EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52023XC0914(01)
Communication from the Commission Commission Guidelines on the application of Article 3(4) of Directive (EU) 2022/2555 (NIS 2 Directive) 2023/C 324/02
Komunikat Komisji Wytyczne Komisji dotyczące stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2) 2023/C 324/02
Komunikat Komisji Wytyczne Komisji dotyczące stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2) 2023/C 324/02
C/2023/6070
OJ C 324, 14.9.2023, p. 2–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
14.9.2023 |
PL |
Dziennik Urzędowy Unii Europejskiej |
C 324/2 |
KOMUNIKAT KOMISJI
Wytyczne Komisji dotyczące stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2)
(2023/C 324/02)
1.
Zgodnie z art. 3 ust. 4 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2) (1) Komisja, z pomocą Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), bez zbędnej zwłoki podaje wytyczne i wzory dokumentów związane z obowiązkami ustanowionymi w tym przepisie. Art. 3 ust. 4 dyrektywy (UE) 2022/2555 odnosi się do art. 3 ust. 3 tej dyrektywy, zgodnie z którym do dnia 17 kwietnia 2025 r. państwa członkowskie ustanawiają wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. Państwa członkowskie muszą regularnie, i nie rzadziej niż co dwa lata po wyżej wymienionej dacie, dokonywać przeglądu i – w stosownych przypadkach – aktualizacji tego wykazu.
2.
W celu ustanowienia wykazu podmiotów kluczowych i ważnych państwa członkowskie powinny wymagać od podmiotów przedłożenia właściwym organom co najmniej następujących informacji: nazwy, adresu i aktualnych danych kontaktowych, w tym adresów poczty elektronicznej, zakresów adresów IP i numerów telefonów podmiotu oraz, w stosownych przypadkach, odpowiedniego sektora i podsektora, o których mowa w załącznikach, a także, w stosownych przypadkach, wykazu państw członkowskich, w których dany podmiot świadczy usługi objęte zakresem stosowania dyrektywy. W załączniku I do niniejszych wytycznych znajduje się wzór do celów gromadzenia tych informacji na potrzeby ustanowienia przedmiotowego wykazu.
3.
Jak przewidziano w art. 3 ust. 4 dyrektywy (UE) 2022/2555, aby ułatwić utworzenie i aktualizację wykazu podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen, państwa członkowskie powinny móc ustanowić mechanizmy krajowe umożliwiające podmiotom samodzielną rejestrację (2).
4.
Zgodnie z art. 3 ust. 5 dyrektywy (UE) 2022/2555 do dnia 17 kwietnia 2025 r., a następnie co dwa lata państwa członkowskie muszą powiadomić Komisję i Grupę Współpracy co najmniej o liczbie podmiotów kluczowych i ważnych wymienionych w wykazie zgodnie z art. 3 ust. 3 tej dyrektywy dla każdego sektora i podsektora, o których mowa w załączniku I i II do dyrektywy. Państwa członkowskie muszą również powiadomić Komisję o istotnych informacjach na temat liczby podmiotów kluczowych i ważnych wskazanych na podstawie art. 2 ust. 2 lit. b)–e) dyrektywy (UE) 2022/2555, sektora i podsektora, do których podmioty te należą, rodzaju świadczonej przez nie usługi oraz przepisu, na podstawie którego zostały one wskazane. Jak wyjaśniono w motywie 19 preambuły dyrektywy (UE) 2022/2555, zachęca się państwa członkowskie, aby wymieniały z Komisją informacje o podmiotach kluczowych i ważnych oraz – w przypadku incydentu w cyberbezpieczeństwie na dużą skalę – odpowiednie informacje takie jak nazwa danego podmiotu.
5.
Oprócz wykazu ustanowionego przez państwa członkowskie na podstawie art. 3 ust. 3 dyrektywy (UE) 2022/2555 zgodnie z art. 27 ust. 2 tej dyrektywy państwa członkowskie powinny również wymagać, aby do 17 stycznia 2025 r. określone podmioty, o których mowa w art. 27 ust. 1 dyrektywy, przedłożyły właściwym organom następujące informacje: nazwę podmiotu; odpowiedni sektor, podsektor i rodzaj podmiotu, o których mowa w załączniku I lub II do dyrektywy, w stosownych przypadkach; adres głównego miejsca prowadzenia działalności podmiotu oraz jego innych prawnych miejsc prowadzenia działalności w Unii lub – jeżeli nie ma on miejsca prowadzenia działalności w Unii – przedstawiciela wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy; aktualne dane kontaktowe, w tym adresy poczty elektronicznej i numery telefonów podmiotu oraz, w stosownych przypadkach, przedstawiciela wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy; państwa członkowskie, w których podmiot świadczy usługi; oraz zakresy IP podmiotu. Zgodnie z art. 27 ust. 3 dyrektywy (UE) 2022/2555 państwa członkowskie wymagają, aby podmioty, o których mowa w art. 27 ust. 1 dyrektywy, powiadamiały właściwy organ o zmianach w danych przedłożonych na podstawie art. 27 ust. 2 dyrektywy niezwłocznie, a w każdym razie w ciągu trzech miesięcy od dnia, w którym nastąpiła zmiana.
6.
Zgodnie z art. 27 ust. 5 dyrektywy (UE) 2022/2555 informacje, o których mowa w art. 27 ust. 2 i 3 tej dyrektywy, przedkłada się z wykorzystaniem mechanizmu krajowego, o którym mowa w art. 3 ust. 4 dyrektywy, w stosownych przypadkach. W związku z tym, aby osiągnąć większą wydajność administracyjną, wzór załączony jako załącznik do niniejszych wytycznych zawiera ponadto wnioski o przedłożenie informacji wymaganych do celów zarówno art. 3 ust. 3, jak i art. 27 ust. 2 dyrektywy (UE) 2022/2555. Wspomniany wzór opracowano przy wsparciu ENISA.
(1) Dz.U. L 333 z 27.12.2022, s. 80.
(2) Zob. również motyw 18 preambuły dyrektywy (UE) 2022/2555.
DODATEK
Wzór informacji wymaganych na potrzeby wykazu, o którym mowa w art. 3 ust. 3, i do celów art. 27 ust. 2 dyrektywy (UE) 2022/2555
1.
Sektor działalności określony w dyrektywie (UE) 2022/2555
Załącznik I – |
Sektory kluczowe
|
Załącznik II – |
Sektory ważne
|
2.
Nazwa podmiotu
3.
Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555 (dostawca usług DNS, rejestr nazw TLD, podmiot świadczący usługi rejestracji nazw domen, dostawca usług chmurowych, dostawca usług ośrodka przetwarzania danych, dostawca sieci dostarczania treści, dostawca usług zarządzanych, dostawca usług zarządzanych w zakresie bezpieczeństwa, a także dostawca internetowych platform handlowych, wyszukiwarek internetowych oraz platform usług sieci społecznościowych), czy główne miejsce prowadzenia działalności tego podmiotu w Unii znajduje się w tym państwie członkowskim, czy też w przypadku braku prawnego miejsca prowadzenia działalności w Unii podmiot ten posiada swojego przedstawiciela w tym państwie członkowskim?
4.
Adres miejsca prowadzenia działalności przez podmiot w tym państwie członkowskim. Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555, adres głównego miejsca prowadzenia działalności podmiotu, jeżeli znajduje się ono w tym państwie członkowskim, jak również adres jego innych prawnych miejsc prowadzenia działalności w UE. W przypadku braku miejsca prowadzenia działalności adres przedstawiciela w UE wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy (UE) 2022/2555, jeżeli przedstawiciel ten znajduje się w tym państwie członkowskim.
5.
Aktualne dane kontaktowe, w tym adresy e-mail i numery telefonów w tym państwie członkowskim.
6.
Zakresy IP podmiotu w tym państwie członkowskim.
7.
Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555, wykaz państw członkowskich, w których podmiot świadczy usługi objęte zakresem stosowania tej dyrektywy.