EUROPOS KOMISIJA
Briuselis, 2019 10 28
COM(2019) 546 final
KOMISIJOS ATASKAITA EUROPOS PARLAMENTUI IR TARYBAI
kurioje pagal Direktyvos 2016/1148/ES dėl tinklų ir informacinių sistemų saugumo 23 straipsnio 1 dalį vertinamas požiūrio, kurio laikosi valstybės narės identifikuodamos esminių paslaugų operatorius, nuoseklumas
1.Įvadas
Direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (TIS direktyva) yra pirmoji vidaus rinkos priemonė, kuria siekiama padidinti ES atsparumą kibernetinio saugumo pavojams. Remiantis Sutarties dėl Europos Sąjungos veikimo 114 straipsniu, šia direktyva siekiama užtikrinti paslaugų tęstinumą, taip sudarant sąlygas Sąjungos ekonomikai ir visuomenei tinkamai veikti. Šiuo tikslu Direktyva nustatomos konkrečios priemonės, kuriomis stiprinami kibernetinio saugumo pajėgumai visoje ES ir mažinama didėjanti grėsmė tinklų ir informacinėms sistemoms, naudojamoms esminėms paslaugoms teikti pagrindiniuose sektoriuose.
2016 m. rugpjūčio mėn. įsigaliojus Direktyvai, valstybės narės iki 2018 m. gegužės 9 d. turėjo patvirtinti nacionalines priemones, kuriomis remiantis būtų užtikrinta atitiktis TIS direktyvos nuostatoms. Direktyva skatinama rizikos valdymo kultūra bendrovėse ar tarp kitų esmines paslaugas teikiančių subjektų, kurie, remiantis 5 straipsniu, apibrėžiami kaip „esminių paslaugų operatoriai“. Operatoriai, kuriems taikoma ši direktyva, turi imtis tinkamų ir proporcingų techninių ir organizacinių priemonių, kad galėtų valdyti riziką, kylančią jų tinklų ir informacinių sistemų saugumui, ir pranešti kompetentingoms institucijoms apie rimtus incidentus.
Abi teisėkūros institucijos pavedė įgyvendinti TIS direktyvą valstybėms narėms, kurios turi apibrėžti esmines paslaugas ir identifikuoti esminių paslaugų operatorius savo teritorijose. Taigi, remiantis Direktyvos 5 straipsnio 7 dalimi, valstybės narės turi pranešti Komisijai apie šio identifikavimo rezultatus. Siekiant sudaryti sąlygas koordinuotai teikti ataskaitas, tiek Komisija, tiek Direktyva įsteigta Bendradarbiavimo grupė pateikė gaires valstybėms narėms dėl identifikavimo proceso.
Remiantis 23 straipsnio 1 dalimi, šioje ataskaitoje vertinamas požiūrio, kurio laikosi valstybės narės identifikuodamos esminių paslaugų operatorius, nuoseklumas. Esminių paslaugų operatorių identifikavimo nuoseklumas ir vidaus rinkos susiskaidymo rizika šioje srityje yra glaudžiai susiję, todėl šia ataskaita taip pat bus remiamasi rengiant išsamesnį TIS direktyvos vertinimą, kaip nustatyta 23 straipsnio 2 dalyje, pagal kurią Komisija turi periodiškai peržiūrėti bendrą Direktyvos taikymą ir įvertinti sektorių ir subsektorių, kuriuose identifikuojami esminių paslaugų teikėjai, sąrašus, taip pat skaitmeninių paslaugų, kurioms taikoma Direktyva, rūšis. Pirmoji tokia ataskaita turi būti pateikta ne vėliau kaip 2021 m. gegužės 9 d.
1.1Ataskaitos tikslas
Esminių paslaugų operatoriai atlieka svarbų vaidmenį ekonomikoje ir visoje visuomenėje, todėl jie turi būti itin atsparūs kibernetiniams incidentams. Šiuo atžvilgiu nuoseklus požiūris, kurio valstybės narės turi laikytis identifikuodamos esminių paslaugų operatorius, yra svarbus dėl keleto priežasčių:
1.Siekiant sumažinti riziką, susijusią su valstybių tarpusavio priklausomybe:
Nesugebėjimas nuosekliai identifikuoti svarbių operatorių, teikiančių paslaugas tarpvalstybiniu mastu, gali lemti nevienodą kibernetinio atsparumo lygį skirtingose valstybėse narėse, dėl to padidėja rizika, kad tarpvalstybinis incidentas galėtų padaryti žalos ypatingos svarbos infrastruktūros objektams arba dėl jo galėtų žūti žmonės. Pavyzdžiui, energijos perdavimo sistemų operatoriai arba aukščiausio lygio domenų registrai, įtraukti į II priede pateiktą subjektų rūšių sąrašą, yra subjektai, kurie visapusiškai pasinaudoja vidaus rinka ir teikia tarpvalstybines paslaugas vartotojams ir įmonėms. Todėl nuoseklus tokių paslaugų teikėjų identifikavimas visoje Sąjungoje galėtų padėti užkirsti kelią kibernetinių grėsmių plitimui visoje vidaus rinkoje.
2.Siekiant užtikrinti operatoriams vienodas sąlygas vidaus rinkoje:
TIS direktyvoje reikalaujama, kad valstybės narės nustatytų esminių paslaugų operatoriams taikytinus saugumo reikalavimus ir pranešimo apie incidentus procedūras. Direktyvoje vadovaujamasi minimalaus suderinimo principu, susijusiu su esminių paslaugų operatoriais, todėl valstybės narės gali savo nuožiūra nustatyti reikalavimus operatoriams, kurie būtų griežtesni už Direktyvoje nustatytus reikalavimus. Dėl šių priemonių, kuriomis didinamas valstybių narių atsparumas, atitinkami operatoriai gali patirti papildomų reguliavimo išlaidų. Todėl svarbu, kad panašias paslaugas teikiantiems operatoriams būtų taikoma panaši reguliavimo tvarka.
3.Siekiant sumažinti skirtingo Direktyvos aiškinimo riziką:
Direktyva buvo parengta taip, kad valstybėms narėms būtų suteikta veiksmų laisvės pasirinkti atitinkamus subjektus atsižvelgiant į nacionalinius ypatumus. Tačiau dėl tokio požiūrio padidėja rizika, kad Direktyvos nuostatos bus įgyvendinamos nevienodai, ir gali atsirasti valstybių narių patvirtintų priemonių neatitikimų. Tai ypač svarbu bendrovėms, kurios vykdo veiklą keliose šalyse ir dėl to turi atitikti daugiau kaip vienos valstybės narės reguliavimo reikalavimus.
4.Siekiant parengti išsamią kibernetinio atsparumo lygio visoje ES apžvalgą:
Atliekama esminių paslaugų operatorių priežiūra, kuria siekiama patikrinti, ar veiksmingai įgyvendinama saugumo politika ir pranešama apie svarbius incidentus. Užtikrinant priežiūrą skatinamas viešojo ir privačiojo sektorių bendradarbiavimo stiprinimas, o tai padeda plėsti bendras žinias apie kibernetinio saugumo parengtį valstybėje narėje. Bendradarbiavimo grupės dėka dalijimasis nacionaline patirtimi, įskaitant informaciją apie praneštus incidentus, gali būti apibendrintas ES lygmeniu ir padėti tiksliau įvertinti pagrindines grėsmes ir poreikius. Tačiau tam, kad toks keitimasis informacija būtų veiksmingas, jis turėtų būti grindžiamas bendru supratimu apie tai, kurie subjektai turėtų būti identifikuojami kaip esminių paslaugų operatoriai.
1.2Identifikavimo procesas pagal TIS direktyvą
TIS direktyvos II priede pateikiamas identifikavimo procesui svarbių septynių sektorių, jų atitinkamų subsektorių ir subjektų rūšių sąrašas (
1 lentelė1
). Pagal 5 straipsnio 3 dalį valstybės narės, remdamosi šiais sektoriais, subsektoriais ir subjektų rūšimis, turi sudaryti esminių paslaugų sąrašą. Direktyvoje nustatytas minimalaus suderinimo principas leidžia valstybėms narėms išplėsti II priedo taikymo sritį ir identifikuoti papildomus sektorius ir subsektorius.
Sektorius
|
Subsektorius
|
1. Energetika
|
a) Elektros energija
|
|
b) Nafta
|
|
c) Dujos
|
2. Transportas
|
a) Oro transportas
|
|
b) Geležinkelių transportas
|
|
c) Vandens transportas
|
|
d) Kelių transportas
|
3. Bankininkystė
|
4. Finansų rinkų infrastruktūros objektai
|
5. Sveikatos priežiūros sektorius
|
6. Geriamo vandens tiekimas ir paskirstymas
|
7. Skaitmeninė infrastruktūra
|
1 lentelė. TIS direktyvos II priede išvardyti sektoriai ir subsektoriai
5 straipsnio 2 dalyje nustatyti trys kriterijai, kuriais valstybės narės turi vadovautis identifikuodamos esminių paslaugų operatorius:
1.Atitinkamas subjektas turi teikti paslaugą, kuri yra būtina siekiant užtikrinti ypatingos svarbos visuomeninės ir (arba) ekonominės veiklos vykdymą. Šiuo tikslu nacionalinės kompetentingos institucijos turi remtis savo anksčiau nustatytais esminių paslaugų sąrašais.
2.Teikiama paslauga turi priklausyti nuo tinklų ir informacinių sistemų.
3.Incidentas turėtų daryti didelį trikdomąjį poveikį atitinkamos paslaugos teikimui. 6 straipsnyje nurodyta, kad incidento svarba turi būti vertinama atsižvelgiant į tarpsektorinius veiksnius ir prireikus į konkretiems sektoriams būdingus veiksnius.
Be to, Direktyvos 5 straipsnio 4 dalyje reikalaujama, kad valstybės narės konsultuotųsi tarpusavyje, jei jos sužino, kad galimas esminių paslaugų operatorius teikia paslaugas daugiau nei vienoje valstybėje narėje. Šia privaloma procedūra siekiama padėti valstybėms narėms įvertinti galimą kibernetinio incidento poveikį tarpvalstybiniu mastu veikiantiems subjektams ir užtikrinti apsaugą bendrovėms, kurioms taikoma procedūra skirtingose valstybėse narėse.
1.3Ataskaitos rengimo metodika
Ataskaitos rezultatai grindžiami 2018 m. lapkričio mėn. – 2019 m. rugsėjo mėn. atliktu vertinimu. Daugelis valstybių narių laiku nepateikė Komisijai informacijos, reikalingos šiai ataskaitai parengti. Todėl ataskaitos priėmimas turėjo būti atidėtas po 2019 m. gegužės 9 d., t. y. TIS direktyvos 23 straipsnio 1 dalyje numatytos priėmimo datos. Duomenys buvo surinkti naudojantis įvairiais kanalais: informacija, kurią valstybės narės pateikė remdamosi ENISA parengtu standartizuotu šablonu, standartizuotais pokalbiais su atrinktų nacionalinių institucijų atstovais ir Bendradarbiavimo grupės posėdžiais, įskaitant šiai temai skirtą 2019 m. kovo 19 d. vykusį praktinį seminarą.
Remiantis surinkta informacija, ataskaitoje vertinamas požiūrio, kurio valstybės narės laikosi vykdydamos identifikavimo procesą, nuoseklumas:
1.lyginant skirtingas nacionalinių institucijų pasirinktas identifikavimo metodikas,
2.nagrinėjant valstybių narių pasirinktus esminių paslaugų ir ribų sąrašus,
3.nagrinėjant esminių paslaugų operatorių skaičių kiekvienoje valstybėje narėje.
Ataskaitoje taip pat vertinama, kaip buvo įgyvendintos Direktyvos nuostatos dėl tarpvalstybinio konsultavimosi procedūros (5 straipsnio 4 dalis) ir lex specialis principo (1 straipsnio 7 dalis). Ataskaitoje pateikiama faktinė valstybių narių atlikto identifikavimo proceso analizė, kartu pateikiant preliminarias išvadas ir atvirus klausimus tolesniam svarstymui.
1.4Duomenų prieinamumas
Remiantis TIS direktyvos nuostatomis, valstybės narės turi pateikti Komisijai tik ribotą duomenų rinkinį. Pavyzdžiui, nacionalinės institucijos neprivalo pateikti identifikuotų operatorių pavadinimų, todėl Komisijos tarnyboms sunku palyginti identifikavimo proceso rezultatus, susijusius su sąrašo išsamumu ir poveikiu tokio pat dydžio įmonėms, priklausančioms tam pačiam sektoriui.
Pagal 5 straipsnio 7 dalį visos valstybės narės turėjo ne vėliau kaip 2018 m. lapkričio 9 d. pateikti šiai ataskaitai reikalingą informaciją. Tačiau tik 15 šalių svarbius duomenis pateikė iki tos datos (žr. 4.1 skirsnyje pateiktą lentelę). Nors Komisija ne kartą apie tai priminė, duomenų spragos ir toliau buvo didelės. Todėl 2019 m. liepos 26 d. Komisija išsiuntė oficialius pranešimus 6 valstybėms narėms, ragindama jas per du mėnesius pateikti trūkstamus duomenis.
Šios ataskaitos paskelbimo dieną 23 valstybės narės pateikė visus duomenis, kurių reikalaujama pagal 5 straipsnio 7 dalį: Airija, Bulgarija, Čekija, Danija, Estija, Graikija, Ispanija, Italija, Jungtinė Karalystė, Kipras, Kroatija, Latvija, Lenkija, Lietuva, Liuksemburgas, Malta, Nyderlandai, Portugalija, Prancūzija, Slovakija, Suomija, Švedija ir Vokietija. Kitos 5 valstybės narės (Austrija, Belgija, Rumunija, Slovėnija ir Vengrija) pateikė tik dalį duomenų apie nacionalinių esminių paslaugų operatorių identifikavimą, nes jos nesugebėjo užbaigti identifikavimo proceso laiku, iki šios ataskaitos paskelbimo.
2.Esminių paslaugų operatorių identifikavimas valstybėse narėse
TIS direktyvoje nustatyta esminių paslaugų operatorių identifikavimo sistema, kuri suteikia valstybėms narėms galimybę savo nuožiūra atsižvelgti į nacionalinius ypatumus. Todėl valstybių narių parengti identifikavimo metodai yra labai įvairūs.
2.1Valstybių narių taikomos metodikos
Valstybės narės parengė įvairias operatorių identifikavimo metodikas ir visapusiškai naudojasi TIS direktyva suteiktu lankstumu. Vienas iš elementų, turinčių įtakos nacionalinėms metodikoms, buvo anksčiau egzistavusi sistema, pavyzdžiui, Tarybos direktyva 2008/114/EB dėl ypatingos svarbos infrastruktūros objektų arba kitos nacionalinės nuostatos dėl „esminių operatorių“. Tokiais atvejais valstybės narės kaip atskaitos tašku naudojosi savo ankstesne patirtimi ir į esamą metodiką įtraukė su TIS direktyva susijusius ypatumus.
Išskiriamos šios pagrindinės nacionalinių metodikų skirtumų kategorijos: esminės paslaugos, ribų taikymas, centralizavimo lygis, institucijos, atsakingos už tinklų ir informacinių sistemų priklausomybės nustatymą ir vertinimą. Atsižvelgiant į jų svarbą vertinant esminių paslaugų operatorių identifikavimo nuoseklumą, esminės paslaugos ir ribos nagrinėjamos atskiruose skirsniuose. Kiti kriterijai aptariami šiame skirsnyje.
Centralizavimo lygis
Dauguma valstybių narių nusprendė kai kurių sprendimų, susijusių su įvairiais identifikavimo proceso elementais, priėmimą perduoti sektorių institucijoms (ministerijoms, agentūroms ir t. t.). Decentralizavimo lygis kiekvienu atveju skiriasi, tačiau dauguma valstybių narių yra paskyrusios vieną instituciją, atsakingą už gairių teikimą sektorių institucijoms ir už informacijos konsolidavimą. Vis dėlto, kai kurios šalys nusprendė išlaikyti identifikavimo procesą vienos institucijos rankose. Buvo nustatyta ir itin aukšto decentralizavimo lygio atvejų, kai sektorių institucijos yra atsakingos už metodikų kūrimą.
Daugelis valstybių narių atidžiai įvertino įvairius esminių paslaugų operatorių identifikavimo institucinės struktūros aspektus. Institucijos nurodė, kad vienas iš centralizuoto identifikavimo privalumų yra galimybė išvengti interesų konfliktų: akivaizdu, kad operatoriai labiau vengia atskleisti svarbią informaciją sektorių reguliavimo institucijoms, nes baiminasi, kad ši informacija gali būti panaudota kitais reguliavimo tikslais.
Kita vertus, taikant decentralizuotą požiūrį, atrodo, skatinamas TIS kompetentingų institucijų (tiek kibernetinio saugumo, tiek sektorių) dialogas, o tai padeda joms geriau nustatyti tarpsektorinės priklausomybės poveikį. Be to, sektorių institucijos paprastai sektorių veiklą supranta geriau, nei vadovaujančios institucijos.
Identifikavimo procedūra (principai „iš viršaus į apačią“ ir „iš apačios į viršų“)
Kitą svarbų skirtumą galima įžvelgti tarp valstybių narių, kuriose valdžios institucijos vykdo identifikavimo procesą (identifikavimas pagal principą „iš viršaus į apačią“), ir valstybių narių, kuriose rinkos dalyviai raginami patys patikrinti, ar jie atitinka esminių paslaugų operatoriams taikomus reikalavimus (vadinamasis identifikavimas pagal principą „iš apačios į viršų“ arba savęs identifikavimas). Kad pastarasis požiūris būtų veiksmingas, valstybės narės turėtų nustatyti pakankamai dideles baudas, kad operatoriai nebūtų atgrasomi nuo pranešimo apie save, kaip numatyta TIS direktyvos 21 straipsnyje. Daugeliu atvejų identifikavimo procesas grindžiamas principu „iš viršaus į apačią“. Tačiau praktikoje institucijos dažnai iš dalies remiasi tam tikrais įsivertinimo elementais, pavyzdžiui, klausimynais, kuriuos turi užpildyti galimi esminių paslaugų operatoriai.
Jei taisyklės ir ribos, kuriomis vadovaujantis vykdomas esminių paslaugų operatorių identifikavimas, yra aiškios ir skaidrios, identifikuojant tiek pagal principą „iš viršaus į apačią“, tiek pagal principą „iš apačios į viršų“ turėtų būti gaunami panašūs rezultatai. Todėl renkantis vieną, ar kitą požiūrį iš esmės neturėjo būti daromas joks poveikis nuoseklumui.
Priklausomybės nuo tinklo vertinimas
Kaip paaiškinta 1.2 skirsnyje, pagal 5 straipsnio 2 dalies b punktą reikalaujama, kad valstybės narės, vykdydamos esminių paslaugų operatorių identifikavimo procedūrą, vertintų operatoriaus priklausomybę nuo tinklų ir informacinių sistemų. Daugelis valstybių narių, taikydamos tuos kriterijus, mano, kad šiandieninėje skaitmeninėje ekonomikoje priklausomybė nuo tinklų ir informacinių sistemų yra akivaizdi. Tačiau kai kurios institucijos pasirinko sudėtingesnę praktiką, pavyzdžiui, atliko išsamius vertinimus arba paprašė pačių operatorių įvertinti savo priklausomybės lygį.
2.2Paslaugų identifikavimas
TIS direktyvos 23 konstatuojamojoje dalyje aiškiai nurodyti esminių paslaugų sąrašai, kuriais turėtų būti remiamasi „vertinant reglamentavimo praktiką kiekvienoje valstybėje narėje siekiant užtikrinti bendrą nuoseklumo lygį“. Valstybių narių parengti esminių paslaugų sąrašai naudojami operatoriams identifikuoti, todėl identifikuotų paslaugų skirtumai galėtų lemti nenuoseklų operatorių identifikavimą valstybėse narėse, ypač jei konkrečias visose šalyse teikiamas paslaugas identifikavo tik kai kurios valstybės narės.
Paslaugų, kurias valstybės narės identifikavo kaip paslaugas, kurioms taikomas TIS direktyvos II priedas, ir apie kurias pranešta Komisijai, skaičius valstybėse narėse smarkiai skiriasi (visų valstybių narių skaičiai pateikti priedo 4.2 skirsnyje). Kaip matyti iš
1 diagramos
, identifikuotų paslaugų skaičius svyruoja nuo 12 iki 87, o vienoje valstybėje narėje identifikuojamos vidutiniškai 35 paslaugos. Nors didesnės valstybės narės linkusios identifikuoti šiek tiek daugiau paslaugų nei mažesnės valstybės narės, neatrodo, kad esama glaudaus ryšio tarp valstybės narės dydžio ir identifikuotų paslaugų skaičiaus. To ir reikėtų tikėtis, nes praktikoje vartotojai ir bendrovės tos pačios rūšies paslaugomis paprastai gali naudotis visose valstybėse narėse, neatsižvelgiant į šalies dydį.
1 diagrama. Bendras valstybių narių identifikuotų esminių paslaugų skaičius
Identifikuotų paslaugų skaičius skiriasi ne tik valstybėse narėse, bet ir sektoriuose ir subsektoriuose. Pavyzdžiui, bankų sektoriuje identifikuotų paslaugų skaičius svyruoja nuo 1 iki 21. Kaip matyti iš
2 diagramos
, šalių sektoriuose ir subsektoriuose identifikuotų paslaugų skaičius labai skiriasi.
2 diagrama. Paslaugų, kurias valstybės narės identifikavo kiekviename sektoriuje ir subsektoriuje, skaičius. Kiekvienas duomenų taškas – tai valstybės narės atitinkamame (sub)sektoriuje identifikuotų paslaugų skaičius.
2 diagramoje
pateikti skaičiai iš dalies atspindi skirtingas šalių metodikas. Pavyzdžiui, kai kurios valstybės narės, identifikuodamos paslaugas, laikėsi išsamesnio požiūrio nei kitos valstybės narės, todėl skaičiai tokiose valstybėse narėse didesni. Tačiau iš valstybių narių Komisijai pateiktų duomenų akivaizdžiai matyti, kad skirtingi skaičiai taip pat yra požiūrio, kurio laikėsi valstybės narės, nenuoseklumo rezultatas. Puikus pavyzdys – elektros energijos ir geležinkelių transporto subsektoriai:
Estija
(mažiausiai išsamus požiūris)
|
Portugalija
|
Danija
|
Bulgarija
(išsamiausias požiūris)
|
Elektros energijos tiekimas
|
Skirstymo sistemų operatoriai
|
Elektros energijos skirstymas
|
Elektros energijos skirstymas
|
|
|
|
Elektros energijos skirstymo sistemų veikimo ir techninės priežiūros užtikrinimas
|
|
Perdavimo sistemų operatoriai
|
Elektros energijos perdavimas
|
Elektros energijos perdavimas
|
|
|
|
Elektros energijos perdavimo sistemų eksploatavimas, techninė priežiūra ir plėtra
|
|
|
Elektros energijos gamyba
|
Elektros energijos gamyba
|
|
|
|
Elektros energijos rinka
|
2 lentelė. Požiūrio, kurio valstybės narės laikėsi identifikuodamos esmines paslaugas elektros energijos subsektoriuje, aiškinamieji pavyzdžiai
2 lentelėje
lyginami kai kurie būdai, kuriuos taikydamos valstybės narės identifikavo esmines paslaugas elektros energijos subsektoriuje. Kai kuriose šalyse (pavyzdžiui, Estijoje) pasirinkta labai bendra kategorija, pagal kurią galima identifikuoti iš esmės bet kurį operatorių, kuris, jų manymu, teikia esmines paslaugas elektros energijos subsektoriuje. Kitos šalys (pavyzdžiui, Portugalija, Danija ir Bulgarija) pasirinko gerokai išsamesnį požiūrį. Pavyzdžiui, Bulgarija parengė itin išsamų paslaugų sąrašą, į kurį netgi įtraukta II priede nenurodyta paslauga (elektros energijos rinkos). Nors Portugalija ir Danija laikėsi išsamaus požiūrio, jos nusprendė neįtraukti tam tikrų paslaugų, kurias įtraukė kitos šalys. Dėl to esminių paslaugų operatoriams vidaus rinkoje gali būti sudaromos nevienodos sąlygos.
Tokios nuoseklumo spragos, kaip nustatytos
2 lentelėje
, atsiranda dėl skirtingo TIS direktyvos įgyvendinimo nacionaliniu lygmeniu, o sektoriuose, nepatenkančiuose į II priedo taikymo sritį (pavyzdžiui, elektros energijos rinkos) – dėl to, kad laikomasi minimalaus suderinimo principo. Todėl nuoseklumo spragos nereiškia, kad valstybės narės, kurios neidentifikavo tam tikros paslaugos, tinkamai netaikė šios direktyvos nuostatų.
3 lentelėje
pateikiami keturių šalių požiūriai geležinkelių transporto subsektoriaus atžvilgiu. Nors Prancūzija parengė labai išsamų ir visapusišką geležinkelių transporto veikimui būtinų paslaugų sąrašą, kitos trys šalys pasirinko tik kelias iš šių paslaugų. Kalbant apie Lenkiją, nėra visiškai aišku, kurios paslaugos priskiriamos „krovinių vežimo geležinkeliais“ ir „keleivių vežimo geležinkeliais“ kategorijoms. Jų pavadinimai yra tokio bendro pobūdžio, kad į juos taip pat gali būti įtrauktos kai kurios Prancūzijos identifikuotos paslaugos, pavyzdžiui, „geležinkelių eismo kontrolė ir valdymas“. Verta atkreipti dėmesį į tai, kad Komisija neturi galimybių toliau tirti tokių atvejų: pagal TIS direktyvą nereikalaujama, kad nacionalinės institucijos atskleistų išsamesnę informaciją.
Suomija
|
Prancūzija
|
Airija
|
Lenkija
|
Valstybės infrastruktūros valdymas
|
Infrastruktūros techninė priežiūra
|
Infrastruktūros valdytojai
|
|
|
Riedmenų techninė priežiūra
|
|
|
Eismo valdymo paslaugos
|
Geležinkelių eismo kontrolė ir valdymas
|
|
Traukinių tvarkaraščių rengimas
|
|
Kroviniai ir pavojingos medžiagos
|
Geležinkelio įmonės
|
Krovinių vežimas geležinkeliais
|
|
Keleivių vežimas
|
|
Keleivių vežimas geležinkeliais
|
|
Metro, tramvajai ir kitos lengvojo bėginio transporto paslaugos (įskaitant požeminio transporto paslaugas)
|
|
|
|
Vežimo geležinkeliu paslaugos
|
|
|
3 lentelė. Požiūrio, kurio valstybės narės laikėsi identifikuodamos esmines paslaugas geležinkelių transporto subsektoriuje, aiškinamieji pavyzdžiai
2 lentelėje
ir
3 lentelėje
nurodytos valstybės narės buvo pasirinktos tik kaip pavyzdžiai ir todėl, kad jų metodikas lengva palyginti. Dauguma kitų valstybių narių pasirinko panašias paslaugas, todėl joms būdingos panašios „nuoseklumo spragos“. Iš tiesų, „nuoseklumo spragų“, kaip antai elektros energijos ir geležinkelių transporto subsektoriuose, esama visose valstybėse narėse ir sektoriuose, įtrauktuose į Direktyvos II priedą. Dauguma šių neatitikimų atsiranda dėl paslaugų, kurios identifikuotos tik kai kuriose, bet ne visose valstybėse narėse. Išsamūs visų valstybių narių elektros energijos ir geležinkelių transporto subsektorių paslaugų sąrašai pateikiami šios ataskaitos priede.
2.3Ribos
Nors dauguma valstybių narių yra nustačiusios ribas, kad būtų galima identifikuoti esminių paslaugų operatorius, šių ribų vaidmuo įvairiose šalyse skiriasi. Kalbant apie tarpsektorines ribas, galima nustatyti ribas, grindžiamas:
·vienu kiekybiniu veiksniu (pvz., nuo paslaugos priklausančių naudotojų skaičiumi), kai siekiama nustatyti, ar tam tikros paslaugos atžvilgiu subjektas turi būti laikomas esminių paslaugų operatoriumi,
·didesniu kiekybinių veiksnių rinkiniu (pvz., nuo paslaugos priklausančių naudotojų skaičiumi ir rinkos dalimi),
·kiekybinių ir kokybinių veiksnių deriniu.
Be to, Direktyva valstybėms narėms suteikiama galimybė be tarpsektorinių ribų taikyti konkretiems sektoriams skirtas ribas. Tai nacionalinėms institucijoms suteikia daugiau laisvės vykdant identifikavimo procesą, kad jos galėtų atsižvelgti į nacionalinius ir sektorių ypatumus. Kartu sukuriamas itin sudėtingas ribų derinys, kuris gali turėti neigiamos įtakos bendram esminių paslaugų operatorių identifikavimo nuoseklumui.
Toks požiūrių įvairovės pavyzdys pateikiamas
4 lentelėje
. Joje matyti, kad valstybių narių skaitmeninės infrastruktūros sektoriuje pasirinktos ribos skiriasi ne tik kiekybiniu (pavyzdžiui, Vokietijoje DNS paslaugų teikėjai apibrėžiami kaip esminių paslaugų operatoriai, jei valdo bent 250 000 domenų, o Lenkijoje nustatyta tik 100 000 domenų riba), bet ir kokybiniu požiūriu (pavyzdžiui, susietų autonominių sistemų skaičius, palyginti su rinkos dalimi).
Nuosekliai pasirinkus vien tik kiekybines ribas, neužtikrinamas visiškas šalių požiūrių suderinamumas. Atsižvelgiant į tai, kad kai kuriose valstybėse narėse ribos yra tik vienas iš kriterijų, naudojamų identifikuojant esminių paslaugų operatorius, identifikavimo proceso rezultatai vis tiek galėtų būti labai skirtingi, net jei būtų nustatytos panašios ribos. Pavyzdžiui, kai kurios valstybės narės naudoja sudėtingas vertinimo balais sistemas, pagal kurias keletas veiksnių įtraukiami į vieną formulę. Tokie veiksniai gali būti, pavyzdžiui, subjekto priklausomybė nuo tinklų ir informacinių sistemų arba kai kurie TIS direktyvos 6 straipsnio 1 dalyje nurodyti veiksniai. Be to, kai kurios valstybės narės visiškai netaiko ribų arba jas taiko tik per pirminį vertinimo etapą. Šie aspektai būdingi ne tik skaitmeninės infrastruktūros sektoriui, bet ir visiems sektoriams, įtrauktiems į II priedą.
Nustatyti tinkamą ribą gali būti sunku, ypač kai tai susiję su sektoriais, kuriems būdingas didelis smulkių operatorių skaičius. Tokios įvairovės pavyzdys yra daugelis nedidelių sveikatos priežiūros įstaigų (pvz., klinikų arba greitosios medicinos pagalbos įstaigų), kurios teikia esminę paslaugą palyginti mažam naudotojų skaičiui, tačiau jų neprieinamumas dėl kibernetinio saugumo incidento gali lemti pacientų žūtį. Kita problema kyla tada, kai tiekimo grandinių veikimas priklauso nuo paslaugų, kurias teikia operatoriai, sudarantys nedideles, tačiau svarbias grandinės grandis (pavyzdžiui, tokiuose sektoriuose kaip logistikos). Viena valstybė narė svarsto galimybę taikyti kriterijus, susijusius su teikiamos paslaugos svarba ar kritiškumu, nes tai gali padėti išspręsti šią problemą.
Šalis
|
Interneto duomenų srautų mainų taškai (IXP)
|
DNS teikėjai
|
Aukščiausio lygio domenų registrai
|
Daugiausia konkretiems sektoriams nustatytų ribų taikymas
|
AT
|
susietos autonominės sistemos
> 100
|
DNS keitikliai: 88 000 naudotojų;
Autorius. DNS: 50 000 domenų
|
50 000 domenų
|
DE
|
susietos autonominės sistemos
> 300
|
DNS keitikliai: 100 000 naudotojų; Autorius. DNS: 250 000 domenų
|
(paslauga neidentifikuota)
|
DK
|
vidutinis dienos duomenų kiekis > 200 gbit/s
|
DNS keitikliai: 100 000 naudotojų; Autorius. DNS: 100 000 domenų
|
500 000 domenų
|
EE
|
(paslauga neidentifikuota)
|
(paslauga neidentifikuota)
|
Šalies aukščiausio lygio domenų registras
|
FI
|
(paslauga neidentifikuota)
|
(paslauga neidentifikuota)
|
Šalies ir regiono aukščiausio lygio domenų registrai
|
FR
|
(nėra oficialios ribos)
|
(nėra oficialios ribos)
|
(nėra oficialios ribos)
|
HR
|
prisijungę nariai > 15
|
Šalies aukščiausio lygio domenų registro DNS paslauga
|
Šalies aukščiausio lygio domenų registras
|
IE
|
(riba nežinoma)
|
DNS keitikliai: 100 mln. užklausų per parą; Autorius. DNS: 50 000 domenų
|
Šalies aukščiausio lygio domenų registras
|
MT
|
25 proc. rinkos dalies
|
DNS keitikliai: 78 000 prašymų per dieną; Autorius. DNS: 7 800 domenų
|
750 000 prašymų per dieną
|
PL
|
susietos autonominės sistemos
≥ 100
|
Autorius. DNS: 100 000 domenų
|
Aukščiausio lygio domenų registrai, skirti bent 100 000 abonentų
|
SE
|
(paslauga neidentifikuota)
|
DNS keitikliai: 100 000 naudotojų; Autorius. DNS: 25 000 domenų
|
250 000 domenų
|
SK
|
Autonominė sistema (AS), jungianti ne mažiau kaip dvi kitas AS, esant 2 Gbps
|
DNS keitikliai: 3 mln. užklausų per parą; Autorius. DNS: > 1 000 domenų
|
Aukščiausio lygio domenų registras
|
UK
|
rinkos dalis > 50 proc. arba
visuotinių interneto ryšio tinklų sujungiamumas ≥ 50 proc.
|
DNS keitikliai: 2 000 000 klientų per dieną;
Autorius. DNS: 250 000 domenų
|
Aukščiausio lygio domenų registrai ≥ 2 mlrd. užklausų per dieną
|
Tarpsektorinių ribų taikymas
|
CY
|
50 000 naudotojų arba
5 proc. rinkos abonentų
|
50 000 naudotojų arba
5 proc. rinkos abonentų
|
50 000 naudotojų arba
5 proc. rinkos abonentų
|
LT
|
gyventojai > 145 000
|
gyventojai > 145 000
|
gyventojai > 145 000
|
LU
|
100 proc. rinkos dalies
|
13 500 sutarčių
|
100 proc. rinkos dalies
|
4 lentelė. 16 valstybių narių skaitmeninės infrastruktūros sektoriuje pasirinktos ribos
2.4Identifikuotų operatorių skaičius
Esminių paslaugų sąrašai ir ribos yra svarbiausi nuoseklaus esminių paslaugų operatorių identifikavimo veiksniai. Iš ankstesnių skirsnių matyti, kad abiem atvejais valstybės narės TIS direktyvos nuostatas taikė įvairiais būdais, todėl vėliau identifikuojant esminių paslaugų operatorius gali kilti nuoseklumo problema. Šiame skirsnyje lyginamas II priede nurodytuose valstybių narių sektoriuose ir subsektoriuose identifikuotų operatorių skaičius.
3 diagrama. Esminių paslaugų operatoriai, kuriuos valstybės narės identifikavo visuose II priede nurodytuose sektoriuose (100 000 gyventojų, o išskirtys ir trūkstami duomenys praleisti siekiant aiškumo)
Bendras valstybių narių Komisijai nurodytų esminių paslaugų operatorių skaičius svyruoja nuo 20 iki 10 897 , o vidurkis – 633 esminių paslaugų operatoriai kiekvienoje valstybėje narėje (visų valstybių narių skaičiai pateikiami šios ataskaitos priedo 4.2 skirsnyje). Apskritai esama aiškaus teigiamo ryšio tarp šalies dydžio ir identifikuotų operatorių skaičiaus. Tačiau tai nepakankamai paaiškina, kodėl esama didelių valstybių narių pateiktų skaičių skirtumų. Siekiant atsižvelgti į dydžio ir gyventojų skaičiaus ryšį,
3 diagramoje
lyginamas valstybėse narėse identifikuotų esminių paslaugų operatorių skaičius 100 000 gyventojų. Remiantis duomenimis matyti, kad požiūris, kurio valstybės narės laikėsi identifikuodamos operatorius, lėmė labai skirtingus rezultatus.
Atlikus nuodugnesnį sektorių ir subsektorių tyrimą, atskleisti dideli valstybių narių identifikuotų operatorių skaičiaus skirtumai visuose II priede nurodytuose sektoriuose (
4 diagramoje
). Pavyzdžiui, energetikos sektoriuje šis skaičius svyruoja nuo 0,3 iki 29 operatorių 1 000 000 gyventojų. Bankų sektoriuje skaičius svyruoja nuo 0,07 iki 51 operatoriaus 1 000 000 gyventojų (neatsižvelgiant į tas valstybes nares, kurios tame sektoriuje neidentifikavo jokių esminių paslaugų operatorių).
4 diagrama. 25 valstybių narių kiekviename sektoriuje ir subsektoriuje identifikuotų esminių paslaugų operatorių skaičius (1 000 000 gyventojų pagal logaritminę skalę, o išskirtys praleistos siekiant aiškumo). Kiekvienas duomenų taškas – tai valstybės narės atitinkamame (sub)sektoriuje identifikuotų esminių paslaugų operatorių skaičius.
2.5Direktyvos taikymas kitiems nei II priede nurodytiems sektoriams
Išnagrinėjus pateiktus duomenis paaiškėjo, kad 11 iš 28 valstybių narių yra identifikavusios esmines paslaugas sektoriuose, kuriems netaikomas Direktyvos II priedas. Iš šių 11 valstybių narių 7 identifikavo iš viso 157 esminių paslaugų operatorius, teikiančius paslaugas, kurių neteikė II priede nurodytų rūšių subjektai.
Papildomas sektorius
|
Subjektų pavyzdžiai
|
Valstybių narių skaičius
|
Informacinės infrastruktūros
|
Duomenų centrai, serverių ūkiai
|
5
|
Finansinės paslaugos (II priede neišvardyti subjektai)
|
Draudimo ir perdraudimo bendrovės
|
4
|
Valdžios sektoriaus paslaugos
|
Elektroninės paslaugos piliečiams
|
4
|
Šiluma
|
Šilumos gamintojai ir tiekėjai
|
3
|
Nuotekos
|
Surinkimo ir valymo įrenginiai
|
3
|
Logistika
|
Pašto paslaugos
|
2
|
Maistas
|
Gamintojai, prekybos vietos
|
2
|
Aplinka
|
Pavojingų atliekų šalinimas
|
2
|
Nacionalinis saugumas / pagalbos tarnybos
|
112, krizių valdymas
|
2
|
Chemijos pramonė
|
Medžiagų tiekėjai ir gamintojai
|
2
|
Socialinės paslaugos
|
Už socialines išmokas atsakingi subjektai
|
1
|
Švietimas
|
Už nacionalinius egzaminus atsakingos institucijos
|
1
|
Kolektyvinis aprūpinimas maistu ir gėrimais
|
Paskirstymo valdymas
|
1
|
Vanduo
|
Hidraulinės konstrukcijos
|
1
|
5 lentelė. Sektoriai, kuriuos, be II priede išvardytų sektorių, pasirinko valstybės narės
Informacinės infrastruktūros (identifikuotos penkiose valstybėse narėse), II priede neišvardytų subjektų teikiamos finansinės paslaugos (identifikuotos keturiose valstybėse narėse) ir valdžios sektoriaus paslaugos (identifikuotos keturiose valstybėse narėse) yra populiariausios kategorijos (
5 lentelė
).
Atsižvelgdamos į kibernetinio atsparumo svarbą ekonomikos ir visos visuomenės veikimui, kelios valstybės narės nusprendė pasinaudoti galimybe įtraukti kitus sektorius, nei išvardytieji II priede. Tai, kad kelios valstybės narės nusprendė taikyti TIS direktyvą papildomiems sektoriams, kelia klausimą, ar dabartinė II priedo taikymo sritis yra tinkama, kad būtų pasiektas tikslas apsaugoti visus Sąjungos operatorius, kurie yra itin svarbūs visuomenei ir ekonomikai.
2.6Tarpvalstybinio konsultavimosi procedūra
TIS direktyvos 5 straipsnio 4 dalyje reikalaujama, kad valstybės narės, prieš priimdamos galutinį sprendimą dėl operatorių, teikiančių paslaugas daugiau nei vienoje valstybėje narėje, identifikavimo, konsultuotųsi tarpusavyje. 2018 m. liepos mėn. Bendradarbiavimo grupė paskelbė informacinį dokumentą, siekdama padėti valstybėms narėms vykdyti tinkamas tarpvalstybines konsultacijas.
Remiantis gauta informacija, tik labai nedaug nacionalinių institucijų nusprendė kreiptis į savo kolegas kitose valstybėse narėse ir tik dvi valstybės narės kreipėsi į kitas valstybes nares, kad gautų išsamesnės informacijos. Be to, tik kelios valstybės narės nurodė, kad jos ne taip sistemingai kreipėsi į kitas institucijas. Nors tarpvalstybinės paslaugos yra itin svarbios vidaus rinkai, dauguma valstybių narių, kurios kreipėsi į kitas valstybes nares, tai padarė tik dėl nedaugelio operatorių. Nepaisant to, kad valstybės narės ribotai naudojasi šia procedūra, daugelis nacionalinių institucijų išreiškė susidomėjimą tarpvalstybinio konsultavimosi procesu ir mano, kad tai yra svarbus TIS identifikavimo sistemos elementas. Iš tiesų, kelios valstybės narės išreiškė susirūpinimą, kad be veiksmingų tarpvalstybinių konsultacijų operatoriai gali būti priversti laikytis daugybės skirtingų reguliavimo reikalavimų arba gali atsidurti nepalankioje padėtyje, palyginti su kitais nuosaikiau reguliuojamais rinkoje veikiančiais esminių paslaugų operatoriais.
Komisija kartu su nacionalinėmis institucijomis nurodė keletą priežasčių, kodėl konsultavimosi procedūra kol kas nėra taikoma, kaip numatyta:
·Daugelis valstybių narių, identifikuodamos savo esminių paslaugų operatorius, užtruko ilgiau, nei tikėjosi. Todėl anksti tai padariusios šalys nemanė galinčios pasikonsultuoti su šiomis šalimis.
·Saugių kanalų, kuriais būtų galima perduoti informaciją, stoka: kai kurios valstybės narės nenorėjo bendrauti su savo kolegomis, nes operatorių pavadinimus laikė įslaptinta informacija.
·didelis esamų tarpvalstybinės priklausomybės atvejų skaičius, dėl kurio atsirado poreikis susisiekti su daugeliu susijusių valstybių narių, ypač kai tai susiję su visoje Europoje veikiančiais operatoriais.
·Trūksta bendro supratimo apie tarpvalstybinių konsultacijų tikslus ir mastą: nors kai kurios valstybės narės tai laiko tik priemone informuoti viena kitą apie esminių paslaugų operatorių identifikavimo atvejus, turinčius tarpvalstybinį poveikį, kitos šalys mano, kad šiomis konsultacijomis siekiama suderinti ribas ir reguliavimo reikalavimus. Direktyvos 24 konstatuojamojoje dalyje teigiama, kad šia procedūra visų pirma siekiama bendrai įvertinti ypatingą operatoriaus svarbą identifikavimo proceso tikslais.
·Kita problema kyla, kai į valstybę narę dėl to paties operatoriaus kreipiasi kitos dvi valstybės narės. Tokiu atveju atitinkama valstybė narė gali nesugebėti tuo pat metu suderinti savo taisyklių su abiem valstybėmis narėmis. Šiuo tikslu 24 konstatuojamoje dalyje numatytos daugiašalės diskusijos. Svarbu, kad valstybės narės naudotųsi šia galimybe siekdamos užtikrinti nuoseklumą.
2.7Lex specialis principo laikymasis vykdant identifikavimo procesą
Komisija nustatė, kad valstybės narės ne visai nuosekliai taiko lex specialis principą. Dėl šios priežasties Direktyva buvo taikoma nevienodai, todėl, viena vertus, esminių paslaugų operatoriai buvo identifikuojami tose srityse, kuriose taikomos konkretiems sektoriams skirtos taisyklės, kita vertus, kai kuriuose II priede išvardytuose sektoriuose identifikuota nepakankamai esminių paslaugų operatorių.
1 straipsnio 3 dalyje nustatyta, kad TIS direktyva netaikoma įmonėms, kurioms taikomi Telekomunikacijų pagrindų direktyvoje nustatyti reikalavimai. Tačiau atrodo, kad kai kurios valstybės narės identifikavo esminių paslaugų operatorius, teikiančius paslaugas, kurios faktiškai turėtų būti reglamentuojamos pagal Telekomunikacijų pagrindų direktyvą, pavyzdžiui, prieigos prie interneto ir telefonijos paslaugos.
Be to, pagal 1 straipsnio 7 dalį TIS direktyvos nuostatos dėl saugumo reikalavimų ir pranešimo apie incidentus netaikomos operatoriams, kurie jau reglamentuojami konkrečiam sektoriui taikomais Sąjungos teisės aktais, kuriuose nustatytos bent lygiaverčio poveikio pareigos.
Nors dauguma valstybių narių identifikavo esminių paslaugų operatorius bankų ir finansų rinkų sektoriuose, kelios valstybės narės jų neidentifikavo, teigdamos, kad operatoriai teikia paslaugas, kurioms taikomi leges speciales.
Komisija vis dar renka išsamią informaciją apie lex specialis principo taikymą pagal TIS direktyvą. Šiuo metu ji atlieka išsamius nacionalinės teisės aktų ir šalių vizitų patikrinimus, kad įvertintų dabartinį perkėlimo į nacionalinę teisę ir įgyvendinimo lygį, įskaitant lex specialis nuostatas. Tuo remdamasi Komisija ketina toliau vesti diskusijas dėl lex specialis principo Bendradarbiavimo grupėje, siekdama geresnio suderinimo visose valstybėse narėse.
3.Išvados
Šioje ataskaitoje vertinamas požiūris, kurio valstybės narės laikėsi identifikuodamos esminių paslaugų operatorius pagal TIS direktyvą. Jos tikslas – įvertinti valstybių narių praktikos nuoseklumą atsižvelgiant į galimą dabartinės sistemos poveikį vidaus rinkos veikimui ir su kibernetine priklausomybe susijusios rizikos valdymui.
Iš atliktos analizės matyti, kad TIS direktyva daugelyje valstybių narių atliko katalizatoriaus funkciją ir sudarė sąlygas iš esmės keisti institucinę ir reguliavimo aplinką kibernetinio saugumo srityje. Be to, įpareigojimas identifikuoti esminių paslaugų operatorius paskatino beveik visose valstybėse narėse atlikti išsamų rizikos, susijusios su operatoriais, užsiimančiais ypatingos svarbos veikla ir veikiančiais šiuolaikinių tinklų ir informacinių sistemų srityse, vertinimą. Tai galima laikyti visos Sąjungos laimėjimu siekiant Direktyvos tikslų.
Rengdama šią ataskaitą, Komisija išnagrinėjo nacionalines identifikavimo metodikas, paslaugas, kurias nacionalinės institucijos laiko esminėmis, identifikavimo ribas ir esminių paslaugų operatorių, identifikuotų įvairiuose sektoriuose, kuriems taikoma ši direktyva, skaičių.
·Valstybės narės parengė įvairias metodikas, susijusias su bendru požiūriu į esminių paslaugų operatorių identifikavimą (2.1 skirsnis), taip pat susijusias su esminių paslaugų apibrėžtimi ir ribų nustatymu. Tai gali neigiamai paveikti nuoseklų TIS nuostatų taikymą visoje Sąjungoje ir turėti padarinių tinkamam vidaus rinkos veikimui bei veiksmingam kibernetinės priklausomybės valdymui.
·Be to, atrodo, kad valstybės narės skirtingai aiškina, kas yra esminė paslauga pagal TIS direktyvą, ir taiko skirtingą išsamumo lygį (žr. 2.2 skirsnį). Todėl sunku palyginti esminių paslaugų sąrašus. Be to, Direktyvos taikymo sritis suskaidyta – kai kurie operatoriai susiduria su papildomu reguliavimu (nes juos identifikavo atitinkama valstybė narė), o kitiems, teikiantiems panašias paslaugas, toks reguliavimas netaikomas (nes jie neidentifikuoti). Siekiant pašalinti šiuos neatitikimus, įgyvendinant tolesnius veiksmus, grindžiamus valstybių narių patirtimi, galėtų būti sudarytas labiau suderintas esminių paslaugų sąrašas.
·Be to, ataskaitoje taip pat nustatyta didelių neatitikimų, susijusių su tuo, kaip valstybės narės taiko ribas (2.3 skirsnis). Tolesnis ribų derinimas ES lygmeniu galėtų padėti sumažinti šią problemą. Pavyzdžiui, toks darbas galėtų būti atliekamas pagal sektorių darbo kryptis Bendradarbiavimo grupėje, atsižvelgiant į nacionalinius ypatumus, pavyzdžiui, konkrečius mažų valstybių narių reikalavimus.
·Remiantis tuo, kad kai kurios šalys pasinaudojo galimybe identifikuoti papildomas paslaugas kituose sektoriuose ar subsektoriuose, kuriems taikomas II priedas, akivaizdu, kad, be numatytųjų TIS direktyvoje, yra ir kitų sektorių, kuriems kibernetiniai incidentai gali daryti poveikį (2.5 skirsnis). Identifikavus esminių paslaugų operatorius sektoriuose, kurių neapima II priede išvardyti subjektai ir valdžios sektorius, pavyzdžiui, informacinių infrastruktūrų, finansinių paslaugų sektoriai, gali padidėti tokiuose sektoriuose veikiančių organizacijų kibernetinis atsparumas. Tačiau, jei tokiuose sektoriuose esminių paslaugų operatorius nustato tik kelios valstybės narės, tai gali turėti neigiamų pasekmių vidaus rinkai ir vienodoms sąlygoms, kurias direktyva turėtų užtikrinti.
Daugelis nacionalinių institucijų sukurtų metodikų ir geriausios patirties pavyzdžių yra ypač vertingi ir į juos turėtų būti atsižvelgiama ateityje, pavyzdžiui, Bendradarbiavimo grupės veikloje ir valstybėse narėse nuolat identifikuojant esminių paslaugų operatorius. Tačiau dabartinis įvairovės lygis gali daryti neigiamą poveikį siekiant Direktyvos tikslų.
Komisija daro preliminarią išvadą, kad nors TIS direktyva pradėtas itin svarbus procesas, kuriuo siekiama didinti ir gerinti operatorių rizikos valdymo praktiką ypatingos svarbos sektoriuose, visoje Sąjungoje esama didelio susiskaidymo, susijusio su esminių paslaugų operatorių identifikavimu. Iš dalies tai lemia Direktyvos struktūra, iš dalies – skirtingos įgyvendinimo metodikos, kurias taiko valstybės narės.
Valstybės narės turėtų siekti kuo nuosekliau taikyti TIS direktyvos nuostatas, visapusiškai naudodamosi Komisijos ir Bendradarbiavimo grupės parengtais rekomendaciniais dokumentais. Todėl Komisija nustatė keletą nacionalinių veiksmų, kurie galėtų padėti išspręsti šioje ataskaitoje nurodytas problemas:
·Daugelyje valstybių narių nepavyko per Direktyvoje nustatytą laikotarpį užbaigti esminių paslaugų operatorių identifikavimo proceso. Be to, šios ataskaitos paskelbimo dieną 23 valstybės narės pateikė visus duomenis, kurių reikalaujama pagal 5 straipsnio 7 dalį. Dar 5 valstybės narės pateikė dalinę informaciją. Komisija primygtinai ragina už identifikavimą atsakingas nacionalines institucijas kuo greičiau užbaigti šį procesą ir nedelsiant perduoti Komisijai būtiną informaciją.
·Kompetentingos institucijos turėtų reguliariai peržiūrėti savo esminių paslaugų sąrašus ir užtikrinti, kad būtų identifikuotos visos esamos esminės paslaugos, siekiant sumažinti „nuoseklumo spragų“, susijusių su esminėmis paslaugomis visoje vidaus rinkoje, skaičių.
·Valstybės narės turėtų aktyviau bendradarbiauti, kad, kai įmanoma, būtų suderintos ribos, ypač sektoriuose, kuriems būdingas tvirtas tarpvalstybinis aspektas, pavyzdžiui, transporto ar energetikos. Tai galima pasiekti taikant TIS direktyvos 5 straipsnio 4 dalyje numatytą tarpvalstybinio konsultavimosi procedūrą, taip pat geriau panaudojant esamas Bendradarbiavimo grupės struktūras.
·Nacionalinės institucijos turėtų konsultuotis tarpusavyje, siekdamos užtikrinti, kad vidaus rinkoje tarpvalstybiniams operatoriams būtų taikomi panašūs saugumo ir pranešimo apie incidentus reikalavimai. Be to, valstybės narės turėtų susisiekti su tokiais operatoriais, kad surinktų daugiau informacijos apie reguliavimo skirtumus. Kibernetinis atsparumas neturėtų būti stiprinamas didinant reguliavimo skirtumus. Prireikus valstybės narės taip pat turėtų dalyvauti daugiašalėse diskusijose, kaip numatyta TIS direktyvos 24 konstatuojamojoje dalyje.
Be nacionalinių veiksmų, yra keletas priemonių, kurias būtų galima taikyti Sąjungos lygmeniu ir kurios padėtų užtikrinti didesnį nuoseklumą. Komisija pradės diskusijas siekdama pagerinti nevienodą ir kartais suskaidytą identifikavimo aplinką. Kai kurios galimos priemonės:
·Reikėtų stiprinti TIS bendradarbiavimo grupės vaidmenį, kad būtų skatinamas bendras supratimas, kaip nuosekliau įgyvendinti Direktyvą. Šiuo tikslu Komisija pasiūlys skubiai peržiūrėti esamos specialios darbo krypties, susijusios su esminių paslaugų operatorių identifikavimu, gaires, kad būtų galima geriau išspręsti esamų neatitikimų klausimą. Bendradarbiavimo grupė taip pat turėtų išnagrinėti galimybę sukurti papildomas sektorių darbo kryptis, kad padidėtų valstybių narių suderinamumas ir būtų naudojamasi specialiai sukurta komunikacijos priemone, skirta bendradarbiavimui grupėje stiprinti.
·Tik kelios valstybės narės šiuo metu taiko tarpvalstybinio konsultavimosi procedūrą, siekdamos identifikuoti operatorius, teikiančius esmines paslaugas daugiau nei vienoje valstybėje narėje. Siekiant pagerinti keitimąsi informacija, Bendradarbiavimo grupė turėtų peržiūrėti savo informacinį dokumentą dėl konsultacijų proceso tvarkos tais atvejais, kai daromas tarpvalstybinis poveikis, ir susitarti dėl nuoseklaus tokio keitimosi informacija taikymo srities, tikslų ir procedūrų aiškinimo. Kartu Komisija ieškos būdų, kaip saugiai keistis informacija tarp kompetentingų institucijų.
·Atrodo, kad valstybėse narėse nenuosekliai taikomos Direktyvos nuostatos dėl lex specialis. Todėl Komisija pasinaudos Bendradarbiavimo grupės struktūromis, kad aptartų atvejus, kai lex specialis principo taikymas gali būti netinkamas.
Veiksmai, kurių imamasi Sąjungos lygmeniu, turėtų užtikrinti nuoseklią sistemą, atsižvelgiant į sektorių veiklą, kurioje numatomi konkretūs arba griežtesni reikalavimai dėl kibernetinio saugumo ir kitų Europos teisės aktų.
4.Priedai
4.1Turimų duomenų apžvalga pagal valstybes nares
Valstybė narė
|
Pateikimo data
|
Paslaugų sąrašas
|
Esminių paslaugų operatorių skaičius
|
Ribos
|
AT
|
Pateikta pavėluotai
|
Pateikta
|
TRŪKSTA
|
Pateikta
|
BE
|
Pateikta pavėluotai
|
Pateikta
|
TRŪKSTA
|
TRŪKSTA
|
BG
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
CY
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
CZ
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
DE
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
DK
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
EE
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
EL
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
ES
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
FI
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
FR
|
Laiku
|
Pateikta
|
Pateikta
|
Nėra oficialių ribų
|
HR
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
HU
|
Laiku
|
Pateikta iš dalies
|
Pateikta iš dalies
|
Pateikta iš dalies
|
IE
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
IT
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
LT
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
LU
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
LV
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
MT
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
NL
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta
|
Pateikta
|
PL
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
PT
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
RO
|
Pateikta pavėluotai
|
Pateikta
|
Pateikta iš dalies
|
TRŪKSTA
|
SE
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
SI
|
Pateikta pavėluotai
|
Pateikta
|
TRŪKSTA
|
Pateikta
|
SK
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
UK
|
Laiku
|
Pateikta
|
Pateikta
|
Pateikta
|
4.2Paslaugų ir esminių paslaugų operatorių, kuriuos identifikavo kiekviena valstybė narė, skaičius
Valstybė narė
|
Identifikuoti esminių paslaugų operatoriai
|
Paslaugos pagal II priedą
|
Papildomos paslaugos
|
AT
|
0
|
46
|
0
|
BE
|
0
|
31
|
0
|
BG
|
185
|
30
|
3
|
CY
|
20
|
29
|
17
|
CZ
|
50
|
31
|
12
|
DE
|
573
|
15
|
12
|
DK
|
128
|
39
|
0
|
EE
|
137
|
18
|
6
|
EL
|
67
|
30
|
0
|
ES
|
132
|
55
|
18
|
FI
|
10 897
|
20
|
0
|
FR
|
127
|
70
|
20
|
HR
|
85
|
49
|
2
|
HU
|
42
|
12
|
0
|
IE
|
64
|
26
|
0
|
IT
|
553
|
37
|
0
|
LT
|
22
|
37
|
0
|
LU
|
49
|
21
|
0
|
LV
|
66
|
18
|
0
|
MT
|
36
|
29
|
2
|
NL
|
42
|
12
|
0
|
PL
|
142
|
87
|
0
|
PT
|
1 250
|
26
|
0
|
RO
|
86
|
77
|
0
|
SE
|
326
|
27
|
0
|
SI
|
0
|
34
|
2
|
SK
|
273
|
28
|
7
|
UK
|
470
|
34
|
0
|
4.3Valstybių narių identifikuotos paslaugos elektros energijos subsektoriuje
Valstybė narė
|
Identifikuotos paslaugos
|
AT
|
̶Elektros energijos gamybos įrenginiai
̶Gamybos įrenginių kontrolės sistemos
̶Paskirstymo tinklai
̶Perdavimo tinklai
|
BE
|
̶Gamybos, transporto ir paskirstymo bendrovės
̶Elektros energijos skirstymas
̶Elektros energijos perdavimas
|
BG
|
̶Elektros energijos gamyba
̶Elektros energijos perdavimas
̶Elektros energijos perdavimo sistemų eksploatavimas, techninė priežiūra ir plėtra
̶Elektros energijos skirstymas
̶Elektros energijos skirstymo sistemų veikimo ir techninės priežiūros užtikrinimas
̶Elektros energijos rinka
|
CY
|
̶Gamyba / tiekimas
̶Skirstymas / perdavimas
̶Elektros energijos rinkos paslaugos
|
CZ
|
̶Elektros energijos gamyba
̶Elektros energijos pardavimas
̶Perdavimo sistemų veikimas
̶Skirstymo sistemų veikimas
|
DE
|
̶Energijos tiekimas
|
DK
|
̶Elektros energijos perdavimas
̶Elektros energijos skirstymas
̶Elektros energijos gamyba
|
EE
|
̶Elektros energijos tiekimas
|
EL
|
̶Elektros energijos tiekimas
̶Elektros energijos skirstymas
̶Elektros energijos perdavimas
|
ES
|
̶Elektros energijos gamyba
̶Elektros energijos perdavimas
̶Elektros energijos skirstymas
̶Elektros sistemų veikimo ir kontrolės centrai
|
FI
|
̶Perdavimo paslauga
̶Elektros energijos skirstymas skirstomajame tinkle
̶Elektros energijos tiekimas aukštosios įtampos skirstomaisiais tinklais
|
FR
|
̶Elektros energijos pardavimas arba perpardavimas didmeniniams ir galutiniams vartotojams
̶Elektros energijos skirstymas
̶Elektros energijos perdavimas
|
HR
|
̶Elektros energijos gamyba
̶Elektros energijos perdavimas
̶Elektros energijos skirstymas
|
HU
|
̶Elektros energija
|
IE
|
̶Skirstymo sistemų operatoriai
̶Elektros energijos įmonės
̶Perdavimo sistemų operatoriai
|
IT
|
̶Gamyba
̶Prekyba
̶Perdavimas
̶Skirstymas
|
LT
|
̶Elektros energijos gamybos paslauga
̶Elektros energijos perdavimo paslauga
̶Elektros energijos skirstymo paslauga
̶Elektros energijos tiekimo paslauga
|
LU
|
̶Elektros energijos tiekimas
̶Elektros energijos skirstymas
̶Elektros energijos perdavimas
|
LV
|
̶Elektros energijos gamyba
̶Elektros energijos skirstymas
̶Elektros energijos perdavimas
|
MT
|
̶Elektros energijos tiekimas vartotojams
̶Elektros energijos perdavimas ir (arba) skirstymas vartotojams
̶Elektros energijos gamyba vartotojams
|
NL
|
̶Elektros energijos perdavimas ir skirstymas
|
PL
|
̶Elektros energijos gamyba
̶Elektros energijos perdavimas
̶Elektros energijos skirstymas
̶Prekyba elektros energija
̶Elektros energijos kaupimas
̶Kokybės užtikrinimo paslaugos ir energetikos infrastruktūros valdymas
|
PT
|
̶Skirstymo sistemų operatoriai
̶Perdavimo sistemų operatoriai
|
RO
|
̶Elektros energijos gamyba
̶Elektros energijos tiekimas vartotojams
̶Centralizuotų elektros energijos rinkų veikimas
̶Elektros energijos perdavimas
̶Energijos sistemos veikimas
̶Elektros energijos skirstymas
|
SE
|
̶Perdavimo sistemų operatoriai
̶Skirstymo sistemų operatoriai
̶Gamyba
̶Didmeninė prekyba
|
SI
|
̶Elektros energijos gamyba hidroelektrinėse
̶Elektros energijos gamyba šiluminėse elektrinėse, atominėse elektrinėse
̶Elektros energijos perdavimas
̶Elektros energijos skirstymas
̶Prekyba elektros energija
|
SK
|
̶Elektros energijos bendrovė
̶Perdavimo sistemų operatoriai
̶Skirstymo sistemų operatoriai
|
UK
|
̶Elektros energijos tiekimas
̶Elektros energijos perdavimas
̶Elektros energijos skirstymas
|
4.4Valstybių narių identifikuotos paslaugos geležinkelių transporto subsektoriuje
Valstybė narė
|
Identifikuotos paslaugos
|
AT
|
̶Geležinkelių infrastruktūros
̶Krovinių vežimas geležinkeliais
̶Keleivių vežimas geležinkeliais
̶Geležinkelio stotys
|
BE
|
̶Infrastruktūros valdytojai
̶Geležinkelio įmonės
|
BG
|
̶Paslaugų įrenginių teikimas, techninė priežiūra ir valdymas
̶Geležinkelių transportas, kurį vykdo geležinkelių vežėjai
̶Gairių dėl geležinkelių transporto teikimas
|
CY
|
Šiame subsektoriuje identifikuota nebuvo
|
CZ
|
̶Geležinkelio naudojimas
̶Geležinkelių transporto ar geležinkelių paslaugų įrenginio naudojimas
|
DE
|
̶Geležinkelis
|
DK
|
̶Geležinkelių infrastruktūros valdymas
̶Geležinkelių transportas
|
EE
|
̶Geležinkelių infrastruktūros valdytojas
̶Geležinkelių transporto paslauga
|
EL
|
̶Geležinkelių infrastruktūros valdymas
̶Vežimo geležinkeliu paslaugos
|
ES
|
̶Vežimo geležinkeliu paslaugų valdymas
̶Geležinkelių transporto valdymas
̶Geležinkelių tinklo paslaugos
̶Geležinkelių informacijos ir telekomunikacijų valdymas
|
FI
|
̶Valstybės infrastruktūros valdymas
̶Eismo valdymo paslaugos
|
FR
|
̶Vežimo geležinkeliu paslaugos
̶Geležinkelių eismo kontrolė ir valdymas
̶Infrastruktūros techninė priežiūra
̶Kroviniai ir pavojingos medžiagos
̶Keleivių vežimas
̶Riedmenų techninė priežiūra
̶Metro, tramvajai ir kitos lengvojo bėginio transporto paslaugos (įskaitant požeminio transporto paslaugas)
|
HR
|
̶Geležinkelių infrastruktūros, įskaitant eismo valdymą ir kontrolės, valdymo ir signalizacijos posistemį, valdymas ir priežiūra
̶Prekių ir (arba) keleivių vežimo geležinkeliais paslaugos
̶Paslaugų įrenginių valdymas ir paslaugų teikimas
̶Papildomų paslaugų, reikalingų prekių ar keleivių vežimui geležinkeliais, teikimas
|
HU
|
Šiame subsektoriuje identifikuota nebuvo
|
IE
|
̶Infrastruktūros valdytojai
̶Geležinkelio įmonės
|
IT
|
Šiame subsektoriuje identifikuota nebuvo
|
LT
|
̶Keleivių ir bagažo vežimas geležinkeliais
̶Krovinių vežimo geležinkeliais paslaugos
̶Geležinkelių infrastruktūros plėtros, valdymo ir techninės priežiūros paslauga
|
LU
|
̶Geležinkelių infrastruktūros valdymas
̶Krovinių ir keleivių vežimas geležinkeliais
|
LV
|
Netaikoma
|
MT
|
Netaikoma
|
NL
|
Šiame subsektoriuje identifikuota nebuvo
|
PL
|
̶Traukinių tvarkaraščių rengimas
̶Keleivių vežimas geležinkeliais
̶Krovinių vežimas geležinkeliais
|
PT
|
̶Infrastruktūros valdytojai, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos 2012/34/ES 3 straipsnio 2 punkte
̶Geležinkelio įmonės, kaip apibrėžta Direktyvos 2012/34/ES 3 straipsnio 1 punkte, įskaitant paslaugų įrenginių operatorius, kaip apibrėžta Direktyvos 2012/34/ES 3 straipsnio 12 punkte
|
RO
|
̶Eismo kontrolė ir valdymas
̶Krovinių vežimas
̶Pavojingųjų krovinių vežimas
̶Keleivių vežimas
̶Metro, tramvajaus ir kitos lengvojo bėginio transporto paslaugos
̶Geležinkelių infrastruktūros techninė priežiūra
̶Riedmenų techninė priežiūra
|
SE
|
̶Infrastruktūros valdymas
̶Keleivių vežimas
̶Krovinių vežimas
|
SI
|
̶Tarpmiestinis keleivių vežimas geležinkeliais
̶Krovinių vežimas geležinkeliais
̶Sausumos transportui būdingos paslaugos (geležinkelio stočių eksploatavimas ir kt.)
|
SK
|
̶Infrastruktūros operatoriai
̶Geležinkelio įmonės
|
UK
|
̶Vežimo geležinkeliu paslaugos
̶Greitųjų traukinių paslaugos
̶Metro, tramvajai ir kitos lengvojo bėginio transporto paslaugos (įskaitant požeminio transporto paslaugas)
̶Tarptautinės vežimo geležinkeliu paslaugos
|