(1)

W epoce cyfrowej technologie informacyjno-komunikacyjne (ICT) stanowią wsparcie dla złożonych systemów wykorzystywanych w codziennych działaniach. ICT napędzają naszą gospodarkę w najważniejszych sektorach, w tym w sektorze finansowym, oraz wzmacniają funkcjonowanie rynku wewnętrznego. Większy zakres cyfryzacji i wzajemnych powiązań zwiększa również ryzyko związane z ICT, przez co całe społeczeństwo – i w szczególności system finansowy – staje się bardziej podatne na cyberzagrożenia lub zakłócenia w funkcjonowaniu ICT. Chociaż powszechne korzystanie z systemów ICT i wysoki stopień cyfryzacji oraz łączności to obecnie podstawowe cechy działań podmiotów finansowych w Unii, ich odporność cyfrowa nie jest jeszcze odpowiednio uwzględniona w ich szerszych ramach operacyjnych ani włączona do tych ram.

(2)

W minionych dziesięcioleciach korzystanie z ICT zaczęło odgrywać zasadniczą rolę, jeżeli chodzi o świadczenie usług finansowych, do tego stopnia, że obecnie ICT mają krytyczne znaczenie dla wykonywania typowych codziennych funkcji wszystkich podmiotów finansowych. Cyfryzacja obejmuje teraz na przykład płatności, w przypadku których w coraz większym stopniu przechodzi się od metod gotówkowych i papierowych do stosowania rozwiązań cyfrowych, a także rozliczanie i rozrachunek papierów wartościowych, handel elektroniczny i algorytmiczny, operacje udzielania pożyczek i finansowania, finansowanie peer-to-peer, rating kredytowy, obsługę roszczeń i działalność back–office. Sektor ubezpieczeń również uległ przeobrażeniom w związku z korzystaniem z ICT, czego przykładem jest pojawienie się pośredników ubezpieczeniowych oferujących swoje usługi przez internet i prowadzących działalność przy użyciu technologii ubezpieczeniowej (InsurTech) oraz zawieranie ubezpieczeń w formie cyfrowej. Finanse nie tylko stały się w dużej mierze cyfrowe w całym sektorze, ale cyfryzacja wzmocniła również wzajemne połączenia i zależności w ramach sektora finansowego oraz z infrastrukturą zewnętrzną i zewnętrznymi dostawcami usług.

(3)

W sprawozdaniu z 2020 r. dotyczącym systemowego ryzyka w cyberprzestrzeni Europejska Rada ds. Ryzyka Systemowego (ERRS) potwierdziła, że istniejący wysoki poziom wzajemnych powiązań między podmiotami finansowymi, rynkami finansowymi i infrastrukturami rynku finansowego, a w szczególności współzależności między ich systemami ICT mogą stanowić podatność o charakterze systemowym, ponieważ lokalne cyberincydenty mogłyby szybko rozprzestrzenić się z każdego z około 22 000 unijnych podmiotów finansowych na cały system finansowy, bez żadnych przeszkód związanych z granicami geograficznymi. Poważne naruszenia związane z ICT występujące w sektorze finansowym nie dotyczą wyłącznie samych podmiotów finansowych. Naruszenia te zwiększają również ryzyko rozpowszechnienia lokalnych podatności we wszystkich kanałach oddziaływania finansowego oraz potencjalnie wywołują negatywne konsekwencje dla stabilności unijnego systemu finansowego, takie jak utrata płynności i ogólna utrata pewności i zaufania w odniesieniu do rynków finansowych.

(4)

W ostatnich latach ryzyko związane z ICT przyciągnęło uwagę międzynarodowych, unijnych i krajowych decydentów, organów regulacyjnych i podmiotów normalizacyjnych, które starają się zwiększyć odporność cyfrową, określić standardy i koordynować prace regulacyjne lub nadzorcze w tym zakresie. Na szczeblu międzynarodowym Bazylejski Komitet Nadzoru Bankowego, Komitet ds. Systemów Płatności i Rozrachunku, Rada Stabilności Finansowej, Instytut Stabilności Finansowej, a także grupa G-7 i grupa G-20 dążą do zapewnienia właściwym organom i podmiotom gospodarczym z różnych jurysdykcji narzędzi mających na celu wzmocnienie odporności ich systemów finansowych. Prace te wynikały również z potrzeby należytego uwzględnienia ryzyka związanego z ICT w kontekście ściśle połączonego wzajemnie, globalnego systemu finansowego i dążenia do zapewnienia większej spójności odpowiednich najlepszych praktyk.

(5)

Pomimo unijnych i krajowych ukierunkowanych polityk i inicjatyw ustawodawczych ryzyko związane z ICT nadal stanowi wyzwanie dla odporności operacyjnej, wydajności i stabilności unijnego systemu finansowego. Reformy, które przeprowadzono po kryzysie finansowym z 2008 r., doprowadziły przede wszystkim do wzmocnienia odporności finansowej unijnego sektora finansowego, a także miały na celu zabezpieczenie konkurencyjności i stabilności Unii z punktu widzenia gospodarki, standardów ostrożnościowych i zasad postępowania na rynku. Chociaż bezpieczeństwo ICT i odporność cyfrowa są częścią ryzyka operacyjnego, elementy te były w mniejszym stopniu przedmiotem agendy regulacyjnej po kryzysie finansowym i rozwijały się tylko w niektórych obszarach unijnej polityki dotyczącej usług finansowych oraz otoczenia regulacyjnego lub jedynie w niektórych państwach członkowskich.

(6)

W swoim komunikacie z dnia 8 marca 2018 r. zatytułowanym „Plan działania w zakresie technologii finansowej: w kierunku bardziej konkurencyjnego i innowacyjnego europejskiego sektora finansowego” Komisja podkreśliła podstawowe znaczenie zwiększenia odporności unijnego sektora finansowego, w tym z operacyjnego punktu widzenia, dla zapewnienia jego bezpieczeństwa technologicznego oraz sprawnego funkcjonowania, szybkiego przywracania sprawności po naruszeniach i incydentach związanych z ICT, umożliwiając ostatecznie skuteczne i sprawne świadczenie usług finansowych w całej Unii, w tym w sytuacjach skrajnych, przy jednoczesnej ochronie konsumenta oraz utrzymaniu zaufania i pewności w odniesieniu do rynku.

(7)

W kwietniu 2019 r. Europejski Urząd Nadzoru (Europejski Urząd Nadzoru Bankowego), (EUNB), ustanowiony rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1093/2010 (4), Europejski Urząd Nadzoru (Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych), (EIOPA), ustanowiony rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1094/2010 (5), oraz Europejski Urząd Nadzoru (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych), (ESMA) ustanowiony rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1095/2010 (6), (wspólnie znane jako „Europejskie Urzędy Nadzoru” lub „EUN”) opublikowały wspólnie zalecenia techniczne, w których wezwały do przyjęcia spójnego podejścia do ryzyka związanego z ICT w sektorze finansów, oraz zaleciły wzmocnienie, w sposób proporcjonalny, operacyjnej odporności cyfrowej sektora usług finansowych za pomocą unijnej inicjatywy sektorowej.

(8)

Unijny sektor finansowy jest regulowany za pomocą jednolitego zbioru przepisów i podlega Europejskiemu Systemowi Nadzoru Finansowego. Przepisy dotyczące operacyjnej odporności cyfrowej i bezpieczeństwa ICT nie zostały jednak jeszcze w pełni lub spójnie zharmonizowane, mimo że operacyjna odporność cyfrowa ma zasadnicze znaczenie dla zapewnienia stabilności finansowej i integralności rynku w epoce cyfrowej i nie jest mniej ważna niż na przykład wspólne standardy ostrożnościowe lub zasady postępowania na rynku. Należy zatem rozbudować jednolity zbiór przepisów i system nadzoru, tak aby uwzględniały również operacyjną odporność cyfrową, poprzez wzmocnienie mandatów właściwych organów w celu umożliwienia im sprawowania nadzoru w zakresie zarządzania ryzykiem ICT w sektorze finansowym w celu ochrony integralności i efektywności rynku wewnętrznego oraz ułatwieniu jego należytego funkcjonowania.

(9)

Rozbieżności legislacyjne i niejednolite krajowe podejścia regulacyjne lub nadzorcze do ryzyka związanego z ICT powodują powstanie przeszkód dla funkcjonowania rynku wewnętrznego usług finansowych, utrudniając sprawne korzystanie ze swobody przedsiębiorczości i swobody świadczenia usług podmiotom finansowym prowadzącym działalność transgraniczną. Może zostać również zakłócona konkurencja między tego samego rodzaju podmiotami finansowymi działającymi w różnych państwach członkowskich. Dzieje się tak w przypadku obszarów, w których unijna harmonizacja jest bardzo ograniczona – takich jak testowanie operacyjnej odporności cyfrowej – lub nie istnieje – takich jak monitorowanie ryzyka ze strony zewnętrznych dostawców usług ICT. Rozbieżności wynikające ze zmian planowanych na szczeblu krajowym mogłyby spowodować dalsze przeszkody dla funkcjonowania rynku wewnętrznego ze szkodą dla uczestników rynku i dla stabilności finansowej.

(10)

Dotychczasowe częściowe tylko uwzględnienie przepisów dotyczących ryzyka związanego z ICT na szczeblu Unii powoduje braki lub nakładanie się przepisów w istotnych obszarach, takich jak zgłaszanie incydentów związanych z ICT i testowanie operacyjnej odporności cyfrowej, oraz niespójności wynikające z wprowadzanych rozbieżnych przepisów krajowych lub nieefektywnego kosztowo stosowania nakładających się przepisów. Ma to szczególnie szkodliwy wpływ na użytkowników intensywnie wykorzystujących ICT, takich jak w sektorze finansowym, ponieważ ryzyko związane z technologią nie zna granic państwowych, a sektor finansowy wprowadza swoje usługi na szeroką, transgraniczną skalę w Unii i poza nią. Indywidualne podmioty finansowe prowadzące działalność transgraniczną lub posiadające kilka zezwoleń (np. jeden podmiot finansowy może posiadać zezwolenia na prowadzenie działalności bankowej, jako firma inwestycyjna i jako instytucja płatnicza, przy czym każde z nich może być wydane przez różne właściwe organy w jednym lub w kliku państwach członkowskich) stają przed wyzwaniami operacyjnymi przy samodzielnym zwalczaniu ryzyka związanego z ICT oraz łagodzeniu negatywnego wpływu incydentów związanych z ICT w spójny, opłacalny sposób.

(11)

Biorąc pod uwagę, że do jednolitego zbioru przepisów nie dołączono kompleksowych ram dotyczących ICT lub ryzyka operacyjnego, konieczna jest dalsza harmonizacja najważniejszych wymogów w zakresie operacyjnej odporności cyfrowej dla wszystkich podmiotów finansowych. Zdolności w zakresie ICT i ogólna odporność, rozwijane przez podmioty finansowe – na podstawie tych najważniejszych wymogów – w celu przetrwania przestojów operacyjnych, przyczyniłyby się do ochrony stabilności i integralności unijnych rynków finansowych, a tym samym do zapewnienia wysokiego poziomu ochrony inwestorów i konsumentów w Unii. Biorąc pod uwagę, że niniejsze rozporządzenie ma na celu przyczynienie się do sprawnego funkcjonowania rynku wewnętrznego, powinno ono opierać się na przepisach art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) zgodnie z jego wykładnią przyjętą w świetle utrwalonego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (zwanego dalej „Trybunałem Sprawiedliwości”).

(12)

Niniejsze rozporządzenie ma na celu konsolidację i aktualizację wymogów dotyczących ryzyka związanego z ICT jako części wymogów dotyczących ryzyka operacyjnego zawartych dotychczas osobno w różnych unijnych aktach prawnych. Chociaż te akty prawne obejmowały główne kategorie ryzyka finansowego (np. ryzyko kredytowe, ryzyko rynkowe, ryzyko kredytowe kontrahenta i ryzyko płynności, ryzyko związane z postępowaniem na rynku), nie uwzględniono w nich – w momencie ich przyjęcia – w sposób kompleksowy wszystkich elementów odporności operacyjnej. Przepisy dotyczące ryzyka operacyjnego, jeżeli zostały szerzej rozwinięte w tych unijnych aktach prawnych, często sprzyjały tradycyjnemu ilościowemu podejściu do zwalczania ryzyka (polegającemu na określeniu wymogu kapitałowego na potrzeby pokrycia ryzyka związanego z ICT), a nie ukierunkowanym przepisom jakościowym dotyczącym zdolności w zakresie ochrony, wykrywania, powstrzymywania, przywracania sprawności i odbudowy w odniesieniu do incydentów związanych z ICT lub zdolności w zakresie sprawozdawczości i testowania cyfrowego. Te akty prawne miały przede wszystkim obejmować i aktualizować podstawowe przepisy dotyczące nadzoru ostrożnościowego, integralności rynku lub postępowania na rynku. Poprzez konsolidację i aktualizację różnych przepisów dotyczących ryzyka związanego z ICT, wszystkie przepisy dotyczące ryzyka cyfrowego w sektorze finansowym powinny zostać po raz pierwszy zebrane w spójny sposób w jednym akcie ustawodawczym. Niniejsze rozporządzenie wypełnia braki lub eliminuje niespójności w niektórych z poprzednich aktów prawnych, w tym związane ze stosowaną w nich terminologią, oraz wyraźnie odnosi się do ryzyka związanego z ICT za pośrednictwem ukierunkowanych przepisów w sprawie zdolności w zakresie zarządzania ryzykiem związanym z ICT, zgłaszania incydentów, testowania odporności operacyjnej oraz monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT. Zatem niniejsze rozporządzenie powinno również zwiększyć świadomość na temat ryzyka związanego z ICT i potwierdzić, że incydenty związane z ICT i brak odporności operacyjnej mogą zagrozić dobrej kondycji finansowej podmiotów finansowych.

(13)

Podmioty finansowe powinny przyjąć to samo podejście i stosować się do tych samych, opartych na zasadach przepisów podczas zwalczania ryzyka związanego z ICT, uwzględniając przy tym swoją wielkość i ogólny profil ryzyka oraz charakter, skalę i stopień złożoności realizowanych usług, działań i operacji. Spójność przyczynia się do wzmocnienia zaufania do systemu finansowego oraz ochrony jego stabilności, zwłaszcza w czasach dużej zależności od systemów, platform i infrastruktur ICT, co powoduje większe ryzyko cyfrowe. Przestrzeganie zasad podstawowej higieny cyberbezpieczeństwa powinno również pozwolić uniknąć obciążania gospodarki znacznymi kosztami dzięki zminimalizowaniu wpływu i kosztów zakłóceń funkcjonowania ICT.

(14)

Rozporządzenie pomaga ograniczyć stopień złożoności regulacyjnej, wspiera spójność w zakresie nadzoru, zwiększa pewność prawa, a także przyczynia się do ograniczenia kosztów przestrzegania przepisów, zwłaszcza dla podmiotów finansowych prowadzących działalność transgraniczną, i do zmniejszenia zakłóceń konkurencji. W związku z tym wybór rozporządzenia na potrzeby ustanowienia wspólnych ram operacyjnej odporności cyfrowej podmiotów finansowych wydaje się najbardziej odpowiednim sposobem zagwarantowania jednolitego i spójnego stosowania wszystkich elementów zarządzania ryzykiem związanym z ICT przez unijny sektor finansowy.

(15)

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 (7) stanowiła pierwsze horyzontalne ramy w zakresie cyberbezpieczeństwa obowiązujące na szczeblu Unii, mające też zastosowanie do trzech rodzajów podmiotów finansowych, a mianowicie instytucji kredytowych, systemów obrotu i kontrahentów centralnych. Jednak biorąc pod uwagę, że w dyrektywie (UE) 2016/1148 określono mechanizm identyfikacji na szczeblu krajowym operatorów usług kluczowych, jedynie niektóre instytucje kredytowe i systemy obrotu oraz niektórzy kontrahenci centralni zidentyfikowani przez państwa członkowskie są w praktyce objęci jej zakresem stosowania, a zatem mają obowiązek spełniać określone w niej wymogi w zakresie bezpieczeństwa ICT i zgłaszania incydentów. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (8) ustanawia jednolite kryterium określania podmiotów objętych jej zakresem stosowania (zasada limitu wielkości), przy czym obejmuje nim też wspomniane trzy rodzaje podmiotów finansowych.

(16)

Niemniej jednak biorąc pod uwagę, że niniejsze rozporządzenie zwiększa poziom harmonizacji różnych elementów odporności cyfrowej poprzez wprowadzenie wymogów w zakresie zarządzania ryzykiem związanym z ICT i zgłaszania incydentów związanych z ICT, które to wymogi są bardziej rygorystyczne w porównaniu z wymogami określonymi w obecnych unijnych przepisach dotyczących usług finansowych, ten wyższy poziom zapewnia zwiększoną harmonizację również w porównaniu z wymogami określonymi w dyrektywie (UE) 2022/2555. W związku z tym niniejsze rozporządzenie stanowi lex specialis względem dyrektywy (UE) 2022/2555. Jednocześnie, utrzymanie silnego związku między sektorem finansowym a unijnymi horyzontalnymi ramami w zakresie cyberbezpieczeństwa, określonymi obecnie w dyrektywie (UE) 2022/2555, ma zasadnicze znaczenie dla zapewnienia spójności z przyjętymi przez państwa członkowskie strategiami w zakresie cyberbezpieczeństwa oraz umożliwienia organom nadzoru finansowego uzyskania informacji na temat cyberincydentów wpływających na inne sektory objęte tą dyrektywą.

(17)

Zgodnie z art. 4 ust. 2 Traktatu o Unii Europejskiej i bez uszczerbku dla kontroli sądowej sprawowanej przez Trybunał Sprawiedliwości niniejsze rozporządzenie nie powinno mieć wpływu na odpowiedzialność państw członkowskich w zakresie podstawowych funkcji państwa dotyczących bezpieczeństwa publicznego, obronności i ochrony bezpieczeństwa narodowego, np. jeżeli chodzi o przekazywanie informacji stojących w sprzeczności z ochroną bezpieczeństwa narodowego.

(18)

Aby umożliwić międzysektorowy proces uczenia się i skutecznie czerpać z doświadczeń innych sektorów podczas reagowania na cyberzagrożenia, podmioty finansowe, o których mowa w dyrektywie (UE) 2022/2555, powinny pozostać częścią „ekosystemu” tej dyrektywy (np. Grupa Współpracy i zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT)). EUN i właściwe organy krajowe powinny być w stanie uczestniczyć w dyskusjach na temat strategicznej polityki i technicznych pracach grupy współpracy na mocy tej dyrektywy oraz wymieniać informacje i dalej współpracować z pojedynczymi punktami kontaktowymi wyznaczonymi lub ustanowionymi zgodnie z tą dyrektywą. Właściwe organy zgodnie z niniejszym rozporządzeniem powinny również prowadzić konsultacje i współpracować z CSIRT. Właściwe organy powinny też mieć możliwość zwrócenia się o zalecenia techniczne do właściwych organów wyznaczonych lub ustanowionych zgodnie dyrektywą (UE) 2022/2555 i opracowania ustaleń dotyczących współpracy, służących zapewnieniu skutecznych i szybkich mechanizmów koordynacji działań.

(19)

Ze względu na silne powiązania między cyfrową i fizyczną odpornością podmiotów finansowych, w niniejszym rozporządzeniu i w dyrektywie Parlamentu Europejskiego i Rady (UE) 2022/2557 (9) należy zastosować spójne podejście do kwestii odporności podmiotów krytycznych. Z uwagi na to, że w przewidzianych w niniejszym rozporządzeniu obowiązkach w zakresie zarządzania ryzykiem związanym z ICT i w zakresie zgłaszania incydentów kompleksowo zajęto się kwestią fizycznej odporności podmiotów finansowych, obowiązki ustanowione w rozdziałach III i IV dyrektywy (UE) 2022/2557 nie powinny mieć zastosowania do podmiotów finansowych objętych zakresem stosowania tej dyrektywy.

(20)

Dostawcy usług chmurowych stanowią jedną z kategorii infrastruktury cyfrowej objętej dyrektywą (UE) 2022/2555. Unijne ramy nadzoru (zwane dalej „ramami nadzoru”) ustanowione niniejszym rozporządzeniem mają zastosowanie do wszystkich kluczowych zewnętrznych dostawców usług ICT, w tym dostawców usług chmurowych, jeżeli świadczą oni usługi ICT na rzecz podmiotów finansowych; należy zatem uznać, że stanowią one uzupełnienie nadzoru sprawowanego zgodnie z dyrektywą (UE) 2022/2555. Ponadto, wobec braku unijnych horyzontalnych ram ustanawiających organ nadzoru cyfrowego, ramy nadzoru ustanowione w niniejszym rozporządzeniu powinny obejmować dostawców usług chmurowych.

(21)

Aby zachować pełną kontrolę nad ryzykiem związanym z ICT, podmioty finansowe muszą posiadać kompleksowe umiejętności umożliwiające solidne i skuteczne zarządzanie ryzykiem związanym z ICT, wraz z konkretnymi mechanizmami oraz strategiami dotyczącymi obsługi wszystkich incydentów związanych z ICT oraz zgłaszania najpoważniejszych z nich. Podmioty finansowe powinny również dysponować strategiami na potrzeby testowania systemów, kontroli i procesów ICT, a także zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT. Należy podwyższyć podstawowy poziom operacyjnej odporności cyfrowej w odniesieniu do podmiotów finansowych, umożliwiając jednocześnie proporcjonalne stosowanie wymogów w odniesieniu do niektórych podmiotów finansowych, zwłaszcza mikroprzedsiębiorstw, a także podmiotów finansowych objętych uproszczonymi ramami zarządzania ryzykiem związanym z ICT. Aby ułatwić skuteczny nadzór nad instytucjami pracowniczych programów emerytalnych, który jest proporcjonalny i uwzględnia potrzebę zmniejszenia obciążeń administracyjnych dla właściwych organów, w odniesieniu do takich podmiotów finansowych w odpowiednich krajowych mechanizmach nadzoru należy uwzględnić wielkość tych podmiotów i ich ogólny profil ryzyka oraz charakter, skalę i stopień złożoności realizowanych usług, działań i operacji, nawet w przypadku gdy przekroczone zostały odpowiednie progi określone w art. 5 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/2341 (10). W szczególności działania nadzorcze powinny się koncentrować przede wszystkim na konieczności zwalczania poważnych zagrożeń w kontekście zarządzania ryzykiem związanym z ICT w odniesieniu do poszczególnych podmiotów.

Właściwe organy powinny również zachować ostrożne, lecz proporcjonalnego podejście w kwestii nadzoru nad instytucjami pracowniczych programów emerytalnych, które – zgodnie z art. 31 dyrektywy (UE) 2016/2341 – zlecają usługodawcom w drodze outsourcingu znaczną część swojej podstawowej działalności, m.in. zarządzanie aktywami, obliczenia aktuarialne, księgowość i zarządzanie danymi.

(22)

Progi i taksonomie dotyczące zgłaszania incydentów związanych z ICT różnią się znacznie na szczeblu krajowym. Chociaż płaszczyznę porozumienia można osiągnąć dzięki odpowiednim pracom podejmowanym przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) ustanowioną rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 (11) i grupę współpracy zgodnie z dyrektywą (UE) 2022/2555, rozbieżne podejścia do ustalania progów i stosowania taksonomii nadal istnieją lub mogą pojawić się w przypadku pozostałych podmiotów finansowych. Ze względu na te rozbieżności wprowadzono liczne wymogi, które podmioty finansowe muszą spełnić, zwłaszcza w sytuacji, gdy prowadzą działalność w kilku unijnych państwach członkowskich i gdy są częścią grupy finansowej. Ponadto takie rozbieżności mogą utrudniać tworzenie dalszych jednolitych lub scentralizowanych unijnych mechanizmów przyspieszających proces zgłaszania oraz wspierających szybką i sprawną wymianę informacji między właściwymi organami, co ma zasadnicze znaczenie dla zwalczania ryzyka związanego z ICT w przypadku ataków na wielką skalę, które mogą mieć konsekwencje systemowe.

(23)

Aby zmniejszyć obciążenie administracyjne i potencjalnie powielające się obowiązki w zakresie zgłaszania incydentów w odniesieniu do niektórych podmiotów finansowych, obowiązek zgłaszania incydentów zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366 (12) nie powinien mieć zastosowania do dostawców usług płatniczych, którzy są objęci zakresem stosowania niniejszego rozporządzenia. W związku z tym instytucje kredytowe, instytucje pieniądza elektronicznego, instytucje płatnicze i dostawcy świadczący usługę dostępu do informacji o rachunku, o których mowa w art. 33 ust. 1 tej dyrektywy, powinni zgłaszać od daty stosowania niniejszego rozporządzenia – zgodnie z niniejszym rozporządzeniem – wszelkie incydenty operacyjne lub incydenty w zakresie bezpieczeństwa związane z płatnościami, które wcześniej były zgłaszane zgodnie z tą dyrektywą, niezależnie od tego, czy są one związane z ICT.

(24)

Aby umożliwić właściwym organom wykonywanie zadań nadzorczych poprzez uzyskanie pełnego przeglądu charakteru, częstotliwości, znaczenia i skutków incydentów związanych z ICT oraz aby wzmocnić wymianę informacji między właściwymi organami publicznymi, w tym organami ścigania i organami ds. restrukturyzacji i uporządkowanej likwidacji, w niniejszym rozporządzeniu należy ustanowić solidny system zgłaszania incydentów związanych z ICT przewidujący odpowiednie wymogi, które wyeliminowałyby obecne luki w przepisach dotyczących usług finansowych, oraz usunąć istniejące pokrywające się i dublujące przepisy w celu obniżenia kosztów. Podstawowe znaczenie ma harmonizacja systemu zgłaszania incydentów związanych z ICT poprzez zobowiązanie wszystkich podmiotów finansowych do zgłaszania ich właściwym organom za pomocą jednolitych usprawnionych ram, zgodnie z niniejszym rozporządzeniem. Ponadto należy przyznać EUN uprawnienia do doprecyzowania istotnych elementów na potrzeby ram zgłaszania incydentów związanych z ICT, takich jak taksonomia, ramy czasowe, zbiory danych, wzory i mające zastosowanie progi. Aby zapewnić pełną zgodność z dyrektywą (UE) 2022/2555, podmioty finansowe powinny mieć możliwość dobrowolnego zgłaszania znaczących cyberzagrożeń odpowiedniemu właściwemu organowi, jeżeli uznają dane cyberzagrożenie za istotne dla systemu finansowego, użytkowników usług lub klientów.

(25)

Wymogi w zakresie testowania operacyjnej odporności cyfrowej zostały opracowane w niektórych podsektorach finansowych i określają ramy, które nie zawsze są w pełni dostosowane. Prowadzi to do potencjalnego dublowania kosztów transgranicznych podmiotów finansowych i komplikuje wzajemne uznawanie wyników testowania operacyjnej odporności cyfrowej, co z kolei może spowodować fragmentację rynku wewnętrznego.

(26)

Dodatkowo, w przypadku braku wymogu testowania w zakresie ICT, podatności pozostają niewykryte i powodują narażenie podmiotów finansowych na ryzyko związane z ICT, a ostatecznie stwarzają większe ryzyko dla stabilności i integralności sektora finansowego. Bez interwencji Unii testowanie operacyjnej odporności cyfrowej pozostałoby niejednolite i nie istniałby system wzajemnego uznawania wyników testowania w zakresie ICT między różnymi jurysdykcjami. Ponadto, biorąc pod uwagę, że prawdopodobieństwo przyjęcia przez inne podsektory finansowe systemów testowania na szeroką skalę jest niewielkie, ominęłyby je potencjalne korzyści wynikające z ram testowania, takie jak ujawnianie podatności i zagrożeń w zakresie ICT oraz testowanie zdolności obronnych i ciągłości działania, co przyczynia się do zwiększenia zaufania konsumentów, dostawców i partnerów biznesowych. Aby zlikwidować te pokrywające się przepisy oraz rozbieżności i luki w przepisach, należy wprowadzić przepisy dotyczące skoordynowanego systemu testowania, ułatwiając tym samym wzajemne uznawanie zaawansowanego testowania w odniesieniu do podmiotów finansowych, które spełniają kryteria określone w niniejszym rozporządzeniu.

(27)

Zależność podmiotów finansowych od korzystania z usług ICT wynika częściowo z ich potrzeby dostosowania się do powstającej konkurencyjnej globalnej gospodarki cyfrowej, zwiększenia skuteczności ich działalności oraz zaspokojenia potrzeb konsumentów. Charakter i zakres takiej zależności stale zmieniał się w ostatnich latach, co przyczyniło się do obniżenia kosztów pośrednictwa finansowego, umożliwienia rozszerzania działalności i skalowalności w ramach prowadzenia działalności finansowej, przy jednoczesnym zapewnieniu szerokiego zakresu narzędzi ICT służących zarządzaniu złożonymi procesami wewnętrznymi.

(28)

O takim intensywnym korzystaniu z usług ICT świadczą złożone ustalenia umowne, przy czym podmioty finansowe często napotykają trudności podczas negocjacji warunków umownych, które byłyby dostosowane do standardów ostrożnościowych lub innych wymogów regulacyjnych, którym podlegają, lub podczas innego rodzaju egzekwowania konkretnych praw, takich jak prawa dostępu lub prawa do audytu, nawet jeżeli te ostatnie są zapisane w umowach. Ponadto w wielu tych ustaleniach umownych nie przewidziano wystarczających gwarancji umożliwiających pełnoprawne monitorowanie procesów podwykonawstwa, pozbawiając tym samym podmioty finansowe możliwości oceny powiązanych zagrożeń. Ponadto biorąc pod uwagę, że zewnętrzni dostawcy usług ICT często świadczą wystandaryzowane usługi na rzecz różnego rodzaju klientów, takie ustalenia umowne nie zawsze odpowiednio uwzględniają indywidualne lub szczególne potrzeby podmiotów sektora finansowego.

(29)

Chociaż unijne przepisy dotyczące usług finansowych zawierają kilka ogólnych przepisów dotyczących outsourcingu, monitorowanie wymiaru umownego nie jest w pełni zakorzenione w unijnym prawodawstwie. Z uwagi na brak wyraźnych i dostosowanych do potrzeb standardów unijnych, które miałyby zastosowanie do ustaleń umownych zawieranych z zewnętrznymi dostawcami usług ICT, nie można kompleksowo uwzględnić zewnętrznego źródła ryzyka związanego z ICT. W związku z tym konieczne jest określenie pewnych najważniejszych zasad mających wyznaczać kierunek zarządzania przez podmioty finansowe ryzykiem ze strony zewnętrznych dostawców usług ICT, które to zasady mają szczególne znaczenie w przypadku, gdy podmioty finansowe korzystają z zewnętrznych dostawców usług ICT w celu wspierania ich krytycznych lub istotnych funkcji. Zasadom tym powinien towarzyszyć zestaw podstawowych praw umownych związanych z kilkoma elementami związanymi z wykonywaniem i wypowiadaniem ustaleń umownych w celu zapisania pewnych minimalnych zabezpieczeń w celu wzmocnienia zdolności podmiotów finansowych do skutecznego monitorowania wszystkich zagrożeń w zakresie ICT powstających na poziomie zewnętrznych dostawców usług. Zasady te stanowią uzupełnienie przepisów sektorowych mających zastosowanie do outsourcingu.

(30)

Obecnie oczywiste jest, że nie ma wystarczającej jednorodności i spójności w monitorowaniu ryzyka ze strony zewnętrznych dostawców usług ICT oraz zależności od zewnętrznych dostawców usług ICT. Pomimo działań odnoszących się do outsourcingu, m.in. w postaci wytycznych EUNB w sprawie outsourcingu z 2019 r. oraz zaleceń ESMA w sprawie outsourcingu zlecanego dostawcom usług chmurowych z 2021 r., w unijnych przepisach niewystarczającą uwagę poświęca się szerszemu problemowi przeciwdziałania ryzyku systemowemu, które może powstać w wyniku kontaktu sektora finansowego z ograniczoną liczbą kluczowych zewnętrznych dostawców usług ICT. Ten brak przepisów na szczeblu unijnym jest spotęgowany brakiem krajowych przepisów dotyczących kompetencji i narzędzi umożliwiających organom nadzoru finansowego osiągnięcie właściwego zrozumienia zależności od zewnętrznych dostawców usług ICT i odpowiednie monitorowanie zagrożeń wynikających z koncentracji zależności od zewnętrznych dostawców usług ICT.

(31)

Biorąc pod uwagę potencjalne ryzyko systemowe spowodowane rozpowszechnieniem się praktyk dotyczących outsourcingu oraz koncentracją zewnętrznych dostawców usług ICT, a także mając na uwadze niewystarczający charakter krajowych mechanizmów, by zapewnić organom nadzoru finansowego odpowiednie narzędzia umożliwiające określanie ilościowo i jakościowo konsekwencji ryzyka związanego z ICT występującego u kluczowych zewnętrznych dostawców usług ICT, a także łagodzenie tych konsekwencji, konieczne jest ustanowienie odpowiednich ram nadzoru umożliwiających stałe monitorowanie działań zewnętrznych dostawców usług ICT będących kluczowymi zewnętrznymi dostawcami usług ICT dla podmiotów finansowych, z zapewnieniem poufności i bezpieczeństwa klientom innym niż podmioty finansowe. Choć świadczenie usług ICT wewnątrz grupy wiąże się z konkretnym ryzykiem i konkretnymi korzyściami, nie należy go automatycznie uznawać za mniej ryzykowne niż świadczenie usług ICT przez dostawców spoza grupy finansowej, a tym samym powinno ono być objęte tymi samymi ramami regulacyjnymi. Niemniej jednak w przypadku gdy usługi ICT są świadczone w ramach tej samej grupy finansowej, podmioty finansowe mogą mieć większą kontrolę nad dostawcami wewnątrz grupy, co należy uwzględnić w ogólnej ocenie ryzyka.

(32)

W związku z tym, że ryzyka związane z ICT stają się coraz bardziej złożone i zaawansowane, solidne środki wykrywania ryzyka w zakresie ICT i zapobiegania mu zależą w dużej mierze od regularnej wymiany analiz zagrożeń i podatności między podmiotami finansowymi. Wymiana informacji przyczynia się do zwiększania świadomości na temat cyberzagrożeń. To z kolei wzmacnia zdolność podmiotów finansowych do zapobiegania przekształcaniu się cyberzagrożeń w realne incydenty związane z ICT oraz umożliwia podmiotom finansowym skuteczniejsze ograniczanie skutków incydentów związanych z ICT oraz szybsze przywracanie sprawności. Wydaje się, że wobec braku wytycznych na szczeblu Unii szereg czynników ogranicza taką wymianę analiz, zwłaszcza niepewność co do zgodności z ochroną danych osobowych, przepisami antymonopolowymi i zasadami dotyczącymi odpowiedzialności.

(33)

Ponadto wątpliwości dotyczące rodzaju informacji, które można udostępnić innym uczestnikom rynku lub organom innym niż organy nadzoru (takim jak ENISA, w przypadku wkładu analitycznego, lub Europol – w celu egzekwowania prawa), skutkują wstrzymaniem przekazywania przydatnych informacji. W związku z tym obecnie zakres i jakość wymiany informacji pozostają ograniczone i podzielone, a istotne wymiany przeprowadzane są w większości lokalnie (za pośrednictwem inicjatyw krajowych) oraz bez żadnych spójnych ogólnounijnych ustaleń w zakresie wymiany informacji dostosowanych do potrzeb zintegrowanego systemu finansowego. Trzeba zatem wzmocnić te kanały komunikacyjne.

(34)

Należy zachęcać podmioty finansowe, by wymieniały między sobą informacje i analizy na temat cyberzagrożeń oraz by wspólnie wykorzystywały swoją indywidualną wiedzę i praktyczne doświadczenie na szczeblu strategicznym, taktycznym i operacyjnym w celu wzmocnienia ich zdolności w zakresie odpowiedniego oceniania i monitorowania cyberzagrożeń, obrony przed cyberzagrożeniami i reagowania na cyberzagrożenia poprzez udział w rozwiązaniach mających na celu wymianę informacji. W związku z tym konieczne jest umożliwienie powstania na szczeblu Unii mechanizmów ustaleń dotyczących dobrowolnej wymiany informacji, które – pod warunkiem wdrożenia w zaufanych środowiskach – pomogłyby społeczności sektora finansowego zapobiegać cyberzagrożeniom i wspólnie na nie reagować poprzez szybkie ograniczenie rozpowszechnienia ryzyka związanego z ICT i utrudnienie wystąpienia potencjalnego efektu domina we wszystkich kanałach finansowych. Mechanizmy te powinny być zgodne z mającymi zastosowanie unijnymi zasadami prawa konkurencji określonymi w komunikacie Komisji z dnia 14 stycznia 2011 r. zatytułowanym „Wytyczne w sprawie stosowania art. 101 Traktatu o funkcjonowaniu Unii Europejskiej do horyzontalnych porozumień kooperacyjnych”, a także z unijnymi przepisami o ochronie danych, w szczególności z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (13). Powinny one działać w oparciu o co najmniej jedną z podstaw prawnych ustanowionych w art. 6 tego rozporządzenia, np. w kontekście przetwarzania danych osobowych, które jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, o czym jest mowa w art. 6 ust. 1 lit. f) tego rozporządzenia, a także w kontekście przetwarzania danych osobowych niezbędnych do wypełnienia obowiązku prawnego ciążącego na administratorze, niezbędnych do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, o czym mowa, odpowiednio, w art. 6 ust. 1 lit. c) i e) tego rozporządzenia.

(35)

Aby utrzymać wysoki poziom operacyjnej odporności cyfrowej całego sektora finansowego, a jednocześnie dotrzymać kroku rozwojowi technologicznemu, niniejsze rozporządzenie powinno zwalczać ryzyko wynikające ze wszystkich rodzajów usług ICT. W tym celu definicję usług ICT w kontekście niniejszego rozporządzenia należy rozumieć szeroko jako obejmującą usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego. Definicja ta powinna na przykład obejmować tzw. usługi OTT, które należą do kategorii usług łączności elektronicznej. Powinna wyłączać jedynie ograniczoną kategorię tradycyjnych usług telefonii analogowej kwalifikujących się jako usługi publicznej komutowanej sieci telefonicznej (PSTN), usługi z wykorzystaniem linii naziemnej, podstawowej usługi telefonicznej (POTS) lub usługi telefonii stacjonarnej.

(36)

Niezależnie od szerokiego zakresu stosowania przewidzianego w niniejszym rozporządzeniu, stosując zasady dotyczące operacyjnej odporności cyfrowej, należy uwzględniać istotne różnice między podmiotami finansowymi pod względem ich wielkości i ogólnego profilu ryzyka. Co do zasady, rozdzielając zasoby i zdolności na wdrażanie ram zarządzania ryzykiem związanym z ICT, podmioty finansowe powinny należycie dostosować swoje potrzeby związane z ICT do swojej wielkości i ogólnego profilu ryzyka oraz charakteru, skali i stopnia złożoności realizowanych usług, działań i operacji, natomiast właściwe organy powinny nadal oceniać i weryfikować podejście do takiego rozdziału.

(37)

Dostawcy świadczący usługę dostępu do informacji o rachunku, o których mowa w art. 33 ust. 1 dyrektywy (UE) 2015/2366, są wyraźnie włączeni do zakresu stosowania niniejszego rozporządzenia, z uwzględnieniem szczególnego charakteru ich działalności i wynikającego z niej ryzyka. Dodatkowo instytucje pieniądza elektronicznego i instytucje płatnicze, zwolnione zgodnie z art. 9 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2009/110/WE (14) oraz art. 32 ust. 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366, zostają włączone do zakresu stosowania niniejszego rozporządzenia, nawet jeżeli nie udzielono im zezwolenia na emisję pieniądza elektronicznego lub nie udzielono im zezwolenia na świadczenie i wykonywanie usług płatniczych zgodnie z dyrektywą (UE) 2015/2366. Niemniej jednak instytucje świadczące żyro pocztowe, o których mowa w art. 2 ust. 5 pkt 3) dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE (15), są wyłączone z zakresu stosowania niniejszego rozporządzenia. Właściwymi organami instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366, instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE i dostawców świadczących usługę dostępu do informacji o rachunku, o których mowa w art. 33 ust. 1 dyrektywy (UE) 2015/2366, są właściwe organy wyznaczone zgodnie z art. 22 dyrektywy (UE) 2015/2366.

(38)

Ponieważ większe podmioty finansowe mogą korzystać z większych zasobów i są w stanie szybko przeznaczyć środki finansowe na opracowanie struktur zarządzania i stworzenie szeregu strategii korporacyjnych, wymóg tworzenia bardziej złożonych rozwiązań w zakresie zarządzania należy nałożyć wyłącznie na podmioty finansowe, które nie są mikroprzedsiębiorstwami w rozumieniu niniejszego rozporządzenia. Podmioty takie są lepiej przygotowane w szczególności do ustanowienia specjalnych stanowisk w strukturach zarządzania w celu nadzorowania ustaleń umownych z zewnętrznymi dostawcami usług ICT lub w celu zarządzania kryzysowego, do organizowania zarządzania w zakresie ryzyka związanego z ICT zgodnie z modelem trzech linii obrony lub do ustanowienia wewnętrznego modelu zarządzania ryzykiem i kontroli ryzyka oraz do poddania swoich ram zarządzania ryzykiem związanym z ICT audytowi wewnętrznemu.

(39)

Niektóre podmioty finansowe korzystają ze zwolnień lub są objęte bardzo łagodnymi ramami regulacyjnymi na mocy odpowiednich przepisów sektorowych prawa Unii. Takie podmioty finansowe obejmują zarządzających alternatywnymi funduszami inwestycyjnymi, o których mowa w art. 3 ust. 2 dyrektywy Parlamentu Europejskiego i Rady 2011/61/UE (16), zakłady ubezpieczeń i zakłady reasekuracji, o których mowa w art. 4 dyrektywy Parlamentu Europejskiego i Rady 2009/138/WE (17), oraz instytucje pracowniczych programów emerytalnych, które obsługują programy emerytalne liczące łącznie nie więcej niż 15 uczestników. W świetle tych zwolnień włączenie takich podmiotów finansowych do zakresu stosowania niniejszego rozporządzenia nie byłoby proporcjonalne. Dodatkowo w niniejszym rozporządzeniu uznaje się specyfikę struktury rynku pośrednictwa ubezpieczeniowego, w związku z czym pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające kwalifikujący się jako mikroprzedsiębiorstwa, czy małe lub średnie przedsiębiorstwa, nie powinni podlegać niniejszemu rozporządzeniu.

(40)

Ponieważ podmioty, o których mowa w art. 2 ust. 5 pkt 4–23 dyrektywy 2013/36/UE, są wyłączone z zakresu stosowania tej dyrektywy, państwa członkowskie powinny w związku z tym mieć możliwość podjęcia decyzji o zwolnieniu takich podmiotów mających siedzibę na ich odpowiednich terytoriach z zakresu stosowania niniejszego rozporządzenia.

(41)

Analogicznie, aby dostosować niniejsze rozporządzenie do zakresu stosowania dyrektywy Parlamentu Europejskiego i Rady 2014/65/UE (18), z zakresu stosowania niniejszego rozporządzenia należy wyłączyć osoby fizyczne i prawne, o których mowa w art. 2 i 3 tej dyrektywy, które posiadają zezwolenie na świadczenie usług inwestycyjnych bez konieczności uzyskiwania zezwolenia na mocy dyrektywy 2014/65/UE. Niemniej jednak w art. 2 dyrektywy 2014/65/UE wyłącza się z zakresu stosowania tej dyrektywy podmioty, które kwalifikują się jako podmioty finansowe do celów niniejszego rozporządzenia, takie jak centralne depozyty papierów wartościowych, przedsiębiorstwa zbiorowego inwestowania lub zakłady ubezpieczeń i zakłady reasekuracji. Wyłączenie osób i podmiotów, o których mowa w art. 2 i 3 tej dyrektywy, z zakresu stosowania niniejszego rozporządzenia nie powinno obejmować tych centralnych depozytów papierów wartościowych, przedsiębiorstw zbiorowego inwestowania ani zakładów ubezpieczeń czy reasekuracji.

(42)

Na mocy przepisów sektorowych prawa Unii niektóre podmioty finansowe – ze względu na ich wielkość lub świadczone usługi – są objęte łagodniejszymi wymogami lub zwolnieniami. Ta kategoria podmiotów finansowych obejmuje małe i niepowiązane wzajemnie firmy inwestycyjne oraz małe instytucje pracowniczych programów emerytalnych, które mogą być wyłączone z zakresu stosowania dyrektywy (UE) 2016/2341 na warunkach określonych w art. 5 tej dyrektywy przez odnośne państwa członkowskie i które obsługują programy emerytalne liczące łącznie nie więcej niż 100 uczestników, a także instytucje zwolnionych na mocy dyrektywy 2013/36/UE. W związku z tym zgodnie z zasadą proporcjonalności oraz w celu zachowania ducha przepisów sektorowych prawa Unii te podmioty finansowe również należy objąć uproszczonymi ramami zarządzania ryzykiem związanym z ICT na mocy niniejszego rozporządzenia. Regulacyjne standardy techniczne, które mają zostać opracowane przez EUN, nie powinny zmieniać proporcjonalnego charakteru ram zarządzania ryzykiem związanym z ICT obejmujących te podmioty finansowe. Ponadto, zgodnie z zasadą proporcjonalności, uproszczone ramy zarządzania ryzykiem związanym z ICT na mocy niniejszego rozporządzenia powinny też obejmować instytucje płatnicze, o których mowa w art. 32 ust. 1 dyrektywy (UE) 2015/2366, i instytucje pieniądza elektronicznego, o których mowa w art. 9 dyrektywy 2009/110/WE, zwolnione zgodnie z krajowymi przepisami transponującymi te unijne akty prawne, przy czym instytucje płatnicze i instytucje pieniądza elektronicznego, które nie zostały zwolnione zgodnie z odpowiednimi krajowymi przepisami transponującymi przepisy sektorowe prawa Unii, powinny przestrzegać ogólnych ram ustanowionych w niniejszym rozporządzeniu.

(43)

Analogicznie podmioty finansowe, które kwalifikują się jako mikroprzedsiębiorstwa lub są objęte uproszczonymi ramami zarządzania ryzykiem związanym z ICT na mocy niniejszego rozporządzenia, nie powinny być zobowiązane do ustanowienia funkcji polegającej na monitorowaniu uzgodnień zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT; do wyznaczenia członka kadry kierowniczej wyższego szczebla jako odpowiedzialnego za nadzorowanie związanej z tym ekspozycji na ryzyko i odpowiedniej dokumentacji; do powierzenia obowiązku zarządzania ryzykiem związanym z ICT i sprawowania nadzoru nad nim przez funkcję kontroli i zapewnienia odpowiedniego stopnia niezależności takiej funkcji kontroli w celu uniknięcia konfliktów interesów; do dokumentowania uproszczonych ram zarządzania ryzykiem związanym z ICT; poddawania ich przeglądowi co najmniej raz w roku; do ich regularnego poddawania audytowi wewnętrznemu; do przeprowadzania dogłębnych ocen po istotnych zmianach w ich infrastrukturze sieci i systemów informatycznych oraz powiązanych procedurach, do regularnego przeprowadzania analiz ryzyka w odniesieniu do dotychczasowych systemów ICT, do poddawania wdrażania planów reagowania i przywracania sprawności ICT niezależnym wewnętrznym przeglądom audytowym, do posiadania funkcji zarządzania w sytuacji kryzysowej, do rozszerzenia zakresu testowania ciągłości działania oraz planów reagowania i przywracania sprawności w celu uwzględnienia scenariuszy pracy awaryjnej obejmujących przełączanie się z podstawowej infrastruktury ICT na urządzenia redundantne, do zgłaszania właściwym organom, na ich żądanie, szacunkowych łącznych rocznych kosztów i strat spowodowanych poważnymi incydentami związanymi z ICT, do utrzymywania nadmiarowych zdolności w zakresie ICT, do informowania właściwych organów krajowych o zmianach wdrożonych w następstwie przeglądów przeprowadzonych po wystąpieniu incydentu związanego z ICT, do ciągłego monitorowania odpowiednich zmian technologicznych, do ustanowienia kompleksowego programu testowania operacyjnej odporności cyfrowej stanowiącego integralną część ram zarządzania ryzykiem związanym z ICT przewidzianych w niniejszym rozporządzeniu ani do przyjęcia strategii dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT i dokonywania jej regularnego przeglądu. Dodatkowo mikroprzedsiębiorstwa powinny być zobowiązane do oceny potrzeby utrzymywania takich nadmiarowych zdolności w zakresie ICT wyłącznie w oparciu o ich profil ryzyka. Mikroprzedsiębiorstwa powinny korzystać z bardziej elastycznego systemu w odniesieniu do programów testowania operacyjnej odporności cyfrowej. Rozważając rodzaj i częstotliwość przeprowadzanych testów, mikroprzedsiębiorstwa powinny odpowiednio wyważyć cel polegający na utrzymaniu wysokiej operacyjnej odporności cyfrowej, dostępne zasoby i ich ogólny profil ryzyka. Mikroprzedsiębiorstwa i podmioty finansowe objęte uproszczonymi ramami zarządzania ryzykiem związanym z ICT na mocy niniejszego rozporządzenia powinny być zwolnione z obowiązku przeprowadzania zaawansowanego testowania narzędzi, systemów i procesów ICT z wykorzystaniem testów penetracyjnych pod kątem wyszukiwania zagrożeń (TLPT), jako że taki obowiązek powinien dotyczyć wyłącznie podmiotów finansowych spełniających kryteria określone w niniejszym rozporządzeniu. Ze względu na swoje ograniczone możliwości mikroprzedsiębiorstwa powinny mieć możliwość uzgodnienia z zewnętrznym dostawcą usług ICT, że przysługujące danemu podmiotowi finansowemu prawa dostępu, kontroli i audytu zostaną przekazane niezależnemu podmiotowi trzeciemu, który zostanie wyznaczony przez zewnętrznego dostawcę usług ICT, pod warunkiem że dany podmiot finansowy będzie mógł w dowolnym momencie zwrócić się do odpowiedniego niezależnego podmiotu trzeciego o wszystkie istotne informacje na temat wyników zewnętrznego dostawcy usług ICT i o poświadczenie tych wyników.

(44)

Ponieważ jedynie od podmiotów finansowych objętych zaawansowanym testowaniem odporności cyfrowej powinno wymagać się przeprowadzenia testów penetracyjnych pod kątem wyszukiwania zagrożeń, procesy administracyjne i koszty finansowe związane z przeprowadzeniem takich testów powinny być ponoszone przez niewielki odsetek podmiotów finansowych.

(45)

Aby zapewnić pełną zgodność i ogólną spójność między strategiami biznesowymi poszczególnych podmiotów finansowych a zarządzaniem ryzykiem związanym z ICT, należy zobowiązać organy zarządzające tych podmiotów finansowych do utrzymania kluczowej i aktywnej roli w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT oraz ogólnej strategii w zakresie operacyjnej odporności cyfrowej. W podejściu, które przyjmą organy zarządzające, należy nie tylko skoncentrować się na środkach zapewniających odporność systemów ICT, ale także uwzględnić ludzi i procesy poprzez zestaw polityk, w których na każdym szczeblu struktury korporacyjnej i w odniesieniu do wszystkich pracowników buduje się świadomość czynników ryzyka w cyberprzestrzeni i zaangażowanie na rzecz ścisłego przestrzegania zasad w zakresie higieny cyberbezpieczeństwa na wszystkich szczeblach. Ostateczna odpowiedzialność organu zarządzającego za zarządzanie w zakresie ryzyka związanego z ICT podmiotu finansowego powinna stanowić nadrzędną zasadę w tym kompleksowym podejściu, przekładającą się dodatkowo na ciągłe zaangażowanie organu zarządzającego w kontrolę monitorowania zarządzania w zakresie ryzyka związanego z ICT.

(46)

Co więcej, zasada pełnej i ostatecznej odpowiedzialności organu zarządzającego za zarządzanie ryzykiem związanym z ICT podmiotu finansowego idzie w parze z koniecznością zabezpieczenia poziomu inwestycji związanych z ICT oraz ogólnego budżetu podmiotu finansowego, tak aby podmiot ten mógł osiągnąć wysoki poziom operacyjnej odporności cyfrowej.

(47)

W niniejszym rozporządzeniu, inspirowanym odpowiednimi międzynarodowymi, krajowymi i sektorowymi najlepszymi praktykami, wytycznymi, zaleceniami i podejściami w zakresie zarządzania ryzykiem w cyberprzestrzeni, promuje się zestaw zasad ułatwiających ustanowienie ogólnej struktury zarządzania ryzykiem związanym z ICT. Tym samym, dopóki podstawowe możliwości wprowadzane przez podmioty finansowe odpowiadają różnym funkcjom w ramach zarządzania ryzykiem związanym z ICT (identyfikacja, ochrona i zapobieganie, wykrywanie, reagowanie i przywracanie sprawności, uczenie się i rozwój oraz komunikacja) określonym w niniejszym rozporządzeniu, podmioty finansowe powinny zachować swobodę korzystania z modeli zarządzania ryzykiem związanym z ICT, dla których opracowano inne ramy lub kategorie.

(48)

Aby nadążyć za zmieniającym się krajobrazem cyberzagrożeń, podmioty finansowe powinny na bieżąco aktualizować systemy ICT, które muszą być niezawodne i posiadać zdolność nie tylko do zagwarantowania przetwarzania danych niezbędnych do świadczenia ich usług, ale również do zapewnienia wystarczającej odporności technologicznej pozwalającej podmiotom finansowym na odpowiednie zaspokajanie dodatkowych potrzeb w zakresie przetwarzania danych, jakie mogą wynikać z trudnych warunków rynkowych lub innych niekorzystnych sytuacji.

(49)

Aby umożliwić podmiotom finansowym szybkie i sprawne rozwiązywanie incydentów związanych z ICT, w szczególności cyberataków, poprzez ograniczenie szkód i priorytetowe traktowanie wznowienia działalności i działań naprawczych, konieczne jest opracowanie skutecznych planów ciągłości działania i planów przywracania sprawności zgodnie z ich politykami tworzenia kopii zapasowych. Takie wznowienie działalności nie powinno jednak w żaden sposób zagrażać integralności i bezpieczeństwu sieci i systemów informatycznych lub dostępności, autentyczności, integralności czy poufności danych.

(50)

Choć niniejsze rozporządzenie pozwala podmiotom finansowym na określenie w sposób elastyczny zakładanego czasu przywrócenia systemów i akceptowalny poziom utraty danych, a tym samym na wyznaczanie go poprzez pełne uwzględnienie charakteru i krytyczności danych funkcji oraz wszelkich szczególnych potrzeb biznesowych, powinno jednak nakładać na te podmioty wymóg przeprowadzenia oceny potencjalnego ogólnego wpływu na efektywność rynku przy określaniu takich celów.

(51)

Inicjatorzy cyberataków zwykle dążą do osiągnięcia zysków finansowych bezpośrednio u źródła, narażając tym samym podmioty finansowe na poważne konsekwencje. Aby zapobiec niedostępności lub utracie integralności systemów ICT, a tym samym by uniknąć naruszeń poufnych danych i uszkodzeń fizycznej infrastruktury ICT, należy znacznie usprawnić i uprościć procedurę zgłaszania przez podmioty finansowe poważnych incydentów związanych z ICT. Procedurę zgłaszania incydentów związanych z ICT należy ujednolicić: wszystkie podmioty finansowe powinny być zobowiązane do zgłaszania tych incydentów bezpośrednio do swoich odpowiednich właściwych organów. W przypadku gdy nadzór nad podmiotem finansowym sprawuje więcej niż jeden właściwy organ krajowy, państwa członkowskie powinny wyznaczyć jeden właściwy organ do celów takich zgłoszeń. Instytucje kredytowe sklasyfikowane jako istotne zgodnie z art. 6 ust. 4 rozporządzenia Rady (UE) nr 1024/2013 (19) powinny przekazywać takie zgłoszenia właściwym organom krajowym, które następnie powinny przekazać stosowne sprawozdanie Europejskiemu Bankowi |Centralnemu (EBC).

(52)

Bezpośrednie zgłaszanie incydentów powinno umożliwić organom nadzoru finansowego natychmiastowy dostęp do informacji na temat poważnych incydentów związanych z ICT. Organy nadzoru finansowego powinny z kolei przekazywać szczegółowe informacje na temat takich poważnych incydentów związanych z ICT organom publicznym spoza sektora finansowego (takim jak właściwe organy i pojedyncze punkty kontaktowe na mocy dyrektywy (UE) 2022/2555, krajowe organy ochrony danych i organom ścigania w przypadku poważnych incydentów o charakterze przestępczym związanych z ICT), aby zwiększyć wiedzę takich organów o takich incydentach oraz – w przypadku CSIRT – ułatwić szybką pomoc, której można udzielić podmiotom finansowym, stosownie do przypadku. Dodatkowo państwa członkowskie powinny mieć możliwość określenia, że to same podmioty finansowe powinny przekazywać takie informacje organom publicznym spoza obszaru usług finansowych. Te przepływy informacji powinny umożliwić podmiotom finansowym szybkie korzystanie z wszelkich istotnych informacji technicznych, porad dotyczących środków zaradczych oraz działań następczych ze strony takich organów. Informacje na temat poważnych incydentów związanych z ICT powinny być wzajemnie przekazywane: organy sprawujące nadzór finansowy powinny przekazywać podmiotowi finansowemu wszelkie niezbędne informacje zwrotne lub wytyczne, natomiast EUN powinny udostępniać zanonimizowane dane na temat cyberzagrożeń i podatności związanych z danym incydentem, aby wspomóc szerzej pojętą zbiorową obronę.

(53)

Chociaż wszystkie podmioty finansowe powinny być objęte wymogiem zgłaszania incydentów, przewiduje się, że wymóg ten nie będzie wszystkich ich obciążać w ten sam sposób. Odpowiednie progi w zakresie istotności i ramy czasowe zgłaszania incydentów powinny być należycie dostosowane, w kontekście aktów delegowanych opartych na regulacyjnych standardach technicznych, które mają zostać opracowane przez EUN, tak by uwzględniać jedynie poważne incydenty związane z ICT. Dodatkowo przy określaniu ram czasowych do celów obowiązków w zakresie zgłaszania incydentów należy uwzględnić specyfikę podmiotów finansowych.

(54)

Niniejsze rozporządzenie powinno nakładać na instytucje kredytowe, instytucje płatnicze, dostawców świadczących usługę dostępu do informacji o rachunku i instytucje pieniądza elektronicznego wymóg zgłaszania wszelkich incydentów operacyjnych lub w zakresie bezpieczeństwa związanych z płatnościami, które wcześniej były zgłaszane na mocy dyrektywy (UE) 2015/2366, niezależnie od tego, czy są one związane z ICT.

(55)

EUN należy powierzyć zadanie polegające na ocenie możliwości i warunków ewentualnej centralizacji zgłoszeń dotyczących incydentów związanych z ICT na szczeblu Unii. Taka centralizacja mogłaby obejmować jeden unijny węzeł informacyjny na potrzeby zgłaszania poważnych incydentów związanych z ICT, który by otrzymywał odpowiednie zgłoszenia bezpośrednio i automatycznie powiadamiał właściwe organy krajowe albo który by służył jedynie jako centralne miejsce do przekazywania odpowiednich zgłoszeń przez właściwe organy krajowe i tym samym pełnił funkcję koordynującą. EUN należy powierzyć zadanie polegające na przygotowaniu, w porozumieniu z EBC i ENISA, wspólnego sprawozdania badającego możliwość ustanowienia takiego jednego unijnego węzła informacyjnego.

(56)

W celu osiągnięcia wysokiego poziomu operacyjnej odporności cyfrowej oraz zgodnie zarówno z odpowiednimi standardami międzynarodowymi (np. określonymi przez G-7 podstawowymi elementami dotyczącymi testów penetracyjnych pod kątem wyszukiwania zagrożeń), jak i ramami stosowanymi w Unii, takimi jak TIBER–EU, podmioty finansowe powinny regularnie testować swoje systemy ICT i personel wykonujący obowiązki związane z ICT pod kątem skuteczności ich zdolności w zakresie zapobiegania, wykrywania, reagowania i przywracania sprawności, aby wykrywać i eliminować potencjalne podatności w zakresie ICT. Aby odzwierciedlić różnice istniejące między różnymi podsektorami finansowymi i w ramach tych podsektorów w zakresie gotowości podmiotów finansowych do reagowania w obszarze cyberbezpieczeństwa, testowanie powinno obejmować szeroki zakres narzędzi i działań, począwszy od oceny podstawowych wymogów (np. oceny podatności i skanowanie pod tym kątem, analizy otwartego oprogramowania, oceny bezpieczeństwa sieci, analizy braków, fizyczne kontrole bezpieczeństwa, kwestionariusze i rozwiązania w zakresie oprogramowania skanującego, w miarę możliwości przeglądy kodu źródłowego, testy scenariuszowe, testy kompatybilności, testy wydajności lub testy kompleksowe) aż po bardziej zaawansowane testowanie przy użyciu TLPT. Takie zaawansowane testowanie powinno być wymagane jedynie w przypadku podmiotów finansowych wystarczająco zaawansowanych z punktu widzenia ICT, aby były w stanie przeprowadzić takie testy. Wymagane w niniejszym rozporządzeniu testowanie operacyjnej odporności cyfrowej powinno być zatem bardziej rygorystyczne dla podmiotów finansowych spełniających kryteria określone w niniejszym rozporządzeniu (np. dużych systemowych i zaawansowanych z punktu widzenia ICT instytucji kredytowych, giełd papierów wartościowych, centralnych depozytów papierów wartościowych oraz kontrahentów centralnych) niż dla innych podmiotów finansowych. Jednocześnie testowanie operacyjnej odporności cyfrowej przy użyciu TLPT powinno mieć większe znaczenie w przypadku podmiotów finansowych prowadzących działalność w podstawowych podsektorach usług finansowych i odgrywających rolę systemową (np. płatności, bankowość oraz systemy rozliczeń i rozrachunku), a mniejsze w przypadku innych podsektorów (np. podmiotów zarządzających aktywami oraz agencji ratingowych itp.).

(57)

Podmioty finansowe prowadzące działalność transgraniczną i korzystające ze swobody przedsiębiorczości lub swobody świadczenia usług w Unii powinny spełniać jeden zestaw wymogów w zakresie zaawansowanego testowania (np. TLPT) w swoim macierzystym państwie członkowskim, a testowanie to powinno obejmować infrastrukturę ICT we wszystkich jurysdykcjach, w których dana transgraniczna grupa finansowa prowadzi działalność w Unii, co pozwoli takim transgranicznym grupom finansowym ponosić koszty przeprowadzenia testów związanych z ICT tylko w jednej jurysdykcji.

(58)

Aby wykorzystać wiedzę fachową zdobytą już przez niektóre właściwe organy, w szczególności w odniesieniu do wdrażania ram TIBER–EU, niniejsze rozporządzenie powinno umożliwiać państwom członkowskim wyznaczenie jednego organu publicznego jako odpowiedzialnego w sektorze finansowym na szczeblu krajowym za wszelkie kwestie dotyczące TLPT lub powinno umożliwiać właściwym organom – w przypadku braku takiego wyznaczenia – przekazanie wykonywania zadań związanych z TLPT innemu krajowemu właściwemu organowi finansowemu.

(59)

Z uwagi na to, że niniejsze rozporządzenie nie nakłada na podmioty finansowe wymogu objęcia wszystkich krytycznych lub istotnych funkcji pojedynczym testem penetracyjnym pod kątem wyszukiwania zagrożeń, podmioty te powinny mieć możliwość określenia, które z tych funkcji i jaką ich liczbę należy objąć zakresem takiego testu.

(60)

Testowanie zbiorcze w rozumieniu niniejszego rozporządzenia – z udziałem kilku podmiotów finansowych w TLPT i w odniesieniu do którego zewnętrzny dostawca usług ICT może zawrzeć ustalenia umowne bezpośrednio z testerem zewnętrznym – powinno być dozwolone jedynie w przypadku, gdy można racjonalnie przewidywać, że jakość lub bezpieczeństwo usług świadczonych przez zewnętrznego dostawcę usług ICT na rzecz klientów będących podmiotami nieobjętymi zakresem stosowania niniejszego rozporządzenia lub poufność danych związanych z takimi usługami będą zagrożone. Testowanie zbiorcze powinno też podlegać zabezpieczeniom (kierowanie przez jeden wyznaczony podmiot finansowy, określenie liczby uczestniczących podmiotów finansowych), aby zapewnić poddanie uczestniczących podmiotów finansowych rygorystycznym testom spełniającym cele TLPT zgodnie z niniejszym rozporządzeniem.

(61)

Aby wykorzystać zasoby wewnętrzne dostępne na poziomie przedsiębiorstwa, niniejsze rozporządzenie powinno umożliwiać korzystanie z wewnętrznych testerów do celów przeprowadzania TLPT, pod warunkiem że uzyskano zgodę od organu nadzoru, nie występuje konflikt interesów i że TLTP są przeprowadzane naprzemiennie przez testerów wewnętrznych i zewnętrznych (okresowo – zmiana co trzy testy), przy czym dostawcy analiz zagrożeń wykorzystywanych w ramach TLPT zawsze muszą być podmiotem zewnętrznym względem danego podmiotu finansowego. Pełną odpowiedzialność za prowadzenie TLPT powinien ponosić podmiot finansowy. Potwierdzenia wydawane przez odpowiednie organy powinny służyć wyłącznie do celów wzajemnego uznawania i nie powinny wykluczać działań następczych niezbędnych, by wyeliminować ryzyko związane z ICT, na które dany podmiot finansowy jest narażony, nie powinny też być postrzegane jako potwierdzenie przez organ nadzoru zdolności podmiotu finansowego w zakresie zarządzania ryzykiem związanym z ICT i jego łagodzenia.

(62)

Aby zapewnić należyte monitorowanie ryzyka ze strony zewnętrznych dostawców usług ICT w sektorze finansowym, konieczne jest ustanowienie zbioru opartych na zasadach przepisów regulujących monitorowanie przez podmioty finansowe ryzyka występującego w kontekście funkcji zlecanych zewnętrznym dostawcom usług ICT, zwłaszcza w odniesieniu do usług ICT wspierających krytyczne lub istotne funkcje, oraz, w bardziej ogólnym zakresie, w kontekście wszelkich zależności od zewnętrznych dostawców usług ICT.

(63)

Aby sprostać stopniowi złożoności różnych źródeł ryzyka związanego z ICT, uwzględniając przy tym dużą liczbę i różnorodność dostawców rozwiązań technologicznych umożliwiających sprawne świadczenie usług finansowych, niniejsze rozporządzenie powinno obejmować wielu różnych zewnętrznych dostawców usług ICT, w tym dostawców usług chmurowych, oprogramowania, usług analizy danych i dostawców usług przetwarzania danych. Analogicznie, z uwagi na to, że podmioty finansowe powinny skutecznie i spójnie określać wszystkie rodzaje ryzyka i nimi zarządzać, m.in. w kontekście usług ICT zamawianych w ramach grupy finansowej, należy doprecyzować, że przedsiębiorstwa, które są częścią grupy finansowej i świadczą usługi ICT głównie na rzecz swojej jednostki dominującej lub na rzecz jednostek zależnych lub oddziałów swojej jednostki dominującej, jak również podmioty finansowe świadczące usługi ICT na rzecz innych podmiotów finansowych także powinny być uznawane za zewnętrznych dostawców usług ICT na mocy niniejszego rozporządzenia. Ponadto w związku ze zmieniającym się rynkiem usług płatniczych, który jest coraz bardziej zależny od złożonych rozwiązań technicznych, oraz w świetle pojawiających się rodzajów usług płatniczych i rozwiązań związanych z płatnościami, uczestnicy ekosystemu usług płatniczych prowadzący działania przetwarzania płatności lub obsługujący infrastrukturę płatniczą również powinni być uznawani za zewnętrznych dostawców usług ICT na mocy niniejszego rozporządzenia, z wyjątkiem banków centralnych prowadzących systemy płatności lub systemy rozrachunku papierów wartościowych oraz organów publicznych świadczących usługi związane z ICT w kontekście pełnienia funkcji państwa.

(64)

Podmiot finansowy powinien przez cały czas ponosić pełną odpowiedzialność za wypełnianie swoich obowiązków określonych w niniejszym rozporządzeniu. Podmioty finansowe powinny stosować proporcjonalne podejście do monitorowania zagrożeń występujących na poziomie zewnętrznego dostawcy usług ICT i odpowiednio uwzględnić charakter, skalę, stopień złożoności i znaczenie swoich zależności w zakresie ICT, krytyczność lub znaczenie usług, procesów lub funkcji objętych ustaleniami umownymi, a ostatecznie na podstawie starannej oceny wszelkiego potencjalnego wpływu na ciągłość i jakość usług finansowych na szczeblu indywidualnym i grupowym, w zależności od przypadku.

(65)

Takie monitorowanie należy prowadzić zgodnie ze strategicznym podejściem do ryzyka ze strony zewnętrznych dostawców usług ICT sformalizowanym poprzez przyjęcie przez organ zarządzający podmiotu finansowego specjalnej strategii dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT, opartej na ciągłym badaniu wszystkich takich zależności od zewnętrznych dostawców usług ICT. Aby zwiększyć świadomość organów sprawujących nadzór co do zależności od zewnętrznych dostawców usług ICT, a także w celu dalszego wspierania prac prowadzonych w kontekście ram nadzoru ustanowionych w niniejszym rozporządzeniu, wszystkie podmioty finansowe powinny być zobowiązane do prowadzenia rejestru informacji obejmującego wszystkie ustalenia umowne dotyczące korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT. Organy sprawujące nadzór finansowy powinny mieć możliwość żądania dostępu do pełnego rejestru lub określonych jego części, i tym samym uzyskania podstawowych informacji umożliwiających lepsze zrozumienie zależności podmiotów finansowych w obszarze ICT.

(66)

Gruntowna analiza poprzedzająca zawarcie umowy powinna mieć miejsce przed formalnym dokonaniem ustaleń umownych i powinna się koncentrować w szczególności na takich elementach, jak krytyczność lub znaczenie usług wspieranych w ramach planowanej umowy w zakresie ICT, niezbędne zgody organów nadzoru lub inne warunki, możliwe powiązane ryzyko koncentracji; należy ją przeprowadzić z zastosowaniem należytej staranności w procesie selekcji i oceny zewnętrznych dostawców usług ICT oraz dokonać oceny potencjalnych konfliktów interesów. W przypadku ustaleń umownych dotyczących krytycznych lub istotnych funkcji podmioty finansowe powinny brać pod uwagę fakt, czy zewnętrzni dostawcy usług ICT stosują najbardziej aktualne i najwyższe standardy bezpieczeństwa informacji. Wypowiedzenie ustaleń umownych mogłoby być spowodowane wystąpieniem co najmniej szeregu okoliczności wskazujących na braki po stronie zewnętrznego dostawcy usług ICT, w szczególności poważnych naruszeń przepisów lub warunków umownych, okoliczności ujawniających potencjalne zmiany w wykonywaniu funkcji przewidzianych w warunkach umownych, dowodów na słabości danego zewnętrznego dostawcy usług ICT w ogólnym zarządzaniu ryzykiem związanym z ICT, lub okoliczności wskazujących na niezdolność odpowiedniego właściwego organu do sprawowania nadzoru nad danym podmiotem finansowym.

(67)

Aby zaradzić skutkom systemowym koncentracji ryzyka ze strony zewnętrznych dostawców usług ICT, niniejsze rozporządzenie promuje zrównoważone rozwiązania poprzez elastyczne i stopniowe podejście do takiego ryzyka koncentracji, ponieważ nałożenie jakichkolwiek sztywnych limitów lub ścisłych ograniczeń może utrudniać prowadzenie działalności gospodarczej i ograniczać swobodę zawierania umów. Podmioty finansowe powinny dokładnie oceniać swoje planowane ustalenia umowne w celu określenia prawdopodobieństwa wystąpienia takiego ryzyka, w tym poprzez dogłębną analizę ustaleń dotyczących podwykonawstwa, zwłaszcza w przypadku zawierania ich z zewnętrznymi dostawcami usług ICT mającymi siedzibę w państwie trzecim. Na tym etapie oraz w celu osiągnięcia odpowiedniej równowagi między koniecznością zachowania swobody zawierania umów a koniecznością zagwarantowania stabilności finansowej, nie uważa się za właściwe określenia zasad w odniesieniu do sztywnych limitów i ograniczeń dotyczących ekspozycji wobec zewnętrznych dostawców usług ICT. W kontekście ram nadzoru wiodący organ nadzorczy wyznaczony zgodnie z niniejszym rozporządzeniem powinien – w odniesieniu do kluczowych zewnętrznych dostawców usług ICT zwracać szczególną uwagę na pełne zrozumienie skali współzależności, wykrywać konkretne przypadki, w których wysoki poziom koncentracji kluczowych zewnętrznych dostawców usług ICT w Unii może stanowić zagrożenie dla stabilności i integralności systemu finansowego Unii, i utrzymywać dialog z kluczowymi zewnętrznymi dostawcami usług ICT w przypadku stwierdzenia takiego konkretnego zagrożenia.

(68)

Aby regularnie oceniać i monitorować zdolność zewnętrznego dostawcy usług ICT do bezpiecznego świadczenia usług na rzecz podmiotu finansowego bez negatywnego wpływu na operacyjną odporność cyfrową tego podmiotu, należy ujednolicić kilka najważniejszych elementów umownych z zewnętrznymi dostawcami usług ICT. Takie ujednolicenie powinno obejmować minimum obszarów mających kluczowe znaczenie dla umożliwienia pełnego monitorowania zagrożeń, które mogłyby się pojawić ze strony zewnętrznego dostawcy usług ICT, przez podmiot finansowy w kontekście konieczności zapewnienia odporności cyfrowej tego podmiotu finansowego ze względu na jego głębokie uzależnienie od stabilności, funkcjonalności, dostępności i bezpieczeństwa otrzymywanych usług ICT.

(69)

Renegocjując ustalenia umowne w celu dostosowania ich do wymogów niniejszego rozporządzenia, podmioty finansowe i zewnętrzni dostawcy usług ICT powinni zapewnić, by ustalenia te obejmowały najważniejsze postanowienia umowne, jak przewidziano w niniejszym rozporządzeniu.

(70)

Określona w niniejszym rozporządzeniu definicja „krytycznej lub istotnej funkcji” obejmuje definicję „funkcji krytycznych” określoną w art. 2 ust. 1 pkt 35 dyrektywy Parlamentu Europejskiego i Rady 2014/59/UE (20). W związku z tym funkcje uznawane za krytyczne zgodnie z dyrektywą 2014/59/UE są ujęte w definicji funkcji krytycznych w rozumieniu niniejszego rozporządzenia.

(71)

Niezależnie od tego czy funkcje wspierane przez usługi ICT mają charakter krytyczny lub istotny, w ustaleniach umownych należy w szczególności zawrzeć specyfikację kompletnych opisów funkcji i usług, miejsc, w których takie funkcje i usługi są świadczone i w których mają być przetwarzane dane, jak również wskazanie opisów gwarantowanych poziomów usług. Innymi elementami o podstawowym znaczeniu dla umożliwienia podmiotowi finansowemu monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT są: postanowienia umowne określające sposób, w jaki zewnętrzny dostawca usług ICT zapewnia dostęp, dostępność, integralność, bezpieczeństwo i ochronę danych osobowych, przepisy ustanawiające odpowiednie gwarancje umożliwiające dostęp do danych, ich odzyskiwanie i zwrot w przypadku niewypłacalności, rozwiązania, zaprzestania działalności gospodarczej zewnętrznego dostawcy usług ICT, a także przepisy nakładające na zewnętrznych dostawców usług ICT wymóg udzielania pomocy w przypadku incydentów związanych ze świadczonymi usługami ICT bez dodatkowych kosztów lub za opłatą określoną ex ante; przepisy dotyczące obowiązku pełnej współpracy zewnętrznego dostawcy usług ICT z właściwymi organami i organami ds. restrukturyzacji i uporządkowanej likwidacji podmiotu finansowego; oraz przepisy dotyczące praw do wypowiedzenia umowy i związane z tym minimalne okresy wypowiedzenia ustaleń umownych, zgodnie oczekiwaniami właściwych organów i organów ds. restrukturyzacji i uporządkowanej likwidacji.

(72)

W uzupełnieniu takich postanowień umownych i z myślą o zapewnieniu, aby podmioty finansowe zachowały pełną kontrolę nad wszelkimi wydarzeniami ze strony podmiotu zewnętrznego, które mogą mieć negatywny wpływ na ich bezpieczeństwo w obszarze ICT, w umowach na świadczenie usług ICT wspierających krytyczne lub istotne funkcje należy również przewidzieć następujące elementy: specyfikację pełnych opisów gwarantowanych poziomów usług wraz z dokładnymi ilościowymi i jakościowymi celami w zakresie wyników, aby umożliwić bez zbędnej zwłoki odpowiednie działania naprawcze w przypadku nieosiągnięcia uzgodnionych gwarantowanych poziomów usług; odpowiednie okresy wypowiedzenia i obowiązki zewnętrznego dostawcy usług ICT w zakresie zgłaszania incydentów w przypadku wydarzeń, które mogą mieć istotny wpływ na zdolność skutecznego świadczenia przez tego dostawcę odnośnych usług ICT; wymóg wobec zewnętrznego dostawcy usług ICT, by wdrażał i testował plany awaryjne w związku z prowadzoną działalnością oraz posiadał środki, narzędzia i polityki w zakresie bezpieczeństwa ICT, które umożliwiają bezpieczne świadczenie usług, oraz by uczestniczył w przeprowadzanych przez podmiot finansowy TLPT i w pełni współpracował w tym zakresie.

(73)

Umowy na świadczenie usług ICT wspierających krytyczne lub istotne funkcje powinny również zawierać przepisy umożliwiające korzystanie z praw dostępu kontroli i audytu przez podmiot finansowy lub wyznaczoną osobę trzecią oraz prawa do sporządzania kopii jako kluczowych instrumentów bieżącego monitorowania przez podmioty finansowe wyników zewnętrznego dostawcy usług ICT w połączeniu z pełną współpracą tego ostatniego podczas kontroli. Analogicznie właściwemu organowi podmiotu finansowego powinno przysługiwać, na podstawie otrzymanych zawiadomień, podobne prawo do kontroli i audytu zewnętrznego dostawcy usług ICT, z zastrzeżeniem ochrony informacji poufnych.

(74)

W takich ustaleniach umownych należy również przewidzieć specjalne strategie wyjścia umożliwiające w szczególności obowiązkowe okresy przejściowe, w których zewnętrzni dostawcy usług ICT powinni nadal świadczyć odpowiednie usługi, aby zmniejszyć ryzyko zakłóceń na poziomie podmiotu finansowego lub umożliwić temu ostatniemu skuteczne przejście do korzystania z innych zewnętrznych dostawców usług ICT lub, alternatywnie, skorzystanie z rozwiązań dostępnych w ramach struktury wewnętrznej, stosownie do stopnia złożoności świadczonej usługi ICT. Co więcej, podmioty finansowe objęte zakresem stosowania dyrektywy 2014/59/UE powinny zapewnić, by odpowiednie umowy na usługi ICT były solidne i w pełni egzekwowalne w przypadku restrukturyzacji i uporządkowanej likwidacji tych podmiotów finansowych. W związku z tym zgodnie z oczekiwaniami organów ds. restrukturyzacji i uporządkowanej likwidacji te podmioty finansowe powinny zapewnić, by odpowiednie umowy na usługi ICT wykazywały się odpornością na wypadek restrukturyzacji i uporządkowanej likwidacji. Dopóki te podmioty finansowe wypełniają swoje zobowiązania płatnicze, powinny zapewnić, by odpowiednie umowy dotyczące usług ITC – oprócz innych wymogów – zawierały też klauzule o niemożności ich wypowiedzenia, zawieszenia i modyfikacji z powodu restrukturyzacji lub uporządkowanej likwidacji.

(75)

Ponadto dobrowolne stosowanie standardowych klauzul umownych opracowanych przez organy publiczne lub instytucje unijne, w szczególności stosowanie klauzul umownych opracowanych przez Komisję na potrzeby usług chmurowych może zapewnić dodatkowy komfort podmiotom finansowym i zewnętrznym dostawcom usług ICT poprzez zwiększenie poziomu pewności prawa w zakresie korzystania z usług chmurowych przez sektor finansowy, z zachowaniem pełnej zgodności z wymogami i oczekiwaniami określonymi w unijnych przepisach dotyczących usług finansowych. Prace służące opracowaniu standardowych klauzul umownych opierają się na środkach przewidzianych już w Planie działania w zakresie technologii finansowej z 2018 r., w którym zapowiedziano, że Komisja zamierza wspierać i ułatwiać opracowywanie standardowych klauzul umownych dotyczących korzystania z usług chmurowych na zasadzie outsourcingu przez podmioty finansowe, czerpiąc z międzysektorowych wysiłków zainteresowanych podmiotów świadczących usługi chmurowe, które Komisja ułatwiła dzięki zaangażowaniu sektora finansowego.

(76)

Aby wesprzeć ujednolicenie i poprawę efektywności podejść w zakresie nadzoru w odniesieniu do ryzyka ze strony zewnętrznych dostawców usług ICT w sektorze finansowym oraz wzmocnić operacyjną odporność cyfrową podmiotów finansowych, które w przypadku usług ICT wspierających świadczenie usług finansowych polegają na kluczowych zewnętrznych dostawcach usług ICT, a tym samym przyczynić się do utrzymania stabilności systemu finansowego Unii oraz integralności wewnętrznego rynku usług finansowych, kluczowi zewnętrzni dostawcy usług ICT powinni być objęci unijnymi ramami nadzoru. Choć ustanowienie ram nadzoru jest uzasadnione z uwagi na wartość dodaną działań na szczeblu Unii oraz nieodłączną rolę i specyfikę korzystania z usług ICT w świadczeniu usług finansowych, należy jednocześnie przypomnieć, że rozwiązanie to wydaje się odpowiednie jedynie w kontekście niniejszego rozporządzenia, które dotyczy konkretnie operacyjnej odporności cyfrowej w sektorze finansowym. Niemniej jednak takich ram nadzoru nie należy uznawać za nowy model unijnego nadzoru w innych obszarach usług i działań finansowych.

(77)

Ramy nadzoru powinny mieć zastosowanie wyłącznie do kluczowych zewnętrznych dostawców usług ICT. Należy zatem wprowadzić mechanizm wyznaczania, aby uwzględnić wymiar i charakter zależności sektora finansowego od takich zewnętrznych dostawców usług ICT. Mechanizm ten powinien obejmować zestaw kryteriów ilościowych i jakościowych, które określałyby parametry krytyczności jako podstawę do objęcia ramami nadzoru. Aby zapewnić dokładność tej oceny i niezależnie od struktury organizacyjnej zewnętrznego dostawcy usług ICT, takie kryteria powinny – w przypadku zewnętrznego dostawcy usług ICT będącego częścią szerszej grupy – uwzględniać całą strukturę grupy tego zewnętrznego dostawcy usług ICT. Z jednej strony kluczowi zewnętrzni dostawcy usług ICT, którzy nie zostali automatycznie wyznaczeni na podstawie wspomnianych wyżej kryteriów, powinni mieć możliwość dobrowolnego przystąpienia do ram nadzoru, natomiast z drugiej strony ci zewnętrzni dostawcy usług ICT, których objęto już ramami mechanizmu nadzoru wspierającymi realizację zadań Europejskiego Systemu Banków Centralnych, o których mowa w art. 127 ust. 2 TFUE, powinni zostać zwolnieni.

(78)

Analogicznie podmioty finansowe, które świadczą usługi ICT na rzecz innych podmiotów finansowych, powinny być zwolnione z ram nadzoru – choć należą do kategorii zewnętrznych dostawców usług ICT na mocy niniejszego rozporządzenia – ponieważ podlegają już mechanizmom nadzorczym ustanowionym przez odpowiednie unijne przepisy dotyczące usług finansowych. W stosownych przypadkach w kontekście działań nadzorczych właściwe organy powinny też uwzględniać ryzyko związane z ICT dla podmiotów finansowych, które jest stwarzane przez podmioty finansowe świadczące usługi ICT. Podobnie ze względu na mechanizmy monitorowania ryzyka istniejące na poziomie grupy to samo zwolnienie powinno zostać wprowadzone względem zewnętrznych dostawców usług ICT świadczących usługi głównie na rzecz podmiotów w ramach swojej grupy. Zewnętrzni dostawcy usług ICT świadczący usługi wyłącznie w jednym państwie członkowskim na rzecz podmiotów finansowych działających tylko w tym państwie członkowskim również powinni zostać zwolnieni z mechanizmu wyznaczania ze względu na ich ograniczoną działalność i brak skutków transgranicznych.

(79)

Transformacja cyfrowa zachodząca w usługach finansowych doprowadziła do bezprecedensowego poziomu wykorzystania usług ICT i uzależnienia się od nich. Ponieważ świadczenie usług finansowych bez korzystania z usług chmurowych, rozwiązań w zakresie oprogramowania i usług związanych z danymi nie jest już możliwe, unijny ekosystem finansowy stał się wewnętrznie współzależny od pewnych usług ICT świadczonych przez dostawców usług ICT. Niektórzy z tych dostawców, innowacyjni w opracowywaniu i stosowaniu technologii opartych na ICT, odgrywają znaczącą rolę w świadczeniu usług finansowych lub zostali włączeni do łańcucha wartości usług finansowych. Tym samym mają teraz kluczowe znaczenie dla stabilności i integralności unijnego systemu finansowego. Ta powszechna zależność od usług świadczonych przez kluczowych zewnętrznych dostawców usług ICT, w połączeniu ze współzależnością systemów informacyjnych różnych podmiotów gospodarczych, tworzy bezpośrednie i potencjalnie poważne ryzyko dla unijnego systemu usług finansowych i dla ciągłości świadczenia usług finansowych, gdyby kluczowych zewnętrznych dostawców usług ICT dotknęły zakłócenia operacyjne lub poważne cyberincydenty. Cyberincydenty charakteryzują się wyjątkową zdolnością do zwielokrotniania i rozprzestrzeniania się w całym systemie finansowym w znacznie szybszym tempie niż inne rodzaje ryzyka monitorowane w sektorze finansowym oraz mogą mieć zasięg międzysektorowy i wykraczać poza granice geograficzne. Mogą przekształcić się w kryzys systemowy, w którym zaufanie do systemu finansowego zostanie podkopane w wyniku zakłócenia funkcji wspierających gospodarkę realną lub w związku ze znacznymi stratami finansowymi, i osiągnąć poziom, na którym system finansowy nie będzie w stanie przetrwać lub będzie wymagać uruchomienia poważnych środków amortyzacji wstrząsów. Aby zapobiec urzeczywistnieniu tych scenariuszy, a przez to zagrożeniu stabilności finansowej i integralności Unii, należy zapewnić spójność praktyk nadzorczych dotyczących ryzyka ze strony zewnętrznych dostawców usług ICT w sektorze finansów, w szczególności poprzez nowe przepisy umożliwiające unijny nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT.

(80)

Ramy nadzoru w dużej mierze zależą od stopnia współpracy między wiodącym organem nadzorczym i kluczowym zewnętrznym dostawcą usług ICT, który dostarcza podmiotom finansowym usługi mające wpływ na świadczenie usług finansowych. Skuteczny nadzór opiera się m.in. na zdolności wiodącego organu nadzorczego do skutecznego przeprowadzania misji monitorujących i kontroli w celu oceny zasad, mechanizmów kontroli i procesów stosowanych przez kluczowych zewnętrznych dostawców usług ICT, a także potencjalnego skumulowanego wpływu ich działań na stabilność finansową i integralność systemu finansowego. Jednocześnie podstawowe znaczenie ma to, by kluczowi zewnętrzni dostawcy usług ICT stosowali się do zaleceń wiodącego organu nadzorczego i reagowali na jego uwagi. Ponieważ brak współpracy ze strony kluczowych zewnętrznych dostawców usług ICT dostarczających usługi mające wpływ na świadczenie usług finansowych, np. odmowa udzielenia dostępu do ich pomieszczeń lub przedłożenia informacji, ostatecznie skutkowałby sytuacją, w której wiodący organ nadzorczy zostałby pozbawiony podstawowych narzędzi umożliwiających ocenę ryzyka ze strony zewnętrznych dostawców usług ICT, i mógłby mieć negatywny wpływ na stabilność finansową i integralność systemu finansowego, należy też przewidzieć adekwatny system kar.

(81)

W tym kontekście trudności związane z egzekwowaniem tych kar pieniężnych od kluczowych zewnętrznych dostawców usług ICT mających siedzibę w państwach trzecich nie mogą uniemożliwiać nałożenia przez wiodący organ nadzorczy kar pieniężnych w celu zmuszenia kluczowych zewnętrznych dostawców usług ICT do wypełnienia obowiązków w zakresie przejrzystości i dostępu określonych w niniejszym rozporządzeniu. Aby zapewnić możliwość wyegzekwowania takich kar oraz umożliwić szybkie uruchomienie procedur gwarantujących prawa kluczowych zewnętrznych dostawców usług ICT do obrony w kontekście mechanizmu wyznaczania i wydawania zaleceń, kluczowi zewnętrzni dostawcy usług ICT świadczący usługi podmiotom finansowym mające wpływ na świadczenie usług finansowych powinni być zobowiązani do utrzymywania odpowiedniej obecności biznesowej w Unii. Ze względu na charakter nadzoru i brak porównywalnych ustaleń w innych jurysdykcjach nie istnieją odpowiednie alternatywne mechanizmy zapewniające osiągnięcie tego celu poprzez skuteczną współpracę z organami nadzoru finansowego w państwach trzecich w odniesieniu do monitorowania wpływu cyfrowego ryzyka operacyjnego ze strony systemowych zewnętrznych dostawców usług ICT kwalifikujących się jako kluczowi zewnętrzni dostawcy usług ICT mający siedzibę w państwach trzecich. W związku z tym, aby móc dalej świadczyć usługi ICT na rzecz podmiotów finansowych w Unii, zewnętrzni dostawcy usług ICT mający siedzibę w państwach trzecich, wyznaczeni jako kluczowi zgodnie z niniejszym rozporządzeniem powinni w ciągu 12 miesięcy od takiego wyznaczenia podjąć wszelkie działania niezbędne do uzyskania zdolności prawnej wewnątrz Unii w drodze ustanowienia jednostki zależnej, zgodnie z definicją zawartą w unijnym dorobku prawnym, a mianowicie w dyrektywie Parlamentu Europejskiego i Rady 2013/34/UE (21).

(82)

Wymóg utworzenia jednostki zależnej w Unii nie powinien uniemożliwiać kluczowemu zewnętrznemu dostawcy usług ICT świadczenia usług ICT i powiązanego wsparcia technicznego z obiektów i infrastruktury znajdującej się poza Unią. Niniejsze rozporządzenie nie nakłada obowiązku lokalizacji danych, ponieważ nie nakłada wymogu, by czynności przechowywania i przetwarzania danych były przeprowadzane w Unii.

(83)

Kluczowi zewnętrzni dostawcy usług ICT powinni mieć możliwość świadczenia usług ICT z dowolnego miejsca na świecie, niekoniecznie lub nie tylko z obiektów znajdujących się w Unii. Działania nadzorcze powinny być prowadzone w pierwszej kolejności w obiektach znajdujących się w Unii i poprzez kontakty z podmiotami znajdującymi się w Unii, w tym w jednostkach zależnych ustanowionych przez kluczowych zewnętrznych dostawców usług ICT zgodnie z niniejszym rozporządzeniem. Niemniej jednak takie działania wewnątrz Unii mogą być niewystarczające, by wiodący organ nadzorczy mógł w pełni i skutecznie wykonywać swoje obowiązki wynikające z niniejszego rozporządzenia. Wiodący organ nadzorczy powinien zatem mieć również możliwość wykonywania swoich odpowiednich uprawnień nadzorczych w państwach trzecich. Wykonywanie tych uprawnień w państwach trzecich powinno umożliwić wiodącemu organowi nadzorczemu zbadanie obiektów, z których kluczowy zewnętrzny dostawca usług ICT faktycznie świadczy usługi ICT lub usługi wsparcia technicznego lub nimi zarządza, i powinno pozwolić wiodącemu organowi nadzorczemu na kompleksowy ogląd i zrozumienie – pod kątem operacyjnym – sposobu, w jaki dany dostawca usług ICT zarządza ryzykiem związanym z ICT. Możliwość wykonywania przez wiodący organ nadzorczy – jako agencję unijną – uprawnień poza terytorium Unii powinna być należycie ustrukturyzowana i obwarowana stosownymi warunkami, w szczególności chodzi tu o zgodę ze strony danego kluczowego zewnętrznego dostawcy usług ICT. Podobnie odpowiednie organy państwa trzeciego powinny być poinformowane i nie wyrażać sprzeciwu w odniesieniu do działań wiodącego organu nadzorczego wykonywanych na ich terytorium. Aby jednak zapewnić skuteczne wdrożenie i bez uszczerbku dla odpowiednich kompetencji instytucji Unii i państw członkowskich, takie uprawnienia muszą też być w pełni zakorzenione w porozumieniach o współpracy administracyjnej zawartych z odpowiednimi organami danego państwa trzeciego. Niniejsze rozporządzenie powinno zatem umożliwić EUN zawieranie porozumień o współpracy administracyjnej z odpowiednimi organami państw trzecich, które w żaden sposób nie powinny tworzyć zobowiązań prawnych w odniesieniu do Unii i jej państw członkowskich.

(84)

Aby ułatwić komunikację z wiodącym organem nadzorczym i zapewnić odpowiednią reprezentację, kluczowi zewnętrzni dostawcy usług ICT będący częścią grupy powinni wyznaczyć jedną osobę prawną jako swój punkt koordynacyjny.

(85)

Ramy nadzoru powinny pozostawać bez uszczerbku dla kompetencji państw członkowskich, jeżeli chodzi o prowadzenie własnych misji w zakresie sprawowania nadzoru lub monitorowania w odniesieniu do zewnętrznych dostawców usług ICT, których nie wyznaczono jako kluczowych na mocy niniejszego rozporządzenia, ale którzy są uznawani za istotnych na szczeblu krajowym.

(86)

Aby wykorzystać wielowarstwową strukturę instytucjonalną w obszarze usług finansowych, Wspólny Komitet EUN powinien nadal zapewniać ogólną międzysektorową koordynację w odniesieniu do wszystkich kwestii dotyczących ryzyka związanego z ICT, zgodnie ze swoimi zadaniami w zakresie cyberbezpieczeństwa. Powinien być wspierany przez nowy podkomitet (zwany dalej „forum nadzoru”), który będzie prowadził prace przygotowawcze zarówno w zakresie indywidualnych decyzji skierowanych do kluczowych zewnętrznych dostawców usług ICT, jak i wydawania zbiorowych zaleceń, w szczególności w odniesieniu do analizy porównawczej programów dotyczących sprawowania nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT, a także określania najlepszych praktyk w zakresie rozwiązywania problemów związanych z ryzykiem koncentracji w obszarze ICT.

(87)

Aby zapewnić odpowiedni i skuteczny nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT na szczeblu Unii, w niniejszym rozporządzeniu przewidziano, że dowolny z trzech EUN może zostać wyznaczony jako wiodący organ nadzorczy. Przypisanie poszczególnych kluczowych zewnętrznych dostawców usług ICT jednemu z trzech EUN powinno być oparte na ocenie tego, w którym sektorze finansowym dane podmioty finansowe przeważają i któremu z EUN sektor ten podlega. Podejście to powinno prowadzić do zrównoważonego podziału zadań i obowiązków między trzema EUN w kontekście sprawowania funkcji nadzorczych oraz powinno możliwie najlepiej wykorzystywać zasoby kadrowe i specjalistyczną wiedzę techniczną dostępne w każdym z trzech EUN.

(88)

Wiodącym organom nadzorczym należy powierzyć niezbędne uprawnienia do prowadzenia dochodzeń, przeprowadzania kontroli na miejscu i kontroli zdalnych w obiektach i lokalizacjach kluczowych zewnętrznych dostawców usług ICT oraz uzyskiwania pełnych i aktualnych informacji. Uprawnienia te powinny umożliwić wiodącym organom nadzorczym uzyskanie rzeczywistego wglądu w rodzaj, wymiar i wpływ ryzyka ze strony zewnętrznych dostawców usług ICT dla podmiotów finansowych i ostatecznie dla systemu finansowego Unii. Powierzenie EUN roli wiodących organów nadzorczych jest jednym z warunków wstępnych do zrozumienia i wyeliminowania systemowego wymiaru ryzyka związanego z ICT w sektorze finansów. Wpływ kluczowych zewnętrznych dostawców usług ICT na unijny sektor finansowy oraz potencjalne problemy wynikające z powiązanym ryzykiem koncentracji w obszarze ICT wymagają przyjęcia wspólnego podejścia na szczeblu Unii. Jednoczesne przeprowadzanie licznych audytów i korzystanie z praw dostępu, wykonywane osobno przez szereg właściwych organów, przy niewielkiej lub braku jakiejkolwiek koordynacji pomiędzy nimi, uniemożliwiłoby organom nadzoru finansowego uzyskanie pełnego i kompleksowego przeglądu ryzyka ze strony zewnętrznych dostawców usług ICT w Unii, powodując też przy tym redundancję, obciążenie i złożoność na poziomie kluczowych zewnętrznych dostawców usług ICT, gdyby zostali oni objęci dużą liczbą wniosków o monitorowanie i kontrolę.

(89)

Ze względu na to, że dla konkretnego dostawcy fakt bycia wyznaczonym jako kluczowy zewnętrzny dostawca usług ICT niesie za sobą poważne konsekwencje, niniejsze rozporządzenie powinno zapewniać przestrzeganie praw kluczowych zewnętrznych dostawców usług ICT w całym okresie wdrażania ram nadzoru. Zanim dostawcy zostaną wyznaczeni jako kluczowi, powinni oni przykładowo mieć prawo przedłożyć wiodącemu organowi nadzorczemu uzasadnione oświadczenie zawierające wszelkie istotne informacje na potrzeby oceny związanej z ich wyznaczeniem. W związku z tym, że wiodący organ nadzorczy powinien być uprawniony do przedstawiania zaleceń w zakresie ryzyka związanego z ICT oraz odpowiednich środków zaradczych, w tym prawa do sprzeciwiania się określonym ustaleniom umownym, które ostatecznie wpływają na stabilność podmiotu finansowego lub systemu finansowego, przed finalizacją tych zaleceń kluczowi dostawcy usług ICT również powinni mieć możliwość przedstawienia wyjaśnień dotyczących spodziewanego wpływu rozwiązań proponowanych w tych zaleceniach na klientów będących podmiotami nieobjętymi zakresem stosowania niniejszego rozporządzenia i zaproponowania rozwiązań służących łagodzeniu ryzyka. Kluczowi dostawcy usług ICT, którzy nie zgadzają się z zaleceniami, również przedstawić uzasadnione wyjaśnienie powodów, dla których nie zamierzają przyjąć danego zalecenia. W przypadku gdy nieprzedstawienia takiego uzasadnienia lub uznania przedstawionego uzasadnienia za niewystarczające, wiodący organ nadzorczy powinien wydać publiczne ogłoszenie opisujące zwięźle kwestię niezgodności.

(90)

Właściwe organy powinny mieć za zadanie sprawdzenie tego, czy zalecenia wydane przez wiodący organ nadzorczy w ramach jego funkcji dotyczących nadzoru ostrożnościowego nad podmiotami finansowymi są przestrzegane pod kątem merytorycznym. Właściwe organy powinny mieć możliwość wymagania od podmiotów finansowych, by te podjęły dodatkowe środki w celu zwalczania ryzyka stwierdzonego w zaleceniach wiodącego organu nadzorczego, oraz we właściwym czasie powinny wydać stosowne zawiadomienia. W przypadku gdy wiodący organ nadzorczy kieruje zalecenia do kluczowych zewnętrznych dostawców usług ICT, którzy podlegają nadzorowi na mocy dyrektywy (UE) 2022/2555, właściwe organy powinny mieć możliwość skonsultowania się, na zasadzie dobrowolności i przed przyjęciem dodatkowych środków, z właściwymi organami na mocy tej dyrektywy w celu przyjęcia skoordynowanego podejścia do danych kluczowych zewnętrznych dostawców usług ICT.

(91)

Sprawowanie nadzoru powinno opierać się na trzech zasadach operacyjnych mających na celu zapewnienie: a) ścisłej koordynacji pomiędzy EUN działającymi jako wiodący organ nadzorczy, poprzez wspólną sieć nadzoru, b) spójności z ramami ustanowionymi dyrektywą (UE) 2022/2555 (poprzez dobrowolne konsultacje z organami na mocy tej dyrektywy w celu uniknięcia powielania środków ukierunkowanych na kluczowych zewnętrznych dostawców usług ICT), oraz c) staranności w celu zminimalizowania potencjalnego ryzyka zakłócenia usług świadczonych przez kluczowych dostawców usług ICT na rzecz klientów będących podmiotami nieobjętymi zakresem stosowania niniejszego rozporządzenia.

(92)

Ramy nadzoru nie powinny zastępować, ani w żaden sposób lub w żadnej części stanowić zamiennika obowiązku zarządzania przez podmioty finansowe ryzykiem wynikającym z korzystania z zewnętrznych dostawców usług ICT, w tym obowiązku bieżącego monitorowania ustaleń umownych uzgodnionych z kluczowymi zewnętrznymi dostawcami usług ICT. Analogicznie ramy nadzoru nie powinny mieć wpływu na pełną odpowiedzialność podmiotów finansowych za przestrzeganie i wywiązywanie się ze wszystkich zobowiązań prawnych ustanowionych w niniejszym rozporządzeniu i w odpowiednich przepisach dotyczących usług finansowych.

(93)

Aby uniknąć powielania i nakładania się działań, właściwe organy powinny powstrzymać się od samodzielnego podejmowania jakichkolwiek środków mających na celu monitorowanie ryzyka ze strony kluczowych zewnętrznych dostawców usług ICT i w tym względzie powinny opierać się na ocenie odpowiednich wiodących organów nadzorczych. W każdym przypadku wszelkie środki należy uprzednio skoordynować i uzgodnić z danymi wiodącymi organami nadzorczymi w kontekście wykonywania zadań objętych ramami nadzoru.

(94)

Aby wspierać ujednolicenie na szczeblu międzynarodowym stosowania najlepszych praktyk, które mają być stosowane przy dokonywaniu przeglądu i monitorowaniu cyfrowego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT, należy zachęcać EUN do zawierania porozumień o współpracy z odpowiednimi organami nadzoru i organami regulacyjnymi państw trzecich.

(95)

Aby wykorzystać szczególne kompetencje, umiejętności techniczne i wiedzę pracowników specjalizujących się w ryzyku operacyjnym i ryzyku związanym z ICT w ramach właściwych organów, trzy EUN oraz – na zasadzie dobrowolności – właściwe organy na mocy dyrektywy (UE) 2022/2555 i wiodący organ nadzorczy powinny korzystać z umiejętności i wiedzy poszczególnych krajów w zakresie nadzoru i ustanowić specjalne zespoły ds. kontroli dla każdego z poszczególnych kluczowych zewnętrznych dostawców usług ICT, łącząc multidyscyplinarne zespoły w celu wspierania zarówno przygotowania, jak i realizacji działań nadzorczych, w tym dochodzeń ogólnych i kontroli u kluczowych zewnętrznych dostawców usług ICT, a także z myślą o wszelkich niezbędnych działaniach następczych.

(96)

Choć koszty wynikające z zadań nadzorczych byłyby w pełni finansowane z opłat pobieranych od kluczowych zewnętrznych dostawców usług ICT, EUN prawdopodobnie poniosą, przed rozpoczęciem obowiązywania ram nadzoru, koszty wdrożenia specjalnych systemów ICT wspierających przyszły nadzór, ponieważ specjalne systemy ICT musiałyby zostać wcześniej opracowane i wdrożone. W związku z tym niniejsze rozporządzenie przewiduje model finansowania hybrydowego, w ramach którego ramy nadzoru jako takie byłyby w całości finansowane z opłat, a opracowywanie systemów ICT w EUN byłoby finansowane ze środków unijnych i wkładów wnoszonych przez właściwe organy krajowe.

(97)

Właściwe organy powinny posiadać wszelkie wymagane uprawnienia w zakresie sprawowania nadzoru, prowadzenia dochodzeń i nakładania kar, aby zapewnić prawidłowe wykonywanie obowiązków spoczywających na nich na mocy niniejszego rozporządzenia. Powinny one co do zasady publikować zawiadomienia o nakładanych karach administracyjnych. Ponieważ podmioty finansowe i zewnętrzni dostawcy usług ICT mogą mieć siedziby w różnych państwach członkowskich oraz podlegać nadzorowi różnych właściwych organów, należy ułatwić stosowanie niniejszego rozporządzenia, z jednej strony, poprzez ścisłą współpracę pomiędzy odpowiednimi właściwymi organami, w tym EBC w zakresie zadań szczególnych powierzonych mu na mocy rozporządzenia Rady (UE) nr 1024/2013, oraz, z drugiej strony, poprzez konsultacje z EUN w drodze wzajemnej wymiany informacji i dzięki zapewnieniu pomocy w kontekście odpowiedniej działalności nadzorczej.

(98)

W celu dalszego ilościowego i jakościowego określenia kryteriów wyznaczania kluczowych zewnętrznych dostawców usług ICT oraz ujednolicenia opłat z tytułu nadzoru, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE, aby uzupełnić niniejsze rozporządzenie w odniesieniu do bardziej szczegółowego określenia skutków systemowych, jakie awaria lub przestój operacyjny zewnętrznego dostawcy usług ICT mogłyby mieć dla podmiotów finansowych, na rzecz których świadczy usługi, liczby globalnych instytucji o znaczeniu systemowym lub innych instytucji o znaczeniu systemowym, które polegają na danym zewnętrznym dostawcy usług ICT, liczby zewnętrznych dostawców usług ICT działających na danym rynku, kosztów migracji danych i nakładów pracy w zakresie ICT do innych zewnętrznych dostawców usług ICT, a także wysokości opłat z tytułu nadzoru oraz sposobu ich uiszczania. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby były one prowadzone zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa (22). W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te powinny otrzymywać wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji powinni systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(99)

Regulacyjne standardy techniczne powinny zapewniać spójną harmonizację wymogów ustanowionych w niniejszym rozporządzeniu. Opracowanie projektów regulacyjnych standardów technicznych, które nie wymagają podejmowania decyzji politycznych, w celu przedłożenia Komisji, należy powierzyć EUN działającym jako organy dysponujące wysokim poziomem wiedzy specjalistycznej. Należy opracować regulacyjne standardy techniczne w dziedzinie zarządzania ryzykiem związanym z ICT, zgłaszania poważnych incydentów związanych z ICT, testowania i w odniesieniu do najważniejszych wymogów dotyczących należytego monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT. Komisja i EUN powinny zapewnić, aby wspomniane standardy i wymogi mogły być stosowane przez wszystkie podmioty finansowe w sposób proporcjonalny do ich wielkości i ogólnego profilu ryzyka oraz charakteru, skali i stopnia złożoności ich usług, działań i operacji. Komisja powinna być uprawniona do przyjmowania tych regulacyjnych standardów technicznych w drodze aktów delegowanych zgodnie z art. 290 TFUE oraz zgodnie z art. 10–14 rozporządzeń (UE) nr 1093/2010, (UE) nr 1094/2010 i (UE) nr 1095/2010.

(100)

W celu ułatwienia porównywalności sprawozdań dotyczących poważnych incydentów związanych z ICT i poważnych incydentów operacyjnych lub poważnych incydentów w zakresie bezpieczeństwa związanych z płatnościami oraz w celu zapewnienia przejrzystości w zakresie ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT, EUN powinny opracować projekty wykonawczych standardów technicznych ustanawiających standardowe wzory, formularze i procedury dla podmiotów finansowych na potrzeby zgłaszania poważnych incydentów związanych z ICT i poważnych incydentów operacyjnych lub poważnych incydentów w zakresie bezpieczeństwa związanych z płatnościami, jak również standardowych wzorów na potrzeby rejestrowania informacji. Przy opracowywaniu tych standardów EUN powinny brać pod uwagę wielkość i ogólny profil ryzyka danego podmiotu finansowego oraz charakter, skalę i stopień złożoności jego usług, działań i operacji. Komisja powinna być uprawniona do przyjmowania tych wykonawczych standardów technicznych w drodze aktów wykonawczych zgodnie z art. 291 TFUE oraz zgodnie z art. 15 rozporządzeń (UE) nr 1093/2010, (UE) nr 1094/2010 oraz (UE) nr 1095/2010.

(101)

Ponieważ dalsze wymogi określono już w aktach delegowanych i wykonawczych opartych na regulacyjnych i wykonawczych standardach technicznych w rozporządzeniach Parlamentu Europejskiego i Rady (WE) nr 1060/2009 (23), (UE) nr 648/2012 (24), (UE) nr 600/2014 (25) i (UE) nr 909/2014 (26), należy upoważnić EUN, indywidualnie albo wspólnie za pośrednictwem Wspólnego Komitetu, do przedłożenia Komisji regulacyjnych i wykonawczych standardów technicznych w celu przyjęcia aktów delegowanych i wykonawczych przenoszących i aktualizujących istniejące przepisy dotyczące zarządzania ryzykiem związanym z ICT.

(102)

Ponieważ niniejsze rozporządzenie, wraz z dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2556 (27), pociąga za sobą konsolidację przepisów dotyczących zarządzania ryzykiem związanym z ICT obejmujących wiele rozporządzeń i dyrektyw z unijnego dorobku prawnego w zakresie usług finansowych, w tym rozporządzeń (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 i (UE) nr 909/2014 oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/1011 (28), w celu zapewnienia pełnej spójności należy zmienić te rozporządzenia, aby wyjaśnić, że mające zastosowanie przepisy dotyczące ryzyka związanego z ICT ustanowiono w niniejszym rozporządzeniu.

(103)

W związku z tym zakres odpowiednich artykułów związanych z ryzykiem operacyjnym, na mocy których powierzono uprawnienia ustanowione w rozporządzeniach (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 (UE) nr 909/2014 oraz (UE) 2016/1011 do przyjmowania aktów delegowanych i wykonawczych, należy zawęzić z myślą o przeniesieniu do niniejszego rozporządzenia wszystkich przepisów obejmujących aspekty operacyjnej odporności cyfrowej stanowiących obecnie część tych rozporządzeń.

(104)

Potencjalne systemowe ryzyko w cyberprzestrzeni związane z wykorzystywaniem infrastruktury ICT umożliwiającej funkcjonowanie systemów płatniczych i prowadzenie działań w zakresie przetwarzania płatności powinno być należycie uwzględnione na szczeblu Unii poprzez zharmonizowane przepisy dotyczące odporności cyfrowej. W tym celu Komisja powinna szybko ocenić potrzebę dokonania przeglądu zakresu stosowania niniejszego rozporządzenia, dostosowując taki przegląd do wyniku kompleksowego przeglądu przewidzianego na mocy dyrektywy (UE) 2015/2366. Liczne ataki na wielką skalę w ostatnim dziesięcioleciu pokazują, że systemy płatności są narażone na cyberzagrożenia. Systemy płatnicze i działania w zakresie przetwarzania płatności, które zostały umieszczone w centrum łańcucha usług płatniczych i wykazują silne powiązania z ogólnym systemem finansowym, mają obecnie podstawowe znaczenie dla funkcjonowania unijnych rynków finansowych. Cyberataki na takie systemy mogą powodować poważne zakłócenia w działalności operacyjnej i mieć bezpośredni wpływ na najważniejsze funkcje gospodarcze, takie jak uproszczenie płatności, oraz pośrednie skutki dla powiązanych procesów gospodarczych. Do czasu wprowadzenia na szczeblu Unii zharmonizowanego systemu oraz nadzoru nad operatorami systemów płatniczych i podmiotami prowadzącymi czynności przetwarzania, państwa członkowskie mogą, przy stosowaniu przepisów wobec operatorów systemów płatniczych i podmiotów prowadzących czynności przetwarzania podlegających nadzorowi w ramach ich jurysdykcji – z myślą o stosowaniu podobnych praktyk rynkowych – inspirować się wymogami w zakresie operacyjnej odporności cyfrowej ustanowionymi w niniejszym rozporządzeniu.

(105)

Ponieważ cel niniejszego rozporządzenia, a mianowicie osiągnięcie wysokiego poziomu operacyjnej odporności cyfrowej w odniesieniu do regulowanych podmiotów finansowych, nie może zostać w wystarczającym stopniu osiągnięty przez państwa członkowskie, gdyż wymaga harmonizacji wielu różnych przepisów w prawie Unii i prawie krajowym, natomiast ze względu na skalę i skutki osiągnięcie tego celu może być bardziej skuteczne na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu.

(106)

Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (29) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 10 maja 2021 r. (30),

(1)

Celem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 (4) było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do bezpieczeństwa Unii oraz do sprawnego funkcjonowania jej gospodarki i społeczeństwa.

(2)

Od momentu wejścia w życie dyrektywy (UE) 2016/1148 poczyniono znaczne postępy w podnoszeniu poziomu cyberodporności Unii. Przegląd tej dyrektywy pokazał, że stanowiła ona katalizator zmian w instytucjonalnym i regulacyjnym podejściu do cyberbezpieczeństwa w Unii oraz spowodowała znaczącą zmianę w sposobie myślenia. Dzięki tej dyrektywie utworzono ramy krajowe w zakresie bezpieczeństwa sieci i systemów informatycznych poprzez przyjęcie krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych i określenie krajowych zdolności oraz wdrożenie środków regulacyjnych obejmujących niezbędną infrastrukturę i podmioty wskazane przez poszczególne państwa członkowskie. Dyrektywa (UE) 2016/1148 przyczyniła się także do współpracy na poziomie Unii dzięki ustanowieniu Grupy Współpracy oraz sieci krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego. Pomimo tych osiągnięć przegląd dyrektywy (UE) 2016/1148 ujawnił tkwiące w niej braki, które uniemożliwiają skuteczne zaradzenie obecnym i pojawiającym się wyzwaniom w zakresie cyberbezpieczeństwa.

(3)

Wraz z szybko postępującą transformacją cyfrową i siecią wzajemnych połączeń w społeczeństwie, w tym w kontekście wymiany transgranicznej, sieci i systemy informatyczne stały się zasadniczym elementem codziennego życia. Zmiana ta doprowadziła do ewolucji krajobrazu cyberzagrożeń, przynosząc nowe wyzwania, które wymagają dostosowanych, skoordynowanych i innowacyjnych reakcji we wszystkich państwach członkowskich. Liczba, skala, zaawansowanie, częstotliwość oraz wpływ incydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. W rezultacie incydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz powodować poważne szkody dla gospodarki i społeczeństwa Unii. Dlatego gotowość i skuteczność w obszarze cyberbezpieczeństwa stają się coraz ważniejsze dla prawidłowego funkcjonowania rynku wewnętrznego niż kiedykolwiek wcześniej. Ponadto w wielu sektorach krytycznych cyberbezpieczeństwo należy do kluczowych czynników umożliwiających udany przebieg transformacji cyfrowej i pełne wykorzystanie ekonomicznych i społecznych korzyści wynikających z cyfryzacji.

(4)

Podstawę prawną dyrektywy (UE) 2016/1148 stanowił art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), którego celem jest ustanowienie i zapewnienie funkcjonowania rynku wewnętrznego przez usprawnienie środków służących zbliżeniu przepisów krajowych. Wymogi w zakresie cyberbezpieczeństwa nałożone na podmioty świadczące usługi lub prowadzące działalność kluczową z ekonomicznego punktu widzenia różnią się znacznie – swoim rodzajem i poziomem szczegółowości, a także metodami nadzoru – w zależności od państwa członkowskiego. Rozbieżności te pociągają za sobą dodatkowe koszty i powodują trudności dla podmiotów, które oferują towary lub usługi transgranicznie. Wymogi nałożone przez jedno państwo członkowskie, które różnią się od wymogów nałożonych przez inne państwo członkowskie lub nawet są z nimi sprzeczne, mogą w istotny sposób wpływać na taką transgraniczną działalność. Ponadto ewentualne nieodpowiednie zaprojektowanie lub wdrożenie wymogów dotyczących cyberbezpieczeństwa prawdopodobnie wywrze negatywny wpływ na poziom cyberbezpieczeństwa innych państw członkowskich, w szczególności z uwagi na intensywność wymiany transgranicznej. Z przeglądu dyrektywy (UE) 2016/1148 wynika, że istnieją znaczne rozbieżności w jej wdrażaniu przez państwa członkowskie, w tym pod względem jej zakresu, którego ustalenie w znacznej mierze pozostawiono do uznania państw członkowskich. W dyrektywie (UE) 2016/1148 zapewniono państwom członkowskim bardzo duży margines swobody także w odniesieniu do wdrażania ustanowionych w niej obowiązków dotyczących bezpieczeństwa i zgłaszania incydentów. W rezultacie obowiązki te zostały wdrożone na poziomie krajowym w bardzo różny sposób. Podobne rozbieżności we wdrażaniu wystąpiły w odniesieniu do przepisów dyrektywy (UE) 2016/1148 dotyczących nadzoru i egzekwowania prawa.

(5)

Wszystkie te rozbieżności pociągają za sobą fragmentację rynku wewnętrznego i mogą szkodliwie wpływać na jego funkcjonowanie, oddziałując w szczególności na transgraniczne świadczenie usług i poziom cyberodporności ze względu na stosowanie zróżnicowanych środków. Ostatecznie rozbieżności te mogą prowadzić do większej podatności niektórych państw członkowskich na cyberzagrożenia, co może wywołać reperkusje dla całej Unii. Celem niniejszej dyrektywy jest wyeliminowanie takich rozbieżności między państwami członkowskimi, w szczególności przez określenie przepisów minimalnych dotyczących funkcjonowania skoordynowanych ram regulacyjnych, ustanowienie mechanizmów skutecznej współpracy między odpowiedzialnymi organami w poszczególnych państwach członkowskich, zaktualizowanie wykazu sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz wprowadzenie skutecznych środków naprawczych i środków egzekwowania, które są kluczowe dla skutecznego egzekwowania tych obowiązków. Dyrektywę (UE) 2016/1148 należy zatem uchylić i zastąpić niniejszą dyrektywą.

(6)

Wraz z uchyleniem dyrektywy (UE) 2016/1148 należy rozszerzyć zakres stosowania przepisów przez poszczególne sektory na większą część gospodarki, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej na rynku wewnętrznym. W szczególności niniejsza dyrektywa ma na celu wyeliminowanie niedociągnięć wynikających z rozróżnienia operatorów usług kluczowych i dostawców usług cyfrowych, które okazało się nieaktualne, ponieważ nie odzwierciedla znaczenia danych sektorów lub usług dla działalności społecznej i gospodarczej na rynku wewnętrznym.

(7)

Na podstawie dyrektywy (UE) 2016/1148 państwa członkowskie były odpowiedzialne za identyfikację podmiotów spełniających kryteria pozwalające na uznanie ich za operatorów usług kluczowych. Aby wyeliminować znaczne rozbieżności pod tym względem między państwami członkowskimi oraz zapewnić wszystkim podmiotom objętym regulacją pewność prawa w odniesieniu do środków zarządzania ryzykiem w cyberbezpieczeństwie i do obowiązków dotyczących zgłaszania incydentów, należy ustanowić jednolite kryterium określające, które podmioty są objęte zakresem stosowania niniejszej dyrektywy. Kryterium to powinno przewidywać stosowanie zasady wielkościowej przewidującej, że zakres stosowania niniejszej dyrektywy obejmuje wszystkie podmioty, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia Komisji 2003/361/WE (5) lub które przekraczają pułapy dla średnich przedsiębiorstw określone w ust. 1 tego artykułu oraz które działają w sektorach objętych tą dyrektywą lub świadczą objęte nią rodzaje usług lub prowadzą objętą nią działalność. Państwa członkowskie powinny również zapewnić objęcie zakresem niniejszej dyrektywy niektórych małych przedsiębiorstw i mikroprzedsiębiorstw zgodnie z definicją w art. 2 ust. 2 i 3 tego załącznika, które spełniają szczególne kryteria wskazujące na kluczową rolę dla społeczeństwa, gospodarki lub konkretnych sektorów lub rodzajów usług.

(8)

Wyłączenie podmiotów administracji publicznej z zakresu stosowania niniejszej dyrektywy powinno mieć zastosowanie do podmiotów, które prowadzą działalność głównie w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności, lub egzekwowania prawa, w tym działania związane z zapobieganiem przestępstwom, prowadzeniem postępowań w ich sprawie, wykrywaniem ich i ściganiem. Jednakże podmioty administracji publicznej, których działalność jedynie w niewielkim stopniu wiąże się z tymi obszarami, nie są wyłączone z zakresu stosowania niniejszej dyrektywy. Do celów niniejszej dyrektywy podmioty posiadające kompetencje regulacyjne nie są uznawane za prowadzące działalność w obszarze egzekwowania prawa i dlatego nie są wyłączone z tej przyczyny z zakresu stosowania niniejszej dyrektywy. Podmioty administracji publicznej ustanowione wspólnie z państwem trzecim zgodnie z umową międzynarodową są wyłączone z zakresu stosowania niniejszej dyrektywy. Niniejsza dyrektywa nie ma zastosowania do misji dyplomatycznych i konsularnych państw członkowskich w państwach trzecich ani do ich sieci i systemów informatycznych, o ile takie systemy znajdują się na terenie misji lub są eksploatowane na potrzeby użytkowników w państwie trzecim.

(9)

Państwa członkowskie powinny móc stosować niezbędne środki zapewniające ochronę podstawowych interesów bezpieczeństwa narodowego, gwarantujące porządek publiczny i bezpieczeństwo publiczne oraz umożliwiające zapobieganie przestępstwom, prowadzenie postępowań w ich sprawie, ich wykrywanie i ściganie. W tym celu państwa członkowskie powinny móc zwolnić określone podmioty, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobieganie przestępstwom, prowadzenie postępowań w ich sprawie, ich wykrywanie i ściganie, z niektórych obowiązków określonych w niniejszej dyrektywie w odniesieniu do tych działań. Jeżeli dany podmiot świadczy usługi wyłącznie na rzecz podmiotu administracji publicznej, który jest wyłączony z zakresu stosowania niniejszej dyrektywy, państwa członkowskie powinny móc zwolnić ten podmiot z niektórych obowiązków określonych w niniejszej dyrektywie w odniesieniu do tych usług. Ponadto żadne państwo członkowskie nie powinno mieć obowiązku udzielania informacji, których ujawnienie jest sprzeczne z podstawowymi interesami jego bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obronności. W tym kontekście należy wziąć pod uwagę unijne lub krajowe przepisy o ochronie informacji niejawnych, umowy dotyczące zachowania poufności oraz nieformalne porozumienia dotyczące zachowania poufności, takie jak kod poufności TLP (Traffic Light Protocol). Kod poufności TLP należy rozumieć jako narzędzie służące informowaniu o ograniczeniach w dalszym rozpowszechnianiu informacji. Jest on wykorzystywany w niemal wszystkich zespołach reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) oraz w niektórych centrach analizy i wymiany informacji.

(10)

Mimo iż niniejsza dyrektywa ma zastosowanie do podmiotów prowadzących działalność w zakresie wytwarzania energii elektrycznej w elektrowniach jądrowych, niektóre rodzaje takiej działalności mogą być powiązane z bezpieczeństwem narodowym. W takim przypadku państwo członkowskie powinno móc wykonywać swoje obowiązki dotyczące ochrony bezpieczeństwa narodowego w odniesieniu do tej działalności, w tym działalności w łańcuchu wartości sektora jądrowego, zgodnie z Traktatami.

(11)

Niektóre podmioty prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobieganie przestępstwom, prowadzenie postępowań w ich sprawie, wykrywanie ich i ściganie, a jednocześnie świadczą usługi zaufania. Dostawców usług zaufania, którzy są objęci zakresem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 (6), należy objąć zakresem stosowania niniejszej dyrektywy, aby zapewnić poziom wymogów bezpieczeństwa i nadzoru identyczny z określonym wcześniej w tym rozporządzeniu w odniesieniu do dostawców usług zaufania. W związku z wyłączeniem niektórych konkretnych usług z zakresu stosowania rozporządzenia (UE) nr 910/2014 niniejsza dyrektywa nie powinna mieć zastosowania do świadczenia usług zaufania wykorzystywanych wyłącznie w obrębie zamkniętych systemów wynikających z prawa krajowego lub z porozumień zawartych przez określoną grupę uczestników.

(12)

Operatorzy świadczący usługi pocztowe zdefiniowani w dyrektywie Parlamentu Europejskiego i Rady 97/67/WE (7), w tym dostawcy usług kurierskich, powinni podlegać niniejszej dyrektywie, jeżeli świadczą usługi na co najmniej jednym z etapów łańcucha doręczania przesyłek pocztowych, a w szczególności przyjmowania, sortowania, transportu lub doręczania, w tym odbioru przesyłek, przy uwzględnieniu stopnia ich zależności od sieci i systemów informatycznych. Usługi transportowe, które nie są świadczone w związku z jednym z wymienionych etapów, powinny być wyłączone z zakresu usług pocztowych.

(13)

Zważywszy na intensyfikację i coraz większe wyrafinowanie cyberzagrożeń, państwa członkowskie powinny starać się zapewnić osiągnięcie wysokiego poziomu cyberbezpieczeństwa przez podmioty wyłączone z zakresu stosowania niniejszej dyrektywy oraz wspierać wdrażanie równoważnych środków zarządzania ryzykiem w cyberbezpieczeństwie, które odzwierciedlają wrażliwy charakter tych podmiotów.

(14)

Do przetwarzania danych osobowych na podstawie niniejszej dyrektywy mają zastosowanie unijne przepisy dotyczące ochrony danych oraz unijne przepisy dotyczące prywatności. W szczególności niniejsza dyrektywa nie narusza rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (8) i dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady (9). Niniejsza dyrektywa nie powinna zatem wpływać między innymi na zadania i uprawnienia organów właściwych do spraw monitorowania zgodności z obowiązującymi unijnymi przepisami dotyczącymi ochrony danych i unijnymi przepisami dotyczącymi ochrony prywatności.

(15)

Podmioty, które są objęte zakresem stosowania niniejszej dyrektywy w celu przestrzegania środków zarządzania ryzykiem w cyberbezpieczeństwie i obowiązków dotyczących zgłaszania incydentów, należy podzielić na dwie kategorie – podmioty kluczowe i podmioty ważne, w zależności od tego, jak bardzo ich znaczenie jest zasadnicze dla ich sektorów lub dla rodzaju świadczonych przez nie usług, a także od ich wielkości. W związku z tym właściwe organy powinny w stosownych przypadkach należycie uwzględniać odpowiednie sektorowe oszacowania ryzyka lub wskazówki. Należy zróżnicować systemy nadzoru i egzekwowania między tymi dwiema kategoriami podmiotów, aby zapewnić odpowiednią równowagę między wymogami i obowiązkami związanymi z ryzykiem a obciążeniem administracyjnym wynikającym z nadzoru nad zgodnością z przepisami.

(16)

Stosując art. 6 ust. 2 załącznika do zalecenia 2003/361/WE, państwa członkowskie mogą uwzględnić stopień niezależności podmiotu w stosunku do jego przedsiębiorstw partnerskich lub powiązanych, aby uniknąć uznawania podmiotów, które mają przedsiębiorstwa partnerskie lub które są przedsiębiorstwami powiązanymi, za podmioty kluczowe lub ważne, gdyby było to nieproporcjonalne. W szczególności państwa członkowskie mogą uwzględnić fakt, że dany podmiot jest niezależny od przedsiębiorstw partnerskich lub powiązanych pod względem sieci i systemów informatycznych, z których korzysta przy świadczeniu usług, a także pod względem świadczonych przez siebie usług. Na tej podstawie, w stosownych przypadkach, państwa członkowskie mogą uznać, że taki podmiot nie kwalifikuje się jako średnie przedsiębiorstwo na podstawie art. 2 załącznika do zalecenia 2003/361/WE, ani nie przekracza określonych dla średniego przedsiębiorstwa pułapów, określonych w ust. 1 tego artykułu, jeżeli po uwzględnieniu stopnia niezależności tego podmiotu nie zostałby on uznany za kwalifikujący się jako średnie przedsiębiorstwo lub przekraczający te pułapy, w przypadku gdy uwzględniono tylko jego własne dane. Nie wpływa to na określone w niniejszej dyrektywie obowiązki przedsiębiorstw partnerskich i powiązanych, które są objęte zakresem jej stosowania.

(17)

Państwa członkowskie powinny mieć możliwość decydowania, że za podmioty kluczowe należy uznać podmioty zidentyfikowane przed wejściem w życie niniejszej dyrektywy jako operatorzy usług kluczowych zgodnie z dyrektywą (UE) 2016/1148.

(18)

W celu zapewnienia przejrzystego przeglądu podmiotów objętych zakresem stosowania niniejszej dyrektywy, państwa członkowskie powinny utworzyć wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. W tym celu państwa członkowskie powinny zobowiązać podmioty do przekazywania właściwym organom co najmniej następujących informacji: nazwy, adresu i aktualnych danych kontaktowych, w tym adresów poczty elektronicznej, zakresów adresów IP i numerów telefonicznych podmiotu oraz, w stosownych przypadkach, odpowiedniego sektora i podsektora, o których mowa w załącznikach, a także, w stosownych przypadkach, wykazu państw członkowskich, w których dany podmiot świadczy usługi objęte zakresem stosowania niniejszej dyrektywy. W tym celu Komisja, z pomocą Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), powinna bez zbędnej zwłoki podać wytyczne i wzory na potrzeby obowiązku przekazywania informacji. Aby ułatwić utworzenie i aktualizację wykazu podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen, państwa członkowskie powinny móc ustanowić mechanizmy krajowe umożliwiające podmiotom samodzielną rejestrację. Jeżeli rejestry istnieją na poziomie krajowym, państwa członkowskie mogą decydować o odpowiednich mechanizmach umożliwiających identyfikację podmiotów objętych zakresem stosowania niniejszej dyrektywy.

(19)

Państwa członkowskie powinny być odpowiedzialne za poinformowanie Komisji co najmniej o liczbie podmiotów kluczowych i ważnych dla każdego sektora i podsektora, o których mowa w załącznikach, a także przekazanie jej odpowiednich informacji o liczbie zidentyfikowanych podmiotów i o tym, na podstawie którego przepisu – spośród ustanowionych w niniejszej dyrektywie – zostały one zidentyfikowane oraz rodzaju świadczonej przez te podmioty usługi. Zachęca się państwa członkowskie, aby wymieniały z Komisją informacje o podmiotach kluczowych i ważnych oraz – w przypadku incydentu dotyczącego cyberbezpieczeństwa na dużą skalę – odpowiednie informacje takie jak nazwa danego podmiotu.

(20)

Komisja powinna, we współpracy z Grupą Współpracy i po konsultacji z odpowiednimi zainteresowanymi stronami, podać wytyczne dotyczące wdrażania kryteriów mających zastosowanie do mikroprzedsiębiorstw i małych przedsiębiorstw, do celów oceny, czy są one objęte zakresem stosowania niniejszej dyrektywy. Komisja powinna też zapewnić, aby mikroprzedsiębiorstwa i małe przedsiębiorstwa objęte zakresem stosowania niniejszej dyrektywy otrzymywały odpowiednie wytyczne. Komisja powinna – z pomocą państw członkowskich – udostępniać mikroprzedsiębiorstwom i małym przedsiębiorstwom informacje w tym zakresie.

(21)

Komisja może wydawać wytyczne, aby pomóc państwom członkowskim w prawidłowym wdrażaniu przepisów niniejszej dyrektywy dotyczących zakresu jej stosowania oraz w ocenie proporcjonalności środków do zastosowania na podstawie niniejszej dyrektywy, w szczególności w odniesieniu do podmiotów o złożonych modelach biznesowych lub środowiskach operacyjnych, gdzie podmiot może jednocześnie spełniać kryteria bycia podmiotem kluczowym i podmiotem ważnym lub może jednocześnie prowadzić działania, z których jedne są objęte zakresem stosowania niniejszej dyrektywy, a inne są z niego wyłączone.

(22)

Niniejsza dyrektywa określa poziom odniesienia dla środków zarządzania ryzykiem w cyberbezpieczeństwie i dla obowiązków dotyczących zgłaszania incydentów w sektorach, które wchodzą w zakres jej stosowania. Aby uniknąć fragmentacji przepisów o cyberbezpieczeństwie zawartych w aktach prawnych Unii, jeżeli kolejne sektorowe akty prawne Unii regulujące środki zarządzania ryzykiem w cyberbezpieczeństwie i obowiązki w zakresie zgłaszania incydentów zostaną uznane za niezbędne do zapewnienia wysokiego poziomu cyberbezpieczeństwa w całej Unii, Komisja powinna ocenić, czy takie przepisy można określić w akcie wykonawczym na podstawie niniejszej dyrektywy. Gdyby taki akt wykonawczy nie był odpowiedni do tego celu, do zapewnienia wysokiego poziomu cyberbezpieczeństwa w całej Unii można wykorzystać sektorowe akty prawne Unii, przy pełnym uwzględnieniu specyfiki i złożoności danych sektorów. W związku z tym niniejsza dyrektywa nie stanowi przeszkody dla przyjęcia kolejnych sektorowych aktów prawnych Unii regulujących środki zarządzania ryzykiem w cyberbezpieczeństwie i obowiązki w zakresie zgłaszania incydentów, należycie uwzględniających potrzebę kompleksowych i spójnych ram dotyczących cyberbezpieczeństwa. Niniejsza dyrektywa nie narusza istniejących uprawnień wykonawczych, które powierzono Komisji w wielu sektorach, w tym w sektorach transportu i energetyki.

(23)

Jeżeli sektorowy akt prawny Unii zawiera przepisy wymagające od podmiotów kluczowych lub ważnych, aby przyjęły środki zarządzania ryzykiem w cyberbezpieczeństwie lub zgłaszały poważne incydenty, i jeżeli wymogi te są co najmniej równoważne pod względem skutku obowiązkom określonym w niniejszej dyrektywie, wówczas te przepisy, w tym dotyczące nadzoru i egzekwowania prawa, powinny mieć zastosowanie do takich podmiotów. Jeżeli sektorowy akt prawny Unii nie obejmuje wszystkich podmiotów w danym sektorze wchodzących w zakres stosowania niniejszej dyrektywy, odnośne przepisy niniejszej dyrektywy powinny nadal mieć zastosowanie do podmiotów nieobjętych tym aktem.

(24)

Jeżeli przepisy sektorowego aktu prawnego Unii wymagają, aby podmioty kluczowe lub ważne spełniały obowiązki w zakresie zgłaszania incydentów, które są co najmniej równoważne pod względem skutku obowiązkom w zakresie zgłaszania incydentów określonym w niniejszej dyrektywie, należy zapewnić spójność i skuteczność postępowania w przypadku zgłoszeń incydentów. W tym celu przepisy dotyczące zgłaszania incydentów sektorowego aktu prawnego Unii powinny zapewniać CSIRT, właściwym organom lub pojedynczym punktom kontaktowym do spraw cyberbezpieczeństwa (pojedynczym punktom kontaktowym) na podstawie niniejszej dyrektywy natychmiastowy dostęp do zgłoszeń incydentów zgodnie z sektorowym aktem prawnym Unii. W szczególności taki natychmiastowy dostęp można zapewnić, jeżeli zgłoszenia incydentów są przekazywane bez zbędnej zwłoki CSIRT, właściwemu organowi lub pojedynczemu punktowi kontaktowemu) na podstawie niniejszej dyrektywy. W stosownych przypadkach państwa członkowskie powinny wprowadzić mechanizm automatycznego i bezpośredniego zgłaszania incydentów, zapewniający systematyczną i natychmiastową wymianę informacji z CSIRT, właściwymi organami lub pojedynczymi punktami kontaktowymi dotyczącą postępowania w przypadku takich zgłoszeń incydentów. W celu uproszczenia zgłaszania incydentów oraz wdrożenia mechanizm automatycznego i bezpośredniego zgłaszania incydentów, państwa członkowskie mogą, zgodnie z sektorowym aktem prawnym Unii, korzystać z pojedynczego punktu zgłaszania incydentów.

(25)

Sektorowe akty prawne Unii, które przewidują środki zarządzania ryzykiem w cyberbezpieczeństwie lub obowiązki w zakresie zgłaszania incydentów, które są co najmniej równoważne pod względem skutku obowiązkom określonym w niniejszej dyrektywie, mogą przewidywać, że właściwe organy na podstawie takich aktów wykonują swoje uprawnienia dotyczące nadzoru i egzekwowania prawa w odniesieniu do takich środków lub obowiązków z pomocą właściwych organów na podstawie niniejszej dyrektywy. Odpowiednie właściwe organy mogą w tym celu przyjąć ustalenia dotyczące współpracy. W takich ustaleniach dotyczących współpracy można określić między innymi procedury dotyczące koordynacji działań nadzorczych, w tym procedury dochodzeń i kontroli na miejscu zgodnie z prawem krajowym, oraz mechanizm wymiany między właściwymi organami istotnych informacji na temat nadzoru i egzekwowania prawa, obejmujący dostęp do informacji związanych z cyberprzestrzenią, o które właściwe organy zwracają się na podstawie niniejszej dyrektywy.

(26)

Jeżeli sektorowe akty prawne Unii zobowiązują lub motywują podmioty do zgłaszania poważnych cyberzagrożeń, państwa członkowskie powinny również zachęcać do przekazywania informacji o poważnych cyberzagrożeniach CSIRT, właściwym organom lub pojedynczym punktom kontaktowym na podstawie niniejszej dyrektywy, tak by organy te miały lepszy obraz cyberzagrożeń i mogły skutecznie i terminowo reagować w przypadku wystąpienia poważnych cyberzagrożeń.

(27)

Przyszłe sektorowe akty prawne Unii powinny należycie uwzględniać definicje oraz ramy nadzoru i egzekwowania prawa określone w niniejszej dyrektywie.

(28)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 (10) należy uznać za sektorowy akt prawny Unii powiązany z niniejszą dyrektywą w odniesieniu do podmiotów finansowych. Zamiast przepisów niniejszej dyrektywy zastosowanie powinny mieć przepisy rozporządzenia (UE) 2022/2554 dotyczące zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT), zarządzania incydentami związanymi z ICT, a w szczególności zgłaszania poważnych incydentów związanych z ICT, a także testowania operacyjnej odporności cyfrowej, mechanizmów wymiany informacji oraz ryzyka związanego z zewnętrznymi dostawcami ICT. Do podmiotów finansowych objętych rozporządzeniem (UE) 2022/2554 państwa członkowskie nie powinny zatem stosować przepisów niniejszej dyrektywy dotyczących zarządzania ryzykiem w cyberbezpieczeństwie i obowiązków w zakresie zgłaszania incydentów oraz nadzoru i egzekwowania prawa. Jednocześnie istotne jest, aby utrzymać silne relacje i skuteczną wymianę informacji z sektorem finansowym na podstawie niniejszej dyrektywy. W tym celu rozporządzenie (UE) 2022/2554 umożliwia Europejskim Urzędom Nadzoru oraz właściwym organom na podstawie tego rozporządzenia udział w działaniach Grupy Współpracy oraz wymianę informacji i współpracę z pojedynczymi punktami kontaktowymi, a także z CSIRT i właściwymi organami na podstawie niniejszej dyrektywy. Właściwe organy na podstawie rozporządzenia (UE) 2022/2554 powinny także przekazywać dane na temat poważnych incydentów związanych z ICT i, w odpowiednich przypadkach, poważnych cyberzagrożeń także CSIRT, właściwym organom lub pojedynczym punktom kontaktowym na podstawie niniejszej dyrektywy. Można to osiągnąć przez zapewnienie natychmiastowego dostępu do zgłoszeń incydentów i ich bezpośrednie przekazywanie bezpośrednio lub za pośrednictwem pojedynczego punktu. Ponadto państwa członkowskie powinny w dalszym ciągu uwzględniać sektor finansowy w swoich strategiach cyberbezpieczeństwa, a CSIRT mogą objąć go swoimi działaniami.

(29)

Aby uniknąć luk w obowiązkach lub powielania obowiązków dotyczących cyberbezpieczeństwa nałożonych na podmioty w sektorze lotnictwa, organy krajowe na podstawie rozporządzeń Parlamentu Europejskiego i Rady (WE) nr 300/2008 (11) i (UE) 2018/1139 (12) oraz właściwe organy na podstawie niniejszej dyrektywy powinny współpracować przy wdrażaniu środków zarządzania ryzykiem w cyberbezpieczeństwie oraz przy nadzorowaniu przestrzegania tych środków na poziomie krajowym. Spełnienie przez podmiot wymogów bezpieczeństwa określonych w rozporządzeniach (WE) nr 300/2008 i (UE) 2018/1139 oraz w odpowiednich aktach delegowanych i wykonawczych przyjętych na podstawie tych rozporządzeń może zostać uznane przez właściwe organy na podstawie niniejszej dyrektywy za spełnienie odpowiednich wymogów określonych w niniejszej dyrektywie.

(30)

Zważywszy na powiązania między cyberbezpieczeństwem a bezpieczeństwem fizycznym podmiotów, należy zapewnić spójność podejścia między dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2557 (13) a niniejszą dyrektywą. W tym celu podmioty zidentyfikowane jako podmioty krytyczne na mocy dyrektywy (UE) 2022/2557 powinny być uznawane za podmioty kluczowe na podstawie niniejszej dyrektywy. Ponadto każde państwo członkowskie powinno zapewnić, aby w jego krajowej strategii dotyczącej cyberbezpieczeństwa przewidziano ramy polityki umożliwiające zwiększoną koordynację w obrębie tego państwa członkowskiego między jego właściwymi organami na podstawie niniejszej dyrektywy i tymi na podstawie dyrektywy (UE) 2022/2557 w kontekście wymiany informacji na temat ryzyka, cyberzagrożeń i incydentów, a także ryzyka, cyberzagrożeń i incydentów poza cyberprzestrzenią, a także wykonywania zadań nadzorczych. Właściwe organy na podstawie niniejszej dyrektywy i te na podstawie dyrektywy (UE) 2022/2557 powinny ze sobą współpracować i wymieniać się informacjami bez zbędnej zwłoki, w szczególności w odniesieniu do identyfikacji podmiotów krytycznych, ryzyka, zagrożenia i incydentów w cyberprzestrzeni oraz ryzyka, zagrożeń i incydentów poza cyberprzestrzenią wpływających na podmioty krytyczne, co obejmuje środki dotyczące cyberbezpieczeństwa i środki fizyczne stosowane przez podmioty krytyczne, a także wyniki działań nadzorczych przeprowadzonych wobec takich podmiotów.

Ponadto aby usprawnić działania nadzorcze między właściwymi organami na podstawie niniejszej dyrektywy oraz tymi na podstawie dyrektywy (UE) 2022/2557 oraz zminimalizować obciążenie administracyjne podmiotów, których to dotyczy, te właściwe organy powinny starać się zharmonizować wzory zgłoszeń incydentów i procesy nadzorcze. W stosownych przypadkach właściwe organy działające na podstawie dyrektywy (UE) 2022/2557 powinny móc zwrócić się do właściwych organów na podstawie niniejszej dyrektywy, aby wykonały swoje uprawnienia nadzorcze i wykonawcze w stosunku do podmiotu, który został zidentyfikowany jako podmiot krytyczny na podstawie dyrektywy (UE) 2022/2557. Właściwe organy na podstawie niniejszej dyrektywy i te na podstawie dyrektywy (UE) 2022/2557 powinny, w miarę możliwości w czasie rzeczywistym, współpracować i prowadzić wymianę informacji w tym celu.

(31)

Podmioty należące do sektora infrastruktury cyfrowej opierają się zasadniczo na sieciach i systemach informatycznych, w związku z czym obowiązki nałożone na te podmioty na mocy niniejszej dyrektywy powinny w kompleksowy sposób odnosić się do bezpieczeństwa fizycznego takich systemów, w ramach środków zarządzania ryzykiem w cyberbezpieczeństwie stosowanych przez te podmioty i ich obowiązków w zakresie zgłaszania incydentów. Ponieważ kwestie te są objęte niniejszą dyrektywą, obowiązki określone w rozdziałach III, IV i VI dyrektywy (UE) 2022/2557 nie mają zastosowania do takich podmiotów.

(32)

Utrzymywanie i zachowanie wiarygodnego, odpornego i bezpiecznego systemu nazw domen (DNS) należy do kluczowych czynników umożliwiających utrzymanie integralności internetu oraz ma istotne znaczenie dla jego nieprzerwanego i stabilnego działania, od którego zależą gospodarka cyfrowa i społeczeństwo cyfrowe. Dlatego niniejsza dyrektywa powinna mieć zastosowanie do rejestrów nazw domen najwyższego poziomu (TLD) i do dostawców usług DNS, których należy rozumieć jako podmioty dostarczające dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen dla użytkowników końcowych internetu lub autorytatywne usługi rozpoznawania nazw domen na użytek osób trzecich. Niniejsza dyrektywa nie powinna mieć zastosowania do głównych serwerów nazw (ang. root name servers).

(33)

Usługi chmurowe powinny obejmować usługi cyfrowe umożliwiające administrowanie na żądanie skalowalnym i elastycznym zbiorem rozproszonych zasobów obliczeniowych do wspólnego wykorzystywania oraz szeroki dostęp zdalny do tego zbioru, w tym gdy takie zasoby są rozmieszczone w kilku lokalizacjach. Zasoby obliczeniowe obejmują zasoby takie jak sieci, serwery lub inna infrastruktura, systemy operacyjne, oprogramowanie, pamięć masowa, aplikacje i usługi. Do modeli usług chmurowych należą m.in. infrastruktura jako usługa (IaaS), platforma jako usługa (PaaS), oprogramowanie jako usługa (SaaS) oraz sieć jako usługa (NaaS). Modele rozmieszczenia usług chmurowych powinny obejmować chmury prywatne, zbiorowe, publiczne i hybrydowe. Modele usług chmurowych i modele rozmieszczenia oznaczają to samo co usługi i modele ich realizacji zdefiniowane w normie ISO/IEC 17788:2014. Zdolność użytkowników usług chmurowych do jednostronnego zapewnienia sobie możliwości obliczeniowych, takich jak czas serwera lub magazyn sieciowy, bez żadnej interakcji z udziałem człowieka ze strony dostawcy usług chmurowych można określić jako administrowanie na żądanie.

Terminu „szeroki dostęp zdalny” używa się do opisu sytuacji, gdy zasoby chmurowe są udostępniane przez sieć, a dostęp do nich jest możliwy za pośrednictwem mechanizmów sprzyjających wykorzystywaniu różnorodnych platform typu thin client lub thick client, w tym telefonów komórkowych, tabletów, laptopów oraz stacji roboczych. Termin „skalowalne” odnosi się do zasobów komputerowych, które są elastycznie przydzielane przez dostawcę usługi niezależnie od położenia geograficznego zasobów w reakcji na fluktuacje zapotrzebowania. Terminu „elastyczny zbiór” używa się do opisu zasobów obliczeniowych, które są dostarczane i uwalniane według zapotrzebowania, aby szybko zwiększać i zmniejszać dostępne zasoby w zależności od obciążenia. Terminu „wspólnie wykorzystywane” używa się do opisu zasobów obliczeniowych udostępnianych wielu użytkownikom, którzy dzielą wspólny dostęp do usługi, jednak przetwarzanie odbywa się oddzielnie dla każdego z użytkowników, choć usługa jest świadczona z tego samego sprzętu elektronicznego. Terminu „rozproszone” używa się do opisu zasobów obliczeniowych zlokalizowanych na różnych komputerach lub urządzeniach połączonych w sieć, które komunikują się ze sobą i koordynują swoją pracę przez przekazywanie komunikatów.

(34)

Zważywszy na pojawianie się innowacyjnych technologii i nowych modeli biznesowych, oczekuje się, że w odpowiedzi na zmieniające się potrzeby klientów nowe modele usług chmurowych i modele rozmieszczenia zaistnieją na rynku wewnętrznym. W tym kontekście usługi chmurowe mogą być świadczone w sposób wysoce rozproszony, jeszcze bliżej miejsca generowania lub gromadzenia danych, co będzie wiązać się z przejściem od modelu tradycyjnego do modelu wysoce rozproszonego (przetwarzanie danych na obrzeżach sieci).

(35)

Usługi oferowane przez dostawców usług ośrodka przetwarzania danych nie zawsze muszą być świadczone w postaci usług chmurowych. Przetwarzanie danych nie zawsze musi zatem stanowić element infrastruktury usług chmurowych. W celu zarządzania ogółem ryzyka dla bezpieczeństwa sieci i systemów informatycznych niniejsza dyrektywa powinna zatem obejmować dostawców usług ośrodka przetwarzania danych niebędących usługami chmurowymi. Do celów niniejszej dyrektywy termin „usługa ośrodka przetwarzania danych” powinien obejmować świadczenie usługi, w skład której wchodzą struktury lub grupy struktur służące scentralizowanemu hostingowi, wzajemnym połączeniom i eksploatacji sprzętu informatycznego i sieciowego służącego do przechowywania, przetwarzania i transportu danych wraz z całością obiektów i infrastruktury zapewniających dystrybucję energii elektrycznej i kontrolę środowiskową. Terminu „usługa ośrodka przetwarzania danych” nie należy stosować w odniesieniu do wewnętrznych, korporacyjnych ośrodków przetwarzania danych będących własnością danego podmiotu i eksploatowanych przez niego na własne potrzeby.

(36)

Działania badawcze odgrywają kluczową rolę w rozwoju nowych produktów i procesów. Wiele z tych działań jest prowadzonych przez podmioty, które udostępniają, rozpowszechniają lub wykorzystują wyniki swoich badań do celów handlowych. Podmioty te mogą zatem być ważnymi uczestnikami łańcuchów wartości, co sprawia, że bezpieczeństwo ich sieci i systemów informatycznych stanowi integralną część ogólnego cyberbezpieczeństwa rynku wewnętrznego. Organizacje badawcze należy rozumieć jako obejmujące podmioty, które koncentrują zasadniczą część swojej działalności na prowadzeniu badań stosowanych lub eksperymentalnych prac rozwojowych w rozumieniu Podręcznika Frascati Organizacji Współpracy Gospodarczej i Rozwoju z 2015 r.: Wytyczne dotyczące gromadzenia i prezentowania danych z badań i eksperymentalnych prac rozwojowych z myślą o wykorzystaniu ich wyników do celów handlowych, takich jak wytwarzanie lub rozwój produktu lub procesu, świadczenie usługi lub jego wprowadzanie do obrotu.

(37)

Coraz większe współzależności wynikają z coraz bardziej transgranicznej i współzależnej sieci świadczenia usług, wykorzystującej kluczową infrastrukturę w całej Unii w sektorach takich jak energetyka, transport, infrastruktura cyfrowa, woda pitna i ścieki, zdrowie, niektóre aspekty administracji publicznej, a także przestrzeni kosmicznej, jeżeli chodzi o świadczenie niektórych usług zależnych od naziemnej infrastruktury, która jest własnością państw członkowskich albo podmiotów prywatnych oraz jest przez nie zarządzana i obsługiwana, a zatem nieobejmującej infrastruktury, która jest własnością Unii lub podmiotów działających w jej imieniu lub jest zarządzana lub obsługiwana przez Unię lub podmioty działające w jej imieniu w ramach jej programu kosmicznego. Wspomniane współzależności oznaczają, że każde zakłócenie, nawet początkowo ograniczające się do jednego podmiotu lub jednego sektora, może wywołać szerzej zakrojony efekt kaskadowy, którego potencjalne negatywne skutki dla świadczenia usług na całym rynku wewnętrznym mogą być dalekosiężne i długotrwałe. Nasilone cyberataki podczas pandemii COVID-19 uwydatniły podatność coraz bardziej współzależnych społeczeństw w obliczu ryzyka o niskim prawdopodobieństwie wystąpienia.

(38)

Z uwagi na różnice w krajowych strukturach zarządzania oraz aby zabezpieczyć obowiązujące już ustalenia sektorowe lub unijne organy nadzorcze i regulacyjne, państwa członkowskie powinny móc wyznaczyć lub ustanowić co najmniej jeden właściwy organ odpowiedzialny za cyberbezpieczeństwo i zadania nadzorcze na podstawie niniejszej dyrektywy.

(39)

Aby ułatwić współpracę i komunikację transgraniczną między organami oraz umożliwić skuteczne wprowadzenie w życie niniejszej dyrektywy, niezbędne jest, by każde państwo członkowskie wyznaczyło pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z bezpieczeństwem sieci i systemów informatycznych oraz współpracą transgraniczną na poziomie Unii.

(40)

Pojedyncze punkty kontaktowe powinny zapewniać skuteczną współpracę transgraniczną z właściwymi organami innych państw członkowskich oraz, w stosownych przypadkach, z Komisją i ENISA. Pojedynczym punktom kontaktowym należy zatem powierzyć zadanie przekazywania zgłoszeń poważnych incydentów mających skutki transgraniczne pojedynczym punktom kontaktowym innych państw członkowskich, których dany incydent dotyczy, na wniosek CSIRT lub właściwego organu. Na poziomie krajowym pojedyncze punkty kontaktowe powinny umożliwiać sprawną współpracę międzysektorową z innymi właściwymi organami. Pojedyncze punkty kontaktowe mogłyby być również odbierać stosowne informacje na temat incydentów dotyczących podmiotów finansowych przekazywane przez właściwe organy na mocy rozporządzenia (UE) 2022/2554 i powinny być w stanie przekazywać te informacje, stosownie do przypadku, CSIRT lub właściwym organom na podstawie niniejszej dyrektywy.

(41)

Państwa członkowskie powinny być odpowiednio wyposażone, zarówno pod względem zdolności technicznych, jak i możliwości organizacyjnych, aby zapobiegać incydentom i ryzyku, wykrywać je, reagować na nie i przywracać normalne działanie po ich wystąpieniu oraz łagodzić ich skutki. Państwa członkowskie powinny zatem ustanowić lub wyznaczyć co najmniej jeden CSIRT na podstawie niniejszej dyrektywy oraz zapewnić im odpowiednie zasoby i możliwości techniczne. CSIRT powinny spełniać wymogi określone w niniejszej dyrektywie, aby zagwarantować efektywne i kompatybilne zdolności w zakresie postępowania z incydentami i ryzykiem oraz zapewnić skuteczną współpracę na poziomie Unii. Państwa członkowskie powinny móc wyznaczyć jako CSIRT również istniejące zespoły reagowania na incydenty komputerowe (CERT). Aby zwiększyć zaufanie między podmiotami a CSIRT, jeżeli dany CSIRT funkcjonuje w ramach właściwego organu, państwa członkowskie powinny móc rozważyć funkcjonalne rozdzielenie zadań operacyjnych wykonywanych przez CSIRT – w szczególności odnoszących się do przekazywania informacji i do wspomagania podmiotów – od działań nadzorczych właściwych organów.

(42)

Zadaniem CSIRT jest obsługa incydentów. Obejmuje ono przetwarzanie dużych ilości danych, w niektórych przypadkach danych szczególnie chronionych. Państwa członkowskie powinny zapewnić, aby CSIRT dysponowały infrastrukturą służącą do wymiany i przetwarzania informacji, a także odpowiednio wyposażonym personelem, co zapewni poufność i wiarygodność ich operacji. CSIRT mogłyby również przyjąć kodeksy postępowania w tym zakresie.

(43)

Jeżeli chodzi o dane osobowe, CSIRT powinny być w stanie zapewnić zgodnie z rozporządzeniem (UE) 2016/679 – na wniosek kluczowego lub ważnego podmiotu, proaktywne skanowanie sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług. W odpowiednim przypadku państwa członkowskie powinny dążyć do zapewnienia równego poziomu zdolności technicznych wszystkich sektorowych CSIRT. Państwa członkowskie powinny móc zwrócić się do ENISA o pomoc przy tworzeniu CSIRT.

(44)

CSIRT powinny mieć zdolność do monitorowania – na wniosek podmiotu kluczowego lub ważnego –jego aktywów połączonych z internetem, zarówno w należących do niego obiektach, jak i poza nimi, aby zidentyfikować i zrozumieć ogólne ryzyko organizacyjne tego podmiotu związane z nowo zidentyfikowanymi naruszeniami bezpieczeństwa w łańcuchach dostaw lub z podatnościami krytycznymi. Podmiot należy zachęcać do informowania CSIRT o tym, czy korzysta z uprzywilejowanego interfejsu zarządzania, ponieważ mogłoby to wpłynąć na szybkość podejmowania działań łagodzących.

(45)

Z uwagi na znaczenie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa CSIRT powinny móc uczestniczyć w międzynarodowych sieciach współpracy, niezależnie od współpracy w sieci CSIRT ustanowionej na mocy niniejszej dyrektywy. Dlatego w celu wykonywania swoich zadań CSIRT i właściwe organy powinny mieć możliwość wymiany informacji, w tym danych osobowych, z krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego lub z właściwymi organami państw trzecich, pod warunkiem że spełnione są warunki określone w unijnym prawie dotyczącym ochrony danych w odniesieniu do przekazywania danych osobowych do państw trzecich, między innymi warunki określone w art. 49 rozporządzenia (UE) 2016/679.

(46)

Zasadnicze znaczenie ma zapewnienie zasobów do realizacji celów niniejszej dyrektywy oraz do umożliwienia właściwym organom i CSIRT wykonywania ustanowionych w niej zadań. Państwa członkowskie mogą wprowadzić na poziomie krajowym mechanizm finansowania, aby pokryć niezbędne wydatki związane z wykonywaniem zadań przez podmioty publiczne odpowiedzialne za cyberbezpieczeństwo w danym państwie członkowskim na podstawie niniejszej dyrektywy. Taki mechanizm powinien być zgodny z prawem Unii, proporcjonalny i niedyskryminujący, a także powinien uwzględniać różne podejścia do świadczenia bezpiecznych usług.

(47)

Sieć CSIRT powinna nadal przyczyniać się do zwiększania zaufania i pewności oraz do wspierania szybkiej i skutecznej współpracy operacyjnej między państwami członkowskimi. W celu zacieśnienia współpracy operacyjnej na szczeblu Unii sieć CSIRT powinna rozważyć zaproszenie do udziału w jej pracach organów i agencji Unii zaangażowanych w politykę cyberbezpieczeństwa, takich jak Europol.

(48)

W celu osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa krajowe strategie cyberbezpieczeństwa wymagane na podstawie niniejszej dyrektywy powinny składać się ze spójnych ram określających strategiczne cele i priorytety w obszarze cyberbezpieczeństwa oraz sposób zarządzania służący ich osiągnięciu. Strategie te mogą składać się z jednego lub większej liczby aktów ustawodawczych lub nieustawodawczych.

(49)

Polityka cyberhigieny stanowi podstawę pozwalającą chronić infrastrukturę sieci i systemów informatycznych, bezpieczeństwo sprzętu, oprogramowania i aplikacji internetowych oraz dane przedsiębiorstw lub użytkowników końcowych wykorzystywane przez podmioty. Polityka cyberhigieny obejmująca wspólny podstawowy zestaw praktyk – w tym aktualizacje oprogramowania i sprzętu, zmianę haseł, zarządzanie nowymi instalacjami, ograniczanie kont dostępu na poziomie administratora oraz tworzenie kopii zapasowych danych – umożliwia utworzenie proaktywnych ram gotowości oraz zapewnienie ogólnego bezpieczeństwa i ochrony w razie incydentów lub cyberzagrożeń. ENISA powinna monitorować i analizować politykę państw członkowskich dotyczącą cyberhigieny.

(50)

Świadomość zagadnień cyberbezpieczeństwa i cyberhigiena mają zasadnicze znaczenie dla podniesienia poziomu cyberbezpieczeństwa w Unii, w szczególności w świetle rosnącej liczby urządzeń podłączonych do internetu, które są coraz częściej wykorzystywane w cyberatakach. Należy dołożyć starań, aby zwiększyć ogólną świadomość ryzyka związanego z takimi urządzeniami, zaś oceny na poziomie Unii mogłyby pomóc w zapewnieniu wspólnego rozumienia takich zagrożeń na rynku wewnętrznym.

(51)

Państwa członkowskie powinny zachęcać do korzystania z innowacyjnych technologii, w tym sztucznej inteligencji, których stosowanie mogłoby poprawić wykrywanie cyberataków i zapobieganie im, umożliwiając skuteczniejsze przekierowywanie zasobów na cyberataki. W krajowych strategiach cyberbezpieczeństwa państwa członkowskie powinny zatem zachęcać do działań badawczo-rozwojowych mających ułatwiać korzystanie z takich technologii, w szczególności technologii związanych z automatycznymi lub półautomatycznymi narzędziami w dziedzinie cyberbezpieczeństwa, oraz, w stosownych przypadkach, wymianę danych potrzebnych do szkolenia użytkowników takiej technologii i do jej doskonalenia. Stosowanie innowacyjnych technologii, w tym sztucznej inteligencji, powinno być zgodne z unijnymi przepisami o ochronie danych, w tym z zasadami ochrony danych zakładającymi dokładność danych, minimalizację danych, uczciwość i przejrzystość oraz z wymogami bezpieczeństwa danych, takimi jak najnowocześniejsze dostępne szyfrowanie. Należy w pełni wykorzystywać wymogi dotyczące uwzględniania ochrony danych w fazie projektowania, a które zostały określone jako domyślne w rozporządzeniu (UE) 2016/679

(52)

Narzędzia i aplikacje z zakresu cyberbezpieczeństwa oparte na oprogramowaniu otwartym mogą przyczyniać się do zwiększenia otwartości i pozytywnie wpływać na skuteczność innowacji przemysłowych. Standardy otwarte ułatwiają interoperacyjność między narzędziami bezpieczeństwa, z korzyścią dla bezpieczeństwa zainteresowanych stron z branży. Narzędzia i aplikacje z zakresu cyberbezpieczeństwa oparte na otwartym oprogramowaniu mogą umożliwić pozyskanie szerszej społeczności programistów, umożliwiając dywersyfikację dostawców. Otwarte oprogramowanie może prowadzić do bardziej przejrzystego procesu weryfikacji narzędzi związanych z cyberbezpieczeństwem oraz do kierowanego przez społeczność procesu wykrywania podatności. Państwa członkowskie powinny zatem móc promować wykorzystywanie otwartego oprogramowania i otwartych standardów przez prowadzenie polityki związanej z wykorzystywaniem otwartych danych i otwartego oprogramowania na zasadzie bezpieczeństwa dzięki przejrzystości. Polityka wspierająca wprowadzenie i zrównoważone wykorzystywanie narzędzi z zakresu cyberbezpieczeństwa opartych na otwartym oprogramowaniu ma szczególne znaczenie dla małych i średnich przedsiębiorstw ponoszących znaczne koszty wdrożenia, które można by zminimalizować przez ograniczenie zapotrzebowania na konkretne aplikacje lub narzędzia.

(53)

W miastach usługi użyteczności publicznej w coraz większym stopniu łączą się z sieciami cyfrowymi, aby poprawić sieci cyfrowe transportu miejskiego, usprawnić zaopatrzenie w wodę i unieszkodliwianie odpadów oraz zwiększyć efektywność oświetlenia i ogrzewania budynków. Te cyfrowe usługi użyteczności publicznej są narażone na cyberataki, a skuteczny cyberatak grozi obywatelom szkodami na dużą skalę ze względu na wzajemne powiązanie tych usług. W ramach krajowych strategii cyberbezpieczeństwa państwa członkowskie powinny opracować politykę uwzględniającą rozwój takich połączonych z siecią lub inteligentnych miast oraz ich potencjalny wpływ na społeczeństwo.

(54)

W ostatnich latach Unia doświadcza gwałtownego wzrostu liczby cyberataków z użyciem oprogramowania typu ''ransomware'', w których złośliwe oprogramowanie szyfruje dane i systemy oraz domaga się okupu za ich odblokowanie. Coraz większa częstotliwość i dotkliwość cyberataków z użyciem oprogramowania typu „ransomware” może wynikać z szeregu czynników, takich jak różne wzorce ataków, przestępcze modele biznesowe typu „oprogramowanie wymuszające okup jako usługa” i kryptowaluty, żądania okupu oraz wzrost liczby ataków w łańcuchu dostaw. W ramach krajowych strategii cyberbezpieczeństwa państwa członkowskie powinny opracować politykę odnoszącą się do wzrostu liczby cyberataków z wykorzystaniem oprogramowania typu „ransomware”.

(55)

Partnerstwa publiczno-prywatne (PPP) w dziedzinie cyberbezpieczeństwa mogą stanowić właściwe ramy służące wymianie wiedzy, dzieleniu się dobrymi praktykami oraz osiągnięciu wspólnego poziomu porozumienia wśród zainteresowanych stron. Państwa członkowskie powinny promować politykę wspierającą tworzenie PPP w dziedzinie cyberbezpieczeństwa. W ramach takiej polityki należy sprecyzować między innymi zakres i zainteresowane strony, model zarządzania, dostępne warianty finansowania oraz interakcje między uczestniczącymi zainteresowanymi stronami w odniesieniu do PPP. PPP mogą wykorzystywać wiedzę specjalistyczną podmiotów z sektora prywatnego, aby pomagać właściwym organom w opracowywaniu usług i procesów zgodnie z najnowszym stanem wiedzy, obejmujących wymianę informacji, wczesne ostrzeganie, ćwiczenia w zakresie cyberzagrożeń i incydentów, zarządzanie kryzysowe i planowanie odporności.

(56)

W krajowych strategiach cyberbezpieczeństwa państwa członkowskie powinny uwzględniać szczególne potrzeby małych i średnich przedsiębiorstw związane z cyberbezpieczeństwem. W całej Unii małe i średnie przedsiębiorstwa stanowią znaczny odsetek rynku przemysłu oraz gospodarki i często mają trudności, by dostosować się do nowych praktyk biznesowych w coraz bardziej cyfrowym świecie i do środowiska cyfrowego, z pracownikami pracującymi z domów, a działalnością gospodarczą w coraz większym stopniu prowadzoną w internecie. Niektóre małe i średnie przedsiębiorstwa mierzą się ze szczególnymi wyzwaniami w zakresie cyberbezpieczeństwa, takimi jak niska świadomość zagadnień cyberbezpieczeństwa, brak zdalnych zabezpieczeń informatycznych, wysokie koszty rozwiązań dotyczących cyberbezpieczeństwa oraz zwiększony poziom zagrożeń, np. oprogramowanie wymuszające okup, w związku z czym powinny otrzymywać wskazówki i pomoc. Małe i średnie przedsiębiorstwa coraz częściej stają się celem ataków w łańcuchu dostaw ze względu na ich niewystarczający poziom zarządzania ryzykiem w cyberbezpieczeństwie i zarządzania w razie ataków oraz fakt, że mają one ograniczony dostęp do zasobów na potrzeby bezpieczeństwa. Takie ataki w łańcuchu dostaw wpływają nie tylko na małe i średnie przedsiębiorstwa i działalność każdego z nich z osobna, lecz także mogą mieć efekt kaskadowy w postaci większych ataków na zaopatrywane przez nie podmioty. Państwa członkowskie powinny, za pośrednictwem krajowych strategii cyberbezpieczeństwa, pomagać małym i średnim przedsiębiorstwom w reagowaniu na wyzwania dotyczące łańcuchów dostaw. Państwa członkowskie powinny posiadać punkt kontaktowy dla małych i średnich przedsiębiorstw na szczeblu krajowym lub regionalnym, który zapewniałby wskazówki i pomoc małym i średnim przedsiębiorstwom albo kierowałby je do właściwych organów udzielających wskazówek i pomocy w sprawach związanych z cyberbezpieczeństwem. Państwa członkowskie zachęca się również, aby oferowały usługi takie jak konfiguracja stron internetowych i funkcje logowania małym przedsiębiorstwom i mikroprzedsiębiorstwom, które nie posiadają tych zdolności.

(57)

W ramach krajowych strategii cyberbezpieczeństwa będących częścią szerszej strategii obronnej państwa członkowskie powinny przyjąć politykę promowania aktywnej cyberobrony. W przeciwieństwie do działania reaktywnego aktywna cyberobrona polega na aktywnym zapobieganiu naruszeniom bezpieczeństwa sieci, ich wykrywaniu, monitorowaniu, analizowaniu i ograniczaniu, w połączeniu z wykorzystaniem zdolności rozmieszczonych w sieci, która padła ofiarą ataku, i poza tą siecią. Może to obejmować bezpłatne usługi lub narzędzia, w tym kontrole samoobsługowe, narzędzia wykrywania i usługi usuwania oferowane przez państwa członkowskie niektórym podmiotom. Zdolność do szybkiego i automatycznego przekazywania i rozumienia informacji i analiz dotyczących zagrożeń, do ostrzegania o aktywności w cyberprzestrzeni i do reagowania ma krytyczne znaczenie dla spójności wysiłków na rzecz skutecznego zapobiegania atakom na sieci i systemy informatyczne, ich wykrywania, eliminowania i blokowania. Aktywna cyberobrona opiera się na strategii, która wyklucza środki ofensywne.

(58)

Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia i szkody, ważnym czynnikiem w ograniczaniu ryzyka jest szybkie identyfikowanie takich podatności i ich eliminowanie. Podmioty, które opracowują takie sieci i systemy informatyczne lub administrują nimi, powinny zatem ustanowić odpowiednie procedury postępowania w przypadku wykrycia takich podatności. Ponieważ podatności często są wykrywane i ujawniane przez osoby trzecie, producent lub dostawca produktów ICT lub usług ICT również powinien wprowadzić niezbędne procedury regulujące odbieranie od osób trzecich informacji na temat podatności. W tym względzie normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29147 zawierają wskazówki odnoszące się do postępowania w przypadku podatności i do ujawniania podatności. Wzmocnienie koordynacji między zgłaszającymi osobami fizycznymi i osobami prawnymi a producentami lub dostawcami produktów ICT lub usług ICT jest szczególnie ważne, aby usprawnić dobrowolne zasady ramowe dotyczące ujawniania podatności. Skoordynowane ujawnianie podatności to ustrukturyzowany proces, w ramach którego podatności są zgłaszane producentowi lub dostawcy potencjalnie podatnych produktów ICT lub usług ICT w sposób umożliwiający im zdiagnozowanie i wyeliminowanie danej podatności, zanim dotyczące jej szczegółowe informacje zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Skoordynowane ujawnianie podatności powinno także obejmować koordynację między zgłaszającymi osobami fizycznymi lub osobami prawnymi a producentem lub dostawcą potencjalnie podatnych produktów ICT lub usług ICT w odniesieniu do harmonogramu eliminowania podatności i podawania ich do wiadomości publicznej.

(59)

Komisja, ENISA i państwa członkowskie powinny nadal wspierać dostosowanie do norm międzynarodowych i istniejących dobrych praktyk branżowych w dziedzinie zarządzania ryzykiem w cyberbezpieczeństwie, na przykład w takich dziedzinach jak oceny bezpieczeństwa łańcucha dostaw, wymiana informacji i ujawnianie podatności.

(60)

Państwa członkowskie we współpracy z ENISA powinny podjąć działania w celu ułatwienia skoordynowanego ujawniania podatności przez ustanowienie odpowiedniej polityki krajowej. W ramach polityki krajowej państwa członkowskie powinny w miarę możliwości dążyć do wyeliminowania problemów, z którymi mierzą się osoby prowadzące badania kwestii podatności, w tym ich potencjalnego narażenia na odpowiedzialność karną, zgodnie prawem krajowym. W związku z tym, że osoby fizyczne i prawne wyszukujące podatności mogą w niektórych państwach członkowskich być narażone na odpowiedzialność karną i cywilną, zachęca się państwa członkowskie do przyjęcia wytycznych przewidujących odstąpienie od postępowania cywilnego lub karnego wobec osób prowadzących badania kwestii podatności i bezpieczeństwa informacji oraz zwolnienie ich z odpowiedzialności cywilnej lub karnej za te działania.

(61)

Państwa członkowskie powinny wyznaczyć jeden ze swoich CSIRT do pełnienia roli koordynatora, występującego w razie potrzeby w charakterze zaufanego pośrednika między zgłaszającymi osobami fizycznymi lub prawnymi a producentami lub dostawcami produktów ICT lub usług ICT, na które podatność może mieć wpływ. Zadania CSIRT wyznaczonego do roli koordynacyjnej powinny obejmować identyfikację danych podmiotów i kontaktowanie się z nimi, udzielanie pomocy osobom fizycznym i prawnym zgłaszającym podatność, negocjowanie harmonogramu ujawniania oraz zarządzanie podatnościami, których skutki dotykają wielu podmiotów (wielostronne skoordynowane ujawnianie podatności). Jeżeli zgłoszona podatność może mieć znaczący wpływ na podmioty w więcej niż jednym państwie członkowskim, CSIRT wyznaczone na koordynatorów powinny w stosownych przypadkach współpracować w ramach sieci CSIRT.

(62)

Dostęp do prawidłowych i terminowych informacji na temat podatności dotyczących produktów ICT i usług ICT pozwala usprawnić zarządzanie ryzykiem w cyberbezpieczeństwie. Ważnym narzędziem dla podmiotów i użytkowników ich usług, ale również dla właściwych organów i CSIRT są źródła publicznie dostępnych informacji na temat podatności. Z tego powodu ENISA powinna ustanowić europejską bazę danych dotyczących podatności, w której podmioty, niezależnie czy są objęte zakresem stosowania niniejszej dyrektywy oraz ich dostawcy sieci i systemów informatycznych, jak również właściwe organy i CSIRT, mogłyby na zasadzie dobrowolności ujawniać i rejestrować publicznie znane podatności, aby umożliwić użytkownikom wprowadzanie odpowiednich środków ograniczających ryzyko. Celem tej bazy danych jest reagowanie na wyjątkowe wyzwania wynikające z ryzyka dla podmiotów unijnych. Ponadto ENISA powinna ustanowić właściwą procedurę dotyczącą procesu publikacji, aby dać podmiotom czas na zastosowanie środków ograniczających ich podatność i najnowocześniejszych dostępnych środków zarządzania ryzykiem w cyberbezpieczeństwie, a także zbiorów danych nadających się do odczytu maszynowego i odpowiednich interfejsów. Aby wspierać kulturę ujawniania podatności, ujawnianie nie powinno mieć negatywnych skutków dla zgłaszającej osoby fizycznej lub osoby prawnej.

(63)

Choć istnieją podobne rejestry podatności lub bazy danych dotyczących podatności, są one prowadzone i obsługiwane przez podmioty, które nie mają miejsca prowadzenia działalności w Unii. Europejska baza danych dotyczących podatności obsługiwana przez ENISA zapewniłaby lepszą przejrzystość w odniesieniu do procesu publikacji poprzedzającego publiczne ujawnienie podatności, a także odporność w przypadku zakłócenia lub przerwy w świadczeniu podobnych usług. Aby w miarę możliwości uniknąć powielania podejmowanych działań i dążyć do komplementarności, ENISA powinna zbadać możliwość zawarcia umów o ustrukturyzowanej współpracy z podobnymi rejestrami lub bazami danych podlegającymi jurysdykcji państw trzecich. ENISA powinna w szczególności zbadać możliwość ścisłej współpracy z operatorami systemu wspólnych podatności i zagrożeń (CVE).

(64)

Grupa Współpracy powinna wspierać i ułatwiać współpracę strategiczną i wymianę informacji między państwami członkowskimi, a także zwiększać wśród nich zaufanie i pewność. Co dwa lata Grupa Współpracy powinna opracowywać program prac. Program ten powinien obejmować działania, które mają zostać podjęte przez Grupę Współpracy z myślą o realizacji jej celów i zadań. Aby uniknąć potencjalnych zakłóceń w pracy Grupy Współpracy, ramy czasowe opracowania pierwszego programu prac wprowadzonego na podstawie niniejszej dyrektywy należy zharmonizować z ramami czasowymi ostatniego programu prac opracowanego na podstawie dyrektywy (UE) 2016/1148.

(65)

Opracowując wytyczne, Grupa Współpracy powinna stale ewidencjonować rozwiązania i doświadczenia krajowe, oceniać wpływ wyników prac Grupy Współpracy na podejścia krajowe, omawiać wyzwania w zakresie wdrażania i formułować konkretne zalecenia – w szczególności dotyczące łatwiejszej harmonizacji aktów transponujących niniejszą dyrektywę w państwach członkowskich – które należy uwzględnić w ramach lepszego wdrażania istniejących przepisów. Grupa Współpracy mogłaby też ewidencjonować rozwiązania krajowe, aby promować kompatybilność rozwiązań w dziedzinie cyberbezpieczeństwa mających zastosowanie do każdego z poszczególnych sektorów w całej Unii. Jest to szczególnie istotne dla sektorów o charakterze międzynarodowym lub transgranicznym.

(66)

Grupa Współpracy powinna pozostać elastycznym forum i być w stanie reagować na zmieniające się i nowe priorytety i wyzwania dotyczące polityki, przy jednoczesnym uwzględnieniu dostępności zasobów. Mogłaby ona organizować regularne wspólne spotkania z odpowiednimi zainteresowanymi stronami z sektora prywatnego z całej Unii, aby omawiać działania realizowane przez Grupę Współpracy oraz zbierać dane i informacje na temat pojawiających się wyzwań dotyczących polityki. Ponadto Grupa Współpracy powinna prowadzić regularne oceny aktualnej sytuacji związanej z cyberzagrożeniami lub incydentami, np. obejmującymi wykorzystanie oprogramowania typu „ransomware”. Aby zacieśnić współpracę na szczeblu unijnym, Grupa Współpracy powinna rozważyć zaproszenie do uczestnictwa w swoich pracach właściwych instytucji, organów, urzędów i agencji Unii zaangażowanych w politykę cyberbezpieczeństwa, takich jak Parlament Europejski, Europol, Europejska Rada Ochrony Danych, Agencja Unii Europejskiej ds. Bezpieczeństwa Lotniczego ustanowiona rozporządzeniem (UE) 2018/1139 oraz Agencja Unii Europejskiej ds. Programu Kosmicznego ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/696 (14).

(67)

Właściwe organy i CSIRT powinny móc uczestniczyć w programach wymiany dla urzędników z innych państw członkowskich – w konkretnych ramach i, w stosownych przypadkach, pod warunkiem posiadania poświadczenia bezpieczeństwa przez urzędników uczestniczących w takich programach wymiany – z myślą o usprawnieniu współpracy i zwiększeniu zaufania między państwami członkowskimi. Właściwe organy powinny podejmować działania niezbędne do zapewnienia urzędnikom z innych państw członkowskich możliwości skutecznego angażowania się w działalność przyjmującego właściwego organu lub przyjmującego CSIRT.

(68)

Państwa członkowskie powinny wnosić wkład w ustanowienie unijnych ram reagowania w sytuacji kryzysu cybernetycznego, o których mowa w zaleceniu Komisji (UE) 2017/1584 (15), poprzez istniejące sieci współpracy, w szczególności Europejska sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe), sieć CSIRT i Grupę Współpracy. EU-CyCLONe i sieć CSIRT powinny współpracować w oparciu o uzgodnienia proceduralne, które określają szczegóły tej współpracy i unikać powielania zadań. W regulaminie EU-CyCLONe należy bardziej szczegółowo określić tryb funkcjonowania tej sieci, w tym role sieci, sposoby współpracy, interakcje z innymi odpowiednimi podmiotami i wzory formularzy na potrzeby wymiany informacji, a także środki komunikacji. W odniesieniu do zarządzania kryzysowego na szczeblu unijnym odpowiednie strony powinny opierać się na zintegrowanych uzgodnieniach UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych na podstawie decyzji wykonawczej Rady (UE) 2018/1993 (16) (uzgodnienia IPCR). W tym celu Komisja powinna wykorzystywać międzysektorowy proces koordynacji na wysokim szczeblu w sytuacji kryzysowej ARGUS. Jeżeli sytuacja kryzysowa wiąże się z istotnymi kwestiami z zakresu polityki zewnętrznej lub wspólnej polityki bezpieczeństwa i obrony, należy uruchomić mechanizm reagowania kryzysowego Europejskiej Służby Działań Zewnętrznych.

(69)

Zgodnie z załącznikiem do zalecenia (UE) 2017/1584 incydent w cyberbezpieczeństwie na dużą skalę powinien oznaczać incydent, który powoduje poziom zakłóceń przekraczający zdolność danego państwa członkowskiego do reakcji lub który ma znaczący wpływ na co najmniej dwa państwa członkowskie. W zależności od przyczyny i wpływu incydenty na dużą skalę mogą przerodzić się w prawdziwe kryzysy uniemożliwiające prawidłowe funkcjonowanie rynku wewnętrznego lub stanowiące poważne zagrożenie dla bezpieczeństwa publicznego i ryzyko dla bezpieczeństwa podmiotów lub obywateli w kilku państwach członkowskich lub w całej Unii. Biorąc pod uwagę szeroki zakres oraz, w większości przypadków, transgraniczny charakter takich incydentów, państwa członkowskie i odpowiednie instytucje, organy, urzędy i agencje Unii powinny współpracować na poziomie technicznym, operacyjnym i politycznym w celu odpowiedniej koordynacji reakcji w całej Unii.

(70)

Incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę na poziomie Unii wymagają skoordynowanych działań w celu zapewnienia szybkiej i skutecznej reakcji ze względu na wysoki stopień współzależności między sektorami i państwami członkowskimi. Dostępność sieci i systemów informatycznych odpornych na cyberzagrożenia oraz dostępność, poufność i integralność danych mają zasadnicze znaczenie dla bezpieczeństwa Unii oraz dla ochrony jej obywateli, przedsiębiorstw i instytucji przed incydentami i cyberzagrożeniami, a także dla zwiększenia zaufania osób fizycznych i organizacji do zdolności Unii do promowania i ochrony globalnej, otwartej, wolnej, stabilnej i bezpiecznej cyberprzestrzeni opartej na prawach człowieka, podstawowych wolnościach, demokracji i praworządności.

(71)

EU-CyCLONe powinna pośredniczyć między poziomem technicznym i politycznym podczas incydentów i sytuacji kryzysowych w cyberbezpieczeństwie na dużą skalę oraz zacieśnić współpracę na szczeblu operacyjnym i wspierać proces decyzyjny na szczeblu politycznym. We współpracy z Komisją, uwzględniając kompetencje Komisji w dziedzinie zarządzania kryzysowego, EU-CyCLONe powinna opierać się na ustaleniach sieci CSIRT i wykorzystywać własne zdolności do sporządzania analizy skutków incydentów i sytuacji kryzysowych w cyberbezpieczeństwie na dużą skalę.

(72)

Cyberataki mają charakter transgraniczny, a poważne incydenty mogą zakłócać i uszkadzać krytyczną infrastrukturę informatyczną, od której zależy sprawne funkcjonowanie rynku wewnętrznego. Zalecenie (UE) 2017/1584 odnosi się do roli wszystkich właściwych podmiotów. Ponadto Komisja odpowiada, w ramach Unijnego Mechanizmu Ochrony Ludności ustanowionego decyzją Parlamentu Europejskiego i Rady nr 1313/2013/UE (17), za ogólne działania dotyczące gotowości, w tym zarządzanie Centrum Koordynacji Reagowania Kryzysowego i wspólnym systemem łączności i informacji w sytuacjach nadzwyczajnych, utrzymywanie i dalszy rozwój zdolności w zakresie świadomości i analizy sytuacyjnej oraz tworzenie zdolności do mobilizacji i wysyłania zespołów ekspertów w razie wniosku o pomoc ze strony państwa członkowskiego lub państwa trzeciego oraz zarządzanie tymi zdolnościami. Komisja odpowiada też za przedstawianie sprawozdań analitycznych dotyczących uzgodnień IPCR na podstawie decyzji wykonawczej (UE) 2018/1993, w tym w odniesieniu do analizy sytuacyjnej i gotowości w zakresie cyberbezpieczeństwa, a także do analizy sytuacyjnej i reagowania kryzysowego w następujących obszarach: rolnictwo, niekorzystne warunki pogodowe, mapowanie i prognozowanie konfliktów, systemy wczesnego ostrzegania w przypadku klęsk żywiołowych, stany zagrożenia zdrowia, nadzór nad chorobami zakaźnymi, zdrowie roślin, incydenty chemiczne, bezpieczeństwo żywności i pasz, zdrowie zwierząt, migracja, cła, zagrożenia jądrowe i radiologiczne i energetyka.

(73)

Unia może, w stosownych przypadkach, zawierać umowy międzynarodowe, zgodnie z art. 218 TFUE, z państwami trzecimi lub organizacjami międzynarodowymi, umożliwiając i organizując ich udział w niektórych działaniach Grupy Współpracy, sieci CSIRT oraz EU-CyCLONe. Umowy takie powinny gwarantować interesy Unii i odpowiednią ochronę danych. Nie powinno to wykluczać prawa państw członkowskich do współpracy z państwami trzecimi przy zarządzaniu podatnościami i zarządzaniu ryzykiem w cyberbezpieczeństwie, ułatwianiu zgłaszania i ogólnej wymianie informacji zgodnie z prawem Unii.

(74)

Aby ułatwić skuteczne wdrażanie niniejszej dyrektywy między innymi w odniesieniu do zarządzania podatnościami, środków zarządzania ryzykiem w cyberprzestrzeni, obowiązków w zakresie zgłaszania incydentów oraz mechanizmów wymiany informacji na temat cyberbezpieczeństwa, państwa członkowskie mogą współpracować z państwami trzecimi i podejmować działania uznane za odpowiednie do tego celu, obejmujące wymianę informacji dotyczących cyberzagrożeń, incydentów, podatności, narzędzi i metod, taktyki, technik i procedur, gotowości i ćwiczeń dotyczących zarządzania kryzysowego w dziedzinie cyberbezpieczeństwa, szkolenia, budowania zaufania i ustrukturyzowanych mechanizmów wymiany informacji.

(75)

Należy wprowadzić oceny wzajemne aby pomóc w wyciąganiu wniosków ze wspólnych doświadczeń, wzmocnić wzajemne zaufanie i osiągnąć wysoki wspólny poziom cyberbezpieczeństwa. Efektem ocen wzajemnych mogą być wartościowe spostrzeżenia i zalecenia służące wzmocnieniu ogólnych zdolności w zakresie cyberbezpieczeństwa, tworzące kolejną funkcjonalną ścieżkę wymiany dobrych praktyk między państwami członkowskimi i przyczyniające się do zwiększenia poziomu dojrzałości państw członkowskich w dziedzinie cyberbezpieczeństwa. Ponadto w ocenach wzajemnych należy uwzględniać wyniki podobnych mechanizmów, takich jak system oceny wzajemnej sieci CSIRT, oraz należy zapewniać wartość dodaną i unikać powielania działań. Stosowanie ocen wzajemnych powinno pozostawać bez uszczerbku dla unijnych lub krajowych przepisów dotyczących ochrony informacji poufnych lub niejawnych.