(1)

Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 (4) buvo siekiama sukurti kibernetinio saugumo pajėgumus visoje Sąjungoje, sumažinti grėsmes tinklų ir informacinėms sistemoms, kurios naudojamos teikiant esmines paslaugas pagrindiniuose sektoriuose, ir užtikrinti tokių paslaugų nuolatinį teikimą įvykus incidentams, taip prisidedant prie Sąjungos saugumo ir veiksmingo jos ekonomikos ir visuomenės veikimo;

(2)

nuo Direktyvos (ES) 2016/1148 įsigaliojimo padaryta didelė pažanga didinant Sąjungos kibernetinio atsparumo lygį. Atlikus direktyvos peržiūrą, paaiškėjo, kad ji tapo institucinio ir reguliavimo požiūrio į kibernetinį saugumą Sąjungoje paskata ir sudarė sąlygas reikšmingam mąstysenos pokyčiui. Direktyva padėjo galutinai sukurti nacionalines tinklų ir informacinių sistemų saugumo sistemas parengiant nacionalines tinklų ir informacinių sistemų saugumo strategijas, nustatant nacionalinius pajėgumus ir įgyvendinant reguliavimo priemones, taikomas esminiams infrastruktūros objektams ir kiekvienos valstybės narės identifikuotiems subjektams. Direktyva (ES) 2016/1148 taip pat prisidėta prie bendradarbiavimo Sąjungos lygmeniu įsteigus Bendradarbiavimo grupę ir sukuriant nacionalinių reagavimo į kompiuterinius saugumo incidentus tarnybų tinklą. Nepaisant tų laimėjimų, atlikus Direktyvos (ES) 2016/1148 peržiūrą paaiškėjo jos trūkumai, trukdantys veiksmingai spręsti dabartines ir naujas kibernetinio saugumo problemas;

(3)

tinklų ir informacinės sistemos dėl sparčios skaitmeninės transformacijos ir visuomenės tarpusavio junglumo, įskaitant tarpvalstybinius mainus, tapo pagrindiniu kasdienio gyvenimo aspektu. Dėl tokių pokyčių kibernetinių grėsmių padėtis tapo sudėtingesnė ir atsirado naujų problemų, kurioms spręsti reikia pritaikytų, koordinuotų ir novatoriškų atsakomųjų veiksmų visose valstybėse narėse. Incidentų skaičius, mastas, sudėtingumas, dažnumas ir poveikis didėja bei kelia didelę grėsmę tinklų ir informacinių sistemų veikimui. Todėl incidentai gali trukdyti vykdyti ekonominę veiklą vidaus rinkoje, sukelti finansinių nuostolių, pakirsti naudotojų pasitikėjimą ir padaryti didelę žalą Sąjungos ekonomikai ir visuomenei. Todėl kibernetinio saugumo parengtis ir veiksmingumas kaip niekad anksčiau yra labai svarbūs tinkamam vidaus rinkos veikimui. Be to, kibernetinis saugumas yra daugelio ypatingos svarbos sektorių pagrindinė įgalinanti priemonė siekiant sėkmingai vykdyti skaitmeninę transformaciją ir visapusiškai pasinaudoti skaitmeninimo teikiama ekonomine, socialine ir tvarumo nauda;

(4)

Direktyvos (ES) 2016/1148 teisinis pagrindas buvo Sutarties dėl Europos Sąjungos veikimo (SESV) 114 straipsnis, kurio tikslas – tobulinant nacionalinių taisyklių suderinimo priemones sukurti vidaus rinką ir užtikrinti jos veikimą. Subjektams, teikiantiems ekonomiškai svarbias paslaugas arba vykdantiems ekonomiškai svarbią veiklą, nustatyti kibernetinio saugumo reikalavimai valstybėse narės gerokai skiriasi atsižvelgiant į reikalavimų rūšį, jų išsamumo lygį ir priežiūros metodą. Dėl tų skirtumų patiriama papildomų išlaidų, o prekes ar paslaugas tarpvalstybiniu mastu tiekiantiems ar tiekiantiems subjektams kyla sunkumų. Vienos valstybės narės nustatyti reikalavimai, kurie skiriasi nuo kitos valstybės narės nustatytų reikalavimų arba net jiems prieštarauja, gali daryti didelį poveikį tokiai tarpvalstybinei veiklai. Be to, tikėtina, kad dėl netinkamos kibernetinio saugumo reikalavimų struktūros arba įgyvendinimo vienoje valstybėje narėje kils pasekmių kitų valstybių narių kibernetinio saugumo lygiui, visų pirma atsižvelgiant į tarpvalstybinių mainų intensyvumą. Atlikus Direktyvos (ES) 2016/1148 peržiūrą, paaiškėjo, kad valstybėse narėse ji įgyvendinama labai įvairiai, be kita ko, kiek tai susiję su jos taikymo sritimi, nes jos ribų nustatymo klausimas iš esmės buvo paliktas valstybių narių diskrecijai. Direktyva (ES) 2016/1148 valstybėms narėms taip pat buvo suteikta labai plati diskrecija dėl joje nustatytų saugumo pareigų ir pranešimų apie incidentus teikimo pareigų įgyvendinimo. Todėl tos pareigos nacionaliniu lygmeniu buvo įgyvendintos labai skirtingai. Panašių skirtumų yra ir Direktyvos (ES) 2016/1148 nuostatų dėl priežiūros ir vykdymo užtikrinimo įgyvendinimo srityje;

(5)

visi šie skirtumai lemia vidaus rinkos susiskaidymą ir gali daryti neigiamą poveikį vidaus rinkos veikimui, visų pirma tai pasakytina apie poveikį tarpvalstybiniam paslaugų teikimui ir kibernetinio atsparumo lygiui, kurį lemia taikomos įvairios priemonės. Galiausiai dėl tų skirtumų kai kurios valstybės narės galėtų tapti labiau pažeidžiamos kibernetinių grėsmių atžvilgiu, o tai gali daryti šalutinį poveikį visoje Sąjungoje. Šia direktyva siekiama pašalinti tokius didelius skirtumus tarp valstybių narių, visų pirma nustatant būtiniausias taisykles, susijusias su koordinuotos reguliavimo sistemos veikimu, sukuriant kiekvienos valstybės narės atsakingų institucijų veiksmingo bendradarbiavimo mechanizmus, atnaujinant sektorių ir veiklos, kuriems taikomos kibernetinio saugumo pareigos, sąrašą ir numatant veiksmingas taisomąsias ir vykdymo užtikrinimo priemones, kurios yra labai svarbios veiksmingam tų pareigų vykdymui užtikrinti. Todėl Direktyva (ES) 2016/1148 turėtų būti panaikinta ir pakeista šia direktyva;

(6)

panaikinus Direktyvą (ES) 2016/1148, taikymo sritis sektoriams turėtų būti praplėsta, kad apimtų platesnį ekonomikos veiklų spektrą, kad apimtų visus sektorius ir paslaugas, kurie yra nepaprastai svarbūs pagrindinei visuomeninei ir ekonominei veiklai vidaus rinkoje. Visų pirma šia direktyva siekiama pašalinti trūkumus, susijusius su esminių paslaugų operatorių ir skaitmeninių paslaugų teikėjų diferencijacija, kuri yra pasenusi, nes neatspindi sektorių arba paslaugų svarbos visuomeninei ir ekonominei veiklai vidaus rinkoje;

(7)

pagal Direktyvą (ES) 2016/1148 valstybės narės buvo atsakingos už subjektų, atitinkančių esminių paslaugų operatoriams taikomus kriterijus, identifikavimą. Siekiant tuo atžvilgiu pašalinti didelius valstybių narių skirtumus ir visiems atitinkamiems subjektams užtikrinti teisinį tikrumą kibernetinio saugumo rizikos valdymo priemonių ir pareigų pranešti atžvilgiu, turėtų būti nustatytas vienas kriterijus, kuriuo remiantis nustatomi subjektai, kurie patenka į šios direktyvos taikymo sritį. Tas kriterijus turėtų būti grindžiamas dydžio ribos taisykle, pagal kurią į šios direktyvos taikymo sritį patenka visi subjektai, kurie laikomi vidutinėmis įmonėmis pagal Komisijos rekomendacijos 2003/361/EB (5) priedo 2 straipsnį arba kurie viršija to straipsnio 1 dalyje nustatytas viršutines ribas, ir veikiantys sektoriuose bei teikiantys atitinkamų rūšių paslaugas ar vykdantys veiklą, kuriems taikoma ši direktyva. Valstybės narės taip pat turėtų numatyti, kad į šios direktyvos taikymo sritį patenka tam tikros mažosios įmonės ir labai mažos įmonės, kaip tai apibrėžta to priedo 2 straipsnio 2 ir 3 dalyse, kurios atitinka specifinius kriterijus, pagal kuriuos parodomas jų esminis vaidmuo visuomenei, ekonomikai arba konkretiems sektoriams ar paslaugų rūšims;

(8)

ši direktyva neturėtų būti taikoma viešojo administravimo subjektams, kurių veikla daugiausia vykdoma nacionalinio saugumo, visuomenės saugumo, gynybos ar teisėsaugos srityse, įskaitant nusikalstamų veikų prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas. Tačiau ši direktyva turėtų būti taikoma viešojo administravimo subjektams, kurių veikla su tomis sritimis susijusi tik nežymiai. Šios direktyvos tikslais reguliavimo kompetenciją turintys subjektai nelaikomi subjektais, vykdančiais veiklą teisėsaugos srityje, todėl ši direktyva nėra jiems netaikoma tuo pagrindu. Ši direktyva netaikoma viešojo administravimo subjektams, įsteigtiems kartu su trečiąja valstybe pagal tarptautinį susitarimą. Ši direktyva netaikoma valstybių narių diplomatinėms ir konsulinėms atstovybėms trečiosiose valstybėse arba jų tinklų ir informacinėms sistemoms, jeigu tokios sistemos yra atstovybės patalpose arba naudojamos naudotojų labui trečiojoje valstybėje;

(9)

valstybės narės turėtų galėti imtis priemonių, būtinų esminiams nacionalinio saugumo interesams užtikrinti, viešajai tvarkai palaikyti bei visuomenės saugumui užtikrinti, ir priemonių, kurios leistų sudaryti sąlygas vykdyti nusikalstamų veikų prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas. Tuo tikslu valstybės narės turėtų turėti galimybę atleisti konkrečius subjektus, vykdančius veiklą nacionalinio saugumo, visuomenės saugumo, gynybos ar teisėsaugos srityse, įskaitant nusikalstamų veikų prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas, nuo tam tikrų šioje direktyvoje nustatytų pareigų tos veiklos atžvilgiu. Kai subjektas teikia paslaugas išimtinai viešojo administravimo subjektui, kuriam ši direktyva netaikoma, valstybės narės turėtų turėti galimybę atleisti tą subjektą nuo tam tikrų šioje direktyvoje nustatytų pareigų tų paslaugų atžvilgiu. Be to, iš jokios valstybės narės neturi būti reikalaujama teikti informacijos, kurios atskleidimas, jos nuomone, prieštarautų esminiams jos nacionalinio saugumo, viešojo saugumo ar gynybos interesams. Tame kontekste turėtų būti atsižvelgiama į Sąjungos arba nacionalines taisykles dėl įslaptintos informacijos apsaugos, susitarimus dėl informacijos neatskleidimo ir neoficialius susitarimus dėl informacijos neatskleidimo, pavyzdžiui, Srauto kontrolės protokolą. Srauto kontrolės protokolas turi būti suprantamas kaip priemonė informacijai apie bet kokius apribojimus, taikomus tolesnei informacijos sklaidai, teikti. Jį naudoja beveik visos reagavimo į kompiuterinius saugumo incidentus tarnybos (toliau – CSIRT) ir kai kurie informacijos analizės ir dalijimosi informacija centrai;

(10)

nors ši direktyva taikoma subjektams, vykdantiems elektros energijos gamybos atominėse elektrinėse veiklą, dalis šios veiklos gali būti susijusi su nacionaliniu saugumu. Tokiu atveju valstybė narė, laikydamasi Sutarčių, turėtų turėti galimybę vykdyti savo pareigą užtikrinti savo nacionalinį saugumą, kiek tai susiję su ta veikla, įskaitant veiklą branduolinio sektoriaus vertės grandinėje;

(11)

kai kurie subjektai vykdo veiklą nacionalinio saugumo, visuomenės saugumo, gynybos ar teisėsaugos srityse, įskaitant nusikalstamų veikų prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas, taip pat teikia patikimumo užtikrinimo paslaugas. Patikimumo užtikrinimo paslaugų teikėjai, kuriems taikomas Europos Parlamento ir Tarybos reglamentas (ES) Nr. 910/2014 (6), turėtų būti įtraukti į šios direktyvos taikymo sritį, kad būtų užtikrintas toks pat saugumo reikalavimų ir priežiūros lygis, koks anksčiau tame reglamente buvo nustatytas patikimumo užtikrinimo paslaugų teikėjų atžvilgiu. Atsižvelgiant į tai, kad Reglamentas (ES) Nr. 910/2014 netaikomas tam tikroms konkrečioms paslaugoms, ši direktyva neturėtų būti taikoma patikimumo užtikrinimo paslaugų, kuriomis naudojamasi tik uždarose sistemose, sukurtose pagal nacionalinę teisę arba apibrėžtos dalyvių grupės susitarimus, teikimui;

(12)

pašto paslaugų teikėjams, kaip apibrėžta Europos Parlamento ir Tarybos direktyvoje 97/67/EB (7), įskaitant kurjerių paslaugų teikėjus, ši direktyva turėtų būti taikoma, jeigu jie teikia paslaugas bent viename pašto paslaugų teikimo grandinės etape, ypač pašto siuntų surinkimo, rūšiavimo, vežimo arba paskirstymo etape, įskaitant siuntų paėmimo paslaugas, atsižvelgiant į jų priklausomumo nuo tinklų ir informacinių sistemų laipsnį. Teikiamos vežimo paslaugos, kai jos nėra susijusios su vienu iš tų etapų, neturėtų patekti į pašto paslaugų apibrėžtį;

(13)

dėl intensyvėjančių įkibernetinių grėsmių ir didėjančio sudėtingumo valstybės narės turėtų stengtis užtikrinti, kad subjektai, kuriems netaikoma ši direktyva, pasiektų aukštą kibernetinio saugumo lygį, ir remti lygiaverčių kibernetinio saugumo rizikos valdymo priemonių, atspindinčių jautrų tų subjektų pobūdį, įgyvendinimą;

(14)

pagal šią direktyvą vykdomam asmens duomenų tvarkymui taikoma Sąjungos duomenų apsaugos teisė ir Sąjungos privatumo teisė. Visų pirma, šia direktyva nedaromas poveikis Europos Parlamento ir Tarybos reglamentui (ES) 2016/679 (8) ir Europos Parlamento ir Tarybos direktyvai 2002/58/EB (9). Todėl šia direktyva neturėtų būti daromas poveikis, inter alia, institucijų, kurios yra kompetentingos kontroliuoti, kaip laikomasi taikytinos Sąjungos duomenų apsaugos teisės ir Sąjungos privatumo teisės, užduotims ir įgaliojimams;

(15)

atitikties kibernetinio saugumo rizikos valdymo priemonėms ir pranešimų teikimo tikslu subjektai, kurie patenka į šios direktyvos taikymo sritį, turėtų būti skirstomi į dvi kategorijas: esminiai subjektai ir svarbūs subjektai, atspindint jų svarbos mastą jų sektoriaus arba jų teikiamų paslaugų rūšies, taip pat jų dydžio požiūriais. Tuo atžvilgiu, kai taikytina, turėtų būti tinkamai atsižvelgiama į visus atitinkamus kompetentingų institucijų atliktus sektorių rizikos vertinimus ar pateiktas gaires. Abiejų kategorijų subjektams taikomi priežiūros ir vykdymo užtikrinimo režimai turėtų būti diferencijuojami siekiant užtikrinti tinkamą, viena vertus, rizika grindžiamų reikalavimų ir pareigų ir, kita vertus, administracinės naštos, atsirandančios dėl atitikties priežiūros, pusiausvyrą;

(16)

siekiant kad subjektai, turintys įmonių partnerių arba kurie yra susijusios įmonės, nebūtų laikomi esminiais arba svarbiais subjektais, kai tai būtų neproporcinga, valstybės narės, taikydamos Rekomendacijos 2003/361/EB priedo 6 straipsnio 2 dalį, gali atsižvelgti į subjekto nepriklausomumo nuo savo įmonės partnerės ar susijusių įmonių lygį. Visų pirma valstybės narės gali atsižvelgti į tai, kad subjektas yra nepriklausomas nuo savo įmonės partnerės ar susijusių įmonių kalbant apie tinklų ir informacines sistemas, kuriomis tas subjektas naudojasi teikdamas savo paslaugas, ir kalbant apie subjekto teikiamas paslaugas. Tuo remdamosi, kai tinkama, valstybės narės gali laikyti, kad toks subjektas negali būti laikomas vidutine įmone pagal Komisijos rekomendacijos 2003/361/EB priedo 2 straipsnį arba kad jis neviršija to straipsnio 1 dalyje vidutinei įmonei nustatytų viršutinių ribų, jeigu, atsižvelgus į to subjekto nepriklausomumo lygį, tas subjektas nebūtų laikomas vidutine įmone arba jis neviršytų tų viršutinių ribų tuo atveju, jei būtų atsižvelgiama tik į jo paties duomenis. Tai nedaro poveikio šioje direktyvoje nustatytoms įmonių partnerių ir susijusių įmonių, kurioms taikoma ši direktyva, pareigoms;

(17)

valstybės narės turėtų galėti nuspręsti, kad subjektai, kurie prieš šios direktyvos įsigaliojimą buvo identifikuoti kaip esminių paslaugų operatoriai pagal Direktyvą (ES) 2016/1148, būtų laikomi esminiais subjektais;

(18)

siekdamos užtikrinti aiškią subjektų, kuriems taikoma ši direktyva, apžvalgą, valstybės narės turėtų sudaryti esminių ir svarbių subjektų bei domenų vardų registravimo paslaugas teikiančių subjektų sąrašą. Tuo tikslu valstybės narės turėtų reikalauti, kad subjektai kompetentingoms institucijoms pateiktų bent šią informaciją: subjekto pavadinimą, adresą ir naujausius kontaktinius duomenis, įskaitant el. pašto adresus, IP adresus ir telefono numerius, ir, kai taikytina, atitinkamą sektorių ir subsektorių, nurodytus prieduose, taip pat, kai taikytina, valstybių narių, kuriose jie teikia paslaugas, kurioms taikoma ši direktyva, sąrašą. Tuo tikslu Komisija, padedant Europos Sąjungos kibernetinio saugumo agentūrai (toliau – ENISA), nepagrįstai nedelsdama turėtų pateikti gaires ir šablonus dėl pareigos teikti informaciją. Siekiant sudaryti palankesnes sąlygas sukurti ir atnaujinti esminių ir svarbių subjektų bei domenų vardų registravimo paslaugas teikiančių subjektų sąrašą, valstybės narės turėtų turėti galimybę nustatyti nacionalinius mechanizmus, kuriuos taikant subjektai galėtų užsiregistruoti patys. Tais atvejais, kai nacionaliniu lygmeniu registrai jau yra sukurti, valstybės narės gali nuspręsti dėl tinkamų mechanizmų, kuriais sudaroma galimybė identifikuoti subjektus, kuriems taikoma ši direktyva;

(19)

valstybės narės turėtų būti atsakingos už tai, kad Komisijai būtų pateiktas bent kiekvieno prieduose nurodyto sektoriaus ir subsektoriaus esminių ir svarbių subjektų skaičius, taip pat atitinkama informacija apie identifikuotų subjektų skaičių ir šioje direktyvoje numatyta nuostata, pagal kurią jie buvo identifikuoti, ir jų teikiamos paslaugos rūšį. Valstybės narės raginamos keistis su Komisija informacija apie esminius ir svarbius subjektus, o didelio masto kibernetinio saugumo incidento atveju – atitinkama informacija, pavyzdžiui, apie atitinkamo subjekto pavadinimą;

(20)

Komisija, bendradarbiaudama su Bendradarbiavimo grupe ir pasikonsultavusi su atitinkamais suinteresuotaisiais subjektais, turėtų pateikti labai mažoms ir mažosioms įmonėms taikomų kriterijų įgyvendinimo gaires įvertinimo, ar jos patenka į šios direktyvos taikymo sritį, tikslais. Komisija taip pat turėtų užtikrinti, kad atitinkamos gairės būtų pateiktos labai mažoms ir mažosioms įmonėms, kurioms taikoma ši direktyva. Komisija, padedant valstybėms narėms, turėtų pateikti labai mažoms ir mažosioms įmonėms informacijos tuo klausimu;

(21)

Komisija galėtų pateikti gaires, skirtas padėti valstybėms narėms įgyvendinti šios direktyvos nuostatas dėl taikymo srities ir įvertinti priemonių, kurių turi būti imamasi pagal šią direktyvą, proporcingumą, visų pirma atsižvelgiant į subjektus, kurių verslo modeliai arba veiklos aplinka yra sudėtingi, kai subjektas vienu metu gali atitikti ir esminiams, ir svarbiems subjektams nustatytus kriterijus arba gali tuo pačiu metu vykdyti veiklą, kurios dalis patenka į šios direktyvos taikymo sritį, o dalis nepatenka;

(22)

šioje direktyvoje nustatomi kibernetinio saugumo rizikos valdymo priemonių ir pareigų pranešti, taikomų į jos taikymo sritį patenkančiuose sektoriuose, pagrindai. Siekiant išvengti Sąjungos teisės aktų nuostatų dėl kibernetinio saugumo susiskaidymo, kai manoma, kad, siekiant užtikrinti aukšto lygio kibernetinį saugumą visoje Sąjungoje, reikalingi tolesni konkretiems sektoriams taikomi Sąjungos teisės aktai, susiję su kibernetinio saugumo rizikos valdymo priemonėmis ir pareigomis pranešti, Komisija turėtų įvertinti, ar tokios tolesnės nuostatos galėtų būti nustatytos pagal šią direktyvą priimame įgyvendinimo akte. Jei toks įgyvendinimo aktas būtų netinkamas tam tikslui, konkretiems sektoriams taikomi Sąjungos teisės aktai galėtų padėti užtikrinti aukšto lygio kibernetinį saugumą visoje Sąjungoje, visapusiškai atsižvelgiant į atitinkamų sektorių specifiką ir sudėtingumą. Tuo tikslu šia direktyva nedraudžiama priimti tolesnių konkretiems sektoriams taikomų Sąjungos teisės aktų, kuriais reglamentuojamos kibernetinio saugumo rizikos valdymo priemonės ir pareigos pranešti ir kuriais tinkamai atsižvelgiama į poreikį sukurti visapusišką bei nuoseklią kibernetinio saugumo sistemą. Šia direktyva nedaromas poveikis dabartiniams įgyvendinimo įgaliojimams, kurie Komisijai suteikti įvairiuose sektoriuose, įskaitant transporto ir energetikos sektorius;

(23)

jei konkrečiam sektoriui taikomame Sąjungos teisės akte yra nuostatos, pagal kurias reikalaujama, kad esminiai arba svarbūs subjektai priimtų kibernetinio saugumo rizikos valdymo priemones arba praneštų apie didelius incidentus, ir jei tų reikalavimų poveikis yra bent lygiavertis šioje direktyvoje nustatytų pareigų poveikiui, tos nuostatos, įskaitant nuostatas dėl priežiūros ir vykdymo užtikrinimo, turėtų būti taikomos tokiems subjektams. Jei konkrečiam sektoriui taikomas Sąjungos teisės aktas taikomas ne visiems konkretaus sektoriaus, kuriam taikoma ši direktyva, subjektams, atitinkamos šios direktyvos nuostatos turėtų būti toliau taikomos subjektams, kuriems netaikomas tas aktas;

(24)

jei pagal konkrečiam sektoriui taikomo Sąjungos teisės akto nuostatas reikalaujama, kad esminiai arba svarbūs subjektai laikytųsi pareigų pranešti, kurių poveikis yra bent lygiavertis šioje direktyvoje nustatytų pareigų pranešti poveikiui, turėtų būti užtikrintas pranešimų apie incidentus tvarkymo nuoseklumas ir veiksmingumas. Tuo tikslu konkrečiam sektoriui taikomo Sąjungos teisės akto nuostatomis dėl pranešimo apie incidentus turėtų būti suteikta galimybė CSIRT, kompetentingoms institucijoms arba bendriesiems kibernetinio saugumo kontaktiniams punktams (toliau – bendrieji kontaktiniai punktai) pagal šią direktyvą nedelsiant susipažinti su pranešimais apie incidentus, pateiktais pagal konkrečiam sektoriui taikomą Sąjungos teisės aktą. Visų pirma tokia neatidėliotina prieiga gali būti užtikrinta, jei pranešimai apie incidentus nepagrįstai nedelsiant persiunčiami CSIRT, kompetentingai institucijai arba bendrajam kontaktiniam punktui pagal šią direktyvą. Prireikus valstybės narės turėtų įdiegti automatinį tiesioginio pranešimo mechanizmą, kuriuo būtų užtikrinamas sistemingas ir neatidėliotinas keitimasis informacija su CSIRT, kompetentingomis institucijomis arba bendruoju kontaktiniu punktu dėl tokių pranešimų apie incidentus tvarkymo. Siekdamos supaprastinti pranešimų teikimą ir įgyvendinti automatinį tiesioginio pranešimo mechanizmą, valstybės narės, vadovaudamosi konkrečiam sektoriui taikomu Sąjungos teisės aktu, galėtų naudotis viena bendra prieiga;

(25)

konkretiems sektoriams taikomuose Sąjungos teisės aktuose, pagal kuriuos numatytos kibernetinio saugumo rizikos valdymo priemonės arba pareigos pranešti, kurių poveikis yra bent lygiavertis šioje direktyvoje numatytų priemonių ar pareigų poveikiui, galėtų būti nustatyta, kad kompetentingos institucijos pagal tokius aktus savo priežiūros ir vykdymo užtikrinimo įgaliojimais, susijusiais su tokiomis priemonėmis arba pareigomis, naudojasi padedant kompetentingoms institucijoms pagal šią direktyvą. Atitinkamos kompetentingos institucijos tuo tikslu galėtų sudaryti bendradarbiavimo susitarimus. Tokiuose bendradarbiavimo susitarimuose, inter alia, galėtų būti nustatytos priežiūros veiklos koordinavimo procedūros, įskaitant tyrimų ir patikrinimų vietoje procedūras laikantis nacionalinės teisės, ir kompetentingų institucijų keitimosi atitinkama informacija apie priežiūrą ir vykdymo užtikrinimą mechanizmas, be kita ko, prieiga prie su kibernetine sritimi susijusios informacijos, kurios prašo tos kompetentingos institucijos pagal šią direktyvą;

(26)

jei pagal konkretiems sektoriams taikomus Sąjungos teisės aktus reikalaujama, kad subjektai praneštų apie dideles kibernetines grėsmes arba skatinama, kad jie tai darytų, valstybės narės taip pat turėtų skatinti dalytis informacija apie dideles kibernetines grėsmes su CSIRT, kompetentingomis institucijomis arba bendraisiais kontaktiniais punktais pagal šią direktyvą, siekiant užtikrinti didesnį tų įstaigų informuotumą apie kibernetinių grėsmių padėtį ir sudaryti joms galimybę veiksmingai bei laiku reaguoti, jei didelės kibernetinės grėsmės pasireikštų;

(27)

būsimuose konkretiems sektoriams taikomuose Sąjungos teisės aktuose turėtų būti tinkamai atsižvelgta į šioje direktyvoje nustatytas terminų apibrėžtis ir priežiūros bei vykdymo užtikrinimo sistemą;

(28)

Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 (10) turėtų būti vertinamas kaip konkrečiam sektoriui taikomas Sąjungos teisės aktas šios direktyvos atžvilgiu, kiek tai susiję su finansų sektoriaus subjektais. Reglamento (ES) 2022/2554 nuostatos, susijusios su informacinių ir ryšių technologijų (IRT) rizikos valdymu, su IRT susijusių incidentų valdymu, ypač pranešimų apie didelius su IRT susijusius incidentus teikimu, taip pat su skaitmeninės veiklos atsparumo testavimu, dalijimosi informacija susitarimais ir trečiosios šalies IRT rizika, turėtų būti taikomos vietoj šioje direktyvoje įtvirtintų nuostatų. Todėl valstybės narės šios direktyvos nuostatų dėl kibernetinio saugumo rizikos valdymo ir pareigų pranešti bei priežiūros ir vykdymo užtikrinimo neturėtų taikyti finansų sektoriaus subjektams, kuriems taikomas Reglamentas (ES) 2022/2554. Kartu pagal šią direktyvą svarbu išlaikyti tvirtus ryšius su finansų sektoriumi ir užtikrinti, kad su juo būtų keičiamasi informacija. Tuo tikslu Reglamentu (ES) 2022/2554 Europos priežiūros institucijoms (EPI) ir kompetentingoms institucijoms pagal tą reglamentą leidžiama dalyvauti Bendradarbiavimo grupės veikloje ir keistis informacija bei bendradarbiauti su bendraisiais kontaktiniais punktais, taip pat CSIRT ir kompetentingomis institucijomis pagal šią direktyvą. Kompetentingos institucijos pagal Reglamentą (ES) 2022/2554 CSIRT, kompetentingoms institucijoms arba bendriesiems kontaktiniams punktams pagal šią direktyvą taip pat turėtų perduoti išsamius duomenis apie didelius su IRT susijusius incidentus ir, kai tinkama, dideles kibernetines grėsmes. Tai galima pasiekti suteikiant neatidėliotiną prieigą prie pranešimų apie incidentus ir juos perduodant, tiesiogiai arba per vieną bendrą prieigą. Be to, valstybės narės į savo kibernetinio saugumo strategijas turėtų toliau įtraukti finansų sektorių, o CSIRT savo veikloje gali aptarti finansų sektoriaus klausimus;

(29)

siekiant išvengti kibernetinio saugumo pareigų, nustatytų aviacijos sektoriaus subjektams, spragų ar šių pareigų dubliavimosi, nacionalinės institucijos pagal Europos Parlamento ir Tarybos reglamentus (EB) Nr. 300/2008 (11) ir (ES) 2018/1139 (12) ir kompetentingos institucijos pagal šią direktyvą turėtų bendradarbiauti įgyvendindamos kibernetinio saugumo rizikos valdymo priemones ir vykdydamos atitikties toms priemonėms priežiūrą nacionaliniu lygmeniu. Kompetentingos institucijos pagal šią direktyvą galėtų laikyti, kad subjekto atitiktis saugumo reikalavimams, nustatytiems reglamentuose (EB) Nr. 300/2008 ir (ES) 2018/1139 bei atitinkamuose pagal tuos reglamentus priimtuose deleguotuosiuose ir įgyvendinimo aktuose, yra atitiktis atitinkamiems šioje direktyvoje nustatytiems reikalavimams;

(30)

atsižvelgiant į kibernetinio saugumo ir subjektų fizinio saugumo tarpusavio ryšius, reikėtų užtikrinti nuoseklų požiūrį tarp Europos Parlamento ir Tarybos direktyvos (ES) 2022/2557 (13) ir šios direktyvos. Kad būtų pasiektas šis tikslas, subjektai, identifikuoti kaip ypatingos svarbos subjektai pagal Direktyvą (ES) 2022/2557, turėtų būti laikomi esminiais subjektais pagal šią direktyvą. Be to, kiekviena valstybė narė turėtų užtikrinti, kad jos nacionalinėje kibernetinio saugumo strategijoje būtų numatyta politikos sistema, pagal kurią toje valstybėje narėje būtų numatytas tvirtesnis jos kompetentingų institucijų pagal šią direktyvą ir kompetentingų institucijų pagal Direktyvą (ES) 2022/2557 veiklos koordinavimas keičiantis informacija apie riziką, kibernetines grėsmes, ir incidentus, taip pat nekibernetinę riziką, grėsmes bei incidentus, taip pat vykdant priežiūros užduotis. Kompetentingos institucijos pagal šią direktyvą ir pagal Direktyvą (ES) 2022/2557 turėtų bendradarbiauti ir keistis informacija nepagrįstai nedelsdamos, visų pirma kiek tai susiję su ypatingos svarbos subjektų identifikavimu, rizika, kibernetinėmis grėsmėmis, ir incidentais, taip pat su nekibernetine rizika, grėsmėmis ir incidentais, darančiais poveikį ypatingos svarbos subjektams, įskaitant kibernetinio saugumo ir fizines priemones, kurių ėmėsi ypatingos svarbos subjektai, taip pat tokių subjektų atžvilgiu vykdomos priežiūros veiklos rezultatais.

Be to, siekiant supaprastinti kompetentingų institucijų pagal šią direktyvą ir pagal Direktyvą (ES) 2022/2557 vykdomą tarpusavio priežiūros veiklą ir kuo labiau sumažinti atitinkamiems subjektams tenkančią administracinę naštą, tos kompetentingos institucijos turėtų stengtis suderinti pranešimo apie incidentus šablonus ir priežiūros procesus. Prireikus kompetentingos institucijos pagal Direktyvą (ES) 2022/2557 turėtų galėti prašyti kompetentingų institucijų pagal šią direktyvą naudotis savo priežiūros ir vykdymo užtikrinimo įgaliojimais subjekto, kuris identifikuotas kaip ypatingos svarbos subjektas pagal Direktyvą (ES) 2022/2557, atžvilgiu. Tuo tikslu kompetentingos institucijos pagal šią direktyvą ir pagal Direktyvą (ES) 2022/2557 turėtų bendradarbiauti ir keistis informacija, kai įmanoma – tikruoju laiku;

(31)

skaitmeninės infrastruktūros sektoriaus subjektai iš esmės priklauso nuo tinklų ir informacinių sistemų, todėl pagal šią direktyvą tiems subjektams nustatytomis pareigomis turėtų būti visapusiškai atsižvelgiama į tokių sistemų fizinį saugumą, kaip jų kibernetinio saugumo rizikos valdymo priemonių ir pranešimų teikimo pareigų dalį. Kadangi tiems klausimams taikoma ši direktyva, Direktyvos (ES) 2022/2557 III, IV ir VI skyriuose nustatytos pareigos tokiems subjektams netaikomos;

(32)

patikimos, atsparios ir saugios domenų vardų sistemos (DNS) palaikymas ir išsaugojimas yra pagrindiniai veiksniai užtikrinant interneto vientisumą ir tai yra labai svarbu jos nuolatiniam ir stabiliam veikimui, nuo kurio priklauso skaitmeninė ekonomika ir visuomenė. Todėl ši direktyva turėtų būti taikoma aukščiausio lygio domenų vardų registrams ir DNS paslaugų teikėjams, kurie suprantami kaip subjektai, teikiantys viešai prieinamas rekursinio domenų vardų keitimo paslaugas galutinių interneto naudotojų reikmėms ar patikimo domenų vardų keitimo paslaugas trečiųjų šalių reikmėms. Ši direktyva neturėtų būti taikoma šakninio pavadinimo serveriams;

(33)

debesijos kompiuterijos paslaugos turėtų apimti skaitmenines paslaugas, kurios pagal poreikį suteikia administravimo paslaugas ir plataus masto nuotolinę prieigą prie kintamo masto pritaikomos bendrų kompiuterijos išteklių bazės, įskaitant atvejus, kai tokie ištekliai yra paskirstyti per kelias vietas. Kompiuterijos ištekliai apima tokius išteklius, kaip tinklai, serveriai ar kita infrastruktūra, operacinės sistemos, programinė įranga, kaupikliai, taikomosios programos ir paslaugos. Debesijos kompiuterijos paslaugų modeliai, inter alia, apima paslauginę infrastruktūrą (IaaS), paslauginę platformą (PaaS), paslauginę programinę įrangą (SaaS) ir paslauginį tinklą (NaaS). Debesijos kompiuterijos diegimo modeliai turėtų apimti privačią, bendrą, viešą ir mišrią debesiją. Debesijos kompiuterijos paslaugos ir diegimo modeliai turi tokią pačią reikšmę kaip ir pagal ISO/IEC 17788:2014 standartą apibrėžti paslaugos sąlygų ir diegimo modeliai. Debesijos kompiuterijos naudotojo gebėjimas vienašališkai pasirūpinti kompiuterijos pajėgumais, pavyzdžiui, serverio laiku arba tinklo saugykla, be jokio žmogaus įsikišimo, atliekamo debesijos kompiuterijos paslaugų teikėjo, galėtų būti apibūdinamas kaip administravimas pagal poreikį.

Terminas „plataus masto nuotolinė prieiga“ naudojamas apibūdinant debesijos pajėgumus, kurie užtikrinami tinkle ir kuriais galima pasinaudoti per mechanizmus, kuriais skatinamas įvairių mažafunkcių arba daugiafunkcių kompiuterių platformų, įskaitant mobiliuosius telefonus, planšetinius kompiuterius, knyginius kompiuterius ir profesionaliuosius kompiuterius, naudojimas. Terminas „kintamo masto“ reiškia, kad atsižvelgdamas į paklausos svyravimus, debesijos paslaugų teikėjas lanksčiai paskirsto kompiuterijos išteklius nepriklausomai nuo geografinės išteklių vietos. Terminas „pritaikoma bazė“ reiškia, kad siekiant sparčiai padidinti ir sumažinti turimus kompiuterijos išteklius pagal darbo krūvį, tais ištekliais aprūpinama ir jie yra tiekiami atsižvelgiant į paklausą. Terminas „bendri“ reiškia, kad kompiuterijos ištekliai yra tiekiami keliems naudotojams, kurie dalijasi bendra prieiga prie paslaugos, tačiau tie ištekliai tvarkomi atskirai kiekvieno naudotojo atveju, nors paslauga yra teikiama naudojant tą pačią elektroninę įrangą. Terminas „paskirstyti“ reiškia kompiuterijos išteklius, kurie yra skirtinguose tinkliniuose kompiuteriuose ar prietaisuose ir kurie tarpusavyje bendrauja ir koordinuoja perduodami pranešimus;

(34)

atsižvelgiant į novatoriškų technologijų ir naujų verslo modelių atsiradimą, tikimasi, kad vidaus rinkoje atsiras naujų debesijos kompiuterijos paslaugų ir diegimo modelių, atsižvelgiant į kintančius vartotojų poreikius. Šiomis aplinkybėmis debesijos kompiuterijos paslaugos gali būti teikiamos labai paskirstyta forma, dar arčiau duomenų generavimo ar rinkimo vietos, taip pereinant nuo tradicinio modelio prie labai paskirstyto modelio (tinklo paribio kompiuterija);

(35)

duomenų centro paslaugų teikėjų siūlomos paslaugos ne visada gali būti teikiamos debesijos kompiuterijos paslaugos forma. Taigi, duomenų centrai ne visada gali priklausyti debesijos kompiuterijos infrastruktūrai. Siekiant valdyti visą riziką, kuri kyla tinklų ir informacinių sistemų saugumui, ši direktyva turėtų būti taikoma duomenų centrų paslaugų, kurios nėra debesijos kompiuterijos paslaugos, teikėjams. Taikant šią direktyvą, sąvoka „duomenų centro paslauga“ turėtų apimti paslaugos, kuri apima struktūras arba struktūrų grupes, skirtas informacinių technologijų (IT) ir tinklo įrangos centralizuotam pritaikymui, tarpusavio junglumui ir eksploatavimui, teikiant duomenų saugojimo, tvarkymo ir transportavimo paslaugas kartu su visa energijos paskirstymo ir aplinkos kontrolės įranga ir infrastruktūra, teikimą. Sąvoka „duomenų centro paslauga“ neturėtų būti taikoma vidaus korporatyviniams duomenų centrams, kurie priklauso atitinkamam subjektui ir yra jo eksploatuojami to subjekto reikmėms;

(36)

vienas iš svarbiausių vaidmenų kuriant naujus produktus ir procesus tenka tyrimų veiklai. Didžiąją dalį tos veiklos vykdo subjektai, kurie dalijasi savo tyrimų rezultatais, juos platina arba naudoja komerciniais tikslais. Todėl tie subjektai gali būti svarbūs vertės grandinių dalyviai, o jų tinklų ir informacinių sistemų saugumas yra neatsiejama bendro vidaus rinkos kibernetinio saugumo dalis. Tyrimų organizacijos turėtų būti suprantamos kaip apimančios subjektus, kurie pagrindinę dalį savo veiklos skiria taikomųjų mokslinių tyrimų arba eksperimentinės plėtros vykdymui, kaip tai suprantama 2015 m. Ekonominio bendradarbiavimo ir plėtros organizacijos Fraskačio vadove: mokslinių tyrimų ir eksperimentinės plėtros duomenų rinkimo ir teikimo gairėse (angl. „Frascati Manual 2015: Guidelines for Collecting and Reporting Data on Research and Experimental Development“), siekdami panaudoti savo rezultatus komerciniais tikslais, pavyzdžiui, produkto ar proceso gamybos ar kūrimo arba paslaugos teikimo ir jų pateikimo rinkai tikslais;

(37)

didėjančią tarpusavio priklausomybę lemia vis labiau tarptautinio pobūdžio ir tarpusavyje priklausomas paslaugų teikimo tinklas, kuriame naudojami pagrindiniai visoje Sąjungoje esantys tokių sektorių kaip energetika, transportas, skaitmeninė infrastruktūra, geriamasis vanduo ir nuotekos, sveikata, tam tikri viešojo administravimo aspektai, taip pat kosmosas, infrastruktūros objektai, kiek tai susiję su tam tikrų paslaugų teikimu, kuriam įtakos turi antžeminės infrastruktūros objektai, kurie priklauso valstybėms narėms arba privačioms šalims, yra jų valdomi arba eksploatuojami, todėl tai neapima infrastruktūros objektų, kurie priklauso Sąjungai, kai ji įgyvendina savo kosmoso programą, arba kurie yra valdomi ar eksploatuojami Sąjungos vardu šios programos įgyvendinimo metu. Ta tarpusavio priklausomybė reiškia, kad bet koks sutrikimas, kuris iš pradžių įvyksta tik viename subjekte arba sektoriuje, gali turėti platesnį grandininį poveikį ir sukelti platesnio masto ir ilgalaikes neigiamas pasekmes paslaugų teikimui visoje vidaus rinkoje. COVID-19 pandemijos metu padažnėję kibernetiniai išpuoliai parodė, kad vis labiau tarpusavyje priklausoma visuomenė yra pažeidžiama atsižvelgiant į mažai tikėtiną riziką;

(38)

atsižvelgiant į nacionalinių valdymo struktūrų skirtumus ir siekiant išsaugoti jau veikiančias sektorių sistemas ar Sąjungos priežiūros ir reguliavimo įstaigas, valstybės narės turėtų turėti teisę paskirti ar įsteigti vieną ar daugiau kompetentingų institucijų, atsakingų už užduočių kibernetinio saugumo ir priežiūros srityse pagal šią direktyvą vykdymą;

(39)

siekiant palengvinti tarpvalstybinį institucijų bendradarbiavimą ir ryšių palaikymą bei sudaryti sąlygas veiksmingai įgyvendinti šią direktyvą, būtina, kad kiekviena valstybė narė paskirtų bendrąjį kontaktinį punktą, atsakingą už klausimų, susijusių su tinklų ir informacinių sistemų saugumu, koordinavimą ir tarpvalstybinį bendradarbiavimą Sąjungos lygmeniu;

(40)

bendrieji kontaktiniai punktai turėtų užtikrinti veiksmingą tarpvalstybinį bendradarbiavimą su atitinkamomis kitų valstybių narių institucijomis ir prireikus su Komisija ir ENISA. Todėl bendriesiems kontaktiniams punktams turėtų būti pavesta, CSIRT arba kompetentingai institucijai paprašius, persiųsti pranešimus apie didelius tarpvalstybinio poveikio incidentus kitų paveiktų valstybių narių bendriesiems kontaktiniams punktams. Nacionaliniu lygmeniu bendrieji kontaktiniai punktai turėtų sudaryti sąlygas sklandžiam tarpsektoriniam bendradarbiavimui su kitomis kompetentingomis institucijomis. Bendrieji kontaktiniai punktai taip pat galėtų gauti atitinkamą informaciją apie incidentus, susijusius su finansų sektoriaus subjektais, iš kompetentingų institucijų pagal Reglamentą (ES) 2022/2554, kurią jie turėtų turėti galimybę, kai tinkama, persiųsti CSIRT arba kompetentingoms institucijoms pagal šią direktyvą;

(41)

valstybės narės turėtų būti tinkamai pasirengusios – turėti tiek techninių, tiek organizacinių pajėgumų, kad galėtų užkirsti kelią incidentams bei rizikai, juos atskleisti, į juos reaguoti ir sušvelninti jų poveikį. Todėl valstybės narės turėtų pagal šią direktyvą įsteigti ar paskirti vieną ar daugiau CSIRT ir užtikrinti, kad jos turėtų pakankamai išteklių bei techninių pajėgumų. CSIRT turėtų atitikti šioje direktyvoje nustatytus reikalavimus, kad būtų garantuoti veiksmingi bei suderinami incidentų bei rizikos valdymo pajėgumai ir užtikrintas veiksmingas bendradarbiavimas Sąjungos lygmeniu. Valstybės narės turėtų turėti galimybę CSIRT paskirti jau esamas kompiuterinių incidentų tyrimo tarnybas (CERT). Siekiant stiprinti pasitikėjimu grindžiamus santykius tarp subjektų ir CSIRT, tais atvejais, kai CSIRT veikia kompetentingoje institucijoje, valstybės narės turėtų galėti apsvarstyti galimybę funkciniu požiūriu atskirti CSIRT vykdomas operatyvines užduotis, ypač susijusias su dalijimusi informacija ir subjektams teikiama pagalba, ir kompetentingų institucijų priežiūros veiklą;

(42)

CSIRT pavesta valdyti incidentus. Tai apima didelių kartais neskelbtinų duomenų kiekių tvarkymą. Valstybės narės turėtų užtikrinti, kad CSIRT turėtų dalijimosi informacija ir jos tvarkymo infrastruktūrą, taip pat gerai aprūpintą personalą, kuris užtikrintų jų operacijų konfidencialumą ir patikimumą. CSIRT taip pat galėtų priimti elgesio kodeksus šiuo klausimu;

(43)

kalbant apie asmens duomenis pažymėtina, kad CSIRT turėtų turėti galimybę pagal Reglamentą (ES) 2016/679 subjekto, kuriam taikoma ši direktyva, prašymu imtis iniciatyvos patikrinti tinklų ir informacines sistemas, naudojamas esminio ar svarbaus subjekto paslaugoms teikti. Jei taikoma, valstybės narės turėtų siekti užtikrinti vienodą visų sektorių CSIRT techninių pajėgumų lygį. Valstybės narės turėtų turėti galimybę paprašyti ENISA padėti kurti jų CSIRT;

(44)

CSIRT turėtų turėti galimybę esminio ar svarbaus subjekto prašymu stebėti subjekto su internetu susietus išteklius tiek patalpose, tiek už jų ribų, kad nustatytų, suprastų ir valdytų subjekto bendrą organizacinę riziką, susijusią su naujai nustatytomis tiekimo grandinės spragomis ar kritiniais pažeidžiamumais. Subjektas turėtų būti skatinamas pranešti CSIRT, ar jis naudoja privilegijuotojo valdymo sąsają, nes tai galėtų turėti įtakos rizikos mažinimo veiksmų įgyvendinimo spartai;

(45)

atsižvelgiant į tarptautinio bendradarbiavimo kibernetinio saugumo srityje svarbą, CSIRT turėtų turėti galimybę dalyvauti ne tik šia direktyva sukurto CSIRT tinklo, bet ir tarptautinio bendradarbiavimo tinklų veikloje. Todėl siekdamos vykdyti savo užduotis, CSIRT ir kompetentingos institucijos turėtų turėti galimybę keistis informacija, įskaitant asmens duomenis, su trečiųjų valstybių nacionalinėmis reagavimo į kompiuterių saugumo incidentus grupėmis arba kompetentingomis institucijomis, jeigu laikomasi Sąjungos duomenų apsaugos teisės aktuose nustatytų asmens duomenų perdavimo trečiosioms valstybėms sąlygų, inter alia, Reglamento (ES) 2016/679 49 straipsnyje nustatytų sąlygų;

(46)

norint pasiekti šios direktyvos tikslus ir sudaryti galimybę kompetentingoms institucijoms bei CSIRT vykdyti joje nustatytas užduotis, nepaprastai svarbu užtikrinti pakankamus išteklius. Valstybės narės nacionaliniu lygmeniu gali nustatyti finansavimo mechanizmą, pagal kurį būtų dengiamos būtinos išlaidos, susijusios su už kibernetinį saugumą valstybėje narėje atsakingų viešųjų subjektų užduočių vykdymu pagal šią direktyvą. Toks mechanizmas turėtų atitikti Sąjungos teisę, būti proporcingas ir nediskriminacinis, taip pat juo turėtų būti atsižvelgiama į skirtingus požiūrius į saugių paslaugų teikimą;

(47)

CSIRT tinklas turėtų toliau padėti stiprinti valstybių narių tarpusavio pasitikėjimą bei patikimumą ir skatinti spartų ir efektyvų operatyvinį bendradarbiavimą. Siekdamas intensyvinti operatyvinį bendradarbiavimą Sąjungos lygmeniu, CSIRT tinklas turėtų apsvarstyti galimybę pakviesti savo darbe dalyvauti kibernetinio saugumo politikos srityje veikiančius Sąjungos organus ir agentūras, pavyzdžiui, Europolą;

(48)

siekiant pasiekti ir išlaikyti aukštą kibernetinio saugumo lygį, nacionalines kibernetinio saugumo strategijas, kurių reikalaujama pagal šią direktyvą, turėtų sudaryti nuoseklios sistemos, kuriose būtų numatyti strateginiai tikslai bei prioritetai kibernetinio saugumo srityje ir jų įgyvendinimo valdymas. Tas strategijas gali sudaryti viena ar daugiau teisėkūros arba ne teisėkūros priemonių;

(49)

kibernetinės higienos politikoje numatomi tinklų ir informacinių sistemų infrastruktūros, aparatinės įrangos, programinės įrangos ir internetinių programų saugumo, taip pat subjektų naudojamų verslo ir galutinių naudotojų duomenų apsaugos pagrindai. Kibernetinės higienos politika, apimanti bendrą praktikos pavyzdžių, be kita ko, susijusių su programinės ir aparatinės įrangos atnaujinimu, slaptažodžių keitimu, naujai įdiegtų programų valdymu, administratoriaus lygmens prieigos paskyrų ribojimu ir duomenų atsarginiu kopijavimu, rinkinį, sudaro sąlygas iniciatyviai pasirengimo ir bendros saugos bei saugumo incidentų ar kibernetinių grėsmių atveju sistemai. ENISA turėtų stebėti ir analizuoti valstybių narių kibernetinės higienos politiką;

(50)

informuotumas apie kibernetinį saugumą ir kibernetinė higiena yra nepaprastai svarbūs siekiant padidinti kibernetinio saugumo lygį Sąjungoje, visų pirma atsižvelgiant į didėjantį prijungtųjų įrenginių, kurie vis dažniau naudojami kibernetinių išpuolių metu, skaičių. Reikėtų dėti pastangas siekiant didinti bendrą informuotumą apie riziką, susijusią su tokiais įrenginiais, o vertinimai Sąjungos lygmeniu galėtų padėti užtikrinti bendrą supratimą apie tokią riziką vidaus rinkoje;

(51)

valstybės narės turėtų skatinti naudoti visas novatoriškas technologijas, įskaitant dirbtinį intelektą, kurias naudojant galėtų būti geriau atskleidžiami kibernetiniai išpuoliai ir geriau jų išvengiama, sudarant sąlygas veiksmingiau nukreipti išteklius kovai su kibernetiniais išpuoliais. Todėl valstybės narės savo nacionalinėje kibernetinio saugumo strategijoje turėtų skatinti tyrimų ir plėtros veiklą, kad būtų sudarytos palankesnės sąlygos naudoti tokias technologijas, visų pirma susijusias su automatizuotomis arba pusiau automatizuotomis kibernetinio saugumo priemonėmis, ir prireikus dalytis duomenimis, kurių reikia tokių technologijų naudotojams mokyti ir joms tobulinti. Bet kokių novatoriškų technologijų, įskaitant dirbtinį intelektą, naudojimas turėtų atitikti Sąjungos duomenų apsaugos teisės aktus, įskaitant tokius duomenų apsaugos principus, kaip duomenų tikslumo, duomenų kiekio mažinimo, sąžiningumo ir skaidrumo, taip pat duomenų saugumo, pavyzdžiui, pažangiausio šifravimo. Turėtų būti visapusiškai naudojamasi Reglamente (ES) 2016/679 nustatytais pritaikytosios ir standartizuotosios duomenų apsaugos reikalavimais;

(52)

atvirojo kodo kibernetinio saugumo priemonėmis ir taikomosiomis programomis gali būti prisidedama prie didesnio atvirumo ir daromas teigiamas poveikis pramonės inovacijų veiksmingumui. Atviraisiais standartais sudaromos palankesnės sąlygos saugumo priemonių sąveikumui, o tai yra naudinga pramonės suinteresuotųjų subjektų saugumo požiūriu. Atvirojo kodo kibernetinio saugumo priemonėmis ir taikomosiomis programomis gali būti daromas sverto poveikis platesnei technologijų kūrėjų bendruomenei, sudarant galimybes tiekėjų diversifikacijai. Atvirasis kodas gali paskatinti skaidresnį su kibernetiniu saugumu susijusių priemonių tikrinimo procesą ir bendruomenės inicijuotą pažeidžiamumų nustatymo procesą. Todėl valstybės narės turėtų turėti galimybę skatinti atvirojo kodo programinės įrangos ir atvirųjų standartų naudojimą, vykdydamos politiką, susijusią su atvirųjų duomenų ir atvirojo kodo naudojimu, kad skaidrumu būtų prisidėta prie saugumo užtikrinimo. Atvirojo kodo kibernetinio saugumo priemonių diegimo ir tvaraus naudojimo skatinimo politika itin svarbi mažosioms ir vidutinėms įmonėms, patiriančioms dideles įgyvendinimo sąnaudas, kurias būtų galima minimizuoti sumažinant poreikį naudoti konkrečias taikomąsias programas ar priemones;

(53)

komunalinės paslaugos miestuose vis dažniau prijungiamos prie skaitmeninių tinklų, siekiant patobulinti miesto transporto tinklus, modernizuoti vandens tiekimo ir atliekų šalinimo įrenginius ir padidinti apšvietimo bei pastatų šildymo efektyvumą. Toms suskaitmenintoms komunalinėms paslaugoms kyla kibernetinių išpuolių rizika ir sėkmingo kibernetinio išpuolio atveju kyla pavojus, kad dėl jų tarpusavio sąsajų bus padaryta didelė žala piliečiams. Valstybės narės turėtų parengti politiką, pagal kurią būtų sprendžiami tokių sujungtų ar pažangiųjų miestų plėtros ir galimo jų poveikio visuomenei klausimai, esančią jų nacionalinės kibernetinio saugumo strategijos dalimi;

(54)

pastaraisiais metais Sąjungoje eksponentiškai padaugėjo išpuolių naudojant išpirkos reikalavimo programinę įrangą, per kuriuos kenkimo programinė įranga užšifruoja duomenis bei sistemas ir reikalauja išpirkos už iššifravimą. Vis dažnesnius ir rimtesnius išpuolius naudojant išpirkos reikalavimo programinę įrangą gali lemti keli veiksniai, pavyzdžiui, skirtingi išpuolių modeliai, nusikalstamo verslo modeliai, susiję su „paslaugine išpirkos reikalavimo programine įranga“ ir kriptovaliuta, išpirkos reikalavimai ir išaugę išpuoliai tiekimo grandinėje. Valstybės narės turėtų parengti kovos su dažnėjančiais išpuoliais naudojant išpirkos reikalavimo programinę įrangą politiką, esančią jų nacionalinės kibernetinio saugumo strategijos dalimi;

(55)

viešojo ir privačiojo sektorių partnerystė kibernetinio saugumo srityje gali būti tinkama keitimosi žiniomis, dalijimosi geriausios praktikos pavyzdžiais ir bendro supratimo tarp suinteresuotųjų subjektų nustatymo sistema. Valstybės narės turėtų skatinti politiką, pagal kurią būtų kuriamos konkrečiai su kibernetiniu saugumu susijusios viešojo ir privačiojo sektorių partnerystės. Toje politikoje, inter alia, turėtų būti patikslinama taikymo sritis ir dalyvaujantys suinteresuotieji subjektai, valdymo modelis, turimos finansavimo galimybės ir dalyvaujančių suinteresuotųjų subjektų tarpusavio ryšys, kiek tai susiję su viešojo ir privačiojo sektorių partnerystėmis. Viešojo ir privačiojo sektorių partnerystės gali naudotis privačiojo sektoriaus subjektų ekspertinėmis žiniomis, kad padėtų kompetentingoms institucijoms kurti pažangiausias paslaugas ir procesus, įskaitant keitimąsi informacija, ankstyvuosius perspėjimus, kibernetinių grėsmių ir incidentų valdymo pratybas, krizių valdymą ir atsparumo planavimą;

(56)

savo nacionalinėse kibernetinio saugumo strategijose valstybės narės turėtų atsižvelgti į konkrečius mažųjų ir vidutinių įmonių kibernetinio saugumo poreikius. Mažosios ir vidutinės įmonės Sąjungoje sudaro didelę pramoninės ir verslo rinkos procentinę dalį ir dažnai joms sunku prisitaikyti prie naujos verslo praktikos labiau susietame pasaulyje, ir prie skaitmeninės aplinkos, kai darbuotojai dirba iš namų, o verslas vis dažniau vykdomas internetu. Kai kurios mažosios ir vidutinės įmonės susiduria su konkrečiomis kibernetinio saugumo problemomis, pvz., mažu kibernetiniu sąmoningumu, nuotolinio IT saugumo trūkumu, didelėmis kibernetinio saugumo sprendimų sąnaudomis ir išaugusiu grėsmių lygiu, pvz., išpirkos reikalavimo programinės įrangos grėsme, kurių klausimu jos turėtų gauti gaires ir pagalbą. Mažosios ir vidutinės įmonės vis dažniau tampa išpuolių prieš tiekimo grandines taikiniu dėl ne tokių griežtų jų kibernetinio saugumo rizikos valdymo priemonių ir išpuolių valdymo ir dėl to, kad turi ribotus saugumo išteklius. Tokie išpuoliai prieš tiekimo grandines daro poveikį ne tik mažosioms ir vidutinėms įmonėms ir jų veiklai atskirai, bet ir gali daryti pakopinį poveikį didesniems išpuoliams prieš subjektus, kuriems jos tiekė prekes. Valstybės narės savo nacionalinėmis kibernetinio saugumo strategijomis turėtų padėti mažosioms ir vidutinėms įmonėms spręsti problemas, su kuriomis jos susiduria savo tiekimo grandinėse. Valstybės narės turėtų turėti nacionalinį arba regioninį kontaktinį punktą, skirtą mažosioms ir vidutinėms įmonėms, kuris teiktų gaires ir pagalbą mažosioms ir vidutinėms įmonėms arba nukreiptų jas į atitinkamas įstaigas, teikiančias gaires ir pagalbą su kibernetiniu saugumu susijusiais klausimais. Valstybės narės taip pat skatinamos siūlyti tokias paslaugas, kaip interneto svetainių konfigūravimas ir registravimo galimybių suteikimas, tokių gebėjimų neturinčioms labai mažoms ir mažosioms įmonėms;

(57)

valstybės narės turėtų priimti aktyvios kibernetinės apsaugos skatinimo politiką, kaip platesnės gynybos strategijos dalį, esančią jų nacionalinių kibernetinio saugumo strategijų dalimi. Vietoj reaguojamojo pobūdžio atsako aktyvi kibernetinė apsauga yra aktyvaus pobūdžio tinklo saugumo pažeidimų prevencija, nustatymas, stebėjimas, analizė ir poveikio švelninimas, sykiu naudojant nukentėjusiųjų tinkle ir už jo ribų įdiegtus pajėgumus. Tai galėtų apimti valstybių narių siūlomas nemokamas paslaugas ar priemones, įskaitant savarankiškus pasitikrinimus, atskleidimo priemones ir turinio pašalinimo paslaugas, tam tikriems subjektams. Gebėjimas greitai ir automatiškai dalytis informacija apie grėsmes ir analize, įspėjimais apie kibernetinę veiklą ir informacija apie reagavimo veiksmus ir juos suprasti yra nepaprastai svarbus siekiant užtikrinti, kad būtų imamasi vieningų pastangų sėkmingai užkirsti kelią išpuoliams prieš tinklų ir informacines sistemas, juos atskleisti, kovoti su jais ir juos blokuoti. Aktyvi kibernetinė apsauga grindžiama gynybos strategija, į kurią neįtraukiamos puolamosios priemonės;

(58)

kadangi pasinaudojimas tinklų ir informacinių sistemų pažeidžiamumais gali sukelti rimtus sutrikimus ir žalą, greitas tokių pažeidžiamumų nustatymas ir jų ištaisymas yra svarbus veiksnys mažinant riziką. Todėl tinklų ir informacines sistemas kuriantys arba administruojantys subjektai turėtų nustatyti atitinkamas procedūras, kurias taikant būtų šalinami aptikti pažeidžiamumai. Kadangi pažeidžiamumus dažnai aptinka ir atskleidžia trečiosios šalys, IRT produktų ar IRT paslaugų gamintojas arba teikėjas taip pat turėtų nustatyti būtinas procedūras, pagal kurias iš trečiųjų šalių būtų gaunama informacija apie pažeidžiamumą. Šuo atžvilgiu tarptautiniuose standartuose ISO/IEC 30111 ir ISO/IEC 29147 pateikiamos gairės dėl pažeidžiamumų šalinimo ir atskleidimo. Siekiant sudaryti sąlygas savanoriškai pažeidžiamumų atskleidimo sistemai, ypač svarbu stiprinti koordinavimą tarp pranešimą teikiančių fizinių ir juridinių asmenų ir IRT produktų ar IRT paslaugų gamintojų arba teikėjų. Koordinuotas pažeidžiamumų atskleidimas yra struktūrinis procesas, per kurį potencialiai pažeidžiamų IRT produktų ar IRT paslaugų gamintojui arba teikėjui pranešama apie pažeidžiamumus taip, kad jam būtų sudarytos sąlygos pažeidžiamumą nustatyti ir ištaisyti prieš atskleidžiant išsamią informaciją apie pažeidžiamumus trečiosioms šalims arba visuomenei. Koordinuotas pažeidžiamumų atskleidimas taip pat turėtų apimti pranešimą teikiančio fizinio ar juridinio asmens ir potencialiai pažeidžiamų IRT produktų ar IRT paslaugų gamintojo arba teikėjo koordinavimą ištaisymo laiko ir paskelbimo apie pažeidžiamumus klausimais;

(59)

Komisija, ENISA ir valstybės narės turėtų toliau skatinti derinimą su tarptautiniais standartais ir esama sektoriaus gerąją praktika kibernetinio saugumo rizikos valdymo srityje, pavyzdžiui, tiekimo grandinės saugumo vertinimų, dalijimosi informacija ir pažeidžiamumų atskleidimo srityse;

(60)

valstybės narės, bendradarbiaudamos su ENISA, turėtų imtis priemonių, kad palengvintų koordinuotą pažeidžiamumų atskleidimą, nustatydamos atitinkamą nacionalinę politiką. Vykdydamos savo nacionalinę politiką, valstybės narės turėtų siekti kuo didesniu mastu reaguoti į iššūkius, su kuriais susiduria pažeidžiamumų tyrėjai, įskaitant jų galimą baudžiamosios atsakomybės riziką, laikantis nacionalinės teisės. Atsižvelgiant į tai, kad pažeidžiamumus tiriantiems fiziniams ir juridiniams asmenims kai kuriose valstybėse narėse gali kilti baudžiamosios ir civilinės atsakomybės rizika, valstybės narės raginamos priimti gaires dėl informacijos saugumo tyrėjų netraukimo baudžiamojon atsakomybėn ir atleidimo nuo civilinės atsakomybės už jų veiklą;

(61)

valstybės narės turėtų paskirti vieną iš savo CSIRT koordinatore, kuri, prireikus, veiktų kaip patikima tarpininkė tarp pranešimus teikiančių fizinių ar juridinių subjektų ir IRT produktų ar IRT paslaugų gamintojų arba teikėjų, kuriems pažeidžiamumas gali daryti poveikį. Koordinatore paskirtos CSIRT užduotys turėtų apimti atitinkamų subjektų identifikavimą ir susisiekimą su jais, pranešimus apie pažeidžiamumą teikiančių fizinių ar juridinių subjektų rėmimą, derybas dėl informacijos atskleidimo terminų ir pažeidžiamumų, kurie daro poveikį keliems subjektams, valdymą (kelių šalių koordinuotas pažeidžiamumų atskleidimas). Kai pažeidžiamumas, apie kurį pranešta, galėtų daryti didelį poveikį subjektams daugiau nei vienoje valstybėje narėje, kai tikslinga, koordinatorėmis paskirtos CSIRT turėtų bendradarbiauti CSIRT tinkle;

(62)

prieiga prie teisingos ir laiku pateikiamos informacijos apie pažeidžiamumus, kurie daro poveikį IRT produktams ir IRT paslaugoms, padeda geriau valdyti kibernetinio saugumo riziką. Viešai prieinamos informacijos apie pažeidžiamumus šaltiniai yra svarbi priemonė ne tik subjektams ir jų paslaugų naudotojams, bet ir kompetentingoms institucijoms bei CSIRT. Dėl tos priežasties ENISA turėtų sukurti Europos pažeidžiamumų duomenų bazę, kurioje subjektai, nepriklausomai nuo to, ar jie patenka į šios direktyvos taikymo sritį, ir jų tinklų ir informacinių sistemų tiekėjai, taip pat kompetentingos institucijos ir CSIRT gali savanoriškai atskleisti ir registruoti viešai žinomus pažeidžiamumus, siekiant sudaryti sąlygas naudotojams imtis atitinkamų rizikos mažinimo priemonių. Tos duomenų bazės tikslas – atremti unikalius iššūkius, kurie iškyla dėl Sąjungos subjektams kylančios rizikos. Be to, ENISA turėtų nustatyti tinkamą procedūrą, susijusią su viešinimo procesu, kad subjektai turėtų laiko imtis rizikos mažinimo priemonių, susijusių su jų pažeidžiamumais, ir pradėtų taikyti pažangiąsias kibernetinio saugumo rizikos valdymo priemones, taip pat kompiuterio skaitomus duomenų rinkinius ir atitinkamas sąsajas. Siekiant skatinti pažeidžiamumų atskleidimo kultūrą, atskleidimas neturėtų pakenkti pranešančiajam fiziniam ar juridiniam asmeniui;

(63)

nors panašūs pažeidžiamumų registrai arba duomenų bazės jau yra sukurti, jų prieglobą vykdo ir juos tvarko subjektai, kurie nėra įsisteigę Sąjungoje. ENISA tvarkoma Europos pažeidžiamumų duomenų bazė padėtų užtikrinti didesnį paskelbimo proceso iki viešo pažeidžiamumų atskleidimo skaidrumą ir atsparumą panašių paslaugų teikimo sutrikimo arba nutraukimo atveju. Siekdama kuo labiau išvengti veiksmų dubliavimo ir siekti papildomumo, ENISA turėtų išnagrinėti galimybę sudaryti struktūrinio bendradarbiavimo susitarimus su panašiais registrais arba duomenų bazėmis, kurie priklauso trečiųjų valstybių jurisdikcijoms. Visų pirma ENISA turėtų išnagrinėti galimybę glaudžiai bendradarbiauti su Bendros pažeidžiamumų ir rizikos (BPR) sistemos operatoriais;

(64)

Bendradarbiavimo grupė turėtų remti ir palengvinti valstybių narių strateginį bendradarbiavimą ir keitimąsi informacija, taip pat didinti jų tarpusavio pasitikėjimą ir patikimumą. Bendradarbiavimo grupė turėtų kas dvejus metus patvirtinti darbo programą. Darbo programa turėtų apimti veiksmus, kurių Bendradarbiavimo grupė turi imtis, kad pasiektų savo tikslus ir įvykdytų užduotis. Pirmosios pagal šią direktyvą darbo programos patvirtinimo laikotarpis turėtų būti suderintas su paskutinės darbo programos, patvirtintos pagal Direktyvą (ES) 2016/1148, laikotarpiu, kad būtų išvengta galimų Bendradarbiavimo grupės darbo sutrikimų;

(65)

rengdama gairių dokumentus, Bendradarbiavimo grupė turėtų nuosekliai išsiaiškinti nacionalinius sprendimus ir patirtį, įvertinti Bendradarbiavimo grupės rezultatų poveikį nacionaliniams požiūriams, aptarti įgyvendinimo problemas ir suformuluoti konkrečias rekomendacijas, visų pirma dėl šios direktyvos perkėlimo į nacionalinę teisę suderinimo tarp valstybių narių palengvinimo, į kurias turėtų būti atsižvelgiama geriau įgyvendinant dabartines taisykles. Bendradarbiavimo grupė taip pat galėtų apibendrinti nacionalinius sprendimus, kad būtų skatinamas kibernetinio saugumo sprendimų, taikomų kiekvienam konkrečiam sektoriui visoje Sąjungoje, suderinamumas. Tai ypač svarbu tarptautinio ar tarpvalstybinio pobūdžio sektoriams;

(66)

Bendradarbiavimo grupė turėtų išlikti lanksčiu forumu ir sugebėti reaguoti į kintančius ir naujus politikos prioritetus bei problemas ir kartu atsižvelgti į prieinamus išteklius. Ji galėtų nuolat rengti bendrus susitikimus su atitinkamais privačiais suinteresuotaisiais subjektais iš visos Sąjungos, kad aptartų Bendradarbiavimo grupės vykdomą veiklą ir surinktų duomenų bei informacijos apie naujus politikos iššūkius. Be to, Bendradarbiavimo grupė turėtų reguliariai vertinti kibernetinių grėsmių ar incidentų, pavyzdžiui, susijusių su išpirkos reikalavimo programine įranga, padėtį. Siekdama didinti bendradarbiavimą Sąjungos lygmeniu, Bendradarbiavimo grupė turėtų apsvarstyti galimybę pakviesti savo veikloje dalyvauti atitinkamas kibernetinio saugumo politikos srityje veikiančias Sąjungos institucijas, įstaigas, organus ir agentūras, pavyzdžiui, Europos Parlamentą, Europolą, Europos duomenų apsaugos valdybą, Europos Sąjungos aviacijos saugos agentūrą, įsteigtą Reglamentu (ES) 2018/1139, ir Europos Sąjungos kosmoso programos agentūrą, įsteigtą Europos Parlamento ir Tarybos reglamentu (ES) 2021/696 (14);

(67)

kompetentingos institucijos ir CSIRT turėtų turėti galimybę dalyvauti pareigūnų iš kitų valstybių narių mainų programose specialioje sistemoje ir, kai taikytina, taikant reikiamą tokiose mainų programose dalyvaujančių pareigūnų patikimumo patikrinimą, siekiant pagerinti bendradarbiavimą ir didinti valstybių narių tarpusavio pasitikėjimą. Kompetentingos institucijos turėtų imtis būtinų priemonių, kad pareigūnai iš kitų valstybių narių galėtų veiksmingai dalyvauti priimančiosios kompetentingos institucijos arba priimančiosios CSIRT veikloje;

(68)

valstybės narės turėtų prisidėti kuriant Komisijos rekomendacijoje (ES) 2017/1584 (15) numatytą ES reagavimo į kibernetinio saugumo krizes sistemą per esamus bendradarbiavimo tinklus, visų pirma per Europos ryšių palaikymo dėl kibernetinių krizių organizacinį tinklą (EU-CyCLONe), CSIRT tinklą ir Bendradarbiavimo grupę. EU-CyCLONe ir CSIRT tinklas turėtų bendradarbiauti remdamiesi procedūrinėmis taisyklėmis, kuriomis išsamiau apibrėžiamas tas bendradarbiavimas, ir vengti bet kokio užduočių dubliavimosi. EU-CyCLONe darbo tvarkos taisyklėse taip pat turėtų būti aptarta to tinklo veikimo tvarka, įskaitant tinklo vaidmenis, bendradarbiavimo būdus, sąveiką su kitais atitinkamais dalyviais ir dalijimosi informacija šablonus, taip pat ryšių palaikymo priemones. Siekdamos valdyti krizę Sąjungos lygmeniu, atitinkamos šalys turėtų kliautis ES integruoto politinio atsako į krizes mechanizmu, kaip nustatyta Tarybos įgyvendinimo sprendime (ES) 2018/1993 (16) (toliau – IPCR mechanizmas). Komisija tuo tikslu turėtų naudoti aukšto lygmens tarpsektorinį krizės koordinavimo procesą ARGUS. Jei krizė susijusi su svarbiais išorės arba bendros saugumo ir gynybos politikos aspektais, turėtų būti panaudotas Europos išorės veiksmų tarnybos reagavimo į krizę mechanizmas;

(69)

pagal Rekomendacijos (ES) 2017/1584 priedą didelio masto kibernetinio saugumo incidentas turėtų reikšti incidentą, į kurio sukeltą sutrikimą viena valstybė narė nepajėgia reaguoti arba kuris turi didelį poveikį ne mažiau kaip dviem valstybėms narėms. Priklausomai nuo jų priežasties ir poveikio, didelio masto kibernetinio saugumo incidentai gali stiprėti ir virsti plataus masto krizėmis, dėl kurių vidaus rinka negali tinkamai veikti, arba kelti rimtą pavojų visuomenės saugumui ir subjektų ar piliečių saugai keliose valstybėse narėse arba visoje Sąjungoje. Atsižvelgiant į tai, kad tokie incidentai yra labai įvairaus masto ir dažniausiai tarpvalstybinio pobūdžio, valstybės narės ir atitinkamos Sąjungos institucijos, įstaigos, organai ir agentūros turėtų bendradarbiauti techniniu, operatyviniu ir politiniu lygmenimis, kad tinkamai koordinuotų atsaką visoje Sąjungoje;

(70)

kilus didelio masto kibernetinio saugumo incidentams ir krizėms Sąjungos lygmeniu, dėl didelės sektorių ir valstybių narių tarpusavio priklausomybės reikia imtis koordinuotų veiksmų, kad būtų užtikrintas greitas ir veiksmingas reagavimas. Siekiant užtikrinti Sąjungos saugumą ir apsaugoti jos piliečius, įmones bei institucijas nuo incidentų ir kibernetinių grėsmių, taip pat didinti asmenų ir organizacijų pasitikėjimą Sąjungos gebėjimu propaguoti ir apsaugoti pasaulinę, atvirą, laisvą, stabilią ir saugią kibernetinę erdvę, grindžiamą žmogaus teisėmis, pagrindinėmis laisvėmis, demokratija ir teisine valstybe, nepaprastai svarbu turėti kibernetinėms grėsmėms atsparias tinklų ir informacines sistemas bei prieinamus, konfidencialius ir vientisus duomenis;

(71)

didelio masto kibernetinio saugumo incidentų ir krizių metu EU-CyCLONe turėtų veikti kaip tarpininkas tarp techninio ir politinio lygmens ir turėtų stiprinti bendradarbiavimą operatyviniu lygmeniu bei remti sprendimų priėmimą politiniu lygmeniu. Bendradarbiaudamas su Komisija ir atsižvelgdamas į Komisijos kompetenciją krizių valdymo srityje, EU-CyCLONe turėtų remtis CSIRT tinklo nustatytais faktais ir naudotis savo pajėgumais, kad parengtų didelio masto kibernetinio saugumo incidentų ir krizių poveikio analizę;

(72)

kibernetiniai išpuoliai yra tarpvalstybinio pobūdžio ir didelis incidentas gali sutrikdyti ypatingos svarbos informacinės infrastruktūros, nuo kurios priklauso sklandus vidaus rinkos veikimas, veiklą ir jai gali būti pakenkta. Rekomendacijoje (ES) 2017/1584 aptariamas visų susijusių veikėjų vaidmuo. Be to, pagal Sąjungos civilinės saugos mechanizmo, sukurto Europos Parlamento ir Tarybos sprendimu Nr. 1313/2013/ES (17), Komisija yra atsakinga už bendruosius pasirengimo veiksmus, įskaitant Reagavimo į nelaimes koordinavimo centro ir Bendros ekstremaliųjų situacijų ryšių ir informacijos sistemos valdymą, informuotumo apie padėtį ir jos analizės pajėgumų išlaikymą bei tolesnį plėtojimą, taip pat pajėgumų mobilizuoti ir siųsti ekspertų grupes valstybei narei arba trečiajai valstybei paprašius pagalbos sukūrimą ir valdymą. Komisija yra atsakinga ir už analitinių ataskaitų dėl IPCR mechanizmo pagal Įgyvendinimo sprendimą (ES) 2018/1993 teikimą, be kita ko, kiek tai susiję su informuotumu apie kibernetinio saugumo padėtį ir pasirengimu, taip pat dėl informuotumo apie padėtį ir reagavimo į krizes žemės ūkio, nepalankių oro sąlygų, konfliktų kartografavimo ir prognozių, ankstyvojo perspėjimo apie gaivalines nelaimes sistemų, ekstremaliųjų sveikatos situacijų, infekcinių ligų stebėjimo, augalų sveikatos, cheminių incidentų, maisto ir pašarų saugos, gyvūnų sveikatos, migracijos, muitinės, branduolinių ir radiologinių ekstremaliųjų situacijų bei energetikos srityse;

(73)

pagal SESV 218 straipsnį Sąjunga, kai tinkama, gali sudaryti tarptautinius susitarimus su trečiosiomis valstybėmis ar tarptautinėmis organizacijomis, pagal kuriuos joms būtų leidžiama dalyvauti tam tikroje Bendradarbiavimo grupės, CSIRT tinklo ir EU-CyCLONe veikloje ir toks dalyvavimas būtų organizuojamas. Tokiuose susitarimuose turėtų būti užtikrinami Sąjungos interesai ir tinkama duomenų apsauga. Tai neturėtų daryti poveikio valstybių narių teisei bendradarbiauti su trečiosiomis valstybėmis pažeidžiamumų valdymo ir kibernetinio saugumo rizikos valdymo klausimais, palengvinant pranešimų teikimą ir keitimąsi bendrąja informacija laikantis Sąjungos teisės;

(74)

siekdamos palengvinti šios direktyvos veiksmingą įgyvendinimą dėl, inter alia, pažeidžiamumų valdymo, kibernetinio saugumo rizikos valdymo priemonių, pareigų pranešti ir dalijimosi kibernetinio saugumo informacija susitarimų, valstybės narės gali bendradarbiauti su trečiosiomis valstybėmis ir imtis veiklos, kuri laikoma tinkama tam tikslui, įskaitant keitimąsi informacija apie kibernetines grėsmes, incidentus, pažeidžiamumus, priemones ir metodus, taktiką, metodiką ir procedūras, kibernetinio saugumo krizių valdymo parengtį ir pratybas, mokymus, pasitikėjimo stiprinimą ir struktūrizuoto dalijimosi informacija susitarimus;

(75)

turėtų būti įvesti tarpusavio vertinimai siekiant padėti pasimokyti iš bendros patirties, stiprinti tarpusavio pasitikėjimą ir pasiekti aukštą bendrą kibernetinio saugumo lygį. Tarpusavio vertinimai gali padėti gauti vertingų įžvalgų ir rekomendacijų, kuriomis būtų stiprinami bendri kibernetinio saugumo pajėgumai, sukuriant dar vieną funkcionalų būdą dalytis valstybių narių geriausios praktikos pavyzdžiais ir prisidedant prie valstybių narių brandos kibernetinio saugumo srityje lygio didinimo. Be to, atliekant tarpusavio vertinimus turėtų būti atsižvelgiama į panašių mechanizmų, pavyzdžiui, CSIRT tinklo tarpusavio vertinimo sistemos, rezultatus ir jais turėtų būti kuriama pridėtinė vertė bei vengiama dubliavimo. Tarpusavio vertinimų įgyvendinimas neturėtų daryti poveikio Sąjungos ar nacionalinei teisei dėl konfidencialios ar įslaptintos informacijos apsaugos;

(76)

Bendradarbiavimo grupė turėtų nustatyti valstybėms narėms skirtą įsivertinimo metodiką, kuria būtų siekiama apimti tokius veiksnius kaip kibernetinio saugumo rizikos valdymo priemonių ir pareigų pranešti įgyvendinimo lygis, pajėgumų lygis ir kompetentingų institucijų užduočių vykdymo veiksmingumas, CSIRT operaciniai pajėgumai, savitarpio pagalbos įgyvendinimo lygis, dalijimosi kibernetinio saugumo informacija susitarimų įgyvendinimo lygis arba konkretūs tarpvalstybinio ar tarpsektorinio pobūdžio klausimai. Valstybės narės turėtų būti skatinamos reguliariai atlikti įsivertinimus ir Bendradarbiavimo grupėje pristatyti bei aptarti savo įsivertinimo rezultatus;

(77)

atsakomybė už tinklų ir informacinių sistemų saugumo užtikrinimą didžiąja dalimi tenka esminiams ir svarbiems subjektams. Turėtų būti skatinama ir plėtojama rizikos valdymo kultūra, apimanti rizikos vertinimus ir rizikas, su kuriomis susiduriama, atitinkančių kibernetinio saugumo rizikos valdymo priemonių įgyvendinimą;

(78)

kibernetinio saugumo rizikos valdymo priemonėse turėtų būti atsižvelgiama į esminio ar svarbaus subjekto priklausomybę nuo tinklų ir informacinių sistemų ir jos turėtų apimti priemones, skirtas incidentų rizikai nustatyti, incidentų prevencijos, atskleidimo, nustatymo, reagavimo į juos bei veiklos atstatymo po jų ir jų poveikio švelninimo priemones. Tinklų ir informacinių sistemų saugumas turėtų apimti saugomų, perduodamų ir tvarkomų duomenų saugumą. Kibernetinio saugumo rizikos valdymo priemonėse turėtų būti numatyta sisteminė analizė, atsižvelgiant į žmogiškąjį veiksnį, kad būtų galima susidaryti visapusišką tinklų ir informacinės sistemos saugumo vaizdą;

(79)

kadangi grėsmė tinklų ir informacinių sistemų saugumui gali būti įvairios kilmės, kibernetinio saugumo rizikos valdymo priemonės turėtų būti grindžiamos visų rūšių pavojus apimančiu požiūriu, kuriuo siekiama apsaugoti tinklų ir informacines sistemas bei jų fizinę aplinką nuo tokių įvykių kaip vagystė, gaisras, potvynis, telekomunikacijų ar elektros energijos tiekimo triktys, arba nuo neleistinos fizinės prieigos prie esminio ar svarbaus subjekto informacijos ir informacijos tvarkymo objektų ir žalos jiems, ir jų trikdžių, kurie galėtų kelti pavojų saugomų, perduodamų ar tvarkomų duomenų arba per tinklų ir informacines sistemas teikiamų ar prieinamų paslaugų prieinamumui, autentiškumui, vientisumui arba konfidencialumui. Todėl kibernetinio saugumo rizikos valdymo priemonėmis taip pat turėtų būti sprendžiamas tinklų ir informacinių sistemų fizinis ir aplinkos saugumas, įtraukiant priemones, skirtas tokioms sistemoms apsaugoti nuo sistemos gedimų, žmogaus klaidų, piktavališkų veiksmų ar gamtos reiškinių laikantis Europos ir tarptautinių standartų, pavyzdžiui, įtrauktų į ISO/IEC 27000 seriją. Tuo atžvilgiu esminiai ir svarbūs subjektai savo kibernetinio saugumo rizikos valdymo priemonėmis turėtų taip pat užtikrinti žmogiškųjų išteklių saugumą ir įdiegti tinkamą prieigos kontrolės politiką. Tos priemonės turėtų būti suderinamos su Direktyva (ES) 2022/2557;

(80)

siekdamos įrodyti atitiktį kibernetinio saugumo rizikos valdymo priemonėms ir nesant tinkamų Europos kibernetinio saugumo sertifikavimo schemų, priimtų pagal Europos Parlamento ir Tarybos reglamentą (ES) 2019/881 (18), valstybės narės, konsultuodamosi su Bendradarbiavimo grupe ir Europos kibernetinio saugumo sertifikavimo grupe, turėtų skatinti esminius ir svarbius subjektus naudoti atitinkamus Europos ir tarptautinius standartus arba gali reikalauti, kad subjektai naudotų sertifikuotus IRT produktus, IRT paslaugas ir IRT procesus;

(81)

siekiant neužkrauti neproporcingos finansinės ir administracinės naštos esminiams ir svarbiems subjektams, kibernetinio saugumo rizikos valdymo priemonės turėtų būti proporcingos rizikai, kuri kyla atitinkamai tinklų ir informacinei sistemai, atsižvelgiant į tokių priemonių modernumą ir, kai taikytina, atitinkamus Europos bei tarptautinius standartus, taip pat jų įgyvendinimo išlaidas;

(82)

kibernetinio saugumo rizikos valdymo priemonės turėtų būti proporcingos esminio ar svarbaus subjekto galimybės patirti riziką laipsniui ir visuomeniniam bei ekonominiam poveikiui, kurį sukeltų incidentas. Nustatant kibernetinio saugumo rizikos valdymo priemones, pritaikytas esminiams ir svarbiems subjektams, reikėtų tinkamai atsižvelgti į skirtingą esminiams ir svarbiems subjektams kylančią riziką, pavyzdžiui, subjekto svarbą, jo patiriamą riziką, įskaitant visuomenei kylančią riziką, subjekto dydį ir incidentų tikimybę bei jų sunkumą, be kita ko, jų socialinį ir ekonominį poveikį;

(83)

esminiai ir svarbūs subjektai turėtų užtikrinti tinklų ir informacinių sistemų, kurias jie naudoja savo veikloje, saugumą. Tos sistemos visų pirma yra privačios tinklų ir informacinės sistemos, kurias administruoja esminių ir svarbių subjektų vidaus IT personalas arba kurių saugumą pavesta užtikrinti užsakomųjų paslaugų teikėjams. Šioje direktyvoje nustatytos kibernetinio saugumo rizikos valdymo priemonės ir pareigos pranešti turėtų būti taikomos atitinkamiems esminiams ir svarbiems subjektams, nepaisant to, ar tie subjektai savo tinklų ir informacines sistemas techniškai prižiūri patys, ar šias paslaugas užsako;

(84)

atsižvelgiant į DNS paslaugų teikėjų, aukščiausio lygio domenų vardų registrų, debesijos kompiuterijos paslaugų teikėjų, duomenų centrų paslaugų teikėjų, turinio teikimo tinklo paslaugų teikėjų, valdomų paslaugų teikėjų, valdomų saugumo paslaugų teikėjų, internetinių prekyviečių, interneto paieškos sistemų ir socialinių tinklų paslaugų platformų paslaugų teikėjų ir patikimumo užtikrinimo paslaugų teikėjų tarpvalstybinį pobūdį, jiems turėtų būti taikomas didesnio lygio suderinimas Sąjungos lygmeniu. Todėl kibernetinio saugumo rizikos valdymo priemonių įgyvendinimą tų subjektų atžvilgiu turėtų palengvinti įgyvendinimo aktas;

(85)

rizikų, kylančių subjekto tiekimo grandinėje ir jo santykiuose su tiekėjais, pavyzdžiui, duomenų saugojimo ir tvarkymo paslaugų teikėjais arba valdomų saugumo paslaugų teikėjais ir programinės įrangos redaktoriais, mažinimas yra ypač svarbus atsižvelgiant į incidentų paplitimą tais atvejais, kai subjektai tapo kibernetinių išpuolių aukomis ir kai piktavališki nusikalstamos veikos vykdytojai galėjo kelti pavojų subjekto tinklų ir informacinių sistemų saugumui pasinaudodami pažeidžiamumais, darančiais poveikį trečiųjų šalių produktams ir paslaugoms. Todėl esminiai ir svarbūs subjektai turėtų įvertinti ir atsižvelgti į bendrą produktų ir paslaugų kokybę ir atsparumą, juose integruotas kibernetinio saugumo rizikos valdymo priemones bei savo tiekėjų ir paslaugų teikėjų kibernetinio saugumo praktiką, įskaitant jų saugaus kūrimo procedūras. Esminiai ir svarbūs subjektai visų pirma turėtų būti skatinami įtraukti kibernetinio saugumo rizikos valdymo priemones į susitarimus su savo tiesioginiais tiekėjais ir paslaugų teikėjais. Tie subjektai galėtų atsižvelgti į rizikas, kylančias dėl kitų lygmenų tiekėjų ir paslaugų teikėjų;

(86)

kalbant apie paslaugų teikėjus, valdomų saugumo paslaugų teikėjai tokiose srityse kaip reagavimas į incidentus, skverbimosi testavimas, saugumo auditai ir konsultacijos atlieka itin svarbų vaidmenį padėdami subjektams užkirsti kelią incidentams, juos atskleisti, į juos reaguoti ar atstatyti po jų veiklą. Tačiau valdomų saugumo paslaugų teikėjai patys yra kibernetinių išpuolių taikiniai ir dėl jų glaudžios integracijos į subjektų veiklą kyla specifinė rizika. Todėl esminiai ir svarbūs subjektai, atrinkdami valdomų saugumo paslaugų teikėją, turėtų veikti atidžiau;

(87)

kompetentingoms institucijoms vykdant jų priežiūros užduotis taip pat gali būti naudingos kibernetinio saugumo paslaugos, pavyzdžiui, saugumo auditai, skverbimosi testavimas arba reagavimas į incidentus;

(88)

esminiai ir svarbūs subjektai taip pat turėtų mažinti riziką, kylančią dėl jų sąveikos ir santykių su kitais suinteresuotaisiais subjektais platesnėje ekosistemoje, be kita ko, atsižvelgiant į kovą su pramoniniu šnipinėjimu ir komercinių paslapčių apsaugą. Visų pirma tie subjektai turėtų imtis tinkamų priemonių siekdami užtikrinti, kad jų bendradarbiavimas su akademinėmis ir mokslinių tyrimų įstaigomis vyktų laikantis jų kibernetinio saugumo politikos ir būtų laikomasi gerosios praktikos, susijusios su saugia prieiga prie informacijos ir jos sklaida apskritai ir ypač su intelektinės nuosavybės apsauga. Be to, atsižvelgiant į duomenų svarbą ir vertę esminių ir svarbių subjektų veiklai, kai jie naudojasi duomenų transformavimo ir duomenų analizės paslaugomis, kurias teikia trečiosios šalys, subjektai turėtų imtis visų tinkamų kibernetinio saugumo rizikos valdymo priemonių;

(89)

esminiai ir svarbūs subjektai turėtų naudoti platų pagrindinės kibernetinės higienos praktikos pavyzdžių spektrą, pavyzdžiui, nulinio pasitikėjimo principus, programinės įrangos atnaujinimus, prietaisų konfigūravimą, tinklo segmentavimą, tapatybės ir prieigos valdymą arba naudotojų informuotumą, rengti savo darbuotojams mokymus ir didinti informuotumą apie kibernetines grėsmes, duomenų viliojimą ar socialinės inžinerijos metodus. Be to, tie subjektai turėtų įvertinti savo kibernetinio saugumo pajėgumus ir prireikus siekti integruoti kibernetinio saugumo stiprinimo technologijas, pavyzdžiui, dirbtinį intelektą ar mašinų mokymosi sistemas, kad sustiprintų savo pajėgumus bei tinklų ir informacinių sistemų saugumą;

(90)

siekiant toliau mažinti pagrindines tiekimo grandinės rizikas ir padėti esminiams ir svarbiems subjektams, vykdantiems veiklą sektoriuose, kuriems taikoma ši direktyva, tinkamai valdyti su tiekimo grandine ir tiekėjais susijusią riziką, Bendradarbiavimo grupė, bendradarbiaudama su Komisija ir ENISA ir prireikus, pasikonsultavusi su atitinkamais suinteresuotaisiais subjektais, įskaitant pramonės sektoriaus atstovus, turėtų atlikti koordinuotus ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimus, kaip jau padaryta 5G tinklų atveju pagal Komisijos rekomendaciją (ES) 2019/534 (19), siekiant nustatyti kiekvieno sektoriaus ypatingos svarbos IRT paslaugas, IRT sistemas ar IRT produktus, atitinkamas grėsmes ir pažeidžiamumus. Tokiuose koordinuotuose saugumo rizikos vertinimuose turėtų būti nustatytos priemonės, rizikos mažinimo planai ir geriausios praktikos pavyzdžiai šalinant kritines priklausomybes, galimus visuotinį neveikimą sukeliančius gedimo taškus, grėsmes, pažeidžiamumus ir kitus rizikos veiksnius, susijusius su tiekimo grandine, ir turėtų būti ieškoma būdų, kaip toliau skatinti esminius ir svarbius subjektus juos plačiau taikyti. Galimi netechniniai rizikos veiksniai, kaip antai nederamas trečiosios valstybės poveikis tiekėjams ir paslaugų teikėjams, visų pirma alternatyvių valdymo modelių atveju, apima paslėptus pažeidžiamumus arba užpakalines duris ir galimus sisteminius tiekimo sutrikimus, visų pirma technologinio susaistymo arba priklausomybės nuo tiekėjų atveju;

(91)

atliekant koordinuotus ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimus, atsižvelgiant į atitinkamo sektoriaus ypatumus, turėtų būti atsižvelgiama tiek į techninius, tiek, kai tinkama, į netechninius veiksnius, įskaitant apibrėžtus Rekomendacijoje (ES) 2019/534, 5G tinklų kibernetinio saugumo ES koordinuotame rizikos vertinime ir ES 5G kibernetinio saugumo priemonių rinkinyje, dėl kurio susitarė Bendradarbiavimo grupė. Siekiant išsiaiškinti, kurioms tiekimo grandinėms turėtų būti taikomas koordinuotas saugumo rizikos vertinimas, turėtų būti atsižvelgta į šiuos kriterijus: i) kokiu mastu esminiai ir svarbūs subjektai naudojasi konkrečiomis ypatingos svarbos IRT paslaugomis, IRT sistemomis ar IRT produktais ir nuo jų priklauso; ii) konkrečių ypatingos svarbos IRT paslaugų, IRT sistemų ar IRT produktų svarba vykdant ypatingos svarbos arba jautrias funkcijas, įskaitant asmens duomenų tvarkymą; iii) alternatyvių IRT paslaugų, IRT sistemų ar IRT produktų prieinamumas; iv) visos IRT paslaugų, IRT sistemų ar IRT produktų tiekimo grandinės atsparumas sutrikimų atžvilgiu per jų gyvavimo ciklą ir v) atsirandančių IRT paslaugų, IRT sistemų ar IRT produktų atveju, jų galimą būsimą svarbą subjektų veiklai. Be to, ypatingas dėmesys turėtų būti skiriamas IRT paslaugoms, IRT sistemoms ar IRT produktams, kuriems taikomi konkretūs trečiųjų valstybių reikalavimai;

(92)

siekiant supaprastinti viešųjų elektroninių ryšių tinklų ar viešai prieinamų elektroninių ryšių paslaugų teikėjams ir patikimumo užtikrinimo paslaugų teikėjams taikomas pareigas, susijusias su jų tinklų ir informacinių sistemų saugumu, taip pat sudaryti sąlygas tiems subjektams ir kompetentingoms institucijoms pagal atitinkamai Europos Parlamento ir Tarybos direktyvą (ES) 2018/1972 (20) ir Reglamentą (ES) Nr. 910/2014 pasinaudoti šioje direktyvoje nustatyta teisine sistema, įskaitant CSIRT, atsakingos už incidentų valdymą, paskyrimą, atitinkamų kompetentingų institucijų dalyvavimą Bendradarbiavimo grupės ir CSIRT tinklo veikloje, tie subjektai turėtų būti įtraukti į šios direktyvos taikymo sritį. Todėl atitinkamos Reglamento (ES) Nr. 910/2014 ir Direktyvos (ES) 2018/1972 nuostatos, susijusios su saugumo ir pranešimo reikalavimo nustatymu tų rūšių subjektams, turėtų būti panaikintos. Šioje direktyvoje nustatytos taisyklės dėl pranešimų teikimo pareigų neturėtų daryti poveikio Reglamentui (ES) 2016/679 ir Direktyvai 2002/58/EB;

(93)

šioje direktyvoje nustatytos kibernetinio saugumo pareigos turėtų būti laikomos papildančiomis Reglamentu (ES) Nr. 910/2014 patikimumo užtikrinimo paslaugų teikėjams nustatytus reikalavimus. Turėtų būti reikalaujama, kad patikimumo užtikrinimo paslaugų teikėjai imtųsi visų tinkamų ir proporcingų jų paslaugoms kylančios rizikos valdymo priemonių, be kita ko, klientų ir pasikliaujančiųjų trečiųjų šalių atžvilgiu, ir pagal šią direktyvą praneštų apie incidentus. Tokios kibernetinio saugumo ir pranešimo pareigos turėtų būti taikomos ir teikiamų paslaugų fizinei apsaugai. Toliau taikomi Reglamento (ES) Nr. 910/2014 24 straipsnyje nustatyti reikalavimai kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams;

(94)

valstybės narės atlikti patikimumo užtikrinimo paslaugų srities kompetentingų institucijų vaidmenį gali pavesti priežiūros įstaigoms pagal Reglamentą (ES) Nr. 910/2014, kad būtų užtikrintas dabartinės praktikos tęstinumas ir toliau plėtojamos taikant tą reglamentą įgytos žinios ir patirtis. Tokiu atveju kompetentingos institucijos pagal šią direktyvą turėtų glaudžiai ir laiku bendradarbiauti su tomis priežiūros įstaigomis, keisdamosi aktualia informacija, kad būtų užtikrinta veiksminga patikimumo užtikrinimo paslaugų teikėjų priežiūra ir užtikrinta, kad jie laikytųsi šioje direktyvoje bei Reglamente (ES) Nr. 910/2014 nustatytų reikalavimų. Kai taikytina, CSIRT ar kompetentinga institucija pagal šią direktyvą turėtų nedelsdama informuoti priežiūros įstaigą pagal Reglamentą (ES) Nr. 910/2014 apie visas dideles kibernetines grėsmes arba incidentus, darančius poveikį patikimumo užtikrinimo paslaugoms, apie kuriuos pranešta, taip pat apie visus atvejus, kai patikimumo užtikrinimo paslaugų teikėjas pažeidžia šią direktyvą. Pranešimų teikimo tikslais valstybės narės, kai taikytina, gali naudotis viena bendra prieiga, nustatyta siekiant užtikrinti bendrą automatinį pranešimą apie incidentus tiek priežiūros įstaigai pagal Reglamentą (ES) Nr. 910/2014, tiek CSIRT ar kompetentingai institucijai pagal šią direktyvą;

(95)

kai tinkama ir siekiant išvengti nereikalingo trikdymo, perkeliant šią direktyvą į nacionalinę teisę turėtų būti atsižvelgiama į galiojančias nacionalines gaires, priimtas siekiant į nacionalinę teisę perkelti taisykles, susijusias su Direktyvos (ES) 2018/1972 40 ir 41 straipsniuose nustatytomis saugumo priemonėmis, taip plėtojant taikant Direktyvą (ES) 2018/1972 jau įgytas žinias ir patirtį, susijusias su saugumo priemonėmis ir pranešimais apie incidentus. ENISA taip pat gali parengti gaires dėl saugumo reikalavimų ir pareigų pranešti, skirtas viešųjų elektroninių ryšių tinklų arba viešai prieinamų elektroninių ryšių paslaugų teikėjams, kad būtų sudarytos palankesnės sąlygos suderinimui bei pertvarkai ir kuo labiau sumažinti trikdžiai. Valstybės narės gali pagal Direktyvą (ES) 2018/1972 pavesti elektroninių ryšių srities kompetentingų institucijų vaidmenį atlikti nacionalinėms reguliavimo institucijoms, kad būtų užtikrintas dabartinės praktikos tęstinumas ir toliau plėtojamos įgyvendinant tą direktyvą įgytos žinios ir patirtis;

(96)

atsižvelgiant į didėjančią su numeriu nesiejamo asmenų tarpusavio ryšio paslaugų, kaip apibrėžta Direktyvoje (ES) 2018/1972, svarbą, būtina užtikrinti, kad tokioms paslaugoms, atsižvelgiant į jų specifinį pobūdį ir ekonominę svarbą, taip pat būtų taikomi tinkami saugumo reikalavimai. Kadangi išpuolių perimetras vis didėja, su numeriu nesiejamo asmenų tarpusavio ryšio paslaugos, pavyzdžiui, pranešimų paslaugos, tampa plačiai paplitusiais išpuolių vektoriais. Piktavališki nusikalstamos veikos vykdytojai naudoja platformas, kad bendrautų su aukomis ir jas suviliotų atverti saugumui pavojų keliančius interneto puslapius, todėl padidėja incidentų, susijusių su asmens duomenų naudojimu ir atitinkamai – tinklų ir informacinių sistemų saugumu, tikimybė. Su numeriu nesiejamo asmenų tarpusavio ryšio paslaugų teikėjai turėtų užtikrinti tinklų ir informacinių sistemų saugumo lygį, atitinkantį keliamą riziką. Atsižvelgiant į tai, kad su numeriu nesiejamo asmenų tarpusavio ryšio paslaugų teikėjai paprastai neturi tikrų galimybių kontroliuoti tinklais siunčiamus perdavimo signalus, galima laikyti, kad tam tikrais atžvilgiais tokioms paslaugoms kyla mažesnio laipsnio rizika nei tradicinėms elektroninių ryšių paslaugoms. Tas pats pasakytina ir apie asmenų tarpusavio ryšio paslaugas, kaip apibrėžta Direktyvoje (ES) 2018/1972, kurias teikiant naudojami numeriai ir kurias teikiant faktiškai nekontroliuojamas signalų perdavimas;

(97)

vidaus rinka labiau nei bet kada priklauso nuo interneto veikimo. Beveik visų esminių ir svarbių subjektų paslaugos priklauso nuo internetu teikiamų paslaugų. Siekiant užtikrinti sklandų esminių ir svarbių subjektų teikiamų paslaugų teikimą, svarbu, kad visi viešųjų elektroninių ryšių tinklų teikėjai įdiegtų tinkamas kibernetinio saugumo rizikos valdymo priemones ir praneštų apie su jomis susijusius didelius incidentus. Valstybės narės turėtų užtikrinti, kad būtų išlaikytas viešųjų elektroninių ryšių tinklų saugumas ir kad jų gyvybiškai svarbūs saugumo interesai būtų apsaugoti nuo sabotažo ir šnipinėjimo. Kadangi tarptautinis junglumas stiprina ir spartina konkurencingą Sąjungos ir jos ekonomikos skaitmeninimą, apie incidentus, darančius poveikį povandeniniams ryšių kabeliams, turėtų būti pranešama CSIRT arba, kai taikytina, kompetentingai institucijai. Nacionalinėje kibernetinio saugumo strategijoje, kai tinkama, turėtų būti atsižvelgiama į povandeninių ryšių kabelių kibernetinį saugumą ir į ją turėtų būti įtraukta galimos kibernetinio saugumo rizikos kartograma bei rizikos mažinimo priemonės, siekiant užtikrinti aukščiausią jų apsaugos lygį;

(98)

siekiant užtikrinti viešųjų elektroninių ryšių tinklų ir viešai prieinamų elektroninių ryšių paslaugų saugumą, turėtų būti skatinama naudoti šifravimo technologijas, visų pirma ištisinį šifravimą, taip pat į duomenis orientuotas saugumo koncepcijas, pavyzdžiui, kartografiją, segmentavimą, žymėjimą, prieigos politiką ir prieigos valdymą bei automatinius sprendimus dėl prieigos. Kai būtina, šifravimo, visų pirma ištisinio šifravimo, naudojimas turėtų būti privalomas viešųjų elektroninių ryšių tinklų arba viešai prieinamų elektroninių ryšių paslaugų teikėjams laikantis pritaikytojo ir standartizuotojo saugumo bei privatumo principų šios direktyvos tikslais. Ištisinio šifravimo naudojimas turėtų derėti su valstybių narių įgaliojimais užtikrinti savo esminių saugumo interesų apsaugą ir visuomenės saugumą ir leisti užkirsti kelią nusikalstamoms veikoms, jas tirti, nustatyti ir vykdyti baudžiamąjį persekiojimą už jas laikantis Sąjungos teisės. Tačiau dėl to neturėtų būti susilpnintas ištisinis šifravimas, kuris yra kritinė technologija siekiant veiksmingai apsaugoti duomenis ir privatumą bei ryšių saugumą;

(99)

siekiant užtikrinti viešųjų elektroninių ryšių tinklų ir viešai prieinamų elektroninių ryšių paslaugų saugumą ir užkirsti kelią piktnaudžiavimui bei manipuliavimui jais, turėtų būti skatinama naudoti saugaus maršruto parinkimo standartus, kad būtų užtikrintas maršruto parinkimo funkcijų vientisumas ir patikimumas visoje prieigos prie interneto paslaugų tiekėjų ekosistemoje;

(100)

siekiant apsaugoti interneto funkcionalumą ir vientisumą ir skatinti DNS saugumą bei atsparumą, atitinkami suinteresuotieji subjektai, įskaitant Sąjungos privačiojo sektoriaus subjektus, viešai prieinamų elektroninių ryšių paslaugų teikėjus, visų pirma prieigos prie interneto paslaugų teikėjus, ir interneto paieškos sistemų teikėjus, turėtų būti skatinami priimti DNS keitimo įvairinimo strategiją. Be to, valstybės narės turėtų skatinti kurti ir naudoti viešą ir saugų Europos DNS keitiklį;

(101)

šia direktyva nustatomas kelių etapų pranešimų apie didelius incidentus teikimo metodas, siekiant užtikrinti tinkamą pusiausvyrą tarp, viena vertus, greito pranešimų teikimo, kuris padeda sumažinti galimą didelių incidentų plitimą ir suteikia galimybę esminiams ir svarbiems subjektams prašyti pagalbos, ir, kita vertus, išsamių pranešimų, kuriuose atsižvelgiama į vertingą su atskirais incidentais susijusią patirtį ir ilgainiui didinamas atskirų subjektų ir visų sektorių kibernetinis atsparumas. Tuo atžvilgiu šioje direktyvoje turėtų būti numatytas pranešimas apie incidentus, kurie, remiantis atitinkamo subjekto atliktu pradiniu vertinimu, galėtų sukelti didelį paslaugų teikimo sutrikdymą arba finansinių nuostolių tam subjektui arba paveiktų kitus fizinius ar juridinius asmenis sukeliant jiems didelės turtinės arba neturtinės žalos. Atliekant tokį pradinį vertinimą turėtų būti atsižvelgiama, inter alia, į paveiktas tinklų ir informacines sistemas, ypač į jų svarbą subjekto paslaugų teikimui, kibernetinės grėsmės rimtumą ir technines charakteristikas bei visus pagrindinius pažeidžiamumus, kuriais naudojamasi, taip pat į subjekto patirtį įvykus panašiems incidentams. Tokie rodikliai, kaip poveikio paslaugos veikimui mastas, incidento trukmė arba paveiktų paslaugų gavėjų skaičius, galėtų būti svarbūs nustatant, ar paslaugos teikimo sutrikdymas yra didelis;

(102)

jei esminiai ar svarbūs subjektai sužino apie didelį incidentą, reikalaujama, kad jie nepagrįstai nedelsdami ir bet kuriuo atveju per 24 valandas pateiktų ankstyvąjį perspėjimą. Po to ankstyvojo perspėjimo turėtų būti pateikiamas pranešimas apie incidentą. Atitinkami subjektai turėtų nepagrįstai nedelsdami ir bet kuriuo atveju per 72 valandas nuo tada, kai sužinojo apie didelį incidentą, pateikti pranešimą apie incidentą, visų pirma siekdami atnaujinti ankstyvuoju perspėjimu pateiktą informaciją ir pateikti didelio incidento, įskaitant jo rimtumą ir poveikį, pradinį vertinimą, taip pat užvaldymo rodiklius, jei tokių yra. Galutinis pranešimas turėtų būti pateiktas ne vėliau kaip per vieną mėnesį nuo pranešimo apie incidentą. Ankstyvajame perspėjime turėtų būti pateikta tik ta informacija, kurios reikia, kad CSIRT arba, kai taikytina, kompetentinga institucija, būtų informuota apie didelį incidentą, o atitinkamas subjektas prireikus galėtų kreiptis pagalbos. Tokiame ankstyvajame perspėjime, jei taikytina, turėtų būti nurodyta, ar įtariama, kad didelį incidentą sukėlė neteisėti arba piktavališki veiksmai, ir ar tikėtina, kad jis turės tarpvalstybinį poveikį. Valstybės narės turėtų užtikrinti, kad dėl pareigos pateikti tą ankstyvąjį perspėjimą arba vėlesnį pranešimą apie incidentą pranešančio subjekto ištekliai nebūtų nukreipti nuo veiklos, susijusios su incidentų valdymu, kuriai turėtų būti teikiama pirmenybė, siekiant užkirsti kelią tam, kad dėl pranešimų apie incidentus teikimo pareigų nebūtų nukreipiami ištekliai nuo reagavimo į didelius incidentus valdymo arba kitaip nebūtų pakenkta subjekto pastangoms šioje srityje. Tuo atveju, jei galutinio pranešimo pateikimo metu incidentas tebevyksta, valstybės narės turėtų užtikrinti, kad atitinkami subjektai tuo metu pateiktų pažangos ataskaitą, o galutinę ataskaitą – per vieną mėnesį nuo tada, kai suvaldė didelį incidentą;

(103)

kai taikytina, esminiai ir svarbūs subjektai turėtų nedelsdami pranešti savo paslaugų gavėjams apie visas priemones ar taisomąsias priemones, kurių jie gali imtis, kad sumažintų dėl didelės kibernetinės grėsmės kylančią riziką. Kai tinkama ir ypač tais atvejais, kai tikėtina, kad didelė kibernetinė grėsmė pasireikš, tie subjektai taip pat turėtų informuoti savo paslaugų gavėjus apie pačią grėsmę. Reikalavimo informuoti tuos gavėjus apie dideles kibernetines grėsmes turėtų būti laikomasi dedant visas įmanomas pastangas, tačiau jis neturėtų atleisti tų subjektų nuo pareigos savo sąskaita imtis tinkamų ir neatidėliotinų priemonių, kad būtų užkirstas kelias tokioms grėsmėms arba jos būtų pašalintos ir atkurtas įprastas paslaugos saugumo lygis. Tokia informacija apie dideles kibernetines grėsmes paslaugų gavėjams turėtų būti teikiama nemokamai ir parengta lengvai suprantama kalba;

(104)

viešųjų elektroninių ryšių tinklų arba viešai prieinamų elektroninių ryšių paslaugų teikėjai turėtų įgyvendinti pritaikytojo ir standartizuotojo saugumo priemones ir informuoti savo paslaugų gavėjus apie dideles kibernetines grėsmes ir priemones, kurių jie gali imtis savo prietaisų ir ryšių saugumui užtikrinti, pavyzdžiui, naudodami konkrečių rūšių programinę įrangą arba šifravimo technologijas;

(105)

iniciatyvus požiūris į kibernetines grėsmes yra nepaprastai svarbus kibernetinio saugumo rizikos valdymo priemonių elementas, kuris turėtų sudaryti sąlygas kompetentingoms institucijoms veiksmingai užkirsti kelią kibernetinių grėsmių tapimui incidentais, dėl kurių gali būti patiriama didelė turtinė ar neturtinė žala. Tuo tikslu labai svarbu, kad apie kibernetines grėsmes būtų pranešama. Todėl subjektai raginami savanoriškai pranešti apie kibernetines grėsmes;

(106)

siekiant supaprastinti pagal šią direktyvą reikalaujamą informacijos pranešimą ir sumažinti subjektams tenkančią administracinę naštą, valstybės narės turėtų numatyti technines priemones, pavyzdžiui, vieną bendrą prieigą, automatizuotas sistemas, internetines formas, patogias naudoti sąsajas, šablonus, specialias platformas, skirtas subjektams naudoti, nepriklausomai nuo to, ar jie patenka į šios direktyvos taikymo sritį, kad būtų galima teikti atitinkamą su pranešimų teikimu susijusią informaciją. Sąjungos finansavimas, kuriuo remiamas šios direktyvos įgyvendinimas, visų pirma pagal Skaitmeninės Europos programą, nustatytą Europos Parlamento ir Tarybos reglamentu (ES) 2021/694 (21), galėtų apimti paramą vienai bendrai prieigai. Be to, subjektai dažnai atsiduria tokioje padėtyje, kai apie konkretų incidentą dėl jo ypatumų, atsižvelgiant į įvairiuose teisės aktuose nustatytas pareigas pranešti, reikia pranešti įvairioms institucijoms. Tokiais atvejais sukuriama papildoma administracinė našta ir gali kilti neaiškumų dėl tokių pranešimų formos ir procedūrų. Tais atvejais, kai įsteigiama viena bendra prieiga, valstybės narės taip pat raginamos tą vieną bendrą prieigą naudoti pranešimams apie saugumo incidentus, kurių reikalaujama pagal kitus Sąjungos teisės aktus, pavyzdžiui, Reglamentą (ES) 2016/679 ir Direktyvą 2002/58/EB, teikti. Tokios vienos bendros prieigos naudojimas pranešimams apie saugumo incidentus teikti pagal Reglamentą (ES) 2016/679 ir Direktyvą 2002/58/EB neturėtų daryti poveikio Reglamento (ES) 2016/679 ir Direktyvos 2002/58/EB nuostatų, visų pirma susijusių su juose nurodytų institucijų nepriklausomumu, taikymui. ENISA, bendradarbiaudama su Bendradarbiavimo grupe, turėtų parengti bendrus pranešimo šablonus, pateikdama gaires, kuriomis supaprastinama ir racionalizuojama pagal Sąjungos teisę reikalaujama pranešimų teikimo informacija ir sumažinama pranešantiems subjektams tenkanti administracinė našta;

(107)

kai įtariama, kad incidentas yra susijęs su sunkia nusikalstama veika pagal Sąjungos arba nacionalinę teisę, valstybės narės turėtų skatinti esminius ir svarbius subjektus, remiantis pagal Sąjungos teisę taikytinomis baudžiamojo proceso taisyklėmis, pranešti atitinkamoms teisėsaugos institucijoms apie įtariamus sunkius nusikalstamo pobūdžio incidentus. Atitinkamais atvejais, nedarant poveikio Europolui taikomų asmens duomenų apsaugos taisyklėms, pageidautina, kad skirtingų valstybių narių kompetentingų institucijų ir teisėsaugos institucijų veiklos koordinavimą palengvintų Europos kovos su elektroniniu nusikalstamumu centras (EC3) ir ENISA;

(108)

daugeliu atvejų dėl incidentų kyla pavojus asmens duomenų saugumui. Tokiomis aplinkybėmis kompetentingos institucijos turėtų bendradarbiauti ir keistis informacija visais svarbiais klausimais su institucijomis, nurodytomis Reglamente (ES) 2016/679 ir Direktyvoje 2002/58/EB;

(109)

siekiant užtikrinti DNS saugumą, stabilumą ir atsparumą, būtina turėti tikslias ir išsamias domenų vardų registracijos duomenų (WHOIS duomenų) bazes ir suteikti teisėtą prieigą prie tokių duomenų, o tai savo ruožtu prisideda prie aukšto bendro kibernetinio saugumo lygio visoje Sąjungoje. Tuo konkrečiu tikslu turėtų būti reikalaujama, kad aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai tvarkytų tam tikrus duomenis, būtinus tam tikslui pasiekti. Toks tvarkymas turėtų būti laikomas teisine prievole, kaip tai suprantama Reglamento (ES) 2016/679 6 straipsnio 1 dalies c punkte. Ta prievole nedaromas poveikis galimybei domenų vardų registracijos duomenis rinkti kitais tikslais, pavyzdžiui, remiantis sutartimi arba teisiniais reikalavimais, nustatytais kitoje Sąjungos ar nacionalinėje teisėje. Tos prievolės tikslas – užtikrinti išsamų tikslių registracijos duomenų rinkinį ir dėl jos tie patys duomenys neturėtų būti renkami kelis kartus. Aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai turėtų bendradarbiauti tarpusavyje, kad būtų išvengta tos užduoties dubliavimosi;

(110)

siekiant užkirsti kelią piktnaudžiavimui DNS ir kovoti su juo, taip pat užkirsti kelią incidentams ir juos atskleisti bei į juos reaguoti, labai svarbu teisėtiems prieigos prašantiems subjektams užtikrinti domenų vardų registracijos duomenų prieinamumą ir galimybę laiku su jais susipažinti. Teisėti prieigos prašantys subjektai turi būti suprantami kaip bet kuris fizinis ar juridinis asmuo, teikiantis prašymą pagal Sąjungos arba nacionalinę teisę. Jie gali apimti institucijas, kurios yra kompetentingos pagal šią direktyvą ir kurios yra kompetentingos pagal Sąjungos ar nacionalinę teisę nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas srityje, taip pat CERT arba CSIRT. Pagal Sąjungos ir nacionalinę teisę turėtų būti reikalaujama, kad aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai suteiktų teisėtiems prieigos prašantiems subjektams teisėtą prieigą prie konkrečių domenų vardų registracijos duomenų, kurie yra būtini prieigos prašymo tikslais. Prie teisėtų prieigos prašančių subjektų prašymo turėtų būti pridėtas motyvų pareiškimas, kuriuo remiantis būtų galima įvertinti prieigos prie duomenų būtinumą;

(111)

siekiant užtikrinti tikslių ir išsamių domenų vardų registracijos duomenų prieinamumą, aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai turėtų rinkti domenų vardų registracijos duomenis ir užtikrinti jų vientisumą ir prieinamumą. Visų pirma, aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai turėtų nustatyti politiką ir procedūras, skirtas tiksliems ir išsamiems domenų vardų registracijos duomenims rinkti ir saugoti, taip pat užkirsti kelią netiksliems registracijos duomenims ir juos ištaisyti laikantis Sąjungos duomenų apsaugos teisės. Toje politikoje ir procedūrose turėtų būti kuo labiau atsižvelgiama į standartus, kuriuos tarptautiniu lygmeniu parengė įvairių suinteresuotųjų subjektų valdymo struktūros. Aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai turėtų patvirtinti ir įgyvendinti proporcingas procedūras, kurios skirtos patikrinti domenų vardų registracijos duomenis. Tos procedūros turėtų atspindėti geriausią sektoriuje taikomą praktiką ir, kiek įmanoma, elektroninės atpažinties srityje padarytą pažangą. Tikrinimo procedūros, be kita ko, gali būti ex ante kontrolė, atliekama registracijos metu, ir ex post kontrolė, atliekama po registracijos. Aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai turėtų visų pirma patikrinti bent vieną iš susisiekimo su registruotoju būdų;

(112)

turėtų būtų reikalaujama, kad aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai viešai skelbtų domenų vardų registracijos duomenis, kuriems netaikoma Sąjungos duomenų apsaugos teisė, pavyzdžiui, duomenis, susijusius su juridiniais asmenimis, atsižvelgiant į Reglamento (ES) 2016/679 preambulę. Juridinių asmenų atveju aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai turėtų viešai skelbti bent registruotojo pavadinimą bei kontaktinį telefono numerį. Kontaktinis el. pašto adresas taip pat turėtų būti skelbiamas su sąlyga, kad jame nėra jokių asmens duomenų, kaip, pavyzdžiui, el. pašto slapyvardžių ar funkcinių paskyrų atveju. Pagal Sąjungos duomenų apsaugos teisę aukščiausio lygio domenų vardų registrai ir subjektai, teikiantys domenų vardų registravimo paslaugas, taip pat turėtų suteikti teisėtiems prieigos prašantiems subjektams teisėtą prieigą prie konkrečių domenų vardų registracijos duomenų, susijusių su fiziniais asmenimis. Valstybės narės turėtų reikalauti, kad aukščiausio lygio domenų vardų registrai ir domenų vardų registravimo paslaugas teikiantys subjektai nepagrįstai nedelsdami atsakytų į teisėtų prieigos prašančių subjektų prašymus atskleisti domenų vardų registracijos duomenis. Aukščiausio lygio domenų vardų registrai ir subjektai, teikiantys domenų vardų registravimo paslaugas, turėtų nustatyti registracijos duomenų skelbimo ir atskleidimo politiką ir procedūras, įskaitant susitarimus dėl paslaugų lygio, skirtus nagrinėti teisėtų prieigos prašančių subjektų prašymus suteikti prieigą. Toje politikoje ir procedūrose turėtų būti kuo labiau atsižvelgiama į bet kokias gaires ir standartus, kuriuos tarptautiniu lygmeniu parengė įvairių suinteresuotųjų subjektų valdymo struktūros. Prieigos procedūra galėtų apimti sąsajos, portalo ar kitos techninės priemonės naudojimą, kad būtų sukurta veiksminga registracijos duomenų prašymų ir prieigos prie jų sistema. Siekdama skatinti suderintą praktiką visoje vidaus rinkoje, Komisija gali, nedarant poveikio Europos duomenų apsaugos valdybos kompetencijai, pateikti tokių procedūrų gaires, kuriose kuo labiau atsižvelgiama į įvairių suinteresuotųjų subjektų valdymo struktūrų tarptautiniu lygmeniu parengtus standartus. Valstybės narės turėtų užtikrinti, kad visų rūšių prieiga prie asmens ir ne asmens domenų vardų registracijos duomenų būtų nemokama;

(113)

subjektai, kuriems taikoma ši direktyva, turėtų būti laikomi priklausančiais valstybės narės, kurioje jie įsisteigę, jurisdikcijai. Tačiau viešųjų elektroninių ryšių tinklų arba viešai prieinamų elektroninių ryšių paslaugų teikėjai turėtų būti laikomi priklausančiais valstybės narės, kurioje jie teikia savo paslaugas, jurisdikcijai. DNS paslaugų teikėjai, aukščiausio lygio domenų vardų registrai, domenų vardų registravimo paslaugas teikiantys subjektai, debesijos kompiuterijos paslaugų teikėjai, duomenų centrų paslaugų teikėjai, turinio teikimo tinklo paslaugų teikėjai, valdomų paslaugų teikėjai, valdomų saugumo paslaugų teikėjai, taip pat internetinių prekyviečių, interneto paieškos sistemų bei socialinio tinklo paslaugų platformų paslaugų teikėjai turėtų būti laikomi priklausančiais valstybės narės, kurioje yra jų pagrindinė buveinė Sąjungoje, jurisdikcijai. Viešojo administravimo subjektai turėtų priklausyti valstybės narės, kuri juos įsteigė, jurisdikcijai. Jeigu subjektas teikia paslaugas arba yra įsisteigęs daugiau nei vienoje valstybėje narėje, jis turėtų priklausyti atskirai ir konkuruojančiai kiekvienos iš tų valstybių narių jurisdikcijai. Tų valstybių narių kompetentingos institucijos turėtų bendradarbiauti, teikti viena kitai savitarpio pagalbą ir prireikus vykdyti bendrus priežiūros veiksmus. Tuo atveju, kai valstybės narės naudojasi jurisdikcija, jos neturėtų taikyti vykdymo užtikrinimo priemonių ar sankcijų daugiau kaip vieną kartą už tą patį elgesį, laikydamosi ne bis in idem principo;

(114)

siekiant atsižvelgti į DNS paslaugų teikėjų, aukščiausio lygio domenų vardų registrų, domenų vardų registravimo paslaugas teikiančių subjektų, debesijos kompiuterijos paslaugų teikėjų, duomenų centrų paslaugų teikėjų, turinio teikimo tinklo paslaugų teikėjų, valdomų paslaugų teikėjų, valdomų saugumo paslaugų teikėjų, taip pat internetinių prekyviečių, interneto paieškos sistemų bei socialinio tinklo paslaugų platformų paslaugų teikėjų tarpvalstybinį paslaugų ir veiklos pobūdį, jurisdikciją tų subjektų atžvilgiu turėtų turėti tik viena valstybė narė. Jurisdikcija turėtų būti priskirta valstybei narei, kurioje yra atitinkamo subjekto pagrindinė buveinė Sąjungoje. Šioje direktyvoje įsisteigimo kriterijus reiškia veiksmingą veiklos vykdymą per nuolatines struktūras. Tuo atžvilgiu teisinė tokių struktūrų forma, nepaisant to, ar tai filialas ar patronuojamoji įmonė, turinti juridinio asmens statusą, nėra lemiamas veiksnys. Tai, ar šio kriterijaus laikomasi, neturėtų priklausyti nuo to, ar tinklų ir informacinės sistemos fiziškai yra tam tikroje vietoje; tokių sistemų buvimas ir naudojimas pats savaime nereiškia tokios pagrindinės buveinės, todėl tai nėra lemiami kriterijai, kuriais remiantis nustatoma pagrindinė buveinė. Turėtų būti laikoma, kad pagrindinė buveinė yra valstybėje narėje, kurioje Sąjungoje daugiausia priimami su kibernetinio saugumo rizikos valdymo priemonėmis susiję sprendimai. Paprastai ji sutampa su subjektų centrinės administracijos vieta Sąjungoje. Jei tokios valstybės narės neįmanoma nustatyti arba jei tokie sprendimai nepriimami Sąjungoje, turėtų būti laikoma, kad pagrindinė buveinė yra valstybėje narėje, kurioje vykdomos kibernetinio saugumo operacijos. Jei tokios valstybės narės neįmanoma nustatyti, turėtų būti laikoma, kad pagrindinė buveinė yra valstybėje narėje, kurioje subjektas turi padalinį, kuriame dirba daugiausia darbuotojų Sąjungoje. Jeigu paslaugas teikia įmonių grupė, pagrindinė kontroliuojančiosios įmonės buveinė turėtų būti laikoma pagrindine įmonių grupės buveine;

(115)

kai viešųjų elektroninių ryšių tinklų arba viešai prieinamų elektroninių ryšių paslaugų teikėjas teikia viešai prieinamą rekursinę DNS paslaugą tik kaip interneto prieigos paslaugos dalį, subjektas turėtų būti laikomas priklausančiu visų valstybių narių, kuriose teikiamos jo paslaugos, jurisdikcijai;

(116)

kai paslaugas Sąjungoje siūlo DNS paslaugų teikėjas, aukščiausio lygio domenų vardų registras, domenų vardų registravimo paslaugas teikiantis subjektas, debesijos kompiuterijos paslaugų teikėjas, duomenų centrų paslaugų teikėjas, turinio teikimo tinklo paslaugų teikėjas, valdomų paslaugų teikėjas, valdomų saugumo paslaugų teikėjas arba internetinės prekyvietės, interneto paieškos sistemos ar socialinio tinklo paslaugų platformos paslaugų teikėjas, kuris nėra įsisteigęs Sąjungoje, jis turėtų paskirti atstovą Sąjungoje. Siekiant nustatyti, ar toks subjektas siūlo paslaugas Sąjungoje, reikėtų įvertinti, ar subjektas ketina siūlyti paslaugas asmenims vienoje ar daugiau valstybių narių. Turėtų būti laikoma, kad vien to, jog Sąjungoje prieinama subjekto ar tarpininko interneto svetainė arba el. pašto adresas ar kiti kontaktiniai duomenys arba kad vartojama kalba, kuri paprastai vartojama trečiojoje valstybėje, kurioje yra įsisteigęs subjektas, nepakanka siekiant įrodyti, kad esama tokio ketinimo. Tačiau dėl tokių veiksnių kaip kalba ar valiuta, paprastai vartojamų (naudojamų) vienoje ar daugiau valstybių narių, įskaitant galimybę užsakyti paslaugas ta kalba, arba nurodant Sąjungoje esančius vartotojus ar naudotojus, gali būti akivaizdu, kad subjektas ketina siūlyti paslaugas Sąjungoje. Atstovas turėtų veikti subjekto vardu, o kompetentingos institucijos arba CSIRT turėtų turėti galimybę kreiptis į atstovą. Atstovas turėtų būti aiškiai paskirtas rašytiniu subjekto įgaliojimu veikti pastarojo vardu vykdant šioje direktyvoje nustatytas jo pareigas, įskaitant pranešimą apie incidentus;

(117)

siekiant užtikrinti aiškų DNS paslaugų teikėjų, aukščiausio lygio domenų vardų registrų, domenų vardų registravimo paslaugas teikiančių subjektų, debesijos kompiuterijos paslaugų teikėjų, duomenų centrų paslaugų teikėjų, turinio teikimo tinklo paslaugų teikėjų, valdomų paslaugų teikėjų, valdomų saugumo paslaugų teikėjų, taip pat internetinių prekyviečių, interneto paieškos sistemų bei socialinio tinklo paslaugų platformų paslaugų teikėjų, kurie teikia paslaugas visoje Sąjungoje, patenkančias į šios direktyvos taikymo sritį, vaizdą, ENISA turėtų sukurti ir tvarkyti tokių subjektų registrą, remiantis iš valstybių narių gauta informacija, kai taikytina, naudojant nacionalinius mechanizmus, sukurtus subjektų saviregistracijai. Bendrieji kontaktiniai punktai turėtų perduoti ENISA informaciją ir visus jos pakeitimus. Kad būtų užtikrintas į tą registrą įtrauktinos informacijos tikslumas ir išsamumas, valstybės narės gali pateikti ENISA bet kokiuose nacionaliniuose registruose turimą informaciją apie tuos subjektus. ENISA ir valstybės narės turėtų imtis priemonių tokių registrų sąveikumui palengvinti, kartu užtikrindamos konfidencialios ar įslaptintos informacijos apsaugą. ENISA turėtų nustatyti tinkamus informacijos klasifikavimo ir valdymo protokolus, kad užtikrintų atskleistos informacijos saugumą ir konfidencialumą ir apribotų prieigą prie tokios informacijos, jos saugojimą ir perdavimą numatytiems naudotojams;

(118)

jeigu pagal šią direktyvą keičiamasi informacija, kuri yra įslaptinta pagal Sąjungos arba nacionalinę teisę, apie ją pranešama arba ja kitaip dalijamasi, turėtų būti taikomos atitinkamos įslaptintos informacijos tvarkymo taisyklės. Be to, ENISA turėtų turėti infrastruktūrą, procedūras ir taisykles, kuriomis būtų tvarkoma neskelbtina ir įslaptinta informacija, laikantis ES įslaptintai informacijai apsaugoti taikomų saugumo taisyklių;

(119)

kadangi kibernetinės grėsmės tampa vis sudėtingesnės ir painesnės, geros tokių grėsmių atskleidimo ir prevencijos priemonės labai priklauso nuo to, ar subjektai reguliariai keičiasi žvalgybos informacija apie grėsmes ir pažeidžiamumą. Dalijantis informacija padedama didinti informuotumą apie kibernetines grėsmes, o tai savo ruožtu didina subjektų gebėjimą užkirsti kelią tokioms grėsmėms virsti incidentais ir sudaro sąlygas subjektams geriau suvaldyti incidentų poveikį ir veiksmingiau atstatyti veiklą. Nesant gairių Sąjungos lygmeniu, atrodo, kad keli veiksniai trukdo dalytis tokia žvalgybos informacija, visų pirma netikrumas dėl suderinamumo su konkurencijos ir atsakomybės taisyklėmis;

(120)

valstybės narės turėtų skatinti subjektus ir jiems padėti bendrai naudotis savo asmeninėmis žiniomis ir praktine praktika strateginiu, taktiniu ir operatyviniu lygmenimis, kad sustiprintų savo gebėjimus tinkamai užkirsti kelią incidentams, juos atskleisti, į juos reaguoti ar atstatyti po jų veiklą arba sumažinti jų poveikį. Todėl būtina sudaryti sąlygas Sąjungos lygmeniu, kad atsirastų savanoriško dalijimosi kibernetinio saugumo informacija susitarimai. Tuo tikslu valstybės narės turėtų aktyviai padėti subjektams, kaip antai tiems, kurie daugiausia dėmesio skiria kibernetinio saugumo paslaugoms ir moksliniams tyrimams, taip pat atitinkamiems subjektams, kuriems ši direktyva netaikoma, ir juos skatinti dalyvauti keičiantis kibernetinio saugumo informacija pagal tokius susitarimus. Tie susitarimai turėtų būti parengti pagal Sąjungos konkurencijos taisykles ir Sąjungos duomenų apsaugos teisės aktus;

(121)

esminių ir svarbių subjektų vykdomas asmens duomenų tvarkymas tiek, kiek tai būtina ir proporcinga siekiant užtikrinti tinklų ir informacinių sistemų saugumą, galėtų būti laikomas teisėtu remiantis tuo, kad toks tvarkymas atitinka duomenų valdytojui taikomą teisinę prievolę pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies c punkto ir 6 straipsnio 3 dalies reikalavimus. Taip pat tvarkyti asmens duomenis gali reikėti siekiant teisėtų interesų, kurių siekia esminiai ir svarbūs subjektai, taip pat tų subjektų vardu veikiantys saugumo technologijų bei paslaugų tiekėjai ir teikėjai, laikantis Reglamento (ES) 2016/679 6 straipsnio 1 dalies f punkto, be kita ko, kai toks tvarkymas yra būtinas pagal dalijimosi kibernetinio saugumo informacija susitarimus arba savanoriškai pranešant atitinkamą informaciją pagal šią direktyvą. Taikant priemones, susijusias su incidentų prevencija, atskleidimu, nustatymu, apribojimu, analize ir reagavimu į juos, informuotumo apie konkrečias kibernetines grėsmes didinimo priemones, keitimąsi informacija ištaisant pažeidžiamumus ir koordinuotai juos atskleidžiant, taip pat savanorišką keitimąsi informacija apie tuos incidentus, kibernetines grėsmes ir pažeidžiamumus, užvaldymo rodiklius, taktiką, metodus ir procedūras, kibernetinio saugumo įspėjimus ir konfigūracijos priemones gali reikėti tvarkyti tam tikrų kategorijų asmens duomenis, pavyzdžiui, IP adresus, universaliuosius išteklių adresus (URL), domenų vardus, el. pašto adresus ir, kai jose atskleidžiami asmens duomenys, laiko žymas. Kompetentingų institucijų, bendrųjų kontaktinių punktų ir CSIRT vykdomas asmens duomenų tvarkymas galėtų būti teisinė prievolė arba būti laikomas būtinu siekiant atlikti užduotį viešojo intereso labui arba vykdant duomenų valdytojui pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies c arba e punktą ir 6 straipsnio 3 dalį pavestas viešosios valdžios funkcijas, arba siekiant teisėtų esminių ir svarbių subjektų interesų, kaip nurodyta to Reglamento 6 straipsnio 1 dalies f punkte. Be to, nacionalinėje teisėje galėtų būti nustatytos taisyklės, pagal kurias kompetentingoms institucijoms, bendriesiems kontaktiniams punktams ir CSIRT būtų leidžiama tiek, kiek tai būtina ir proporcinga siekiant užtikrinti esminių ir svarbių subjektų tinklų ir informacinių sistemų saugumą, tvarkyti specialių kategorijų asmens duomenis pagal Reglamento (ES) 2016/679 9 straipsnį, visų pirma numatant tinkamas ir konkrečias fizinių asmenų pagrindinių teisių ir interesų apsaugos priemones, įskaitant tokių duomenų pakartotinio naudojimo techninius apribojimus ir pažangiausių saugumo bei privatumo apsaugos priemonių, pavyzdžiui, pseudonimų suteikimo arba šifravimo, kai nuasmeninimas gali daryti didelį poveikį siekiamam tikslui, naudojimą;

(122)

siekiant sustiprinti priežiūros įgaliojimus ir priemones, padedančius užtikrinti veiksmingą reikalavimų laikymąsi, šioje direktyvoje turėtų būti nustatytas būtiniausias priežiūros priemonių ir būdų, kuriais kompetentingos institucijos galėtų atlikti esminių ir svarbių subjektų priežiūrą, sąrašas. Be to, šioje direktyvoje turėtų būti nustatyta skirtinga esminių ir svarbių subjektų priežiūros tvarka, siekiant užtikrinti teisingą tiek subjektų, tiek kompetentingų institucijų pareigų pusiausvyrą. Todėl esminiams subjektams turėtų būti taikoma išsami ex ante ir ex post priežiūros tvarka, o svarbiems subjektams turėtų būti taikoma negriežta, tik ex post, priežiūros tvarka. Todėl iš svarbių subjektų neturėtų būti reikalaujama sistemingai dokumentuoti atitikties kibernetinio saugumo rizikos valdymo priemonėms, o kompetentingos institucijos turėtų įgyvendinti reaktyvųjį ex post požiūrį į priežiūrą, todėl neturėtų turėti bendros pareigos prižiūrėti tuos subjektus. Svarbių subjektų ex post priežiūra gali būti pradėta remiantis kompetentingoms institucijoms pateiktais įrodymais, duomenimis ar informacija, kurie, tų institucijų manymu, rodo galimus šios direktyvos pažeidimus. Pavyzdžiui, tai galėtų būti tokios pačios rūšies įrodymai, duomenys ar informacija, kuriuos kompetentingoms institucijoms pateikia kitos institucijos, subjektai, piliečiai, žiniasklaida ar kiti šaltiniai, viešai prieinama informacija arba informacija, kurią kompetentingos institucijos galėtų gauti vykdydamos kitą jų užduotims atlikti reikalingą veiklą;

(123)

kompetentingoms institucijoms vykdant priežiūros užduotis neturėtų būti be reikalo trukdoma atitinkamo subjekto verslo veiklai. Kai kompetentingos institucijos vykdo savo su esminiais subjektais susijusias priežiūros užduotis, įskaitant patikrinimus vietoje ir priežiūrą ne vietoje, šios direktyvos pažeidimų tyrimą, saugumo auditus ar saugumo patikrinimus, jos turėtų kuo labiau sumažinti poveikį atitinkamo subjekto verslo veiklai;

(124)

vykdydamos ex ante priežiūrą, kompetentingos institucijos turėtų galėti nuspręsti nustatyti prioritetus dėl proporcingo jų turimų priežiūros priemonių ir būdų naudojimo. Tai reiškia, kad kompetentingos institucijos gali nuspręsti dėl tokių prioritetų nustatymo remdamosi priežiūros metodikomis, pagal kurias turėtų būti laikomasi rizika grindžiamo požiūrio. Konkrečiau, tokios metodikos galėtų apimti esminių subjektų klasifikavimo pagal rizikos kategorijas kriterijus ar lyginamuosius standartus ir atitinkamas priežiūros priemones bei būdus, rekomenduojamus kiekvienai rizikos kategorijai, pavyzdžiui, patikrinimų vietoje, tikslinių saugumo auditų ar saugumo patikrinimų naudojimą, dažnumą ar rūšį, prašomos pateikti informacijos rūšį ir tos informacijos išsamumo lygį. Kartu su tokiomis priežiūros metodikomis taip pat galėtų būti parengiamos darbo programos ir jos galėtų būti reguliariai vertinamos bei peržiūrimos, be kita ko, atsižvelgiant į tokius aspektus kaip išteklių paskirstymas ir poreikiai. Viešojo administravimo subjektų atžvilgiu priežiūros įgaliojimais turėtų būti naudojamasi laikantis nacionalinių teisėkūros ir institucinių sistemų;

(125)

kompetentingos institucijos turėtų užtikrinti, kad su esminiais ir svarbiais subjektais susijusias jų priežiūros užduotis vykdytų kvalifikuoti specialistai, kurie turėtų turėti toms užduotims atlikti reikiamų įgūdžių, visų pirma susijusių su patikrinimų vietoje ir priežiūros ne vietoje vykdymu, įskaitant duomenų bazių, aparatinės įrangos, užkardų, šifravimo ir tinklų trūkumų nustatymą. Tie patikrinimai ir priežiūra turėtų būti vykdomi objektyviai;

(126)

tinkamai pagrįstais atvejais, kai kompetentinga institucija žino apie didelę kibernetinę grėsmę arba iškilusią riziką, ji turėtų turėti galimybę nedelsiant priimti vykdymo užtikrinimo sprendimus, kad užkirstų kelią incidentui arba į jį reaguotų;

(127)

kad vykdymo užtikrinimas būtų veiksmingas, turėtų būti nustatytas būtinas vykdymo užtikrinimo galių, kurias galima įgyvendinti už šioje direktyvoje nustatytų kibernetinio saugumo rizikos valdymo priemonių ir pareigų pranešti pažeidimą, sąrašas, kuriuo būtų sukurta aiški ir nuosekli tokio vykdymo užtikrinimo visoje Sąjungoje sistema. Turėtų būti deramai atsižvelgta į šios direktyvos pažeidimo pobūdį, rimtumą ir trukmę, padarytą turtinę ar neturtinę žalą, į tai, ar pažeidimas buvo padarytas tyčia ar dėl neatsargumo, veiksmus, kurių imtasi siekiant užkirsti kelią turtinei ar neturtinei žalai arba ją sumažinti, atsakomybės laipsnį ar bet kokius atitinkamus ankstesnius pažeidimus, bendradarbiavimo su kompetentinga institucija laipsnį ir visas kitas atsakomybę sunkinančias arba švelninančias aplinkybes. Vykdymo užtikrinimo priemonės, įskaitant administracines baudas, turėtų būti proporcingos ir jas skiriant turėtų būti taikomos tinkamos procedūrinės apsaugos priemonės pagal bendruosius Sąjungos teisės principus ir Europos Sąjungos pagrindinių teisių chartiją (toliau – Chartija), įskaitant teisę į veiksmingą teisinę gynybą bei teisingą bylos nagrinėjimą, nekaltumo prezumpciją ir teisę į gynybą;

(128)

pagal šią direktyvą nereikalaujama, kad valstybės narės numatytų fizinių asmenų, atsakingų už tai, kad subjektas laikytųsi šios direktyvos, baudžiamąją ar civilinę atsakomybę dėl žalos, kurią trečiosios šalys patyrė dėl šios direktyvos pažeidimo;

(129)

siekiant užtikrinti veiksmingą šioje direktyvoje nustatytų pareigų vykdymą, kiekvienai kompetentingai institucijai turėtų būti suteikti įgaliojimai skirti administracines baudas arba prašyti jas skirti;

(130)

jei administracinė bauda skiriama esminiam ar svarbiam subjektui, kuris yra įmonė, tais tikslais įmonė turėtų būti suprantama kaip įmonė, apibrėžta SESV 101 ir 102 straipsniuose. Jei administracinė bauda skiriama asmeniui, kuris nėra įmonė, svarstydama, koks būtų tinkamas baudos dydis, kompetentinga institucija turėtų atsižvelgti į bendrą pajamų lygį valstybėje narėje ir į to asmens ekonominę padėtį. Valstybės narės turėtų nustatyti, ar ir kokiu mastu valdžios institucijoms turėtų būti skiriamos administracinės baudos. Administracinės baudos skyrimas neturi įtakos kompetentingų institucijų kitų įgaliojimų ar kitų sankcijų, nustatytų nacionalinėse taisyklėse, kuriomis ši direktyva perkeliama į nacionalinę teisę, taikymui;

(131)

valstybės narės turėtų galėti nustatyti taisykles dėl baudžiamųjų sankcijų už nacionalinių taisyklių, kuriomis ši direktyva perkeliama į nacionalinę teisę, pažeidimus. Tačiau skiriant baudžiamąsias sankcijas už tokių nacionalinių taisyklių pažeidimus ir susijusias administracines sankcijas neturėtų būti pažeistas ne bis in idem principas, kaip jį aiškina Europos Sąjungos Teisingumo Teismas;

(132)

kai šia direktyva administracinės sankcijos nėra suderintos arba kai tai yra būtina kitais atvejais, pavyzdžiui, sunkaus šios direktyvos pažeidimo atveju, valstybės narės turėtų įgyvendinti sistemą, pagal kurią numatomos veiksmingos, proporcingos ir atgrasomos sankcijos. Tokių sankcijų pobūdis ir tai, ar jos yra baudžiamosios, ar administracinės, turėtų būti nustatyta nacionalinėje teisėje;

(133)

siekiant dar labiau sustiprinti vykdymo užtikrinimo priemonių, taikomų šios direktyvos pažeidimams, veiksmingumą ir atgrasomumą, kompetentingoms institucijoms turėtų būti suteikti įgaliojimai laikinai sustabdyti arba reikalauti laikinai sustabdyti sertifikavimą ar leidimą, susijusį su dalimi ar visomis atitinkamomis esminio subjekto teikiamomis paslaugomis arba vykdoma veikla, ir reikalauti nustatyti laikiną draudimą bet kuriam generalinio direktoriaus arba teisinio atstovo lygmens vadovaujamas pareigas einančiam fiziniam asmeniui eiti vadovaujamas pareigas. Atsižvelgiant į tokių laikinų sustabdymų ar draudimų griežtumą ir poveikį subjektų veiklai ir galiausiai vartotojams, jie turėtų būti taikomi tik proporcingai atsižvelgiant į pažeidimo sunkumą ir į kiekvieno konkretaus atvejo aplinkybes, įskaitant tai, ar pažeidimas padarytas tyčia ar dėl neatsargumo, ir veiksmus, kurių galimai imtasi siekiant užkirsti kelią turtinei ar neturtinei žalai arba ją sumažinti. Tokie laikini sustabdymai ar draudimai turėtų būti taikomi tik kaip kraštutinė priemonė, t. y. tik po to, kai išnaudojamos kitos šioje direktyvoje nustatytos atitinkamos vykdymo užtikrinimo priemonės, ir tik tol, kol atitinkamas subjektas imasi reikiamų veiksmų trūkumams ištaisyti arba kompetentingos institucijos reikalavimams, dėl kurių taikomi tokie laikini sustabdymai ar draudimai, įvykdyti. Skiriant tokius laikinus sustabdymus ar draudimus, turėtų būti taikomos tinkamos procedūrinės apsaugos priemonės pagal bendruosius Sąjungos teisės ir Chartijos principus, įskaitant teisę į veiksmingą teisinę gynybą bei teisingą bylos nagrinėjimą, nekaltumo prezumpciją ir teisę į gynybą;

(134)

siekdamos užtikrinti, kad subjektai laikytųsi savo pareigų, nustatytų šioje direktyvoje, valstybės narės turėtų bendradarbiauti ir padėti viena kitai priežiūros ir vykdymo užtikrinimo priemonių srityje, visų pirma tais atvejais, kai subjektas teikia paslaugas daugiau nei vienoje valstybėje narėje arba kai jo tinklų ir informacinės sistemos yra kitoje valstybėje narėje nei ta, kurioje jis teikia paslaugas. Prašymą gavusi kompetentinga institucija, teikdama pagalbą, turėtų imtis priežiūros arba vykdymo užtikrinimo priemonių laikydamasi nacionalinės teisės. Siekdamos užtikrinti sklandų savitarpio pagalbos pagal šią direktyvą veikimą, kompetentingos institucijos turėtų naudotis Bendradarbiavimo grupe kaip forumu atvejams ir konkretiems pagalbos prašymams aptarti;

(135)

siekiant užtikrinti veiksmingą priežiūrą ir vykdymo užtikrinimą, visų pirma, kai situacija yra tarpvalstybinio pobūdžio, valstybė narė, gavusi savitarpio pagalbos prašymą, turėtų, neviršydama to prašymo ribų, imtis tinkamų priežiūros ir vykdymo užtikrinimo priemonių subjekto, kuris yra to prašymo objektas ir kuris teikia paslaugas arba turi tinklų ir informacinę sistemą tos valstybės narės teritorijoje;

(136)

šia direktyva turėtų būti nustatytos kompetentingų institucijų ir priežiūros institucijų pagal Reglamentą (ES) 2016/679 bendradarbiavimo taisyklės, siekiant nagrinėti šios direktyvos pažeidimus, susijusius su asmens duomenimis;

(137)

šia direktyva turėtų būti siekiama užtikrinti aukšto lygio esminių ir svarbių subjektų atsakomybę už kibernetinio saugumo rizikos valdymo priemones ir pareigas pranešti. Todėl esminių ir svarbių subjektų valdymo organai turėtų patvirtinti kibernetinio saugumo rizikos valdymo priemones ir prižiūrėti jų įgyvendinimą;

(138)

siekiant užtikrinti aukštą bendrą kibernetinio saugumo lygį visoje Sąjungoje šios direktyvos pagrindu, pagal SESV 290 straipsnį Komisijai turėtų būti deleguoti įgaliojimai priimti aktus dėl šios direktyvos papildymo, nurodant, iš kokių kategorijų esminių ir svarbių subjektų reikalaujama naudoti tam tikrus sertifikuotus IRT produktus, IRT paslaugas ir IRT procesus arba gauti sertifikatą pagal Europos kibernetinio saugumo sertifikavimo schemą. Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais, ir kad tos konsultacijos būtų vykdomos vadovaujantis 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros (22) nustatytais principais. Visų pirma siekiant užtikrinti vienodas galimybes dalyvauti atliekant su deleguotaisiais aktais susijusį parengiamąjį darbą, Europos Parlamentas ir Taryba visus dokumentus gauna tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose;

(139)

siekiant užtikrinti vienodas šios direktyvos įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai nustatyti Bendradarbiavimo grupės veikimui būtiną procedūrinę tvarką ir techninius bei metodinius, taip pat sektorinius reikalavimus, susijusius su kibernetinio saugumo rizikos valdymo priemonėmis, ir išsamiau apibrėžti pranešimų apie incidentus, kibernetinę grėsmę ir vos neįvykusius incidentus bei informuojant apie didelę kibernetinę grėsmę pateikiamos informacijos rūšį, formą ir tvarką, taip pat atvejus, kuriais incidentas turi būti laikomas dideliu. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (23);

(140)

Komisija, pasikonsultavusi su suinteresuotaisiais subjektais, turėtų periodiškai peržiūrėti šią direktyvą, visų pirma siekdama nustatyti, ar tikslinga siūlyti pakeitimus atsižvelgiant į kintančias visuomenines, politines, technologines ar rinkos sąlygas. Atlikdama tas peržiūras, Komisija turėtų įvertinti susijusių subjektų dydžio ir šios direktyvos prieduose nurodytų sektorių, subsektorių ir subjektų rūšių svarbą ekonomikos ir visuomenės veikimui kibernetinio saugumo atžvilgiu. Komisija turėtų, inter alia, įvertinti, ar paslaugų teikėjai, kuriems taikoma ši direktyva, pripažinti kaip labai didelės interneto platformos, kaip tai suprantama Europos Parlamento ir Tarybos reglamento (ES) 2022/2065 (24) 33 straipsnyje, gali būti identifikuoti kaip esminiai subjektai pagal šią direktyvą;

(141)

šia direktyva sukuriamos naujos ENISA užduotys, taip sustiprinant jos vaidmenį, ir dėl to ENISA gali būti keliami reikalavimai vykdyti savo esamas užduotis pagal Reglamentą (ES) 2019/881 aukštesniu lygiu nei anksčiau. Siekiant užtikrinti, kad ENISA turėtų finansinių ir žmogiškųjų išteklių, kurių reikia, kad ji vykdytų esamas ir naujas užduotis, taip pat atitiktų bet kokį aukštesnį tų užduočių vykdymo lygį, susijusį su jos sustiprintu vaidmeniu, jos biudžetas turėtų būti atitinkamai padidintas. Be to, siekiant užtikrinti veiksmingą išteklių panaudojimą, ENISA turėtų būti suteikta daugiau lankstumo, sudarant jai sąlygas skirstyti išteklius viduje siekiant, kad ji veiksmingai vykdytų savo užduotis ir patenkintų lūkesčius;

(142)

kadangi šios direktyvos tikslo, t. y. užtikrinti aukštą bendrą kibernetinio saugumo lygį visoje Sąjungoje, valstybės narės negali deramai pasiekti, o dėl siūlomo veiksmo poveikio to tikslo būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šia direktyva neviršijama to, kas būtina nurodytam tikslui pasiekti;

(143)

šia direktyva paisoma pagrindinių teisių ir laikomasi principų, pripažįstamų Chartijoje, visų pirma teisės į tai, kad būtų gerbiamas privatus gyvenimas bei komunikacijos slaptumas, teisės į asmens duomenų apsaugą, laisvės užsiimti verslu, teisės į nuosavybę, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą, nekaltumo prezumpcijos ir teisės į gynybą. Teisė į veiksmingą teisinę gynybą užtikrinama ir esminių ir svarbių subjektų teikiamų paslaugų gavėjams. Ši direktyva turėtų būti įgyvendinta atsižvelgiant į tas teises ir principus;

(144)

vadovaujantis Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (25) 42 straipsnio 1 dalimi buvo pasikonsultuota su Europos duomenų apsaugos priežiūros pareigūnu, ir 2021 m. kovo 11 d. jis pateikė savo nuomonę (26),