2023 m. liepos 17 d. Komisija nusprendė neprieštarauti pirmiau nurodytai koncentracijai, apie kurią pranešta, ir pripažinti ją suderinama su vidaus rinka. Šis sprendimas priimtas remiantis Tarybos reglamento (EB) Nr. 139/2004 (1) 6 straipsnio 1 dalies b punktu. Visas sprendimo tekstas pateikiamas tik anglų kalba ir bus viešai paskelbtas iš jo pašalinus visą konfidencialią su verslu susijusią informaciją. Sprendimo tekstą bus galima rasti:

—	Komisijos konkurencijos svetainės susijungimų skiltyje (https://competition-cases.ec.europa.eu/search). Šioje svetainėje konkrečius sprendimus dėl susijungimo galima rasti įvairiais būdais, pavyzdžiui, pagal įmonės pavadinimą, bylos numerį, sprendimo priėmimo datą ir sektorių,

—	elektroniniu formatu EUR-Lex svetainėje (http://eur-lex.europa.eu/homepage.html?locale=lt). Dokumento Nr. 32023M11106. EUR-Lex svetainėje galima rasti įvairių Europos Sąjungos teisės aktų.

---

(1)   OL L 24, 2004 1 29, p. 1.

I.   ĮVADAS

1.

Pagal 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyvos (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti (TIS 2 direktyvos) (1) 4 straipsnio 3 dalį Komisija turi ne vėliau kaip 2023 m. liepos 17 d. pateikti gaires, kuriomis paaiškinamas tos direktyvos 4 straipsnio 1 ir 2 dalių taikymas.

2.

Šiose gairėse paaiškinama, kaip taikyti šių dalių nuostatas, susijusias su Direktyvos (ES) 2022/2555 ir dabartinių bei būsimų konkretiems sektoriams taikomų Sąjungos teisės aktų, kuriais reglamentuojamos kibernetinio saugumo rizikos valdymo priemonės arba pranešimo apie incidentus reikalavimai, tarpusavio santykiu. Šių gairių priedėlyje išvardyti konkretiems sektoriams taikomi Sąjungos teisės aktai, kurie, Komisijos nuomone, patenka į Direktyvos (ES) 2022/2555 4 straipsnio taikymo sritį. Tai, kad koks nors aktas nenurodytas šiame priedėlyje, nebūtinai reiškia, kad jis nepatenka į to straipsnio taikymo sritį.

3.

Remdamasi Direktyvos (ES) 2022/2555 4 straipsnio 3 dalies trečiu sakiniu Komisija, prieš priimdama šias gaires, atsižvelgė į TIS bendradarbiavimo grupės ir Europos Sąjungos kibernetinio saugumo agentūros (ENISA) pastabas.

4.

Šios gairės nedaro poveikio Europos Sąjungos Teisingumo Teismo Sąjungos teisės aiškinimui.

II.   KONKRETIEMS SEKTORIAMS TAIKOMUOSE SĄJUNGOS TEISĖS AKTUOSE NUSTATYTŲ KIBERNETINIO SAUGUMO REIKALAVIMŲ LYGIAVERTIŠKUMAS

5.

Direktyvos (ES) 2022/2555 4 straipsnio 1 dalyje nustatyta, kad jei pagal konkretiems sektoriams taikomus Sąjungos teisės aktus reikalaujama, kad esminiai arba svarbūs subjektai priimtų kibernetinio saugumo rizikos valdymo priemones arba praneštų apie didelius incidentus, ir jei tų reikalavimų poveikis yra bent lygiavertis toje direktyvoje nustatytų pareigų poveikiui, tokiems subjektams atitinkamos Direktyvos (ES) 2022/2555 nuostatos, įskaitant tos direktyvos VII skyriuje įtvirtintas nuostatas dėl priežiūros ir vykdymo užtikrinimo, netaikomos. Toje dalyje taip pat nustatyta, kad jei konkretiems sektoriams taikomi Sąjungos teisės aktai taikomi ne visiems konkretaus sektoriaus, kuriam taikoma Direktyva (ES) 2022/2555, subjektams, atitinkamos tos direktyvos nuostatos toliau taikomos subjektams, kuriems netaikomi tie konkretiems sektoriams taikomi Sąjungos teisės aktai.

II.1.   Kibernetinio saugumo rizikos valdymo reikalavimai

6.

Direktyvos (ES) 2022/2555 4 straipsnio 2 dalies a punkte nustatyta, kad kibernetinio saugumo rizikos valdymo priemonių, kurias esminiai arba svarbūs subjektai turi priimti pagal konkretiems sektoriams taikomus Sąjungos teisės aktus, poveikis laikomas lygiaverčiu Direktyvoje (ES) 2022/2555 nustatytų pareigų poveikiui, jeigu tų priemonių poveikis yra bent lygiavertis priemonių, nustatytų tos direktyvos 21 straipsnio 1 ir 2 dalyse, poveikiui. Vertinant, ar konkrečiam sektoriui taikomame Sąjungos teisės akte nustatytų reikalavimų dėl kibernetinio saugumo rizikos valdymo priemonių poveikis yra bent lygiavertis Direktyvos (ES) 2022/2555 21 straipsnio 1 ir 2 dalyse nustatytų priemonių poveikiui, tame konkrečiam sektoriui taikomame Sąjungos teisės akte nustatyti reikalavimai turėtų bent atitikti tų nuostatų reikalavimus arba juos viršyti, o tai reiškia, kad konkrečiam sektoriui taikomos nuostatos turinio požiūriu gali būti išsamesnės, palyginti su atitinkamomis Direktyvos (ES) 2022/2555 nuostatomis.

7.

Pagal Direktyvos (ES) 2022/2555 21 straipsnio 1 dalies pirmą pastraipą valstybės narės turi užtikrinti, kad esminiai ir svarbūs subjektai imtųsi tinkamų ir proporcingų techninių, operatyvinių ir organizacinių priemonių, kad suvaldytų tinklų ir informacinių sistemų, kurias tie subjektai naudoja savo veiklai arba teikdami savo paslaugas, saugumui kylančią riziką. Tos priemonės turėtų būti grindžiamos rizika ir jomis turėtų būti galima užkirsti kelią incidentams arba kuo labiau sumažinti jų poveikį. Direktyvos (ES) 2022/2555 21 straipsnio 1 dalies antroje pastraipoje nurodyta, kaip turėtų būti vertinamas tokių priemonių proporcingumas (2). Direktyvos (ES) 2022/2555 21 straipsnio 1 dalyje nustatyta pareiga, pagal kurią esminiai ir svarbūs subjektai turi imtis tinkamų ir proporcingų kibernetinio saugumo rizikos valdymo priemonių, taikoma ne tik konkretiems informacinių technologijų (IT) ištekliams ar subjekto teikiamoms ypatingos svarbos paslaugoms, bet visai atitinkamo subjekto vykdomai veiklai ir teikiamoms paslaugoms.

8.

Vertinant, ar konkrečiam sektoriui taikomas Sąjungos teisės aktas yra lygiavertis atitinkamoms Direktyvos (ES) 2022/2555 nuostatoms dėl kibernetinės rizikos valdymo, itin daug dėmesio turėtų būti skiriama klausimui, ar tame teisės akte nustatytos saugumo pareigos apima priemones, kuriomis siekiama užtikrinti tinklų ir informacinių sistemų saugumą. Pagal Direktyvos (ES) 2022/2555 6 straipsnio 2 punkte pateiktą apibrėžtį tinklų ir informacinių sistemų saugumas yra informacinių sistemų pajėgumas tam tikru patikimumo lygiu išlikti atsparioms bet kokiam įvykiui, galinčiam sukelti pavojų saugomų, perduodamų ar tvarkomų duomenų arba paslaugų, teikiamų ar prieinamų per tas tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui ar konfidencialumui. Sąvokų „prieinamumas“, „autentiškumas“, „vientisumas“ ir „konfidencialumas“ vartojimas toje apibrėžtyje atspindi visus keturis apsaugos tikslus, susijusius su tinklų ir informacinių sistemų saugumu. Direktyvos (ES) 2022/2555 6 straipsnio 1 punkte nustatytas terminas „tinklų ir informacinės sistemos“ apima elektroninių ryšių tinklus (3), bet kokį prietaisą arba tarpusavyje sujungtų arba susijusių prietaisų, iš kurių vienas ar daugiau pagal programą automatiškai apdoroja skaitmeninius duomenis, grupę ir skaitmeninius duomenis, saugomus, tvarkomus, atkuriamus arba perduodamus tokiais elektroninių ryšių tinklais arba prietaisais jų valdymo, naudojimo, apsaugos ir priežiūros tikslais. Todėl saugumo priemonės, kurių reikalaujama imtis pagal konkrečiam sektoriui taikomą Sąjungos teisės aktą, taip pat turėtų apimti subjektui vykdant veiklą naudojamą aparatinę įrangą, aparatinę programinę įrangą ir programinę įrangą.

9.

Kitas svarbus aspektas, į kurį reikia atsižvelgti vertinant, ar konkrečiam sektoriui taikomas Sąjungos teisės aktas yra lygiavertis Direktyvos (ES) 2022/2555 21 straipsnio 1 ir 2 dalių reikalavimams, yra tai, kad kibernetinio saugumo rizikos valdymo priemonės, kurių reikalaujama imtis pagal tą teisės aktą, turėtų būti grindžiamos visus pavojus apimančiu požiūriu. Kadangi grėsmė tinklų ir informacinių sistemų saugumui gali būti įvairios kilmės, bet koks įvykis gali padaryti neigiamą poveikį subjekto tinklų ir informacinėms sistemoms ir sukelti incidentą. Todėl kibernetinio saugumo rizikos valdymo priemonėmis, kurių imasi subjektas, subjekto tinklų ir informacinės sistemos, taip pat tų sistemų fizinė aplinka turėtų būti apsaugomos nuo bet kokio įvykio, pavyzdžiui, sabotažo, vagystės, gaisro, potvynio, telekomunikacijų ar elektros energijos tiekimo trikčių, arba nuo neleistinos fizinės prieigos, dėl kurių gali kilti pavojus saugomų, perduodamų ar tvarkomų duomenų arba paslaugų, teikiamų ar prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui. Todėl kibernetinio saugumo rizikos valdymo priemonėmis, kurių reikalaujama imtis pagal konkrečiam sektoriui taikomą Sąjungos teisės aktą, turėtų būti konkrečiai užtikrinamas tinklų ir informacinių sistemų fizinis ir aplinkos saugumas, jas apsaugant nuo sistemos gedimo, žmogaus klaidų, piktavališkų veiksmų ar gamtos reiškinių (4).

10.

Direktyvos (ES) 2022/2555 21 straipsnio 2 dalyje taip pat reikalaujama, kad kibernetinio saugumo rizikos valdymo priemonės atitiktų to straipsnio 2 dalies a–j punktuose išvardytus konkrečius saugumo reikalavimus. Tie reikalavimai apima tokias priemones kaip rizikos analizės ir informacinių sistemų saugumo politika, incidentų valdymas, veiklos tęstinumas, krizių valdymas, tiekimo grandinės saugumas, kriptografijos ir, kai taikytina, šifravimo naudojimo politika ir procedūros. Pagal Direktyvos (ES) 2022/2555 21 straipsnio 5 dalies antrą pastraipą Komisijai suteikiami įgaliojimai priimti įgyvendinimo aktus, kuriais nustatomi tos direktyvos 21 straipsnio 2 dalyje nurodytų saugumo priemonių techniniai ir metodiniai reikalavimai, taip pat, jeigu būtina, sektoriams taikomi reikalavimai. Kalbant apie domenų vardų sistemos (DNS) paslaugų teikėjus, aukščiausio lygio domenų (TLD) vardų registrus, debesijos kompiuterijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio teikimo tinklo teikėjus, valdomų paslaugų teikėjus, valdomų saugumo paslaugų teikėjus, elektroninių prekyviečių, interneto paieškos sistemų ir socialinio tinklo paslaugų platformų teikėjus ir patikimumo užtikrinimo paslaugų teikėjus, Komisija ne vėliau kaip 2024 m. spalio 17 d. priims įgyvendinimo aktus dėl Direktyvos (ES) 2022/2555 21 straipsnio 2 dalyje nurodytų saugumo priemonių techninių ir metodinių reikalavimų. Įgyvendinimo aktuose išsamiau apibrėžiamos pagrindinės įgyvendinimo sąlygos ir kriterijai, nustatyti pagrindiniame akte, nedarant poveikio to akto esmei (5).

II.2.   Reikalavimai pranešti

11.

Direktyvos (ES) 2022/2555 4 straipsnio 2 dalies b punkte nustatyta, kad reikalavimai pranešti, susiję su pranešimu apie didelius incidentus, pagal savo poveikį laikomi lygiaverčiais toje direktyvoje nustatytoms pareigoms, jeigu konkrečiam sektoriui taikomame Sąjungos teisės akte numatyta reagavimo į kompiuterių saugumo incidentus tarnybų (CSIRT), kompetentingų institucijų arba bendrųjų kontaktinių punktų (SPOC) neatidėliotina prieiga, kai tinkama, automatinė ir tiesioginė, prie pateiktų pranešimų apie incidentus ir jeigu reikalavimai pranešti apie didelius incidentus pagal poveikį yra bent lygiaverčiai Direktyvos (ES) 2022/2555 23 straipsnio 1–6 dalyse nustatytiems reikalavimams.

12.

Kad konkrečiam sektoriui taikomas Sąjungos teisės aktas būtų taikomas vietoj Direktyvoje (ES) 2022/2555 nustatytų pareigų pranešti, konkrečiam sektoriui taikomo Sąjungos teisės akto reikalavimų pranešti apie didelius incidentus poveikis turi būti bent lygiavertis Direktyvos (ES) 2022/2555 23 straipsnio 1–6 dalyse nustatytų reikalavimų poveikiui, todėl vertinant lygiavertiškumą ypač svarbūs yra Direktyvos 23 straipsnio 1–6 dalyse nustatyti reikalavimai. Direktyvos (ES) 2022/2555 23 straipsnio 1–6 dalyse išsamiau nurodyta, apie kokius incidentus turi būti pranešama ir kam, per kokį laikotarpį tai turi būti padaryta ir kokia informacija turi būti pateikta. Tai išsamiau paaiškinta tolesniuose poskyriuose.

II.2.1.   Pranešimas apie didelius incidentus CSIRT, kompetentingoms institucijoms ir gavėjams

13.

Direktyvos (ES) 2022/2555 23 straipsnio 1 dalies pirmos pastraipos pirmame sakinyje reikalaujama, kad esminiai ir svarbūs subjektai nepagrįstai nedelsdami praneštų savo CSIRT arba, kai taikytina, savo kompetentingai institucijai apie bet kokį didelį incidentą. Direktyvos (ES) 2022/2555 23 straipsnio 1 dalies pirmos pastraipos antrame sakinyje reikalaujama, kad esminiai ir svarbūs subjektai, kai tinkama, nedelsdami praneštų savo paslaugų gavėjams apie didelius incidentus, kurie gali turėti neigiamos įtakos tų paslaugų teikimui.

14.

Nors Direktyvos (ES) 2022/2555 6 straipsnio 6 punkte terminas „incidentai“ apibrėžiamas labai plačiai – tai yra bet kokie įvykiai, dėl kurių kyla pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui, pagal tos direktyvos 23 straipsnio 1 dalį pareiga pranešti taikoma tik dideliems incidentams. Incidentas laikomas dideliu, jeigu dėl jo atitinkamas subjektas patyrė arba gali patirti didelių paslaugų teikimo sutrikimų arba finansinių nuostolių (23 straipsnio 3 dalies a punktas) arba jeigu jis paveikė arba gali paveikti kitus fizinius ar juridinius asmenis sukeldamas didelę turtinę arba neturtinę žalą (23 straipsnio 3 dalies b punktas).

15.

Direktyvos (ES) 2022/2555 preambulės 101 konstatuojamojoje dalyje paaiškinta, kad pranešimai apie incidentus turėtų būti grindžiami atitinkamo subjekto atliekamu pradiniu vertinimu. Atliekant tokį pradinį vertinimą turėtų būti atsižvelgiama, inter alia, į paveiktas tinklų ir informacines sistemas, ypač į jų svarbą subjekto paslaugų teikimui, kibernetinės grėsmės rimtumą ir technines charakteristikas bei visus pagrindinius pažeidžiamumus, kuriais naudojamasi, taip pat į subjekto patirtį įvykus panašiems incidentams. Nustatant, ar paslaugos teikimo sutrikdymas yra didelis, gali būti svarbūs tokie rodikliai kaip poveikio paslaugos veikimui mastas, incidento trukmė arba paveiktų paslaugų gavėjų skaičius.

16.

Pagal Direktyvos (ES) 2022/2555 23 straipsnio 11 dalies antrą pastraipą Komisijai suteikiami įgaliojimai priimti įgyvendinimo aktus, kuriais išsamiau apibrėžiami atvejai, kai incidentas laikomas dideliu. Tokius DNS paslaugų teikėjams, aukščiausio lygio domenų vardų registrams, debesijos kompiuterijos paslaugų teikėjams, duomenų centrų paslaugų teikėjams, turinio teikimo tinklo teikėjams, valdomų paslaugų teikėjams, valdomų saugumo paslaugų teikėjams, taip pat elektroninių prekyviečių, interneto paieškos sistemų ir socialinio tinklo paslaugų platformų teikėjams skirtus įgyvendinimo aktus Komisija priims ne vėliau kaip 2024 m. spalio 17 d. Įgyvendinimo aktuose išsamiau apibrėžiamos pagrindinės įgyvendinimo sąlygos ir kriterijai, nustatyti pagrindiniame akte, nedarant poveikio to akto esmei (6).

II.2.2.   Kelių etapų pranešimų apie didelius incidentus teikimo metodas ir pranešimų pateikimo laikotarpis

17.

Direktyvoje (ES) 2022/2555 nustatytas kelių etapų pranešimų apie didelius incidentus teikimo metodas, apimantis ankstyvąjį perspėjimą, pranešimą apie incidentą ir galutinę ataskaitą. Šie trys elementai gali būti papildomi tarpinėmis ataskaitomis ir pažangos ataskaita.

18.

Taikant kelių etapų metodą siekiama užtikrinti tinkamą pusiausvyrą tarp, viena vertus, greito pranešimų teikimo, kuris padeda sumažinti galimą didelių incidentų plitimą ir suteikia galimybę esminiams ir svarbiems subjektams prašyti pagalbos, ir, kita vertus, išsamių pranešimų teikimo, įgyjant vertingos su atskirais incidentais susijusios patirties ir ilgainiui didinant atskirų subjektų ir visų sektorių kibernetinį atsparumą (7).

19.

Pagal kelių etapų metodą esminiai ir svarbūs subjektai pirmiausia, nepagrįstai nedelsdami ir bet kuriuo atveju ne vėliau kaip per 24 valandas nuo tada, kai sužino apie didelį incidentą, turi pateikti ankstyvąjį perspėjimą kompetentingai CSIRT arba institucijai. Paskui tie subjektai, nepagrįstai nedelsdami ir bet kuriuo atveju per 72 valandas nuo tada, kai sužino apie didelį incidentą, turi pateikti pranešimą apie incidentą. Po to kompetentinga CSIRT arba institucija gali prašyti pateikti tarpinę ataskaitą. Galiausiai ne vėliau kaip per vieną mėnesį nuo pranešimo apie incidentą pateikimo kompetentingai CSIRT arba institucijai turi būti pateikta galutinė ataskaita. Jei tuo metu incidentas tebevyksta, turi būti pateikta pažangos ataskaita ir per vieną mėnesį nuo incidento suvaldymo – galutinė ataskaita.

20.

Patikimumo užtikrinimo paslaugų teikėjams Direktyvos (ES) 2022/2555 23 straipsnio 4 dalies antroje pastraipoje nustatytas kitoks pranešimo apie incidentą pateikimo terminas. Tie paslaugų teikėjai apie didelius incidentus, susijusius su jų patikimumo užtikrinimo paslaugų teikimu, turi pranešti nepagrįstai nedelsdami ir bet kuriuo atveju per 24 valandas nuo tada, kai sužino apie didelį incidentą.

II.2.3.   Pareigos pranešti CSIRT arba kompetentingoms institucijoms apie didelius incidentus turinys

21.

Pagal Direktyvos (ES) 2022/2555 23 straipsnio 1 dalies pirmos pastraipos trečią sakinį valstybės narės paprastai turi užtikrinti, kad esminiai ir svarbūs subjektai pateiktų, inter alia, visą informaciją, kuria remdamasi kompetentinga CSIRT arba, kai taikytina, kompetentinga institucija galėtų nustatyti tarpvalstybinį incidento poveikį. Šis reikalavimas dėl pareigos pranešti turinio išsamiau apibrėžtas Direktyvos (ES) 2022/2555 23 straipsnio 4 dalyje, kurioje nustatytas kelių etapų metodas.

22.

Pagal 23 straipsnio 4 dalies a punktą ankstyvajame perspėjime, kai taikytina, turi būti nurodoma, ar didelį incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai ir ar jis galėtų daryti (tikėtina, kad darys) tarpvalstybinį poveikį. Pagal Direktyvos (ES) 2022/2555 preambulės 102 konstatuojamąją dalį ankstyvajame perspėjime turėtų būti pateikiama tik ta informacija, kurios reikia, kad kompetentinga CSIRT arba institucija būtų informuota apie didelį incidentą ir kad atitinkamas subjektas prireikus galėtų prašyti pagalbos.

23.

Kai taikytina, pranešime apie incidentą turi būti atnaujinta teikiant ankstyvąjį perspėjimą nurodyta informacija. Be to, į jį turi būti įtrauktas pradinis didelio incidento, įskaitant jo sunkumą ir poveikį, vertinimas, taip pat nurodomi užvaldymo rodikliai, jeigu tokių yra.

24.

Jei prašoma pateikti tarpinę ataskaitą, į ją turi būti įtraukti atitinkami atnaujinti duomenys apie padėtį. Galutinėje ataskaitoje turi būti pateiktas išsamus incidento, įskaitant jo sunkumą ir poveikį, aprašymas, taip pat nurodyta grėsmės arba pagrindinės priežasties, dėl kurios galėjo kilti incidentas, rūšis, taikomos ir įgyvendinamos poveikio mažinimo priemonės ir, kai taikytina, tarpvalstybinis incidento poveikis.

II.2.4.   Neatidėliotina prieiga prie pranešimų apie incidentus

25.

Direktyvos (ES) 2022/2555 4 straipsnio 2 dalies b punkte nustatyta, jog tam, kad pranešimo reikalavimų atžvilgiu vietoje tos direktyvos būtų taikomas konkrečiam sektoriui taikomas Sąjungos teisės aktas, tame akte CSIRT, kompetentingoms institucijoms arba bendriesiems kontaktiniams punktams pagal Direktyvą (ES) 2022/2555 turi būti suteikta neatidėliotina prieiga prie pranešimų apie incidentus, pateiktų pagal konkrečiam sektoriui taikomą Sąjungos teisės aktą. Pagal Direktyvos (ES) 2022/2555 preambulės 24 konstatuojamąją dalį visų pirma tokia neatidėliotina prieiga gali būti užtikrinta, jei pranešimai apie incidentus nepagrįstai nedelsiant persiunčiami CSIRT, kompetentingai institucijai arba bendrajam kontaktiniam punktui.

26.

Neatidėliotina prieiga gali būti suteikiama automatinėmis tiesioginėmis priemonėmis, kurias prireikus turėtų įdiegti valstybės narės. Automatinio tiesioginio pranešimo mechanizmais užtikrinamas sistemingas ir neatidėliotinas keitimasis informacija su CSIRT, kompetentingomis institucijomis arba bendraisiais kontaktiniais punktais apie pranešimų apie incidentus tvarkymą. Siekdamos supaprastinti pranešimų teikimą ir įgyvendinti automatinio tiesioginio pranešimo mechanizmus, valstybės narės taip pat gali naudotis viena bendra prieiga, kuri turi atitikti konkrečiam sektoriui taikomo Sąjungos teisės akto nuostatas.

27.

Vertinant, ar konkrečiam sektoriui taikomame Sąjungos teisės akte nustatytų reikalavimų pranešti apie didelius incidentus poveikis yra bent lygiavertis Direktyvos (ES) 2022/2555 23 straipsnio 1–6 dalyse nustatytų reikalavimų poveikiui, tame konkrečiam sektoriui taikomame Sąjungos teisės akte nustatyti reikalavimai turėtų bent atitikti 23 straipsnio 1–6 dalių reikalavimus arba būti išsamesni už tas nuostatas. Tie reikalavimai turėtų būti susiję su incidentų, apie kuriuos turi būti pranešama pagal Direktyvą (ES) 2022/2555, rūšimis, visų pirma atsižvelgiant į gavėjus, turinį ir taikomus terminus.

III.   LYGIAVERTIŠKUMO PASEKMĖS

III.1.   Priežiūra ir vykdymo užtikrinimas

28.

Kai konkretiems sektoriams taikomų Sąjungos teisės aktų poveikis yra bent lygiavertis Direktyvoje (ES) 2022/2555 nustatytų pareigų poveikiui, netaikomos ne tik atitinkamos tos direktyvos nuostatos, susijusios su pareiga priimti kibernetinio saugumo rizikos valdymo priemones arba pranešti apie didelius incidentus, bet ir Direktyvos (ES) 2022/2555 VII skyriaus nuostatos dėl priežiūros ir vykdymo užtikrinimo.

29.

Direktyvos (ES) 2022/2555 preambulės 25 konstatuojamojoje dalyje paaiškinta, kad konkretiems sektoriams taikomuose Sąjungos teisės aktuose, kurių poveikis yra bent lygiavertis, galėtų būti nustatyta, kad kompetentingos institucijos pagal tuos aktus savo priežiūros ir vykdymo užtikrinimo įgaliojimus, susijusius su kibernetinio saugumo rizikos valdymu arba pareigomis pranešti, vykdo padedamos kompetentingų institucijų pagal Direktyvą (ES) 2022/2555. Atitinkamos kompetentingos institucijos tuo tikslu galėtų sudaryti bendradarbiavimo susitarimus, įskaitant priežiūros veiklos koordinavimo procedūras, tyrimų ir patikrinimų vietoje procedūras pagal nacionalinę teisę ir kompetentingų institucijų keitimosi atitinkama informacija apie priežiūrą ir vykdymo užtikrinimą mechanizmą. Toks keitimosi atitinkama informacija mechanizmas galėtų apimti prieigą prie su kibernetine sritimi susijusios informacijos, kurios prašo kompetentingos institucijos pagal Direktyvą (ES) 2022/2555.

III.2.   Nacionalinė kibernetinio saugumo strategija

30.

Pagal Direktyvos (ES) 2022/2555 7 straipsnio 1 dalį kiekviena valstybė narė turi priimti nacionalinę kibernetinio saugumo strategiją. Nacionalinė kibernetinio saugumo strategija yra nuosekli valstybės narės sistema, kurioje nustatyti tos valstybės narės kibernetinio saugumo srities strateginiai tikslai ir prioritetai ir apibrėžtas tų tikslų bei prioritetų įgyvendinimo valdymas (žr. Direktyvos (ES) 2022/2555 6 straipsnio 4 punktą). Į kibernetinio saugumo strategiją turi būti įtraukti, inter alia, tikslai ir prioritetai, visų pirma apimantys Direktyvos (ES) 2022/2555 I ir II prieduose nurodytus sektorius. Be to, ta strategija turi apimti valdymo sistemą, skirtą tiems tikslams ir prioritetams, įskaitant Direktyvos (ES) 2022/2555 7 straipsnio 2 dalyje nurodytą politiką, įgyvendinti.

31.

Be to, Direktyvos (ES) 2022/2555 7 straipsnio 1 dalies c punkte nustatyta, kad nacionalinė kibernetinio saugumo strategija turi apimti valdymo sistemą, pagal kurią paaiškinami atitinkamų suinteresuotųjų subjektų vaidmenys ir pareigos nacionaliniu lygmeniu, kuria grindžiamas kompetentingų institucijų, bendrųjų kontaktinių punktų ir CSIRT pagal Direktyvą (ES) 2022/2555 bendradarbiavimas ir veiklos koordinavimas nacionaliniu lygmeniu, taip pat tų įstaigų ir kompetentingų institucijų pagal konkretiems sektoriams taikomus Sąjungos teisės aktus veiklos koordinavimas ir jų bendradarbiavimas.

32.

Taigi reikalavimas priimti kibernetinio saugumo strategiją pagal Direktyvos (ES) 2022/2555 7 straipsnį nesusijęs nei su kibernetinio saugumo reikalavimais, esminiams ir svarbiems subjektams nustatytais pagal tos direktyvos 21 ir 23 straipsnius, nei su VII skyriaus nuostatomis, susijusiomis su jų priežiūra ir vykdymo užtikrinimu, kaip reikalaujama pagal Direktyvos 4 straipsnio 1 ir 2 dalis. Atitinkamos 7 straipsnio nuostatos turėtų būti toliau taikomos sektoriams, subsektoriams ir tų rūšių subjektams, kuriems galioja konkretiems sektoriams taikomi Sąjungos teisės aktai, kaip apibrėžta Direktyvos (ES) 2022/2555 4 straipsnyje.

III.3.   CSIRT paskyrimas

33.

Pagal Direktyvos (ES) 2022/2555 10 straipsnio 1 dalį valstybės narės turi paskirti arba įsteigti vieną ar daugiau CSIRT, apimančių bent Direktyvos I ir II prieduose nurodytus sektorius, subsektorius ir subjektų rūšis, įskaitant sektorius, subsektorius ir subjektų rūšis, kuriems galioja konkretiems sektoriams taikomi Sąjungos teisės aktai. CSIRT paprastai taip pat vykdys su tuo susijusias savo užduotis, nustatytas Direktyvos (ES) 2022/2555 11 straipsnio 3 dalyje, nebent konkrečios užduotys būtų nurodytos konkretiems sektoriams taikomuose Sąjungos teisės aktuose.

III.4.   Nacionalinės kibernetinių krizių valdymo sistemos ir EU-CyCLONe

34.

Pagal Direktyvos (ES) 2022/2555 9 straipsnio 1 dalį valstybės narės turi paskirti arba įsteigti vieną ar daugiau kibernetinių krizių valdymo institucijų, kurios būtų atsakingos už didelio masto kibernetinio saugumo incidentų ir krizių valdymą. Pagal tos direktyvos 6 straipsnio 7 punktą didelio masto kibernetinio saugumo incidentas yra incidentas, į kurio sukeltą sutrikimą viena valstybė narė nepajėgia reaguoti arba kuris daro didelį poveikį ne mažiau kaip dviem valstybėms narėms. Direktyvos (ES) 2022/2555 9 straipsnio 4 dalyje reikalaujama, kad valstybės narės taip pat priimtų nacionalinį reagavimo į didelio masto kibernetinio saugumo incidentus ir krizes planą, kuriame būtų išdėstyti didelio masto kibernetinio saugumo incidentų ir krizių valdymo tikslai ir tvarka. Šiame plane turėtų būti nustatytos, inter alia, kibernetinių krizių valdymo procedūros, įskaitant jų integravimą į nacionalinę bendro krizių valdymo sistemą, ir keitimosi informacija kanalai, taip pat atitinkami viešieji ir privatieji suinteresuotieji subjektai ir naudojama infrastruktūra. Tokios kibernetinių krizių valdymo procedūros ir atitinkami viešieji ir privatieji suinteresuotieji subjektai bei infrastruktūra gali apimti konkrečiam sektoriui taikomas procedūras ir suinteresuotuosius subjektus.

35.

Direktyvos (ES) 2022/2555 16 straipsniu įsteigiamas Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklas (EU-CyCLONe), kurio tikslas – remti koordinuotą didelio masto kibernetinio saugumo incidentų ir krizių valdymą operatyviniu lygmeniu ir užtikrinti reguliarų keitimąsi svarbia informacija tarp valstybių narių ir Sąjungos institucijų, įstaigų ir agentūrų.

36.

Kadangi 9 straipsnis dėl kibernetinių krizių valdymo sistemų ir 16 straipsnis dėl EU-CyCLONe nesusiję su kibernetinio saugumo reikalavimais, subjektams nustatytais pagal Direktyvos (ES) 2022/2555 21 ir 23 straipsnius, arba su VII skyriuje numatyta priežiūra ir vykdymo užtikrinimu, kaip reikalaujama tos direktyvos 4 straipsnio 1 ir 2 dalyse, sektoriams 9 ir 16 straipsniai turėtų būti taikomi visa apimtimi, nepaisant priimtų konkretiems sektoriams taikomų Sąjungos teisės aktų, kaip apibrėžta 4 straipsnyje. Todėl valstybės narės turi paskirti arba įsteigti vieną ar daugiau kibernetinių krizių valdymo institucijų, atsakingų už didelio masto kibernetinio saugumo incidentų ir krizių valdymą sektoriuose, kuriems galioja konkretiems sektoriams taikomi Sąjungos teisės aktai. Be to, priimant nacionalinį reagavimo į didelio masto kibernetinio saugumo incidentus ir krizes planą turėtų būti atsižvelgiama į sektorius, kuriems galioja konkretiems sektoriams taikomi Sąjungos teisės aktai. Galiausiai EU-CyCLONe turėtų vykdyti Direktyvos (ES) 2022/2555 16 straipsnyje įtvirtintas užduotis sektorių, kurių subjektams galioja konkretiems sektoriams taikomi Sąjungos teisės aktai, atžvilgiu.

III.5.   3 straipsnio 3 ir 4 dalių, 20 straipsnio ir 27 straipsnio 2 ir 3 dalių netaikymas

37.

Pagal Direktyvos (ES) 2022/2555 3 straipsnio 3 dalį valstybės narės turi sudaryti esminių ir svarbių subjektų, taip pat domenų vardų registravimo paslaugas teikiančių subjektų, kuriems taikoma Direktyva, sąrašą. Pagal 27 straipsnio 2 dalį valstybės narės turi reikalauti, kad tos direktyvos 27 straipsnio 1 dalyje nurodyti subjektai kompetentingoms institucijoms pateiktų tam tikrą informaciją. Kadangi šiomis nuostatomis siekiama užtikrinti aiškią subjektų, kuriems taikoma Direktyva (ES) 2022/2555, apžvalgą siekiant padėti vykdyti jos taikymo sričiai priskiriamų esminių ir svarbių subjektų priežiūrą, šios nuostatos neturėtų būti taikomos subjektams, kuriems kibernetinio saugumo rizikos valdymo ir pranešimo reikalavimų atžvilgiu galioja konkrečiam sektoriui taikomas Sąjungos teisės aktas. Tai netrukdo valstybėms narėms į sąrašą įtraukti tokių subjektų. Pagal Direktyvos (ES) 2022/2555 20 straipsnio 1 dalį esminių ir svarbių subjektų valdymo organai turi patvirtinti kibernetinio saugumo rizikos valdymo priemones, kurių ėmėsi tie subjektai, siekdami laikytis 21 straipsnio, prižiūrėti jo įgyvendinimą ir gali būti patraukti atsakomybėn už tai, kad subjektai pažeidžia tą straipsnį. Pagal tos direktyvos 20 straipsnio 2 dalį valstybės narės užtikrina, kad esminių ir svarbių subjektų valdymo organų nariai dalyvautų mokymuose, ir skatina esminius ir svarbius subjektus reguliariai siūlyti panašius mokymus savo darbuotojams, kad jie įgytų pakankamai žinių ir įgūdžių, kad galėtų nustatyti riziką ir įvertinti kibernetinio saugumo rizikos valdymo praktiką bei jos poveikį subjekto teikiamoms paslaugoms. Kadangi Direktyvos (ES) 2022/2555 20 straipsnyje nustatytos pareigos glaudžiai susijusios su tos direktyvos 21 straipsnio reikalavimais, 20 straipsnis neturėtų būti taikomas tais atvejais, kai kibernetinio saugumo rizikos valdymo reikalavimų atžvilgiu galioja konkretiems sektoriams taikomi Sąjungos teisės aktai, kaip apibrėžta tos direktyvos 4 straipsnyje.

---

(1)   OL L 333, 2022 12 27, p. 80.

(2)  Taip pat žr. Direktyvos (ES) 2022/2555 preambulės 78, 81 ir 82 konstatuojamąsias dalis.

(3)   2018 m. gruodžio 11 d. Europos Parlamento ir Tarybos direktyvos (ES) 2018/1972, kuria nustatomas Europos elektroninių ryšių kodeksas (OL L 321, 2018 12 17, p. 36), 2 straipsnio 1 dalis.

(4)  Žr. Direktyvos (ES) 2022/2555 preambulės 79 konstatuojamąją dalį.

(5)  Žr. 2019 m. birželio 18 d. dokumento „Neprivalomi Sutarties dėl Europos Sąjungos veikimo 290 ir 291 straipsnių taikymo kriterijai“ (OL C 223, 2019 7 3, p. 1) D skyrių „Papildomos taisyklės, kuriomis įgyvendinamas pagrindinis aktas“.

(6)  Žr. 2019 m. birželio 18 d. dokumento „Neprivalomi Sutarties dėl Europos Sąjungos veikimo 290 ir 291 straipsnių taikymo kriterijai“ (OL C 223, 2019 7 3, p. 1) D skyrių „Papildomos taisyklės, kuriomis įgyvendinamas pagrindinis aktas“.

(7)  Žr. Direktyvos (ES) 2022/2555 preambulės 101 konstatuojamąją dalį.

Toliau pateikta informacija yra skirta asmenims ir subjektams, nurodytiems Tarybos sprendimo 2011/235/BUSP (1), kuris įgyvendinamas Tarybos įgyvendinimo sprendimu (BUSP) 2023/1780 (2), ir Tarybos reglamento (ES) Nr. 359/2011 (3), kuris įgyvendinamas Tarybos įgyvendinimo reglamentu (ES) 2023/1779 (4), dėl ribojamųjų priemonių, taikytinų tam tikriems asmenims, subjektams ir įstaigoms atsižvelgiant į padėtį Irane, atitinkamai priede ir I priede.

Europos Sąjungos Taryba nusprendė, kad tie asmenys ir subjektai turėtų būti įtraukti į asmenų ir subjektų, kuriems taikomos ribojamosios priemonės, numatytos sprendime 2011/235/BUSP ir reglamente (ES) Nr. 359/2011, sąrašą.

Atitinkamų asmenų ir subjektų dėmesys atkreipiamas į tai, kad siekdami gauti leidimą naudoti įšaldytas lėšas pagrindiniams poreikiams arba konkretiems mokėjimams (žr. reglamento 4 straipsnį) jie turi galimybę pateikti prašymą atitinkamos (-ų) valstybės (-ių) narės (-ių) kompetentingoms institucijoms, nurodytoms reglamento (ES) Nr. 359/2011 II priede išvardytose svetainėse.

Atitinkami asmenys ir subjektai gali anksčiau nei 2024 m. sausio 1 d. pateikti Tarybai prašymą (kartu su patvirtinamaisiais dokumentais) persvarstyti sprendimą įtraukti juos į pirmiau nurodytą sąrašą šiuo adresu:

Council of the European Union

General Secretariat

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

El. paštas: sanctions@consilium.europa.eu

Atitinkamų asmenų ir subjektų dėmesys taip pat atkreipiamas į tai, kad jie turi galimybę apskųsti Tarybos sprendimą Europos Sąjungos Bendrajame Teisme laikantis Sutarties dėl Europos Sąjungos veikimo 275 straipsnio antroje pastraipoje ir 263 straipsnio ketvirtoje bei šeštoje pastraipose nustatytų sąlygų.

---

(1)   OL L 100, 2011 4 14, p. 51.

(2)   OL L 228 I, 2023 9 15, p. 6.

(3)   OL L 100, 2011 4 14, p. 1.

(4)   OL L 228 I, 2023 9 15, p. 1.

Duomenų subjektų dėmesys atkreipiamas į toliau nurodytą informaciją pagal Europos Parlamento ir Tarybos Reglamento (ES) 2018/1725 (1) 16 straipsnį.

Šio duomenų tvarkymo veiksmo teisinis pagrindas – Tarybos sprendimas 2011/235/BUSP (2), kuris įgyvendinamas Tarybos įgyvendinimo sprendimu (BUSP) 2023/1780 (3), ir Tarybos reglamentas (ES) Nr. 359/2011 (4), kuris įgyvendinamas Tarybos įgyvendinimo reglamentu (ES) 2023/1779 (5).

Už šį duomenų tvarkymo veiksmą atsakingas duomenų valdytojas yra Europos Sąjungos Taryba, kuriai atstovauja Tarybos generalinio sekretoriato Išorės santykių generalinio direktorato (RELEX) generalinis direktorius, o tarnyba, kuriai pavesta atlikti šį duomenų tvarkymo veiksmą, yra Horizontaliųjų ir pasaulio reikalų direktoratas (RELEX 1), į kurį galima kreiptis šiuo adresu:

Council of the European Union

General Secretariat

RELEX.1

Rue de la Loi/Wetstraat 175

1048 Bruxelles/Brussel

BELGIQUE/BELGIË

El. paštas: sanctions@consilium.europa.eu

Į Tarybos duomenų apsaugos pareigūną galima kreiptis šiuo adresu:

Duomenų apsaugos pareigūnas

data.protection@consilium.europa.eu

Duomenų tvarkymo veiksmo tikslas – asmenų, kuriems taikomos Sprendime 2011/235/BUSP, kuris įgyvendinamas įgyvendinimo sprendimu (BUSP) 2023/1780, ir Reglamente (ES) Nr. 359/2011, kuris įgyvendinamas įgyvendinimo reglamentu (ES) 2023/1779, numatytos ribojamosios priemonės, sąrašo sudarymas ir atnaujinimas.

Duomenų subjektai yra fiziniai asmenys, kurie atitinka Sprendime 2011/235/BUSP ir Reglamente (ES) Nr. 359/2011 nustatytus įtraukimo į sąrašą kriterijus.

Surinkti asmens duomenys apima duomenis, būtinus teisingam atitinkamo asmens tapatybės nustatymui, motyvų pareiškimą ir visus kitus su įtraukimo į sąrašą priežastimis susijusius duomenis.

Asmens duomenų tvarkymo teisinis pagrindas yra Tarybos sprendimai, priimti pagal ES sutarties 29 straipsnį, ir Tarybos reglamentai, priimti pagal SESV 215 straipsnį, kuriais fiziniai asmenys (duomenų subjektai) įtraukiami į sąrašą ir nustatomas turto įšaldymas ir kelionių apribojimai.

Tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui pagal Reglamento (ES) 2018/1725 5 straipsnio 1 dalies a punktą arba vykdant teisines prievoles, išdėstytas pirmiau nurodytuose teisės aktuose, kurios taikomos duomenų valdytojui pagal 5 straipsnio 1 dalies b punktą.

Tvarkyti duomenis būtina dėl svarbių viešojo intereso priežasčių pagal Reglamento (ES) 2018/1725 10 straipsnio 2 dalies g punktą.

Taryba gali gauti duomenų subjektų asmens duomenis iš valstybių narių ir (arba) Europos išorės veiksmų tarnybos. Asmens duomenų gavėjos yra valstybės narės, Europos Komisija ir Europos išorės veiksmų tarnyba.

Visi taikant ES autonomines ribojamąsias priemones Tarybos tvarkomi asmens duomenys bus saugomi 5 metus nuo tada, kai duomenų subjektas išbraukiamas iš asmenų, kuriems taikomas turto įšaldymas, sąrašo arba kai baigiasi priemonės galiojimas, arba, jeigu pareiškiamas ieškinys Teisingumo Teisme, kol bus priimtas galutinis sprendimas. Asmens duomenis, esančius užregistruotuose Tarybos dokumentuose, Taryba saugo archyvavimo tikslais viešojo intereso labui, kaip apibrėžta Reglamento (ES) 2018/1725 4 straipsnio 1 dalies e punkte.

Tarybai gali reikėti su duomenų subjektu susijusiais asmens duomenimis keistis su trečiąja valstybe arba tarptautine organizacija Tarybai vykdant JT įtraukimo į sąrašus perkėlimą į teisės aktus arba tarptautinio bendradarbiavimo, susijusio su ES ribojamųjų priemonių politika, kontekste.

Nesant sprendimo dėl tinkamumo arba tinkamų apsaugos priemonių, duomenų perdavimas trečiajai valstybei arba tarptautinei organizacijai pagal Reglamento (ES) 2018/1725 50 straipsnį grindžiamas šia (-iomis) sąlyga (-omis): duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių; duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus.

Duomenų subjekto asmens duomenų tvarkymas nėra susijęs su automatizuotu sprendimų priėmimu.

Duomenų subjektai turi teisę į informaciją ir teisę į prieigą prie savo asmens duomenų. Jie taip pat turi teisę ištaisyti ir papildyti savo duomenis. Tam tikromis aplinkybėmis jie gali turėti teisę reikalauti, kad jų asmens duomenys būtų ištrinti, arba teisę prieštarauti, kad jų asmens duomenys būtų tvarkomi, arba prašyti, kad jų tvarkymas būtų apribotas.

Duomenų subjektai gali naudotis šiomis teisėmis nusiųsdami duomenų valdytojui e. laišką, kopiją nusiųsdami duomenų apsaugos pareigūnui, kaip nurodyta pirmiau.

Prie prašymo duomenų subjektai turi pridėti tapatybės dokumento kopiją savo tapatybei patvirtinti (asmens tapatybės kortelę arba pasą). Šiame dokumente turėtų būti nurodytas identifikavimo numeris, dokumentą išdavusi šalis, galiojimo laikas, vardas ir pavardė, adresas ir gimimo data. Visi kiti tapatybės dokumento kopijoje esantys duomenys, pavyzdžiui, nuotrauka ar kiti asmeniniai požymiai, gali būti užtušuoti.

Duomenų subjektai turi teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui pagal Reglamentą (ES) 2018/1725 (edps@edps.europa.eu).

Rekomenduojama, kad prieš darydami tai duomenų subjektai pirmiausia pamėgintų pasinaudoti teisių gynimo priemone kreipdamiesi į duomenų valdytoją ir (arba) Tarybos duomenų apsaugos pareigūną.

---

(1)   OL L 295, 2018 11 21, p. 39.

(2)   OL L 100, 2011 4 14, p. 51.

(3)   OL L 228 I, 2023 9 15, p. 6.

(4)   OL L 100, 2011 4 14, p. 1.

(5)   OL L 228 I, 2023 9 15, p. 1.

Sprendimas, kuriuo panaikinamas leidimas

Nuoroda į sprendimą (2)	Sprendimo data	Cheminės medžiagos pavadinimas	Sprendimo adresatas	Panaikinta naudojimo paskirtis	Panaikinamas sprendimas	Sprendimo priežastys
C(2023) 6014	2023 m. rugsėjo 11 d.	Natrio dichromatas EB Nr. 234-190-3; CAS Nr. 10588-019 (bevandenis); CAS Nr. 7789-12-0 (dihidratas)	Gruppo Colle S.r.l., Via G. Di Vittorio 3/5, 59025 Usella, Cantagallo, Pratas, Italija	Kaip kandikas, naudojamas dažant vilną tamsiomis spalvomis	C(2017) 8331	Pagal Reglamento (EB) Nr. 1907/2006 60 straipsnio 4 dalį Peržiūros ataskaitoje neįrodyta, kad nėra pareiškėjui tinkamų alternatyvų.

---

(1)   OL L 396, 2006 12 30, p. 1.

(2)  Sprendimas skelbiamas Europos Komisijos interneto svetainėje adresu Leidimas (europa.eu).

1 euro =

	Valiuta	Valiutos kursas
USD	JAV doleris	1,0658
JPY	Japonijos jena	157,50
DKK	Danijos krona	7,4573
GBP	Svaras sterlingas	0,85878
SEK	Švedijos krona	11,8730
CHF	Šveicarijos frankas	0,9554
ISK	Islandijos krona	145,30
NOK	Norvegijos krona	11,4220
BGN	Bulgarijos levas	1,9558
CZK	Čekijos krona	24,496
HUF	Vengrijos forintas	383,75
PLN	Lenkijos zlotas	4,6308
RON	Rumunijos lėja	4,9698
TRY	Turkijos lira	28,7513
AUD	Australijos doleris	1,6498
CAD	Kanados doleris	1,4409
HKD	Honkongo doleris	8,3416
NZD	Naujosios Zelandijos doleris	1,8008
SGD	Singapūro doleris	1,4524
KRW	Pietų Korėjos vonas	1 415,78
ZAR	Pietų Afrikos randas	20,2968
CNY	Kinijos ženminbi juanis	7,7561
IDR	Indonezijos rupija	16 379,21
MYR	Malaizijos ringitas	4,9922
PHP	Filipinų pesas	60,612
RUB	Rusijos rublis
THB	Tailando batas	38,145
BRL	Brazilijos realas	5,1860
MXN	Meksikos pesas	18,2275
INR	Indijos rupija	88,6150

---

(1)   Šaltinis: valiutų perskaičiavimo kursai paskelbti ECB.

---

(1)   OL L 24, 2004 1 29, p. 1 (Susijungimų reglamentas).

(2)   OL C 366, 2013 12 14, p. 5.