This document is an excerpt from the EUR-Lex website
Document 52023XC0914(01)
Communication from the Commission Commission Guidelines on the application of Article 3(4) of Directive (EU) 2022/2555 (NIS 2 Directive) 2023/C 324/02
A Bizottság közleménye A Bizottság iránymutatása az (EU) 2022/2555 irányelv (NIS 2 irányelv) 3. cikke (4) bekezdésének alkalmazásáról 2023/C 324/02
A Bizottság közleménye A Bizottság iránymutatása az (EU) 2022/2555 irányelv (NIS 2 irányelv) 3. cikke (4) bekezdésének alkalmazásáról 2023/C 324/02
C/2023/6070
HL C 324., 2023.9.14, p. 2–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
2023.9.14. |
HU |
Az Európai Unió Hivatalos Lapja |
C 324/2 |
A BIZOTTSÁG KÖZLEMÉNYE
A Bizottság iránymutatása az (EU) 2022/2555 irányelv (NIS 2 irányelv) 3. cikke (4) bekezdésének alkalmazásáról
(2023/C 324/02)
1.
Az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelv (NIS 2 irányelv) (1) 3. cikkének (4) bekezdése értelmében a Bizottság az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) segítségével indokolatlan késedelem nélkül iránymutatásokat nyújt és sablonokat bocsát rendelkezésre az említett rendelkezésben megállapított kötelezettségekkel kapcsolatban. Az (EU) 2022/2555 irányelv 3. cikkének (4) bekezdése hivatkozik az említett irányelv 3. cikkének (3) bekezdésére, amelynek értelmében a tagállamok 2025. április 17-ig összeállítják az alapvető és fontos szervezetek, valamint a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek jegyzékét. A tagállamoknak az említett jegyzéket rendszeresen, de az említett időpontot követően legalább kétévente felül kell vizsgálniuk, és adott esetben frissíteniük kell.
2.
Az alapvető és fontos szervezetek jegyzékének összeállítása céljából a tagállamok előírják a szervezetek számára, hogy legalább a következő információkat nyújtsák be az illetékes hatóságoknak: a szervezet neve, címe és naprakész elérhetősége, beleértve a szervezet e-mail-címeit, IP-tartományait és telefonszámait, és adott esetben a mellékletekben említett érintett ágazat és alágazat, valamint adott esetben azon tagállamok jegyzéke, amelyekben a szervezet az irányelv hatálya alá tartozó szolgáltatásokat nyújt. Ezen iránymutatás I. melléklete meghatározza az említett információkat e jegyzék összeállítása céljából összegyűjtő sablont.
3.
Az alapvető és fontos szervezetek, valamint a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek jegyzéke összeállításának és frissítésének megkönnyítése érdekében az (EU) 2022/2555 irányelv 3. cikkének (4) bekezdése értelmében a tagállamok számára lehetővé kell tenni, hogy nemzeti mechanizmusokat hozzanak létre abból a célból, hogy a szervezetek bejegyeztessék magukat (2).
4.
Az (EU) 2022/2555 irányelv 3. cikkének (5) bekezdése értelmében a tagállamok 2025. április 17-ig, majd azt követően kétévente bejelentik a Bizottságnak és az együttműködési csoportnak az irányelv I. és II. mellékletében említett egyes ágazatok és alágazatok tekintetében az említett irányelv 3. cikkének (3) bekezdése szerint legalább a jegyzékben felsorolt alapvető és fontos szervezetek számát. A tagállamoknak továbbá be kell jelenteniük a Bizottságnak az (EU) 2022/2555 irányelv 2. cikke (2) bekezdésének b)–e) pontja alapján azonosított alapvető és fontos szervezetek számáról, az ágazatukról és alágazatukról, az általuk nyújtott szolgáltatás típusáról, valamint az azonosításuk alapjául szolgáló rendelkezésről szóló releváns információkat. Az (EU) 2022/2555 irányelv (19) preambulumbekezdése kifejti, hogy a Bizottság arra ösztönzi a tagállamokat, hogy a Bizottsággal kicseréljék az alapvető és fontos szervezetekről szóló információkat, valamint nagyszabású kiberbiztonsági események esetén a releváns információkat, így például az érintett szervezet nevét.
5.
A tagállamok által az (EU) 2022/2555 irányelv 3. cikke (3) bekezdésének megfelelően összeállított jegyzéken túlmenően a tagállamoknak az említett irányelv 27. cikkének (2) bekezdésével összhangban azt is elő kell írniuk az irányelv 27. cikkének (1) bekezdésében említett bizonyos típusú szervezetek számára, hogy 2025. január 17-ig nyújtsák be az illetékes hatóságoknak a következő információkat: a szervezet neve; adott esetben az irányelv I. vagy II. mellékletében említett érintett ágazat, alágazat és szervezettípus; a szervezet üzleti tevékenysége fő helyének és egyéb Unión belüli jogszerű telephelyének, vagy ha az Unióban nem letelepedett, az irányelv 26. cikkének (3) bekezdése szerint kijelölt képviselőjének a címe; a szervezet és adott esetben az irányelv 26. cikkének (3) bekezdése szerint kijelölt képviselőjének naprakész elérhetőségei, beleértve az e-mail-címét és telefonszámát is; azok a tagállamok, ahol a szervezet szolgáltatásokat nyújt; továbbá a szervezet IP-tartományai. Az (EU) 2022/2555 irányelv 27. cikke (3) bekezdésének megfelelően a tagállamok előírják, hogy az irányelv 27. cikkének (1) bekezdésében említett szervezetek az irányelv 27. cikkének (2) bekezdése alapján benyújtott adatokban bekövetkezett minden változást haladéktalanul, és minden esetben a változás időpontjától számított három hónapon belül bejelentsenek az illetékes hatóságnak.
6.
Az (EU) 2022/2555 irányelv 27. cikke (5) bekezdésének megfelelően az említett irányelv 27. cikkének (2) és (3) bekezdésében említett információkat adott esetben az irányelv 3. cikkének (4) bekezdésében említett nemzeti mechanizmuson keresztül kell benyújtani. Ezért a jobb adminisztratív hatékonyság érdekében az ezen iránymutatás mellékleteként csatolt sablon az (EU) 2022/2555 irányelv 3. cikke (3) bekezdésének és 27. cikke (2) bekezdésének alkalmazásában szükséges információkéréseket is tartalmaz. Ez a sablon az ENISA segítségével jött létre.
(1) HL L 333., 2022.12.27., 80. o.
(2) Lásd még az (EU) 2022/2555 irányelv (18) preambulumbekezdését.
Függelék
Sablon – Az (EU) 2022/2555 irányelv 3. cikkének (3) bekezdésében és 27. cikkének (2) bekezdésében említett jegyzékhez szükséges információk
1.
A tevékenység ágazata az (EU) 2022/2555 irányelv értelmében
I.melléklet – |
A kiemelten kritikus ágazatok
|
II. melléklet – |
Egyéb kritikus ágazatok
|
2.
A szervezet elnevezése
3.
Ha a szervezet szerepel az (EU) 2022/2555 irányelv 27. cikkének (1) bekezdésében (DNS-szolgáltató, legfelső szintű doménnév-nyilvántartó, doménnév-nyilvántartási szolgáltatásokat nyújtó szervezet, felhőszolgáltató, adatközpont-szolgáltató, tartalomszolgáltató hálózati szolgáltató, irányított szolgáltató, irányított biztonsági szolgáltató, vagy egy online piactér, online keresőprogram vagy közösségimédia-szolgáltatási platform szolgáltatója), a szervezet üzleti tevékenységének fő helye az Unióban abban a tagállamban van, vagy – ha nincs jogszerű telephelye az EU-ban – van-e képviselője ebben a tagállamban?
4.
A szervezet üzleti tevékenysége helyének címe az adott tagállamban. Ha a szervezet szerepel az (EU) 2022/2555 irányelv 27. cikkének (1) bekezdésében, a szervezet üzleti tevékenysége fő helyének címe, ha az az adott tagállamban található, valamint az EU-ban található egyéb jogszerű telephelyeinek címe. Amennyiben nincs telephelye, az (EU) 2022/2555 irányelv 26. cikkének (3) bekezdésével összhangban kijelölt uniós képviselő címe, ha a képviselő abban a tagállamban letelepedett.
5.
Naprakész elérhetőségek, beleértve az e-mail-címeket és a telefonszámokat az adott tagállamban.
6.
A szervezet IP-tartományai az adott tagállamban.
7.
Ha a szervezet szerepel az (EU) 2022/2555 irányelv 27. cikkének (1) bekezdésében, azon tagállamok jegyzéke, amelyekben a szervezet az említett irányelv hatálya alá tartozó szolgáltatásokat nyújt.