1.).
(35) Direktiva 2007/60/EZ Europskog parlamenta i Vijeća od 23. listopada 2007. o procjeni i upravljanju rizicima od poplava (SL L 288, 6.11.2007., str. 27.).
(36) Direktiva 2012/18/EU Europskog parlamenta i Vijeća od 4. srpnja 2012. o kontroli opasnosti od velikih nesreća koje uključuju opasne tvari, o izmjeni i kasnijem stavljanju izvan snage Direktive Vijeća 96/82/EZ (SL L 197, 24.7.2012., str. 1.).
(37) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).
PRILOG
SEKTORI, PODSEKTORI I KATEGORIJE SUBJEKATA
Sektori |
Podsektori |
Kategorije subjekata |
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|||||||
|
|
|||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
(1) Direktiva (EU) 2019/944 Europskog parlamenta i Vijeća od 5. lipnja 2019. o zajedničkim pravilima za unutarnje tržište električne energije i izmjeni Direktive 2012/27/EU (SL L 158, 14.6.2019., str. 125.).
(2) Uredba (EU) 2019/943 Europskog parlamenta i Vijeća od 5. lipnja 2019. o unutarnjem tržištu električne energije (SL L 158, 14.6.2019., str. 54.).
(3) Direktiva (EU) 2018/2001 Europskog parlamenta i Vijeća od 11. prosinca 2018. o promicanju uporabe energije iz obnovljivih izvora (SL L 328, 21.12.2018., str. 82.).
(4) Direktiva Vijeća 2009/119/EZ od 14. rujna 2009. o obvezi država članica da održavaju minimalne zalihe sirove nafte i/ili naftnih derivata (SL L 265, 9.10.2009., str. 9.).
(5) Direktiva 2009/73/EZ Europskog parlamenta i Vijeća od 13. srpnja 2009. o zajedničkim pravilima za unutarnje tržište prirodnog plina i stavljanju izvan snage Direktive 2003/55/EZ (SL L 211, 14.8.2009., str. 94.).
(6) Direktiva 2009/12/EZ Europskog parlamenta i Vijeća od 11. ožujka 2009. o naknadama zračnih luka (SL L 70, 14.3.2009., str. 11.).
(7) Uredba (EU) br. 1315/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o smjernicama Unije za razvoj transeuropske prometne mreže i stavljanju izvan snage Odluke br. 661/2010/EU (SL L 348, 20.12.2013., str. 1.).
(8) Uredba (EZ) br. 549/2004 Europskog parlamenta i Vijeća od 10. ožujka 2004. o utvrđivanju okvira za stvaranje jedinstvenog europskog neba (Okvirna uredba) (SL L 96, 31.3.2004., str. 1.).
(9) Direktiva 2012/34/EU Europskog parlamenta i Vijeća od 21. studenoga 2012. o uspostavi jedinstvenog Europskog željezničkog prostora (SL L 343, 14.12.2012., str. 32.).
(10) Direktiva 2002/59/EZ Europskog parlamenta i Vijeća od 27. lipnja 2002. o uspostavi sustava nadzora plovidbe i informacijskog sustava Zajednice i stavljanju izvan snage Direktive Vijeća 93/75/EEZ (SL L 208, 5.8.2002., str. 10.).
(11) Delegirana uredba Komisije (EU) 2015/962 od 18. prosinca 2014. o dopuni Direktive 2010/40/EU Europskog parlamenta i Vijeća u pogledu pružanja usluga prometnih informacija u cijeloj Europskoj uniji u realnom vremenu (SL L 157, 23.6.2015., str. 21.).
(12) Direktiva 2010/40/EU Europskog parlamenta i Vijeća od 7. srpnja 2010. o okviru za uvođenje inteligentnih prometnih sustava u cestovnom prometu i za veze s ostalim vrstama prijevoza (SL L 207, 6.8.2010., str. 1.).
(13) Uredba (EZ) br. 1370/2007 Europskog parlamenta i Vijeća od 23. listopada 2007. o uslugama javnog željezničkog i cestovnog prijevoza putnika i stavljanju izvan snage uredaba Vijeća (EEZ) br. 1191/69 i (EEZ) br. 1107/70 (SL L 315, 3.12.2007., str. 1.).
(14) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).
(15) Uredba (EU) 2022/2371 Europskog parlamenta i Vijeća od 23. studenoga 2022. o ozbiljnim prekograničnim prijetnjama zdravlju i o stavljanju izvan snage Odluke br. 1082/2013/EU (SL L 314, 6.12.2022., str. 26.).
(16) Direktiva 2001/83/EZ Europskog parlamenta i Vijeća od 6. studenoga 2001. o zakoniku Zajednice o lijekovima za humanu primjenu (SL L 311, 28.11.2001., str. 67.).
(17) Uredba (EU) 2022/123 Europskog parlamenta i Vijeća od 25. siječnja 2022. o pojačanoj ulozi Europske agencije za lijekove u pripravnosti za krizne situacije i upravljanju njima u području lijekova i medicinskih proizvoda (SL L 20, 31.1.2022., str. 1.).
(18) Direktiva (EU) 2020/2184 Europskog parlamenta i Vijeća od 16. prosinca 2020. o kvaliteti vode namijenjene za ljudsku potrošnju (SL L 435, 23.12.2020., str. 1.).
(19) Direktiva Vijeća 91/271/EEZ od 21. svibnja 1991. o pročišćavanju komunalnih otpadnih voda (SL L 135, 30.5.1991., str. 40.).
(20) Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.).
(21) Direktiva (EU) 2018/1972 Europskog parlamenta i Vijeća od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija (SL L 321, 17.12.2018., str. 36.).
(22) Uredba (EZ) br. 178/2002 Europskog parlamenta i Vijeća od 28. siječnja 2002. o utvrđivanju općih načela i uvjeta zakona o hrani, osnivanju Europske agencije za sigurnost hrane te utvrđivanju postupaka u područjima sigurnosti hrane (SL L 31, 1.2.2002., str. 1.).