This document is an excerpt from the EUR-Lex website
Document 32022L2557
Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (Text with EEA relevance)
Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului (Text cu relevanță pentru SEE)
Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului (Text cu relevanță pentru SEE)
PE/51/2022/REV/1
JO L 333, 27.12.2022, p. 164–198
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
27.12.2022 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 333/164 |
DIRECTIVA (UE) 2022/2557 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI
din 14 decembrie 2022
privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului
(Text cu relevanță pentru SEE)
PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 114,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ parlamentelor naționale,
având în vedere avizul Comitetului Economic și Social European (1),
având în vedere avizul Comitetului Regiunilor (2),
hotărând în conformitate cu procedura legislativă ordinară (3),
întrucât:
(1) |
În calitatea lor de furnizoare de servicii esențiale, entitățile critice joacă un rol indispensabil în menținerea funcțiilor societale sau a activităților economice vitale pe piața internă, într-o economie a Uniunii din ce în ce mai interdependentă. Prin urmare, este esențial să se stabilească un cadru la nivelul Uniunii, care să urmărească atât consolidarea rezilienței entităților critice de pe piața internă prin stabilirea unor norme minime armonizate, cât și sprijinirea acestora prin intermediul unor măsuri coerente și specifice de sprijin și supraveghere. |
(2) |
Directiva 2008/114/CE a Consiliului (4) prevede o procedură de desemnare a infrastructurilor critice europene din sectoarele energiei și transporturilor a căror perturbare sau distrugere ar avea efecte transfrontaliere semnificative asupra a cel puțin două state membre. Directiva menționată se axează exclusiv pe protecția unor astfel de infrastructuri. Cu toate acestea, în cadrul evaluării Directivei 2008/114/CE efectuate în 2019 s-a constatat că, dat fiind faptul că operațiunile care utilizează infrastructura critică sunt tot mai interconectate și au din ce în ce mai mult un caracter transfrontalier, măsurile de protecție care se referă numai la elemente individuale sunt insuficiente pentru a preveni producerea tuturor perturbărilor. Prin urmare, este necesar ca abordarea să fie reorientată către asigurarea faptului că riscurile sunt mai bine luate în considerare, că rolul și sarcinile entităților critice în calitate de furnizori de servicii esențiale pentru funcționarea pieței interne sunt mai bine definite și sunt coerente, precum și că se adoptă norme ale Uniunii pentru a consolida reziliența entităților critice. Entitățile critice ar trebui să fie în măsură să își consolideze capacitatea de a preveni incidente care pot să perturbe furnizarea de servicii esențiale, de a oferi protecție și de a rezista în cazul producerii incidentelor respective, de a răspunde la acestea, de a le atenua și a le absorbi, de a se adapta la ele și de a se redresa în urma lor. |
(3) |
Deși o serie de măsuri la nivelul Uniunii, precum programul european privind protecția infrastructurilor critice, și la nivel național urmăresc să sprijine protecția infrastructurilor critice din Uniune, ar trebui depuse mai multe eforturi pentru a pregăti mai bine entitățile care operează astfel de infrastructuri pentru a aborda riscurile la adresa operațiunilor lor care ar putea conduce la perturbarea furnizării de servicii esențiale. Ar trebui depuse mai multe eforturi pentru a pregăti mai bine entitățile menționate dată fiind dinamica amenințărilor, care include amenințări hibride și teroriste aflate în evoluție, precum și interdependențele tot mai accentuate între infrastructură și sectoare. În plus, există un risc fizic sporit din cauza dezastrelor naturale și a schimbărilor climatice, care intensifică frecvența și amploarea fenomenelor meteorologice extreme și aduce schimbări pe termen lung în privința condițiilor climatice medii care pot reduce capacitatea,, eficiența și durata de viață a anumitor tipuri de infrastructură dacă nu se instituie măsuri de adaptare la schimbările climatice. În plus, piața internă este caracterizată de fragmentare în ceea ce privește identificarea entităților critice, întrucât sectoarele și categoriile de entități relevante nu sunt recunoscute în mod consecvent ca fiind critice în toate statele membre. Prin urmare, prezenta directivă ar trebui să ofere un nivel solid de armonizare în ceea ce privește sectoarele și categoriile de entități care intră sub incidența sa. |
(4) |
Deși anumite sectoare ale economiei, cum ar fi sectoarele energiei și transporturilor, sunt deja reglementate prin acte sectoriale din dreptul Uniunii, actele respective conțin norme care se referă numai la anumite aspecte ale rezilienței entităților care își desfășoară activitatea în sectoarele respective. Pentru a aborda în mod cuprinzător reziliența entităților care sunt critice pentru buna funcționare a pieței interne, prezenta directivă creează un cadru global care abordează reziliența entităților critice în ceea ce privește toate pericolele, indiferent dacă sunt naturale sau provocate de om, accidentale sau intenționate. |
(5) |
Interdependențele tot mai accentuate între infrastructură și sectoare sunt rezultatul unei rețele de furnizare de servicii al cărei caracter transfrontalier și interdependent devine tot mai pregnant, care utilizează infrastructuri-cheie în întreaga Uniune în sectorul energiei, al transporturilor, bancar, al apei potabile, al apelor uzate, al producției, prelucrării și distribuției de produse alimentare, al sănătății, în sectorul spațial, al infrastructurii pieței financiare, al infrastructurii digitale, precum și în anumite aspecte ale administrației publice. Sectorul spațial intră sub incidența prezentei directive în ceea ce privește furnizarea anumitor servicii care depind de infrastructura terestră deținută, gestionată și operată fie de statele membre, fie de părți private; prin urmare, infrastructura deținută, gestionată sau operată de Uniune sau în numele acesteia în cadrul programului său spațial nu intră sub incidența prezentei directive. În ceea ce privește sectorul energetic și, în special, metodele de producere și transport a energiei electrice (din punctul de vedere al furnizării acesteia), se înțelege că, atunci când se consideră adecvat, producerea de energie electrică poate include părți ale transportului de energie electrică din centralele nucleare, cu excepția însă a elementelor strict nucleare care intră sub incidența tratatelor și a dreptului Uniunii, inclusiv a actelor din dreptul Uniunii relevante în domeniul nuclear. Procesul de identificare a entităților critice din sectorul alimentar ar trebui să reflecte în mod adecvat natura pieței interne din sectorul respectiv, precum și normele cuprinzătoare ale Uniunii referitoare la principiile și cerințele generale ale legislației alimentare și ale siguranței alimentare. Prin urmare, pentru a asigura existența unei abordări proporționale și pentru a reflecta în mod adecvat rolul și importanța acestor entități la nivel național, ar trebui să fie identificate entități critice numai în rândul acelor întreprinderi din sectorul alimentar, indiferent dacă au sau nu un scop lucrativ sau dacă sunt publice sau private, care își desfășoară activitatea exclusiv în domeniul logisticii, al distribuției angro și al producției și prelucrării industriale la scară largă, cu o cotă de piață semnificativă observată la nivel național. Aceste interdependențe înseamnă că orice perturbare a serviciilor esențiale, chiar și cele care inițial sunt limitate la o singură entitate sau la un singur sector, poate avea efecte în cascadă mai ample, ceea ce ar putea avea efecte negative considerabile și pe termen lung asupra furnizării de servicii pe piața internă. Crizele majore, precum pandemia de COVID-19, au demonstrat vulnerabilitatea societăților noastre, care sunt din ce în ce mai interdependente în fața riscurilor cu probabilitate redusă de producere dar cu efect major. |
(6) |
Entitățile implicate în furnizarea serviciilor esențiale fac din ce în ce mai mult obiectul unor cerințe divergente impuse de dreptul intern. Faptul că unele state membre impun entităților respective cerințe de securitate mai puțin stricte nu numai că creează niveluri de reziliență diferite, ci riscă de asemenea să aibă un efect negativ asupra funcțiilor societale sau a activităților economice vitale în întreaga Uniune și creează obstacole în calea bunei funcționări a pieței interne. Investitorii și întreprinderile se pot baza pe entitățile critice care sunt reziliente și pot avea încredere în ele, iar fiabilitatea și încrederea constituie fundamentele unei piețe interne funcționale. Tipuri similare de entități sunt considerate critice în unele state membre, dar nu și în altele, iar cele care sunt identificate ca fiind critice fac obiectul unor cerințe divergente în diferite state membre. Acest lucru duce la o sarcină administrativă suplimentară și inutilă pentru întreprinderile care își desfășoară activitatea la nivel transfrontalier, în special pentru întreprinderile care își desfășoară activitatea în statele membre cu cerințe mai stricte. Un cadru la nivelul Uniunii ar avea, prin urmare, și efectul de a crea condiții de concurență echitabile pentru entitățile critice din întreaga Uniune. |
(7) |
Este necesar să se stabilească norme minime armonizate pentru a se asigura furnizarea serviciilor esențiale pe piața internă, pentru a consolida reziliența entităților critice și pentru a îmbunătăți cooperarea transfrontalieră între autoritățile competente. Este important ca normele respective să fie adaptate exigențelor viitorului în ceea ce privește conceperea și punerea lor în aplicare, permițând totodată flexibilitatea necesară. De asemenea, este esențial să se îmbunătățească capacitatea entităților critice de a furniza servicii esențiale atunci când sunt confruntate cu diverse riscuri. |
(8) |
Pentru a obține un nivel înalt de reziliență, statele membre ar trebui să identifice entitățile critice care vor face obiectul unor cerințe și al unei supravegheri specifice, dar cărora li se va acorda un sprijin special și orientări speciale în fața tuturor riscurilor relevante. |
(9) |
Având în vedere importanța securității cibernetice pentru reziliența entităților critice și din motive de consecvență, ar trebui să se asigure, ori de câte ori este posibil, o abordare coerentă între prezenta directivă și Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului (5). Având în vedere frecvența sporită și caracteristicile specifice ale riscurilor cibernetice, Directiva (UE) 2022/2555 impune cerințe cuprinzătoare unei game ample de entități pentru a garanta securitatea lor cibernetică. Dat fiind că securitatea cibernetică este abordată suficient de Directiva (UE) 2022/2555, aspectele reglementate de directiva respectivă ar trebui să fie excluse din domeniul de aplicare al prezentei directive, fără a aduce atingere regimului special al entităților din sectorul infrastructurii digitale. |
(10) |
În cazul în care dispozițiile actelor sectoriale din dreptul Uniunii impun entităților critice să ia măsuri menite pentru a-și spori reziliența, iar cerințele respective sunt recunoscute de statele membre ca fiind cel puțin echivalente cu obligațiile corespunzătoare prevăzute în prezenta directivă, dispozițiile relevante ale prezentei directive nu ar trebui să se aplice, pentru a se evita suprapunerile și sarcinile inutile. În acest caz, ar trebui să se aplice dispozițiile relevante ale unor astfel de acte din dreptul Uniunii. În cazul în care nu se aplică dispozițiile relevante ale prezentei directive, nu ar trebui să se aplice nici dispozițiile privind supravegherea și asigurarea respectării legislației stabilite prin prezenta directivă. |
(11) |
Prezenta directivă nu afectează competențele statelor membre și ale autorităților lor în materie de autonomie administrativă, sau responsabilitatea de a proteja securitatea și apărarea națională sau competența lor de a proteja alte funcții esențiale ale statului, în special în materie de siguranță publică, integritate teritorială și menținerea ordinii publice. Excluderea entităților administrației publice din domeniul de aplicare al prezentei directive ar trebui să se aplice entităților care desfășoară activități în principal în domeniul securității naționale, al siguranței publice, al apărării sau al asigurării respectării legii, inclusiv în ceea ce privește cercetarea, depistarea și pedepsirea infracțiunilor. Cu toate acestea, entitățile administrației publice ale căror activități sunt legate doar într-o mică măsură de domeniile menționate ar trebui să intre sub incidența prezentei directive. În sensul prezentei directive, entitățile cu competențe de reglementare nu sunt considerate ca desfășurând activități în domeniul asigurării respectării legii și, prin urmare, nu sunt excluse din aceste motive din domeniul de aplicare al prezentei directive. Entitățile administrației publice care sunt înființate în comun cu o țară terță în conformitate cu un acord internațional sunt excluse din domeniul de aplicare al prezentei directive. Prezenta directivă nu se aplică misiunilor diplomatice și consulare ale statelor membre în țări terțe. Anumite entități critice desfășoară activități în domeniul securității naționale, al siguranței publice, al apărării sau al asigurării respectării legii, inclusiv în ceea ce privește cercetarea, depistarea și pedepsirea infracțiunilor sau furnizează servicii exclusiv pentru entități ale administrației publice care desfășoară activități în principal în domeniile menționate. Având în vedere responsabilitatea statelor membre de a proteja securitatea și apărarea națională, statele membre ar trebui să poată decide că obligațiile stabilite prin prezenta directivă entităților critice nu se aplică, integral sau parțial, respectivelor entități critice în cazul în care serviciile pe care acestea le furnizează sau activitățile pe care le desfășoară sunt legate în principal de domeniul securității naționale, al siguranței publice, al apărării sau al asigurării respectării legii, inclusiv în ceea ce privește cercetarea, depistarea și pedepsirea infracțiunilor. Entitățile critice ale căror servicii sau activități sunt legate doar într-o mică măsură de domeniile menționate ar trebui să intre sub incidența prezentei directive. Niciun stat membru nu ar trebui să aibă obligația de a furniza informații a căror divulgare ar fi contrară intereselor esențiale ale siguranței sale naționale. Sunt relevante normele din dreptul Uniunii sau cele de drept intern privind protecția informațiilor clasificate și acordurile de nedivulgare. |
(12) |
Pentru a nu pune în pericol securitatea națională sau securitatea și interesele comerciale ale entităților critice, accesul la informații sensibile, schimbul de astfel de informații și prelucrarea acestora ar trebui realizate cu grijă, acordând o atenție deosebită canalelor de transmitere și capacităților de stocare utilizate. |
(13) |
În vederea asigurării unei abordări cuprinzătoare în ce privește reziliența entităților critice, fiecare stat membru ar trebui să dispună de o strategie pentru sporirea rezilienței entităților critice (denumită în continuare „strategia”). Strategia respectivă ar trebui să stabilească obiective strategice și măsuri de politică care să fie puse în aplicare. Din motive de coerență și eficiență, strategia ar trebui să fie concepută pentru a integra fără probleme politicile existente, bazându-se, ori de câte ori este posibil, pe strategii, planuri ori documente similare existente relevante la nivel național sau sectorial. Pentru a realiza o abordare cuprinzătoare, statele membre ar trebui să se asigure că strategiile lor oferă un cadru de politică pentru o coordonare consolidată între autoritățile competente în temeiul prezentei directive și autoritățile competente în temeiul Directivei (UE) 2022/2555 în contextul schimbului de informații privind riscurile de securitate cibernetică, amenințările cibernetice și incidentele cibernetice și riscurile, amenințările și incidentele non-cibernetice, precum și în contextul exercitării sarcinilor de supraveghere. Atunci când își pun în aplicare strategiile, statele membre ar trebui să țină seama în mod corespunzător de natura hibridă a amenințărilor la adresa entităților critice. |
(14) |
Statele membre ar trebui să comunice Comisiei strategiile lor și toate actualizările substanțiale ale acestora, în special pentru a permite Comisiei să evalueze aplicarea corectă a prezentei directive în materie de abordări de politică privind reziliența entităților critice la nivel național. Strategiile ar putea fi comunicate sub formă de informații clasificate, dacă este necesar. Comisia ar trebui să elaboreze un raport de sinteză privind strategiile comunicate de statele membre pentru a servi drept bază pentru schimburi în vederea identificării bunelor practici și a aspectelor de interes comun în cadrul Grupului privind reziliența entităților critice. Având în vedere caracterul sensibil al informațiilor agregate incluse în raportul de sinteză – indiferent dacă sunt sau nu clasificate – Comisia ar trebui să gestioneze acest raport de sinteză cu un nivel de sensibilizare adecvat în ceea ce privește securitatea entităților critice, a statelor membre și a Uniunii. Raportul de sinteză și strategiile ar trebui să fie protejate împotriva acțiunilor ilegale sau răuvoitoare și ar trebui să fie accesibile numai persoanelor autorizate pentru a îndeplini obiectivele prezentei directive. Comunicarea strategiilor și a actualizărilor substanțiale ale acestora ar trebui, de asemenea, să contribuie la înțelegerea de către Comisie a evoluțiilor privind abordările în materie de reziliență a entităților critice și să contribuie la monitorizarea impactului și a valorii adăugate a prezentei directive, pe care Comisia urmează să o revizuiască periodic. |
(15) |
Acțiunile întreprinse de statele membre pentru a identifica și a contribui la asigurarea rezilienței entităților critice ar trebui să urmeze o abordare bazată pe riscuri, care se concentrează pe entitățile cele mai relevante pentru îndeplinirea funcțiilor societale sau a activităților economice vitale. Pentru a se asigura o astfel de abordare direcționată, fiecare stat membru ar trebui să efectueze, într-un cadru armonizat, o evaluare a riscurilor naturale și provocate de om relevante, inclusiv a celor intersectoriale și transfrontaliere, care ar putea să afecteze furnizarea serviciilor esențiale, inclusiv a accidentelor, a dezastrelor naturale, a situațiilor de urgență din domeniul sănătății publice, cum ar fi pandemiile și amenințările hibride sau alte amenințări antagoniste, printre care infracțiunile de terorism, infiltrarea unor elemente infracționale și sabotajul (denumită în continuare „evaluarea riscurilor de către statul membru”). Atunci când efectuează evaluări ale riscurilor de către statul membru, statele membre ar trebui să țină seama de alte evaluări generale sau sectoriale ale riscurilor efectuate în temeiul altor acte din dreptul Uniunii și ar trebui să ia în considerare gradul de dependență între sectoare, inclusiv între sectoarele din alte state membre și țări terțe. Rezultatele evaluării riscurilor de către statul membru ar trebui utilizate în scopul de identificare a entităților critice și de a sprijini aceste entități în îndeplinirea cerințelor care le revin în materie de reziliență. Prezenta directivă se aplică numai statelor membre și entităților critice care își desfășoară activitatea în Uniune. Cu toate acestea, expertiza și cunoștințele generate de autoritățile competente, în special prin evaluări ale riscurilor, precum și de Comisie, în special prin diverse forme de sprijin și cooperare, ar putea fi utilizate, după caz și în conformitate cu instrumentele juridice aplicabile, în beneficiul țărilor terțe, în special al celor din vecinătatea directă a Uniunii, alimentând cooperarea existentă în materie de reziliență. |
(16) |
Pentru a se asigura faptul că toate entitățile relevante fac obiectul cerințelor în materie de reziliență ale prezentei directive și pentru a se reduce divergențele în această privință, este important să se stabilească norme armonizate care să permită identificarea consecventă a entităților critice în întreaga Uniune, permițând totodată statelor membre să reflecte în mod adecvat rolul și importanța acestor entități la nivel național. Atunci când aplică criteriile prevăzute în prezenta directivă, fiecare stat membru ar trebui să identifice entitățile care furnizează unul sau mai multe servicii esențiale și care operează și dețin infrastructuri critice situate pe teritoriul său. Ar trebui să se considere că o entitate operează pe teritoriul unui stat membru atunci când în acel stat membru își desfășoară activitățile necesare pentru serviciul sau serviciile esențiale în cauză și infrastructura sa critică, care este utilizată pentru a furniza serviciul sau serviciile respective, se găsește în acel stat membru. În cazul în care nu există nicio entitate care să îndeplinească criteriile respective într-un stat membru, statul membru respectiv nu ar trebui să aibă obligația de a identifica o entitate critică în sectorul sau subsectorul corespunzător. Din motive de eficacitate, eficiență, consecvență și securitate juridică, ar trebui să se stabilească, de asemenea, norme corespunzătoare privind notificarea entităților care au fost identificate drept entități critice. |
(17) |
Statele membre ar trebui să transmită Comisiei, într-un mod care îndeplinește obiectivele prezentei directive, o listă privind serviciile esențiale, numărul de entități critice identificate pentru fiecare sector și subsector prevăzut în anexă, precum și, în cazul serviciului sau serviciilor esențiale furnizate de fiecare entitate, dacă acest lucru se aplică, pragurile. Pragurile ar trebui să poată fi prezentate ca atare sau în formă agregată, adică informațiile pot fi prezentate ca valori medii pe zonă geografică, pe an, pe sector, pe subsector sau prin alte mijloace și pot include informații privind gama de indicatori furnizați. |
(18) |
Ar trebui să se stabilească criterii pentru determinarea importanței unui efect perturbator produs de un incident. Respectivele criterii ar trebui să se bazeze pe criteriile prevăzute în Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (6) pentru a valorifica eforturile depuse de statele membre în vederea identificării operatorilor de servicii esențiale definite în directiva menționată, precum și experiența dobândită în această privință. Crizele majore, cum ar fi pandemia de COVID-19, au demonstrat importanța asigurării securității lanțului de aprovizionare și au demonstrat modul în care perturbarea acestuia poate avea efecte economice și societale negative asupra unui număr mare de sectoare, precum și la nivel transfrontalier. Prin urmare, statele membre ar trebui, de asemenea, să ia în considerare efectele asupra lanțului de aprovizionare, în măsura posibilului, atunci când determină gradul de dependență al altor sectoare și subsectoare față de serviciul esențial furnizat de o entitate critică. |
(19) |
În conformitate cu dreptul Uniunii și cu dreptul intern aplicabile, inclusiv cu Regulamentul (UE) 2019/452 al Parlamentului European și al Consiliului (7) care stabilește un cadru pentru examinarea investițiilor străine directe în Uniune, trebuie recunoscută amenințarea potențială reprezentată de controlul străin asupra infrastructurilor critice din Uniune, deoarece serviciile, economia, libera circulație și siguranța cetățenilor Uniunii depind de buna funcționare a infrastructurii critice. |
(20) |
Directiva (UE) 2022/2555 impune entităților din sectorul infrastructurii digitale, care ar putea fi identificate ca fiind entități critice în temeiul prezentei directive, să ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice, precum și pentru a notifica incidentele și amenințările cibernetice semnificative. Întrucât amenințările la adresa securității rețelelor și a sistemelor informatice pot avea origini diferite, Directiva (UE) 2022/2555 aplică o abordare care ține seama de toate riscurile, care include reziliența rețelelor și a sistemelor informatice, precum și a componentelor lor fizice și a mediului sistemelor respective. Având în vedere că cerințele stabilite prin Directiva (UE) 2022/2555 în acest sens sunt cel puțin echivalente cu obligațiile corespunzătoare stabilite prin prezenta directivă, obligațiile stabilite la articolul 11 și în capitolele III, IV și VI din prezenta directivă nu ar trebui să se aplice entităților din sectorul infrastructurii digitale, pentru a se evita suprapunerile și sarcinile administrative inutile. Cu toate acestea, având în vedere importanța serviciilor furnizate de entitățile din sectorul infrastructurii digitale unor entități critice care aparțin tuturor celorlalte sectoare, statele membre ar trebui să identifice, pe baza criteriilor și utilizând procedura prevăzută în prezenta directivă, entitățile din sectorul infrastructurii digitale ca fiind entități critice. În consecință, ar trebui să se aplice strategiile, evaluările riscurilor de către statele membre și măsurile de sprijin prevăzute în capitolul II din prezenta directivă. Statele membre ar trebui să poată adopta sau menține dispoziții de drept intern pentru a atinge un nivel mai ridicat de reziliență pentru entitățile critice respective, cu condiția ca respectivele dispoziții să fie coerente cu dreptul aplicabil al Uniunii. |
(21) |
Dreptul Uniunii în domeniul serviciilor financiare instituie cerințe cuprinzătoare pentru entitățile financiare de a gestiona toate riscurile cu care se confruntă acestea, inclusiv riscurile operaționale, și de a asigura continuitatea activității. Dreptul respectiv include Regulamentele (UE) nr. 648/2012 (8), (UE) nr. 575/2013 (9) și (UE) nr. 600/2014 (10) ale Parlamentului European și ale Consiliului și Directivele 2013/36/UE (11) și 2014/65/UE (12) ale Parlamentului European și ale Consiliului. Cadrul juridic menționat este completat de Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului (13), care stabilește cerințele aplicabile entităților financiare în ceea ce privește gestionarea riscurilor TIC, inclusiv protecția infrastructurilor TIC fizice. Întrucât reziliența entităților respective este, prin urmare, reglementată în mod cuprinzător, articolul 11 și capitolele III, IV și VI din prezenta directivă nu ar trebui să se aplice entităților respective, pentru a evita suprapunerile și sarcinile administrative inutile. Cu toate acestea, având în vedere importanța serviciilor furnizate de entitățile din sectorul financiar unor entități critice care aparțin tuturor celorlalte sectoare, statele membre ar trebui să identifice, pe baza criteriilor și utilizând procedura prevăzută în prezenta directivă, entitățile din sectorul financiar ca fiind entități critice. În consecință, ar trebui să se aplice strategiile, evaluările riscurilor de către statele membre și măsurile de sprijin prevăzute în capitolul II din prezenta directivă. Statele membre ar trebui să poată adopta sau menține dispoziții de drept intern pentru a atinge un nivel mai ridicat de reziliență pentru entitățile critice respective, cu condiția ca respectivele dispoziții să fie coerente cu dreptul aplicabil al Uniunii. |
(22) |
Statele membre ar trebui să desemneze sau să înființeze autorități competente care să supravegheze aplicarea și, dacă este necesar, să asigure respectarea normelor prezentei directive și să garanteze faptul că aceste autorități dispun de competențele și de resursele adecvate. Având în vedere diferențele dintre structurile naționale de guvernanță, pentru a salvgarda dispozițiile sectoriale existente sau organismele de supraveghere și de reglementare ale Uniunii, precum și pentru a evita suprapunerile, statele membre ar trebui să poată desemna sau înființa una sau mai multe autorități competente. Atunci când desemnează sau înființează mai multe autorități competente, statele membre ar trebui să delimiteze în mod clar sarcinile care le revin autorităților în cauză și să se asigure că acestea cooperează în mod armonios și eficace. Toate autoritățile competente ar trebui, de asemenea, să coopereze pe un plan mai general cu alte autorități relevante, la nivelul Uniunii și la nivel național. |
(23) |
Pentru a facilita cooperarea și comunicarea la nivel transfrontalier și pentru a permite punerea în aplicare eficace a prezentei directive, fiecare stat membru ar trebui, fără a aduce atingere actelor sectoriale din dreptul Uniunii, să desemneze un punct unic de contact responsabil cu coordonarea aspectelor legate de reziliența entităților critice și de cooperarea transfrontalieră la nivelul Uniunii (denumit în continuare „punct unic de contact”), după caz în cadrul unei autorități competente. Fiecare punct unic de contact ar trebui să asigure legăturile și să coordoneze comunicarea, atunci când acest lucru este relevant, cu autoritățile competente din statul său membru, cu punctele unice de contact din alte state membre și cu Grupul privind reziliența entităților critice. |
(24) |
Autoritățile competente în temeiul prezentei directive și autoritățile competente în temeiul Directivei (UE) 2022/2555 ar trebui să coopereze și să facă schimb de informații în ceea ce privește riscurile de securitate cibernetică, amenințările cibernetice și incidentele cibernetice și riscurile, amenințările și incidentele non-cibernetice care afectează entitățile critice, precum și în ceea ce privește măsurile relevante luate de autoritățile competente în temeiul prezentei directive și de autoritățile competente în temeiul Directivei (UE) 2022/2555. Este important ca statele membre să se asigure că cerințele prevăzute în prezenta directivă și în Directiva (UE) 2022/2555 sunt puse în aplicare în mod complementar și că entitățile critice nu sunt supuse unei sarcini administrative mai mari decât cea necesară pentru a atinge obiectivele prezentei directive și pe cele ale directivei menționate. |
(25) |
Statele membre ar trebui să sprijine entitățile critice, inclusiv pe cele care pot fi considerate întreprinderi mici sau mijlocii, să își consolideze reziliența, în conformitate cu obligațiile care le revin statelor membre în temeiul prezentei directive, fără a aduce atingere responsabilității juridice a entităților critice de a asigura această conformitate, iar în cadrul demersurilor lor, ar trebui să evite sarcinile administrative excesive. Statele membre ar putea, în special, să elaboreze materiale de orientare și metodologii, să sprijine organizarea de exerciții pentru a testa reziliența entităților critice și să asigure furnizarea de consiliere și formarea personalului acestora. Atunci când acest lucru este necesar și justificat de obiective de interes public, statele membre ar putea furniza resurse financiare și ar trebui să faciliteze schimbul voluntar de informații și de bune practici între entitățile critice, fără a aduce atingere aplicării normelor în materie de concurență prevăzute în Tratatul privind funcționarea Uniunii Europene (TFUE). |
(26) |
Pentru a consolida reziliența entităților critice identificate de statele membre și pentru a reduce sarcinile administrative ale acestor entități critice, autoritățile competente ar trebui să se consulte reciproc ori de câte ori acest lucru este oportun pentru a asigura aplicarea în mod coerent a prezentei directive. Consultările respective ar trebui să fie inițiate la cererea oricărei autorități competente interesate și ar trebui să se axeze pe asigurarea unei abordări convergente în ceea ce privește entitățile critice interconectate care utilizează infrastructuri critice conectate fizic între două sau mai multe state membre, care aparțin acelorași grupuri sau structuri corporative sau care au fost identificate într-un stat membru și furnizează servicii esențiale pentru alte state membre sau pe teritoriul acestora. |
(27) |
În cazul în care dispoziții din dreptul Uniunii sau dreptul intern impun entităților critice să evalueze riscuri relevante în sensul prezentei directive și să ia măsuri pentru a asigura propria lor reziliență, cerințele respective ar trebui să fie luate în considerare în mod adecvat în scopul supravegherii respectării de către entitățile critice a prezentei directive. |
(28) |
Entitățile critice ar trebui să aibă o înțelegere cuprinzătoare a riscurilor relevante la care sunt expuse, precum și sarcina de a le analiza. În acest scop, entitățile critice ar trebui să efectueze evaluări ale riscurilor, ori de câte ori este necesar, având în vedere situația lor specifică și evoluția respectivelor riscuri, și, în orice caz, o dată la patru ani, în vederea evaluării tuturor riscurilor relevante care ar putea întrerupe furnizarea serviciilor lor esențiale (denumită în continuare „evaluarea riscurilor de către entitatea critică”). Atunci când au efectuat alte evaluări ale riscurilor sau au întocmit documente în temeiul obligațiilor prevăzute în alte acte de drept care sunt relevante pentru evaluarea riscurilor de către entitatea critică, entitățile critice ar trebui să poată utiliza evaluările și documentele respective pentru a îndeplini cerințele prevăzute în prezenta directivă referitoare la evaluarea riscurilor de către entitatea critică. O autoritate competentă ar trebui să poată declara o evaluare existentă a riscurilor efectuată de o entitate critică, care abordează riscurile relevante și gradul de dependență existent, ca fiind conformă, integral sau parțial, cu obligațiile stabilite prin prezenta directivă. |
(29) |
Entitățile critice ar trebui să ia măsuri tehnice, de securitate și organizatorice corespunzătoare și proporționale cu riscurile cu care se confruntă, astfel încât să prevină incidentele, să ofere protecție și să reziste în cazul producerii acestora, să răspundă și să reziste la ele, să le atenueze, să le absoarbă, să se adapteze la ele și să se redreseze în urma lor. În măsura în care entitățile critice ar trebui să ia măsurile menționate în conformitate cu prezenta directivă, detaliile și amploarea măsurilor respective ar trebui să reflecte, într-un mod adecvat și proporțional, diferitele riscuri pe care fiecare entitate critică le-a identificat în cadrul evaluării riscurilor de către entitatea critică, precum și specificitățile respectivei entități. Pentru a promova o abordare coerentă la nivelul Uniunii, Comisia ar trebui, după consultarea Grupului privind reziliența entităților critice, să adopte orientări fără caracter obligatoriu pentru a detalia măsurile tehnice, de securitate și organizatorice respective. Statele membre ar trebui să se asigure că fiecare entitate critică desemnează un ofițer de legătură sau un echivalent al acestuia ca punct de contact în relația cu autoritățile competente. |
(30) |
Din motive de eficacitate și de asigurare a asumării răspunderii, entitățile critice ar trebui să descrie măsurile pe care le adoptă, cu un nivel de detaliere care permite realizarea într-o măsură suficientă a obiectivelor de eficacitate și de asigurare a asumării răspunderii, ținând seama de riscurile identificate, într-un plan de reziliență sau într-un document echivalent sau în documente echivalente cu un plan de reziliență, și să aplice în practică respectivul plan. În scopul de a evita suprapunerile, atunci când o entitate critică a adoptat deja măsuri tehnice, de securitate și organizatorice și a întocmit documente în temeiul altor acte de drept care sunt relevante pentru măsurile de consolidare a rezilienței în temeiul prezentei directive, entitatea critică în cauză ar trebui să poată utiliza măsurile și documentele respective pentru a-și îndeplini obligațiile în ceea ce privește măsurile de reziliență în temeiul prezentei directive. În scopul de a evita suprapunerile, o autoritate competentă ar trebui să poată declara măsurile de reziliență existente adoptate de o entitate critică pentru a-și îndeplini obligația de a adopta măsuri tehnice, de securitate și organizatorice în temeiul prezentei directive, ca fiind integral sau parțial conforme cu cerințele prezentei directive. |
(31) |
Regulamentele (CE) nr. 725/2004 (14) și (CE) nr. 300/2008 (15) ale Parlamentului European și ale Consiliului și Directiva 2005/65/CE a Parlamentului European și a Consiliului (16) stabilesc cerințe aplicabile entităților din sectoarele aviației și transportului maritim pentru a preveni incidentele cauzate de acte ilegale, a rezista în cazul producerii unor astfel de incidente și a le atenua consecințele. Cu toate că măsurile necesare în temeiul prezentei directive sunt mai ample în ceea ce privește riscurile abordate și tipurile de măsuri care urmează să fie adoptate, entitățile critice din aceste sectoare ar trebui să reflecte în planul lor de reziliență sau în documente echivalente măsurile luate în temeiul altor acte de drept al Uniunii. Entitățile critice trebuie să ia în considerare și Directiva 2008/96/CE a Parlamentului European și a Consiliului (17), care introduce o evaluare la nivelul întregii rețele rutiere pentru a inventaria riscurile de accidente și o inspecție specifică în materie de siguranță rutieră pentru a identifica condițiile periculoase, defectele și problemele care sporesc riscul de accidente și de vătămare corporală, prin vizitarea la fața locului a drumurilor existente sau a tronsoanelor de drum. Asigurarea protecției și rezilienței entităților critice este extrem de importantă pentru sectorul feroviar și, atunci când pun în aplicare măsuri de reziliență în temeiul prezentei directive, entitățile critice sunt încurajate să ia în considerare orientările fără caracter obligatoriu și documentele de bune practici elaborate în cadrul unor fluxuri de lucru sectoriale, cum ar fi Platforma UE pentru securitatea călătorilor din transportul feroviar instituită prin Decizia 2018/C 232/03 a Comisiei (18). |
(32) |
Riscul ca angajații sau contractanții entităților critice să abuzeze, de exemplu, de drepturile lor de acces în cadrul organizației entității critice pentru a provoca daune și a aduce prejudicii este din ce în ce mai îngrijorător. Prin urmare, statele membre ar trebui să precizeze condițiile în care entităților critice li se permite, în cazuri justificate în mod corespunzător și ținând seama de evaluarea riscurilor de către statul membru, să depună cereri de verificare a antecedentelor persoanelor aparținând unor categorii de personal propriu. Ar trebui să se asigure faptul că autoritățile relevante analizează astfel de cereri într-un termen rezonabil și le prelucrează în conformitate cu dreptul intern și procedurile naționale, precum și cu dreptul relevant și aplicabil al Uniunii, inclusiv în ceea ce privește protecția datelor cu caracter personal. Pentru a confirma identitatea unei persoane care face obiectul unei verificări a antecedentelor, statele membre pot solicita o dovadă a identității, precum un pașaport, o carte națională de identitate sau o formă digitală de identificare, în conformitate cu dreptul aplicabil. Verificarea antecedentelor ar trebui să includă verificarea cazierului judiciar al persoanei vizate. Statele membre ar trebui să folosească Sistemul european de informații cu privire la cazierele judiciare, în conformitate cu procedurile prevăzute în Decizia-cadru 2009/315/JAI a Consiliului (19) și, dacă este relevant și aplicabil, în Regulamentul (UE) 2019/816 al Parlamentului European și al Consiliului (20), pentru a obține informații din cazierele judiciare păstrate în alte state membre. Statele membre ar putea, de asemenea, dacă este relevant și aplicabil, să utilizeze Sistemul de informații Schengen de a doua generație (SIS II) instituit prin Regulamentul (UE) 2018/1862 al Parlamentului European și al Consiliului (21), informații operative și orice alte informații obiective disponibile care ar putea fi necesare pentru a stabili dacă persoana în cauză este adecvată pentru a ocupa postul în legătură cu care entitatea critică a solicitat o verificare a antecedentelor. |
(33) |
Ar trebui să se stabilească un mecanism de notificare a anumitor incidente care să permită autorităților competente să reacționeze rapid și în mod adecvat la incidente și să aibă o imagine de ansamblu cuprinzătoare asupra efectelor, naturii, cauzei și posibilelor consecințe ale incidentelor cu care se confruntă entitățile critice. Entitățile critice ar trebui să notifice autorităților competente, fără întârzieri nejustificate, incidentele care perturbă în mod semnificativ sau care au potențialul de a perturba în mod semnificativ furnizarea serviciilor esențiale. Cu excepția cazului în care nu pot face acest lucru din motive operaționale, entitățile critice ar trebui să transmită o notificare inițială în termen de cel mult 24 de ore de la data la care au luat cunoștință de un incident. Notificarea inițială ar trebui să includă numai informațiile absolut necesare pentru a informa autoritatea competentă cu privire la incident și pentru a permite entității critice să solicite asistență, dacă este necesar. O astfel de notificare ar trebui să indice, dacă este posibil, cauza presupusă a incidentului. Statele membre ar trebui să se asigure că cerința de transmitere a acestei notificări inițiale nu deviază resursele entității critice raportoare de la activitățile legate de gestionarea incidentelor, care ar trebui să aibă prioritate. Notificarea inițială ar trebui să fie urmată, după caz, de un raport detaliat în termen de cel mult o lună de la incident. Raportul detaliat ar trebui să completeze notificarea inițială și să ofere o imagine de ansamblu mai completă a incidentului. |
(34) |
Standardizarea ar trebui să rămână, în principal, un proces bazat pe piață. Cu toate acestea, ar mai putea exista situații în care este oportun să se impună respectarea unor standarde specificate. Atunci când acest lucru este util, statele membre ar trebui să încurajeze utilizarea standardelor și specificațiilor tehnice europene și a celor internaționale care sunt pertinente pentru măsurile de securitate și de reziliență aplicabile entităților critice. |
(35) |
Cu toate că entitățile critice își desfășoară în general activitatea în cadrul unei rețele tot mai interconectate de furnizare de servicii și de infrastructură și furnizează adesea servicii esențiale în mai multe state membre, unele dintre aceste entități critice au o importanță deosebită pentru Uniune și pentru piața internă a acesteia, deoarece furnizează servicii esențiale pentru șase sau mai multe state membre sau pe teritoriul acestora și, prin urmare, ar putea să beneficieze de sprijin specific la nivelul Uniunii. Prin urmare, ar trebui să se instituie norme privind misiuni de consiliere în ceea ce privește astfel de entități critice de importanță europeană deosebită. Normele respective nu aduc atingere normelor privind supravegherea și asigurarea respectării legislației, prevăzute în prezenta directivă. |
(36) |
La cererea motivată din partea Comisiei sau din partea unuia sau a mai multor state membre cărora sau pe teritoriul cărora se furnizează serviciul esențial, în cazul în care sunt necesare informații suplimentare pentru a putea consilia o entitate critică în îndeplinirea obligațiilor care îi revin în temeiul prezentei directive sau pentru a evalua respectarea acestor obligații de către o entitate critică de importanță europeană deosebită, statul membru care a identificat o entitate critică de importanță europeană deosebită ca fiind o entitate critică ar trebui să pună la dispoziția Comisiei anumite informații astfel cum se prevede în prezenta directivă. De comun acord cu statul membru care a identificat entitatea critică de importanță europeană deosebită ca fiind o entitate critică, Comisia ar trebui să aibă posibilitatea de a organiza o misiune de consiliere pentru a evalua măsurile instituite de entitatea în cauză. Pentru a se asigura buna desfășurare a acestor misiuni de consiliere, ar trebui să se instituie norme complementare, în special în ceea ce privește organizarea și desfășurarea misiunilor de consiliere, acțiunile subsecvente desfășurate și obligațiile care le revin entităților critice de importanță europeană deosebită vizate. Fără a aduce atingere necesității ca statul membru în care se efectuează misiunea de consiliere și entitatea critică în cauză să respecte normele stabilite prin prezenta directivă, misiunea de consiliere ar trebui să se desfășoare cu respectarea normelor de drept detaliate ale respectivului stat membru, de exemplu cele privind condițiile exacte care trebuie să fie îndeplinite pentru a avea acces la sediile sau la documentele relevante și cele privind căile de atac. Expertiza specifică necesară pentru aceste misiuni de consiliere ar putea fi solicitată, după caz, prin intermediul Centrului de coordonare a răspunsului la situații de urgență instituit prin Decizia nr. 1313/2013/UE a Parlamentului European și a Consiliului (22). |
(37) |
Pentru a sprijini Comisia și pentru a facilita cooperarea între statele membre și schimbul de informații, inclusiv de bune practici, cu privire la aspectele referitoare la prezenta directivă, ar trebui să se constituie Grupul privind reziliența entităților critice, ca grup de experți al Comisiei. Statele membre ar trebui să depună eforturi pentru a asigura o cooperare eficace și eficientă a reprezentanților desemnați ai autorităților lor competente în cadrul Grupului privind reziliența entităților critice, inclusiv prin desemnarea unor reprezentanți care să dețină autorizarea de securitate adecvată, atunci când este cazul. Grupul privind reziliența entităților critice ar trebui să înceapă să își îndeplinească sarcinile cât mai curând posibil, astfel încât să pună la dispoziție mijloace suplimentare pentru o cooperare corespunzătoare pe parcursul perioadei de transpunere a prezentei directive. Grupul privind reziliența entităților critice ar trebui să interacționeze cu alte grupuri de lucru relevante la nivel de experți, specifice sectorului. |
(38) |
Grupul privind reziliența entităților critice ar trebui să coopereze cu Grupul de cooperare constituit în temeiul Directivei (UE) 2022/2555 în vederea sprijinirii unui cadru cuprinzător pentru reziliența cibernetică și non-cibernetică a entităților critice. Grupul privind reziliența entităților critice și Grupul de cooperare constituit în temeiul Directivei (UE) 2022/2555 ar trebui să se angajeze într-un dialog periodic pentru a promova cooperarea dintre autoritățile competente în temeiul prezentei directive și autoritățile competente în temeiul Directivei (UE) 2022/2555 și pentru a facilita schimbul de informații, în special cu privire la subiecte relevante pentru ambele grupuri. |
(39) |
Pentru a realiza obiectivele prezentei directive și fără a aduce atingere responsabilității juridice a statelor membre și a entităților critice de a asigura respectarea obligațiilor care le revin în temeiul prezentei directive, Comisia ar trebui, atunci când consideră oportun, să sprijine autoritățile competente și entitățile critice în vederea facilitării respectării de către acestea a obligațiilor care le revin. Atunci când acordă sprijin statelor membre și entităților critice în punerea în aplicare a obligațiilor care le revin în temeiul prezentei directive, Comisia ar trebui să se bazeze pe structurile și instrumentele existente, cum ar fi cele din cadrul mecanismului de protecție civilă al Uniunii, instituit prin Decizia nr. 1313/2013/UE și al Rețelei europene de referință pentru protecția infrastructurii critice. În plus, Comisia ar trebui să informeze statele membre cu privire la resursele disponibile la nivelul Uniunii, cum ar fi cele din cadrul Fondului pentru securitate internă instituit prin Regulamentul (UE) 2021/1149 al Parlamentului European și al Consiliului (23), al programului Orizont Europa instituit prin Regulamentul (UE) 2021/695 al Parlamentului European și al Consiliului (24), sau al altor instrumente relevante pentru reziliența entităților critice. |
(40) |
Statele membre ar trebui să asigure faptul că autoritățile lor competente dispun de anumite competențe specifice pentru aplicarea și asigurarea respectării în mod corespunzător a prezentei directive în ceea ce privește entitățile critice, în cazul în care aceste entități țin de jurisdicția lor, astfel cum se specifică în prezenta directivă. Printre aceste competențe ar trebui să se numere, în special, competența de a efectua inspecții și audituri, competența de a supraveghea, competența de a solicita entităților critice să furnizeze informații și dovezi cu privire la măsurile pe care le-au luat pentru a-și îndeplini obligațiile și, dacă este necesar, competența de a emite ordine pentru a remedia încălcările identificate. Atunci când emit astfel de ordine, statele membre nu ar trebui să impună măsuri care să depășească ceea ce este necesar și proporțional pentru a asigura respectarea normelor de către entitatea critică în cauză, ținând seama în special de gravitatea încălcării și de capacitatea economică a entității critice în cauză. La un nivel mai general, aceste competențe ar trebui să fie însoțite de garanții corespunzătoare și eficace care să fie specificate în dreptul intern în conformitate cu Carta drepturilor fundamentale a Uniunii Europene. Atunci când analizează respectarea de către o entitate critică a obligațiilor care îi revin în temeiul prezentei directive, autoritățile competente în temeiul prezentei directive ar trebui să poată solicita autorităților competente în temeiul Directivei (UE) 2022/2555 să își exercite competențele de supraveghere și de asigurare a respectării legislației în legătură cu o entitate care intră sub incidența respectivei directive și care a fost identificată drept o entitate critică în temeiul prezentei directive. Autoritățile competente în temeiul prezentei directive și autoritățile competente în temeiul Directivei (UE) 2022/2555 ar trebui să coopereze și să facă schimb de informații în acest scop. |
(41) |
Pentru a aplica prezenta directivă într-un mod eficace și consecvent, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei pentru a completa prezenta directivă prin elaborarea unei liste de servicii esențiale. Lista respectivă ar trebui să fie utilizată de autoritățile competente în scopul efectuării evaluării riscurilor de către statul membru și al identificării entităților critice în temeiul prezentei directive. În conformitate cu abordarea armonizării minime din prezenta directivă, lista menționată nu este exhaustivă, iar statele membre ar putea să o completeze cu servicii esențiale suplimentare la nivel național pentru a ține seama de particularitățile naționale în furnizarea serviciilor esențiale. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (25). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. |
(42) |
În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentei directive, Comisiei ar trebui să i se confere competențe de executare. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (26). |
(43) |
Întrucât obiectivele prezentei directive, și anume de a asigura că serviciile esențiale pentru menținerea funcțiilor societale sau a activităților economice vitale sunt furnizate pe piața internă fără a fi obstrucționate și de a consolida reziliența entităților critice care furnizează astfel de servicii, nu pot fi realizate în mod satisfăcător de către statele membre și, având în vedere efectele acțiunii, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul 5 menționat, prezenta directivă nu depășește ceea ce este necesar pentru realizarea acestor obiective. |
(44) |
Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (27) și a emis un aviz la 11 august 2021. |
(45) |
Prin urmare, Directiva 2008/114/CE ar trebui să fie abrogată, |
ADOPTĂ PREZENTA DIRECTIVĂ:
CAPITOLUL I
DISPOZIȚII GENERALE
Articolul 1
Obiect și domeniu de aplicare
(1) Prezenta directivă:
(a) |
stabilește pentru statele membre obligații de a lua măsuri specifice menite să asigure furnizarea neîngrădită pe piața internă a serviciilor esențiale pentru menținerea funcțiilor societale sau a activităților economice vitale, în limitele domeniului de aplicare al articolului 114 din TFUE, în special obligații de a identifica entitățile critice și de a sprijini entitățile critice pentru a-și îndeplini obligațiile care le revin; |
(b) |
stabilește pentru entitățile critice obligații menite să le sporească reziliența și capacitatea de a furniza pe piața internă serviciile menționate la litera (a); |
(c) |
stabilește norme privind:
|
(d) |
stabilește proceduri comune de cooperare și raportare în ceea ce privește aplicarea prezentei directive; |
(e) |
stabilește măsuri menite să asigure un nivel ridicat al rezilienței entităților critice pentru a asigura furnizarea serviciilor esențiale în Uniune și pentru a îmbunătăți funcționarea pieței interne. |
(2) Prezenta directivă nu se aplică aspectelor reglementate de Directiva (UE) 2022/2555, fără a aduce atingere articolului 8 din prezenta directivă. Având în vedere relația dintre securitatea fizică și securitatea cibernetică a entităților critice, statele membre asigură punerea în aplicare coordonată a prezentei directive și a Directivei (UE) 2022/2555.
(3) Dispozițiile relevante ale prezentei directive, inclusiv dispozițiile privind supravegherea și asigurarea respectării legislației prevăzute în capitolul VI, nu se aplică în cazul în care dispozițiile actelor sectoriale din dreptul Uniunii impun entităților critice să ia măsuri de consolidare a rezilienței, iar cerințele respective sunt recunoscute de statele membre ca fiind cel puțin echivalente cu obligațiile corespunzătoare prevăzute în prezenta directivă.
(4) Fără a aduce atingere articolului 346 din TFUE, informațiile confidențiale în temeiul normelor Uniunii sau al normelor naționale, cum ar fi cele privind secretul comercial, fac obiectul schimbului de informații cu Comisia și cu alte autorități relevante în conformitate cu prezenta directivă numai dacă acest lucru este necesar pentru aplicarea prezentei directive. Informațiile care fac obiectul schimbului se limitează la informații relevante și proporționale cu scopul respectivului schimb. Acest schimb de informații păstrează confidențialitatea informațiilor respective și securitatea și interesele comerciale ale entităților critice, respectând totodată securitatea statelor membre.
(5) Prezenta directivă nu aduce atingere responsabilității statelor membre de a proteja securitatea și apărarea națională sau competenței acestora de a proteja alte funcții esențiale ale statului, inclusiv asigurarea integrității teritoriale a statului și menținerea ordinii publice.
(6) Prezenta directivă nu se aplică entităților administrației publice care își desfășoară activitățile în domeniul securității naționale, al siguranței publice, al apărării sau al asigurării respectării legii, inclusiv în ceea ce privește cercetarea, depistarea și urmărirea penală a infracțiunilor.
(7) Statele membre pot decide că articolul 11 și capitolele III, IV și VI nu se aplică, integral sau parțial, anumitor entități critice care își desfășoară activitățile în domeniul securității naționale, al siguranței publice, al apărării sau al asigurării respectării legii, inclusiv în ceea ce privește cercetarea, depistarea și urmărirea penală a infracțiunilor, sau care prestează servicii exclusiv entităților administrației publice menționate la alineatul (6) de la prezentul articol.
(8) Obligațiile prevăzute în prezenta directivă nu implică furnizarea de informații a căror divulgare ar contraveni intereselor esențiale ale statelor membre în materie de securitate națională, siguranță publică sau apărare.
Articolul 2
Definiții
În sensul prezentei directive, se aplică următoarele definiții:
1. |
„entitate critică” înseamnă o entitate publică sau privată care a fost identificată de un stat membru în conformitate cu articolul 6 ca aparținând uneia dintre categoriile menționate în a treia coloană a tabelului din anexă; |
2. |
„reziliență” înseamnă capacitatea unei entități critice de a preveni un incident, de a oferi protecție și de a rezista în cazul producerii unui incident, de a răspunde la un incident, de a atenua un incident, de a absorbi un incident, de a se adapta unui incident și de a se redresa în urma unui incident; |
3. |
„incident” înseamnă orice eveniment care are potențialul de a perturba în mod semnificativ sau care perturbă furnizarea unui serviciu esențial, inclusiv atunci când afectează sistemele naționale care protejează statul de drept; |
4. |
„infrastructură critică” înseamnă un activ, o instalație, un echipament, o rețea ori un sistem, sau o componentă a unui activ, instalații, echipament, rețea ori sistem, care este necesar(ă) pentru furnizarea unui serviciu esențial; |
5. |
„serviciu esențial” înseamnă un serviciu care este indispensabil pentru menținerea funcțiilor societale vitale, a activităților economice vitale, a sănătății și siguranței publice, sau a mediului; |
6. |
„risc” înseamnă potențialele pierderi sau perturbări cauzate de un incident și se exprimă ca o combinație între amploarea unei astfel de pierderi sau perturbări și probabilitatea producerii incidentului respectiv; |
7. |
„evaluarea riscurilor” înseamnă procesul global prin care se determină natura și amploarea unui risc prin identificarea și analiza potențialelor amenințări, vulnerabilități și pericole relevante care ar putea conduce la un incident și prin evaluarea potențialelor pierderi sau perturbări ale furnizării unui serviciu esențial provocate de incidentul respectiv; |
8. |
„standard” înseamnă un standard în înțelesul definiției de la articolul 2 punctul 1 din Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului (30); |
9. |
„specificație tehnică” înseamnă o specificație tehnică în înțelesul definiției de la articolul 2 punctul 4 din Regulamentul (UE) nr. 1025/2012; |
10. |
„entitate a administrației publice” înseamnă o entitate, recunoscută ca atare într-un stat membru în conformitate cu dreptul intern, cu excepția autorităților judecătorești, parlamentare sau a băncilor centrale, care îndeplinește următoarele criterii:
|
Articolul 3
Armonizarea minimă
Prezenta directivă nu împiedică adoptarea sau menținerea de către statele membre a unor dispoziții de drept intern în vederea obținerii unui nivel mai ridicat de reziliență a entităților critice, cu condiția care dispozițiile respective să fie conforme cu obligațiilor care revin statelor membre în temeiul dreptului Uniunii.
CAPITOLUL II
CADRELE NAȚIONALE PRIVIND REZILIENȚA ENTITĂȚILOR CRITICE
Articolul 4
Strategia privind reziliența entităților critice
(1) În urma unei consultări care este, în măsura în care este posibil din punct de vedere practic, deschisă părților interesate relevante, fiecare stat membru adoptă o strategie de consolidare a rezilienței entităților critice (denumită în continuare „strategia”) până la 17 ianuarie 2026. Strategia stabilește obiective strategice și măsuri de politică, pe baza strategiilor naționale și sectoriale existente relevante, a planurilor sau a unor documente similare, în vederea atingerii și menținerii unui nivel ridicat de reziliență a entităților critice și care acoperă cel puțin sectoarele prevăzute în anexă.
(2) Fiecare strategie include cel puțin următoarele elemente:
(a) |
obiectivele strategice și prioritățile în scopul consolidării rezilienței generale a entităților critice, ținând seama de dependențele și interdependențele transfrontaliere și intersectoriale; |
(b) |
un cadru de guvernanță pentru realizarea obiectivelor strategice și a priorităților, inclusiv o descriere a rolurilor și responsabilităților diferitelor autorități, ale entităților critice și ale altor părți implicate în punerea în aplicare a strategiei; |
(c) |
o descriere a măsurilor necesare pentru a consolida reziliența generală a entităților critice, inclusiv o descriere a evaluării riscurilor, astfel cum se menționează la articolul 5; |
(d) |
o descriere a procesului prin care sunt identificate entitățile critice; |
(e) |
o descriere a procesului de sprijinire a entităților critice în conformitate cu prezentul capitol, inclusiv a măsurilor de consolidare a cooperării dintre sectorul public, pe de o parte, și sectorul privat și entitățile publice și private, pe de altă parte; |
(f) |
o listă a principalelor autorități și a părților interesate relevante, altele decât entitățile critice, implicate în punerea în aplicare a strategiei; |
(g) |
un cadru de politică pentru coordonarea dintre autoritățile competente în temeiul prezentei directive (denumite în continuare „autoritățile competente”) și autoritățile competente în temeiul Directivei (UE) 2022/2555 în scopul schimbului de informații privind riscurile de securitate cibernetică, amenințările cibernetice și incidentele cibernetice și riscurile, amenințările și incidentele non-cibernetice și al exercitării sarcinilor de supraveghere; |
(h) |
o descriere a măsurilor deja în vigoare menite să faciliteze punerea în aplicare a obligațiilor care le revin în temeiul capitolului III din prezenta directivă de către întreprinderile mici și mijlocii în înțelesul anexei la Recomandarea 2003/361/CE a Comisiei (31) pe care statul membru în cauză le-a identificat drept entități critice. |
În urma unei consultări care, în măsura în care este posibil din punct de vedere practic, este deschisă părților interesate relevante, statele membre își actualizează strategia cel puțin o dată la fiecare patru ani.
(3) Statele membre transmit Comisiei strategiile și orice actualizări substanțiale ale acestora în termen de trei luni de la adoptarea lor.
Articolul 5
Evaluarea riscurilor efectuată de statul membru
(1) Până la 17 noiembrie 2023, Comisia este împuternicită să adopte un act delegat în conformitate cu articolul 23 pentru a completa prezenta directivă prin stabilirea unei liste neexhaustive a serviciilor esențiale din sectoarele și subsectoarele prevăzute în anexă. Autoritățile competente utilizează respectiva listă de servicii esențiale în scopul efectuării unei evaluări a riscurilor (denumită în continuare „evaluarea riscurilor efectuată de statul membru”) până la 17 ianuarie 2026 și, ulterior, ori de câte ori este necesar, dar cel puțin o dată la fiecare patru ani. Autoritățile competente utilizează evaluarea riscurilor efectuată de statul membru pentru a identifica entitățile critice în conformitate cu articolul 6 și pentru a le sprijini în ceea ce privește luarea măsurilor prevăzute la articolul 13.
Evaluarea riscurilor efectuată de statul membru ia în considerare riscurile naturale și cele provocate de om relevante, inclusiv cele de ordin intersectorial sau transfrontalier, accidentele, dezastrele naturale, situațiile de urgență din domeniul sănătății publice și amenințările hibride, sau alte amenințări antagoniste, inclusiv infracțiunile de terorism prevăzute de Directiva (UE) 2017/541 a Parlamentului European și a Consiliului (32).
(2) La evaluarea riscurilor efectuată de statul membru, statele membre iau în considerare cel puțin următoarele:
(a) |
evaluarea generală a riscurilor efectuată în temeiul articolului 6 alineatul (1) din Decizia nr. 1313/2013/UE; |
(b) |
alte evaluări relevante ale riscurilor, efectuate în conformitate cu cerințele actelor sectoriale relevante din dreptul Uniunii, inclusiv Regulamentele (UE) 2017/1938 (33) și (UE) 2019/941 (34) ale Parlamentului European și ale Consiliului și Directivele 2007/60/CE (35) și 2012/18/UE (36) ale Parlamentului European și ale Consiliului; |
(c) |
riscurile relevante care decurg din gradul de dependență existentă între sectoarele prevăzute în anexă, inclusiv din gradul de dependență a acestora de entități situate în alte state membre și în țări terțe, și impactul pe care o perturbare semnificativă într-un sector îl poate avea asupra altor sectoare, inclusiv orice risc semnificativ la adresa cetățenilor sau a pieței interne; |
(d) |
orice informații privind incidentele notificate în conformitate cu articolul 15. |
În sensul primului paragraf litera (c), statele membre cooperează cu autoritățile competente din alte state membre și, după caz, cu autoritățile competente din țări terțe.
(3) Statele membre pun la dispoziția entităților critice pe care le-au identificat în conformitate cu articolul 6 elementele relevante ale evaluării riscurilor efectuată de statul membru, după caz, prin intermediul punctelor unice de contact. Statele membre se asigură că informațiile furnizate entităților critice vin în sprijinul acestora în evaluarea riscurilor efectuată de acestea în temeiul articolului 12 și în luarea unor măsuri care să le asigure reziliența în temeiul articolului 13.
(4) În termen de trei luni de la evaluarea riscurilor efectuată de statul membru, un stat membru furnizează Comisiei informațiile relevante privind tipurile de riscuri identificate și rezultatele respectivei evaluări a riscurilor efectuată de statul membru, pentru fiecare sector și subsector prevăzut în anexă.
(5) Comisia, în cooperare cu statele membre, elaborează un model comun de raportare voluntar care să poată fi utilizat pentru asigurarea conformității cu alineatul (4).
Articolul 6
Identificarea entităților critice
(1) Până la 17 iulie 2026, fiecare stat membru identifică entitățile critice pentru sectoarele și subsectoarele prevăzute în anexă.
(2) Atunci când identifică entitățile critice în temeiul alineatului (1), un stat membru ia în considerare rezultatele propriei evaluări a riscurilor efectuată de statul membru și strategia sa și aplică cumulativ următoarele criterii:
(a) |
entitatea furnizează unul sau mai multe servicii esențiale; |
(b) |
entitatea operează, și infrastructura sa critică este situată, pe teritoriul statului membru respectiv; și |
(c) |
un incident ar avea efecte perturbatoare semnificative, determinate în conformitate cu articolul 7 alineatul (1), asupra furnizării de către o entitate a unuia sau mai multor servicii esențiale ori asupra furnizării altor servicii esențiale în sectoarele prevăzute în anexă care depind de acel serviciu esențial sau de acele servicii esențiale. |
(3) Fiecare stat membru stabilește o listă a entităților critice identificate în temeiul alineatului (2) și se asigură că respectivele entități critice sunt notificate cu privire la identificarea lor ca entități critice în termen de o lună de la identificarea respectivă. Statele membre informează entitățile critice respective cu privire la obligațiile care le revin în temeiul capitolelor III și IV și cu privire la data de la care obligațiile respective le revin, fără a aduce atingere articolului 8. Statele membre informează entitățile critice din sectoarele prevăzute la punctele 3, 4 și 8 din tabelul din anexă cu privire la faptul că nu le revin obligații în temeiul capitolelor III și IV, cu excepția cazului în care norme naționale prevăd altfel.
Capitolul III se aplică entităților critice vizate după 10 luni de la data notificării menționate la primul paragraf de la prezentul alineat.
(4) Statele membre se asigură că autoritățile lor competente în temeiul prezentei directive notifică autorităților competente în temeiul Directivei (UE) 2022/2555 identitatea entităților critice pe care le-au identificat în temeiul prezentului articol, în termen de o lună de la identificarea respectivă. Notificarea respectivă specifică, dacă este cazul, că entitățile critice vizate sunt entități din sectoarele prevăzute la punctele 3, 4 și 8 din tabelul din anexa la prezenta directivă și că acestora nu le revin obligații în temeiul capitolelor III și IV din prezenta directivă.
(5) Atunci când este necesar și, în orice caz, cel puțin o dată la fiecare patru ani, statele membre revizuiesc și, după caz, actualizează lista entităților critice identificate menționate la alineatul (3). În cazul în care actualizările respective conduc la identificarea unor entități critice suplimentare, acelor entități critice suplimentare li se aplică alineatele (3) și (4). În plus, statele membre se asigură că entitățile care nu mai sunt identificate ca entități critice în urma unei astfel de actualizări sunt notificate în timp util cu privire la aceasta și cu privire la faptul că, de la primirea notificării respective, nu le mai revin obligațiile prevăzute în capitolul III.
(6) Comisia, în cooperare cu statele membre, elaborează recomandări și orientări fără caracter obligatoriu pentru a sprijini statele membre în identificarea entităților critice.
Articolul 7
Efect perturbator semnificativ
(1) La determinarea importanței unui efect perturbator astfel cum se menționează la articolul 6 alineatul (2) litera (c), statele membre țin cont de următoarele criterii:
(a) |
numărul de utilizatori care se bazează pe serviciul esențial furnizat de entitatea în cauză; |
(b) |
gradul de dependență al altor sectoare și subsectoare prevăzute în anexă de serviciul esențial respectiv; |
(c) |
efectele pe care l-ar putea avea incidentele, ca intensitate și durată, asupra activităților economice și societale, a mediului, a siguranței și securității publice, sau a sănătății populației; |
(d) |
cota de piață a entității pe piața serviciului esențial sau a serviciilor esențiale respective; |
(e) |
zona geografică ce ar putea fi afectată de un incident, inclusiv eventualele efecte transfrontaliere, ținând seama de vulnerabilitatea asociată cu gradul de izolare al anumitor tipuri de zone geografice, cum ar fi regiunile insulare, regiunile îndepărtate sau zonele montane; |
(f) |
importanța entității pentru menținerea unui nivel suficient al serviciului esențial, ținând cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului esențial respectiv. |
(2) După identificarea entităților critice în temeiul articolului 6 alineatul (1), fiecare stat membru transmite fără întârziere Comisiei următoarele informații:
(a) |
o listă a serviciilor esențiale în respectivul stat membru atunci când există servicii esențiale suplimentare față de cele care figurează în lista serviciilor esențiale menționată la articolul 5 alineatul (1); |
(b) |
numărul de entități critice identificate pentru fiecare sector și subsector prevăzut în anexă și pentru fiecare serviciu esențial; |
(c) |
orice praguri aplicate pentru a specifica unul sau mai multe dintre criteriile de la alineatul (1). |
Pragurile menționate la primul paragraf litera (c) pot fi prezentate ca atare sau sub formă agregată.
Ulterior, statele membre transmit informațiile menționate la primul paragraf ori de câte ori este necesar și cel puțin o dată la fiecare patru ani.
(3) După consultarea Grupului privind reziliența entităților critice menționat la articolul 19, Comisia adoptă orientări fără caracter obligatoriu pentru a facilita aplicarea criteriilor menționate la alineatul (1) de la prezentul articol, ținând seama de informațiile menționate la alineatul (2) de la prezentul articol.
Articolul 8
Entități critice din sectorul bancar, sectorul infrastructurii pieței financiare și sectorul infrastructurii digitale
Statele membre se asigură că articolul 11 și capitolele III, IV și VI nu se aplică entităților critice pe care le-au identificat din sectoarele prevăzute la punctele 3, 4 și 8 din tabelul din anexă. Statele membre pot adopta sau menține dispoziții de drept intern pentru a atinge un nivel mai ridicat de reziliență pentru entitățile critice respective, cu condiția ca respectivele dispoziții să fie coerente cu dreptul aplicabil al Uniunii.
Articolul 9
Autoritățile competente și punctul unic de contact
(1) Fiecare stat membru desemnează sau înființează una sau mai multe autorități competente responsabile cu aplicarea corectă și, după caz, cu asigurarea respectării dispozițiilor prezentei directive la nivel național.
În ceea ce privește entitățile critice din sectoarele prevăzute la punctele 3 și 4 din tabelul din anexa la prezenta directivă, autoritățile competente sunt, în principiu, autoritățile competente menționate la articolul 46 din Regulamentul (UE) 2022/2554. În ceea ce privește entitățile critice din sectorul prevăzut la punctul 8 din tabelul din anexa la prezenta directivă, autoritățile competente sunt, în principiu, autoritățile competente în temeiul Directivei (UE) 2022/2555. Statele membre pot desemna o altă autoritate competentă pentru sectoarele prevăzute la punctele 3 și 4 din tabelul din anexa la prezenta directivă, în conformitate cu cadrele naționale existente.
În cazul în care desemnează sau înființează mai multe autorități competente, statele membre stabilesc în mod clar sarcinile care revin fiecăreia dintre autoritățile în cauză și se asigură că acestea cooperează în mod eficace în vederea îndeplinirii sarcinilor care le revin în temeiul prezentei directive, inclusiv în ceea ce privește desemnarea și activitățile punctului unic de contact menționat la alineatul (2).
(2) Fiecare stat membru desemnează sau înființează un punct unic de contact care să exercite o funcție de legătură pentru a asigura cooperarea transfrontalieră cu punctele unice de contact ale altor state membre și cu Grupul privind reziliența entităților critice menționat la articolul 19 (denumit în continuare „punctul unic de contact”). După caz, un stat membru desemnează punctul său unic de contact în cadrul unei autorități competente. După caz, un stat membru poate dispune ca punctul său unic de contact să exercite și o funcție de legătură cu Comisia și să asigure cooperarea cu țările terțe.
(3) Până la 17 iulie 2028 și, ulterior, la fiecare doi ani, punctele unice de contact prezintă Comisiei și Grupului privind reziliența entităților critice menționat la articolul 19 un raport de sinteză privind notificările pe care le-au primit, inclusiv cu privire la numărul de notificări, natura incidentelor notificate și măsurile luate în conformitate cu articolul 15 alineatul (3).
Comisia, în cooperare cu Grupul privind reziliența entităților critice, elaborează un model comun de raportare. Autoritățile competente pot utiliza în mod voluntar modelul comun de raportare în scopul transmiterii rapoartelor de sinteză menționate la primul paragraf.
(4) Fiecare stat membru se asigură că autoritatea sa competentă și punctul unic de contact dețin competențele și resursele financiare, umane și tehnice adecvate pentru a îndeplini, în mod eficace și eficient, sarcinile care le sunt încredințate.
(5) Fiecare stat membru se asigură că autoritatea sa competentă se consultă și cooperează, după caz și în conformitate cu dreptul Uniunii și cu dreptul intern, cu alte autorități naționale relevante, inclusiv cu cele responsabile de protecția civilă, de asigurarea respectării legii și de protecția datelor cu caracter personal, precum și cu entitățile critice și cu părțile interesate relevante.
(6) Fiecare stat membru se asigură că autoritatea sa competentă în temeiul prezentei directive cooperează și face schimb de informații cu autoritățile competente în temeiul Directivei (UE) 2022/2555 în ceea ce privește riscurile de securitate cibernetică, amenințările cibernetice și incidentele cibernetice, precum și riscurile, amenințările și incidentele non-cibernetice care afectează entitățile critice, precum și în ceea ce privește măsurile relevante luate de autoritatea competentă și de autoritățile competente în temeiul Directivei (UE) 2022/2555.
(7) Fiecare stat membru notifică Comisiei desemnarea sau înființarea autorității competente și a punctului unic de contact în termen de trei luni de la desemnarea sau înființarea acestora, inclusiv sarcinile și responsabilitățile care le revin în temeiul prezentei directive, datele lor de contact și orice modificare ulterioară a acestora. Statele membre informează Comisia cu privire la decizia de a desemna o altă autoritate decât autoritățile competente menționate la alineatul (1) al doilea paragraf drept autoritate competentă în ceea ce privește entitățile critice din sectoarele prevăzute la punctele 3, 4 și 8 din tabelul din anexă. Fiecare stat membru face publică identitatea autorității sale competente și a punctului său unic de contact.
(8) Comisia întocmește și publică o listă a punctelor unice de contact.
Articolul 10
Sprijinul acordat de statele membre entităților critice
(1) Statele membre acordă sprijin entităților critice în vederea consolidării rezilienței acestora. Sprijinul respectiv poate include elaborarea de materiale de orientare și metodologii, sprijinul pentru organizarea de exerciții pentru a testa reziliența acestor entități și furnizarea de consiliere și formare personalului entităților critice. Fără a aduce atingere normelor aplicabile privind ajutoarele de stat, statele membre pot furniza resurse financiare entităților critice, atunci când acest lucru este necesar și justificat de obiective de interes public.
(2) Fiecare stat membru se asigură că autoritatea sa competentă cooperează și face schimb de informații și de bune practici cu entitățile critice din sectoarele prevăzute în anexă.
(3) Statele membre facilitează schimbul voluntar de informații între entitățile critice în ceea ce privește aspectele reglementate de prezenta directivă, în conformitate cu dreptul Uniunii și cu dreptul intern privind, în special, informațiile clasificate și sensibile, concurența și protecția datelor cu caracter personal.
Articolul 11
Cooperarea dintre statele membre
(1) Statele membre se consultă reciproc cu privire la entitățile critice, ori de câte ori acest lucru este necesar, în scopul asigurării aplicării consecvente a prezentei directive. Consultările respective au loc în special în ceea ce privește entitățile critice:
(a) |
care utilizează o infrastructură critică conectată fizic între două sau mai multe state membre; |
(b) |
care fac parte din structuri corporative conectate cu entități critice din alte state membre sau legate de acestea; |
(c) |
care au fost identificate drept entități critice într-un stat membru și furnizează servicii esențiale pentru alte state membre sau pe teritoriul acestora. |
(2) Consultările menționate la alineatul (1) vizează consolidarea rezilienței entităților critice și, acolo unde este posibil, reducerea sarcinii administrative care incumbă acestora.
CAPITOLUL III
REZILIENȚA ENTITĂȚILOR CRITICE
Articolul 12
Evaluarea riscurilor efectuată de entitățile critice
(1) Prin excepție de la termenul prevăzut la articolul 6 alineatul (3) al doilea paragraf, statele membre se asigură că entitățile critice efectuează o evaluare a riscurilor în termen de nouă luni după primirea notificării menționate la articolul 6 alineatul (3) și, ulterior, ori de câte ori este necesar dar cel puțin o dată la fiecare patru ani, pe baza evaluărilor riscurilor efectuate de statele membre și a altor surse relevante de informații, în vederea evaluării tuturor riscurilor relevante care ar putea perturba furnizarea serviciilor lor esențiale (denumită în continuare „evaluarea riscurilor efectuată de entitatea critică”).
(2) Evaluarea riscurilor efectuată de entitatea critică ține seama de toate riscurile naturale și de cele provocate de om care ar putea provoca producerea unui incident, inclusiv cele intersectoriale sau transfrontaliere, accidentele, dezastrele naturale, situațiile de urgență din domeniul sănătății publice și amenințările hibride, precum și alte amenințări antagoniste, inclusiv infracțiunile de terorism prevăzute de Directiva (UE) 2017/541. Evaluarea riscurilor efectuată de entitatea critică ține seama de gradul de dependență al altor sectoare prevăzute în anexă față de serviciul esențial furnizat de entitatea critică și gradul de dependență al entității critice față de serviciile esențiale furnizate de alte entități în sectoarele respective inclusiv, după caz, în statele membre și țările terțe învecinate.
În cazul în care o entitate critică a efectuat alte evaluări ale riscurilor sau a întocmit documente în temeiul obligațiilor prevăzute în alte acte de drept care sunt relevante pentru evaluarea riscurilor efectuată de entitatea critică, aceasta poate utiliza evaluările și documentele respective pentru a îndeplini cerințele prevăzute la prezentul articol. Atunci când își exercită funcțiile de supraveghere, autoritatea competentă poate declara o evaluare existentă a riscurilor efectuată de o entitate critică care abordează riscurile și gradul de dependență menționate la primul paragraf de la prezentul alineat ca fiind conformă, integral sau parțial, cu obligațiile prevăzute la prezentul articol.
Articolul 13
Măsuri de reziliență luate de entitățile critice
(1) Statele membre se asigură că entitățile critice iau măsuri tehnice, de securitate și organizatorice adecvate și proporționale pentru a-și asigura reziliența, pe baza informațiilor relevante furnizate de statele membre în evaluarea riscurilor efectuată de statul membru precum și a rezultatelor evaluării riscurilor efectuată de entitatea critică, inclusiv măsuri necesare pentru:
(a) |
a preveni apariția incidentelor, luând în considerare în mod corespunzător măsuri de reducere a riscului de dezastre și de adaptare la schimbările climatice; |
(b) |
a asigura o protecție fizică adecvată a spațiilor și a infrastructurii critice, luând în considerare în mod corespunzător de exemplu instalarea de garduri, bariere, instrumente și proceduri de monitorizare a perimetrului, echipamente pentru detectarea și controlul accesului; |
(c) |
a răspunde, a rezista la consecințele incidentelor și a le atenua, luând în considerare în mod corespunzător implementarea unor proceduri și protocoale de gestionare a riscurilor și a crizelor și a unor proceduri de alertă; |
(d) |
a se redresa în urma incidentelor, luând în considerare în mod corespunzător măsuri de asigurare a continuității activității și identificarea unor lanțuri de aprovizionare alternative, pentru a relua furnizarea serviciului esențial; |
(e) |
a asigura gestionarea adecvată a securității în ceea ce privește angajații, luând în considerare în mod corespunzător măsuri precum determinarea categoriilor de personal care exercită funcții critice, stabilirea drepturilor de acces la spații, la infrastructura critică și la informațiile sensibile, stabilirea de proceduri de verificare a antecedentelor în conformitate cu articolul 14, desemnarea unor categorii de persoane care trebuie să facă obiectul unor astfel de verificări ale antecedentelor, precum și stabilirea unor cerințe de formare și calificări adecvate; |
(f) |
a conștientiza personalul relevant cu privire la măsurile menționate la literele (a)-(e), luând în considerare în mod corespunzător cursuri de formare, materiale informative și exerciții. |
În sensul literei (e) de la primul paragraf, statele membre se asigură că entitățile critice iau în considerare, atunci când determină categoriile de personal care exercită funcții critice, personalul prestatorilor externi de servicii.
(2) Statele membre se asigură că entitățile critice instituie și pun în aplicare un plan de reziliență sau un document sau documente echivalente, care descriu măsurile luate în temeiul alineatului (1). Atunci când entitățile critice au elaborat documente sau au luat măsuri în temeiul obligațiilor stabilite în alte acte de drept care sunt relevante pentru măsurile menționate la alineatul (1), acestea pot utiliza documentele și măsurile respective pentru a îndeplini cerințele prevăzute la prezentul articol. Atunci când își exercită funcțiile de supraveghere, autoritatea competentă poate declara măsurile existente de consolidare a rezilienței luate de o entitate critică, care abordează în mod adecvat și proporțional măsurile tehnice, de securitate și organizatorice menționate la alineatul (1), ca fiind conforme, integral sau parțial, cu obligațiile prevăzute la prezentul articol.
(3) Statele membre se asigură că fiecare entitate critică desemnează un ofițer de legătură sau un echivalent al acestuia ca punct de contact în relația cu autoritățile competente.
(4) La cererea statului membru care a identificat entitatea critică și cu acordul entității critice în cauză, Comisia organizează misiuni de consiliere, conform modalităților stabilite la articolul 18 alineatele (6), (8) și (9), pentru a oferi consultanță entității critice în cauză în vederea îndeplinirii obligațiilor care îi revin în temeiul capitolului III. Misiunea de consiliere raportează constatările sale Comisiei, statului membru respectiv și entității critice în cauză.
(5) După consultarea Grupului privind reziliența entităților critice menționat la articolul 19, Comisia adoptă orientări fără caracter obligatoriu pentru a detalia măsurile tehnice, de securitate și organizatorice care pot fi luate în temeiul alineatului (1) de la prezentul articol.
(6) Comisia adoptă acte de punere în aplicare pentru a stabili specificațiile tehnice și metodologice necesare privind aplicarea măsurilor menționate la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 24 alineatul (2).
Articolul 14
Verificările antecedentelor
(1) Statele membre precizează condițiile în care unei entități critice i se permite, în cazuri justificate în mod corespunzător și ținând seama de evaluarea riscurilor efectuată de statul membru, să depună cereri de verificare a antecedentelor persoanelor care:
(a) |
îndeplinesc roluri sensibile în cadrul entității critice sau în beneficiul acesteia, în special în ceea ce privește reziliența entității critice; |
(b) |
sunt autorizate să aibă acces direct sau de la distanță în spațiile acesteia, la informațiile sale sau la sistemele sale de control, inclusiv în legătură cu securitatea entității critice; |
(c) |
sunt avute în vedere pentru a fi recrutate în posturi care intră sub incidența criteriilor prevăzute la litera (a) sau (b). |
(2) Cererile menționate la alineatul (1) de la prezentul articol sunt evaluate într-un termen rezonabil și prelucrate în conformitate cu dreptul și procedurile interne, precum și cu dreptul relevant și aplicabil al Uniunii, inclusiv cu Regulamentul (UE) 2016/679 și cu Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (37). Verificările antecedentelor sunt proporționale și strict limitate la ceea ce este necesar. Acestea se efectuează exclusiv în scopul evaluării unui potențial risc de securitate pentru entitatea critică în cauză.
(3) O verificare a antecedentelor menționată la alineatul (1) îndeplinește cel puțin următoarele:
(a) |
confirmă identitatea persoanei care face obiectul verificării antecedentelor; |
(b) |
verifică cazierul judiciar al persoanei vizate în ceea ce privește infracțiunile care ar fi relevante pentru o anumită funcție. |
Atunci când efectuează verificarea antecedentelor, pentru a obține informații din cazierele judiciare păstrate în alte state membre, statele membre utilizează Sistemul european de informații cu privire la cazierele judiciare, în conformitate cu procedurile prevăzute în Decizia-cadru 2009/315/JAI și, dacă este relevant și aplicabil, în Regulamentul (UE) 2019/816. Autoritățile centrale prevăzute la articolul 3 alineatul (1) din Decizia-cadru 2009/315/JAI și la articolul 3 punctul 5 din Regulamentul (UE) 2019/816 răspund acestor cereri de informații în termen de 10 zile lucrătoare de la data primirii cererii, în conformitate cu articolul 8 alineatul (1) din Decizia-cadru 2009/315/JAI.
Articolul 15
Notificarea incidentelor
(1) Statele membre se asigură că entitățile critice notifică fără întârzieri nejustificate autorității competente incidentele care perturbă în mod semnificativ sau care au potențialul de a perturba în mod semnificativ furnizarea serviciilor esențiale. Cu excepția cazului în care nu sunt în măsură din punct de vedere operațional să facă acest lucru, statele membre se asigură că entitățile critice transmit o notificare inițială în cel mult 24 de ore de la constatarea unui incident, urmată, după caz, de un raport detaliat prezentat ulterior în cel mult o lună. Pentru a determina importanța perturbării, se iau în considerare, în special, următorii parametri:
(a) |
numărul și proporția utilizatorilor afectați de perturbare; |
(b) |
durata perturbării; |
(c) |
zona geografică afectată de perturbare, ținând seama de eventuala izolare geografică a zonei respective. |
În cazul unui incident care are sau ar putea avea un efect semnificativ asupra continuității furnizării de servicii esențiale pentru șase sau mai multe state membre sau pe teritoriul acestora, autoritățile competente ale statelor membre afectate de incident notifică incidentul respectiv Comisiei.
(2) Notificările menționate la primul paragraf de la alineatul (1) includ toate informațiile disponibile de care autoritatea competentă are nevoie pentru a înțelege natura, cauza și posibilele consecințe ale incidentului, inclusiv toate informațiile necesare pentru a determina orice efect transfrontalier al incidentului. Notificările respective nu agravează răspunderea entităților critice.
(3) Pe baza informațiilor furnizate de entitatea critică în notificarea menționată la alineatul (1), autoritatea competentă relevantă informează, prin intermediul punctului unic de contact, punctul unic de contact al altor state membre afectate dacă incidentul are sau ar putea avea un efect semnificativ asupra entităților critice și asupra continuității furnizării de servicii esențiale pentru unul sau mai multe alte state membre sau pe teritoriul acestora.
Atunci când transmit sau recepționează informații în temeiul primului paragraf, punctele unice de contact, tratează informațiile într-un mod care respectă confidențialitatea acestora și protejează securitatea și interesele comerciale ale entității critice în cauză, în conformitate cu dreptul Uniunii sau cu dreptul intern.
(4) Cât mai rapid posibil în urma notificării menționate la alineatul (1), autoritatea competentă relevantă furnizează entității critice în cauză informații complementare relevante, inclusiv informații care ar putea contribui la răspunsul eficace al entității critice la incidentul în cauză. Statele membre informează publicul în cazul în care consideră că aceasta ar fi de interes public.
Articolul 16
Standarde
Pentru a promova punerea în aplicare convergentă a prezentei directive, statele membre încurajează, în cazul în care acest lucru este util și fără a impune sau a discrimina în favoarea utilizării unui anumit tip de tehnologie, utilizarea standardelor și specificațiilor tehnice europene și internaționale care sunt pertinente pentru măsurile de securitate și cele de reziliență aplicabile entităților critice.
CAPITOLUL IV
ENTITĂȚI CRITICE DE IMPORTANȚĂ EUROPEANĂ DEOSEBITĂ
Articolul 17
Identificarea entităților critice de importanță europeană deosebită
(1) O entitate este considerată entitate critică de importanță europeană deosebită atunci când:
(a) |
a fost identificată ca entitate critică în temeiul articolului 6 alineatul (1); |
(b) |
furnizează servicii esențiale identice sau similare pentru șase sau mai multe state membre sau pe teritoriul acestora; și |
(c) |
a fost notificată în temeiul alineatului (3) de la prezentul articol. |
(2) Statele membre se asigură că, în urma notificării menționate la articolul 6 alineatul (3), o entitate critică informează autoritatea sa competentă atunci când furnizează servicii esențiale pentru șase sau mai multe state membre sau pe teritoriul acestora. În acest caz, statele membre se asigură că entitatea critică informează autoritatea sa competentă care sunt serviciile esențiale pe care le furnizează acelor state membre și care sunt statele membre cărora sau pe teritoriul cărora furnizează serviciile esențiale respective. Statele membre notifică Comisiei, fără întârzieri nejustificate, identitatea entităților critice în cauză și informațiile puse la dispoziție în temeiul prezentului alineat.
Comisia se consultă cu autoritatea competentă a statului membru care a identificat o entitate critică menționată la primul paragraf, cu autoritățile competente ale celorlalte state membre în cauză, precum și cu entitatea critică în cauză. În cadrul acestor consultări, fiecare stat membru comunică Comisiei dacă consideră că serviciile care îi sunt furnizate de entitatea critică sunt servicii esențiale.
(3) În cazul în care, pe baza consultărilor prevăzute la alineatul (2) de la prezentul articol, Comisia constată că entitatea critică în cauză furnizează servicii esențiale pentru șase sau mai multe state membre sau pe teritoriul acestora, aceasta notifică entității în cauză, prin intermediul autorității sale competente, faptul că este considerată o entitate critică de importanță europeană deosebită, informând-o cu privire la obligațiile care îi revin în temeiul prezentului capitol și cu privire la data de la care obligațiile respective i se aplică. De îndată ce Comisia a informat autoritatea competentă cu privire la decizia sa de a considera o entitate drept entitate critică de importanță europeană deosebită, autoritatea competentă transmite notificarea, fără întârzieri nejustificate, respectivei entități critice.
(4) Prezentul capitol se aplică respectivei entități critice de importanță europeană deosebită de la data primirii notificării menționate la alineatul (3) de la prezentul articol.
Articolul 18
Misiuni de consiliere
(1) La cererea unui stat membru care a identificat o entitate critică de importanță europeană deosebită ca entitate critică în temeiul articolului 6 alineatul (1), Comisia poate organiza o misiune de consiliere în vederea evaluării măsurilor puse în aplicare de entitatea în cauză pentru a-și îndeplini obligațiile în temeiul capitolului III.
(2) Din proprie inițiativă sau la cererea unuia sau a mai multor state membre cărora sau pe teritoriul cărora este furnizat serviciul esențial, Comisia poate organiza, de asemenea, o misiune de consiliere menționată la alineatul (1) de la prezentul articol, cu condiția ca statul membru care a identificat o entitate critică de importanță europeană deosebită ca entitate critică în temeiul articolului 6 alineatul (1) să fie de acord.
(3) La cererea motivată a Comisiei sau a unuia sau mai multor state membre cărora sau pe teritoriul cărora este furnizat serviciul esențial, statul membru care a identificat o entitate critică de importanță europeană deosebită ca entitate critică în temeiul articolului 6 alineatul (1) pune la dispoziția Comisiei:
(a) |
părțile relevante ale evaluării riscurilor efectuate; |
(b) |
o listă a măsurilor luate în conformitate cu articolul 13; |
(c) |
măsurile de supraveghere sau de asigurare a respectării legislației, inclusiv evaluări ale conformității sau ordine emise, pe care autoritatea sa competentă le-a întreprins în temeiul articolelor 21 și 22 cu privire la entitatea critică respectivă. |
(4) Misiunea de consiliere raportează constatările sale Comisiei, statului membru care a identificat o entitate critică de importanță europeană deosebită ca entitate critică în temeiul articolului 6 alineatul (1), statelor membre cărora sau pe teritoriul cărora este furnizat serviciul esențial și entității critice în cauză în termen de trei luni de la încheierea misiunii de consiliere.
Statele membre cărora sau pe teritoriul cărora este furnizat serviciul esențial analizează raportul menționat la primul paragraf și, dacă este necesar, își transmit Comisiei opinia cu privire la respectarea sau nerespectarea de către entitatea critică de importanță europeană deosebită în cauză a obligațiilor care îi revin în temeiul capitolului III și, după caz, cu privire la măsurile care ar putea fi luate pentru a îmbunătăți reziliența entității critice respective.
Pe baza opiniei menționate la al doilea paragraf de la prezentul alineat, Comisia transmite statului membru care a identificat o entitate critică de importanță europeană deosebită ca entitate critică în temeiul articolului 6 alineatul (1), statelor membre cărora sau pe teritoriul cărora este furnizat serviciul esențial și entității critice în cauză avizul său cu privire la respectarea sau nerespectarea de către entitatea critică în cauză a obligațiilor care îi revin în temeiul capitolului III și, după caz, cu privire la măsurile care ar putea fi luate pentru a îmbunătăți reziliența entității critice respective.
Statul membru care a identificat o entitate critică de importanță europeană deosebită ca entitate critică în temeiul articolului 6 alineatul (1) se asigură că autoritatea sa competentă și entitatea critică în cauză țin seama în mod corespunzător de avizul menționat la al treilea paragraf de la prezentul alineat și furnizează informații Comisiei și statelor membre cărora sau pe teritoriul cărora este furnizat serviciul esențial cu privire la măsurile pe care le-a luat în temeiul avizului respectiv.
(5) Fiecare misiune de consiliere este alcătuită din experți ai statului membru în care este situată entitatea critică de importanță europeană deosebită, din experți ai statelor membre cărora sau pe teritoriul cărora este furnizat serviciul esențial și din reprezentanți ai Comisiei. Statele membre respective pot propune candidați care să facă parte dintr-o misiune de consiliere. În urma consultărilor cu statul membru care a identificat o entitate critică de importanță europeană deosebită ca entitate critică în temeiul articolului 6 alineatul (1), Comisia selectează și numește membrii fiecărei misiuni de consiliere în funcție de capacitatea lor profesională, asigurând, dacă este posibil, o reprezentare echilibrată din punct de vedere geografic a tuturor statelor membre interesate. Ori de câte ori este necesar, membrii misiunii de consiliere dețin o autorizare de securitate valabilă și adecvată. Comisia suportă costurile legate de participarea la misiunea de consiliere.
Comisia organizează programul fiecărei misiuni de consiliere în consultare cu membrii respectivei misiuni de consiliere și în acord cu statul membru care a identificat o entitate critică de importanță europeană deosebită ca entitate critică în temeiul articolului 6 alineatul (1).
(6) Comisia adoptă un act de punere în aplicare prin care sunt stabilite norme procedurale cu privire la cererile de organizare a misiunilor de consiliere și la tratarea acestor cereri, la desfășurarea misiunilor de consiliere și la rapoartele prezentate de acestea, precum și la gestionarea comunicării cu privire la avizul Comisiei menționat la alineatul (4) al treilea paragraf de la prezentul articol și la măsurile luate, ținând seama în mod corespunzător de confidențialitatea și de sensibilitatea comercială a informațiilor în cauză. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 24 alineatul (2).
(7) Statele membre se asigură că entitatea critică de importanță europeană deosebită asigură misiunii de consiliere acces la informațiile, sistemele și instalațiile legate de furnizarea serviciilor sale esențiale care sunt necesare pentru desfășurarea misiunii de consiliere.
(8) Misiunile de consiliere se desfășoară în conformitate cu dreptul intern aplicabil al statului membru în care acestea au loc, respectând responsabilitatea statului membru respectiv în ceea ce privește securitatea națională și protecția intereselor sale în materie de securitate.
(9) Atunci când organizează misiuni de consiliere, Comisia ia în considerare rapoartele tuturor inspecțiilor efectuate de Comisie în temeiul Regulamentelor (CE) nr. 725/2004 și (CE) nr. 300/2008, precum și rapoartele privind orice monitorizare efectuată de Comisie în temeiul Directivei 2005/65/CE în ceea ce privește entitatea critică respectivă.
(10) Comisia informează Grupul privind reziliența entităților critice menționat la articolul 19 ori de câte ori se organizează o misiune de consiliere. Statul membru în care are loc misiunea de consiliere și Comisia informează, de asemenea, Grupul privind reziliența entităților critice cu privire la principalele constatări ale misiunii de consiliere și la lecțiile desprinse în vederea promovării învățării reciproce.
CAPITOLUL V
COOPERARE ȘI RAPORTARE
Articolul 19
Grupul privind reziliența entităților critice
(1) În temeiul prezentei directive se constituie Grupul privind reziliența entităților critice. Grupul sprijină Comisia și facilitează cooperarea dintre statele membre și schimbul de informații privind aspectele referitoare la prezenta directivă.
(2) Grupul privind reziliența entităților critice este alcătuit din reprezentanți ai statelor membre și ai Comisiei care dețin autorizarea de securitate, după caz. Dacă este relevant pentru îndeplinirea sarcinilor sale, Grupul privind reziliența entităților critice poate invita părți interesate relevante să participe la lucrările sale. La cererea Parlamentului European, Comisia poate invita, de asemenea, experți ai Parlamentului să participe la reuniunile Grupului privind reziliența entităților critice.
Reprezentantul Comisiei prezidează Grupul privind reziliența entităților critice.
(3) Grupului privind reziliența entităților critice îi revin următoarele sarcini:
(a) |
să sprijine Comisia în ceea ce privește asistența acordată statelor membre pentru consolidarea capacității acestora de a contribui la asigurarea rezilienței entităților critice în conformitate cu prezenta directivă; |
(b) |
să analizeze strategiile în vederea identificării bunelor practici în ceea ce privește strategiile respective; |
(c) |
să faciliteze schimbul de bune practici în ceea ce privește identificarea entităților critice de către statele membre în temeiul articolului 6 alineatul (1), inclusiv în legătură cu dependențele transfrontaliere și intersectoriale și în ceea ce privește riscurile și incidentele; |
(d) |
după caz, să contribuie, cu privire la aspectele legate de prezenta directivă, la documentele privind reziliența la nivelul Uniunii; |
(e) |
să contribuie la elaborarea orientărilor menționate la articolul 7 alineatul (3) și articolul 13 alineatul (5) și, la cerere, a oricăror acte delegate sau de punere în aplicare adoptate în temeiul prezentei directive; |
(f) |
să analizeze rapoartele de sinteză menționate la articolul 9 alineatul (3) în vederea promovării schimbului de bune practici cu privire la măsurile luate în conformitate cu articolul 15 alineatul (3); |
(g) |
să asigure schimbul de bune practici în legătură cu notificarea incidentelor menționată la articolul 15; |
(h) |
să discute rapoartele de sinteză ale misiunilor de consiliere și lecțiile desprinse în conformitate cu articolul 18 alineatul (10); |
(i) |
să asigure schimbul de informații și de bune practici privind inovarea, cercetarea și dezvoltarea referitoare la reziliența entităților critice, în conformitate cu prezenta directivă; |
(j) |
după caz, să asigure schimbul de informații privind aspecte legate de reziliența entităților critice cu instituțiile, organismele, oficiile și agențiile relevante ale Uniunii. |
(4) Până la 17 ianuarie 2025 și, ulterior, la fiecare doi ani, Grupul privind reziliența entităților critice stabilește un program de lucru cu privire la acțiunile care urmează să fie întreprinse pentru punerea în aplicare a obiectivelor și sarcinilor sale. Programul său de lucru trebuie să fie în concordanță cu cerințele și obiectivele prezentei directive.
(5) Grupul privind reziliența entităților critice se reunește periodic și cel puțin o dată pe an cu grupul de cooperare constituit în temeiul Directivei (UE) 2022/2555 pentru a promova și facilita cooperarea și schimbul de informații.
(6) Comisia poate adopta acte de punere în aplicare prin care sunt stabilite normele procedurale necesare pentru funcționarea Grupului privind reziliența entităților critice, cu respectarea articolului 1 alineatul (4). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 24 alineatul (2).
(7) Comisia prezintă Grupului privind reziliența entităților critice un raport de sinteză privind informațiile furnizate de statele membre în temeiul articolului 4 alineatul (3) și al articolului 5 alineatul (4) până la 17 ianuarie 2027 și, ulterior, atunci când este necesar și cel puțin o dată la fiecare patru ani.
Articolul 20
Sprijinul acordat de Comisie autorităților competente și entităților critice
(1) Comisia sprijină, după caz, statele membre și entitățile critice în vederea îndeplinirii obligațiilor care le revin în temeiul prezentei directive. Comisia elaborează o imagine de ansamblu la nivelul Uniunii a riscurilor transfrontaliere și intersectoriale la adresa furnizării serviciilor esențiale, organizează misiunile de consiliere menționate la articolul 13 alineatul (4) și la articolul 18 și facilitează schimbul de informații între statele membre și experții din întreaga Uniune.
(2) Comisia completează activitățile menționate la articolul 10 ale statelor membre prin elaborarea de bune practici, materiale de orientare și metodologii, precum și prin activități de formare și exerciții transfrontaliere pentru a testa reziliența entităților critice.
(3) Comisia informează statele membre cu privire la resursele financiare la nivelul Uniunii aflate la dispoziția statelor membre pentru consolidarea rezilienței entităților critice.
CAPITOLUL VI
SUPRAVEGHERE ȘI ASIGURAREA RESPECTĂRII LEGISLAȚIEI
Articolul 21
Supraveghere și asigurarea respectării legislației
(1) Pentru a evalua respectarea de către entitățile pe care statele membre le-au identificat drept entități critice în temeiul articolului 6 alineatul (1) a obligațiilor care le revin în temeiul prezentei directive, statele membre se asigură că autoritățile competente dispun de competențele și de mijloacele necesare pentru:
(a) |
a efectua inspecții in situ ale infrastructurii critice și ale spațiilor pe care le utilizează entitatea critică pentru a-și furniza serviciile esențiale, precum și a supraveghea ex situ măsurile luate de entitățile critice în conformitate cu articolul 13; |
(b) |
a efectua sau a ordona audituri ale entităților critice respective. |
(2) Statele membre se asigură că autoritățile competente dispun de competențele și mijloacele necesare pentru a solicita, atunci când este necesar pentru îndeplinirea sarcinilor care le revin în temeiul prezentei directive, ca entitățile în temeiul Directivei (UE) 2022/2555 pe care statele membre le-au identificat ca entități critice în temeiul prezentei directive să transmită, într-un termen rezonabil stabilit de autoritățile respective:
(a) |
informațiile necesare pentru a evalua dacă măsurile luate de entitățile respective pentru a-și asigura reziliența îndeplinesc cerințele prevăzute la articolul 13; |
(b) |
dovada punerii în aplicare efective a măsurilor respective, inclusiv rezultatele unui audit efectuat de un auditor independent și calificat selectat de entitatea respectivă și efectuat pe cheltuiala acesteia. |
Atunci când solicită aceste informații, autoritățile competente declară scopul solicitării și precizează informațiile solicitate.
(3) Fără a aduce atingere posibilității de a aplica sancțiuni în conformitate cu articolul 22, autoritățile competente pot, în urma acțiunilor de supraveghere menționate la alineatul (1) de la prezentul articol sau după evaluarea informațiilor menționate la alineatul (2) de la prezentul articol, să ordone entităților critice în cauză să ia măsurile necesare și proporționale pentru a remedia orice încălcare identificată a prezentei directive, într-un termen rezonabil stabilit de autoritățile respective, și să furnizeze autorităților respective informații cu privire la măsurile luate. Aceste ordine țin seama, în special, de gravitatea încălcării.
(4) Statele membre se asigură că competențele prevăzute la alineatele (1), (2) și (3) pot fi exercitate numai sub rezerva unor garanții adecvate. Garanțiile respective asigură, în special, faptul că o astfel de exercitare are loc în mod obiectiv, transparent și proporțional și că drepturile și interesele legitime ale entităților critice afectate, cum ar fi protecția secretelor comerciale și de afaceri, sunt protejate în mod corespunzător, inclusiv dreptul acestora de a fi ascultate, dreptul la apărare și dreptul la o cale de atac efectivă în fața unei instanțe independente.
(5) Statele membre se asigură că, atunci când o autoritate competentă în temeiul prezentei directive evaluează în temeiul prezentului articol respectarea de către o entitate critică a obligațiilor care îi revin, autoritatea competentă respectivă informează autoritățile competente în temeiul Directivei (UE) 2022/2555 ale statelor membre interesate. În acest scop, statele membre se asigură că autoritățile competente în temeiul prezentei directive pot solicita autorităților competente în temeiul Directivei (UE) 2022/2555 să își exercite competențele de supraveghere și de asigurare a respectării legislației în legătură cu o entitate care intră sub incidența directivei menționate care a fost identificată drept entitate critică în temeiul prezentei directive. Statele membre se asigură că autoritățile competente în temeiul prezentei directive cooperează și fac schimb de informații în acest scop cu autoritățile competente în temeiul Directivei (UE) 2022/2555.
Articolul 22
Sancțiuni
Statele membre adoptă normele privind sancțiunile care se aplică în cazul nerespectării dispozițiilor de drept intern adoptate în temeiul prezentei directive și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile trebuie să fie efective, proporționale și cu efect de descurajare. Statele membre notifică normele și măsurile respective Comisiei până la 17 octombrie 2024 și îi comunică acesteia, fără întârziere, orice modificare ulterioară a acestora.
CAPITOLUL VII
ACTE DELEGATE ȘI ACTE DE PUNERE ÎN APLICARE
Articolul 23
Exercitarea delegării de competențe
(1) Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute la prezentul articol.
(2) Competența de a adopta acte delegate menționată la articolul 5 alineatul (1) se conferă Comisiei pe o perioadă de cinci ani, începând cu 16 ianuarie 2023.
(3) Delegarea de competențe menționată la articolul 5 alineatul (1) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.
(4) Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.
(5) De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.
(6) Un act delegat adoptat în temeiul articolului 5 alineatul (1) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului.
Articolul 24
Procedura comitetului
(1) Comisia este asistată de un comitet. Respectivul comitet reprezintă un comitet în înțelesul Regulamentului (UE) nr. 182/2011.
(2) În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.
CAPITOLUL VIII
DISPOZIȚII FINALE
Articolul 25
Raportare și revizuire
Până la 17 iulie 2027, Comisia prezintă Parlamentului European și Consiliului un raport în care evaluează măsura în care fiecare stat membru a luat măsurile necesare pentru a se conforma prezentei directive.
Comisia examinează periodic funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Raportul respectiv evaluează în special valoarea adăugată a prezentei directive, impactul acesteia în ceea ce privește asigurarea rezilienței entităților critice, precum și dacă anexa la prezenta directivă ar trebui să fie modificată. Comisia transmite primul raport până la 17 iunie 2029. Comisia ia în considerare documentele relevante ale Grupului privind reziliența entităților critice în scopul raportării în temeiul prezentului articol.
Articolul 26
Transpunere
(1) Statele membre adoptă și publică, până la 17 octombrie 2024, dispozițiile necesare pentru a se conforma prezentei directive. Statele membre informează de îndată Comisia cu privire la aceasta.
Statele membre aplică dispozițiile respective de la 18 octombrie 2024.
(2) Atunci când statele membre adoptă dispozițiile menționate la alineatul (1), acestea conțin o trimitere la prezenta directivă sau sunt însoțite de o asemenea trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.
Articolul 27
Abrogarea Directivei 2008/114/CE
Directiva 2008/114/CE se abrogă de la 18 octombrie 2024.
Trimiterile la directiva abrogată se interpretează drept trimiteri la prezenta directivă.
Articolul 28
Intrarea în vigoare
Prezenta directivă intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Articolul 29
Destinatari
Prezenta directivă se adresează statelor membre.
Adoptată la Strasbourg, 14 decembrie 2022.
Pentru Parlamentul European
Președinta
R. METSOLA
Pentru Consiliu
Președintele
M. BEK
(1) JO C 286, 16.7.2021, p. 170.
(2) JO C 440, 29.10.2021, p. 99.
(3) Poziția Parlamentului European din 22 noiembrie 2022 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 8 decembrie 2022.
(4) Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (JO L 345, 23.12.2008, p. 75).
(5) Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (a se vedea pagina 80 din prezentul Jurnal Oficial).
(6) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, p. 1).
(7) Regulamentul (UE) 2019/452 al Parlamentului European și al Consiliului din 19 martie 2019 de stabilire a unui cadru pentru examinarea investițiilor străine directe în Uniune (JO L 79 I, 21.3.2019, p. 1).
(8) Regulamentul (UE) nr. 648/2012 al Parlamentului European și al Consiliului din 4 iulie 2012 privind instrumentele financiare derivate extrabursiere, contrapărțile centrale și registrele centrale de tranzacții (JO L 201, 27.7.2012, p. 1).
(9) Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului din 26 iunie 2013 privind cerințele prudențiale pentru instituțiile de credit și de modificare a Regulamentului (UE) nr. 648/2012 (JO L 176, 27.6.2013, p. 1).
(10) Regulamentul (UE) nr. 600/2014 al Parlamentului European și al Consiliului din 15 mai 2014 privind piețele instrumentelor financiare și de modificare a Regulamentului (UE) nr. 648/2012 (JO L 173, 12.6.2014, p. 84).
(11) Directiva 2013/36/UE a Parlamentului European și a Consiliului din 26 iunie 2013 cu privire la accesul la activitatea instituțiilor de credit și supravegherea prudențială a instituțiilor de credit și a firmelor de investiții, de modificare a Directivei 2002/87/CE și de abrogare a Directivelor 2006/48/CE și 2006/49/CE (JO L 176, 27.6.2013, p. 338).
(12) Directiva 2014/65/UE a Parlamentului European și a Consiliului din 15 mai 2014 privind piețele instrumentelor financiare și de modificare a Directivei 2002/92/CE și a Directivei 2011/61/UE (JO L 173, 12.6.2014, p. 349).
(13) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/2011 (a se vedea pagina 1 din prezentul Jurnal Oficial).
(14) Regulamentul (CE) nr. 725/2004 al Parlamentului European și al Consiliului din 31 martie 2004 privind consolidarea securității navelor și a instalațiilor portuare (JO L 129, 29.4.2004, p. 6).
(15) Regulamentul (CE) nr. 300/2008 al Parlamentului European și al Consiliului din 11 martie 2008 privind norme comune în domeniul securității aviației civile și de abrogare a Regulamentului (CE) nr. 2320/2002 (JO L 97, 9.4.2008, p. 72).
(16) Directiva 2005/65/CE a Parlamentului European și a Consiliului din 26 octombrie 2005 privind consolidarea securității portuare (JO L 310, 25.11.2005, p. 28).
(17) Directiva 2008/96/CE a Parlamentului European și a Consiliului din 19 noiembrie 2008 privind gestionarea siguranței infrastructurii rutiere (JO L 319, 29.11.2008, p. 59).
(18) Decizia Comisiei din 29 iunie 2018 de înființare a Platformei UE pentru securitatea călătorilor din transportul feroviar, 2018/C 232/03 (JO C 232, 3.7.2018, p. 10).
(19) Decizia-cadru 2009/315/JAI a Consiliului din 26 februarie 2009 privind organizarea și conținutul schimbului de informații extrase din cazierele judiciare între statele membre (JO L 93, 7.4. 2009, p. 23).
(20) Regulamentul (UE) 2019/816 al Parlamentului European și al Consiliului din 17 aprilie 2019 de stabilire a unui sistem centralizat pentru determinarea statelor membre care dețin informații privind condamnările resortisanților țărilor terțe și ale apatrizilor (ECRIS-TCN), destinat să completeze sistemul european de informații cu privire la cazierele judiciare, și de modificare a Regulamentului (UE) 2018/1726 (JO L 135, 22.5.2019, p. 1).
(21) Regulamentul (UE) 2018/1862 al Parlamentului European și al Consiliului din 28 noiembrie 2018 privind instituirea, funcționarea și utilizarea Sistemului de informații Schengen (SIS) în domeniul cooperării polițienești și al cooperării judiciare în materie penală, de modificare și de abrogare a Deciziei 2007/533/JAI a Consiliului și de abrogare a Regulamentului (CE) nr. 1986/2006 al Parlamentului European și al Consiliului și a Deciziei 2010/261/UE a Comisiei (JO L 312, 7.12.2018, p. 56).
(22) Decizia nr. 1313/2013/UE a Parlamentului European și a Consiliului din 17 decembrie 2013 privind un mecanism de protecție civilă al Uniunii (JO L 347, 20.12.2013, p. 924).
(23) Regulamentul (UE) 2021/1149 al Parlamentului European și al Consiliului din 7 iulie 2021 de instituire a Fondului pentru securitate internă (JO L 251, 15.7.2021, p. 94).
(24) Regulamentul (UE) 2021/695 al Parlamentului European și al Consiliului din 28 aprilie 2021 de instituire a programului-cadru pentru cercetare și inovare Orizont Europa, de stabilire a normelor sale de participare și de diseminare și de abrogare a Regulamentelor (UE) nr. 1290/2013 și (UE) nr. 1291/2013 (JO L 170, 12.5.2021, p. 1).
(25) JO L 123, 12.5.2016, p. 1.
(26) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
(27) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(28) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
(29) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).
(30) Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).
(31) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definiția microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).
(32) Directiva (UE) 2017/541 a Parlamentului European și a Consiliului din 15 martie 2017 privind combaterea terorismului și de înlocuire a Deciziei-cadru 2002/475/JAI a Consiliului și de modificare a Deciziei 2005/671/JAI a Consiliului (JO L 88, 31.3.2017, p. 6).
(33) Regulamentul (UE) 2017/1938 al Parlamentului European și al Consiliului din 25 octombrie 2017 privind măsurile de garantare a siguranței furnizării de gaze și de abrogare a Regulamentului (UE) nr. 994/2010 (JO L 280, 28.10.2017, p. 1).
(34) Regulamentul (UE) 2019/941 al Parlamentului European și al Consiliului din 5 iunie 2019 privind pregătirea pentru riscuri în sectorul energiei electrice și de abrogare a Directivei 2005/89/CE (JO L 158, 14.6.2019, p. 1).
(35) Directiva 2007/60/CE a Parlamentului European și a Consiliului din 23 octombrie 2007 privind evaluarea și gestionarea riscurilor de inundații (JO L 288, 6.11.2007, p. 27).
(36) Directiva 2012/18/UE a Parlamentului European și a Consiliului din 4 iulie 2012 privind controlul pericolelor de accidente majore care implică substanțe periculoase, de modificare și ulterior de abrogare a Directivei 96/82/CE a Consiliului (JO L 197, 24.7.2012, p. 1).
(37) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
ANEXĂ
Sectoare, subsectoare și categorii de entități
Sectoare |
Subsectoare |
Categorii de entități |
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|||||||
|
|
|||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
(1) Directiva (UE) 2019/944 a Parlamentului European și a Consiliului din 5 iunie 2019 privind normele comune pentru piața internă de energie electrică și de modificare a Directivei 2012/27/UE (JO L 158, 14.6.2019, p. 125).
(2) Regulamentul (UE) 2019/943 al Parlamentului European și al Consiliului din 5 iunie 2019 privind piața internă de energie electrică (JO L 158, 14.6.2019, p. 54).
(3) Directiva (UE) 2018/2001 a Parlamentului European și a Consiliului din 11 decembrie 2018 privind promovarea utilizării energiei din surse regenerabile (JO L 328, 21.12.2018, p. 82).
(4) Directiva 2009/119/CE a Consiliului din 14 septembrie 2009 privind obligația statelor membre de a menține un nivel minim de rezerve de țiței și/sau de produse petroliere (JO L 265, 9.10.2009, p. 9).
(5) Directiva 2009/73/CE a Parlamentului European și a Consiliului din 13 iulie 2009 privind normele comune pentru piața internă în sectorul gazelor naturale și de abrogare a Directivei 2003/55/CE (JO L 211, 14.8.2009, p. 94).
(6) Directiva 2009/12/CE a Parlamentului European și a Consiliului din 11 martie 2009 privind tarifele de aeroport (JO L 70, 14.3.2009, p. 11).
(7) Regulamentul (UE) nr. 1315/2013 al Parlamentului European și al Consiliului din 11 decembrie 2013 privind orientările Uniunii pentru dezvoltarea rețelei transeuropene de transport și de abrogare a Deciziei nr. 661/2010/UE (JO L 348, 20.12.2013, p. 1).
(8) Regulamentul (CE) nr. 549/2004 al Parlamentului European și al Consiliului din 10 martie 2004 de stabilire a cadrului pentru crearea Cerului unic european (regulament-cadru) (JO L 96, 31.3.2004, p. 1).
(9) Directiva 2012/34/UE a Parlamentului European și a Consiliului din 21 noiembrie 2012 privind instituirea spațiului feroviar unic european (JO L 343, 14.12.2012, p. 32).
(10) Directiva 2002/59/CE a Parlamentului European și a Consiliului din 27 iunie 2002 de instituire a unui sistem comunitar de monitorizare și informare privind traficul navelor maritime și de abrogare a Directivei 93/75/CEE a Consiliului (JO L 208, 5.8.2002, p. 10).
(11) Regulamentul delegat (UE) 2015/962 al Comisiei din 18 decembrie 2014 de completare a Directivei 2010/40/UE a Parlamentului European și a Consiliului în ceea ce privește prestarea la nivelul UE a unor servicii de informare în timp real cu privire la trafic (JO L 157, 23.6.2015, p. 21).
(12) Directiva 2010/40/UE a Parlamentului European și a Consiliului din 7 iulie 2010 privind cadrul pentru implementarea sistemelor de transport inteligente în domeniul transportului rutier și pentru interfețele cu alte moduri de transport (JO L 207, 6.8.2010, p. 1).
(13) Regulamentul (CE) nr. 1370/2007 al Parlamentului European și al Consiliului din 23 octombrie 2007 privind serviciile publice de transport feroviar și rutier de călători și de abrogare a Regulamentelor (CEE) nr. 1191/69 și nr. 1107/70 ale Consiliului (JO L 315, 3.12.2007, p. 1).
(14) Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).
(15) Regulamentul (UE) 2022/2371 al Parlamentului European și al Consiliului din 23 noiembrie 2022 privind amenințările transfrontaliere grave pentru sănătate și de abrogare a Deciziei nr. 1082/2013/UE (JO L 314, 6.12.2022, p. 26).
(16) Directiva 2001/83/CE a Parlamentului European și a Consiliului din 6 noiembrie 2001 de instituire a unui cod comunitar cu privire la medicamentele de uz uman (JO L 311, 28.11.2001, p. 67).
(17) Regulamentul (UE) 2022/123 al Parlamentului European și al Consiliului din 25 ianuarie 2022 privind consolidarea rolului Agenției Europene pentru Medicamente în ceea ce privește pregătirea pentru situații de criză în domeniul medicamentelor și al dispozitivelor medicale și gestionarea acestora (JO L 20, 31.1.2022, p. 1).
(18) Directiva (UE) 2020/2184 a Parlamentului European și a Consiliului din 16 decembrie 2020 privind calitatea apei destinate consumului uman (JO L 435, 23.12.2020, p. 1).
(19) Directiva 91/271/CEE a Consiliului din 21 mai 1991 privind tratarea apelor urbane reziduale (JO L 135, 30.5.1991, p. 40).
(20) Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, p. 73).
(21) Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice (JO L 321, 17.12.2018, p. 36).
(22) Regulamentul (CE) nr. 178/2002 al Parlamentului European și al Consiliului din 28 ianuarie 2002 de stabilire a principiilor și a cerințelor generale ale legislației alimentare, de instituire a Autorității Europene pentru Siguranța Alimentară și de stabilire a procedurilor în domeniul siguranței produselor alimentare (JO L 31, 1.2.2002, p. 1).