EUROPSKA KOMISIJA
Bruxelles, 16.12.2020.
COM(2020) 823 final
2020/0359(COD)
Prijedlog
DIREKTIVE EUROPSKOG PARLAMENTA I VIJEĆA
o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148
(Tekst značajan za EGP)
{SEC(2020) 430 final} - {SWD(2020) 344 final} - {SWD(2020) 345 final}
OBRAZLOŽENJE
1.KONTEKST PRIJEDLOGA
•Razlozi i ciljevi prijedloga
Ovaj je prijedlog dio paketa mjera za daljnje povećanje otpornosti i kapaciteta javnih i privatnih subjekata, nadležnih tijela i Unije u cjelini za odgovor na incidente u području kibersigurnosti i zaštite kritične infrastrukture. U skladu je s prioritetima Komisije da Europu pripremi za digitalno doba i izgradi gospodarstvo koje je u interesu građana i spremno za budućnost. Kibersigurnost je prioritet u odgovoru Komisije na krizu uzrokovanu bolešću COVID-19. Paket uključuje novu strategiju za kibersigurnost u cilju jačanja strateške autonomije Unije kako bi se poboljšali njezina otpornost i zajednički odgovor te izgradio otvoren i globalan internet. Naposljetku, paket sadržava prijedlog direktive o otpornosti ključnih operatora osnovnih usluga kako bi se ublažile fizičke prijetnje kojima su izloženi.
Ovaj se prijedlog temelji na Direktivi (EU) 2016/1148 o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS), koja je prvi zakonodavni akt o kibersigurnosti na razini EU-a i uključuje pravne mjere za povećanje opće razine kibersigurnosti u Uniji, te se njime ta direktiva stavlja izvan snage. Direktivom NIS 1. pridonijelo se poboljšanju kibersigurnosnih kapaciteta na nacionalnoj razini jer se od država članica zahtijevalo da donesu nacionalne strategije i imenuju tijela za kibersigurnost; 2. pojačana je suradnja među državama članicama na razini Unije uspostavom različitih foruma za olakšavanje razmjene strateških i operativnih informacija i 3. povećana je kiberotpornost javnih i privatnih subjekata u sedam specifičnih sektora (energetika, promet, bankarstvo, infrastruktura financijskog tržišta, zdravstvo, opskrba vodom za piće i njezina distribucija te digitalna infrastruktura) i u primjeni triju digitalnih usluga (internetska tržišta, internetske tražilice i usluge računalstva u oblaku) jer se od država članica zahtijevalo da osiguraju da operatori ključnih usluga i pružatelji digitalnih usluga utvrde kibersigurnosne zahtjeve i prijavljuju incidente.
Prijedlogom se modernizira postojeći pravni okvir uzimajući u obzir rastuću digitalizaciju unutarnjeg tržišta posljednjih godina i sve veće kibersigurnosne prijetnje. Oboje je u dodatnom porastu od početka krize uzrokovane bolešću COVID-19. Prijedlogom se uklanja i nekoliko nedostataka zbog kojih Direktiva NIS nije mogla ostvariti svoj puni potencijal.
Bez obzira na važna postignuća Direktive NIS, koja je u mnogim državama članicama bila pokretač promjene načina razmišljanja u pogledu institucionalnog i regulatornog pristupa kibersigurnosti, pokazalo se da ima i svoja ograničenja. Digitalna transformacija društva (pojačana krizom uzrokovanom bolešću COVID-19) povećala je prijetnje i dovela do novih izazova koji zahtijevaju prilagođene i inovativne odgovore. Broj kibernapada i dalje raste te sve sofisticiraniji napadi dolaze iz brojnih izvora unutar i izvan EU-a.
Evaluacijom funkcioniranja Direktive NIS, provedenom za potrebe procjene učinka, utvrđeni su sljedeći problemi: (1) niska razina kiberotpornosti poduzeća koja posluju u EU-u; (2) neujednačena otpornost u državama članicama i sektorima i (3) niska razina zajedničke informiranosti o stanju te nedostatak zajedničkog odgovora na krizu. Primjerice, neke velike bolnice u državi članici nisu obuhvaćene područjem primjene Direktive NIS i stoga nisu obvezne provoditi sigurnosne mjere koje iz nje proizlaze, dok je u drugoj državi članici gotovo svaki pružatelj zdravstvenih usluga u zemlji obuhvaćen sigurnosnim zahtjevima za mrežne i informacijske sustave.
Budući da je riječ o inicijativi u okviru Programa za primjerenost i učinkovitost propisa (REFIT), cilj je prijedloga smanjiti regulatorno opterećenje za nadležna tijela i troškove usklađivanja za javne i privatne subjekte. To se prije svega postiže ukidanjem obveze nadležnih tijela da utvrde operatore ključnih usluga i povećanjem razine usklađenosti zahtjeva sigurnosti i izvješćivanja kako bi se subjektima koji pružaju prekogranične usluge olakšalo usklađivanje s propisima. Istodobno, nadležnim tijelima dodijelit će se nove zadaće, uključujući nadzor subjekata u sektorima koji dosad nisu bili obuhvaćeni Direktivom NIS.
•Dosljednost s postojećim odredbama politike u tom području
Ovaj je prijedlog dio šireg skupa postojećih pravnih instrumenata i budućih inicijativa na razini Unije za povećanje otpornosti javnih i privatnih subjekata na prijetnje.
U području kibersigurnosti to su prije svega Direktiva (EU) 2018/1972 o Europskom zakoniku elektroničkih komunikacija (čije će se odredbe o kibersigurnosti zamijeniti odredbama ovog prijedloga) i Prijedlog uredbe o digitalnoj operativnoj otpornosti za financijski sektor (COM(2020) 595 final), koji će se nakon stupanja obaju akata na snagu smatrati za lex specialis prijedloga.
U području fizičke sigurnosti prijedlogom se dopunjuje Prijedlog direktive o otpornosti kritičnih subjekata, kojim se revidira Direktiva 2008/114/EZ o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (Direktiva o europskoj kritičnoj infrastrukturi), kojom se uspostavlja postupak Unije za utvrđivanje i označivanje europske kritične infrastrukture te utvrđuje pristup za poboljšanje njezine zaštite. Komisija je u srpnju 2020. donijela strategiji EU-a za sigurnosnu uniju, u kojoj je prepoznata sve veća međupovezanost i međuovisnost fizičke i digitalne infrastrukture. Naglasila je potrebu za usklađenijim i dosljednijim pristupom Direktive o europskoj kritičnoj infrastrukturi i Direktive (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije.
Prijedlog je stoga detaljno usklađen s Prijedlogom direktive o otpornosti kritičnih subjekata, čiji je cilj povećanje otpornosti kritičnih subjekata na fizičke prijetnje u velikom broju sektora. Cilj je prijedloga osigurati da nadležna tijela na temelju obaju pravnih akata poduzimaju komplementarne mjere i prema potrebi razmjenjuju informacije o kiberotpornosti i drugim vrstama otpornosti te da posebno ključni operatori u sektorima koji se u skladu s ovim prijedlogom smatraju „ključnima” isto tako podliježu općenitijim obvezama povećanja otpornosti s naglaskom na nekibernetičke rizike.
•Dosljednost u odnosu na druge politike Unije
Kako je navedeno u Komunikaciji „Izgradnja digitalne budućnosti Europe”, od ključne je važnosti da Europa iskoristi sve prednosti digitalnog doba te ojača industrijske i inovacijske kapacitete unutar sigurnog i etičkog okvira. U europskoj strategiji za podatke utvrđeno je da ključne preduvjete za društvo koje je iskoristilo moć podataka čine četiri stupa – zaštita podataka, temeljna prava, sigurnost i kibersigurnost.
U rezoluciji od 12. ožujka 2019. Europski parlament pozvao je „[…] Komisiju da procijeni je li potrebno dodatno proširiti područje primjene Direktive NIS na druge kritične sektore i usluge koji nisu obuhvaćeni posebnim zakonodavstvom”. Vijeće je u svojim zaključcima od 9. lipnja 2020. pozdravilo „[…] planove Komisije da osigura dosljedna pravila za tržišne operatere i omogući sigurnu, pouzdanu i prikladnu razmjenu informacija o prijetnjama i incidentima, među ostalim revizijom Direktive o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS), te da iskoristi mogućnosti za poboljšanje kiberotpornosti i učinkovitije odgovore na kibernapade, osobito u pogledu ključnih gospodarskih i društvenih aktivnosti, poštujući pritom nadležnosti država članica, uključujući njihovu nadležnost za nacionalnu sigurnost”. Osim toga, predloženim pravnim aktom ne dovodi se u pitanje primjena pravila o tržišnom natjecanju utvrđenih Ugovorom o funkcioniranju Europske unije (UFEU).
Budući da znatan dio kiberprijetnji potječe izvan EU-a, potreban je usklađen pristup međunarodnoj suradnji. Ova je Direktiva referentni model koji treba promicati u okviru suradnje EU-a s trećim zemljama, posebno pri pružanju vanjske tehničke pomoći.
2.PRAVNA OSNOVA, SUPSIDIJARNOST I PROPORCIONALNOST
•Pravna osnova
Pravna osnova Direktive NIS jest članak 114. Ugovora o funkcioniranju Europske unije, čiji je cilj uspostava i funkcioniranje unutarnjeg tržišta jačanjem mjera za usklađivanje nacionalnih pravila. Sud EU-a utvrdio je u svojoj presudi u predmetu C-58/08 Vodafone i drugi da je pozivanje na članak 114. UFEU-a opravdano ako postoje razlike u nacionalnim pravilima koje imaju izravan učinak na funkcioniranje unutarnjeg tržišta. Isto tako, Sud je presudio da kada su aktom koji se temelji na članku 114. UFEU‑a već otklonjene sve prepreke trgovini u području koje se njime usklađuje, zakonodavac Unije ne može biti lišen mogućnosti da taj akt prilagodi svim promjenama okolnosti ili razvoju znanja s obzirom na svoju zadaću osiguravanja zaštite općih interesa priznatih Ugovorom. Naposljetku, Sud je smatrao da je cilj mjera usklađivanja iz članka 114. UFEU-a, ovisno o općem kontekstu i posebnim okolnostima područja koje treba uskladiti, omogućiti diskrecijsko pravo u pogledu metode usklađivanja koja je najprimjerenija za postizanje željenog rezultata. Predloženim pravnim aktom uklonile bi se prepreke te poboljšala uspostava i funkcioniranje unutarnjeg tržišta za ključne i važne subjekte: utvrđivanjem jasnih općenito primjenjivih pravila o području primjene Direktive NIS, usklađivanjem pravila koja se primjenjuju u području upravljanja kibersigurnosnim rizicima i izvješćivanjem o incidentima. Trenutačne razlike u tom području na zakonodavnoj i nadzornoj razini te na nacionalnoj razini i razini EU-a prepreka su unutarnjem tržištu jer se subjekti koji posluju prekogranično suočavaju s različitim i potencijalno preklapajućim regulatornim zahtjevima i/ili njihovom primjenom, čime im se onemogućuje ostvarivanje slobode poslovnog nastana i slobode pružanja usluga. Različita pravila negativno utječu i na uvjete tržišnog natjecanja na unutarnjem tržištu za subjekte iste vrste u različitim državama članicama.
•Supsidijarnost (za neisključivu nadležnost)
Otpornost u području kibersigurnosti u cijeloj Uniji ne može biti učinkovita ako joj se različito pristupa u okviru nacionalnih ili regionalnih izoliranih sustava. Direktivom NIS djelomično je riješen taj nedostatak uspostavom okvira za sigurnost mrežnih i informacijskih sustava na nacionalnoj razini i razini Unije. Međutim, njezino prenošenje i provedba pokazali su inherentne nedostatke i ograničenja određenih odredaba ili pristupa, kao što je nejasno određivanje područja primjene, što je dovelo do znatnih razlika u opsegu i intenzitetu de facto intervencije EU-a na razini država članica. Nadalje, pojavom krize uzrokovane bolešću COVID-19 europsko gospodarstvo postalo je ovisnije o mrežnim i informacijskim sustavima nego ikad prije, a sektori i usluge međusobno su sve povezaniji. Intervencija EU-a koja nadilazi trenutačne mjere Direktive NIS opravdana je uglavnom: i. sve učestalijim prijetnjama i izazovima koji su prekogranične prirode i odnose se na sigurnost mrežnih i informacijskih sustava; ii. potencijalom za djelovanje Unije u cilju poboljšanja i olakšavanja učinkovitih i usklađenih nacionalnih politika i iii. doprinosom usklađenih i suradničkih mjera politike djelotvornoj zaštiti podataka i privatnosti.
•Proporcionalnost
Pravila predložena u ovoj Direktivi ne prelaze ono što je potrebno za zadovoljavajuće ispunjenje posebnih ciljeva. Predviđeno usklađivanje i pojednostavnjenje sigurnosnih mjera i obveza izvješćivanja odnose se na zahtjeve država članica i poduzeća za poboljšanje postojećeg okvira.
U prijedlogu se uzimaju u obzir postojeće prakse u državama članicama. Takvim pojednostavnjenim i koordiniranim zahtjevima ostvaruje se viša razina zaštite koja je razmjerna sve većim rizicima, uključujući one prekogranične, te su oni razumni i općenito odgovaraju interesu subjekata uključenih u osiguravanje kontinuiteta i kvalitete usluga. Troškovi osiguravanja sustavne suradnje država članica bili bi mali u usporedbi s gospodarskim i društvenim gubicima i štetama uzrokovanima kiberincidentima. Nadalje, savjetovanja s dionicima održana u okviru preispitivanja Direktive NIS, uključujući rezultate otvorenog javnog savjetovanja i ciljanih anketa, pokazuju potporu njezinoj reviziji u skladu s prethodno navedenim.
•Odabir instrumenta
Prijedlogom će se dodatno pojednostavniti obveze određene poduzećima i osigurati viša razina njihove usklađenosti. Prijedlogom se istodobno državama članicama želi osigurati potrebna fleksibilnost kako bi se uzele u obzir nacionalne posebnosti (kao što je mogućnost utvrđivanja dodatnih ključnih ili važnih subjekata osim onih iz osnovnog scenarija određenog pravnim aktom). Budući pravni instrument stoga bi trebao biti direktiva jer se tim instrumentom omogućuje ciljano poboljšano usklađivanje i određeni stupanj fleksibilnosti za nadležna tijela.
3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENA UČINKA
•Ex post evaluacije/provjere primjerenosti postojećeg zakonodavstva
Komisija je ispitala funkcioniranje Direktive NIS. Analizirala je njezinu relevantnost, dodanu vrijednost EU-a, usklađenost, djelotvornost i učinkovitost. Glavni su zaključci te analize:
·područje primjene Direktive NIS previše je ograničeno u pogledu obuhvaćenih sektora, ponajprije: i. jer su se posljednjih godina povećali digitalizacija i stupanj međupovezanosti i ii. jer područje primjene Direktive NIS više ne odražava sve digitalizirane sektore koji pružaju ključne usluge gospodarstvu i društvu u cjelini,
·Direktiva NIS nije dovoljno jasna kada je riječ o području primjene za operatore ključnih usluga te njezine odredbe ne daju jasnu sliku o nacionalnoj nadležnosti nad pružateljima digitalnih usluga. To je dovelo do toga da određene vrste subjekata nisu utvrđene u svim državama članicama te stoga nisu obvezne uvesti sigurnosne mjere i prijaviti incidente,
·Direktivom NIS državama članicama omogućeno je široko diskrecijsko pravo pri utvrđivanju zahtjeva sigurnosti i izvješćivanja o incidentima za operatore ključnih usluga. Evaluacija pokazuje da se u nekim slučajevima provedba tih zahtjeva znatno razlikovala u državama članicama, što je stvorilo dodatno opterećenje za poduzeća koja posluju u više država članica,
·sustav nadzora i provedbe Direktive NIS nije učinkovit. Primjerice, države članice vrlo nerado primjenjuju sankcije na subjekte koji nisu uveli sigurnosne zahtjeve ili nisu prijavili incidente. To može imati negativne posljedice na kiberotpornost pojedinačnih subjekata,
·financijski i ljudski resursi koje su države članice namijenile ispunjavanju svojih zadaća (kao što su utvrđivanje ili nadzor operatora ključnih usluga), a stoga i razine zrelosti u postupanju s kibersigurnosnim rizicima, uvelike se razlikuju. Time se dodatno povećavaju razlike u kiberotpornosti među državama članicama,
·države članice međusobno ne razmjenjuju informacije sustavno, što ima negativne posljedice posebno za djelotvornost kibersigurnosnih mjera i stupanj zajedničke informiranosti o stanju na razini EU-a. To se odnosi i na razmjenu informacija među privatnim subjektima te na suradnju između struktura za suradnju na razini EU-a i privatnih subjekata.
•Savjetovanja s dionicima
Komisija se savjetovala sa širokim rasponom dionika. Države članice i dionici pozvani su na sudjelovanje u otvorenom javnom savjetovanju te u anketama i radionicama koje su organizirali Wavestone, Centar za studije europskih politika (CEPS) i ICF, od kojih je Komisija naručila provedbu studije za preispitivanje Direktive NIS. Dionici koji su sudjelovali u savjetovanju uključivali su nadležna tijela, tijela Unije koja se bave kibersigurnošću, operatore ključnih usluga, pružatelje digitalnih usluga, subjekte koji pružaju usluge izvan područja primjene trenutačne Direktive NIS, trgovinska udruženja i organizacije potrošača te građane.
Osim toga, Komisija je bila u stalnom kontaktu s nadležnim tijelima zaduženima za provedbu Direktive NIS. Skupina za suradnju opsežno je razmatrala različite međusektorske i sektorske aspekte provedbe. Naposljetku, tijekom posjeta zemljama 2019. i 2020. povezanih sa sigurnošću mrežnih i informacijskih sustava Komisija je intervjuirala 154 javna i privatna subjekta te 117 nadležnih tijela.
•Prikupljanje i primjena stručnog znanja
Komisija je angažirala konzorcij Wavestonea, CEPS-a i ICF-a da joj pruže potporu u preispitivanju Direktive NIS. Ugovaratelj se ciljanim anketama i radionicama nije obratio samo dionicima na koje Direktiva NIS izravno utječe, već se savjetovao i s različitim stručnjacima za kibersigurnost, primjerice s istraživačima kibersigurnosti i djelatnicima u kibersigurnosnom sektoru.
•Procjena učinka
Ovom je prijedlogu priložena procjena učinka, koja je 23. listopada 2020. podnesena Odboru za nadzor regulative, koji je 20. studenoga 2020. dao pozitivno mišljenje s primjedbama. Odbor za nadzor regulative preporučio je poboljšanja u određenim područjima kako bi se: (1) bolje uzela u obzir uloga prekograničnih prelijevanja u analizi problema; (2) bolje objasnilo kako bi izgledala uspješna inicijativa; (3) dodatno obrazložio popis opcija politike; (4) dodatno razradili troškovi predloženih mjera. Procjena učinka prilagođena je kako bi se odgovorilo na ta pitanja i detaljnije primjedbe Odbora za nadzor regulative. Sada uključuje podrobnija objašnjenja uloge prekograničnih prelijevanja u području kibersigurnosti, jasniji pregled načina na koji se može mjeriti uspješnost, detaljnije objašnjenje oblikovanja i logike različitih opcija politike i mjera koje se razmatraju u okviru tih opcija, detaljnije objašnjenje aspekata analiziranih u odnosu na sektorsko područje primjene Direktive NIS i dodatna pojašnjenja troškova.
Komisija je razmotrila niz opcija politike za poboljšanje pravnog okvira u području kiberotpornosti i odgovora na incidente:
·„nema djelovanja”: Direktiva NIS ostala bi neizmijenjena i ne bi se poduzele nikakve druge nezakonodavne mjere za rješavanje problema utvrđenih njezinom evaluacijom;
·prva opcija: ne bi bilo promjena na zakonodavnoj razini. Komisija bi umjesto toga izdala preporuke i smjernice (primjerice, o utvrđivanju operatora ključnih usluga, sigurnosnim zahtjevima te postupcima obavješćivanja o incidentima i nadzoru) nakon savjetovanja sa skupinom za suradnju, Agencijom EU-a za kibersigurnost (ENISA) i, prema potrebi, mrežom timova za odgovor na računalne sigurnosne incidente (CSIRT-ovi);
·druga opcija: ova opcija uključuje ciljane izmjene Direktive NIS, među ostalim proširenje područja primjene i nekoliko drugih izmjena kojima bi se trebala osigurati određena brza rješenja utvrđenih problema, veća jasnoća i daljnje usklađivanje (kao što su odredbe o usklađivanju pragova za utvrđivanje). Međutim, izmijenjena Direktiva NIS zadržala bi glavne elemente, pristup i obrazloženje;
·treća opcija: ovaj scenarij uključuje sustavne i strukturne promjene Direktive NIS (u obliku nove direktive) kojima se predviđa temeljitiji pomak u pristupu kako bi se obuhvatilo više segmenata gospodarstava u Uniji uz usmjeravanje nadzora na velike i ključne aktere. Njime bi se pojednostavnile i obveze određene poduzećima te osigurala viša razina njihove usklađenosti, stvorilo djelotvornije okruženje za operativne aspekte i uspostavila jasna osnova za veće zajedničke obveze i odgovornost različitih dionika za kibersigurnosne mjere.
U procjeni učinka zaključuje se da je najpoželjnija treća opcija (tj. sustavne i strukturne promjene okvira za sigurnost mrežnih i informacijskih sustava). Kada je riječ o djelotvornosti, najpoželjnijom opcijom jasno bi se utvrdilo područje primjene Direktive NIS i proširilo na reprezentativniji dio gospodarstava i društava EU-a te pojednostavnjenje zahtjeva, uz konkretnije definiran okvir za nadzor i provedbu radi povećanja razine usklađenosti. Uključuje i mjere za poboljšanje pristupa izradi politika na razini država članica te promjenu njihove paradigme, promicanje novih okvira za upravljanje rizicima odnosa s dobavljačima i koordinirano otkrivanje ranjivosti. Istodobno se najpoželjnijom opcijom politike uspostavlja jasna osnova za zajedničke obveze i odgovornost te se predviđaju mehanizmi za jačanje povjerenja među državama članicama, uključujući tijela i industriju, poticanje razmjene informacija i osiguravanje operativnijeg pristupa, kao što su uzajamna pomoć i mehanizmi istorazinskog ocjenjivanja. Tom bi se opcijom osigurao i okvir EU-a za upravljanje krizama, koji bi se temeljio na nedavno pokrenutoj operativnoj mreži EU-a, te veća uključenost ENISA-e, u sklopu njezina trenutačnog mandata, u održavanju točnog pregleda stanja kibersigurnosti u Uniji.
Kada je riječ o učinkovitosti, iako bi najpoželjnija opcija podrazumijevala dodatne troškove usklađivanja i provedbe za poduzeća i države članice, dovela bi i do učinkovitih kompromisa i sinergija jer od svih analiziranih opcija politike ima najveći potencijal za osiguravanje više i stabilne razine kiberotpornosti ključnih subjekata diljem Unije koja bi u konačnici dovela do uštede troškova za poduzeća i za društvo. Uzrokovala bi određeno dodatno administrativno opterećenje i troškove usklađivanja za tijela država članica. Međutim, ukupno gledano, srednjoročno i dugoročno donijela bi i znatne koristi pojačanom suradnjom država članica, među ostalim na operativnoj razini, te poticanjem općeg povećanja kibersigurnosnih kapaciteta na nacionalnoj i regionalnoj razini putem uzajamne pomoći, mehanizama istorazinskog ocjenjivanja i boljeg pregleda ključnih poduzeća te interakcije s njima. Najpoželjnijom opcijom politike uvelike bi se osigurala i usklađenost s drugim zakonodavstvom, inicijativama ili mjerama politike, uključujući sektorski lex specialis.
Rješavanje problema trenutačnog nedostatka pripravnosti u području kibersigurnosti na razini država članica te na razini poduzeća i drugih organizacija moglo bi dovesti do povećanja učinkovitosti i smanjenja dodatnih troškova uzrokovanih kiberincidentima.
·Povećanjem razine pripravnosti u području kibersigurnosti ključni i važni subjekti mogli bi smanjiti moguće gubitke prihoda zbog poremećaja, među ostalim industrijske špijunaže, i velike troškove ad hoc ublažavanja prijetnji. Takva dobit vjerojatno će premašiti potrebne troškove ulaganja. Smanjenjem rascjepkanosti na unutarnjem tržištu pridonijelo bi se i ostvarenju ravnopravnih uvjeta za sve operatore.
·Države članice mogle bi dodatno smanjiti rizik od povećanja proračunskih izdataka za ad hoc ublažavanje prijetnji i dodatne troškove u hitnim slučajevima povezanima s kiberincidentima.
·Očekuje se da će rješavanje kiberincidenata dovesti do smanjenja gubitka prihoda građana uzrokovanog gospodarskim poremećajima.
Više razine kibersigurnosti u državama članicama i sposobnost poduzeća i tijela da brzo odgovore na incident i ublaže njegov učinak najvjerojatnije će rezultirati povećanjem općeg povjerenja građana u digitalno gospodarstvo, što bi moglo pozitivno utjecati na rast i ulaganja.
Povećanje opće razine kibersigurnosti vjerojatno će dovesti do rasta opće sigurnosti te neometanog i neprekinutog funkcioniranja ključnih usluga, koje su od iznimne važnosti za društvo. Ova inicijativa može imati i druge društvene učinke, kao što su pad razine kiberkriminaliteta i terorizma te bolja zaštita građana. Povećanjem razine pripravnosti u području kibersigurnosti poduzeća i druge organizacije mogli bi izbjeći potencijalne financijske gubitke koji su posljedica kibernapada te time spriječiti potrebu za otpuštanjem radnika.
Povećanje ukupne razine kibersigurnosti moglo bi dovesti i do sprečavanja ekoloških rizika/štete u slučaju napada na ključnu uslugu. To bi moglo biti posebno važno za sektore energetike, vodoopskrbe i distribucije vode ili prometa. Jačanjem kibersigurnosnih kapaciteta inicijativa bi mogla dovesti do veće upotrebe najnovije generacije infrastrukture i usluga informacijskih i komunikacijskih tehnologija (IKT), koje su i ekološki održivije, te do zamjene neučinkovite i manje sigurne naslijeđene infrastrukture. Očekuje se da će to pridonijeti i smanjenju broja skupih kiberincidenata te osloboditi resurse dostupne za održiva ulaganja.
•Primjerenost i pojednostavnjenje propisa
Prijedlogom se predviđa opće izuzeće mikrosubjekata i malih subjekata iz područja primjene okvira za sigurnost mrežnih i informacijskih sustava te primjena blažeg sustav ex post nadzora na veliki broj novih subjekata obuhvaćenih revidiranim područjem primjene (takozvani važni subjekti). Cilj je tih mjera smanjiti i uravnotežiti opterećenje poduzeća i javnih uprava. Nadalje, prijedlogom se složeni sustav utvrđivanja operatora ključnih usluga zamjenjuje općenito primjenjivom obvezom i uvodi viša razina usklađivanja obveza sigurnosti i izvješćivanja, čime bi se smanjilo opterećenje povezano s usklađivanjem, posebno za subjekte koji pružaju prekogranične usluge.
Prijedlogom se smanjuju troškovi usklađivanja malih i srednjih poduzeća (MSP-ovi) jer subjekti moraju poduzeti samo mjere potrebne za osiguravanje razine sigurnosti mrežnih i informacijskih sustava koja odgovara postojećem riziku.
•Temeljna prava
Unija je odlučna osigurati visoke standarde zaštite temeljnih prava. Svi dobrovoljni mehanizmi razmjene informacija među subjektima koji se promiču ovom Direktivom provodili bi se u pouzdanim okruženjima uz potpuno poštovanje pravila Unije o zaštiti podataka, posebno Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća.
4.UTJECAJ NA PRORAČUN
Vidjeti financijski plan.
5.DRUGI ELEMENTI
•Planovi provedbe i mehanizmi praćenja, evaluacije i izvješćivanja
Prijedlog uključuje opći plan praćenja i evaluacije učinka na posebne ciljeve, a Komisija će ga preispitati najmanje svaka [54 mjeseca] nakon stupanja na snagu te o svojim glavnim nalazima izvijestiti Europski parlament i Vijeće.
Preispitivanje se provodi u skladu sa smjernicama Komisije za bolju regulativu.
•Detaljno obrazloženje posebnih odredaba prijedloga
Prijedlog je strukturiran oko nekoliko glavnih područja politike koja su međusobno povezana i namijenjena podizanju razine kibersigurnosti u Uniji.
Predmet i područje primjene (članci 1. i 2.)
Direktivom se konkretno: (a) utvrđuju obveze država članica da donesu nacionalnu strategiju za kibersigurnost te imenuju nadležna nacionalna tijela, jedinstvene kontaktne točke i CSIRT-ove; (b) propisuje da države članice utvrđuju obveze upravljanja kibersigurnosnim rizicima i izvješćivanja o njima za ključne subjekte iz Priloga I. i važne subjekte iz Priloga II.; (c) propisuje da države članice utvrđuju obveze razmjene informacija o kibersigurnosti.
Primjenjuje se na određene javne ili privatne ključne subjekte koji posluju u sektorima navedenima u Prilogu I. (energetika, promet, bankarstvo, infrastruktura financijskog tržišta, zdravstvo, voda za piće, otpadne vode, digitalna infrastruktura, javna uprava i svemir) i određene važne subjekte koji posluju u sektorima navedenima u Prilogu II. (poštanske i kurirske usluge, gospodarenje otpadom, izrada, proizvodnja i distribucija kemikalija, proizvodnja, prerada i distribucija hrane, proizvodnja i pružatelji digitalnih usluga). Mikrosubjekti i mali subjekti u smislu Preporuke Komisije 2003/361/EZ od 6. svibnja 2003. izuzeti su iz područja primjene Direktive, osim pružatelja elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga, pružatelja usluga povjerenja, registara naziva vršnih domena i javnih uprava te određenih drugih subjekata, kao što je jedini pružatelj usluge u državi članici.
Nacionalni okviri za kibersigurnost (članci od 5. do 11.)
Države članice dužne su donijeti nacionalnu strategiju za kibersigurnost kojom se utvrđuju strateški ciljevi i odgovarajuće mjere politike i regulatorne mjere radi postizanja i održavanja visoke razine kibersigurnosti.
Direktivom se uspostavlja i okvir za koordinirano otkrivanje ranjivosti te se od država članica zahtijeva da imenuju CSIRT-ove koji djeluju kao pouzdani posrednici i olakšavaju interakciju između subjekata koji podliježu obvezi obavješćivanja i proizvođača ili pružatelja IKT proizvoda i usluga. ENISA je dužna razviti i voditi europski registar ranjivosti za otkrivene slabosti.
Države članice dužne su uspostaviti nacionalne okvire za upravljanje kiberkrizama, među ostalim imenovanjem nacionalnih nadležnih tijela odgovornih za upravljanje kiberincidentima i kiberkrizama velikih razmjera.
Države članice isto tako moraju imenovati jedno nacionalno nadležno tijelo za kibersigurnost ili više njih koja će obavljati nadzorne zadaće u skladu s ovom Direktivom te nacionalnu jedinstvenu kontaktnu točku za kibersigurnost koja će izvršavati funkciju povezivanja kako bi se osigurala prekogranična suradnja tijela država članica. Države članice moraju imenovati i CSIRT-ove.
Suradnja (članci od 12. do 16.)
Direktivom se osniva skupina za suradnju u svrhu podupiranja i olakšavanja strateške suradnje i razmjene informacija među državama članicama te razvijanja međusobnog povjerenja i pouzdanja. Uspostavlja se i mreža CSIRT-ova kako bi se pridonijelo razvoju povjerenja i pouzdanja među državama članicama te promicala brza i učinkovita operativna suradnja.
Uspostavlja se Europska mreža organizacija za vezu za kiberkrize (EU-CyCLONe) radi pružanja potpore koordiniranom upravljanju kiberincidentima i kiberkrizama velikih razmjera te osiguravanja redovite razmjene informacija među državama članicama i institucijama EU-a.
ENISA mora u suradnji s Komisijom izdati dvogodišnje izvješće o stanju kibersigurnosti u Uniji.
Komisija je dužna uspostaviti sustav istorazinskog ocjenjivanja kojim se omogućuje redovito istorazinsko ocjenjivanje učinkovitosti politika država članica u području kibersigurnosti.
Obveze upravljanja kibersigurnosnim rizicima i izvješćivanja o njima (članci od 17. do 23.)
Direktivom se od država članica zahtijeva da osiguraju da upravljačka tijela svih subjekata obuhvaćenih područjem primjene odobre mjere upravljanja kibersigurnosnim rizicima koje poduzimaju odgovarajući subjekti te da sudjeluju u posebnom osposobljavanju o kibersigurnosti.
Države članice moraju osigurati da subjekti obuhvaćeni područjem primjene poduzmu odgovarajuće i razmjerne tehničke i organizacijske mjere za upravljanje kibersigurnosnim rizicima koji prijete sigurnosti mrežnih i informacijskih sustava. Dužne su osigurati i da subjekti obavješćuju nacionalna nadležna tijela ili CSIRT-ove o svakom kiberincidentu koji ima znatan učinak na uslugu koju pružaju.
Registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva vršnih domena prikupljaju i vode točne i potpune podatke o registraciji naziva domena. Nadalje, od takvih se subjekata zahtijeva da zakonitim tražiteljima pristupa omoguće učinkovit pristup podacima o registraciji domene.
Nadležnost i registracija (članci 24. i 25.)
U pravilu se smatra da su ključni i važni subjekti u nadležnosti države članice u kojoj pružaju usluge. Međutim, smatra se da su određene vrste subjekata (pružatelji DNS usluga, registri naziva vršnih domena, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra i pružatelji mreža za isporuku sadržaja te određeni pružatelji digitalnih usluga) u nadležnosti države članice u kojoj imaju glavni poslovni nastan u Uniji. Time bi se osiguralo da se takvi subjekti ne suočavaju s mnoštvom različitih pravnih zahtjeva zbog toga što u posebno velikoj mjeri pružaju prekogranične usluge. ENISA je dužna uspostaviti i voditi registar potonje vrste subjekata.
Razmjena informacija (članci 26. i 27.)
Države članice utvrđuju pravila kojima se subjektima omogućuje da sudjeluju u razmjeni informacija o kibersigurnosti u okviru posebnih mehanizama razmjene informacija o kibersigurnosti, u skladu s člankom 101. UFEU-a. Osim toga, države članice omogućuju subjektima koji nisu obuhvaćeni područjem primjene ove Direktive da dobrovoljno prijavljuju ozbiljne incidente, kiberprijetnje ili izbjegnute incidente.
Nadzor i provedba (članci od 28. do 34.)
Nadležna tijela dužna su nadzirati subjekte obuhvaćene područjem primjene Direktive i posebno osigurati njihovu usklađenost sa zahtjevima sigurnosti i obavješćivanja o incidentima. U njoj se sustav ex ante nadzora ključnih subjekata razlikuje od sustava ex post nadzora važnih subjekata, koji od nadležnih tijela zahtijeva poduzimanje mjera kada dobiju dokaze ili naznaku da važan subjekt ne ispunjava zahtjeve sigurnosti i obavješćivanja o incidentima.
Direktivom se od država članica zahtijeva i izricanje upravnih novčanih kazni ključnim i važnim subjektima te se utvrđuju određene maksimalne novčane kazne.
Države članice dužne su prema potrebi surađivati i uzajamno si pomagati ako subjekti pružaju usluge u više država članica ili ako se glavni poslovni nastan subjekta ili njegov predstavnik nalazi u određenoj državi članici, a njegovi mrežni i informacijski sustavi u jednoj ili više drugih država članica.
2020/0359 (COD)
Prijedlog
DIREKTIVE EUROPSKOG PARLAMENTA I VIJEĆA
o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148
(Tekst značajan za EGP)
EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,
uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,
uzimajući u obzir prijedlog Europske komisije,
nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,
uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora,
uzimajući u obzir mišljenje Odbora regija,
u skladu s redovnim zakonodavnim postupkom,
budući da:
(1)Cilj Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća bio je izgradnja kibersigurnosnih kapaciteta širom Unije, ublažavanje prijetnji mrežnim i informacijskim sustavima koji se upotrebljavaju za pružanje osnovnih usluga u ključnim sektorima i osiguravanje kontinuiteta takvih usluga u slučaju kiberincidenata, što pridonosi učinkovitom funkcioniranju gospodarstva i društva Unije.
(2)Od stupanja na snagu Direktive (EU) 2016/1148 ostvaren je znatan napredak u povećanju Unijine razine otpornosti u području kibersigurnosti. Preispitivanje te direktive pokazalo je da je bila katalizator za institucionalni i regulatorni pristup kibersigurnosti u Uniji i omogućila bitnu promjenu načina razmišljanja. Njome je osiguran dovršetak nacionalnih okvira utvrđivanjem nacionalnih strategija za kibersigurnost, uspostavom nacionalnih kapaciteta i provedbom regulatornih mjera kojima su obuhvaćeni ključna infrastruktura i akteri koje je utvrdila svaka država članica. Pridonijela je i suradnji na razini Unije osnivanjem skupine za suradnju i mreže nacionalnih timova za odgovor na računalne sigurnosne incidente („mreža CSIRT-ova”). Neovisno o tim postignućima, preispitivanjem Direktive (EU) 2016/1148 otkriveni su bitni nedostaci zbog kojih se njome ne mogu učinkovito svladati aktualni i novi izazovi u području kibersigurnosti.
(3)Mrežni i informacijski sustavi razvili su se u okosnicu svakodnevnog života uz brzu digitalnu transformaciju i međupovezanost društva, među ostalim u prekograničnim razmjenama. Taj je razvoj doveo do povećanja kibersigurnosnih prijetnji te time i novih izazova koji zahtijevaju prilagođene, koordinirane i inovativne odgovore u svim državama članicama. Kibersigurnosni incidenti sve su brojniji, sofisticiraniji, učestaliji, većih razmjera i utjecaja te predstavljaju veliku prijetnju funkcioniranju mrežnih i informacijskih sustava. Zbog toga kiberincidenti mogu ugroziti obavljanje gospodarskih djelatnosti na unutarnjem tržištu, uzrokovati financijske gubitke, narušiti povjerenje korisnika i nanijeti veliku štetu gospodarstvu i društvu Unije. Pripravnost i učinkovitost u području kibersigurnosti sada su važnije nego ikad za pravilno funkcioniranje unutarnjeg tržišta.
(4)Pravna osnova Direktive (EU) 1148/2016 bio je članak 114. Ugovora o funkcioniranju Europske unije (UFEU), čiji je cilj uspostava i funkcioniranje unutarnjeg tržišta jačanjem mjera za usklađivanje nacionalnih pravila. Kibersigurnosni zahtjevi koje moraju ispunjavati subjekti koji pružaju usluge ili obavljaju gospodarski relevantne djelatnosti znatno se razlikuju među državama članicama s obzirom na vrstu, razinu detalja i metodu nadzora tih zahtjeva. Te razlike uzrokuju dodatne troškove i stvaraju poteškoće poduzećima koja prekogranično nude robu ili usluge. Zahtjevi koje je odredila jedna država članica i koji se razlikuju od onih koje je odredila druga država članica ili su čak u sukobu s njima mogu znatno utjecati na te prekogranične djelatnosti. Nadalje, mogućnost neoptimalne izrade ili provedbe kibersigurnosnih normi u jednoj državi članici može utjecati na razinu kibersigurnosti drugih država članica, posebno s obzirom na intenzivne prekogranične razmjene. Preispitivanje Direktive (EU) 2016/1148 pokazalo je da postoje velike razlike u njezinoj provedbi u državama članicama, među ostalim u pogledu njezina područja primjene, čije je određivanje u velikoj mjeri prepušteno državama članicama. Direktivom (EU) 2016/1148 državama članicama dano je i vrlo široko diskrecijsko pravo u pogledu provedbe obveza sigurnosti i izvješćivanja o incidentima koje su u njoj utvrđene. Stoga postoje velike razlike u provedbi tih obveza na nacionalnoj razini. Slične su se razlike u provedbi pojavile i u odnosu na odredbe te direktive o nadzoru i provedbi.
(5)Sve one dovode do rascjepkanosti unutarnjeg tržišta i mogu štetno utjecati na njegovo funkcioniranje, posebno na prekogranično pružanje usluga i razinu otpornosti u području kibersigurnosti zbog primjene različitih normi. Cilj je ove Direktive ukloniti velike razlike među državama članicama, posebno određivanjem minimalnih pravila o funkcioniranju koordiniranog regulatornog okvira, utvrđivanjem mehanizama za djelotvornu suradnju nadležnih tijela u svakoj državi članici, ažuriranjem popisa sektora i djelatnosti koji podliježu kibersigurnosnim obvezama te osiguravanjem djelotvornih pravnih lijekova i sankcija ključnih za učinkovito izvršavanje tih obveza. Stoga bi Direktivu (EU) 2016/1148 trebalo staviti izvan snage i zamijeniti ovom Direktivom.
(6)Ova Direktiva ne utječe na mogućnost država članica da poduzmu potrebne mjere za osiguravanje zaštite osnovnih interesa svoje sigurnosti, zaštitu javnog poretka i javne sigurnosti te omogućivanje istrage, otkrivanja i progona kaznenih djela, u skladu s pravom Unije. U skladu s člankom 346. UFEU-a nijedna država članica nije obvezna davati informacije ako smatra da bi njihovo otkrivanje bilo suprotno osnovnim interesima njezine javne sigurnosti. U tom su kontekstu relevantni nacionalna pravila i pravila Unije za zaštitu klasificiranih podataka, sporazumi o povjerljivosti podataka i neformalni sporazumi o povjerljivosti podataka kao što je Protokol o semaforu.
(7)Stavljanjem izvan snage Direktive (EU) 2016/1148 područje primjene po sektorima trebalo bi proširiti na veći dio gospodarstva s obzirom na razmatranja iz uvodnih izjava od 4. do 6. Obuhvaćenost sektora Direktivom (EU) 2016/1148 trebalo bi stoga proširiti kako bi se osigurala sveobuhvatna pokrivenost sektora i usluga od velike važnosti za ključne društvene i gospodarske djelatnosti na unutarnjem tržištu. Pravila se ne bi trebala razlikovati prema tome jesu li subjekti operatori ključnih usluga ili pružatelji digitalnih usluga. To se razlikovanje pokazalo zastarjelim jer ne odražava stvarnu važnost sektora ili usluga za društvene i gospodarske djelatnosti na unutarnjem tržištu.
(8)U skladu s Direktivom (EU) 2016/1148, države članice bile su odgovorne za utvrđivanje subjekata koji ispunjavaju kriterije na temelju kojih ih se smatralo operatorima ključnih usluga („postupak utvrđivanja”). Kako bi se uklonile velike razlike među državama članicama u tom pogledu i osigurala pravna sigurnost za zahtjeve za upravljanje rizicima i obveze izvješćivanja za sve relevantne subjekte, trebalo bi uspostaviti jedinstveni kriterij za određivanje subjekata obuhvaćenih područjem primjene ove Direktive. Taj bi se kriterij trebao sastojati od primjene pravila o veličini, prema kojem su područjem primjene ove Direktive obuhvaćena sva srednja i velika poduzeća, kako su definirana Preporukom Komisije 2003/361/EZ, koja posluju u sektorima ili pružaju vrste usluga na koje se odnosi ova Direktiva. Od država članica ne bi se trebalo zahtijevati sastavljanje popisa subjekata koji ispunjavaju taj općenito primjenjiv kriterij veličine.
(9)Međutim, ovom Direktivom trebali bi biti obuhvaćeni i mali subjekti ili mikrosubjekti koji ispunjavaju određene kriterije koji upućuju na ključnu ulogu za gospodarstva ili društva država članica ili za određene sektore ili vrste usluga. Države članice trebale bi biti odgovorne za sastavljanje popisa takvih subjekata i dostaviti ga Komisiji.
(10)Komisija u suradnji sa skupinom za suradnju može izdati smjernice o provedbi kriterija koji se primjenjuju na mikropoduzeća i mala poduzeća.
(11)Ovisno o sektoru u kojem posluju ili vrsti usluge koju pružaju, subjekti obuhvaćeni područjem primjene ove Direktive trebali bi biti razvrstani u dvije kategorije: ključni i važni. U toj kategorizaciji trebalo bi uzeti u obzir razinu kritičnosti sektora ili vrste usluge, kao i razinu ovisnosti drugih sektora ili vrsta usluga. Na ključne i važne subjekte trebali bi se primjenjivati isti zahtjevi za upravljanje rizicima i obveze izvješćivanja. Sustavi nadzora i sankcija trebali bi biti različiti za te dvije kategorije kako bi se osigurala pravedna ravnoteža između zahtjeva i obveza s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane.
(12)Sektorsko zakonodavstvo i instrumenti mogu pridonijeti osiguravanju visoke razine kibersigurnosti, uzimajući pritom potpuno u obzir posebnosti i složenost tih sektora. Ako se sektorskim pravnim aktom Unije od ključnih ili važnih subjekata zahtijeva donošenje mjera upravljanja kibersigurnosnim rizicima ili obavješćivanje o incidentima ili ozbiljnim kiberprijetnjama koje je po učinku najmanje istovjetno obvezama utvrđenima u ovoj Direktivi, trebale bi se primjenjivati te sektorske odredbe, među ostalim o nadzoru i provedbi. Komisija može izdati smjernice o tome kako se primjenjuje lex specialis. Ovom se Direktivom ne sprečava donošenje dodatnih sektorskih akata Unije koji se odnose na mjere upravljanja kibersigurnosnim rizicima i obavješćivanje o incidentima. Ovom se Direktivom ne dovode u pitanje postojeće provedbene ovlasti dodijeljene Komisiji u brojnim sektorima, uključujući promet i energetiku.
(13)Uredbu XXXX/XXXX Europskog parlamenta i Vijeća trebalo bi smatrati sektorskim pravnim aktom Unije u odnosu na ovu Direktivu u pogledu subjekata financijskog sektora. Umjesto odredaba utvrđenih ovom Direktivom trebale bi se primjenjivati odredbe Uredbe XXXX/XXXX koje se odnose na mjere upravljanja rizicima informacijskih i komunikacijskih tehnologija (IKT), upravljanje IKT incidentima, a posebno izvješćivanje o incidentima, kao i na testiranje digitalne operativne otpornosti, mehanizme razmjene informacija i IKT rizik treće strane. Države članice stoga ne bi trebale primjenjivati odredbe ove Direktive o obvezama upravljanja kibersigurnosnim rizicima i izvješćivanja, razmjeni informacija te nadzoru i provedbi na financijske subjekte obuhvaćene Uredbom XXXX/XXXX. Istodobno je važno održavati blizak odnos i razmjenu informacija s financijskim sektorom na temelju ove Direktive. U tu svrhu Uredbom XXXX/XXXX svim se financijskim nadzornim tijelima, europskim nadzornim tijelima za financijski sektor i nacionalnim nadležnim tijelima iz Uredbe XXXX/XXXX omogućuje sudjelovanje u raspravama o strateškim politikama i tehničkom radu skupine za suradnju te razmjena informacija i suradnja s jedinstvenim kontaktnim točkama imenovanima u skladu s ovom Direktivom i s nacionalnim CSIRT-ovima. Nadležna tijela iz Uredbe XXXX/XXXX trebala bi podatke o velikim IKT incidentima slati i jedinstvenim kontaktnim točkama imenovanima na temelju ove Direktive. Osim toga, države članice trebale bi nastaviti uključivati financijski sektor u svoje strategije za kibersigurnost, a nacionalni CSIRT-ovi mogli bi ga obuhvatiti svojim aktivnostima.
(14)S obzirom na međupovezanost kibersigurnosti i fizičke sigurnosti subjekata, trebalo bi osigurati usklađen pristup između Direktive (EU) XXX/XXX Europskog parlamenta i Vijeća i ove Direktive. Kako bi se to postiglo, države članice trebale bi osigurati da se kritični i ekvivalentni subjekti iz Direktive (EU) XXX/XXX smatraju ključnim subjektima na temelju ove Direktive. Države članice trebale bi osigurati i da se njihovim strategijama za kibersigurnost osigurava okvir politike za bolju koordinaciju između nadležnog tijela na temelju ove Direktive i nadležnog tijela na temelju Direktive (EU) XXX/XXX u kontekstu razmjene informacija o incidentima i kiberprijetnjama te izvršavanja nadzornih zadaća. Tijela na temelju obiju direktiva trebala bi surađivati i razmjenjivati informacije, posebno u pogledu utvrđivanja kritičnih subjekata, kiberprijetnji, kibersigurnosnih rizika, incidenata koji utječu na kritične subjekte te kibersigurnosnih mjera koje ti subjekti poduzimaju. Na zahtjev nadležnih tijela iz Direktive (EU) XXX/XXX, nadležnim tijelima iz ove Direktive trebalo bi omogućiti izvršavanje nadzornih i provedbenih ovlasti nad ključnim subjektom koji je utvrđen kao kritičan. Oba tijela trebala bi surađivati i razmjenjivati informacije u tu svrhu.
(15)Vođenje i održavanje pouzdanog, otpornog i sigurnog sustava naziva domena (DNS) ključni su za očuvanje cjelovitosti interneta te njegov kontinuiran i stabilan rad, o kojem ovise digitalno gospodarstvo i društvo. Stoga bi se ova Direktiva trebala primjenjivati na sve pružatelje DNS usluga u lancu DNS prevođenja, uključujući operatore korijenskih poslužitelja naziva, poslužitelja naziva vršnih domena, mjerodavnih poslužitelja naziva za nazive domena i rekurzivnih prevoditelja.
(16)Usluge računalstva u oblaku trebale bi obuhvaćati usluge koje omogućuju pristup na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih i distribuiranih računalnih resursa. Ti računalni resursi uključuju mreže, poslužitelje ili drugu infrastrukturu, operacijske sustave, softver, pohranu, aplikacije i usluge. Modeli uvođenja računalstva u oblaku trebali bi uključivati privatne, zajedničke, javne i hibridne oblake. Navedeni modeli usluga i uvođenja imaju isto značenje kao modeli usluga i uvođenja definirani u normi ISO/IEC 17788:2014. Sposobnost korisnika računalstva u oblaku da jednostrano samostalno pruža računalne kapacitete, kao što je vrijeme poslužitelja ili mrežna pohrana, bez ljudske interakcije pružatelja usluga računalstva u oblaku, može se opisati kao administracija na zahtjev. Pojam „široki daljinski pristup” upotrebljava se kako bi se opisalo da se kapaciteti u oblaku osiguravaju preko mreže i da im se pristupa putem mehanizama kojima se promiče upotreba heterogenih tankih ili debelih klijentskih platformi (uključujući mobilne telefone, tablete, prijenosna računala i radne stanice). Pojam „nadogradiv” odnosi se na računalne usluge koje pružatelj usluga u oblaku dodjeljuje fleksibilno, bez obzira na zemljopisni položaj resursa, kako bi se riješile fluktuacije u potražnji. Pojam „elastičan skup” upotrebljava se za opisivanje računalnih resursa koji se rezerviraju i isporučuju u skladu s potražnjom kako bi se raspoloživi resursi mogli brzo povećati i smanjiti ovisno o radnom opterećenju. Pojam „djeljiv” upotrebljava se za opisivanje računalnih resursa koji se pružaju većem broju korisnika sa zajedničkim pristupom usluzi, pri čemu se obrada provodi odvojeno za svakog korisnika, iako se usluga pruža putem iste elektroničke opreme. Pojam „distribuiran” upotrebljava se za opisivanje računalnih resursa koji se nalaze na različitim umreženim računalima ili uređajima te čija se međusobna komunikacija i koordinacija odvija slanjem poruka.
(17)S obzirom na razvoj inovativnih tehnologija i novih poslovnih modela, očekuje se da će se na tržištu pojaviti novi modeli uvođenja i usluga računalstva u oblaku kao odgovor na rastuće potrebe korisnika. U tom se kontekstu usluge računalstva u oblaku mogu pružati u vrlo distribuiranom obliku, još bliže mjestu na kojem se podaci generiraju ili prikupljaju, čime se prelazi s tradicionalnog modela na visoko distribuirani model („računalstvo na rubu”).
(18)Usluge koje nude pružatelji usluga podatkovnog centra ne mogu se uvijek pružati u obliku usluge računalstva u oblaku. Stoga podatkovni centri ne mogu uvijek biti dio infrastrukture računalstva u oblaku. Kako bi se upravljalo svim rizicima za sigurnost mrežnih i informacijskih sustava, ovom bi Direktivom trebalo obuhvatiti i pružatelje usluga podatkovnog centra koje nisu usluge računalstva u oblaku. Za potrebe ove Direktive, pojam „usluga podatkovnog centra” trebao bi obuhvaćati pružanje usluge koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije i mreže za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša. Pojam „usluga podatkovnog centra” ne primjenjuje se na interne korporativne podatkovne centre kojima predmetni subjekt u čijem su vlasništvu upravlja za vlastite potrebe.
(19)Pružatelji poštanskih usluga u smislu Direktive 97/67/EZ Europskog parlamenta i Vijeća te pružatelji usluga hitne i kurirske dostave trebali bi podlijegati ovoj Direktivi ako poduzimaju barem jedan od koraka u poštanskom lancu dostave, a posebno prijam, usmjeravanje ili distribuciju, uključujući i usluge preuzimanja. Usluge prijevoza koje se ne poduzimaju u kombinaciji s jednim od tih koraka ne bi trebale biti obuhvaćene opsegom poštanskih usluga.
(20)Te rastuće međuovisnosti rezultat su sve veće prekogranične i međuovisne mreže pružanja usluga koja upotrebljava ključnu infrastrukturu diljem Unije u sektorima energetike, prometa, digitalne infrastrukture, vode za piće i otpadne vode, zdravlja, određenih aspekata javne uprave, kao i u svemirskom sektoru u pogledu pružanja određenih usluga koje ovise o zemaljskoj infrastrukturi koja je u vlasništvu i kojom upravljaju države članice ili privatne strane te stoga ne obuhvaća infrastrukturu koja je u vlasništvu Unije, kojom Unija upravlja ili kojom se upravlja u ime Unije kao dijelom njezinih svemirskih programa. Te međuovisnosti znače da svaki poremećaj, čak i onaj koji je prvotno ograničen na jedan subjekt ili jedan sektor, može imati kaskadne učinke u širem smislu, što može dovesti do dalekosežnih i dugotrajnih negativnih učinaka na pružanje usluga na cijelom unutarnjem tržištu. Pandemija bolesti COVID-19 pokazala je ranjivost naših sve više međuovisnih društava suočenih s rizicima male vjerojatnosti.
(21)S obzirom na razlike u nacionalnim upravljačkim strukturama i radi zaštite postojećih sektorskih rješenja ili nadzornih i regulatornih tijela Unije, države članice trebale bi moći imenovati više od jednog nadležnog nacionalnog tijela odgovornog za izvršavanje zadaća povezanih sa sigurnošću mrežnih i informacijskih sustava ključnih i važnih subjekata obuhvaćenih ovom Direktivom. Države članice trebale bi moći tu ulogu dodijeliti postojećem tijelu.
(22)Da bi se olakšala prekogranična suradnja i komunikacija među tijelima i da bi se omogućila djelotvorna provedba ove Direktive, nužno je da svaka država članica imenuje jedinstvenu nacionalnu kontaktnu točku odgovornu za koordinaciju pitanja sigurnosti mrežnih i informacijskih sustava te za prekograničnu suradnju na razini Unije.
(23)Nadležna tijela ili CSIRT-ovi trebali bi od subjekata primati obavijesti o incidentima na djelotvoran i učinkovit način. Zadaća jedinstvenih kontaktnih točaka trebala bi biti prosljeđivanje obavijesti o incidentima jedinstvenim kontaktnim točkama drugih pogođenih država članica. Kako bi se osigurala jedinstvena ulazna točka u svakoj državi članici, jedinstvene kontaktne točke na razini tijela država članica trebale bi primati relevantne informacije o incidentima koji se odnose na subjekte financijskog sektora od nadležnih tijela iz Uredbe XXXX/XXXX koje bi, prema potrebi, trebale moći proslijediti relevantnim nacionalnim nadležnim tijelima ili CSIRT-ovima iz ove Direktive.
(24)Države članice trebale bi biti dostatno opremljene, u smislu tehničkih i organizacijskih sposobnosti, za sprečavanje i otkrivanje incidenata i rizika u mrežnim i informacijskim sustavima, odgovaranje na njih i njihovo ublažavanje. Države članice stoga bi trebale osigurati da njihovi CSIRT-ovi, poznati i kao timovi za hitne računalne intervencije („CERT-ovi”), dobro funkcioniraju i da poštuju ključne zahtjeve kako bi se zajamčile djelotvorne i uskladive sposobnosti za rješavanje incidenata i rizika te kako bi se osigurala učinkovita suradnja na razini Unije. U cilju jačanja odnosa povjerenja između subjekata i CSIRT-ova, u slučajevima kada je CSIRT dio nadležnog tijela, države članice trebale bi razmotriti funkcionalno odvajanje operativnih zadaća koje obavljaju CSIRT-ovi, posebno u vezi s razmjenom informacija i potporom subjektima, te nadzornih aktivnosti nadležnih tijela.
(25)Kad je riječ o osobnim podacima, CSIRT-ovi bi, u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća o osobnim podacima, u ime subjekta iz ove Direktive i na njegov zahtjev, trebali moći osigurati proaktivno pregledavanje mrežnih i informacijskih sustava koji se upotrebljavaju za pružanje njihovih usluga. Države članice trebale bi nastojati osigurati jednaku razinu tehničkih sposobnosti za sve sektorske CSIRT-ove. Države članice mogu zatražiti pomoć Agencije Europske unije za kibersigurnost (ENISA) u razvoju nacionalnih CSIRT-ova.
(26)S obzirom na važnost međunarodne suradnje za kibersigurnost, CSIRT-ovi bi trebali moći, uz mrežu CSIRT-ova uspostavljenu ovom Direktivom, sudjelovati i u međunarodnim mrežama suradnje.
(27)U skladu s Prilogom Preporuci Komisije (EU) 2017/1548 o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera („plan”), incident velikih razmjera trebao bi značiti incident sa znatnim utjecajem na najmanje dvije države članice ili incident čiji učinci premašuju sposobnost države članice da na njega odgovori. Ovisno o svojem uzroku i utjecaju, incidenti velikih razmjera mogu se proširiti i pretvoriti u prave krize koje onemogućavaju pravilno funkcioniranje unutarnjeg tržišta. S obzirom na širok opseg i, u većini slučajeva, prekograničnu prirodu takvih incidenata, države članice i relevantne institucije, tijela i agencije Unije trebali bi surađivati na tehničkoj, operativnoj i političkoj razini kako bi pravilno koordinirali odgovor u cijeloj Uniji.
(28)Budući da iskorištavanje ranjivosti u mrežnim i informacijskim sustavima može uzrokovati znatne poremećaje i štetu, brzo prepoznavanje i otklanjanje tih ranjivosti važan je čimbenik u smanjenju kibersigurnosnog rizika. Subjekti koji razvijaju takve sustave trebali bi stoga uspostaviti odgovarajuće postupke za otklanjanje ranjivosti kada ih se otkrije. Budući da ranjivosti često prepoznaju i prijavljuju (otkrivaju) treće strane (subjekti koji podliježu obvezi obavješćivanja), proizvođač ili pružatelj IKT proizvoda ili usluga trebao bi uspostaviti i postupke potrebne za primanje informacija o ranjivosti od trećih strana. U tom pogledu međunarodne norme ISO/IEC 30111 i ISO/IEC 29417 pružaju smjernice o postupanju s ranjivostima i njihovu otkrivanju. Kad je riječ o otkrivanju ranjivosti, posebno je važna koordinacija između subjekata koji podliježu obvezi obavješćivanja i proizvođača ili pružatelja IKT proizvoda ili usluga. Koordinirano otkrivanje ranjivosti odvija se strukturiranim postupkom u okviru kojeg se ranjivosti prijavljuju organizacijama na način kojim se organizaciji omogućuje dijagnosticiranje i otklanjanje ranjivosti prije nego što se detaljne informacije o ranjivosti otkriju trećim stranama ili javnosti. Koordinirano otkrivanje ranjivosti trebalo bi obuhvaćati i koordinaciju između subjekta koji obavješćuje i organizacije u pogledu vremena otklanjanja i objave ranjivosti.
(29)Države članice trebale bi stoga poduzeti mjere za olakšavanje koordiniranog otkrivanja ranjivosti uspostavom relevantne nacionalne politike. U tom pogledu države članice trebale bi imenovati CSIRT koji će preuzeti ulogu „koordinatora” i, prema potrebi, djelovati kao posrednik između subjekata koji podliježu obvezi obavješćivanja i proizvođača ili pružatelja IKT proizvoda ili usluga. Zadaće koordinacijskog CSIRT-a trebale bi posebno uključivati identificiranje i kontaktiranje tih subjekata, pružanje podrške subjektima koji podliježu obvezi obavješćivanja, pregovaranje o vremenskom okviru za otkrivanje i upravljanje ranjivostima koje utječu na više organizacija (otkrivanje ranjivosti koje uključuje više strana). Ako ranjivosti utječu na više proizvođača ili pružatelja IKT proizvoda ili usluga s poslovnim nastanom u više država članica, imenovani CSIRT-ovi svake pogođene države članice trebali bi surađivati u okviru mreže CSIRT-ova.
(30)Pristup točnim i pravodobnim informacijama o ranjivostima koje utječu na IKT proizvode i usluge pridonosi boljem upravljanju kibersigurnosnim rizicima. U tom su pogledu izvori javno dostupnih informacija o ranjivostima važan alat za subjekte i njihove korisnike, ali i za nacionalna nadležna tijela i CSIRT-ove. Zbog toga bi ENISA trebala uspostaviti registar ranjivosti u kojem ključni i važni subjekti i njihovi dobavljači te subjekti koji nisu obuhvaćeni područjem primjene ove Direktive mogu dobrovoljno otkriti ranjivosti i pružiti informacije o ranjivostima koje korisnicima omogućuju poduzimanje odgovarajućih mjera ublažavanja.
(31)Iako slični registri ili baze podataka o ranjivosti postoje, na poslužitelju ih smještaju i vode subjekti koji nemaju poslovni nastan u Uniji. Europski registar ranjivosti koji bi vodila ENISA omogućio bi veću transparentnost u pogledu postupka objavljivanja prije službenog otkrivanja ranjivosti i otpornost u slučajevima poremećaja ili prekida u pružanju sličnih usluga. Kako bi se izbjeglo udvostručavanje aktivnosti i postigla komplementarnost u mjeri u kojoj je to moguće, ENISA bi trebala istražiti mogućnost sklapanja sporazuma o strukturiranoj suradnji sa sličnim registrima u nadležnosti trećih zemalja.
(32)Skupina za suradnju trebala bi svake dvije godine uspostaviti program rada, uključujući mjere koje skupina mora poduzeti radi provedbe svojih ciljeva i zadaća. Vremenski okvir prvog programa donesenog na temelju ove Direktive trebalo bi uskladiti s vremenskim okvirom posljednjeg programa donesenog na temelju Direktive (EU) 2016/1148 kako bi se izbjegli mogući poremećaji u radu skupine.
(33)Pri izradi smjernica skupina za suradnju trebala bi biti dosljedna u: mapiranju nacionalnih rješenja i iskustava, procjenjivanju učinka rezultata skupine za suradnju na nacionalne pristupe, raspravljanju o izazovima u provedbi i izradi posebnih preporuka koje će se nastojati ispuniti boljom provedbom postojećih pravila.
(34)Skupina za suradnju trebala bi ostati fleksibilan forum i trebala bi moći odgovoriti na nove i promjenjive političke prioritete i izazove, uzimajući pritom u obzir raspoloživost resursa. Trebala bi organizirati redovite zajedničke sastanke s relevantnim privatnim dionicima iz cijele Unije na kojima bi se raspravljalo o aktivnostima skupine i prikupljale informacije o novim političkim izazovima. Kako bi se poboljšala suradnja na razini Unije, skupina bi trebala razmotriti mogućnost pozivanja tijela i agencija Unije uključenih u politiku kibersigurnosti, kao što su Europski centar za kiberkriminalitet (EC3), Agencija Europske unije za sigurnost zračnog prometa (EASA) i Agencija Europske unije za svemirski program (EUSPA), da sudjeluju u njezinu radu.
(35)Nadležna tijela i CSIRT-ove trebalo bi poticati na sudjelovanje u programima razmjene za službenike iz drugih država članica u cilju poboljšanja suradnje. Nadležna tijela trebala bi poduzeti potrebne mjere kako bi službenicima iz drugih država članica omogućila da imaju djelotvornu ulogu u aktivnostima nadležnog tijela domaćina.
(36)Unija bi, prema potrebi, trebala sklapati međunarodne sporazume s trećim zemljama ili međunarodnim organizacijama, u skladu s člankom 218. UFEU-a, kojima im se dopušta i organizira sudjelovanje u nekim aktivnostima skupine za suradnju i mreže CSIRT-ova. Takvim bi se sporazumima trebala osigurati odgovarajuća zaštita podataka.
(37)Države članice trebale bi doprinijeti uspostavi okvira EU-a za odgovor na kiberkrize utvrđenog u Preporuci (EU) 2017/1584 putem postojećih mreža suradnje, posebno Europske mreže organizacija za vezu za kiberkrize (EU-CyCLONe), mreže CSIRT-ova i skupine za suradnju. EU-CyCLONe i mreža CSIRT-ova trebali bi surađivati na temelju postupovnih aranžmana kojima se utvrđuju načini te suradnje. U poslovniku EU-CyCLONe-a trebalo bi dodatno utvrditi načine funkcioniranja mreže, uključujući, među ostalim, uloge, oblike suradnje, interakcije s drugim relevantnim akterima i predloške za razmjenu informacija, kao i komunikacijska sredstva. Za upravljanje krizama na razini Unije relevantne strane trebale bi se oslanjati na aranžmane za integrirani politički odgovor na krizu (IPCR). Komisija bi u tu svrhu trebala primjenjivati međusektorski postupak koordiniranja krize na visokoj razini ARGUS. Ako kriza ima znatan utjecaj na vanjsku ili zajedničku sigurnosnu i obrambenu politiku (ZSOP), trebalo bi aktivirati mehanizam za odgovor na krize (CRM) Europske službe za vanjsko djelovanje (ESVD).
(38)Za potrebe ove Direktive pojam „rizik” trebao bi se odnositi na mogućnost gubitka ili poremećaja prouzročenog kiberincidentom i trebao bi biti izražen kao kombinacija opsega takvog gubitka ili poremećaja i vjerojatnosti pojave navedenog incidenta.
(39)Za potrebe ove Direktive pojam „izbjegnuti incident” trebao bi se odnositi na događaj koji je potencijalno mogao prouzročiti štetu, ali je njegovo nastajanje uspješno spriječeno.
(40)Mjere za upravljanje rizicima uključuju mjere za utvrđivanje rizika od incidenata, sprečavanje, otkrivanje i rješavanje incidenata te ublažavanje njihova učinka. Sigurnost mrežnih i informacijskih sustava trebala bi uključivati sigurnost podataka koji se pohranjuju, prenose i obrađuju.
(41)Kako bi se izbjeglo nerazmjerno financijsko i administrativno opterećenje za ključne i važne subjekte, zahtjevi za upravljanje kibersigurnosnim rizicima trebali bi biti razmjerni riziku kojemu je izložen predmetni mrežni ili informacijski sustav, uzimajući u obzir suvremenost takvih mjera.
(42)Ključni i važni subjekti trebali bi jamčiti sigurnost mrežnih i informacijskih sustava koje upotrebljavaju u svojim aktivnostima. To su ponajprije privatni mrežni i informacijski sustavi kojima upravljaju njihovi vlastiti zaposlenici u IT-u ili vanjski zaposlenici koji se brinu o sigurnosti. U skladu s ovom Direktivom, zahtjevi za upravljanje kibersigurnosnim rizicima i zahtjevi izvješćivanja trebali bi se primijeniti na relevantne ključne i važne subjekte bez obzira na to održavaju li sami svoje mrežne i informacijske sustave ili to eksternaliziraju.
(43)Suzbijanje kibersigurnosnih rizika koji proizlaze iz lanca opskrbe subjekta i njegova odnosa s dobavljačima posebno je važno s obzirom na učestalost incidenata u kojima su subjekti postali žrtve kibernapada i u kojima su zlonamjerni akteri mogli ugroziti sigurnost mrežnih i informacijskih sustava subjekta iskorištavanjem ranjivosti koje utječu na proizvode i usluge trećih strana. Subjekti bi stoga trebali procijeniti i uzeti u obzir ukupnu kvalitetu proizvoda i kibersigurnosnih praksi svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.
(44)U područjima kao što su odgovor na incidente, penetracijska testiranja, ispitivanja sigurnosti i savjetovanje, pružatelji upravljanih sigurnosnih usluga (MSSP-i) imaju posebno važnu ulogu među pružateljima usluga u pomaganju subjektima u njihovim nastojanjima da otkriju incidente i odgovore na njih. Međutim, MSSP-i su i sami bili meta kibernapada te njihova bliska integracija u rad operatora predstavlja poseban kibersigurnosni rizik. Subjekti bi stoga trebali postupati s većom pažnjom pri odabiru MSSP-a.
(45)Subjekti bi trebali raditi i na suzbijanju kibersigurnosnih rizika koji proizlaze iz njihove interakcije i odnosa s drugim dionicima unutar šireg ekosustava. Konkretno, subjekti bi trebali poduzeti odgovarajuće mjere kako bi osigurali da se njihova suradnja s akademskim i istraživačkim institucijama odvija u skladu s njihovim kibersigurnosnim politikama i da slijedi dobre prakse u pogledu sigurnog pristupa informacijama i širenja informacija općenito, a posebno u pogledu zaštite intelektualnog vlasništva. Slično tome, s obzirom na važnost i vrijednost podataka za aktivnosti subjekata, pri oslanjanju na usluge transformacije i analize podataka koje pružaju treće strane subjekti bi trebali poduzeti sve odgovarajuće kibersigurnosne mjere.
(46)Kako bi se dodatno suzbili ključni rizici u lancu opskrbe i pomoglo subjektima koji djeluju u sektorima obuhvaćenima ovom Direktivom da na odgovarajući način upravljaju kibersigurnosnim rizicima u lancu opskrbe i kibersigurnosnim rizicima povezanima s dobavljačima, skupina za suradnju koja uključuje relevantna nacionalna tijela, u suradnji s Komisijom i ENISA-om, trebala bi provoditi koordinirane procjene rizika u lancu opskrbe pojedinog sektora, kao što je već učinjeno za 5G mreže u skladu s Preporukom (EU) 2019/534 o kibersigurnosti 5G mreža, u cilju utvrđivanja ključnih IKT usluga, sustava ili proizvoda, relevantnih prijetnji i ranjivosti za pojedini sektor.
(47)U procjenama rizika u lancu opskrbe, s obzirom na značajke predmetnog sektora, trebalo bi uzeti u obzir tehničke i, prema potrebi, netehničke čimbenike, uključujući one definirane u Preporuci (EU) 2019/534, u usklađenoj procjeni rizika sigurnosti 5G mreža na razini EU-a i u paketu instrumenata EU-a za kibersigurnost 5G tehnologije oko kojih se suglasila skupina za suradnju. Pri utvrđivanju lanaca opskrbe koji bi trebali biti podložni koordiniranoj procjeni rizika, u obzir bi trebalo uzeti sljedeće kriterije: i. mjera u kojoj se ključni i važni subjekti koriste određenim ključnim IKT uslugama, sustavima ili proizvodima i oslanjaju na njih; ii. važnost specifičnih ključnih IKT usluga, sustava ili proizvoda u obavljanju ključnih ili osjetljivih funkcija, uključujući obradu osobnih podataka; iii. dostupnost alternativnih IKT usluga, sustava ili proizvoda; iv. otpornost cjelokupnog lanca opskrbe IKT uslugama, sustavima ili proizvodima na ometajuće događaje i v. potencijalna buduća važnost novih IKT usluga, sustava ili proizvoda za aktivnosti subjekata.
(48)Kako bi se pojednostavnile pravne obveze određene pružateljima javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga i pružateljima usluga povjerenja povezane sa sigurnošću njihovih mrežnih i informacijskih sustava te kako bi se tim subjektima i njihovim nadležnim tijelima omogućilo ostvarivanje koristi od pravnog okvira uspostavljenog ovom Direktivom (uključujući imenovanje CSIRT-ova odgovornih za rješavanje rizika i incidenata, sudjelovanje nadležnih vlasti i tijela u radu skupine za suradnju i mreže CSIRT-ova), trebalo bi ih uključiti u područje primjene ove Direktive. Stoga bi trebalo staviti izvan snage odgovarajuće odredbe utvrđene Uredbom (EU) br. 910/2014 Europskog parlamenta i Vijeća i Direktivom (EU) 2018/1972 Europskog parlamenta i Vijeća koje se odnose na uvođenje zahtjeva sigurnosti i obavješćivanja za te vrste subjekata. Pravilima o obvezama izvješćivanja ne bi se smjela dovesti u pitanje primjena Uredbe (EU) 2016/679 i Direktive 2002/58/EZ Europskog parlamenta i Vijeća.
(49)Prema potrebi i kako bi se izbjegli nepotrebni poremećaji, nadležna tijela zadužena za nadzor i izvršavanje zakonodavstva za potrebe ove Direktive trebala bi i dalje upotrebljavati postojeće nacionalne smjernice i nacionalno zakonodavstvo donesene za prenošenje pravila povezanih sa sigurnosnim mjerama utvrđenima u članku 40. stavku 1. Direktive (EU) 2018/1972 te zahtjeve iz članka 40. stavka 2. te direktive u pogledu parametara povezanih s važnošću incidenta.
(50)S obzirom na sve veću važnost brojevno neovisnih interpersonalnih komunikacijskih usluga, potrebno je osigurati da se i na takve usluge primjenjuju odgovarajući sigurnosni zahtjevi u skladu s njihovim posebnostima i gospodarskom važnošću. Stoga bi pružatelji takvih usluga trebali osigurati i odgovarajuću razinu sigurnosti mrežnih i informacijskih sustava obzirom na rizik kojem su izloženi. S obzirom na to da pružatelji brojevno neovisnih interpersonalnih komunikacijskih usluga obično nemaju stvarnu kontrolu nad prijenosom signala mrežama, stupanj rizika za takve usluge može se u nekim aspektima smatrati nižim od rizika za tradicionalne elektroničke komunikacijske usluge. Isto bi trebalo primijeniti na interpersonalne komunikacijske usluge koje se koriste brojevima, a koje nemaju stvarnu kontrolu nad prijenosom signala mrežama.
(51)Unutarnje tržište ovisi o funkcioniranju interneta više nego ikad prije. Usluge gotovo svih ključnih i važnih subjekata ovise o uslugama koje se pružaju putem interneta. Kako bi se osiguralo neometano pružanje usluga ključnih i važnih subjekata, važno je da javne elektroničke komunikacijske mreže, kao što su, primjerice, okosnice internetske mreže ili podmorski komunikacijski kabeli, uspostave odgovarajuće kibersigurnosne mjere i prijave incidente povezane s njima.
(52)Prema potrebi, subjekti bi trebali obavijestiti svoje primatelje usluga o posebnim i ozbiljnim prijetnjama te o mjerama koje mogu poduzeti kako bi ublažili nastali rizik. Zahtjev obavješćivanja primatelja usluga o takvim prijetnjama ne bi smio podrazumijevati oslobađanje pružatelja od obveze da o vlastitom trošku poduzme odgovarajuće i hitne mjere kako bi se spriječile ili uklonile sve kiberprijetnje i ponovno uspostavila normalna sigurnosna razina usluge. Pružanje takvih informacija o sigurnosnim prijetnjama trebalo bi biti besplatno za primatelje usluga.
(53)Pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga trebali bi obavijestiti primatelje usluga o posebnim i ozbiljnim kiberprijetnjama te o mjerama koje mogu poduzeti kako bi očuvali sigurnost svojih komunikacija, na primjer upotrebom posebnih vrsta softvera ili tehnologija šifriranja.
(54)Kako bi se zaštitila sigurnost elektroničkih komunikacijskih mreža i usluga, trebalo bi promicati upotrebu šifriranja, posebice šifriranja s kraja na kraj, koja bi, prema potrebi, trebala biti obvezna za pružatelje takvih usluga i mreža u skladu s načelima zadane i integrirane sigurnosti i privatnosti u smislu članka 18. Upotrebu šifriranja s kraja na kraj trebalo bi uskladiti s ovlastima država članica da osiguraju zaštitu svojih ključnih sigurnosnih interesa i javne sigurnosti te da dopuste istragu, otkrivanje i progon kaznenih djela u skladu s pravom Unije. Rješenjima za zakonit pristup informacijama u komunikacijama šifriranima s kraja na kraj trebala bi se očuvati učinkovitost šifriranja u zaštiti privatnosti i sigurnosti komunikacija te bi se istodobno trebao osigurati učinkovit odgovor na kriminal.
(55)Ovom se Direktivom utvrđuje pristup izvješćivanju o incidentima u dvije faze kako bi se uspostavila prava ravnoteža između, s jedne strane, brzog izvješćivanja koje pridonosi ublažavanju potencijalnog širenja incidenata i omogućuje subjektima da traže podršku te, s druge strane, detaljnog izvješćivanja kojim se iz pojedinačnih incidenata izvlače vrijedne pouke i s vremenom poboljšava otpornost na kiberprijetnje pojedinačnih poduzeća i cijelih sektora. Kada subjekti dobiju informaciju o incidentu, trebali bi biti dužni u roku od 24 sata dostaviti prvu obavijest, nakon čega u roku od mjesec dana moraju dostaviti završno izvješće. Prva obavijest trebala bi sadržavati samo informacije koje su nužne kako bi nadležna tijela bila upoznata s incidentom i kako bi se subjektu omogućilo traženje pomoći, ako je to potrebno. U takvoj bi obavijesti, ako je to moguće, trebalo navesti pretpostavlja li se da je incident uzrokovan nezakonitim ili zlonamjernim djelovanjem. Države članice trebale bi osigurati da se zahtjevom za podnošenje te prve obavijesti resursi subjekta koji obavješćuje ne preusmjeravaju s aktivnosti povezanih s rješavanjem incidenata koje bi trebale biti prioritetne. Kako bi se dodatno spriječilo da se zbog obveza izvješćivanja o incidentima oduzimaju resursi za rješavanje incidenata ili na drugi način ugrožavaju aktivnosti subjekata u tom pogledu, države članice trebale bi, u opravdanim slučajevima i u dogovoru s nadležnim tijelima ili CSIRT-om, predmetnom subjektu omogućiti odstupanje od roka od 24 sata za prvu obavijest i roka od mjesec dana za završno izvješće.
(56)Ključni i važni subjekti često određeni incident, zbog njegovih značajki, moraju prijaviti različitim tijelima u skladu s obvezama obavješćivanja uključenima u razne pravne instrumente. Takvi slučajevi stvaraju dodatna opterećenja i mogu dovesti do nesigurnosti u pogledu oblika obavijesti i postupanja s njima. S obzirom na to i u svrhu pojednostavnjenja izvješćivanja o sigurnosnim incidentima, države članice trebale bi uspostaviti jedinstvenu ulaznu točku za sve obavijesti koje se zahtijevaju ovom Direktivom i drugim pravom Unije, kao što su Uredba (EU) 2016/679 i Direktiva 2002/58/EZ. ENISA bi sa skupinom za suradnju trebala izraditi zajedničke predloške za obavješćivanje s pomoću smjernica kojima bi se pojednostavnile i uskladile izvještajne informacije koje se zahtijevaju pravom Unije, čime bi se smanjilo opterećenje za poduzeća.
(57)Ako se sumnja da je incident povezan s aktivnostima koje se prema pravu Unije ili nacionalnom pravu smatraju ozbiljnim kriminalnim aktivnostima, države članice trebale bi ključne i važne subjekte poticati da, na temelju primjenjivih pravila kaznenog postupka u skladu s pravom Unije, relevantnim tijelima za izvršavanje zakonodavstva prijave incidente za koje se sumnja da su ozbiljne kriminalne naravi. Prema potrebi i ne dovodeći u pitanje pravila o zaštiti osobnih podataka koja se primjenjuju na Europol, poželjno je da EC3 i ENISA olakšavaju koordinaciju između nadležnih tijela i tijela za izvršavanje zakonodavstva različitih država članica.
(58)U mnogim slučajevima osobni podaci ugroženi su zbog incidenata. U tom kontekstu nadležna tijela trebala bi surađivati i razmjenjivati informacije o svim relevantnim pitanjima s tijelima za zaštitu podataka i nadzornim tijelima u skladu s Direktivom 2002/58/EZ.
(59)Vođenje točnih i potpunih baza podataka s nazivima domena i registracijskim podacima (tzv. podaci WHOIS) te omogućivanje zakonitog pristupa takvim podacima ključni su za osiguravanje sigurnosti, stabilnosti i otpornosti DNS-a, što pridonosi visokoj zajedničkoj razini kibersigurnosti u Uniji. Obrada koja uključuje osobne podatke mora biti u skladu s pravom Unije o zaštiti podataka.
(60)Dostupnost i pravodobna pristupačnost tih podataka javnim tijelima, uključujući nadležna tijela u skladu s pravom Unije ili nacionalnim pravom za sprečavanje, istragu ili progon kaznenih djela, CERT-ovima (CSIRT-ovima) te, u pogledu podataka njihovih klijenata, pružateljima elektroničkih komunikacijskih mreža i usluga te pružateljima kibersigurnosnih tehnologija i usluga koji djeluju u ime tih klijenata, ključni su za sprečavanje i suzbijanje zlouporabe sustava naziva domena, posebno za sprečavanje, otkrivanje i odgovor na kiberincidente. Takav pristup trebao bi biti u skladu s pravom Unije o zaštiti podataka u mjeri u kojoj se odnosi na osobne podatke.
(61)Kako bi se osigurala dostupnost točnih i potpunih podataka o registraciji naziva domena, registri vršnih domena i subjekti koji pružaju usluge registracije naziva domena za vršnu domenu (tzv. registrari) trebali bi prikupljati i jamčiti cjelovitost i dostupnost podataka o registraciji naziva domena. U konkretnom slučaju, registri vršnih domena i subjekti koji pružaju usluge registracije naziva domena za vršnu domenu trebali bi uspostaviti politike i postupke za prikupljanje i održavanje točnih i potpunih registracijskih podataka te za sprečavanje i ispravljanje netočnih registracijskih podataka u skladu s pravilima Unije o zaštiti podataka.
(62)Registri vršnih domena i subjekti koji im pružaju usluge registracije naziva domena trebali bi objaviti podatke o registraciji naziva domena koji nisu obuhvaćeni područjem primjene pravila Unije o zaštiti podataka, kao što su podaci o pravnim osobama. Registri vršnih domena i subjekti koji pružaju usluge registracije naziva domena za vršnu domenu trebali bi usto zakonitim tražiteljima pristupa omogućiti legalan pristup podacima o registraciji određenih naziva domena koji se odnose na fizičke osobe, u skladu s pravom Unije o zaštiti podataka. Države članice trebale bi osigurati da registri vršnih domena i subjekti koji im pružaju usluge registracije naziva domena bez nepotrebne odgode odgovaraju na zahtjeve za otkrivanje podataka o registraciji naziva domena koje upute zakoniti tražitelji pristupa. Registri vršnih domena i subjekti koji im pružaju usluge registracije naziva domena trebali bi uspostaviti politike i postupke za objavljivanje i otkrivanje registracijskih podataka, uključujući sporazume o razini usluga za rješavanje zahtjeva za pristup zakonitih tražitelja pristupa. Postupak pristupa može uključivati i upotrebu sučelja, portala ili drugog tehničkog alata kako bi se osigurao učinkovit sustav za podnošenje zahtjeva i pristupanje registracijskim podacima. U cilju promicanja usklađenih praksi na unutarnjem tržištu, Komisija može donijeti smjernice o takvim postupcima ne dovodeći u pitanje nadležnosti Europskog odbora za zaštitu podataka.
(63)Svi ključni i važni subjekti obuhvaćeni ovom Direktivom trebali bi biti u nadležnosti države članice u kojoj pružaju usluge. Ako subjekt pruža usluge u više država članica, trebao bi biti u zasebnoj i istodobnoj nadležnosti svake od tih država članica. Nadležna tijela tih država članica trebala bi surađivati, međusobno si pomagati i, prema potrebi, provoditi zajedničke nadzorne aktivnosti.
(64)Kako bi se u obzir uzela prekogranična priroda usluga i aktivnosti pružatelja DNS usluga, registara naziva vršnih domena, pružatelja mreža za isporuku sadržaja, pružatelja usluga računalstva u oblaku, pružatelja usluga podatkovnog centra i pružatelja digitalnih usluga, samo bi jedna država članica trebala imati nadležnost nad tim subjektima. Nadležnost bi se trebala dodijeliti državi članici u kojoj predmetni subjekt ima glavni poslovni nastan u Uniji. Kriterij poslovnog nastana za potrebe ove Direktive podrazumijeva učinkovito obavljanje djelatnosti putem stabilnih aranžmana. Pravni oblik takvih aranžmana, bilo kroz podružnicu bilo društvo kćer s pravnom osobnošću, nije odlučujući čimbenik u tom pogledu. Ispunjenje tog kriterija ne bi trebalo ovisiti o tome jesu li mrežni i informacijski sustavi fizički smješteni na određenom mjestu; postojanje i upotreba takvih sustava sami po sebi ne čine takav glavni poslovni nastan i stoga nisu odlučujući kriteriji za određivanje glavnog poslovnog nastana. Glavni poslovni nastan trebao bi biti mjesto na kojem se u Uniji donose odluke o mjerama upravljanja kibersigurnosnim rizicima. To će obično odgovarati mjestu u Uniji na kojem se nalazi središnja uprava poduzeća. Ako se takve odluke ne donose u Uniji, trebalo bi smatrati da se glavni poslovni nastan nalazi u državama članicama u kojima subjekt ima poslovnu jedinicu s najvećim brojem zaposlenika u Uniji. Ako usluge pruža grupa poduzeća, glavni poslovni nastan vladajućeg poduzeća trebao bi se smatrati glavnim nastanom grupe poduzeća.
(65)U slučajevima u kojim pružatelj DNS usluga, registar naziva vršnih domena, pružatelj mreža za isporuku sadržaja, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra i pružatelj digitalnih usluga koji nemaju poslovni nastan u Uniji nude usluge unutar Unije, trebali bi imenovati predstavnika. Kako bi se utvrdilo nudi li takav subjekt usluge u Uniji, trebalo bi provjeriti može li se zaključiti da subjekt planira ponuditi usluge osobama u jednoj državi članici ili više njih. Sama dostupnost u Uniji internetskih stranica subjekta ili posrednog davatelja takvih usluga ili adrese elektroničke pošte i drugih podataka za kontakt ili korištenje jezikom koji je općenito u uporabi u trećoj zemlji u kojoj subjekt ima poslovni nastan nedovoljna je za utvrđivanje takve namjere. Međutim, čimbenici kao što su korištenje jezikom ili valutom koji su općenito u uporabi u jednoj državi članica ili više njih, s mogućnošću naručivanja usluga na tom drugom jeziku ili spominjanje kupaca ili korisnika koji se nalaze u Uniji, mogu jasno pokazati da subjekt planira ponuditi usluge u Uniji. Predstavnik bi trebao djelovati u ime subjekta te bi nadležna tijela ili CSIRT-ovi trebali moći stupiti u kontakt s predstavnikom. Subjekt bi trebao pisanim ovlaštenjem izričito imenovati predstavnika da djeluje u njegovo ime s obzirom na obveze tog subjekta prema ovoj Direktivi, što uključuje izvješćivanja o incidentima.
(66)Ako se informacije koje se smatraju klasificiranima u skladu s nacionalnim pravom ili pravom Unije razmjenjuju, dostavljaju ili na drugi način dijele u skladu s odredbama ove Direktive, trebalo bi primjenjivati odgovarajuća posebna pravila o postupanju s klasificiranim podacima.
(67)S obzirom na to da kiberprijetnje postaju sve složenije i sofisticiranije, dobre mjere otkrivanja i sprečavanja uvelike ovise o redovitoj razmjeni informacija o prijetnjama i ranjivostima među subjektima. Razmjena informacija pridonosi boljoj informiranosti o kiberprijetnjama, što poboljšava kapacitet subjekata da spriječe da se prijetnje pretvore u stvarne incidente te omogućuje subjektima da bolje ograniče učinke incidenata i djelotvornije se oporave od njih. U nedostatku smjernica na razini Unije nekoliko čimbenika sprečava takvu razmjenu informacija, osobito nesigurnost u pogledu usklađenosti s pravilima o tržišnom natjecanju i odgovornosti.
(68)Subjekte bi stoga trebalo potaknuti da zajednički iskoriste znanje i praktično iskustvo svakog od njih na strateškoj, taktičkoj i operativnoj razini kako bi poboljšali svoje kapacitete za odgovarajuću procjenu, praćenje, obranu i odgovor na kiberprijetnje. Stoga je potrebno omogućiti razvijanje mehanizama dobrovoljne razmjene informacija na razini Unije. U tu bi svrhu države članice trebale aktivno podupirati i poticati i relevantne subjekte koji nisu obuhvaćeni područjem primjene ove Direktive na sudjelovanje u takvim mehanizmima razmjene informacija. Ti bi se mehanizmi trebali u cijelosti provoditi u skladu s pravilima Unije o tržišnom natjecanju te pravnim pravilima Unije o zaštiti podataka.
(69)Obrada osobnih podataka u mjeri koja je nužna i proporcionalna za potrebe osiguravanja mrežne i informacijske sigurnosti, koju provode subjekti, javna tijela, CERT-ovi, CSIRT-ovi i pružatelji sigurnosnih tehnologija i usluga, trebala bi se smatrati legitimnim interesom predmetnog voditelja obrade podataka u skladu s Uredbom (EU) 2016/679. To bi trebalo uključivati mjere za sprečavanje, otkrivanje, analizu i odgovor na incidente, mjere za informiranje o određenim kiberprijetnjama, razmjenu informacija u kontekstu uklanjanja i koordiniranog otkrivanja ranjivosti, kao i dobrovoljnu razmjenu informacija o tim incidentima, kiberprijetnjama i ranjivostima, pokazatelje ugroženosti, taktike, tehnike i postupke, kibersigurnosna upozorenja i konfiguracijske alate. Takve mjere mogu zahtijevati obradu sljedećih vrsta osobnih podataka: IP adresa, jedinstvenih lokatora resursa (URL-ova), naziva domena i adresa elektroničke pošte.
(70)Kako bi se ojačale nadzorne ovlasti i mjere koje pomažu u osiguravanju učinkovite usklađenosti, ovom bi se Direktivom trebao predvidjeti popis minimalnih nadzornih mjera i sredstava putem kojih nadležna tijela mogu nadzirati ključne i važne subjekte. Usto, Direktivom bi se trebalo utvrditi razlikovanje sustava nadzora između ključnih i važnih subjekata kako bi se osigurala pravedna ravnoteža obveza subjekata i nadležnih tijela. Stoga bi se na ključne subjekte trebao primjenjivati sveobuhvatni nadzorni sustav (ex ante i ex post), dok bi se na važne subjekte trebao primjenjivati blagi sustav nadzora, i to samo ex post. U potonjem slučaju to znači da važni subjekti ne bi trebali sustavno dokumentirati usklađenost sa zahtjevima za upravljanje kibersigurnosnim rizicima, dok bi nadležna tijela trebala primjenjivati reaktivni ex post pristup nadzoru te stoga ne bi trebala imati opću obvezu nadzora tih subjekata.
(71)Kako bi provedba bila učinkovita, potrebno je utvrditi popis minimalnih administrativnih sankcija za kršenje obveza upravljanja kibersigurnosnim rizicima i izvješćivanja predviđenih ovom Direktivom, čime bi se uspostavio jasan i usklađen okvir za takve sankcije širom Unije. Posebna bi se pozornost trebala posvetiti prirodi, ozbiljnosti i trajanju povrede, stvarno prouzročenoj šteti ili nastalim gubicima ili potencijalnoj šteti ili gubicima, namjernom ili nehotičnom obilježju povrede, mjerama poduzetima radi sprečavanja ili ublažavanja pretrpljene štete i/ili gubitaka, stupnju odgovornosti ili svim relevantnim prethodnim povredama, stupnju suradnje s nadležnim tijelom kao i bilo kojem drugom otegotnom ili olakotnom čimbeniku. Izricanje sankcija, uključujući upravne novčane kazne, trebalo bi podlijegati odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom Europske unije o temeljnim pravima, uključujući djelotvornu sudsku zaštitu i zakonito postupanje.
(72)Kako bi se osiguralo učinkovito izvršavanje obveza utvrđenih u ovoj Direktivi, svako bi nadležno tijelo trebalo imati ovlast izricati ili zahtijevati izricanje upravnih novčanih kazni.
(73)Kada se upravne novčane kazne izriču poduzetniku, poduzetnikom bi se u te svrhe trebao smatrati poduzetnik u skladu s člancima 101. i 102. UFEU-a. Ako su upravne novčane kazne izrečene osobama koje nisu poduzeće, pri razmatranju odgovarajućeg iznosa novčane kazne nadzorno tijelo trebalo bi uzeti u obzir opću razinu dohotka u državi članici te ekonomsko stanje osobe. Države članice trebale bi utvrditi i trebaju li i do koje mjere primjenjivati upravne novčane kazne za državna tijela. Izricanje upravne novčane kazne ne utječe na primjenu ovlasti nadležnih tijela ili drugih sankcija utvrđenih u nacionalnim pravilima kojima se prenosi ova Direktiva.
(74)Države članice trebale bi moći propisati pravila o kaznenim sankcijama za povrede nacionalnih pravila kojima se prenosi ova Direktiva. Međutim, izricanje kaznenih sankcija za povrede takvih nacionalnih pravila i povezanih administrativnih sankcija ne bi smjelo dovesti do kršenja načela ne bis in idem, kako ga tumači Sud.
(75)Ako ovom Direktivom nisu usklađene upravne novčane kazne ili ako je to potrebno u drugim slučajevima, primjerice u slučajevima teških povreda obveza utvrđenih u ovoj Direktivi, države članice trebale bi uvesti sustav kojim se predviđaju učinkovite, razmjerne i odvraćajuće sankcije. Prirodu tih kaznenih ili administrativnih sankcija trebalo bi odrediti pravom države članice.
(76)Kako bi se dodatno ojačali učinkovitost i odvraćajući učinak sankcija koje se primjenjuju na povrede obveza utvrđenih u skladu s ovom Direktivom, nadležna tijela trebala bi biti ovlaštena za primjenu sankcija koje se sastoje od suspenzije certifikata ili ovlaštenja za dio usluga ili sve usluge koje pruža ključni subjekt i izricanja privremene zabrane fizičkoj osobi da obavlja rukovoditeljske dužnosti. S obzirom na njihovu ozbiljnost i učinak na aktivnosti subjekata te naposljetku na njihove potrošače, takve bi se sankcije trebale primjenjivati samo razmjerno ozbiljnosti povrede i uzimajući u obzir posebne okolnosti svakog slučaja, uključujući namjerna ili nehotična obilježja povrede, kao i mjere poduzete radi sprečavanja ili ublažavanja pretrpljene štete i/ili gubitaka. Takve bi se sankcije trebale primjenjivati samo kao ultima ratio, što znači tek nakon što se iscrpe druge odgovarajuće provedbene mjere utvrđene ovom Direktivom i samo dok subjekti na koje se primjenjuju ne poduzmu potrebne mjere za otklanjanje nedostataka ili dok ne ispune zahtjeve nadležnog tijela na koje se odnose te sankcije. Izricanje takvih sankcija podliježe odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom Europske unije o temeljnim pravima, uključujući djelotvornu sudsku zaštitu, zakonito postupanje, pretpostavku nedužnosti i pravo na obranu.
(77)Ovom bi se Direktivom trebala utvrditi pravila suradnje između nadležnih tijela i nadzornih tijela u skladu s Uredbom (EU) 2016/679 radi postupanja u slučaju povreda povezanih s osobnim podacima.
(78)Cilj ove Direktive trebao bi biti osiguravanje visoke razine odgovornosti za mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja na razini organizacija. Zbog toga bi upravljačka tijela subjekata koji su obuhvaćeni područjem primjene ove Direktive trebala odobriti mjere u pogledu kibersigurnosnih rizika i nadzirati njihovu provedbu.
(79)Trebalo bi uvesti mehanizam istorazinskog ocjenjivanja kojim bi se stručnjacima koje su imenovale države članice omogućila procjena provedbe kibersigurnosnih politika, uključujući razinu sposobnosti i dostupnih resursa država članica.
(80)Kako bi se uzeli u obzir nove kiberprijetnje, tehnološki razvoj ili sektorske posebnosti, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a u pogledu elemenata povezanih s mjerama upravljanja rizicima propisanima ovom Direktivom. Komisija bi isto tako trebala biti ovlaštena donositi delegirane akte kojima se utvrđuje koje kategorije ključnih subjekata moraju pribaviti certifikat i na temelju kojih posebnih europskih programa kibersigurnosne certifikacije. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.
(81)Kako bi se osigurali jedinstveni uvjeti za provedbu relevantnih odredaba ove Direktive koje se odnose na postupovne aranžmane potrebne za funkcioniranje skupine za suradnju, tehničke elemente povezane s mjerama upravljanja rizicima ili vrstu informacija, oblik i postupak obavješćivanja o incidentima, provedbene ovlasti trebalo bi dodijeliti Komisiji. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća.
(82)Komisija bi periodično trebala preispitivati ovu Direktivu, uz savjetovanje sa zainteresiranim stranama, posebno u cilju utvrđivanja potrebe za njezinom izmjenom u svjetlu promjene društvenih, političkih, tehnoloških i tržišnih uvjeta.
(83)S obzirom na to da cilj ove Direktive, to jest postizanje visoke zajedničke razine kibersigurnosti u Uniji, ne mogu dostatno ostvariti države članice, nego se zbog učinka djelovanja na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tog cilja.
(84)Ovom Direktivom poštuju se temeljna prava i načela priznata Poveljom Europske unije o temeljnim pravima, posebno pravo na poštovanje privatnog života i komuniciranja, zaštitu osobnih podataka, slobodu poduzetništva, pravo na vlasništvo, pravo na djelotvoran pravni lijek pred sudom i pravo na saslušanje. Ova Direktiva trebala bi se provoditi u skladu s tim pravima i načelima,
DONIJELI SU OVU DIREKTIVU:
POGLAVLJE I.
Opće odredbe
Članak 1.
Predmet
1.Ovom se Direktivom utvrđuju mjere kojima se osigurava visoka zajednička razina kibersigurnosti unutar Unije.
2.U tu svrhu, ovom se Direktivom:
(a)utvrđuju obveze država članica da donesu nacionalne strategije za kibersigurnost, imenuju nadležna nacionalna tijela, jedinstvene kontaktne točke i timove za odgovor na računalne sigurnosne incidente (CSIRT-ovi);
(b)utvrđuju obveze upravljanja kibersigurnosnim rizicima i izvješćivanja o njima za vrste subjekata koje se u Prilogu I. navode kao ključni subjekti i u Prilogu II. kao važni subjekti.
(c)utvrđuju obveze razmjene informacija o kibersigurnosti.
Članak 2.
Područje primjene
1.Ova se Direktiva primjenjuje na vrste javnih i privatnih subjekata koje se u Prilogu I. navode kao ključni subjekti i u Prilogu II. kao važni subjekti. Ova se Direktiva ne primjenjuje na subjekte koji se smatraju mikropoduzećima i malim poduzećima u smislu Preporuke Komisije 2003/361/EZ.
2.Međutim, Direktiva se primjenjuje i na subjekte iz priloga I. i II. neovisno o njihovoj veličini:
(a)ako usluge pruža jedan od sljedećih subjekata:
i.pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga iz točke 8. Priloga I.;
ii.pružatelji usluga povjerenja iz točke 8. Priloga I.;
iii.registri naziva vršnih domena i pružatelji usluga sustava naziva domena (DNS) iz točke 8. Priloga I.;
(b)ako je subjekt tijelo javne uprave kako je definirano u članku 4. točki 23.;
(c)ako je subjekt jedini pružatelj usluge u državi članici;
(d)ako bi mogući prekid usluge koju pruža subjekt mogao utjecati na javnu sigurnost, javnu zaštitu ili javno zdravlje;
(e)ako bi mogući prekid usluge koju pruža subjekt mogao prouzročiti sistemske rizike, posebno u sektorima u kojima bi takav prekid mogao imati prekogranični učinak;
(f)ako je subjekt ključan zbog svoje posebne važnosti na regionalnoj ili nacionalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u državi članici;
(g)ako se utvrdi da je subjekt kritični subjekt u skladu s Direktivom (EU) XXXX/XXXX Europskog parlamenta i Vijeća [Direktiva o otpornosti kritičnih subjekata] ili subjekt istovjetan kritičnom subjektu u skladu s člankom 7. te direktive.
Države članice sastavljaju popis subjekata utvrđenih u skladu s točkama od (b) do (f) i dostavljaju ga Komisiji do [šest mjeseci nakon roka za prenošenje]. Države članice redovito i najmanje svake dvije godine preispituju popis te ga prema potrebi ažuriraju.
3.Ovom Direktivom ne dovode se u pitanje nadležnosti država članica za održavanje javne sigurnosti, obrane i nacionalne sigurnosti u skladu s pravom Unije.
4.Ova Direktiva primjenjuje se ne dovodeći u pitanje Direktivu Vijeća 2008/114/EZ i direktive 2011/93/EU i 2013/40/EU Europskog parlamenta i Vijeća.
5.Ne dovodeći u pitanje članak 346. UFEU-a, informacije koje se smatraju povjerljivima u skladu s pravilima Unije i nacionalnim pravilima, kao što su pravila o poslovnoj tajni, ustupaju se Komisiji i drugim relevantnim tijelima samo u slučaju kad je takva razmjena nužna za primjenu ove Direktive. Razmijenjene informacije ograničuju se na ono što je relevantno i razmjerno svrsi te razmjene. Pri razmjeni informacija čuva se njihova povjerljivost te se štite sigurnost i komercijalni interesi ključnih ili važnih subjekata.
6.Ako se odredbama sektorskih akata prava Unije od ključnih ili važnih subjekata zahtijeva donošenje mjera upravljanja kibersigurnosnim rizicima ili obavješćivanje o incidentima ili ozbiljnim kiberprijetnjama i ako su ti zahtjevi po učinku barem istovjetni obvezama utvrđenima u ovoj Direktivi, ne primjenjuju se relevantne odredbe ove Direktive, uključujući odredbu o nadzoru i provedbi utvrđenu u poglavlju VI.
Članak 3.
Minimalno usklađivanje
Ne dovodeći u pitanje svoje ostale obveze na temelju prava Unije, države članice mogu, u skladu s ovom Direktivom, donijeti ili zadržati odredbe kojima se osigurava viša razina kibersigurnosti.
Članak 4.
Definicije
Za potrebe ove Direktive, primjenjuju se sljedeće definicije:
(1)„mrežni i informacijski sustav” znači:
(a)elektronička komunikacijska mreža u smislu članka 2 stavka 1. Direktive (EU) 2018/1972;
(b)svaki uređaj ili skupina povezanih ili srodnih uređaja, od kojih jedan ili više njih programski izvršava automatsku obradu digitalnih podataka;
(c)digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose elementima opisanima u točkama (a) i (b) u svrhu njihova rada, uporabe, zaštite i održavanja;
(2)„sigurnost mrežnih i informacijskih sustava” znači sposobnost mrežnih i informacijskih sustava da na određenoj razini pouzdanosti odolijevaju svim radnjama koje ugrožavaju dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih ili prenesenih ili obrađenih podataka ili srodnih usluga koje ti mrežni i informacijski sustavi nude ili kojima omogućuju pristup;
(3)„kibersigurnost” znači kibersigurnost u smislu članka 2. stavka 1. Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća;
(4)„nacionalna strategija za kibersigurnost” znači usklađen okvir države članice kojim se predviđaju strateški ciljevi i prioriteti za sigurnost mrežnih i informacijskih sustava u toj državi članici;
(5)„incident” znači svaki događaj koji ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili srodnih usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup;
(6)„rješavanje incidenta” znači sve radnje i postupci čiji je cilj otkrivanje, analiza i zaustavljanje incidenta te odgovor na njega;
(7)„kiberprijetnja” znači kiberprijetnja u smislu članka 2. stavka 8. Uredbe (EU) 2019/881;
(8)„ranjivost” znači slabost, osjetljivost ili nedostatak nekog resursa, sustava, procesa ili kontrole koje kiberprijetnja može iskoristiti;
(9)„predstavnik” znači svaka fizička ili pravna osoba s poslovnim nastanom u Uniji koju su i. pružatelj DNS usluga, registar naziva vršnih domena, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja kako je navedeno u točki 8. Priloga I. ili ii. subjekti iz točke 6. Priloga II. koji nemaju poslovni nastan u Uniji izričito imenovali da djeluje u njihovo ime i kojoj se nacionalno nadležno tijelo ili CSIRT mogu obratiti umjesto tom subjektu u pogledu obveza tog subjekta na temelju ove Direktive;
(10)„norma” znači norma u smislu članka 2. stavka 1. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća;
(11)„tehnička specifikacija” znači tehnička specifikacija u smislu članka 2. stavka 4. Uredbe (EU) br. 1025/2012;
(12)„središte za razmjenu internetskog prometa (IXP)” znači mrežni instrument koji omogućuje međusobno povezivanje više od dviju neovisnih mreža (autonomnih sustava), prvenstveno u svrhu olakšavanja razmjene internetskog prometa; IXP omogućuje međusobno povezivanje samo za autonomne sustave; za IXP nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav, on takav promet ne mijenja i ne utječe na njega ni na koji drugi način;
(13)„sustav naziva domena (DNS)” znači hijerarhijsko raspoređeni sustav imenovanja koji krajnjim korisnicima omogućuje pristup uslugama i resursima na internetu;
(14)„pružatelj DNS usluga” znači subjekt koji pruža rekurzivne ili mjerodavne usluge razlučivanja naziva domena krajnjim korisnicima interneta i drugim pružateljima DNS usluga;
(15)„registar naziva vršnih domena” znači subjekt kojem je delegirana određena vršna domena i koji je odgovoran za upravljanje njome, uključujući registraciju naziva domena u okviru vršne domene i tehničko upravljanje vršnom domenom zajedno s upravljanjem njezinim poslužiteljima naziva, održavanje njezinih baza podataka i distribuciju datoteka iz zone vršne domene u poslužitelje naziva;
(16)„digitalna usluga” znači usluga u smislu članka 1. stavka 1. točke (b) Direktive (EU) 2015/1535 Europskog parlamenta i Vijeća;
(17)„internetsko tržište” znači digitalna usluga u smislu članka 2. točke (n) Direktive 2005/29/EZ Europskog parlamenta i Vijeća;
(18)„internetska tražilica” znači digitalna usluga u smislu članka 2. stavka 5. Uredbe (EU) 2019/1150 Europskog parlamenta i Vijeća;
(19)„usluga računalstva u oblaku” znači digitalna usluga koja omogućuje administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih i distribuiranih računalnih resursa;
(20)„usluga podatkovnog centra” znači usluga koja uključuju strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijskih tehnologija i mreža za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša;
(21)„mreža za isporuku sadržaja” znači mreža zemljopisno raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružateljâ sadržaja i usluga;
(22)„platforma za usluge društvenih mreža” znači platforma koja krajnjim korisnicima omogućuje da se međusobno povežu, dijele i otkrivaju sadržaj te da komuniciraju na više uređaja, a posebno putem razgovora, objava, videozapisa i preporuka;
(23)„subjekt javne uprave” znači subjekt u državi članici koji ispunjava sljedeće kriterije:
(a)uspostavljen je u svrhu zadovoljavanja potreba od općeg interesa i nije industrijske ili komercijalne naravi;
(b)ima pravnu osobnost;
(c)većim dijelom financiraju ga državna, regionalna ili druga javnopravna tijela; ili podliježe upravljačkom nadzoru tih tijela; ili ima upravni, upraviteljski ili nadzorni odbor u kojem su više od polovine članova imenovala državna, regionalna ili druga javnopravna tijela;
(d)ovlašten je fizičkim ili pravnim osobama upućivati upravne ili regulatorne odluke koje utječu na njihova prava u prekograničnom kretanju osoba, robe, usluga ili kapitala.
Izuzeti su subjekti javne uprave koja obavljaju aktivnosti u područjima javne sigurnosti, kaznenog progona, obrane ili nacionalne sigurnosti;
(24)„subjekt” znači svaka fizička ili pravna osoba osnovana i priznata kao takva na temelju nacionalnog prava mjesta svojeg poslovnog nastana, koja može, djelujući u vlastito ime, ostvarivati prava i preuzimati obveze;
(25)„ključni subjekt” znači svaka vrsta subjekta koja se Prilogu I. navodi kao ključni subjekt;
(26)„važni subjekt” znači svaka vrsta subjekta koja se u Prilogu II. navodi kao važni subjekt.
POGLAVLJE II.
Koordinirani regulatorni okviri za kibersigurnost
Članak 5.
Nacionalna strategija za kibersigurnost
1.Svaka država članica donosi nacionalnu strategiju za kibersigurnost kojom se utvrđuju strateški ciljevi i odgovarajuće mjere politike i regulatorne mjere radi postizanja i održavanja visoke razine kibersigurnosti. Nacionalna strategija za kibersigurnost posebno uključuje sljedeće:
(a)definiciju ciljeva i prioriteta strategije država članica za kibersigurnost;
(b)upravljački okvir za postizanje tih ciljeva i prioriteta, uključujući politike iz stavka 2. te uloge i odgovornosti javnih tijela i subjekata kao i drugih relevantnih aktera;
(c)procjenu radi utvrđivanja relevantne imovine i kibersigurnosnih rizika u toj državi članici;
(d)određivanje mjera za osiguravanje pripravnosti, odgovora i oporavka od incidenata, uključujući suradnju javnog i privatnog sektora;
(e)popis različitih tijela i aktera koji su uključeni u provedbu nacionalne strategije za kibersigurnost;
(f)okvir politike za bolju koordinaciju između nadležnih tijela iz ove Direktive i Direktive (EU) XXXX/XXXX Europskog parlamenta i Vijeća [Direktiva o otpornosti kritičnih subjekata] u svrhu razmjene informacija o incidentima i kiberprijetnjama te izvršavanja nadzornih zadaća.
2.U okviru nacionalne strategije za kibersigurnost države članice posebno donose sljedeće politike:
(a)politiku za rješavanje kibersigurnosnih pitanja u lancu opskrbe IKT proizvodima i uslugama kojima se koriste ključni i važni subjekti za pružanje svojih usluga;
(b)smjernice za uključivanje i definiranje kibersigurnosnih zahtjeva za IKT proizvode i usluge u području javne nabave;
(c)politiku za promicanje i olakšavanje koordiniranog otkrivanja ranjivosti u smislu članka 6.;
(d)politiku koja se odnosi na održavanje opće dostupnosti i cjelovitosti javne jezgre otvorenog interneta;
(e)politiku promicanja i razvoja vještina u području kibersigurnosti, informiranja te istraživačkih i razvojnih inicijativa;
(f)politiku potpore akademskim i istraživačkim institucijama u razvoju alata za kibersigurnost i sigurne mrežne infrastrukture;
(g)politiku, relevantne postupke i odgovarajuće alate za razmjenu informacija u cilju podupiranja dobrovoljne razmjene informacija o kibersigurnosti među poduzećima u skladu s pravom Unije;
(h)politiku za rješavanje posebnih potreba MSP-ova, osobito onih izuzetih iz područja primjene ove Direktive, u pogledu smjernica i potpore za poboljšanje njihove otpornosti na kiberprijetnje.
3.Države članice obavješćuju Komisiju o svojim nacionalnim strategijama za kibersigurnost u roku od tri mjeseca od njihova donošenja. Države članice mogu izostaviti određene informacije iz obavijesti ako je to nužno i u mjeri u kojoj je nužno za očuvanje nacionalne sigurnosti.
4.Države članice ocjenjuju svoje nacionalne strategije za kibersigurnost najmanje svake četiri godine na temelju ključnih pokazatelja uspješnosti te ih prema potrebi izmjenjuju. Agencija Europske unije za kibersigurnost (ENISA) pomaže državama članicama, na njihov zahtjev, u razvoju nacionalne strategije i ključnih pokazatelja uspješnosti za ocjenjivanje strategije.
Članak 6.
Koordinirano otkrivanje ranjivosti i europski registar ranjivosti
1.Svaka država članica imenuje jednog od svojih CSIRT-ova iz članka 9. koordinatorom za potrebe koordiniranog otkrivanja ranjivosti. Imenovani CSIRT djeluje kao pouzdani posrednik koji, prema potrebi, olakšava interakciju između subjekta koji obavješćuje i proizvođača ili pružatelja IKT proizvoda ili IKT usluga. Ako se prijavljena ranjivost odnosi na više proizvođača ili pružatelja IKT proizvoda ili IKT usluga širom Unije, imenovani CSIRT svake dotične države članice surađuje s mrežom CSIRT-ova.
2.ENISA razvija i vodi europski registar ranjivosti. U tu svrhu ENISA uspostavlja i održava odgovarajuće informacijske sustave, politike i postupke osobito kako bi omogućila važnim i ključnim subjektima, kao i njihovim dobavljačima mrežnih i informacijskih sustava da otkriju i registriraju ranjivosti prisutne u IKT proizvodima ili IKT uslugama te da svim zainteresiranim stranama omoguće pristup informacijama o ranjivostima sadržanima u registru. Registar konkretno uključuje informacije o ranjivosti, IKT proizvodu ili IKT uslugama na koje ona utječe i ozbiljnosti ranjivosti s obzirom na okolnosti u kojima se može iskoristiti, dostupnosti odgovarajućih popravaka i, ako nisu dostupni, smjernica namijenjenih korisnicima ranjivih proizvoda i usluga o načinu na koji se mogu ublažiti rizici koji proizlaze iz otkrivenih ranjivosti.
Članak 7.
Nacionalni okviri za upravljanje kiberkrizama
1.Svaka država članica imenuje jedno ili više nadležnih tijela odgovornih za upravljanje incidentima i krizama velikih razmjera. Države članice osiguravaju da nadležna tijela imaju odgovarajuće resurse za učinkovito i djelotvorno obavljanje zadaća koje su im dodijeljene.
2.Svaka država članica utvrđuje kapacitete, sredstva i postupke koji se mogu primijeniti u slučaju krize za potrebe ove Direktive.
3.Svaka država članica donosi nacionalni plan za odgovor na kiberincidente i kiberkrize u kojem se utvrđuju ciljevi i načini upravljanja kiberincidentima i kiberkrizama velikih razmjera. Planom se konkretno utvrđuje sljedeće:
(a)ciljevi mjera i aktivnosti za nacionalnu pripravnost;
(b)zadaće i odgovornosti nacionalnih nadležnih tijela;
(c)postupci upravljanja krizom i kanali za razmjenu informacija;
(d)mjere pripravnosti, uključujući vježbe i aktivnosti osposobljavanja;
(e)relevantne javne i privatne zainteresirane strane i uključena infrastruktura;
(f)nacionalni postupci i dogovori između relevantnih nacionalnih vlasti i tijela kako bi se osiguralo učinkovito sudjelovanje država članica u koordiniranom upravljanju kiberincidentima i kiberkrizama velikih razmjera na razini Unije i njihova potpora takvom upravljanju.
4.Države članice obavješćuju Komisiju o imenovanju svojih nadležnih tijela iz stavka 1. i dostavljaju svoje nacionalne planove za odgovor na kiberincidente i kiberkrize iz stavka 3. u roku od tri mjeseca od takvog imenovanja i donošenja tih planova. Države članice mogu izostaviti određene informacije iz planova ako je to nužno i u mjeri u kojoj je to nužno za nacionalnu sigurnost.
Članak 8.
Nacionalna nadležna tijela i jedinstvene kontaktne točke
1.Svaka država članica imenuje jedno ili više nadležnih tijela odgovornih za kibersigurnost i nadzorne zadaće iz poglavlja VI. ove Direktive. Države članice u tu svrhu mogu imenovati postojeće tijelo ili postojeća tijela.
2.Nadležna tijela iz stavka 1. prate primjenu ove Direktive na nacionalnoj razini.
3.Svaka država članica imenuje jednu nacionalnu jedinstvenu kontaktnu točku za kibersigurnost („jedinstvena kontaktna točka”). Ako država članica imenuje samo jedno nadležno tijelo, to nadležno tijelo ujedno je jedinstvena kontaktna točka te države članice.
4.Svaka jedinstvena kontaktna točka izvršava funkciju povezivanja kako bi osigurala prekograničnu suradnju tijela svoje države članice s relevantnim tijelima u drugim državama članicama te međusektorsku suradnju s drugim nacionalnim nadležnim tijelima u svojoj državi članici.
5.Države članice osiguravaju da nadležna tijela iz stavka 1. i jedinstvene kontaktne točke imaju odgovarajuće resurse za učinkovitu i djelotvornu provedbu zadaća koje su im dodijeljene te da time ispune ciljeve ove Direktive. Države članice osiguravaju učinkovitu, djelotvornu i sigurnu suradnju imenovanih predstavnika u skupini za suradnju iz članka 12.
6.Svaka država članica bez nepotrebne odgode obavješćuje Komisiju o imenovanju nadležnog tijela iz stavka 1. i jedinstvene kontaktne točke iz stavka 3. te o njihovim zadaćama i svim naknadnim promjenama. Svaka država članica objavljuje imenovanje. Komisija objavljuje popis imenovanih jedinstvenih kontaktnih točaka.
Članak 9.
Timovi za odgovor na računalne sigurnosne incidente (CSIRT-ovi)
1.Svaka država članica imenuje jedan ili više CSIRT-ova koji udovoljavaju zahtjevima iz članka 10. stavka 1. i koji obuhvaćaju barem sektore, podsektore ili subjekte iz priloga I. i II. te su odgovorni za rješavanje incidenata u skladu s točno propisanim postupkom. CSIRT se može osnovati unutar nadležnog tijela iz članka 8.
2.Države članice svakom CSIRT-u osiguravaju odgovarajuće resurse za učinkovito izvršavanje zadaća iz članka 10. stavka 2.
3.Države članice osiguravaju da svaki CSIRT raspolaže odgovarajućom, sigurnom i otpornom komunikacijskom i informacijskom infrastrukturom za razmjenu informacija s ključnim i važnim subjektima, kao i drugim relevantnim zainteresiranim stranama. Države članice u tu svrhu osiguravaju da CSIRT-ovi pridonose uvođenju sigurnih alata za razmjenu informacija.
4.CSIRT-ovi surađuju i prema potrebi razmjenjuju relevantne informacije u skladu s člankom 26. s pouzdanim sektorskim ili međusektorskim zajednicama ključnih i važnih subjekata.
5.CSIRT-ovi sudjeluju u istorazinskim ocjenjivanjima organiziranima u skladu s člankom 16.
6.Države članice osiguravaju učinkovitu, djelotvornu i sigurnu suradnju svojih CSIRT-ova u mreži CSIRT-ova iz članka 13.
7.Države članice bez nepotrebne odgode obavješćuju Komisiju o CSIRT-ovima imenovanima u skladu sa stavkom 1., koordinatoru CSIRT-ova imenovanom u skladu s člankom 6. stavkom 1. i zadaćama koje obavljaju u odnosu na subjekte iz priloga I. i II.
8.Države članice mogu zatražiti podršku ENISA-e u razvijanju nacionalnih CSIRT-ova.
Članak 10.
Zahtjevi u pogledu CSIRT-ova i njihove zadaće
1.CSIRT-ovi moraju ispunjavati sljedeće zahtjeve:
(a)CSIRT-ovi osiguravaju visoku razinu dostupnosti svojih komunikacijskih usluga izbjegavanjem jedinstvenih točki prekida te u svakom trenutku imaju na raspolaganju više sredstava za dvosmjerno kontaktiranje. CSIRT-ovi jasno određuju komunikacijske kanale i o njima obavješćuju klijente i suradnike;
(b)prostori CSIRT-ova i informacijski sustavi za potporu smješteni su na sigurnim lokacijama;
(c)CSIRT-ovi su opremljeni odgovarajućim sustavom za upravljanje zahtjevima i njihovim preusmjeravanjem, posebno kako bi se olakšale učinkovite i djelotvorne primopredaje;
(d)CSIRT-ovi imaju dovoljno zaposlenika kako bi se osigurala dostupnost u svako doba;
(e)CSIRT-ovi su opremljeni redundantnim sustavima i rezervnim radnim prostorom kako bi se osigurao kontinuitet njihovih usluga;
(f)CSIRT-ovi imaju mogućnost sudjelovanja u međunarodnim mrežama za suradnju.
2.CSIRT-ovi obavljaju sljedeće zadaće:
(a)praćenje kiberprijetnji, ranjivosti i incidenata na nacionalnoj razini;
(b)pružanje ranih upozorenja i najava te informiranje ključnih i važnih subjekata, kao i drugih relevantnih zainteresiranih strana o kiberprijetnjama, ranjivostima i incidentima;
(c)odgovaranje na incidente;
(d)osiguravanje dinamičke analize rizika i incidenata te informiranosti o stanju u pogledu kibersigurnosti;
(e)osiguravanje, na zahtjev subjekta, proaktivnog pregledavanja mrežnih i informacijskih sustava koji se upotrebljavaju za pružanje njihovih usluga;
(f)sudjelovanje u mreži CSIRT-ova i pružanje uzajamne pomoći drugim članovima mreže na njihov zahtjev.
3.CSIRT-ovi uspostavljaju suradnju s relevantnim akterima u privatnom sektoru radi uspješnijeg ostvarenja ciljeva Direktive.
4.CSIRT-ovi radi lakše suradnje promiču donošenje i primjenu zajedničkih ili standardiziranih praksi, planova za klasifikaciju i taksonomija u odnosu na sljedeće:
(a)postupke rješavanja incidenata;
(b)upravljanje kiberkrizama;
(c)koordinirano otkrivanje ranjivosti.
Članak 11.
Suradnja na nacionalnoj razini
1.Ako su odvojeni, nadležna tijela iz članka 8., jedinstvena kontaktna točka i CSIRT-ovi iste države članice surađuju u ispunjavanju obveza propisanih u ovoj Direktivi.
2.Države članice osiguravaju da njihova nadležna tijela ili njihovi CSIRT-ovi primaju obavijesti o incidentima, kao i ozbiljnim kiberprijetnjama i izbjegnutim incidentima, podnesene u skladu s ovom Direktivom. Ako država članica odluči da njezini CSIRT-ovi ne primaju te obavijesti, CSIRT-ovima se, u onoj mjeri u kojoj je to potrebno za izvršavanje njihovih zadaća, omogućuje pristup podacima o incidentima o kojima su obavijestili ključni ili važni subjekti u skladu s člankom 20.
3.Svaka država članica osigurava da njezina nadležna tijela ili CSIRT-ovi informiraju njezinu jedinstvenu kontaktnu točku o obavijestima o incidentima, ozbiljnim kiberprijetnjama i izbjegnutim incidentima koje su im dostavljene skladu s ovom Direktivom.
4.U mjeri u kojoj je to potrebno za učinkovito izvršavanje zadaća i obveza utvrđenih u ovoj Direktivi, države članice osiguravaju odgovarajuću suradnju između nadležnih tijela i jedinstvenih kontaktnih točaka i tijela za izvršavanje zakonodavstva, tijela za zaštitu podataka i tijela odgovornih za kritičnu infrastrukturu u skladu s Direktivom (EU) XXXX/XXXX [Direktiva o otpornosti kritičnih subjekata] i nacionalnih financijskih tijela imenovanih u skladu s Uredbom (EU) XXXX/XXXX Europskog parlamenta i Vijeća [Uredba DORA] unutar te države članice.
5.Države članice osiguravaju da njihova nadležna tijela redovito dostavljaju informacije nadležnim tijelima imenovanima u skladu s Direktivom (EU) XXXX/XXXX [Direktiva o otpornosti kritičnih subjekata] o kibersigurnosnim rizicima, kiberprijetnjama i incidentima koji utječu na ključne subjekte koji su utvrđeni kao kritični ili kao subjekti istovjetni kritičnim subjektima, u skladu s Direktivom (EU) XXXX/XXXX [Direktiva o otpornosti ključnih subjekata], kao i o mjerama koje su nadležna tijela poduzela kao odgovor na te rizike i incidente.
POGLAVLJE III.
Suradnja
Članak 12.
Skupina za suradnju
1.U svrhu podupiranja i olakšavanja strateške suradnje i razmjene informacija među državama članicama u području primjene Direktive, osniva se skupina za suradnju.
2.Skupina za suradnju izvršava svoje zadaće na temelju dvogodišnjih programa rada iz stavka 6.
3.Skupina za suradnju sastoji se od predstavnika država članica, Komisije i ENISA-e. Europska služba za vanjsko djelovanje sudjeluje u aktivnostima skupine za suradnju kao promatrač. Europska nadzorna tijela u skladu s člankom 17. stavkom 5. točkom (c) Uredbe (EU) XXXX/XXXX [Uredba DORA] mogu sudjelovati u aktivnostima skupine za suradnju.
Skupina za suradnju može, prema potrebi, pozvati predstavnike relevantnih dionika da sudjeluju u njezinu radu.
Komisija osigurava tajništvo.
4.Zadaće su skupine za suradnju:
(a)pružanje smjernica nadležnim tijelima za prenošenje i provedbu ove Direktive;
(b)razmjena najbolje prakse i informacija povezanih s provedbom ove Direktive, među ostalim u pogledu kiberprijetnji, incidenata, ranjivosti, izbjegnutih incidenata, inicijativa za informiranje, osposobljavanja, vježbi i vještina, izgradnje kapaciteta, kao i normi i tehničkih specifikacija;
(c)savjetovanje i suradnja s Komisijom u pogledu novih inicijativa kibersigurnosne politike;
(d)savjetovanje i suradnja s Komisijom u pogledu nacrta provedbenih ili delegiranih akata Komisije donesenih u skladu s ovom Direktivom;
(e)razmjena najbolje prakse i informacija s relevantnim institucijama, tijelima, uredima i agencijama Unije;
(f)rasprava o izvješćivanju o istorazinskom ocjenjivanju iz članka 16. stavka 7.;
(g)rasprava o rezultatima zajedničkih nadzornih aktivnosti u prekograničnim slučajevima iz članka 34.;
(h)pružanje strateških smjernica mreži CSIRT-ova o određenim novonastalim pitanjima;
(i)doprinos kibersigurnosnim kapacitetima u cijeloj Uniji olakšavanjem razmjene nacionalnih službenika putem programa za izgradnju kapaciteta koji uključuje osoblje iz nadležnih tijela država članica ili CSIRT-ova;
(j)organiziranje redovitih zajedničkih sastanaka s relevantnim privatnim zainteresiranim stranama iz cijele Unije u svrhu rasprave o aktivnostima skupine i prikupljanja informacija o novim izazovima u pogledu politike;
(k)rasprava o radu obavljenom u vezi s vježbama u području kibersigurnosti, uključujući rad ENISA-e.
5.Skupina za suradnju može od mreže CSIRT-ova zatražiti tehničko izvješće o odabranim temama.
6.Do … 24 mjeseca od datuma stupanja na snagu ove Direktive, a nakon toga svake dvije godine, skupina za suradnju sastavlja program rada u pogledu mjera koje poduzima za provedbu svojih ciljeva i zadaća. Vremenski okvir prvog programa donesenog na temelju ove Direktive usklađuje se s vremenskim okvirom zadnjeg programa donesenog na temelju Direktive (EU) 2016/1148.
7.Komisija može donijeti provedbene akte kojima se utvrđuju postupovni aranžmani potrebni za funkcioniranje skupine za suradnju. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 37. stavka 2.
8.Skupina za suradnju sastaje se redovito, a najmanje jednom godišnje, sa skupinom za otpornost kritičnih subjekata osnovanom na temelju Direktive (EU) XXXX/XXXX [Direktiva o otpornosti kritičnih subjekata] radi promicanja strateške suradnje i razmjene informacija.
Članak 13.
Mreža CSIRT-ova
1.U cilju doprinosa razvoju povjerenja i pouzdanja te promicanju brze i učinkovite operativne suradnje među državama članicama, osniva se mreža nacionalnih CSIRT-ova.
2.Mreža CSIRT-ova sastoji se od predstavnikâ CSIRT-ova država članica i CERT-EU-a. Komisija u mreži CSIRT-ova sudjeluje kao promatrač. ENISA osigurava tajništvo i aktivno podržava suradnju među CSIRT-ovima.
3.Zadaće su mreže CSIRT-ova:
(a)razmjena informacija o kapacitetima CSIRT-ova;
(b)razmjena relevantnih informacija o incidentima, izbjegnutim incidentima, kiberprijetnjama, rizicima i ranjivostima;
(c)na zahtjev predstavnika mreže CSIRT-ova na koju bi incident mogao utjecati, razmjena i rasprava o informacijama o tom incidentu te povezanim kiberprijetnjama, rizicima i ranjivostima;
(d)na zahtjev predstavnika mreže CSIRT-ova, razmatranje te, ako je moguće, i provedba koordiniranog odgovora na incident koji je utvrđen u području za koje je nadležna ta država članica;
(e)pružanje potpore državama članicama u rješavanju prekograničnih incidenata u skladu s ovom Direktivom;
(f)suradnja i pružanje pomoći imenovanim CSIRT-ovima iz članka 6. u pogledu upravljanja višestranim koordiniranim otkrivanjem ranjivosti koje utječu na brojne proizvođače ili pružatelje IKT proizvoda, IKT usluga i IKT procesa s poslovnim nastanom u različitim državama članicama;
(g)rasprava o daljnjim oblicima operativne suradnje te njihovo utvrđivanje, među ostalim u odnosu na:
i.kategorije kiberprijetnji i incidenata;
ii.rana upozorenja;
iii.uzajamnu pomoć;
iv.načela i načine koordinacije u odgovoru na prekogranične rizike i incidente;
v.doprinos nacionalnom planu za odgovor na kiberincidente i kiberkrize iz članka 7. stavka 3.;
(h)obavješćivanje skupine za suradnju o svojim aktivnostima i daljnjim oblicima operativne suradnje razmotrenima u skladu s točkom (g) te prema potrebi traženje smjernica u tom pogledu;
(i)razmatranje vježbi u području kibersigurnosti, među ostalim onih koje organizira ENISA;
(j)na zahtjev pojedinačnog CSIRT-a, rasprava o kapacitetima i pripravnosti tog CSIRT-a;
(k)suradnja i razmjena informacija s centrima za sigurnosne operacije (SOC) na regionalnoj razini i na razini Unije kako bi se poboljšala zajednička informiranost o stanju s obzirom na incidente i prijetnje u cijeloj Uniji;
(l)rasprava o izvješćima o istorazinskom ocjenjivanju iz članka 16. stavka 7.;
(m)izdavanje smjernica radi olakšavanja konvergencije operativnih praksi u cilju primjene odredaba ovog članka o operativnoj suradnji.
4.Za potrebe preispitivanja iz članka 35. i do 24 mjeseca od datuma stupanja na snagu ove Direktive, a nakon toga svake dvije godine, mreža CSIRT-ova ocjenjuje napredak ostvaren u operativnoj suradnji i priprema izvješće. U izvješću se posebno donose zaključci o ishodima istorazinskih ocjenjivanja iz članka 16. provedenih u pogledu nacionalnih CSIRT-ova, uključujući zaključke i preporuke na temelju tog članka. To se izvješće dostavlja i skupini za suradnju.
5.Mreža CSIRT-ova donosi vlastiti poslovnik.
Članak 14.
Europska mreža organizacija za vezu za kiberkrize (EU-CyCLONe)
1.Kako bi se poduprlo koordinirano upravljanje kiberincidentima i kiberkrizama velikih razmjera na operativnoj razini i osigurala redovita razmjena informacija između institucija, tijela i agencija država članica i Unije, uspostavlja se Europska mreža organizacija za vezu za kiberkrize (EU-CyCLONe).
2.EU-CyCLONe čine predstavnici tijela država članica za upravljanje krizama koja su imenovana u skladu s člankom 7., Komisija i ENISA. ENISA osigurava tajništvo mreže i podupire sigurnu razmjenu informacija.
3.EU-CyCLONe ima sljedeće zadaće:
(a)povećanje razine pripravnosti za upravljanje incidentima i krizama velikih razmjera;
(b)poboljšanje zajedničke informiranosti o stanju s obzirom na relevantne događaje u području kibersigurnosti;
(c)koordinacija upravljanja incidentima i krizama velikih razmjera te pomoć pri odlučivanju na političkoj razini u pogledu takvih incidenata i kriza;
(d)rasprava o nacionalnim planovima za odgovor na kiberincidente i kiberkrize iz članka 7. stavka 2.
4.EU-CyCLONe donosi vlastiti poslovnik.
5.EU-CyCLONe redovito izvješćuje skupinu za suradnju o kiberprijetnjama, kiberincidentima i kibertrendovima, posvećujući posebnu pažnju njihovu utjecaju na ključne i važne subjekte.
6.EU-CyCLONe surađuje s mrežom CSIRT-ova na temelju dogovorenih postupovnih aranžmana.
Članak 15.
Izvješće o stanju kibersigurnosti u Uniji
1.ENISA u suradnji s Komisijom izdaje dvogodišnje izvješće o stanju kibersigurnosti u Uniji. Izvješćem je posebno obuhvaćena ocjena sljedećeg:
(a)razvoja kibersigurnosnih kapaciteta širom Unije;
(b)tehničkih, financijskih i ljudskih resursa dostupnih nadležnim tijelima i kibersigurnosnim politikama te provedbe nadzornih i provedbenih mjera s obzirom na ishode istorazinskih ocjenjivanja iz članka 16.;
(c)indeksa kibersigurnosti kojim se omogućuje skupna ocjena razine razvijenosti kibersigurnosnih kapaciteta.
2.Izvješće sadržava posebne preporuke o politikama za povećanje razine kibersigurnosti u cijeloj Uniji i sažetak zaključaka za određeno razdoblje iz tehničkih izvješća o stanju kibersigurnosti u EU-u koje izdaje ENISA u skladu s člankom 7. stavkom 6. Uredbe (EU) 2019/881.
Članak 16.
Istorazinska ocjenjivanja
1.Nakon savjetovanja sa skupinom za suradnju i ENISA-om, a najkasnije 18 mjeseci nakon stupanja na snagu ove Direktive, Komisija utvrđuje metodologiju i sadržaj sustava istorazinskog ocjenjivanja za procjenu učinkovitosti kibersigurnosnih politika država članica. Ocjenjivanja provode tehnički stručnjaci za kibersigurnost iz država članica različitih od onih koje se ocjenjuju i obuhvaćaju najmanje sljedeće:
i.učinkovitost provedbe zahtjeva za upravljanje kibersigurnosnim rizicima i obveza izvješćivanja iz članaka 18. i 20.;
ii.razinu kapaciteta, uključujući dostupne financijske, tehničke i ljudske resurse te učinkovitost izvršavanja zadaća nacionalnih nadležnih tijela;
iii.operativni kapacitet i učinkovitost CSIRT-ova;
iv. učinkovitost uzajamne pomoći iz članka 34.;
v. učinkovitost okvira za razmjenu informacija iz članka 26. ove Direktive.
2.Metodologija uključuje objektivne, nediskriminirajuće, pravedne i transparentne kriterije na temelju kojih države članice imenuju stručnjake koji su kvalificirani za provedbu istorazinskih ocjenjivanja. ENISA i Komisija imenuju stručnjake koji kao promatrači sudjeluju u istorazinskom ocjenjivanju. Komisija, uz potporu ENISA-e, u okviru metodologije iz stavka 1. uspostavlja objektivan, nediskriminirajući, pravedan i transparentan sustav za odabir i nasumično raspoređivanje stručnjaka za svako istorazinsko ocjenjivanje.
3.O organizacijskim aspektima istorazinskih ocjenjivanja odlučuje Komisija, uz potporu ENISA-e, te se oni nakon savjetovanja sa skupinom za suradnju temelje na kriterijima definiranima u okviru metodologije iz stavka 1. Istorazinskim ocjenjivanjem procjenjuju se aspekti iz stavka 1. za sve države članice i sektore, uključujući ciljana pitanja specifična za jednu ili više država članica ili jedan ili više sektora.
4.Istorazinska ocjenjivanja uključuju stvarne ili virtualne provjere na lokaciji i razmjene izvan lokacije. S obzirom na načelo dobre suradnje, države članice koje se ocjenjuju dostavljaju imenovanim stručnjacima tražene informacije potrebne za procjenu aspekata koji se ocjenjuju. Informacije dobivene u postupku istorazinskog ocjenjivanja upotrebljavat će se isključivo u tu svrhu. Stručnjaci koji sudjeluju u istorazinskom ocjenjivanju ne smiju trećim stranama otkrivati osjetljive ili povjerljive informacije dobivene tijekom takvog ocjenjivanja.
5.Nakon što se ocijene u određenoj državi članici, isti aspekti ne podvrgavaju se daljnjem istorazinskom ocjenjivanju u toj državi članici dvije godine nakon završetka takvog ocjenjivanja ako Komisija ne odluči drukčije po završetku savjetovanja s ENISA-om i skupinom za suradnju.
6.Države članice dužne su se pobrinuti da se druge države članice, Komisija i ENISA-a bez nepotrebne odgode obavijeste o svakom riziku od sukoba interesa imenovanih stručnjaka.
7.Stručnjaci koji sudjeluju u istorazinskim ocjenjivanjima sastavljaju izvješća o nalazima i zaključcima ocjenjivanja. Izvješća se dostavljaju Komisiji, skupini za suradnju, mreži CSIRT-ova i ENISA-i. O izvješćima raspravlja skupina za suradnju i mreža CSIRT-ova. Skupina za suradnju može ta izvješća objaviti na svojim internetskim stranicama.
POGLAVLJE IV.
Obveze upravljanja kibersigurnosnim rizicima i izvješćivanja o njima
ODJELJAK I.
Upravljanje kibersigurnosnim rizicima i izvješćivanje o njima
Članak 17.
Upravljanje
1.Države članice osiguravaju da upravljačka tijela ključnih i važnih subjekata odobravaju mjere upravljanja kibersigurnosnim rizicima koje su ti subjekti poduzeli radi usklađivanja s člankom 18., nadziru njegovu provedbu i odgovaraju za neusklađenost subjekata s obvezama iz ovog članka.
2.Države članice osiguravaju da članovi upravljačkog tijela redovito pohađaju posebna osposobljavanja kako bi stekli dovoljno znanja i vještina za razumijevanje i procjenu kibersigurnosnih rizika i praksi upravljanja, kao i njihova učinka na poslovanje subjekta.
Članak 18.
Mjere upravljanja kibersigurnosnim rizicima
1.Države članice osiguravaju da ključni i važni subjekti poduzimaju odgovarajuće i razmjerne tehničke i organizacijske mjere upravljanja rizicima kojima su izloženi mrežni i informacijski sustavi kojima se ti subjekti služe u pružanju svojih usluga. Uzimajući u obzir najnovija dostignuća, tim se mjerama osigurava razina sigurnosti mrežnih i informacijskih sustava koja odgovara postojećem riziku.
2.Mjere iz stavka 1. uključuju najmanje sljedeće:
(a)politike analize rizika i sigurnosti informacijskih sustava;
(b)rješavanje incidenata (sprečavanje, otkrivanje i odgovor na incidente);
(c)kontinuitet poslovanja i upravljanje krizama;
(d)sigurnost lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih dobavljača ili pružatelja usluga kao što su pružatelji usluga pohrane i obrade podataka ili upravljanih sigurnosnih usluga;
(e)sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući rješavanje ranjivosti i njihovo otkrivanje;
(f)politike i postupke (testiranje i revizija) za procjenu učinkovitosti mjera upravljanja kibersigurnosnim rizicima;
(g)primjenu kriptografije i šifriranja.
3.Države članice osiguravaju da subjekti pri razmatranju odgovarajućih mjera iz stavka 2. točke (d) uzimaju u obzir ranjivosti specifične za svakog dobavljača i pružatelja usluge te opću kvalitetu proizvoda i kibersigurnosnu praksu svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.
4.Države članice osiguravaju da subjekt, ako utvrdi da njegove usluge odnosno zadaće nisu u skladu sa zahtjevima utvrđenima u stavku 2., bez nepotrebne odgode poduzme sve potrebne korektivne mjere kako bi uskladio predmetnu uslugu.
5.Komisija može donijeti provedbene akte kako bi utvrdila tehničke i metodološke specifikacije elemenata iz stavka 2. U pripremi tih akata Komisija djeluje u skladu s postupkom ispitivanja iz članka 37. stavka 2. i slijedi, u što većoj mjeri, međunarodne i europske norme, kao i relevantne tehničke specifikacije.
6.Komisija je ovlaštena donijeti delegirane akte u skladu s člankom 36. radi dopune elemenata utvrđenih u stavku 2. kako bi se u obzir uzele nove kiberprijetnje, tehnološki razvoj ili sektorske posebnosti.
Članak 19.
Koordinirane procjene rizika ključnih lanaca opskrbe na razini EU-a
1.Skupina za suradnju, zajedno s Komisijom i ENISA-om, može provoditi koordinirane procjene sigurnosnih rizika za određene ključne lance opskrbe IKT uslugama, sustavima ili proizvodima, uzimajući u obzir tehničke i, prema potrebi, netehničke čimbenike rizika.
2.Komisija, nakon savjetovanja sa skupinom za suradnju i ENISA-om, utvrđuje posebne ključne IKT usluge, sustave ili proizvode koji mogu biti predmet koordinirane procjene rizika iz stavka 1.
Članak 20.
Obveze izvješćivanja
1.Države članice osiguravaju da ključni i važni subjekti bez nepotrebne odgode obavješćuju nadležna tijela ili CSIRT u skladu sa stavcima 3. i 4. o svakom incidentu koji ima znatan učinak na pružanje njihovih usluga. Prema potrebi, ti subjekti bez nepotrebne odgode obavješćuju primatelje svojih usluga o incidentima koji bi mogli negativno utjecati na pružanje tih usluga. Države članice osiguravaju da ti subjekti, među ostalim, prijavljuju sve informacije koje nadležnim tijelima ili CSIRT-ovima omogućuju da utvrde sve prekogranične učinke incidenta.
2.Države članice osiguravaju da ključni i važni subjekti bez nepotrebne odgode obavješćuju nadležna tijela ili CSIRT o svim ozbiljnim kiberprijetnjama za koje ti subjekti utvrde da bi mogle dovesti do ozbiljnog incidenta.
Ako je primjenjivo, ti subjekti bez nepotrebne odgode obavješćuju primatelje svojih usluga na koje bi mogla utjecati ozbiljna kiberprijetnja o svim mjerama ili pravnim lijekovima koje ti primatelji mogu poduzeti kao odgovor na tu prijetnju. Prema potrebi, subjekti isto tako obavješćuju te primatelje o samoj prijetnji. Subjekt koji šalje obavijest ne podliježe zbog toga povećanoj odgovornosti.
3.Incident se smatra ozbiljnim:
(a)ako je uzrokovao ili može uzrokovati znatne poremećaje u radu ili financijske gubitke za predmetni subjekt;
(b)ako je utjecao ili bi mogao utjecati na druge fizičke ili pravne osobe uzrokovanjem znatnih materijalnih ili nematerijalnih gubitaka.
4.Države članice osiguravaju da, za potrebe obavješćivanja iz stavka 1., predmetni subjekti podnose nadležnim tijelima ili CSIRT-u:
(a)bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od primitka informacije o incidentu, prvu obavijest u kojoj se, prema potrebi, navodi pretpostavlja li se da je incident uzrokovan nezakonitim ili zlonamjernim djelovanjem;
(b)na zahtjev nadležnog tijela ili CSIRT-a, privremeno izvješće o relevantnim ažuriranjima statusa;
(c)završno izvješće najkasnije mjesec dana nakon podnošenja obavijesti iz točke (a), koje uključuje najmanje sljedeće:
i.detaljni opis incidenta, njegovu ozbiljnost i učinak;
ii.vrstu prijetnje ili temeljnog uzroka koji je vjerojatno prouzročio incident;
iii.provedene i tekuće mjere ublažavanja.
Države članice osiguravaju da u opravdanim slučajevima i u dogovoru s nadležnim tijelima ili CSIRT-om predmetni subjekt može odstupiti od rokova utvrđenih u točkama (a) i (c).
5.Nadležna nacionalna tijela ili CSIRT u roku od 24 sata od primitka prve obavijesti iz stavka 4. točke (a) dostavljaju odgovor subjektu koji podnosi obavijest, uključujući početne povratne informacije o incidentu i, na zahtjev subjekta, smjernice za provedbu mogućih mjera ublažavanja. Ako CSIRT nije primio obavijest iz stavka 1., smjernice pruža nadležno tijelo u suradnji s CSIRT-om. CSIRT pruža dodatnu tehničku potporu ako to zatraži predmetni subjekt. Ako se sumnja da je incident kriminalne naravi, nadležna nacionalna tijela ili CSIRT pružaju i smjernice o prijavi incidenta tijelima za izvršavanje zakonodavstva.
6.Nadležno tijelo ili CSIRT prema potrebi o incidentu obavješćuju ostale pogođene države članice i ENISA-u, a osobito ako se incident iz stavka 1. odnosi na dvije ili više država članica. Pritom nadležna tijela, CSIRT-ovi i jedinstvene kontaktne točke, u skladu s pravom Unije ili nacionalnim zakonodavstvom usklađenim s pravom Unije, čuvaju sigurnost i komercijalne interese subjekta te povjerljivost dostavljenih informacija.
7.Ako je za sprečavanje incidenta ili rješavanje incidenta koji je u tijeku nužno obavijestiti javnost ili ako je otkrivanje incidenta u javnom interesu zbog nekog drugog razloga, nadležno tijelo ili CSIRT te, prema potrebi, tijela ili CSIRT-ovi drugih pogođenih država članica mogu, nakon savjetovanja s predmetnim subjektom, obavijestiti javnost o incidentu ili zatražiti od subjekta da to učini.
8.Na zahtjev nadležnog tijela ili CSIRT-a jedinstvena kontaktna točka prosljeđuje obavijesti primljene na temelju stavaka 1. i 2. jedinstvenim kontaktnim točkama drugih pogođenih država članica.
9.Jedinstvena kontaktna točka jedanput mjesečno podnosi ENISA-i sažeto izvješće koje uključuje anonimizirane i agregirane podatke o incidentima, ozbiljnim kiberprijetnjama i izbjegnutim incidentima prijavljenima u skladu sa stavcima 1. i 2. te u skladu s člankom 27. Kako bi se doprinijelo tome da dostavljeni podaci budu usporedivi, ENISA može izdati tehničke smjernice o parametrima za informacije uključene u sažeto izvješće.
10.Nadležna tijela dostavljaju nadležnim tijelima imenovanima u skladu s Direktivom (EU) XXXX/XXXX [Direktiva o otpornosti kritičnih subjekata] informacije o incidentima i kiberprijetnjama koje su u skladu sa stavcima 1. i 2. prijavili ključni subjekti koji su identificirani kao kritični subjekti ili kao subjekti istovjetni kritičnim subjektima, u skladu s Direktivom (EU) XXXX/XXXX [Direktiva o otpornosti kritičnih subjekata].
11.Komisija može donijeti provedbene akte kojima se dodatno utvrđuju vrsta informacija te oblik i postupak podnošenja obavijesti u skladu sa stavcima 1. i 2. Komisija isto tako može donijeti provedbene akte kako bi dodatno utvrdila slučajeve u kojima se incident smatra ozbiljnim kako je navedeno u stavku 3. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 37. stavka 2.
Članak 21.
Primjena europskih programa kibersigurnosne certifikacije
1.Kako bi dokazale usklađenost s određenim zahtjevima iz članka 18., države članice mogu zahtijevati da ključni i važni subjekti certificiraju određene IKT proizvode, IKT usluge i IKT procese u okviru posebnih europskih programa kibersigurnosne certifikacije donesenih u skladu s člankom 49. Uredbe (EU) 2019/881. Proizvode, usluge i procese koji podliježu certifikaciji mogu razviti ključni ili važni subjekti ili se mogu nabaviti od trećih strana.
2.Komisija je ovlaštena donositi delegirane akte kojima se određuje koje kategorije ključnih subjekata moraju pribaviti certifikat i na temelju kojih posebnih europskih programa kibersigurnosne certifikacije u skladu sa stavkom 1. Delegirani akti donose se u skladu s člankom 36.
3.Ako nije dostupan odgovarajući europski program kibersigurnosne certifikacije za potrebe stavka 2, Komisija može zatražiti od ENISA-e da izradi prijedlog programa certifikacije u skladu s člankom 48. stavkom 2. Uredbe (EU) 2019/881.
Članak 22.
Normizacija
1.Države članice, u cilju promicanja konvergentne provedbe članka 18. stavaka 1. i 2., bez nametanja ili diskriminacije određene vrste tehnologije, potiču primjenu europskih ili međunarodno priznatih normi i specifikacija relevantnih za sigurnost mrežnih i informacijskih sustava.
2.ENISA u suradnji s državama članicama izrađuje savjete i smjernice u pogledu tehničkih područja koja treba razmotriti u odnosu na stavak 1. te u odnosu na postojeće norme, uključujući nacionalne norme država članica, kojima bi se ta područja mogla obuhvatiti.
Članak 23.
Baze podataka s nazivima domena i registracijskim podacima
1.Kako bi se pridonijelo sigurnosti, stabilnosti i otpornosti DNS-a, države članice osiguravaju da registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena za vršnu domenu prikupljaju i održavaju točne i potpune podatke o registraciji naziva domena u posebnoj bazi podataka uz dužnu pažnju u skladu s pravom Unije o zaštiti osobnih podataka.
2.Države članice osiguravaju da baze podataka o registraciji naziva domena iz stavka 1. sadržavaju relevantne informacije za identifikaciju i kontakt nositelja naziva domena te kontaktnih točaka koje upravljaju nazivima domena u okviru vršnih domena.
3.Države članice osiguravaju da registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena za vršnu domenu uspostave politike i postupke kojima se osigurava da baze podataka sadržavaju točne i potpune informacije. Države članice osiguravaju da su takve politike i postupci javno dostupni.
4.Države članice osiguravaju da registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena za vršnu domenu bez nepotrebne odgode nakon registracije naziva domene objave podatke o registraciji domene koji nisu osobni podaci.
5.Države članice osiguravaju da registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena za vršnu domenu omoguće pristup određenim podacima o registraciji naziva domena na temelju zakonitih i opravdanih zahtjeva legitimnih tražitelja pristupa, u skladu s pravom Unije o zaštiti podataka. Države članice osiguravaju da registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena za vršnu domenu bez nepotrebne odgode odgovaraju na sve zahtjeve za pristup. Države članice osiguravaju javnu dostupnost politika i postupaka za objavljivanje takvih podataka.
Odjeljak II.
Nadležnost i registracija
Članak 24.
Nadležnost i teritorijalnost
1.Smatra se da su pružatelji DNS usluga, registri naziva vršnih domena, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra i pružatelji mreža za isporuku sadržaja iz točke 8. Priloga I. te pružatelji digitalnih usluga iz točke 6. Priloga II. u nadležnosti države članice u kojoj imaju glavni poslovni nastan u Uniji.
2.Za potrebe ove Direktive smatra se da subjekti iz stavka 1. imaju glavni poslovni nastan u Uniji u državi članici u kojoj se donose odluke povezane s mjerama upravljanja kibersigurnosnim rizicima. Ako se takve odluke ne donose ni u jednoj poslovnoj jedinici u Uniji, smatra se da se glavni poslovni nastan nalazi u državi članici u kojoj subjekti imaju poslovnu jedinicu s najvećim brojem zaposlenika u Uniji.
3.Ako subjekt iz stavka 1. nema poslovni nastan u Uniji, ali nudi usluge unutar Unije, dužan je imenovati predstavnika u Uniji. Predstavnik mora imati poslovni nastan u jednoj od država članica u kojima subjekt nudi svoje usluge. Smatra se da takav subjekt pripada nadležnosti one države članice u kojoj njegov predstavnik ima poslovni nastan. Ako predstavnik unutar Unije nije imenovan u skladu s ovim člankom, svaka država članica u kojoj subjekt pruža usluge može poduzeti pravne mjere protiv subjekta zbog nepoštovanja obveza iz ove Direktive.
4.Imenovanjem predstavnika koje obavlja subjekt iz stavka 1. ne dovode se u pitanje pravne mjere koje bi se mogle poduzeti protiv tog subjekta.
Članak 25.
Registar za ključne i važne subjekte
1.ENISA uspostavlja i vodi registar za ključne i važne subjekte iz članka 24. stavka 1. Najkasnije do [12 mjeseci nakon stupanja na snagu ove Direktive] subjekti dostavljaju ENISA-i sljedeće informacije:
(a)naziv subjekta;
(b)adresu svojega glavnog poslovnog nastana i drugih zakonitih poslovnih jedinica u Uniji ili, ako nemaju poslovni nastan u Uniji, svojega predstavnika imenovanog u skladu s člankom 24. stavkom 3.;
(c)ažurirane podatke za kontakt, uključujući e-adrese i telefonske brojeve subjekata.
2.Subjekti iz stavka 1. bez odgode, a u svakom slučaju u roku od tri mjeseca od datuma na koji je promjena počela proizvoditi učinke, obavješćuju ENISA-u o svim promjenama podataka koje su dostavili na temelju stavka 1.
3.Po primitku informacija iz stavka 1. ENISA ih prosljeđuje jedinstvenim kontaktnim točkama ovisno o naznačenoj lokaciji glavnog poslovnog nastana svakog subjekta ili, ako subjekt nema poslovni nastan u Uniji, njegova imenovanog predstavnika. Ako subjekt iz stavka 1. osim glavnog poslovnog nastana u Uniji ima dodatne poslovne jedinice u drugim državama članicama, ENISA je dužna obavijestiti i jedinstvene kontaktne točke tih država članica.
4.Ako subjekt ne registrira svoju djelatnost ili ne dostavi relevantne informacije u roku utvrđenom u stavku 1., svaka država članica u kojoj subjekt pruža usluge bit će nadležna za osiguravanje usklađenosti tog subjekta s obvezama utvrđenima u ovoj Direktivi.
POGLAVLJE V.
Razmjena informacija
Članak 26.
Mehanizmi za razmjenu informacija o kibersigurnosti
1.Ne dovodeći u pitanje Uredbu (EU) 2016/679, države članice osiguravaju da ključni i važni subjekti mogu međusobno razmjenjivati relevantne informacije o kibersigurnosti, uključujući informacije koje se odnose na kiberprijetnje, ranjivosti, pokazatelje ugroženosti, taktike, tehnike i postupke, kibersigurnosna upozorenja i konfiguracijske alate, ako takva razmjena informacija:
(a)ima za cilj sprečavanje ili otkrivanje incidenata, odgovaranje na incidente ili njihovo ublažavanje;
(b)povećava razinu kibersigurnosti, posebno povećanjem informiranosti o kiberprijetnjama, ograničavanjem ili ometanjem mogućnosti širenja takvih prijetnji, podupiranjem niza obrambenih sposobnosti, otklanjanjem i otkrivanjem ranjivosti, tehnikama otkrivanja prijetnji, strategijama ublažavanja ili fazama odgovora i oporavka.
2.Države članice osiguravaju da se razmjena informacija odvija unutar pouzdanih zajednica ključnih i važnih subjekata. S obzirom na potencijalno osjetljivu prirodu razmijenjenih informacija, takva se razmjena provodi putem mehanizama za razmjenu informacija i u skladu s pravilima u okviru prava Unije iz stavka 1.
3.Države članice utvrđuju pravila kojima se određuju postupak, operativni elementi (uključujući upotrebu namjenskih IKT platformi), sadržaj i uvjeti mehanizama za razmjenu informacija iz stavka 2. Takvim se pravilima utvrđuju i pojedinosti o sudjelovanju javnih tijela u takvim mehanizmima, kao i operativni elementi, uključujući upotrebu namjenskih informatičkih platformi. Države članice nude potporu primjeni takvih mehanizama u skladu sa svojim politikama iz članka 5. stavka 2. točke (g).
4.Ključni i važni subjekti obavješćuju nadležna tijela o svojem sudjelovanju u mehanizmima za razmjenu informacija iz stavka 2. nakon početka sudjelovanja u takvim mehanizmima ili, ako je primjenjivo, o svojem povlačenju iz takvih mehanizama nakon što povlačenje stupi na snagu.
5.U skladu s pravom Unije, ENISA podupire uspostavu mehanizama za razmjenu informacija o kibersigurnosti iz stavka 2. pružanjem primjera najbolje prakse i smjernica.
Članak 27.
Dobrovoljno obavješćivanje o relevantnim informacijama
Ne dovodeći u pitanje članak 3., države članice osiguravaju da subjekti koji nisu obuhvaćeni područjem primjene ove Direktive mogu dobrovoljno podnositi obavijesti o ozbiljnim incidentima, kiberprijetnjama ili izbjegnutim incidentima. Pri obradi obavijesti države članice djeluju u skladu s postupkom utvrđenim u članku 20. Države članice obradi obveznih obavijesti mogu dati prednost pred obradom obavijesti na dobrovoljnoj osnovi. Subjektu koji je obavijest podnio dobrovoljno ne smiju se zbog tog obavješćivanja nametati dodatne obveze kojima ne bi podlijegao da nije podnio tu obavijest.
POGLAVLJE VI.
Nadzor i provedba
Članak 28.
Opći aspekti nadzora i provedbe
1.Države članice osiguravaju da nadležna tijela djelotvorno prate i poduzimaju mjere potrebne za osiguravanje usklađenosti s ovom Direktivom, posebno s obvezama utvrđenima u člancima 18. i 20.
2.Nadležna tijela blisko surađuju s tijelima za zaštitu podataka u rješavanju incidenata koji za posljedicu imaju povrede osobnih podataka.
Članak 29.
Nadzor i provedba za ključne subjekte
1.Države članice osiguravaju da su mjere nadzora ili provedbe određene ključnim subjektima s obzirom na obveze utvrđene u ovoj Direktivi učinkovite, razmjerne i odvraćajuće, uzimajući u obzir okolnosti svakog pojedinog slučaja.
2.Države članice osiguravaju da nadležna tijela pri izvršavanju svojih nadzornih zadaća u odnosu na ključne subjekte imaju ovlasti da te subjekte obvežu na sljedeće:
(a)izravni i neizravni nadzor, uključujući nasumične provjere;
(b)redovite revizije;
(c)ciljane revizije sigurnosti na temelju procjena rizika ili dostupnih informacija povezanih s rizikom;
(d)analize sigurnosti na temelju objektivnih, nediskriminirajućih, pravednih i transparentnih kriterija za procjenu rizika;
(e)zahtjeve za informacije potrebne za ocjenjivanje kibersigurnosnih mjera koje je donio subjekt, uključujući dokumentirane kibersigurnosne politike te usklađenost s obvezom obavješćivanja ENISA-e u skladu s člankom 25. stavcima 1. i 2.;
(f)zahtjeve za pristup podacima, dokumentima ili bilo kojim informacijama potrebnima za obavljanje njihovih nadzornih zadaća;
(g)zahtjeve za dokaze o provedbi kibersigurnosnih politika, kao što su rezultati revizija sigurnosti koje je proveo kvalificirani revizor i odgovarajući temeljni dokazi.
3.Pri izvršavanju svojih ovlasti iz stavka 2. točaka od (e) do (g), nadležna tijela navode svrhu zahtjeva i pobliže određuju tražene informacije.
4.Države članice osiguravaju da nadležna tijela pri izvršavanju svojih provedbenih ovlasti u odnosu na ključne subjekte imaju sljedeće ovlasti:
(a)izdavati upozorenja o neusklađenosti subjekata s obvezama utvrđenima u ovoj Direktivi;
(b)izdavati obvezujuće upute ili nalog kojim se od tih subjekata zahtijeva da uklone utvrđene nedostatke ili povrede obveza utvrđenih u ovoj Direktivi;
(c)naložiti tim subjektima da prestanu s postupanjem koje nije u skladu s obvezama utvrđenima u ovoj Direktivi i da ne ponavljaju takvo postupanje;
(d)naložiti tim subjektima da svoje mjere upravljanja rizicima i/ili obveze izvješćivanja usklade s obvezama iz članaka 18. i 20. na utvrđeni način i u utvrđenom roku;
(e)naložiti tim subjektima da obavijeste fizičke ili pravne osobe kojima pružaju usluge ili obavljaju aktivnosti na koje bi mogla utjecati ozbiljna kiberprijetnja o svim mogućim zaštitnim ili korektivnim mjerama koje te fizičke ili pravne osobe mogu poduzeti kao odgovor na tu prijetnju;
(f)naložiti tim subjektima da u razumnom roku provedu preporuke dane na temelju revizije sigurnosti;
(g)imenovati službenika za praćenje s dobro definiranim zadaćama tijekom određenog razdoblja kako bi nadgledao usklađenost s njihovim obvezama iz članaka 18. i 20.;
(h)naložiti tim subjektima da objave aspekte nepoštovanja obveza predviđenih ovom Direktivom na utvrđeni način;
(i)objaviti izjavu u kojoj se navode pravne i fizičke osobe odgovorne za povredu obveze utvrđene u ovoj Direktivi i priroda te povrede;
(j)odrediti ili zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom izreknu upravnu novčanu kaznu u skladu s člankom 31. uz mjere iz točaka od (a) do (i) ovog stavka ili umjesto njih, ovisno o okolnostima svakog pojedinog slučaja.
5.Ako se provedbene mjere donesene u skladu sa stavkom 4. točkama od (a) do (d) i točkom (f) pokažu neučinkovitima, države članice osiguravaju da nadležna tijela imaju ovlast utvrditi rok u kojem se od ključnog subjekta zahtijeva da poduzme mjere potrebne za ispravljanje nedostataka ili da ispuni zahtjeve tih tijela. Ako zatražena mjera nije poduzeta u zadanom roku, države članice osiguravaju da nadležna tijela imaju ovlasti:
(a)obustaviti ili zatražiti od certifikacijskog ili tijela koje izdaje ovlaštenja da obustavi certificiranje ili izdavanje ovlaštenja povezanih s dijelom ili svim uslugama koje ključni subjekt pruža ili s djelatnostima koje obavlja;
(b)nametnuti ili zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom propišu privremenu zabranu obavljanja rukovoditeljskih dužnosti u tom ključnom subjektu svakoj osobi koja te dužnosti obavlja na razini glavnog izvršnog direktora ili pravnog zastupnika u tom ključnom subjektu te svakoj drugoj fizičkoj osobi koja se smatra odgovornom za povredu.
Te se sankcije primjenjuju samo dok subjekt ne poduzme potrebne mjere za otklanjanje nedostataka ili dok ne ispuni zahtjeve nadležnog tijela za koje su takve sankcije primijenjene.
6.Države članice osiguravaju da svaka fizička osoba koja je odgovorna za ključni subjekt ili djeluje kao njegov predstavnik na temelju ovlasti za zastupanje, ovlasti za donošenje odluka u njegovo ime ili ovlasti za izvršavanje kontrole nad tim subjektom ima ovlasti osigurati njegovu usklađenost s obvezama utvrđenima u ovoj Direktivi. Države članice osiguravaju da se te fizičke osobe mogu smatrati odgovornima za kršenje svojih dužnosti da osiguraju ispunjenje obveza utvrđenih u ovoj Direktivi.
7.Ako poduzimaju bilo koju provedbenu mjeru ili primjenjuju bilo koju od sankcija u skladu sa stavcima 4. i 5., nadležna tijela poštuju prava na obranu i uzimaju u obzir okolnosti svakog pojedinačnog slučaja te propisno uzimaju u obzir barem:
(a)ozbiljnost povrede i važnost prekršenih odredaba. Među povredama koje bi trebalo smatrati teškima nalaze se: opetovane povrede, neprijavljivanje ili neispravljanje incidenata sa znatnim negativnim učinkom, neuklanjanje nedostataka u skladu s obvezujućim uputama nadležnih tijela, ometanje revizija ili aktivnosti praćenja koje je naložilo nadležno tijelo nakon utvrđivanja povrede, pružanje lažnih ili izrazito netočnih informacija povezanih sa zahtjevima za upravljanje rizicima ili obvezama izvješćivanja iz članaka 18. i 20.;
(b)trajanje povrede, uključujući element ponovljenih povreda;
(c)stvarno prouzročenu štetu ili nastale gubitke ili potencijalnu štetu ili gubitke, u mjeri u kojoj ih je moguće utvrditi. Pri evaluaciji tog aspekta u obzir se uzimaju, među ostalim, stvarni ili potencijalni financijski ili gospodarski gubici, učinci na druge usluge, broj pogođenih ili potencijalno pogođenih korisnika;
(d)ima li povreda obilježje namjere ili nepažnje;
(e)mjere koje je subjekt poduzeo radi sprečavanja ili ublažavanja štete i/ili gubitaka;
(f)poštovanje odobrenih kodeksa ponašanja ili odobrenih mehanizama certificiranja;
(g)razinu suradnje fizičkih ili pravnih osoba koje se smatraju odgovornima s nadležnim tijelima.
8.Nadležna tijela detaljno obrazlažu svoje provedbene odluke. Prije donošenja takvih odluka nadležna tijela obavješćuju predmetne subjekte o svojim preliminarnim nalazima i pružaju im razuman rok za podnošenje primjedaba.
9.Države članice osiguravaju da njihova nadležna tijela obavješćuju relevantna nadležna tijela predmetne države članice imenovana u skladu s Direktivom (EU) XXXX/XXXX [Direktiva o otpornosti kritičnih subjekata] pri izvršavanju svojih nadzornih i provedbenih ovlasti kojima je cilj osigurati da ključni subjekt koji je identificiran kao kritičan ili kao subjekt istovjetan kritičnom subjektu u skladu s Direktivom (EU) XXXX/XXXX [Direktiva o otpornosti kritičnih subjekata] ispunjava obveze u skladu s ovom Direktivom. Na zahtjev nadležnih tijela iz Direktive (EU) XXXX/XXXX [Direktiva o otpornosti kritičnih subjekata], nadležna tijela mogu izvršavati svoje nadzorne i provedbene ovlasti nad ključnim subjektom koji je utvrđen kao kritičan ili istovjetan kritičnom subjektu.
Članak 30.
Nadzor i provedba za važne subjekte
1.Kada dobiju dokaz ili naznaku da važan subjekt ne ispunjava obveze utvrđene u ovoj Direktivi, a posebno u člancima 18. i 20., države članice osiguravaju da nadležna tijela, ako je potrebno, poduzmu ex post nadzorne mjere.
2.Države članice osiguravaju da nadležna tijela pri izvršavanju svojih nadzornih zadaća u odnosu na važne subjekte imaju ovlasti da te subjekte obvežu na sljedeće:
(a)izravni nadzor i neizravni ex post nadzor;
(b)ciljane revizije sigurnosti na temelju procjena rizika ili dostupnih informacija povezanih s rizikom;
(c)analize sigurnosti na temelju objektivnih, pravednih i transparentnih kriterija za procjenu rizika;
(d)zahtjeve za informacije potrebne za ex post ocjenjivanje kibersigurnosnih mjera, uključujući dokumentirane kibersigurnosne politike te usklađenost s obvezom obavješćivanja ENISA-e u skladu s člankom 25. stavcima 1. i 2.;
(e)zahtjeve za pristup podacima, dokumentima i/ili informacijama potrebnima za obavljanje njihovih nadzornih zadaća.
3.Pri izvršavanju svojih ovlasti iz stavka 2. točaka (d) ili (e) nadležna tijela navode svrhu zahtjeva i pobliže određuju tražene informacije.
4.Države članice osiguravaju da nadležna tijela pri izvršavanju svojih provedbenih ovlasti u pogledu važnih subjekata imaju sljedeće ovlasti:
(a)izdavati upozorenja o neusklađenosti subjekata s obvezama utvrđenima u ovoj Direktivi;
(b)izdavati obvezujuće upute ili nalog kojim se od tih subjekata zahtijeva da uklone utvrđene nedostatke ili povrede obveza utvrđenih u ovoj Direktivi;
(c)naložiti tim subjektima da prestanu s postupanjem koje nije u skladu s obvezama utvrđenima u ovoj Direktivi i da ne ponavljaju takvo postupanje;
(d)naložiti tim subjektima da svoje mjere upravljanja rizicima ili obveze izvješćivanja usklade s obvezama iz članaka 18. i 20. na utvrđeni način i u utvrđenom roku;
(e)naložiti tim subjektima da obavijeste fizičke ili pravne osobe kojima pružaju usluge ili obavljaju aktivnosti na koje bi mogla utjecati ozbiljna kiberprijetnja o svim mogućim zaštitnim ili korektivnim mjerama koje te fizičke ili pravne osobe mogu poduzeti kao odgovor na tu prijetnju;
(f)naložiti tim subjektima da u razumnom roku provedu preporuke dane na temelju revizije sigurnosti;
(g)naložiti tim subjektima da objave aspekte nepoštovanja obveza predviđenih ovom Direktivom na utvrđeni način;
(h)objaviti izjavu u kojoj se navode pravne i fizičke osobe odgovorne za povredu obveze utvrđene u ovoj Direktivi i priroda te povrede;
(i)odrediti ili zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom izreknu upravnu novčanu kaznu u skladu s člankom 31. uz mjere iz točaka od (a) do (h) ovog stavka ili umjesto njih, ovisno o okolnostima svakog pojedinog slučaja.
5.Članak 29. stavci od 6. do 8. primjenjuju se i na nadzorne i provedbene mjere predviđene ovim člankom za važne subjekte navedene u Prilogu II.
Članak 31.
Opći uvjeti za izricanje upravnih novčanih kazni ključnim i važnim subjektima
1.Države članice osiguravaju da je izricanje upravnih novčanih kazni ključnim i važnim subjektima u skladu s ovim člankom u pogledu povreda obveza utvrđenih u ovoj Direktivi u svakom pojedinačnom slučaju učinkovito, razmjerno i odvraćajuće.
2.Upravne novčane kazne izriču se uz mjere iz članka 29. stavka 4. točaka od (a) do (i), članka 29. stavka 5. i članka 30. stavka 4. točaka od (a) do (h) ili umjesto njih, ovisno o okolnostima svakog pojedinog slučaja.
3.Pri odlučivanju o izricanju upravne novčane kazne i o njezinu iznosu dužna se pažnja u svakom pojedinom slučaju posvećuje barem elementima predviđenima u članku 29. stavku 7.
4.Države članice osiguravaju da povrede obveza utvrđenih u članku 18. ili članku 20. podliježu, u skladu sa stavcima 2. i 3. ovog članka, upravnim novčanim kaznama u maksimalnom iznosu od najmanje 10 000 000 EUR ili do 2 % ukupnog godišnjeg prometa na svjetskoj razini poduzeća kojem pripada ključni ili važni subjekt u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći.
5.Države članice mogu predvidjeti ovlast izricanja periodičnih novčanih kazni kako bi se ključni ili važni subjekt prisililo da prestane izvoditi povredu u skladu s prethodnom odlukom nadležnog tijela.
6.Ne dovodeći u pitanje ovlasti nadležnih tijela u skladu s člancima 29. i 30., svaka država članica može utvrditi pravila o tome mogu li se i u kojoj mjeri subjektima javne uprave iz članka 4. stavka 23. izreći upravne novčane kazne, prema obvezama predviđenima ovom Direktivom.
Članak 32.
Povrede koje uključuju povredu osobnih podataka
1.Ako nadležna tijela imaju naznake da povreda obveza utvrđenih u člancima 18. i 20. koju je počinio ključni ili važni subjekt obuhvaća povredu osobnih podataka iz članka 4. stavka 12. Uredbe (EU) 2016/679 o kojoj se obavješćuje u skladu s člankom 33. te uredbe, u razumnom roku obavješćuju nadzorna tijela nadležna u skladu s člancima 55. i 56. te uredbe.
2.Ako nadzorna tijela nadležna u skladu s člancima 55. i 56. Uredbe (EU) 2016/679 odluče izvršiti svoje ovlasti u skladu s člankom 58. točkom (i) te uredbe i izreći upravnu novčanu kaznu, nadležna tijela ne smiju izreći upravnu novčanu kaznu za istu povredu na temelju članka 31. ove Direktive. Međutim, nadležna tijela mogu primijeniti provedbene mjere ili izvršiti ovlasti sankcioniranja predviđene u članku 29. stavku 4. točkama od (a) do (i), članku 29. stavku 5. i članku 30. stavku 4. točkama od (a) do (h) ove Direktive.
3.Ako je nadzorno tijelo nadležno u skladu s Uredbom (EU) 2016/679 osnovano u državi članici drugačijoj od one u kojoj je osnovano nadležno tijelo, nadležno tijelo može obavijestiti nadzorno tijelo osnovano u istoj državi članici.
Članak 33.
Sankcije
1.Države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja nacionalnih odredaba donesenih na temelju ove Direktive i poduzimaju sve potrebne mjere radi osiguranja njihove provedbe. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.
2.Države članice u roku od [dvije] godine od stupanja na snagu ove Direktive obavješćuju Komisiju o tim pravilima i mjerama te joj bez nepotrebne odgode priopćuju sve naknadne izmjene koje utječu na ta pravila i mjere.
Članak 34.
Uzajamna pomoć
1.Ako ključan ili važan subjekt pruža usluge u više od jedne države članice ili ima glavni poslovni nastan ili predstavnika u jednoj državi članici, ali se njegovi mrežni i informacijski sustavi nalaze u drugoj državi članici ili u više njih, nadležno tijelo države članice u kojoj se nalazi njegov glavni poslovni nastan ili druga poslovna jedinica ili predstavnik i nadležna tijela tih drugih država članica surađuju i jedni drugima pomažu ako je potrebno. Ta suradnja podrazumijeva najmanje sljedeće:
(a)nadležna tijela koja primjenjuju nadzorne ili provedbene mjere u državi članici preko jedinstvene kontaktne točke obavješćuju i savjetuju se s nadležnim tijelima u drugim predmetnim državama članicama o poduzetim nadzornim i provedbenim mjerama i daljnjem postupanju, u skladu s člancima 29. i 30.;
(b)nadležno tijelo može zatražiti od drugog nadležnog tijela da poduzme nadzorne ili provedbene mjere iz članaka 29. i 30.;
(c)nakon primitka opravdanog zahtjeva drugog nadležnog tijela, nadležno tijelo pruža tom tijelu pomoć kako bi se nadzorne ili provedbene mjere iz članaka 29. i 30. mogle provesti na djelotvoran, učinkovit i dosljedan način. Takva uzajamna pomoć može obuhvaćati zahtjeve za informacije i nadzorne mjere, uključujući zahtjeve za provođenje izravnog ili neizravnog nadzora ili ciljanih revizija sigurnosti. Nadležno tijelo kojem je upućen zahtjev za pomoć ne može odbiti taj zahtjev osim u slučaju da se, nakon konzultacija s drugim predmetnim tijelima, ENISA-om i Komisijom, utvrdi da to tijelo nije nadležno za pružanje zatražene pomoći ili da zatražena pomoć nije razmjerna nadzornim zadaćama nadležnog tijela koje se obavljaju u skladu s člankom 29. ili člankom 30.
2.Prema potrebi i uz međusobnu suglasnost, nadležna tijela iz različitih država članica mogu provoditi zajedničke nadzorne mjere iz članaka 29. i 30.
POGLAVLJE VII.
Prijelazne i završne odredbe
Članak 35.
Preispitivanje
Komisija periodično preispituje funkcioniranje ove Direktive te podnosi izvješće Europskom parlamentu i Vijeću. U izvješću se posebno ocjenjuje relevantnost sektora, podsektora, veličine i vrste subjekata iz priloga I. i II. za funkcioniranje gospodarstva i društva u pogledu kibersigurnosti. U tu svrhu te u cilju daljnjeg unapređivanja strateške i operativne suradnje, Komisija uzima u obzir izvješća skupine za suradnju i mreže CSIRT-ova o iskustvu stečenom na strateškoj i operativnoj razini. Prvo izvješće podnosi se do …54 mjeseca od datuma stupanja na snagu ove Direktive.
Članak 36.
Izvršavanje delegiranja ovlasti
1.Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji prema uvjetima utvrđenima u ovom članku.
2.Ovlast za donošenje delegiranih akata iz članka 18. stavka 6. i članka 21. stavka 2. dodjeljuje se Komisiji na pet godina počevši od […].
3.Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 18. stavka 6. i članka 21. stavka 2. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.
4.Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.
5.Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.
6.Delegirani akt donesen na temelju članka 18. stavka 6. i članka 21. stavka 2. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.
Članak 37.
Postupak odbora
1.Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.
2.Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.
3.Kada se mišljenje odbora treba dobiti pisanim postupkom, navedeni postupak završava bez rezultata kada u roku za davanje mišljenja to odluči predsjednik odbora ili to zahtijeva član odbora.
Članak 38.
Prenošenje
1.Države članice najkasnije do … 18 mjeseci nakon dana stupanja na snagu ove Direktive donose i objavljuju zakone i druge propise koji su potrebni radi usklađivanja s ovom Direktivom. One o tome odmah obavješćuju Komisiju. Primjenjuju te mjere od … [jedan dan nakon datuma iz prvog podstavka].
2.Kada države članice donose te mjere, one sadržavaju upućivanje na ovu Direktivu ili se na nju upućuje prilikom njihove službene objave. Načine tog upućivanja određuju države članice.
Članak 39.
Izmjena Uredbe (EU) br. 910/2014
Članak 19. Uredbe (EU) br. 910/2014 briše se.
Članak 40.
Izmjena Direktive (EU) 2018/1972
Članci 40. i 41. Direktive (EU) 2018/1972 brišu se.
Članak 41.
Stavljanje izvan snage
Direktiva (EU) 2016/1148 stavlja se izvan snage s učinkom od … [datum roka za prenošenje direktive].
Upućivanja na Direktivu (EU) 2016/1148 smatraju se upućivanjima na ovu Direktivu i tumače se u skladu s korelacijskom tablicom iz Priloga III.
Članak 42.
Stupanje na snagu
Ova Direktiva stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Članak 43.
Adresati
Ova je Direktiva upućena državama članicama.
Sastavljeno u Bruxellesu,
Za Europski parlament
Za Vijeće
Predsjednik/Predsjednica
Predsjednik/Predsjednica
ZAKONODAVNI FINANCIJSKI IZVJEŠTAJ
Sadržaj
1.OKVIR PRIJEDLOGA/INICIJATIVE
1.1.Naslov prijedloga/inicijative
1.2.Predmetna područja politike (klaster programa)
1.3.Prijedlog/inicijativa odnosi se na:
1.4.Osnova prijedloga/inicijative
1.4.1.Zahtjevi koje treba ispuniti u kratkoročnom ili dugoročnom razdoblju, uključujući detaljan vremenski plan provedbe inicijative
1.4.2.Dodana vrijednost sudjelovanja Unije (može proizlaziti iz različitih čimbenika, npr. prednosti koordinacije, pravne sigurnosti, veće djelotvornosti ili komplementarnosti). Za potrebe ove točke „dodana vrijednost sudjelovanja Unije” vrijednost je koja proizlazi iz intervencije Unije i predstavlja dodatnu vrijednost u odnosu na vrijednost koju bi države članice inače ostvarile same.
1.4.3.Pouke iz prijašnjih sličnih iskustava
1.4.4.Usklađenost i moguća sinergija s drugim prikladnim instrumentima
1.5.Trajanje i financijski učinak
1.6.Predviđeni načini upravljanja
2.MJERE UPRAVLJANJA
2.1.Pravila praćenja i izvješćivanja
2.2.Sustavi upravljanja i kontrole
2.2.1.Obrazloženje načina upravljanja, mehanizama provedbe financiranja, načina plaćanja i predložene strategije kontrole
2.2.2.Informacije o utvrđenim rizicima i uspostavljenim sustavima unutarnje kontrole za ublažavanje rizika
2.2.3.Procjena i obrazloženje troškovne učinkovitosti kontrola (omjer troškova kontrole i vrijednosti sredstava kojima se upravlja) i procjena očekivane razine rizika od pogreške (pri plaćanju i pri zaključenju)
2.3.Mjere za sprečavanje prijevara i nepravilnosti
3.PROCIJENJENI FINANCIJSKI UČINAK PRIJEDLOGA/INICIJATIVE
3.1.Naslov višegodišnjeg financijskog okvira i predložene nove proračunske linije rashoda
3.2.Procijenjeni učinak na rashode
3.2.1.Sažetak procijenjenog učinka na rashode
3.2.2.Sažetak procijenjenog učinka na administrativna odobrena sredstva
3.2.3.Doprinos trećih strana
3.3.Procijenjeni učinak na prihode
1.OKVIR PRIJEDLOGA/INICIJATIVE
1.1.Naslov prijedloga/inicijative
Prijedlog direktive o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148
1.2.Predmetna područja politike (klaster programa)
Komunikacijske mreže, sadržaji i tehnologije
1.3.Prijedlog/inicijativa odnosi se na:
◻ novo djelovanje
◻ novo djelovanje nakon pilot-projekta/pripremnog djelovanja
☒ produženje postojećeg djelovanja
◻ spajanje ili preusmjeravanje jednog ili više djelovanja u drugo/novo djelovanje
1.4.Osnova prijedloga/inicijative
1.4.1.Zahtjevi koje treba ispuniti u kratkoročnom ili dugoročnom razdoblju, uključujući detaljan vremenski plan provedbe inicijative
Cilj je revizije povećati razinu kiberotpornosti sveobuhvatnog skupa poduzeća koja posluju u Europskoj uniji u svim relevantnim sektorima, smanjiti nedosljednosti u pogledu otpornosti na unutarnjem tržištu u sektorima koji su već obuhvaćeni Direktivom te poboljšati razinu zajedničke informiranosti o stanju i kolektivnu sposobnost pripreme i odgovora.
1.4.2.Dodana vrijednost sudjelovanja Unije (može proizlaziti iz različitih čimbenika, npr. prednosti koordinacije, pravne sigurnosti, veće djelotvornosti ili komplementarnosti). Za potrebe ove točke „dodana vrijednost sudjelovanja Unije” vrijednost je koja proizlazi iz intervencije Unije i predstavlja dodatnu vrijednost u odnosu na vrijednost koju bi države članice inače ostvarile same.
Otpornost u području kibersigurnosti u cijeloj Uniji ne može biti učinkovita ako joj se različito pristupa u okviru nacionalnih ili regionalnih izoliranih sustava. Taj je nedostatak riješen Direktivom NIS uspostavom okvira za sigurnost mrežnih i informacijskih sustava na nacionalnoj razini i razini Unije. Međutim, u prvom periodičnom preispitivanju Direktive NIS ukazano je na niz inherentnih nedostataka koji su u konačnici doveli do znatnih razlika među državama članicama u pogledu kapaciteta, planiranja i razine zaštite, što istodobno utječe na ravnopravne uvjete za slična poduzeća na unutarnjem tržištu.
Intervencija EU-a koja nadilazi postojeće mjere Direktive NIS opravdana je uglavnom: i. prekograničnom prirodom problema; ii. potencijalom za djelovanje EU-a u cilju poboljšanja i olakšavanja učinkovitih nacionalnih politika; iii. doprinosom usklađenih i suradničkih mjera politike za sigurnost mrežnih i informacijskih sustava djelotvornoj zaštiti podataka i privatnosti.
Navedeni se ciljevi stoga mogu bolje postići djelovanjem na razini EU-a nego samostalnim djelovanjem država članica.
1.4.3.Pouke iz prijašnjih sličnih iskustava
Direktiva NIS prvi je horizontalni instrument unutarnjeg tržišta čiji je cilj poboljšati otpornost mreža i sustava u Uniji na kibersigurnosne rizike. Već je uvelike pridonijela povećanju zajedničke razine kibersigurnosti među državama članicama. Međutim, preispitivanje funkcioniranja i provedbe Direktive ukazalo je na niz nedostataka koje je, uz sve veću digitalizaciju i potrebu za ažurnijim odgovorom, potrebno riješiti revidiranim pravnim aktom.
1.4.4.Usklađenost i moguća sinergija s drugim prikladnim instrumentima
Novi je prijedlog u potpunosti dosljedan i usklađen s drugim povezanim inicijativama kao što su Prijedlog uredbe o digitalnoj operativnoj otpornosti za financijski sektor („DORA”) i Prijedlog direktive o otpornosti ključnih operatora osnovnih usluga. U skladu je i s Europskim zakonikom elektroničkih komunikacija, Općom uredbom o zaštiti podataka i Uredbom eIDAS.
Prijedlog je ključni dio strategije EU-a za sigurnosnu uniju.
1.5.Trajanje i financijski učinak
◻ Ograničeno trajanje
–◻
na snazi od [DD/MM]GGGG do [DD/MM]GGGG
–◻
financijski učinak od GGGG do GGGG za odobrena sredstva za preuzete obveze i od GGGG do GGGG za odobrena sredstva za plaćanje
☒ Neograničeno trajanje
–Provedba s početnim razdobljem od 2022. do 2025.
–nakon čega slijedi redovna provedba.
1.6.Predviđeni načini upravljanja
Izravno upravljanje koje provodi Komisija
–☒ putem svojih službi, uključujući osoblje u delegacijama Unije
–◻ putem izvršnih agencija
◻ Podijeljeno upravljanje s državama članicama
◻ Neizravno upravljanje povjeravanjem zadaća izvršenja proračuna:
–◻ trećim zemljama ili tijelima koja su one odredile
–◻ međunarodnim organizacijama i njihovim agencijama (navesti)
–◻ EIB-u i Europskom investicijskom fondu
–X◻ tijelima iz članaka 70. i 71. Financijske uredbe
–◻ tijelima javnog prava
–◻ tijelima uređenima privatnim pravom koja pružaju javne usluge u mjeri u kojoj daju odgovarajuća financijska jamstva
–◻ tijelima uređenima privatnim pravom države članice kojima je povjerena provedba javno-privatnog partnerstva i koja daju odgovarajuća financijska jamstva
–◻ osobama kojima je povjerena provedba određenih djelovanja u području ZVSP-a u skladu s glavom V. UEU-a i koje su navedene u odgovarajućem temeljnom aktu.
–Ako je navedeno više načina upravljanja, potrebno je pojasniti u odjeljku „Napomene”.
Napomene
Agencija Europske unije za kibersigurnost ENISA, kojoj je Aktom o kibersigurnosti dodijeljen novi trajni mandat, pomogla bi državama članicama i Komisiji u provedbi revidirane Direktive NIS.
Kao rezultat revidirane Direktive NIS, ENISA će od 2022./2023. imati dodatna područja djelovanja. Iako bi ta područja djelovanja bila obuhvaćena općim zadaćama ENISA-e u skladu s njezinim mandatom, prouzročit će dodatno radno opterećenje za agenciju. Konkretnije, uz postojeća područja djelovanja, ENISA će u skladu s Komisijinim prijedlogom revidirane Direktive NIS morati u svoj program rada posebno uključiti, među ostalim, i sljedeća djelovanja: i. razvoj i vođenje europskog registra ranjivosti (članak 6. stavak 2. prijedloga), ii. osiguravanje tajništva Europske mreže organizacija za vezu za kiberkrize (CyCLONe) (članak 14. prijedloga) i izdavanje godišnjeg izvješća o stanju kibersigurnosti u EU-u (članak 15. prijedloga), iii. potporu organizaciji istorazinskih ocjenjivanja među državama članicama (članak 16. prijedloga), iv. prikupljanje agregiranih podataka o incidentima od država članica i izdavanje tehničkih smjernica (članak 20. stavak 9. prijedloga) te v. uspostavu i vođenje registra subjekata koji pružaju prekogranične usluge (članak 25. prijedloga).
Stoga će se od 2022. podnijeti zahtjev za pet dodatnih EPRV-a s odgovarajućim proračunom od oko 0,61 milijun EUR godišnje za pokrivanje tih novih radnih mjesta (vidjeti zaseban financijski izvještaj za agencije).
2.MJERE UPRAVLJANJA
2.1.Pravila praćenja i izvješćivanja
Navesti učestalost i uvjete.
Komisija će periodično preispitivati funkcioniranje Direktive i izvješćivati Europski parlament i Vijeće, prvi put tri godine nakon njezina stupanja na snagu.
Komisija će ocijeniti i ispravno prenošenje Direktive u državama članicama.
2.2.Sustavi upravljanja i kontrole
2.2.1.Obrazloženje načina upravljanja, mehanizama provedbe financiranja, načina plaćanja i predložene strategije kontrole
Provedbom Direktive upravljat će odjel unutar Glavne uprave CNECT zadužen za to područje politike.
2.2.2.Informacije o utvrđenim rizicima i uspostavljenim sustavima unutarnje kontrole za ublažavanje rizika
Vrlo nizak rizik jer je ekosustav Direktive NIS već uspostavljen.
2.2.3.Procjena i obrazloženje troškovne učinkovitosti kontrola (omjer troškova kontrole i vrijednosti sredstava kojima se upravlja) i procjena očekivane razine rizika od pogreške (pri plaćanju i pri zaključenju)
Nije relevantno. Samo upotreba administrativnog proračuna („globalna omotnica”).
2.3.Mjere za sprečavanje prijevara i nepravilnosti
Navesti postojeće ili predviđene mjere za sprečavanje i zaštitu, npr. iz strategije za borbu protiv prijevara.
Nije relevantno. Samo upotreba administrativnog proračuna („globalna omotnica”).
3.PROCIJENJENI FINANCIJSKI UČINAK PRIJEDLOGA/INICIJATIVE
3.1.Naslov višegodišnjeg financijskog okvira i predložene nove proračunske linije rashoda
Naslov višegodišnjeg financijskog okvira
|
Proračunska linija
|
Vrsta
rashoda
|
Doprinos
|
|
Broj
[Naslov…7…………………………………]
|
dif./nedif.
|
zemalja EFTA-e
|
zemalja kandidatkinja
|
trećih zemalja
|
u smislu članka [21. stavka 2. točke (b)] Financijske uredbe
|
|
20 02 06 rashodi upravljanja
20 02 06
|
nedif.
|
NE
|
NE
|
NE
|
NE
|
3.2.Procijenjeni učinak na rashode
3.2.1.Sažetak procijenjenog učinka na rashode
U milijunima EUR (do 3 decimalna mjesta)
Naslov višegodišnjeg financijskog
okvira
|
<…>
|
[Naslov……………………………………………………………………………]
|
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
Nakon 2027.
|
UKUPNO
|
Odobrena sredstva za poslovanje (podijeljena prema proračunskim linijama iz točke 3.1.)
|
Obveze
|
(1)
|
|
|
|
|
|
|
|
|
|
|
Plaćanja
|
(2)
|
|
|
|
|
|
|
|
|
|
Administrativna odobrena sredstva koja se financiraju iz omotnice programa
|
Obveze = plaćanja
|
(3)
|
|
|
|
|
|
|
|
|
|
UKUPNA odobrena sredstva za omotnicu programa
|
Obveze
|
=1+3
|
|
|
|
|
|
|
|
|
|
|
Plaćanja
|
=2+3
|
|
|
|
|
|
|
|
|
|
Naslov višegodišnjeg financijskog
okvira
|
7
|
„Administrativni rashodi”
Sjednice: plenarne sjednice Skupine za suradnju u području mrežne i informacijske sigurnosti obično se održavaju četiri puta godišnje. Komisija pokriva troškove pripreme i dostave hrane i pića te putne troškove predstavnika 27 država članica (jedan predstavnik po državi članici). Troškovi jedne sjednice mogli bi dosegnuti 15 tisuća EUR.
Službena putovanja: službena putovanja odnose se na praćenje provedbe Direktive NIS. Primjer: u jednoj godini (svibanj 2019.–srpanj 2020.) trebali smo organizirati posjete zemljama povezane sa sigurnošću mrežnih i informacijskih sustava i posjetiti svih 27 država članica kako bismo razgovarali o provedbi Direktive NIS u cijelom EU-u.
|
U ovaj se dio unose „administrativni proračunski podaci”, koji se najprije unose u
prilog zakonodavnom financijskom izvještaju
, koji se učitava u sustav DECIDE za potrebe savjetovanja među službama.
U milijunima EUR (do 3 decimalna mjesta)
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
Nakon 2027.
|
UKUPNO
|
Ljudski resursi
|
1,14
|
1,14
|
1,14
|
1,14
|
1,14
|
1,14
|
1,14
|
|
7,98
|
Ostali administrativni rashodi
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
|
0,63
|
UKUPNA odobrena sredstva iz NASLOVA 7. višegodišnjeg financijskog okvira
|
(ukupne obveze = ukupna plaćanja)
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
|
8,61
|
U milijunima EUR (do 3 decimalna mjesta)
|
|
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
Nakon 2027.
|
UKUPNO
|
UKUPNA odobrena sredstva
po NASLOVIMA
višegodišnjeg financijskog okvira
|
Obveze
|
|
|
|
|
|
|
|
|
|
|
Plaćanja
|
|
|
|
|
|
|
|
|
|
3.2.2.Sažetak procijenjenog učinka na administrativna odobrena sredstva
–◻
Za prijedlog/inicijativu nisu potrebna administrativna odobrena sredstva.
–◻X
Za prijedlog/inicijativu potrebna su sljedeća administrativna odobrena sredstva:
U milijunima EUR (do 3 decimalna mjesta)
Godine
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
UKUPNO
|
NASLOV 7.
višegodišnjeg financijskog okvira
|
|
|
|
|
|
|
|
|
Ljudski resursi
|
1,14
|
1,14
|
1,14
|
1,14
|
1,14
|
1,14
|
1,14
|
7,98
|
Ostali administrativni rashodi
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
0,63
|
Međuzbroj za NASLOV 7.
višegodišnjeg financijskog okvira
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
8,61
|
Izvan NASLOVA 7.
višegodišnjeg financijskog okvira
|
|
|
|
|
|
|
|
|
Ljudski resursi
|
|
|
|
|
|
|
|
|
Ostali administrativni
rashodi
|
|
|
|
|
|
|
|
|
Međuzbroj
izvan NASLOVA 7.
višegodišnjeg financijskog okvira
|
|
|
|
|
|
|
|
|
UKUPNO
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
8,61
|
Potrebna odobrena sredstva za ljudske resurse i ostale administrativne rashode pokrit će se odobrenim sredstvima glavne uprave koja su već dodijeljena za upravljanje djelovanjem i/ili su preraspodijeljena unutar glavne uprave te, prema potrebi, dodatnim sredstvima koja se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.
3.2.2.1.Procijenjene potrebe u pogledu ljudskih resursa
–◻
Za prijedlog/inicijativu nisu potrebni ljudski resursi.
–X◻
Za prijedlog/inicijativu potrebni su sljedeći ljudski resursi:
Procjenu navesti u ekvivalentima punog radnog vremena
Godine
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
• Radna mjesta prema planu radnih mjesta (dužnosnici i privremeno osoblje)
|
Sjedište i predstavništva Komisije
|
6
|
6
|
6
|
6
|
6
|
6
|
6
|
Delegacije
|
|
|
|
|
|
|
|
Istraživanje
|
|
|
|
|
|
|
|
• Vanjsko osoblje (u ekvivalentu punog radnog vremena: EPRV) – UO, LO, UNS, UsO i MSD
Naslov 7.
|
Financirano iz NASLOVA 7. višegodišnjeg financijskog okvira
|
– u sjedištima
|
3
|
3
|
3
|
3
|
3
|
3
|
3
|
|
– u delegacijama
|
|
|
|
|
|
|
|
Financirano iz omotnice programa
|
– u sjedištima
|
|
|
|
|
|
|
|
|
– u delegacijama
|
|
|
|
|
|
|
|
Istraživanje
|
|
|
|
|
|
|
|
Ostalo (navesti)
|
|
|
|
|
|
|
|
UKUPNO
|
9
|
9
|
9
|
9
|
9
|
9
|
9
|
Potrebe za ljudskim resursima pokrit će se osobljem glavne uprave kojemu je već povjereno upravljanje djelovanjem i/ili koje je preraspoređeno unutar glavne uprave te, prema potrebi, resursima koji se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.
Opis zadaća:
Dužnosnici i privremeno osoblje
|
·Priprema delegiranih akata u skladu s člankom 18. stavkom 6., člankom 21. stavkom 2., člankom 36.;
·Priprema provedbenih akata u skladu s člankom 12. stavkom 8., člankom 18. stavkom 5., člankom 20. stavkom 11.;
·Osiguravanje tajništva za Skupinu za suradnju u području mrežne i informacijske sigurnosti;
·Organizacija plenarnih sjednica i radnih sastanaka Skupine za suradnju u području mrežne i informacijske sigurnosti;
·Koordinacija rada država članica na različitim dokumentima (smjernice, paketi instrumenata itd.);
·Suradnja s drugim službama Komisije, ENISA-om i nacionalnim tijelima u pogledu provedbe Direktive NIS;
·Analiza nacionalnih metoda i primjera najbolje prakse povezanih s provedbom Direktive NIS.
|
Vanjsko osoblje
|
Potpora u svim navedenim zadaćama, prema potrebi
|
3.2.3.Doprinos trećih strana
U prijedlogu/inicijativi:
–X◻
ne predviđa se sudjelovanje trećih strana u sufinanciranju.
–◻
predviđa se sudjelovanje trećih strana u sufinanciranju prema sljedećoj procjeni:
Odobrena sredstva u milijunima EUR (do 3 decimalna mjesta)
Godine
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
UKUPNO
|
Navesti tijelo koje sudjeluje u financiranju
|
|
|
|
|
|
|
|
|
UKUPNO sufinancirana odobrena sredstva
|
|
|
|
|
|
|
|
|
3.3.Procijenjeni učinak na prihode
–◻X
Prijedlog/inicijativa nema financijski učinak na prihode.
–◻
Prijedlog/inicijativa ima sljedeći financijski učinak:
na vlastita sredstva
na ostale prihode
navesti jesu li prihodi namijenjeni proračunskim linijama rashoda◻
U milijunima EUR (do 3 decimalna mjesta)
Proračunska linija prihoda:
|
Učinak prijedloga/inicijative
|
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
Članak ………….
|
|
|
|
|
|
|
|
Za namjenske prihode navesti odgovarajuće proračunske linije rashoda.
Ostale napomene (npr. metoda/formula za izračun učinka na prihode ili druge informacije)
PRILOG
ZAKONODAVNOM FINANCIJSKOM IZVJEŠTAJU
Naslov prijedloga/inicijative:
Prijedlog direktive o reviziji Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije
………………………………………………………………………………………………………………………………………………………………………………………………………………………………
1.BROJ I TROŠAK LJUDSKIH RESURSA KOJI SE SMATRAJU NUŽNIMA
2.TROŠAK OSTALIH ADMINISTRATIVNIH RASHODA
3.METODE IZRAČUNA PRIMIJENJENE NA PROCJENU TROŠKOVA
3.1.Ljudski resursi
3.2.Ostali administrativni rashodi
Završni financijski izvještaj mora biti popraćen ovim prilogom, koji moraju popuniti sve glavne uprave/službe koje sudjeluju u prijedlogu/inicijativi, kada se pokreće savjetovanje među službama.
Tablice s podacima koriste se kao izvor za tablice sadržane u zakonodavnom financijskom izvještaju. Namijenjene su strogo za internu uporabu u Komisiji.
1.Troškovi ljudskih resursa koji se smatraju nužnima
Za prijedlog/inicijativu nisu potrebni ljudski resursi.
X◻
Za prijedlog/inicijativu potrebni su sljedeći ljudski resursi:
U milijunima EUR (do 3 decimalna mjesta)
NASLOV 7.
višegodišnjeg financijskog okvira
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
UKUPNO
|
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
• Radna mjesta prema planu radnih mjesta (dužnosnici i privremeno osoblje)
|
Sjedište i predstavništva Komisije
|
AD
|
6
|
0,9
|
6
|
0,9
|
6
|
0,9
|
6
|
0,9
|
6
|
0,9
|
6
|
0,9
|
6
|
0,9
|
42
|
6,3
|
|
AST
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
U delegacijama Unije
|
AD
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
AST
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• Vanjsko osoblje 0,24
|
Globalna omotnica
|
UO
|
3
|
0,24
|
3
|
0,24
|
3
|
0,24
|
3
|
0,24
|
3
|
0,24
|
3
|
0,24
|
3
|
0,24
|
21
|
1,68
|
|
UNS
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UsO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
U delegacijama Unije
|
UO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
LO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UNS
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UsO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
MSD
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Druge proračunske linije (navesti)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Međuzbroj – NASLOV 7.
višegodišnjeg financijskog okvira
|
|
9
|
1,14
|
9
|
1,14
|
9
|
1,14
|
9
|
1,14
|
9
|
1,14
|
9
|
1,14
|
9
|
1,14
|
63.
|
7,98
|
Potrebe za ljudskim resursima pokrit će se osobljem glavne uprave kojemu je već povjereno upravljanje djelovanjem i/ili koje je preraspoređeno unutar glavne uprave te, prema potrebi, resursima koji se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.
izvan NASLOVA 7.
višegodišnjeg financijskog okvira
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2025.
|
2025.
|
UKUPNO
|
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
EPRV
|
Odobrena sredstva
|
• Radna mjesta prema planu radnih mjesta (dužnosnici i privremeno osoblje)
|
Istraživanje
|
AD
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
AST
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• Vanjsko osoblje
|
Vanjsko osoblje iz odobrenih sredstava za poslovanje (prijašnje linije „BA”).
|
– u sjedištima
|
UO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UNS
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UsO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– u delegacijama Unije
|
UO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
LO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UNS
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UsO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
MSD
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Istraživanje)
|
UO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UNS
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UsO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Druge proračunske linije (navesti)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Međuzbroj – izvan NASLOVA 7.
višegodišnjeg financijskog okvira
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Potrebe za ljudskim resursima pokrit će se osobljem glavne uprave kojemu je već povjereno upravljanje djelovanjem i/ili koje je preraspoređeno unutar glavne uprave te, prema potrebi, resursima koji se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.
Procijenjeni utjecaj na ENISA-ine ljudske resurse
Agencija Europske unije za kibersigurnost ENISA, kojoj je Aktom o kibersigurnosti dodijeljen novi trajni mandat, pomogla bi državama članicama i Komisiji u provedbi revidirane Direktive NIS.
Kao rezultat revidirane Direktive NIS, ENISA će od 2022./2023. imati dodatna područja djelovanja. Iako bi ta područja djelovanja bila obuhvaćena općim zadaćama ENISA-e u skladu s njezinim mandatom, prouzročit će dodatno radno opterećenje za agenciju. Konkretnije, uz postojeća područja djelovanja, ENISA će u skladu s Komisijinim prijedlogom revidirane Direktive NIS morati u svoj program rada posebno uključiti, među ostalim, i sljedeća djelovanja: i. razvoj i vođenje europskog registra ranjivosti (članak 6. stavak 2. prijedloga), ii. osiguravanje tajništva Europske mreže organizacija za vezu za kiberkrize (CyCLONe) (članak 14. prijedloga) i izdavanje godišnjeg izvješća o stanju kibersigurnosti u EU-u (članak 15. prijedloga), iii. potporu organizaciji istorazinskih ocjenjivanja među državama članicama (članak 16. prijedloga), iv. prikupljanje agregiranih podataka o incidentima od država članica i izdavanje tehničkih smjernica (članak 20. stavak 9. prijedloga) te v. uspostavu i vođenje registra subjekata koji pružaju prekogranične usluge (članak 25. prijedloga).
Stoga će se od 2022. podnijeti zahtjev za pet dodatnih EPRV-a s odgovarajućim proračunom od oko 0,61 milijun EUR godišnje za pokrivanje tih novih radnih mjesta (vidjeti zaseban financijski izvještaj za agencije).
Stoga će se od 2022. podnijeti zahtjev za pet dodatnih EPRV-a s odgovarajućim sredstvima za pokrivanje tih novih radnih mjesta.
◻
Za prijedlog/inicijativu nisu potrebna administrativna odobrena sredstva.
◻X
Za prijedlog/inicijativu potrebna su sljedeća administrativna odobrena sredstva:
U milijunima EUR (do 3 decimalna mjesta)
|
Godina
N
2022.
|
Godina
N+1
2023.
|
Godina
N+2
2024.
|
Godina
N+3
2025.
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
|
UKUPNO
|
Privremeno osoblje (razredi AD)
|
0,450
|
0,450
|
0,450
|
0,450
|
0,450
|
0,450
|
|
2.7.
|
Privremeno osoblje (razredi AST)
|
|
|
|
|
|
|
|
|
Ugovorno osoblje
|
0,160
|
0,160
|
0,160
|
0,160
|
0,160
|
0,160
|
|
|
Upućeni nacionalni stručnjaci
|
|
|
|
|
|
|
|
0,96
|
UKUPNO
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
|
3,66
|
Potrebe u pogledu osoblja (EPRV):
|
Godina
N
2022.
|
Godina
N+1
2023.
|
Godina
N+2
2024.
|
Godina
N+3
2025.
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
|
UKUPNO
|
Privremeno osoblje (razredi AD)
|
3
|
3
|
3
|
3
|
3
|
3
|
|
18
|
Privremeno osoblje (razredi AST)
|
|
|
|
|
|
|
|
|
Ugovorno osoblje
|
2
|
2
|
2
|
2
|
2
|
2
|
|
12
|
Upućeni nacionalni stručnjaci
|
|
|
|
|
|
|
|
|
2.Trošak ostalih administrativnih rashoda
Za prijedlog/inicijativu nisu potrebna administrativna odobrena sredstva.
X◻
Za prijedlog/inicijativu potrebna su sljedeća administrativna odobrena sredstva:
U milijunima EUR (do 3 decimalna mjesta)
NASLOV 7.
višegodišnjeg financijskog okvira
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
Ukupno
|
U sjedištu
|
|
|
|
|
|
|
|
|
Troškovi službenih putovanja i reprezentacije
|
0,03
|
0,03
|
0,03
|
0,03
|
0,03
|
0,03
|
0,03
|
0,21
|
Troškovi konferencija i sastanaka
|
0,06
|
0,06
|
0,06
|
0,06
|
0,06
|
0,06
|
0,06
|
0,42
|
Odbori
|
|
|
|
|
|
|
|
|
Studije i savjetovanja
|
|
|
|
|
|
|
|
|
Informacijski sustavi i sustavi upravljanja
|
|
|
|
|
|
|
|
|
IKT oprema i usluge
|
|
|
|
|
|
|
|
|
Druge proračunske linije (navesti prema potrebi)
|
|
|
|
|
|
|
|
|
U delegacijama Unije
|
|
|
|
|
|
|
|
|
Troškovi službenih putovanja, konferencija i reprezentacije
|
|
|
|
|
|
|
|
|
Dodatno osposobljavanje osoblja
|
|
|
|
|
|
|
|
|
Kupnja, najam i povezani rashodi
|
|
|
|
|
|
|
|
|
Oprema, namještaj, materijali i usluge
|
|
|
|
|
|
|
|
|
Međuzbroj za NASLOV 7.
višegodišnjeg financijskog okvira
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
0,09
|
0,63
|
U milijunima EUR (do 3 decimalna mjesta)
Izvan NASLOVA 7.
višegodišnjeg financijskog okvira
|
2021.
|
2022.
|
2023.
|
2024.
|
2025.
|
2026.
|
2027.
|
Ukupno
|
Rashodi za tehničku i administrativnu pomoć (ne uključujući vanjsko osoblje) iz odobrenih sredstava za poslovanje (prijašnje linije „BA”)
|
|
|
|
|
|
|
|
|
– u sjedištima
|
|
|
|
|
|
|
|
|
– u delegacijama Unije
|
|
|
|
|
|
|
|
|
Ostali rashodi upravljanja za istraživanje
|
|
|
|
|
|
|
|
|
Druge proračunske linije (navesti prema potrebi)
|
|
|
|
|
|
|
|
|
Međuzbroj – izvan NASLOVA 7.
višegodišnjeg financijskog okvira
|
|
|
|
|
|
|
|
|
UKUPNO
NASLOV 7. i izvan NASLOVA 7.
višegodišnjeg financijskog okvira
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
1,23
|
8,61
|
Potrebna administrativna odobrena sredstva pokrit će se odobrenim sredstvima koja su već dodijeljena za upravljanje djelovanjem i/ili koja su prenamijenjena te, prema potrebi, dodatnim odobrenim sredstvima koja se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir postojeća proračunska ograničenja.
3.Metode izračuna primijenjene na procjenu troškova
3.1.Ljudski resursi
U ovom se dijelu opisuje način izračuna primijenjen na procjenu ljudskih resursa koji se smatraju nužnima (predviđeno radno opterećenje, uključujući posebne poslove (radni profili Sysper 2), kategorije osoblja i odgovarajući prosječni troškovi)
NASLOV 7. višegodišnjeg financijskog okvira
|
Napomena: prosječni troškovi za svaku kategoriju osoblja u sjedištu dostupni su na BudgWeb:
https://myintracomm.ec.europa.eu/budgweb/EN/pre/legalbasis/Pages/pre-040-020_preparation.aspx
|
• Dužnosnici i privremeno osoblje:
6 dužnosnika u ekvivalentu punog radnog vremena (prosječni trošak 0,150) = 0,9 godišnje
-priprema delegiranih akata u skladu s člankom 18. stavkom 6., člankom 21. stavkom 2., člankom 36.,
-priprema provedbenih akata u skladu s člankom 12. stavkom 8., člankom 18. stavkom 5., člankom 20. stavkom 11.,
-osiguravanje tajništva za Skupinu za suradnju u području mrežne i informacijske sigurnosti,
-organizacija plenarnih sjednica i radnih sastanaka Skupine za suradnju u području mrežne i informacijske sigurnosti,
-koordinacija rada država članica na različitim dokumentima (smjernice, paketi instrumenata itd.),
-suradnja s drugim službama Komisije, ENISA-om i nacionalnim tijelima u pogledu provedbe Direktive NIS,
-analiza nacionalnih metoda i primjera najbolje prakse povezanih s provedbom Direktive NIS.
|
• Vanjsko osoblje
3 člana ugovornog osoblja (prosječni trošak 0,08) = 0,24 godišnje
-Potpora u svim navedenim zadaćama, prema potrebi
|
Izvan NASLOVA 7. višegodišnjeg financijskog okvira
|
• Samo radna mjesta koja se financiraju iz proračuna za istraživanje
|
• Vanjsko osoblje
|
3.2.Ostali administrativni rashodi
Navesti pojedinosti načina izračuna koji se primjenjuje za svaku proračunsku liniju
te posebno pretpostavke koje su u pozadini (npr. broj sastanaka godišnje, prosječni troškovi itd.)
NASLOV 7. višegodišnjeg financijskog okvira
|
Sjednice: plenarne sjednice Skupine za suradnju u području mrežne i informacijske sigurnosti obično se održavaju četiri puta godišnje. Komisija pokriva troškove pripreme i dostave hrane i pića te putne troškove predstavnika 27 država članica (jedan predstavnik po državi članici). Troškovi jedne sjednice mogli bi dosegnuti 15 tisuća EUR, što znači 60 tisuća EUR godišnje.
Službena putovanja: službena putovanja odnose se na praćenje provedbe Direktive NIS. Primjer: u jednoj godini (svibanj 2019.–srpanj 2020.) trebali smo organizirati posjete zemljama povezane sa sigurnošću mrežnih i informacijskih sustava i posjetiti svih 27 država članica kako bismo razgovarali
o provedbi Direktive NIS u cijelom EU-u.
|
Izvan NASLOVA 7. višegodišnjeg financijskog okvira
|
|
PRILOG 7.
ODLUCI KOMISIJE
o unutarnjim pravilima o izvršenju općeg proračuna Europske unije (odjeljak Europske komisije) na znanje odjelima Komisije
ZAKONODAVNI FINANCIJSKI IZVJEŠTAJ „AGENCIJE”
Ovaj zakonodavni financijski izvještaj odnosi se na zahtjev za povećanje broja osoblja ENISA-e za pet EPRV-a od 2022. radi obavljanja dodatnih aktivnosti povezanih s provedbom Direktive NIS. Te su aktivnosti već obuhvaćene mandatom ENISA-e.
Sadržaj
1.OKVIR PRIJEDLOGA/INICIJATIVE
1.1.Naslov prijedloga/inicijative
1.2.Predmetna područja politike
1.3.Prijedlog se odnosi na
1.4.Ciljevi
1.4.1.Opći ciljevi
1.4.2.Posebni ciljevi
1.4.3.Očekivani rezultati i učinak
1.4.4.Pokazatelji uspješnosti
1.5.Osnova prijedloga/inicijative
1.5.1.Zahtjevi koje treba ispuniti u kratkoročnom ili dugoročnom razdoblju, uključujući detaljan vremenski plan provedbe inicijative
1.5.2.Dodana vrijednost sudjelovanja Unije (može proizlaziti iz različitih čimbenika, npr. prednosti koordinacije, pravne sigurnosti, veće djelotvornosti ili komplementarnosti). Za potrebe ove točke „dodana vrijednost sudjelovanja Unije” vrijednost je koja proizlazi iz intervencije Unije i predstavlja dodatnu vrijednost u odnosu na vrijednost koju bi države članice inače ostvarile same..
1.5.3.Pouke iz prijašnjih sličnih iskustava
1.5.4.Usklađenost s višegodišnjim financijskim okvirom i moguće sinergije s drugim prikladnim instrumentima
1.5.5.Ocjena različitih dostupnih mogućnosti financiranja, uključujući mogućnost preraspodjele
1.6.Trajanje i financijski učinak prijedloga/inicijative
1.7.Predviđeni načini upravljanja
2.MJERE UPRAVLJANJA
2.1.Pravila praćenja i izvješćivanja
2.2.Sustavi upravljanja i kontrole
2.2.1.Obrazloženje načina upravljanja, mehanizama provedbe financiranja, načina plaćanja i predložene strategije kontrole
2.2.2.Informacije o utvrđenim rizicima i uspostavljenim sustavima unutarnje kontrole za ublažavanje rizika
2.2.3.Procjena i obrazloženje troškovne učinkovitosti kontrola (omjer troškova kontrole i vrijednosti sredstava kojima se upravlja) i procjena očekivane razine rizika od pogreške (pri plaćanju i pri zaključenju)
2.3.Mjere za sprečavanje prijevara i nepravilnosti
3.PROCIJENJENI FINANCIJSKI UČINAK PRIJEDLOGA/INICIJATIVE
3.1.Naslovi višegodišnjeg financijskog okvira i proračunske linije rashoda na koje prijedlog/inicijativa ima učinak
3.2.Procijenjeni učinak na rashode
3.2.1.Sažetak procijenjenog učinka na rashode
3.2.2.Procijenjeni utjecaj na odobrena sredstva [tijela]
3.2.3.Procijenjeni utjecaj na ENISA-ine ljudske resurse
3.2.4.Usklađenost s aktualnim višegodišnjim financijskim okvirom
3.2.5.Doprinos trećih strana
3.3.Procijenjeni učinak na prihode
1.OKVIR PRIJEDLOGA/INICIJATIVE
1.1.Naslov prijedloga/inicijative
Prijedlog direktive o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148
1.2.Predmetna područja politike
Komunikacijske mreže, sadržaji i tehnologije
1.3.Prijedlog se odnosi na:
◻ novo djelovanje
◻ novo djelovanje nakon pilot-projekta/pripremnog djelovanja
☒ produženje postojećeg djelovanja
◻ spajanje jednog ili više djelovanja u drugo/novo djelovanje
1.4.Ciljevi
1.4.1.Opći ciljevi
Cilj je revizije povećati razinu kiberotpornosti sveobuhvatnog skupa poduzeća koja posluju u Europskoj uniji u svim relevantnim sektorima, smanjiti nedosljednosti u pogledu otpornosti na unutarnjem tržištu u sektorima koji su već obuhvaćeni Direktivom te poboljšati razinu zajedničke informiranosti o stanju i kolektivnu sposobnost pripreme i odgovora.
1.4.2.Posebni ciljevi
Kako bi se riješio problem niske razine kiberotpornosti poduzeća koja posluju u Europskoj uniji, poseban je cilj osigurati da subjekti u svim sektorima koji ovise o mrežnim i informacijskim sustavima i koji pružaju ključne usluge gospodarstvu i društvu u cjelini moraju poduzeti kibersigurnosne mjere i prijavljivati incidente u cilju povećanja ukupne razine kiberotpornosti na cijelom unutarnjem tržištu.
Kako bi se riješio problem neujednačene otpornosti u državama članicama i sektorima, poseban je cilj osigurati da svi subjekti koji djeluju u sektorima obuhvaćenima pravnim okvirom za sigurnost mrežnih i informacijskih sustava te koji su slične veličine i imaju usporedivu ulogu podliježu istom regulatornom režimu (unutar ili izvan područja primjene) neovisno o tome čijoj nadležnosti u EU-u pripadaju.
Kako bi se osiguralo da svi subjekti koji djeluju u sektorima obuhvaćenima pravnim okvirom za sigurnost mrežnih i informacijskih sustava moraju poštovati iste obveze koje se temelje na konceptu upravljanja rizicima kad je riječ o sigurnosnim mjerama te izvješćivati o svim incidentima na temelju ujednačenog skupa kriterija, posebni su ciljevi osigurati da nadležna tijela usklađenim mjerama nadzora i provedbe učinkovitije provode pravila utvrđena pravnim instrumentom te osigurati da se nadležnim tijelima u državama članicama dodijeli usporediva količina sredstava, čime bi im se omogućilo ispunjavanje osnovnih zadaća utvrđenih okvirom za sigurnost mrežnih i informacijskih sustava.
Kako bi se riješio problem zajedničke informiranosti o stanju i nedostatka zajedničkog odgovora na krizu, poseban je cilj osigurati razmjenu ključnih informacija među državama članicama uvođenjem jasnih obveza za nadležna tijela da razmjenjuju informacije i surađuju u pogledu kiberprijetnji i kiberincidenata te razvojem zajedničkog operativnog kapaciteta Unije za odgovor na krize.
1.4.3.Očekivani rezultati i učinak
Navesti očekivane učinke prijedloga/inicijative na ciljane korisnike/skupine.
Očekuje se da će prijedlog donijeti znatne koristi: procjenjuje se da bi mogao dovesti do smanjenja troškova kiberincidenata za 11,3 milijarde EUR. Sektorsko područje primjene znatno bi se proširilo okvirom za sigurnost mrežnih i informacijskih sustava, no uz navedene koristi, opterećenje koje bi moglo nastati zbog zahtjeva za sigurnost mrežnih i informacijskih sustava, posebno iz perspektive nadzora, uravnotežilo bi se za nove subjekte koji će biti obuhvaćeni tim okvirom, kao i za nadležna tijela. Razlog je tome taj što bi se novim okvirom za sigurnost mrežnih i informacijskih sustava uspostavio dvorazinski pristup, s naglaskom na velikim i ključnim subjektima, i razlikovanje sustava nadzora kojim bi se omogućio samo ex post nadzor za velik broj tih subjekata, posebno onih koji se smatraju „važnima”, ali nisu „ključni”.
Općenito, prijedlog bi doveo do učinkovitih kompromisa i sinergija, uz iskorištavanje potencijala svih analiziranih opcija politike kako bi se osigurala veća i stabilna razina kiberotpornosti ključnih subjekata diljem Unije, što bi u konačnici dovelo do uštede troškova za poduzeća i društvo.
Prijedlog bi doveo i do određenih troškova usklađivanja i provedbe za relevantna tijela država članica (procijenjeno je ukupno povećanje od oko 20–30 % sredstava). Međutim, novi bi okvir donio i znatne koristi zahvaljujući boljem pregledu i interakciji s ključnim poduzećima, pojačanoj prekograničnoj operativnoj suradnji te mehanizmima uzajamne pomoći i istorazinskog ocjenjivanja. To bi dovelo do sveukupnog povećanja kibersigurnosnih kapaciteta u državama članicama.
Kad je riječ o poduzećima koja bi bila obuhvaćena područjem primjene okvira za sigurnost mrežnih i informacijskih sustava, procjenjuje se da će potrebno povećanje iznositi najviše 22 % njihovih trenutačnih rashoda za sigurnost IKT-a tijekom prvih godina nakon uvođenja novog okvira za sigurnost mrežnih i informacijskih sustava (to bi iznosilo 12 % za poduzeća koja su već obuhvaćena područjem primjene postojeće Direktive NIS). Međutim, to prosječno povećanje rashoda za sigurnost IKT-a dovelo bi do razmjerne koristi od takvih ulaganja, posebno zbog znatnog smanjenja troškova kiberincidenata (koji su procijenjeni na 118 milijardi EUR tijekom deset godina).
Mala i mikropoduzeća bila bi izuzeta iz područja primjene okvira za sigurnost mrežnih i informacijskih sustava. Kad je riječ o srednjim poduzećima, može se očekivati povećanje razine rashoda za sigurnost IKT-a u prvim godinama nakon uvođenja novog okvira za sigurnost mrežnih i informacijskih sustava. Istodobno bi se povećanjem razine sigurnosnih zahtjeva za te subjekte potaknulo povećanje njihovih kibersigurnosnih kapaciteta i poboljšalo njihovo upravljanje rizicima u području IKT-a.
To bi utjecalo na nacionalne proračune i uprave: procjenjuje se da bi se povećanje od približno 20–30 % sredstava moglo očekivati u kratkom i srednjem roku.
Ne očekuju se drugi znatni negativni učinci. Očekuje se da će prijedlog dovesti do izgradnje snažnijih kibersigurnosnih kapaciteta te do znatnog ublažavajućeg učinka na količinu i ozbiljnost incidenata, uključujući povrede osobnih podataka. Vjerojatno će pozitivno utjecati i na osiguravanje ravnopravnih uvjeta u svim državama članicama za sve subjekte obuhvaćene područjem primjene okvira za sigurnost mrežnih i informacijskih sustava te na smanjenje asimetričnosti informacija u području kibersigurnosti.
1.4.4.Pokazatelji uspješnosti
Navesti pokazatelje za praćenje napretka i postignuća
Procjenu pokazatelja provodit će Komisija uz potporu ENISA-e i skupine za suradnju, počevši tri godine nakon stupanja na snagu novog pravnog akta o sigurnosti mrežnih i informacijskih sustava. Neki su od pokazatelja za praćenje na temelju kojih bi se ocjenjivala uspješnost preispitivanja sigurnosti mrežnih i informacijskih sustava sljedeći:
•
poboljšano rješavanje incidenata: poduzimanjem kibersigurnosnih mjera poduzeća ne samo da poboljšavaju svoju sposobnost da u potpunosti izbjegnu određene incidente nego i svoje kapacitete za odgovor na incidente. Pokazatelji uspješnosti stoga su i. smanjenje prosječnog vremena potrebnog za otkrivanje incidenta, ii. prosječno vrijeme potrebno organizacijama da se oporave od incidenta te iii. prosječni trošak štete uzrokovane incidentom;
•
bolja informiranost uprava poduzeća o kibersigurnosnim rizicima: obvezivanjem poduzeća da poduzimaju mjere, revidiranom Direktivom NIS pridonijelo bi se boljoj informiranosti članova uprave o kibersigurnosnim rizicima. To se može mjeriti proučavanjem u kojoj mjeri poduzeća obuhvaćena područjem primjene okvira za sigurnost mrežnih i informacijskih sustava daju prednost kibersigurnosti u svojim internim politikama i postupcima, što se dokazuje internom dokumentacijom, relevantnim programima osposobljavanja i aktivnostima informiranja za zaposlenike te davanjem prednosti ulaganjima u informacijske i komunikacijske tehnologije povezane sa sigurnošću. Uprave svih ključnih i važnih subjekata trebale bi biti upoznate i s pravilima utvrđenima u Direktivi NIS;
•
poravnanje rashoda za pojedine sektore: rashodi za sigurnost IKT-a znatno se razlikuju među sektorima u EU-u. Obvezivanjem poduzeća u više sektora da poduzimaju mjere, među sektorima i državama članicama trebala bi se smanjiti odstupanja od prosječnih rashoda za sigurnost IKT-a za pojedini sektor kao postotak ukupnih rashoda za IKT;
•
snažnija nadležna tijela i pojačana suradnja: revidiranom Direktivom NIS nadležnim bi se tijelima mogle dodijeliti dodatne zadaće. To bi imalo mjerljiv učinak na financijske i ljudske resurse namijenjene agencijama za kibersigurnost na nacionalnoj razini te bi trebalo pozitivno utjecati na kapacitet nadležnih tijela da proaktivno surađuju i dovesti do povećanja broja slučajeva njihove suradnje u svrhu rješavanja prekograničnih incidenata ili provedbe zajedničkih nadzornih aktivnosti;
•
povećana razmjena informacija: revidiranom Direktivom NIS poboljšala bi se i razmjena informacija među poduzećima i s nadležnim tijelima. Jedan od ciljeva preispitivanja mogao bi biti povećanje broja subjekata koji sudjeluju u različitim oblicima razmjene informacija.
1.5.Osnova prijedloga/inicijative
1.5.1.Zahtjevi koje treba ispuniti u kratkoročnom ili dugoročnom razdoblju, uključujući detaljan vremenski plan provedbe inicijative
Cilj je prijedloga povećati razinu kiberotpornosti sveobuhvatnog skupa poduzeća koja posluju u Europskoj uniji u svim relevantnim sektorima, smanjiti nedosljednosti u pogledu otpornosti na unutarnjem tržištu u sektorima koji su već obuhvaćeni Direktivom te poboljšati razinu zajedničke informiranosti o stanju i kolektivnu sposobnost pripreme i odgovora. Temeljit će se na onome što je protekle četiri godine postignuto provedbom Direktive (EU) 2016/1148.
1.5.2.Dodana vrijednost sudjelovanja Unije (može proizlaziti iz različitih čimbenika, npr. prednosti koordinacije, pravne sigurnosti, veće djelotvornosti ili komplementarnosti). Za potrebe ove točke „dodana vrijednost sudjelovanja Unije” vrijednost je koja proizlazi iz intervencije Unije i predstavlja dodatnu vrijednost u odnosu na vrijednost koju bi države članice inače ostvarile same.
Otpornost u području kibersigurnosti u cijeloj Uniji ne može biti učinkovita ako joj se različito pristupa u okviru nacionalnih ili regionalnih izoliranih sustava. Taj je nedostatak riješen Direktivom NIS uspostavom okvira za sigurnost mrežnih i informacijskih sustava na nacionalnoj razini i razini Unije. Međutim, u prvom periodičnom preispitivanju Direktive NIS ukazano je na niz inherentnih nedostataka koji su u konačnici doveli do znatnih razlika među državama članicama u pogledu kapaciteta, planiranja i razine zaštite, što istodobno utječe na ravnopravne uvjete za slična poduzeća na unutarnjem tržištu.
Intervencija EU-a koja nadilazi postojeće mjere Direktive NIS opravdana je uglavnom: i. prekograničnom prirodom problema; ii. potencijalom za djelovanje EU-a u cilju poboljšanja i olakšavanja učinkovitih nacionalnih politika; iii. doprinosom usklađenih i suradničkih mjera politike za sigurnost mrežnih i informacijskih sustava djelotvornoj zaštiti podataka i privatnosti.
Navedeni se ciljevi stoga mogu bolje postići djelovanjem na razini EU-a nego samostalnim djelovanjem država članica.
1.5.3.Pouke iz prijašnjih sličnih iskustava
Direktiva NIS prvi je horizontalni instrument unutarnjeg tržišta čiji je cilj poboljšati otpornost mreža i sustava u Uniji na kibersigurnosne rizike. Od njezina stupanja na snagu 2016. već je uvelike pridonijela povećanju zajedničke razine kibersigurnosti među državama članicama. Međutim, preispitivanje funkcioniranja i provedbe Direktive ukazalo je na niz nedostataka koje je, uz sve veću digitalizaciju i potrebu za ažurnijim odgovorom, potrebno riješiti revidiranim pravnim aktom.
1.5.4.Usklađenost s višegodišnjim financijskim okvirom i moguće sinergije s drugim prikladnim instrumentima
Novi je prijedlog u potpunosti dosljedan i usklađen s drugim povezanim inicijativama kao što su Prijedlog uredbe o digitalnoj operativnoj otpornosti za financijski sektor („DORA”) i Prijedlog direktive o otpornosti ključnih operatora osnovnih usluga. U skladu je i s Europskim zakonikom elektroničkih komunikacija, Općom uredbom o zaštiti podataka i Uredbom eIDAS.
Prijedlog je ključni dio strategije EU-a za sigurnosnu uniju.
1.5.5.Ocjena različitih dostupnih mogućnosti financiranja, uključujući mogućnost preraspodjele
Upravljanje tim zadaćama ENISA-e zahtijeva posebne profile i dodatno radno opterećenje koje nije moguće apsorbirati bez povećanja ljudskih resursa.
1.6.Trajanje i financijski učinak prijedloga/inicijative
◻ Ograničeno trajanje
–◻
prijedlog/inicijativa na snazi od [DD/MM]GGGG do [DD/MM]GGGG
–◻
financijski učinak od GGGG do GGGG
☒ Neograničeno trajanje
–provedba s početnim razdobljem od 2022. do 2025.,
–nakon čega slijedi redovna provedba.
1.7.Predviđeni načini upravljanja
☒ Izravno upravljanje koje provodi Komisija
putem
–◻
izvršnih agencija
◻ Podijeljeno upravljanje s državama članicama
◻X Neizravno upravljanje povjeravanjem zadaća izvršenja proračuna:
◻ međunarodnim organizacijama i njihovim agencijama (navesti)
◻ EIB-u i Europskom investicijskom fondu
☒ tijelima iz članaka 70. i 71.
◻ tijelima javnog prava
◻ tijelima uređenima privatnim pravom koja pružaju javne usluge u mjeri u kojoj daju odgovarajuća financijska jamstva
◻ tijelima uređenima privatnim pravom države članice kojima je povjerena provedba javno-privatnog partnerstva i koja daju odgovarajuća financijska jamstva
◻ osobama kojima je povjerena provedba određenih djelovanja u području ZVSP-a u skladu s glavom V. UEU-a i koje su navedene u odgovarajućem temeljnom aktu.
Napomene
Agencija Europske unije za kibersigurnost ENISA, kojoj je Aktom o kibersigurnosti dodijeljen novi trajni mandat, pomogla bi državama članicama i Komisiji u provedbi revidirane Direktive NIS.
Kao rezultat revidirane Direktive NIS, ENISA će od 2022./2023. imati dodatna područja djelovanja. Iako bi ta područja djelovanja bila obuhvaćena općim zadaćama ENISA-e u skladu s njezinim mandatom, prouzročit će dodatno radno opterećenje za agenciju. Konkretnije, uz postojeća područja djelovanja, ENISA će u skladu s Komisijinim prijedlogom revidirane Direktive NIS morati u svoj program rada posebno uključiti, među ostalim, i sljedeća djelovanja: i. razvoj i vođenje europskog registra ranjivosti (članak 6. stavak 2. prijedloga), ii. osiguravanje tajništva Europske mreže organizacija za vezu za kiberkrize (CyCLONe) (članak 14. prijedloga) i izdavanje godišnjeg izvješća o stanju kibersigurnosti u EU-u (članak 15. prijedloga), iii. potporu organizaciji istorazinskih ocjenjivanja među državama članicama (članak 16. prijedloga), iv. prikupljanje agregiranih podataka o incidentima od država članica i izdavanje tehničkih smjernica (članak 20. stavak 9. prijedloga) te v. uspostavu i vođenje registra subjekata koji pružaju prekogranične usluge (članak 25. prijedloga).
Stoga će se od 2022. podnijeti zahtjev za pet dodatnih EPRV-a s odgovarajućim proračunom od oko 0,61 milijun EUR godišnje za pokrivanje tih novih radnih mjesta.
2.MJERE UPRAVLJANJA
2.1.Pravila praćenja i izvješćivanja
Navesti učestalost i uvjete.
Komisija će periodično preispitivati funkcioniranje Direktive i izvješćivati Europski parlament i Vijeće, prvi put tri godine nakon njezina stupanja na snagu.
Komisija će ocijeniti i ispravno prenošenje Direktive u državama članicama.
Pri praćenju prijedloga i izvješćivanju o njemu slijedit će se načela utvrđena u trajnom mandatu ENISA-e na temelju UREDBE (EU) 2019/881 (Akt o kibersigurnosti).
Podaci koji bi se upotrebljavali za planirano praćenje uglavnom bi dolazili od ENISA-e, skupine za suradnju, mreže CSIRT-ova i tijela država članica. Osim podataka iz izvješća (uključujući godišnja izvješća o radu) ENISA-e, skupine za suradnju i mreže CSIRT-ova, mogli bi se, prema potrebi, upotrebljavati posebni alati za prikupljanje podataka (na primjer ankete koje se provode među nacionalnim tijelima, Eurobarometar i izvješća o kampanji Mjesec kibersigurnosti i paneuropskim vježbama).
2.2.Sustavi upravljanja i kontrole
2.2.1.Obrazloženje načina upravljanja, mehanizama provedbe financiranja, načina plaćanja i predložene strategije kontrole
Provedbom Direktive upravljat će odjel unutar Glavne uprave CNECT zadužen za to područje politike.
Kad je riječ o ENISA-inom upravljanju, u članku 15. Akta o kibersigurnosti naveden je detaljan popis kontrolnih funkcija Upravljačkog odbora ENISA-e.
U skladu s člankom 31. Akta o kibersigurnosti, izvršni direktor ENISA-e odgovoran je za izvršenje proračuna ENISA-e, a unutarnji revizor Komisije ima iste ovlasti u odnosu na ENISA-u kao i u odnosu na službe Komisije. Upravljački odbor ENISA-e donosi mišljenje o završnoj računovodstvenoj dokumentaciji ENISA-e.
2.2.2.Informacije o utvrđenim rizicima i uspostavljenim sustavima unutarnje kontrole za ublažavanje rizika
Vrlo nizak rizik, s obzirom na to da je ekosustav Direktive NIS već uspostavljen i već obuhvaća ENISA-u, koja od stupanja na snagu Akta o kibersigurnosti 2019. ima trajni mandat.
2.2.3.Procjena i obrazloženje troškovne učinkovitosti kontrola (omjer troškova kontrole i vrijednosti sredstava kojima se upravlja) i procjena očekivane razine rizika od pogreške (pri plaćanju i pri zaključenju)
Zatraženo povećanje proračuna za glavu 1. primjenjuje se i namijenjeno je financiranju plaća. To znači da postoji vrlo nizak rizik od pogreške na razini plaćanja.
2.3.Mjere za sprečavanje prijevara i nepravilnosti
Navesti postojeće ili predviđene mjere za sprečavanje i zaštitu, npr. iz strategije za borbu protiv prijevara.
Primjenjivale bi se ENISA-ine mjere za sprečavanje i zaštitu od prijevara, posebno:
– osoblje agencije provjerava plaćanja za sve zatražene usluge ili studije prije izvršavanja plaćanja, uzimajući u obzir ugovorne obveze, ekonomska načela i dobru financijsku ili upravljačku praksu. Odredbe o sprečavanju prijevara (nadzor, zahtjevi izvješćivanja itd.) bit će uključene u sve sporazume i ugovore koje agencija sklapa s primateljima plaćanja;
– u cilju borbe protiv prijevara, korupcije i ostalih nezakonitih aktivnosti, odredbe Uredbe (EU, Euratom) br. 883/2013 Europskog parlamenta i Vijeća od 11. rujna 2013. o istragama koje provodi Europski ured za borbu protiv prijevara (OLAF) primjenjuju se bez ograničenja;
– u skladu s člankom 33. Akta o kibersigurnosti ENISA je do 28. prosinca 2019. pristupila Međuinstitucionalnom sporazumu od 25. svibnja 1999. između Europskog parlamenta, Vijeća Europske unije i Komisije Europskih zajednica u vezi s internim istragama koje provodi Europski ured za borbu protiv prijevara (OLAF). ENISA bez odgode izdaje odgovarajuće odredbe primjenjive na sve zaposlenike agencije.
3.PROCIJENJENI FINANCIJSKI UČINAK PRIJEDLOGA/INICIJATIVE
3.1.Naslovi višegodišnjeg financijskog okvira i proračunske linije rashoda na koje prijedlog/inicijativa ima učinak
·Postojeće proračunske linije
Prema redoslijedu naslova višegodišnjeg financijskog okvira i proračunskih linija.
Naslov višegodišnjeg financijskog okvira
|
Proračunska linija
|
Vrsta
rashoda
|
Doprinos
|
|
Broj
|
dif./nedif.
|
zemalja EFTA-e
|
zemalja kandidatkinja
|
trećih zemalja
|
u smislu članka 21. stavka 2. točke (b) Financijske uredbe
|
2
|
02 10 04
|
nedif.
|
DA
|
NE
|
NE
|
NE
|
·Zatražene nove proračunske linije
Prema redoslijedu naslova višegodišnjeg financijskog okvira i proračunskih linija.
Naslov višegodišnjeg financijskog okvira
|
Proračunska linija
|
Vrsta
rashoda
|
Doprinos
|
|
Broj
|
dif./nedif.
|
zemalja EFTA-e
|
zemalja kandidatkinja
|
trećih zemalja
|
u smislu članka 21. stavka 2. točke (b) Financijske uredbe
|
|
[XX YY YY YY]
|
|
DA/NE
|
DA/NE
|
DA/NE
|
DA/NE
|
3.2.Procijenjeni učinak na rashode
3.2.1.Sažetak procijenjenog učinka na rashode
U milijunima EUR (do 3 decimalna mjesta)
Naslov višegodišnjeg financijskog
okvira
|
Broj
|
[Naslov 2. Jedinstveno tržište, inovacije i digitalno gospodarstvo……………………………………………………………………]
|
[Tijelo]: <…ENISA….>
|
|
|
Godina
N
2022.
|
Godina
N+1
2023.
|
Godina
N+2
2024.
|
Godina
N+3
2025.
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
2026. 2027.
|
UKUPNO
|
Glava 1.:
|
Obveze
|
(1)
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
|
3,66
|
|
Plaćanja
|
(2)
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
|
3,66
|
Glava 2.:
|
Obveze
|
(1 a)
|
|
|
|
|
|
|
|
|
|
Plaćanja
|
(2a)
|
|
|
|
|
|
|
|
|
Glava 3.:
|
Obveze
|
(3 a)
|
|
|
|
|
|
|
|
|
|
Plaćanja
|
(3b)
|
|
|
|
|
|
|
|
|
UKUPNA odobrena sredstva
[tijelu] <ENISA…….>
|
Obveze
|
=1+1a+3a
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
|
3,66
|
|
Plaćanja
|
=2+2a
+3b
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
|
3,66
|
Naslov višegodišnjeg financijskog
okvira
|
5.
|
„Administrativni rashodi”
|
U milijunima EUR (do 3 decimalna mjesta)
|
|
|
Godina
N
|
Godina
N+1
|
Godina
N+2
|
Godina
N+3
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
|
UKUPNO
|
Glavna uprava: <…….>
|
• Ljudski resursi
|
|
|
|
|
|
|
|
|
• Ostali administrativni rashodi
|
|
|
|
|
|
|
|
|
GLAVNA UPRAVA <…….> UKUPNO
|
Odobrena sredstva
|
|
|
|
|
|
|
|
|
UKUPNA odobrena sredstva
iz NASLOVA 5.
višegodišnjeg financijskog okvira
|
(ukupne obveze = ukupna plaćanja)
|
|
|
|
|
|
|
|
|
U milijunima EUR (do 3 decimalna mjesta)
|
|
|
Godina
N
2022.
|
Godina
N+1
2023.
|
Godina
N+2
2024.
|
Godina
N+3
2025.
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
2026. 2027.
|
UKUPNO
|
UKUPNA odobrena sredstva
iz NASLOVA 1.–5.
višegodišnjeg financijskog okvira
|
Obveze
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
|
3,66
|
|
Plaćanja
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
|
3,66
|
3.2.2.Procijenjeni utjecaj na odobrena sredstva [tijela]
–◻x
Za prijedlog/inicijativu nisu potrebna odobrena sredstva za poslovanje.
–◻
Za prijedlog/inicijativu potrebna su sljedeća odobrena sredstva za poslovanje:
Odobrena sredstva za preuzimanje obveza u milijunima EUR (do 3 decimalna mjesta)
Navesti ciljeve i rezultate
⇩
|
|
|
Godina
N
|
Godina
N+1
|
Godina
N+2
|
Godina
N+3
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
|
UKUPNO
|
|
REZULTATI
|
|
Vrsta
|
Prosječni trošak
|
Broj
|
Trošak
|
Broj
|
Trošak
|
Broj
|
Trošak
|
Broj
|
Trošak
|
Broj
|
Trošak
|
Broj
|
Trošak
|
Broj
|
Trošak
|
Ukupni broj
|
Ukupni trošak
|
POSEBNI CILJ br. 1…
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– Rezultat
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– Rezultat
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– Rezultat
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Međuzbroj za posebni cilj br. 1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
POSEBNI CILJ br. 2...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– Rezultat
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Međuzbroj za posebni cilj br. 2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
UKUPNI TROŠAK
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2.3.Procijenjeni utjecaj na ENISA-ine ljudske resurse
3.2.3.1.Sažetak
Kao rezultat revidirane Direktive NIS, ENISA će od 2022./2023. imati dodatne zadaće. Iako bi te zadaće bile obuhvaćene ENISA-inim mandatom, prouzročit će dodatno radno opterećenje za agenciju. Konkretnije, uz postojeće zadaće, u skladu s Komisijinim prijedlogom revidirane Direktive NIS ENISA će, među ostalim, biti zadužena za: i. razvoj i vođenje europskog registra ranjivosti (članak 6. stavak 2.), ii. osiguravanje tajništva Europske mreže organizacija za vezu za kiberkrize (CyCLONe) (članak 14.) i izdavanje godišnjeg izvješća o stanju kibersigurnosti u EU-u (članak 15.), iii. potporu organizaciji istorazinskih ocjenjivanja među državama članicama (članak 16.), iv. prikupljanje agregiranih podataka o incidentima od država članica i izdavanje tehničkih smjernica (članak 20. stavak 9.) te v. uspostavu i vođenje registra subjekata koji pružaju prekogranične usluge (članak 25.).
Stoga će se od 2022. podnijeti zahtjev za pet dodatnih EPRV-a s odgovarajućim sredstvima za pokrivanje tih novih radnih mjesta.
–◻
Za prijedlog/inicijativu nisu potrebna administrativna odobrena sredstva.
–◻X
Za prijedlog/inicijativu potrebna su sljedeća administrativna odobrena sredstva:
U milijunima EUR (do 3 decimalna mjesta)
|
Godina
N
2022.
|
Godina
N+1
2023.
|
Godina
N+2
2024.
|
Godina
N+3
2025.
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
2026. 2027.
|
UKUPNO
|
Privremeno osoblje (razredi AD)
|
0,450
|
0,450
|
0,450
|
0,450
|
0,450
|
0,450
|
|
2.7.
|
Privremeno osoblje (razredi AST)
|
|
|
|
|
|
|
|
|
Ugovorno osoblje
|
0,160
|
0,160
|
0,160
|
0,160
|
0,160
|
0,160
|
|
0,96
|
Upućeni nacionalni stručnjaci
|
|
|
|
|
|
|
|
|
UKUPNO
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
0,61
|
|
3,66
|
Potrebe u pogledu osoblja (EPRV):
|
Godina
N
2022.
|
Godina
N+1
2023.
|
Godina
N+2
2024.
|
Godina
N+3
2025.
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
2026. 2027.
|
UKUPNO
|
Privremeno osoblje (razredi AD)
|
3
|
3
|
3
|
3
|
3
|
3
|
|
18
|
Privremeno osoblje (razredi AST)
|
|
|
|
|
|
|
|
|
Ugovorno osoblje
|
2
|
2
|
2
|
2
|
2
|
2
|
|
12
|
Upućeni nacionalni stručnjaci
|
|
|
|
|
|
|
|
|
3.2.3.2.Procijenjene potrebe u pogledu ljudskih resursa za matičnu glavnu upravu
–◻
Za prijedlog/inicijativu nisu potrebni ljudski resursi.
–◻
Za prijedlog/inicijativu potrebni su sljedeći ljudski resursi:
Procjenu navesti u cijelom iznosu (ili najviše do jednog decimalnog mjesta)
|
Godina
N
|
Godina
N+1
|
Godina N+2
|
Godina N+3
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
|
·Radna mjesta prema planu radnih mjesta (dužnosnici i privremeno osoblje)
|
|
|
|
|
|
|
|
XX 01 01 01 (sjedište i predstavništva Komisije)
|
|
|
|
|
|
|
|
XX 01 01 02 (delegacije)
|
|
|
|
|
|
|
|
XX 01 05 01 (neizravno istraživanje)
|
|
|
|
|
|
|
|
10 01 05 01 (izravno istraživanje)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• Vanjsko osoblje (u ekvivalentu punog radnog vremena: EPRV)
|
|
|
|
|
|
|
|
XX 01 02 01 (UO, UNS, UsO iz „globalne omotnice”)
|
|
|
|
|
|
|
|
XX 01 02 02 (UO, LO, UNS, UsO i MSD u delegacijama)
|
|
|
|
|
|
|
|
XX 01 04 yy
|
– u sjedištima
|
|
|
|
|
|
|
|
|
– u delegacijama
|
|
|
|
|
|
|
|
XX 01 05 02 (UO, UNS, UsO – neizravno istraživanje)
|
|
|
|
|
|
|
|
10 01 05 02 (UO, UNS, UsO – izravno istraživanje)
|
|
|
|
|
|
|
|
Druge proračunske linije (navesti)
|
|
|
|
|
|
|
|
UKUPNO
|
|
|
|
|
|
|
|
XX se odnosi na odgovarajuće područje politike ili glavu proračuna.
Potrebe za ljudskim resursima pokrit će se osobljem glavne uprave kojemu je već povjereno upravljanje djelovanjem i/ili koje je preraspoređeno unutar glavne uprave te, prema potrebi, resursima koji se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.
Opis zadaća:
Dužnosnici i privremeno osoblje
|
|
Vanjsko osoblje
|
|
Opis izračuna troškova za ekvivalent punog radnog vremena trebao bi biti uključen u Prilog V. odjeljak 3.
3.2.4.Usklađenost s aktualnim višegodišnjim financijskim okvirom
–◻X Prijedlog/inicijativa u skladu je s aktualnim višegodišnjim financijskim okvirom.
–◻
Prijedlog/inicijativa iziskuje reprogramiranje relevantnog naslova višegodišnjeg financijskog okvira.
Objasniti o kakvom je reprogramiranju riječ te navesti predmetne proračunske linije i odgovarajuće iznose.
Prijedlog je u skladu s višegodišnjim financijskim okvirom za razdoblje 2021.–2027.
Prebijanje proračuna zatraženog za pokrivanje povećanja sredstava za ljudske resurse u ENISA-i provest će se smanjenjem proračuna programa Digitalna Europa za isti iznos u istom naslovu.
–◻
Za prijedlog/inicijativu potrebna je primjena instrumenta fleksibilnosti ili revizija višegodišnjeg financijskog okvira.
Objasniti što je potrebno te navesti predmetne naslove i proračunske linije te odgovarajuće iznose.
3.2.5.Doprinos trećih strana
–Prijedlogom/inicijativom ne predviđa se sudjelovanje trećih strana u sufinanciranju.
–Prijedlogom/inicijativom predviđa se sufinanciranje prema sljedećoj procjeni:
U milijunima EUR (do 3 decimalna mjesta)
|
Godina
N
|
Godina
N+1
|
Godina
N+2
|
Godina
N+3
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
|
Ukupno
|
Navesti tijelo koje sudjeluje u financiranju
|
|
|
|
|
|
|
|
|
UKUPNO sufinancirana odobrena sredstva
|
|
|
|
|
|
|
|
|
3.3.Procijenjeni učinak na prihode
–◻
Prijedlog/inicijativa nema financijski učinak na prihode.
–◻
Prijedlog/inicijativa ima sljedeći financijski učinak:
na vlastita sredstva
na ostale prihode
navesti jesu li prihodi namijenjeni proračunskim linijama rashoda
U milijunima EUR (do 3 decimalna mjesta)
Proračunska linija prihoda:
|
Odobrena sredstva dostupna za tekuću financijsku godinu
|
Učinak prijedloga/inicijative
|
|
|
Godina
N
|
Godina
N+1
|
Godina
N+2
|
Godina
N+3
|
Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
|
Članak ………….
|
|
|
|
|
|
|
|
|
Za razne namjenske prihode navesti odgovarajuće proračunske linije rashoda.
Navesti metodu izračuna učinka na prihode.