OBRAZLOŽENJE

1.KONTEKST PRIJEDLOGA

·Razlozi i ciljevi prijedloga

Kako bi učinkovito zaštitila europske građane, Europska unija mora nastaviti smanjivati ranjivosti, uključujući u okviru kritične infrastrukture koja je ključna za funkcioniranje našeg društva i gospodarstva. Izvori zarade europskih građana i dobro funkcioniranje unutarnjeg tržišta ovise o različitim infrastrukturama za pouzdano pružanje usluga potrebnih za održavanje kritičnih društvenih i gospodarskih djelatnosti. Te usluge, koje su važne i u uobičajenim okolnostima, još su važnije u trenucima kada Europa nastoji ublažiti učinke pandemije bolesti COVID-19 i oporaviti se od nje. Prema tome, subjekti koji pružaju ključne usluge moraju biti otporni, tj. moraju se moći oduprijeti incidentima koji mogu uzrokovati ozbiljne, potencijalno međusektorske i prekogranične poremećaje, apsorbirati ih te im se prilagoditi i od njih se oporaviti.

Cilj je ovog prijedloga poboljšati pružanje usluga na unutarnjem tržištu koje su ključne za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti povećanjem otpornosti kritičnih subjekata koji pružaju takve usluge. On je odraz nedavnih poziva na djelovanje Vijeća 1 i Europskog parlamenta 2 koji su potaknuli Komisiju da revidira sadašnji pristup kako bi se bolje odrazili povećani izazovi za kritične subjekte i kako bi se osigurala bolja usklađenost s Direktivom o mrežnim i informacijskim sustavima (NIS) 3 . Ovaj je prijedlog dosljedan i njime se uspostavlja bliska sinergija s predloženom Direktivom o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije („Direktiva NIS 2”) koja će zamijeniti Direktivu NIS kako bi se riješilo pitanje povećane međupovezanosti fizičkog i digitalnog svijeta s pomoću zakonodavnog okvira s čvrstim mjerama za otpornost, za kibersigurnosne kao i za fizičke aspekte kako je utvrđeno u strategiji za sigurnosnu uniju 4 .

Nadalje, prijedlog odražava nacionalne pristupe u sve većem broju država članica koje nastoje naglasiti međusektorsku i prekograničnu međuovisnost i sve se više oslanjaju na razmišljanja utemeljena na otpornosti, u okviru kojeg je zaštita samo jedan od elemenata uz sprečavanje i ublažavanje rizika, kontinuitet poslovanja i oporavak. Budući da i za kritičnu infrastrukturu postoji rizik da postane potencijalna meta terorističkih napada, mjere usmjerene na osiguravanje otpornosti kritičnih subjekata sadržane u ovom prijedlogu pridonose ciljevima nedavno donesene Agende EU-a za borbu protiv terorizma 5 .

Europska unija (EU) odavno je prepoznala paneuropsku važnost kritične infrastrukture. Primjerice, EU je 2006. uspostavio Europski program zaštite kritične infrastrukture (EPZKI) 6 , a 2008. donio je Direktivu o europskoj kritičnoj infrastrukturi (EKI) 7 . Direktivom o EKI-ju, koja se odnosi samo na energetski i prometni sektor, osigurava se postupak za utvrđivanje i označivanje EKI-jeva čiji bi poremećaj u radu ili uništenje imali znatne prekogranične učinke u najmanje dvije države članice. Njome se utvrđuju i posebni zahtjevi u pogledu zaštite za operatore EKI-ja i nadležna tijela država članica. Do sada je označeno 94 EKI-ja, od kojih se dvije trećine nalaze u trima državama članicama u srednjoj i istočnoj Europi. Međutim, opseg djelovanja EU-a u području otpornosti kritične infrastrukture obuhvaća više od ovih mjera, a uključuje sektorske i međusektorske mjere među ostalim za otpornost na klimatske promjene, civilnu zaštitu, izravna strana ulaganja i kibersigurnost 8 . Same države članice u međuvremenu su poduzele vlastite mjere u tom području na međusobno različite načine.

Stoga je očito da postojeći okvir za zaštitu kritične infrastrukture nije dovoljan za suočavanje s trenutačnim izazovima u pogledu kritične infrastrukture i subjekata koji njome upravljaju. S obzirom na sve veću međupovezanost infrastruktura, mreža i operatora koji pružaju ključne usluge na unutarnjem tržištu, potrebno je iz temelja promijeniti pristup sa zaštite određene imovine na jačanje otpornosti kritičnih subjekata koji njome upravljaju.

Operativno okruženje u kojem posluju kritični subjekti znatno se promijenilo posljednjih godina. Prvo, rizično okružje danas je složenije nego 2008. jer uključuje prirodne opasnosti 9 (u mnogim slučajevima pogoršane klimatskim promjenama), hibridna djelovanja koja financiraju države, terorizam, unutarnje prijetnje, pandemije i nesreće (kao što su industrijske nesreće). Drugo, operatori se suočavaju s izazovima u integriranju novih tehnologija kao što su 5G i bespilotna vozila u svoje poslovanje, dok istodobno rade na otklanjanju ranjivosti koje bi takve tehnologije mogle prouzročiti. Treće, te tehnologije i drugi trendovi dovode do toga da se operatori sve više oslanjaju jedni na druge. Posljedice toga jasne su – poremećaj koji utječe na pružanje usluga jednog operatora u jednom sektoru može stvoriti kaskadne učinke na pružanje usluga u drugim sektorima, a potencijalno i u drugim državama članicama ili u cijeloj Uniji.

Kao što je vidljivo iz evaluacije Direktive o EKI-ju iz 2019. 10 , postojeće europske i nacionalne mjere suočavaju se s ograničenjima u pružanju pomoći operatorima pri svladavanju današnjih operativnih izazova i ranjivosti koje proizlaze iz njihove međuovisnosti.

Nekoliko je razloga za to, kako je navedeno u procjeni učinka koja je poslužila za izradu prijedloga. Prvo, operatori nisu u potpunosti svjesni ili ne razumiju u potpunosti posljedice dinamičnog rizičnog okružja u kojem posluju. Drugo, napori uloženi u pogledu otpornosti znatno se razlikuju među državama članicama i sektorima. Treće, neke države članice slične vrste subjekata smatraju kritičnima, no to ne smatraju i druge države članice, što znači da usporedivi subjekti dobivaju različit stupanj službene potpore za izgradnju kapaciteta (primjerice u obliku smjernica, osposobljavanja i organizacije vježbi) ovisno o tome gdje posluju u Uniji te se na njih primjenjuju različiti zahtjevi. Zbog toga što se zahtjevi i državna potpora operatorima razlikuju među pojedinim državama članicama stvaraju se prepreke operatorima pri prekograničnom djelovanju, posebno kritičnim subjektima koji posluju u državama članicama sa strožim okvirima. S obzirom na sve veću međupovezanost pružanja usluga i sektora u državama članicama i širom EU-a, nedovoljna razina otpornosti jednog operatora predstavlja ozbiljan rizik za subjekte drugdje na unutarnjem tržištu.

Osim što ugrožavaju neometano funkcioniranje unutarnjeg tržišta, poremećaji, posebno oni s prekograničnim i potencijalno paneuropskim posljedicama, mogu imati i ozbiljne negativne posljedice za građane, poduzeća, vlade i okoliš. Na individualnoj razini poremećaji mogu utjecati na mogućnost europskih građana da slobodno putuju, rade i koriste ključne javne usluge poput zdravstvene skrbi. U mnogim slučajevima te i druge osnovne usluge koje čine sastavni dio svakodnevnog života pružaju usko povezane mreže europskih poduzeća; poremećaj poslovanja u jednom sektoru može imati kaskadne učinke u mnogim drugim gospodarskim sektorima. Konačno, poremećaji kao što su primjerice nestanak struje velikih razmjera i teške prometne nesreće mogu pridonijeti narušavanju sigurnosti i javne zaštite, što uzrokuje nesigurnost i narušava povjerenje u kritične subjekte, kao i u tijela odgovorna za njihov nadzor i za očuvanje zaštite i sigurnosti stanovništva.

·Dosljednost s postojećim odredbama politike u tom području

Ovaj je prijedlog odraz prioriteta Komisijine strategije EU-a za sigurnosnu uniju 11 , kojom se poziva na revidirani pristup otpornosti kritične infrastrukture koji bolje odražava sadašnje i predviđeno buduće rizično okružje, sve čvršću međuovisnost različitih sektora, kao i sve veću međuovisnost fizičke i digitalne infrastrukture.

Predložena Direktiva zamjenjuje Direktivu o EKI-ju te se njome uzimaju u obzir i dopunjuju drugi postojeći i predviđeni instrumenti. Predložena Direktiva predstavlja znatnu promjenu u odnosu na Direktivu o EKI-ju koja se odnosi samo na energetski i prometni sektor, usmjerena je isključivo na zaštitne mjere i osigurava postupak za utvrđivanje i označivanje EKI-jeva u okviru prekograničnog dijaloga. Prije svega, predložena Direktiva imala bi mnogo šire sektorsko područje primjene jer bi obuhvaćala deset sektora, odnosno energetiku, promet, bankarstvo, infrastrukturu financijskog tržišta, zdravstvo, vodu za piće, otpadne vode, digitalnu infrastrukturu, javnu upravu i svemirski sektor. Drugo, Direktivom se državama članicama osigurava postupak za utvrđivanje kritičnih subjekata primjenjujući zajedničke kriterije na temelju nacionalne procjene rizika. Treće, prijedlogom se utvrđuju obveze država članica i kritičnih subjekata koje one utvrde, uključujući subjekte od posebnog europskog značaja, tj. kritične subjekte koji pružaju ključne usluge više od jednoj trećini država članica ili u više od jedne trećine država članica koji bi podlijegali posebnom nadzoru.

Komisija bi prema potrebi nadležnim tijelima i kritičnim subjektima pružala potporu u ispunjavanju njihovih obveza iz Direktive. Usto, Skupina za otpornost kritičnih subjekata, tj. stručna skupina Komisije koja podliježe horizontalnom okviru primjenjivom na takve skupine, savjetovala bi Komisiju te bi promicala stratešku suradnju i razmjenu informacija. Naposljetku, kako međuovisnosti ne prestaju na vanjskim granicama EU-a, potrebna je i suradnja s partnerskim zemljama. Predloženom Direktivom pruža se mogućnost takve suradnje, primjerice u području procjene rizika.

Dosljednost u odnosu na druge politike Unije

Predložena Direktiva očito je povezana i usklađena s ostalim sektorskim i međusektorskim inicijativama EU-a, među ostalim za otpornost na klimatske promjene, civilnu zaštitu, izravna strana ulaganja, kibersigurnost i pravnu stečevinu o financijskim uslugama. Prijedlog je posebice usklađen i njime se uspostavlja bliska sinergija s predloženom Direktivom NIS 2, čiji je cilj poboljšanje otpornosti na sve opasnosti u području informacijskih i komunikacijskih tehnologija (IKT) „ključnih subjekata” i „važnih subjekata” koji dosežu određene pragove u velikom broju sektora. Cilj je ovog Prijedloga direktive o otpornosti kritičnih subjekata osigurati da nadležna tijela imenovana na temelju ove Direktive i ona imenovana na temelju predložene Direktive NIS 2 poduzimaju dodatne mjere i prema potrebi razmjenjuju informacije o kiberotpornosti i drugim vrstama otpornosti te da posebice kritični subjekti u sektorima koji se u skladu s predloženom Direktivom NIS 2 smatraju „ključnima” isto tako podliježu općenitijim obvezama povećanja otpornosti za ublažavanje rizika izvan područja kibersigurnosti. Fizička sigurnost mrežnih i informacijskih sustava subjekata u sektoru digitalne infrastrukture opsežno se razmatra u predloženoj Direktivi NIS 2 kao dio obveza tih subjekata da upravljaju kibersigurnosnim rizicima i izvješćuju o njima. Usto, prijedlog se temelji na postojećoj pravnoj stečevini o financijskim uslugama, kojom se uspostavljaju sveobuhvatni zahtjevi za financijske subjekte u pogledu upravljanja operativnim rizicima i osiguravanja kontinuiteta poslovanja. Stoga bi prema subjektima u sektoru digitalne infrastrukture, bankarskom sektoru i sektoru financijske infrastrukture za potrebe obveza i aktivnosti država članica trebalo postupati kao prema subjektima istovjetnima kritičnim subjektima u skladu s ovom Direktivom kojom se ne bi nametale dodatne obveze za te subjekte.

Prijedlogom se uzimaju u obzir i druge sektorske i međusektorske inicijative, na primjer u pogledu civilne zaštite, smanjenja rizika od katastrofa i prilagodbe klimatskim promjenama. Nadalje, prijedlogom se prepoznaje da u određenim slučajevima postojeće zakonodavstvo EU-a obvezuje subjekte da određene rizike ublažavaju zaštitnim mjerama. U takvim slučajevima, primjerice u području sigurnosti u zračnom i pomorskom prometu, kritični bi subjekti trebali opisati te mjere u svojim planovima za otpornost. Osim toga, predloženom Direktivom ne dovodi se u pitanje primjena pravila o tržišnom natjecanju utvrđenih Ugovorom o funkcioniranju Europske unije (UFEU).

2.PRAVNA OSNOVA, SUPSIDIJARNOST I PROPORCIONALNOST

·Pravna osnova

Za razliku od Direktive 2008/114/EZ, koja se temeljila na članku 308. Ugovora o osnivanju Europske zajednice (što odgovara sadašnjem članku 352. Ugovora o funkcioniranju Europske unije), ovaj se prijedlog direktive temelji na članku 114. UFEU-a, koji uključuje usklađivanje zakonodavstva za poboljšanje unutarnjeg tržišta. To je opravdano promjenom cilja, područja primjene i sadržaja direktive, povećanom međuovisnošću i potrebom za osiguravanjem ravnopravnijih uvjeta za kritične subjekte. Umjesto zaštite ograničenog skupa fizičkih infrastruktura čiji bi poremećaj u radu ili uništenje imali znatne prekogranične učinke, cilj je povećati otpornost subjekata u državama članicama koji su kritični za pružanje usluga ključnih za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti na unutarnjem tržištu u brojnim sektorima na kojima se temelji funkcioniranje mnogih drugih sektora gospodarstva Unije. Zbog povećane prekogranične međuovisnosti usluga koje se pružaju korištenjem kritične infrastrukture u tim sektorima, poremećaj u jednoj državi članici može imati posljedice u drugim državama članicama ili u Uniji u cjelini.

Postojeći pravni okvir uspostavljen na razini država članica kojim se uređuju predmetne usluge podrazumijeva znatne razlike u obvezama koje će se vjerojatno povećati. Razlike među nacionalnim pravilima koja se primjenjuju na kritične subjekte ne samo da ugrožavaju pouzdano pružanje usluga na unutarnjem tržištu, već mogu imati i negativni utjecaj na tržišno natjecanje. Do toga uglavnom dolazi zato što se slične vrste subjekata koji pružaju slične vrste usluga smatraju kritičnima u nekim državama članicama, ali ne i u drugima. To znači da subjekti koji djeluju ili koji žele djelovati u više država članica podliježu različitim obvezama kada djeluju na unutarnjem tržištu te da subjekti koji djeluju u državama članicama sa strožim zahtjevima mogu se suočiti s preprekama u odnosu na one u državama članicama s blažim okvirima. Te razlike imaju izravan negativan učinak na funkcioniranje unutarnjeg tržišta.

·Supsidijarnost

Zajednički zakonodavni okvir na europskoj razini u ovom području opravdan je s obzirom na međuovisnost i prekograničnu prirodu odnosa rada kritične infrastrukture i njezinih rezultata, tj. ključnih usluga. Operator smješten u jednoj državi članici može pružati usluge u nekoliko drugih država članica ili u cijelom EU-u putem usko povezanih mreža. Prema tome, poremećaj koji utječe na tog operatora mogao bi imati dalekosežne učinke na druge sektore, kao i prekogranične učinke. Moguće paneuropske posljedice poremećajâ zahtijevaju djelovanje na razini EU-a. Nadalje, različita nacionalna pravila dovode do izravnog negativnog učinka na funkcioniranje unutarnjeg tržišta. Kao što je pokazala procjena učinka, mnoge države članice i dionici iz sektora smatraju da je potreban zajednički i koordiniraniji europski pristup kako bi se osiguralo da su subjekti dovoljno otporni na različite rizike koji, iako se donekle razlikuju među pojedinačnim državama članicama, uzrokuju mnoge zajedničke izazove s kojima se nije moguće učinkovito suočiti nacionalnim mjerama ili koje ne mogu učinkovito svladati pojedinačni operatori.

·Proporcionalnost

Prijedlog je proporcionalan u odnosu na navedeni opći cilj inicijative. Iako obveze država članica i kritičnih subjekata mogu u određenim slučajevima uzrokovati dodatno administrativno opterećenje, primjerice ako države članice moraju razviti nacionalnu strategiju ili ako kritični subjekti moraju provesti određene tehničke i organizacijske mjere, očekuje se da će one općenito biti ograničene prirode. U tom je smislu potrebno napomenuti da su mnogi subjekti već poduzeli neke sigurnosne mjere kako bi zaštitili svoju infrastrukturu i osigurali kontinuitet poslovanja.

Međutim, u nekim slučajevima postizanje usklađenosti s Direktivom može zahtijevati znatnija ulaganja. No čak i u takvim slučajevima ta su ulaganja opravdana u onoj mjeri u kojoj bi se njima pridonijelo povećanoj otpornosti na razini operatora i otpornosti sustava, kao i usklađenijem pristupu i povećanoj mogućnosti pružanja pouzdanih usluga širom Unije. Nadalje, očekuje se da će svako dodatno opterećenje koje proizlazi iz Direktive biti znatno veće od troškova povezanih s upravljanjem i oporavkom od velikih poremećaja koji ugrožavaju neprekinuto pružanje usluga koje se odnose na vitalne društvene funkcije i gospodarsku dobrobit operatora, pojedinačnih država članica, Unije i njezinih građana općenito.

·Odabir instrumenta

Prijedlog je izrađen u obliku direktive čiji je cilj osigurati zajednički pristup otpornosti kritičnih subjekata u brojnim sektorima širom Unije. Prijedlogom se utvrđuju posebne obveze nadležnih tijela za utvrđivanje kritičnih subjekata na temelju zajedničkih kriterija i rezultata procjene rizika. Direktivom je moguće osigurati da države članice primjenjuju jedinstveni pristup u utvrđivanju kritičnih subjekata, uzimajući istodobno u obzir posebnosti na nacionalnoj razini, uključujući različite razine izloženosti riziku te međuovisnosti sektorâ i prekogranične međuovisnosti.

3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENA UČINKA

·Ex post evaluacije/provjere primjerenosti postojećeg zakonodavstva

Direktiva o europskoj kritičnoj infrastrukturi (EKI) evaluirana je 2019. kako bi se procijenila sama provedba direktive u smislu njezine relevantnosti, usklađenosti, učinkovitosti, djelotvornosti, dodane vrijednosti EU-a i održivosti 12 .

Evaluacijom je utvrđeno da se kontekst znatno promijenio otkako je direktiva stupila na snagu. S obzirom na te promjene, utvrđeno je da je direktiva samo djelomično relevantna. Iako je evaluacijom utvrđeno da je direktiva općenito usklađena s relevantnim europskim sektorskim zakonodavstvom i politikom na međunarodnoj razini, pokazalo se da je samo djelomično učinkovita zbog općenitosti nekih njezinih odredaba. Utvrđeno je da je direktivom ostvarena dodana vrijednost EU-a razmjerno postignutim rezultatima (tj. zajedničkim okvirom za zaštitu EKI-jeva), što se ne bi moglo postići ni nacionalnim ni drugim europskim inicijativama bez pokretanja puno dugotrajnijih, skupljih i nedovoljno definiranih postupaka. U tom je smislu utvrđeno da su određene odredbe imale ograničenu dodanu vrijednost za mnoge države članice.

Kad je riječ o održivosti, očekivalo se da će određeni učinci koji proizlaze iz direktive (npr. prekogranične rasprave, zahtjevi u pogledu izvješćivanja) prestati ako se direktiva stavi izvan snage umjesto da se zamijeni. Evaluacijom je utvrđeno da države članice kontinuirano podupiru sudjelovanje EU-a u nastojanjima da se ojača otpornost kritične infrastrukture i da postoji određena zabrinutost da bi izravno stavljanje izvan snage Direktive moglo imati negativne učinke u ovom području, posebno u pogledu zaštite označenih EKI-jeva. Države članice nastojale su osigurati da se angažmanom Unije na terenu i dalje poštuje načelo supsidijarnosti, podržavaju mjere na nacionalnoj razini i olakšava prekogranična suradnja, među ostalim i s trećim zemljama.

·Savjetovanja s dionicima

U izradi ovog prijedloga Komisija se savjetovala s brojnim dionicima, među ostalim: s institucijama i agencijama Europske unije; međunarodnim organizacijama; tijelima država članica; privatnim subjektima, uključujući pojedinačne operatore te nacionalna i europska sektorska udruženja koja predstavljaju operatore u mnogim različitim sektorima; stručnjacima i mrežama stručnjaka, uključujući Europsku referentnu mrežu za zaštitu kritične infrastrukture (ERNCIP); članovima akademske zajednice; nevladinim organizacijama i pripadnicima javnosti.

Savjetovanje s dionicima provedeno je na razne načine, među ostalim: mogućnosti povratnih informacija javnosti u pogledu početne procjene učinka ovog prijedloga; savjetodavnim seminarima; ciljanim upitnicima; bilateralnim razmjenama i javnom raspravom (za potporu evaluaciji Direktive o EKI-ju iz 2019.). Osim toga, vanjski ugovaratelj odgovoran za studiju izvedivosti koja je poslužila za izradu procjene učinka proveo je savjetovanja s mnogim dionicima, primjerice u obliku internetskih anketa, pisanih upitnika, individualnih razgovora i virtualnih „terenskih posjeta” u deset država članica.

Ta su savjetovanja omogućila Komisiji da razmotri učinkovitost, djelotvornost, relevantnost, usklađenost i dodanu vrijednost EU-a postojećeg okvira za otpornost kritične infrastrukture (tj. početno stanje), nastale probleme, različite opcije politike koje bi se mogle razmotriti u rješavanju tih problema te posebne učinke koje bi takve opcije mogle imati. Općenito, savjetovanja su ukazala na niz područja u kojima je postignut opći konsenzus među dionicima, a posebno na to da bi postojeći okvir EU-a za otpornost kritične infrastrukture trebalo obnoviti u kontekstu rastuće međusektorske međuovisnosti i promjenjivosti prijetnji.

Konkretno, dionici su se općenito složili da bi se svaki novi pristup trebao sastojati od kombinacije obvezujućih i neobvezujućih mjera, da bi trebao biti usredotočen na otpornost umjesto na zaštitu usmjerenu na imovinu te da bi trebao osigurati očitiju poveznicu između mjera za povećanje kiberotpornosti i drugih vrsta otpornosti. Nadalje, podržali su pristup kojim se uzimaju u obzir odredbe postojećeg sektorskog zakonodavstva, kojim se obuhvaćaju barem sektori iz trenutačne Direktive NIS i koji uključuje ujednačenije obveze za kritične subjekte na nacionalnoj razini, koji bi trebali moći provoditi dostatnu sigurnosnu provjeru osoblja koje ima pristup osjetljivim objektima/informacijama. Osim toga, dionici su predložili da bi svaki novi pristup trebao omogućiti državama članicama da provode pojačani nadzor djelatnosti kritičnih subjekata, ali i osigurati da kritični subjekti od paneuropskog značaja budu utvrđeni i dovoljno otporni. Naposljetku, zalagali su se za veću potporu i odobravanje financijskih sredstava EU-a, primjerice u pogledu provedbe bilo kojeg novog instrumenta, izgradnje kapaciteta na nacionalnoj razini i koordinacije/suradnje te razmjene dobre prakse, znanja i stručnosti na različitim razinama između javnog i privatnog sektora. Prijedlog sadržava odredbe koje općenito odgovaraju stajalištima i preferencijama dionika.

·Prikupljanje i primjena stručnog znanja

Kao što je navedeno u prethodnom odjeljku, Komisija se pri izradi prijedloga savjetovala s vanjskim stručnjacima, primjerice s neovisnim stručnjacima, mrežom stručnjaka i članovima akademske zajednice te se oslanjala na njihovo stručno znanje.

·Procjena učinka

Procjenom učinka koja je poslužila za razvoj ove inicijative razmatrale su se različite opcije politike za rješavanje opisanih općih i specifičnih problema. Osim početnog stanja, koje ne bi moglo uzrokovati promjene trenutačnog stanja, te su opcije uključivale sljedeće:

–prva opcija: zadržavanje postojeće Direktive o EKI-ju, uz dobrovoljne mjere u okviru postojećeg programa EPZKI,

–druga opcija: revizija postojeće Direktive o EKI-ju kako bi se obuhvatili isti sektori kao i postojećom Direktivom NIS te kako bi se povećala usmjerenost na otpornost. Nova Direktiva o EKI-ju podrazumijevala bi promjene postojećeg prekograničnog postupka označivanja EKI-jeva, uključujući nove kriterije za označivanje i nove zahtjeve za države članice i operatore,

–treća opcija: zamjena postojeće Direktive o EKI-ju novim instrumentom za povećanje otpornosti kritičnih subjekata u sektorima koji se smatraju ključnima na temelju predložene Direktive NIS 2. Tom bi se opcijom utvrdili minimalni zahtjevi za države članice i kritične subjekte utvrđene novim okvirom. Osigurao bi se postupak za utvrđivanje kritičnih subjekata koji pružaju usluge nekoliko ili u nekoliko država članica EU-a, kao i svim ili u svim državama članicama EU-a. Provedbu zakonodavstva podupirao bi poseban centar znanja unutar Komisije,

–četvrta opcija: zamjena postojeće Direktive o EKI-ju novim instrumentom za povećanje otpornosti kritičnih subjekata u sektorima koji se smatraju ključnima na temelju predložene Direktive NIS 2, kao i značajnija uloga Komisije u utvrđivanju kritičnih subjekata te osnivanje posebne agencije EU-a odgovorne za otpornost kritične infrastrukture (koja bi preuzela uloge i odgovornosti dodijeljene centru znanja predloženom u prethodnoj opciji).

S obzirom na različite gospodarske, društvene i ekološke učinke povezane sa svakom od opcija, ali i njihovu vrijednost u smislu učinkovitosti, djelotvornosti i proporcionalnosti, procjenom učinka utvrđeno je da je najpoželjnija treća opcija. Iako se prvom i drugom opcijom ne bi ostvarile promjene koje su potrebne za rješavanje problema, trećom opcijom postigao bi se usklađen i sveobuhvatniji okvir za otpornost kojim bi se isto tako uzelo u obzir postojeće pravo Unije u povezanim područjima te s kojim bi bio usklađen. Utvrđeno je i da je treća opcija proporcionalna te da bi mogla biti politički izvediva jer je u skladu s izjavama Vijeća i Parlamenta u pogledu potrebe za djelovanjem Unije u tom području. Nadalje, utvrđeno je da bi ta opcija mogla osigurati fleksibilnost i okvir održiv u budućnosti kojim bi se kritičnim subjektima omogućilo da s vremenom odgovore na različite rizike. Konačno, procjenom učinka utvrđeno je da bi ta opcija bila dopuna postojećim sektorskim i međusektorskim okvirima i instrumentima. Primjerice, tom se opcijom uzimaju u obzir situacije kada označeni subjekti ispunjavaju određene obveze sadržane u ovom novom instrumentu putem obveza iz postojećih instrumenata te se u tom slučaju od njih neće tražiti da poduzmu daljnje mjere. S druge strane, od njih se očekuje da poduzmu određene mjere ako postojeći instrumenti ne obuhvaćaju pojedino pitanje ili su ograničeni samo na određene vrste rizika ili mjera.

Procjena učinka podvrgnuta je nadzoru Odbora za nadzor regulative, koji je 20. studenoga 2020. izdao pozitivno mišljenje sa zadrškama. Odbor je istaknuo niz elemenata procjene učinka koje je potrebno razmotriti. Konkretno, Odbor je zatražio dodatno pojašnjenje o rizicima povezanima s kritičnom infrastrukturom i prekograničnom dimenzijom, vezom između inicijative i tekuće revizije Direktive NIS te odnosa između najpoželjnije opcije politike i drugih dijelova sektorskog zakonodavstva. Nadalje, Odbor je uočio da je potrebno dodatno obrazloženje za proširenje sektorskog područja primjene instrumenta te zatražio dodatne informacije o kriterijima za odabir kritičnih subjekata. Naposljetku, Odbor je u kontekstu proporcionalnosti zatražio dodatno pojašnjenje o načinu na koji bi najpoželjnija opcija donijela bolje nacionalne odgovore na prekogranične rizike. Te i druge detaljnije primjedbe koje je dostavio Odbor razmotrene su u konačnoj verziji procjene učinka, u kojoj se primjerice detaljnije opisuju prekogranični rizici za kritičnu infrastrukturu i odnos između ovog prijedloga i Prijedloga direktive NIS 2. Primjedbe Odbora uzete su u obzir i u predloženoj Direktivi u nastavku.

·Primjerenost i pojednostavnjenje propisa

U skladu s Komisijinim Programom za primjerenost i učinkovitost propisa (REFIT) sve inicijative usmjerene na promjenu postojećeg zakonodavstva EU-a trebale bi težiti pojednostavnjenju i učinkovitijem ostvarenju navedenih ciljeva politike. Rezultati procjene učinka pokazuju da bi se prijedlogom trebalo smanjiti ukupno opterećenje za države članice. Bolja usklađenost s pristupom usmjerenim na usluge iz trenutačne Direktive NIS vjerojatno će s vremenom dovesti do smanjenja troškova usklađivanja. Primjerice, opterećujući prekogranični postupak utvrđivanja i označivanja iz postojeće Direktive o EKI-ju zamijenio bi postupak koji se temelji na procjeni rizika na nacionalnoj razini usmjerenom samo na utvrđivanje kritičnih subjekata na koje se primjenjuju različite obveze. Na temelju procjene rizika države članice utvrdile bi kritične subjekte, od kojih je većina već označena kao operatori ključnih usluga na temelju trenutačne Direktive NIS.

Osim toga, poduzimanjem mjera za povećanje otpornosti kritičnih subjekata smanjuje se vjerojatnost da će im nastati poremećaji. Tako bi se smanjila vjerojatnost za incidente koji uzrokuju prekide u radu i negativno utječu na pružanje ključnih usluga u pojedinim državama članicama i širom Europe. To bi, zajedno s pozitivnim učincima koji proizlaze iz usklađivanja različitih nacionalnih pravila na razini Unije, pozitivno utjecalo na poduzeća, uključujući mikropoduzeća te mala i srednja poduzeća, opću dobrobit gospodarstva Unije i pouzdano funkcioniranje unutarnjeg tržišta.

·Temeljna prava

Predloženim zakonodavstvom namjerava se povećati otpornost kritičnih subjekata koji pružaju različite oblike ključnih usluga, otklanjajući istodobno regulatorne prepreke njihovoj mogućnosti pružanja usluga širom Unije. Tako bi se smanjio ukupni rizik od poremećaja na razini društva i pojedinaca, a smanjilo bi se i opterećenje. Time bi se pridonijelo osiguravanju više razine javne sigurnosti te istodobno pozitivno utjecalo na slobodu poslovanja poduzeća, kao i mnogih drugih gospodarskih subjekata koji ovise o pružanju ključnih usluga, od čega naposljetku korist imaju potrošači. Odredbe prijedloga usmjerene na osiguravanje učinkovitog upravljanja sigurnošću zaposlenika obično uključuju obradu osobnih podataka. To je opravdano potrebom za provođenjem provjera podobnosti za određene kategorije osoblja. Osim toga, svaka takva obrada osobnih podataka uvijek će biti u skladu s pravilima Unije o zaštiti osobnih podataka, uključujući Opću uredbu o zaštiti podataka 13 .

4.UTJECAJ NA PRORAČUN

Predložena Direktiva utječe na proračun Unije. Procjenjuje se da bi ukupna financijska sredstva potrebna za potporu provedbi ovog prijedloga iznosila 42,9 milijuna EUR za razdoblje 2021.–2027., od čega se 5,1 milijun EUR odnosi na administrativne rashode. Ti se troškovi mogu raščlaniti na sljedeći način:

–aktivnosti potpore koje provodi Komisija, uključujući osoblje, projekte, studije i pomoćne aktivnosti,

–savjetodavne misije koje organizira Komisija,

–redoviti sastanci Skupine za otpornost kritičnih subjekata, Odbora za komitologiju i drugi sastanci.

Detaljnije informacije dostupne su u zakonodavnom financijskom izvještaju koji je priložen ovom prijedlogu.

5.DRUGI ELEMENTI

·Planovi provedbe i mehanizmi praćenja, evaluacije i izvješćivanja

Provedba predložene Direktive preispituje se četiri i pol godine nakon njezina stupanja na snagu, nakon čega će Komisija podnijeti izvješće Europskom parlamentu i Vijeću. U tom će se izvješću procijeniti u kojoj su mjeri države članice poduzele potrebne mjere za usklađivanje s Direktivom. Komisija će Europskom parlamentu i Vijeću podnijeti izvješće o procjeni učinka i dodane vrijednosti Direktive šest godina nakon njezina stupanja na snagu.

·Detaljno obrazloženje posebnih odredaba prijedloga

Predmet, područje primjene i definicije (članci 1. i 2.)

Člankom 1. utvrđuje se predmet i područje primjene Direktive kojom se utvrđuju obveze država članica da poduzmu određene mjere kako bi se osiguralo pružanje usluga na unutarnjem tržištu koje su ključne za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti, posebice da se utvrde kritični subjekti i da im se omogući ispunjavanje posebnih obveza usmjerenih na jačanje njihove otpornosti i poboljšanje njihove mogućnosti pružanja tih usluga na unutarnjem tržištu. Direktivom se isto tako utvrđuju pravila o nadzoru i izvršenju u pogledu kritičnih subjekata te posebni nadzor nad kritičnim subjektima za koje se smatra da su od posebnog europskog značaja. U članku 1. objašnjavaju se i odnos između Direktive i drugih relevantnih akata prava Unije te uvjeti pod kojima se povjerljive informacije u skladu s pravilima Unije i nacionalnim pravilima razmjenjuju s Komisijom i drugim relevantnim tijelima. U članku 2. naveden je popis definicija koje se primjenjuju.

Nacionalni okviri za otpornost kritičnih subjekata (članci od 3. do 9.)

U članku 3. navodi se da države članice donose strategiju za jačanje otpornosti kritičnih subjekata, opisuju se elementi koje bi ta strategija trebala sadržavati, objašnjava se da ju je potrebno redovito i prema potrebi ažurirati te se utvrđuje da države članice Komisiji dostavljaju svoje strategije i sve njihove ažurirane verzije. U članku 4. navodi se da nadležna tijela sastavljaju popis ključnih usluga i redovito provode procjenu svih relevantnih rizika koji mogu utjecati na pružanje tih ključnih usluga radi utvrđivanja kritičnih subjekata. U toj se procjeni uzimaju u obzir procjene rizika provedene u skladu s drugim relevantnim aktima prava Unije, rizici koji proizlaze iz međuovisnosti određenih sektora i dostupne informacije o incidentima. Države članice osiguravaju da relevantni elementi procjene rizika budu dostupni kritičnim subjektima te da se podaci o vrstama utvrđenih rizika i rezultatima njihovih procjena rizika redovito stavljaju na raspolaganje Komisiji.

U članku 5. navodi se da države članice utvrđuju kritične subjekte u određenim sektorima i podsektorima. Postupkom utvrđivanja trebali bi se uzeti u obzir rezultati procjene rizika i primijeniti posebni kriteriji. Države članice sastavljaju popis kritičnih subjekata, koji se ažurira redovito i prema potrebi. Kritične subjekte uredno se obavješćuje da su ustvrđeni kao kritični subjekti i o obvezama koje iz toga proizlaze. Nadležna tijela odgovorna za provedbu Direktive obavješćuju nadležna tijela odgovorna za provedbu Direktive NIS 2 o utvrđivanju kritičnih subjekata. Ako su dvije ili više država članica utvrdile da je određeni subjekt kritičan, one se međusobno savjetuju kako bi se smanjilo opterećenje za kritični subjekt. Ako kritični subjekti pružaju usluge više od jednoj trećini ili u više od jedne trećine država članica, predmetna država članica obavješćuje Komisiju o tim kritičnim subjektima.

U članku 6. definira se izraz „znatan negativan učinak” iz članka 5. stavka 2. i propisuje se da države članice Komisiji dostavljaju određene oblike informacija koje se odnose na kritične subjekte koje su utvrdile te načine njihova utvrđivanja. Člankom 6. ovlašćuje se Komisiju da nakon savjetovanja sa Skupinom za otpornost kritičnih subjekata donese relevantne smjernice.

Člankom 7. utvrđuje se da bi države članice trebale utvrditi subjekte u sektorima bankarstva, infrastrukture financijskog tržišta i digitalne infrastrukture koje treba smatrati istovjetnima kritičnim subjektima samo za potrebe poglavlja II. Te bi subjekte trebalo obavijestiti da su utvrđeni kao kritični subjekti.

Člankom 8. propisuje se da svaka država članica imenuje jedno ili više nadležnih tijela odgovornih za pravilnu primjenu Direktive na nacionalnoj razini, kao i jedinstvenu kontaktnu točku zaduženu za osiguravanje prekogranične suradnje te im omogućuje odgovarajuće resurse. Jedinstvena kontaktna točka redovito dostavlja Komisiji sažeto izvješće o obavijestima o incidentima. Člankom 8. zahtijeva se da nadležna tijela odgovorna za primjenu Direktive surađuju s drugim relevantnim nacionalnim tijelima, uključujući nadležna tijela imenovana na temelju Direktive NIS 2. Člankom 9. propisuje se da države članice pružaju potporu kritičnim subjektima u osiguravanju njihove otpornosti i olakšavaju suradnju i dobrovoljnu razmjenu informacija i dobre prakse između nadležnih tijela i kritičnih subjekata.

Otpornost kritičnih subjekata (članci od 10. do 13.)

U članku 10. navodi se da kritični subjekti redovito procjenjujusve relevantne rizike na temelju nacionalnih procjena rizika i drugih relevantnih izvora informacija. Člankom 11. propisuje se da kritični subjekti poduzimaju odgovarajuće i razmjerne tehničke i organizacijske mjere kako bi zajamčili svoju otpornost te osiguravaju da te mjere budu opisane u planu za otpornost ili istovjetnom dokumentu ili dokumentima. Države članice mogu zatražiti od Komisije da organizira savjetodavne misije radi savjetovanja kritičnih subjekata u ispunjavanju njihovih obveza. Člankom 11. ovlašćuje se Komisiju da prema potrebi donosi delegirane i provedbene akte.

Člankom 12. utvrđuje se da države članice osiguravaju kritičnim subjektima mogućnost podnošenja zahtjeva za provjeru podobnosti osoba koje spadaju ili bi mogle spadati u određene posebne kategorije osoblja te da tijela koja su odgovorna za provođenje takvih provjera podobnosti žurno ocjenjuju te zahtjeve. U članku se opisuje svrha, područje primjene i sadržaj provjera podobnosti, koji moraju biti u skladu s Općom uredbom o zaštiti podataka.

U članku 13. navodi da države članice osiguravaju da kritični subjekti obavješćuju nadležno tijelo o incidentima koji znatno narušavaju ili bi mogli znatno narušiti njihovo poslovanje. Nadležna tijela zauzvrat kritičnom subjektu koji šalje obavijest dostavljaju relevantne daljnje informacije. Nadležna tijela putem jedinstvene kontaktne točke obavješćuju i jedinstvene kontaktne točke u drugim pogođenim državama članicama u slučaju da incident ima ili može imati prekogranične posljedice u jednoj ili u više država članica.

Posebni nadzor nad kritičnim subjektima od posebnog europskog značaja (članci 14. i 15.)

U članku 14. definiraju se kritični subjekti od posebnog europskog značaja kao subjekti koji su utvrđeni kao kritični subjekti i koji pružaju ključne usluge više od jednoj trećini država članica ili u više od jedne trećine država članica. Nakon primitka obavijesti u skladu s člankom 5. stavkom 6. Komisija obavješćuje predmetni subjekt da se smatra kritičnim subjektom od posebnog europskog značaja te o obvezama koje su time obuhvaćene i datumu od kojeg se te obveze počinju primjenjivati. U članku 15. opisuju se posebni mehanizmi nadzora koji se primjenjuju na kritične subjekte od posebnog europskog značaja, koji na zahtjev uključuju da države članice domaćini Komisiji i Skupini za otpornost kritičnih subjekata dostavljaju informacije koje se odnose na procjenu rizika u skladu s člankom 10. te mjere poduzete u skladu s člankom 11., kao i sve nadzorne ili izvršne mjere. Člankom 15. propisuje se da Komisija može organizirati savjetodavne misije radi procjene mjera koje su uveli određeni kritični subjekti od posebnog europskog značaja. Na temelju analize nalaza savjetodavne misije koju obavlja Skupina za otpornost kritičnih subjekata Komisija dostavlja državi članici u kojoj se nalazi infrastruktura subjekta svoja stajališta o tome ispunjava li taj subjekt svoje obveze i, prema potrebi, koje se mjere mogu poduzeti radi poboljšanja otpornosti subjekta. U članku se opisuju sastav, organizacija i financiranje savjetodavnih misija. U njemu se propisuje i da Komisija donosi provedbeni akt kojim se utvrđuju pravila o postupovnim aranžmanima za provođenje savjetodavnih misija i izvješćivanje o njima.

Suradnja i izvješćivanje (članci 16. i 17.)

U članku 16. opisuju se uloga i zadaće Skupine za otpornost kritičnih subjekata, koju čine predstavnici država članica i Komisije. Ona podupire Komisiju i olakšava stratešku suradnju i razmjenu informacija. U članku se objašnjava da Komisija može donijeti provedbene akte kojima se utvrđuju postupovni aranžmani potrebni za funkcioniranje Skupine za otpornost kritičnih subjekata. Člankom 17. propisuje se da Komisija prema potrebi podupire države članice i kritične subjekte u ispunjavanju njihovih obveza iz Direktive te dopunjuje aktivnosti država članica iz članka 9.

Nadzor i izvršenje (članci 18. i 19.)

U članku 18. navodi se da države članice imaju određene ovlasti, sredstva i odgovornosti u osiguranju provedbe i izvršenja Direktive. Države članice osiguravaju da, kada nadležno tijelo ocijeni usklađenost kritičnog subjekta, ono o tome obavješćuje nadležna tijela predmetne države članice imenovana na temelju Direktive NIS 2, od kojih mogu zatražiti da ocijene kibersigurnost takvog subjekta te bi u tu svrhu trebali surađivati i razmjenjivati informacije. U članku 19. navodi se da države članice u skladu s dugogodišnjom praksom utvrđuju pravila o sankcijama koje se primjenjuju na povrede i poduzimaju sve potrebne mjere kako bi osigurale njihovu provedbu.

Završne odredbe (članci od 20. do 26.)

U članku 20. navedeno je da Komisiji pomaže odbor u smislu Uredbe (EU) br. 182/2011. To je standardni članak. Člankom 21. Komisiji se dodjeljuje ovlast za donošenje delegiranih akata uz primjenu uvjeta utvrđenih u članku. I to je standardni članak. U članku 22. navodi se da Komisija Europskom parlamentu i Vijeću podnosi izvješće u kojem se procjenjuje u kojoj su mjeri države članice poduzele potrebne mjere za usklađivanje s Direktivom. Izvješće o procjeni učinka i dodane vrijednosti Direktive te o tome je li potrebno područje primjene Direktive proširiti na druge sektore i podsektore, uključujući sektor proizvodnje, prerade i distribucije hrane, mora se redovito podnositi Europskom parlamentu i Vijeću.

U članku 23. navedeno je da se Direktiva 2008/114/EZ stavlja izvan snage s datumom stupanja na snagu ove Direktive. U članku 24. utvrđuje se da države članice u određenom roku donose i objavljuju zakone i druge propise potrebne za usklađivanje s Direktivom te da o tome obavješćuju Komisiju. Tekst glavnih odredaba nacionalnog prava koje donesu u području na koje se odnosi ova Direktiva dostavlja se Komisiji. U članku 25. navodi se da Direktiva stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije. Člankom 26. utvrđuje se da je Direktiva upućena državama članicama.

2020/0365 (COD)

Prijedlog

DIREKTIVE EUROPSKOG PARLAMENTA I VIJEĆA

o otpornosti kritičnih subjekata

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora 14 ,

uzimajući u obzir mišljenje Odbora regija 15 ,

u skladu s redovnim zakonodavnim postupkom 16 ,

budući da:

(1)Direktivom Vijeća 2008/114/EZ 17 predviđa se postupak za označivanje europske kritične infrastrukture u energetskom i prometnom sektoru čiji bi poremećaj u radu ili uništenje imali znatne prekogranične učinke u najmanje dvije države članice. Ta je direktiva bila usmjerena isključivo na zaštitu takve infrastrukture. Međutim, evaluacijom Direktive 2008/114/EZ koja je provedena 2019. 18 utvrđeno je da zbog rastuće međupovezanosti i prekogranične prirode aktivnosti u kojima se upotrebljava kritična infrastruktura zaštitne mjere koje se odnose samo na pojedinačnu imovinu nisu dovoljne da spriječe nastanak svih poremećaja. Stoga je potrebno preusmjeriti pristup na osiguravanje otpornosti kritičnih subjekata, odnosno njihove sposobnosti ublažavanja i apsorpcije incidenata koji mogu narušiti poslovanje kritičnih subjekata, prilagodbe na takve incidente i oporavka od njih.

(2)Unatoč postojećim mjerama na razini Unije 19 i na nacionalnoj razini čiji je cilj poduprijeti zaštitu kritične infrastrukture u Uniji, subjekti koji upravljaju tom infrastrukturom nisu dostatno opremljeni za ublažavanje sadašnjih i predviđenih budućih rizika za njezin rad koji mogu uzrokovati poremećaje pri pružanju usluga ključnih za obavljanje vitalnih društvenih funkcija ili gospodarskih djelatnosti. To je posljedica dinamičnosti prijetnji uz rastuće terorističke prijetnje i međuovisnosti infrastruktura i sektora, kao i povećanog fizičkog rizika zbog prirodnih katastrofa i klimatskih promjena, zbog kojih se povećavaju učestalost i razmjeri ekstremnih vremenskih pojava i nastaju dugotrajne vremenske promjene u prosječnoj klimi koje mogu smanjiti kapacitet i učinkovitost određenih vrsta infrastruktura ako se ne uvedu mjere za otpornost ili prilagodbu klimatskim promjenama. Osim toga, relevantni sektori i vrste subjekata nisu u svim državama članicama dosljedno priznati kao kritični.

(3)Te rastuće međuovisnosti rezultat su sve veće prekogranične i međuovisne mreže pružanja usluga koja upotrebljava ključne infrastrukture širom Unije u sektorima energetike, prometa, bankarstva, infrastrukture financijskog tržišta, digitalne infrastrukture, vode za piće i otpadnih voda, zdravstva, određenih aspekata javne uprave, kao i u svemirskom sektoru u pogledu pružanja određenih usluga koje ovise o zemaljskoj infrastrukturi koja je u vlasništvu i kojom upravljaju države članice ili privatne strane te stoga ne obuhvaća infrastrukturu koja je u vlasništvu Unije, kojom Unija upravlja ili kojom se upravlja u ime Unije u okviru njezinih svemirskih programa. Te međuovisnosti znače da svaki poremećaj, čak i onaj koji je prvotno ograničen na jedan subjekt ili jedan sektor, može imati kaskadne učinke u širem smislu, što može imati dalekosežne i dugotrajne negativne učinke na pružanje usluga na cijelom unutarnjem tržištu. Pandemija bolesti COVID-19 pokazala je ranjivost naših sve više međuovisnih društava suočenih s rizicima male vjerojatnosti.

(4)Subjekti uključeni u pružanje ključnih usluga sve više podliježu različitim zahtjevima koje nalažu propisi država članica. Činjenica da neke države članice imaju blaže sigurnosne zahtjeve za te subjekte ne samo da može imati negativan utjecaj na održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti širom Unije, već uzrokuje i prepreke pravilnom funkcioniranju unutarnjeg tržišta. Slične vrste subjekata smatraju se kritičnima u nekim državama članicama, ali ne i u drugima, a subjekti koji se utvrde kao kritični podliježu različitim zahtjevima u različitim državama članicama. To izaziva dodatna i nepotrebna administrativna opterećenja za poduzeća koja posluju prekogranično, osobito za poduzeća koja djeluju u državama članicama sa strožim zahtjevima.

(5)Stoga je potrebno utvrditi usklađena minimalna pravila kako bi se osiguralo pružanje ključnih usluga na unutarnjem tržištu i povećala otpornost kritičnih subjekata.

(6)Kako bi se postigao taj cilj, države članice trebale bi utvrditi kritične subjekte koji bi trebali podlijegati posebnim zahtjevima i nadzoru, ali i posebnu potporu i smjernice za postizanje visoke razine otpornosti na sve relevantne rizike.

(7)Određeni sektori gospodarstva kao što su energetika i promet već su uređeni ili mogu biti uređeni u budućnosti sektorskim aktima prava Unije povezanima s određenim aspektima otpornosti subjekata koji djeluju u tim sektorima. Kako bi se na sveobuhvatan način riješilo pitanje otpornosti tih subjekata kritičnih za pravilno funkcioniranje unutarnjeg tržišta, takve sektorske mjere trebale bi se dopuniti mjerama predviđenima ovom Direktivom, čime bi se uspostavio sveobuhvatan okvir koji se odnosi na otpornost kritičnih subjekata u pogledu svih opasnosti, odnosno prirodne i one uzrokovane ljudskim djelovanjem, slučajne i namjerne.

(8)S obzirom na važnost kibersigurnosti za otpornost kritičnih subjekata i radi dosljednosti, potrebno je osigurati usklađen pristup između ove Direktive i Direktive (EU) XX/YY Europskog parlamenta i Vijeća 20 [predložena Direktiva o mjerama za visoku razinu kibersigurnosti širom Unije; (dalje u tekstu „Direktiva NIS 2”)] kad god je to moguće. S obzirom na povećanu učestalost i posebna obilježja kiberrizika, Direktivom NIS 2 uvode se sveobuhvatni zahtjevi za velik broj subjekata kako bi se zajamčila njihova kibersigurnost. Budući da se kibersigurnost dovoljno razmatra u Direktivi NIS 2, pitanja koja su obuhvaćena njome trebala bi biti izuzeta iz područja primjene ove Direktive, ne dovodeći u pitanje poseban režim za subjekte u sektoru digitalne infrastrukture.

(9)Ako se odredbama drugih akata prava Unije od kritičnih subjekata zahtijeva da procjenjuju relevantne rizike, poduzimaju mjere kako bi se osigurala njihova otpornost ili obavješćuju o incidentima i ako su ti zahtjevi barem istovjetni odgovarajućim obvezama utvrđenima u ovoj Direktivi, ne bi se trebale primjenjivati relevantne odredbe ove Direktive kako bi se izbjegli udvostručavanje i nepotrebna opterećenja. U tom je slučaju potrebno primijeniti relevantne odredbe tih drugih akata. Ako se relevantne odredbe ove Direktive ne primjenjuju, ne bi se trebale primjenjivatini njezine odredbe o nadzoru i izvršenju. Države članice bi unatoč tome trebale uključiti sve sektore navedene u Prilogu u svoju strategiju za jačanje otpornosti kritičnih subjekata, procjenu rizika i mjere potpore u skladu s poglavljem II. te bi trebale moći utvrditi kritične subjekte u onim sektorima u kojima su ispunjeni primjenjivi uvjeti, uzimajući u obzir posebni režim za subjekte u sektorima bankarstva, infrastrukture financijskog tržišta i digitalne infrastrukture.

(10)Kako bi se osigurao sveobuhvatan pristup otpornosti kritičnih subjekata, svaka država članica trebala bi imati strategiju s ciljevima i mjerama politike koje treba provesti. Radi postizanja tog cilja države članice trebale bi osigurati da se njihovim strategijama za kibersigurnost osigurava okvir politike za bolju koordinaciju između nadležnog tijela iz ove Direktive i nadležnog tijela iz Direktive NIS 2 u kontekstu razmjene informacija o incidentima i kiberprijetnjama te izvršavanja nadzornih zadaća.

(11)Mjere država članica za utvrđivanje i pomoć u osiguravanju otpornosti kritičnih subjekata trebale bi slijediti pristup utemeljen na riziku kojim se napori usmjeravaju na subjekte najvažnije za obavljanje vitalnih društvenih funkcija ili gospodarskih djelatnosti. Kako bi se osigurao takav ciljani pristup, svaka bi država članica trebala u kontekstu usklađenog okvira provesti procjenu svih relevantnih prirodnih i ljudskim djelovanjem uzrokovanih rizika koji mogu utjecati na pružanje ključnih usluga, među ostalim nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja kao što su pandemije i neprijateljske prijetnje, uključujući kaznena djela terorizma. Pri provedbi tih procjena rizika države članice trebale bi uzeti u obzir ostale opće ili sektorske procjene rizika provedene u skladu s drugim aktima prava Unije te bi trebale razmotriti ovisnosti među sektorima, među ostalim i u drugim državama članicama i trećim zemljama. Rezultati procjene rizika trebali bi se koristiti u postupku utvrđivanja kritičnih subjekata i njima bi se trebalo pomoći tim subjektima u ispunjavanju zahtjeva u pogledu otpornosti iz ove Direktive.

(12)Kako bi se osiguralo da se ti zahtjevi primjenjuju na sve relevantne subjekte i kako bi se smanjile razlike u tom pogledu, važno je odrediti usklađena pravila kojima se jamči dosljedno utvrđivanje kritičnih subjekata širom Unije te istodobno omogućiti državama članicama da uzmu u obzir nacionalne posebnosti. Stoga je potrebno utvrditi kriterije za utvrđivanje kritičnih subjekata. Za potrebe učinkovitosti, djelotvornosti, dosljednosti i pravne sigurnosti potrebno je i utvrditi odgovarajuća pravila o obavješćivanju i suradnji koja se odnose na takvo utvrđivanje, kao i njegove pravne posljedice. Kako bi se Komisiji omogućilo da ocijeni pravilnu primjenu ove Direktive, države članice trebale bi joj na što detaljniji i konkretniji način dostaviti relevantne informacije te u svakom slučaju popis ključnih usluga, broj kritičnih subjekata utvrđenih za svaki sektor i podsektor iz Priloga, kao i ključne usluge ili usluge koje svaki subjekt pruža te sve primjenjive pragove.

(13)Trebali bi se uspostaviti i kriteriji za utvrđivanje važnosti negativnog učinka uzrokovanog takvim incidentima. Ti bi se kriteriji trebali temeljiti na kriterijima predviđenima Direktivom (EU) 2016/1148 Europskog parlamenta i Vijeća 21 kako bi se iskoristili napori država članica uloženi u utvrđivanje takvih subjekata i iskustvo stečeno u tom pogledu.

(14)Subjekti koji pripadaju sektoru digitalne infrastrukture uglavnom se zasnivaju na mrežnim i informacijskim sustavima i obuhvaćeni su područjem primjene Direktive NIS 2, koja se odnosi na fizičku sigurnost tih sustava u okviru njihovih obveza upravljanja kibersigurnosnim rizicima i izvješćivanja o njima. Budući da su ta pitanja obuhvaćena Direktivom NIS 2, obveze iz ove Direktive ne primjenjuju se na takve subjekte. Međutim, uzimajući u obzir važnost usluga koje pružaju subjekti u sektoru digitalne infrastrukture za pružanje drugih ključnih usluga, države članice trebale bi na temelju kriterija i primjenom postupka predviđenog ovom Direktivom na odgovarajući način utvrditi subjekte koji pripadaju sektoru digitalne infrastrukture koji bi se trebali smatrati istovjetnima kritičnim subjektima samo za potrebe poglavlja II., uključujući odredbu o potpori država članica u jačanju otpornosti tih subjekata. Stoga takvi subjekti ne bi trebali podlijegati obvezama utvrđenima u poglavljima od III. do VI. Budući da se obveze kritičnih subjekata utvrđene u poglavlju II. za pružanje određenih informacija nadležnim tijelima odnose na primjenu poglavlja III. i IV., na takve se subjekte ne bi trebale primjenjivati te obveze.

(15)Pravnom stečevinom EU-a o financijskim uslugama uspostavljaju se sveobuhvatni zahtjevi za financijske subjekte u pogledu upravljanja svim rizicima s kojima se suočavaju, uključujući operativne rizike i osiguravanje kontinuiteta poslovanja. To uključuje Uredbu (EU) br. 648/2012 Europskog parlamenta i Vijeća 22 , Direktivu 2014/65/EU Europskog parlamenta i Vijeća 23 te Uredbu (EU) br. 600/2014 Europskog parlamenta i Vijeća 24 , kao i Uredbu (EU) br. 575/2013 Europskog parlamenta i Vijeća 25 te Direktivu 2013/36/EU Europskog parlamenta i Vijeća 26 . Komisija je nedavno predložila da se taj okvir dopuni Uredbom XX/YYYY Europskog parlamenta i Vijeća [predložena Uredba o digitalnoj operativnoj otpornosti za financijski sektor (dalje u tekstu „Uredba DORA”)] 27 , kojom se utvrđuju zahtjevi za financijska društva za upravljanje rizicima u području IKT-a, uključujući zaštitu fizičkih infrastruktura IKT-a. Budući da je otpornost subjekata navedenih u točkama 3. i 4. Priloga u cijelosti obuhvaćena pravnom stečevinom EU-a o financijskim uslugama, ti bi se subjekti trebali smatrati istovjetnima kritičnim subjektima samo za potrebe poglavlja II. ove Direktive. Kako bi se osigurala dosljedna primjena pravila o operativnim rizicima i digitalnoj otpornosti u financijskom sektoru, tijela imenovana u skladu s člankom 41. [Uredba DORA] trebala bi u skladu s postupcima utvrđenima u tom zakonodavstvu na potpuno usklađen način osigurati potporu država članica u jačanju opće otpornosti financijskih subjekata istovjetnih kritičnim subjektima.

(16)Države članice trebale bi imenovati tijela nadležna za nadzor primjene i prema potrebi za provedbu pravila ove Direktive te bi trebale osigurati da ona budu prikladno ovlaštena i da raspolažu potrebnim resursima. S obzirom na razlike u nacionalnim upravljačkim strukturama i kako bi se zaštitila postojeća sektorska rješenja ili nadzorna i regulatorna tijela Unije te kako bi se izbjeglo udvostručavanje, države članice trebale bi moći imenovati više nadležnih tijela. No u tom bi slučaju ipak trebale jasno razgraničiti zadaće predmetnih tijela i osigurati njihovu neometanu i učinkovitu suradnju. Sva bi nadležna tijela trebala i općenito surađivati s drugim relevantnim tijelima, na nacionalnoj razini i na razini Unije.

(17)Kako bi se olakšala prekogranična suradnja i komunikacija te kako bi se omogućila učinkovita provedba ove Direktive, svaka bi država članica trebala, u sklopu jednog od nadležnih tijela imenovanih na temelju ove Direktive i ne dovodeći u pitanje sektorske pravne zahtjeve Unije, imenovati jedinstvenu kontaktnu točku odgovornu za koordinaciju pitanja povezanih s otpornošću kritičnih subjekata i prekograničnom suradnjom na razini Unije u tom pogledu.

(18)Budući da se na temelju Direktive NIS 2 na subjekte koji su utvrđeni kao kritični subjekti te na utvrđene subjekte iz sektora digitalne infrastrukture koji se smatraju istovjetnima kritičnim subjektima na temelju ove Direktive primjenjuju kibersigurnosni zahtjevi iz Direktive NIS 2, nadležna tijela imenovana na temelju tih dviju direktiva trebala bi surađivati, osobito u pogledu kibersigurnosnih rizika i incidenata koji utječu na te subjekte.

(19)Države članice trebale bi podržati kritične subjekte u jačanju njihove otpornosti, u skladu s njihovim obvezama iz ove Direktive, ne dovodeći u pitanje pravnu odgovornost subjekata da osiguravaju takvu usklađenost. Države članice mogle bi posebice izraditi smjernice i metodologije, poduprijeti organizaciju vježbi za testiranje njihove otpornost i osigurati osposobljavanje za osoblje kritičnih subjekata. Osim toga, s obzirom na međuovisnost subjekata i sektora, države članice trebale bi uspostaviti alate za dijeljenje informacija kako bi se poduprlo dobrovoljno dijeljenje informacija među kritičnim subjektima, ne dovodeći u pitanje primjenu pravila o tržišnom natjecanju utvrđenih u Ugovoru o funkcioniranju Europske unije.

(20)Kako bi se osigurala njihova otpornost, kritični subjekti trebali bi biti temeljito upoznati sa svim relevantnim rizicima kojima su izloženi te bi ih trebali analizirati. U tu bi svrhu prema potrebi trebali provoditi procjene rizika s obzirom na posebne okolnosti tih rizika i njihov razvoj, a u svakom slučaju svake četiri godine. Procjene rizika kritičnih subjekata trebale bi se temeljiti na procjeni rizika koju provode države članice.

(21)Ključni subjekti trebali bi poduzeti odgovarajuće organizacijske i tehničke mjere koje su razmjerne rizicima s kojima se suočavaju kako bi mogli spriječiti incidente, oduprijeti im se, ublažiti ih, apsorbirati, prilagoditi im se i oporaviti se od njih. Iako bi kritični subjekti trebali poduzeti mjere za sve točke navedene u ovoj Direktivi, detalji i opseg mjera trebali bi na odgovarajući i razmjeran način odražavati različite rizike koje svaki subjekt utvrdi u okviru svoje procjene rizika i posebnosti takvog subjekta.

(22)Radi učinkovitosti i odgovornosti, kritični subjekti trebali bi opisati takve mjere dovoljno detaljno kako bi se dostatno ostvarili ti ciljevi, uzimajući u obzir utvrđene rizike u planu za otpornost ili u dokumentu ili dokumentima koji su istovjetni planu za otpornost te bi trebali primjenjivati taj plan u praksi. Takav istovjetni dokument ili dokumenti mogu se sastaviti u skladu sa zahtjevima i normama izrađenima u okviru međunarodnih sporazuma o fizičkoj zaštiti čije su stranke države članice, uključujući prema potrebi Konvenciju o fizičkoj zaštiti nuklearnog materijala i nuklearnih postrojenja.

(23)Uredbom (EZ) br. 300/2008 Europskog parlamenta i Vijeća 28 , Uredbom (EZ) br. 725/2004 Europskog parlamenta i Vijeća 29 i Direktivom 2005/65/EZ Europskog parlamenta i Vijeća 30 utvrđuju se zahtjevi koji se primjenjuju na subjekte u zrakoplovnom sektoru i u sektoru pomorskog prometa kako bi se spriječili incidenti uzrokovani nezakonitim djelovanjem, kako bi se moglo oduprijeti posljedicama takvih incidenata te kako bi se ublažile takve posljedice. Iako su mjere koje su propisane ovom Direktivom šireg opsega u smislu rizika koji se ublažavaju i vrsta mjera koje je potrebno poduzeti, kritični subjekti u tim sektorima trebali bi u svojem planu za otpornost ili istovjetnim dokumentima navesti mjere poduzete u skladu s tim drugim aktima Unije. Usto, pri provedbi mjera za otpornost na temelju ove Direktive kritični subjekti mogu razmotriti upućivanje na neobvezujuće smjernice i dokumente o dobroj praksi izrađene u okviru sektorskih područja djelovanja, kao što je Platforma za sigurnost putnika u željezničkom prometu u EU-u 31 .

(24)Rizik da bi zaposlenici kritičnih subjekata zloupotrebljavali primjerice svoja prava pristupa unutar organizacije subjekta radi povrede i nanošenja štete sve više zabrinjava. Taj se rizik povećava s rastućom pojavom radikalizacije koja dovodi do nasilnog ekstremizma i terorizma. Stoga je potrebno omogućiti kritičnim subjektima da zatraže provjeru podobnosti osoba koje pripadaju posebnim kategorijama njihova osoblja i osigurati da nadležna tijela žurno ocijene te zahtjeve, u skladu s primjenjivim pravilima Unije i nacionalnim pravom, uključujući zaštitu osobnih podataka.

(25)U danim okolnostima kritični subjekti trebali bi u najkraćem razumnom roku obavijestiti nadležna tijela država članica o incidentima koji znatno narušavaju ili bi mogli znatno narušiti njihovo poslovanje. Obavijest bi trebala omogućiti nadležnim tijelima da brzo i prikladno odgovore na incidente te da imaju sveobuhvatan pregled ukupnih rizika s kojima se suočavaju kritični subjekti. U tu bi svrhu trebalo utvrditi postupak za obavješćivanje o određenim incidentima i trebalo bi predvidjeti parametre kojima će se odrediti kad je stvarni ili potencijalni poremećaj znatan pa bi trebalo obavijestiti o incidentima. S obzirom na moguće prekogranične učinke takvih poremećaja, države članice trebale bi utvrditi postupak obavješćivanja drugih pogođenih država članica putem jedinstvenih kontaktnih točaka.

(26)Iako kritični subjekti općenito djeluju kao dio sve povezanije mreže pružanja usluga i infrastruktura i često pružaju ključne usluge u više država članica, neki od tih subjekata od posebnog su značaja za Uniju jer pružaju ključne usluge velikom broju država članica te stoga zahtijevaju poseban nadzor na razini Unije. Zbog toga bi se trebala utvrditi pravila o posebnom nadzoru nad takvim kritičnim subjektima od posebnog europskog značaja. Ta pravila ne dovode u pitanje pravila o nadzoru i izvršenju utvrđena ovom Direktivom.

(27)Ako bilo koja država članica smatra da je potrebno osigurati dodatne informacije za savjetovanje kritičnog subjekta u ispunjavanju njegovih obveza iz poglavlja III. ili za procjenu usklađenosti kritičnog subjekta od posebnog europskog značaja s takvim obvezama, Komisija bi trebala u dogovoru s državom članicom u kojoj se nalazi infrastruktura tog subjekta organizirati savjetodavnu misiju za procjenu mjera koje je taj subjekt uveo. Kako bi se osiguralo pravilno provođenje takvih savjetodavnih misija, potrebno je uspostaviti dodatna pravila, posebno o njihovoj organizaciji i provedbi, potrebnim daljnjim mjerama i obvezama kritičnih subjekata od posebnog europskog značaja. Savjetodavne misije trebale bi se provoditi, ne dovodeći u pitanje nužnost države članice u kojoj se provodi savjetodavna misija i predmetnog subjekta da se pridržavaju pravila ove Direktive, u skladu s detaljnim pravilima prava te države članice, primjerice o točnim uvjetima koje je potrebno ispuniti za pristup relevantnim prostorima ili dokumentima te o sudskoj zaštiti. Posebna stručna znanja potrebna za takve misije mogla bi se prema potrebi zatražiti putem Koordinacijskog centra za odgovor na hitne situacije.

(28)Kako bi se pružila potpora Komisiji i olakšala strateška suradnja i razmjena informacija, među ostalim i najbolje prakse, o pitanjima koja se odnose na ovu Direktivu trebalo bi osnovati Skupinu za otpornost kritičnih subjekata, koja je stručna skupina Komisije. Države članice trebale bi nastojati osigurati učinkovitu i djelotvornu suradnju imenovanih predstavnika svojih nadležnih tijela u Skupini za otpornost kritičnih subjekata. Skupina bi trebala početi izvršavati svoje zadaće od šest mjeseci nakon stupanja na snagu ove Direktive kako bi se osigurali dodatni načini najprikladnije suradnje tijekom razdoblja prenošenja Direktive.

(29)Kako bi se ostvarili ciljevi ove Direktive i ne dovodeći u pitanje pravnu odgovornost država članica i kritičnih subjekata da osiguravaju poštovanje njihovih obveza utvrđenih Direktivom, Komisija bi prema potrebi trebala pokrenuti određene aktivnosti potpore namijenjene olakšavanju poštovanja tih obveza. Pri pružanju potpore državama članicama i kritičnim subjektima u provedbi obveza iz ove Direktive Komisija bi se trebala oslanjati na postojeće strukture i alate, kao što su oni u okviru Mehanizma Unije za civilnu zaštitu i Europske referentne mreže za zaštitu kritične infrastrukture.

(30)Države članice trebale bi se pobrinuti da njihova nadležna tijela imaju određene posebne ovlasti za pravilnu primjenu i provedbu ove Direktive u odnosu na kritične subjekte ako ta tijela potpadaju pod njihovu nadležnost kako je navedeno u ovoj Direktivi. Te bi ovlasti posebice trebale uključivati ovlast provođenja inspekcija, nadzora i revizija, zahtijevanja od kritičnih subjekata da dostave informacije i dokaze koji se odnose na mjere koje su poduzeli kako bi ispunili svoje obveze te prema potrebi izdavanja naloga za otklanjanje utvrđenih povreda. Pri izdavanju takvih naloga države članice ne bi trebale zahtijevati mjere koje prelaze ono što je potrebno i razmjerno kako bi se osigurala usklađenost predmetnog kritičnog subjekta, osobito uzimajući u obzir ozbiljnost povrede i gospodarski kapacitet kritičnog subjekta. Općenito, te bi ovlasti trebale biti popraćene odgovarajućim i učinkovitim zaštitnim mjerama koje se utvrđuju nacionalnim pravom, u skladu sa zahtjevima koji proizlaze iz Povelje Europske unije o temeljnim pravima. Pri procjeni usklađenosti kritičnog subjekta s njegovim obvezama iz ove Direktive nadležna tijela imenovana na temelju ove Direktive trebala bi moći zatražiti od nadležnih tijela imenovanih na temelju Direktive NIS 2 da procijene kibersigurnost tih subjekata. Ta bi nadležna tijela trebala surađivati i razmjenjivatiinformacije u tu svrhu.

(31)Kako bi se uzeli u obzir novi rizici, tehnološki razvoj ili posebnosti jednog ili više sektora, Komisiji bi se trebala delegirati ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije radi dopune mjera za otpornost koje bi trebali poduzeti kritični subjekti daljnjim određivanjem nekih ili svih tih mjera. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. 32 Konkretno, radi osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kad i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(32)Radi osiguravanja jedinstvenih uvjeta za provedbu ove Direktive, provedbene ovlasti trebalo bi dodijeliti Komisiji. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća 33 .

(33)Budući da ciljeve ove Direktive, to jest osiguravanje pružanja usluga na unutarnjem tržištu koje su ključne za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti i jačanje otpornosti kritičnih subjekata koji pružaju takve usluge, ne mogu dostatno ostvariti države članice, nego se zbog učinka djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u navedenom članku 5., ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(34)Direktivu 2008/114/EZ stoga bi trebalo staviti izvan snage,

DONIJELI SU OVU DIREKTIVU:

POGLAVLJE I.
Predmet, područje primjene i definicije

Članak 1.
Predmet i područje primjene

1.Ovom se Direktivom:

(a)utvrđuju obveze država članica da poduzmu određene mjere kako bi se osiguralo pružanje usluga na unutarnjem tržištu koje su ključne za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti, posebice da se utvrde kritični subjekti i subjekti koji se smatraju istovjetnima kritičnim subjektima u određenim aspektima i da im se omogući ispunjavanje njihovih obveza;

(b)utvrđuju obveze kritičnih subjekata usmjerene na jačanje njihove otpornosti i poboljšanje njihove mogućnosti pružanja tih usluga na unutarnjem tržištu;

(c)utvrđuju pravila o nadzoru i izvršenju u pogledu kritičnih subjekata te posebni nadzor nad kritičnim subjektima za koje se smatra da su od posebnog europskog značaja.

2.Ova se Direktiva ne primjenjuje na pitanja obuhvaćena Direktivom (EU) XX/YY [predložena Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije; („Direktiva NIS 2”)], ne dovodeći u pitanje članak 7.

3.Ako se odredbama sektorskih akata prava Unije od kritičnih subjekata zahtijeva poduzimanje mjera utvrđenih u poglavlju III. i ako su ti zahtjevi barem istovjetni obvezama utvrđenima u ovoj Direktivi, ne primjenjuju se relevantne odredbe ove Direktive, uključujući odredbe o nadzoru i izvršavanju utvrđene u poglavlju VI.

4.Ne dovodeći u pitanje članak 346. UFEU-a, informacije koje se smatraju povjerljivima u skladu s pravilima Unije i nacionalnim pravilima, kao što su pravila o poslovnoj tajni, ustupaju se Komisiji i drugim relevantnim tijelima samo kad je takva razmjena nužna za primjenu ove Direktive. Razmijenjene informacije ograničene su na ono što je relevantno i razmjerno svrsi te razmjene. Pri razmjeni informacija čuva se njihova povjerljivost te se štite sigurnost i komercijalni interesi kritičnih subjekata.

Članak 2.
Definicije

Za potrebe ove Direktive primjenjuju se sljedeće definicije:

(1)„kritični subjekt” znači javni ili privatni subjekt vrste navedene u Prilogu kojeg je država članica utvrdila kao takvog u skladu s člankom 5.;

(2)„otpornost” znači sposobnost sprečavanja incidenta koji narušava ili može narušiti poslovanje kritičnog subjekta, odupiranja takvom incidentu, njegova ublažavanja i apsorpcije te prilagodbe na taj incident i oporavak od njega;

(3)„incident” znači svaki događaj koji može narušiti ili narušava poslovanje kritičnog subjekta;

(4) „infrastruktura” znači resurs, sustav ili njegov dio koji je potreban za pružanje ključne usluge;

(5) „ključna usluga” znači usluga koja je ključna za održavanje vitalnih društvenih funkcija ili gospodarskih djelatnosti;

(6)„rizik” znači svaka okolnost ili događaj koji ima potencijalan negativni učinak na otpornost kritičnih subjekata;

(7)„procjena rizika” znači metodologija za određivanje vrste i opsega rizika analizom mogućih prijetnji i opasnosti te procjenom postojećih uvjeta u smislu ranjivosti koji bi mogli narušiti poslovanje kritičnog subjekta.

Poglavlje II.
Nacionalni okviri za otpornost kritičnih subjekata

Članak 3.
Strategija za otpornost kritičnih subjekata

1.Svaka država članica do [tri godine nakon stupanja na snagu ove Direktive] donosi strategiju za jačanje otpornosti kritičnih subjekata. U toj se strategiji utvrđuju strateški ciljevi i mjere politike radi postizanja i održavanja visoke razine otpornosti tih kritičnih subjekata, koji obuhvaćaju barem sektore iz Priloga.

2.Strategija sadržava najmanje sljedeće elemente:

(a)strateške ciljeve i prioritete u svrhu jačanja opće otpornosti kritičnih subjekata uzimajući u obzir prekogranične i međusektorske međuovisnosti;

(b)upravljački okvir za postizanje strateških ciljeva i prioriteta, uključujući opis uloga i odgovornosti različitih tijela, kritičnih subjekata i drugih strana uključenih u provedbu strategije;

(c)opis mjera potrebnih za jačanje opće otpornosti kritičnih subjekata, uključujući nacionalnu procjenu rizika, utvrđivanje kritičnih subjekata i subjekata istovjetnih kritičnim subjektima, kao i mjere za potporu kritičnim subjektima poduzete u skladu s ovim poglavljem;

(d)okvir politike za bolju koordinaciju između nadležnih tijela imenovanih u skladu s člankom 8. ove Direktive i u skladu s [Direktivom NIS 2] u svrhu dijeljenja informacija o incidentima i kiberprijetnjama te izvršavanja nadzornih zadaća.

Strategija se ažurira prema potrebi, a najmanje svake četiri godine.

3.Države članice obavješćuju Komisiju o svojim strategijama i svim njihovim ažuriranjima u roku od tri mjeseca od njihova donošenja.

Članak 4.
Procjena rizika koju provode države članice

1.Nadležna tijela imenovana u skladu s člankom 8. sastavljaju popis ključnih usluga u sektorima iz Priloga. Do [tri godine nakon stupanja na snagu ove Direktive] te zatim prema potrebi, a najmanje svake četiri godine, provode procjenu svih relevantnih rizika koji mogu utjecati na pružanje tih ključnih usluga, radi utvrđivanja kritičnih subjekata u skladu s člankom 5. stavkom 1. i pomaganja tim kritičnim subjektima da poduzmu mjere u skladu s člankom 11.

U procjeni rizika uzimaju se u obzir svi relevantni prirodni i ljudskim djelovanjem uzrokovani rizici, među ostalim nesreće, prirodne katastrofe, izvanredna stanja u području javnog zdravlja, neprijateljske prijetnje, uključujući kaznena djela terorizma u skladu s Direktivom (EU) 2017/541 Europskog parlamenta i Vijeća 34 .

2.Pri provođenju procjene rizika, države članice uzimaju u obzir najmanje:

(a)opću procjenu rizika provedenu u skladu s člankom 6. stavkom 1. Odluke br. 1313/2013/EU Europskog parlamenta i Vijeća 35 ;

(b)druge relevantne procjene rizika provedene u skladu sa zahtjevima relevantnih sektorskih akata prava Unije, uključujući Uredbu (EU) 2019/941 Europskog parlamenta i Vijeća 36 i Uredbu (EU) 2017/1938 Europskog parlamenta i Vijeća 37 ;

(c)sve rizike koji proizlaze iz ovisnosti među sektorima navedenima u Prilogu, među ostalim iz drugih država članica i trećih zemalja te utjecaj koji poremećaj u jednom sektoru može imati na druge sektore;

(d)sve informacije o incidentima koji su prijavljeni u skladu s člankom 13.

Za potrebe točke (c) prvog podstavka države članice prema potrebi surađuju s nadležnim tijelima drugih država članica i trećih zemalja.

3.Države članice stavljaju relevantne elemente procjene rizika iz stavka 1. na raspolaganje kritičnim subjektima utvrđenima u skladu s člankom 5. kako bi pomogle tim kritičnim subjektima u provođenju procjene rizika u skladu s člankom 10. te u poduzimanju mjera za osiguravanje njihove otpornosti u skladu s člankom 11.

4.Svaka država članica dostavlja Komisiji podatke o vrstama utvrđenih rizika i rezultatima procjena rizika, po sektorima i podsektorima iz Priloga, do [tri godine nakon stupanja na snagu ove Direktive] te zatim prema potrebi, a najmanje svake četiri godine.

5.U suradnji s državama članicama Komisija može izraditi dobrovoljni zajednički predložak za izvješćivanje u svrhu usklađivanja sa stavkom 4.

Članak 5.
Utvrđivanje kritičnih subjekata

1.Do [tri godine i tri mjeseca nakon stupanja na snagu ove Direktive] države članice utvrđuju kritične subjekte za svaki sektor i podsektor iz Priloga, osim točaka 3., 4. i 8.

2.Pri utvrđivanju kritičnih subjekata u skladu sa stavkom 1. države članice uzimaju u obzir rezultate procjene rizika u skladu s člankom 4. i primjenjuju sljedeće kriterije:

(a)subjekt pruža jednu ili više ključnih usluga;

(b)pružanje te usluge ovisi o infrastrukturi koja se nalazi u državi članici; i

(c)incident bi imao znatne negativne učinke na pružanje usluge ili drugih ključnih usluga u sektorima iz Priloga koji ovise o takvoj usluzi.

3.Svaka država članica sastavlja popis utvrđenih kritičnih subjekata i osigurava da se te kritične subjekte obavijesti da su utvrđeni kao kritični subjekti u roku od mjesec dana od takvog utvrđivanja te ih obavješćuje o njihovim obvezama u skladu s poglavljima II. i III. i datumu od kojeg se na njih primjenjuju odredbe tih poglavlja.

Za predmetne kritične subjekte odredbe ovog poglavlja primjenjuju se od datuma obavijesti, dok se odredbe poglavlja III. primjenjuju šest mjeseci nakon tog datuma.

4.Države članice osiguravaju da njihova nadležna tijela imenovana u skladu s člankom 8. ove Direktive obavijeste nadležna tijela koja su države članice imenovale u skladu s člankom 8. [Direktive NIS 2] o identitetu kritičnih subjekata koji su utvrđeni na temelju ovog članka u roku od mjesec dana od takvog utvrđivanja.

5.Nakon slanja obavijesti iz stavka 3., države članice osiguravaju da kritični subjekti svojim nadležnim tijelima imenovanima u skladu s člankom 8. ove Direktive dostave informacije o tome jesu li utvrđeni kao kritični subjekti u jednoj ili više drugih država članica. Ako su dvije ili više država članica utvrdile da je subjekt kritičan, one se međusobno savjetuju kako bi se smanjilo opterećenje za kritični subjekt u pogledu obveza iz poglavlja III.

6.Za potrebe poglavlja IV. države članice osiguravaju da kritični subjekti, nakon primanja obavijesti iz stavka 3., svojim nadležnim tijelima imenovanima u skladu s člankom 8. ove Direktive dostave informacije o tome pružaju li ključne usluge za ili u više od jedne trećine država članica. U tom slučaju predmetna država članica bez nepotrebne odgode obavješćuje Komisiju o identitetu tih kritičnih subjekata.

7.Države članice prema potrebi, a u svakom slučaju najmanje svake četiri godine, preispituju i ako je potrebno ažuriraju popis utvrđenih kritičnih subjekata.

Ako se tim ažuriranjima utvrde dodatni kritični subjekti, primjenjuju se stavci 3., 4., 5. i 6. Usto, države članice osiguravaju da su subjekti koji se nakon svakog takvog ažuriranja više ne smatraju kritičnim subjektima o tome obaviješteni te da im se priopći da od primitka tih informacija više ne podliježu obvezama iz poglavlja III.

Članak 6.
Znatan negativan učinak

1.Pri utvrđivanju važnosti negativnog učinka iz članka 5. stavka 2. točke (c) države članice uzimaju u obzir sljedeće kriterije:

(a)broj korisnika koji se oslanjaju na usluge koje pruža subjekt;

(b)ovisnost drugih sektora iz Priloga o tim uslugama;

(c)stupanj i trajanje učinaka koje bi incidenti mogli imati na gospodarske i društvene aktivnosti te na okoliš i javnu sigurnost;

(d)tržišni udio subjekta na tržištu tih usluga;

(e)zemljopisno područje na koje bi incident mogao utjecati, uključujući sve prekogranične učinke;

(f)važnost subjekta u održavanju dostatne razine usluge, uzimajući u obzir raspoloživost alternativnih načina pružanja te usluge.

2.Države članice do [tri godine i tri mjeseca nakon stupanja na snagu ove Direktive] Komisiji dostavljaju sljedeće informacije:

(a)popis usluga iz članka 4. stavka 1.;

(b)broj kritičnih subjekata utvrđenih za svaki sektor i podsektor iz Priloga te uslugu ili usluge iz članka 4. stavka 1. koje pruža svaki subjekt;

(c)sve pragove koji se primjenjuju za određivanje jednog ili više kriterija iz stavka 1.

Nakon toga države članice te informacije dostavljaju prema potrebi ili najmanje svake četiri godine.

3.Nakon savjetovanja sa Skupinom za otpornost kritičnih subjekata Komisija može donijeti smjernice kako bi olakšala primjenu kriterija iz stavka 1., uzimajući u obzir informacije iz stavka 2.

Članak 7.
Subjekti istovjetni kritičnim subjektima na temelju ovog poglavlja

1. Kad je riječ o sektorima iz točaka 3., 4. i 8. Priloga, države članice do [tri godine i tri mjeseca nakon stupanja na snagu ove Direktive] utvrđuju subjekte koji se smatraju istovjetnima kritičnim subjektima za potrebe ovog poglavlja. One u vezi s tim subjektima primjenjuju odredbe članaka 3. i 4., članka 5. stavaka od 1. do 4. i 7. te članka 9.

2. U odnosu na subjekte iz sektora navedenih u točkama 3. i 4. Priloga utvrđenih u skladu sa stavkom 1. države članice osiguravaju da za potrebe primjene članka 8. stavka 1. tijela imenovana kao nadležna nadležna su tijela imenovana u skladu s člankom 41. [Uredbe DORA].

3. Države članice osiguravaju da se subjekte iz stavka 1. bez nepotrebne odgode obavijesti da su utvrđeni kao subjekti iz ovog članka.

Članak 8.
Nadležna tijela i jedinstvena kontaktna točka

1.Svaka država članica imenuje jedno ili više nadležnih tijela koja su odgovorna za pravilnu primjenu i prema potrebi provedbu pravila ove Direktive na nacionalnoj razini („nadležno tijelo”). Države članice mogu imenovati postojeće tijelo ili postojeća tijela.

Ako imenuju više tijela, jasno utvrđuju zadaće predmetnih tijela i osiguravaju njihovu učinkovitu suradnju kako bi ispunili svoje zadaće na temelju ove Direktive, među ostalim u pogledu imenovanja i aktivnosti jedinstvene kontaktne točke iz stavka 2.

2.Svaka država članica u okviru nadležnog tijela imenuje jedinstvenu kontaktnu točku koja izvršava funkciju povezivanja kako bi se osigurala prekogranična suradnja s nadležnim tijelima drugih država članica i sa Skupinom za otpornost kritičnih subjekata iz članka 16. („jedinstvena kontaktna točka”).

3.Do [tri godine i šest mjeseci nakon stupanja na snagu ove Direktive], a nakon toga svake godine, jedinstvene kontaktne točke podnose Komisiji i Skupni za otpornost kritičnih subjekata sažeto izvješće o primljenim obavijestima, uključujući broj obavijesti, prirodu prijavljenih incidenata i mjere poduzete u skladu s člankom 13. stavkom 3.

4.Svaka država članica osigurava da nadležno tijelo, uključujući jedinstvenu kontaktnu točku koja je imenovana u okviru tog tijela, ima ovlasti i odgovarajuće financijske, ljudske i tehničke resurse za učinkovito i djelotvorno izvršavanje zadaća koje su mu dodijeljene.

5.Države članice osiguravaju da se njihova nadležna tijela, prema potrebi i u skladu s pravom Unije i nacionalnim pravom, savjetuju s drugim relevantnim nacionalnim tijelima i surađuju s njima, posebno onima zaduženima za civilnu zaštitu, izvršavanje zakonodavstva i zaštitu osobnih podataka, kao i s relevantnim zainteresiranim stranama, uključujući kritične subjekte.

6.Države članice osiguravaju da njihova nadležna tijela imenovana u skladu s ovim člankom surađuju s nadležnim tijelima imenovanima u skladu s [Direktivom NIS 2] po pitanju kibersigurnosnih rizika i kiberincidenata koji utječu na kritične subjekte, kao i mjera koje poduzimaju nadležna tijela imenovana na temelju [Direktive NIS 2] relevantnih za kritične subjekte.

7.Svaka država članica obavješćuje Komisiju o imenovanju nadležnog tijela i jedinstvene kontaktne točke u roku od tri mjeseca od imenovanja, uključujući njihove precizne zadaće i odgovornosti na temelju ove Direktive, njihove podatke za kontakt i sve naknadne promjene. Svaka država članica objavljuje imenovanje nadležnog tijela i jedinstvene kontaktne točke.

8.Komisija objavljuje popis jedinstvenih kontaktnih točaka država članica.

Članak 9.
Potpora država članica kritičnim subjektima

1.Države članice podupiru kritične subjekte u jačanju njihove otpornosti. Ta potpora može uključivati izradu smjernica i metodologija, potporu pri organiziranju vježbi za testiranje njihove otpornosti i osposobljavanje za osoblje kritičnih subjekata.

2.Države članice osiguravaju da nadležna tijela surađuju i razmjenjuju informacije i dobru praksu s kritičnim subjektima u sektorima iz Priloga.

3.Države članice uspostavljaju alate za dijeljenje informacija kako bi se pružila potpora dobrovoljnom dijeljenju informacija među kritičnim subjektima o pitanjima obuhvaćenima ovom Direktivom, u skladu s pravom Unije i nacionalnim pravom, osobito u području tržišnog natjecanja i zaštite osobnih podataka.

Poglavlje III.
Otpornost kritičnih subjekata

Članak 10.
Procjena rizika koju provode kritični subjekti

Države članice osiguravaju da kritični subjekti u roku od šest mjeseci nakon primitka obavijesti iz članka 5. stavka 3. te zatim prema potrebi, a najmanje svake četiri godine, na temelju procjena rizika država članica i drugih relevantnih izvora informacija procjenjuju sve relevantne rizike koji mogu poremetiti njihovo poslovanje.

U procjeni rizika uzimaju se u obzir svi relevantni rizici iz članka 4. stavka 1. koji bi mogli izazvati poremećaj u pružanju ključnih usluga. Njome se uzima u obzir svaka ovisnost drugih sektora iz Priloga o ključnoj usluzi koju pruža kritični subjekt, prema potrebi i u susjednim državama članicama i trećim zemljama, te učinak koji bi poremećaj u pružanju ključnih usluga u jednom ili više tih sektora mogao imati na ključnu uslugu koju pruža kritični subjekt.

Članak 11.
Mjere za otpornost kritičnih subjekata

1.Države članice osiguravaju da kritični subjekti poduzimaju odgovarajuće i razmjerne tehničke i organizacijske mjere kako bi se osigurala njihova otpornost, uključujući mjere potrebne za:

(a)sprečavanje nastanka incidenata, među ostalim s pomoću mjera za smanjenje rizika od katastrofa i mjera za prilagodbu klimatskim promjenama;

(b)odgovarajuću fizičku zaštitu osjetljivih područja, objekata i druge infrastrukture, uključujući ograde, pregrade, alate i rutinske postupke za nadzor područja, kao i opremu za otkrivanje i kontrolu pristupa;

(c)odupiranje posljedicama incidenata i ublažavanje takvih posljedica, uključujući provedbu postupaka i protokola za upravljanje rizicima i kriznim situacijama te rutinske postupke upozoravanja;

(d)oporavak od nezgoda, uključujući mjere za kontinuitet poslovanja i utvrđivanje alternativnih lanaca opskrbe;

(e)osiguravanje odgovarajućeg upravljanja sigurnošću zaposlenika, među ostalim utvrđivanjem kategorija osoblja koje obavlja kritične funkcije, utvrđivanjem prava na pristup osjetljivim područjima, objektima i drugoj infrastrukturi, kao i osjetljivim informacijama te utvrđivanjem posebnih kategorija osoblja s obzirom na članak 12.;

(f)informiranje relevantnog osoblja o mjerama navedenima u točkama od (a) do (e).

2.Države članice osiguravaju da su kritični subjekti uspostavili plan za otpornost ili istovjetni dokument ili dokumente u kojima se detaljno opisuju mjere u skladu sa stavkom 1. te da ih primjenjuju. Ako su kritični subjekti poduzeli mjere u skladu s obvezama sadržanima u drugim aktima prava Unije koji su isto tako relevantni za mjere iz stavka 1., one opisuju i te mjere u planu za otpornost ili u istovjetnom dokumentu ili dokumentima.

3.Na zahtjev države članice koja je utvrdila kritični subjekt i uz suglasnost predmetnog kritičnog subjekta Komisija u skladu s aranžmanima utvrđenima u članku 15. stavcima 4., 5., 7. i 8. organizira savjetodavne misije u svrhu savjetovanja predmetnog kritičnog subjekta u ispunjavanju njegovih obveza u skladu s poglavljem III. Nalazi savjetodavne misije dostavljaju se Komisiji, toj državi članici i predmetnom kritičnom subjektu.

4.Komisija je ovlaštena donositi delegirane akte u skladu s člankom 21., kojim se dopunjuje stavak 1. utvrđivanjem detaljnih pravila kojima se određuju neke ili sve mjere koje je potrebno poduzeti u skladu s tim stavkom. Ona donosi delegirane akte u mjeri u kojoj je to potrebno za učinkovitu i dosljednu primjenu tog stavka u skladu s ciljevima ove Direktive, uzimajući u obzir sve relevantne promjene u rizicima, tehnologiji ili pružanju predmetnih usluga, kao i sve posebnosti koje se odnose na određene sektore i vrste subjekata.

5.Komisija donosi provedbene akte radi utvrđivanja potrebnih tehničkih i metodoloških specifikacija koje se odnose na primjenu mjera iz stavka 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 20. stavka 2.

Članak 12.
Provjere podobnosti

1.Države članice osiguravaju kritičnim subjektima mogućnost podnošenja zahtjeva za provjeru podobnosti osoba koje pripadaju određenim posebnim kategorijama njihova osoblja, uključujući osobe koje se razmatraju za zapošljavanje na položaje u tim kategorijama, te da tijela koja su nadležna za provođenje takvih provjera podobnosti žurno ocjenjuju te zahtjeve.

2.U skladu s primjenjivim pravom Unije i nacionalnim pravom, uključujući Uredbu (EU) 2016/679/EU Europskog parlamenta i Vijeća 38 , provjerom podobnosti iz stavka 1.:

(a)utvrđuje se identitet osobe na temelju dokumentiranog dokaza;

(b)obuhvaćaju se sve kaznene evidencije od najmanje prethodnih pet godina, a najviše deset godina, o kaznenim djelima relevantnima za zapošljavanje na određeni položaj, u državi članici ili državama članicama državljanstva osobe i u svim državama članicama ili trećim zemljama boravišta tijekom tog razdoblja;

(c)obuhvaćaju se prethodna zaposlenja, obrazovanje i svi prekidi u obrazovanju ili zapošljavanju u životopisu osobe tijekom najmanje prethodnih pet godina i najviše deset godina.

U pogledu točke (b) prvog podstavka, države članice osiguravaju da njihova tijela nadležna za provedbu provjera podobnosti dobiju informacije o kaznenim evidencijama iz drugih država članica putem ECRIS-a u skladu s postupcima utvrđenima u Okvirnoj odluci Vijeća 2009/315/PUP i prema potrebi Uredbom (EU) 2019/816 Europskog parlamenta i Vijeća 39 . Središnja tijela iz članka 3. te okvirne odluke i članka 3. stavka 5. te uredbe dostavljaju odgovore na zahtjeve za takve informacije u roku od deset radnih dana od datuma primitka zahtjeva.

3.U skladu s primjenjivim pravom Unije i nacionalnim pravom, uključujući Uredbu (EU) 2016/679, svaka država članica osigurava da se provjera podobnosti iz stavka 1. može proširiti, na temelju opravdanog zahtjeva kritičnog subjekta, i na upotrebu obavještajnih podataka, kao i svih drugih dostupnih objektivnih informacija koje bi mogle biti potrebne za utvrđivanje podobnosti predmetne osobe za rad na položaju za koji je kritični subjekt zatražio proširenu provjeru podobnosti.

Članak 13.
Obavješćivanje o incidentima

1.Države članice osiguravaju da kritični subjekti bez nepotrebne odgode obavijeste nadležno tijelo o incidentima koji znatno narušavaju ili bi mogli znatno narušiti njihovo poslovanje. Obavijesti uključuju sve dostupne informacije koje su potrebne kako bi nadležno tijelo moglo razumjeti prirodu, uzrok i moguće posljedice incidenta, među ostalim i kako bi moglo utvrditi sve prekogranične učinke incidenta. Zbog takve obavijesti kritični subjekti neće podlijegati povećanoj odgovornosti.

2.Kako bi se utvrdila važnost poremećaja ili mogućeg poremećaja u poslovanju kritičnog subjekta koji je posljedica incidenta, posebice se uzimaju u obzir sljedeći parametri:

(a)broj korisnika pogođenih poremećajem ili mogućim poremećajem;

(b)trajanje poremećaja ili predviđeno trajanje mogućeg poremećaja;

(c)zemljopisno područje pogođeno poremećajem ili mogućim poremećajem.

3.Na temelju informacija koje je kritični subjekt dostavio u obavijesti, nadležno tijelo putem svoje jedinstvene kontaktne točke obavješćuje jedinstvenu kontaktnu točku drugih pogođenih država članica ako incident ima ili može imati znatan utjecaj na kritične subjekte i kontinuitet pružanja ključnih usluga u jednoj ili u više drugih država članica.

Pritom jedinstvene kontaktne točke u skladu s pravom Unije ili nacionalnim pravom koje je usklađeno s pravom Unije postupaju s informacijama na način kojim se poštuje njihova povjerljivost i štitite sigurnost i komercijalni interes predmetnog kritičnog subjekta.

4.U najkraćem roku nakon obavješćivanja u skladu sa stavkom 1. nadležno tijelo dostavlja kritičnom subjektu koji ga je obavijestio relevantne informacije koje se odnose na daljnje postupanje po njegovoj obavijesti, uključujući informacije kojima bi se moglo pridonijeti učinkovitom odgovoru kritičnog subjekta na incident.

Poglavlje IV.
Posebni nadzor nad kritičnim subjektima od posebnog europskog značaja

Članak 14.
Ključni subjekti od posebnog europskog značaja

1.Ključni subjekti od posebnog europskog značaja podliježu posebnom nadzoru u skladu s ovim poglavljem.

2.Subjekt se smatra kritičnim subjektom od posebnog europskog značaja ako je utvrđen kao kritični subjekt i pruža ključne usluge više od jednoj trećini država članica ili u više od jedne trećine država članica te je Komisija obaviještena o tome u skladu s člankom 5. stavkom 1. odnosno stavkom 6.

3.Nakon primitka obavijesti u skladu s člankom 5. stavkom 6. Komisija bez nepotrebne odgode obavješćuje predmetni subjekt da se smatra kritičnim subjektom od posebnog europskog značaja, kao i o njegovim obvezama u skladu s ovim poglavljem i o datumu od kojeg se na njega primjenjuju takve obveze.

Odredbe ovog poglavlja primjenjuju se na predmetni kritični subjekt od posebnog europskog značaja od datuma primitka te obavijesti.

Članak 15.
Posebni nadzor

1.Na zahtjev jedne ili više država članica ili Komisije država članica u kojoj se nalazi infrastruktura kritičnog subjekta od posebnog europskog značaja zajedno s tim subjektom obavješćuje Komisiju i Skupinu za otpornost kritičnih subjekata o rezultatima procjene rizika provedene u skladu s člankom 10. i o mjerama poduzetima u skladu s člankom 11.

Ta država članica bez nepotrebne odgode isto tako obavješćuje Komisiju i Skupinu za otpornost kritičnih subjekata o svim nadzornim ili izvršnim mjerama, uključujući sve procjene usklađenosti ili izdane naloge, koje je njezino nadležno tijelo poduzelo u skladu s člancima 18. i 19. u pogledu tog subjekta.

2.Na zahtjev jedne ili više država članica ili na vlastitu inicijativu te u dogovoru s državom članicom u kojoj se nalazi infrastruktura kritičnog subjekta od posebnog europskog značaja Komisija organizira savjetodavnu misiju za procjenu mjera koje je taj subjekt uveo kako bi ispunio svoje obveze u skladu s poglavljem III. Savjetodavne misije mogu prema potrebi zatražiti posebna stručna znanja u području upravljanja rizicima od katastrofa putem Koordinacijskog centra za odgovor na hitne situacije.

3.Nalazi savjetodavne misije dostavljaju se Komisiji, Skupini za otpornost kritičnih subjekata i kritičnom subjektu od posebnog europskog značaja u roku od tri mjeseca nakon zaključenja savjetodavne misije.

Skupina za otpornost kritičnih subjekata analizira, obavješćuje i ako je potrebno savjetuje Komisiju o tome ispunjava li kritični subjekt od posebnog europskog značaja svoje obveze u skladu s poglavljem III. i, prema potrebi, koje se mjere mogu poduzeti radi poboljšanja otpornosti tog subjekta.

Komisija, na temelju takvih savjeta dostavlja svoja stajališta državi članici u kojoj se nalazi infrastruktura tog subjekta, Skupini za otpornost kritičnih subjekata i tom subjektu o tome ispunjava li navedeni subjekt svoje obveze u skladu s poglavljem III. i, prema potrebi, koje se mjere mogu poduzeti radi poboljšanja otpornosti tog subjekta.

Ta država članica uzima u obzir takva stajališta i dostavlja Komisiji i Skupini za otpornost kritičnih subjekata informacije o svim mjerama koje je poduzela u skladu s komunikacijom.

4.Svaka savjetodavna misija sastoji se od stručnjaka iz država članica i predstavnika Komisije. Države članice mogu predložiti kandidate za sudjelovanje u savjetodavnoj misiji. Komisija odabire i imenuje članove svake savjetodavne misije u skladu s njihovim stručnim sposobnostima te osigurava zemljopisno uravnoteženu zastupljenost među državama članicama. Komisija snosi troškove sudjelovanja u savjetodavnoj misiji.

Komisija organizira program savjetodavne misije uz savjetovanje s članovima određene savjetodavne misije i u dogovoru s državom članicom u kojoj se nalazi infrastruktura kritičnog subjekta ili kritičnog subjekta od europskog značaja.

5.Komisija donosi provedbeni akt kojim se utvrđuju pravila o postupovnim aranžmanima za provođenje savjetodavnih misija i izvješćivanje o njima. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 20. stavka 2.

6.Države članice osiguravaju da predmetni kritični subjekt od posebnog europskog značaja omogući savjetodavnoj misiji pristup svim informacijama, sustavima i objektima povezanima s pružanjem ključnih usluga potrebnih za obavljanje njegovih zadaća.

7.Savjetodavna misija provodi se u skladu s primjenjivim nacionalnim pravom države članice u kojoj se nalazi ta infrastruktura.

8.Pri organizaciji savjetodavnih misija Komisija uzima u obzir izvješća o svim inspekcijama koje je provela u skladu s Uredbom (EZ) br. 300/2008 i Uredbom (EZ) br. 725/2004 i prema potrebi izvješća o svim praćenjima koja je provela na temelju Direktive 2005/65/EZ u pogledu kritičnog subjekta ili kritičnog subjekta od posebnog europskog značaja.

Poglavlje V.
Suradnja i izvješćivanje

Članak 16.
Skupina za otpornost kritičnih subjekata

1.Skupina za otpornost kritičnih subjekata osniva se s učinkom od [šest mjeseci nakon stupanja na snagu ove Direktive]. Ona podupire Komisiju i olakšava stratešku suradnju i razmjenu informacija o pitanjima koja se odnose na ovu Direktivu.

2.Skupine za otpornost kritičnih subjekata čine predstavnici država članica i Komisije. Ako je to potrebno za obavljanje njezinih zadaća, Skupina za otpornost kritičnih subjekata može pozvati predstavnike zainteresiranih strana da sudjeluju u njezinu radu.

Skupinom za otpornost kritičnih subjekata predsjeda predstavnik Komisije.

3.Zadaće su Skupine za otpornost kritičnih subjekata:

(a)podupiranje Komisije pri pružanju pomoći državama članicama u jačanju njihove sposobnosti da pridonesu osiguravanju otpornosti kritičnih subjekata u skladu s ovom Direktivom;

(b)evaluacija strategija za otpornost kritičnih subjekata iz članka 3. i utvrđivanje najbolje prakse u pogledu tih strategija;

(c)olakšavanje razmjene najbolje prakse u pogledu utvrđivanja kritičnih subjekata koje provode države članice u skladu s člankom 5., među ostalim u vezi s prekograničnim ovisnostima te rizicima i incidentima;

(d)doprinos pripremi smjernica iz članka 6. stavka 3. i na zahtjev svih delegiranih i provedbenih akata na temelju ove Direktive;

(e)provjera, na godišnjoj osnovi, sažetih izvješća iz članka 8. stavka 3.;

(f)razmjena najbolje prakse o razmjeni informacija koje se odnose na obavješćivanje o incidentima iz članka 13.;

(g)analiza izvješća savjetodavnih misija i savjetovanje u tom pogledu u skladu s člankom 15. stavkom 3.;

(h)razmjena informacija i najbolje prakse u pogledu istraživanja i razvoja u vezi s otpornosti kritičnih subjekata u skladu s ovom Direktivom;

(i)prema potrebi, razmjena informacija o pitanjima povezanima s otpornošću kritičnih subjekata s relevantnim institucijama, tijelima, uredima i agencijama Unije.

4.Do [24 mjeseca od stupanja na snagu ove Direktive], a nakon toga svake dvije godine, Skupina za otpornost kritičnih subjekata sastavlja program rada u pogledu mjera koje bi trebala poduzeti radi provedbe svojih ciljeva i zadaća, a koje moraju biti u skladu sa zahtjevima i ciljevima ove Direktive.

5.Skupina za otpornost kritičnih subjekata sastaje se redovito, a najmanje jednom godišnje, sa skupinom za suradnju osnovanom na temelju [Direktive NIS 2] radi promicanja strateške suradnje i razmjene informacija.

6.Komisija može donijeti provedbene akte kojima se utvrđuju postupovni aranžmani potrebni za funkcioniranje Skupine za otpornost kritičnih subjekata. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 20. stavka 2.

7.Komisija dostavlja Skupini za otpornost kritičnih subjekata sažeto izvješće o informacijama koje su dostavile države članice u skladu s člankom 3. stavkom 3. i člankom 4. stavkom 4. do [tri godine i šest mjeseci nakon stupanja na snagu ove Direktive] te zatim prema potrebi, a najmanje svake četiri godine.

Članak 17.
Potpora Komisije nadležnim tijelima i kritičnim subjektima

1.Komisija prema potrebi podupire države članice i kritične subjekte u ispunjavanju njihovih obveza iz ove Direktive, posebno pripremom pregleda, na razini Unije, prekograničnih i međusektorskih rizika za pružanje ključnih usluga, organiziranjem savjetodavnih misija iz članka 11. stavka 3. i članka 15. stavka 3. te olakšavanjem razmjene informacija među stručnjacima širom Unije.

2.Komisija dopunjuje aktivnosti država članica iz članka 9. razvojem najbolje prakse i metodologija te pripremom prekograničnih aktivnosti osposobljavanja i vježbi za testiranje otpornosti kritičnih subjekata.

Poglavlje VI.
NADZOR I IZVRŠENJE

Članak 18.
Provedba i izvršenje

1.Kako bi se procijenila usklađenost subjekata koje su države članice utvrdile kao kritične subjekte u skladu s člankom 5. s obvezama iz ove Direktive, države članice osiguravaju da nadležna tijela imaju ovlasti i sredstva za:

(a)provođenje izravnog nadzora prostora koje kritični subjekti upotrebljavaju za pružanje ključnih usluga i provođenje neizravnog nadzora mjera kritičnih subjekata u skladu s člankom 11.;

(b)provođenje ili izdavanje naloga za reviziju u pogledu tih subjekata.

2.Države članice osiguravaju da nadležna tijela imaju ovlasti i sredstva da od subjekata koji su utvrđeni kao kritični subjekti u skladu sa stavkom 5. zatraže, ako je to potrebno za obavljanje njihovih zadaća na temelju ove Direktive, da u razumnom roku koji odrede ta tijela dostave:

(a)informacije potrebne za procjenu ispunjavaju li mjere koje su ti subjekti poduzeli kako bi osigurali svoju otpornost zahtjeve iz članka 11.;

(b)dokaze o učinkovitoj provedbi tih mjera, uključujući rezultate revizije koju provodi kvalificirani neovisni revizor kojeg odabire taj subjekt i koja se provodi o njegovu trošku.

Pri traženju takvih informacija nadležna tijela navode svrhu zahtjeva i informacije koje su potrebne.

3.Ne dovodeći u pitanje mogućnost izricanja kazni u skladu s člankom 19., nadležna tijela mogu, nakon provođenja nadzornih mjera iz stavka 1. ili procjene informacija iz stavka 2., naložiti predmetnim kritičnim subjektima da u razumnom roku koji odrede ta tijela poduzmu potrebne i razmjerne mjere za otklanjanje svake utvrđene povrede ove Direktive te da im dostave informacije o poduzetim mjerama. U tim se nalozima posebice uzima u obzir ozbiljnost povrede.

4.Država članica osigurava da se ovlasti iz stavaka 1., 2. i 3. mogu izvršavati samo uz primjenu odgovarajućih zaštitnih mjera. Te zaštitne mjere posebice jamče da se takvo izvršavanje odvija objektivno, transparentno i razmjerno te da su prava i legitimni interesi pogođenih kritičnih subjekata propisno zaštićeni, uključujući njihova prava na saslušanje, obranu i na djelotvoran pravni lijek pred neovisnim sudom.

5.Države članice osiguravaju da, kada nadležno tijelo ocijeni usklađenost kritičnog subjekta u skladu s ovim člankom, ono o tome obavješćuje nadležna tijela predmetne države članice imenovana na temelju [Direktive NIS 2], od kojih mogu zatražiti da ocijene kibersigurnost takvog subjekta te da u tu svrhu surađuju i razmjenjuju informacije.

Članak 19.
Sankcije

Države članice utvrđuju pravila o sankcijama koje se primjenjuju na povrede nacionalnih odredaba donesenih na temelju ove Direktive i poduzimaju sve potrebne mjere radi osiguravanja njihove provedbe. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće. Države članice o tim odredbama obavješćuju Komisiju [najkasnije dvije godine nakon stupanja na snagu ove Direktive] te joj bez odgode priopćuju sve naknadne izmjene koje na njih utječu.

Poglavlje VII.
ZAVRŠNE ODREDBE

Članak 20.
Postupak odbora

1.Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Članak 21.
Izvršavanje delegiranja ovlasti

1.Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji prema uvjetima utvrđenima u ovom članku.

2.Ovlast za donošenje delegiranih akata iz članka 11. stavka 4. dodjeljuje se Komisiji na razdoblje od pet godina počevši od datuma stupanja na snagu ove Direktive ili bilo kojeg drugog datuma koji odrede suzakonodavci.

3.Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 11. stavka 4. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4.Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5.Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6.Delegirani akt donesen na temelju članka 11. stavka 4. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.

Članak 22.
Izvješćivanje i preispitivanje

Komisija do [54 mjeseca nakon stupanja na snagu ove Direktive] Europskom parlamentu i Vijeću podnosi izvješće o primjeni ove Direktive u kojem se procjenjuje u kojoj su mjeri države članice poduzele nužne mjere za usklađivanje s ovom Direktivom.

Komisija periodično preispituje funkcioniranje ove Direktive i izvješćuje Europski parlament i Vijeće. U izvješću se posebno procjenjuje učinak i dodana vrijednost ove Direktive u pogledu osiguravanja otpornosti kritičnih subjekata te je li potrebno proširiti područje primjene Direktive kako bi se obuhvatili drugi sektori ili podsektori. Prvo izvješće podnosi se do [šest godina nakon stupanja na snagu ove Direktive] i u njemu se posebno procjenjuje je li potrebno proširiti područje primjene Direktive na sektor proizvodnje, prerade i distribucije hrane.

Članak 23.
Stavljanje izvan snage Direktive 2008/114/EZ

Direktiva 2008/114/EZ stavlja se izvan snage s učinkom od [datum stupanja na snagu ove Direktive].

Članak 24.
Prenošenje

1.Države članice najkasnije do [18 mjeseci nakon stupanja na snagu ove Direktive] donose i objavljuju zakone i druge propise koji su potrebni radi usklađivanja s ovom Direktivom . One Komisiji odmah dostavljaju tekst tih odredaba.

One primjenjuju te odredbe od [dvije godine nakon stupanja na snagu ove Direktive + jedan dan].

Kada države članice donose te odredbe, one sadržavaju upućivanje na ovu Direktivu ili se na nju upućuje prilikom njihove službene objave. Države članice određuju načine tog upućivanja.

2.Države članice Komisiji dostavljaju tekst glavnih odredaba nacionalnog prava koje donesu u području na koje se odnosi ova Direktiva.

Članak 25.
Stupanje na snagu

Ova Direktiva stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Članak 26.
Adresati

Ova je Direktiva upućena državama članicama.

Sastavljeno u Bruxellesu,

Za Europski parlament Za Vijeće

Predsjednik Predsjednik

ZAKONODAVNI FINANCIJSKI IZVJEŠTAJ

1.OKVIR PRIJEDLOGA/INICIJATIVE

1.1.Naslov prijedloga/inicijative

DIREKTIVA EUROPSKOG PARLAMENTA I VIJEĆA

o otpornosti kritičnih subjekata

1.2.Predmetna područja politike

Sigurnost

1.3.Prijedlog/inicijativa odnosi se na:

◻ novo djelovanje

◻ novo djelovanje nakon pilot-projekta/pripremnog djelovanja 40

☑ produženje postojećeg djelovanja

◻ spajanje ili preusmjeravanje jednog ili više djelovanja u drugo/novo djelovanje

1.4.Ciljevi

1.4.1.Opći ciljevi

Operatori kritične infrastrukture pružaju usluge u brojnim sektorima (kao što su promet, energetika, zdravstvo, voda itd.) koji su potrebni za vitalne društvene funkcije i gospodarske djelatnosti. Operatori stoga moraju biti otporni, odnosno dobro zaštićeni, ali isto tako moraju moći brzo ponovno započeti s poslovanjem u slučaju poremećaja.

Opći je cilj prijedloga povećati otpornost tih operatora (dalje u tekstu „kritični subjekti”) na niz prirodnih i ljudskim djelovanjem uzrokovanih namjernih ili nenamjernih rizika.

1.4.2.Posebni ciljevi

Inicijativom se nastoje ostvariti četiri posebna cilja:

– osigurati bolje razumijevanje rizika i međuovisnosti s kojima se suočavaju kritični subjekti, kao i načine za njihovo razmatranje,

– osigurati da tijela država članica označe sve relevantne subjekte kao „kritične subjekte”,

– osigurati uključivanje punog spektra aktivnosti otpornosti u javne politike i operativnu praksu,

– ojačati kapacitete i poboljšati suradnju i komunikaciju među dionicima.

Tim će se ciljevima pridonijeti ostvarivanju općeg cilja inicijative.

1.4.3.Očekivani rezultati i učinak

Navesti očekivane učinke prijedloga/inicijative na ciljane korisnike/skupine.

Očekuje se da će inicijativa imati pozitivne učinke na sigurnost kritičnih subjekata, koji bi bili otporniji na rizike i poremećaje. Mogli bi bolje ublažavati rizike, suočavati se s mogućim poremećajima i umanjiti negativne utjecaje u slučaju incidenta.

Bolja otpornost kritičnih subjekata isto tako znači da će njihovo poslovanje biti pouzdanije te da će se njihove usluge u mnogim vitalnim sektorima pružati kontinuirano, pridonoseći tako neometanom funkcioniranju unutarnjeg tržišta. To će pozitivno utjecati na opću javnost i poduzeća jer se oni u svojim svakodnevnim aktivnostima oslanjaju na te usluge.

Javna tijela također bi imala koristi od stabilnosti koja proizlazi iz neometanog funkcioniranja ključnih gospodarskih djelatnosti i stalnog pružanja ključnih usluga svojim građanima.

1.4.4.Pokazatelji uspješnosti

Navesti pokazatelje za praćenje napretka i postignuća.

Pokazatelji za praćenje napretka i postignuća bit će povezani s posebnim ciljevima inicijative:

– broj i opseg procjena rizika koje provode tijela i kritični subjekti poslužit će ključnim akterima za bolje razumijevanje rizika,

– broj „kritičnih subjekata” koje su utvrdile države članice bit će odraz sveobuhvatnosti opsega politika kritične infrastrukture,

– uključivanje otpornosti u javne politike i operativnu praksu odrazit će se na nacionalne strategije i mjere za otpornost kritičnih subjekata,

– poboljšanja u pogledu kapaciteta i suradnje ocjenjivat će se na temelju aktivnosti izgradnje kapaciteta i razvijenih inicijativa za suradnju.

1.5.Osnova prijedloga/inicijative

1.5.1.Zahtjevi koje treba ispuniti u kratkoročnom ili dugoročnom razdoblju, uključujući detaljan vremenski plan provedbe inicijative

Kako bi ispunile zahtjeve inicijative, države članice morat će u kratkom i srednjem roku razviti strategiju za otpornost kritičnih subjekata; provesti nacionalnu procjenu rizika i utvrditi koji su operatori „kritični subjekti” na temelju rezultata procjene rizika i posebnih kriterija. Te će se aktivnosti provoditi redovito prema potrebi, a najmanje jednom svake četiri godine. Države članice morat će uspostaviti i mehanizme za suradnju relevantnih dionika.

Operatori koji su označeni kao „kritični subjekti” trebali bi, u kratkom i srednjem roku, provesti vlastitu procjenu rizika; poduzeti odgovarajuće i razmjerne tehničke i organizacijske mjere kako bi se osigurala njihova otpornost i obavijestiti nadležna tijela o incidentima.

1.5.2.Dodana vrijednost sudjelovanja Unije (može proizlaziti iz različitih čimbenika, npr. prednosti koordinacije, pravne sigurnosti, veće djelotvornosti ili komplementarnosti). Za potrebe ove točke „dodana vrijednost sudjelovanja Unije” vrijednost je koja proizlazi iz intervencije Unije i predstavlja dodatnu vrijednost u odnosu na vrijednost koju bi države članice inače ostvarile same.

Razlozi za djelovanje na europskoj razini (ex ante):

cilj je ove inicijative povećati otpornost kritičnih subjekata na niz rizika. Taj cilj ne može se dostatno ostvariti samostalnim djelovanjem država članica: djelovanje EU-a opravdano je zbog zajedničke prirode rizika s kojima se kritični subjekti suočavaju; transnacionalnog karaktera usluga koje pružaju te međuovisnosti i povezanosti među njima (među sektorima i preko granica). To znači da slabost ili poremećaj u radu samo jednog objekta može izazvati međusektorske i prekogranične poremećaje.

Očekivana dodana vrijednost Unije (ex post):

u usporedbi s trenutačnim stanjem predloženom inicijativom ostvarit će se dodana vrijednost, posebice:

– uspostavljanjem općeg okvira kojim bi se promicalo bolje usklađivanje politika država članica (dosljedno sektorsko područje primjene, kriteriji za određivanje kritičnih subjekata, zajednički zahtjevi u pogledu procjena rizika),

– osiguravanjem da kritični subjekti poduzmu odgovarajuće mjere za otpornost,

– objedinjavanjem znanja i stručnosti iz cijelog EU-a, čime bi se optimizirao odgovor kritičnih subjekata i tijela,

– smanjivanjem razlika među državama članicama i povećanjem otpornosti kritičnih subjekata širom EU-a.

1.5.3.Pouke iz prijašnjih sličnih iskustava

Prijedlog se temelji na poukama iz provedbe Direktive o europskoj kritičnoj infrastrukturi (Direktiva 2008/114/EZ) i njezine evaluacije (SWD(2019) 308).

1.5.4.Usklađenost s višegodišnjim financijskim okvirom i moguće sinergije s drugim prikladnim instrumentima

Ovaj prijedlog jedna je od glavnih sastavnica nove strategije EU-a za sigurnosnu uniju, čiji je cilj postizanje sigurnosnog okruženja za budućnost.

Sinergije se mogu razviti s Mehanizmom Unije za civilnu zaštitu u pogledu sprečavanja i ublažavanja katastrofa te upravljanja njima.

1.6.Trajanje i financijski učinak prijedloga/inicijative

◻ ograničeno trajanje

◻ na snazi od [DD/MM]GGGG do [DD/MM]GGGG

◻ financijski učinak od GGGG do GGGG za odobrena sredstva za preuzete obveze i od GGGG do GGGG za odobrena sredstva za plaćanje

☑ neograničeno trajanje

·provedba s razdobljem uspostave od 2021. do 2027.,

·nakon čega slijedi redovna provedba.

1.7.Predviđeni načini upravljanja 41

☑ izravno upravljanje koje provodi Komisija

☑ putem svojih službi, uključujući osoblje u delegacijama Unije

◻ putem izvršnih agencija

☑ podijeljeno upravljanje s državama članicama

◻ neizravno upravljanje povjeravanjem zadaća izvršenja proračuna

◻ trećim zemljama ili tijelima koja su one odredile

◻ međunarodnim organizacijama i njihovim agencijama (navesti)

◻ EIB-u i Europskom investicijskom fondu

◻ tijelima iz članaka 70. i 71. Financijske uredbe

◻ tijelima javnog prava

◻ tijelima uređenima privatnim pravom koja pružaju javne usluge u mjeri u kojoj daju odgovarajuća financijska jamstva

◻ tijelima uređenima privatnim pravom države članice kojima je povjerena provedba javno-privatnog partnerstva i koja daju odgovarajuća financijska jamstva

◻ osobama kojima je povjerena provedba određenih djelovanja u području ZVSP-a u skladu s glavom V. UEU-a i koje su navedene u odgovarajućem temeljnom aktu.

Ako je navedeno više načina upravljanja, potrebno je pojasniti u odjeljku „Napomene”.

Napomene

Izravno upravljanje prvenstveno će obuhvaćati: administrativne troškove Glavne uprave za unutarnje poslove (Glavne uprave HOME), administrativni dogovor sa Zajedničkim istraživačkim centrom (JRC), bespovratna sredstva kojima upravlja Komisija.

Podijeljeno upravljanje obuhvaćat će: projekte u okviru podijeljenog upravljanja: države članice morat će razviti strategiju i postupke procjene rizika, a u te svrhe mogu koristiti svoje nacionalne omotnice.

2.MJERE UPRAVLJANJA

2.1.Pravila praćenja i izvješćivanja

Navesti učestalost i uvjete.

Prema Prijedlogu uredbe Europskog parlamenta i Vijeća o uspostavi, u okviru Fonda za unutarnju sigurnost, instrumenta Unije namijenjenog području sigurnosti (COM(2018) 472 final):

podijeljeno upravljanje:

svaka država članica uspostavlja sustave upravljanja i kontrole za svoj program i osigurava kvalitetu i pouzdanost sustava praćenja i podataka o pokazateljima, u skladu s Uredbom o zajedničkim odredbama (CPR). Kako bi se olakšao brzi početak provedbe, postojeći sustavi upravljanja i kontrole koji dobro funkcioniraju mogu se „prenijeti” na sljedeće programsko razdoblje.

U tom kontekstu od država članica tražit će se osnivanje odbora za praćenje u kojem Komisija može sudjelovati u savjetodavnoj ulozi. Odbor za praćenje sastaje se barem jednom godišnje. On preispituje sve probleme koji utječu na napredak programa prema ostvarenju njegovih ciljeva.

Države članice slat će godišnje izvješće o uspješnosti u kojem bi trebale biti navedene informacije o napretku u provedbi programa i ostvarenju ključnih etapa i ciljeva. Ono bi trebalo uključivati i sve probleme koji utječu na uspješnost programa i opis mjera poduzetih za njihovo rješavanje.

Na kraju razdoblja svaka država članica podnosi konačno izvješće o uspješnosti. Konačno izvješće trebalo bi se usredotočiti na ostvareni napredak prema postizanju ciljeva programa i u njemu bi trebalo dati pregled ključnih problema koji su utjecali na uspješnost programa, mjera poduzetih za njihovo rješavanje i ocjenu učinkovitosti tih mjera. Nadalje, u izvješću bi trebalo opisati doprinos programa prevladavanju izazova utvrđenih u relevantnim preporukama EU-a upućenima državi članici, napredak u pogledu ostvarenja ciljeva utvrđenih u okviru uspješnosti, zaključke relevantnih evaluacija i mjere poduzete u pogledu tih zaključaka te rezultate komunikacijskih aktivnosti.

U skladu s nacrtom prijedloga Uredbe o zajedničkim odredbama države članice svake godine šalju jamstveni paket koji uključuje godišnje financijske izvještaje, izjavu o upravljanju i mišljenje revizijskog tijela o izvještajima, godišnjim izvještajima o kontroli kako je propisano člankom 92. stavkom 1. točkom (d) Uredbe o zajedničkim odredbama, sustavu upravljanja i kontrole i zakonitosti i pravilnosti rashoda prijavljenih u godišnjim financijskim izvještajima. Komisija će upotrebljavati taj jamstveni paket kako bi utvrdila iznos koji se može naplatiti od Fonda za obračunsku godinu.

Svake dvije godine organizira se revizijski sastanak između Komisije i svake države članice na kojem će se ispitivati uspješnost svakog programa.

Države članice šest puta godišnje šalju podatke za svaki program raščlanjene prema posebnim ciljevima. Ti podaci odnose se na trošak operacija i vrijednosti zajedničkih pokazatelja ostvarenja i rezultata.

Općenito:

Komisija obavlja evaluaciju mjera provedenih u okviru tog Fonda na sredini provedbenog razdoblja te retrospektivnu evaluaciju, u skladu s Uredbom o zajedničkim odredbama. Evaluacija u sredini razdoblja trebala bi se posebno temeljiti na evaluaciji programa u sredini programskog razdoblja koju države članice dostave Komisiji do 31. prosinca 2024.

2.2.Sustavi upravljanja i kontrole

2.2.1.Obrazloženje načina upravljanja, mehanizama provedbe financiranja, načina plaćanja i predložene strategije kontrole

Prema Prijedlogu uredbe Europskog parlamenta i Vijeća o uspostavi, u okviru Fonda za unutarnju sigurnost, instrumenta Unije namijenjenog području sigurnosti (COM(2018) 472 final):

ex post evaluacije fondova Glavne uprave HOME za razdoblje 2007.–2013. i evaluacije na sredini provedbenog razdoblja trenutačnih fondova Glavne uprave HOME pokazuju da je kombinacijom načina provedbe u područjima migracija i unutarnjih poslova omogućen učinkovit način ostvarivanja ciljeva fondova. Zadržava se cjelovitost mehanizama provedbe koji uključuju podijeljeno, izravno i neizravno upravljanje.

U okviru podijeljenog upravljanja države članice provode programe kojima se pridonosi ciljevima politike Unije, koji su prilagođeni njihovu nacionalnom kontekstu. Podijeljenim upravljanjem osigurava se dostupnost financijske potpore u svim državama sudionicama. Nadalje, podijeljenim upravljanjem omogućuje se predvidljivost financiranja, a državama članicama koje su najupoznatije s izazovima s kojima se suočavaju planiranje njihovih dugoročnih doprinosa. Novost je da se iz Fonda može pružati i hitna pomoć u okviru podijeljenog upravljanja, uz izravno i neizravno upravljanje.

Komisija izravnim upravljanjem podupire druge mjere kojima se pridonosi zajedničkim ciljevima politike Unije. Mjere omogućuju prilagođenu potporu za hitne i posebne potrebe u pojedinim državama članicama („hitna pomoć”), njima se podupiru transnacionalne mreže i aktivnosti, ispituju inovativne aktivnosti koje bi se mogle povećati u okviru nacionalnih programa i obuhvaćaju studije u interesu Unije u cjelini („mjere Unije”).

U okviru neizravnog upravljanja Fond zadržava mogućnost delegiranja zadaća provedbe proračuna u određene svrhe na, među ostalim, međunarodne organizacije i agencije za unutarnje poslove.

Imajući na umu različite ciljeve i potrebe, u okviru Fonda predlaže se tematski instrument kao način uspostavljanja ravnoteže između predvidljivosti višegodišnje dodjele sredstava nacionalnim programima i fleksibilnosti u pogledu povremene isplate sredstava za djelovanja koja imaju visoku dodanu vrijednost za Uniju. Tematski instrument upotrebljavat će se za posebne mjere u državama članicama i među njima, za mjere Unije i hitnu pomoć. Njime će se osigurati da se sredstva mogu dodjeljivati i prenositi između prethodno opisanih različitih načina provedbe na temelju dvogodišnjeg programskog ciklusa.

Načini plaćanja za podijeljeno upravljanje opisani su u nacrtu prijedloga Uredbe o zajedničkim odredbama u kojem je predviđeno godišnje predfinanciranje, nakon kojeg slijede najviše četiri međuplaćanja po programu i godini na temelju zahtjeva za plaćanje koje države članice šalju tijekom računovodstvene godine. U skladu s nacrtom prijedloga Uredbe o zajedničkim odredbama predfinanciranje se poravnava na kraju zadnje računovodstvene godine programa.

Strategija kontrole temeljit će se na novoj Financijskoj uredbi i Uredbi o zajedničkim odredbama. Novom Financijskom uredbom i nacrtom prijedloga Uredbe o zajedničkim odredbama trebala bi se proširiti upotreba pojednostavnjenih oblika bespovratnih sredstava, kao što su paušalni iznosi, fiksni iznosi i jedinični troškovi. Uvode se i novi oblici plaćanja na temelju ostvarenih rezultata umjesto na temelju troškova. Korisnici će moći dobiti fiksni iznos novca ako dokažu da su provedene određene mjere, kao što su tečajevi osposobljavanja ili isporuka humanitarne pomoći. Očekuje se da će se time pojednostavniti teret kontrole na razini korisnika i države članice (npr. provjere računa i primitaka za troškove).

U odnosu na podijeljeno upravljanje, nacrt prijedloga Uredbe o zajedničkim odredbama temelji se na strategiji upravljanja i kontrole koja je postojala za programsko razdoblje 2014.–2020., ali se uvode neke mjere usmjerene na pojednostavnjenje provedbe i smanjenje tereta kontrole na razini korisnika i država članica. Novosti uključuju:

– uklanjanje postupka određivanja (čime bi se trebalo omogućiti ubrzavanje provedbe programa),

– provjere upravljanja (administrativne i na licu mjesta) koje će obavljati upravljačko tijelo na temelju procjene rizika (u usporedbi sa 100 % administrativnih kontrola koje su se zahtijevale u programskom razdoblju 2014.–2020.). Nadalje, u skladu s određenim uvjetima, upravljačka tijela mogu primjenjivati proporcionalne sustave kontrole u skladu s nacionalnim postupcima,

– uvjeti za izbjegavanje višestrukih revizija iste operacije/rashoda.

Programska tijela podnosit će Komisiji zahtjeve za međuplaćanje na temelju rashoda koji su nastali korisnicima. Nacrtom prijedloga Uredbe o zajedničkim odredbama dopušta se upravljačkim tijelima da obavljaju provjere upravljanja na temelju rizika te se predviđaju i posebne kontrole (npr. kontrole upravljačkog tijela na licu mjesta i revizije operacija/rashoda koje obavlja tijelo za reviziju) nakon što se povezani rashodi prijave Komisiji u zahtjevima za međuplaćanje. Kako bi se umanjio rizik od nadoknade neprihvatljivih rashoda, u nacrtu Uredbe o zajedničkim odredbama predviđeno je da se međuplaćanja Komisije ograniče na 90 % jer je u ovom trenutku proveden samo dio nacionalnih kontrola. Komisija će platiti preostali iznos nakon godišnjeg poravnanja računa, po primitku jamstvenog paketa od programskih tijela. Sve nepravilnosti koje Komisija ili Europski revizorski sud uoče nakon dostavljanja godišnjeg jamstvenog paketa mogu dovesti do neto financijskih ispravaka.

Za dio koji se provodi izravnim upravljanjem u okviru tematskog instrumenta, sustav upravljanja i kontrole temeljit će se na iskustvu povezanom s djelovanjima Unije i hitnom pomoći stečenom u razdoblju 2014.–2020. Uspostavit će se pojednostavnjeni program koji će omogućiti brzu obradu zahtjeva za financiranje uz istodobno smanjenje rizika od pogreške: podnositelji zahtjeva koji ispunjavaju uvjete bit će ograničeni na države članice i međunarodne organizacije, financiranje će se temeljiti na pojednostavnjenim mogućnostima obračuna troškova, izradit će se standardni predlošci za zahtjeve za financiranje, sporazume o bespovratnim sredstvima/doprinosima i izvješćivanje, a stalni odbor za evaluaciju razmotrit će zahtjeve čim budu zaprimljeni.

2.2.2.Informacije o utvrđenim rizicima i uspostavljenim sustavima unutarnje kontrole za ublažavanje rizika

Glavna uprava HOME nije se susrela s važnim rizicima od pogrešaka u svojim programima potrošnje. To potvrđuju i godišnja izvješća Revizorskog suda u kojima redovito nema značajnih nalaza.

U okviru podijeljenog upravljanja opći rizici povezani s provedbom trenutačnih programa odnose se na nedostatnu provedbu Fonda u državama članicama i moguće pogreške koje nastaju zbog složenosti pravila i nedostataka u sustavima upravljanja i kontrole. Nacrtom uredbe o zajedničkim odredbama pojednostavnjuje se regulatorni okvir usklađivanjem pravila i sustava upravljanja i kontrole u različitim fondovima koji se provode u okviru podijeljenog upravljanja. Njime se pojednostavnjuju i zahtjevi za kontrolu koji se razlikuju prema rizicima (npr. provjere upravljanja na temelju rizika, mogućnost proporcionalnih sustava kontrole na temelju nacionalnih postupaka, ograničenja revizijskih aktivnosti u pogledu rokova i/ili posebnih operacija).

2.2.3.Procjena i obrazloženje troškovne učinkovitosti kontrola (omjer „troškova kontrole i vrijednosti sredstava kojima se upravlja”) i procjena očekivane razine rizika od pogreške (pri plaćanju i pri zaključenju)

Komisija izvješćuje o omjeru troškova nadzora i vrijednosti povezanih sredstava kojima se upravlja. U godišnjem izvješću o radu Glavne uprave HOME za 2019. navedeno je 0,72 % za taj omjer u odnosu na podijeljeno upravljanje, 1,31 % za bespovratna sredstva pod izravnim upravljanjem i 6,05 % za javnu nabavu pod izravnim upravljanjem. Za podijeljeno upravljanje taj se postotak obično smanjuje tijekom vremena s povećanjem učinkovitosti provedbe programa i povećanjem plaćanja država članica.

Očekuje se da će se trošak kontrola za države članice dodatno smanjiti uvođenjem pristupa upravljanju i kontroli koji se temelji na riziku u nacrtu Uredbe o zajedničkim odredbama i pojačanim poticajem na prihvaćanje pojednostavnjenih mogućnosti financiranja (SCO).

U godišnjem izvješće o radu za 2019. navodi se kumulativna stopa preostale pogreške od 1,57 % za nacionalne programe u okviru Fonda za azil i migracije (FAMI) i Fonda za unutarnju sigurnost (FUS) te kumulativna stopa preostale pogreške od 4,11 % za bespovratna sredstva pod izravnim upravljanjem koja nisu namijenjena istraživanju.

2.3.Mjere za sprečavanje prijevara i nepravilnosti

Navesti postojeće ili predviđene mjere za sprečavanje i zaštitu, npr. iz strategije za borbu protiv prijevara.

Glavna uprava HOME nastavit će provoditi svoju strategiju za borbu protiv prijevara u skladu s Komisijinom strategijom za borbu protiv prijevara (CAFS) kako bi se, među ostalim, osiguralo da su unutarnje kontrole Komisije povezane s borbom protiv prijevara usklađene s tom strategijom i da je njezin pristup upravljanju rizikom od prijevara osmišljen tako da omogućuje utvrđivanje područja s rizikom od prijevare i odgovarajućih rješenja.

Kad je riječ o podijeljenom upravljanju, države članice osiguravaju zakonitost i pravilnost rashoda navedenih u financijskim izvještajima podnesenima Komisiji. U tom kontekstu države članice poduzimaju sve potrebne mjere za sprečavanje, otkrivanje i ispravljanje nepravilnosti. Kao i u trenutačnom programskom ciklusu 2014.–2020. države članice obvezne su uspostaviti postupke za otkrivanje nepravilnosti i borbu protiv prijevara u kombinaciji s posebnom delegiranom uredbom Komisije o izvješćivanju o nepravilnostima. Mjere borbe protiv prijevara i dalje će biti horizontalno načelo i obveza svih država članica.

3.PROCIJENJENI FINANCIJSKI UČINAK PRIJEDLOGA/INICIJATIVE

3.1.Naslovi višegodišnjeg financijskog okvira i proračunske linije rashoda na koje prijedlog/inicijativa ima učinak

(1) Nove proračunske linije

Prema redoslijedu naslova višegodišnjeg financijskog okvira i proračunskih linija.

Naslov višegodišnjeg financijskog okvira	Proračunska linija	Vrsta rashoda	Doprinos
	Naslov br. 5: Otpornost, sigurnost i obrana	dif./nedif. 42	zemalja EFTA-e 43	zemalja kandidatkinja 44	trećih zemalja	u smislu članka 21. stavka 2. točke (b) Financijske uredbe
5	12.02.01 – „Fond za unutarnju sigurnost”	dif.	NE	NE	DA	NE
5	12 01 01 – Rashodi za potporu „Fondu za unutarnju sigurnost”	nedif.	NE	NE	DA	NE

Napomena:

potrebno je napomenuti da su odobrena sredstva za poslovanje zatražena u kontekstu prijedloga obuhvaćena odobrenim sredstvima koja su već predviđena u Zakonodavnom financijskom izvještaju na kojem se temelji Uredba o FUS-u.

U kontekstu ovog zakonodavnog prijedloga potrebni su dodatni financijski i ljudski resursi.

3.2.Procijenjeni financijski učinak prijedloga na odobrena sredstva

3.2.1.Sažetak procijenjenog učinka na odobrena sredstva za poslovanje

◻ Za prijedlog/inicijativu nisu potrebna odobrena sredstva za poslovanje.

☑Za prijedlog/inicijativu potrebna su sljedeća odobrena sredstva za poslovanje:

U milijunima EUR (do 3 decimalna mjesta)

Naslov višegodišnjeg financijskog
okvira

Otpornost, sigurnost i obrana

GU: HOME

2021.

2022.

2023.

2024.

2025.

2026.

2027.

Nakon 2027.

UKUPNO

• Odobrena sredstva za poslovanje

Proračunska linija 12 02 01 za Fond za unutarnju sigurnost

Obveze

(1a)

0,124

4,348

5,570

6,720

7,020

7,020

7,020

37,822

Plaćanja

(2a)

0,540

4,323

5,357

5,403

5,403

5,403

5,403

5,989

37,822

Administrativna odobrena sredstva koja se financiraju iz omotnice za posebne programe 45

Proračunska linija

(3)

UKUPNA odobrena sredstva
za GU HOME

Obveze

=1a+1b +3

0,124

4,348

5,570

6,720

7,020

7,020

7,020

37,822

Plaćanja

=2a+2b

+ 3

0,540

4,323

5,357

5,403

5,403

5,403

5,403

5,989

37,822

• UKUPNA odobrena sredstva za poslovanje	Obveze	(4)
	Plaćanja	(5)
• UKUPNA administrativna odobrena sredstva koja se financiraju iz omotnice za posebne programe		(6)
UKUPNA odobrena sredstva iz NASLOVA 5 višegodišnjeg financijskog okvira	Obveze	=4+ 6	0,124	4,348	5,570	6,720	7,020	7,020	7,020		37,822
	Plaćanja	=5+ 6	0,540	4,323	5,357	5,403	5,403	5,403	5,403	5,989	37,822

Ako prijedlog/inicijativa utječe na više od jednog naslova za poslovanje, ponovite prethodni odjeljak:

• UKUPNA odobrena sredstva za poslovanje (svi naslovi za poslovanje)	Obveze	(4)
	Plaćanja	(5)
UKUPNA administrativna odobrena sredstva koja se financiraju iz omotnice za posebne programe (svi naslovi za poslovanje)		(6)
UKUPNA odobrena sredstva iz NASLOVA od 1 do 6 višegodišnjeg financijskog okvira (referentni iznos)	Obveze	=4+ 6	0,124	4,348	5,570	6,720	7,020	7,020	7,020		37,822
	Plaćanja	=5+ 6	0,540	4,323	5,357	5,403	5,403	5,403	5,403	5,989	37,822

Naslov višegodišnjeg financijskog
okvira

„Administrativni rashodi”

U ovaj se dio unose „administrativni proračunski podaci”, koji se najprije unose u prilog zakonodavnom financijskom izvještaju (Prilog V. internim pravilima), koje se učitava u sustav DECIDE za potrebe savjetovanja među službama.

U milijunima EUR (do 3 decimalna mjesta)

		2021.	2022.	2023.	2024.	2025.	2026.	2027.	UKUPNO
GU: HOME
• Ljudski resursi		0,152	0,228	0,499	0,813	0,932	0,932	0,932	4,488
• Ostali administrativni rashodi		0,033	0,085	0,109	0,109	0,109	0,109	0,109	0,663
UKUPNO GU HOME	Odobrena sredstva	0,185	0,313	0,608	0,922	1,041	1,041	1,041	5,151

UKUPNA odobrena sredstva
iz NASLOVA 7
višegodišnjeg financijskog okvira

(ukupne obveze = ukupna plaćanja)

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,151

U milijunima EUR (do 3 decimalna mjesta)

		2021.	2022.	2023.	2024.	2025.	2026.	2027.	Nakon 2027.	UKUPNO
UKUPNA odobrena sredstva iz NASLOVA od 1 do 7 višegodišnjeg financijskog okvira	Obveze	0,309	4,661	6,178	7,642	8,061	8,061	8,061	—	42,973
	Plaćanja	0,725	4,636	5,965	6,325	6,444	6,444	6,444	5,989	42,973

3.2.2.Procijenjeni rezultati financirani odobrenim sredstvima za poslovanjeOdobrena sredstva za poslovanje u milijunima EUR (do 3 decimalna mjesta)

3.2.3.Sažetak procijenjenog učinka na administrativna odobrena sredstva

◻ Za prijedlog/inicijativu nisu potrebna administrativna odobrena sredstva.

☑ Za prijedlog/inicijativu potrebna su sljedeća administrativna odobrena sredstva:

U milijunima EUR (do 3 decimalna mjesta)

	2021.	2022.	2023.	2024.	2025.	2026.	2027.	UKUPNO
NASLOV 7 višegodišnjeg financijskog okvira
Ljudski resursi	0,152	0,228	0,499	0,813	0,932	0,932	0,932	4,488
Ostali administrativni rashodi	0,033	0,085	0,109	0,109	0,109	0,109	0,109	0,663
Međuzbroj za NASLOV 7 višegodišnjeg financijskog okvira	0,185	0,313	0,608	0,922	1,041	1,041	1,041	5,188

Izvan NASLOVA 7 46
višegodišnjeg financijskog okvira

Ljudski resursi

Ostali administrativni rashodi

Međuzbroj
izvan NASLOVA 7
višegodišnjeg financijskog okvira

UKUPNO

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,188

Potrebna odobrena sredstva za ljudske resurse i ostale administrativne rashode pokrit će se odobrenim sredstvima glavne uprave koja su već dodijeljena za upravljanje djelovanjem i/ili su preraspodijeljena unutar glavne uprave te, prema potrebi, dodatnim sredstvima koja se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.

3.2.3.1.Procijenjene potrebe u pogledu ljudskih resursa

◻ Za prijedlog/inicijativu nisu potrebni ljudski resursi.

☑ Za prijedlog/inicijativu potrebni su sljedeći ljudski resursi:

Procjenu navesti u ekvivalentima punog radnog vremena

		Godina 2021.	Godina 2022.	Godina 2023.	Godina 2024.	2025. 2026. 2027.
• Radna mjesta prema planu radnih mjesta (dužnosnici i privremeno osoblje)
20 01 02 01 (sjedište i predstavništva Komisije)		1	2	4	5	5	5	5
XX 01 01 02 (delegacije)
XX 01 05 01/11/21 (neizravno istraživanje)
10 01 05 01/11 (izravno istraživanje)
• Vanjsko osoblje (u ekvivalentu punog radnog vremena: EPRV) 47
20 02 01 03 (UO, UNS, UsO iz „globalne omotnice”)				1	2	2	2	2
XX 01 02 02 (UO, LO, UNS, UsO i MSD u delegacijama)
XX 01 04 yy 48	– u sjedištima
	– u delegacijama
XX 01 05 02/12/22 (UO, UNS, UsO – neizravno istraživanje)
10 01 05 02/12 (UO, UNS, UsO – izravno istraživanje)
Druge proračunske linije (navesti)
UKUPNO		1	2	5	7	7	7	7

XX se odnosi na odgovarajuće područje politike ili glavu proračuna.

Potrebe za ljudskim resursima pokrit će se osobljem iz glavne uprave kojemu je već povjereno upravljanje djelovanjem i/ili koje je preraspoređeno unutar glavne uprave te, prema potrebi, resursima koji se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.

Opis zadaća:

Dužnosnici i privremeno osoblje

U prijedlogu se pretpostavlja da su četiri djelatnika razreda AD i jedan djelatnik razreda AST posvećeni provedbi Direktive u ime Komisije, od kojih je jedan djelatnik razreda AD već dio internog osoblja, a ostali djelatnici ERPV-a predstavljaju dodatne ljudske resurse koje je potrebno zaposliti.

Planom zapošljavanja predviđa se:

2022.: jedan dodatan zaposlenik razreda AD: službenik za politiku odgovoran za uspostavu kapaciteta znanja i aktivnosti potpore

2023.: jedan dodatan zaposlenik razreda AD (službenik za politiku odgovoran za savjetodavne skupine), jedan zaposlenik razreda AST (pomoćnik za savjetodavne skupine za otpornost)

2024.: jedan dodatan zaposlenik razreda AD (službenik za politiku koji pridonosi aktivnostima potpore za tijela i subjekte).

Vanjsko osoblje

U prijedlogu se pretpostavlja da su dva UNS-a posvećena provedbi Direktive u ime Komisije.

Planom zapošljavanja predviđa se:

2023.: jedan dodatan UNS (stručnjak za otpornost kritične infrastrukture/stručnjak koji pridonosi aktivnostima potpore za tijela i subjekte)

2024.: jedan dodatan UNS (stručnjak za otpornost kritične infrastrukture/stručnjak koji pridonosi aktivnostima potpore za tijela i subjekte).

3.2.4.Usklađenost s aktualnim višegodišnjim financijskim okvirom

Prijedlog/inicijativa:

☑ može se u potpunosti financirati preraspodjelom unutar relevantnog naslova višegodišnjeg financijskog okvira (VFO)

Operativni rashodi obuhvaćeni FUS-om u okviru VFO-a za razdoblje 2021.–2027.

◻ zahtijeva upotrebu nedodijeljene razlike u okviru relevantnog naslova VFO-a i/ili upotrebu posebnih instrumenata kako je utvrđeno u Uredbi o VFO-u

Objasniti što je potrebno te navesti predmetne naslove i proračunske linije, odgovarajuće iznose te instrumente čija se upotreba predlaže.

◻ zahtijeva reviziju VFO-a.

Objasniti što je potrebno te navesti predmetne naslove i proračunske linije te odgovarajuće iznose.

3.2.5.Doprinos trećih strana

U prijedlogu/inicijativi:

☑ ne predviđa se sudjelovanje trećih strana u sufinanciranju

◻ predviđa se sudjelovanje trećih strana u sufinanciranju prema sljedećoj procjeni:

Odobrena sredstva u milijunima EUR (do 3 decimalna mjesta)

	Godina N 49	Godina N+1	Godina N+2	Godina N+3	Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)	Ukupno
Navesti tijelo koje sudjeluje u financiranju
UKUPNO sufinancirana odobrena sredstva

3.3.Procijenjeni učinak na prihode

☑ Prijedlog/inicijativa nema financijski učinak na prihode.

◻ Prijedlog/inicijativa ima sljedeći financijski učinak:

◻ na vlastita sredstva

◻ na ostale prihode

navesti jesu li prihodi namijenjeni proračunskim linijama rashoda ◻

U milijunima EUR (do 3 decimalna mjesta)

Proračunska linija prihoda:	Odobrena sredstva dostupna za tekuću financijsku godinu	Učinak prijedloga/inicijative 50
		Godina N	Godina N+1	Godina N+2	Godina N+3	Unijeti onoliko godina koliko je potrebno za prikaz trajanja učinka (vidjeti točku 1.6.)
Članak ………….

Za namjenske prihode navesti odgovarajuće proračunske linije rashoda.

[…]

Ostale napomene (npr. metoda/formula za izračun učinka na prihode ili druge informacije).

[…]

(1) Zaključci Vijeća od 10. prosinca 2019. o dodatnim naporima za jačanje otpornosti i suzbijanje hibridnih prijetnji (14972/19).

(2) Izvješće o zaključcima i preporukama Posebnog odbora Europskog parlamenta za terorizam (2018/2044 (INI)).

(3) Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije.

(4) COM(2020) 605.

(5) COM(2020) 795.

(6) Komunikacija Komisije o Europskom programu za zaštitu kritične infrastrukture. COM(2006) 786.

(7) Direktiva Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite.

(8) Komunikacija Komisije o strategiji EU-a za prilagodbu klimatskim promjenama. COM(2013) 216; Odluka br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu; Uredba 2019/452 o uspostavi okvira za provjeru izravnih stranih ulaganja u Uniji; Direktiva 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije.

(9) Pregled rizika od prirodnih i ljudskim djelovanjem uzrokovanih katastrofa s kojima bi se Europska unija mogla suočiti. SWD(2020) 330.

(10) SWD(2019) 308.

(11) Komunikacija Komisije o strategiji EU-a za sigurnosnu uniju. COM(2020) 605.

(12) SWD(2019) 310.

(13) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ.

(14) SL C , , str. .

(15) SL C […], […], str. […].

(16) Stajalište Europskog Parlamenta […] i Vijeća […].

(17) Direktiva Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (SL L 345, 23.12.2008., str. 75.).

(18) SWD(2019) 308.

(19) Europski program zaštite kritične infrastrukture (EPZKI).

(20) [Upućivanje na Direktivu NIS 2, nakon njezina donošenja.]

(21) Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194/1, 19.7.2016., str. 1.).

(22) Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjoj drugoj ugovornoj strani i trgovinskom repozitoriju (SL L 201, 27.7.2012., str. 1.).

(23) Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (SL L 173, 12.6.2014., str. 349.).

(24) Uredba (EU) br. 600/2014 Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištima financijskih instrumenata i izmjeni Uredbe (EU) br. 648/2012 (SL L 173, 12.6.2014., str. 84.).

(25) Uredba (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i investicijska društva i o izmjeni Uredbe (EU) br. 648/2012 (SL L 176, 27.6.2013., str. 1.).

(26) Direktiva 2013/36/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. o pristupanju djelatnosti kreditnih institucija i bonitetnom nadzoru nad kreditnim institucijama i investicijskim društvima, izmjeni Direktive 2002/87/EZ te stavljaju izvan snage direktiva 2006/48/EZ i 2006/49/EZ (SL L 176, 27.6.2013., str. 338.).

(27) Prijedlog uredbe Europskog parlamenta i Vijeća o digitalnoj operativnoj otpornosti za financijski sektor i o izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014 i (EU) br. 909/2014, COM(2020) 595.

(28) Uredba (EZ) br. 300/2008 Europskog parlamenta i Vijeća od 11. ožujka 2008. o zajedničkim pravilima u području zaštite civilnog zračnog prometa i stavljanju izvan snage Uredbe (EZ) br. 2320/2002 (SL L 97/72, 9.4.2008., str. 72.).

(29) Uredba (EZ) br. 725/2004 Europskog parlamenta i Vijeća od 31. ožujka 2004. o jačanju sigurnosne zaštite brodova i luka (SL L 129, 29.4.2004., str. 6.).

(30) Direktiva 2005/65/EZ Europskog parlamenta i Vijeća od 26. listopada 2005. o jačanju sigurnosne zaštite luka (SL L 310, 25.11.2005., str. 28.).

(31) Odluka Komisije od 29. lipnja 2018. o uspostavi Platforme za sigurnost putnika u željezničkom prometu u EU-u C/2018/4014.

(32) SL L 123, 12.5.2016., str. 1.

(33) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(34) Direktiva (EU) 2017/541 Europskog parlamenta i Vijeća od 15. ožujka 2017. o suzbijanju terorizma i zamjeni Okvirne odluke Vijeća 2002/475/PUP i o izmjeni Odluke Vijeća 2005/671/PUP (SL L 88, 31.3.2017., str. 6.).

(35) Odluka br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20.12.2013., str. 924.).

(36) Uredba (EU) 2019/941 Europskog parlamenta i Vijeća od 5. lipnja 2019. o pripravnosti na rizike u sektoru električne energije i stavljanju izvan snage Direktive 2005/89/EZ (SL L 158, 14.6.2019., str. 1.).

(37) Uredba (EU) 2017/1938 Europskog parlamenta i Vijeća od 25. listopada 2017. o mjerama zaštite sigurnosti opskrbe plinom i stavljanju izvan snage Uredbe (EU) br. 994/2010 (SL L 280, 28.10.2017., str. 1.).

(38) SL L 119, 4.5.2016., str. 1.

(39) SL L 135, 22.5.2019., str. 1.

(40) Kako je navedeno u članku 58. stavku 2. točkama (a) ili (b) Financijske uredbe.

(41) Informacije o načinima upravljanja i upućivanja na Financijsku uredbu dostupni su na internetskim stranicama BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx .

(42) Dif. = diferencirana odobrena sredstva; nedif. = nediferencirana odobrena sredstva.

(43) EFTA: Europsko udruženje slobodne trgovine.

(44) Zemlje kandidatkinje i, ako je primjenjivo, potencijalni kandidati sa zapadnog Balkana.

(45) Tehnička i/ili administrativna pomoć i rashodi za potporu provedbi programa i/ili djelovanja EU-a (prijašnje linije „BA”), neizravno istraživanje, izravno istraživanje.

(46) Tehnička i/ili administrativna pomoć i rashodi za potporu provedbi programa i/ili djelovanja EU-a (prijašnje linije „BA”), neizravno istraživanje, izravno istraživanje.

(47) UO = ugovorno osoblje; LO = lokalno osoblje; UNS = upućeni nacionalni stručnjaci; UsO = ustupljeno osoblje; MSD = mladi stručnjaci u delegacijama.

(48) U okviru gornje granice za vanjsko osoblje iz odobrenih sredstava za poslovanje (prijašnje linije „BA”).

(49) Godina N godina je početka provedbe prijedloga/inicijative. Umjesto „N” upisati predviđenu prvu godinu provedbe (na primjer: 2021.). Isto vrijedi i za ostale godine.

(50) Kad je riječ o tradicionalnim vlastitim sredstvima (carine, pristojbe na šećer) navedeni iznosi moraju biti neto iznosi, to jest bruto iznosi nakon odbitka od 20 % na ime troškova naplate.

Sektor	Podsektor	Vrsta subjekta
1. Energetika	(a) električna energija	— elektroenergetsko poduzeće iz članka 2. točke 57. Direktive (EU) 2019/944 1 , koje obavlja funkciju „opskrbe” iz članka 2. točke 12. te direktive
		— operatori distribucijskog sustava iz članka 2. točke 29. Direktive (EU) 2019/944
		— operatori prijenosnog sustava iz članka 2. točke 35. Direktive (EU) 2019/944
		— proizvođači iz članka 2. točke 38. Direktive (EU) 2019/944
		— nominirani operatori tržišta električne energije iz članka 2. točke 8. Uredbe (EU) 2019/943 2
		— sudionici na tržištu električne energije iz članka 2. točke 25. Uredbe (EU) 2019/943 koji pružaju usluge agregiranja, upravljanja potrošnjom ili skladištenja energije iz članka 2. točaka 18., 20. i 59. Direktive (EU) 2019/944
	(b) centralizirano grijanje i hlađenje	— centralizirano grijanje i centralizirano hlađenje iz članka 2. točke 19. Direktive (EU) 2018/2001 3 o promicanju uporabe energije iz obnovljivih izvora
	(c) nafta	— operatori naftovoda
		— operatori proizvodnje nafte, rafinerija i tvornicâ nafte te njezina skladištenja i prijenosa
		— središnja tijela za zalihe nafte iz članka 2. točke (f) Direktive Vijeća 2009/119/EZ 4
	(d) plin	— poduzeća za opskrbu iz članka 2. točke 8. Direktive (EU) 2009/73/EZ 5
		— operatori distribucijskog sustava iz članka 2. točke 6. Direktive 2009/73/EZ
		— operatori transportnog sustava iz članka 2. točke 4. Direktive 2009/73/EZ
		— operatori sustava skladišta plina iz članka 2. točke 10. Direktive 2009/73/EZ
		— operatori terminala za UPP iz članka 2. točke 12. Direktive 2009/73/EZ
		— poduzeća za prirodni plin iz članka 2. točke 1. Direktive 2009/73/EZ
		— operatori postrojenja za rafiniranje i obradu prirodnog plina
	(e) vodik	— operatori proizvodnje, skladištenja i prijenosa vodika
2. Promet	(a) zračni promet	— zračni prijevoznici iz članka 3. točke 4. Uredbe (EZ) br. 300/2008 6
		— upravna tijela zračne luke iz članka 2. točke 2. Direktive 2009/12/EZ 7 , zračne luke iz članka 2. točke 1. te direktive, među ostalim i glavne zračne luke navedene u odjeljku 2. Priloga II. Uredbi (EU) br. 1315/2013 8 te tijela koja upravljaju pomoćnim objektima u zračnim lukama
		— operatori kontrole upravljanja prometom koji pružaju usluge kontrole zračnog prometa (ATC) iz članka 2. točke 1. Uredbe (EZ) br. 549/2004 9
	(b) željeznički promet	— upravitelji infrastrukture iz članka 3. točke 2. Direktive 2012/34/EU 10
		— željeznički prijevoznici iz članka 3. točke 1. Direktive 2012/34/EU, među ostalim i operatori uslužnih objekata iz članka 3. točke 12. Direktive 2012/34/EU
	(c) vodeni promet	— kompanije za prijevoz putnika unutarnjim plovnim putovima, morem i duž obale te kompanije za prijevoz tereta unutarnjim plovnim putovima, morem i duž obale iz Priloga I. Uredbi (EZ) br. 725/2004 11 , ne uključujući pojedinačna plovila kojima upravljaju te kompanije
		— upravljačka tijela luka iz članka 3. točke 1. Direktive 2005/65/EZ 12 , uključujući njihove luke iz članka 2. točke 11. Uredbe (EZ) br. 725/2004 te subjekti koji upravljaju postrojenjima i opremom u lukama
		— služba za nadzor i upravljanje pomorskim prometom iz članka 3. točke (o) Direktive 2002/59/EZ 13 Europskog parlamenta i Vijeća
	(d) cestovni promet	— tijela nadležna za ceste iz članka 2. točke 12. Delegirane uredbe Komisije (EU) 2015/962 14 odgovorna za upravljanje prometom
		— operatori inteligentnih prometnih sustava iz članka 4. točke 1. Direktive 2010/40/EU 15
3. Bankarstvo		kreditne institucije iz članka 4. točke 1. Uredbe (EU) br. 575/2013 16
4. Infrastruktura financijskog tržišta		— operatori mjestâ trgovanja iz članka 4. točke 24. Direktive 2014/65/EU 17
		— središnje druge ugovorne strane (CCP-i) iz članka 2. točke 1. Uredbe (EU) br. 648/2012 18
5. Zdravstvo		— pružatelji zdravstvene zaštite iz članka 3. točke (g) Direktive 2011/24/EU 19
		— referentni laboratoriji EU-a iz članka 15. Uredbe [XX] o ozbiljnim prekograničnim prijetnjama zdravlju 20
		— subjekti koji obavljaju djelatnosti istraživanja i razvoja lijekova iz članka 1. točke 2. Direktive 2001/83/EZ 21
		— subjekti koji proizvode osnovne farmaceutske proizvode i farmaceutske pripravke iz područja C odjeljka 21. NACE Rev. 2
		— subjekti koji proizvode medicinske proizvode koji se smatraju ključnima tijekom izvanrednog stanja u području javnog zdravlja („popis ključnih medicinskih proizvoda u slučaju izvanrednog stanja u području javnog zdravlja”) iz članka 20. Uredbe XXXX 22
6. Voda za piće		dobavljači i distributeri vode namijenjene za ljudsku potrošnju iz članka 2. stavka 1. točke (a) Direktive Vijeća 98/83/EZ 23 , ali isključujući distributere kojima distribucija vode za ljudsku potrošnju čini samo dio općenite djelatnosti distribucije druge robe i proizvoda koji se ne smatraju osnovnim ili važnim uslugama
7. Otpadne vode		poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, otpadne vode iz kućanstva i industrijske otpadne vode iz članka 2. točaka od 1. do 3. Direktive Vijeća 91/271/EEZ 24
8. Digitalna infrastruktura		— pružatelji središta za razmjenu internetskog prometa [iz članka 4. točke (X) Direktive NIS 2]
		— pružatelji DNS usluga [iz članka 4. točke (X) Direktive NIS 2]
		— registri naziva vršnih domena [iz članka 4. točke (X) Direktive NIS 2]
		— pružatelji usluga računalstva u oblaku [iz članka 4. točke (X) Direktive NIS 2]
		— pružatelji usluga podatkovnog centra [iz članka 4. točke (X) Direktive NIS 2]
		— pružatelji mreže za isporuku sadržaja [iz članka 4. točke (X) Direktive NIS 2]
		— pružatelji usluga povjerenja iz članka 3. točke 19. Uredbe (EU) br. 910/2014 25
		— pružatelji javnih elektroničkih komunikacijskih mreža iz članka 2. točke 8. Direktive (EU) 2018/1972 26 ili pružatelji elektroničkih komunikacijskih usluga u smislu članka 2. točke 4. Direktive (EU) 2018/1972 ako su njihove usluge javno dostupne
9. Javna uprava		— subjekti javne uprave, [iz članka 4. točke (X) Direktive NIS 2], središnje vlasti
		— tijela javne uprave, [iz članka 4. točke (X) Direktive NIS 2], regija prve razine NUTS-a iz Priloga I. Uredbi (EZ) br. 1059/2003 27
		— tijela javne uprave, [iz članka 4. točke (X) Direktive NIS 2], regija druge razine NUTS-a iz Priloga I. Uredbi (EZ) br. 1059/2003
10. Svemir		— operatori zemaljske infrastrukture, koji su u vlasništvu i kojima upravljaju države članice ili privatne osobe te koji podupiru pružanje usluga u svemiru, isključujući pružatelje javnih elektroničkih komunikacijskih mreža u smislu članka 2. točke 8. Direktive (EU) 2018/1972