(1)

Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/1148 (4) mērķis bija veidot kiberdrošības spējas Savienībā, mazināt draudus tīklu un informācijas sistēmām, ko izmanto pamatpakalpojumu sniegšanai svarīgās nozarēs, un nodrošināt šādu pakalpojumu nepārtrauktību, saskaroties ar incidentiem, un tādējādi sniedzot ieguldījumu Savienības drošībā un tās ekonomikas un sabiedrības efektīvā darbībā.

(2)

Kopš Direktīvas (ES) 2016/1148 stāšanās spēkā Savienības kibernoturības līmeņa paaugstināšanā ir panākts ievērojams progress. Minētās direktīvas pārskatīšana apliecināja, ka tā ir kalpojusi par katalizatoru institucionālajai un regulatīvajai pieejai attiecībā uz kiberdrošību Savienībā, bruģējot ceļu būtiskām domāšanas veida pārmaiņām. Direktīva ir nodrošinājusi, ka tiek pabeigti tīklu un informācijas sistēmu drošības valstu satvari, nosakot valstu tīklu un informācijas sistēmu drošības stratēģijas, veidojot valstu spējas un īstenojot regulatīvus pasākumus, kas aptver būtiskas infrastruktūras un vienības, kuras identificējusi katra dalībvalsts. Direktīva (ES) 2016/1148 ir arī veicinājusi sadarbību Savienības līmenī, izveidojot sadarbības grupu un valstu datordrošības incidentu reaģēšanas vienību tīklu. Neraugoties uz šiem sasniegumiem, Direktīvas (ES) 2016/1148 pārskatīšanas gaitā ir konstatētas tai piemītošas nepilnības, kas liedz tai rezultatīvi risināt pašreizējās un jaunās kiberdrošības problēmas.

(3)

Tīklu un informācijas sistēmas ir kļuvušas par būtisku iezīmi ikdienas dzīvē, ko raksturo ātra digitālā pārkārtošanās un sabiedrības savstarpējā savienotība, tai skaitā pārrobežu sakaros. Šīs attīstības rezultātā ir paplašinājusies kiberdraudu aina, rodoties jaunām problēmām, kurām ir vajadzīgi pielāgoti, koordinēti un inovatīvi reaģēšanas pasākumi visās dalībvalstīs. Incidentu skaits, apmērs, sarežģītība, biežums un ietekme pieaug un būtiski apdraud tīklu un informācijas sistēmu darbību. Līdz ar to incidenti var kavēt saimniecisko darbību īstenošanu iekšējā tirgū, radīt finansiālus zaudējumus, apdraudēt lietotāju uzticēšanos un radīt lielu kaitējumu Savienības ekonomikai un sabiedrībai. Tāpēc sagatavotība un rezultativitāte kiberdrošības jomā tagad iekšējā tirgus pienācīgai darbībai ir vēl svarīgāka nekā jebkad iepriekš. Turklāt kiberdrošība daudzās kritiskās nozarēs ir būtisks faktors, kas dod iespēju sekmīgi īstenot digitālo pārkārtošanos un pilnībā izmantot digitalizācijas dotos saimnieciskos, sociālos un ilgtspējīgos ieguvumus.

(4)

Direktīvas (ES) 2016/1148 juridiskais pamats bija Līguma par Eiropas Savienības darbību (LESD) 114. pants, kura mērķis ir nodrošināt iekšējā tirgus izveidi un darbību, uzlabojot valstu regulējumu tuvināšanas pasākumus. Kiberdrošības prasības, kas noteiktas vienībām, kuras sniedz pakalpojumus vai veic darbības, kuras ir ekonomiski nozīmīgas, ievērojami atšķiras starp dalībvalstīm prasību veida, detalizācijas līmeņa un uzraudzības metodes ziņā. Minētās atšķirības rada papildu izmaksas un grūtības vienībām, kas piedāvā preces vai pakalpojumus pāri robežām. Prasības, ko nosaka viena dalībvalsts un kas atšķiras no citas dalībvalsts noteiktajām prasībām vai pat ir pretrunā tām, var šādas pārrobežu darbības būtiski ietekmēt. Turklāt iespējai, ka kiberdrošības prasības vienā dalībvalstī nav adekvāti izstrādātas vai netiek adekvāti īstenotas, ļoti iespējams, var būt ietekme uz pārējo dalībvalstu kiberdrošības līmeni, jo īpaši ņemot vērā intensīvos pārrobežu sakarus. Direktīvas (ES) 2016/1148 pārskatīšanā ir atklājies, ka tās īstenošana dalībvalstīs ievērojami atšķiras, arī attiecībā uz tās darbības jomu, kuras precīza noteikšana lielā mērā tika atstāta dalībvalstu ziņā. Direktīva (ES) 2016/1148 arī deva dalībvalstīm ļoti plašu rīcības brīvību attiecībā uz tajā noteikto drošības un incidentu paziņošanas pienākumu ieviešanu. Tāpēc minētie pienākumi dalībvalstu līmenī tika ieviesti ļoti atšķirīgi. Līdzīgas atšķirības pastāv Direktīvas (ES) 2016/1148 noteikumu par uzraudzību un izpildes panākšanu ieviešanā.

(5)

Visas šīs atšķirības sadrumstalo iekšējo tirgu un var prejudiciāli ietekmēt tā darbību, jo īpaši skarot pakalpojumu pārrobežu sniegšanu un kibernoturības līmeni dažādu pasākumu piemērošanas dēļ. Galu galā minētās atšķirības varētu novest pie lielākas dažu dalībvalstu ievainojamības pret kiberdraudiem un potenciālas plašākas ietekmes Savienībā. Šīs direktīvas mērķis ir izbeigt šādas plašas atšķirības starp dalībvalstīm, jo īpaši paredzot minimālos noteikumus par koordinēta tiesiskā regulējuma darbību, nosakot mehānismus rezultatīvai atbildīgo iestāžu sadarbībai katrā dalībvalstī, atjauninot to nozaru un darbību sarakstu, uz kurām attiecas kiberdrošības pienākumi, un paredzot iedarbīgus tiesiskās aizsardzības līdzekļus un izpildes panākšanas pasākumus, kas ir svarīgi rezultatīvai šo pienākumu izpildes panākšanai. Tāpēc Direktīva (ES) 2016/1148 būtu jāatceļ un jāaizstāj ar šo direktīvu.

(6)

Līdz ar Direktīvas (ES) 2016/1148 atcelšanu būtu jāpaplašina piemērošanas joma pa nozarēm, aptverot lielāku ekonomikas daļu, lai nodrošinātu tādu nozaru un pakalpojumu pilnīgu aptvērumu, kas ir izšķirīgi svarīgas būtiskām sabiedriskajām un saimnieciskajām darbībām iekšējā tirgū. Šī direktīva jo īpaši tiecas novērst trūkumus, kas saistīti ar pamatpakalpojumu sniedzēju un digitālo pakalpojumu sniedzēju diferenciāciju, kura ir izrādījusies novecojusi, jo neatspoguļo nozaru vai pakalpojumu nozīmīgumu sabiedriskajām un saimnieciskajām darbībām iekšējā tirgū.

(7)

Saskaņā ar Direktīvu (ES) 2016/1148 dalībvalstīm bija pienākums identificēt vienības, kuras atbilst kritērijiem, lai tās varētu uzskatīt par pamatpakalpojumu sniedzējiem. Lai šajā ziņā mazinātu lielās atšķirības starp dalībvalstīm un nodrošinātu juridisko noteiktību attiecībā uz kiberdrošība risku pārvaldības pasākumiem un ziņošanas pienākumiem visām attiecīgajām vienībām, būtu jāievieš vienots kritērijs tādu vienību noteikšanai, kuras ietilpst šīs direktīvas darbības jomā. Minētajam kritērijam vajadzētu būt maksimālā lieluma noteikumam, saskaņā ar kuru visas vienības, kas kvalificējas kā vidējie uzņēmumi saskaņā ar Komisijas Ieteikuma 2003/361/EK (5) pielikuma 2. pantu vai pārsniedz vidējiem uzņēmumiem noteiktos maksimālos lielumus, kuri paredzēti minētā panta 1. punktā, un kas darbojas šīs direktīvas aptvertajās nozarēs un sniedz tās aptvertos pakalpojumus, vai veic tās aptvertās darbības, ietilpst tās darbības jomā. Dalībvalstīm būtu arī jāparedz, ka šīs direktīvas darbības jomā ietilpst konkrēti mazie uzņēmumi un mikrouzņēmumi, kā definēts minētā pielikuma 2. panta 2. un 3. punktā, kas atbilst konkrētiem kritērijiem, kuri liecina par svarīgu lomu sabiedrībā, ekonomikā vai konkrētās nozarēs vai pakalpojumu veidos.

(8)

Valsts pārvaldes vienību izslēgšana no šīs direktīvas darbības jomas būtu jāpiemēro vienībām, kuru darbības galvenokārt tiek veiktas valsts drošības, sabiedriskās drošības, aizsardzības vai tiesībaizsardzības jomā, tostarp noziedzīgu nodarījumu novēršanā, izmeklēšanā, atklāšanā un kriminālvajāšanā par tiem. Tomēr no šīs direktīvas darbības jomas nebūtu jāizslēdz valsts pārvaldes vienības, kuru darbības ir tikai maznozīmīgi saistītas ar minētajām jomām. Šajā direktīvā vienības, kam ir regulatīva kompetence, neuzskata par tādām, kas veic darbības tiesībaizsardzības jomā, un tāpēc tās nav izslēgtas no šīs direktīvas darbības jomas. No šīs direktīvas darbības jomas ir izslēgtas valsts pārvaldes vienības, kas ir izveidotas kopīgi ar trešo valsti saskaņā ar starptautisku nolīgumu. Šo direktīvu nepiemēro dalībvalstu diplomātiskajām un konsulārajām pārstāvniecībām trešās valstīs vai to tīklu un informācijas sistēmām, ciktāl šādas sistēmas atrodas pārstāvniecības telpās vai ir paredzētas lietotājiem trešā valstī.

(9)

Dalībvalstīm būtu jāspēj veikt nepieciešamos pasākumus, lai nodrošinātu būtisko valsts drošības interešu aizsardzību, sabiedrisko kārtību un sabiedrisko drošību un lai varētu novērst, izmeklēt un atklāt noziedzīgus nodarījumus un veikt kriminālvajāšanu par tiem. Šajā nolūkā dalībvalstīm būtu jāspēj paredzēt, ka konkrētas vienības, kas veic darbības valsts drošības, sabiedriskās drošības, aizsardzības vai tiesībaizsardzības jomā, tostarp noziedzīgu nodarījumu novēršanā, izmeklēšanā, atklāšanā un kriminālvajāšanā par tiem, ir atbrīvotas no dažiem šajā direktīvā noteiktajiem pienākumiem attiecībā uz minētajām darbībām. Ja vienība sniedz pakalpojumus tikai valsts pārvaldes vienībai, kas ir izslēgta no šīs direktīvas darbības jomas, dalībvalstīm būtu jāspēj atbrīvot minēto vienību no dažiem šajā direktīvā noteiktajiem pienākumiem attiecībā uz minētajiem pakalpojumiem. Turklāt nevajadzētu būt prasībai dalībvalstīm sniegt informāciju, kuras izpaušana būtu pretrunā to būtiskajām valsts drošības, sabiedriskās drošības vai aizsardzības interesēm. Šajā ziņā būtu jāņem vērā Savienības vai valstu noteikumi par klasificētas informācijas aizsardzību, vienošanās par neizpaušanu un neformālas vienošanās par informācijas neizpaušanu, piemēram, gaismas signālu protokols. Gaismas signālu protokols ir jāsaprot kā līdzeklis, ar ko sniegt informāciju par jebkādiem ierobežojumiem attiecībā uz tālāku informācijas izplatīšanu. To izmanto gandrīz visās datordrošības incidentu reaģēšanas vienībās (CSIRT) un dažos informācijas analīzes un kopīgošanas centros.

(10)

Lai gan šī direktīva attiecas uz vienībām, kas veic darbības elektroenerģijas ražošanā kodolelektrostacijās, dažas no minētajām darbībām var būt saistītas ar valsts drošību. Ja tā ir, dalībvalstij būtu jāspēj pildīt savu pienākumu sargāt valsts drošību attiecībā uz minētajām darbībām, tostarp darbībām kodolenerģijas vērtības ķēdē, saskaņā ar Līgumiem.

(11)

Dažas vienības veic darbības valsts drošības, sabiedriskās drošības, aizsardzības vai tiesībaizsardzības jomā, tostarp noziedzīgu nodarījumu novēršanā, izmeklēšanā, atklāšanā un kriminālvajāšanā par tiem, bet vienlaikus sniedz arī uzticamības pakalpojumus. Uzticamības pakalpojumu sniedzējiem, kas ietilpst Eiropas Parlamenta un Padomes Regula (ES) Nr. 910/2014 (6) darbības jomā, būtu jāietilpst šīs direktīvas darbības jomā, lai nodrošinātu tādu pašu drošības prasību un uzraudzības līmeni, kāds iepriekš bija noteikts minētajā regulā attiecībā uz uzticamības pakalpojumu sniedzējiem. Atbilstoši dažu konkrētu pakalpojumu izslēgšanai no Regulas (ES) Nr. 910/2014 darbības jomas šo direktīvu nevajadzētu piemērot tādu uzticamības pakalpojumu sniegšanai, kurus izmanto vienīgi slēgtās sistēmās, kas izriet no valsts tiesību aktiem vai nolīgumiem starp noteiktu dalībnieku kopu.

(12)

Pasta pakalpojumu sniedzēji, kā tie definēti Eiropas Parlamenta un Padomes Direktīvā 97/67/EK (7), tostarp kurjerpiegādes pakalpojumu sniedzēji, šīs direktīvas darbības jomā būtu jāiekļauj tad, ja tie nodrošina vismaz vienu no posmiem pasta piegādes ķēdē, jo īpaši, ja tie sniedz pasta sūtījumu atmuitošanas, šķirošanas, transporta vai sadales pakalpojumus, tostarp savākšanas pakalpojumus, bet vienlaikus būtu jāņem vērā tas, kādā mērā tie ir atkarīgi no tīklu un informācijas sistēmām. Transporta pakalpojumi, kurus neveic saistībā ar kādu no minētajiem posmiem, no pasta pakalpojumu jomas būtu jāizslēdz.

(13)

Ņemot vērā kiberdraudu pastiprināšanos un pieaugošo sarežģītību, dalībvalstīm būtu jācenšas nodrošināt, ka vienības, kas ir izslēgtas no šīs direktīvas darbības jomas, sasniedz augstu kiberdrošības līmeni, un atbalstīt tādu līdzvērtīgu kiberdrošības riska pārvaldības pasākumu īstenošanu, kas atbilst minēto vienību sensitīvajam raksturam.

(14)

Jebkādai persondatu apstrādei saskaņā ar šo direktīvu piemēro Savienības datu aizsardzības tiesību aktus un Savienības privātuma tiesību aktus. Konkrētāk, šī direktīva neskar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (8) un Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (9). Tādēļ šai direktīvai cita starpā nebūtu jāskar tādu iestāžu uzdevumi un pilnvaras, kuras ir kompetentas uzraudzīt atbilstību piemērojamajiem Savienības datu aizsardzības tiesību aktiem un Savienības privātuma tiesību aktiem.

(15)

Vienības, kuras ietilpst šīs direktīvas darbības jomā, attiecībā uz atbilstību kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem būtu jāiedala divās kategorijās, proti, būtiskajās vienībās un svarīgajās vienībās, atspoguļojot to, kādā mērā tās ir kritiski svarīgas to nozares vai sniegto pakalpojumu veida aspektā, kā arī to lielumu. Minētajā sakarā attiecīgā gadījumā būtu pienācīgi jāņem vērā visi attiecīgie nozaru riska novērtējumi vai norādījumi, ko sniegušas kompetentās iestādes. Uzraudzības un izpildes režīmi minētajām divām vienību kategorijām būtu jādiferencē, lai nodrošinātu taisnīgu līdzsvaru starp prasībām un pienākumiem, kas balstīti uz risku, no vienas puses, un administratīvo slogu, kas izriet no atbilstības uzraudzības, no otras puses.

(16)

Lai izvairītos no tā, ka vienības, kurām ir partneruzņēmumi vai kuras ir saistīti uzņēmumi, tiek uzskatītas par būtiskām vai svarīgām vienībām, ja tas būtu nesamērīgi, dalībvalstis, piemērojot Ieteikuma 2003/361/EK pielikuma 6. panta 2. punktu, var ņemt vērā vienības neatkarības pakāpi attiecībā pret tās partneri vai saistītajiem uzņēmumiem. Konkrētāk, dalībvalstis var ņemt vērā to, ka vienība ir neatkarīga no sava partnera vai saistītajiem uzņēmumiem to tīklu un informācijas sistēmu ziņā, ko šī vienība izmanto savu pakalpojumu sniegšanā, un tās sniegto pakalpojumu ziņā. Uz šā pamata attiecīgā gadījumā dalībvalstis var uzskatīt, ka šāda vienība nekvalificējas kā vidējs uzņēmums saskaņā ar Ieteikuma 2003/361/EK 2. pantu vai nepārsniedz minētā panta 1. punktā paredzētos maksimālos lielumus vidējiem uzņēmumiem, ja pēc tam, kad ir ņemta vērā šīs vienības neatkarības pakāpe, tiktu uzskatīts, ka šī vienība nekvalificētos kā vidējs uzņēmums vai nepārsniegtu minētos maksimālos lielumus, ja tiktu ņemti vērā tikai tās pašas dati vien. Tas neskar šajā direktīvā noteiktos to partneru un saistīto uzņēmumu pienākumus, kuri ietilpst šīs direktīvas darbības jomā.

(17)

Dalībvalstīm būtu jāspēj nolemt, ka vienības, kas pirms šīs direktīvas stāšanās spēkā identificētas kā pamatpakalpojumu sniedzēji saskaņā ar Direktīvu (ES) 2016/1148, ir uzskatāmas par būtiskām vienībām.

(18)

Lai nodrošinātu skaidru pārskatu par vienībām, kas ir šīs direktīvas darbības jomā, dalībvalstīm būtu jāizveido saraksts ar būtiskajām un svarīgajām vienībām, kā arī vienībām, kuras sniedz domēnu nosaukumu reģistrācijas pakalpojumus. Minētajā nolūkā dalībvalstīm būtu jāprasa, lai vienības kompetentajām iestādēm iesniedz vismaz šādu informāciju: nosaukumu, adresi un atjauninātu kontaktinformāciju, tostarp vienības e-pasta adreses, IP adrešu diapazonus un tālruņa numurus, un attiecīgā gadījumā pielikumos minētās attiecīgās nozares un apakšnozares, kā arī attiecīgā gadījumā to dalībvalstu sarakstu, kurās tās sniedz pakalpojumus, kas ietilpst šīs direktīvas darbības jomā. Šajā nolūkā Komisijai ar Eiropas Savienības Kiberdrošības aģentūras (ENISA) palīdzību bez nepamatotas kavēšanās būtu jāsniedz pamatnostādnes un veidnes attiecībā uz pienākumu iesniegt informāciju. Lai atvieglotu būtisko un svarīgo vienību, kā arī vienību, kuras sniedz domēnu nosaukumu reģistrācijas pakalpojumus, saraksta izveidi un atjaunināšanu, dalībvalstīm būtu jāspēj izveidot valsts mehānismus, ko vienības varētu izmantot, lai reģistrētos pašas. Ja pastāv valsts līmeņa reģistri, dalībvalstis var lemt par piemērotiem mehānismiem, kas ļauj identificēt vienības, kuras ietilpst šīs direktīvas darbības jomā.

(19)

Dalībvalstīm vajadzētu būt atbildīgām par to, lai Komisijai tiktu iesniegts vismaz to būtisko un svarīgo vienību skaits katrā nozarē un apakšnozarē, kas minētas pielikumos, kā arī relevanta informācija par identificēto vienību skaitu un to no šajā direktīvā paredzētajiem noteikumiem, uz kura pamata tās identificētas, un pakalpojumu veidu, ko tās sniedz. Dalībvalstis tiek mudinātas ar Komisiju apmainīties ar informāciju par būtiskajām un svarīgajām vienībām un – liela mēroga kiberdrošības incidenta gadījumā – ar relevantu informāciju, piemēram, attiecīgās vienības nosaukumu.

(20)

Komisijai sadarbībā ar sadarbības grupu un pēc apspriešanās ar attiecīgajām ieinteresētajām personām būtu jāsniedz pamatnostādnes par to, kā īstenot mikrouzņēmumiem un mazajiem uzņēmumiem piemērojamos kritērijus, pēc kuriem novērtēt, vai tie ietilpst šīs direktīvas darbības jomā. Komisijai būtu arī jānodrošina, ka piemēroti norādījumi tiek sniegti mikrouzņēmumiem un mazajiem uzņēmumiem, kuri ietilpst šīs direktīvas darbības jomā. Komisijai ar dalībvalstu palīdzību būtu minētajā nolūkā jādara pieejama informācija mikrouzņēmumiem un mazajiem uzņēmumiem.

(21)

Komisija varētu sniegt norādījumus, lai palīdzētu dalībvalstīm īstenot šīs direktīvas noteikumus par darbības jomu un izvērtēt saskaņā ar šo direktīvu veicamo pienākumu proporcionalitāti, jo īpaši attiecībā uz vienībām ar sarežģītiem uzņēmējdarbības modeļiem vai darbības vidēm, kur vienība vienlaikus var atbilst kritērijiem, kas noteikti gan būtiskām, gan svarīgām vienībām, vai vienlaikus veikt darbības, no kurām daļa ietilpst šīs direktīvas darbības jomā, bet citas no tās ir izslēgtas.

(22)

Šajā direktīvā ir noteikts pamats kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem nozarēs, kas ietilpst tās darbības jomā. Lai izvairītos no Savienības tiesību aktos paredzēto kiberdrošības noteikumu sadrumstalotības, ja tiek uzskatīts, ka augsta kiberdrošības līmeņa nodrošināšanai Savienībā ir nepieciešami papildu nozarspecifiski Savienības tiesību akti, kas attiecas uz kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem, Komisijai būtu jānovērtē, vai šādus papildu noteikumus varētu paredzēt īstenošanas aktā saskaņā ar šo direktīvu. Ja šāds īstenošanas akts minētajam nolūkam nav piemērots, nozarspecifiski Savienības tiesību akti varētu palīdzēt nodrošināt Savienībā augstu kiberdrošības līmeni, vienlaikus pilnībā ņemot vērā attiecīgo nozaru specifiku un sarežģītību. Šajā nolūkā šī direktīva neliedz pieņemt papildu nozarspecifiskus Savienības tiesību aktus, kas pievēršas kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem un kas pienācīgi ņem vērā nepieciešamību pēc vispusīgas un konsekventas kiberdrošības sistēmas. Šī direktīva neskar pastāvošās īstenošanas pilnvaras, kas Komisijai piešķirtas vairākās nozarēs, tai skaitā transporta un enerģētikas nozarē.

(23)

Ja nozarspecifiska Savienības tiesību akta noteikumi prasa būtiskajām vai svarīgajām vienībām pieņemt kiberdrošības risku pārvaldības pasākumus vai ziņot par būtiskiem incidentiem un ja šādas prasības to ietekmes ziņā ir vismaz līdzvērtīgas šajā direktīvā noteiktajiem pienākumiem, minētos noteikumus, tostarp noteikumus par uzraudzību un izpildes panākšanu, būtu jāpiemēro šādām vienībām. Ja nozarspecifisks Savienības tiesību akts neaptver visas vienības konkrētā nozarē, kas ietilpst šīs direktīvas darbības jomā, attiecīgos šīs direktīvas būtu jāturpina piemērot vienībām, uz kurām minētais akts neattiecas.

(24)

Ja nozarspecifiska Savienības tiesību akta noteikumi prasa, lai būtiskās vai svarīgās vienības izpilda ziņošanas prasības, kuras iedarbības ziņā ir vismaz līdzvērtīgas šajā direktīvā noteiktajiem ziņošanas pienākumiem, būtu jānodrošina incidentu paziņojumu apstrādes saskaņotība un rezultativitāte. Minētajā nolūkā nozarspecifiska Savienības tiesību akta noteikumiem saistībā ar incidentu paziņošanu būtu jānodrošina CSIRT, kompetentajām iestādēm vai vienotajiem kiberdrošības kontaktpunktiem (vienotie kontaktpunkti), ko paredz šī direktīva, tūlītēja piekļuve paziņojumiem par incidentiem, kas iesniegti saskaņā ar nozarspecifisko Savienības tiesību aktu. Konkrētāk, šādu tūlītēju piekļuvi var nodrošināt, ja incidentu paziņojumi bez nepamatotas kavēšanās tiek nosūtīti CSIRT, kompetentajai iestādei vai vienotajam kontaktpunktam, ko paredz šī direktīva. Attiecīgā gadījumā dalībvalstīm būtu jāievieš automātisks un tiešs ziņošanas mehānisms, kas nodrošina sistemātisku un tūlītēju informācijas kopīgošanu ar CSIRT, kompetentajām iestādēm vai vienotajiem kontaktpunktiem attiecībā uz šādu incidentu paziņojumu apstrādi. Lai vienkāršotu ziņošanu un ieviestu automātiskās un tiešās ziņošanas mehānismu, dalībvalstis saskaņā ar nozarspecifisko Savienības tiesību aktu varētu izmantot vienotu iesniegšanas punktu.

(25)

Nozarspecifiskos Savienības tiesību aktos, kas paredz kiberdrošības risku pārvaldības pasākumus vai ziņošanas pienākumus, kuri iedarbības ziņā ir vismaz līdzvērtīgi tiem, kas noteikti šajā direktīvā, varētu paredzēt, ka kompetentās iestādes, ko paredz šādi akti, savas uzraudzības un izpildes panākšanas pilnvaras attiecībā uz šādiem pasākumiem vai pienākumiem īsteno ar šajā direktīvā minēto kompetento iestāžu palīdzību. Attiecīgās kompetentās iestādes šajā nolūkā varētu izveidot sadarbības mehānismus. Šādos sadarbības mehānismos cita starpā varētu precizēt uzraudzības darbību koordinēšanas procedūras, tostarp izmeklēšanas un uz vietas veicamu inspekciju procedūras saskaņā ar valsts tiesību aktiem, un mehānismu relevantas informācijas apmaiņai starp kompetentajām iestādēm par uzraudzību un izpildes panākšanu, tostarp piekļuvi ar kiberjautājumiem saistītai informācijai, ko pieprasa šajā direktīvā minētās kompetentās iestādes.

(26)

Ja nozarspecifiski Savienības tiesību akti prasa vai rada stimulus vienībām paziņot par būtiskiem kiberdraudiem, dalībvalstīm būtu jāmudina informācijā par būtiskiem kiberdraudiem dalīties arī ar šajā direktīvā paredzētajām CSIRT, kompetentajām iestādēm vai vienotajiem kontaktpunktiem, lai nodrošinātu minēto struktūru labāku informētību par kiberdraudu ainu un lai tās varētu rezultatīvi un savlaicīgi reaģēt, ja būtiskie kiberdraudi īstenotos.

(27)

Turpmākos nozarspecifiskos Savienības tiesību aktos būtu pienācīgi jāņem vērā šajā direktīvā noteiktās definīcijas un uzraudzības un izpildes panākšanas sistēma.

(28)

Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (10) būtu jāuzskata par nozarspecifisku Savienības tiesību aktu saistībā ar šo direktīvu attiecībā uz finanšu vienībām. Šajā direktīvā izklāstīto noteikumu vietā būtu jāpiemēro Regulas (ES) 2022/2554 noteikumi par informācijas un komunikācijas tehnoloģiju (IKT) risku pārvaldību, ar IKT saistītu incidentu pārvaldību un jo īpaši lielu ar IKT saistītu incidentu paziņošanu, kā arī par digitālās darbības noturības testēšanu, informācijas kopīgošanas mehānismiem un ar trešo personu saistītu IKT risku. Tāpēc dalībvalstīm šīs direktīvas noteikumi par kiberdrošības risku pārvaldību un ziņošanas pienākumiem, kā arī uzraudzību un izpildes panākšanu nebūtu jāpiemēro finanšu vienībām, uz kurām attiecas Regula (ES) 2022/2554. Vienlaikus ir svarīgi uzturēt ciešas attiecības un informācijas apmaiņu ar finanšu sektoru saskaņā ar šo direktīvu. Šajā nolūkā Regula (ES) 2022/2554 Eiropas uzraudzības iestādēm (EUI) un kompetentajām iestādēm saskaņā ar minēto regulu dod iespēju piedalīties sadarbības grupas darbībās un apmainīties ar informāciju un sadarboties ar vienotajiem kontaktpunktiem, kā arī ar CSIRT un kompetentajām iestādēm saskaņā ar šo direktīvu. Kompetentajām iestādēm atbilstoši Regulai (ES) 2022/2554 arī būtu jānosūta ziņas par būtiskiem ar IKT saistītiem incidentiem un, attiecīgā gadījumā, par būtiskiem kiberdraudiem CSIRT, kompetentajām iestādēm vai vienotajiem kontaktpunktiem, kas minēti šajā direktīvā. To var panākt, nodrošinot tūlītēju piekļuvi paziņojumiem par incidentiem un tos pārsūtot vai nu tieši, vai izmantojot vienotu iesniegšanas punktu. Turklāt dalībvalstīm arī turpmāk būtu jāiekļauj finanšu sektors savās kiberdrošības stratēģijās, un CSIRT savās darbībās var aptvert finanšu sektoru.

(29)

Lai izvairītos no aviācijas nozares vienībām piemēroto kiberdrošības pienākumu nepilnībām vai dublēšanās, Eiropas Parlamenta un Padomes Regulā (EK) Nr. 300/2008 (11) un Regulā (ES) 2018/1139 paredzētajām (12) valsts iestādēm un šajā direktīvā paredzētajām kompetentajām iestādēm būtu jāsadarbojas saistībā ar kiberdrošības risku pārvaldības pasākumu īstenošanu un atbilstības minētajiem pasākumiem uzraudzību valsts līmenī. Šajā direktīvā paredzētās kompetentās iestādes varētu uzskatīt, ka vienības atbilstība drošības prasībām, kuras noteiktas Regulās (EK) Nr. 300/2008 un (ES) 2018/1139 un attiecīgajos deleģētajos un īstenošanas aktos, kas pieņemti, ievērojot minētās regulas, nozīmē atbilstību attiecīgajām šajā direktīvā noteiktajām prasībām.

(30)

Ņemot vērā saiknes starp vienību kiberdrošību un fizisko drošību, būtu jānodrošina, ka Eiropas Parlamenta un Padomes Direktīvas (ES) 2022/2557 (13) un šīs direktīvas pieejas ir saskanīgas. Lai to panāktu, vienības, kas identificētas kā kritiskās vienības saskaņā ar Direktīvu (ES) 2022/2557, būtu jāuzskata par būtiskām vienībām saskaņā ar šo direktīvu. Turklāt katrai dalībvalstij būtu jānodrošina, ka tās valsts kiberdrošības stratēģijā ir paredzēts rīcībpolitikas satvars pastiprinātai koordinācijai minētajā dalībvalstī starp tās kompetentajām iestādēm saskaņā ar šo direktīvu un kompetentajām iestādēm saskaņā ar Direktīvu (ES) 2022/2557 tādas informācijas kopīgošanas kontekstā, kas attiecas uz riskiem, kiberdraudiem un incidentiem, kā arī ar kiberdrošību nesaistītiem riskiem, draudiem un incidentiem un uzraudzības uzdevumu veikšanu. Šajā direktīvā paredzētajām kompetentajām iestādēm un Direktīvā (ES) 2022/2557 paredzētajām kompetentajām iestādēm būtu jāsadarbojas un jāapmainās ar informāciju bez nepamatotas kavēšanās, jo īpaši attiecībā uz kritisko vienību noteikšanu, riskiem, kiberdraudiem un incidentiem, kā arī attiecibā uz ar kiberdrošību nesaistītiem riskiem, draudiem un incidentiem, kas ietekmē kritiskās vienības, tostarp kiberdrošības un fiziskiem pasākumiem, ko veikušas kritiskās vienības, kā arī attiecībā uz šādām vienībām veikto uzraudzības darbību rezultātiem.

Turklāt, lai racionalizētu uzraudzības darbības starp šajā direktīvā paredzētajām kompetentajām iestādēm un Direktīvā (ES) 2022/2557 paredzētajām kompetentajām iestādēm, un lai attiecīgajām vienībām mazinātu administratīvo slogu, minētajām kompetentajām iestādēm būtu jācenšas saskaņot incidentu paziņošanas veidnes un uzraudzības procesus. Attiecīgā gadījumā Direktīvā (ES) 2022/2557 paredzētajām kompetentajām iestādēm būtu jāspēj pieprasīt šajā direktīvā paredzētajām kompetentajām iestādēm īstenot savas uzraudzības un izpildes panākšanas pilnvaras attiecībā uz vienību, kas ir identificēta kā kritiska vienība saskaņā ar Direktīvu (ES) 2022/2557 Šajā nolūkā šajā direktīvā paredzētajām kompetentajām iestādēm un Direktīvā (ES) 2022/2557 paredzētajām kompetentajām iestādēm būtu jāsadarbojas un jāapmainās ar informāciju, ja iespējams – reāllaikā.

(31)

Vienības, kas pieder pie digitālās infrastruktūras nozares, būtībā balstās uz tīklu un informācijas sistēmām, un tāpēc ar pienākumiem, kas minētajām vienībām paredzēti šajā direktīvā, būtu visaptveroši jāpievēršas šādu sistēmu fiziskajai drošībai kā daļai no to kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem. Tā kā šī direktīva aptver minētos jautājumus, Direktīvas (ES) 2022/2557 II, IV un VI nodaļā noteiktos pienākumus šādām vienībām nepiemēro.

(32)

Uzticamas, noturīgas un drošas domēnu nosaukumu sistēmas (DNS) veicināšana un saglabāšana ir svarīgs faktors interneta integritātes uzturēšanā un ir svarīga tā nepārtrauktai un stabilai darbībai, no kuras ir atkarīga digitālā ekonomika un sabiedrība. Tāpēc šī direktīva būtu jāpiemēro augstākā līmeņa domēnu (ALD) nosaukumu reģistriem un DNS pakalpojumu sniedzējiem, kas jāsaprot kā vienības, kas sniedz publiski pieejamus interneta galalietotājiem domātus rekursīvu domēnu nosaukumu atrises pakalpojumus vai autoritatīvu domēnu nosaukumu atrises pakalpojumus trešām personām. Šī direktīva nebūtu jāpiemēro saknes nosaukumu serveriem.

(33)

Mākoņdatošanas pakalpojumiem būtu jāaptver digitāli pakalpojumi, kas dod iespēju plaši un attālināti piekļūt kopīgojamu datošanas resursu mērogojamam un elastīgam pūlam un pēc pieprasījuma to pārvaldīt, arī tad, ja šādi resursi ir izvietoti vairākās vietās. Datošanas resursi ietver tādus resursus kā tīkli, serveri vai cita infrastruktūra, operētājsistēmas, programmatūra, glabāšana, lietotnes un pakalpojumi. Mākoņdatošanas pakalpojumu modeļi cita starpā ietver infrastruktūru kā pakalpojumu (IaaS), platformu kā pakalpojumu (PaaS), programmatūru kā pakalpojumu (SaaS) un tīklu kā pakalpojumu (NaaS). Mākoņdatošanas izvietošanas modeļos būtu jāiekļauj privāts, kopienas, publisks un hibrīds mākonis. Mākoņdatošanas pakalpojumu un izvietošanas modeļu nozīme ir tāda pati kā terminiem “pakalpojums” un “izvietošanas modeļi” standartā ISO/IEC 17788:2014. Mākoņdatošanas lietotāja spēju vienpusēji sev nodrošināt datošanas spējas, piemēram, servera laiku vai glabāšanu tīklā, bez cilvēka mijiedarbības ar mākoņpakalpojumu sniedzēju varētu raksturot kā pārvaldību pēc pieprasījuma.

Termins “plaša un attālināta piekļuve” ir izmantots, lai raksturotu to, ka mākoņdatošanas spējas tiek nodrošinātas visā tīklā un tām piekļūst, izmantojot mehānismus, kas veicina neviendabīgu plāno vai biezo klientiem paredzēto platformu, tai skaitā mobilo tālruņu, planšetdatoru, klēpjdatoru un darbstaciju, izmantošanu. Termins “mērogojams” attiecas uz datošanas resursiem, kurus mākoņpakalpojuma sniedzējs elastīgi piešķir neatkarīgi no resursu ģeogrāfiskās atrašanās vietas, lai risinātu pieprasījuma svārstības. Termins “elastīgs pūls” ir izmantots, lai aprakstītu tos datošanas resursus, kuri tiek nodrošināti un atbrīvoti atbilstoši pieprasījumam, lai pieejamos resursus atkarībā no noslodzes ātri palielinātu vai samazinātu. Termins “kopīgojams” ir izmantots, lai aprakstītu datošanas resursus, kas tiek sniegti daudziem lietotājiem, kuriem ir kopīga piekļuve pakalpojumam, bet apstrāde notiek katram lietotājam atsevišķi, kaut arī pakalpojums tiek sniegts no vienas un tās pašas elektroniskās iekārtas. Termins “sadalīts” ir izmantots, lai aprakstītu datošanas resursus, kas atrodas dažādos tīklotos datoros vai ierīcēs un kas īsteno savstarpēju saziņu un koordināciju, izmantojot ziņojumu sūtīšanu.

(34)

Ņemot vērā inovatīvu tehnoloģiju un jaunu darbības modeļu parādīšanos, paredzams, ka, reaģējot uz jaunām klientu vajadzībām, iekšējā tirgū parādīsies jauni mākoņdatošanas pakalpojumu un izvietošanas modeļi. Šajā kontekstā mākoņpakalpojumi var būt sniegti īpaši sadalītā formā, pat tuvāk vietai, kur dati tiek ģenerēti vai savākti, tādējādi pārejot no tradicionālā modeļa uz īpaši sadalītu modeli (“perifērdatošana”).

(35)

Pakalpojumi, ko piedāvā datu centru pakalpojumu sniedzēji, ne vienmēr tiek sniegti mākoņpakalpojuma veidā. Tas nozīmē, ka datu centri var nebūt daļa no mākoņdatošanas infrastruktūras. Tāpēc, lai pārvaldītu visus riskus tīklu un informācijas sistēmu drošībai, šī direktīva būtu jāattiecina arī uz tādu datu centru pakalpojumu sniedzējiem, kuri nav mākoņpakalpojumi. Šajā direktīvā termins “datu centra pakalpojums” būtu jāattiecina uz tāda pakalpojuma sniegšanu, kas ietver struktūras vai struktūru grupas, kuras paredzētas tāda informācijas tehnoloģiju (IT) un tīkla aprīkojuma centralizētai izmitināšanai, savstarpējai savienošanai un darbībai, kas sniedz datu uzglabāšanas, apstrādes un transportēšanas pakalpojumus kopā ar visām ierīcēm un infrastruktūrām jaudas sadalei un vides kontrolei. Terminam “datu centra pakalpojums” nebūtu jāattiecas uz iekšējiem korporatīviem datu centriem, ko attiecīgā vienība tur īpašumā un ekspluatē savām vajadzībām.

(36)

Pētniecības darbībām ir būtiska loma jaunu produktu un procesu izstrādē. Daudzas no minētajām darbībām veic vienības, kas savu pētījumu rezultātus kopīgo, izplata vai izmanto komerciāliem mērķiem. Tāpēc minētās vienības var būt svarīgi vērtības ķēžu dalībnieki, un tas nozīmē, ka to tīklu un informācijas sistēmu drošība ir iekšējā tirgus vispārējās kiberdrošības neatņemama daļa. Pētniecības organizācijas būtu jāsaprot kā citu starpā tādas vienības, kuru darbību būtiskā daļa ir vērsta uz lietišķo pētniecību vai eksperimentālo izstrādi – kā tā saprasta Ekonomiskās sadarbības un attīstības organizācijas 2015. gada Frascati rokasgrāmatā par pētniecības un eksperimentālās izstrādes datu vākšanas un ziņošanas pamatnostādnēm –, lai to rezultātus izmantotu komerciāliem mērķiem, piemēram, produkta ražošanai vai produkta vai procesa izstrādei, vai pakalpojuma sniegšanai, vai to tirdzniecībai.

(37)

Pieaugošā savstarpējā atkarība izriet no tā, ka pakalpojumu sniegšanas tīklam aizvien lielākā mērā ir pārrobežu raksturs un piemīt savstarpējā atkarība, proti, tas izmanto pamata infrastruktūras visā Savienībā tādās nozarēs kā enerģētika, transports, digitālā infrastruktūra, dzeramais ūdens un notekūdeņi, veselība, konkrēti valsts pārvaldes aspekti, kā arī kosmoss, ciktāl runa ir par tādu konkrētu pakalpojumu sniegšanu, kuri ir atkarīgi no virszemes infrastruktūrām, ko tur īpašumā, pārvalda vai ekspluatē dalībvalstis vai privātas puses, tādējādi neaptverot infrastruktūras, ko tur īpašumā, pārvalda vai ekspluatē Savienība vai tās vārdā kā daļu no tās kosmosa programmas. Šī savstarpējā atkarība nozīmē, ka jebkuram traucējumam, pat tādam, kas sākotnēji skar tikai vienu vienību vai vienu nozari, var būt plašāka lavīnveida ietekme, kura potenciāli var izraisīt tālejošas un ilgstošas negatīvas sekas pakalpojumu sniegšanā iekšējā tirgū. Kiberuzbrukumu pastiprināšanās Covid-19 pandēmijas laikā ir parādījusi arvien vairāk savstarpēji atkarīgo sabiedrību neaizsargātību pret zemas varbūtības riskiem.

(38)

Ņemot vērā atšķirības valstu pārvaldes struktūrās un lai neskartu jau pastāvošos nozaru pasākumus vai Savienības uzraudzības un regulatīvās struktūras, dalībvalstīm būtu jāspēj izraudzīties vai izveidot vienu vai vairākas kompetentās iestādes, kas atbild par kiberdrošību un šajā direktīvā paredzētajiem uzraudzības uzdevumiem.

(39)

Lai veicinātu pārrobežu sadarbību un saziņu starp iestādēm un lai varētu efektīvi īstenot šo direktīvu, katrai dalībvalstij jāizraugās vienots kontaktpunkts, kas atbild par to jautājumu koordināciju, kuri saistīti ar tīklu un informācijas sistēmu drošību un pārrobežu sadarbību Savienības līmenī.

(40)

Vienotajiem kontaktpunktiem būtu jānodrošina efektīva pārrobežu sadarbība ar citu dalībvalstu attiecīgajām iestādēm un attiecīgā gadījumā ar Komisiju un ENISA. Tāpēc vienotajiem kontaktpunktiem būtu jāuzdod nosūtīt paziņojumus par būtiskiem incidentiem ar pārrobežu ietekmi citu skarto dalībvalstu vienotajiem kontaktpunktiem pēc CSIRT vai kompetentās iestādes pieprasījuma. Valstu līmenī vienotajiem kontaktpunktiem būtu jādara iespējama raita starpnozaru sadarbība ar citām kompetentajām iestādēm. Vienotie kontaktpunkti varētu arī saņemt relevantu informāciju par incidentiem, kas saistīti ar finanšu vienībām, no kompetentajām iestādēm, kas minētas Regulā (ES) 2022/2554, un tiem būtu jāspēj šo informāciju attiecīgā gadījumā pārsūtīt šajā direktīvā paredzētajām CSIRT vai kompetentajām iestādēm.

(41)

Dalībvalstīm vajadzētu būt gan tehnisko, gan organizatorisko spēju ziņā adekvāti aprīkotām, lai novērstu un atklātu incidentus un riskus, reaģētu uz tiem un mazinātu to ietekmi. Tāpēc dalībvalstīm būtu jāizveido vai jāizraugās viena vai vairākas CSIRT saskaņā ar šo direktīvu un jānodrošina, ka tām ir adekvāti resursi un tehniskās spējas. CSIRT būtu jāatbilst šajā direktīvā noteiktajām prasībām, lai garantētu reālas un saderīgas spējas incidentu risināšanai un risku novēršanai un efektīvas sadarbības nodrošināšanai Savienības līmenī. Dalībvalstīm būtu jāspēj par CSIRT izraudzīties jau esošas datorapdraudējumu reaģēšanas vienības (CERT). Lai uzlabotu uzticības pilnas attiecības starp vienībām un CSIRT, gadījumos, kad CSIRT ir kompetentās iestādes daļa, dalībvalstīm būtu jāspēj apsvērt funkcionālu nošķīrumu starp CSIRT veiktajiem operatīvajiem uzdevumiem, jo īpaši attiecībā uz informācijas kopīgošanu un vienībām sniegto palīdzību, un kompetento iestāžu uzraudzības darbībām.

(42)

CSIRT uzdevums ir risināt incidentus. Tas ietver dažkārt sensitīvu datu apstrādi lielā apjomā. Dalībvalstīm būtu jānodrošina, ka CSIRT ir infrastruktūra informācijas kopīgošanai un apstrādei, kā arī labi aprīkots personāls, kas nodrošina to darbību konfidencialitāti un uzticamību. Šajā sakarā CSIRT varētu arī pieņemt rīcības kodeksus.

(43)

Attiecībā uz persondatiem – CSIRT, ja to pieprasa būtiska vai svarīga vienība, būtu jāspēj nodrošināt to pakalpojumu sniegšanai izmantoto tīklu un informācijas sistēmu proaktīvu skenēšanu, ievērojot Regulu (ES) 2016/679. Attiecīgā gadījumā dalībvalstīm būtu jācenšas nodrošināt vienlīdzīgu tehnisko spēju līmeni visām nozaru CSIRT. Dalībvalstīm būtu jāspēj lūgt ENISA palīdzību savu CSIRT izveidē.

(44)

CSIRT būtu jāspēj pēc būtiskas vai svarīgas vienības pieprasījuma uzraudzīt ar internetu saskarsmē esošos vienības aktīvus gan telpās, gan ārpus tām, nolūkā identificēt, izprast un pārvaldīt vienības vispārējos organizatoriskos riskus attiecībā uz jaunidentificētiem piegādes ķēdes apdraudējumiem vai kritiskām ievainojamībām. Vienība būtu jāpamudina paziņot CSIRT, vai tā izmanto priviliģētu pārvaldības saskarni, jo tas varētu ietekmēt mitigācijas darbību veikšanas ātrumu.

(45)

Ņemot vērā to, cik svarīga ir starptautiskā sadarbība kiberdrošības jomā, CSIRT būtu jāspēj piedalīties starptautiskos sadarbības tīklos papildus CSIRT tīklam, ko izveido ar šo direktīvu. Tāpēc, lai veiktu savus uzdevumus, CSIRT un kompetentajām iestādēm būtu jāspēj apmainīties ar informāciju, tostarp persondatiem, ar trešo valstu valsts datordrošības incidentu reaģēšanas vienībām vai kompetentajām iestādēm, ar noteikumu, ka ir izpildīti Savienības datu aizsardzības tiesību aktos paredzētie nosacījumi persondatu nosūtīšanai uz trešām valstīm, cita starpā Regulas (ES) 2016/679 49. panta nosacījumi.

(46)

Ir būtiski nodrošināt adekvātus resursus, lai sasniegtu šīs direktīvas mērķus un dotu iespēju kompetentajām iestādēm un CSIRT veikt tajā noteiktos uzdevumus. Dalībvalstis var valsts līmenī ieviest finansēšanas mehānismu, lai segtu nepieciešamos izdevumus, kas saistīti ar to publisko vienību uzdevumu veikšanu, kuras dalībvalstī saskaņā ar šo direktīvu ir atbildīgas par kiberdrošību. Šādam mehānismam būtu jāatbilst Savienības tiesību aktiem, tam vajadzētu būt samērīgam un nediskriminējošam, un tajā būtu jāņem vērā dažādas pieejas drošu pakalpojumu sniegšanai.

(47)

CSIRT tīklam būtu jāturpina palīdzēt stiprināt paļāvību un uzticēšanos un veicināt ātru un rezultatīvu operatīvo sadarbību starp dalībvalstīm. Lai uzlabotu operatīvo sadarbību Savienības līmenī, CSIRT tīklam būtu jāapsver iespēja aicināt Savienības struktūras un aģentūras, kas iesaistītas kiberdrošības rīcībpolitikā, piemēram, Eiropolu, piedalīties tā darbā.

(48)

Lai sasniegtu un uzturētu augstu kiberdrošības līmeni, šajā direktīvā prasītajām valstu kiberdrošības stratēģijām būtu jāsastāv no saskanīgiem satvariem, kas paredz stratēģiskus mērķus un prioritātes kiberdrošības jomā un pārvaldību to sasniegšanai. Minētās stratēģijas var sastāvēt no viena vai vairākiem leģislatīviem vai neleģislatīviem instrumentiem.

(49)

Kiberhigiēnas rīcībpolitikas nodrošina pamatu tīklu un informācijas sistēmu infrastruktūru, aparatūras, programmatūras un tiešsaistes lietotņu drošības aizsardzībai, kā arī vienību izmantoto uzņēmumu vai galalietotāju datu aizsardzībai. Kiberhigiēnas rīcībpolitikas, kas veido kopīgu prakšu pamatkopu, tostarp programmatūras un aparatūras atjaunināšanu, paroļu maiņu, jaunu uzstādīto produktu pārvaldību, administratora līmeņa piekļuves kontu ierobežošanu un datu dublējumkopiju izveidi, dara iespējamu proaktīvu gatavības un vispārēja drošumu un drošības sistēmu incidentu vai kiberdraudu gadījumā. ENISA būtu jāuzrauga un jāanalizē dalībvalstu kiberhigiēnas rīcībpolitikas.

(50)

Izpratne par kiberdrošību un kiberhigiēnu ir būtiska, lai uzlabotu kiberdrošības līmeni Savienībā, jo īpaši ņemot vērā to, ka pieaug tādu savienoto ierīču skaits, kuras arvien vairāk izmanto kiberuzbrukumos. Būtu jācenšas uzlabot vispārējo izpratni par riskiem, kas saistīti ar šādām ierīcēm, savukārt Savienības līmeņa novērtējumi varētu palīdzēt nodrošināt vienotu izpratni par šādiem riskiem iekšējā tirgū.

(51)

Dalībvalstīm būtu jāveicina jebkādas tādas inovatīvas tehnoloģijas, tostarp mākslīgā intelekta, izmantošana, kas varētu uzlabot kiberuzbrukumu atklāšanu un novēršanu, dodot iespēju resursus cīņai pret kiberuzbrukumiem novirzīt rezultatīvāk. Tāpēc dalībvalstīm savās valsts kiberdrošības stratēģijās būtu jāveicina pētniecības un izstrādes darbības, lai atvieglotu šādu tehnoloģiju izmantošanu, jo īpaši tādu tehnoloģiju izmantošanu, kas saistītas ar automatizētiem vai pusautomatizētiem kiberdrošības rīkiem, un attiecīgā gadījumā tādu datu kopīgošana, kas vajadzīgi, lai apmācītu šādu tehnoloģiju lietotājus un tās uzlabotu. Jebkuras inovatīvas tehnoloģijas, tostarp mākslīgā intelekta, izmantošanai būtu jāatbilst Savienības datu aizsardzības tiesību aktiem, tostarp datu aizsardzības principiem – datu precizitātei, datu minimizēšanai, taisnīgumam un pārredzamībai un datu drošībai, piemēram, mūsdienīgai šifrēšanai. Būtu pilnībā jāizmanto integrētās datu aizsardzības un datu aizsardzības pēc noklusējuma prasības, ko paredz Regula (ES) 2016/679.

(52)

Atvērtā pirmkoda kiberdrošības rīki un lietotnes var paaugstināt atvērtības līmeni un pozitīvi ietekmēt rūpnieciskās inovācijas efektivitāti. Atvērtie standarti veicina drošības rīku sadarbspēju, tādējādi labvēlīgi ietekmējot rūpniecības nozares ieinteresēto personu drošību. Atvērtā pirmkoda kiberdrošības rīki un lietotnes var mobilizēt izstrādātāju kopienu kopumā, darot iespējamu piegādātāju dažādošanu. Atvērtā pirmkoda izmantošana var radīt pārredzamāku ar kiberdrošību saistītu rīku verifikāciju un kopienas virzītu ievainojamības atklāšanu. Tādēļ dalībvalstīm būtu jāspēj veicināt atvērtā pirmkoda programmatūras un atvērto standartu izmantošanu, īstenojot rīcībpolitikas attiecībā uz atvērto datu un atvērtā pirmkoda izmantošanu kā daļu no drošības, ko panāk ar pārredzamību. Rīcībpolitikas, kas veicina atvērtā pirmkoda kiberdrošības rīku ieviešanu un ilgtspējīgu izmantošanu, ir īpaši svarīgas maziem un vidējiem uzņēmumiem, kuri saskaras ar lielām ieviešanas izmaksām, ko varētu minimizēt, samazinot nepieciešamību pēc konkrētām lietotnēm vai rīkiem.

(53)

Sabiedriskie pakalpojumi arvien vairāk tiek savienoti ar pilsētu digitālajiem tīkliem, lai uzlabotu pilsētu transporta tīklus, uzlabotu modernizētu ūdensapgādi un atkritumu apglabāšanas kompleksus un palielinātu apgaismojuma un ēku apkures efektivitāti. Minētie digitalizētie sabiedriskie pakalpojumi var tikt pakļauti kiberuzbrukumiem, un veiksmīga kiberuzbrukuma gadījumā savstarpējās savienotības dēļ tie var kaitēt iedzīvotājiem plašā mērogā. Dalībvalstīm savas kiberdrošības stratēģijas ietvaros būtu jāizstrādā rīcībpolitika, kas pievēršas šādu savienotu vai viedu pilsētu izveidei un to iespējamajai ietekmei uz sabiedrību.

(54)

Pēdējos gados Savienībā ir strauji palielinājies izspiedējprogrammatūras uzbrukumu skaits, kuros ļaunprogrammatūra šifrē datus un sistēmas un pieprasa izpirkuma maksu par atšifrēšanu. Izspiedējprogrammatūras uzbrukumu pieaugošo biežumu un smagumu var noteikt vairāki faktori, piemēram, dažādi uzbrukuma modeļi, noziedzīgas darbības modeļi, kas saistīti ar “izspiedējprogrammatūru kā pakalpojumu” un kriptovalūtām, izpirkuma maksas pieprasīšana un pieaugoši uzbrukumi piegādes ķēdē. Dalībvalstīm to valsts kiberdrošības stratēģijas ietvaros būtu jāizstrādā rīcībpolitika izspiedējprogrammatūras uzbrukumu pieauguma problēmas risināšanai.

(55)

Publiskā un privātā sektora partnerības (PPP) kiberdrošības jomā var nodrošināt pienācīgu sistēmu zināšanu apmaiņai, paraugprakšu kopīgošanai un kopīgas izpratnes gūšanai ieinteresēto personu vidū. Dalībvalstīm būtu jāveicina rīcībpolitikas, kas ir pamatā kiberdrošības PPP izveidei. Minētajās rīcībpolitikās cita starpā būtu jāprecizē tvērums un iesaistītās ieinteresētās personas, pārvaldības modelis, pieejamās finansējuma iespējas un iesaistīto ieinteresēto personu mijiedarbība attiecībā uz PPP. PPP var izmantot privātā sektora vienību specializētās zināšanas, lai palīdzētu kompetentajām iestādēm izstrādāt modernus pakalpojumus un procesus, tostarp informācijas apmaiņu, agrīnus brīdinājumus, kiberdraudu un incidentu jomas mācības, krīzes pārvaldību un noturības plānošanu.

(56)

Dalībvalstīm to valsts kiberdrošības stratēģijās būtu jārisina konkrētas mazo un vidējo uzņēmumu kiberdrošības vajadzības. Savienībā mazo un vidējo uzņēmumu īpatsvars rūpniecības un uzņēmējdarbības tirgū ir liels, un bieži vien tiem ir grūtības pielāgoties jaunai uzņēmējdarbības praksei lielākā mērā savienotā pasaulē un digitālā vidē laikā, kad darbinieki strādā no mājām un uzņēmējdarbība arvien biežāk notiek tiešsaistē. Daļai mazo un vidējo uzņēmumu kiberdrošības ziņā ir īpašas grūtības, piemēram, vāja izpratne par kiberdrošību, attālās IT drošības trūkums, augstās kiberdrošības risinājumu izmaksas un augstāks apdraudējuma, piemēram, izspiedējprogrammatūras draudu, līmenis, un šādu problēmu risināšanai tiem būtu jāsaņem padomi un atbalsts. Mazie un vidējie uzņēmumi arvien vairāk kļūst par mērķi uzbrukumos piegādes ķēdēm, jo tiem ir mazāk stingri kiberdrošības risku pārvaldības pasākumi un uzbrukumu pārvaldība, un ierobežoti drošības resursi. Šādi uzbrukumi piegādes ķēdēm neietekmē mazos un vidējos uzņēmumus un to darbību vien: tiem var būt arī lavīnveida ietekme uz lielākiem uzbrukumiem vienībām, kurām mazie un vidējie uzņēmumi nodrošina piegādes. Dalībvalstīm ar valsts kiberdrošības stratēģijām būtu jāpalīdz mazajiem un vidējiem uzņēmumiem risināt problēmas to piegādes ķēdēs. Dalībvalstīm vajadzētu būt valsts vai reģionāla līmeņa kontaktpunktam maziem un vidējiem uzņēmumiem, kurš sniedz norādījumus un palīdzību maziem un vidējiem uzņēmumiem vai nosūta tos pie attiecīgajām struktūrām, lai tie saņemtu norādījumus un palīdzību ar kiberdrošību saistītos jautājumos. Dalībvalstis tiek arī mudinātas piedāvāt tādus pakalpojumus kā tīmekļa vietņu konfigurācija un datu reģistrēšana, kas to darītu iespējamu mikrouzņēmumiem un mazajiem uzņēmumiem, kuriem šādu spēju nav.

(57)

Dalībvalstīm valsts kiberdrošības stratēģijās būtu jāpieņem rīcībpolitikas aktīvas kiberaizsardzības veicināšanai plašākas aizsardzības stratēģijas satvarā. Aktīva kiberaizsardzība ir nevis reaģēšana, bet gan aktīva tīkla drošības pārkāpumu nepieļaušana, atklāšana, uzraudzība, analīze un mitigācija apvienojumā ar spēju izmantošanu cietušajā tīklā un ārpus tā. Tās ietvaros dalībvalstis varētu dažām vienībām piedāvāt bezmaksas pakalpojumus vai rīkus, tostarp pašapkalpošanās pārbaudes, atklāšanas rīkus un vietņu bloķēšanas pakalpojumus. Spēja ātri un automātiski kopīgot un izprast informāciju par draudiem un to analīzi, kiberdarbības brīdinājumi un atbildes reakcija ir izšķirīgi svarīga, lai būtu iespējami saskaņoti centieni veiksmīgi nepieļaut, atklāt, risināt un bloķēt uzbrukumus tīklu un informācijas sistēmām. Aktīva kiberaizsardzība ir balstīta uz defensīvu stratēģiju, kas izslēdz ofensīvus pasākumus.

(58)

Ņemot vērā to, ka tīklu un informācijas sistēmu ievainojamību izmantošana var izraisīt būtiskus traucējumus un kaitējumu, riska mazināšanā svarīgs faktors ir šādu ievainojamību ātra apzināšana un novēršana. Tāpēc vienībām, kas izstrādā vai pārvalda tīklu un informācijas sistēmas, būtu jāievieš pienācīgas procedūras, kā rīkoties, kad tiek atklāta ievainojamība. Tā kā ievainojamību bieži konstatē un izpauž trešās personas, IKT produktu ražotājam vai IKT pakalpojumu sniedzējam būtu arī jāievieš nepieciešamās procedūras informācijas par ievainojamību saņemšanai no trešām personām. Šajā sakarā norādījumus par rīcību ievainojamības gadījumā un ievainojamības izpaušanu sniedz attiecīgi starptautiskie standarti ISO/IEC 30111 un ISO/IEC 29147. Labāka koordinācija starp ziņotājām fiziskām un juridiskām personām un IKT produktu ražotājiem vai IKT pakalpojumu sniedzējiem ir īpaši svarīga, lai sekmētu brīvprātīgu ievainojamības izpaušanas sistēmu. Koordinēta ievainojamības izpaušana ir strukturēts process, kurā potenciāli ievainojamu IKT produktu ražotājiem vai potenciāli ievainojamu IKT pakalpojumu sniedzējiem par ievainojamību tiek ziņots tā, lai ievainojamību varētu diagnosticēt un izlabot, pirms sīkāka informācija par to tiek izpausta trešām personām vai sabiedrībai. Koordinētā ievainojamības izpaušanā būtu jāietver arī koordinācija starp ziņotāju fizisku vai juridisku personu un potenciāli ievainojamu IKT produktu vai IKT pakalpojumu ražotāju vai sniedzēju attiecībā uz ievainojamības izlabošanas un publiskošanas termiņu.

(59)

Komisijai, ENISA un dalībvalstīm būtu jāturpina veicināt saskaņotību ar starptautiskajiem standartiem un pastāvošajām nozares paraugpraksēm kiberdrošības risku pārvaldības jomā, piemēram, piegādes ķēdes drošības novērtēšanas, informācijas kopīgošanas un ievainojamības izpaušanas jomā.

(60)

Dalībvalstīm sadarbībā ar ENISA būtu jāveic pasākumi, lai veicinātu koordinētu ievainojamības izpaušanu, ieviešot atbilstošu valsts rīcībpolitiku. Ar valsts rīcībpolitiku dalībvalstīm būtu jācenšas, cik vien iespējams, risināt problēmas, kas skar ievainojamības pētniekus, tostarp to, ka tiem var tikt noteikta kriminālatbildība saskaņā ar valsts tiesību aktiem. Ņemot vērā, ka fiziskas un juridiskas personas, kas pēta ievainojamību, dažās dalībvalstīs varētu būt pakļautas kriminālatbildībai un civiltiesiskajai atbildībai, dalībvalstis tiek mudinātas pieņemt pamatnostādnes par kriminālvajāšanas neīstenošanu pret pētniekiem informācijas drošības jomā un viņu darbību atbrīvošanu no civiltiesiskās atbildības.

(61)

Dalībvalstīm būtu jāizraugās viena no savām CSIRT par koordinatori, kas vajadzības gadījumā darbotos kā uzticama starpniece starp ziņotājām fiziskajām un juridiskajām personām un tādu IKT produktu ražotājiem vai IKT pakalpojumu sniedzējiem, ko ievainojamība, visticamāk, skars. Par koordinatori izraudzītās CSIRT uzdevumiem būtu jāietver attiecīgo vienību identificēšana un sazināšanās ar tām, palīdzība fiziskajām un juridiskajām personām, kas ziņo par ievainojamību, sarunas par izpaušanas termiņiem un tādu ievainojamību pārvaldību, kuras ietekmē vairākas vienības (daudzpusējā koordinētā ievainojamības izpaušana). Ja paziņotā ievainojamība varētu būtiski ietekmēt vienības vairāk nekā vienā dalībvalstī, par koordinatorēm izraudzītajām CSIRT attiecīgos gadījumos būtu jāsadarbojas CSIRT tīklā.

(62)

Piekļuve pareizai un savlaicīgai informācijai par ievainojamībām, kas skar IKT produktus un IKT pakalpojumus, veicina labāku kiberdrošības risku pārvaldību. Publiski pieejamas informācijas par ievainojamībām avoti ir svarīgs rīks vienībām un to pakalpojumu lietotājiem, kā arī kompetentajām iestādēm un CSIRT. Šā iemesla dēļ ENISA būtu jāizveido Eiropas ievainojamību datubāze, kurā vienības, neatkarīgi no tā, vai tās ir šīs direktīvas darbības jomā, un to tīklu un informācijas sistēmu nodrošinātāji, kā arī kompetentās iestādes un CSIRT var brīvprātīgi izpaust un reģistrēt publiski zināmas ievainojamības, lai lietotāji varētu veikt pienācīgus mitigācijas pasākumus. Minētās datubāzes mērķis būtu risināt unikālās problēmas, ko draudi rada Savienības vienībām. Turklāt ENISA būtu jāizveido pienācīga publiskošanas procesa procedūra, lai dotu vienībām laiku veikt mitigācijas pasākumus attiecībā uz to ievainojamībām, un jāizmanto jaunākie kiberdrošības risku pārvaldības pasākumi, kā arī mašīnlasāmas datu kopas un attiecīgas saskarnes. Lai veicinātu ievainojamību izpaušanas kultūru, atklāšanai nevajadzētu kaitēt ziņotājai fiziskai vai juridiskai personai.

(63)

Lai gan līdzīgi ievainojamību reģistri un datubāzes jau pastāv, to mitinātājas un uzturētājas ir vienības, kas nav iedibinātas Savienībā. ENISA uzturēta Eiropas ievainojamību datubāze nodrošinātu labāku pārredzamību attiecībā uz publiskošanas procesu, pirms ievainojamība tiek publiski izpausta, un noturību gadījumā, kad notiek traucējumi vai pārtraukums līdzīgu pakalpojumu sniegšanā. Lai pēc iespējas izvairītos no centienu dublēšanās un nodrošinātu komplementaritāti, ENISA būtu jāizskata iespēja slēgt strukturētus sadarbības nolīgumus ar līdzīgiem reģistriem vai datubāzēm, kas ir trešo valstu jurisdikcijā. Konkrētāk, ENISA būtu jāizskata iespēja cieši sadarboties ar kopējās ievainojamību un eksponētību (CVE) sistēmas operatoriem.

(64)

Sadarbības grupai būtu jāatbalsta un jāveicina stratēģiskā sadarbība un informācijas apmaiņa, kā arī jāstiprina dalībvalstu savstarpējā uzticēšanās un paļāvība. Sadarbības grupai ik divus gadus būtu jāizstrādā darba programma. Darba programmā būtu jāiekļauj darbības, kas sadarbības grupai jāveic, lai sasniegtu savus mērķus un izpildītus savus uzdevumus. Lai izvairītos no iespējamiem traucējumiem sadarbības grupas darbā, saskaņā ar šo direktīvu pieņemamās pirmās darba programmas izstrādes termiņš būtu jāpielāgo pēdējās saskaņā ar Direktīvu (ES) 2016/1148 izstrādātās darba programmas termiņam.

(65)

Izstrādājot norādījumu dokumentus, sadarbības grupai būtu konsekventi jāapzina valsts risinājumi un pieredze, jānovērtē sadarbības grupas nodevumu ietekme uz valstu pieejām, jāapspriež īstenošanas problēmas un jāformulē konkrēti ieteikumi, jo īpaši par to, kā atvieglot saskaņošanu šīs direktīvas transponēšanā dalībvalstīs, kas jāizpilda, labāk īstenojot pastāvošos noteikumus. Sadarbības grupa varētu arī apzināt valstu risinājumus nolūkā veicināt katrā konkrētajā nozarē izmantoto kiberdrošības risinājumu saderību Savienībā. Tas ir īpaši būtiski nozarēm, kurām ir starptautisks vai pārrobežu raksturs.

(66)

Sadarbības grupai arī turpmāk vajadzētu būt elastīgam forumam un būtu jāspēj reaģēt uz mainīgām un jaunām rīcībpolitikas prioritātēm un problēmām, vienlaikus ņemot vērā resursu pieejamību. Tā varētu organizēt regulāras kopīgas sanāksmes ar attiecīgajām privātā sektora ieinteresētajām personām no visas Savienības, lai apspriestu sadarbības grupas veiktās darbības un vāktu datus un informāciju par jaunām rīcībpolitiskām problēmām. Papildus tam sadarbības grupai būtu regulāri jānovērtē stāvoklis kiberdraudu vai incidentu, piemēram, izspiedējprogrammatūras, jomā. Lai uzlabotu sadarbību Savienības līmenī, sadarbības grupai būtu jāapsver iespēja pieaicināt attiecīgās Savienības iestādes, struktūras, birojus un aģentūras, kas iesaistītas kiberdrošības rīcībpolitikā, piemēram, Eiropas Parlamentu, Eiropolu, Eiropas Datu aizsardzības kolēģiju, Eiropas Savienības Aviācijas drošības aģentūru, kura izveidota ar Regulu (ES) 2018/1139, un Eiropas Savienības Kosmosa programmas aģentūru, kura izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/696 (14), lai tās piedalītos tās darbā.

(67)

Lai uzlabotu sadarbību un stiprinātu dalībvalstu savstarpējo uzticēšanos, kompetentajām iestādēm un CSIRT būtu jāspēj piedalīties apmaiņas shēmās, kas paredzētas amatpersonām no citām dalībvalstīm, īpašā sistēmā un attiecīgos gadījumos ar vajadzīgo drošības pārbaudi amatpersonām, kas piedalās šādās apmaiņas shēmās. Kompetentajām iestādēm būtu jāveic pasākumi, kas nepieciešami, lai amatpersonas no citām dalībvalstīm varētu pilnvērtīgi piedalīties uzņēmējas kompetentās iestādes vai uzņēmējas CSIRT pasākumos.

(68)

Dalībvalstīm būtu jāsniedz ieguldījums Komisijas Ieteikumā (ES) 2017/1584 (15) noteiktā ES satvara reaģēšanai kiberdrošības krīzēs izveidošanā, izmantojot pastāvošos sadarbības tīklus, jo īpaši Eiropas Kiberkrīžu sadarbības organizāciju tīklu (EU-CyCLONe), CSIRT tīklu un sadarbības grupu. EU-CyCLONe un CSIRT tīklam būtu jāsadarbojas, izmantojot procesuālo kārtību, kas precizē minētās sadarbības detaļas, un jāizvairās no jebkādas uzdevumu dublēšanās. EU-CyCLONe reglamentā būtu jāprecizē kārtība, kādā tīklam būtu jādarbojas, cita starpā paredzot tīkla uzdevumus, sadarbības veidus, mijiedarbību ar citiem attiecīgiem rīcībspēkiem un veidnes informācijas kopīgošanai, kā arī saziņas līdzekļus. Attiecībā uz krīžu pārvaldību Savienības līmenī attiecīgajām pusēm būtu jāpaļaujas uz ES integrētajiem krīzes situāciju politiskās reaģēšanas mehānismiem, ko paredz Padomes Īstenošanas lēmums (ES) 2018/1993 (16) (IPCR mehānismi). Šim nolūkam Komisijai būtu jāizmanto krīzes augstlīmeņa starpnozaru koordinācijas process ARGUS. Ja krīzei ir nozīmīgs ārpolitikas vai kopīgās drošības un aizsardzības politikas aspekts, būtu jāiedarbina Eiropas Ārējās darbības dienesta mehānisms reaģēšanai krīzes situācijās.

(69)

Saskaņā ar pielikumu Ieteikumam (ES) 2017/1584 plašapmēra kiberdrošības incidents būtu jāsaprot kā incidents, kura radītais traucējuma līmenis pārsniedz dalībvalsts spēju uz to reaģēt vai kuram ir būtiska ietekme uz vismaz divām dalībvalstīm. Atkarībā no cēloņa un ietekmes plašapmēra kiberdrošības incidenti var izvērsties par visaptverošām krīzēm, kas padara neiespējamu iekšējā tirgus pienācīgu darbību vai rada nopietnus sabiedriskās drošības un drošuma riskus vienībām vai iedzīvotājiem vairākās dalībvalstīs vai Savienībai kopumā. Ņemot vērā šādu incidentu plašo tvērumu un to, ka vairākumā gadījumu tiem ir pārrobežu raksturs, dalībvalstīm un attiecīgajām Savienības iestādēm, struktūrām, birojiem un aģentūrām būtu jāsadarbojas tehniskā, operatīvā un politiskā līmenī, lai pienācīgi koordinētu reaģēšanu Savienībā.

(70)

Krīzēm un plašapmēra kiberdrošības incidentiem Savienības līmenī ir vajadzīga koordinēta rīcība, lai nodrošinātu ātru un rezultatīvu reaģēšanu, jo nozares un dalībvalstis ir lielā mērā savstarpēji atkarīgas. Kibernoturīgu tīklu un informācijas sistēmu pieejamībai un datu pieejamībai, konfidencialitātei un integritātei ir izšķirīga loma Savienības drošībā un tās iedzīvotāju, uzņēmumu un iestāžu aizsardzībā pret incidentiem un kiberdraudiem, kā arī nolūkā vairot indivīdu un organizāciju uzticēšanos Savienības spējai veicināt un aizsargāt globālu, atvērtu, brīvu, stabilu un drošu kibertelpu, kuras pamatā ir cilvēktiesības, pamatbrīvības, demokrātija un tiesiskums.

(71)

EU-CyCLONe būtu jādarbojas kā starpniekam starp tehnisko un politisko līmeni plašapmēra kiberdrošības incidentu un krīžu laikā, un tam būtu jāuzlabo sadarbība operatīvajā līmenī un jāatbalsta lēmumu pieņemšana politiskajā līmenī. Sadarbībā ar Komisiju, ņemot vērā Komisijas kompetenci krīžu pārvarēšanas jomā, EU-CyCLONe būtu jāizmanto CSIRT tīkla konstatējumi un savas spējas, lai sagatavotu plašapmēra kiberdrošības incidentu un krīžu ietekmes analīzi.

(72)

Kiberuzbrukumiem ir pārrobežu raksturs, un būtisks incidents var traucēt un kaitēt kritiskajām informācijas infrastruktūrām, no kurām ir atkarīga iekšējā tirgus netraucēta darbība. Ieteikums (ES) 2017/1584 pievēršas visu attiecīgo rīcībspēku lomai. Turklāt Komisija ar Eiropas Parlamenta un Padomes Lēmumu Nr. 1313/2013/ES (17) izveidotā Savienības civilās aizsardzības mehānisma satvarā ir atbildīga par vispārīgām sagatavotības darbībām, tostarp Ārkārtas reaģēšanas koordinēšanas centra un Kopīgās ārkārtējo situāciju sakaru un informācijas sistēmas pārvaldību, situācijas apzināšanās un analīzes spēju uzturēšanu un turpmāku attīstīšanu, kā arī par to, lai izveidotu un attīstītu spēju mobilizēt un nosūtīt ekspertu vienības gadījumā, ja kāda dalībvalsts vai trešā valsts lūdz palīdzību. Komisija ir atbildīga arī par analītisko ziņojumu sniegšanu IPCR mehānismiem saskaņā ar Īstenošanas lēmumu (ES) 2018/1993, cita starpā attiecībā uz kiberdrošības situācijas apzināšanos un sagatavotību, kā arī par situācijas apzināšanos un reaģēšanu krīzes situācijās tādās jomās kā lauksaimniecība, nelabvēlīgi laikapstākļi, konfliktu kartēšana un prognozes, agrīnās brīdināšanas sistēmas dabas katastrofu gadījumos, ārkārtas situācijas veselības jomā, infekcijas slimību uzraudzība, augu veselība, ķīmiskie incidenti, pārtikas un barības nekaitīgums, dzīvnieku veselība, migrācija, muita, kodolenerģētiskās un radioloģiskās avārijas un enerģētika.

(73)

Attiecīgā gadījumā Savienība saskaņā ar LESD 218. pantu var noslēgt starptautiskus nolīgumus ar trešām valstīm vai starptautiskām organizācijām, kuri ļauj tām piedalīties un organizē to dalību konkrētās sadarbības grupas, CSIRT tīkla un EU-CyCLONe darbībās. Šādos nolīgumos būtu jānodrošina Savienības intereses un pienācīga datu aizsardzība. Tam nebūtu jāizslēdz dalībvalstu tiesības sadarboties ar trešām valstīm ievainojamību pārvaldībā un kiberdrošības risku pārvaldībā, atvieglojot ziņošanu un vispārēju informācijas apmaiņu saskaņā ar Savienības tiesību aktiem.

(74)

Lai veicinātu šīs direktīvas rezultatīvu īstenošanu, piemēram, attiecībā uz ievainojamību pārvaldību, kiberdrošības risku pārvaldības pasākumiem, ziņošanas pienākumiem un kiberdrošības informācijas kopīgošanas mehānismiem, dalībvalstis var sadarboties ar trešām valstīm un veikt darbības, kas tiek uzskatītas par atbilstošām minētajam nolūkam, tostarp apmainīties ar informāciju par kiberdraudiem, incidentiem, ievainojamībām, rīkiem un metodēm, taktiku, paņēmieniem un procedūrām, gatavību kiberdrošības krīžu pārvaldībai un mācībām, apmācību, uzticēšanās veidošanu un strukturētus informācijas kopīgošanas mehānismus.

(75)

Būtu jāievieš salīdzinošā izvērtēšana, lai palīdzētu mācīties no kopīgas pieredzes, stiprinātu savstarpējo uzticēšanos un panāktu vienādi augstu kiberdrošības līmeni. Salīdzinošā izvērtēšana var dot vērtīgu ieskatu un ieteikumus, kas stiprinātu vispārējās kiberdrošības spējas, radītu vēl vienu funkcionālu ceļu paraugprakses kopīgošanai dalībvalstu starpā un palīdzētu uzlabot dalībvalstu gatavības līmeni kiberdrošības jomā. Turklāt salīdzinošajā izvērtēšanā būtu jāņem vērā līdzīgu mehānismu, piemēram, CSIRT tīkla salīdzinošās izvērtēšanas sistēmas, rezultāti, jārada pievienotā vērtība un jāizvairās no dublēšanās. Salīdzinošās izvērtēšanas īstenošanai nevajadzētu skart Savienības vai valstu tiesību aktus par konfidenciālas vai klasificētas informācijas aizsardzību.

(76)

Sadarbības grupai būtu jāizveido dalībvalstīm paredzēta pašnovērtējuma metodika, kuras mērķis būtu aptvert tādus faktorus kā kiberdrošības risku pārvaldības pasākumu un ziņošanas pienākumu īstenošanas līmenis, kompetento iestāžu spēju līmenis un uzdevumu izpildes rezultativitāte, CSIRT operatīvās spējas, savstarpējās palīdzības īstenošanas līmenis, kiberdrošības informācijas kopīgošanas mehānismu īstenošanas līmenis vai konkrēti pārrobežu vai starpnozaru jautājumi. Dalībvalstis būtu jāmudina pašnovērtējumus veikt regulāri, kā arī iesniegt un apspriest sava pašnovērtējuma rezultātus sadarbības grupā.

(77)

Tīklu un informācijas sistēmas drošības nodrošināšana lielā mērā ir būtisko un svarīgo vienību pienākums. Būtu jāveicina un jāattīsta riska pārvaldības kultūra, kas ietver riska novērtēšanu un faktiskajiem riskiem atbilstošu kiberdrošības risku pārvaldības pasākumu īstenošanu.

(78)

Kiberdrošības risku pārvaldības pasākumos būtu jāņem vērā, cik lielā mērā būtiskā vai svarīgā vienība ir atkarīga no tīklu un informācijas sistēmām, un jāietver pasākumi nolūkā identificēt visus incidentu riskus, novērst, atklāt incidentus, reaģēt uz tiem un atgūties no tiem, kā arī mazināt to ietekmi. Tīklu un informācijas sistēmu drošībai būtu jāietver glabāto, pārsūtīto un apstrādāto datu drošība. Kiberdrošības risku pārvaldības pasākumiem būtu jānodrošina sistēmiska analīze, kurā ņemts vērā cilvēkfaktors, lai gūtu pilnīgu priekšstatu par tīklu un informācijas sistēmas drošību.

(79)

Tā kā tīklu un informācijas sistēmu drošības apdraudējumiem var būt dažāda izcelsme, kiberdrošības risku pārvaldības pasākumiem vajadzētu būt balstītiem visu apdraudējumu pieejā, kuras mērķis ir aizsargāt tīklu un informācijas sistēmas un minēto sistēmu fizisko vidi pret tādiem notikumiem kā zādzība, ugunsgrēks, plūdi, telesakaru vai elektroapgādes pārtraukumi vai pret tādu neatļautu fizisku piekļuvi un bojājumiem un traucējumiem būtiskās vai svarīgās vienības informācijā un informācijas apstrādes iekārtās, kas varētu apdraudēt glabāto, pārsūtīto vai apstrādāto datu vai pakalpojumu, kurus piedāvā vai kuriem var piekļūt ar tīklu un informācijas sistēmām, pieejamību, autentiskumu, integritāti vai konfidencialitāti. Tāpēc kiberdrošības risku pārvaldības pasākumos būtu jāpievēršas arī tīklu un informācijas sistēmu fiziskajai un vides drošībai, iekļaujot pasākumus šādu sistēmu aizsardzībai pret sistēmas traucējumiem, cilvēka kļūdām, ļaunprātīgām darbībām vai dabas parādībām atbilstoši Eiropas un starptautiskajiem standartiem, piemēram, tiem, kas iekļauti ISO/IEC 27000 sērijā. Šajā ziņā būtiskām vai svarīgām vienībām savu kiberdrošības risku pārvaldības pasākumos būtu jāpievēršas arī cilvēkresursu drošībai un jāievieš atbilstīga piekļuves kontroles rīcībpolitika. Minētajiem pasākumiem būtu jāatbilst Direktīvai (ES) 2022/2557.

(80)

Lai pierādītu atbilstību kiberdrošības risku pārvaldības pasākumiem un ja nav piemērotu Eiropas kiberdrošības sertifikācijas shēmu, kas pieņemtas saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2019/881 (18), dalībvalstīm, apspriežoties ar sadarbības grupu un Eiropas Kiberdrošības sertifikācijas grupu būtu jāveicina attiecīgo Eiropas un starptautiskos standartu izmantošana būtiskajās un svarīgajās vienībās vai arī tās var pieprasīt vienībām izmantot sertificētus IKT produktus, IKT pakalpojumus un IKT procesus.

(81)

Lai izvairītos no nesamērīga finansiāla un administratīva sloga radīšanas būtiskajām un svarīgajām vienībām, kiberdrošības risku pārvaldības pasākumiem vajadzētu būt samērīgiem ar riskiem attiecīgajai tīklu un informācijas sistēmai, ņemot vērā jaunākos sasniegumus šādu pasākumu jomā un attiecīgā gadījumā attiecīgos Eiropas un starptautiskos standartus, kā arī to īstenošanas izmaksas.

(82)

Kiberdrošības risku pārvaldības pasākumiem vajadzētu būt samērīgiem ar to, cik lielā mērā būtiskā vai svarīgā vienība ir eksponēta riskiem un kāda būtu incidenta sabiedriskā un ekonomiskā ietekme. Nosakot kiberdrošības risku pārvaldības pasākumus, kas pielāgoti būtiskajām un svarīgajām vienībām, būtu pienācīgi jāņem vērā būtisko un svarīgo vienību atšķirīgā eksponētība riskam, piemēram, vienības kritiskums, riski, tostarp sociālie riski, kam tā ir eksponēta, vienības lielums un incidentu rašanās varbūtība un to smagums, tostarp to sabiedrisko un ekonomisko ietekmi.

(83)

Būtiskajām un svarīgajām vienībām būtu jānodrošina savās darbībās izmantoto tīklu un informācijas sistēmu drošība. Minētās sistēmas galvenokārt ir privātas tīklu un informācijas sistēmas, kuras pārvalda būtisko un svarīgo vienību iekšējais IT personāls vai kuru drošība tiek nodrošināta ar ārpakalpojumiem. Kiberdrošības risku pārvaldības pasākumi un ziņošanas pienākumi, kas noteikti šajā direktīvā, attiecīgajām būtiskajām un svarīgajām vienībām būtu jāpiemēro neatkarīgi no tā, vai minētās vienības savu tīklu un informācijas sistēmu uzturēšanu veic iekšēji vai šim nolūkam izmanto ārpakalpojumus.

(84)

DNS pakalpojumu sniedzējiem, ALD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīklu nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem, ņemot vērā to pārrobežu raksturu, būtu jāpieprasa augsta saskaņotības pakāpe Savienības līmenī. Tāpēc attiecībā uz minētajām vienībām kiberdrošības risku pārvaldības pasākumu īstenošana būtu jāveicina ar īstenošanas aktu.

(85)

Risināt riskus, kas izriet no vienības piegādes ķēdes un tās attiecībām ar piegādātājiem, piemēram, datu uzglabāšanas un apstrādes pakalpojumu vai pārvaldītu drošības pakalpojumu sniedzējiem un programmatūras redaktoriem, ir īpaši svarīgi, ņemot vērā tādu incidentu izplatību, kuros vienības ir cietušas kiberuzbrukumos un kuros ļaunprātīgi nodarījumu veicēji ir spējuši ietekmēt vienības tīklu un informācijas sistēmu drošību, izmantojot ievainojamības, kas skar trešo personu produktus un pakalpojumus. Tāpēc būtiskām un svarīgām vienībām būtu jānovērtē un jāņem vērā savu piegādātāju un pakalpojumu sniedzēju produktu un pakalpojumu vispārējā kvalitāte un noturība, tajos iegultie kiberdrošības risku pārvaldības pasākumi un kiberdrošības prakses, tai skaitā to drošas izstrādes procedūras. Būtiskās un svarīgās vienības jo īpaši būtu jāmudina iekļaut kiberdrošības risku pārvaldības pasākumus līgumattiecībās ar saviem tiešajiem piegādātājiem un pakalpojumu sniedzējiem. Minētās vienības varētu izsvērt riskus, kas izriet no citiem piegādātāju un pakalpojumu sniedzēju līmeņiem.

(86)

Pakalpojumu sniedzēju vidū pārvaldītu drošības pakalpojumu sniedzēji tādās jomās kā reaģēšana uz incidentiem, ielaušanās testēšana, drošības revīzijas un konsultācijas pilda īpaši svarīgu lomu, palīdzēdami vienībām to centienos novērst, atklāt incidentus, reaģēt uz tiem vai atgūties no tiem. Tomēr arī pārvaldītu drošības pakalpojumu sniedzēji paši ir bijuši kiberuzbrukumu mērķis, un tie rada īpašu risku, jo ir cieši iesaistīti vienību darbībās. Tāpēc būtiskām un svarīgām vienībām, izvēloties pārvaldītu drošības pakalpojumu sniedzēju, būtu jāievēro īpaša piesardzība.

(87)

Kompetentās iestādes savu uzraudzības uzdevumu kontekstā var izmantot arī tādus kiberdrošības pakalpojumus kā drošības revīzijas, ielaušanās testēšana vai reaģēšana uz incidentiem.

(88)

Būtiskām un svarīgām vienībām būtu arī jāizskata riski, kas izriet no to mijiedarbības un attiecībām ar citām ieinteresētajām personām plašākā ekosistēmā, arī attiecībā uz rūpnieciskās spiegošanas apkarošanu un komercnoslēpumu aizsardzību. Konkrētāk, minētajām vienībām būtu jāveic piemēroti pasākumi, lai nodrošinātu, ka to sadarbība ar akadēmiskajām un pētniecības iestādēm notiek atbilstoši to kiberdrošības rīcībpolitikai un ka tiek ievērota laba prakse attiecībā uz drošu piekļuvi un informācijas izplatīšanu kopumā un intelektuālā īpašuma aizsardzību konkrēti. Līdzīgi, ņemot vērā datu nozīmīgumu un vērtību būtisko un svarīgo vienību darbībās, minētajām vienībām, paļaujoties uz trešo personu sniegtiem datu transformēšanas un datu analīzes pakalpojumiem, būtu jāveic visi piemērotie kiberdrošības risku pārvaldības pasākumi.

(89)

Būtiskām un svarīgām vienībām būtu jāpieņem dažādas kiberhigiēnas pamatprakses, piemēram, nulles uzticības principi, programmatūras atjauninājumi, ierīču konfigurācija, tīkla segmentēšana, identitātes un piekļuves pārvaldība vai lietotāju informētība, jāorganizē darbinieku apmācība un jāuzlabo izpratne par kiberdraudiem, pikšķerēšanu vai sociālās inženierijas paņēmieniem. Turklāt minētajām vienībām būtu jāizvērtē savas kiberdrošības spējas un attiecīgā gadījumā jāturpina integrēt kiberdrošības uzlabošanas tehnoloģijas, piemēram, mākslīgā intelekta vai mašīnmācīšanās sistēmas, kas stiprina to spējas un tīklu un informācijas sistēmu drošību.

(90)

Lai vēl vairāk pievērstos svarīgiem piegādes ķēdes riskiem un palīdzētu būtiskām un svarīgām vienībām, kas darbojas nozarēs, uz kurām šī direktīva attiecas, pienācīgi pārvaldīt ar piegādes ķēdēm un piegādātājiem saistītus riskus, sadarbības grupai sadarbībā ar Komisiju un ENISA un attiecīgā gadījumā pēc apspriešanās ar attiecīgajām ieinteresētajām personām, arī no nozares, būtu jāveic koordinēti kritisko piegādes ķēžu riska novērtējumi, kā tas jau tika darīts attiecībā uz 5G tīkliem saskaņā ar Komisijas Ieteikumu (ES) 2019/534 (19), lai par katru nozari apzinātu, kuri ir kritiskie IKT pakalpojumi, IKT sistēmas vai IKT produkti, attiecīgie draudi un ievainojamības. Šādos koordinētos drošības riska novērtējumos būtu jāapzina pasākumi, mitigācijas plāni un paraugprakses pret kritiskas atkarības situācijām, potenciāliem kritiskiem atteices punktiem, draudiem, ievainojamībām un citiem riskiem, kas saistīti ar piegādes ķēdi, un būtu jāizpēta, kā vēl vairāk veicināt to plašāku pieņemšanu būtiskās un svarīgās vienībās. Potenciāli netehniski riska faktori, piemēram, nepamatota trešās valsts ietekme uz piegādātājiem un pakalpojumu sniedzējiem, jo īpaši alternatīvu pārvaldības modeļu gadījumā, ietver slēptas ievainojamības vai slepenpiekļuves un potenciālus sistēmiskus piegādes traucējumus, it sevišķi tehnoloģiskās iesīkstes vai atkarības no pakalpojumu sniedzējiem gadījumā.

(91)

Koordinētajos piegādes ķēžu drošības riska novērtējumos, ievērojot attiecīgās nozares iezīmes, būtu jāņem vērā gan tehniski, gan attiecīgā gadījumā netehniski faktori, tai skaitā tie, kuri definēti Ieteikumā (ES) 2019/534, ES koordinētajā 5G tīklu kiberdrošības riska novērtējumā un ES 5G kiberdrošības rīkkopā, par ko vienojusies sadarbības grupa. Lai apzinātu piegādes ķēdes, par kurām būtu jāveic koordinēts drošības riska novērtējums, būtu jāņem vērā šādi kritēriji: i) tas, ciktāl būtiskās un svarīgās vienības izmanto konkrētus kritiskus IKT pakalpojumus, IKT sistēmas vai IKT produktus un paļaujas uz tiem; ii) konkrētu kritisku IKT pakalpojumu, IKT sistēmu vai IKT produktu relevance kritisku vai sensitīvu funkciju izpildē, arī persondatu apstrādē; iii) alternatīvu IKT pakalpojumu, IKT sistēmu vai IKT produktu pieejamība; iv) IKT pakalpojumu, IKT sistēmu vai IKT produktu vispārējās piegādes ķēdes noturība visā aprites ciklā pret notikumiem, kas izraisa traucējumus, un v) attiecībā uz jauniem IKT pakalpojumiem, IKT sistēmām vai IKT produktiem – to potenciālais turpmākais nozīmīgums vienību darbībām. Turklāt īpašs uzsvars būtu jāliek uz IKT pakalpojumiem, IKT sistēmām vai IKT produktiem, uz kuriem attiecas konkrētas trešo valstu prasības.

(92)

Lai racionalizētu pienākumus, kas tīklu un informācijas sistēmu drošības sakarā noteikti publisko elektronisko sakaru tīklu nodrošinātājiem vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzējiem un uzticamības pakalpojumu sniedzējiem, un lai šīs vienības un kompetentās iestādes, kas paredzētas attiecīgi Eiropas Parlamenta un Padomes Direktīvā (ES) 2018/1972 (20) un Regulā (ES) Nr. 910/2014, varētu gūt labumu no tiesiskā regulējuma, kas izveidots ar šo direktīvu, tostarp par incidentu risināšanu atbildīgo CSIRT izraudzīšanos, attiecīgo kompetento iestāžu piedalīšanos sadarbības grupas un CSIRT tīkla darbā, minētās vienības būtu jāiekļauj šīs direktīvas darbības jomā. Tāpēc attiecīgie noteikumi, kas paredzēti Regulā (ES) Nr. 910/2014 un Direktīvā (ES) 2018/1972 un ir saistīti ar drošības un paziņošanas prasību piemērošanu minēto veidu vienībām, būtu jāsvītro. Šajā direktīvā paredzētajiem noteikumiem par ziņošanas pienākumiem nebūtu jāskar Regula (ES) 2016/679 un Direktīva 2002/58/EK.

(93)

Šajā direktīvā noteiktie kiberdrošības pienākumi būtu jāuzskata par papildinājumu prasībām, kas uzticamības pakalpojumu sniedzējiem noteiktas ar Regulu (ES) Nr. 910/2014. Būtu jāprasa, lai uzticamības pakalpojumu sniedzēji saskaņā ar šo direktīvu veic visus pienācīgos un samērīgos pasākumus tādu risku pārvaldīšanai, kas tiek radīti to pakalpojumiem, tostarp attiecībā uz klientiem un atkarīgajām trešām pusēm, un ziņo par incidentiem. Šādiem kiberdrošības un ziņošanas pienākumiem būtu jāattiecas arī uz sniegto pakalpojumu fizisko aizsardzību. Regulas (ES) Nr. 910/2014 24. pantā noteiktās prasības kvalificētiem uzticamības pakalpojumu sniedzējiem joprojām ir piemērojamas.

(94)

Lai nodrošinātu pašreizējās prakses turpināšanu un izmantotu Regulā (ES) Nr. 910/2014 piemērošanā gūtās zināšanas un pieredzi, dalībvalstis var piešķirt kompetento iestāžu lomu uzticamības pakalpojumu jomā uzraudzības iestādēm, kas norādītas minētajā regulā. Šādā gadījumā kompetentajām iestādēm saskaņā ar šo direktīvu būtu laikus un cieši jāsadarbojas ar minētajām uzraudzības iestādēm, apmainoties ar relevanto informāciju, lai nodrošinātu uzticamības pakalpojumu sniedzēju rezultatīvu uzraudzību un atbilstību šajā direktīvā un Regulā (ES) Nr. 910/2014 noteiktajām prasībām. Attiecīgā gadījumā CSIRT vai kompetentajai iestādei saskaņā ar šo direktīvu būtu nekavējoties jāinformē Regulā (ES) Nr. 910/2014 paredzētā uzraudzības iestāde par visiem paziņotajiem būtiskajiem kiberdraudiem vai incidentiem, kas ietekmē uzticamības pakalpojumus, kā arī par jebkādu uzticamības pakalpojumu sniedzēja šīs direktīvas pārkāpumu. Dalībvalstis ziņošanas nolūkā var attiecīgā gadījumā izmantot vienoto iesniegšanas punktu, kas izveidots, lai panāktu vienotu un automātisku ziņošanu par incidentiem gan Regulā (ES) Nr. 910/2014 paredzētajai uzraudzības iestādei, gan CSIRT vai šajā direktīvā paredzētajai kompetentajai iestādei.

(95)

Attiecīgā gadījumā un lai izvairītos no nevajadzīgiem traucējumiem, šīs direktīvas transponēšanā būtu jāņem vērā pastāvošās valsts pamatnostādnes, kas pieņemtas, lai transponētu ar drošības pasākumiem saistītos noteikumus, kuri paredzēti Direktīvas (ES) 2018/1972 40. un 41. pantā, tādējādi izmantojot zināšanas un prasmes, kas attiecībā uz drošības pasākumiem un incidentu ziņošanu jau iegūtas Direktīvas (ES) 2018/1972 kontekstā. ENISA var arī izstrādāt norādījumus par drošības prasībām un par ziņošanas pienākumiem publisko elektronisko sakaru tīklu nodrošinātājiem vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzējiem, lai atvieglotu saskaņošanu un pāreju un lai līdz minimumam samazinātu traucējumus. Lai nodrošinātu pašreizējās prakses turpināšanu un izmantotu Direktīvas (ES) 2018/1972 īstenošanā gūtās zināšanas un pieredzi, dalībvalstis kompetento iestāžu lomu elektronisko sakaru jomā var piešķirt valsts regulatīvajām iestādēm, kas paredzētas minētajā direktīvā.

(96)

Tā kā palielinās numurneatkarīgo starppersonu sakaru pakalpojumu, kā tie definēti Direktīvā (ES) 2018/1972, nozīme, ir jānodrošina, ka uz tiem attiecas arī attiecīgās drošības prasības, ņemot vērā to specifiku un ekonomisko svaru. Tā kā uzbrukumu tvērums joprojām paplašinās, numurneatkarīgie starppersonu sakaru pakalpojumi, piemēram, ziņapmaiņas pakalpojumi, kļūst par tipiskiem uzbrukumu vektoriem. Ļaunprātīgi nodarījumu veicēji izmanto platformas, lai sazinātos ar upuriem un tos mudinātu atvērt kompromitētas tīmekļa lapas, tādējādi palielinot tādu incidentu iespējamību, kuros tiek izmantoti persondati un tālāk arī tiek ietekmēta tīklu un informācijas sistēmu drošība. Numurneatkarīgo starppersonu sakaru pakalpojumu sniedzējiem būtu jānodrošina radītajam riskam atbilstošs tīklu un informācijas sistēmu drošības līmenis. Tā kā numurneatkarīgo starppersonu sakaru pakalpojumu sniedzēji nemēdz faktiski kontrolēt signālu pārraidi tīklos, riskus šādiem pakalpojumiem savā ziņā var uzskatīt par zemākiem nekā tradicionālajiem elektronisko sakaru pakalpojumiem. Tas pats attiecas uz starppersonu sakaru pakalpojumiem, kā tie definēti Direktīvā (ES) 2018/1972, kuros izmanto numurus un kuros netiek īstenota faktiska kontrole pār signālu pārraidi.

(97)

Iekšējais tirgus ir vairāk nekā jebkad iepriekš atkarīgs no interneta darbības. Gandrīz visu būtisko un svarīgo vienību pakalpojumi ir atkarīgi no internetā sniegtiem pakalpojumiem. Lai nodrošinātu būtisko un svarīgo vienību pakalpojumu netraucētu sniegšanu, ir svarīgi, lai visiem publisko elektronisko sakaru tīklu nodrošinātājiem būtu ieviesti pienācīgi kiberdrošības risku pārvaldības pasākumi un lai tie ziņotu par saistītajiem būtiskajiem incidentiem. Dalībvalstīm būtu jānodrošina, ka tiek saglabāta publisko elektronisko sakaru tīklu drošība un ka to būtiskās drošības intereses ir aizsargātas pret sabotāžu un spiegošanu. Tā kā starptautiskā savienotība uzlabo un paātrina Savienības un tās ekonomikas konkurētspējīgu digitalizāciju, par incidentiem, kas ietekmē zemūdens sakaru kabeļus, būtu jāziņo CSIRT vai attiecīgā gadījumā kompetentajai iestādei. Valsts kiberdrošības stratēģijās attiecīgā gadījumā būtu jāņem vērā zemūdens sakaru kabeļu kiberdrošība un jāietver potenciālo kiberdrošības risku apzināšana un mazināšanas pasākumi, lai nodrošinātu visaugstāko to aizsardzības līmeni.

(98)

Lai aizsargātu publisko elektronisko sakaru tīklu un publiski pieejamu elektronisko sakaru pakalpojumu drošību, būtu jāveicina šifrēšanas tehnoloģiju, jo īpaši galšifrēšanas, izmantošana, kā arī uz datiem vērstas drošības koncepcijas, piemēram, kartogrāfija, segmentācija, marķēšana, piekļuves politika un piekļuves pārvaldība, kā arī automatizēti piekļuves lēmumi. Vajadzības gadījumā šifrēšanas, jo īpaši galšifrēšanas, izmantošanai šīs direktīvas nolūkos vajadzētu būt obligātai publisko elektronisko sakaru tīklu nodrošinātājiem vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzējiem saskaņā ar tādiem principiem kā drošība un privātums pēc noklusējuma un integrēta drošības un privātuma aizsardzība. Galšifrēšanas izmantošana būtu jāsaskaņo ar dalībvalstu pilnvarām nodrošināt dalībvalstu būtisko drošības interešu un sabiedrības drošības aizsardzību un varēt izmeklēt un atklāt noziedzīgus nodarījumus un par tiem veikt kriminālvajāšanu saskaņā ar Savienības tiesību aktiem. Tomēr tam nevajadzētu vājināt galšifrēšanu, kas ir kritiska tehnoloģija reālai datu un privātuma aizsardzībai un sakaru drošībai.

(99)

Lai aizsargātu publisko elektronisko sakaru tīklu un publiski pieejamu elektronisko sakaru pakalpojumu drošību un nepieļautu to ļaunprātīgu izmantošanu un manipulēšanu, būtu jāveicina drošu maršrutēšanas standartu izmantošana, kas nodrošinātu maršrutēšanas funkciju integritāti un stabilitāti interneta piekļuves pakalpojumu sniedzēju ekosistēmā.

(100)

Lai aizsargātu interneta funkcionalitāti un integritāti un veicinātu DNS drošību un noturību, attiecīgās ieinteresētās personas, tostarp Savienības privātā sektora vienības, publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji, it sevišķi interneta piekļuves pakalpojumu sniedzēji, un tiešsaistes meklētājprogrammu nodrošinātāji būtu jāmudina pieņemt DNS atrises dažādošanas stratēģiju. Dalībvalstīm būtu arī jāmudina izstrādāt un izmantot publisku un drošu Eiropas DNS atrisinātāja pakalpojumu.

(101)

Šī direktīva nosaka vairākposmu pieeju būtisku incidentu paziņošanai, lai panāktu pareizo līdzsvaru starp ātru ziņošanu, kas palīdz mazināt būtisku incidentu potenciālo izplatīšanos un dod būtiskām un svarīgām vienībām iespēju lūgt atbalstu, no vienas puses, un padziļinātu ziņošanu, kurā izdara vērtīgus secinājumus par individuāliem incidentiem un kura laika gaitā uzlabo individuālu vienību un veselu nozaru kibernoturību, no otras puses. Šajā sakarā šajā direktīvā būtu jāiekļauj arī ziņošana par tādiem incidentiem, kuri, spriežot pēc attiecīgās vienības veiktā sākotnējā novērtējuma, varētu minētajai vienībai izraisīt smagus pakalpojumu darbības traucējumus vai finansiālus zaudējumus vai ietekmēt citas fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu. Šādā sākotnējā novērtējumā cita starpā būtu jāņem vērā skartās tīklu un informācijas sistēmas, jo īpaši to nozīmība vienības pakalpojumu sniegšanā, kiberdraudu smagums un tehniskās īpašības, kā arī visas izmantotās pamatā esošās ievainojamības un vienības pieredze ar līdzīgiem incidentiem. To, vai pakalpojuma darbības traucējums ir smags, varētu ļoti palīdzēt noteikt tādi rādītāji kā apmērs, kādā tiek ietekmēta pakalpojuma darbība, incidenta ilgums un skarto pakalpojumu saņēmēju skaits.

(102)

Ja būtiskam un svarīgām vienībām kļūst zināms par būtisku incidentu, tām vajadzētu būt pienākumam bez nepamatotas kavēšanās un katrā ziņā 24 stundu laikā sniegt agrīnu brīdinājumu. Pēc minētā agrīnā brīdinājuma būtu jāziņo par incidentu. Attiecīgajām vienībām par incidentu būtu jāziņo bez nepamatotas kavēšanās un katrā ziņā 72 stundu laikā pēc tam, kad tās uzzinājušas par būtisko incidentu, lai it sevišķi atjauninātu informāciju, kas sniegta ar agrīno brīdinājumu, un norādītu būtiskā incidenta sākotnējo novērtējumu, tostarp tā smagumu un ietekmi, kā arī, ja pieejami, aizskāruma rādītājus. Ne vēlāk kā vienu mēnesi pēc incidenta paziņošanas būtu jāsniedz galīgs ziņojums. Agrīnajā brīdinājumā būtu jāiekļauj tikai tāda informācija, kas ir nepieciešama, lai darītu incidentu zināmu CSIRT vai attiecīgā gadījumā kompetentajai iestādei un attiecīgā vienība vajadzības gadījumā varētu lūgt palīdzību. Šādā agrīnajā brīdinājumā attiecīgā gadījumā būtu jānorāda, vai ir aizdomas, ka būtisko incidentu ir izraisījušas nelikumīgas vai ļaunprātīgas darbības, un vai tam varētu būt pārrobežu ietekme. Dalībvalstīm būtu jānodrošina, ka pienākums iesniegt šo agrīno brīdinājumu vai tam sekojošo paziņojumu par incidentu nenovirza paziņotājas vienības resursus no darbībām, kas saistītas ar incidentu risināšanu un kam būtu jāpiešķir prioritāte, lai nepieļautu, ka incidentu ziņošanas pienākumi novirza resursus no reaģēšanas uz būtiskiem incidentiem vai citādi apdraud vienības centienus šajā sakarā. Ja galīgā ziņojuma iesniegšanas laikā incidents turpinās, dalībvalstīm būtu jānodrošina, ka attiecīgās vienības tajā laikā iesniedz progresa ziņojumu un viena mēneša laikā pēc būtiskā incidenta risināšanas – galīgo ziņojumu.

(103)

Attiecīgā gadījumā būtiskajām un svarīgajām vienībām bez nepamatotas kavēšanās būtu jāpaziņo saviem pakalpojumu saņēmējiem par visiem pasākumiem vai korektīvajām darbībām, ko var veikt, lai mazinātu riskus, kuri izriet no būtiskiem kiberdraudiem. Minētajām vienībām attiecīgā gadījumā un jo īpaši tad, ja būtiskie kiberdraudi varētu īstenoties, būtu pakalpojumu saņēmēji jāinformē arī par pašiem draudiem. Prasība informēt minētos saņēmējus par būtiskiem kiberdraudiem būtu jāpilda, cik vien iespējams, bet tai nebūtu jāatbrīvo minētās vienības no pienākuma par saviem līdzekļiem veikt pienācīgus un tūlītējus pasākumus, lai novērstu vai izlabotu jebkurus šādus draudus un atjaunotu normālo pakalpojuma drošības līmeni. Šāda informācija par būtiskiem kiberdraudiem būtu jāsniedz pakalpojumu saņēmējiem bez maksas un viegli saprotamā valodā.

(104)

Publisko elektronisko sakaru tīklu nodrošinātājiem vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzējiem būtu jāievieš integrēta drošība un drošība pēc noklusējuma un jāinformē pakalpojumu saņēmēji par būtiskiem kiberdraudiem un par pasākumiem, ko tie var veikt, lai aizsargātu savu ierīču un sakaru drošību, izmantojot, piemēram, konkrētu veidu programmatūru vai šifrēšanas tehnoloģijas.

(105)

Proaktīva pieeja kiberdraudiem ir būtisks kiberdrošības risku pārvaldības pasākumu komponents, kam būtu kompetentajām iestādēm jādod iespēja rezultatīvi novērst kiberdraudu materializēšanos incidentos, kas var radīt ievērojamu materiālo vai nemateriālo kaitējumu. Šajā nolūkā ļoti svarīgi ir ziņot par kiberdraudiem. Tāpēc vienības tiek mudinātas par kiberdraudiem ziņot brīvprātīgi.

(106)

Lai vienkāršotu šajā direktīvā prasītās informācijas paziņošanu, kā arī samazinātu administratīvo slogu vienībām, dalībvalstīm relevantās ziņojamās informācijas iesniegšanai būtu jānodrošina tehniskie līdzekļi, piemēram, vienots iesniegšanas punkts, automatizētas sistēmas, tiešsaistes veidlapas, lietotājdraudzīgas saskarnes, veidnes, specializētas platformas vienībām neatkarīgi no tā, vai tās ietilpst šīs direktīvas darbības jomā. Savienības finansējums, kas atbalsta šīs direktīvas īstenošanu, jo īpaši programmā “Digitālā Eiropa”, kas izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/694 (21), varētu ietvert atbalstu vienotajiem iesniegšanas punktiem. Turklāt vienības bieži atrodas situācijā, kurā konkrēts incidents tā iezīmju dēļ ir jāpaziņo dažādām iestādēm, jo to paredz paziņošanas pienākumi, kas ietverti dažādos tiesību instrumentos. Šādi gadījumi rada papildu administratīvo slogu un varētu arī izraisīt nenoteiktību attiecībā uz šādu paziņojumu formātu un procedūrām. Ja ir izveidots vienots iesniegšanas punkts, dalībvalstis tiek mudinātas izmantot šo vienoto iesniegšanas punktu arī tādiem paziņojumiem par drošības incidentiem, kas prasīti citos Savienības tiesību aktos, piemēram, Regulā (ES) 2016/679 un Direktīvā 2002/58/EK. Šāda vienota iesniegšanas punkta izmantošanai ziņošanai par drošības incidentiem saskaņā ar Regulu (ES) 2016/679 un Direktīvu 2002/58/EK nevajadzētu ietekmēt Regulas (ES) 2016/679 un Direktīvas 2002/58/EK noteikumu piemērošanu, jo īpaši to noteikumu piemērošanu, kas attiecas uz tajās minēto iestāžu neatkarību. ENISA sadarbībā ar sadarbības grupu būtu jāizstrādā vienotas paziņojumu veidnes, pieņemot pamatnostādnes, lai vienkāršotu un racionalizētu ziņojamo informāciju, ko pieprasa Savienības tiesību akti, un mazinātu administratīvo slogu paziņotājām vienībām.

(107)

Ja ir aizdomas, ka incidents ir saistīts ar smagām noziedzīgām darbībām, kas noteiktas Savienības vai valsts tiesību aktos, dalībvalstīm būtu jāmudina būtiskās un svarīgās vienības, pamatojoties uz piemērojamiem kriminālprocesa noteikumiem atbilstoši Savienības tiesībām, par incidentiem, kam varētu būt smagas noziedzības raksturs, ziņot attiecīgajām tiesībaizsardzības iestādēm. Attiecīgos gadījumos un neskarot persondatu aizsardzības noteikumus, kas piemērojami Eiropolam, vēlams, ka Eiropas Kibernoziedzības apkarošanas centrs (EC3) un ENISA veicina koordināciju starp dažādu dalībvalstu kompetentajām iestādēm un tiesībaizsardzības iestādēm.

(108)

Incidentu dēļ daudzos gadījumos tiek apdraudēti persondati. Šajā kontekstā kompetentajām iestādēm būtu jāsadarbojas un jāapmainās ar informāciju par visiem attiecīgajiem jautājumiem ar iestādēm, kas minētas Regulā (ES) 2016/679 un Direktīvā 2002/58/EK.

(109)

Lai nodrošinātu DNS drošību, stabilitāti un noturību, kas savukārt veicina vienādi augsta līmeņa kiberdrošību Savienībā, ir būtiski uzturēt precīzas un pilnīgas datubāzes ar domēnu nosaukumu reģistrācijas datiem (WHOIS dati) un nodrošināt likumīgu piekļuvi šādiem datiem. Šajā konkrētajā nolūkā ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu jānosaka prasība apstrādāt konkrētus datus, kas vajadzīgi minētā mērķa sasniegšanai. Šādai apstrādei vajadzētu būt juridiskam pienākumam Regulas (ES) 2016/679 6. panta 1. punkta c) apakšpunkta nozīmē. Minētais pienākums neskar iespēju vākt domēnu nosaukumu reģistrācijas datus citiem mērķiem, piemēram, pamatojoties uz līgumattiecībām vai juridiskām prasībām, kas noteiktas citos Savienības vai valsts tiesību aktos. Minētā pienākuma mērķis ir iegūt pilnīgu un precīzu reģistrācijas datu kopumu, un tam nevajadzētu novest pie tā, ka vienus un tos pašus datus vāc vairākas reizes. ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu jāsadarbojas, lai izvairītos no minētā uzdevuma izpildes dublēšanās.

(110)

Domēna nosaukumu reģistrācijas datu pieejamība un savlaicīga piekļūstamība leģitīmiem piekļuves prasītājiem ir būtiska DNS ļaunprātīgas izmantošanas novēršanai un apkarošanai, kā arī incidentu novēršanai un atklāšanai un reaģēšanai uz tiem. Ar leģitīmiem piekļuves prasītājiem saprot jebkuru fizisku vai juridisku personu, kas iesniedz pieprasījumu, ievērojot Savienības vai valsts tiesību aktus. To vidū var būt iestādes, kas ir kompetentas saskaņā ar šo direktīvu, un iestādes, kas saskaņā ar Savienības vai valsts tiesību aktiem ir kompetentas novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai veikt par tiem kriminālvajāšanu, kā arī CERT vai CSIRT. ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu arī jānosaka prasība nodrošināt leģitīmiem piekļuves prasītājiem likumīgu piekļuvi konkrētiem domēnu nosaukumu reģistrācijas datiem, kas vajadzīgi prasītās piekļuves mērķiem, saskaņā ar Savienības un valsts tiesību aktiem. Leģitīmu piekļuves prasītāju pieprasījumam būtu jāpievieno pamatojums, pēc kā var novērtēt nepieciešamību piekļūt datiem.

(111)

Lai nodrošinātu precīzu un pilnīgu domēnu nosaukumu reģistrācijas datu pieejamību, ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu jāvāc domēnu nosaukumu reģistrācijas dati un jāgarantē to integritāte un pieejamība. Konkrētāk, ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu jāizstrādā rīcībpolitikas un procedūras precīzu un pilnīgu domēnu nosaukumu reģistrācijas datu vākšanai un uzturēšanai, kā arī neprecīzu reģistrācijas datu novēršanai un izlabošanai saskaņā ar Savienības datu aizsardzības tiesību aktiem. Minētajās rīcībpolitikās un procedūrās pēc iespējas būtu jāņem vērā standarti, ko starptautiskā līmenī izstrādājušas daudzpusējās ieinteresēto personu pārvaldības struktūras. ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu jāpieņem un jāīsteno samērīgas domēnu nosaukumu reģistrācijas datu verifikācijas procedūras. Minētajām procedūrām būtu jāatspoguļo nozarē izmantotās paraugprakses un, ciktāl iespējams, elektroniskās identifikācijas jomā panāktais progress. Verifikācijas procedūru piemēri var būt ex ante kontroles, ko veic reģistrācijas laikā, un ex post kontroles, ko veic pēc reģistrācijas. ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu it īpaši jāverificē vismaz viens no reģistrētāja saziņas līdzekļiem.

(112)

ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu jānosaka prasība darīt publiski pieejamus domēnu nosaukumu reģistrācijas datus, uz kuriem neattiecas Savienības datu aizsardzības tiesību akti, piemēram, datus, kuri attiecas uz juridiskām personām, saskaņā ar Regulu (ES) 2016/679. Attiecībā uz juridiskām personām ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu jādara publiski pieejams vismaz reģistrētāja nosaukums un kontakttālruņa numurs. Būtu jāpublicē arī saziņas e-pasta adrese ar noteikumu, ka tā nesatur persondatus, piemēram, e-pasta pseidonīmu vai funkcionālo kontu gadījumā. ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu arī jānodrošina leģitīmiem piekļuves prasītājiem likumīga piekļuve konkrētiem domēnu nosaukumu reģistrācijas datiem par fiziskām personām saskaņā ar Savienības datu aizsardzības tiesību aktiem. Dalībvalstīm būtu jāprasa, lai ALD nosaukumu reģistri un vienības, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, bez nepamatotas kavēšanās atbild uz leģitīmo piekļuves prasītāju pieprasījumiem izpaust domēna nosaukumu reģistrācijas datus. ALD nosaukumu reģistriem un vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, būtu jāizstrādā rīcībpolitikas un procedūras reģistrācijas datu, tostarp pakalpojumu līmeņa līgumu, publicēšanai un izpaušanai, lai izpildītu leģitīmo piekļuves prasītāju piekļuves pieprasījumus. Minētajās rīcībpolitikās un procedūrās pēc iespējas būtu jāņem vērā jebkādi norādījumi un standarti, ko starptautiskā līmenī izstrādājušas daudzpusējās ieinteresēto personu pārvaldības struktūras. Piekļuves procedūrā varētu ietvert saskarnes, portāla vai citu tehnisku rīku izmantošanu nolūkā nodrošināt efektīvu sistēmu reģistrācijas datu pieprasīšanai un piekļūšanai tiem. Lai veicinātu saskaņotu praksi visā iekšējā tirgū, Komisija, neskarot Eiropas Datu aizsardzības kolēģijas kompetenci, var sniegt pamantostādnes par šādām procedūrām, kurās, cik iespējams, ņemti vērā standarti, ko starptautiskā līmenī izstrādājušas daudzpusējās ieinteresēto personu pārvaldības struktūras. Dalībvalstīm būtu jānodrošina, ka visu veidu piekļuve personu un nepersonu domēna nosaukumu reģistrācijas datiem ir bez maksas.

(113)

Būtu jāuzskata, ka vienības, kuras ietilpst šīs direktīvas darbības jomā, ir tās dalībvalsts jurisdikcijā, kurā tās ir iedibinātas. Tomēr būtu jāuzskata, ka publisko elektronisko sakaru tīklu nodrošinātāji vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji ir tās dalībvalsts jurisdikcijā, kurā tie sniedz savus pakalpojumus. Būtu jāuzskata, ka DNS pakalpojumu sniedzēji, ALD nosaukumu reģistri, vienības, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, mākoņdatošanas pakalpojumu sniedzēji, datu centru pakalpojumu sniedzēji, satura piegādes tīklu nodrošinātāji, pārvaldītu pakalpojumu sniedzēji un pārvaldītu drošības pakalpojumu sniedzēji, kā arī tiešsaistes tirdzniecības vietu nodrošinātāji, tiešsaistes meklētājprogrammu nodrošinātāji un sociālās tīklošanās pakalpojumu platformu nodrošinātāji ir tās dalībvalsts jurisdikcijā, kurā ir to galvenā iedibinājuma vieta Savienībā. Valsts pārvaldes vienībām vajadzētu būt tās dalībvalsts jurisdikcijā, kura tās ir izveidojusi. Ja vienība sniedz pakalpojumus vai ir iedibināta vairāk nekā vienā dalībvalstī, tai vajadzētu būt katras attiecīgās dalībvalsts atsevišķā un vienlaicīgā jurisdikcijā. Šo dalībvalstu kompetentajām iestādēm būtu jāsadarbojas, jāsniedz savstarpēja palīdzība un attiecīgā gadījumā jāveic kopīgas uzraudzības darbības. Ja dalībvalstis īsteno jurisdikciju, tām nebūtu jānosaka izpildes pasākumi vai jāuzliek sodi par vienu un to pašu rīcību vairāk nekā vienu reizi saskaņā ar ne bis in idem principu.

(114)

Lai ņemtu vērā DNS pakalpojumu sniedzēju, ALD nosaukumu reģistru, vienību, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, mākoņdatošanas pakalpojumu sniedzēju, datu centra pakalpojumu sniedzēju, satura piegādes tīklu nodrošinātāju, pārvaldītu pakalpojumu sniedzēju, pārvaldītu drošības pakalpojumu sniedzēju, kā arī tiešsaistes tirdzniecības vietu nodrošinātāju, tiešsaistes meklētājprogrammu nodrošinātāju un sociālās tīklošanās pakalpojumu platformu nodrošinātāju pakalpojumu un darbību pārrobežu raksturu, tikai vienai dalībvalstij vajadzētu būt jurisdikcijai pār šādām vienībām. Jurisdikcija būtu jāpiešķir tai dalībvalstij, kurā attiecīgajai vienībai ir tās galvenais iedibinājums Savienībā. Iedibinājuma kritērijs šīs direktīvas nolūkos nozīmē darbības reālu īstenošanu ar stabilu veidojumu. Šāda veidojuma juridiskā forma neatkarīgi no tā, vai tā ir filiāle vai meitasuzņēmums ar juridiskas personas statusu, šajā ziņā nav noteicošais faktors. Tam, vai šis kritērijs ir izpildīts, nevajadzētu būt atkarīgam no tā, vai tīklu un informācijas sistēmas fiziski atrodas noteiktā vietā; šādu sistēmu klātbūtne un izmantošana pati par sevi nav uzskatāma par šādu galveno iedibinājumu un tāpēc nav izšķirīgs kritērijs galvenā iedibinājuma noteikšanai. Būtu jāuzskata, ka galvenais iedibinājums ir tajā dalībvalstī, kur Savienībā tiek pieņemts vairums ar kiberdrošības riska pārvaldības pasākumiem saistīto lēmumu. Parasti tā ir vieta, kur atrodas vienības centrālā administrācija Savienībā. Ja šādu dalībvalsti nevar noteikt vai ja šādus lēmumus nepieņem Savienībā, būtu jāuzskata, ka galvenais iedibinājums ir dalībvalstī, kurā tiek veiktas kiberdrošības darbības. Ja šādu dalībvalsti nevar noteikt, būtu jāuzskata, ka galvenais iedibinājums ir dalībvalstī, kurā vienībai ir iedibinājums ar vislielāko darbinieku skaitu Savienībā. Ja pakalpojumus sniedz uzņēmumu grupa, par uzņēmumu grupas galveno iedibinājumu būtu jāuzskata kontrolējošā uzņēmuma galvenais iedibinājums.

(115)

Ja publisko elektronisko sakaru tīklu nodrošinātājs vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzējs publiski pieejamu rekursīvu DNS pakalpojumu sniedz tikai kā daļu no interneta piekļuves pakalpojuma, būtu jāuzskata, ka vienība ir visu to dalībvalstu jurisdikcijā, kurās tiek sniegti tās pakalpojumi.

(116)

Ja DNS pakalpojumu sniedzējs, ALD nosaukumu reģistrs, vienība, kas sniedz domēna nosaukumu reģistrācijas pakalpojumus, mākoņdatošanas pakalpojumu sniedzējs, datu centra pakalpojumu sniedzējs, satura piegādes tīklu nodrošinātājs, pārvaldītu pakalpojumu sniedzējs, pārvaldītu drošības pakalpojumu sniedzējs vai tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas vai sociālās tīklošanās pakalpojumu platformas nodrošinātājs, kas nav iedibināts Savienībā, piedāvā pakalpojumus Savienībā, tam būtu jāizraugās pārstāvis Savienībā. Lai noteiktu, vai šāda vienība piedāvā pakalpojumus Savienībā, būtu jānoskaidro, vai vienība plāno piedāvāt pakalpojumus personām vienā vai vairākās dalībvalstīs. Būtu jāuzskata, ka, lai noskaidrotu šādu nodomu, nepietiek tikai ar to vien, ka Savienībā ir piekļūstama vienības vai starpnieka tīmekļa vietne, e-pasta adrese vai cita kontaktinformācija vai ka tiek izmantota valoda, ko parasti izmanto trešā valstī, kurā vienība ir iedibināta. Tomēr tādi faktori kā tādas valodas vai valūtas izmantošana, ko parasti izmanto vienā vai vairākās dalībvalstīs, ar iespēju pasūtīt pakalpojumus minētajā valodā vai Savienībā esošu klientu vai lietotāju pieminēšana varētu skaidri liecināt, ka vienība plāno piedāvāt pakalpojumus Savienībā. Pārstāvim būtu jārīkojas vienības vārdā, un kompetentajām iestādēm vai CSIRT vajadzētu būt iespējai ar pārstāvi sazināties. Pārstāvis būtu jāizraugās nepārprotami ar vienības rakstisku pilnvarojumu rīkoties tās vārdā attiecībā uz tās pienākumiem, kas noteikti šajā direktīvā, tostarp ziņošanu par incidentiem.

(117)

Lai gūtu skaidru pārskatu par DNS pakalpojumu sniedzējiem, ALD nosaukumu reģistriem, vienībām, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīklu nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem un pārvaldītu drošības pakalpojumu sniedzējiem, kā arī tiešsaistes tirdzniecības vietu nodrošinātājiem, tiešsaistes meklētājprogrammu nodrošinātājiem un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem, kas sniedz pakalpojumus Savienībā, kuri ietilpst šīs direktīvas darbības jomā, ENISA būtu jāizveido un jāuztur šādu vienību reģistrs, kura pamatā būtu informācija, kas saņemta no dalībvalstīm, attiecīgā gadījumā – ar valstu mehānismiem, kas izveidoti, lai vienības reģistrētos. Vienotajiem kontaktpunktiem informācija un jebkādas tās izmaiņas būtu jāpārsūta ENISA. Lai nodrošinātu minētajā reģistrā iekļaujamās informācijas precizitāti un pilnīgumu, dalībvalstis var iesniegt ENISA valsts reģistros pieejamo informāciju par minētajām vienībām. ENISA un dalībvalstīm būtu jāveic šādu reģistru sadarbspējas veicināšanas pasākumi, bet vienlaikus arī jānodrošina konfidenciālas vai klasificētas informācijas aizsardzība. ENISA būtu jāizstrādā pienācīgi informācijas klasifikācijas un pārvaldības protokoli, lai nodrošinātu izpaustās informācijas drošību un konfidencialitāti un lai ierobežotu piekļuvi šādai informācijai, tās glabāšanu un pārsūtīšanu paredzētajiem lietotājiem.

(118)

Ja notiek apmaiņa ar informāciju, kas saskaņā ar Savienības vai valsts tiesību aktiem ir klasificēta, šāda informācija tiek paziņota vai citādi kopīgota atbilstoši šai direktīvai, būtu jāpiemēro attiecīgie noteikumi par rīcību ar klasificētu informāciju. Turklāt ENISA rīcībā vajadzētu būt infrastruktūrai, procedūrām un noteikumiem sensitīvas un klasificētas informācijas apstrādei saskaņā ar piemērojamajiem drošības noteikumiem par ES klasificētas informācijas aizsardzību.

(119)

Tā kā kiberdraudi kļūst sarežģītāki un attīstītāki, labi šādu draudu atklāšanas un profilakses pasākumi lielā mērā ir atkarīgi no regulāras apdraudējuma un neaizsargātības izlūkdatu kopīgošanas starp vienībām. Informācijas kopīgošana uzlabo informētību par kiberdraudiem, kas savukārt uzlabo vienību spēju novērst šādu draudu pārtapšanu reālos incidentos un dod tām iespēju labāk ierobežot incidentu ietekmi un efektīvāk no tiem atgūties. Nepastāvot Savienības līmeņa norādījumiem, šādu izlūkdatu apmaiņu, šķiet, ir kavējuši dažādi faktori, jo īpaši nenoteiktība attiecībā uz saderību ar konkurences un atbildības noteikumiem.

(120)

Vienības būtu jāmudina ar dalībvalstu atbalstu kolektīvi izmantot savas individuālās zināšanas un praktisko pieredzi stratēģiskajā, taktiskajā un operacionālajā līmenī, lai uzlabotu savas spējas pienācīgi novērst, atklāt incidentus, reaģēt uz tiem vai atgūties no tiem, vai mazināt to sekas. Tāpēc ir nepieciešams pavērt ceļu brīvprātīgiem kiberdrošības informācijas kopīgošanas mehānismiem Savienības līmenī. Šajā nolūkā dalībvalstīm būtu aktīvi jāatbalsta un jāmudina šādos informācijas kopīgošanas mehānismos piedalīties vienības, piemēram, vienības, kas koncentrējas uz kiberdrošības pakalpojumiem un pētījumiem, kā arī attiecīgās vienības, kas nav šīs direktīvas darbības jomā. Minētie pasākumi būtu jāizveido saskaņā ar Savienības konkurences noteikumiem un Savienības datu aizsardzības tiesību aktiem.

(121)

Persondatu apstrādi, ciktāl tā ir nepieciešama un samērīga ar nolūku būtiskajām un svarīgajām vienībām nodrošināt tīklu un informācijas sistēmu drošību, varētu uzskatīt par likumīgu, pamatojoties uz to, ka šāda apstrāde atbilst pārzinim uzliktajam juridiskajam pienākumam saskaņā ar Regulas (ES) 2016/679 6. panta 1. punkta c) apakšpunkta un 6. panta 3. punkta prasībām. Persondatu apstrāde varētu būt nepieciešama arī leģitīmām interesēm, kas ir būtiskajām un svarīgajām vienībām, kā arī drošības tehnoloģiju un pakalpojumu sniedzējiem, kuri rīkojas minēto vienību vārdā, saskaņā ar Regulas (ES) 2016/679 6. panta 1. punkta f) apakšpunktu, arī tad, ja šāda apstrāde ir nepieciešama kiberdrošības informācijas kopīgošanas mehānismiem vai brīvprātīgai relevantās informācijas paziņošanai saskaņā ar šo direktīvu. Pasākumiem, kas saistīti ar incidentu novēršanu, atklāšanu, apzināšanu, ierobežošanu, analīzi un reaģēšanu uz tiem, pasākumiem, kas veicina informētību par konkrētiem kiberdraudiem, informācijas apmaiņu ievainojamības izlabošanas un ievainojamības koordinētas izpaušanas kontekstā, brīvprātīgu informācijas apmaiņu par minētajiem incidentiem, kā arī kiberdraudiem un ievainojamībām, aizskāruma rādītājiem, taktiku, paņēmieniem un procedūrām, kiberdrošības brīdinājumiem un konfigurācijas rīkiem, varētu būt vajadzīga konkrētu kategoriju persondatu, piemēram, IP adrešu, vienoto resursu vietrāžu (URL), domēnu nosaukumu, e-pasta adrešu, un – ja tie atklāj persondatus – laika zīmogu, apstrāde. Persondatu apstrāde, ko veic kompetentās iestādes, vienotie kontaktpunkti un CSIRT, varētu būt juridisks pienākums vai varētu tikt uzskatīta par nepieciešamu, lai veiktu uzdevumu sabiedrības interesēs vai īstenotu oficiālās pilnvaras, kas pārzinim piešķirtas saskaņā ar Regulas (ES) 2016/679 6. panta 1. punkta c) vai e) apakšpunktu un 6. panta 3. punktu, vai lai īstenotu minētās regulas 6. panta 1. punkta f) apakšpunktā minēto būtisko un svarīgo vienību leģitīmās intereses. Turklāt valsts tiesību aktos varētu paredzēt noteikumus, kas ļauj kompetentajām iestādēm, vienotajiem kontaktpunktiem un CSIRT, ciktāl tas ir nepieciešams un samērīgi ar nolūku nodrošināt būtisko un svarīgo vienību tīklu un informācijas sistēmu drošību, apstrādāt īpašu kategoriju persondatus saskaņā ar Regulas (ES) 2016/679 9. pantu, jo īpaši paredzot piemērotus un konkrētus pasākumus, kā aizsargāt fizisko personu pamattiesības un intereses, tostarp tehniskus ierobežojumus šādu datu atkalizmantošanai un mūsdienīgu drošības un privātuma aizsardzības pasākumu, piemēram, pseidonimizācijas vai šifrēšanas, izmantošanu, ja anonimizācija var būtiski ietekmēt izvirzīto mērķi.

(122)

Lai nostiprinātu uzraudzības pilnvaras un pasākumus, kas palīdz nodrošināt reālu atbilstību prasībām, šajā direktīvā būtu jāparedz minimāls to uzraudzības pasākumu un līdzekļu saraksts, ar kuriem kompetentās iestādes var uzraudzīt būtiskās un svarīgās vienības. Turklāt šajā direktīvā būtu jānosaka uzraudzības režīma nošķīrums starp būtiskajām un svarīgajām vienībām, lai nodrošinātu taisnīgu pienākumu līdzsvaru minētajām vienībām un kompetentajām iestādēm. Tādēļ būtiskajām vienībām būtu jāpiemēro visaptverošs ex ante un ex post uzraudzības režīms, savukārt svarīgajām vienībām būtu jāpiemēro viegls un tikai ex post uzraudzības režīms. Tāpēc svarīgajām vienībām nebūtu jāpiemēro prasība sistemātiski dokumentēt atbilstību kiberdrošības risku pārvaldības pasākumiem, savukārt kompetentajām iestādēm būtu jāīsteno reaģējoša ex post pieeja uzraudzībai, tādēļ tām nevajadzētu būt vispārējam pienākumam uzraudzīt minētās vienības. Svarīgo vienību ex post uzraudzību var izraisīt pierādījumi, norādes vai informācija, kas darīta zināma kompetentajām iestādēm un ko šīs iestādes uzskata par tādu, kas liecina par šīs direktīvas iespējamiem pārkāpumiem. Piemēram, tie varētu būt tādi pierādījumi, norādes vai informācija, ko kompetentajām iestādēm sniedz citas iestādes, vienības, iedzīvotāji, mediji vai citi avoti, publiski pieejama informācija vai kas varētu izrietēt no citām darbībām, kuras kompetentās iestādes veic, pildot savus uzdevumus.

(123)

Uzraudzības uzdevumu izpildei, ko veic kompetentās iestādes, nevajadzētu lieki kavēt attiecīgās vienības darbu. Ja kompetentās iestādes veic savus uzraudzības uzdevumus attiecībā uz būtiskām vienībām, tostarp veic inspekcijas uz vietas un uzraudzību neklātienē, izmeklē šīs direktīvas pārkāpumus un veic drošības revīzijas vai drošības skenēšanu, tām būtu līdz minimumam jāsamazina ietekme uz attiecīgās vienības darbu.

(124)

Veicot ex ante uzraudzību, kompetentajām iestādēm būtu jāspēj lemt par prioritāšu noteikšanu attiecībā uz to rīcībā esošo uzraudzības pasākumu un līdzekļu samērīgu izmantošanu. Tas nozīmē, ka kompetentās iestādes var lemt par šādu prioritāšu noteikšanu, pamatojoties uz uzraudzības metodiku, kurā būtu jāievēro uz risku balstīta pieeja. Konkrētāk, šāda metodika varētu ietvert kritērijus vai etalonus būtisko vienību klasificēšanai riska kategorijās un attiecīgus uzraudzības pasākumus un līdzekļus, kas ieteicami katrai riska kategorijai, piemēram, inspekciju uz vietas, mērķorientētu drošības revīziju vai drošības skenēšanas izmantošanu, biežumu vai veidu, pieprasāmās informācijas veidu un minētās informācijas detalizācijas pakāpi. Šādu uzraudzības metodiku varētu papildināt arī ar darba programmām un regulāri novērtēt un pārskatīt, arī attiecībā uz tādiem aspektiem kā resursu piešķiršana un vajadzības. Attiecībā uz valsts pārvaldes vienībām uzraudzības pilnvaras būtu jāīsteno atbilstoši valsts regulējumam un institucionālajai kārtībai.

(125)

Kompetentajām iestādēm būtu jānodrošina, ka to uzraudzības uzdevumus attiecībā uz būtiskajām un svarīgajām vienībām veic apmācīti speciālisti, kuriem vajadzētu būt minēto uzdevumu veikšanai vajadzīgajām prasmēm, jo īpaši attiecībā uz inspekcijām uz vietas un uzraudzību neklātienē, arī attiecībā uz vājo vietu noteikšanu datubāzēs, aparatūrā, ugunsmūros, šifrēšanā un tīklos. Minētās inspekcijas un uzraudzība būtu jāveic objektīvi.

(126)

Pienācīgi pamatotos gadījumos, kad kompetentajai iestādei ir zināms par būtiskiem kiberdraudiem vai nenovēršamu risku, tai būtu jāspēj pieņemt tūlītējus izpildes panākšanas lēmumus, lai novērstu incidentu vai reaģētu uz to.

(127)

Lai izpildes panākšana būtu rezultatīva, būtu jānosaka minimāls to izpildes panākšanas pilnvaru saraksts, kuras var īstenot par šajā direktīvā paredzēto kiberdrošības risku pārvaldības pasākumu un ziņošanas pienākumu pārkāpumiem, izveidojot Savienībā skaidru un konsekventu satvaru šādai izpildes panākšanai. Būtu pienācīgi jāņem vērā šīs direktīvas pārkāpuma veids, smagums un ilgums, izraisītais materiālais vai nemateriālais kaitējums, tas, vai pārkāpums izdarīts tīši vai nolaidības dēļ, darbības, kas veiktas, lai novērstu vai mazinātu radīto materiālo vai nemateriālo kaitējumu, atbildības pakāpe vai jebkādi attiecīgi iepriekšēji pārkāpumi, sadarbības ar kompetento iestādi pakāpe un jebkādi citi vainu pastiprinoši vai mīkstinoši apstākļi. Izpildes panākšanas pasākumiem, arī administratīvajiem naudas sodiem, vajadzētu būt samērīgiem, un to piemērošanā būtu jāievēro attiecīgās procesuālās garantijas saskaņā ar vispārīgajiem Savienības tiesību principiem un Eiropas Savienības Pamattiesību hartu (“Harta”), tai skaitā tiesībām uz efektīvu tiesību aizsardzību tiesā, nevainīguma prezumpciju un tiesībām uz aizstāvību.

(128)

Šī direktīva neprasa dalībvalstīm paredzēt kriminālatbildību vai civiltiesisko atbildību fiziskām personām, kuru pienākums ir nodrošināt vienības atbilstību šai direktīvai, par kaitējumu, ko šīs direktīvas pārkāpuma dēļ cietušas trešās puses.

(129)

Lai nodrošinātu šajā direktīvā noteikto pienākumu rezultatīvas izpildes panākšanu, katrai kompetentajai iestādei vajadzētu būt pilnvarām uzlikt administratīvus naudas sodus vai pieprasīt to uzlikšanu.

(130)

Ja administratīvs naudas sods tiek uzlikts būtiskai vai svarīgai vienībai, kas ir uzņēmums, minētajā nolūkā uzņēmums būtu jāsaprot kā uzņēmums saskaņā ar LESD 101. un 102. pantu. Ja administratīvs naudas sods tiek uzlikts personai, kas nav uzņēmums, kompetentajai iestādei, apsverot pienācīgo naudas soda lielumu, būtu jāņem vērā vispārējais ienākumu līmenis dalībvalstī, kā arī attiecīgās personas ekonomiskā situācija. Tas, vai un kādā apmērā administratīvi naudas sodi būtu piemērojami publiskām iestādēm, būtu jānosaka dalībvalstīm. Administratīva naudas soda uzlikšana neskar citu kompetento iestāžu pilnvaru piemērošanu vai citu tādu sodu piemērošanu, kas noteikti valsts tiesību normās, ar kurām transponēta šī direktīva.

(131)

Dalībvalstīm būtu jāspēj pieņemt noteikumus par kriminālsodiem, ko piemēro, ja tiek pārkāptas valsts tiesību normas, ar kurām transponēta šī direktīva. Tomēr kriminālsodu piemērošanai par šādu valsts tiesību normu pārkāpumiem un saistītu administratīvu sodu piemērošanai nebūtu jāizraisa ne bis in idem principa pārkāpšana, kā to interpretējusi Eiropas Savienības Tiesa.

(132)

Situācijām, attiecībā uz kurām šī direktīva administratīvos sodus nesaskaņo vai ja nepieciešams citos gadījumos, piemēram, šīs direktīvas smaga pārkāpuma gadījumā, dalībvalstīm būtu jāievieš sistēma, kas paredz iedarbīgus, samērīgus un atturošus sodus. Šādu sodu raksturs un tas, vai tie ir krimināli vai administratīvi, būtu jānosaka ar valsts tiesību aktiem.

(133)

Lai vēl vairāk nostiprinātu par šīs direktīvas pārkāpumiem piemērojamo izpildes panākšanas pasākumu iedarbīgumu un atturošo ietekmi, kompetentajām iestādēm vajadzētu būt pilnvarotām piemērot vai lūgt piemērot sertifikācijas vai atļaujas darbības pagaidu apturēšanu attiecībā uz visiem vai daļu no attiecīgajiem būtiskas vienības sniegtajiem pakalpojumiem vai veiktajām darbībām un pieprasīt noteikt pagaidu aizliegumu jebkādai fiziskai personai pildīt vadības funkcijas izpilddirektora vai juridiskā pārstāvja līmenī. Ņemot vērā šādas pagaidu apturēšanas vai aizlieguma smagumu un ietekmi uz vienību darbībām un galu galā uz lietotājiem, tā būtu jāpiemēro tikai samērīgi ar pārkāpuma smagumu un ņemot vērā katra gadījuma īpašos apstākļus, arī to, vai pārkāpums izdarīts tīši vai nolaidības dēļ, un visas veiktās materiālā vai nemateriālā kaitējuma novēršanas vai mazināšanas darbības. Šāda pagaidu apturēšana vai aizliegums būtu jāpiemēro tikai kā galējs līdzeklis, proti, tikai pēc tam, kad visas citas attiecīgās izpildes panākšanas darbības, kas noteiktas šajā direktīvā, jau ir izsmeltas, un tikai līdz brīdim, kad attiecīgā vienība veic nepieciešamās darbības, lai novērstu trūkumus vai izpildītu kompetentās iestādes prasības, kā sakarā šāda pagaidu apturēšana vai aizliegums piemērots. Šādas pagaidu apturēšanas vai aizlieguma piemērošanā būtu jāievēro attiecīgās procesuālās garantijas saskaņā ar vispārīgajiem Savienības tiesību principiem un Hartu, tai skaitā tiesībām uz efektīvu tiesību aizsardzību un taisnīgu tiesu, nevainīguma prezumpciju un tiesībām uz aizstāvību.

(134)

Lai nodrošinātu, ka vienības pilda savus šajā direktīvā noteiktos pienākumus saskaņā ar dalībvalstīm būtu savstarpēji jāsadarbojas un jāpalīdz attiecībā uz uzraudzības un izpildes panākšanas pasākumiem, jo īpaši, ja vienība sniedz pakalpojumus vairāk nekā vienā dalībvalstī vai ja tās tīklu un informācijas sistēmas atrodas dalībvalstī, kas nav tā dalībvalsts, kurā tā sniedz pakalpojumus. Sniedzot palīdzību, pieprasījuma saņēmējai kompetentajai iestādei būtu jāveic uzraudzības vai izpildes panākšanas pasākumi saskaņā ar valsts tiesību aktiem. Lai nodrošinātu šajā direktīvā paredzētās savstarpējās palīdzības raitu darbību, kompetentajām iestādēm sadarbības grupa būtu jāizmanto kā forums, kur apspriest lietas un konkrētus palīdzības pieprasījumus.

(135)

Lai nodrošinātu rezultatīvu uzraudzību un izpildes panākšanu, jo īpaši situācijā ar pārrobežu dimensiju, dalībvalstij, kas ir saņēmusi savstarpējas palīdzības lūgumu, minētā lūguma robežās būtu jāveic piemēroti uzraudzības un izpildes panākšanas pasākumi attiecībā uz vienību, uz kuru attiecas minētais lūgums un kas minētās dalībvalsts teritorijā sniedz pakalpojumus vai kam tajā ir tīklu un informācijas sistēma.

(136)

Šai direktīvai būtu jānosaka noteikumi par sadarbību starp kompetentajām iestādēm un uzraudzības iestādēm saskaņā ar Regulu (ES) 2016/679, lai vērstos pret šīs direktīvas pārkāpumiem, kas saistīti ar persondatiem.

(137)

Šai direktīvai būtu jātiecas nodrošināt augstu atbildības līmeni attiecībā uz kiberdrošības riska pārvaldības pasākumiem un ziņošanas pienākumiem būtisko un svarīgo vienību līmenī. Tāpēc būtisko un svarīgo vienību pārvaldības struktūrām būtu jāapstiprina kiberdrošības risku pārvaldības pasākumi un jāuzrauga to īstenošana.

(138)

Lai uz šīs direktīvas pamata Savienībā nodrošinātu vienādi augstu kiberdrošības līmeni, būtu jādeleģē Komisijai pilnvaras pieņemt aktus saskaņā ar LESD 290. pantu attiecībā uz šīs direktīvas papildināšanu, precizējot, kuru kategoriju būtiskajām un svarīgajām vienībām ir jāizmanto konkrēti sertificēti IKT produkti, IKT pakalpojumi un IKT procesi vai jāsaņem sertifikāts Eiropas kiberdrošības sertifikācijas shēmā. Ir īpaši būtiski, lai Komisija, veicot sagatavošanas darbus, rīkotu atbilstīgas apspriešanās, tostarp ekspertu līmenī, un lai minētās apspriešanās tiktu rīkotas saskaņā ar principiem, kas noteikti 2016. gada 13. aprīļa Iestāžu nolīgumā par labāku likumdošanas procesu (22). Jo īpaši, lai deleģēto aktu sagatavošanā nodrošinātu vienādu dalību, Eiropas Parlaments un Padome visus dokumentus saņem vienlaicīgi ar dalībvalstu ekspertiem, un minēto iestāžu ekspertiem ir sistemātiska piekļuve Komisijas ekspertu grupu sanāksmēm, kurās notiek deleģēto aktu sagatavošana.

(139)

Lai nodrošinātu vienādus nosacījumus šīs direktīvas īstenošanai, būtu jāpiešķir īstenošanas pilnvaras Komisijai noteikt procesuālo kārtību, kas nepieciešama sadarbības grupas darbībai, un tehniskās un metodiskās, kā arī nozaru prasības attiecībā uz kiberdrošības risku pārvaldības pasākumiem, un sīkāk precizēt informācijas veidu, incidentu, kiberdraudu un gandrīz notikušu incidentu paziņojumu un būtisku kiberdraudu paziņojumu formātu un procedūru, kā arī gadījumus, kad incidents uzskatāms par būtisku. Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (23).

(140)

Komisijai pēc apspriešanās ar ieinteresētajām personām būtu periodiski jāpārskata šī direktīva, jo īpaši lai noteiktu, vai ir lietderīgi ierosināt grozījumus, ņemot vērā izmaiņas sabiedriskajos, politiskajos, tehnoloģiskajos vai tirgus apstākļos. Īstenojot pārskatīšanu, Komisijai būtu arī jānovērtē attiecīgo vienību lieluma un šīs direktīvas pielikumos minēto nozaru, apakšnozaru un vienību veidu relevance ekonomikas un sabiedrības darbībai kiberdrošības aspektā. Komisijai cita starpā būtu jānovērtē, vai nodrošinātājus, uz kuriem attiecas šīs direktīvas darbības joma un kas izraudzīti kā ļoti lielas tiešsaistes platformas Eiropas Parlamenta un Padomes Regulas (ES) 2022/2065 (24) 33. panta nozīmē, varētu identificēt kā būtiskas vienības saskaņā ar šo direktīvu.

(141)

Ar šo direktīvu ENISA tiek noteikti jauni uzdevumi, tādējādi palielinot tās lomu, un tā rezultātā ENISA varētu arī nākties savus Regulā (ES) 2019/881 paredzētos pašreizējos uzdevumus veikt augstākā līmenī nekā iepriekš. Lai nodrošinātu, ka ENISA rīcībā ir nepieciešamie finanšu resursi un cilvēkresursi, kas vajadzīgi pastāvošo un jauno uzdevumu veikšanai, kā arī nolūkā minētos no tās lomas palielināšanas izrietošos uzdevumus pildīt augstākā līmenī, būtu attiecīgi jāpalielina tās budžets. Turklāt, lai nodrošinātu resursefektivitāti, ENISA būtu jāpiešķir lielāka elastība attiecībā uz to, kā tā var iekšēji sadalīt resursus, lai tā varētu rezultatīvi veikt savus uzdevumus un attaisnot cerības.

(142)

Ņemot vērā to, ka šīs direktīvas mērķi, proti, panākt vienādi augstu kiberdrošības līmeni Savienībā, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet rīcības ietekmes dēļ to var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā direktīvā paredz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai.

(143)

Šajā direktīvā ir respektētas pamattiesības un ievēroti principi, kas atzīti Hartā, jo īpaši tiesības uz privātās dzīves un saziņas neaizskaramību, tiesības uz persondatu aizsardzību, uzņēmējdarbības brīvība, tiesības uz īpašumu, tiesības uz efektīvu tiesību aizsardzību tiesā un taisnīgu tiesu, nevainīguma prezumpcija un aizstāvības tiesības. Tiesības uz efektīvu tiesību aizsardzību attiecas arī uz būtisko un svarīgo vienību sniegto pakalpojumu saņēmējiem. Šī direktīva būtu jāīsteno saskaņā ar minētajām tiesībām un principiem.

(144)

Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (25) 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2021. gada 11. martā sniedza atzinumu (26),