This document is an excerpt from the EUR-Lex website
Document 52019DC0546
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL assessing the consistency of the approaches taken by Member States in the identification of operators of essential services in accordance with Article 23(1) of Directive 2016/1148/EU on security of network and information systems
KOMISIJAS ZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI, kurā saskaņā ar Direktīvas 2016/1148/ES par tīklu un informācijas sistēmu drošību 23. panta 1. punktu izvērtēta tās pieejas konsekvence, ko dalībvalstis izmanto pamatpakalpojumu sniedzēju identifikācijā
KOMISIJAS ZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI, kurā saskaņā ar Direktīvas 2016/1148/ES par tīklu un informācijas sistēmu drošību 23. panta 1. punktu izvērtēta tās pieejas konsekvence, ko dalībvalstis izmanto pamatpakalpojumu sniedzēju identifikācijā
COM/2019/546 final
EIROPAS KOMISIJA
Briselē, 28.10.2019
COM(2019) 546 final
KOMISIJAS ZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI,
kurā saskaņā ar Direktīvas 2016/1148/ES par tīklu un informācijas sistēmu drošību 23. panta 1. punktu izvērtēta tās pieejas konsekvence, ko dalībvalstis izmanto pamatpakalpojumu sniedzēju identifikācijā
1.Ievads
Direktīva (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā 1 (TID direktīva) ir pirmais iekšējā tirgus instruments, kura mērķis ir uzlabot ES noturību pret kiberdrošības riskiem. Saskaņā ar Līguma par Eiropas Savienības darbību 114. pantu direktīvas mērķis ir nodrošināt pakalpojumu nepārtrauktību, kas ļautu Savienības ekonomikai un sabiedrībai pienācīgi darboties. Lai to panāktu, direktīva ievieš konkrētus pasākumus, ar ko veido kiberdrošības spējas visā ES un mazina pieaugošo apdraudējumu tīklu un informācijas sistēmām, kuras izmanto, lai nodrošinātu pamatpakalpojumus svarīgās nozarēs.
Pēc tās stāšanās spēkā 2016. gada augustā dalībvalstīm līdz 2018. gada 9. maijam 2 bija jāpieņem savi pasākumi, kas nepieciešami TID direktīvas noteikumu izpildei. Direktīva veicina riska pārvaldības kultūru tādu uzņēmumu vai citu vienību vidū, kas sniedz pamatpakalpojumus un kas saskaņā ar 5. pantu ir definēti kā “pamatpakalpojumu sniedzēji” (PPS). Pakalpojumu sniedzējiem, uz kuriem attiecas direktīvas darbības joma, jāveic atbilstoši un samērīgi tehniskie un organizatoriskie pasākumi, kuru mērķis ir pārvaldīt to tīklu un informācijas sistēmu drošības riskus un paziņot kompetentajām iestādēm par nopietniem incidentiem.
Likumdevēji ir deleģējuši TID direktīvas īstenošanu dalībvalstīm, kurām jādefinē pamatpakalpojumi un jāidentificē pamatpakalpojumu sniedzēji savā teritorijā. Tādējādi direktīvas 5. panta 7. punkts paredz, ka dalībvalstīm jāziņo Komisijai par šīs identifikācijas rezultātiem. Lai nodrošinātu saskaņotu ziņošanu, gan Komisija 3 , gan ar direktīvu izveidotā sadarbības grupa 4 sniedza dalībvalstīm norādījumus par identifikācijas procesu.
Saskaņā ar 23. panta 1. punktu šis ziņojums izvērtē tās pieejas konsekvenci, ko dalībvalstis izmanto pamatpakalpojumu sniedzēju identifikācijā. Tā kā PPS identifikācijas konsekvence un fragmentācijas risks iekšējā tirgū šajā jomā ir cieši saistīti, šis ziņojums tiks arī izmantots TID direktīvas plašākā novērtējumā, kā noteikts 23. panta 2. punktā, kurš paredz, ka Komisijai periodiski jāpārskata direktīvas vispārējā darbība un jāizvērtē to nozaru un apakšnozaru saraksts, uz kurām attiecas PPS identifikācija, un direktīvā aptverto digitālo pakalpojumu veidi. Pirmais ziņojums jāiesniedz līdz 2021. gada 9. maijam.
1.1. Ziņojuma mērķis
Saistībā ar pamatpakalpojumu sniedzēju svarīgo lomu ekonomikā un sabiedrībā kopumā tiem jāapliecina īpaši augsts noturības līmenis pret kiberincidentiem. Šajā saistībā konsekventa pieeja dalībvalstu veiktā PPS identifikācijā ir svarīga vairāku iemeslu dēļ.
1.Samazināt riskus, kas saistīti ar pārrobežu atkarību
Nespēja konsekventi identificēt svarīgus pārrobežu pakalpojumu sniedzējus var radīt nevienlīdzīgu kibernoturības līmeni dalībvalstu starpā, palielinot risku, ka pārrobežu incidents bojātu kritisko infrastruktūru vai izraisītu iedzīvotāju bojāeju 5 . Piemēram, enerģijas pārvades operatori vai augstākā līmeņa domēnu nosaukumu reģistri (abi ietilpst II pielikumā norādītajā vienību veidu sarakstā) ir vienības, kas maksimāli izmanto iekšējo tirgu, sniedzot pārrobežu pakalpojumus patērētājiem un uzņēmumiem. Šādu pakalpojumu sniedzēju konsekventa identifikācija Savienībā tādējādi varētu palīdzēt novērst kiberdraudu izplatību iekšējā tirgū 6 .
2.Garantēt vienlīdzīgus konkurences apstākļus pakalpojumu sniedzējiem iekšējā tirgū
TID direktīva paredz, ka dalībvalstīm jānosaka pamatpakalpojumu sniedzējiem drošības prasības un incidentu paziņošanas procedūras. Tā kā direktīvā ievēro minimālās saskaņošanas pieeju attiecībā uz PPS, dalībvalstis pakalpojumu sniedzējiem var piemērot prasības, kas ir stingrākas par direktīvā minētajām. Lai gan šie pasākumi uzlabo dalībvalstu noturību, tie var radīt papildu regulatīvās izmaksas attiecīgajiem pakalpojumu sniedzējiem. Tādējādi ir svarīgi, lai pakalpojumu sniedzējiem, kas nodrošina līdzīgas nozīmes līdzīgus pakalpojumus, piemēro līdzīgu regulatīvo režīmu.
3.Samazināt atšķirīgu direktīvas interpretāciju risku
Direktīva ir izstrādāta tā, lai sniegtu dalībvalstīm rīcības brīvību atbilstošo vienību izvēlē, tādējādi ņemot vērā valstu specifiku. Vienlaikus šī pieeja palielina direktīvas noteikumu atšķirīgas īstenošanas risku un var radīt dalībvalstu pieņemto pasākumu nekonsekvenci. Tas ir jo īpaši svarīgi uzņēmumiem, kas darbojas vairākās valstīs un kam tādējādi jāievēro vairāk nekā tikai vienas dalībvalsts regulatīvās prasības.
4.Izstrādāt visaptverošu pārskatu par kibernoturības līmeni ES
Pamatpakalpojumu sniedzējiem piemēro uzraudzības darbības, kuru mērķis ir pārbaudīt drošības politikas īstenošanas efektivitāti, kā arī paziņojumus par būtiskiem incidentiem. Uzraudzība sekmē spēcīgākas publiskā un privātā sektora sadarbības attīstību, tādējādi nodrošinot kopīgu zināšanu attīstību par kiberdrošības gatavību konkrētā dalībvalstī. Pateicoties sadarbības grupai, valstu pieredzi, ar ko tās dalījušās, tostarp informāciju par paziņotajiem incidentiem 7 , var apkopot ES līmenī un tā var veicināt precīzāku novērtējumu par galvenajiem apdraudējumiem un vajadzībām. Tomēr, lai šāda informācijas apmaiņa būtu efektīva, tai vajadzētu būt balstītai uz vienotu izpratni par to, kuras vienības būtu jāidentificē kā PPS.
1.2. TID direktīvā noteiktā identifikācijas procedūra
TID direktīvas II pielikumā ir iekļauts saraksts ar septiņām nozarēm, to attiecīgajām apakšnozarēm un vienību veidiem, uz ko attiecas identifikācijas process ( 1 . tabula). Direktīvas 5. panta 3. punkts paredz, ka dalībvalstis izveido pamatpakalpojumu sarakstu, balstoties uz šīm nozarēm, apakšnozarēm un vienību veidiem. Direktīvas minimālās saskaņošanas pieeja ļauj dalībvalstīm pārsniegt II pielikuma tvērumu un veikt identifikāciju papildu nozarēs un apakšnozarēs.
|
Nozare |
Apakšnozare |
|
1. Enerģētika |
a) Elektroenerģija |
|
b) Nafta |
|
|
c) Gāze |
|
|
2. Transports |
a) Gaisa transports |
|
b) Dzelzceļa transports |
|
|
c) Ūdens transports |
|
|
d) Autotransports |
|
|
3. Banku nozare |
|
|
4. Finanšu tirgus infrastruktūras |
|
|
5. Veselības nozare |
|
|
6. Dzeramā ūdens piegāde un izplatīšana |
|
|
7. Digitālā infrastruktūra |
|
1. tabula. TID direktīvas II pielikumā minētās nozares un apakšnozares
Direktīvas 5. panta 2. punkts paredz trīs kritērijus, kas dalībvalstīm jāizmanto, lai identificētu pamatpakalpojumu sniedzējus:
1.attiecīgajai vienībai jāsniedz pakalpojums, kas ir būtisks īpaši svarīgu sabiedrisku un/vai ekonomisku darbību nodrošināšanai. Saistībā ar to valstu kompetentajām iestādēm jāņem vērā iepriekš sagatavotie pamatpakalpojumu saraksti;
2.sniegtajam pakalpojumam jābūt atkarīgam no tīklu un informācijas sistēmām;
3.incidentam vajadzētu būt būtiskai traucējošai ietekmei uz attiecīgā pakalpojuma sniegšanu. Direktīvas 6. pants paredz, ka incidenta būtiskumu novērtē, izmantojot starpnozaru faktorus un attiecīgā gadījumā konkrētai nozarei raksturīgus faktorus 8 .
Turklāt direktīvas 5. panta 4. punkts paredz, ka dalībvalstīm savstarpēji jāapspriežas, ja tās atklāj, ka potenciāls PPS sniedz pakalpojumus vairāk nekā vienā dalībvalstī. Šīs obligātās procedūras mērķis ir palīdzēt dalībvalstīm novērtēt tāda kiberincidenta potenciālo ietekmi, kas skar vienības, kuras darbojas pārrobežu mērogā, kā arī dažādās valstīs aizsargāt uzņēmumus, ko skar minētā procedūra.
1.3. Ziņojuma metodika
Ziņojuma rezultātu pamatā ir novērtējums, kas veikts laikposmā no 2018. gada novembra līdz 2019. gada septembrim. Daudzas dalībvalstis nebija savlaicīgi nodrošinājušas Komisijai pieeju informācijai, kas nepieciešama šā ziņojuma izstrādei. Tāpēc ziņojuma pieņemšana bija jāatliek uz laiku pēc 2019. gada 9. maija, TID direktīvas 23. panta 1. punktā paredzētā pieņemšanas datuma. Datus vāca no vairākiem avotiem: informācijas, ko dalībvalstis iesniegušas, izmantojot ENISA sagatavotu standartizētu veidni, standartizētām intervijām ar izraudzītām valstu iestādēm un sadarbības grupas sanāksmēm, tostarp šim tematam veltīta darbsemināra, kas norisinājās 2019. gada 19. martā.
Balstoties uz apkopoto informāciju, ziņojums izvērtē dalībvalstu identifikācijas pieeju savstarpējo konsekvenci:
1.salīdzinot valstu iestāžu izvēlētās atšķirīgās identifikācijas metodikas;
2.izpētot dalībvalstu izvēlēto pamatpakalpojumu un robežvērtību sarakstus;
3.analizējot PPS skaitu katrā dalībvalstī.
Ziņojums arī izvērtē, kā ir īstenoti direktīvas noteikumi par pārrobežu apspriešanās procedūru (5. panta 4. punkts) un īpašas tiesību normas principu (1. panta 7. punkts). Ziņojums sniedz faktu analīzi par dalībvalstu veikto identifikācijas procesu, kā arī sākotnējus secinājumus un atvērtus jautājumus turpmākām pārdomām.
1.4. Datu pieejamība
TID direktīvas noteikumi paredz, ka dalībvalstīm Komisijai jānodrošina tikai ierobežots datu kopums. Piemēram, valstu iestādēm nav jāiesniedz identificēto pakalpojumu sniedzēju nosaukumi, tāpēc Komisijas dienestiem ir grūtāk salīdzināt identifikācijas procesa rezultātus attiecībā uz saraksta pilnīgumu un ietekmi uz vienāda lieluma uzņēmumiem, kas pārstāv vienu un to pašu nozari.
Saskaņā ar 5. panta 7. punkta noteikumiem visām valstīm bija jāiesniedz šim ziņojumam nepieciešamā informācija līdz 2018. gada 9. novembrim. Tomēr līdz minētajam datumam tikai 15 valstis bija iesniegušas būtiskus datus (skatīt pievienoto tabulu 4.1. iedaļā). Lai gan no Komisijas tika saņemti atkārtoti atgādinājumi, datu nepilnības joprojām bija būtiskas. Tāpēc Komisija 2019. gada 26. jūlijā sešām dalībvalstīm 9 nosūtīja oficiāla paziņojuma vēstules, aicinot tās iesniegt trūkstošos datus divu mēnešu laikā.
Šā ziņojuma publicēšanas dienā visus 5. panta 7. punktā prasītos datus bija iesniegušas 23 dalībvalstis: Bulgārija, Horvātija, Kipra, Čehija, Vācija, Dānija, Igaunija, Grieķija, Spānija, Somija, Francija, Īrija, Itālija, Lietuva, Luksemburga, Latvija, Malta, Nīderlande, Polija, Portugāle, Zviedrija, Slovākija un Apvienotā Karaliste. Pārējās 5 dalībvalstis (Austrija, Beļģija, Ungārija, Rumānija un Slovēnija) ir tikai daļēji iesniegušas datus par valstu PPS identifikāciju, jo nav spējušas pabeigt identifikāciju šā ziņojuma publicēšanai vajadzīgajā laikā.
2.PPS identifikācija dalībvalstīs
TID direktīva paredz pamatpakalpojumu sniedzēju identifikācijas sistēmu, kas ļauj dalībvalstīm brīvi rīkoties, lai ņemtu vērā valsts specifiku. Tādējādi dalībvalstis ir izstrādājušas daudz dažādu identifikācijas prakšu.
2.1. Dalībvalstu izmantotā metodika
Dalībvalstis ir izstrādājušas dažādu metodiku pakalpojumu sniedzēju identificēšanai, pilnībā izmantojot TID direktīvas nodrošināto elastību. Viens no elementiem, kas ietekmēja valstu metodiku, bija iepriekšēja sistēma, piemēram, Padomes Direktīva 2008/114/EK par kritiskajām infrastruktūrām 10 vai citi valstu noteikumi par svarīgiem pakalpojumu sniedzējiem. Šādos gadījumos dalībvalstis izmantoja iepriekšējo pieredzi kā atsauces punktu un iekļāva ar TID direktīvu saistīto specifiku esošā metodikā.
Valstu metodiku atšķirības iedala šādās galvenajās kategorijās: pamatpakalpojumi, robežvērtību izmantošana, centralizācijas pakāpe, iestādes, kas ir atbildīgas par tīklu un informācijas sistēmu atkarības identifikāciju un novērtēšanu. Tā kā PPS identifikācijas konsekventuma novērtēšanā liela nozīme bija pamatpakalpojumiem un robežvērtībām, to analīzei ir veltītas atsevišķas iedaļas. Pārējie kritēriji ir apskatīti šajā iedaļā.
Centralizācijas pakāpe
Vairums dalībvalstu ir izvēlējušās dažas no lēmumu pieņemšanas pilnvarām attiecībā uz dažādiem identifikācijas procesa elementiem deleģēt nozaru iestādēm (ministrijām, aģentūrām utt.). Decentralizācijas pakāpe katrā konkrētajā gadījumā atšķiras; lielākā daļa dalībvalstu norīko vienu iestādi, kas atbild par norādījumiem nozaru iestādēm un informācijas konsolidēšanu. Tomēr dažas valstis ir izvēlējušās atbildību par identifikācijas procesu uzticēt vienai iestādei. Ir arī ļoti augstas decentralizācijas pakāpes gadījumi, kuros nozaru iestādes atbild par pašu metodikas izstrādi.
Daudzas dalībvalstis ir rūpīgi apsvērušas PPS identifikācijas institucionālās struktūras dažādos aspektus. Kā vienu no centralizētas identifikācijas priekšrocībām iestādes min izvairīšanos no interešu konflikta: šķiet, ka pakalpojumu sniedzēji mazāk vēlas izpaust attiecīgu informāciju nozaru regulatoriem, jo baidās, ka šo informāciju varētu izmantot arī citiem regulatīviem mērķiem.
No otras puses, decentralizētas pieejas šķietami veicina dialogu starp TID jomas kompetentajām iestādēm (gan kiberdrošības, gan nozaru iestādēm), palīdzot tām labāk noteikt starpnozaru atkarības sekas. Turklāt nozaru iestādēs parasti valda dziļāka izpratne par nozarēm nekā vadošajās iestādēs.
Identifikācijas procedūra (lejupēja/augšupēja pieeja)
Cita būtiska atšķirība – ir dalībvalstis, kurās identifikācijas procesu īsteno valsts iestādes (lejupēja identifikācija), un dalībvalstis, kurās paši tirgus dalībnieki tiek aicināti noteikt, vai tie atbilst pamatpakalpojumu sniedzēju prasībām (tā dēvētā augšupējā identifikācija jeb pašidentifikācija). Lai otrā pieeja darbotos efektīvi, dalībvalstīm būtu jānosaka naudas sodi, kas ir pietiekami augsti, lai atturētu pakalpojumu sniedzējus no informācijas nesniegšanas, kā paredzēts TID direktīvas 21. pantā. Vairumā gadījumu identifikācijas process noris saskaņā ar lejupēju pieeju. Tomēr praksē iestādes bieži daļēji paļaujas uz konkrētiem pašnovērtējuma elementiem, piemēram, anketām, kas jāaizpilda potenciālajiem PPS.
Ja noteikumi un robežvērtības, kas regulē PPS identifikāciju, ir skaidri un pārredzami, gan lejupējai, gan augšupējai identifikācijai būtu jānodrošina līdzīgi rezultāti. Tādējādi vienas vai otras pieejas izvēlei principā nekādi nevajadzētu ietekmēt konsekvenci.
Tīklu atkarības novērtējums
Kā izskaidrots 1.2. iedaļā, 5. panta 2. punkta b) apakšpunkts paredz, ka dalībvalstīm PPS identifikācijas procedūrā jānovērtē pakalpojumu sniedzēja atkarība no tīklu un informācijas sistēmām. Daudzas dalībvalstis, piemērojot šos kritērijus, uzskata atkarību no tīklu un informācijas sistēmām par vispārpieņemtu faktu mūsdienu digitālajā ekonomikā. Tomēr dažas iestādes izvēlējās rūpīgāk izstrādātu praksi, piemēram, veica detalizētus novērtējumus vai lūdza pakalpojumu sniedzējus pašus novērtēt atkarības pakāpi.
2.2. Pakalpojumu identifikācija
TID direktīvas 23. apsvērumā skaidri norāda, ka pamatpakalpojumu saraksti ir ieguldījums, kas jāizmanto “katras dalībvalsts regulatīvās prakses izvērtēšanā, lai nodrošinātu (..) vispārēju saskaņotību”. Tā kā dalībvalstu sagatavotie pamatpakalpojumu saraksti ir pamats pakalpojumu sniedzēju identifikācijai, atšķirības identificēto pakalpojumu vidū varētu izraisīt pakalpojumu sniedzēju nekonsekventu identifikāciju dalībvalstīs, sevišķi tad, ja konkrētus pakalpojumus, ko sniedz visās valstīs, identificē tikai dažas dalībvalstis.
Dalībvalstu identificēto TID direktīvas II pielikumā aptverto pakalpojumu skaits, kas paziņots Komisijai, dalībvalstu starpā ievērojami atšķiras (skaits pa visām dalībvalstīm pieejams pielikumā, 4.2. iedaļā). Vidējais rādītājs ir 35 pakalpojumi uz dalībvalsti; identificēto pakalpojumu skaits ir robežās no 12 līdz 87, kā parādīts 1 . attēlā. Lai gan lielākas dalībvalstis mēdz identificēt nedaudz vairāk pakalpojumu nekā mazākas dalībvalstis, nešķiet, ka pastāv cieša saikne starp dalībvalstu lielumu un identificēto pakalpojumu skaitu. Tas ir sagaidāms, jo praksē patērētājiem un uzņēmumiem parasti ir piekļuve viena un tā paša veida pakalpojumiem visās dalībvalstīs neatkarīgi no valsts lieluma.
1. attēls. Dalībvalstu identificēto pamatpakalpojumu kopējais skaits
Identificēto pakalpojumu skaits atšķiras ne vien dalībvalstu starpā kopumā, bet arī ciešāk apskatot nozares un apakšnozares. Piemēram, banku nozarē identificēto pakalpojumu skaits ir robežās no 1 līdz 21. Kā parādīts 2 . attēlā, identificēto pakalpojumu klāsts starp valstīm būtiski atšķiras vairumā nozaru un apakšnozaru.
2. attēls. Dalībvalstu identificēto pakalpojumu skaits katrā nozarē un apakšnozarē. Katrs datu punkts attēlo dalībvalsts identificēto pakalpojumu skaitu attiecīgajā nozarē (apakšnozarē) 11
2 . attēlā redzamais skaits zināmā mērā atspoguļo dažādas metodiskās pieejas valstīs. Piemēram, dažas dalībvalstis ir izvēlējušās detalizētāku pieeju pakalpojumu identifikācijas jomā nekā citas dalībvalstis, tādējādi šajās dalībvalstīs skaits ir lielāks. Tomēr dati, kurus Komisija ir saņēmusi no dalībvalstīm, skaidri norāda, ka skaita atšķirības izriet arī no dalībvalstu izvēlēto pieeju nekonsekvences, kā apliecina piemēri elektroenerģijas un dzelzceļa transporta apakšnozarē:
|
Igaunija
|
Portugāle |
Dānija |
Bulgārija
|
||
|
Elektroapgāde |
Sadales sistēmas operatori |
Elektrosadale |
Elektroenerģijas sadale |
||
|
Elektroenerģijas sadales sistēmas darbības un uzturēšanas nodrošināšana |
|||||
|
Pārvades sistēmas operators |
Elektropārvade |
Elektroenerģijas pārvade |
|||
|
Elektropārvades sistēmas ekspluatācija, uzturēšana un attīstība |
|||||
|
Elektroenerģijas ražošana |
Elektroenerģijas ražošana |
|||
|
|
Elektroenerģijas tirgus |
2. tabula. Ilustratīvi dalībvalstu izvēlēto pieeju piemēri saistībā ar pamatpakalpojumu identifikāciju elektroenerģijas apakšnozarē
2 . tabulā tiek salīdzināti daži veidi, kādos dalībvalstis ir identificējušas pamatpakalpojumus elektroenerģijas apakšnozarē. Dažas valstis (piemēram, Igaunija) ir izvēlējušās ļoti vispārīgu kategoriju, principā ļaujot identificēt jebkuru pakalpojumu sniedzēju, kuru tās uzskata par būtisku elektroenerģijas apakšnozarē. Citas valstis (piemēram, Portugāle, Dānija un Bulgārija) ir izvēlējušās daudz detalizētāku pieeju. Piemēram, Bulgārija ir sagatavojusi ļoti detalizētu pakalpojumu sarakstu, kurā iekļauts pat tāds pakalpojums, kas nav aptverts II pielikumā (elektroenerģijas tirgi). Turpretim Portugāle un Dānija ir ievērojušas detalizētu pieeju, izvēloties neiekļaut konkrētus pakalpojumus, kurus iekļāvušas citas valstis. Tas iekšējā tirgū PPS starpā var radīt nevienlīdzīgus konkurences apstākļus.
Konsekvences nepilnības, piemēram, 2 . tabulā noteiktās, izriet no TID direktīvas dažādās īstenošanas valstīs, un tādu nozaru gadījumā, kas nav minētas II pielikumā (piemēram, elektroenerģijas tirgi), ir tās minimālās saskaņošanas pieejas sekas. Konsekvences nepilnības tādējādi nenozīmē, ka dalībvalstis, kuras nav identificējušas konkrētu pakalpojumu, nav pareizi piemērojušas direktīvas noteikumus.
3 . tabula atspoguļo četru valstu izvēlētās pieejas attiecībā uz dzelzceļa transporta apakšnozari. Francija ir sagatavojusi ļoti detalizētu un izsmeļošu to pakalpojumu sarakstu, kuri ir būtiski dzelzceļa transporta darbībai, bet pārējās trīs valstis ir izvēlējušās tikai nelielu šo pakalpojumu apakškopu. Polijas gadījumā nav pilnīgi skaidrs, kādi pakalpojumi ietilpst kategorijās “dzelzceļa kravu pārvadājumi” un “dzelzceļa pasažieru pārvadājumi”. To apzīmējumi ir tik vispārīgi, ka tie var ietvert arī dažus no pakalpojumiem, kurus identificējusi Francija, piemēram, “dzelzceļa satiksmes kontrole un pārvaldība”. Ir vērts norādīt, ka Komisijas rīcībā nav līdzekļu šādu gadījumu papildu izpētei: TID direktīva valstu iestādēm neliek informāciju izpaust detalizētāk.
|
Somija |
Francija |
Īrija |
Polija |
|||
|
Valsts infrastruktūras pārvaldība |
Infrastruktūras apkope |
Infrastruktūras pārvaldītāji |
|
|||
|
Ritošā sastāva apkope |
|
|
|||
|
Satiksmes pārvaldības pakalpojumi |
Dzelzceļa satiksmes kontrole un pārvaldība |
|
Vilcienu grafiku sagatavošana |
|||
|
Krava un bīstami materiāli |
Dzelzceļa pārvadājumu uzņēmumi |
Dzelzceļa kravu pārvadājumi |
|||
|
Pasažieru pārvadājumi |
Dzelzceļa pasažieru pārvadājumi |
||||
|
Metro, tramvaju un citi vieglā dzelzceļa pakalpojumi (ietverot pazemes pakalpojumus) |
|
||||
|
Dzelzceļa pakalpojumi |
|
|
3. tabula. Ilustratīvi dalībvalstu izvēlēto pieeju piemēri saistībā ar pamatpakalpojumu identifikāciju dzelzceļa transporta apakšnozarē
Dalībvalstis, kuras iekļautas 2 . un 3 . tabulā, tika izraudzītas tikai ilustratīvos nolūkos un tāpēc, ka to metodiskās pieejas ir viegli salīdzināmas. Vairums citu dalībvalstu ir izvēlējušās līdzīgus pakalpojumus, un tādējādi var novērot līdzīgas konsekvences nepilnības. Būtībā konsekvences nepilnības, piemēram, elektroenerģijas un dzelzceļa transporta apakšnozarē, pastāv attiecībā uz visām dalībvalstīm un visām nozarēm, kas ietvertas direktīvas II pielikumā. Lielākā šīs nekonsekvences daļa izriet no pakalpojumiem, kas ir identificēti tikai dažās, bet ne visās dalībvalstīs. Elektroenerģijas un dzelzceļa transporta apakšnozares pakalpojumu pilnie saraksti, kas aptver visas dalībvalstis, ir pieejami šā ziņojuma pielikumā.
2.3. Robežvērtības
Lai gan vairums dalībvalstu piemēro robežvērtības, lai identificētu PPS, šādu robežvērtību nozīme dažādās valstīs atšķiras. Attiecībā uz starpnozaru robežvērtībām ir iespējams noteikt robežvērtības, kuru pamatā ir:
·viens kvantitatīvs faktors (piemēram, to lietotāju skaits, kuri izmanto pakalpojumu) ar mērķi noteikt, vai vienība ir uzskatāma par PPS konkrēta pakalpojuma ietvaros;
·lielāks kvantitatīvo faktoru kopums (piemēram, to lietotāju skaits, kuri izmanto pakalpojumu, un tirgus daļa);
·kvantitatīvo un kvalitatīvo faktoru apvienojums.
Turklāt direktīva ļauj dalībvalstīm papildus starpnozaru robežvērtībām piemērot arī konkrētai nozarei raksturīgas robežvērtības. Tas valstu iestādēm dod lielāku brīvību identifikācijas procesā, lai tās varētu ņemt vērā valsts un nozaru specifiku. Vienlaikus tas rada ļoti sarežģītu robežvērtību apvienojumu, kas var negatīvi ietekmēt vispārējo PPS identifikācijas konsekvenci.
Pieeju dažādības piemērs ir dots 4 . tabulā. Tas ilustratīvi norāda, ka dalībvalstu izvēlētās robežvērtības digitālās infrastruktūras nozarē atšķiras ne vien kvantitatīvi (piemēram, Vācijā domēnu nosaukumu sistēmas (DNS) pakalpojumu sniedzēji tiek identificēti kā PPS, ja tie pārvalda vismaz 250 000 domēnus, bet Polija ir noteikusi robežvērtību tikai 100 000 domēnu), bet arī kvalitatīvi (piemēram, “savienoto autonomo sistēmu skaits” pret “tirgus daļu”).
Konsekventi izvēlētas kvantitatīvās robežvērtības vien negarantē valstu pieeju pilnīgu konsekventumu. Tā kā dažās dalībvalstīs robežvērtības ir tikai viens no kritērijiem, kurus izmanto, lai identificētu PPS, identifikācijas procesa rezultāti varētu būt ļoti atšķirīgi pat līdzīgu robežvērtību gadījumā. Piemēram, dažas dalībvalstis izmanto sarežģītas punktu piešķiršanas sistēmas, kurās vienā formulā iekļauti vairāki faktori 12 . Šādu faktoru vidū var būt, piemēram, vienības atkarība no tīklu un informācijas sistēmām vai kādi no faktoriem, kas minēti TID direktīvas 6. panta 1. punktā. Turklāt dažas dalībvalstis vispār neizmanto robežvērtības vai izmanto tās tikai novērtēšanas sākumposmā. Šie apsvērumi attiecas ne vien uz digitālās infrastruktūras nozari, bet arī uz visām pārējām II pielikumā iekļautajām nozarēm.
Pareizās robežvērtības noteikšana var būt sarežģīta, jo īpaši attiecībā uz nozarēm, kurās darbojas daudz mazu pakalpojumu sniedzēju. Šādas daudzveidības piemērs ir daudzās maza mēroga veselības aprūpes iestādes (piemēram, klīnikas vai neatliekamās medicīniskās palīdzības dienesti), kuras sniedz pamatpakalpojumus salīdzinoši mazam lietotāju skaitam, bet kuru nepieejamība kiberdrošības incidenta gadījumā varētu izraisīt pacientu bojāeju. Vēl vienu problēmu rada tas, ka piegādes ķēžu darbība ir atkarīga no pakalpojumiem, kurus nodrošina pakalpojumu sniedzēji, kas veido mazus, bet būtiskus posmus ķēdē (piemēram, tādās nozarēs kā loģistika 13 ). Viena no dalībvalstīm kā iespējamu šīs problēmas risinājumu pēta tādu kritēriju izmantošanu, kas ir saistīti ar sniegtā pakalpojuma svarīgumu vai kritiskumu.
|
Valsts |
Interneta plūsmu apmaiņas punkti (IPAP) |
DNS pakalpojumu sniedzēji |
Augstākā līmeņa domēnu nosaukumu reģistri |
|
Galvenokārt konkrētai nozarei raksturīgu robežvērtību izmantošana |
|||
|
AT |
savienotas autonomās sistēmas
|
DNS atrisinātāji: 88 000 lietotāju;
|
50 000 domēnu |
|
DE |
savienotas autonomās sistēmas
|
DNS atrisinātāji: 100 000 lietotāju; autor. DNS: 250 000 domēnu |
(pakalpojums nav identificēts) |
|
DK |
vid. dienas datu apjoms > 200 Gbit/s |
DNS atrisinātāji: 100 000 lietotāju; autor. DNS: 100 000 domēnu |
500 000 domēnu |
|
EE |
(pakalpojums nav identificēts) |
(pakalpojums nav identificēts) |
Valsts TLD reģistrs |
|
FI |
(pakalpojums nav identificēts) |
(pakalpojums nav identificēts) |
Valsts un reģiona TLD reģistri |
|
FR |
(nav oficiālas robežvērtības) |
(nav oficiālas robežvērtības) |
(nav oficiālas robežvērtības) |
|
HR |
savienotie dalībnieki > 15 |
DNS pakalpojums attiecībā uz valsts TLD |
Valsts TLD reģistrs |
|
IE |
(robežvērtība nav zināma) |
DNS atrisinātāji: 100 m. vaicājumu 24 h; autor. DNS: 50 000 domēnu |
Valsts TLD reģistrs |
|
MT |
25 % no tirgus daļas |
DNS atrisinātāji: 78 000 pieprasījumu dienā; autor. DNS: 7800 domēnu |
750 000 pieprasījumu dienā |
|
PL |
savienotas autonomās sistēmas
|
Autor. DNS: 100 000 domēnu |
TLD reģistri vismaz 100 000 abonentu |
|
SE |
(pakalpojums nav identificēts) |
DNS atrisinātāji: 100 000 lietotāju; autor. DNS: 25 000 domēnu |
250 000 domēnu |
|
SK |
Autonoma sistēma (AS), kas savienota ar vismaz divām citām AS ar 2 Gb/s |
DNS atrisinātāji: 3 m. vaicājumu 24 h; autor. DNS: > 1000 domēnu |
TLD reģistrs |
|
UK |
tirgus daļa > 50 % vai
|
DNS atrisinātāji: 2 000 000 klientu dienā;
|
TLD reģistri ≥ 2 miljardi vaicājumu dienā |
|
Starpnozaru robežvērtību izmantošana |
|||
|
CY |
50 000 lietotāju vai
|
50 000 lietotāju vai
|
50 000 lietotāju vai
|
|
LT |
iedzīvotāji > 145 000 |
iedzīvotāji > 145 000 |
iedzīvotāji > 145 000 |
|
LU |
100 % no tirgus daļas |
13 500 līgumu |
100 % no tirgus daļas |
4. tabula. 16 dalībvalstu izvēlētās robežvērtības digitālās infrastruktūras nozarē
2.4. Identificēto pakalpojumu sniedzēju skaits
Pamatpakalpojumu saraksti un robežvērtības ir vissvarīgākie noteicošie faktori konsekventā PPS identifikācijā. Saskaņā ar iepriekšējām iedaļām abos gadījumos dalībvalstis ir piemērojušas TID direktīvas noteikumus dažādos veidos; tas liecina, ka pēc tam PPS identifikācijas brīdī varētu rasties konsekvences problēma. Šajā iedaļā tiks salīdzināts dalībvalstīs identificēto pakalpojumu sniedzēju skaits II pielikumā minētajās nozarēs un apakšnozarēs.
3. attēls. Dalībvalstu identificētie PPS visās II pielikumā minētajās nozarēs (uz 100 000 iedzīvotāju, skaidrības labad izlaistas izlecošās vērtības un trūkstošie dati)
Kopējais PPS skaits, ko dalībvalstis paziņojušas Komisijai, ir robežās no 20 līdz 10 897, vidēji 633 PPS uz dalībvalsti (visu dalībvalstu paziņotais skaits ir pieejams šā ziņojuma pielikuma 4.2. iedaļā). Kopumā pastāv skaidra pozitīva saikne starp valsts lielumu un identificēto pakalpojumu sniedzēju skaitu. Tomēr tas pietiekami neizskaidro dalībvalstu paziņotā skaita lielās atšķirības. Lai ņemtu vērā lieluma un iedzīvotāju skaita saikni, 3 . attēls salīdzina identificēto PPS skaitu dalībvalstīs uz 100 000 iedzīvotājiem. Tas liecina, ka dalībvalstu izmantotās pakalpojumu sniedzēju identifikācijas pieejas ir devušas ļoti atšķirīgus rezultātus.
Padziļināts nozaru un apakšnozaru pētījums atklāj būtiskas atšķirības dalībvalstu starpā saistībā ar identificēto pakalpojumu sniedzēju skaitu visās nozarēs, kas aptvertas II pielikumā ( 4 . attēls). Piemēram, enerģētikas nozarē skaits ir robežās no 0,3 līdz 29 pakalpojumu sniedzējiem uz 1 000 000 iedzīvotāju. Skaits bankas nozarē ir robežās no 0,07 līdz 51 pakalpojumu sniedzējam uz 1 000 000 iedzīvotāju (neņemot vērā dalībvalstis, kas nav identificējušas nevienu PPS šajā nozarē).
4. attēls. 25 dalībvalstu identificēto PPS skaits katrā nozarē un apakšnozarē (uz 1 000 000 iedzīvotāju, logaritmiskā skalā, skaidrības labad izlaistas izlecošās vērtības). Katrs datu punkts attēlo dalībvalsts identificēto PPS skaitu attiecīgajā nozarē (apakšnozarē) 14
2.5. Direktīvas piemērošana nozarēs, kas nav iekļautas II pielikumā
Iesniegto datu izpēte atklāj, ka 11 no 28 dalībvalstīm ir identificējušas pamatpakalpojumus nozarēs, kas nav direktīvas II pielikuma darbības jomā. No šīm 11 dalībvalstīm 7 ir identificējušas kopumā 157 PPS, kas sniedz pakalpojumus, kurus neaptver II pielikumā minētie vienību veidi.
|
Papildu nozare |
Vienību piemēri |
Dalībvalstu skaits |
|
Informācijas infrastruktūra |
Datu centri, serveru fermas |
5 |
|
Finansiālie pakalpojumi (vienības, kas nav minētas II pielikumā) |
Apdrošināšanas un pārapdrošināšanas sabiedrības |
4 |
|
Valdības pakalpojumi |
Elektroniskie pakalpojumi iedzīvotājiem |
4 |
|
Siltumenerģija |
Siltumenerģijas ražotāji un piegādātāji |
3 |
|
Notekūdeņi |
Savākšanas un attīrīšanas iekārtas |
3 |
|
Loģistika |
Pasta pakalpojumi |
2 |
|
Pārtika |
Ražotāji, tirdzniecības vietas |
2 |
|
Vide |
Bīstamo atkritumu likvidēšana |
2 |
|
Valsts drošības / ārkārtas pakalpojumi |
112, krīzes pārvarēšana |
2 |
|
Ķīmiskā rūpniecība |
Vielu piegādātāji un ražotāji |
2 |
|
Sociālie pakalpojumi |
Vienības, kas atbild par sociālajiem pabalstiem |
1 |
|
Izglītība |
Iestādes, kas atbild par valsts eksāmeniem |
1 |
|
Sabiedriskā ēdināšana |
Izplatīšanas pārvaldība |
1 |
|
Ūdens |
Hidrotehniskās ietaises |
1 |
5. tabula. Nozares, kuras dalībvalstis izvēlējušās papildus II pielikumā minētajām
Informācijas infrastruktūra (identificējušas piecas dalībvalstis), finansiālie pakalpojumi, kurus sniedz vienības, kas nav minētas II pielikumā (identificējušas četras dalībvalstis), un valdības pakalpojumi (identificējušas četras dalībvalstis) ir vispopulārākās kategorijas ( 5 . tabula).
Ņemot vērā to, cik būtiska ekonomikas un sabiedrības darbībai kopumā ir kibernoturība, vairākas dalībvalstis ir nolēmušas izmantot iespēju aptvert arī nozares, kuras nav minētas II pielikumā. Tas, ka vairākas dalībvalstis izvēlas piemērot TID direktīvu arī citām nozarēm, rada jautājumu, vai II pielikuma pašreizējā darbības joma ir piemērota, lai sasniegtu mērķi aizsargāt visus Savienības pakalpojumu sniedzējus, kas ir īpaši svarīgi vispārībai un tautsaimniecībai.
2.6. Pārrobežu apspriešanās procedūra
TID direktīvas 5. panta 4. punkts paredz, ka dalībvalstīm savstarpēji jāapspriežas, pirms tiek pieņemts galīgs lēmums par tādu pakalpojumu sniedzēju identifikāciju, kuri sniedz pakalpojumus vairāk nekā vienā dalībvalstī. Sadarbības grupa 2018. gada jūlijā ir izdevusi atsauces dokumentu, kura mērķis ir palīdzēt dalībvalstīm īstenot pienācīgas pārrobežu apspriešanās 15 .
Kā liecina saņemtā informācija, tikai ļoti neliels skaits valsts iestāžu ir izvēlējušās sazināties ar kolēģiem citās dalībvalstīs un tikai divas dalībvalstis ir sazinājušās ar citām dalībvalstīm visaptverošā veidā. Turklāt tikai dažas dalībvalstis ir norādījušas, ka ir sazinājušās ar citām iestādēm mazāk sistemātiskā veidā. Neraugoties uz pārrobežu pakalpojumu lielo nozīmi iekšējā tirgū, vairums dalībvalstu, kas ir sazinājušās ar citām dalībvalstīm, to darījušas tikai attiecībā uz ļoti mazu pakalpojumu sniedzēju skaitu. Neraugoties uz to, ka procedūru dalībvalstīs izmanto maz, daudzas valstu iestādes ir paudušas interesi par pārrobežu apspriešanās procesu un uzskata to par svarīgu TID identifikācijas sistēmas elementu. Faktiski, vairākas dalībvalstis ir paudušas bažas, ka bez efektīvas pārrobežu apspriešanās pakalpojumu sniedzēji varētu būt spiesti saskarties ar daudzām dažādām regulatīvajām prasībām vai nonākt nelabvēlīgākā situācijā attiecībā pret citiem PPS, kuri darbojas tirgū un kuriem piemēro vaļīgākas prasības.
Kopā ar valstu iestādēm Komisija ir noteikusi vairākus iemeslus, kāpēc līdz šim apspriešanās procedūra nav izmantota tā, kā paredzēts:
·daudzām dalībvalstīm bija vajadzīgs ilgāks laiks PPS identifikācijai, nekā bija paredzēts. Tādējādi agrīnie ieviesēji nespēja apspriesties ar šīm valstīm;
·informācijas nodošanai paredzētu drošu kanālu trūkums: dažas dalībvalstis nevēlējās sazināties ar kolēģiem, uzskatot pakalpojumu sniedzēju nosaukumus par slepenu informāciju;
·ievērojamais esošo pārrobežu atkarību apjoms, kas radīja nepieciešamību sazināties ar daudzām attiecīgajām dalībvalstīm, īpaši Eiropas mēroga pakalpojumu sniedzēju gadījumā;
·pārrobežu apspriešanās mērķu un darbības jomas vienotas izpratnes trūkums: lai gan dažas dalībvalstis to uzskata tikai par instrumentu, ar kura palīdzību citai citu informēt par PPS identifikāciju ar pārrobežu ietekmi, citas tās mērķi saredz robežvērtību un regulatīvo prasību saskaņošanā. Direktīvas 24. apsvērumā norāda, ka šī procedūra galvenokārt ir paredzēta, lai kopīgi izvērtētu pakalpojumu sniedzēja izšķirīgumu identifikācijas procesa kontekstā;
·cita problēma rodas tad, kad ar dalībvalsti par vienu un to pašu pakalpojumu sniedzēju sazinās divas citas dalībvalstis. Šādā gadījumā attiecīgā dalībvalsts var nespēt saskaņot noteikumus ar abām dalībvalstīm vienlaikus. Tādēļ 24. apsvērums paredz daudzpusējas diskusijas. Ir svarīgi, lai dalībvalstis izmantotu šo iespēju konsekvences nodrošināšanai.
2.7. Īpašās tiesību normas principa ievērošana identificēšanā
Komisija ir konstatējusi zināmu nekonsekvences līmeni dalībvalstu starpā attiecībā uz īpašās tiesību normas principa piemērošanu. Tas izraisījis nevienlīdzīgu direktīvas piemērošanu un, no vienas puses, PPS identifikāciju gadījumos, kad tiek piemēroti konkrētai nozarei raksturīgi noteikumi, kā arī, no otras puses, nepietiekamu PPS identifikāciju dažās II pielikumā minētajās nozarēs.
TID direktīvas 1. panta 3. punkts paredz, ka tā neattiecas uz uzņēmumiem, kuriem piemēro Telesakaru pamatdirektīvas 16 prasības. Tomēr šķiet, ka dažas dalībvalstis ir identificējušas PPS, kas sniedz pakalpojumus, kuri patiesībā būtu jāregulē saskaņā ar Telesakaru pamatdirektīvu, piemēram, interneta piekļuves un telefonijas pakalpojumus.
Turklāt saskaņā ar 1. panta 7. punktu TID direktīvas noteikumi par drošības prasībām un incidentu paziņošanu neattiecas uz pakalpojumu sniedzējiem, kuru darbību jau regulē konkrētai nozarei piemērojami Savienības tiesību akti, kas paredz vismaz līdzvērtīgus pienākumus.
Vairums dalībvalstu ir identificējušas PPS banku un finanšu tirgu nozarē, bet dažas dalībvalstis to nav izdarījušas, apgalvojot, ka pakalpojumu sniedzēji sniedz pakalpojumus, uz kuriem attiecas īpašās tiesību normas.
Komisija joprojām apkopo detalizētu informāciju par īpašo tiesību normu principa piemērošanu saskaņā ar TID direktīvu. Tā pašreiz veic valstu tiesību aktu padziļinātas pārbaudes un apmeklē valstis ar mērķi novērtēt transponēšanas un īstenošanas pašreizējo līmeni, arī attiecībā uz īpašo tiesību normu noteikumiem. Komisija plāno, pamatojoties uz to, īpašo tiesību normu principu plašāk apspriest sadarbības grupā ar mērķi nodrošināt labāku saskaņošanu dalībvalstu starpā.
3.Secinājumi
Šis ziņojums izvērtē pieejas, ko dalībvalstis izvēlējušās pamatpakalpojumu sniedzēju (PPS) identifikācijai atbilstīgi TID direktīvai. Tā mērķis ir novērtēt dalībvalstu prakses konsekventumu, ņemot vērā iespējamo pašreizējās sistēmas ietekmi uz iekšējā tirgus darbību un ar kiberatkarību saistīto risku pārvaldību.
Veiktā analīze liecina, ka TID direktīva ir bijusi katalizators daudzās dalībvalstīs, paverot iespēju reālām izmaiņām institucionālajā un regulatīvajā vidē attiecībā uz kiberdrošību. Turklāt pienākums identificēt pamatpakalpojumu sniedzējus ir sekmējis visaptverošu to risku novērtējumu, kuri saistīti ar pakalpojumu sniedzējiem, kas veic īpaši svarīgas darbības un darbojas saistībā ar modernām tīklu un informācijas sistēmām, gandrīz visās dalībvalstīs. To var uzskatīt par sasniegumu Savienībai kopumā saskaņā ar direktīvas mērķiem.
Šā ziņojuma mērķiem Komisija ir izpētījusi valstu identifikācijas metodiku, pakalpojumus, kurus valstu iestādes uzskata par būtiskiem, identifikācijas robežvērtības un to PPS skaitu, kas identificēti dažādās direktīvas aptvertajās nozarēs:
·dalībvalstis ir izstrādājušas dažādas metodikas attiecībā uz PPS identifikācijas vispārējo pieeju (2.1. iedaļa), kā arī attiecībā uz pamatpakalpojumu definēšanu un robežvērtību noteikšanu. Tas var negatīvi ietekmēt TID noteikumu piemērošanas konsekvenci Savienībā un atstāt sekas uz iekšējā tirgus darbības sekmīgumu un kiberatkarības novēršanas efektivitāti;
·liekas arī, ka dalībvalstīs pastāv atšķirīga interpretācija par to, kas saskaņā ar TID direktīvu ir pamatpakalpojums, jo dalībvalstis piemēro dažādus detalizācijas līmeņus (sk. 2.2. iedaļu). Tas apgrūtina pamatpakalpojumu sarakstu salīdzināšanu. Bez tam pastāv risks, ka direktīvas darbības joma kļūs sadrumstalota, proti, dažiem pakalpojumu sniedzējiem piemēros papildu regulējumu (jo tie ir identificēti attiecīgajā dalībvalstī), bet citiem, kas sniedz līdzīgus pakalpojumus, to nepiemēros (jo tie nav identificēti). Lai novērstu šo nekonsekvenci, varētu veikt papildu darbu, kura pamatā būtu dalībvalstu pieredze un kurš varētu nodrošināt saskaņotāku pamatpakalpojumu sarakstu;
·turklāt ziņojumā arī konstatēta būtiska nekonsekvence attiecībā uz veidu, kā tiek piemērotas robežvērtības dalībvalstīs (2.3. iedaļa). Tālāka robežvērtību saskaņošana ES līmenī varētu palīdzēt mazināt šo problēmu. Šādu darbu varētu veikt, piemēram, nozariskajos darba virzienos sadarbības grupā, ņemot vērā valstu specifiku, piemēram, mazu dalībvalstu īpašās prasības;
·tas, ka dažas valstis ir izmantojušas iespēju identificēt pamatpakalpojumus arī citās nozarēs vai apakšnozarēs, kuras nav minētas II pielikumā, uzsver, ka ir arī citas nozares, kas nav minētas TID direktīvā un ir potenciāli neaizsargātas pret kiberincidentiem (2.5. iedaļa). PPS identifikācija tādās nozarēs kā informācijas infrastruktūra, finansiālie pakalpojumi, kurus neaptver II pielikumā minētās vienības, un valdība var uzlabot organizāciju kibernoturību šādās nozarēs. Tomēr, ja tikai neliela daļa dalībvalstu identificē PPS šādās nozarēs, tas var negatīvi ietekmēt iekšējo tirgu un konkurences apstākļu vienādumu, kas tam būtu jānodrošina.
Valstu iestāžu izstrādātās daudzveidīgā metodika un paraugprakse ir īpaši vērtīgas un būtu jāņem vērā nākotnē, piemēram, sadarbības grupas darbā un pastāvīgajā PPS identifikācijā, ko veic dalībvalstis. Tomēr pašreizējais daudzveidības līmenis var negatīvi ietekmēt direktīvas mērķu sasniegšanu.
Komisija izdara sākotnējos secinājumus, ka, lai gan TID direktīva ir aktivizējusi īpaši svarīgu procesu palielināt un uzlabot pakalpojumu sniedzēju riska pārvaldības prakses īpaši svarīgās nozarēs, Savienībā valda būtisks sadrumstalotības līmenis PPS identifikācijas sfērā. Pa daļai tas skaidrojams ar direktīvas saturu, pa daļai – ar dalībvalstu izmantoto atšķirīgo īstenošanas metodiku.
Dalībvalstīm jācenšas piemērot TID direktīvas noteikumus pēc iespējas konsekventāk, pilnībā izmantojot Komisijas un sadarbības grupas izstrādātās vadlīnijas. Tāpēc Komisija ir identificējusi vairākas valsts darbības, kas varētu palīdzēt mazināt šajā ziņojumā uzsvērtās problēmas.
·Daudzas dalībvalstis nav pabeigušas PPS identifikāciju direktīvā noteiktajā termiņā. Turklāt šā ziņojuma publicēšanas dienā visus 5. panta 7. punktā prasītos datus bija iesniegušas 23 dalībvalstis. Vēl piecas dalībvalstis bija iesniegušas daļēju informāciju. Komisija mudina valstu iestādes, kas atbild par identifikāciju, pabeigt procesu, cik ātri vien tas ir iespējams, un pārsūtīt nepieciešamo informāciju Komisijai pēc iespējas drīzāk.
·Kompetentajām iestādēm būtu regulāri jāpārskata pamatpakalpojumu saraksti un jānodrošina, ka visi esošie pamatpakalpojumi ir identificēti, lai konsekvences nepilnību skaits pamatpakalpojumos iekšējā tirgū tiktu samazināts.
·Dalībvalstīm būtu aktīvāk savstarpēji jāapspriežas, lai saskaņotu robežvērtības, kur tas iespējams, sevišķi nozarēs, kurām raksturīgs spēcīgs pārrobežu aspekts, piemēram, transportā vai enerģētikā. To var panākt ar pārrobežu apspriešanās procedūru, kas paredzēta TID direktīvas 5. panta 4. punktā, un labāk izmantojot sadarbības grupas pastāvošās struktūras.
·Valstu iestādēm būtu savstarpēji jāapspriežas, lai nodrošinātu, ka pārrobežu pakalpojumu sniedzējiem iekšējā tirgū piemēro līdzīgas drošības prasības un incidentu paziņošanas prasības. Turklāt dalībvalstīm jāsazinās ar šādiem pakalpojumu sniedzējiem, lai apkopotu vairāk informācijas par regulējuma atšķirībām. Par kibernoturības uzlabojumiem nav jāmaksā ar regulējuma sadrumstalotību. Attiecīgā gadījumā dalībvalstīm būtu arī jāiesaistās daudzpusējās diskusijās, kā paredzēts TID direktīvas 24. apsvērumā.
Papildus valstu darbībām pastāv vairāki pasākumi, kurus varētu īstenot Savienības līmenī un kuri radītu lielāku konsekvenci. Komisija sāks diskusijas ar mērķi uzlabot nevienlīdzīgo un reizēm sadrumstaloto identifikācijas kopainu. Daži no potenciālajiem pasākumiem minēti tālāk.
·TID sadarbības grupas nozīme jāpastiprina, lai veicinātu vienotu izpratni par to, kā konsekventāk īstenot direktīvu. Tālab Komisija ierosinās esošajam īpašajam darba virzienam PPS identifikācijas jomā bez kavēšanās pārskatīt vadlīnijas ar mērķi veiksmīgāk novērst esošo nekonsekvenci. Sadarbības grupai būtu arī jāpēta jaunu nozarisko darba virzienu izveide 17 ar mērķi palielināt saskaņotību dalībvalstu starpā un pielāgota komunikācijas rīka izmantošana ar mērķi uzlabot sadarbību grupas ietvaros.
·Tikai dažas dalībvalstis tagad izmanto pārrobežu apspriešanās procedūru attiecībā uz tādu pakalpojumu sniedzēju identifikāciju, kas sniedz pamatpakalpojumus vairāk nekā vienā dalībvalstī. Lai uzlabotu informācijas apmaiņu, sadarbības grupai būtu jāpārskata atsauces dokuments par apspriešanās kārtību gadījumos ar pārrobežu ietekmi un jāvienojas par šā procesa darbības jomas, mērķu un procedūru konsekventu interpretāciju. Vienlaikus Komisija pētīs, kā būtu iespējams nodrošināt drošu informācijas apmaiņu kompetento iestāžu starpā.
·Šķiet, ka dalībvalstu vidū pastāv zināma nekonsekvence to direktīvas noteikumu piemērošanā, kas attiecas uz īpašajām tiesību normām. Tāpēc Komisija izmantos sadarbības grupas struktūras, lai apspriestu gadījumus, kuros īpašo tiesību normu principa piemērošana var nebūt pareiza.
Savienības līmenī īstenotām darbībām jāgarantē saskaņota sistēma, ņemot vērā gan nozariskos pasākumus, kas prasa īpašas vai augstākas prasības attiecībā uz kiberdrošību, gan citus Eiropas tiesību aktus.
4.Pielikumi
4.1. Pārskats par pieejamajiem datiem sadalījumā pa dalībvalstīm
|
Dalībvalsts |
Iesniegšanas datums |
Pakalpojumu saraksts |
PPS skaits |
Robežvērtības |
|
AT |
Novēlota iesniegšana |
Piegādāts |
TRŪKST |
Piegādātas |
|
BE |
Novēlota iesniegšana |
Piegādāts |
TRŪKST |
TRŪKST |
|
BG |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
CY |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
CZ |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
DE |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
DK |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
EE |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
EL |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
ES |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
FI |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
FR |
Termiņā |
Piegādāts |
Piegādāts |
Nav oficiālu robežvērtību |
|
HR |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
HU |
Termiņā |
Daļēji piegādāts |
Daļēji piegādāts |
Daļēji piegādātas |
|
IE |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
IT |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
LT |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
LU |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
LV |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
MT |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
NL |
Novēlota iesniegšana |
Piegādāts |
Piegādāts |
Piegādātas |
|
PL |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
PT |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
RO |
Novēlota iesniegšana |
Piegādāts |
Daļēji piegādāts |
TRŪKST |
|
SE |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
SI |
Novēlota iesniegšana |
Piegādāts |
TRŪKST |
Piegādātas |
|
SK |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
|
UK |
Termiņā |
Piegādāts |
Piegādāts |
Piegādātas |
4.2.Katras dalībvalsts identificēto pakalpojumu un PPS skaits
|
Dalībvalsts |
Identificētie PPS |
II pielikumā minētie pakalpojumi |
Papildu pakalpojumi |
|
AT |
0 |
46 |
0 |
|
BE |
0 |
31 |
0 |
|
BG |
185 |
30 |
3 |
|
CY |
20 |
29 |
17 |
|
CZ |
50 |
31 |
12 |
|
DE |
573 |
15 |
12 |
|
DK |
128 |
39 |
0 |
|
EE |
137 |
18 |
6 |
|
EL |
67 |
30 |
0 |
|
ES |
132 |
55 |
18 |
|
FI |
10 897 18 |
20 |
0 |
|
FR |
127 |
70 |
20 |
|
HR |
85 |
49 |
2 |
|
HU |
42 |
12 |
0 |
|
IE |
64 |
26 |
0 |
|
IT |
553 |
37 |
0 |
|
LT |
22 |
37 |
0 |
|
LU |
49 |
21 |
0 |
|
LV |
66 |
18 |
0 |
|
MT |
36 |
29 |
2 |
|
NL |
42 |
12 |
0 |
|
PL |
142 |
87 |
0 |
|
PT |
1250 |
26 |
0 |
|
RO |
86 |
77 |
0 |
|
SE |
326 |
27 |
0 |
|
SI |
0 |
34 |
2 |
|
SK |
273 |
28 |
7 |
|
UK |
470 |
34 |
0 |
4.3. Dalībvalstu identificētie pakalpojumi elektroenerģijas apakšnozarē
|
Dalībvalsts |
Identificētie pakalpojumi |
|
AT |
̶Elektroenerģijas ražotnes ̶Kontroles sistēmas ražotnēs ̶Sadales tīkli ̶Pārvades tīkli |
|
BE |
̶Ražošanas, transportēšanas un sadales uzņēmumi ̶Elektrosadale ̶Elektropārvadājumi |
|
BG |
̶Elektroenerģijas ražošana ̶Elektroenerģijas pārvade ̶Elektropārvades sistēmas ekspluatācija, uzturēšana un attīstība ̶Elektroenerģijas sadale ̶Elektroenerģijas sadales sistēmas darbības un uzturēšanas nodrošināšana ̶Elektroenerģijas tirgus |
|
CY |
̶Ražošana/apgāde ̶Sadale/pārvade ̶Elektroenerģijas tirgus pakalpojumi |
|
CZ |
̶Elektroenerģijas ražošana ̶Elektroenerģijas pārdošana ̶Pārvades sistēmas ekspluatācija ̶Sadales sistēmas ekspluatācija |
|
DE |
̶Elektroapgāde |
|
DK |
̶Elektropārvade ̶Elektrosadale ̶Elektroenerģijas ražošana |
|
EE |
̶Elektroapgāde |
|
EL |
̶Elektroapgāde ̶Elektrosadale ̶Elektropārvade |
|
ES |
̶Elektroenerģijas ražošana ̶Elektropārvade ̶Elektrosadale ̶Elektrosistēmu ekspluatācijas un kontroles centri |
|
FI |
̶Pārvades pakalpojumi ̶Elektroenerģijas sadale sadales tīklā ̶Elektroapgāde ar augstsprieguma sadales tīkliem |
|
FR |
̶Elektroenerģijas pārdošana vai tālākpārdošana vairumlietotājiem un galalietotājiem ̶Elektroenerģijas sadale ̶Elektroenerģijas pārvade |
|
HR |
̶Elektroenerģijas ražošana ̶Elektroenerģijas pārvade ̶Elektroenerģijas sadale |
|
HU |
̶Elektroenerģija |
|
IE |
̶Sadales sistēmas operatori ̶Elektroenerģijas uzņēmumi ̶Pārvades sistēmas operatori |
|
IT |
̶Ražošana ̶Tirdzniecība ̶Pārvade ̶Sadale |
|
LT |
̶Elektroenerģijas ražošanas pakalpojums ̶Elektropārvades pakalpojums ̶Elektroenerģijas sadales pakalpojums ̶Elektroapgādes pakalpojums |
|
LU |
̶Elektroapgāde ̶Elektrosadale ̶Elektropārvade |
|
LV |
̶Elektroenerģijas ražošana ̶Elektrosadale ̶Elektropārvade |
|
MT |
̶Elektroenerģijas nodrošināšana patērētājiem ̶Elektroenerģijas pārvade un/vai sadale patērētājiem ̶Elektroenerģijas ražošana patērētājiem |
|
NL |
̶Elektroenerģijas pārvade un sadale |
|
PL |
̶Elektroenerģijas ražošana ̶Elektroenerģijas pārvade ̶Elektroenerģijas sadale ̶Elektroenerģijas tirdzniecība ̶Elektroenerģijas uzglabāšana ̶Enerģētikas infrastruktūras kvalitātes nodrošināšanas pakalpojumi un pārvaldība |
|
PT |
̶Sadales sistēmas operatori ̶Pārvades sistēmas operatori |
|
RO |
̶Elektroenerģijas ražošana ̶Elektroenerģijas piegāde patērētājiem ̶Centralizētu elektroenerģijas tirgu darbība ̶Elektroenerģijas pārvadājumi ̶Elektroenerģijas sistēmas ekspluatācija ̶Elektroenerģijas sadale |
|
SE |
̶PSO ̶SSO ̶Ražošana ̶Vairumtirdzniecība |
|
SI |
̶Elektroenerģijas ražošana hidroelektrostacijās ̶Elektroenerģijas ražošana termoelektrostacijās, kodolelektrostacijās ̶Elektroenerģijas pārvade ̶Elektroenerģijas sadale ̶Elektroenerģijas tirdzniecība |
|
SK |
̶Elektroenerģijas uzņēmums ̶Pārvades sistēmas operators ̶Sadales sistēmas operators |
|
UK |
̶Elektroapgāde ̶Elektropārvade ̶Elektrosadale |
4.4. Dalībvalstu identificētie pakalpojumi dzelzceļa transporta apakšnozarē
|
Dalībvalsts |
Identificētie pakalpojumi |
|
AT |
̶Dzelzceļa infrastruktūra ̶Dzelzceļa kravu pārvadājumi ̶Dzelzceļa pasažieru pārvadājumi ̶Dzelzceļa stacijas |
|
BE |
̶Infrastruktūras pārvaldītāji ̶Dzelzceļa pārvadājumu uzņēmumi |
|
BG |
̶Apkalpes vietas nodrošināšana, uzturēšana un pārvaldība ̶Dzelzceļa pārvadātāju nodrošināts dzelzceļa transports ̶Norādījumu sniegšana par dzelzceļa transportu |
|
CY |
Šajā apakšnozarē identifikācija nav veikta |
|
CZ |
̶Dzelzceļu ekspluatācija ̶Dzelzceļa transporta vai apkalpes vietas ekspluatācija |
|
DE |
̶Dzelzceļš |
|
DK |
̶Dzelzceļa infrastruktūras pārvaldība ̶Dzelzceļa transports |
|
EE |
̶Dzelzceļa infrastruktūras pārvaldītājs ̶Dzelzceļa transporta pakalpojumi |
|
EL |
̶Dzelzceļa infrastruktūras pārvaldība ̶Dzelzceļa pakalpojumi |
|
ES |
̶Dzelzceļa pakalpojumu pārvaldība ̶Dzelzceļa transporta pārvaldība ̶Dzelzceļa tīkla pakalpojumi ̶Dzelzceļa informācijas un telesakaru pārvaldība |
|
FI |
̶Valsts infrastruktūras pārvaldība ̶Satiksmes pārvaldības pakalpojumi |
|
FR |
̶Dzelzceļa pakalpojumi ̶Dzelzceļa satiksmes kontrole un pārvaldība ̶Infrastruktūras apkope ̶Krava un bīstami materiāli ̶Pasažieru pārvadājumi ̶Ritošā sastāva apkope ̶Metro, tramvaju un citi vieglā dzelzceļa pakalpojumi (ietverot pazemes pakalpojumus) |
|
HR |
̶Dzelzceļa infrastruktūras pārvaldība un uzturēšana, ietverot satiksmes pārvaldību un kontroles komandu un signalizācijas apakšsistēmu ̶Dzelzceļa preču un/vai pasažieru pārvadājumu pakalpojumi ̶Apkalpes vietas pārvaldība un pakalpojumu sniegšana apkalpes vietā ̶Tādu papildu pakalpojumu sniegšana, kas nepieciešami dzelzceļa preču vai pasažieru pārvadājumiem |
|
HU |
Šajā apakšnozarē identifikācija nav veikta |
|
IE |
̶Infrastruktūras pārvaldītāji ̶Dzelzceļa pārvadājumu uzņēmumi |
|
IT |
Šajā apakšnozarē identifikācija nav veikta |
|
LT |
̶Pasažieru un bagāžas pārvadājumi, kuriem izmanto dzelzceļa pakalpojumus ̶Dzelzceļa kravu pakalpojumi ̶Dzelzceļa infrastruktūras attīstības, pārvaldības un uzturēšanas pakalpojumi |
|
LU |
̶Dzelzceļa infrastruktūras pārvaldība ̶Dzelzceļa kravu un pasažieru pārvadājumi |
|
LV |
Neattiecas |
|
MT |
Neattiecas |
|
NL |
Šajā apakšnozarē identifikācija nav veikta |
|
PL |
̶Vilcienu grafiku sagatavošana ̶Dzelzceļa pasažieru pārvadājumi ̶Dzelzceļa kravu pārvadājumi |
|
PT |
̶Infrastruktūras pārvaldītāji, kā definēts Eiropas Parlamenta un Padomes Direktīvas 2012/34/ES 3. panta 2. punktā ̶Dzelzceļa pārvadājumu uzņēmumi, kā definēts Direktīvas 2012/34/ES 3. panta 1. punktā, tostarp apkalpes vietas operatori, kā definēts Direktīvas 2012/34/ES 3. panta 12. punktā |
|
RO |
̶Satiksmes kontrole un pārvaldība ̶Kravu pārvadājumi ̶Bīstamu kravu pārvadājumi ̶Pasažieru pārvadājumi ̶Metro, tramvaju un citi vieglā dzelzceļa pakalpojumi ̶Dzelzceļa infrastruktūras uzturēšana ̶Ritošā sastāva apkope |
|
SE |
̶Infrastruktūras pārvaldība ̶Pasažieru pārvadājumi ̶Kravu pārvadājumi |
|
SI |
̶Dzelzceļa pasažieru pārvadājumi (starppilsētu) ̶Dzelzceļa kravu pārvadājumi ̶Pakalpojumu darbības, kas saistītas ar sauszemes transportu (dzelzceļa staciju ekspluatācija utt.) |
|
SK |
̶Infrastruktūras operatori ̶Dzelzceļa pārvadājumu uzņēmumi |
|
UK |
̶Dzelzceļa pakalpojumi ̶Ātrgaitas dzelzceļa pakalpojumi ̶Metro, tramvaju un citi vieglā dzelzceļa pakalpojumi (ietverot pazemes pakalpojumus) ̶Starptautiskie dzelzceļa pakalpojumi |
OV L 194, 19.7.2016., 1. lpp.
Līdz 2019. gada septembrim par direktīvas pilnīgu transponējumu paziņojušas visas 28 dalībvalstis.
Komisijas paziņojums Eiropas Parlamentam un Padomei “TID direktīvas potenciāla maksimāla izmantošana — kā efektīvi īstenot Direktīvu (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā”, COM(2017) 476.
TID sadarbības grupa, ko veido dalībvalstis, Komisija un Eiropas Savienības Kiberdrošības aģentūra (ENISA), ir izveidojusi atsevišķu darba virzienu, kura mērķis ir dalībvalstu starpā apmainīties ar informāciju un paraugpraksi PPS identifikācijas jomā.
Piemēram, izspiedējprogrammatūras kriptotārpam WannaCry 2017. gada maijā bija nepieciešama tikai viena diena, lai izplatītos vairāk nekā 150 valstīs un inficētu aptuveni 200 000 datoru.
Saskaņā ar TID sadarbības grupu iekšējā pakalpojumu tirgus atvērtība var radīt pārrobežu riskus un atkarības, kas būtiski ietekmē šādu pakalpojumu pieejamību, integritāti un konfidencialitāti.
Saskaņā ar TID direktīvas 10. panta 3. punktu dalībvalstis katru gadu iesniedz grupai kopsavilkuma ziņojumu par saņemtajiem paziņojumiem par incidentiem.
Starpnozaru faktori ir, piemēram, to lietotāju skaits, kuri izmanto pakalpojumu, vai vienības tirgus daļa. Konkrētai nozarei raksturīgi faktori ir, piemēram, tādu autonomo sistēmu skaits, kas savienotas ar interneta plūsmu apmaiņas punktu (IPAP), vai finanšu iestādes darījumu skaits gadā.
Austrija, Beļģija, Grieķija, Rumānija, Slovēnija un Ungārija.
Padomes 2008. gada 8. decembra Direktīva 2008/114/EK par to, lai apzinātu un noteiktu Eiropas Kritiskās infrastruktūras un novērtētu vajadzību uzlabot to aizsardzību. Direktīvas mērķis ir stiprināt kritisko infrastruktūru aizsardzību enerģētikas un transporta nozarē.
Identiski datu punkti ir atzīmēti viens uz otra. Tāpēc laukos nav redzami visi 28 datu punkti. Piemēram, 17 dalībvalstis ir identificējušas tieši trīs pamatpakalpojumus digitālās infrastruktūras jomā.
Piemēram, viena dalībvalsts ir izstrādājusi septiņus faktorus (četri faktori, kas atkarīgi no pakalpojumu sniedzēja, un trīs faktori, kas atkarīgi no ietekmes), kas ir iekļauti vienā formulā. Ja aprēķina galīgā vērtība pārsniedz konkrētu robežvērtību, attiecīgais pakalpojumu sniedzējs tiek atzīts par PPS.
TID direktīvas II pielikums neaptver loģistikas nozari.
Identiski datu punkti ir atzīmēti viens uz otra. Tāpēc laukos nav redzami visi 25 datu punkti. Piemēram, gan Dānija, gan Nīderlande gaisa transporta apakšnozarē ir identificējušas 0,35 PPS uz 1 000 000 iedzīvotāju.
Identification of Operators of Essential Services — Reference document on modalities of the consultation process in cases with cross-border impact (“Pamatpakalpojumu sniedzēju identifikācija: atsauces dokuments par apspriešanās procesa kārtību gadījumos ar pārrobežu ietekmi”), sadarbības grupas publikācija, 2018. gada jūlijs.
Eiropas Parlamenta un Padomes 2002. gada 7. marta Direktīva 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem.
2018. gada jūnijā un 2019. gada jūlijā izveidoti darba virzieni enerģētikas un digitālās infrastruktūras jomā.
Somijas identifikācijas metodikas dēļ veselības aprūpes nozarē tika identificēts ļoti liels PPS skaits.