(1)

skaitmeniniame amžiuje informacinėmis ir ryšių technologijomis (IRT) palaikomos sudėtingos sistemos, naudojamos kasdienei veiklai. Jos padeda veikti pagrindiniams mūsų ekonomikos sektoriams, įskaitant finansų sektorių, ir stiprina bendrosios rinkos veikimą. Didesnė skaitmenizacija ir daugiau tarpusavio sąsajų taip pat didina IRT riziką, todėl visa visuomenė ir konkrečiai finansų sistema, tampa labiau pažeidžiama kibernetinių grėsmių ar IRT sutrikimų atžvilgiu. Nors plačiai paplitęs IRT sistemų naudojimas ir didelė skaitmenizacija bei junglumas šiandien yra pagrindiniai Sąjungos finansų sektoriaus subjektų veiklos bruožai, jų skaitmeninio atsparumo klausimą vis dar reikia geriau spręsti ir integruoti į jų platesnes veiklos sistemas;

(2)

per pastaruosius dešimtmečius IRT naudojimas įgijo esminį vaidmenį teikiant finansines paslaugas ir pasiekė tokį tašką, kad dabar yra ypatingai svarbus visų finansų sektoriaus subjektų įprastų kasdienių funkcijų vykdymui. Dabar skaitmenizacija apima, pavyzdžiui, mokėjimus – juos atliekant vis dažniau atsisakoma grynųjų pinigų ir popierinių metodų, kuriuos keičia naudojami skaitmeniniai sprendimai, taip pat vertybinių popierių tarpuskaitą ir atsiskaitymą, elektroninę ir algoritminę prekybą, skolinimo ir finansavimo operacijas, tarpusavio finansavimą, kredito reitingus, reikalavimų išmokėti draudimo išmoką administravimą ir netiesioginio aptarnavimo padalinio operacijas. Draudimo sektoriuje dėl IRT technologijų taip pat įvyko transformacija, pradedant internetu savo paslaugas teikiančių draudimo tarpininkų, veikiančių naudojant „InsurTech“, atsiradimu, ir baigiant skaitmenine draudimo veikla. Finansų sektorius ne tik visas tapo iš esmės skaitmeninis, bet skaitmenizacija padidino tarpusavio sąsajas ir priklausomybę pačiame finansų sektoriuje ir sąsajas su infrastruktūrą ir paslaugas teikiančiomis trečiosiomis šalimis bei priklausomybę nuo jų;

(3)

2020 m. ataskaitoje dėl sisteminės kibernetinės rizikos Europos sisteminės rizikos valdyba (ESRV) dar kartą patvirtino, kad dabartinis didelis finansų sektoriaus subjektų, finansų rinkų ir finansų rinkų infrastruktūrų tarpusavio susietumas, ypač jų IRT sistemų tarpusavio priklausomybė, galėtų virsti sisteminiu pažeidžiamumu, nes vienoje vietoje kilę kibernetiniai incidentai, nevaržomi jokių geografinių ribų, iš bet kurio iš apytikriai 22 000 Sąjungos finansų sektoriaus subjektų galėtų greitai išplisti į visą finansų sistemą. Rimti IRT pažeidimai, kylantys finansų sektoriuje, daro poveikį ne tik finansų sektoriaus subjektams. Jie taip pat sudaro sąlygas vienoje vietoje atsiradusiems pažeidžiamumams plisti finansiniais perdavimo kanalais ir gali turėti neigiamų padarinių Sąjungos finansų sistemos stabilumui, pavyzdžiui, mažinti likvidumą ir apskritai pasikliovimą ir pasitikėjimą finansų rinkomis;

(4)

pastaraisiais metais IRT rizika sulaukė tarptautinių, Sąjungos ir nacionalinių politikos formuotojų, reguliavimo institucijų ir standartus nustatančių įstaigų dėmesio, siekiant stiprinti skaitmeninį atsparumą, nustatyti standartus ir koordinuoti reguliavimo ar priežiūros darbą. Tarptautiniu lygmeniu Bazelio bankų priežiūros komitetas, Mokėjimo ir rinkos infrastruktūrų komitetas, Finansinio stabilumo taryba, Finansinio stabilumo institutas, taip pat G7 ir G20 siekia įvairių jurisdikciją turinčių subjektų kompetentingoms institucijoms ir rinkos operatoriams suteikti priemonių jų finansų sistemų atsparumui stiprinti. Tą darbą taip pat paskatino poreikis tinkamai vertinti IRT riziką glaudžiai tarpusavyje susijusios pasaulinės finansų sistemos kontekste ir siekti didesnio atitinkamos geriausios praktikos nuoseklumo;

(5)

nepaisant Sąjungos ir nacionalinių tikslinių politikos ir teisėkūros iniciatyvų, IRT rizika ir toliau kelia sunkumų Sąjungos finansų sistemos veiklos atsparumui, efektyvumui ir stabilumui. Po 2008 m. finansų krizės vykdytomis reformomis visų pirma buvo didinamas Sąjungos finansų sektoriaus finansinis atsparumas ir siekta ekonominiu, prudenciniu ir elgesio rinkoje požiūriu apsaugoti Sąjungos konkurencingumą ir stabilumą. Nors IRT saugumas ir skaitmeninis atsparumas yra operacinės rizikos dalis, jiems po finansų krizės įgyvendinamoje reguliavimo darbotvarkėje teko mažiau dėmesio ir jie buvo plėtojami tik kai kuriose Sąjungos finansinių paslaugų politikos ir reglamentavimo aplinkos srityse arba tik keliose valstybėse narėse;

(6)

Komisija savo 2018 m. kovo 8 d. komunikate „FinTech“ srities veiksmų planas: konkurencingesnis ir novatoriškesnis Europos finansų sektorius“ pabrėžė, kad itin svarbu, jog Sąjungos finansų sektorius taptų atsparesnis, be kita ko, veiklos požiūriu, kad būtų užtikrinta jo technologinė sauga ir geras veikimas, greitas veiklos atkūrimas po IRT pažeidimų ir incidentų, taip galiausiai sudarant sąlygas veiksmingai ir sklandžiai teikti finansines paslaugas visoje Sąjungoje, be kita ko, esant nepalankioms sąlygoms, kartu išsaugant vartotojų ir rinkos pasitikėjimą ir kliovimąsi;

(7)

2019 m. balandžio mėn. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1093/2010 (4) įsteigta Europos priežiūros institucija (Europos bankininkystės institucija) (EBI), Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1094/2010 (5) įsteigta Europos priežiūros institucija (Europos draudimo ir profesinių pensijų institucija) (EIOPA) ir Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1095/2010 (6) įsteigta Europos priežiūros institucija (Europos vertybinių popierių ir rinkų institucija) (ESMA) (kartu vadinamos Europos priežiūros institucijomis arba EPI) kartu paskelbė technines rekomendacijas, kuriose paragino laikytis nuoseklaus požiūrio į IRT riziką finansų srityje ir rekomendavo proporcingai didinti finansinių paslaugų sektoriaus skaitmeninės veiklos atsparumą įgyvendinant Sąjungos konkrečiam sektoriui skirtą iniciatyvą;

(8)

Sąjungos finansų sektorių reglamentuoja bendras taisyklių sąvadas ir reguliuoja Europos finansų priežiūros institucijų sistema. Vis dėlto su skaitmeninės veiklos atsparumu ir IRT saugumu susijusios nuostatos dar nėra visiškai arba nuosekliai suderintos, nors skaitmeninės veiklos atsparumas yra gyvybiškai svarbus norint užtikrinti finansinį stabilumą ir rinkos vientisumą skaitmeniniame amžiuje ir ne mažiau svarbus nei, pavyzdžiui, bendrieji prudenciniai ar elgesio rinkoje standartai. Todėl bendras taisyklių sąvadas ir priežiūros sistema turėtų būti plėtojami, kad apimtų ir skaitmeninės veiklos atsparumą, stiprinant kompetentingų institucijų įgaliojimus, kad joms būtų sudaromos sąlygos prižiūrėti IRT rizikos finansų sektoriuje valdymą, siekiant apsaugoti vidaus rinkos vientisumą ir efektyvumą bei sudaryti palankesnes sąlygas tvarkingam jos veikimui;

(9)

dėl teisės aktų skirtumų ir nevienodų nacionalinių reguliavimo ar priežiūros metodų, susijusių su IRT rizika, atsiranda kliūčių finansinių paslaugų vidaus rinkos veikimui, o dėl jų tarpvalstybinę veiklą vykdantiems finansų sektoriaus subjektams trukdoma sklandžiai naudotis įsisteigimo ir paslaugų teikimo laisve. Taip pat galėtų būti iškraipoma tos pačios rūšies finansų sektoriaus subjektų, veikiančių skirtingose valstybėse narėse, konkurencija. Taip yra visų pirma tose srityse, kuriose Sąjungos vykdomo suderinimo mastas buvo labai nedidelis, pavyzdžiui, skaitmeninės veiklos atsparumo testavimo srityje, arba jo visai nebuvo, pavyzdžiui, trečiosios šalies keliamos IRT rizikos stebėsenos srityje. Dėl numatomų pokyčių nacionaliniu lygmeniu atsirandantys skirtumai galėtų sukelti papildomų kliūčių vidaus rinkos veikimui, o tai pakenktų rinkos dalyviams ir finansiniam stabilumui;

(10)

iki šiol su IRT rizika susijusios nuostatos Sąjungos lygmeniu nustatytos tik iš dalies, todėl svarbiose srityse, pavyzdžiui, pranešimų apie su IRT susijusius incidentus ir skaitmeninės veiklos atsparumo testavimo srityse, esama spragų arba dubliavimosi, o dėl priimamų skirtingų nacionalinių taisyklių arba ekonomiškai neefektyvaus besidubliuojančių taisyklių taikymo atsiranda nenuoseklumų. Tai ypač kenkia tokiam intensyviam IRT naudotojui, koks yra finansų sektorius, nes technologijų rizika neturi sienų, o finansų sektoriaus paslaugos tarpvalstybiniu mastu plačiai teikiamos Sąjungoje ir už jos ribų. Atskiri finansų sektoriaus subjektai, veikiantys tarpvalstybiniu mastu arba turintys kelis veiklos leidimus (pvz., vienas finansų sektoriaus subjektas gali turėti bankininkystės, investicinės įmonės ir mokėjimo įstaigos licenciją, kurių kiekviena yra išduota vienos ar kelių valstybių narių skirtingų kompetentingų institucijų), susiduria su veiklos sunkumais norėdami savarankiškai ir nuosekliu ekonomiškai efektyviu būdu mažinti IRT riziką ir švelninti IRT incidentų neigiamą poveikį;

(11)

kadangi bendras taisyklių sąvadas nebuvo papildytas išsamia IRT arba operacinės rizikos sistema, būtina toliau derinti pagrindinius skaitmeninės veiklos atsparumo reikalavimus, taikomus visiems finansų sektoriaus subjektams. Finansų subjektų IRT pajėgumų ir bendro atsparumo, besiremiančių tais pagrindiniais reikalavimais, kad nenukentėtų veiklos sutrikdymo atvejais, plėtra padėtų išsaugoti Sąjungos finansų rinkų stabilumą bei vientisumą ir tokiu būdu užtikrinti aukštą investuotojų ir vartotojų apsaugos lygį Sąjungoje. Kadangi šiuo reglamentu siekiama prisidėti prie sklandaus vidaus rinkos veikimo, jis turėtų būti grindžiamas Sutarties dėl Europos Sąjungos veikimo (SESV) 114 straipsnio nuostatomis, atsižvelgiant į jų aiškinimą pagal nusistovėjusią Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) jurisprudenciją;

(12)

šiuo reglamentu siekiama konsoliduoti ir atnaujinti IRT rizikos reikalavimus, priklausančius operacinės rizikos reikalavimams, kurie iki šiol buvo atskirai aptariami skirtinguose Sąjungos teisės aktuose. Nors tuose aktuose buvo numatytos pagrindinės finansinės rizikos kategorijos (pvz., kredito rizika, rinkos rizika, sandorio šalies kredito rizika ir likvidumo rizika, elgesio rinkoje rizika), juos priimant nebuvo išsamiai atsižvelgta į visus veiklos atsparumo komponentus. Toliau plėtojant operacinės rizikos taisykles tuose Sąjungos teisės aktuose dažnai pirmenybė teikta tradiciniam kiekybiniam rizikos mažinimo metodui (t. y. nustatant kapitalo reikalavimus IRT rizikai padengti), o ne tikslinėms kokybinėms taisyklėms, skirtomis apsaugos nuo su IRT susijusių incidentų, jų aptikimo, izoliavimo, veiklos atkūrimo ir ištaisymo pajėgumams arba pranešimų teikimo ir skaitmeninio testavimo pajėgumams. Tie aktai visų pirma buvo skirti esminėms prudencinės priežiūros, rinkos vientisumo ar elgesio taisyklėms nustatyti ir atnaujinti. Visos nuostatos, susijusios su skaitmenine rizika finansų sektoriuje, turėtų būti pirmą kartą nuosekliai išdėstytos viename teisėkūros procedūra priimame akte, taip konsoliduojant ir atnaujinant skirtingas su IRT rizika susijusias taisykles. Taigi šiuo reglamentu užpildomos kai kurių ankstesnių teisės aktų spragos arba pašalinamas jų nenuoseklumas, įskaitant juose vartojamą terminiją, o IRT rizika aiškiai įvardijama numatant tikslines IRT rizikos valdymo pajėgumų, pranešimų apie incidentus teikimo, veiklos atsparumo testavimo bei trečiosios šalies keliamos IRT rizikos stebėsenos taisykles. Todėl šiuo reglamentu taip pat turėtų būti didinamas informuotumas apie IRT riziką ir pripažįstama, kad IRT incidentai ir veiklos atsparumo stoka gali pakenkti finansų sektoriaus subjektų patikimumui;

(13)

finansų sektoriaus subjektai, mažindami IRT riziką, turėtų laikytis to paties požiūrio ir tų pačių principais grindžiamų taisyklių, atsižvelgdami į savo dydį bei bendrą rizikos profilį ir į savo paslaugų, veiklos ir operacijų pobūdį, mastą ir sudėtingumą. Nuoseklumas padeda didinti pasitikėjimą finansų sistema ir išsaugoti jos stabilumą, ypač esant didelei priklausomybei nuo IRT sistemų, platformų ir infrastruktūrų, dėl kurios kyla didesnė skaitmeninė rizika. Laikantis bazinės kibernetinės higienos taip pat turėtų būti išvengta didelių ekonomikai tenkančių išlaidų, nes būtų kuo labiau sumažintas IRT sutrikimų poveikis ir išlaidos;

(14)

reglamentu padedama mažinti reglamentavimo sudėtingumą, skatinama priežiūros konvergencija ir didinamas teisinis tikrumas, taip pat prisidedama prie reikalavimų laikymosi išlaidų, visų pirma patiriamų tarpvalstybiniu mastu veikiančių finansų sektoriaus subjektų, apribojimo ir konkurencijos iškraipymo mažinimo. Todėl norint užtikrinti vienodą ir nuoseklų visų IRT rizikos valdymo komponentų taikymą Sąjungos finansų sektoriuje sukuriant bendrą finansų sektoriaus subjektų skaitmeninės veiklos atsparumo sistemą tinkamiausia priemonė yra reglamentas;

(15)

Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 (7) buvo pirmoji Sąjungos lygmeniu priimta horizontalioji kibernetinio saugumo sistema, taip pat taikoma trijų rūšių finansų sektoriaus subjektams, t. y. kredito įstaigoms, prekybos vietoms ir pagrindinėms sandorio šalims. Tačiau, kadangi Direktyvoje (ES) 2016/1148 buvo nustatytas esminių paslaugų operatorių identifikavimo nacionaliniu lygmeniu mechanizmas, tik tam tikros kredito įstaigos, prekybos vietos ir pagrindinės sandorio šalys, kurios buvo nurodytos valstybių narių, praktiškai pateko į jos taikymo sritį, ir todėl turėjo laikytis joje nustatytų IRT saugumo ir panešimo apie incidentus reikalavimų. Europos Parlamento ir Tarybos direktyvoje (ES) 2022/2555 (8) nustatytas vienodas kriterijus, pagal kurį nustatoma, kurie subjektai patenka į jos taikymo sritį (dydžio ribojimo taisyklė), kartu jos taikymo srityje išlaikant visų trijų rūšių finansų sektoriaus subjektus;

(16)

tačiau, kadangi nustatant reikalavimus, taikomus IRT rizikos valdymui ir pranešimų apie su IRT susijusius incidentus teikimui, kurie yra griežtesni, palyginti su nustatytaisiais galiojančiuose Sąjungos finansinių paslaugų teisės aktuose, šiuo reglamentu didinamas įvairių skaitmeninio atsparumo komponentų suderinimas, didinant šį suderinimo lygį kartu didinamas suderinimas ir palyginti su Direktyvoje (ES) 2022/2555 nustatytais reikalavimais. Todėl Direktyvos (ES) 2022/2555 atžvilgiu šis reglamentas yra lex specialis. Tuo pat metu labai svarbu išlaikyti tvirtą finansų sektoriaus ir Sąjungos horizontaliosios kibernetinio saugumo sistemos sąryšį, kaip tai šiuo metu nustatyta Direktyvoje (ES) 2022/2555, kad būtų užtikrintas nuoseklumas su valstybių narių priimamomis kibernetinio saugumo strategijomis, o finansų priežiūros institucijos galėtų būti informuotos apie kibernetinius incidentus, darančius poveikį kitiems sektoriams, kuriems taikoma ta direktyva;

(17)

pagal Europos Sąjungos sutarties 4 straipsnio 2 dalį ir nedarant poveikio Teisingumo Teismo atliekamai teisminei peržiūrai, šiuo reglamentu neturėtų būti daromas poveikis valstybių narių atsakomybei, susijusiai su esminėmis valstybės funkcijomis visuomenės saugumo, gynybos ir nacionalinio saugumo užtikrinimo srityse pavyzdžiui, informacijos, kuri prieštarautų nacionalinio saugumo užtikrinimui, teikimo atveju;

(18)

siekiant sudaryti sąlygas tarpsektoriniam mokymuisi ir veiksmingai pasinaudoti kitų sektorių patirtimi kovojant su kibernetinėmis grėsmėmis, Direktyvoje (ES) 2022/2555 nurodyti finansų sektoriaus subjektai turėtų likti tos direktyvos „ekosistemos“ (pavyzdžiui, bendradarbiavimo grupės ir reagavimo į kompiuterių saugumo incidentus tarnybų (CSIRT)) dalimi. EPI ir nacionalinėms kompetentingoms institucijoms turėtų būti suteikta galimybė dalyvauti strateginėse politikos diskusijose ir bendradarbiavimo grupės, įsteigtos pagal tą direktyvą, techniniame darbe bei keistis informacija ir toliau bendradarbiauti su bendraisiais informaciniais centrais, paskirtais arba įsteigtais pagal tą direktyvą. Pagal šį reglamentą kompetentingos institucijos taip pat turėtų konsultuotis ir bendradarbiauti su CSIRT. Kompetentingos institucijos taip pat turėtų turėti galimybę pagal Direktyvą (ES) 2022/2555 paskirtų ar įsteigtų kompetentingų institucijų prašyti techninių konsultacijų ir nustatyti bendradarbiavimo tvarką, kuria siekiama užtikrinti veiksmingus ir greitą reagavimą užtikrinančius koordinavimo mechanizmus;

(19)

atsižvelgiant į tvirtas finansų sektoriaus subjektų skaitmeninio atsparumo ir fizinio atsparumo sąsajas, šiame reglamente ir Europos Parlamento ir Tarybos direktyvoje (ES) 2022/2557 (9) būtina laikytis nuoseklaus požiūrio į ypatingos svarbos subjektų atsparumą. Atsižvelgiant į tai, kad finansų sektoriaus subjektų fizinio atsparumo klausimai visapusiškai sprendžiami taikant IRT rizikos valdymo pareigas ir pareigas pranešti, kurioms taikomas šis reglamentas, Direktyvos (ES) 2022/2557 III ir IV skyriuose nustatytos pareigos neturėtų būti taikomos finansų sektoriaus subjektams, kurie patenka į tos direktyvos taikymo sritį;

(20)

debesijos paslaugų teikėjai yra viena iš skaitmeninių infrastruktūrų kategorijų, kuriai taikoma Direktyva (ES) 2022/2555. Šiuo reglamentu nustatoma Sąjungos priežiūros sistema (priežiūros sistema) taikoma visoms ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims, įskaitant debesijos paslaugų teikėjus, teikiančius IRT paslaugas finansų sektoriaus subjektams, ir laikytina papildančia pagal Direktyvą (ES) 2022/2555 vykdomą priežiūrą. Be to, kai nėra Sąjungos horizontaliosios sistemos, pagal kurią būtų įkurta skaitmeninės priežiūros institucija, šiuo reglamentu nustatoma priežiūros sistema turėtų būti taikoma debesijos paslaugų teikėjams;

(21)

siekiant ir toliau visiškai kontroliuoti IRT riziką, finansų sektoriaus subjektai turi turėti visapusiškų pajėgumų, kurie jiems leistų vykdyti griežtą ir veiksmingą IRT rizikos valdymą, taip pat specialius mechanizmus ir politiką visiems su IRT susijusiems incidentams tvarkyti ir pranešimams apie didelius su IRT susijusius incidentus teikti. Analogiškai, finansų sektoriaus subjektai turėtų turėti IRT sistemų testavimo, kontrolės priemonių ir procesų, taip pat trečiosios šalies keliamos IRT rizikos valdymo politiką. Reikėtų didinti pradinį finansų sektoriaus subjektų skaitmeninės veiklos atsparumo lygį, kartu taip pat sudarant sąlygas proporcingai taikyti reikalavimus tam tikriems finansų sektoriaus subjektams, visų pirma labai mažoms įmonėms, taip pat finansų sektoriaus subjektams, kuriems taikoma supaprastinta IRT rizikos valdymo sistema. Siekiant sudaryti palankesnes sąlygas veiksmingai profesinių pensijų įstaigų priežiūrai, kuri būtų proporcinga ir atitiktų poreikį mažinti kompetentingoms institucijoms tenkančią administracinę naštą, nustatant tokiems finansų sektoriaus subjektams taikomą atitinkamą nacionalinę priežiūros tvarką turėtų būti atsižvelgiama į jų dydį ir bendrą rizikos profilį, taip pat į jų paslaugų, veiklos ir operacijų pobūdį, mastą ir sudėtingumą, net kai viršijamos atitinkamos Europos Parlamento ir Tarybos direktyvos (ES) 2016/2341 (10) 5 straipsnyje nustatytos ribos. Visų pirma vykdant priežiūros veiklą daugiausia dėmesio turėtų būti skiriama poreikiui šalinti didelę riziką, susijusią su konkretaus subjekto IRT rizikos valdymu.

Kompetentingos institucijos taip pat turėtų laikytis atsargaus, bet proporcingo požiūrio prižiūrėdamos profesinių pensijų įstaigas, kurios pagal Direktyvos (ES) 2016/2341 31 straipsnį didelę savo pagrindinės veiklos dalį, pavyzdžiui, turto valdymą, aktuarinius skaičiavimus, apskaitą ir duomenų valdymą, perduoda paslaugų teikėjams;

(22)

nacionalinio lygmens pranešimų apie su IRT susijusius incidentus teikimo ribos ir taksonomijos gerokai skiriasi. Nors bendrus principus galima nustatyti Europos Sąjungos kibernetinio saugumo agentūrai (ENISA), įsteigtai Europos Parlamento ir Tarybos reglamentu (ES) 2019/881 (11), ir bendradarbiavimo grupei, įsteigtai pagal Direktyvą (ES) 2022/2555, atliekant atitinkamą darbą finansų sektoriaus subjektų atžvilgiu, likusiems finansų sektoriaus subjektams vis dar taikomi arba gali atsirasti skirtingi ribų nustatymo ir taksonomijų naudojimo metodai. Dėl tų skirtumų finansų sektoriaus subjektams taikoma daugybė reikalavimų, kurių jie turi laikytis, ypač tais atvejais, kai jie vykdo veiklą keliose valstybėse narėse ir yra finansų grupės dalis. Be to, tokie skirtumai gali trukdyti kurti papildomus vienodus arba centralizuotus Sąjungos mechanizmus, kuriais būtų paspartintas pranešimų teikimo procesas ir padedama kompetentingoms institucijoms greitai ir sklandžiai keistis informacija – tai yra itin svarbu mažinant IRT riziką didelio masto išpuolių, galinčių turėti sisteminių padarinių, atveju;

(23)

siekiant sumažinti tam tikriems finansų sektoriaus subjektams tenkančią administracinę naštą ir galbūt besidubliuojančias pareigas pranešti, reikalavimas pranešti apie incidentus pagal Europos Parlamento ir Tarybos direktyvą (ES) 2015/2366 (12) turėtų būti nebetaikomas mokėjimo paslaugų teikėjams, kurie patenka į šio reglamento taikymo sritį. Todėl kredito įstaigos, elektroninių pinigų įstaigos, mokėjimo įstaigos ir informavimo apie sąskaitas paslaugų teikėjai, kaip nurodyta tos direktyvos 33 straipsnio 1 dalyje, nuo šio reglamento taikymo dienos apie visus su mokėjimu susijusius operacinius ar saugumo incidentus, apie kuriuos anksčiau buvo pranešama pagal tą direktyvą, turėtų pranešti pagal šį reglamentą, nepriklausomai nuo to, ar tokie incidentai yra susiję su IRT;

(24)

tam, kad kompetentingos institucijos galėtų vykdyti priežiūros funkcijas susidarydamos visapusišką su IRT susijusių incidentų pobūdžio, dažnumo, dydžio ir poveikio vaizdą, ir tobulinti atitinkamų valdžios institucijų, įskaitant teisėsaugos institucijas ir pertvarkymo institucijas, keitimąsi informacija, šiuo reglamentu turėtų būti nustatyta patikima pranešimų apie su IRT susijusius incidentus teikimo tvarka, taip atitinkamais reikalavimais užpildant finansinių paslaugų teisės spragas, ir pašalinti dabar besidubliuojantys ir pasikartojantys reikalavimai, kad būtų sumažintos išlaidos. Labai svarbu suderinti pranešimų apie su IRT susijusius incidentus teikimo tvarką reikalaujant, kad visi finansų sektoriaus subjektai teiktų pranešimus savo kompetentingoms institucijoms naudodamiesi šiame reglamente nustatyta viena bendra racionalizuota sistema. Be to, EPI turėtų būti suteikti įgaliojimai patikslinti atitinkamus pranešimų apie su IRT susijusius incidentus teikimo sistemos elementus, pavyzdžiui, taksonomiją, terminus, duomenų rinkinius, šablonus ir taikomas ribas. Siekiant užtikrinti visišką nuoseklumą su Direktyva (ES) 2022/2555, finansų sektoriaus subjektams turėtų būti leidžiama savanoriškai pranešti atitinkamai kompetentingai institucijai apie dideles kibernetines grėsmes, kai jie mano, kad kibernetinė grėsmė yra aktuali finansų sistemai, paslaugų naudotojams ar klientams;

(25)

tam tikruose finansų subsektoriuose buvo parengti skaitmeninės veiklos atsparumo testavimo reikalavimai, kuriuose nustatytos ne visada visiškai suderintos sistemos. Dėl to tarpvalstybiniai finansų sektoriaus subjektai gali patirti dvigubų išlaidų, o abipusis skaitmeninės veiklos atsparumo testavimo rezultatų pripažinimas tampa sudėtingas, o tai savo ruožtu gali skaidyti vidaus rinką;

(26)

be to, tais atvejais, kai IRT testavimas neprivalomas, pažeidžiamumai neaptinkami, o finansų sektoriaus subjektas dėl to patiria IRT riziką ir galiausiai kyla didesnė rizika finansų sektoriaus stabilumui ir vientisumui. Be Sąjungos įsikišimo skaitmeninės veiklos atsparumo testavimas toliau būtų nenuoseklus ir trūktų IRT testavimo skirtinguose jurisdikciją turinčiuose subjektuose rezultatų tarpusavio pripažinimo sistemos. Be to, kadangi mažai tikėtina, kad kiti finansų subsektoriai galėtų priimti reikšmingo masto testavimo schemas, jie nepasinaudotų galima testavimo sistemų teikiama nauda, pavyzdžiui, nenustatytų IRT pažeidžiamumų ir rizikos ir netestuotų apsaugos pajėgumų bei veiklos tęstinumo, o visa tai padeda įgyti didesnį klientų, tiekėjų ir verslo partnerių pasitikėjimą. Siekiant pašalinti tą reikalavimų dubliavimąsi, skirtumus ir spragas, būtina nustatyti suderinto testavimo tvarkos taisykles, taip sudarant palankesnes sąlygas finansų sektoriaus subjektų, atitinkančių šiame reglamente nustatytus kriterijus, pažangaus testavimo rezultatų tarpusavio pripažinimui;

(27)

finansų sektoriaus subjektų priklausomybę nuo IRT paslaugų iš dalies lemia jų poreikis prisitaikyti prie besiformuojančios konkurencinės skaitmeninės pasaulio ekonomikos, didinti savo veiklos efektyvumą ir tenkinti vartotojų paklausą. Pastaraisiais metais tokios priklausomybės pobūdis ir mastas nuolat kinta, todėl mažėja finansinio tarpininkavimo išlaidos, sudaromos sąlygos verslo plėtrai ir finansinės veiklos diegimo didinimui, kartu siūlant platų IRT priemonių spektrą sudėtingiems vidaus procesams valdyti;

(28)

platų IRT paslaugų naudojimą liudija sudėtingi sutartimi įforminti susitarimai, kurių atveju finansų sektoriaus subjektai dažnai susiduria su sunkumais derybose dėl sutarties sąlygų, pritaikytų pagal prudencinius standartus ar kitus reguliavimo reikalavimus, kurie jiems taikomi, arba kitaip siekdami pasinaudoti konkrečiomis teisėmis, pavyzdžiui, prieigos arba audito teisėmis, net kai pastarosios yra įtvirtintos jų sutartimi įformintuose susitarimuose. Daugelyje tokių sutartimi įformintų susitarimų taip pat nenumatoma pakankamų apsaugos priemonių, sudarančių sąlygas vykdyti visapusišką subrangos procesų stebėseną, todėl finansų sektoriaus subjektas praranda galimybę įvertinti susijusią riziką. Be to, kadangi IRT paslaugas teikiančios trečiosios šalys dažnai teikia standartizuotas paslaugas skirtingų rūšių klientams, tokie sutartimi įforminti susitarimai ne visada yra tinkamai pritaikyti prie individualių ar konkrečių finansų sektoriaus dalyvių poreikių;

(29)

nors Sąjungos finansinių paslaugų teisės aktai apima tam tikras bendras veiklos rangai taikomas taisykles, sutarties aspekto stebėsena nėra visiškai įtvirtinta Sąjungos teisės aktuose. Nesant aiškių ir specialiai sukurtų Sąjungos standartų, kurie būtų taikomi sutartimi įformintiems susitarimams, sudarytiems su IRT paslaugas teikiančiomis trečiosiomis šalimis, nėra visapusiškai sprendžiama išorinių IRT rizikos šaltinių problema. Todėl būtina nustatyti tam tikrus pagrindinius principus, kuriais finansų sektoriaus subjektai vadovautųsi valdydami trečiosios šalies keliamą IRT riziką; šie principai yra ypač svarbūs, kai finansų sektoriaus subjektai naudojasi IRT paslaugas teikiančių trečiųjų šalių paslaugomis palaikydami savo ypatingos svarbos arba svarbias funkcijas. Kartu su tais principais turėtų būti nustatytos pagrindinės sutartinės teisės, susijusios su keliais sutartimi įformintų susitarimų vykdymo ir nutraukimo elementais, siekiant nustatyti tam tikras minimalias apsaugos priemones, sustiprinančias finansų sektoriaus subjektų gebėjimą veiksmingai stebėti visą IRT riziką, kylančią paslaugas teikiančių trečiųjų šalių lygmeniu. Tie principai papildo veiklos rangai taikomus sektorinius teisės aktus;

(30)

trečiosios šalies keliamos IRT rizikos ir priklausomybės nuo IRT paslaugas teikiančių trečiųjų šalių stebėsenos atžvilgiu šiandien akivaizdžiai trūksta tam tikro suderinimo ir konvergencijos. Nepaisant pastangų spręsti veiklos rangos klausimą, pavyzdžiui, 2019 m. EBI gairėse dėl veiklos rangos ir 2021 m. ESMA gairėse dėl užsakomųjų paslaugų perdavimo debesijos paslaugų teikėjams, platesnis kovos su sistemine rizika, kuri gali kilti dėl to, kad finansų sektorių aptarnauja ribotas ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių skaičius, klausimas Sąjungos teisėje nėra sprendžiamas pakankamu mastu. Sąjungos lygmens taisyklių trūkumą dar labiau apsunkina tai, kad nėra nacionalinių taisyklių dėl įgaliojimų ir priemonių, leidžiančių finansų priežiūros institucijoms gerai suprasti priklausomybę nuo IRT paslaugas teikiančių trečiųjų šalių ir tinkamai stebėti riziką, kylančią dėl priklausomybės nuo IRT paslaugas teikiančių trečiųjų šalių koncentracijos;

(31)

atsižvelgiant į galimą sisteminę riziką, kylančią dėl populiarėjančios veiklos rangos ir IRT paslaugas teikiančių trečiųjų šalių koncentracijos, ir atkreipus dėmesį į tai, kad nepakanka nacionalinių mechanizmų, kurie finansų priežiūros institucijoms suteiktų tinkamų priemonių kiekybiškai ir kokybiškai įvertinti bei ištaisyti IRT rizikos, su kuria susiduria ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys, padarinius, būtina sukurti tinkamą priežiūros sistemą, sudarančią sąlygas nuolat stebėti IRT paslaugas teikiančių trečiųjų šalių, kurios yra ypatingos svarbos IRT paslaugas finansų sektoriaus subjektams teikiančios trečiosios šalys, veiklą, kartu užtikrinant, kad būtų išsaugotas kitų klientų, kurie nėra finansų sektoriaus subjektai, konfidencialumas ir saugumas. Nors IRT paslaugų teikimas grupės viduje yra susijęs su specifine rizika ir nauda, jis neturėtų būti automatiškai laikomas mažiau rizikingu nei finansų grupei nepriklausančių paslaugų teikėjų teikiamos IRT paslaugos, todėl jam turėtų būti taikoma ta pati reguliavimo sistema. Tačiau kai IRT paslaugos teikiamos toje pačioje finansų grupėje, finansų sektoriaus subjektai galėtų griežčiau kontroliuoti paslaugų grupės viduje teikėjus ir į tai reikėtų atsižvelgti atliekant bendrą rizikos vertinimą;

(32)

kadangi IRT grėsmės tampa vis labiau painesnės ir sudėtingesnės, geros IRT rizikos aptikimo ir prevencijos priemonės labai priklauso nuo reguliaraus finansų sektoriaus subjektų keitimosi žvalgybos informacija apie grėsmes ir pažeidžiamumą. Dalijantis informacija padedama didinti informuotumą apie kibernetines grėsmes. Tai savo ruožtu stiprina finansų sektoriaus subjektų gebėjimą neleisti kibernetinėms grėsmėms virsti realiais su IRT susijusiais incidentais ir sudaro sąlygas finansų sektoriaus subjektams efektyviau suvaldyti su IRT susijusių incidentų poveikį ir greičiau atkurti veiklą. Nesant rekomendacijų Sąjungos lygmeniu, regis, keli veiksniai trukdo taip dalytis žvalgybos informacija, visų pirma neaiškumas dėl dalijimosi atitikties duomenų apsaugos, antimonopolinėms ir atsakomybės taisyklėms;

(33)

be to, dėl abejonių, kuria informacija galima dalytis su kitais rinkos dalyviais arba ne priežiūros institucijomis (pavyzdžiui, analitiniais duomenimis su ENISA arba teisėsaugos tikslais su Europolu), naudinga informacija lieka nepateikta. Todėl dalijimosi informacija mastas ir kokybė šiuo metu tebėra riboti ir fragmentiški, o atitinkama informacija daugiausia keičiamasi vietos lygmeniu (vykdant nacionalines iniciatyvas) netaikant nuoseklių Sąjungos masto dalijimosi informacija schemų, pritaikytų integruotos finansų sistemos poreikiams. Todėl svarbu stiprinti tuos komunikacijos kanalus;

(34)

finansų sektoriaus subjektai turėtų būti skatinami tarpusavyje keistis informacija ir žvalgybos informacija apie kibernetines grėsmes ir kolektyviai naudotis savo individualiomis žiniomis ir praktine patirtimi strateginiu, taktiniu ir veiklos lygmenimis, kad dalyvaudami dalijimosi informacija schemose sustiprintų savo gebėjimus tinkamai įvertinti, stebėti, reaguoti į kibernetines grėsmes ir apsisaugoti nuo jų. Todėl būtina sudaryti sąlygas, kad Sąjungos lygmeniu būtų rengiamos savanoriško dalijimosi informacija schemos, kurias taikant patikimoje aplinkoje finansų sektoriaus bendruomenei būtų padedama užkirsti kelią kibernetinėms grėsmėms ir kolektyviai į jas reaguoti, greitai apribojant IRT rizikos plitimą ir neleidžiant neigiamam poveikiui plisti finansiniais kanalais. Tie mechanizmai turėtų atitikti galiojančias Sąjungos konkurencijos teisės taisykles, nustatytas 2011 m. sausio 14 d. Komisijos komunikate „Sutarties dėl Europos Sąjungos veikimo 101 straipsnio taikymo horizontaliesiems bendradarbiavimo susitarimams gairės“, taip pat Sąjungos duomenų apsaugos taisykles, visų pirma Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 (13). Jie turėtų veikti remiantis vienu ar daugiau to reglamento 6 straipsnyje nustatytų teisinių pagrindų, pavyzdžiui, tvarkant asmens duomenis duomenų valdytojo arba trečiosios šalies teisėto intereso pagrindu, kaip nurodyta to reglamento 6 straipsnio 1 dalies f punkte, taip pat tvarkant asmens duomenis, būtinus duomenų valdytojui tenkančiai teisinei pareigai vykdyti, kai tai būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestus oficialius įgaliojimus, kaip nurodyta atitinkamai to reglamento 6 straipsnio 1 dalies c ir e punktuose;

(35)

siekiant išlaikyti viso finansų sektoriaus skaitmeninės veiklos aukšto lygio atsparumą ir kartu neatsilikti nuo technologijų raidos, šiuo reglamentu turėtų būti sprendžiama rizikos, kylančios dėl visų rūšių IRT paslaugų, problema. Tuo tikslu IRT paslaugų apibrėžtis šio reglamento tekste turėtų būti suprantama plačiai, įtraukiant skaitmenines ir duomenų paslaugas, nuolat teikiamas per IRT sistemas vienam ar keliems vidaus ar išorės naudotojams. Į tą apibrėžtį, pavyzdžiui, turėtų būti įtrauktos vadinamosios internetu teikiamos paslaugos, kurios patenka į elektroninių ryšių paslaugų kategoriją. Į ją neturėtų būti įtraukta tik ribota tradicinių analoginio telefono ryšio paslaugų, priskiriamų viešojo komutuojamo telefono tinklo paslaugoms, fiksuotojo ryšio paslaugoms, fiksuoto telefono ryšio tinklo paslaugoms arba fiksuotojo ryšio telefono paslaugoms, kategorija;

(36)

nepaisant šiame reglamente numatytos plačios taikymo srities, skaitmeninės veiklos atsparumo taisyklės turėtų būti taikomos atsižvelgiant į didelius finansų sektoriaus subjektų dydžio ir bendro rizikos profilio skirtumus. Paprastai finansų sektoriaus subjektai, skirdami išteklius ir pajėgumus IRT rizikos valdymo sistemai įgyvendinti, turėtų tinkamai nustatyti su IRT susijusius poreikius atsižvelgdami į savo dydį ir bendrą rizikos profilį bei savo paslaugų, veiklos ir operacijų pobūdį, mastą ir sudėtingumą, o kompetentingos institucijos turėtų toliau vertinti ir peržiūrėti tokio paskirstymo metodą;

(37)

Direktyvos (ES) 2015/2366 33 straipsnio 1 dalyje nurodyti informavimo apie sąskaitas paslaugų teikėjai, atsižvelgiant į specifinį jų veiklos pobūdį ir dėl to kylančią riziką, yra aiškiai įtraukti į šio reglamento taikymo sritį. Be to, elektroninių pinigų įstaigos ir mokėjimo įstaigos, kurioms pagal Europos Parlamento ir Tarybos direktyvos 2009/110/EB (14) 9 straipsnio 1 dalį ir Direktyvos (ES) 2015/2366 32 straipsnio 1 dalį taikoma išimtis, patenka į šio reglamento taikymo sritį, net jei pagal Direktyvą 2009/110/EB joms nesuteiktas leidimas išleisti elektroninius pinigus arba jei pagal Direktyvą (ES) 2015/2366 joms nesuteiktas leidimas teikti ir vykdyti mokėjimo paslaugas. Tačiau į šio reglamento taikymo sritį nepatenka Europos Parlamento ir Tarybos direktyvos 2013/36/ES (15) 2 straipsnio 5 dalies 3 punkte nurodytos pašto žiro įstaigos. Mokėjimo įstaigų, kurioms taikoma išimtis pagal Direktyvą (ES) 2015/2366, elektroninių pinigų įstaigų, kurioms taikoma išimtis pagal Direktyvą 2009/110/EB, ir informavimo apie sąskaitas paslaugų teikėjų, nurodytų Direktyvos (ES) 2015/2366 33 straipsnio 1 dalyje, atveju kompetentinga institucija turėtų būti pagal Direktyvos (ES) 2015/2366 22 straipsnį paskirta kompetentinga institucija;

(38)

kadangi didesni finansų sektoriaus subjektai gali turėti daugiau išteklių ir gali greitai panaudoti lėšas valdymo struktūroms kurti ir įvairioms įmonių strategijoms rengti, turėtų būti reikalaujama, kad sudėtingesnes valdymo priemones diegtų tik tie finansų sektoriaus subjektai, kurie nėra labai mažos įmonės, kaip tai suprantama šiame reglamente. Tokie subjektai yra geriau pasirengę visų pirma nustatyti specialius valdymo padalinius, skirtus susitarimams su IRT paslaugas teikiančiomis trečiosiomis šalimis prižiūrėti arba krizių valdymo klausimams spręsti, organizuoti IRT rizikos valdymą pagal trijų gynybos linijų modelį arba sukurti vidaus rizikos valdymo ir kontrolės modelį, ir pateikti savo IRT rizikos valdymo sistemą vidaus auditui;

(39)

pagal atitinkamą konkretiems sektoriams taikomą Sąjungos teisę kai kurie finansų sektoriaus subjektai naudojasi išimtimis arba jiems taikoma labai negriežta reguliavimo sistema. Tokie finansų sektoriaus subjektai yra, be kita ko, alternatyvaus investavimo fondų valdytojai, nurodyti Europos Parlamento ir Tarybos direktyvos 2011/61/ES (16) 3 straipsnio 2 dalyje, draudimo ir perdraudimo įmonės, nurodytos Europos Parlamento ir Tarybos direktyvos 2009/138/EB (17) 4 straipsnyje, ir profesinių pensijų įstaigos, valdančios pensijų sistemas, kurios kartu turi ne daugiau kaip 15 narių. Atsižvelgiant į tas išimtis, būtų neproporcinga įtraukti tokius finansų sektoriaus subjektus į šio reglamento taikymo sritį. Be to, šiame reglamente pripažįstami draudimo tarpininkavimo rinkos struktūros ypatumai, todėl draudimo tarpininkams, perdraudimo tarpininkams ir papildomos draudimo veiklos tarpininkams, atitinkantiems labai mažų įmonių arba mažųjų ar vidutinių įmonių kriterijus, šis reglamentas neturėtų būti taikomas;

(40)

kadangi Direktyvos 2013/36/ES 2 straipsnio 5 dalies 4–23 punktuose nurodyti subjektai nepatenka į tos direktyvos taikymo sritį, valstybės narės turėtų turėti galimybę nuspręsti netaikyti šio reglamento tokiems subjektams, esantiems jų atitinkamose teritorijose;

(41)

taip pat, siekiant suderinti šį reglamentą su Europos Parlamento ir Tarybos direktyvos 2014/65/ES (18) taikymo sritimi, taip pat tikslinga į šio reglamento taikymo sritį neįtraukti tos direktyvos 2 ir 3 straipsniuose nurodytų fizinių ir juridinių asmenų, kuriems leidžiama teikti investicines paslaugas netaikant reikalavimo gauti veiklos leidimą pagal Direktyvą 2014/65/ES. Tačiau pagal Direktyvos 2014/65/ES 2 straipsnį į tos direktyvos taikymo sritį taip pat nepatenka subjektai, kurie šio reglamento tikslais laikomi finansų sektoriaus subjektais, pavyzdžiui, centriniams vertybinių popierių depozitoriumams, kolektyvinio investavimo subjektams arba draudimo ir perdraudimo įmonėms. Tos direktyvos 2 ir 3 straipsniuose nurodytų asmenų ir subjektų neįtraukimas į šio reglamento taikymo sritį neturėtų apimti tų centrinių vertybinių popierių depozitoriumų, kolektyvinio investavimo subjektų arba draudimo ir perdraudimo įmonių;

(42)

pagal konkretiems sektoriams taikomą Sąjungos teisę kai kuriems finansų sektoriaus subjektams dėl priežasčių, susijusių su jų dydžiu arba jų teikiamomis paslaugomis, taikomi mažiau griežti reikalavimai arba išimtys. Ta finansų sektoriaus subjektų kategorija apima mažas ir tarpusavio sąsajų neturinčias investicines įmones, mažas profesinių pensijų įstaigas, kurioms Direktyvos (ES) 2016/2341 5 straipsnyje nustatytomis sąlygomis atitinkama valstybė narė gali netaikyti tos direktyvos ir kurios valdo pensijų sistemas, kurios kartu turi ne daugiau kaip 100 narių, taip pat įstaigas, kurioms pagal Direktyvą 2013/36/ES taikoma išimtis. Todėl, laikantis proporcingumo principo ir siekiant išlaikyti konkretiems sektoriams taikomos Sąjungos teisės dvasią, taip pat tikslinga pagal šį reglamentą tiems finansų sektoriaus subjektams taikyti supaprastintą IRT rizikos valdymo sistemą. Techniniai reguliavimo standartai, kuriuos turi parengti EPI, neturėtų pakeisti tiems finansų sektoriaus subjektams taikomos IRT rizikos valdymo sistemos proporcingumo. Be to, laikantis proporcingumo principo, tikslinga Direktyvos (ES) 2015/2366 32 straipsnio 1 dalyje nurodytoms mokėjimo įstaigoms ir Direktyvos 2009/110/EB 9 straipsnyje nurodytoms elektroninių pinigų įstaigoms, kurioms taikoma išimtis pagal nacionalinės teisės aktus, kuriais perkelti tie Sąjungos teisės aktai, pagal šį reglamentą taip pat taikyti supaprastintą IRT rizikos valdymo sistemą, o mokėjimo įstaigos ir elektroninių pinigų įstaigos, kurioms netaikoma išimtis pagal atitinkamus nacionalinės teisės aktus, kuriais perkelti Sąjungos sektorinės teisės aktai, turėtų laikytis šiuo reglamentu nustatytos bendrosios sistemos;

(43)

taip pat neturėtų būti reikalaujama, kad finansų sektoriaus subjektai, kurie laikomi labai mažomis įmonėmis arba kuriems pagal šį reglamentą taikoma supaprastinta IRT rizikos valdymo sistema, sukurtų pareigybę, skirtą susitarimų dėl IRT paslaugų naudojimo, sudarytų su IRT paslaugas teikiančiomis trečiosiomis šalimis, stebėsenai, arba paskirtų vyresniosios vadovybės narį atsakingu už kylančios susijusios rizikos priežiūrą ir atitinkamus dokumentus, priskirtų atsakomybę už IRT rizikos valdymą ir priežiūrą kontrolės padaliniui ir užtikrintų tinkamą to kontrolės padalinio nepriklausomumo lygį, kad būtų išvengta interesų konfliktų, bent kartą per metus dokumentais pagrįstų ir peržiūrėtų IRT rizikos valdymo sistemą, reguliariai pateiktų IRT rizikos valdymo sistemą vidaus auditui, atliktų išsamų vertinimą po svarbių jų tinklų ir informacinių sistemų infrastruktūrų bei procesų pakeitimų, reguliariai atliktų senųjų IRT sistemų rizikos analizę, IRT reagavimo ir veiklos atkūrimo planų įgyvendinimui taikytų nepriklausomas vidaus audito peržiūras, turėtų krizių valdymo padalinį, išplėstų veiklos tęstinumo ir reagavimo bei veiklos atkūrimo planų testavimą, kad galėtų nustatyti pirminės IRT infrastruktūros pakeitimo atsarginiais įrenginiais scenarijus, kompetentingų institucijų prašymu praneštų joms apie apskaičiuotas bendras metines išlaidas ir nuostolius, patirtus dėl didelių su IRT susijusių incidentų, turėtų atsarginius IRT pajėgumus, nacionalinėms kompetentingoms institucijoms praneštų apie įgyvendintus pakeitimus atlikus peržiūras po su IRT susijusių incidentų, nuolat stebėtų atitinkamus technologinius pokyčius, parengtų išsamią skaitmeninės veiklos atsparumo testavimo programą, kuri būtų neatsiejama šiame reglamente numatytos IRT rizikos valdymo sistemos dalis, arba priimtų ir reguliariai peržiūrėtų trečiosios šalies keliamos IRT rizikos strategiją. Be to, turėtų būti reikalaujama, kad labai mažos įmonės tik įvertintų poreikį turėti tokius atsarginius IRT pajėgumus pagal jų rizikos profilį. Labai mažoms įmonėms turėtų būti taikoma lankstesnė skaitmeninės veiklos atsparumo testavimo programų tvarka. Svarstydamos atliktinų bandymų rūšį ir dažnumą, jos turėtų tinkamai suderinti tikslą išlaikyti aukštą skaitmeninės veiklos atsparumą, turimus išteklius ir bendrą jų rizikos profilį. Labai mažoms įmonėms ir finansų sektoriaus subjektams, kuriems pagal šį reglamentą taikoma supaprastinta IRT rizikos valdymo sistema, neturėtų būti taikomas reikalavimas atlikti IRT priemonių, sistemų ir procesų pažangų testavimą taikant grėsmėmis grindžiamą skverbimosi testavimą (angl. TLPT), nes tokį testavimą atlikti turėtų būti reikalaujama tik finansų sektoriaus subjektų, atitinkančių šiame reglamente nustatytus kriterijus. Atsižvelgiant į ribotus labai mažų įmonių pajėgumus, jos turėtų galėti susitarti su IRT paslaugas teikiančia trečiąja šalimi dėl finansų sektoriaus subjekto prieigos, tikrinimo ir audito teisių perdavimo nepriklausomai trečiajai šaliai, kurią turi paskirti IRT paslaugas teikianti trečioji šalis, su sąlyga, kad finansų sektoriaus subjektas gali bet kuriuo metu prašyti atitinkamos nepriklausomos trečiosios šalies pateikti visą svarbią informaciją ir patikinimą apie IRT paslaugas teikiančios trečiosios šalies veiklos rezultatus;

(44)

kadangi turėtų būti reikalaujama, kad grėsmėmis grindžiamą skverbimosi testavimą atliktų tik tie finansų sektoriaus subjektai, kurie atrinkti atlikti pažangų skaitmeninio atsparumo testavimą, tokiam testavimui atlikti reikalingi administraciniai procesai ir finansinės išlaidos turėtų tekti nedidelei finansų sektoriaus subjektų daliai;

(45)

siekiant užtikrinti visišką finansų sektoriaus subjektų veiklos strategijų ir atliekamo IRT rizikos valdymo suderinimą ir bendrą nuoseklumą, turėtų būti reikalaujama, kad finansų sektoriaus subjektų valdymo organai išlaikytų pagrindinį ir aktyvų vaidmenį valdant ir pritaikant IRT rizikos valdymo sistemą ir bendrą skaitmeninės veiklos atsparumo strategiją. Požiūris, kurio turi laikytis valdymo organai, turėtų būti orientuotas ne tik į priemones, kuriomis užtikrinamas IRT sistemų atsparumas, bet apimti ir žmones bei procesus taikant politiką, kuria kiekviename įmonės lygmenyje būtų skatinamas geras visų darbuotojų informuotumas apie kibernetinę riziką ir puoselėjamas įsipareigojimas visais lygmenimis laikytis griežtos kibernetinės higienos. Bendrasis tokio visapusiško požiūrio principas turėtų būti visiška valdymo organo atsakomybė valdant finansų sektoriaus subjekto IRT riziką; be to, pagal šį principą valdymo organas turėtų įsipareigoti nuolat kontroliuoti IRT rizikos valdymo stebėseną;

(46)

be to, visos ir visiškos valdymo organo atsakomybės už finansų sektoriaus subjekto IRT rizikos valdymą principas yra neatsiejamas nuo poreikio užtikrinti tokį finansų sektoriaus subjekto su IRT susijusių investicijų ir bendro biudžeto mastą, kuris sudarytų sąlygas tam finansų sektoriaus subjektui pasiekti aukštą skaitmeninės veiklos atsparumo lygį;

(47)

šiuo reglamentu, paremtu atitinkama kibernetinės rizikos valdymo tarptautine, nacionaline ir sektoriaus geriausia praktika, gairėmis, rekomendacijomis ar metodais, skatinama vadovautis principų, padedančių sukurti bendrą IRT rizikos valdymo struktūrą, rinkiniu. Todėl, jei pagrindiniai pajėgumai, kuriuos įdiegia finansų sektoriaus subjektai, atitinka šiame reglamente nustatytų įvairių IRT rizikos valdymo funkcijų (nustatymo, apsaugos ir prevencijos, aptikimo, reagavimo ir veiklos atkūrimo, mokymosi ir tobulėjimo bei komunikacijos) poreikius, finansų sektoriaus subjektai turėtų išlaikyti galimybę naudoti kitokios struktūros ar kategorijos IRT rizikos valdymo modelius;

(48)

kad neatsiliktų nuo kintančios kibernetinių grėsmių aplinkos, finansų sektoriaus subjektai turėtų turėti atnaujinamas IRT sistemas, kurios yra patikimos ir pajėgios ne tik užtikrinti jų paslaugoms reikalingų duomenų tvarkymą, bet ir užtikrinti pakankamą technologinį atsparumą, kad jie galėtų tinkamai tenkinti papildomus tvarkymo poreikius, atsirandančius nepalankiausiomis rinkos sąlygomis arba kitomis nepalankiomis aplinkybėmis;

(49)

siekiant, kad finansų sektoriaus subjektai galėtų operatyviai ir greitai reaguoti į su IRT susijusius incidentus, ypač kibernetinius išpuolius, ribodami žalą ir teikdami pirmenybę veiklos atnaujinimui ir veiklos atkūrimo veiksmams laikydamiesi savo atsarginių kopijų politikos, būtina veiksminga veiklos tęstinumo politika ir veiklos atkūrimo planai. Tačiau toks veiklos atnaujinimas neturėtų kelti jokio pavojaus tinklų ir informacinių sistemų vientisumui ir saugumui arba duomenų prieinamumui, autentiškumui, vientisumui ar konfidencialumui;

(50)

nors šiuo reglamentu finansų sektoriaus subjektams leidžiama lanksčiai nustatyti savo veiklos atkūrimo laiko ir veiklos atkūrimo taško tikslus ir tokiu būdu tokius tikslus nustatyti visapusiškai atsižvelgiant į atitinkamų funkcijų pobūdį ir ypatingą svarbą bei konkrečius veiklos poreikius, nustatant tokius tikslus juo taip pat turėtų būti reikalaujama atlikti galimo bendro poveikio rinkos efektyvumui vertinimą;

(51)

kibernetinių išpuolių vykdytojai paprastai siekia gauti finansinės naudos tiesiogiai išpuolio vykdymo vietoje, todėl finansų sektoriaus subjektai gali patirti reikšmingų pasekmių. Siekiant neleisti, kad IRT sistemos prarastų vientisumą arba taptų neprieinamos ir taip išvengti duomenų saugumo pažeidimų ir žalos fizinei IRT infrastruktūrai, reikėtų gerokai patobulinti ir racionalizuoti finansų sektoriaus subjektų pranešimų apie didelius su IRT susijusius incidentus teikimo tvarką. Pranešimų apie su IRT susijusius incidentus teikimo tvarka turėtų būti suderinta nustatant reikalavimą visiems finansų sektoriaus subjektams teikti pranešimus tiesiogiai savo atitinkamoms kompetentingoms institucijoms. Kai finansų sektoriaus subjektą prižiūri daugiau nei viena nacionalinė kompetentinga institucija, valstybės narės turėtų paskirti vieną bendrą kompetentingą instituciją, kuriai būtų teikiami tokie pranešimai. Kredito įstaigos, klasifikuojamos kaip svarbios pagal Tarybos reglamento (ES) Nr. 1024/2013 (19) 6 straipsnio 4 dalį, turėtų teikti tokius pranešimus nacionalinėms kompetentingoms institucijoms, kurios vėliau turėtų perduoti tuos pranešimus Europos Centriniam Bankui (ECB);

(52)

tiesioginis pranešimų teikimas suteiktų galimybę finansų priežiūros institucijoms nedelsiant susipažinti su informacija apie didelius su IRT susijusius incidentus. Finansų priežiūros institucijos savo ruožtu turėtų perduoti informaciją apie didelius su IRT susijusius incidentus ne finansų valdžios institucijoms (pavyzdžiui, kompetentingoms institucijoms ir bendriesiems informaciniams centrams, paskirtiems pagal Direktyvą (ES) 2022/2555, bendriesiems informaciniams centrams, nacionalinėms duomenų apsaugos institucijoms ir teisėsaugos institucijoms didelių su IRT susijusių nusikalstamo pobūdžio incidentų atveju), siekiant padidinti tokių institucijų informuotumą apie tokius incidentus, o CSIRT atveju – sudaryti palankesnes sąlygas skubiai teikti pagalbą, kuri prireikus gali būti teikiama finansų sektoriaus subjektams. Be to, valstybės narės turėtų galėti nuspręsti, kad finansų sektoriaus subjektai patys turėtų teikti tokią informaciją valdžios institucijoms, nepriklausančioms finansinių paslaugų sričiai. Tie informacijos srautai turėtų sudaryti sąlygas finansų sektoriaus subjektams greitai pasinaudoti bet kokia atitinkama technine informacija, konsultacijomis dėl taisomųjų priemonių ir tolesniais tokių institucijų veiksmais. Informacija apie didelius su IRT susijusius incidentus turėtų būti perduodama abipusiai: finansų priežiūros institucijos turėtų teikti visą būtiną grįžtamąją informaciją arba rekomendacijas finansų sektoriaus subjektui, o EPI turėtų dalytis su incidentu susijusiais anoniminiais duomenimis apie kibernetines grėsmes ir pažeidžiamumus, kad prisidėtų prie platesnio masto kolektyvinės apsaugos;

(53)

nors turėtų būti reikalaujama, kad visi finansų sektoriaus subjektai teiktų pranešimus apie incidentus, nesitikima, kad tas reikalavimas jiems visiems turės tokį patį poveikį. Iš tiesų atitinkamos reikšmingumo ribos ir pranešimų teikimo terminai turėtų būti tinkamai pakoreguoti deleguotuosiuose aktuose, grindžiamuose techniniais reguliavimo standartais, kuriuos turi parengti EPI, kad jie būtų taikomi tik dideliems su IRT susijusiems incidentams. Be to, nustatant pareigos pranešti terminus reikėtų atsižvelgti į finansų sektoriaus subjektų ypatumus;

(54)

šiuo reglamentu turėtų būti reikalaujama, kad kredito įstaigos, mokėjimo įstaigos, informavimo apie sąskaitas paslaugų teikėjai ir elektroninių pinigų įstaigos praneštų apie visus su mokėjimu susijusius operacinius ar saugumo incidentus, apie kuriuos anksčiau buvo pranešama pagal Direktyvą (ES) 2015/2366, nepriklausomai nuo incidento IRT pobūdžio;

(55)

EPI turėtų būti pavesta įvertinti galimo pranešimų apie su IRT susijusius incidentus teikimo centralizavimo Sąjungos lygmeniu galimybę ir sąlygas. Tokį centralizavimą galėtų sudaryti vienas bendras pranešimų apie su IRT susijusius incidentus teikimo ES centras, kuris arba tiesiogiai gautų atitinkamus pranešimus ir automatiškai informuotų nacionalines kompetentingas institucijas, arba tiesiog centralizuotų nacionalinių kompetentingų institucijų perduodamus atitinkamus pranešimus ir taip atliktų koordinavimo vaidmenį. EPI turėtų būti pavesta, konsultuojantis su ECB ir ENISA, parengti bendrą ataskaitą, kurioje būtų nagrinėjama galimybė įsteigti vieną bendrą ES centrą;

(56)

siekiant užtikrinti aukštą skaitmeninės veiklos atsparumo lygį ir laikantis tiek atitinkamų tarptautinių standartų (pvz., G7 pagrindinių grėsmėmis grindžiamo skverbimosi testavimo elementų), tiek Sąjungoje taikomų sistemų, pavyzdžiui TIBER-ES, finansų sektoriaus subjektai turėtų reguliariai testuoti savo IRT sistemų ir darbuotojų, turinčių su IRT susijusių pareigų, prevencinių, aptikimo, reagavimo ir veiklos atkūrimo pajėgumų veiksmingumą, kad atskleistų ir pašalintų galimus IRT pažeidžiamumus. Siekiant atsižvelgti į finansų sektoriaus subjektų kibernetinio saugumo parengties lygio skirtumus įvairiuose finansų subsektoriuose ir tarp jų, testavimas turėtų apimti įvairias priemones ir veiksmus, pradedant pagrindinių reikalavimų vertinimu (pvz., pažeidžiamumo vertinimu ir skenavimu, atvirojo kodo analize, tinklo saugumo vertinimu, spragų analize, fizinio saugumo peržiūromis, klausimynais ir skenavimo programinės įrangos sprendimais, kai įmanoma – pirminio kodo peržiūromis, scenarijais grindžiamais testais, suderinamumo testavimu, veiklos efektyvumo testavimu ar visapusiu testavimu) ir baigiant pažangesniu testavimu taikant TLPT. Tokio pažangesnio testavimo turėtų būti reikalaujama tik iš tų finansų sektoriaus subjektų, kurie IRT požiūriu yra pakankamai brandūs, kad galėtų juos tinkamai atlikti. Taigi finansų sektoriaus subjektams (pavyzdžiui, didelėms, sisteminės svarbos ir IRT požiūriu brandžioms kredito įstaigoms, vertybinių popierių biržoms, centriniams vertybinių popierių depozitoriumams ir pagrindinėms sandorio šalims), atitinkantiems šiame reglamente nustatytus kriterijus, šiuo reglamentu nustatyti skaitmeninės veiklos atsparumo testavimo reikalavimai turėtų būti griežtesni nei kitiems finansų sektoriaus subjektams. Kartu toks skaitmeninės veiklos atsparumo testavimas taikant TLPT turėtų būti aktualesnis pagrindinių finansinių paslaugų subsektoriuose veikiantiems ir sisteminį vaidmenį (pavyzdžiui, mokėjimų, bankininkystės ir tarpuskaitos bei atsiskaitymo) atliekantiems finansų sektoriaus subjektams, ir mažiau aktualus kitiems subsektoriams (pavyzdžiui, turto valdytojams ir kredito reitingų agentūroms).

(57)

Finansų sektoriaus subjektai, dalyvaujantys tarpvalstybinėje veikloje ir besinaudojantys įsisteigimo laisve arba paslaugų teikimo laisve Sąjungoje, savo buveinės valstybėje narėje turėtų laikytis vieno pažangaus testavimo (t. y. TLPT testavimo) reikalavimų rinkinio, kuris turėtų apimti IRT infrastruktūras visuose jurisdikciją turinčiuose subjektuose, kuriuose tarpvalstybinė finansų grupė vykdo veiklą Sąjungoje, taip sudarant sąlygas tokioms tarpvalstybinėms finansų grupėms patirti susijusias IRT testavimo išlaidas tik viename jurisdikciją turinčiame subjekte;

(58)

siekiant pasinaudoti tam tikrų kompetentingų institucijų jau įgyta patirtimi, visų pirma susijusia su TIBER-ES sistemos įgyvendinimu, šiuo reglamentu valstybėms narėms turėtų būti leidžiama nacionaliniu lygmeniu paskirti vieną bendrą valdžios instituciją, finansų sektoriuje atsakingą už visus TLPT klausimus, arba kompetentingas institucijas, kurios, jei tokios paskirtos institucijos nėra, perduotų su TLPT susijusias užduotis kitai nacionalinei finansų srities kompetentingai institucijai;

(59)

kadangi pagal šį reglamentą nereikalaujama, kad finansų sektoriaus subjektai, atlikdami vieną grėsmėmis grindžiamą skverbimosi testą, aprėptų visas ypatingos svarbos arba svarbias funkcijas, finansų sektoriaus subjektai turėtų galėti laisvai nuspręsti, kurios ypatingos svarbos arba svarbios funkcijos ir kiek jų turėtų būti įtraukta į tokio testo aprėptį;

(60)

bendras testavimas, kaip apibrėžta šiame reglamente, kai TLPT veikloje dalyvauja keli finansų sektoriaus subjektai ir dėl kurio IRT paslaugas teikianti trečioji šalis gali tiesiogiai sudaryti sutartimi įformintus susitarimus su išorės testuotoju, turėtų būti leidžiamas tik tuo atveju, jei pagrįstai manoma, kad IRT paslaugas teikiančios trečiosios šalies teikiamų paslaugų klientams, kurie yra subjektai, kuriems šis reglamentas netaikomas, kokybei ar saugumui arba su tokiomis paslaugomis susijusių duomenų konfidencialumui bus padarytas neigiamas poveikis. Bendram testavimui taip pat turėtų būti taikomos apsaugos priemonės (vieno paskirto finansų sektoriaus subjekto vadovavimas, dalyvaujančių finansų sektoriaus subjektų skaičiaus kalibravimas), siekiant užtikrinti griežtą testavimą dalyvaujantiems finansų sektoriaus subjektams, atitinkantį TLPT tikslus pagal šį reglamentą;

(61)

siekiant pasinaudoti įmonės lygmeniu turimais vidaus ištekliais, šiuo reglamentu TLPT atlikti turėtų būti leidžiama pasitelkti vidaus testuotojus, jei gaunamas priežiūros institucijos patvirtinimas, nėra interesų konfliktų ir periodiškai vykdomas pasitelkiant vidaus ir išorės testuotojus (kas trečią testą), kartu taip pat reikalaujant, kad TLPT žvalgybos informacijos apie grėsmes teikėjas finansų sektoriaus subjekto atžvilgiu visada būtų išorės subjektas. Visa atsakomybė už TLPT vykdymą turėtų tekti finansų sektoriaus subjektui. Institucijų liudijimai turėtų būti teikiami tik abipusio pripažinimo tikslu ir neturėtų trukdyti imtis tolesnių veiksmų, kurių reikia siekiant mažinti finansų sektoriaus subjektui kylančią IRT riziką, taip pat jie neturėtų būti laikomi finansų sektoriaus subjekto IRT rizikos valdymo ir mažinimo pajėgumų priežiūros patvirtinimu;

(62)

siekiant užtikrinti patikimą trečiosios šalies keliamos IRT rizikos stebėseną finansų sektoriuje, būtina nustatyti rinkinį principais grindžiamų taisyklių, kuriomis finansų sektoriaus subjektai galėtų vadovautis stebėdami riziką, kylančią dėl funkcijų, kurių vykdymas perduotas IRT paslaugas teikiančioms trečiosioms šalims, visų pirma ypatingos svarbos arba svarbias funkcijas palaikančių IRT paslaugų, atveju, taip pat apskritai dėl visos priklausomybės nuo IRT paslaugas teikiančių trečiųjų šalių;

(63)

siekiant spręsti įvairių IRT rizikos šaltinių sudėtingumo klausimą, kartu atsižvelgiant į technologinių sprendimų, kuriais sudaromos sąlygos sklandžiai teikti finansines paslaugas, teikėjų gausą ir įvairovę, šis reglamentas turėtų būti taikomas įvairioms IRT paslaugas teikiančioms trečiosioms šalims, įskaitant debesijos paslaugų, programinės įrangos, duomenų analizės paslaugų teikėjus ir duomenų centrų paslaugų teikėjus. Be to, kadangi finansų sektoriaus subjektai turėtų veiksmingai ir nuosekliai nustatyti ir valdyti visų rūšių riziką, be kita ko, kai IRT paslaugos perkamos finansų grupėje, reikėtų paaiškinti, kad finansų grupei priklausančios įmonės, teikiančios IRT paslaugas daugiausia savo patronuojančiajai įmonei arba savo patronuojančiosios įmonės patronuojamosioms įmonėms ar filialams, taip pat finansų sektoriaus subjektai, teikiantys IRT paslaugas kitiems finansų sektoriaus subjektams, pagal šį reglamentą taip pat turėtų būti laikomi IRT paslaugas teikiančiomis trečiosiomis šalimis. Galiausiai, atsižvelgiant į besivystančią mokėjimo paslaugų rinką, kuri tampa vis labiau priklausoma nuo sudėtingų techninių sprendimų, ir atsižvelgiant į atsirandančias mokėjimo paslaugų ir su mokėjimais susijusių sprendimų rūšis, mokėjimo paslaugų ekosistemos dalyviai, užsiimantys mokėjimų vykdymo veikla arba valdantys mokėjimo infrastruktūras, pagal šį reglamentą taip pat turėtų būti laikomi IRT paslaugas teikiančiomis trečiosiomis šalimis, išskyrus centrinius bankus, kai jie valdo mokėjimų ar vertybinių popierių atsiskaitymų sistemas, ir valdžios institucijas, kai jos teikia su IRT susijusias paslaugas valstybės funkcijų atlikimo kontekste;

(64)

finansų sektoriaus subjektas visada turėtų išlikti visiškai atsakingas už šiame reglamente nustatytų jo pareigų vykdymą. Finansų sektoriaus subjektai turėtų taikyti proporcingą požiūrį į rizikos, kylančios IRT paslaugas teikiančių trečiųjų šalių lygmeniu, stebėseną, tinkamai atsižvelgiant į jų su IRT susijusios priklausomybės pobūdį, mastą, sudėtingumą ir svarbumą, paslaugų, procesų ar funkcijų, kurioms taikomi sutartimi įforminti susitarimai, ypatingą svarbą ar svarbumą ir galiausiai atidžiai įvertinus bet kokį galimą poveikį finansinių paslaugų tęstinumui ir kokybei atitinkamai individualiu ir grupės lygmeniu;

(65)

vykdant tokią stebėseną turėtų būti laikomasi strateginio požiūrio į trečiosios šalies keliamą IRT riziką, įformintą finansų sektoriaus subjekto valdymo organui priėmus specialią strategiją dėl trečiosios šalies keliamos IRT rizikos, grindžiamą nuolatine visos priklausomybės nuo IRT paslaugas teikiančių trečiųjų šalių patikra. Siekiant didinti priežiūros institucijų informuotumą apie priklausomybę nuo IRT paslaugas teikiančių trečiųjų šalių ir dar labiau prisidėti prie darbo šiuo reglamentu nustatytos priežiūros sistemos kontekste, turėtų būti reikalaujama, kad visi finansų sektoriaus subjektai tvarkytų informacijos apie visus sutartimi įformintus susitarimus dėl IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų naudojimo registrą. Finansų priežiūros institucijos turėtų galėti prašyti viso registro arba konkrečių jo dalių ir taip gauti esminės informacijos, kad galėtų geriau suprasti finansų sektoriaus subjektų priklausomybę nuo IRT;

(66)

sutartimi įforminti susitarimai turėtų būti oficialiai sudaromi tik atlikus išsamią ikisutartinę analizę, visų pirma daugiausia dėmesio skiriant tokiems elementams, kaip numatoma IRT sutartimi palaikomų paslaugų ypatinga svarba ar svarbumas, būtini priežiūros institucijų patvirtinimai ar kitos sąlygos, galimai kylanti koncentracijos rizika, taip pat išsamaus patikrinimo taikymas atrenkant ir vertinant IRT paslaugas teikiančias trečiąsias šalis ir vertinant galimus interesų konfliktus. Su ypatingos svarbos arba svarbiomis funkcijomis susijusių sutartimi įformintų susitarimų atveju finansų sektoriaus subjektai turėtų atsižvelgti į tai, ar IRT paslaugas teikiančios trečiosios šalys taiko naujausius ir aukščiausius informacijos saugumo standartus. Sutartimi įformintų susitarimų nutraukimą galėtų lemti bent keletas aplinkybių, iš kurių būtų matyti trūkumai IRT paslaugas teikiančios trečiosios šalies lygmeniu, visų pirma reikšmingi teisės aktų ar sutartinių sąlygų pažeidimai, aplinkybės, kurios atskleidžia galimą sutartimi įformintuose susitarimuose numatytų funkcijų vykdymo pasikeitimą, IRT paslaugas teikiančios trečiosios šalies trūkumų, susijusių su jos bendru IRT rizikos valdymu, įrodymai arba aplinkybės, rodančios, kad atitinkama kompetentinga institucija negali veiksmingai prižiūrėti finansų sektoriaus subjekto;

(67)

siekiant spręsti IRT paslaugas teikiančių trečiųjų šalių koncentracijos rizikos sisteminio poveikio problemą, šiuo reglamentu skatinamas subalansuotas sprendimas, laikantis lankstaus ir laipsniško požiūrio į tokią koncentracijos riziką, nes bet kokių griežtų viršutinių ribų arba griežtų apribojimų nustatymas galėtų trukdyti vykdyti verslą ir varžyti laisvę sudaryti sutartis. Finansų sektoriaus subjektai turėtų nuodugniai įvertinti savo numatytus sutartimi įformintus susitarimus, kad nustatytų tokios rizikos atsiradimo tikimybę, be kita ko, atlikdami išsamią subrangos susitarimų analizę, visų pirma, kai jie sudaromi su trečiojoje valstybėje įsisteigusiomis IRT paslaugas teikiančiomis trečiosiomis šalimis. Šiame etape ir siekiant užtikrinti tinkamą pusiausvyrą tarp būtinybės išsaugoti laisvę sudaryti sutartis ir užtikrinti finansinį stabilumą, manoma, kad nustatyti taisykles dėl griežtų IRT paslaugas teikiančių trečiųjų šalių rizikos pozicijų viršutinių ribų ir apribojimų yra netikslinga. Priežiūros sistemos kontekste pagal šį reglamentą paskirta Atsakingoji priežiūros institucija ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių atžvilgiu turėtų skirti ypatingą dėmesį tam, kad visapusiškai perprastų tarpusavio priklausomybės mastą, nustatytų konkrečius atvejus, kai didelė ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių koncentracija Sąjungoje gali kelti grėsmę Sąjungos finansų sistemos stabilumui ir vientisumui ir palaikyti dialogą su ypatingos svarbos IRT paslaugas teikiančiomis trečiosiomis šalimis, kai tokia speciali rizika nustatoma;

(68)

siekiant reguliariai vertinti ir stebėti IRT paslaugas teikiančios trečiosios šalies gebėjimą saugiai teikti paslaugas finansų sektoriaus subjektui nedarant neigiamo poveikio finansų sektoriaus subjekto skaitmeninės veiklos atsparumui, su IRT paslaugas teikiančiomis trečiosiomis šalimis reikėtų suderinti keletą pagrindinių sutartinių elementų. Toks derinimas turėtų apimti būtiniausias sritis, kurios yra ypač svarbios sudarant sąlygas finansų sektoriaus subjektui vykdyti visapusišką rizikos, kurią galėtų kelti IRT paslaugas teikianti trečioji šalis, stebėseną, atsižvelgiant į finansų sektoriaus subjekto poreikį užtikrinti savo skaitmeninį atsparumą, kadangi jis yra labai priklausomas nuo gautų IRT paslaugų stabilumo, funkcinių galimybių, prieinamumo ir saugumo;

(69)

iš naujo derėdamiesi dėl sutartimi įformintų susitarimų, kad jie būtų suderinti su šio reglamento reikalavimais, finansų sektoriaus subjektai ir IRT paslaugas teikiančios trečiosios šalys turėtų užtikrinti, kad būtų taikomos šiame reglamente numatytos pagrindinės sutartinės nuostatos;

(70)

šiame reglamente vartojamas terminas „ypatingos svarbos arba svarbi funkcija“ apima „ypatingos svarbos funkcijas“, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos 2014/59/ES (20) 2 straipsnio 1 dalies 35 punkte. Ypatingos svarbos funkcijų, kaip tai suprantama šiame reglamente, apibrėžtis atitinkamai apima funkcijas, kurios pagal Direktyvą 2014/59/ES laikomos esant ypatingos svarbos;

(71)

nepaisant IRT paslaugomis palaikomos funkcijos ypatingos svarbos arba svarbumo, sutartimi įformintuose susitarimuose visų pirma turėtų būti nurodyti išsamūs funkcijų ir paslaugų, vietų, kuriose vykdomos tokios funkcijos ir kuriuose turi būti tvarkomi duomenys, aprašymai, taip pat nurodomi paslaugų lygio aprašymai. Kiti esminiai elementai, kuriais finansų sektoriaus subjektui sudaromos galimybės stebėti su IRT paslaugas teikiančia trečiąja šalimi susijusią riziką, yra: sutartinės nuostatos, kuriomis apibrėžiama, kaip IRT paslaugas teikianti trečioji šalis užtikrina asmens duomenų pasiekiamumą, prieinamumą, vientisumą, saugumą ir apsaugą; nuostatos, kuriose išdėstomos atitinkamos garantijos, kad būtų galima prieiti prie duomenų, juos atkurti ir grąžinti IRT paslaugas teikiančios trečiosios šalies nemokumo, pertvarkymo ar veiklos operacijų nutraukimo atveju; nuostatos, kuriomis reikalaujama, kad IRT incidentų, susijusių su suteiktomis paslaugomis, atveju IRT paslaugas teikianti trečioji šalis teiktų pagalbą be papildomo mokesčio arba už iš anksto nustatytą mokestį; nuostatos dėl IRT paslaugas teikiančios trečiosios šalies pareigos visapusiškai bendradarbiauti su finansų sektoriaus subjekto kompetentingomis institucijomis ir pertvarkymo institucijomis ir nuostatos dėl sutarties nutraukimo teisių ir susijusių minimalus įspėjimo apie sutartimi įformintų susitarimų nutraukimą terminų, atsižvelgiant į kompetentingų institucijų ir pertvarkymo institucijų lūkesčius;

(72)

be tokių sutartinių nuostatų ir siekiant užtikrinti, kad finansų sektoriaus subjektai ir toliau visapusiškai kontroliuotų visus pokyčius, vykstančius trečiųjų šalių lygmeniu, kurie gali pakenkti jų IRT saugumui, sutartyse dėl IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, teikimo taip pat turėtų būti numatyta: išsamių paslaugų lygio aprašymų nurodymas, nurodant tikslius kiekybinius ir kokybinius veiklos rezultatų tikslinius rodiklius, kad būtų galima nepagrįstai nedelsiant imtis tinkamų taisomųjų veiksmų, kai sutarti paslaugų lygiai neužtikrinami; IRT paslaugas teikiančios trečiosios šalies atitinkami įspėjimo terminai ir pareigos pranešti, taikomi įvykus pokyčiams, kurie gali turėti reikšmingos įtakos IRT paslaugas teikiančios trečiosios šalies gebėjimui veiksmingai teikti savo atitinkamas IRT paslaugas; reikalavimas IRT paslaugas teikiančiai trečiajai šaliai įgyvendinti ir išbandyti nenumatytų veiklos atvejų planus ir taikyti IRT saugumo priemones ir politiką, sudarančias sąlygas saugiai teikti paslaugas, taip pat dalyvauti ir visapusiškai bendradarbiauti finansų sektoriaus subjektui atliekant TLPT;

(73)

sutartyse dėl IRT paslaugų teikimo, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, taip pat turėtų būti nuostatos, kuriomis sudaromos sąlygos finansų sektoriaus subjekto arba paskirtos trečiosios šalies prieigos, patikrinimo ir audito teises, taip pat teisę daryti kopijas, laikyti ypač svarbiomis finansų sektoriaus subjektų nuolatinės IRT paslaugas teikiančios trečiosios šalies veiklos efektyvumo stebėsenos priemonėmis, kurios derinamos su visapusišku paslaugų teikėjo bendradarbiavimu atliekant patikrinimus. Analogiškai finansų sektoriaus subjekto kompetentinga institucija turėtų turėti teisę, pateikusi įspėjimą ir laikydamasi konfidencialios informacijos apsaugos principo, patikrinti ir audituoti IRT paslaugas teikiančią trečiąją šalį;

(74)

tokiuose sutartimi įformintuose susitarimuose taip pat turėtų būti numatytos specialios pasitraukimo strategijos, pagal kurias visų pirma būtų galima nustatyti privalomus pereinamuosius laikotarpius, per kuriuos IRT paslaugas teikiančios trečiosios šalys turėtų toliau teikti atitinkamas paslaugas, kad sumažintų sutrikimų riziką finansų sektoriaus subjekto lygmeniu, ar leisti pastarajam veiksmingai pereiti prie kitų IRT paslaugas teikiančių trečiųjų šalių naudojimo arba pasinaudoti vietoje taikomais sprendimais, atitinkančiais teikiamos IRT paslaugos sudėtingumą. Be to, finansų sektoriaus subjektai, kuriems taikoma Direktyva 2014/59/ES, turėtų užtikrinti, kad atitinkamos sutartys dėl IRT paslaugų būtų patikimos ir visapusiškai užtikrinamas jų vykdymas tų finansų sektoriaus subjektų pertvarkymo atveju. Todėl, atsižvelgdami į pertvarkymo institucijų lūkesčius, tie finansų sektoriaus subjektai turėtų užtikrinti, kad atitinkamos sutartys dėl IRT paslaugų būtų atsparios pertvarkymui. Tol, kol tie finansų sektoriaus subjektai toliau vykdo savo mokėjimo prievoles, jie, be kitų reikalavimų, turėtų užtikrinti, kad atitinkamose sutartyse dėl IRT paslaugų būtų numatytos sąlygos nenutraukti, nesustabdyti ir nekeisti sutarties dėl restruktūrizavimo ar pertvarkymo priežasčių;

(75)

be to, savanoriškas valdžios institucijų arba Sąjungos institucijų parengtų standartinių sutarčių sąlygų, visų pirma, Komisijos parengtų standartinių sutarčių sąlygų naudojimas debesijos paslaugoms gali suteikti daugiau pasitikėjimo finansų sektoriaus subjektams ir IRT paslaugas teikiančioms trečiosioms šalims, nes būtų suteikta daugiau teisinio tikrumo dėl finansų sektoriuje naudojamų debesijos paslaugų, visapusiškai atsižvelgiant į Sąjungos finansinių paslaugų teisės aktais nustatytus reikalavimus ir lūkesčius. Standartinių sutarčių sąlygų rengimas grindžiamas priemonėmis, jau numatytomis 2018 m. „Fintech“ srities veiksmų plane, kuriuo Komisija paskelbė apie ketinimą skatinti ir palengvinti standartinių sutarčių sąlygų dėl finansų sektoriaus subjektų debesijos paslaugų veiklos rangos parengimą, remiantis tarpsektorinių debesijos paslaugų suinteresuotųjų subjektų indėliu, kurį Komisija užtikrino bendradarbiaudama su finansų sektoriumi;

(76)

siekiant skatinti priežiūros metodų, taikomų sprendžiant trečiosios šalies keliamos IRT rizikos finansų sektoriuje problemą, konvergenciją ir veiksmingumą, taip pat stiprinti finansų sektoriaus subjektų, kurie IRT paslaugoms, kuriomis remiamas paslaugų teikimas, teikti pasitelkia ypatingos svarbos IRT paslaugas teikiančias trečiąsias šalis, skaitmeninės veiklos atsparumą ir taip prisidėti prie Sąjungos finansų sistemos stabilumo ir bendrosios finansinių paslaugų rinkos vientisumo išsaugojimo, ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims turėtų būti taikoma Sąjungos priežiūros sistema. Nors priežiūros sistemos sukūrimas yra pagrįstas veiksmų Sąjungos lygmeniu pridėtine verte ir atsižvelgiant į tai, kad teikiant finansines paslaugas naudojamos IRT paslaugos ir į pastarųjų ypatumus, kartu reikėtų priminti, kad šis sprendimas atrodo tinkamas tik šio reglamento, konkrečiai susijusio su skaitmeninės veiklos atsparumu finansų sektoriuje, kontekste. Tačiau tokia priežiūros sistema neturėtų būti laikoma nauju Sąjungos priežiūros modeliu finansinių paslaugų ir veiklos srityse;

(77)

priežiūros sistema turėtų būti taikoma tik ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims. Todėl turėtų būti nustatytas pripažinimo mechanizmas, kurį taikant būtų atsižvelgiama į finansų sektoriaus priklausomybės nuo tokių IRT paslaugas teikiančių trečiųjų šalių mastą ir pobūdį. Tas mechanizmas turėtų apimti kiekybinius ir kokybinius kriterijus, pagal kuriuos būtų nustatomi ypatingos svarbos parametrai, kuriais remiantis būtų galima juos įtraukti į priežiūros sistemą. Siekiant užtikrinti to vertinimo tikslumą ir neatsižvelgiant į IRT paslaugas teikiančios trečiosios šalies organizacinę struktūrą, nustatant tokius kriterijus, kai IRT paslaugas teikianti trečioji šalis priklauso platesnei grupei, turėtų būti atsižvelgiama į visą IRT paslaugas teikiančios trečiosios šalies grupės struktūrą. Viena vertus, ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys, kurios nėra automatiškai pripažįstamos taikant pirmiau minėtus kriterijus, turėtų turėti galimybę savanoriškai dalyvauti priežiūros sistemoje, o, kita vertus, IRT paslaugas teikiančioms trečiosioms šalims, kurioms jau taikomos priežiūros mechanizmų sistemos, kuriomis siekiama padėti vykdyti SESV 127 straipsnio 2 dalyje nurodytus Europos centrinių bankų sistemos uždavinius, turėtų būti taikoma išimtis;

(78)

analogiškai, finansų sektoriaus subjektams, teikiantiems IRT paslaugas kitiems finansų sektoriaus subjektams ir priklausantiems IRT paslaugas teikiančių trečiųjų šalių kategorijai pagal šį reglamentą, priežiūros sistema taip pat neturėtų būti taikoma, nes jiems jau taikomi priežiūros mechanizmai, nustatyti atitinkamuose Sąjungos finansinių paslaugų teisės aktuose. Kai taikytina, kompetentingos institucijos, vykdydamos priežiūros veiklą, turėtų atsižvelgti į IRT paslaugas teikiančių finansų sektoriaus subjektų keliamą IRT riziką finansų sektoriaus subjektams. Be to, atsižvelgiant į esamus rizikos stebėsenos mechanizmus grupės lygmeniu, ta pati išimtis turėtų būti nustatyta IRT paslaugas teikiančioms trečiosioms šalims, teikiančioms paslaugas daugiausia savo grupės subjektams. IRT paslaugas teikiančioms trečiosioms šalims, IRT paslaugas teikiančioms tik vienoje valstybėje narėje finansų sektoriaus subjektams, veikiantiems tik toje valstybėje narėje, pripažinimo mechanizmas taip pat neturėtų būti taikomas dėl jų ribotos veiklos ir tarpvalstybinio poveikio nedarymo;

(79)

skaitmeninė transformacija finansinių paslaugų srityje lėmė precedento neturintį IRT paslaugų naudojimo ir priklausomybės nuo jų lygį. Kadangi tapo neįmanoma teikti finansinių paslaugų nenaudojant debesijos kompiuterijos paslaugų, programinės įrangos sprendimų ir su duomenimis susijusių paslaugų, Sąjungos finansų ekosistema tapo neatsiejamai priklausoma ir nuo tam tikrų IRT paslaugų teikėjų teikiamų IRT paslaugų. Kai kurie iš tų paslaugų teikėjų, novatorių kuriant ir taikant IRT grindžiamas technologijas, atlieka svarbų vaidmenį teikiant finansines paslaugas arba yra integruoti į finansinių paslaugų vertės grandinę. Todėl jie tapo ypatingos svarbos Sąjungos finansų sistemos stabilumui ir vientisumui užtikrinti. Tokia plačiai paplitusi priklausomybė nuo ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių teikiamų paslaugų ir įvairių rinkos dalyvių informacinių sistemų tarpusavio priklausomybė kelia tiesioginę ir potencialiai didelę riziką Sąjungos finansinių paslaugų sistemai ir finansinių paslaugų teikimo tęstinumui, jei ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys turėtų veiklos sutrikimų arba patirtų didelius kibernetinius incidentus. Kibernetiniai incidentai turi išskirtinį gebėjimą daugėti ir plisti visoje finansų sistemoje gerokai greičiau nei kitų rūšių rizika, stebima finansų sektoriuje, ir jie gali apimti ir kitus sektorius ir peržengti geografines ribas. Jie gali virsti sistemine krize, kai pasitikėjimas finansų sistema sumažėja dėl funkcijų, kuriomis palaikoma realioji ekonomika, sutrikdymo arba didelių finansinių nuostolių, kurie yra pasiekę tokį lygį, kurio finansų sistema negali atlaikyti, arba kai reikia diegti griežtas sukrėtimų absorbavimo priemones. Siekiant užkirsti kelią šiems scenarijams, kurie keltų pavojų Sąjungos finansiniam stabilumui ir vientisumui, labai svarbu užtikrinti priežiūros praktikos, susijusios su trečiosios šalies keliama IRT rizika finansų srityje, konvergenciją, visų pirma nustatant naujas taisykles, kuriomis būtų sudarytos sąlygos Sąjungai vykdyti ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių priežiūrą;

(80)

priežiūros sistema iš esmės priklauso nuo Atsakingosios priežiūros institucijos ir ypatingos svarbos IRT paslaugas teikiančios trečiosios šalies, teikiančios finansų sektoriaus subjektams paslaugas, darančias poveikį finansinių paslaugų teikimui, bendradarbiavimo. Sėkminga priežiūra grindžiama, inter alia, Atsakingosios priežiūros institucijos gebėjimu veiksmingai vykdyti stebėsenos misijas ir atlikti patikrinimus siekiant įvertinti ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių taikomas taisykles, kontrolės priemones ir procesus, taip pat įvertinti galimą bendrą jų veiklos poveikį finansiniam stabilumui ir finansų sistemos vientisumui. Taip pat labai svarbu, kad ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys vadovautųsi Atsakingosios priežiūros institucijos rekomendacijomis ir spręstų jai susirūpinimą keliančius klausimus. Nebendradarbiaujant ypatingos svarbos IRT paslaugas teikiančiajai trečiajai šaliai, teikiančiai paslaugas, darančias poveikį finansinių paslaugų teikimui, pavyzdžiui, atsisakant suteikti galimybę patekti į jos patalpas arba pateikti informaciją, Atsakingoji priežiūros institucija galiausiai netektų savo esminių priemonių vertinant trečiųjų šalių keliamą IRT riziką ir tai galėtų neigiamai paveikti finansų sistemos finansinį stabilumą ir vientisumą, taip pat būtina numatyti atitinkamą sankcijų taikymo tvarką;

(81)

atsižvelgiant į tai, Atsakingosios priežiūros institucijos poreikiui skirti baudas, kad ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys būtų priverstos laikytis šiame reglamente nustatytų skaidrumo ir su prieiga susijusių pareigų, neturėtų būti keliamas pavojus dėl sunkumų, kylančių dėl tų baudų vykdymo užtikrinimo trečiosiose valstybėse įsisteigusių ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių atžvilgiu. Siekiant užtikrinti tokių sankcijų vykdymą ir sudaryti sąlygas greitai įdiegti procedūras, kuriomis užtikrinamos ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių teisės į gynybą pripažinimo mechanizmo ir rekomendacijų teikimo kontekste, turėtų būti reikalaujama, kad tos ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys, teikiančios finansų sektoriaus subjektams paslaugas, darančias poveikį finansinių paslaugų teikimui, toliau vykdytų tinkamo masto veiklą Sąjungoje. Dėl priežiūros pobūdžio ir dėl to, kad kitose jurisdikcijose nėra panašių susitarimų, nėra tinkamų alternatyvių mechanizmų, kuriais būtų užtikrintas šis tikslas veiksmingai bendradarbiaujant su trečiųjų valstybių finansų priežiūros institucijomis, kiek tai susiję su sisteminių IRT paslaugas teikiančių trečiųjų šalių, kurios gali būti laikomos trečiosiose valstybėse įsisteigusiomis ypatingos svarbos IRT paslaugas teikiančiomis trečiosiomis šalimis, keliamos skaitmeninės veiklos rizikos poveikio stebėsena. Todėl trečiojoje valstybėje įsisteigusi IRT paslaugas teikianti trečioji šalis, kuri pagal šį reglamentą pripažinta esanti ypatingos svarbos, siekdama toliau teikti IRT paslaugas finansų srities subjektams Sąjungoje, per 12 mėnesių po tokio pripažinimo turėtų imtis visų reikiamų priemonių užtikrinti, kad ji įsisteigtų Sąjungoje, įsteigdama patronuojamąją įmonę, kaip apibrėžta įvairiuose Sąjungos teisės aktuose, visų pirma Europos Parlamento ir Tarybos direktyvoje 2013/34/ES (21);

(82)

reikalavimas įsteigti patronuojamąją įmonę Sąjungoje neturėtų trukdyti ypatingos svarbos IRT paslaugas teikiančiai trečiajai šaliai teikti IRT paslaugas ir susijusią techninę paramą pasitelkiant už Sąjungos ribų esančius įrenginius ir infrastruktūrą. Šiuo reglamentu nenustatoma duomenų vietos nustatymo pareiga, kadangi nereikalaujama, kad duomenys būtų saugomi ar tvarkomi Sąjungoje;

(83)

ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys turėtų turėti galimybę teikti IRT paslaugas iš bet kurios pasaulio vietos, taigi nebūtinai ar ne tik Sąjungoje esančiose patalpose. Priežiūros veikla pirmiausia turėtų būti vykdoma Sąjungoje esančiose patalpose ir bendraujant su Sąjungoje esančiais subjektais, įskaitant patronuojamąsias įmones, kurias pagal šį reglamentą įsteigė ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys. Tačiau tokių veiksmų Sąjungoje gali nepakakti, kad Atsakingoji priežiūros institucija galėtų visapusiškai ir veiksmingai vykdyti savo pareigas pagal šį reglamentą. Todėl Atsakingoji priežiūros institucija taip pat turėtų galėti vykdyti savo atitinkamus priežiūros įgaliojimus trečiosiose valstybėse. Naudodamasi tais įgaliojimais trečiosiose valstybėse Atsakingoji priežiūros institucija turėtų galėti patikrinti įrenginius, pasitelkiant kuriuos IRT paslaugas arba techninės paramos paslaugas faktiškai teikia arba valdo ypatingos svarbos IRT paslaugas teikianti trečioji šalis, ir turėtų galėti susidaryti išsamų vaizdą, kaip valdoma ypatingos svarbos IRT paslaugas teikiančios trečiosios šalies IRT rizika. Atsakingosios priežiūros institucijos, kaip Sąjungos agentūros, galimybė naudotis įgaliojimais už Sąjungos teritorijos ribų turėtų būti tinkamai apibrėžta nustatant atitinkamas sąlygas, visų pirma atitinkamos ypatingos svarbos IRT paslaugas teikiančios trečiosios šalies sutikimą. Be to, atitinkamos trečiosios valstybės institucijos turėtų būti informuotos apie Atsakingosios priežiūros institucijos veiklą jų teritorijoje ir jai neprieštarauti. Tačiau siekiant užtikrinti veiksmingą įgyvendinimą ir nedarant poveikio atitinkamai Sąjungos institucijų ir valstybių narių kompetencijai, tokie įgaliojimai taip pat turi būti visapusiškai įtvirtinti sudarant administracinio bendradarbiavimo susitarimus su atitinkamomis atitinkamos trečiosios valstybės institucijomis. Todėl šiuo reglamentu EPI turėtų būti suteikta galimybė sudaryti administracinio bendradarbiavimo susitarimus su atitinkamomis trečiųjų valstybių institucijomis, kurie neturėtų sukurti kitų teisinių pareigų Sąjungai ir jos valstybėms narėms;

(84)

siekdamos palengvinti komunikaciją su Atsakingąja priežiūros institucija ir užtikrinti tinkamą atstovavimą, grupei priklausančios ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys savo koordinavimo punktu turėtų paskirti vieną juridinį asmenį;

(85)

priežiūros sistema neturėtų būti daromas poveikis valstybių narių kompetencijai vykdyti nacionalinę IRT paslaugas teikiančių trečiųjų šalių, kurios nėra pripažintos esančios ypatingos svarbos pagal šį reglamentą, tačiau kurios galėtų būti laikomos svarbiomis nacionaliniu lygmeniu, priežiūrą arba stebėseną;

(86)

siekiant pasinaudoti daugiasluoksne institucine struktūra finansinių paslaugų srityje, EPI jungtinis komitetas pagal savo užduotis kibernetinio saugumo srityje turėtų toliau užtikrinti bendrą tarpsektorinį koordinavimą visais su IRT rizika susijusiais klausimais. Jam turėtų padėti naujas pakomitetis (toliau – Priežiūros forumas), atliksiantis parengiamąjį darbą, susijusį tiek su atskirais sprendimais, skirtais ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims, tiek su kolektyvinių rekomendacijų teikimu, visų pirma dėl ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių priežiūros programų lyginamosios analizės, ir nustatysiantis geriausią praktiką sprendžiant IRT koncentracijos rizikos klausimus;

(87)

siekiant užtikrinti, kad ypatingos svarbos IRT paslaugas teikiančios trečiosios šalys būtų tinkamai ir veiksmingai prižiūrimos Sąjungos lygmeniu, šiame reglamente nustatoma, kad bet kuri iš trijų EPI galėtų būti paskirta Atsakingąja priežiūros institucija. Ypatingos svarbos IRT paslaugas teikianti trečioji šalis vienai iš trijų EPI turėtų būti priskiriama įvertinus finansų sektoriaus subjektų, veikiančių finansų sektoriuose, už kuriuos ta EPI atsakinga, dominavimą. Toks požiūris turėtų padėti subalansuotai paskirstyti užduotis ir atsakomybę tarp trijų EPI priežiūros funkcijų vykdymo kontekste ir jį taikant turėtų būti kuo geriau pasinaudojama kiekvienos iš trijų EPI turimais žmogiškaisiais ištekliais ir techninėmis ekspertinėmis žiniomis;

(88)

Atsakingosioms priežiūros institucijoms turėtų būti suteikti reikiami įgaliojimai atlikti ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių tyrimus, patikrinimus vietoje ir ne vietoje, patekti į tų trečiųjų šalių patalpas ir vietas bei gauti išsamią ir atnaujintą informaciją. Tie įgaliojimai turėtų sudaryti sąlygas Atsakingajai priežiūros institucijai realiai įvertinti finansų sektoriaus subjektams ir galiausiai Sąjungos finansų sistemai trečiosios šalies keliamos IRT rizikos rūšį, mastą ir poveikį. Pagrindinės priežiūros vaidmens pavedimas EPI yra būtina sąlyga norint suprasti ir mažinti sisteminę IRT riziką finansų sektoriuje. Dėl ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių poveikio Sąjungos finansiniam sektoriui ir galimų problemų, kurias kelia susijusi IRT koncentracijos rizika, reikia taikyti kolektyvinį požiūrį Sąjungos lygmeniu. Jeigu daug kompetentingų institucijų vienu metu atliktų daug atskirų auditų ir naudotųsi prieigos teisėmis, menkai koordinuodamos arba visai nekoordinuodamos savo darbo, finansų priežiūros institucijos negalėtų susidaryti išsamaus ir visa apimančio trečiosios šalies keliamos IRT rizikos Sąjungoje vaizdo, o ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims, jei jos gautų daug stebėsenos ir patikrinimo prašymų, taip pat tektų perteklinis darbas, našta ir kiltų painiava;

(89)

atsižvelgiant į didelį pripažinimo esant ypatingos svarbos IRT paslaugas teikiančia trečiąja šalimi poveikį, šiuo reglamentu turėtų būti užtikrinta, kad įgyvendinant priežiūros sistemą būtų laikomasi tokių paslaugų teikėjų teisių. Prieš paslaugų teikėjus pripažįstant esant ypatingos svarbos, tokie teikėjai turėtų, pavyzdžiui, turėti teisę Atsakingajai priežiūros institucijai pateikti pagrįstą pareiškimą, kuriame būtų pateikta visa svarbi informacija, reikalinga su jų pripažinimu susijusiam vertinimui atlikti. Kadangi Atsakingoji priežiūros institucija turėtų turėti įgaliojimus teikti rekomendacijas IRT rizikos ir tinkamų taisomųjų priemonių klausimais, kurie, be kita ko, apimą teisę pareikšti prieštaravimą tam tikriems sutartimi įformintiems susitarimams, kurie galiausiai daro poveikį finansų sektoriaus subjekto arba finansų sistemos stabilumui, ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims turėtų būti suteikta galimybė prieš patvirtinant galutinę tų rekomendacijų redakciją pateikti paaiškinimus dėl rekomendacijoje numatytų sprendimų tikėtino poveikio klientams, kurie yra subjektai, nepatenkantys į šio reglamento taikymo sritį, ir suformuluoti rizikos mažinimo sprendimus. Ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims, kurios nesutinka su rekomendacijomis, taip pat turėtų būti suteikta galimybė pateikti pagrįstą paaiškinimą, kodėl jos ketina nepritarti rekomendacijai. Jei toks pagrįstas paaiškinimas nepateikiamas arba jei jis laikomas nepakankamu, Atsakingoji priežiūros institucija turėtų paskelbti viešą pranešimą, kuriame trumpai apibūdinamas rekomendacijos nesilaikymo klausimas;

(90)

kompetentingos institucijos, vykdydamos savo funkcijas, susijusias su finansų sektoriaus subjektų prudencine priežiūra, turėtų tinkamai įtraukti užduotį patikrinti, ar iš esmės laikomasi Atsakingosios priežiūros institucijos pateiktų rekomendacijų. Kompetentingos institucijos turėtų turėti galimybę reikalauti, kad finansų sektoriaus subjektai imtųsi papildomų priemonių, kad pašalintų riziką, nustatytą Atsakingosios priežiūros institucijos rekomendacijose, ir turėtų tinkamu laiku pateikti atitinkamus pranešimus. Kai Atsakingoji priežiūros institucija teikia rekomendacijas ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims, kurios prižiūrimos pagal Direktyvą (ES) 2022/2555, kompetentingos institucijos, prieš priimdamos papildomas priemones, turėtų galėti savanoriškai konsultuotis su kompetentingomis institucijomis pagal tą direktyvą, kad būtų skatinamas koordinuotas požiūris tvarkant reikalus su atitinkamomis ypatingos svarbos IRT paslaugas teikiančiomis trečiosiomis šalimis;

(91)

vykdant priežiūrą turėtų būti vadovaujamasi trimis veiklos principais, kuriais siekiama užtikrinti: a) glaudų EPI, vykdančių Atsakingosios priežiūros institucijos funkcijas, veiklos koordinavimą pasitelkiant jungtinį priežiūros tinklą (JPT), b) suderinamumą su Direktyva (ES) 2022/2555 nustatyta sistema (savanoriškai konsultuojantis su institucijomis pagal tą direktyvą, kad būtų išvengta priemonių, skirtų ypatingos svarbos IRT paslaugas teikiančioms trečiosioms šalims, dubliavimo) ir c) tikrinimą, kad būtų kuo labiau sumažinta galima ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių klientams, kurie yra subjektai, nepatenkantys į šio reglamento taikymo sritį, teikiamų paslaugų sutrikimo rizika;

(92)

priežiūros sistema neturėtų būti pakeičiamas arba jokiu būdu ar jokia dalimi keičiamas finansų sektoriaus subjektams taikomas reikalavimas patiems valdyti riziką, kylančią naudojantis IRT paslaugas teikiančiomis trečiosiomis šalimis, įskaitant jų pareigą užtikrinti sutartimi įformintų susitarimų, sudarytų su ypatingos svarbos IRT paslaugas teikiančiomis trečiosiomis šalimis, nuolatinę stebėseną. Priežiūros sistema taip pat neturėtų būti daromas poveikis visai finansų sektoriaus subjektų atsakomybei laikytis visų šiame reglamente ir atitinkamuose finansinių paslaugų teisės aktuose nustatytų pareigų ir jas vykdyti;

(93)

siekiant išvengti pasikartojančio ir besidubliuojančio darbo, kompetentingos institucijos neturėtų savarankiškai taikyti jokių priemonių, skirtų ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių rizikai stebėti ir tuo atžvilgiu turėti pasikliauti atitinkamos Atsakingosios priežiūros institucijos vertinimu. Visas priemones bet kuriuo atveju reikėtų iš anksto koordinuoti ir suderinti su Atsakingąja priežiūros institucija vykdant užduotis pagal priežiūros sistemą;

(94)

siekiant tarptautiniu lygmeniu skatinti konvergenciją, susijusią su geriausios praktikos naudojimu tikrinant ir stebint IRT paslaugas teikiančių trečiųjų šalių skaitmeninį rizikos valdymą, EPI turėtų būti skatinamos sudaryti bendradarbiavimo susitarimus su atitinkamomis trečiųjų valstybių priežiūros ir reguliavimo institucijomis;

(95)

siekiant pasinaudoti kompetentingų institucijų, visų trijų EPA ir, savanoriškumo pagrindu, kompetentingų institucijų pagal Direktyvą ES 2022/2555 darbuotojų, besispecializuojančių operacinės ir IRT rizikos valdymo srityje, specialia kompetencija, techniniais gebėjimais ir ekspertinėmis žiniomis, Atsakingoji priežiūros institucija turėtų remtis nacionaliniais priežiūros pajėgumais bei žiniomis ir sukurti specialias kiekvienai ypatingos svarbos IRT paslaugas teikiančiai trečiajai šaliai skirtas tyrimo grupes, jose suburdama įvairių sričių specialistus, kurie padėtų rengti ir vykdyti priežiūros veiklą, įskaitant ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių bendruosius tyrimus ir patikrinimus, ir imtųsi reikiamų tolesnių veiksmų;

(96)

nors išlaidos, susijusios su priežiūros užduotimis, būtų visiškai finansuojamos iš mokesčių, renkamų iš ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių, vis dėlto tikėtina, kad EPI, prieš pradėdamos taikyti priežiūros sistemą, patirs išlaidų, susijusių su specialių, būsimą priežiūrą palaikančių IRT sistemų diegimu, nes specialias IRT sistemas reikės sukurti ir įdiegti iš anksto. Todėl šiame reglamente numatytas mišraus finansavimo modelis, pagal kurį priežiūros sistema būtų visiškai finansuojama iš mokesčių, o EPI IRT sistemų kūrimas būtų finansuojamas iš Sąjungos ir nacionalinių kompetentingų institucijų įnašų;

(97)

kompetentingos institucijos turėtų turėti visus reikiamus priežiūros, tyrimo ir sankcijų taikymo įgaliojimus, kad užtikrintų tinkamą savo pareigų pagal šį reglamentą vykdymą. Iš esmės jos turėtų skelbti pranešimus apie jų skiriamas administracines nuobaudas. Kadangi finansų sektoriaus subjektai ir IRT paslaugas teikiančios trečiosios šalys gali būti įsisteigę skirtingose valstybėse narėse ir prižiūrimi skirtingų kompetentingų institucijų, šio reglamento taikymą turėtų palengvinti, viena vertus, glaudus atitinkamų kompetentingų institucijų, įskaitant ECB (kai tai susiję su Tarybos reglamentu (ES) Nr. 1024/2013 jam pavestais specialiais uždaviniais), bendradarbiavimas ir, kita vertus, konsultavimasis su EPI, tarpusavyje keičiantis informacija ir teikiant pagalbą, susijusią su atitinkama priežiūros veikla;

(98)

siekiant toliau kiekybiškai ir kokybiškai įvertinti IRT paslaugas teikiančių trečiųjų šalių pripažinimo esant ypatingos svarbos kriterijus ir suderinti priežiūros mokesčius, Komisijai pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį turėtų būti suteikti įgaliojimai priimti aktus, kuriais patikslinamas sisteminis poveikis, kurį IRT paslaugas teikiančios trečiosios šalies žlugimas arba veiklos sutrikdymas galėtų turėti finansų sektoriaus subjektams, kuriems ji teikia IRT paslaugas, pasaulinės sisteminės svarbos įstaigų (G-SII) ar kitų sisteminės svarbos įstaigų (O-SII), kurios yra priklausomos nuo atitinkamos IRT paslaugas teikiančios trečiosios šalies, skaičius, konkrečioje rinkoje veiklą vykdančių IRT paslaugas teikiančių trečiųjų šalių skaičius, duomenų ir darbo krūvio perkėlimo kitoms IRT paslaugas teikiančioms trečiosioms šalims išlaidos, taip pat priežiūros mokesčių suma ir jų mokėjimo būdas. Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais ir kad tos konsultacijos būtų vykdomos vadovaujantis 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros (22) nustatytais principais. Visų pirma siekiant užtikrinti vienodas galimybes dalyvauti atliekant su deleguotaisiais aktais susijusį parengiamąjį darbą, Europos Parlamentas ir Taryba visus dokumentus gauna tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose;

(99)

techniniais reguliavimo standartais turėtų būti užtikrintas nuoseklus šiame reglamente nustatytų reikalavimų suderinimas. EPI, kaip itin specializuotos praktinės patirties turinčios įstaigos, turėtų būti įgaliotos parengti ir Komisijai pateikti techninių reguliavimo standartų, kurie nėra susiję su sprendimais dėl politikos, projektus. Techniniai reguliavimo standartai turėtų būti rengiami IRT rizikos valdymo, pranešimo apie didelius su IRT susijusius incidentus, testavimo, taip pat pagrindinių trečiosios šalies keliamos IRT rizikos patikimos stebėsenos reikalavimų srityse. Komisija ir EPI turėtų užtikrinti, kad tuos standartus ir reikalavimus visi finansų sektoriaus subjektai galėtų taikyti tokiu būdu, kuris būtų proporcingas jų dydžiui ir bendram rizikos profiliui, taip pat jų paslaugų, veiklos ir operacijų pobūdžiui, mastui ir sudėtingumui. Komisijai turėtų būti suteikti įgaliojimai priimti tuos techninius reguliavimo standartus įgyvendinimo aktais pagal SESV 290 straipsnį ir reglamentų (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 ir (ES) Nr. 1095/2010 10–14 straipsniuose nustatyta tvarka;

(100)

siekiant gerinti pranešimų apie didelius su IRT susijusius incidentus ir didelius su mokėjimu susijusius operacinius arba saugumo incidentus palyginamumą, taip pat užtikrinti sutartimi įformintų susitarimų dėl IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų naudojimo skaidrumą, EPI turėtų parengti techninių įgyvendinimo standartų, kuriais nustatomi standartiniai šablonai, formos ir procedūros, skirti naudoti finansų sektoriaus subjektams pranešant apie didelį su IRT susijusį incidentą ir didelį su mokėjimu susijusį operacinį arba saugumo incidentą, taip pat standartiniai informacijos registro šablonai, projektus. Rengdamos tuos standartus, EPI turėtų atsižvelgti į finansų sektoriaus subjekto dydį ir bendrą rizikos profilį, taip pat į jo paslaugų, veiklos ir operacijų pobūdį, mastą ir sudėtingumą. Komisijai turėtų būti suteikti įgaliojimai priimti tuos techninius įgyvendinimo standartus įgyvendinimo aktais pagal SESV 291 straipsnį reglamentų (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 ir (ES) Nr. 1095/2010 15 straipsnyje nustatyta tvarka;

(101)

kadangi papildomi reikalavimai jau yra nustatyti deleguotaisiais ir įgyvendinimo aktais, pagrįstais Europos Parlamento ir Tarybos reglamentuose (EB) Nr. 1060/2009 (23), (ES) Nr. 648/2012 (24), (ES) Nr. 600/2014 (25) ir (ES) Nr. 909/2014 (26) nustatytais techniniais reguliavimo ir įgyvendinimo standartais, tikslinga pavesti EPI atskirai arba kartu per Jungtinį komitetą pateikti Komisijai techninius reguliavimo ir įgyvendinimo standartus, kad būtų priimti deleguotieji ir įgyvendinimo aktai, į kuriuos perkeliamos ir kuriais atnaujinamos dabartinės IRT rizikos valdymo taisyklės;

(102)

kadangi šiame reglamente ir Europos Parlamento ir Tarybos direktyvoje (ES) 2022/2556 (27) konsoliduojamos IRT rizikos valdymo nuostatos įvairiuose Sąjungos finansinių paslaugų acquis reglamentuose ir direktyvose, įskaitant Europos Parlamento ir Tarybos reglamentus (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 ir (ES) Nr. 909/2014 bei Europos Parlamento ir Tarybos reglamentą (ES) 2016/1011 (28), siekiant užtikrinti visišką nuoseklumą, tie reglamentai turėtų būti iš dalies pakeisti paaiškinant, kad taikytinos su IRT rizika susijusios nuostatos yra išdėstytos šiame reglamente;

(103)

todėl su operacine rizika susijusių straipsnių, kuriais Europos Parlamento ir Tarybos reglamentuose (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 ir (ES) 2016/1011 numatyti įgaliojimai priimti deleguotuosius ir įgyvendinimo aktus, taikymo sritis turėtų būti susiaurinta siekiant į šį reglamentą perkelti visas šiandien tuose reglamentuose pateiktas nuostatas, apimančias skaitmeninės veiklos atsparumo aspektus;

(104)

galimą sisteminę kibernetinę rizikos, susijusios su IRT infrastruktūros, kuri sudaro sąlygas mokėjimo sistemų veikimui, naudojimu ir mokėjimų vykdymo veiklos vykdymu, klausimą reikėtų tinkamai spręsti Sąjungos lygmeniu taikant suderintas skaitmeninio atsparumo taisykles. Tuo tikslu Komisija turėtų skubiai įvertinti poreikį peržiūrėti šio reglamento taikymo sritį, kartu derindama tokią peržiūrą atsižvelgiant į visapusiškos peržiūros, numatytos pagal Direktyvą (ES) 2015/2366, rezultatus. Didelis didelio masto išpuolių skaičius per pastarąjį dešimtmetį rodo, kad mokėjimo sistemoms kilo kibernetinių grėsmių. Mokėjimo sistemos ir mokėjimų vykdymo veikla yra mokėjimų paslaugų grandinės pagrindas ir turi stiprias tarpusavio sąsajas su visa finansų sistema, todėl jos tapo itin svarbios Sąjungos finansų rinkų veikimui. Kibernetiniai išpuoliai prieš tokias sistemas gali sukelti didelių veiklos sutrikimų, turinčių tiesioginį poveikį pagrindinėms ekonominėms funkcijoms, pavyzdžiui, mokėjimų palengvinimui, ir netiesioginį poveikį susijusiems ekonominiams procesams. Kol Sąjungos lygmeniu bus nustatyta suderinta mokėjimo sistemų operatorių ir mokėjimų vykdymo paslaugą teikiančių subjektų tvarka ir priežiūra, valstybės narės, siekdamos taikyti panašią rinkos praktiką, gali remtis šiuo reglamentu nustatytais skaitmeninės veiklos atsparumo reikalavimais, taikydamos taisykles mokėjimo sistemų operatoriams ir mokėjimų vykdymo paslaugą teikiantiems subjektams, kurių priežiūra vykdoma jų jurisdikcijose;

(105)

kadangi šio reglamento tikslo, t. y. užtikrinti reguliuojamų finansų sektoriaus subjektų aukšto lygio skaitmeninės veiklos atsparumą, valstybės narės negali deramai pasiekti, nes tam reikia suderinti įvairias skirtingas taisykles, esančias Sąjungos teisės aktuose arba nacionalinėje teisėje, o to tikslo dėl jo masto ir poveikio būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina nurodytam tikslui pasiekti;

(106)

vadovaujantis Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (29) 42 straipsnio 1 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė nuomonę 2021 m. gegužės 10 d. (30) ,

(1)

Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 (4) buvo siekiama sukurti kibernetinio saugumo pajėgumus visoje Sąjungoje, sumažinti grėsmes tinklų ir informacinėms sistemoms, kurios naudojamos teikiant esmines paslaugas pagrindiniuose sektoriuose, ir užtikrinti tokių paslaugų nuolatinį teikimą įvykus incidentams, taip prisidedant prie Sąjungos saugumo ir veiksmingo jos ekonomikos ir visuomenės veikimo;

(2)

nuo Direktyvos (ES) 2016/1148 įsigaliojimo padaryta didelė pažanga didinant Sąjungos kibernetinio atsparumo lygį. Atlikus direktyvos peržiūrą, paaiškėjo, kad ji tapo institucinio ir reguliavimo požiūrio į kibernetinį saugumą Sąjungoje paskata ir sudarė sąlygas reikšmingam mąstysenos pokyčiui. Direktyva padėjo galutinai sukurti nacionalines tinklų ir informacinių sistemų saugumo sistemas parengiant nacionalines tinklų ir informacinių sistemų saugumo strategijas, nustatant nacionalinius pajėgumus ir įgyvendinant reguliavimo priemones, taikomas esminiams infrastruktūros objektams ir kiekvienos valstybės narės identifikuotiems subjektams. Direktyva (ES) 2016/1148 taip pat prisidėta prie bendradarbiavimo Sąjungos lygmeniu įsteigus Bendradarbiavimo grupę ir sukuriant nacionalinių reagavimo į kompiuterinius saugumo incidentus tarnybų tinklą. Nepaisant tų laimėjimų, atlikus Direktyvos (ES) 2016/1148 peržiūrą paaiškėjo jos trūkumai, trukdantys veiksmingai spręsti dabartines ir naujas kibernetinio saugumo problemas;

(3)

tinklų ir informacinės sistemos dėl sparčios skaitmeninės transformacijos ir visuomenės tarpusavio junglumo, įskaitant tarpvalstybinius mainus, tapo pagrindiniu kasdienio gyvenimo aspektu. Dėl tokių pokyčių kibernetinių grėsmių padėtis tapo sudėtingesnė ir atsirado naujų problemų, kurioms spręsti reikia pritaikytų, koordinuotų ir novatoriškų atsakomųjų veiksmų visose valstybėse narėse. Incidentų skaičius, mastas, sudėtingumas, dažnumas ir poveikis didėja bei kelia didelę grėsmę tinklų ir informacinių sistemų veikimui. Todėl incidentai gali trukdyti vykdyti ekonominę veiklą vidaus rinkoje, sukelti finansinių nuostolių, pakirsti naudotojų pasitikėjimą ir padaryti didelę žalą Sąjungos ekonomikai ir visuomenei. Todėl kibernetinio saugumo parengtis ir veiksmingumas kaip niekad anksčiau yra labai svarbūs tinkamam vidaus rinkos veikimui. Be to, kibernetinis saugumas yra daugelio ypatingos svarbos sektorių pagrindinė įgalinanti priemonė siekiant sėkmingai vykdyti skaitmeninę transformaciją ir visapusiškai pasinaudoti skaitmeninimo teikiama ekonomine, socialine ir tvarumo nauda;

(4)

Direktyvos (ES) 2016/1148 teisinis pagrindas buvo Sutarties dėl Europos Sąjungos veikimo (SESV) 114 straipsnis, kurio tikslas – tobulinant nacionalinių taisyklių suderinimo priemones sukurti vidaus rinką ir užtikrinti jos veikimą. Subjektams, teikiantiems ekonomiškai svarbias paslaugas arba vykdantiems ekonomiškai svarbią veiklą, nustatyti kibernetinio saugumo reikalavimai valstybėse narės gerokai skiriasi atsižvelgiant į reikalavimų rūšį, jų išsamumo lygį ir priežiūros metodą. Dėl tų skirtumų patiriama papildomų išlaidų, o prekes ar paslaugas tarpvalstybiniu mastu tiekiantiems ar tiekiantiems subjektams kyla sunkumų. Vienos valstybės narės nustatyti reikalavimai, kurie skiriasi nuo kitos valstybės narės nustatytų reikalavimų arba net jiems prieštarauja, gali daryti didelį poveikį tokiai tarpvalstybinei veiklai. Be to, tikėtina, kad dėl netinkamos kibernetinio saugumo reikalavimų struktūros arba įgyvendinimo vienoje valstybėje narėje kils pasekmių kitų valstybių narių kibernetinio saugumo lygiui, visų pirma atsižvelgiant į tarpvalstybinių mainų intensyvumą. Atlikus Direktyvos (ES) 2016/1148 peržiūrą, paaiškėjo, kad valstybėse narėse ji įgyvendinama labai įvairiai, be kita ko, kiek tai susiję su jos taikymo sritimi, nes jos ribų nustatymo klausimas iš esmės buvo paliktas valstybių narių diskrecijai. Direktyva (ES) 2016/1148 valstybėms narėms taip pat buvo suteikta labai plati diskrecija dėl joje nustatytų saugumo pareigų ir pranešimų apie incidentus teikimo pareigų įgyvendinimo. Todėl tos pareigos nacionaliniu lygmeniu buvo įgyvendintos labai skirtingai. Panašių skirtumų yra ir Direktyvos (ES) 2016/1148 nuostatų dėl priežiūros ir vykdymo užtikrinimo įgyvendinimo srityje;

(5)

visi šie skirtumai lemia vidaus rinkos susiskaidymą ir gali daryti neigiamą poveikį vidaus rinkos veikimui, visų pirma tai pasakytina apie poveikį tarpvalstybiniam paslaugų teikimui ir kibernetinio atsparumo lygiui, kurį lemia taikomos įvairios priemonės. Galiausiai dėl tų skirtumų kai kurios valstybės narės galėtų tapti labiau pažeidžiamos kibernetinių grėsmių atžvilgiu, o tai gali daryti šalutinį poveikį visoje Sąjungoje. Šia direktyva siekiama pašalinti tokius didelius skirtumus tarp valstybių narių, visų pirma nustatant būtiniausias taisykles, susijusias su koordinuotos reguliavimo sistemos veikimu, sukuriant kiekvienos valstybės narės atsakingų institucijų veiksmingo bendradarbiavimo mechanizmus, atnaujinant sektorių ir veiklos, kuriems taikomos kibernetinio saugumo pareigos, sąrašą ir numatant veiksmingas taisomąsias ir vykdymo užtikrinimo priemones, kurios yra labai svarbios veiksmingam tų pareigų vykdymui užtikrinti. Todėl Direktyva (ES) 2016/1148 turėtų būti panaikinta ir pakeista šia direktyva;

(6)

panaikinus Direktyvą (ES) 2016/1148, taikymo sritis sektoriams turėtų būti praplėsta, kad apimtų platesnį ekonomikos veiklų spektrą, kad apimtų visus sektorius ir paslaugas, kurie yra nepaprastai svarbūs pagrindinei visuomeninei ir ekonominei veiklai vidaus rinkoje. Visų pirma šia direktyva siekiama pašalinti trūkumus, susijusius su esminių paslaugų operatorių ir skaitmeninių paslaugų teikėjų diferencijacija, kuri yra pasenusi, nes neatspindi sektorių arba paslaugų svarbos visuomeninei ir ekonominei veiklai vidaus rinkoje;

(7)

pagal Direktyvą (ES) 2016/1148 valstybės narės buvo atsakingos už subjektų, atitinkančių esminių paslaugų operatoriams taikomus kriterijus, identifikavimą. Siekiant tuo atžvilgiu pašalinti didelius valstybių narių skirtumus ir visiems atitinkamiems subjektams užtikrinti teisinį tikrumą kibernetinio saugumo rizikos valdymo priemonių ir pareigų pranešti atžvilgiu, turėtų būti nustatytas vienas kriterijus, kuriuo remiantis nustatomi subjektai, kurie patenka į šios direktyvos taikymo sritį. Tas kriterijus turėtų būti grindžiamas dydžio ribos taisykle, pagal kurią į šios direktyvos taikymo sritį patenka visi subjektai, kurie laikomi vidutinėmis įmonėmis pagal Komisijos rekomendacijos 2003/361/EB (5) priedo 2 straipsnį arba kurie viršija to straipsnio 1 dalyje nustatytas viršutines ribas, ir veikiantys sektoriuose bei teikiantys atitinkamų rūšių paslaugas ar vykdantys veiklą, kuriems taikoma ši direktyva. Valstybės narės taip pat turėtų numatyti, kad į šios direktyvos taikymo sritį patenka tam tikros mažosios įmonės ir labai mažos įmonės, kaip tai apibrėžta to priedo 2 straipsnio 2 ir 3 dalyse, kurios atitinka specifinius kriterijus, pagal kuriuos parodomas jų esminis vaidmuo visuomenei, ekonomikai arba konkretiems sektoriams ar paslaugų rūšims;

(8)

ši direktyva neturėtų būti taikoma viešojo administravimo subjektams, kurių veikla daugiausia vykdoma nacionalinio saugumo, visuomenės saugumo, gynybos ar teisėsaugos srityse, įskaitant nusikalstamų veikų prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas. Tačiau ši direktyva turėtų būti taikoma viešojo administravimo subjektams, kurių veikla su tomis sritimis susijusi tik nežymiai. Šios direktyvos tikslais reguliavimo kompetenciją turintys subjektai nelaikomi subjektais, vykdančiais veiklą teisėsaugos srityje, todėl ši direktyva nėra jiems netaikoma tuo pagrindu. Ši direktyva netaikoma viešojo administravimo subjektams, įsteigtiems kartu su trečiąja valstybe pagal tarptautinį susitarimą. Ši direktyva netaikoma valstybių narių diplomatinėms ir konsulinėms atstovybėms trečiosiose valstybėse arba jų tinklų ir informacinėms sistemoms, jeigu tokios sistemos yra atstovybės patalpose arba naudojamos naudotojų labui trečiojoje valstybėje;

(9)

valstybės narės turėtų galėti imtis priemonių, būtinų esminiams nacionalinio saugumo interesams užtikrinti, viešajai tvarkai palaikyti bei visuomenės saugumui užtikrinti, ir priemonių, kurios leistų sudaryti sąlygas vykdyti nusikalstamų veikų prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas. Tuo tikslu valstybės narės turėtų turėti galimybę atleisti konkrečius subjektus, vykdančius veiklą nacionalinio saugumo, visuomenės saugumo, gynybos ar teisėsaugos srityse, įskaitant nusikalstamų veikų prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas, nuo tam tikrų šioje direktyvoje nustatytų pareigų tos veiklos atžvilgiu. Kai subjektas teikia paslaugas išimtinai viešojo administravimo subjektui, kuriam ši direktyva netaikoma, valstybės narės turėtų turėti galimybę atleisti tą subjektą nuo tam tikrų šioje direktyvoje nustatytų pareigų tų paslaugų atžvilgiu. Be to, iš jokios valstybės narės neturi būti reikalaujama teikti informacijos, kurios atskleidimas, jos nuomone, prieštarautų esminiams jos nacionalinio saugumo, viešojo saugumo ar gynybos interesams. Tame kontekste turėtų būti atsižvelgiama į Sąjungos arba nacionalines taisykles dėl įslaptintos informacijos apsaugos, susitarimus dėl informacijos neatskleidimo ir neoficialius susitarimus dėl informacijos neatskleidimo, pavyzdžiui, Srauto kontrolės protokolą. Srauto kontrolės protokolas turi būti suprantamas kaip priemonė informacijai apie bet kokius apribojimus, taikomus tolesnei informacijos sklaidai, teikti. Jį naudoja beveik visos reagavimo į kompiuterinius saugumo incidentus tarnybos (toliau – CSIRT) ir kai kurie informacijos analizės ir dalijimosi informacija centrai;

(10)

nors ši direktyva taikoma subjektams, vykdantiems elektros energijos gamybos atominėse elektrinėse veiklą, dalis šios veiklos gali būti susijusi su nacionaliniu saugumu. Tokiu atveju valstybė narė, laikydamasi Sutarčių, turėtų turėti galimybę vykdyti savo pareigą užtikrinti savo nacionalinį saugumą, kiek tai susiję su ta veikla, įskaitant veiklą branduolinio sektoriaus vertės grandinėje;

(11)

kai kurie subjektai vykdo veiklą nacionalinio saugumo, visuomenės saugumo, gynybos ar teisėsaugos srityse, įskaitant nusikalstamų veikų prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas, taip pat teikia patikimumo užtikrinimo paslaugas. Patikimumo užtikrinimo paslaugų teikėjai, kuriems taikomas Europos Parlamento ir Tarybos reglamentas (ES) Nr. 910/2014 (6), turėtų būti įtraukti į šios direktyvos taikymo sritį, kad būtų užtikrintas toks pat saugumo reikalavimų ir priežiūros lygis, koks anksčiau tame reglamente buvo nustatytas patikimumo užtikrinimo paslaugų teikėjų atžvilgiu. Atsižvelgiant į tai, kad Reglamentas (ES) Nr. 910/2014 netaikomas tam tikroms konkrečioms paslaugoms, ši direktyva neturėtų būti taikoma patikimumo užtikrinimo paslaugų, kuriomis naudojamasi tik uždarose sistemose, sukurtose pagal nacionalinę teisę arba apibrėžtos dalyvių grupės susitarimus, teikimui;

(12)

pašto paslaugų teikėjams, kaip apibrėžta Europos Parlamento ir Tarybos direktyvoje 97/67/EB (7), įskaitant kurjerių paslaugų teikėjus, ši direktyva turėtų būti taikoma, jeigu jie teikia paslaugas bent viename pašto paslaugų teikimo grandinės etape, ypač pašto siuntų surinkimo, rūšiavimo, vežimo arba paskirstymo etape, įskaitant siuntų paėmimo paslaugas, atsižvelgiant į jų priklausomumo nuo tinklų ir informacinių sistemų laipsnį. Teikiamos vežimo paslaugos, kai jos nėra susijusios su vienu iš tų etapų, neturėtų patekti į pašto paslaugų apibrėžtį;

(13)

dėl intensyvėjančių įkibernetinių grėsmių ir didėjančio sudėtingumo valstybės narės turėtų stengtis užtikrinti, kad subjektai, kuriems netaikoma ši direktyva, pasiektų aukštą kibernetinio saugumo lygį, ir remti lygiaverčių kibernetinio saugumo rizikos valdymo priemonių, atspindinčių jautrų tų subjektų pobūdį, įgyvendinimą;

(14)

pagal šią direktyvą vykdomam asmens duomenų tvarkymui taikoma Sąjungos duomenų apsaugos teisė ir Sąjungos privatumo teisė. Visų pirma, šia direktyva nedaromas poveikis Europos Parlamento ir Tarybos reglamentui (ES) 2016/679 (8) ir Europos Parlamento ir Tarybos direktyvai 2002/58/EB (9). Todėl šia direktyva neturėtų būti daromas poveikis, inter alia, institucijų, kurios yra kompetentingos kontroliuoti, kaip laikomasi taikytinos Sąjungos duomenų apsaugos teisės ir Sąjungos privatumo teisės, užduotims ir įgaliojimams;

(15)

atitikties kibernetinio saugumo rizikos valdymo priemonėms ir pranešimų teikimo tikslu subjektai, kurie patenka į šios direktyvos taikymo sritį, turėtų būti skirstomi į dvi kategorijas: esminiai subjektai ir svarbūs subjektai, atspindint jų svarbos mastą jų sektoriaus arba jų teikiamų paslaugų rūšies, taip pat jų dydžio požiūriais. Tuo atžvilgiu, kai taikytina, turėtų būti tinkamai atsižvelgiama į visus atitinkamus kompetentingų institucijų atliktus sektorių rizikos vertinimus ar pateiktas gaires. Abiejų kategorijų subjektams taikomi priežiūros ir vykdymo užtikrinimo režimai turėtų būti diferencijuojami siekiant užtikrinti tinkamą, viena vertus, rizika grindžiamų reikalavimų ir pareigų ir, kita vertus, administracinės naštos, atsirandančios dėl atitikties priežiūros, pusiausvyrą;

(16)

siekiant kad subjektai, turintys įmonių partnerių arba kurie yra susijusios įmonės, nebūtų laikomi esminiais arba svarbiais subjektais, kai tai būtų neproporcinga, valstybės narės, taikydamos Rekomendacijos 2003/361/EB priedo 6 straipsnio 2 dalį, gali atsižvelgti į subjekto nepriklausomumo nuo savo įmonės partnerės ar susijusių įmonių lygį. Visų pirma valstybės narės gali atsižvelgti į tai, kad subjektas yra nepriklausomas nuo savo įmonės partnerės ar susijusių įmonių kalbant apie tinklų ir informacines sistemas, kuriomis tas subjektas naudojasi teikdamas savo paslaugas, ir kalbant apie subjekto teikiamas paslaugas. Tuo remdamosi, kai tinkama, valstybės narės gali laikyti, kad toks subjektas negali būti laikomas vidutine įmone pagal Komisijos rekomendacijos 2003/361/EB priedo 2 straipsnį arba kad jis neviršija to straipsnio 1 dalyje vidutinei įmonei nustatytų viršutinių ribų, jeigu, atsižvelgus į to subjekto nepriklausomumo lygį, tas subjektas nebūtų laikomas vidutine įmone arba jis neviršytų tų viršutinių ribų tuo atveju, jei būtų atsižvelgiama tik į jo paties duomenis. Tai nedaro poveikio šioje direktyvoje nustatytoms įmonių partnerių ir susijusių įmonių, kurioms taikoma ši direktyva, pareigoms;

(17)

valstybės narės turėtų galėti nuspręsti, kad subjektai, kurie prieš šios direktyvos įsigaliojimą buvo identifikuoti kaip esminių paslaugų operatoriai pagal Direktyvą (ES) 2016/1148, būtų laikomi esminiais subjektais;

(18)

siekdamos užtikrinti aiškią subjektų, kuriems taikoma ši direktyva, apžvalgą, valstybės narės turėtų sudaryti esminių ir svarbių subjektų bei domenų vardų registravimo paslaugas teikiančių subjektų sąrašą. Tuo tikslu valstybės narės turėtų reikalauti, kad subjektai kompetentingoms institucijoms pateiktų bent šią informaciją: subjekto pavadinimą, adresą ir naujausius kontaktinius duomenis, įskaitant el. pašto adresus, IP adresus ir telefono numerius, ir, kai taikytina, atitinkamą sektorių ir subsektorių, nurodytus prieduose, taip pat, kai taikytina, valstybių narių, kuriose jie teikia paslaugas, kurioms taikoma ši direktyva, sąrašą. Tuo tikslu Komisija, padedant Europos Sąjungos kibernetinio saugumo agentūrai (toliau – ENISA), nepagrįstai nedelsdama turėtų pateikti gaires ir šablonus dėl pareigos teikti informaciją. Siekiant sudaryti palankesnes sąlygas sukurti ir atnaujinti esminių ir svarbių subjektų bei domenų vardų registravimo paslaugas teikiančių subjektų sąrašą, valstybės narės turėtų turėti galimybę nustatyti nacionalinius mechanizmus, kuriuos taikant subjektai galėtų užsiregistruoti patys. Tais atvejais, kai nacionaliniu lygmeniu registrai jau yra sukurti, valstybės narės gali nuspręsti dėl tinkamų mechanizmų, kuriais sudaroma galimybė identifikuoti subjektus, kuriems taikoma ši direktyva;

(19)

valstybės narės turėtų būti atsakingos už tai, kad Komisijai būtų pateiktas bent kiekvieno prieduose nurodyto sektoriaus ir subsektoriaus esminių ir svarbių subjektų skaičius, taip pat atitinkama informacija apie identifikuotų subjektų skaičių ir šioje direktyvoje numatyta nuostata, pagal kurią jie buvo identifikuoti, ir jų teikiamos paslaugos rūšį. Valstybės narės raginamos keistis su Komisija informacija apie esminius ir svarbius subjektus, o didelio masto kibernetinio saugumo incidento atveju – atitinkama informacija, pavyzdžiui, apie atitinkamo subjekto pavadinimą;

(20)

Komisija, bendradarbiaudama su Bendradarbiavimo grupe ir pasikonsultavusi su atitinkamais suinteresuotaisiais subjektais, turėtų pateikti labai mažoms ir mažosioms įmonėms taikomų kriterijų įgyvendinimo gaires įvertinimo, ar jos patenka į šios direktyvos taikymo sritį, tikslais. Komisija taip pat turėtų užtikrinti, kad atitinkamos gairės būtų pateiktos labai mažoms ir mažosioms įmonėms, kurioms taikoma ši direktyva. Komisija, padedant valstybėms narėms, turėtų pateikti labai mažoms ir mažosioms įmonėms informacijos tuo klausimu;

(21)

Komisija galėtų pateikti gaires, skirtas padėti valstybėms narėms įgyvendinti šios direktyvos nuostatas dėl taikymo srities ir įvertinti priemonių, kurių turi būti imamasi pagal šią direktyvą, proporcingumą, visų pirma atsižvelgiant į subjektus, kurių verslo modeliai arba veiklos aplinka yra sudėtingi, kai subjektas vienu metu gali atitikti ir esminiams, ir svarbiems subjektams nustatytus kriterijus arba gali tuo pačiu metu vykdyti veiklą, kurios dalis patenka į šios direktyvos taikymo sritį, o dalis nepatenka;

(22)

šioje direktyvoje nustatomi kibernetinio saugumo rizikos valdymo priemonių ir pareigų pranešti, taikomų į jos taikymo sritį patenkančiuose sektoriuose, pagrindai. Siekiant išvengti Sąjungos teisės aktų nuostatų dėl kibernetinio saugumo susiskaidymo, kai manoma, kad, siekiant užtikrinti aukšto lygio kibernetinį saugumą visoje Sąjungoje, reikalingi tolesni konkretiems sektoriams taikomi Sąjungos teisės aktai, susiję su kibernetinio saugumo rizikos valdymo priemonėmis ir pareigomis pranešti, Komisija turėtų įvertinti, ar tokios tolesnės nuostatos galėtų būti nustatytos pagal šią direktyvą priimame įgyvendinimo akte. Jei toks įgyvendinimo aktas būtų netinkamas tam tikslui, konkretiems sektoriams taikomi Sąjungos teisės aktai galėtų padėti užtikrinti aukšto lygio kibernetinį saugumą visoje Sąjungoje, visapusiškai atsižvelgiant į atitinkamų sektorių specifiką ir sudėtingumą. Tuo tikslu šia direktyva nedraudžiama priimti tolesnių konkretiems sektoriams taikomų Sąjungos teisės aktų, kuriais reglamentuojamos kibernetinio saugumo rizikos valdymo priemonės ir pareigos pranešti ir kuriais tinkamai atsižvelgiama į poreikį sukurti visapusišką bei nuoseklią kibernetinio saugumo sistemą. Šia direktyva nedaromas poveikis dabartiniams įgyvendinimo įgaliojimams, kurie Komisijai suteikti įvairiuose sektoriuose, įskaitant transporto ir energetikos sektorius;

(23)

jei konkrečiam sektoriui taikomame Sąjungos teisės akte yra nuostatos, pagal kurias reikalaujama, kad esminiai arba svarbūs subjektai priimtų kibernetinio saugumo rizikos valdymo priemones arba praneštų apie didelius incidentus, ir jei tų reikalavimų poveikis yra bent lygiavertis šioje direktyvoje nustatytų pareigų poveikiui, tos nuostatos, įskaitant nuostatas dėl priežiūros ir vykdymo užtikrinimo, turėtų būti taikomos tokiems subjektams. Jei konkrečiam sektoriui taikomas Sąjungos teisės aktas taikomas ne visiems konkretaus sektoriaus, kuriam taikoma ši direktyva, subjektams, atitinkamos šios direktyvos nuostatos turėtų būti toliau taikomos subjektams, kuriems netaikomas tas aktas;

(24)

jei pagal konkrečiam sektoriui taikomo Sąjungos teisės akto nuostatas reikalaujama, kad esminiai arba svarbūs subjektai laikytųsi pareigų pranešti, kurių poveikis yra bent lygiavertis šioje direktyvoje nustatytų pareigų pranešti poveikiui, turėtų būti užtikrintas pranešimų apie incidentus tvarkymo nuoseklumas ir veiksmingumas. Tuo tikslu konkrečiam sektoriui taikomo Sąjungos teisės akto nuostatomis dėl pranešimo apie incidentus turėtų būti suteikta galimybė CSIRT, kompetentingoms institucijoms arba bendriesiems kibernetinio saugumo kontaktiniams punktams (toliau – bendrieji kontaktiniai punktai) pagal šią direktyvą nedelsiant susipažinti su pranešimais apie incidentus, pateiktais pagal konkrečiam sektoriui taikomą Sąjungos teisės aktą. Visų pirma tokia neatidėliotina prieiga gali būti užtikrinta, jei pranešimai apie incidentus nepagrįstai nedelsiant persiunčiami CSIRT, kompetentingai institucijai arba bendrajam kontaktiniam punktui pagal šią direktyvą. Prireikus valstybės narės turėtų įdiegti automatinį tiesioginio pranešimo mechanizmą, kuriuo būtų užtikrinamas sistemingas ir neatidėliotinas keitimasis informacija su CSIRT, kompetentingomis institucijomis arba bendruoju kontaktiniu punktu dėl tokių pranešimų apie incidentus tvarkymo. Siekdamos supaprastinti pranešimų teikimą ir įgyvendinti automatinį tiesioginio pranešimo mechanizmą, valstybės narės, vadovaudamosi konkrečiam sektoriui taikomu Sąjungos teisės aktu, galėtų naudotis viena bendra prieiga;

(25)

konkretiems sektoriams taikomuose Sąjungos teisės aktuose, pagal kuriuos numatytos kibernetinio saugumo rizikos valdymo priemonės arba pareigos pranešti, kurių poveikis yra bent lygiavertis šioje direktyvoje numatytų priemonių ar pareigų poveikiui, galėtų būti nustatyta, kad kompetentingos institucijos pagal tokius aktus savo priežiūros ir vykdymo užtikrinimo įgaliojimais, susijusiais su tokiomis priemonėmis arba pareigomis, naudojasi padedant kompetentingoms institucijoms pagal šią direktyvą. Atitinkamos kompetentingos institucijos tuo tikslu galėtų sudaryti bendradarbiavimo susitarimus. Tokiuose bendradarbiavimo susitarimuose, inter alia, galėtų būti nustatytos priežiūros veiklos koordinavimo procedūros, įskaitant tyrimų ir patikrinimų vietoje procedūras laikantis nacionalinės teisės, ir kompetentingų institucijų keitimosi atitinkama informacija apie priežiūrą ir vykdymo užtikrinimą mechanizmas, be kita ko, prieiga prie su kibernetine sritimi susijusios informacijos, kurios prašo tos kompetentingos institucijos pagal šią direktyvą;

(26)

jei pagal konkretiems sektoriams taikomus Sąjungos teisės aktus reikalaujama, kad subjektai praneštų apie dideles kibernetines grėsmes arba skatinama, kad jie tai darytų, valstybės narės taip pat turėtų skatinti dalytis informacija apie dideles kibernetines grėsmes su CSIRT, kompetentingomis institucijomis arba bendraisiais kontaktiniais punktais pagal šią direktyvą, siekiant užtikrinti didesnį tų įstaigų informuotumą apie kibernetinių grėsmių padėtį ir sudaryti joms galimybę veiksmingai bei laiku reaguoti, jei didelės kibernetinės grėsmės pasireikštų;

(27)

būsimuose konkretiems sektoriams taikomuose Sąjungos teisės aktuose turėtų būti tinkamai atsižvelgta į šioje direktyvoje nustatytas terminų apibrėžtis ir priežiūros bei vykdymo užtikrinimo sistemą;

(28)

Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 (10) turėtų būti vertinamas kaip konkrečiam sektoriui taikomas Sąjungos teisės aktas šios direktyvos atžvilgiu, kiek tai susiję su finansų sektoriaus subjektais. Reglamento (ES) 2022/2554 nuostatos, susijusios su informacinių ir ryšių technologijų (IRT) rizikos valdymu, su IRT susijusių incidentų valdymu, ypač pranešimų apie didelius su IRT susijusius incidentus teikimu, taip pat su skaitmeninės veiklos atsparumo testavimu, dalijimosi informacija susitarimais ir trečiosios šalies IRT rizika, turėtų būti taikomos vietoj šioje direktyvoje įtvirtintų nuostatų. Todėl valstybės narės šios direktyvos nuostatų dėl kibernetinio saugumo rizikos valdymo ir pareigų pranešti bei priežiūros ir vykdymo užtikrinimo neturėtų taikyti finansų sektoriaus subjektams, kuriems taikomas Reglamentas (ES) 2022/2554. Kartu pagal šią direktyvą svarbu išlaikyti tvirtus ryšius su finansų sektoriumi ir užtikrinti, kad su juo būtų keičiamasi informacija. Tuo tikslu Reglamentu (ES) 2022/2554 Europos priežiūros institucijoms (EPI) ir kompetentingoms institucijoms pagal tą reglamentą leidžiama dalyvauti Bendradarbiavimo grupės veikloje ir keistis informacija bei bendradarbiauti su bendraisiais kontaktiniais punktais, taip pat CSIRT ir kompetentingomis institucijomis pagal šią direktyvą. Kompetentingos institucijos pagal Reglamentą (ES) 2022/2554 CSIRT, kompetentingoms institucijoms arba bendriesiems kontaktiniams punktams pagal šią direktyvą taip pat turėtų perduoti išsamius duomenis apie didelius su IRT susijusius incidentus ir, kai tinkama, dideles kibernetines grėsmes. Tai galima pasiekti suteikiant neatidėliotiną prieigą prie pranešimų apie incidentus ir juos perduodant, tiesiogiai arba per vieną bendrą prieigą. Be to, valstybės narės į savo kibernetinio saugumo strategijas turėtų toliau įtraukti finansų sektorių, o CSIRT savo veikloje gali aptarti finansų sektoriaus klausimus;

(29)

siekiant išvengti kibernetinio saugumo pareigų, nustatytų aviacijos sektoriaus subjektams, spragų ar šių pareigų dubliavimosi, nacionalinės institucijos pagal Europos Parlamento ir Tarybos reglamentus (EB) Nr. 300/2008 (11) ir (ES) 2018/1139 (12) ir kompetentingos institucijos pagal šią direktyvą turėtų bendradarbiauti įgyvendindamos kibernetinio saugumo rizikos valdymo priemones ir vykdydamos atitikties toms priemonėms priežiūrą nacionaliniu lygmeniu. Kompetentingos institucijos pagal šią direktyvą galėtų laikyti, kad subjekto atitiktis saugumo reikalavimams, nustatytiems reglamentuose (EB) Nr. 300/2008 ir (ES) 2018/1139 bei atitinkamuose pagal tuos reglamentus priimtuose deleguotuosiuose ir įgyvendinimo aktuose, yra atitiktis atitinkamiems šioje direktyvoje nustatytiems reikalavimams;

(30)

atsižvelgiant į kibernetinio saugumo ir subjektų fizinio saugumo tarpusavio ryšius, reikėtų užtikrinti nuoseklų požiūrį tarp Europos Parlamento ir Tarybos direktyvos (ES) 2022/2557 (13) ir šios direktyvos. Kad būtų pasiektas šis tikslas, subjektai, identifikuoti kaip ypatingos svarbos subjektai pagal Direktyvą (ES) 2022/2557, turėtų būti laikomi esminiais subjektais pagal šią direktyvą. Be to, kiekviena valstybė narė turėtų užtikrinti, kad jos nacionalinėje kibernetinio saugumo strategijoje būtų numatyta politikos sistema, pagal kurią toje valstybėje narėje būtų numatytas tvirtesnis jos kompetentingų institucijų pagal šią direktyvą ir kompetentingų institucijų pagal Direktyvą (ES) 2022/2557 veiklos koordinavimas keičiantis informacija apie riziką, kibernetines grėsmes, ir incidentus, taip pat nekibernetinę riziką, grėsmes bei incidentus, taip pat vykdant priežiūros užduotis. Kompetentingos institucijos pagal šią direktyvą ir pagal Direktyvą (ES) 2022/2557 turėtų bendradarbiauti ir keistis informacija nepagrįstai nedelsdamos, visų pirma kiek tai susiję su ypatingos svarbos subjektų identifikavimu, rizika, kibernetinėmis grėsmėmis, ir incidentais, taip pat su nekibernetine rizika, grėsmėmis ir incidentais, darančiais poveikį ypatingos svarbos subjektams, įskaitant kibernetinio saugumo ir fizines priemones, kurių ėmėsi ypatingos svarbos subjektai, taip pat tokių subjektų atžvilgiu vykdomos priežiūros veiklos rezultatais.

Be to, siekiant supaprastinti kompetentingų institucijų pagal šią direktyvą ir pagal Direktyvą (ES) 2022/2557 vykdomą tarpusavio priežiūros veiklą ir kuo labiau sumažinti atitinkamiems subjektams tenkančią administracinę naštą, tos kompetentingos institucijos turėtų stengtis suderinti pranešimo apie incidentus šablonus ir priežiūros procesus. Prireikus kompetentingos institucijos pagal Direktyvą (ES) 2022/2557 turėtų galėti prašyti kompetentingų institucijų pagal šią direktyvą naudotis savo priežiūros ir vykdymo užtikrinimo įgaliojimais subjekto, kuris identifikuotas kaip ypatingos svarbos subjektas pagal Direktyvą (ES) 2022/2557, atžvilgiu. Tuo tikslu kompetentingos institucijos pagal šią direktyvą ir pagal Direktyvą (ES) 2022/2557 turėtų bendradarbiauti ir keistis informacija, kai įmanoma – tikruoju laiku;

(31)

skaitmeninės infrastruktūros sektoriaus subjektai iš esmės priklauso nuo tinklų ir informacinių sistemų, todėl pagal šią direktyvą tiems subjektams nustatytomis pareigomis turėtų būti visapusiškai atsižvelgiama į tokių sistemų fizinį saugumą, kaip jų kibernetinio saugumo rizikos valdymo priemonių ir pranešimų teikimo pareigų dalį. Kadangi tiems klausimams taikoma ši direktyva, Direktyvos (ES) 2022/2557 III, IV ir VI skyriuose nustatytos pareigos tokiems subjektams netaikomos;

(32)

patikimos, atsparios ir saugios domenų vardų sistemos (DNS) palaikymas ir išsaugojimas yra pagrindiniai veiksniai užtikrinant interneto vientisumą ir tai yra labai svarbu jos nuolatiniam ir stabiliam veikimui, nuo kurio priklauso skaitmeninė ekonomika ir visuomenė. Todėl ši direktyva turėtų būti taikoma aukščiausio lygio domenų vardų registrams ir DNS paslaugų teikėjams, kurie suprantami kaip subjektai, teikiantys viešai prieinamas rekursinio domenų vardų keitimo paslaugas galutinių interneto naudotojų reikmėms ar patikimo domenų vardų keitimo paslaugas trečiųjų šalių reikmėms. Ši direktyva neturėtų būti taikoma šakninio pavadinimo serveriams;

(33)

debesijos kompiuterijos paslaugos turėtų apimti skaitmenines paslaugas, kurios pagal poreikį suteikia administravimo paslaugas ir plataus masto nuotolinę prieigą prie kintamo masto pritaikomos bendrų kompiuterijos išteklių bazės, įskaitant atvejus, kai tokie ištekliai yra paskirstyti per kelias vietas. Kompiuterijos ištekliai apima tokius išteklius, kaip tinklai, serveriai ar kita infrastruktūra, operacinės sistemos, programinė įranga, kaupikliai, taikomosios programos ir paslaugos. Debesijos kompiuterijos paslaugų modeliai, inter alia, apima paslauginę infrastruktūrą (IaaS), paslauginę platformą (PaaS), paslauginę programinę įrangą (SaaS) ir paslauginį tinklą (NaaS). Debesijos kompiuterijos diegimo modeliai turėtų apimti privačią, bendrą, viešą ir mišrią debesiją. Debesijos kompiuterijos paslaugos ir diegimo modeliai turi tokią pačią reikšmę kaip ir pagal ISO/IEC 17788:2014 standartą apibrėžti paslaugos sąlygų ir diegimo modeliai. Debesijos kompiuterijos naudotojo gebėjimas vienašališkai pasirūpinti kompiuterijos pajėgumais, pavyzdžiui, serverio laiku arba tinklo saugykla, be jokio žmogaus įsikišimo, atliekamo debesijos kompiuterijos paslaugų teikėjo, galėtų būti apibūdinamas kaip administravimas pagal poreikį.

Terminas „plataus masto nuotolinė prieiga“ naudojamas apibūdinant debesijos pajėgumus, kurie užtikrinami tinkle ir kuriais galima pasinaudoti per mechanizmus, kuriais skatinamas įvairių mažafunkcių arba daugiafunkcių kompiuterių platformų, įskaitant mobiliuosius telefonus, planšetinius kompiuterius, knyginius kompiuterius ir profesionaliuosius kompiuterius, naudojimas. Terminas „kintamo masto“ reiškia, kad atsižvelgdamas į paklausos svyravimus, debesijos paslaugų teikėjas lanksčiai paskirsto kompiuterijos išteklius nepriklausomai nuo geografinės išteklių vietos. Terminas „pritaikoma bazė“ reiškia, kad siekiant sparčiai padidinti ir sumažinti turimus kompiuterijos išteklius pagal darbo krūvį, tais ištekliais aprūpinama ir jie yra tiekiami atsižvelgiant į paklausą. Terminas „bendri“ reiškia, kad kompiuterijos ištekliai yra tiekiami keliems naudotojams, kurie dalijasi bendra prieiga prie paslaugos, tačiau tie ištekliai tvarkomi atskirai kiekvieno naudotojo atveju, nors paslauga yra teikiama naudojant tą pačią elektroninę įrangą. Terminas „paskirstyti“ reiškia kompiuterijos išteklius, kurie yra skirtinguose tinkliniuose kompiuteriuose ar prietaisuose ir kurie tarpusavyje bendrauja ir koordinuoja perduodami pranešimus;

(34)

atsižvelgiant į novatoriškų technologijų ir naujų verslo modelių atsiradimą, tikimasi, kad vidaus rinkoje atsiras naujų debesijos kompiuterijos paslaugų ir diegimo modelių, atsižvelgiant į kintančius vartotojų poreikius. Šiomis aplinkybėmis debesijos kompiuterijos paslaugos gali būti teikiamos labai paskirstyta forma, dar arčiau duomenų generavimo ar rinkimo vietos, taip pereinant nuo tradicinio modelio prie labai paskirstyto modelio (tinklo paribio kompiuterija);

(35)

duomenų centro paslaugų teikėjų siūlomos paslaugos ne visada gali būti teikiamos debesijos kompiuterijos paslaugos forma. Taigi, duomenų centrai ne visada gali priklausyti debesijos kompiuterijos infrastruktūrai. Siekiant valdyti visą riziką, kuri kyla tinklų ir informacinių sistemų saugumui, ši direktyva turėtų būti taikoma duomenų centrų paslaugų, kurios nėra debesijos kompiuterijos paslaugos, teikėjams. Taikant šią direktyvą, sąvoka „duomenų centro paslauga“ turėtų apimti paslaugos, kuri apima struktūras arba struktūrų grupes, skirtas informacinių technologijų (IT) ir tinklo įrangos centralizuotam pritaikymui, tarpusavio junglumui ir eksploatavimui, teikiant duomenų saugojimo, tvarkymo ir transportavimo paslaugas kartu su visa energijos paskirstymo ir aplinkos kontrolės įranga ir infrastruktūra, teikimą. Sąvoka „duomenų centro paslauga“ neturėtų būti taikoma vidaus korporatyviniams duomenų centrams, kurie priklauso atitinkamam subjektui ir yra jo eksploatuojami to subjekto reikmėms;

(36)

vienas iš svarbiausių vaidmenų kuriant naujus produktus ir procesus tenka tyrimų veiklai. Didžiąją dalį tos veiklos vykdo subjektai, kurie dalijasi savo tyrimų rezultatais, juos platina arba naudoja komerciniais tikslais. Todėl tie subjektai gali būti svarbūs vertės grandinių dalyviai, o jų tinklų ir informacinių sistemų saugumas yra neatsiejama bendro vidaus rinkos kibernetinio saugumo dalis. Tyrimų organizacijos turėtų būti suprantamos kaip apimančios subjektus, kurie pagrindinę dalį savo veiklos skiria taikomųjų mokslinių tyrimų arba eksperimentinės plėtros vykdymui, kaip tai suprantama 2015 m. Ekonominio bendradarbiavimo ir plėtros organizacijos Fraskačio vadove: mokslinių tyrimų ir eksperimentinės plėtros duomenų rinkimo ir teikimo gairėse (angl. „Frascati Manual 2015: Guidelines for Collecting and Reporting Data on Research and Experimental Development“), siekdami panaudoti savo rezultatus komerciniais tikslais, pavyzdžiui, produkto ar proceso gamybos ar kūrimo arba paslaugos teikimo ir jų pateikimo rinkai tikslais;

(37)

didėjančią tarpusavio priklausomybę lemia vis labiau tarptautinio pobūdžio ir tarpusavyje priklausomas paslaugų teikimo tinklas, kuriame naudojami pagrindiniai visoje Sąjungoje esantys tokių sektorių kaip energetika, transportas, skaitmeninė infrastruktūra, geriamasis vanduo ir nuotekos, sveikata, tam tikri viešojo administravimo aspektai, taip pat kosmosas, infrastruktūros objektai, kiek tai susiję su tam tikrų paslaugų teikimu, kuriam įtakos turi antžeminės infrastruktūros objektai, kurie priklauso valstybėms narėms arba privačioms šalims, yra jų valdomi arba eksploatuojami, todėl tai neapima infrastruktūros objektų, kurie priklauso Sąjungai, kai ji įgyvendina savo kosmoso programą, arba kurie yra valdomi ar eksploatuojami Sąjungos vardu šios programos įgyvendinimo metu. Ta tarpusavio priklausomybė reiškia, kad bet koks sutrikimas, kuris iš pradžių įvyksta tik viename subjekte arba sektoriuje, gali turėti platesnį grandininį poveikį ir sukelti platesnio masto ir ilgalaikes neigiamas pasekmes paslaugų teikimui visoje vidaus rinkoje. COVID-19 pandemijos metu padažnėję kibernetiniai išpuoliai parodė, kad vis labiau tarpusavyje priklausoma visuomenė yra pažeidžiama atsižvelgiant į mažai tikėtiną riziką;

(38)

atsižvelgiant į nacionalinių valdymo struktūrų skirtumus ir siekiant išsaugoti jau veikiančias sektorių sistemas ar Sąjungos priežiūros ir reguliavimo įstaigas, valstybės narės turėtų turėti teisę paskirti ar įsteigti vieną ar daugiau kompetentingų institucijų, atsakingų už užduočių kibernetinio saugumo ir priežiūros srityse pagal šią direktyvą vykdymą;

(39)

siekiant palengvinti tarpvalstybinį institucijų bendradarbiavimą ir ryšių palaikymą bei sudaryti sąlygas veiksmingai įgyvendinti šią direktyvą, būtina, kad kiekviena valstybė narė paskirtų bendrąjį kontaktinį punktą, atsakingą už klausimų, susijusių su tinklų ir informacinių sistemų saugumu, koordinavimą ir tarpvalstybinį bendradarbiavimą Sąjungos lygmeniu;

(40)

bendrieji kontaktiniai punktai turėtų užtikrinti veiksmingą tarpvalstybinį bendradarbiavimą su atitinkamomis kitų valstybių narių institucijomis ir prireikus su Komisija ir ENISA. Todėl bendriesiems kontaktiniams punktams turėtų būti pavesta, CSIRT arba kompetentingai institucijai paprašius, persiųsti pranešimus apie didelius tarpvalstybinio poveikio incidentus kitų paveiktų valstybių narių bendriesiems kontaktiniams punktams. Nacionaliniu lygmeniu bendrieji kontaktiniai punktai turėtų sudaryti sąlygas sklandžiam tarpsektoriniam bendradarbiavimui su kitomis kompetentingomis institucijomis. Bendrieji kontaktiniai punktai taip pat galėtų gauti atitinkamą informaciją apie incidentus, susijusius su finansų sektoriaus subjektais, iš kompetentingų institucijų pagal Reglamentą (ES) 2022/2554, kurią jie turėtų turėti galimybę, kai tinkama, persiųsti CSIRT arba kompetentingoms institucijoms pagal šią direktyvą;

(41)

valstybės narės turėtų būti tinkamai pasirengusios – turėti tiek techninių, tiek organizacinių pajėgumų, kad galėtų užkirsti kelią incidentams bei rizikai, juos atskleisti, į juos reaguoti ir sušvelninti jų poveikį. Todėl valstybės narės turėtų pagal šią direktyvą įsteigti ar paskirti vieną ar daugiau CSIRT ir užtikrinti, kad jos turėtų pakankamai išteklių bei techninių pajėgumų. CSIRT turėtų atitikti šioje direktyvoje nustatytus reikalavimus, kad būtų garantuoti veiksmingi bei suderinami incidentų bei rizikos valdymo pajėgumai ir užtikrintas veiksmingas bendradarbiavimas Sąjungos lygmeniu. Valstybės narės turėtų turėti galimybę CSIRT paskirti jau esamas kompiuterinių incidentų tyrimo tarnybas (CERT). Siekiant stiprinti pasitikėjimu grindžiamus santykius tarp subjektų ir CSIRT, tais atvejais, kai CSIRT veikia kompetentingoje institucijoje, valstybės narės turėtų galėti apsvarstyti galimybę funkciniu požiūriu atskirti CSIRT vykdomas operatyvines užduotis, ypač susijusias su dalijimusi informacija ir subjektams teikiama pagalba, ir kompetentingų institucijų priežiūros veiklą;

(42)

CSIRT pavesta valdyti incidentus. Tai apima didelių kartais neskelbtinų duomenų kiekių tvarkymą. Valstybės narės turėtų užtikrinti, kad CSIRT turėtų dalijimosi informacija ir jos tvarkymo infrastruktūrą, taip pat gerai aprūpintą personalą, kuris užtikrintų jų operacijų konfidencialumą ir patikimumą. CSIRT taip pat galėtų priimti elgesio kodeksus šiuo klausimu;

(43)

kalbant apie asmens duomenis pažymėtina, kad CSIRT turėtų turėti galimybę pagal Reglamentą (ES) 2016/679 subjekto, kuriam taikoma ši direktyva, prašymu imtis iniciatyvos patikrinti tinklų ir informacines sistemas, naudojamas esminio ar svarbaus subjekto paslaugoms teikti. Jei taikoma, valstybės narės turėtų siekti užtikrinti vienodą visų sektorių CSIRT techninių pajėgumų lygį. Valstybės narės turėtų turėti galimybę paprašyti ENISA padėti kurti jų CSIRT;

(44)

CSIRT turėtų turėti galimybę esminio ar svarbaus subjekto prašymu stebėti subjekto su internetu susietus išteklius tiek patalpose, tiek už jų ribų, kad nustatytų, suprastų ir valdytų subjekto bendrą organizacinę riziką, susijusią su naujai nustatytomis tiekimo grandinės spragomis ar kritiniais pažeidžiamumais. Subjektas turėtų būti skatinamas pranešti CSIRT, ar jis naudoja privilegijuotojo valdymo sąsają, nes tai galėtų turėti įtakos rizikos mažinimo veiksmų įgyvendinimo spartai;

(45)

atsižvelgiant į tarptautinio bendradarbiavimo kibernetinio saugumo srityje svarbą, CSIRT turėtų turėti galimybę dalyvauti ne tik šia direktyva sukurto CSIRT tinklo, bet ir tarptautinio bendradarbiavimo tinklų veikloje. Todėl siekdamos vykdyti savo užduotis, CSIRT ir kompetentingos institucijos turėtų turėti galimybę keistis informacija, įskaitant asmens duomenis, su trečiųjų valstybių nacionalinėmis reagavimo į kompiuterių saugumo incidentus grupėmis arba kompetentingomis institucijomis, jeigu laikomasi Sąjungos duomenų apsaugos teisės aktuose nustatytų asmens duomenų perdavimo trečiosioms valstybėms sąlygų, inter alia, Reglamento (ES) 2016/679 49 straipsnyje nustatytų sąlygų;

(46)

norint pasiekti šios direktyvos tikslus ir sudaryti galimybę kompetentingoms institucijoms bei CSIRT vykdyti joje nustatytas užduotis, nepaprastai svarbu užtikrinti pakankamus išteklius. Valstybės narės nacionaliniu lygmeniu gali nustatyti finansavimo mechanizmą, pagal kurį būtų dengiamos būtinos išlaidos, susijusios su už kibernetinį saugumą valstybėje narėje atsakingų viešųjų subjektų užduočių vykdymu pagal šią direktyvą. Toks mechanizmas turėtų atitikti Sąjungos teisę, būti proporcingas ir nediskriminacinis, taip pat juo turėtų būti atsižvelgiama į skirtingus požiūrius į saugių paslaugų teikimą;

(47)

CSIRT tinklas turėtų toliau padėti stiprinti valstybių narių tarpusavio pasitikėjimą bei patikimumą ir skatinti spartų ir efektyvų operatyvinį bendradarbiavimą. Siekdamas intensyvinti operatyvinį bendradarbiavimą Sąjungos lygmeniu, CSIRT tinklas turėtų apsvarstyti galimybę pakviesti savo darbe dalyvauti kibernetinio saugumo politikos srityje veikiančius Sąjungos organus ir agentūras, pavyzdžiui, Europolą;

(48)

siekiant pasiekti ir išlaikyti aukštą kibernetinio saugumo lygį, nacionalines kibernetinio saugumo strategijas, kurių reikalaujama pagal šią direktyvą, turėtų sudaryti nuoseklios sistemos, kuriose būtų numatyti strateginiai tikslai bei prioritetai kibernetinio saugumo srityje ir jų įgyvendinimo valdymas. Tas strategijas gali sudaryti viena ar daugiau teisėkūros arba ne teisėkūros priemonių;

(49)

kibernetinės higienos politikoje numatomi tinklų ir informacinių sistemų infrastruktūros, aparatinės įrangos, programinės įrangos ir internetinių programų saugumo, taip pat subjektų naudojamų verslo ir galutinių naudotojų duomenų apsaugos pagrindai. Kibernetinės higienos politika, apimanti bendrą praktikos pavyzdžių, be kita ko, susijusių su programinės ir aparatinės įrangos atnaujinimu, slaptažodžių keitimu, naujai įdiegtų programų valdymu, administratoriaus lygmens prieigos paskyrų ribojimu ir duomenų atsarginiu kopijavimu, rinkinį, sudaro sąlygas iniciatyviai pasirengimo ir bendros saugos bei saugumo incidentų ar kibernetinių grėsmių atveju sistemai. ENISA turėtų stebėti ir analizuoti valstybių narių kibernetinės higienos politiką;

(50)

informuotumas apie kibernetinį saugumą ir kibernetinė higiena yra nepaprastai svarbūs siekiant padidinti kibernetinio saugumo lygį Sąjungoje, visų pirma atsižvelgiant į didėjantį prijungtųjų įrenginių, kurie vis dažniau naudojami kibernetinių išpuolių metu, skaičių. Reikėtų dėti pastangas siekiant didinti bendrą informuotumą apie riziką, susijusią su tokiais įrenginiais, o vertinimai Sąjungos lygmeniu galėtų padėti užtikrinti bendrą supratimą apie tokią riziką vidaus rinkoje;

(51)

valstybės narės turėtų skatinti naudoti visas novatoriškas technologijas, įskaitant dirbtinį intelektą, kurias naudojant galėtų būti geriau atskleidžiami kibernetiniai išpuoliai ir geriau jų išvengiama, sudarant sąlygas veiksmingiau nukreipti išteklius kovai su kibernetiniais išpuoliais. Todėl valstybės narės savo nacionalinėje kibernetinio saugumo strategijoje turėtų skatinti tyrimų ir plėtros veiklą, kad būtų sudarytos palankesnės sąlygos naudoti tokias technologijas, visų pirma susijusias su automatizuotomis arba pusiau automatizuotomis kibernetinio saugumo priemonėmis, ir prireikus dalytis duomenimis, kurių reikia tokių technologijų naudotojams mokyti ir joms tobulinti. Bet kokių novatoriškų technologijų, įskaitant dirbtinį intelektą, naudojimas turėtų atitikti Sąjungos duomenų apsaugos teisės aktus, įskaitant tokius duomenų apsaugos principus, kaip duomenų tikslumo, duomenų kiekio mažinimo, sąžiningumo ir skaidrumo, taip pat duomenų saugumo, pavyzdžiui, pažangiausio šifravimo. Turėtų būti visapusiškai naudojamasi Reglamente (ES) 2016/679 nustatytais pritaikytosios ir standartizuotosios duomenų apsaugos reikalavimais;

(52)

atvirojo kodo kibernetinio saugumo priemonėmis ir taikomosiomis programomis gali būti prisidedama prie didesnio atvirumo ir daromas teigiamas poveikis pramonės inovacijų veiksmingumui. Atviraisiais standartais sudaromos palankesnės sąlygos saugumo priemonių sąveikumui, o tai yra naudinga pramonės suinteresuotųjų subjektų saugumo požiūriu. Atvirojo kodo kibernetinio saugumo priemonėmis ir taikomosiomis programomis gali būti daromas sverto poveikis platesnei technologijų kūrėjų bendruomenei, sudarant galimybes tiekėjų diversifikacijai. Atvirasis kodas gali paskatinti skaidresnį su kibernetiniu saugumu susijusių priemonių tikrinimo procesą ir bendruomenės inicijuotą pažeidžiamumų nustatymo procesą. Todėl valstybės narės turėtų turėti galimybę skatinti atvirojo kodo programinės įrangos ir atvirųjų standartų naudojimą, vykdydamos politiką, susijusią su atvirųjų duomenų ir atvirojo kodo naudojimu, kad skaidrumu būtų prisidėta prie saugumo užtikrinimo. Atvirojo kodo kibernetinio saugumo priemonių diegimo ir tvaraus naudojimo skatinimo politika itin svarbi mažosioms ir vidutinėms įmonėms, patiriančioms dideles įgyvendinimo sąnaudas, kurias būtų galima minimizuoti sumažinant poreikį naudoti konkrečias taikomąsias programas ar priemones;

(53)

komunalinės paslaugos miestuose vis dažniau prijungiamos prie skaitmeninių tinklų, siekiant patobulinti miesto transporto tinklus, modernizuoti vandens tiekimo ir atliekų šalinimo įrenginius ir padidinti apšvietimo bei pastatų šildymo efektyvumą. Toms suskaitmenintoms komunalinėms paslaugoms kyla kibernetinių išpuolių rizika ir sėkmingo kibernetinio išpuolio atveju kyla pavojus, kad dėl jų tarpusavio sąsajų bus padaryta didelė žala piliečiams. Valstybės narės turėtų parengti politiką, pagal kurią būtų sprendžiami tokių sujungtų ar pažangiųjų miestų plėtros ir galimo jų poveikio visuomenei klausimai, esančią jų nacionalinės kibernetinio saugumo strategijos dalimi;

(54)

pastaraisiais metais Sąjungoje eksponentiškai padaugėjo išpuolių naudojant išpirkos reikalavimo programinę įrangą, per kuriuos kenkimo programinė įranga užšifruoja duomenis bei sistemas ir reikalauja išpirkos už iššifravimą. Vis dažnesnius ir rimtesnius išpuolius naudojant išpirkos reikalavimo programinę įrangą gali lemti keli veiksniai, pavyzdžiui, skirtingi išpuolių modeliai, nusikalstamo verslo modeliai, susiję su „paslaugine išpirkos reikalavimo programine įranga“ ir kriptovaliuta, išpirkos reikalavimai ir išaugę išpuoliai tiekimo grandinėje. Valstybės narės turėtų parengti kovos su dažnėjančiais išpuoliais naudojant išpirkos reikalavimo programinę įrangą politiką, esančią jų nacionalinės kibernetinio saugumo strategijos dalimi;

(55)

viešojo ir privačiojo sektorių partnerystė kibernetinio saugumo srityje gali būti tinkama keitimosi žiniomis, dalijimosi geriausios praktikos pavyzdžiais ir bendro supratimo tarp suinteresuotųjų subjektų nustatymo sistema. Valstybės narės turėtų skatinti politiką, pagal kurią būtų kuriamos konkrečiai su kibernetiniu saugumu susijusios viešojo ir privačiojo sektorių partnerystės. Toje politikoje, inter alia, turėtų būti patikslinama taikymo sritis ir dalyvaujantys suinteresuotieji subjektai, valdymo modelis, turimos finansavimo galimybės ir dalyvaujančių suinteresuotųjų subjektų tarpusavio ryšys, kiek tai susiję su viešojo ir privačiojo sektorių partnerystėmis. Viešojo ir privačiojo sektorių partnerystės gali naudotis privačiojo sektoriaus subjektų ekspertinėmis žiniomis, kad padėtų kompetentingoms institucijoms kurti pažangiausias paslaugas ir procesus, įskaitant keitimąsi informacija, ankstyvuosius perspėjimus, kibernetinių grėsmių ir incidentų valdymo pratybas, krizių valdymą ir atsparumo planavimą;

(56)

savo nacionalinėse kibernetinio saugumo strategijose valstybės narės turėtų atsižvelgti į konkrečius mažųjų ir vidutinių įmonių kibernetinio saugumo poreikius. Mažosios ir vidutinės įmonės Sąjungoje sudaro didelę pramoninės ir verslo rinkos procentinę dalį ir dažnai joms sunku prisitaikyti prie naujos verslo praktikos labiau susietame pasaulyje, ir prie skaitmeninės aplinkos, kai darbuotojai dirba iš namų, o verslas vis dažniau vykdomas internetu. Kai kurios mažosios ir vidutinės įmonės susiduria su konkrečiomis kibernetinio saugumo problemomis, pvz., mažu kibernetiniu sąmoningumu, nuotolinio IT saugumo trūkumu, didelėmis kibernetinio saugumo sprendimų sąnaudomis ir išaugusiu grėsmių lygiu, pvz., išpirkos reikalavimo programinės įrangos grėsme, kurių klausimu jos turėtų gauti gaires ir pagalbą. Mažosios ir vidutinės įmonės vis dažniau tampa išpuolių prieš tiekimo grandines taikiniu dėl ne tokių griežtų jų kibernetinio saugumo rizikos valdymo priemonių ir išpuolių valdymo ir dėl to, kad turi ribotus saugumo išteklius. Tokie išpuoliai prieš tiekimo grandines daro poveikį ne tik mažosioms ir vidutinėms įmonėms ir jų veiklai atskirai, bet ir gali daryti pakopinį poveikį didesniems išpuoliams prieš subjektus, kuriems jos tiekė prekes. Valstybės narės savo nacionalinėmis kibernetinio saugumo strategijomis turėtų padėti mažosioms ir vidutinėms įmonėms spręsti problemas, su kuriomis jos susiduria savo tiekimo grandinėse. Valstybės narės turėtų turėti nacionalinį arba regioninį kontaktinį punktą, skirtą mažosioms ir vidutinėms įmonėms, kuris teiktų gaires ir pagalbą mažosioms ir vidutinėms įmonėms arba nukreiptų jas į atitinkamas įstaigas, teikiančias gaires ir pagalbą su kibernetiniu saugumu susijusiais klausimais. Valstybės narės taip pat skatinamos siūlyti tokias paslaugas, kaip interneto svetainių konfigūravimas ir registravimo galimybių suteikimas, tokių gebėjimų neturinčioms labai mažoms ir mažosioms įmonėms;

(57)

valstybės narės turėtų priimti aktyvios kibernetinės apsaugos skatinimo politiką, kaip platesnės gynybos strategijos dalį, esančią jų nacionalinių kibernetinio saugumo strategijų dalimi. Vietoj reaguojamojo pobūdžio atsako aktyvi kibernetinė apsauga yra aktyvaus pobūdžio tinklo saugumo pažeidimų prevencija, nustatymas, stebėjimas, analizė ir poveikio švelninimas, sykiu naudojant nukentėjusiųjų tinkle ir už jo ribų įdiegtus pajėgumus. Tai galėtų apimti valstybių narių siūlomas nemokamas paslaugas ar priemones, įskaitant savarankiškus pasitikrinimus, atskleidimo priemones ir turinio pašalinimo paslaugas, tam tikriems subjektams. Gebėjimas greitai ir automatiškai dalytis informacija apie grėsmes ir analize, įspėjimais apie kibernetinę veiklą ir informacija apie reagavimo veiksmus ir juos suprasti yra nepaprastai svarbus siekiant užtikrinti, kad būtų imamasi vieningų pastangų sėkmingai užkirsti kelią išpuoliams prieš tinklų ir informacines sistemas, juos atskleisti, kovoti su jais ir juos blokuoti. Aktyvi kibernetinė apsauga grindžiama gynybos strategija, į kurią neįtraukiamos puolamosios priemonės;

(58)

kadangi pasinaudojimas tinklų ir informacinių sistemų pažeidžiamumais gali sukelti rimtus sutrikimus ir žalą, greitas tokių pažeidžiamumų nustatymas ir jų ištaisymas yra svarbus veiksnys mažinant riziką. Todėl tinklų ir informacines sistemas kuriantys arba administruojantys subjektai turėtų nustatyti atitinkamas procedūras, kurias taikant būtų šalinami aptikti pažeidžiamumai. Kadangi pažeidžiamumus dažnai aptinka ir atskleidžia trečiosios šalys, IRT produktų ar IRT paslaugų gamintojas arba teikėjas taip pat turėtų nustatyti būtinas procedūras, pagal kurias iš trečiųjų šalių būtų gaunama informacija apie pažeidžiamumą. Šuo atžvilgiu tarptautiniuose standartuose ISO/IEC 30111 ir ISO/IEC 29147 pateikiamos gairės dėl pažeidžiamumų šalinimo ir atskleidimo. Siekiant sudaryti sąlygas savanoriškai pažeidžiamumų atskleidimo sistemai, ypač svarbu stiprinti koordinavimą tarp pranešimą teikiančių fizinių ir juridinių asmenų ir IRT produktų ar IRT paslaugų gamintojų arba teikėjų. Koordinuotas pažeidžiamumų atskleidimas yra struktūrinis procesas, per kurį potencialiai pažeidžiamų IRT produktų ar IRT paslaugų gamintojui arba teikėjui pranešama apie pažeidžiamumus taip, kad jam būtų sudarytos sąlygos pažeidžiamumą nustatyti ir ištaisyti prieš atskleidžiant išsamią informaciją apie pažeidžiamumus trečiosioms šalims arba visuomenei. Koordinuotas pažeidžiamumų atskleidimas taip pat turėtų apimti pranešimą teikiančio fizinio ar juridinio asmens ir potencialiai pažeidžiamų IRT produktų ar IRT paslaugų gamintojo arba teikėjo koordinavimą ištaisymo laiko ir paskelbimo apie pažeidžiamumus klausimais;

(59)

Komisija, ENISA ir valstybės narės turėtų toliau skatinti derinimą su tarptautiniais standartais ir esama sektoriaus gerąją praktika kibernetinio saugumo rizikos valdymo srityje, pavyzdžiui, tiekimo grandinės saugumo vertinimų, dalijimosi informacija ir pažeidžiamumų atskleidimo srityse;

(60)

valstybės narės, bendradarbiaudamos su ENISA, turėtų imtis priemonių, kad palengvintų koordinuotą pažeidžiamumų atskleidimą, nustatydamos atitinkamą nacionalinę politiką. Vykdydamos savo nacionalinę politiką, valstybės narės turėtų siekti kuo didesniu mastu reaguoti į iššūkius, su kuriais susiduria pažeidžiamumų tyrėjai, įskaitant jų galimą baudžiamosios atsakomybės riziką, laikantis nacionalinės teisės. Atsižvelgiant į tai, kad pažeidžiamumus tiriantiems fiziniams ir juridiniams asmenims kai kuriose valstybėse narėse gali kilti baudžiamosios ir civilinės atsakomybės rizika, valstybės narės raginamos priimti gaires dėl informacijos saugumo tyrėjų netraukimo baudžiamojon atsakomybėn ir atleidimo nuo civilinės atsakomybės už jų veiklą;

(61)

valstybės narės turėtų paskirti vieną iš savo CSIRT koordinatore, kuri, prireikus, veiktų kaip patikima tarpininkė tarp pranešimus teikiančių fizinių ar juridinių subjektų ir IRT produktų ar IRT paslaugų gamintojų arba teikėjų, kuriems pažeidžiamumas gali daryti poveikį. Koordinatore paskirtos CSIRT užduotys turėtų apimti atitinkamų subjektų identifikavimą ir susisiekimą su jais, pranešimus apie pažeidžiamumą teikiančių fizinių ar juridinių subjektų rėmimą, derybas dėl informacijos atskleidimo terminų ir pažeidžiamumų, kurie daro poveikį keliems subjektams, valdymą (kelių šalių koordinuotas pažeidžiamumų atskleidimas). Kai pažeidžiamumas, apie kurį pranešta, galėtų daryti didelį poveikį subjektams daugiau nei vienoje valstybėje narėje, kai tikslinga, koordinatorėmis paskirtos CSIRT turėtų bendradarbiauti CSIRT tinkle;

(62)

prieiga prie teisingos ir laiku pateikiamos informacijos apie pažeidžiamumus, kurie daro poveikį IRT produktams ir IRT paslaugoms, padeda geriau valdyti kibernetinio saugumo riziką. Viešai prieinamos informacijos apie pažeidžiamumus šaltiniai yra svarbi priemonė ne tik subjektams ir jų paslaugų naudotojams, bet ir kompetentingoms institucijoms bei CSIRT. Dėl tos priežasties ENISA turėtų sukurti Europos pažeidžiamumų duomenų bazę, kurioje subjektai, nepriklausomai nuo to, ar jie patenka į šios direktyvos taikymo sritį, ir jų tinklų ir informacinių sistemų tiekėjai, taip pat kompetentingos institucijos ir CSIRT gali savanoriškai atskleisti ir registruoti viešai žinomus pažeidžiamumus, siekiant sudaryti sąlygas naudotojams imtis atitinkamų rizikos mažinimo priemonių. Tos duomenų bazės tikslas – atremti unikalius iššūkius, kurie iškyla dėl Sąjungos subjektams kylančios rizikos. Be to, ENISA turėtų nustatyti tinkamą procedūrą, susijusią su viešinimo procesu, kad subjektai turėtų laiko imtis rizikos mažinimo priemonių, susijusių su jų pažeidžiamumais, ir pradėtų taikyti pažangiąsias kibernetinio saugumo rizikos valdymo priemones, taip pat kompiuterio skaitomus duomenų rinkinius ir atitinkamas sąsajas. Siekiant skatinti pažeidžiamumų atskleidimo kultūrą, atskleidimas neturėtų pakenkti pranešančiajam fiziniam ar juridiniam asmeniui;

(63)

nors panašūs pažeidžiamumų registrai arba duomenų bazės jau yra sukurti, jų prieglobą vykdo ir juos tvarko subjektai, kurie nėra įsisteigę Sąjungoje. ENISA tvarkoma Europos pažeidžiamumų duomenų bazė padėtų užtikrinti didesnį paskelbimo proceso iki viešo pažeidžiamumų atskleidimo skaidrumą ir atsparumą panašių paslaugų teikimo sutrikimo arba nutraukimo atveju. Siekdama kuo labiau išvengti veiksmų dubliavimo ir siekti papildomumo, ENISA turėtų išnagrinėti galimybę sudaryti struktūrinio bendradarbiavimo susitarimus su panašiais registrais arba duomenų bazėmis, kurie priklauso trečiųjų valstybių jurisdikcijoms. Visų pirma ENISA turėtų išnagrinėti galimybę glaudžiai bendradarbiauti su Bendros pažeidžiamumų ir rizikos (BPR) sistemos operatoriais;

(64)

Bendradarbiavimo grupė turėtų remti ir palengvinti valstybių narių strateginį bendradarbiavimą ir keitimąsi informacija, taip pat didinti jų tarpusavio pasitikėjimą ir patikimumą. Bendradarbiavimo grupė turėtų kas dvejus metus patvirtinti darbo programą. Darbo programa turėtų apimti veiksmus, kurių Bendradarbiavimo grupė turi imtis, kad pasiektų savo tikslus ir įvykdytų užduotis. Pirmosios pagal šią direktyvą darbo programos patvirtinimo laikotarpis turėtų būti suderintas su paskutinės darbo programos, patvirtintos pagal Direktyvą (ES) 2016/1148, laikotarpiu, kad būtų išvengta galimų Bendradarbiavimo grupės darbo sutrikimų;

(65)

rengdama gairių dokumentus, Bendradarbiavimo grupė turėtų nuosekliai išsiaiškinti nacionalinius sprendimus ir patirtį, įvertinti Bendradarbiavimo grupės rezultatų poveikį nacionaliniams požiūriams, aptarti įgyvendinimo problemas ir suformuluoti konkrečias rekomendacijas, visų pirma dėl šios direktyvos perkėlimo į nacionalinę teisę suderinimo tarp valstybių narių palengvinimo, į kurias turėtų būti atsižvelgiama geriau įgyvendinant dabartines taisykles. Bendradarbiavimo grupė taip pat galėtų apibendrinti nacionalinius sprendimus, kad būtų skatinamas kibernetinio saugumo sprendimų, taikomų kiekvienam konkrečiam sektoriui visoje Sąjungoje, suderinamumas. Tai ypač svarbu tarptautinio ar tarpvalstybinio pobūdžio sektoriams;

(66)

Bendradarbiavimo grupė turėtų išlikti lanksčiu forumu ir sugebėti reaguoti į kintančius ir naujus politikos prioritetus bei problemas ir kartu atsižvelgti į prieinamus išteklius. Ji galėtų nuolat rengti bendrus susitikimus su atitinkamais privačiais suinteresuotaisiais subjektais iš visos Sąjungos, kad aptartų Bendradarbiavimo grupės vykdomą veiklą ir surinktų duomenų bei informacijos apie naujus politikos iššūkius. Be to, Bendradarbiavimo grupė turėtų reguliariai vertinti kibernetinių grėsmių ar incidentų, pavyzdžiui, susijusių su išpirkos reikalavimo programine įranga, padėtį. Siekdama didinti bendradarbiavimą Sąjungos lygmeniu, Bendradarbiavimo grupė turėtų apsvarstyti galimybę pakviesti savo veikloje dalyvauti atitinkamas kibernetinio saugumo politikos srityje veikiančias Sąjungos institucijas, įstaigas, organus ir agentūras, pavyzdžiui, Europos Parlamentą, Europolą, Europos duomenų apsaugos valdybą, Europos Sąjungos aviacijos saugos agentūrą, įsteigtą Reglamentu (ES) 2018/1139, ir Europos Sąjungos kosmoso programos agentūrą, įsteigtą Europos Parlamento ir Tarybos reglamentu (ES) 2021/696 (14);

(67)

kompetentingos institucijos ir CSIRT turėtų turėti galimybę dalyvauti pareigūnų iš kitų valstybių narių mainų programose specialioje sistemoje ir, kai taikytina, taikant reikiamą tokiose mainų programose dalyvaujančių pareigūnų patikimumo patikrinimą, siekiant pagerinti bendradarbiavimą ir didinti valstybių narių tarpusavio pasitikėjimą. Kompetentingos institucijos turėtų imtis būtinų priemonių, kad pareigūnai iš kitų valstybių narių galėtų veiksmingai dalyvauti priimančiosios kompetentingos institucijos arba priimančiosios CSIRT veikloje;

(68)

valstybės narės turėtų prisidėti kuriant Komisijos rekomendacijoje (ES) 2017/1584 (15) numatytą ES reagavimo į kibernetinio saugumo krizes sistemą per esamus bendradarbiavimo tinklus, visų pirma per Europos ryšių palaikymo dėl kibernetinių krizių organizacinį tinklą (EU-CyCLONe), CSIRT tinklą ir Bendradarbiavimo grupę. EU-CyCLONe ir CSIRT tinklas turėtų bendradarbiauti remdamiesi procedūrinėmis taisyklėmis, kuriomis išsamiau apibrėžiamas tas bendradarbiavimas, ir vengti bet kokio užduočių dubliavimosi. EU-CyCLONe darbo tvarkos taisyklėse taip pat turėtų būti aptarta to tinklo veikimo tvarka, įskaitant tinklo vaidmenis, bendradarbiavimo būdus, sąveiką su kitais atitinkamais dalyviais ir dalijimosi informacija šablonus, taip pat ryšių palaikymo priemones. Siekdamos valdyti krizę Sąjungos lygmeniu, atitinkamos šalys turėtų kliautis ES integruoto politinio atsako į krizes mechanizmu, kaip nustatyta Tarybos įgyvendinimo sprendime (ES) 2018/1993 (16) (toliau – IPCR mechanizmas). Komisija tuo tikslu turėtų naudoti aukšto lygmens tarpsektorinį krizės koordinavimo procesą ARGUS. Jei krizė susijusi su svarbiais išorės arba bendros saugumo ir gynybos politikos aspektais, turėtų būti panaudotas Europos išorės veiksmų tarnybos reagavimo į krizę mechanizmas;

(69)

pagal Rekomendacijos (ES) 2017/1584 priedą didelio masto kibernetinio saugumo incidentas turėtų reikšti incidentą, į kurio sukeltą sutrikimą viena valstybė narė nepajėgia reaguoti arba kuris turi didelį poveikį ne mažiau kaip dviem valstybėms narėms. Priklausomai nuo jų priežasties ir poveikio, didelio masto kibernetinio saugumo incidentai gali stiprėti ir virsti plataus masto krizėmis, dėl kurių vidaus rinka negali tinkamai veikti, arba kelti rimtą pavojų visuomenės saugumui ir subjektų ar piliečių saugai keliose valstybėse narėse arba visoje Sąjungoje. Atsižvelgiant į tai, kad tokie incidentai yra labai įvairaus masto ir dažniausiai tarpvalstybinio pobūdžio, valstybės narės ir atitinkamos Sąjungos institucijos, įstaigos, organai ir agentūros turėtų bendradarbiauti techniniu, operatyviniu ir politiniu lygmenimis, kad tinkamai koordinuotų atsaką visoje Sąjungoje;

(70)

kilus didelio masto kibernetinio saugumo incidentams ir krizėms Sąjungos lygmeniu, dėl didelės sektorių ir valstybių narių tarpusavio priklausomybės reikia imtis koordinuotų veiksmų, kad būtų užtikrintas greitas ir veiksmingas reagavimas. Siekiant užtikrinti Sąjungos saugumą ir apsaugoti jos piliečius, įmones bei institucijas nuo incidentų ir kibernetinių grėsmių, taip pat didinti asmenų ir organizacijų pasitikėjimą Sąjungos gebėjimu propaguoti ir apsaugoti pasaulinę, atvirą, laisvą, stabilią ir saugią kibernetinę erdvę, grindžiamą žmogaus teisėmis, pagrindinėmis laisvėmis, demokratija ir teisine valstybe, nepaprastai svarbu turėti kibernetinėms grėsmėms atsparias tinklų ir informacines sistemas bei prieinamus, konfidencialius ir vientisus duomenis;

(71)

didelio masto kibernetinio saugumo incidentų ir krizių metu EU-CyCLONe turėtų veikti kaip tarpininkas tarp techninio ir politinio lygmens ir turėtų stiprinti bendradarbiavimą operatyviniu lygmeniu bei remti sprendimų priėmimą politiniu lygmeniu. Bendradarbiaudamas su Komisija ir atsižvelgdamas į Komisijos kompetenciją krizių valdymo srityje, EU-CyCLONe turėtų remtis CSIRT tinklo nustatytais faktais ir naudotis savo pajėgumais, kad parengtų didelio masto kibernetinio saugumo incidentų ir krizių poveikio analizę;

(72)

kibernetiniai išpuoliai yra tarpvalstybinio pobūdžio ir didelis incidentas gali sutrikdyti ypatingos svarbos informacinės infrastruktūros, nuo kurios priklauso sklandus vidaus rinkos veikimas, veiklą ir jai gali būti pakenkta. Rekomendacijoje (ES) 2017/1584 aptariamas visų susijusių veikėjų vaidmuo. Be to, pagal Sąjungos civilinės saugos mechanizmo, sukurto Europos Parlamento ir Tarybos sprendimu Nr. 1313/2013/ES (17), Komisija yra atsakinga už bendruosius pasirengimo veiksmus, įskaitant Reagavimo į nelaimes koordinavimo centro ir Bendros ekstremaliųjų situacijų ryšių ir informacijos sistemos valdymą, informuotumo apie padėtį ir jos analizės pajėgumų išlaikymą bei tolesnį plėtojimą, taip pat pajėgumų mobilizuoti ir siųsti ekspertų grupes valstybei narei arba trečiajai valstybei paprašius pagalbos sukūrimą ir valdymą. Komisija yra atsakinga ir už analitinių ataskaitų dėl IPCR mechanizmo pagal Įgyvendinimo sprendimą (ES) 2018/1993 teikimą, be kita ko, kiek tai susiję su informuotumu apie kibernetinio saugumo padėtį ir pasirengimu, taip pat dėl informuotumo apie padėtį ir reagavimo į krizes žemės ūkio, nepalankių oro sąlygų, konfliktų kartografavimo ir prognozių, ankstyvojo perspėjimo apie gaivalines nelaimes sistemų, ekstremaliųjų sveikatos situacijų, infekcinių ligų stebėjimo, augalų sveikatos, cheminių incidentų, maisto ir pašarų saugos, gyvūnų sveikatos, migracijos, muitinės, branduolinių ir radiologinių ekstremaliųjų situacijų bei energetikos srityse;

(73)

pagal SESV 218 straipsnį Sąjunga, kai tinkama, gali sudaryti tarptautinius susitarimus su trečiosiomis valstybėmis ar tarptautinėmis organizacijomis, pagal kuriuos joms būtų leidžiama dalyvauti tam tikroje Bendradarbiavimo grupės, CSIRT tinklo ir EU-CyCLONe veikloje ir toks dalyvavimas būtų organizuojamas. Tokiuose susitarimuose turėtų būti užtikrinami Sąjungos interesai ir tinkama duomenų apsauga. Tai neturėtų daryti poveikio valstybių narių teisei bendradarbiauti su trečiosiomis valstybėmis pažeidžiamumų valdymo ir kibernetinio saugumo rizikos valdymo klausimais, palengvinant pranešimų teikimą ir keitimąsi bendrąja informacija laikantis Sąjungos teisės;

(74)

siekdamos palengvinti šios direktyvos veiksmingą įgyvendinimą dėl, inter alia, pažeidžiamumų valdymo, kibernetinio saugumo rizikos valdymo priemonių, pareigų pranešti ir dalijimosi kibernetinio saugumo informacija susitarimų, valstybės narės gali bendradarbiauti su trečiosiomis valstybėmis ir imtis veiklos, kuri laikoma tinkama tam tikslui, įskaitant keitimąsi informacija apie kibernetines grėsmes, incidentus, pažeidžiamumus, priemones ir metodus, taktiką, metodiką ir procedūras, kibernetinio saugumo krizių valdymo parengtį ir pratybas, mokymus, pasitikėjimo stiprinimą ir struktūrizuoto dalijimosi informacija susitarimus;