02022L2555 — HR — 27.12.2022 — 000.005
Ovaj je tekst namijenjen isključivo dokumentiranju i nema pravni učinak. Institucije Unije nisu odgovorne za njegov sadržaj. Vjerodostojne inačice relevantnih akata, uključujući njihove preambule, one su koje su objavljene u Službenom listu Europske unije i dostupne u EUR-Lexu. Tim službenim tekstovima može se izravno pristupiti putem poveznica sadržanih u ovom dokumentu.
DIREKTIVA (EU) 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) ( L 333 27.12.2022, 80) |
Koju je ispravio:
DIREKTIVA (EU) 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA
od 14. prosinca 2022.
o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2)
(Tekst značajan za EGP)
POGLAVLJE I.
OPĆE ODREDBE
Članak 1.
Predmet
U tu svrhu, ovom se Direktivom utvrđuju:
obveze kojima se zahtjeva da države članice donesu nacionalne strategije za kibersigurnost i imenuju ili uspostave nadležna tijela, tijela za upravljanje kiberkrizama, jedinstvene kontaktne točke za kibersigurnost (jedinstvene kontaktne točke) i timove za odgovor na računalne sigurnosne incidente (CSIRT-ovi);
mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja za subjekte koji pripadaju vrstama navedenim u Prilogu I. i u Prilogu II kao i za subjekte utvrđene kao kritični subjekti na temelju Direktive (EU) 2022/2557;
pravila i obveze u pogledu razmjene informacija o kibersigurnosti;
obveze nadzora i izvršavanja za države članice.
Članak 2.
Područje primjene
Članak 3. stavak 4. Priloga toj Preporuci ne primjenjuje se za potrebe ove Direktive.
Ova se Direktiva primjenjuje i na subjekte koji pripadaju vrstama navedenim u Prilogu I. ili u Prilogu II, neovisno o njihovoj veličini:
ako usluge pružaju:
pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga;
pružatelji usluga povjerenja;
registri naziva vršnih domena i pružatelji usluga sustava naziva domena;
ako je subjekt u nekoj državi članici jedini pružatelj usluge koja je ključna za održavanje ključnih društvenih ili gospodarskih djelatnosti;
ako bi poremećaj u funkcioniranju usluge koju pruža subjekt mogao imati znatan učinak na javnu sigurnost, javnu zaštitu ili javno zdravlje;
ako bi poremećaj u funkcioniranju usluge koju pruža subjekt mogao uzrokovati znatne sistemske rizike, posebno u sektorima u kojima bi takav poremećaj mogao imati prekogranični učinak;
ako je subjekt ključan zbog svoje posebne važnosti na nacionalnoj ili regionalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u državi članici;
ako se radi o subjektu javne uprave:
na razini državne uprave kako ga definira država članica u skladu s nacionalnim pravom; ili
na regionalnoj razini kako ga definira država članica u skladu s nacionalnim pravom koji nakon procjene utemeljene na riziku pruža usluge čiji bi poremećaj mogao imati znatan učinak na ključne društvene ili gospodarske djelatnosti.
Države članice mogu predvidjeti da se ova Direktiva primjenjuje na:
subjekte javne uprave na lokalnoj razini;
obrazovne ustanove, posebno ako provode ključne istraživačke aktivnosti.
Obradu osobnih podataka na temelju ove Direktive provode pružatelji javnih elektroničkih komunikacijskih mreža ili pružatelji javno dostupnih elektroničkih komunikacijskih usluga u skladu s pravom Unije o zaštiti podataka i pravom Unije o zaštiti privatnosti, a posebno s Direktivom 2002/58/EZ.
Članak 3.
Ključni i važni subjekti
Za potrebe ove Direktive sljedeći subjekti smatraju se ključnim subjektima:
subjekti koji pripadaju vrstama iz Priloga I. koji premašuju gornje granice za srednja poduzeća iz članka 2. stavka 1. Priloga Preporuci 2003/361/EZ;
kvalificirani pružatelji usluga povjerenja i registri naziva vršnih domena te pružatelji usluga DNS-a, neovisno o njihovoj veličini;
pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji se smatraju srednjim poduzećima na temelju članka 2. Priloga Preporuci 2003/361/EZ;
subjekti javne uprave iz članka 2. stavka 2. točke (f) podtočke (i);
svi drugi subjekti koji pripadaju vrstama iz priloga I. ili II. koje je država članica utvrdila kao ključne subjekte na temelju članka 2. stavka 2. točaka od (b) do (e);
subjekti koji su utvrđeni kao kritični subjekti na temelju Direktive (EU) 2022/2557, iz članka 2. stavka 3. ove Direktive;
ako država članica tako odredi, subjekti koje je ta država članica utvrdila prije 16. siječnja 2023. kao operatore ključnih usluga u skladu s Direktivom (EU) 2016/1148 ili nacionalnim pravom.
Za potrebe utvrđivanja popisa iz stavka 3. države članice zahtijevaju od subjekata iz tog stavka da nadležnim tijelima dostave barem sljedeće informacije:
naziv subjekta;
adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP raspone i telefonske brojeve;
ako je to primjenjivo, relevantni sektor i podsektor iz priloga I. ili II.; i
ako je to primjenjivo, popis država članica u kojima pružaju usluge obuhvaćene područjem primjene ove Direktive.
Subjekti iz stavka 3. bez odgode, a u svakom slučaju u roku od dva tjedna od datuma promjene, obavješćuju o svim promjenama podataka koje su dostavili u skladu s prvim podstavkom ovog stavka.
Komisija uz pomoć Agencije Europske unije za kibersigurnost (ENISA) bez nepotrebne odgode pruža smjernice i predloške u vezi s obvezama utvrđenim u ovom stavku.
Države članice mogu uspostaviti nacionalne mehanizme za registraciju subjekata.
Do 17. travnja 2025. i svake dvije godine nakon toga nadležna tijela obavješćuju:
Komisiju i skupinu za suradnju o broju svih ključnih i važnih subjekata navedenih u skladu sa stavkom 3. za svaki sektor i podsektor iz priloga I. ili II.; i
Komisiju o relevantnim informacijama o broju ključnih i važnih subjekata utvrđenih na temelju članka 2. stavka 2. točaka od (b) do (e), sektoru i podsektoru iz priloga I. ili II. kojima pripadaju, vrsti usluge koju pružaju i odredbama iz članka 2. stavka 2. točaka od (b) do (e), na temelju kojih su utvrđeni.
Članak 4.
Sektorski pravni akti Unije
Zahtjevi iz stavka 1. ovog članka smatraju se po učinku jednakovrijednim obvezama utvrđenima u ovoj Direktivi ako:
mjere upravljanja kibersigurnosnim rizicima po učinku su barem jednakovrijedne mjerama utvrđenima u članku 21. stavcima 1. i 2.; ili
sektorskim pravnim aktom Unije predviđa se neposredan, prema potrebi automatski i izravan, pristup obavijestima o incidentima od strane CSIRT-ova, nadležnih tijela ili jedinstvenih kontaktnih točaka na temelju ove Direktive te kada su zahtjevi za obavješćivanje o značajnim incidentima po učinku barem jednakovrijedni onima utvrđenima u članku 23. stavcima od 1. do 6. ove Direktive.
Članak 5.
Minimalno usklađivanje
Ovom Direktivom ne sprečava se države članice da donesu ili zadrže odredbe kojima se osigurava viša razina kibersigurnosti, pod uvjetom da su te odredbe u skladu s obvezama država članica utvrđenih pravom Unije.
Članak 6.
Definicije
Za potrebe ove Direktive primjenjuju se sljedeće definicije:
„mrežni i informacijski sustav” znači:
elektronička komunikacijska mreža kako je definirana u članku 2. točki 1. Direktive (EU) 2018/1972;
svaki uređaj ili skupina povezanih ili srodnih uređaja, od kojih jedan ili više njih programski izvršava automatsku obradu digitalnih podataka; ili
digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose elementima opisanima u točkama (a) i (b) u svrhu njihova rada, uporabe, zaštite i održavanja;
„sigurnost mrežnih i informacijskih sustava” znači sposobnost mrežnih i informacijskih sustava da na određenoj razini pouzdanosti odolijevaju svim događajima koji mogu ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje ti mrežni i informacijski sustavi nude ili kojima omogućuju pristup;
„kibersigurnost” znači kibersigurnost kako je definirana u članku 2. točki 1. Uredbe (EU) 2019/881;
„nacionalna strategija za kibersigurnost” znači koherentan okvir države članice kojim se predviđaju strateški ciljevi i prioriteti u području kibersigurnosti i upravljanje za njihovo postizanje u toj državi članici;
„izbjegnuti incident” znači svaki događaj koji je mogao ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup, ali je uspješno spriječen ili se nije ostvario;
„incident” znači događaj koji ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup;
„kibersigurnosni incident velikih razmjera” znači incident koji uzrokuje razinu poremećaja koja premašuje sposobnost države članice da na njega odgovori ili koji ima znatan učinak na najmanje dvije države članice;
„postupanje s incidentom” znači sve radnje i postupci čiji je cilj sprečavanje, otkrivanje, analiza, zaustavljanje incidenta ili odgovor na njega te oporavak od incidenta;
„rizik” znači mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave tog incidenta;
„kiberprijetnja” znači kiberprijetnja kako je definirana u članku 2. točki 8. Uredbe (EU) 2019/881;
„ozbiljna kiberprijetnja” znači kiberprijetnja za koju se na temelju njezinih tehničkih obilježja može pretpostaviti da može imati ozbiljan učinak na mrežne i informacijske sustave nekog subjekta ili korisnike usluga subjekta uzrokovanjem znatne materijalne ili nematerijalne štete;
„IKT proizvod” znači IKT proizvod kako je definiran u članku 2. točki 12. Uredbe (EU) 2019/881;
„IKT usluga” znači IKT usluga kako je definirana u članku 2. točki 13. Uredbe (EU) 2019/881;
„IKT proces” znači IKT proces kako je definiran u članku 2. točki 14. Uredbe (EU) 2019/881;
„ranjivost” znači slabost, osjetljivost ili nedostatak IKT proizvoda ili IKT usluga koje kiberprijetnja može iskoristiti;
„norma” znači norma kako je definirana u članku 2. točki 1. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća ( 3 );
„tehnička specifikacija” znači tehnička specifikacija kako je definirana u članku 2. točki 4. Uredbe (EU) br. 1025/2012;
„središte za razmjenu internetskog prometa” znači mrežni instrument koji omogućuje međupovezivanje više od dviju neovisnih mreža (autonomnih sustava), prvenstveno u svrhu olakšavanja razmjene internetskog prometa, koji omogućuje međupovezivanje samo za autonomne sustave i za koji nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav te koji takav promet ne mijenja i ne utječe na njega ni na koji drugi način;
„sustav naziva domena” ili „(DNS)” znači hijerarhijsko raspoređeni sustav imenovanja koji omogućuje utvrđivanje internetskih usluga i resursa, čime se krajnjim korisnicima uređaja omogućuje da korištenje internetskim uslugama usmjeravanja i povezivosti za pristupanje tim uslugama i resursima;
„pružatelj usluga DNS-a” znači subjekt koji pruža:
javno dostupne rekurzivne usluge razlučivanja naziva domena krajnjim korisnicima interneta; ili
mjerodavne usluge razlučivanja naziva domena za upotrebu trećih strana, uz iznimku korijenskih poslužitelja naziva;
„registar naziva vršnih domena” znači subjekt kojem je delegirana određena vršna domena i koji je odgovoran za upravljanje njome, uključujući registraciju naziva domena u okviru vršne domene i tehničko upravljanje vršnom domenom, uključujući upravljanje njezinim poslužiteljima naziva, održavanje njezinih baza podataka i distribuciju datoteka iz zone vršne domene u poslužitelje naziva, neovisno o tome obavlja li sam subjekt bilo koju od tih operacija ili njihovo obavljanje eksternalizira, ali su isključene situacije u kojima registar koristi nazive vršnih domena samo za vlastitu upotrebu;
„subjekt koji pruža usluge registracije naziva domena” znači registrar ili zastupnik koji djeluje u ime registrara, kao što je pružatelj ili preprodavatelj usluga zaštite privatnosti i proxy registracije;
„digitalna usluga” znači usluga kako je definirana u članku 1. stavku 1. točki (b) Direktive (EU) 2015/1535 Europskog parlamenta i Vijeća ( 4 );
„usluga povjerenja” znači usluga povjerenja kako je definirana u članku 3. točki 16. Uredbe (EU) br. 910/2014;
„pružatelj usluga povjerenja” znači pružatelj usluga povjerenja kako je definiran u članku 3. točki 19. Uredbe (EU) br. 910/2014;
„kvalificirana usluga povjerenja” znači kvalificirana usluga povjerenja kako je definirana u članku 3. točki 17. Uredbe (EU) br. 910/2014;
„kvalificirani pružatelj usluga povjerenja” znači kvalificirani pružatelj usluga povjerenja kako je definiran u članku 3. točki 20. Uredbe (EU) br. 910/2014;
„internetsko tržište” znači internetsko tržište kako je definirano u članku 2. točki (n) Direktive 2005/29/EZ Europskog parlamenta i Vijeća ( 5 );
„internetska tražilica” znači internetska tražilica kako je definirana u članku 2. točki 5. Uredbe (EU) 2019/1150 Europskog parlamenta i Vijeća ( 6 );
„usluga računalstva u oblaku” znači digitalna usluga koja omogućuje administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kad su takvi resursi raspoređeni na nekoliko lokacija;
„usluga podatkovnog centra” znači usluga koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije i mreža za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša;
„mreža za isporuku sadržaja” znači mreža zemljopisno raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružateljâ sadržaja i usluga;
„platforma za usluge društvenih mreža” znači platforma koja krajnjim korisnicima omogućuje da se međusobno povežu, dijele i otkrivaju sadržaj te da komuniciraju na više uređaja, posebno preko razgovora, objava, videozapisa i preporuka;
„predstavnik” znači fizička ili pravna osoba koja ima poslovni nastan u Uniji koju su pružatelj usluga DNS-a, registar naziva vršnih domena, subjekt koji pruža usluge registracije naziva domena, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga, ili pružatelj internetskog tržišta, pružatelj internetske tražilice ili pružatelj platforme za usluge društvenih mreža koji nema poslovni nastan u Uniji izričito imenovali da djeluje u njihovo ime i kojoj se nadležno tijelo ili CSIRT mogu obratiti umjesto samom subjektu u pogledu obveza tog subjekta na temelju ove Direktive;
„subjekt javne uprave” znači subjekt koji je kao takav priznat u državi članici u skladu s nacionalnim pravom, ne uključujući sudstvo, parlamente ili središnje banke i koji ispunjava sljedeće kriterije:
uspostavljen je u svrhu zadovoljavanja potreba od općeg interesa i nije industrijske ili komercijalne naravi;
ima pravnu osobnost ili ima zakonsko pravo djelovati u ime drugog subjekta s pravnom osobnošću;
većim dijelom financiraju ga državna, regionalna ili druga javnopravna tijela, ili podliježe upravljačkom nadzoru tih tijela, ili ima upravni, upravljački ili nadzorni odbor u kojem su više od polovine članova imenovala državna, regionalna ili druga javnopravna tijela;
ovlašten je fizičkim ili pravnim osobama upućivati upravne ili regulatorne odluke koje utječu na njihova prava u prekograničnom kretanju osoba, robe, usluga ili kapitala.
„javna elektronička komunikacijska mreža” znači javna elektronička komunikacijska mreža kako je definirana u članku 2. točki (8) Direktive (EU) 2018/1972;
„elektronička komunikacijska usluga” znači elektronička komunikacijska usluga kako je definirana u članku 2. točki (4) Direktive (EU) 2018/1972;
„subjekt” znači fizička ili pravna osoba osnovana i priznata kao takva na temelju nacionalnog prava mjesta svojeg poslovnog nastana, koja može, djelujući u vlastito ime, ostvarivati prava i preuzimati obveze;
„pružatelj upravljanih usluga” znači subjekt koji pruža usluge povezane s instalacijom, upravljanjem, radom ili održavanjem IKT proizvoda, mreža, infrastrukture, aplikacija ili bilo kojih drugih mrežnih i informacijskih sustava, u obliku pomoći ili aktivnog upravljanja koje se provodi u prostorima klijenata ili na daljinu;
„pružatelj upravljanih sigurnosnih usluga” znači pružatelj upravljanih usluga koji provodi ili pruža pomoć za aktivnosti povezane s upravljanjem kibersigurnosnim rizicima;
„istraživačka organizacija” znači subjekt čiji je primarni cilj provođenje primijenjenog istraživanja ili eksperimentalnog razvoja radi iskorištavanja rezultata tog istraživanja u komercijalne svrhe, ali koji ne uključuje obrazovne ustanove.
POGLAVLJE II.
KOORDINIRANI OKVIRI ZA KIBERSIGURNOST
Članak 7.
Nacionalna strategija za kibersigurnost
Svaka država članica donosi nacionalnu strategiju za kibersigurnost u kojoj se utvrđuju strateški ciljevi, resursi potrebni za postizanje tih ciljeva i odgovarajuće mjere politike i regulatorne mjere radi postizanja i održavanja visoke razine kibersigurnosti. Nacionalna strategija za kibersigurnost uključuje:
ciljeve i prioritete strategije za kibersigurnost države članice koji posebno obuhvaćaju sektore i podsektore iz priloga I. i II.;
upravljački okvir za postizanje ciljeva i prioriteta iz točke (a) ovog stavka, uključujući politike iz stavka 2. ;
upravljački okvir kojim se pojašnjavaju uloge i odgovornosti relevantnih dionika na nacionalnoj razini, kojim se podupire suradnja i koordinacija na nacionalnoj razini među nadležnim tijelima, jedinstvenim kontaktnim točkama i CSIRT-ovima na temelju ove Direktive, kao i koordinacija i suradnja između tih tijela i nadležnih tijela na temelju sektorskih pravnih akata Unije;
mehanizam za utvrđivanje relevantne imovine i procjenu rizika u toj državi članici;
određivanje mjera za osiguravanje pripravnosti i sposobnosti reagiranja na incidente i oporavka od incidenata, uključujući suradnju javnog i privatnog sektora;
popis različitih tijela i dionika koji su uključeni u provedbu nacionalne strategije za kibersigurnost;
okvir politike za bolju koordinaciju između nadležnih tijela na temelju ove Direktive i nadležnih tijela na temelju Direktive (EU) 2022/2557 u svrhu razmjene informacija o rizicima, kiberprijetnjama i incidentima te o rizicima, prijetnjama i incidentima izvan kiberprostora i izvršavanja nadzornih zadaća, prema potrebi;
plan, uključujući potrebne mjere, za povećanje opće razine osviještenosti o kibersigurnosti među građanima.
U okviru nacionalne strategije za kibersigurnost države članice posebno donose politike:
za rješavanje kibersigurnosnih pitanja u lancu opskrbe za IKT proizvode i IKT usluge kojima se koriste subjekti za pružanje svojih usluga;
za uključivanje i definiranje kibersigurnosnih zahtjeva za IKT proizvode i IKT usluge u području javne nabave, uključujući u odnosu na kibersigurnosnu certifikaciju, kriptiranje i upotrebu kibersigurnosnih proizvoda otvorenog koda;
za upravljanje ranjivostima, uključujući promicanje i olakšavanje koordiniranog otkrivanja ranjivosti u skladu s člankom 12. stavkom 1.;
koje se odnose na održavanje opće dostupnosti, cjelovitosti i povjerljivosti javne jezgre otvorenog interneta, uključujući, ako je to potrebno, kibersigurnost podmorskih komunikacijskih kabela;
za promicanje razvoja i integracije relevantnih naprednih tehnologija radi provedbe najsuvremenijih mjera upravljanja kibersigurnosnim rizicima;
za promicanje i razvoj obrazovanja i osposobljavanja u području kibersigurnosti, vještina u području kibersigurnosti, informiranja te istraživačkih i razvojnih inicijativa u području kibersigurnosti, kao i smjernica o dobroj praksi i kontrolama kiberhigijene namijenjenih građanima, dionicima i subjektima;
za potporu akademskim i istraživačkim institucijama u razvoju, unapređivanju i poticanju uvođenja alata za kibersigurnost i sigurne mrežne infrastrukture;
koje uključuju relevantne postupke i odgovarajuće alate za razmjenu informacija u cilju podupiranja dobrovoljne razmjene informacija o kibersigurnosti među subjektima u skladu s pravom Unije;
za jačanje kiberotpornosti i osnovne razine kiberhigijene malih i srednjih poduzeća, osobito onih koji su izuzeti iz područja primjene ove Direktive, pružanjem lako dostupnih smjernica i pomoći za njihove specifične potrebe;
za promicanje aktivne kiberzaštite.
Članak 8.
Nadležna tijela i jedinstvene kontaktne točke
Članak 9.
Nacionalni okviri za upravljanje kiberkrizama
Svaka država članica donosi nacionalni plan za odgovor na kibersigurnosne incidente velikih razmjera i krize u kojem se utvrđuju ciljevi i načini upravljanja kibersigurnosnim incidentima velikih razmjera i krizama. U tom planu se konkretno utvrđuju:
ciljevi mjera i aktivnosti za nacionalnu pripravnost;
zadaće i odgovornosti tijela za upravljanje kiberkrizama;
postupci upravljanja kiberkrizama, uključujući njihovu integraciju u opći nacionalni okvir za upravljanje krizama, i kanali za razmjenu informacija;
nacionalne mjere pripravnosti, uključujući vježbe i aktivnosti osposobljavanja;
relevantni javni i privatni dionici i uključena infrastruktura;
nacionalni postupci i dogovori između relevantnih nacionalnih tijela i drugih tijela kako bi se osiguralo učinkovito sudjelovanje država članica u koordiniranom upravljanju kibersigurnosnim incidentima velikih razmjera i krizama na razini Unije i njihova potpora takvom upravljanju.
Članak 10.
Timovi za odgovor na računalne sigurnosne incidente (CSIRT-ovi)
Članak 11.
Zahtjevi, tehničke sposobnosti u pogledu CSIRT-ova i njihove zadaće
CSIRT-ovi moraju ispunjavati sljedeće zahtjeve:
CSIRT-ovi osiguravaju visoku razinu dostupnosti svojih komunikacijskih kanala izbjegavanjem jedinstvenih točki prekida te u svakom trenutku imaju na raspolaganju više sredstava za dvosmjerno kontaktiranje; oni jasno određuju komunikacijske kanale i o njima obavješćuju klijente i suradnike;
prostori CSIRT-ova i informacijski sustavi za potporu smješteni su na sigurnim lokacijama;
CSIRT-ovi su opremljeni odgovarajućim sustavom za upravljanje zahtjevima i njihovim usmjeravanjem, posebno kako bi se olakšale učinkovite i efikasne primopredaje;
CSIRT-ovi osiguravaju povjerljivost i pouzdanost svojih operacija;
CSIRT-ovi imaju dovoljno osoblja kako bi se osigurala dostupnost njihovih usluga u svako doba i osiguravaju da je njihovo osoblje osposobljeno na odgovarajući način;
CSIRT-ovi su opremljeni redundantnim sustavima i rezervnim radnim prostorom kako bi se osigurao kontinuitet njihovih usluga.
CSIRT-ovi mogu sudjelovati u međunarodnim mrežama za suradnju.
CSIRT-ovi obavljaju sljedeće zadaće:
praćenje i analiziranje kiberprijetnji, ranjivosti i incidenata na nacionalnoj razini i, na zahtjev, pružanje pomoći predmetnim ključnim i važnim subjektima u vezi s praćenjem njihovih mrežnih i informacijskih sustava u stvarnom ili gotovo stvarnom vremenu;
pružanje ranih upozorenja i najava te informiranje predmetnih ključnih i važnih subjekata, kao i nadležnih tijela i drugih relevantnih dionika o kiberprijetnjama, ranjivostima i incidentima, ako je moguće u gotovo stvarnom vremenu;
odgovaranje na incidente i, ako je to primjenjivo, pružanje pomoći predmetnim ključnim i važnim subjektima;
prikupljanje i analiziranje forenzičkih podataka te osiguravanje dinamičke analize rizika i incidenata te informiranosti o stanju u pogledu kibersigurnosti;
osiguravanje, na zahtjev predmetnog ključnog ili važnog subjekta, proaktivnog skeniranja mrežnih i informacijskih sustava predmetnog subjekta radi otkrivanja ranjivosti s potencijalno znatnim učinkom;
sudjelovanje u mreži CSIRT-ova i pružanje uzajamne pomoći u skladu sa svojim kapacitetima i kompetencijama drugim članovima mreže CSIRT-ova na njihov zahtjev;
ako je to primjenjivo, djelovanje u svojstvu koordinatora za potrebe postupka koordiniranog otkrivanja ranjivosti iz članka 12. stavka 1.;
doprinošenje korištenju alata za sigurnu razmjenu informacija na temelju članka 10. stavka 3.
CSIRT-ovi mogu provoditi proaktivno neintruzivno skeniranje javno dostupnih mrežnih i informacijskih sustava ključnih i važnih subjekata. Takvo skeniranje provodi se kako bi se otkrili ranjivi ili nesigurno konfigurirani mrežni i informacijski sustavi te kako bi se obavijestili dotični subjekti. Takvo skeniranje ne smije imati negativan učinak na funkcioniranje usluga subjekata.
Pri obavljanju zadaća iz prvog podstavka CSIRT-ovi mogu dati prednost određenim zadaćama na temelju pristupa utemeljenog na procjeni rizika.
Kako bi olakšali suradnju iz stavka 4., CSIRT-ovi promiču donošenje i primjenu zajedničkih ili standardiziranih praksi, planova za klasifikaciju i taksonomija u odnosu na:
postupke za postupanje s incidentima;
upravljanje krizama; i
koordinirano otkrivanje ranjivosti na temelju članka 12. stavka 1.
Članak 12.
Koordinirano otkrivanje ranjivosti i europska baza podataka o ranjivosti
Svaka država članica imenuje jednog od svojih CSIRT-ova koordinatorom za potrebe koordiniranog otkrivanja ranjivosti. CSIRT koji je imenovan koordinatorom djeluje kao pouzdani posrednik koji, prema potrebi, olakšava interakciju između fizičke ili pravne osobe koja prijavljuje ranjivost i proizvođača ili pružatelja potencijalno ranjivih IKT proizvoda ili IKT usluga, na zahtjev bilo koje strane. Zadaće CSIRT-a koji je imenovan koordinatorom uključuju:
utvrđivanje predmetnih subjekata i kontaktiranje s njima;
pomaganje fizičkim ili pravnim osobama koje prijavljuju ranjivost; i
pregovaranje o vremenskom okviru za otkrivanje i upravljanje ranjivostima koje utječu na više subjekata.
Države članice osiguravaju da fizičke ili pravne osobe, kad to zatraže, mogu anonimno prijaviti ranjivost CSIRT-u koji je imenovan koordinatorom. CSIRT koji je imenovan koordinatorom osigurava provedbu pažljivih daljnjih mjera u pogledu prijavljene ranjivosti i osigurava anonimnost fizičke ili pravne osobe koja prijavljuje ranjivost. Ako bi prijavljena ranjivost mogla imati znatan učinak na subjekte u više od jedne države članice, CSIRT koji je imenovan koordinatorom svake dotične države članice, prema potrebi, surađuje s drugim CSIRT-ovima koji su imenovani koordinatorima u okviru mreže CSIRT-ova.
ENISA nakon savjetovanja sa skupinom za suradnju razvija i vodi europsku bazu podataka o ranjivosti. U tu svrhu ENISA uspostavlja i održava odgovarajuće informacijske sustave, politike i postupke te usvaja potrebne tehničke i organizacijske mjere za osiguravanje sigurnosti i cjelovitosti europske baze podataka o ranjivosti, osobito kako bi omogućila subjektima, neovisno jesu li obuhvaćeni područjem primjene ove Direktive, kao i njihovim dobavljačima mrežnih i informacijskih sustava, da, na dobrovoljnoj osnovi, otkriju i registriraju javno poznate ranjivosti u IKT proizvodima ili IKT uslugama. Svim dionicima omogućuje se pristup informacijama o ranjivostima sadržanima u europskoj bazi podataka o ranjivosti. Ta baza podataka uključuje:
informacije koje opisuju ranjivost;
IKT proizvode ili IKT usluge na koje ona utječe i ozbiljnost ranjivosti s obzirom na okolnosti u kojima se može iskoristiti;
dostupnost odgovarajućih popravaka i ako nisu dostupni popravci, smjernice koje pružaju nadležna tijela ili CSIRT-ovi namijenjene korisnicima ranjivih IKT proizvoda i IKT usluga o načinu na koji se mogu ublažiti rizici koji proizlaze iz otkrivenih ranjivosti.
Članak 13.
Suradnja na nacionalnoj razini
POGLAVLJE III.
SURADNJA NA RAZINI UNIJE I MEĐUNARODNOJ RAZINI
Članak 14.
Skupina za suradnju
Skupina za suradnju može, prema potrebi, pozvati Europski parlament i predstavnike relevantnih dionika da sudjeluju u njezinu radu.
Komisija osigurava tajništvo.
Zadaće su skupine za suradnju:
pružanje smjernica nadležnim tijelima za prenošenje i provedbu ove Direktive;
pružanje smjernica nadležnim tijelima u vezi s razvojem i provedbom politika o koordiniranom otkrivanju ranjivosti, kako je navedeno u članku 7. stavku 2. točki (c);
razmjena najbolje prakse i informacija povezanih s provedbom ove Direktive, među ostalim u pogledu kiberprijetnji, incidenata, ranjivosti, izbjegnutih incidenata, inicijativa za informiranje, osposobljavanja, vježbi i vještina, izgradnje kapaciteta, normi i tehničkih specifikacija te utvrđivanja ključnih i važnih subjekata na temelju članka 2. stavka 2. točaka od (b) do (e);
savjetovanje i suradnja s Komisijom u pogledu novih inicijativa kibersigurnosne politike i ukupne dosljednosti sektorskih kibersigurnosnih zahtjeva;
savjetovanje i suradnja s Komisijom u pogledu nacrta delegiranih ili provedbenih akata donesenih u skladu s ovom Direktivom;
razmjena najbolje prakse i informacija s relevantnim institucijama, tijelima, uredima i agencijama Unije;
razmjena mišljenja o provedbi sektorskih pravnih akata Unije koji sadržavaju odredbe o kibersigurnosti;
ako je to relevantno, rasprava o izvješćivanju o istorazinskom ocjenjivanju iz članka 19. stavka 9. te donošenje zaključaka i preporuka;
provedba koordinirane procjene sigurnosnih rizika kritičnih lanaca opskrbe u skladu s člankom 22. stavkom 1.;
rasprava o slučajevima uzajamne pomoći, uključujući iskustva i rezultate prekograničnih zajedničkih nadzornih aktivnosti iz članka 37.;
na zahtjev jedne ili više dotičnih država članica, rasprava o posebnim zahtjevima za uzajamnu pomoć iz članka 37.;
pružanje strateških smjernica mreži CSIRT-ova i mreži EU-CyCLONe o određenim novonastalim pitanjima;
razmjena mišljenja o politici daljnjih mjera nakon kibersigurnosnih incidenata velikih razmjera i kriza na temelju iskustava stečenih u okviru mreže CSIRT-ova i mreže EU-CyCLONe;
doprinos kibersigurnosnim kapacitetima širom Unije olakšavanjem razmjene nacionalnih službenika putem programa za izgradnju kapaciteta koji uključuje osoblje iz nadležnih tijela ili CSIRT-ova;
organiziranje redovitih zajedničkih sastanaka s relevantnim privatnim dionicima iz cijele Unije u svrhu rasprave o aktivnostima skupine za suradnju i prikupljanja informacija o novim izazovima u pogledu politike;
rasprava o radu obavljenom u vezi s vježbama u području kibersigurnosti, uključujući rad ENISA-e;
utvrđivanje metodologije i organizacijskih aspekata istorazinskog ocjenjivanja iz članka 19. stavka 1. te utvrđivanje metodologije samoocjene za države članice u skladu s člankom 19. stavkom 5. uz pomoć Komisije i ENISA-e te, u suradnji s Komisijom i ENISA-om, izrađivanje kodeksa ponašanja na kojima se temelje metode rada imenovanih stručnjaka za kibersigurnost u skladu s člankom 19. stavkom 6.;
priprema izvješća u svrhu preispitivanja iz članka 40. o iskustvu stečenom na strateškoj i operativnoj razini te iz istorazinskih ocjenjivanja;
rasprava i redovita provedba procjene stanja kiberprijetnji ili kiberincidenata, kao što su ucjenjivački softveri.
Izvješća iz prvog podstavka točke (r) skupina za suradnju podnosi Komisiji, Europskom parlamentu i Vijeću.
Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 39. stavka 2.
Komisija u skladu sa stavkom 4. točkom (e) razmjenjuje savjete i surađuje sa skupinom za suradnju na nacrtima provedbenih akata iz prvog podstavka ovog stavka.
Članak 15.
Mreža CSIRT-ova
Zadaće su mreže CSIRT-ova:
razmjena informacija o kapacitetima CSIRT-ova;
olakšavanje dijeljenja, prijenosa i razmjene tehnologije i relevantnih mjera, politika, alata, procesa, najbolje prakse i okvira među CSIRT-ovima;
razmjena relevantnih informacija o incidentima, izbjegnutim incidentima, kiberprijetnjama, rizicima i ranjivostima;
razmjena informacija o publikacijama i preporukama u području kibersigurnosti;
osiguravanje interoperabilnosti u pogledu specifikacija i protokola za razmjenu informacija;
na zahtjev člana mreže CSIRT-ova na koju bi incident mogao utjecati, razmjena i rasprava o informacijama o tom incidentu te povezanim kiberprijetnjama, rizicima i ranjivostima;
na zahtjev člana mreže CSIRT-ova, razmatranje te, ako je moguće, i provedba koordiniranog odgovora na incident koji je utvrđen u području za koje je nadležna ta država članica;
pružanje pomoći državama članicama u rješavanju prekograničnih incidenata u skladu s ovom Direktivom;
suradnja, razmjena najbolje prakse i pružanje pomoći CSIRT-ovima koji su imenovani koordinatorima u skladu s člankom 12. stavkom 1. u pogledu upravljanja koordiniranim otkrivanjem ranjivosti koje bi mogle imati znatan učinak na subjekte u više od jedne države članice;
rasprava o daljnjim oblicima operativne suradnje te njihovo utvrđivanje, među ostalim u odnosu na:
kategorije kiberprijetnji i incidenata;
rana upozorenja;
uzajamnu pomoć;
načela i načine koordinacije u odgovoru na prekogranične rizike i incidente;
doprinos nacionalnom planu za odgovor na kibersigurnosne incidente velikih razmjera i krize iz članka 9. stavka 4. na zahtjev države članice;
obavješćivanje skupine za suradnju o svojim aktivnostima i daljnjim oblicima operativne suradnje razmotrenima na temelju točke (j) te prema potrebi traženje smjernica u tom pogledu;
razmatranje vježbi u području kibersigurnosti, među ostalim onih koje organizira ENISA;
na zahtjev pojedinačnog CSIRT-a, rasprava o kapacitetima i pripravnosti tog CSIRT-a;
suradnja i razmjena informacija s centrima za sigurnosne operacije (SOC-ovi) na regionalnoj razini i na razini Unije kako bi se poboljšala zajednička informiranost o stanju u pogledu na incidenata i kiberprijetnji širom Unije;
ako je to relevantno, rasprava o izvješćima o istorazinskom ocjenjivanju iz članka 19. stavka 9.;
pružanje smjernica radi olakšavanja konvergencije operativnih praksi u cilju primjene odredaba ovog članka o operativnoj suradnji.
Članak 16.
Europska mreža organizacija za vezu za kiberkrize (mreža EU-CyCLONe)
ENISA osigurava tajništvo mreže EU-CyCLONe i podupire sigurnu razmjenu informacija te osigurava potrebne alate za potporu suradnji među državama članicama osiguravajući pritom sigurnu razmjenu informacija.
Mreža EU-CyCLONe može, prema potrebi, pozvati predstavnike relevantnih dionika da u njegovu radu sudjeluju kao promatrači.
Mreža EU-CyCLONe ima sljedeće zadaće:
povećanje razine pripravnosti za upravljanje kibersigurnosnim incidentima velikih razmjera i krizama;
poboljšanje zajedničke informiranosti o kibersigurnosnim incidentima velikih razmjera i krizama;
procjena posljedica i učinka relevantnih kibersigurnosnih incidenata velikih razmjera i kriza te predlaganje mogućih mjera ublažavanja;
koordinacija upravljanja kibersigurnosnim incidentima velikih razmjera i krizama te pomoć pri odlučivanju na političkoj razini u pogledu takvih incidenata i kriza;
rasprava, na zahtjev dotične države članice, o nacionalnim planovima za odgovor na kibersigurnosne incidente velikih razmjera i krize iz članka 9. stavka 4.
Članak 17.
Međunarodna suradnja
Unija, prema potrebi, može sklapati međunarodne sporazume s trećim zemljama ili međunarodnim organizacijama, u skladu s člankom 218. UFEU-a, kojima im se dopušta i organizira sudjelovanje u određenim aktivnostima skupine za suradnju, mreže CSIRT-ova i mreže EU-CyCLONe. Takvi sporazumi moraju biti u skladu s pravom Unije o zaštiti podataka.
Članak 18.
Izvješće o stanju kibersigurnosti u Uniji
ENISA u suradnji s Komisijom i skupinom za suradnju donosi dvogodišnje izvješće o stanju kibersigurnosti u Uniji te podnosi i predstavlja to izvješće Europskom parlamentu. Izvješće se, među ostalim, čini dostupnim u strojno čitljivom formatu i obuhvaća sljedeće:
procjenu rizika u području kibersigurnosti na razini Unije, uzimajući u obzir kiberprijetnje;
ocjenu razvoja kibersigurnosnih kapaciteta u javnim i privatnim sektorima širom Unije;
procjenu opće razine informiranosti o kibersigurnosti i kiberhigijeni među građanima i subjektima, uključujući mala i srednja poduzeća;
skupnu ocjenu ishoda istorazinskih ocjenjivanja iz članka 19.;
skupnu ocjenu razine razvijenosti kibersigurnosnih kapaciteta i resursa širom Unije, uključujući one na sektorskoj razini, te do koje su mjere usklađene nacionalne strategije država članica za kibersigurnost.
Članak 19.
Istorazinska ocjenjivanja
Istorazinska ocjenjivanja obuhvaćaju barem jedno od sljedećeg:
razinu provedbe mjera upravljanja kibersigurnosnim rizicima i obveza izvješćivanja iz članaka 21. i 23.;
razinu kapaciteta, uključujući dostupne financijske, tehničke i ljudske resurse te djelotvornost izvršavanja zadaća nadležnih tijela;
operativni kapacitet CSIRT-ova;
razinu provedbe uzajamne pomoći iz članka 37.;
razinu provedbe mehanizama za razmjenu informacija o kibersigurnosti iz članka 29.;
posebne probleme prekogranične ili međusektorske prirode.
POGLAVLJE IV.
MJERE UPRAVLJANJA KIBERSIGURNOSNIM RIZICIMA I OBVEZE IZVJEŠĆIVANJA
Članak 20.
Upravljanje
Primjenom ovog stavka ne dovodi se u pitanje nacionalno pravo u pogledu pravila o odgovornosti koja se primjenjuju na javne institucije ni odgovornosti javnih službenika te izabranih ili imenovanih dužnosnika.
Članak 21.
Mjere upravljanja kibersigurnosnim rizicima
Uzimajući u obzir najnovija dostignuća i, ako je to primjenjivo, relevantne europske i međunarodne norme te trošak provedbe, mjerama iz stavka prvog podstavka osigurava se razina sigurnosti mrežnih i informacijskih sustava primjerena postojećem riziku. Pri procjeni proporcionalnosti tih mjera u obzir se uzima stupanj izloženosti subjekta rizicima, veličina subjekta, vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni i gospodarski učinak.
Mjere iz stavka 1. temelje se na pristupu kojim se uzimaju u obzir sve opasnosti i čiji je cilj zaštita mrežnih i informacijskih sustava i fizičkog okruženja tih sustava od incidenata te uključuju najmanje sljedeće:
politike analize rizika i sigurnosti informacijskih sustava;
postupanje s incidentima;
kontinuitet poslovanja, kao što je upravljanje sigurnosnim kopijama i oporavak od katastrofe, te upravljanje krizama;
sigurnost lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga;
sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući rješavanje ranjivosti i njihovo otkrivanje;
politike i postupke za procjenu djelotvornosti mjera upravljanja kibersigurnosnim rizicima;
osnovne prakse kiberhigijene i osposobljavanje o kibersigurnosti;
politike i postupke u pogledu kriptografije i, prema potrebi, kriptiranja;
sigurnost ljudskih resursa, politike kontrole pristupa i upravljanje imovinom;
korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta, prema potrebi.
Komisija može donijeti provedbene akte kojima se utvrđuju tehnički i metodološki zahtjevi te, prema potrebi, sektorski zahtjevi za mjere iz stavka 2. i u pogledu ključnih i važnih subjekata koji nisu navedeni u prvom podstavku ovog stavka.
U pripremi provedbenih akata iz prvog i drugog podstavka ovog stavka Komisija, u mjeri u kojoj je to moguće, prati europske i međunarodne norme te relevantne tehničke specifikacije. Komisija razmjenjuje savjete i surađuje sa skupinom za suradnju i ENISA-om na nacrtima provedbenih akata u skladu s člankom 14. stavkom 4. točkom (e).
Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 39. stavka 2.
Članak 22.
Koordinirane procjene rizika ključnih lanaca opskrbe na razini Unije
Članak 23.
Obveze izvješćivanja
Ako dotični subjekti obavijeste nadležno tijelo o značajnom incidentu u skladu s prvim podstavkom, država članica osigurava da to nadležno tijelo obavijest po primitku proslijedi CSIRT-u.
U slučaju prekograničnog ili međusektorskog značajnog incidenta, države članice osiguravaju da njihove jedinstvene kontaktne točke pravodobno dobiju relevantne informacije podnesene u skladu sa stavkom 4.
Incident se smatra značajnim:
ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju usluga ili financijske gubitke za predmetni subjekt;
ako je utjecao ili bi mogao utjecati na druge fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete.
Države članice osiguravaju da, za potrebe obavješćivanja iz stavka 1., predmetni subjekti CSIRT-u ili, ako je to primjenjivo, nadležnom tijelu podnose:
bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kad su saznali za značajan incident, rano upozorenje u kojem se, ako je to primjenjivo, navodi sumnja li se da je značajan incident uzrokovan nezakonitim ili zlonamjernim djelovanjem te bi li mogao imati prekogranični učinak;
bez nepotrebne odgode, a u svakom slučaju u roku od 72 sata od kad su saznali za značajan incident, obavijest o incidentu kojom se, ako je to primjenjivo, ažuriraju informacije iz točke (a) i navodi početna procjena značajnog incidenta, uključujući njegovu ozbiljnosti i učinak te, ako su dostupni, pokazatelje ugroženosti;
na zahtjev CSIRT-a ili, ako je to primjenjivo, nadležnog tijela, privremeno izvješće o relevantnim ažuriranjima statusa;
završno izvješće najkasnije mjesec dana nakon podnošenja obavijesti o incidentu iz točke (b), koje uključuje sljedeće:
detaljan opis incidenta, uključujući njegovu ozbiljnost i učinak;
vrstu prijetnje ili temeljni uzrok koji je vjerojatno uzrokovao incident;
primijenjene i tekuće mjere ublažavanja;
ako je to primjenjivo, prekogranični učinak incidenta;
u slučaju incidenta koji je u tijeku u trenutku podnošenja završnog izvješća iz točke (d), države članice osiguravaju da dotični subjekti dostave izvješće o napretku u tom trenutku te završno izvješće u roku od mjesec dana od postupanja s incidentom.
Odstupajući od prvog podstavka točke (b), pružatelj usluga povjerenja bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kada je saznao za značajan incident, obavješćuje CSIRT ili, ako je to primjenjivo, nadležno tijelo o značajnim incidentima koji imaju učinak na pružanje njegovih usluga povjerenja.
Komisija do 17. listopada 2024. donosi provedbene akte u pogledu pružatelja usluga DNS-a, registara naziva vršnih domena, pružatelja usluga računalstva u oblaku, pružatelja usluga podatkovnog centra, pružatelja mreža za isporuku sadržaja, pružatelja upravljanih usluga, pružatelja upravljanih sigurnosnih usluga, pružatelja internetskih tržišta, pružatelja internetskih tražilica i pružatelja platformi za usluge društvenih mreža, kojima se dodatno utvrđuju slučajevi u kojima se incident smatra značajnim, kako je navedeno u stavku 3. Komisija takve provedbene akte može donijeti u pogledu drugih ključnih i važnih subjekata.
Komisija razmjenjuje savjete i surađuje sa skupinom za suradnju na nacrtima provedbenih akata iz prvog i drugog podstavka ovog stavka u skladu s člankom 14. stavkom 4. točkom (e).
Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 39. stavka 2.
Članak 24.
Primjena europskih programa kibersigurnosne certifikacije
Prije donošenja takvih delegiranih akata Komisija provodi procjenu učinka i organizira savjetovanja u skladu s člankom 56. Uredbe (EU) 2019/881.
Članak 25.
Normizacija
POGLAVLJE V.
NADLEŽNOST I REGISTRACIJA
Članak 26.
Nadležnost i teritorijalnost
Smatra se da su subjekti obuhvaćeni područjem primjene ove Direktive u nadležnosti države članice u kojoj imaju poslovni nastan, osim u sljedećim slučajevima:
pružatelji javnih elektroničkih komunikacijskih mreža ili pružatelji javno dostupnih elektroničkih komunikacijskih usluga, za koje se smatra da su u nadležnosti države članice u kojoj pružaju svoje usluge;
pružatelji usluga DNS-a, registri naziva vršnih domena, subjekti koji pružaju usluge registracije naziva domena, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji internetskih tržišta, pružatelji internetskih tražilica ili pružatelji platformi za usluge društvenih mreža, za koje se smatra da su u nadležnosti države članice u kojoj imaju glavni poslovni nastan u Uniji u skladu sa stavkom 2.;
subjekti javne uprave, za koja se smatra da su u nadležnosti države članice koja ih je osnovala.
Članak 27.
Registar subjekata
Države članice do 17. siječnja 2025. zahtijevaju od subjekata iz stavka 1. da nadležnim tijelima dostavljaju sljedeće informacije:
naziv subjekta;
ako je to primjenjivo, relevantni sektor, podsektor i vrstu subjekta iz Priloga I. ili II.;
adresu glavnog poslovnog nastana subjekta i njegovih drugih zakonitih poslovnih jedinica u Uniji ili, ako nemaju poslovni nastan u Uniji, njegova predstavnika imenovanog u skladu s člankom 26. stavkom 3.;
ažurirane podatke za kontakt, uključujući adrese e-pošte i telefonske brojeve subjekta i, ako je to primjenjivo, njegova predstavnika imenovanog u skladu s člankom 26. stavkom 3.;
države članice u kojima subjekt pruža usluge; i
IP raspone subjekta.
Članak 28.
Baza podataka o registraciji naziva domena
Za potrebe stavka 1. države članice zahtijevaju da baza podataka o registraciji naziva domena sadržava informacije potrebne za identifikaciju nositelja naziva domena i kontaktnih točaka koje upravljaju nazivima domena u okviru vršnih domena te za kontakt s njima. Takve informacije uključuju:
naziv domene;
datum registracije;
ime korisnika domene te adresu njegove e-pošte i telefonski broj za kontakt;
adresu e-pošte i telefonski broj za kontakt kontaktne točke koja upravlja nazivom domene ako su različiti od podataka korisnika domene.
POGLAVLJE VI.
RAZMJENA INFORMACIJA
Članak 29.
Mehanizmi za razmjenu informacija o kibersigurnosti
Države članice osiguravaju da subjekti obuhvaćeni područjem primjene ove Direktive i, prema potrebi, drugi subjekti koji nisu obuhvaćeni područjem primjene ove Direktive mogu međusobno dobrovoljno razmjenjivati relevantne informacije o kibersigurnosti, uključujući informacije koje se odnose na kiberprijetnje, izbjegnute incidente, ranjivosti, tehnike i postupke, pokazatelje ugroženosti, neprijateljske taktike, informacije o počinitelju prijetnje, kibersigurnosna upozorenja i preporuke o konfiguraciji kibersigurnosnih alata za otkrivanje kibernapada, ako takva razmjena informacija:
ima za cilj sprečavanje ili otkrivanje incidenata, odgovaranje na njih, oporavljanje od incidenata ili ublažavanje njihova učinka;
povećava razinu kibersigurnosti, posebno povećanjem informiranosti o kiberprijetnjama, ograničavanjem ili ometanjem mogućnosti širenja takvih prijetnji, podupiranjem niza obrambenih sposobnosti, otklanjanjem i otkrivanjem ranjivosti, tehnikama otkrivanja, zaustavljanja i sprečavanja prijetnji, strategijama ublažavanja ili fazama odgovora i oporavka ili promicanjem suradničkog istraživanja kiberprijetnji između javnih i privatnih subjekata.
Članak 30.
Dobrovoljno obavješćivanje o relevantnim informacijama
Države članice osiguravaju da, uz obvezu obavješćivanja iz članka 23., CSIRT-ovima ili, ako je to primjenjivo, nadležnim tijelima obavijesti mogu dobrovoljno podnositi:
ključni i važni subjekti u pogledu incidenata, kiberprijetnji i izbjegnutih incidenata;
subjekti koji nisu subjekti iz točke (a), neovisno o tome jesu li obuhvaćeni područjem primjene ove Direktive, u pogledu značajnih incidenata, kiberprijetnji ili izbjegnutih incidenata.
Prema potrebi, CSIRT-ovi i, ako je primjenjivo, nadležna tijela, pružaju jedinstvenim kontaktnim točkama, informacije o obavijestima primljenim na temelju ovog članka, uz istovremeno osiguravanje povjerljivosti i odgovarajuće zaštite informacija koje je dostavio subjekt koji obavješćuje. Ne dovodeći u pitanje sprečavanje, istragu, otkrivanje i progon kaznenih djela, dobrovoljno izvješćivanje ne smije dovesti do nametanja dodanih obveza subjektu koji obavješćuje kojima ne bi podlijegao da nije podnio obavijest.
POGLAVLJE VII.
NADZOR I IZVRŠAVANJE
Članak 31.
Opći aspekti nadzora i izvršavanje
Članak 32.
Nadzorne mjere i mjere izvršavanja u odnosu na ključne subjekte
Države članice osiguravaju da nadležna tijela pri izvršavanju svojih nadzornih zadaća u odnosu na ključne subjekte imaju ovlasti da te subjekte obvežu barem na sljedeće:
inspekcije na lokaciji i neizravni nadzor, uključujući nasumične provjere, koji provode osposobljeni stručnjaci;
redovite i ciljane revizije sigurnosti koje provodi neovisno tijelo ili nadležno tijelo;
ad hoc revizije, među ostalim i u slučajevima kad je to opravdano na temelju značajnog incidenta ili povrede ove Direktive od strane ključnog subjekta;
analize sigurnosti na temelju objektivnih, nediskriminirajućih, pravednih i transparentnih kriterija za procjenu rizika, ako je to potrebno, u suradnji s dotičnim subjektom;
zahtjeve za informacije potrebne za ocjenjivanje mjera upravljanja kibersigurnosnim rizicima koje je donio dotični subjekt, uključujući dokumentirane kibersigurnosne politike, te usklađenosti s obvezom podnošenja informacija nadležnim tijelima u skladu s člankom 27. ;
zahtjeve za pristup podacima, dokumentima i informacijama potrebnima za izvršavanje njihovih nadzornih zadaća;
zahtjeve za dokaze o provedbi kibersigurnosnih politika, kao što su rezultati revizija sigurnosti koje je proveo kvalificirani revizor i odgovarajući temeljni dokazi.
Ciljane revizije sigurnosti iz prvog podstavka točke (b) temelje se na procjenama rizika koje provodi nadležno tijelo ili subjekt revizije, ili na drugim dostupnim informacijama u vezi s rizikom.
Rezultati svake ciljane revizije sigurnosti stavljaju se na raspolaganje nadležnom tijelu. Troškove takve ciljane revizije sigurnosti koju provodi neovisno tijelo plaća subjekt nad kojim se provodi revizija, osim u propisno opravdanim slučajevima u kojima nadležno tijelo odluči drugačije.
Države članice osiguravaju da njihova nadležna tijela pri izvršavanju svojih ovlasti izvršavanja u odnosu na ključne subjekte imaju barem sljedeće ovlasti:
izdavati upozorenja o povredama ove Direktive od strane dotičnih subjekata;
donositi obvezujuće upute, među ostalim u vezi s mjerama potrebnim za sprečavanje ili otklanjanje incidenta, kao i rokove za provedbu takvih mjera i za izvješćivanje o njihovoj provedbi, ili nalog kojim se od dotičnih subjekata zahtijeva da uklone utvrđene nedostatke ili povrede ove Direktive;
naložiti dotičnim subjektima da prestanu s postupanjem kojim se povređuje ova Direktiva i da ne ponavljaju takvo postupanje;
naložiti dotičnim subjektima da osiguraju da su njihove mjere upravljanja kibersigurnosnim rizicima u skladu s obvezama iz članka 21. ili da ispune obveze izvješćivanja iz članka 23. na utvrđeni način i u utvrđenom roku;
naložiti dotičnim subjektima da obavijeste fizičke ili pravne osobe u odnosu na koje pružaju usluge ili obavljaju djelatnosti na koje bi mogla utjecati ozbiljna kiberprijetnja o prirodi te prijetnje te o svim mogućim zaštitnim ili korektivnim mjerama koje te fizičke ili pravne osobe mogu poduzeti kao odgovor na tu prijetnju;
naložiti dotičnim subjektima da u razumnom roku provedu preporuke dane na temelju revizije sigurnosti;
imenovati službenika za praćenje s precizno definiranim zadaćama na određeno razdoblje kako bi nadgledao usklađenost dotičnih subjekata s člancima 21. i 23.;
naložiti dotičnim subjektima da objave aspekte povreda ove Direktive na određeni način;
izreći ili zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom izreknu upravnu novčanu kaznu u skladu s člankom 34. uz sve mjere iz točaka od (a) do (h) ovog stavka.
Ako su mjere izvršavanja donesene u skladu sa stavkom 4. točkama od (a) do (d) i točkom (f) neučinkovite, države članice osiguravaju da njihova nadležna tijela imaju ovlast utvrditi rok u kojem se od ključnog subjekta zahtijeva da poduzme mjere potrebne za ispravljanje nedostataka ili da ispuni zahtjeve tih tijela. Ako zatražena mjera nije poduzeta u zadanom roku, države članice osiguravaju da nadležna tijela imaju ovlasti:
privremeno suspendirati ili zahtijevati od certifikacijskog tijela ili tijela koje izdaje ovlaštenja ili od suda, u skladu s nacionalnim pravom, da privremeno suspendira certifikat ili ovlaštenje za dio relevantnih usluga ili sve relevantne usluge koje ključni subjekt pruža ili djelatnosti koje obavlja;
zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom privremeno zabrane obavljanje upravljačkih dužnosti u ključnom subjektu svakoj fizičkoj osobi koja upravljačke dužnosti obavlja na razini glavnog izvršnog direktora ili pravnog zastupnika u tom ključnom subjektu.
Privremene suspenzije ili zabrane izrečene u skladu s ovim stavkom primjenjuju se samo dok dotični subjekt ne poduzme potrebne mjere za otklanjanje nedostataka ili dok ne ispuni zahtjeve nadležnog tijela za koje su takve mjere izvršavanja primijenjene. Izricanje takvih privremenih suspenzija ili zabrana podliježe odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom, uključujući pravo na djelotvoran pravni lijek i pošteno suđenje, pretpostavku nedužnosti i prava na obranu.
Mjere izvršavanja predviđene u ovom stavku ne primjenjuju se na subjekte javne uprave koji podliježu ovoj Direktivi.
U pogledu subjekata javne uprave, ovim stavkom ne dovodi se u pitanje nacionalno pravo država članica u pogledu odgovornosti javnih službenika te izabranih ili imenovanih dužnosnika.
Kada poduzimaju bilo koju mjeru izvršavanja iz stavka 4. ili 5., nadležna tijela poštuju prava na obranu i uzimaju u obzir okolnosti svakog pojedinačnog slučaja te propisno uzimaju u obzir barem:
ozbiljnost povrede i važnost prekršenih odredaba, pri čemu se ozbiljnim povredama, među ostalim, smatra sljedeće:
opetovane povrede;
neprijavljivanje ili neispravljanje značajnih incidenata;
neuklanjanje nedostataka u skladu s obvezujućim uputama nadležnih tijela;
ometanje revizija ili aktivnosti praćenja koje je naložilo nadležno tijelo nakon utvrđivanja povrede;
pružanje lažnih ili izrazito netočnih informacija povezanih s mjerama upravljanja kibersigurnosnim rizicima ili obvezama izvješćivanja utvrđenim u člancima 21. i 23.;
trajanje povrede;
sve relevantne prethodne povrede koje je počinio dotični subjekt;
svaku materijalnu ili nematerijalnu štetu koja je uzrokovana, uključujući sve financijske ili gospodarske gubitke, učinke na druge usluge i broj pogođenih korisnika;
je li počinitelj povrede djelovao s namjerom ili nepažnjom;
sve mjere koje je subjekt poduzeo radi sprečavanja ili ublažavanja materijalne ili nematerijalne štete;
svako poštovanje odobrenih kodeksa ponašanja ili odobrenih mehanizama certificiranja;
razinu suradnje fizičkih ili pravnih osoba koje se smatraju odgovornima s nadležnim tijelima.
Članak 33.
Nadzorne mjere i mjere izvršavanja u odnosu na važne subjekte
Države članice osiguravaju da nadležna tijela pri izvršavanju svojih nadzornih zadaća u odnosu na važne subjekte imaju ovlasti da te subjekte obvežu barem na sljedeće:
inspekcije na lokaciji i neizravni ex post nadzor, koji provode osposobljeni stručnjaci;
ciljane revizije sigurnosti koje provodi neovisno tijelo ili nadležno tijelo;
analize sigurnosti na temelju objektivnih, nediskriminirajućih, pravednih i transparentnih kriterija za procjenu rizika, ako je to potrebno, u suradnji s dotičnim subjektom;
zahtjeve za informacije potrebne za ex post ocjenjivanje mjera upravljanja kibersigurnosnim rizicima koje je donio dotični subjekt, uključujući dokumentirane kibersigurnosne politike, te usklađenosti s obvezom dostavljanja informacija nadležnim tijelima u skladu s člankom 27.;
zahtjeve za pristup podacima, dokumentima i informacijama potrebnima za izvršavanje njihovih nadzornih zadaća;
zahtjeve za dokaze o provedbi kibersigurnosnih politika, kao što su rezultati revizija sigurnosti koje je proveo kvalificirani revizor i odgovarajući temeljni dokazi.
Ciljane revizije sigurnosti iz prvog podstavka točke (b) temelje se na procjenama rizika koje provodi nadležno tijelo ili subjekt revizije, ili na drugim dostupnim informacijama u vezi s rizikom.
Rezultati svake ciljane revizije sigurnosti stavljaju se na raspolaganje nadležnom tijelu. Troškove takve ciljane revizije sigurnosti koju provodi neovisno tijelo plaća subjekt nad kojim se provodi revizija, osim u propisno opravdanim slučajevima u kojima nadležno tijelo odluči drugačije.
Države članice osiguravaju da nadležna tijela pri izvršavanju svojih ovlasti izvršavanja u odnosu na važne subjekte imaju barem sljedeće ovlasti:
izdavati upozorenja o povredama ove Direktive od strane dotičnih subjekata;
donositi obvezujuće upute ili nalog kojim se od dotičnih subjekata zahtijeva da uklone utvrđene nedostatke ili povredu ove Direktive;
naložiti dotičnim subjektima da prestanu s postupanjem kojim se povređuje ova Direktiva i da ne ponavljaju takvo postupanje;
naložiti dotičnim subjektima da osiguraju da su njihove mjere upravljanja kibersigurnosnim rizicima u skladu s obvezama iz članka 21. ili da ispune obveze izvješćivanja iz članka 23. na utvrđeni način i u utvrđenom roku;
naložiti dotičnim subjektima da obavijeste fizičke ili pravne osobe u odnosu na koje pružaju usluge ili obavljaju djelatnosti na koje bi mogla utjecati ozbiljna kiberprijetnja o prirodi te prijetnje te o svim mogućim zaštitnim ili korektivnim mjerama koje te fizičke ili pravne osobe mogu poduzeti kao odgovor na tu prijetnju;
naložiti dotičnim subjektima da u razumnom roku provedu preporuke dane na temelju revizije sigurnosti;
naložiti dotičnim subjektima da objave aspekte povrede ove Direktive na određeni način;
izreći ili zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom izreknu upravnu novčanu kaznu u skladu s člankom 34. uz sve mjere iz točaka od (a) do (g) ovog stavka.
Članak 34.
Opći uvjeti za izricanje upravnih novčanih kazni ključnim i važnim subjektima
Članak 35.
Povrede koje uključuju povredu osobnih podataka
Članak 36.
Sankcije
Države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja nacionalnih mjera donesenih na temelju ove Direktive i poduzimaju sve potrebne mjere radi osiguranja njihove provedbe. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće. Države članice do 17. siječnja 2025. obavješćuju Komisiju o tim pravilima i tim mjerama te je bez odgode obavješćuju o svim naknadnim izmjenama koje na njih utječu.
Članak 37.
Uzajamna pomoć
Ako subjekt pruža usluge u više od jedne države članice ili pruža usluge u jednoj ili više država članica, a njegovi se mrežni i informacijski sustavi nalaze u drugoj državi članici ili u više njih, nadležna tijela dotičnih država članica surađuju i međusobno si pomažu ako je potrebno. Ta suradnja podrazumijeva najmanje sljedeće:
nadležna tijela koja primjenjuju nadzorne mjere ili mjere izvršavanja u državi članici preko jedinstvene kontaktne točke obavješćuju nadležna tijela u drugim dotičnim državama članicama o poduzetim nadzornim mjerama i mjerama izvršavanja te se savjetuju s njima;
nadležno tijelo može zatražiti od drugog nadležnog tijela da poduzme nadzorne mjere ili mjere izvršavanja;
nakon primitka potkrijepljenog zahtjeva drugog nadležnog tijela nadležno tijelo pruža tom drugom nadležnom tijelu uzajamnu pomoć razmjernu vlastitim resursima kako bi se nadzorne mjere ili mjere izvršavanja mogle provesti na djelotvoran, učinkovit i dosljedan način.
Uzajamna pomoć iz prvog podstavka točke (c) može obuhvaćati zahtjeve za informacije i nadzorne mjere, uključujući zahtjeve za provođenje inspekcija na lokaciji ili neizravnog nadzora ili ciljanih revizija sigurnosti. Nadležno tijelo kojem je upućen zahtjev za pomoć ne smije odbiti taj zahtjev osim u slučaju da se utvrdi da to tijelo nema nadležnost za pružanje zatražene pomoći, da zatražena pomoć nije razmjerna nadzornim zadaćama nadležnog tijela ili da se zahtjev odnosi na informacije ili uključuje aktivnosti koje bi, u slučaju da se otkriju ili provedu, bile suprotne osnovnim interesima nacionalne sigurnosti, javne sigurnosti ili obrane države članice. Prije odbijanja takvog zahtjeva nadležno tijelo savjetuje se s drugim dotičnim nadležnim tijelima te, na zahtjev jedne od dotičnih država članica, Komisijom i ENISA-om.
POGLAVLJE VIII.
DELEGIRANI I PROVEDBENI AKTI
Članak 38.
Izvršavanje delegiranja ovlasti
Članak 39.
Postupak odbora
POGLAVLJE IX.
ZAVRŠNE ODREDBE
Članak 40.
Preispitivanje
Do 17. listopada 2027. i svakih 36 mjeseci nakon toga, Komisija preispituje funkcioniranje ove Direktive te o tome izvješćuje Europski parlament i Vijeće. U izvješću se posebno ocjenjuje relevantnost veličine dotičnih subjekata, te sektora, podsektora i vrsta subjekata iz priloga I. i II. za funkcioniranje gospodarstva i društva u pogledu kibersigurnosti. U tu svrhu te u cilju daljnjeg unapređivanja strateške i operativne suradnje, Komisija uzima u obzir izvješća skupine za suradnju i mreže CSIRT-ova o iskustvu stečenom na strateškoj i operativnoj razini. Uz to izvješće prilaže se, prema potrebi, zakonodavni prijedlog.
Članak 41.
Prenošenje
One primjenjuju te mjere od 18. listopada 2024.
Članak 42.
Izmjena Uredbe (EU) br. 910/2014
U Uredbi (EU) br. 910/2014 članak 19. briše se s učinkom od 18. listopada 2024.
Članak 43.
Izmjena Direktive (EU) 2018/1972
U Direktivi (EU) 2018/1972 članci 40. i 41. brišu se s učinkom od 18. listopada 2024.
Članak 44.
Stavljanje izvan snage
Direktiva (EU) 2016/1148 stavlja se izvan snage s učinkom od 18. listopada 2024.
Upućivanja na direktivu stavljenu izvan snage smatraju se upućivanjima na ovu Direktivu i čitaju se u skladu s korelacijskom tablicom iz Priloga III.
Članak 45.
Stupanje na snagu
Ova Direktiva stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Članak 46.
Adresati
Ova je Direktiva upućena državama članicama.
PRILOG I.
SEKTORI VISOKE KRITIČNOSTI
Sektor |
Podsektor |
Vrsta subjekta |
1. Energetika |
(a) električna energija |
— elektroenergetska poduzeća iz članka 2. točke 57. Direktive (EU) 2019/944 Europskog parlamenta i Vijeća (1), koja obavljaju funkciju „opskrbe” iz članka 2. točke 12. te direktive |
— operatori distribucijskog sustava kako su definirani u članku 2. točki 29. Direktive (EU) 2019/944 |
||
— operatori prijenosnog sustava kako su definirani u članku 2. točki 35. Direktive (EU) 2019/944 |
||
— proizvođači kako su definirani u članku 2. točki 38. Direktive (EU) 2019/944 |
||
— nominirani operatori tržišta električne energije kako su definirani u članku 2. točki 8. Uredbe (EU) 2019/943 Europskog parlamenta i Vijeća (2) — sudionici na tržištu kako su definirani u članku 2. točki 25. Uredbe (EU) 2019/943 koji pružaju usluge agregiranja, upravljanja potrošnjom ili skladištenja energije iz članka 2. točaka 18., 20. i 59. Direktive (EU) 2019/944 — operatori mjesta za punjenje koji su odgovorni za upravljanje i rad mjesta za punjenje kojim se krajnjim korisnicima pruža usluga opskrbe, među ostalim u ime i za račun pružatelja usluga mobilnosti |
||
(b) centralizirano grijanje i hlađenje |
— operator sustava centraliziranog grijanja ili centraliziranog hlađenja kako je definirano u članku 2. točki 19. Direktive (EU) 2018/2001 Europskog parlamenta i Vijeća (3) |
|
(c) nafta |
— operatori naftovoda |
|
— operatori proizvodnje nafte, rafinerija i tvornica nafte te njezina skladištenja i prijenosa |
||
— središnja tijela za zalihe kako su definirana u članku 2. točki (f) Direktive Vijeća 2009/119/EZ (4) |
||
(d) plin |
— poduzeća za opskrbu kako su definirana u članku 2. točki 8. Direktive 2009/73/EZ Europskog parlamenta i Vijeća (5) |
|
— operatori distribucijskog sustava kako su definirani u članku 2. točki 6. Direktive 2009/73/EZ |
||
— operatori transportnog sustava kako su definirani u članku 2. točki 4. Direktive 2009/73/EZ |
||
— operatori sustava skladišta plina kako su definirani u članku 2. točki 10. Direktive 2009/73/EZ |
||
— operatori terminala za UPP kako su definirani u članku 2. točki 12. Direktive 2009/73/EZ |
||
— poduzeća za prirodni plin kako su definirana u članku 2. točki 1. Direktive 2009/73/EZ |
||
— operatori postrojenja za rafiniranje i obradu prirodnog plina |
||
(e) vodik |
— operatori proizvodnje, skladištenja i prijenosa vodika |
|
2. Promet |
(a) zračni promet |
— zračni prijevoznici kako su definirani u članku 4. točki 3. Uredbe (EZ) br. 300/2008 koji se upotrebljavaju u komercijalne svrhe |
— upravna tijela zračne luke kako su definirana u članku 2. točki 2. Direktive 2009/12/EZ Europskog parlamenta i Vijeća (6), zračne luke kako su definirane u članku 2. točki 1. te direktive, uključujući osnovne zračne luke navedene u odjeljku 2. Priloga II. Uredbi (EU) br. 1315/2013 Europskog parlamenta i Vijeća (7) te tijela koja upravljaju pomoćnim objektima u zračnim lukama |
||
— operatori kontrole upravljanja prometom koji pružaju usluge kontrole zračnog prometa (ATC) kako su definirani u članku 2. točki 1. Uredbe (EZ) br. 549/2004 Europskog parlamenta i Vijeća (8) |
||
(b) željeznički promet |
— upravitelji infrastrukture kako su definirani u članku 3. točki 2. Direktive 2012/34/EU Europskog parlamenta i Vijeća (9) |
|
— željeznički prijevoznici kako su definirani u članku 3. točki 1. Direktive 2012/34/EU, među ostalim i operatori uslužnih objekata kako su definirani u članku 3. točki 12. te direktive |
||
(c) vodeni promet |
— kompanije za prijevoz putnika unutarnjim plovnim putovima, morem i duž obale kako su definirane za pomorski promet u Prilogu I. Uredbi (EZ) br. 725/2004 Europskog parlamenta i Vijeća (10), ne uključujući pojedinačna plovila kojima upravljaju te kompanije |
|
— upravljačka tijela luka kako su definirane u članku 3. točki 1. Direktive 2005/65/EZ Europskog parlamenta i Vijeća (11), uključujući njihove luke kako su definirane u članku 2. točki 11. Uredbe (EZ) br. 725/2004 te subjekti koji upravljaju postrojenjima i opremom u lukama |
||
— služba za nadzor i upravljanje pomorskim prometom (VTS) kako je definirana u članku 3. točki (o) Direktive 2002/59/EZ Europskog parlamenta i Vijeća (12) |
||
(d) cestovni promet |
— tijela nadležna za ceste kako su definirana u članku 2. točki 12. Delegirane uredbe Komisije (EU) 2015/962 (13) odgovorna za kontrolu upravljanja prometom, osim javnih subjekata kojima upravljanje prometom ili rad inteligentnih prometnih sustava nisu ključni dio njihove opće djelatnosti |
|
— operatori inteligentnih prometnih sustava kako su definirani u članku 4. točki 1. Direktive 2010/40/EU Europskog parlamenta i Vijeća (14) |
||
3. Bankarstvo |
|
kreditne institucije kako su definirane u članku 4. točki 1. Uredbe (EU) br. 575/2013 Europskog parlamenta i Vijeća (15) |
4. Infrastruktura financijskog tržišta |
|
— operatori mjestâ trgovanja kako su definirani u članku 4. točki 24. Direktive 2014/65/EU Europskog parlamenta i Vijeća (16) |
— središnje druge ugovorne strane (CCP-i) kako su definirane u članku 2. točki 1. Uredbe (EU) br. 648/2012 Europskog parlamenta i Vijeća (17) |
||
5. Zdravlje |
|
— pružatelji zdravstvene zaštite kako su definirani u članku 3. točki (g) Direktive 2011/24/EU Europskog parlamenta i Vijeća (18) |
— referentni laboratoriji EU-a iz članka 15. Uredbe (EU) 2022/2371 Europskog parlamenta i Vijeća (19) |
||
— subjekti koji obavljaju djelatnosti istraživanja i razvoja lijekova kako su definirani u članku 1. točki 2. Direktive 2001/83/EZ Europskog parlamenta i Vijeća (20) — subjekti koji proizvode osnovne farmaceutske proizvode i farmaceutske pripravke iz područja C odjeljka 21. NACE Rev. 2 — subjekti koji proizvode medicinske proizvode koji se smatraju ključnima tijekom izvanrednog stanja u području javnog zdravlja („popis ključnih medicinskih proizvoda u slučaju izvanrednog stanja u području javnog zdravlja”) u smislu članka 22. Uredbe (EU) 2022/123 Europskog parlamenta i Vijeća (21) |
||
6. Voda za piće |
|
dobavljači i distributeri vode namijenjene za ljudsku potrošnju kako je definirana u članku 2. točki 1. podtočki (a) Direktive (EU) 2020/2184 Europskog parlamenta i Vijeća (22), isključujući distributere kojima distribucija vode za ljudsku potrošnju nije ključni dio njihove općenite djelatnosti distribucije druge robe i proizvoda |
7. Otpadne vode |
|
poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, otpadne vode iz kućanstva ili industrijske otpadne vode kako su definirane u članku 2. točkama od 1., 2., i 3. Direktive Vijeća 91/271/EEZ (23), ali isključujući poduzeća kojima prikupljanje, odlaganje ili pročišćavanje komunalnih otpadnih voda, otpadnih voda iz kućanstva ili industrijskih otpadnih voda nije ključni dio njihove općenite djelatnosti |
8. Digitalna infrastruktura |
|
— pružatelji središta za razmjenu internetskog prometa |
— pružatelji usluga DNS-a, osim operatora korijenskih poslužitelja naziva |
||
— registri naziva vršnih domena |
||
— pružatelji usluga računalstva u oblaku |
||
— pružatelji usluga podatkovnog centra |
||
— pružatelji mreže za isporuku sadržaja |
||
— pružatelji usluga povjerenja |
||
— pružatelji javnih elektroničkih komunikacijskih mreža |
||
— pružatelji javno dostupnih elektroničkih komunikacijskih usluga |
||
9. Upravljanje uslugama IKT-a (B2B) |
|
— pružatelji upravljanih usluga — pružatelji upravljanih sigurnosnih usluga |
10. Javna uprava |
|
— subjekti središnje državne uprave kako ih je definirala država članica u skladu s nacionalnim pravom |
— subjekti javne uprave na regionalnoj razini kako ih je definirala država članica u skladu s nacionalnim pravom |
||
11. Svemir |
|
operatori zemaljske infrastrukture, koji su u vlasništvu, kojima upravljaju i koje vode države članice ili privatne strane te koji podupiru pružanje usluga u svemiru, isključujući pružatelje javnih elektroničkih komunikacijskih mreža |
(1)
Direktiva (EU) 2019/944 Europskog parlamenta i Vijeća od 5. lipnja 2019. o zajedničkim pravilima za unutarnje tržište električne energije i izmjeni Direktive 2012/27/EU (SL L 158, 14.6.2019., str. 125.).
(2)
Uredba (EU) 2019/943 Europskog parlamenta i Vijeća od 5. lipnja 2019. o unutarnjem tržištu električne energije (SL L 158, 14.6.2019., str. 54.).
(3)
Direktiva (EU) 2018/2001 Europskog parlamenta i Vijeća od 11. prosinca 2018. o promicanju uporabe energije iz obnovljivih izvora (SL L 328, 21.12.2018., str. 82.).
(4)
Direktiva Vijeća 2009/119/EZ od 14. rujna 2009. o obvezi država članica da održavaju minimalne zalihe sirove nafte i/ili naftnih derivata (SL L 265, 9.10.2009., str. 9.).
(5)
Direktiva 2009/73/EZ Europskog parlamenta i Vijeća od 13. srpnja 2009. o zajedničkim pravilima za unutarnje tržište prirodnog plina i stavljanju izvan snage Direktive 2003/55/EZ (SL L 211, 14.8.2009., str. 94.).
(6)
Direktiva 2009/12/EZ Europskog parlamenta i Vijeća od 11. ožujka 2009. o naknadama zračnih luka (SL L 70, 14.3.2009., str. 11.).
(7)
Uredba (EU) br. 1315/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o smjernicama Unije za razvoj transeuropske prometne mreže i stavljanju izvan snage Odluke br. 661/2010/EU (SL L 348, 20.12.2013., str. 1.).
(8)
Uredba (EZ) br. 549/2004 Europskog parlamenta i Vijeća od 10. ožujka 2004. o utvrđivanju okvira za stvaranje jedinstvenog europskog neba (Okvirna uredba) (SL L 96, 31.3.2004., str. 1.).
(9)
Direktiva 2012/34/EU Europskog parlamenta i Vijeća od 21. studenoga 2012. o uspostavi jedinstvenog Europskog željezničkog prostora (SL L 343, 14.12.2012., str. 32.).
(10)
Uredba (EZ) br. 725/2004 Europskog parlamenta i Vijeća od 31. ožujka 2004. o jačanju sigurnosne zaštite brodova i luka (SL L 129, 29.4.2004., str. 6.).
(11)
Direktiva 2005/65/EZ Europskog parlamenta i Vijeća od 26. listopada 2005. o jačanju sigurnosne zaštite luka (SL L 310, 25.11.2005., str. 28.).
(12)
Direktiva 2002/59/EZ Europskog parlamenta i Vijeća od 27. lipnja 2002. o uspostavi sustava nadzora plovidbe i informacijskog sustava Zajednice i stavljanju izvan snage Direktive Vijeća 93/75/EEZ (SL L 208, 5.8.2002., str. 10.).
(13)
Delegirana uredba Komisije (EU) 2015/962 od 18. prosinca 2014. o dopuni Direktive 2010/40/EU Europskog parlamenta i Vijeća u pogledu pružanja usluga prometnih informacija u cijeloj Europskoj uniji u realnom vremenu (SL L 157, 23.6.2015., str. 21.).
(14)
Direktiva 2010/40/EU Europskog parlamenta i Vijeća od 7. srpnja 2010. o okviru za uvođenje inteligentnih prometnih sustava u cestovnom prometu i za veze s ostalim vrstama prijevoza (SL L 207, 6.8.2010., str. 1.).
(15)
Uredba (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i o izmjeni Uredbe (EU) br. 648/2012 (SL L 176, 27.6.2013., str. 1.).
(16)
Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (SL L 173, 12.6.2014., str. 349.).
(17)
Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjoj drugoj ugovornoj strani i trgovinskom repozitoriju (SL L 201, 27.7.2012., str. 1.).
(18)
Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).
(19)
Uredba EU 2022/2371 Europskog parlamenta i Vijeća od 23. studenoga 2022. o ozbiljnim prekograničnim prijetnjama zdravlju i o stavljanju izvan snage Odluke br. 1082/2013/EU (SL L 314, 6.12.2022., str. 26.).
(20)
Direktiva 2001/83/EZ Europskog parlamenta i Vijeća od 6. studenoga 2001. o zakoniku Zajednice o lijekovima za humanu primjenu (SL L 311, 28.11.2001., str. 67.).
(21)
Uredba (EU) 2022/123 Europskog parlamenta od 25. siječnja 2022. i Vijeća o pojačanoj ulozi Europske agencije za lijekove u pripravnosti za krizne situacije i upravljanju njima u području lijekova i medicinskih proizvoda (SL L 20, 31.1.2022., str. 1).
(22)
Direktiva (EU) 2020/2184 Europskog parlamenta i Vijeća od 16. prosinca 2020. o kvaliteti vode namijenjene za ljudsku potrošnju (SL L 435, 23.12.2020., str. 1.).
(23)
Direktiva Vijeća 91/271/EEZ od 21. svibnja 1991. o pročišćavanju komunalnih otpadnih voda (SL L 135, 30.5.1991., str. 40.). |
PRILOG II.
DRUGI KRITIČNI SEKTORI
Sektor |
Podsektor |
Vrsta subjekta |
1. Poštanske i kurirske usluge |
|
pružatelji poštanskih usluga kako su definirani u članku 2. točki 1.a Direktive 97/67/EZ, uključujući pružatelje kurirskih usluga |
2. Gospodarenje otpadom |
|
poduzeća koja se bave gospodarenjem otpadom kako je definirano u članku 3. točki 9. Direktive 2008/98/EZ Europskog parlamenta i Vijeća (1), isključujući poduzeća kojima gospodarenje otpadom nije glavna gospodarska djelatnost |
3. Izrada, proizvodnja i distribucija kemikalija |
|
poduzeća koja se bave izradom tvari te distribucijom tvari ili mješavina kako su definirana u članku 3. točkama 9. i 14. Uredbe (EZ) br. 1907/2006 Europskog parlamenta i Vijeća (2) i poduzeća koja se bave proizvodnjom proizvoda kako su definirana u članku 3. točki 3. te uredbe, iz tvari ili mješavina |
4. Proizvodnja, prerada i distribucija hrane |
|
poduzeća za poslovanje s hranom kako su definirana u članku 3. točki 2. Uredbe (EZ) br. 178/2002 Europskog parlamenta i Vijeća (3) koja se bave veleprodajom te industrijskom proizvodnjom i preradom |
5. Proizvodnja |
(a) proizvodnja medicinskih proizvoda i in vitro dijagnostičkih medicinskih proizvoda |
subjekti koji proizvode medicinske proizvode kako su definirani u članku 2. točki 1. Uredbe (EU) 2017/745 Europskog parlamenta i Vijeća (4) i subjekti koji proizvode in vitro dijagnostičke medicinske proizvode kako su definirani u članku 2. točki 2. Uredbe (EU) 2017/746 Europskog parlamenta i Vijeća (5), osim subjekata koji proizvode medicinske proizvode navedene u Prilogu I. točki 5. petoj alineji ove Direktive. |
(b) proizvodnja računala te elektroničkih i optičkih proizvoda |
poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 26. NACE Rev. 2 |
|
(c) proizvodnja električne opreme |
poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 27. NACE Rev. 2 |
|
(d) proizvodnja strojeva i uređaja, d. n. |
poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 28. NACE Rev. 2 |
|
(e) proizvodnja motornih vozila, prikolica i poluprikolica |
poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 29. NACE Rev. 2 |
|
(f) proizvodnja ostale opreme za prijevoz |
poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 30. NACE Rev. 2 |
|
6. Pružatelji digitalnih usluga |
|
— pružatelji internetskih tržišta |
— pružatelji internetskih tražilica |
||
— pružatelji platforma za usluge društvenih mreža |
||
7. Istraživanje |
|
Istraživačke organizacije |
(1)
Direktiva 2008/98/EZ Europskog parlamenta i Vijeća od 19. studenoga 2008. o otpadu i stavljanju izvan snage određenih direktiva (SL L 312, 22.11.2008., str. 3.).
(2)
Uredba (EZ) br. 1907/2006 Europskog parlamenta i Vijeća od 18. prosinca 2006. o registraciji, evaluaciji, autorizaciji i ograničavanju kemikalija (REACH), o osnivanju Europske agencije za kemikalije i o izmjeni Direktive 1999/45/EZ i stavljanju izvan snage Uredbe Vijeća (EEZ) br. 793/93 i Uredbe Komisije (EZ) br. 1488/94, kao i Direktive Vijeća 76/769/EEZ te Direktiva Komisije 91/155/EEZ, 93/67/EEZ, 93/105/EZ i 2000/21/EZ (SL L 396, 30.12.2006., str. 1.).
(3)
Uredba (EZ) br. 178/2002 Europskog parlamenta i Vijeća od 28. siječnja 2002. o utvrđivanju općih načela i uvjeta zakona o hrani, osnivanju Europske agencije za sigurnost hrane te utvrđivanju postupaka u područjima sigurnosti hrane (SL L 31, 1.2.2002., str. 1.).
(4)
Uredba (EU) 2017/745 Europskog parlamenta i Vijeća od 5. travnja 2017. o medicinskim proizvodima, o izmjeni Direktive 2001/83/EZ, Uredbe (EZ) br. 178/2002 i Uredbe (EZ) br. 1223/2009 te o stavljanju izvan snage direktiva Vijeća 90/385/EEZ i 93/42/EEZ (SL L 117, 5.5.2017., str. 1.).
(5)
Uredba (EU) 2017/746 Europskog parlamenta i Vijeća od 5. travnja 2017. o in vitro dijagnostičkim medicinskim proizvodima te o stavljanju izvan snage Direktive 98/79/EZ i Odluke Komisije 2010/227/EU (SL L 117, 5.5.2017., str. 176.). |
PRILOG III.
KORELACIJSKA TABLICA
Direktiva (EU) 2016/1148 |
Ova Direktiva |
članak 1. stavak 1. |
članak 1. stavak 1. |
članak 1. stavak 2. |
članak 1. stavak 2. |
članak 1. stavak 3. |
- |
članak 1. stavak 4. |
članak 2. stavak 12. |
članak 1. stavak 5. |
članak 2. stavak 13. |
članak 1. stavak 6. |
članak 2. stavci 6. i 11. |
članak 1. stavak 7. |
članak 4. |
članak 2. |
članak 2. stavak 14. |
članak 3. |
članak 5. |
članak 4. |
članak 6. |
članak 5. |
- |
članak 6. |
- |
članak 7. stavak 1. |
članak 7. stavci 1. i 2. |
članak 7. stavak 2. |
članak 7. stavak 4. |
članak 7. stavak 3. |
članak 7. stavak 3. |
članak 8. stavci od 1. do 5. |
članak 8. stavci od 1. do 5. |
članak 8. stavak 6. |
članak 13. stavak 4. |
članak 8. stavak 7. |
članak 8. stavak 6. |
članak 9. stavci 1., 2. i 3. |
članak 10. stavci 1., 2. i 3. |
članak 9. stavak 4. |
članak 10. stavak 9. |
članak 9. stavak 5. |
članak 10. stavak 10. |
članak 10. stavak 1., stavak 2. i stavak 3. prvi podstavak |
članak 13. stavci 1., 2. i 3. |
članak 10. stavak 3. drugi podstavak |
članak 23. stavak 9. |
članak 11. stavak 1. |
članak 14. stavci 1. i 2. |
članak 11. stavak 2. |
članak 14. stavak 3. |
članak 11. stavak 3. |
članak 14. stavak 4. prvi podstavak točke od (a) do (q) i točka (s) i stavak 7. |
članak 11. stavak 4. |
članak 14. stavak 4. prvi podstavak točka (r) i drugi podstavak |
članak 11. stavak 5. |
članak 14. stavak 8. |
članak 12. stavci od 1. do 5. |
članak 15. stavci od 1. do 5. |
članak 13. |
članak 17. |
članak 14. stavci 1. i 2. |
članak 21. stavci od 1. do 4. |
članak 14. stavak 3. |
članak 23. stavak 1. |
članak 14. stavak 4. |
članak 23. stavak 3. |
članak 14. stavak 5. |
članak 23. stavci 5., 6. i 8. |
članak 14. stavak 6. |
članak 23. stavak 7. |
članak 14. stavak 7. |
članak 23. stavak 11. |
članak 15. stavak 1. |
članak 31. stavak 1. |
članak 15. stavak 2. prvi podstavak točka (a) |
članak 32. stavak 2. točka (e) |
članak 15. stavak 2. prvi podstavak točka (b) |
članak 32. stavak 2. točka (g) |
članak 15. stavak 2. drugi podstavak |
članak 32. stavak 3. |
članak 15. stavak 3. |
članak 32. stavak 4. točka (b) |
članak 15. stavak 4. |
članak 31. stavak 3. |
članak 16. stavci 1. i 2. |
članak 21. stavci od 1. do 4. |
članak 16. stavak 3. |
članak 23. stavak 1. |
članak 16. stavak 4. |
članak 23. stavak 3. |
članak 16. stavak 5. |
- |
članak 16. stavak 6. |
članak 23. stavak 6. |
članak 16. stavak 7. |
članak 23. stavak 7. |
članak 16. stavci 8. i 9. |
članak 21. stavak 5. i članak 23. stavak 11. |
članak 16. stavak 10. |
- |
članak 16. stavak 11. |
članak 2. stavci 1., 2. i 3. |
članak 17. stavak 1. |
članak 33. stavak 1. |
članak 17. stavak 2. točka (a) |
članak 32. stavak 2. točka (e) |
članak 17. stavak 2. točka (b) |
članak 32. stavak 4. točka (b) |
članak 17. stavak 3. |
članak 37. stavak 1. točke (a) i (b) |
članak 18. stavak 1. |
članak 26. stavak 1. točka (b) i stavak 2. |
članak 18. stavak 2. |
članak 26. stavak 3. |
članak 18. stavak 3. |
članak 26. stavak 4. |
članak 19. |
članak 25. |
članak 20. |
članak 30. |
članak 21. |
članak 36. |
članak 22. |
članak 39. |
članak 23. |
članak 40. |
članak 24. |
- |
članak 25. |
članak 41. |
članak 26. |
članak 45. |
članak 27. |
članak 46. |
Prilog I. točka 1. |
članak 11. stavak 1. |
Prilog I. točka 2. podtočka (a) podtočke od i. do iv. |
članak 11. stavak 2. točke od (a) do (d) |
Prilog I. točka 2. podtočka (a) podtočka v. |
članak 11. stavak 2. točka (f) |
Prilog I. točka 2. podtočka (b) |
članak 11. stavak 4. |
Prilog I. točka 2. podtočka (c) podtočke i. i ii. |
članak 11. stavak 5. točka (a) |
Prilog II. |
Prilog I. |
Prilog III. točke 1. i 2. |
Prilog II. točka 6. |
Prilog III. točka 3. |
Prilog I. točka 8. |
( 1 ) Direktiva 2011/93/EU Europskog parlamenta i Vijeća od 13. prosinca 2011. o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije, te o zamjeni Okvirne odluke Vijeća 2004/68/PUP (SL L 335, 17.12.2011., str. 1.).
( 2 ) Direktiva 2013/40/EU Europskog parlamenta i Vijeća od 12. kolovoza 2013. o napadima na informacijske sustave i o zamjeni Okvirne odluke Vijeća 2005/222/PUP (SL L 218, 14.8.2013., str. 8.).
( 3 ) Uredba (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012. o europskoj normizaciji, o izmjeni direktiva Vijeća 89/686/EEZ i 93/15/EEZ i direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke br. 1673/2006/EZ Europskog parlamenta i Vijeća (SL L 316, 14.11.2012., str. 12.).
( 4 ) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).
( 5 ) Direktiva 2005/29/EZ Europskog parlamenta i Vijeća od 11. svibnja 2005. o nepoštenoj poslovnoj praksi poslovnog subjekta u odnosu prema potrošaču na unutarnjem tržištu i o izmjeni Direktive Vijeća 84/450/EEZ, direktiva 97/7/EZ, 98/27/EZ i 2002/65/EZ Europskog parlamenta i Vijeća, kao i Uredbe (EZ) br. 2006/2004 Europskog parlamenta i Vijeća („Direktiva o nepoštenoj poslovnoj praksi”) (SL L 149, 11.6.2005., str. 22.).
( 6 ) Uredba (EU) 2019/1150 Europskog parlamenta i Vijeća od 20. lipnja 2019. o promicanju pravednosti i transparentnosti za poslovne korisnike usluga internetskog posredovanja (SL L 186, 11.7.2019., str. 57.).